思科亚撒
Cisco ASA是少数几个事件源之一,可以在一个端口上处理多种类型的日志,因为它承载防火墙和VPN日志。
要使InsightIDR解析器工作,请确保您的Cisco ASA设备已经打开了“日志时间戳”,并且已为InsightIDR收集器配置了“日志主机”。
为了完整使用InsightIDR中的检测功能,请将设备上的日志级别设置为6级(提示消息)。更多信息请阅读思科ASA配置指南:https://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/monitor_syslog.html#wp1082848.
了解如何配置思科日志:https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/I-R/cmdref2/l2.html
从思科的自适应安全设备管理器转发日志:
- 在ADSM中,选择配置.
- 选择设备管理,并选择日志记录从下拉菜单。
- 选择Syslog服务器.
- 点击添加然后在“Syslog Servers”中输入InsightIDR采集器的信息。
- 确保思科ASA可以访问收集器。
关于syslog配置的更多详细说明,请阅读以下信息:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113053-asa82-syslog-config-00.html
如何在InsightIDR中配置该事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”界面时,单击设置事件源并选择添加事件源从下拉列表。
- 从安全数据部分中,单击防火墙图标。将出现“添加事件源”面板。
- 选择你的收集器。
- 在“选择事件源类型”字段中,选择对应于您的思科安全解决方案的选项,如下表所示:
| 思科安全解决方案 | InsightIDR事件源类型 |
|---|---|
| 亚撒 | 思科ASA事件源 |
| NGIPS | 思科ASA事件源 |
| NGFW | 思科ASA事件源 |
| 任何其他火力服务 | 思科ASA事件源 |
| 思科ASA与火力服务 | 思科ASA事件源 |
| 思科火力威胁防御(FTD) | 思科FTD事件源 |
| Sourcefire 3 d | 思科火力(Sourcefire 3D)事件源 |
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 配置您的默认域和任何高级事件源设置.
- 选择一个收集的方法并指定端口和协议。
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 点击保存.
验证配置
查看Cisco ASA在InsightIDR的日志:从左边的菜单中,单击日志搜索查看日志,以确保事件被转发到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或“Cisco ASA”,如果您没有命名事件源。思科ASA日志流到这些日志集:
- 资产统一身份验证
- 进入认证
- 防火墙
- VPN会话
- Web代理
- 入侵检测系统(IDS)
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。
示例输入日志
下表包含由InsightIDR解析的来自Cisco ASA的事件。您也可以选择发送未经过滤的日志,以收集和存储其他事件。
要了解这些代码的含义,请参阅思科文档这里:http://www.cisco.com/c/en/us/td/docs/security/asa/syslog-guide/syslogs/logsevp.html.
关于syslog的其他例子,请参阅本文档:https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/63884-config-asa-00.html.
标识符 |
描述 |
日志的例子 |
|---|---|---|
asa - 4 - 106023 |
否认防火墙连接 |
|
asa - 5 - 106100 |
允许防火墙连接 |
|
asa - 6 - 113005 |
VPN认证失败,密码错误 |
|
asa - 6 - 302013 |
TCP连接创建的 |
|
asa - 6 - 302014 |
TCP连接完成 |
|
asa - 6 - 302015 |
UDP连接创建的 |
|
asa - 6 - 302016 |
UDP连接完成 |
|
asa - 5 - 304001 |
URL访问 |
|
asa - 5 - 304002 |
URL访问被拒绝 |
|
asa - 3 - 713167 |
VPN访问被拒绝 |
|
asa - 6 - 713228 |
VPN分配IP |
|
asa - 6 - 716039 |
WebVPN身份验证失败 |
|
asa - 7 - 722029 |
VPN会话终止 |
|
asa - 4 - 722051 |
VPN分配IP |
|
asa - 6 - 113004 |
VPN的身份验证成功 |
|
asa - 7 - 751025 |
显示指定用户的AnyConnect IKEv2连接分配的IP地址信息 |
|
Cisco ASA日志也可以生成与Sourcefire 3D日志行的格式相同的日志。这些日志行中不包含ASA事件ID。下面是这些日志的一个示例:
<113>Mar 18 11:38:39 Sourcefire3D sfdc1500avc: [Primary Detection Engine (11727814-7b90- 11e3 - b778 -a8d573eb9cc3)][MHPSA] Connection Type: Start, User: Unknown, Client: SSL Client, Application Protocol: HTTPS, Web App: Unknown,访问控制规则名称:catcha - scan_for_malware,访问控制规则动作:Allow,访问控制规则原因:未知,URL类别:停放域,URL声誉:知名,URL: https://rapid7.com,接口入口:s1p1,接口出口:s1p2,安全区域入口:内部,安全区域出口:外部,安全智能匹配IP:无,安全智能类别:无,客户端版本:(null),文件事件数:的事件:ip地址数0,0,TCP标志:0 x0, NetBIOS域:(null),启动程序包:4,应答数据包:4,发起者字节:608年,响应者字节:4368年,背景:未知,SSL规则名称:N / A, SSL流动状态:N / A, SSL密码套件:N / A, SSL证书:0000000000000000000000000000000000000000,SSL主题CN: N / A, SSL主题:N / A, SSL主题或者:N / A, SSL主题Org: N / A, SSL发行人CN: N / A, SSL发行人:N / A, SSL发行人OU: N / A, SSL发行人Org: N / A, SSL有效开始日期:N / A, SSL有效结束日期:N / A, SSL版本:N / A, SSL服务器证书状态:N / A, SSL实际行动:N / A, SSL预期行动:N / A, SSL服务器名称:(null), SSL URL类别:-、SSL会话ID: 00000000000000000000000000000000000000000000000000000000000000000000000000000000, SSL票据ID: 000000000000000000000000000000000000, {TCP} 10.7.30.21:53431 -> 66.55.15.70:443
故障排除
如果您遇到Cisco ASA的问题,问题可能是解析或日志配置。
问题解析
确保打开了时间戳,否则Rapid7解析器将无法工作。
日志配置问题
确保以下几点:
- “日志时间戳”被打开
- 已为InsightIDR收集器配置了“日志主机”。
请确保将设备上的日志级别设置为严重性6(提示消息)。使用本指南进行说明:https://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/monitor_syslog.html#wp1082848.
运行版本< 9.2.1的Cisco设备有一个bug (CSCui82751),其中ASA-6-113005事件没有使用源IP地址记录,阻止了它们被用于InsightIDR检测。