思科亚撒
概述
Cisco ASA是为数不多的事件源之一,可以在一个端口上处理多种类型的日志,因为它承载防火墙和VPN日志。
在你开始之前
为了让InsightOps解析器正常工作,请确保日志记录时间戳是打开和日志主机已配置insight tops采集器。
为了全面使用insight tops的检测功能,请在设备上设置日志级别为“6级(提示消息)”。要学如何,请看这个页面.
转发ASDM日志
要从思科的自适应安全设备管理器转发日志,请完成以下步骤:
- 在ADSM中,选择“Configuration”。
- 选择设备管理,并从下拉菜单选项中选择日志记录。
- 选择Syslog服务器。单击“添加”,在“Syslog服务器”中输入采集器的信息。
- 确保您的收集器可从思科ASA访问。
命令行记录
虽然你可以通过他们的用户界面配置Cisco ASA日志,但当试图打开InsightOps日志时,命令行界面配置可能会很复杂。
如果您更喜欢使用此选项,请参阅下面的日志示例,以了解InsightOps希望解析的内容。以标准Syslog格式的日志行为例,以供参考。
ASA-4-106023 -拒绝防火墙连接
<13>Feb 26 11:59:40 10.62.5.20 Feb 26 11:59:40 usiadasa101 %ASA-4-106023: Deny udp src LSI-TEST-TRANSIT:10.63.1.85/43670 dst DC-TRANSIT:10.62.65.20/111 by access-group \"LSI-TEST-TRANSIT_ACCESS_IN\" [0x257f55e5, 0xe5b85413]
ASA-5-106100 -允许防火墙连接
<189>Feb 27 14:11:58 10.1.2.3: % sa -5-106100: access-list inside_access_in allowed tcp inside/10.3.6.89(60759) -> outside/98.139.225.13(80) hit-cnt 1 first hit [0x4e0b70da, 0x386bad81]
ASA-6-113005 - VPN认证失败,密码错误
<166>Aug 07 2014 10:00:03 FW2-RAZOR: %ASA-6-113005: AAA用户认证被拒绝:reason = Invalid password: server = 10.10.10.100: user = foobar: user IP = 32.141.157.135
ASA-6-302013 - TCP连接已建立
<189>Mar 25 19:00:02 10.15.128.6: % sa -4-302013: Built outbound TCP connection 139684278 for Outside:2.40.106.199/3598 (2.40.105.199/3598) to Inside:10.6.33.107/25252 (64.201.138.105/25252)
ASA-6-302014 - TCP连接完成
<166>Sep 23 2015 16:12:37 10.128.91.80: %ASA-6-302014: Teardown TCP connection 115466298 for Outside:108.171.131.134/8080 to Inside:10.128.64.129/31997 duration 0:00:02 bytes 8040 TCP FINs . <166>Sep 23 2015 16:12:37 10.128.91.80: %ASA-6-302014: Teardown TCP connection 115466298 for Outside:108.171.131.134/8080 to Inside:10.128.64.129/31997 duration 0:00:02 bytes
ASA-6-302015 - UDP连接创建
<166>Mar 25 19:00:02 10.15.128.6% usa -6-302015: Built outbound UDP connection 145221138078637354 for inside:10.35.218.116/3598 (140.198.32.130/18406) to outside:134.174.110.7/8760 (134.174.110.7/8760)
ASA-6-302016 - UDP连接完成
<166>Dec 14 2013 16:59:36 10.6.1.1: %ASA-6-302016: Teardown UDP connection 823803842 for Outside:10.255.253.253/49933 to Inside:10.1.25.100/53 duration 0:00:00 bytes 121 (reyga)
ASA-5-304001 - URL被访问
<13>Mar 5 14:23:11 10.5.255.5% ASA-5-304001: 10.5.111.32访问URL 207.200.74.32:http://example.com
ASA-5-304002 - URL访问被拒绝
<189>Feb 27 14:42:23 10.4.5.6: %ASA-5-304002:访问拒绝URL http://s.tbdress.com/images/favicon.ico SRC 10.69.6.39 DEST 72.21.91.19 on interface inside
ASA-3-710003 - ACL拒绝访问
ASA-3-713167 - VPN访问被拒绝
<187> 7月21日2014 07:21:22:%ASA-3-713167: Group = AGROUP, Username = person, IP = 173.255.216.111, Remote peer has failed user authentication - check configured Username and password
ASA-6-713228 - VPN分配IP
<134>Aug 19 2013 13:09:20: %ASA-6-713228: Group = rapid7vpnusers, Username = aguerlain, IP = 75.99.48.194, assign private IP address 140.251.84.153 to remote user
ASA-6-716038 - WebVPN认证成功
ASA-6-716039 - WebVPN认证失败
<166>Aug 07 2014 10:00:03 FW2-RAZOR: %ASA-6-716039: Group
ASA-4-722029 - VPN会话终止
<164>Feb 11 2013 06:00:52 10.6.1.1: % sa -4-722029: Group
ASA-4-722051 - VPN分配IP地址
<164>Jan 13 2014 08:47:27: %ASA-4-722051: Group
fwsm - 4 - 305011
了解更多
点击在这里来了解这些代码的含义。
要进一步了解如何配置Cisco日志记录,请单击在这里.
有关syslog的其他示例,请参阅附加文档.
如何在insight中配置该事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从安全数据部分选择防火墙图标
- 选择您的收集器,并从选项列表中选择Cisco ASA防火墙/VPN
- 选择一个时区,或者选择一个美国时区
- 可以选择发送未过滤的日志
- 配置任何高级事件源设置。
- 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
- 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用
Rapid7CA.pem并将允许insights和Cisco ASA在日志转发过程中“信任”对方。
高级事件源设置
不活动超时阈值:以分钟为单位指定事件源在进入错误状态之前应处于不活动状态的时间。回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。
故障排除
解析
确保打开了时间戳,否则Rapid7解析器将无法工作。
日志配置
确保以下几点:
- “日志时间戳”被打开
- 已为洞察采集器配置“日志主机”。
请确保将设备上的日志级别设置为严重性6(提示消息)。使用本指南的指令。
请注意运行版本< 9.2.1的Cisco设备有一个bug (CSCui82751),其中ASA-6-113005事件没有与源IP地址一起记录,阻止了它们被用于instops内的检测。