Cisco FMC
Cisco Firepower Management Center (Cisco FMC) - централизованная платформа управления и администрирования решений Cisco Firepower. Cisco FMC используется для настройки, мониторинга и сопровождения устройств Firepower Threat Defense (FTD), включая управление политиками безопасности, обновлениями, лицензированием и интеграциями.
В рамках задач информационной безопасности Cisco FMC является источником событий технического и административного аудита. События FMC позволяют отслеживать действия администраторов, изменения конфигурации, операции управления устройствами и системные события, что используется для контроля доступа, расследования инцидентов и формирования технического аудита в системах класса SIEM.
Типы собираемых событий:
- Аутентификация и завершение сессий администраторов
- Административные действия и выполнение команд
- Изменения конфигурации и объектов управления
- Операции управления устройствами (добавление, удаление, изменение параметров)
- Системные и сервисные события управления
- События, связанные с применением и обновлением конфигураций
Настройка отправки Audit log:
-
Войдите в веб-консоль Cisco Firepower Management Center под учетной записью, обладающей административными правами.
-
В правом верхнем углу интерфейса нажмите на значок System (шестерёнка).
-
В открывшемся меню выберите Configuration.
-
В левой части окна перейдите в раздел Audit Log.
-
В параметре Send Audit Log to Syslog выберите значение Enabled.
-
В параметре Send Configuration Changes выберите формат отправки событий (Send as JSON).
-
В поле Hosts (Up to 5) укажите адрес сервера приёма syslog.
-
В параметре Facility выберите используемую facility в соответствии с принятой схемой.
-
В параметре Severity укажите уровень важности собираемых событий, рекомендуется INFO
-
В поле Tag укажите произвольную метку для идентификации источника в SIEM, например FMC
-
Нажмите кнопку Test Syslog Server
-
Убедитесь, что отображается сообщение об успешной доступности syslog-сервера (Syslog server has been reached).
