Cisco FTD

Cisco Firepower Threat Defense (Cisco FTD) - межсетевой экран нового поколения, объединяющий функции классического firewall, системы предотвращения вторжений (IPS), контроля приложений и сетевого трафика. Cisco FTD используется для защиты сетевых сегментов, контроля доступа и мониторинга сетевой активности на границе и внутри корпоративной инфраструктуры.

В рамках задач информационной безопасности Cisco FTD является источником событий сетевого и технического аудита. События FTD позволяют отслеживать действия администраторов, изменения конфигурации, а также факты установления и завершения сетевых соединений, что используется для мониторинга трафика, выявления инцидентов и последующего анализа в системах класса SIEM.

• Документация: https://www.cisco.com/c/en/us/support/security/firepower-ngfw/series.html

Типы собираемых событий

• События аудита и административных действий
• События сетевых соединений
• Служебные и системные события безопасности

Настройка Cisco FTD через FMC для отправки событий в SIEM

Настройка логирования и отправки сетевого трафика (Access Control Policy)

1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора.

2. В главном меню слева перейдите в раздел Policies.

3. Выберите Access Control.

   

4. Откройте используемую Access Control Policy.

5. В списке правил выберите правило, нажмите Edit, одним из следующих способов:

   • нажмите на значок ✎ (Edit) справа от имени правила;
   • либо щёлкните по правилу правой кнопкой мыши и выберите Rule Actions → Edit Rule.

   • В верхней правой части открывшегося окна нажмите на надпись Logging.

   • В окне Logging Settings for Rule установите следующие параметры:

     • **Log at beginning of connection (**Опционально. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности)
     • Log at end of connection

   • В разделе Send Connection Events to выберите:

     • Firewall Management Center (опционально, при необходимости отображения логов в FMC)
     • Syslog server

     

   • Нажмите Show overrides.

   • Установите флаг Override default syslog destination.

16. При первичной настройке нажмите кнопку + для cоздания syslog-назначения.

17. В открывшемся окне задайте конфигурацию syslog-назначения:

    • В поле Name укажите имя конфигурации, например to_siem;
    • задайте адрес,в поле Host, и порт, в поле Port, сервера приёма syslog;
    • выберите Facility в соответствии с требованиями SIEM, например syslog;
    • выберите Severity в соответствии с требованиями SIEM, например INFO;
    • Опционально, в поле Tag укажите произвольную метку для идентификации источника в SIEM, например FTDNE

    

18. Сохраните конфигурацию syslog-назначения, нажав на кнопку Save.

19. В окне Select a syslog alert configuration, выберите созданный syslog destination, в нашем примере to_siem

20. В окне Logging Settings for Rule нажмите Confirm для сохранения настроек логирования правила.

21. Нажмите кнопку Apply в правом нижнем углу страницы

22. Повторите шаги 5–10 и 14-16 для всех правил в вашей Access Control Policy, шаги 11-13 по созданию syslog destination выполнять не нужно, используйте ранее созданный syslog destintation. В нашем примере to_siem

23. В нижней части страницы ранее открытой Access Control Policy, справа от надписи Default Action, нажмите на значок шестеренки ⚙

    

24. В открывшемся окне Default Logging and Inspection, включите:

    • Log at beginning of connection (Опционально. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности)
    • Log at end of connection
    • Firewall Management Center (опционально, при необходимости отображения логов в FMC)
    • Syslog server

25. Нажмите Show overrides.

26. Установите флаг Override default syslog destination.

27. В окне Select a syslog alert configuration, выберите созданный syslog destination, в нашем примере to_siem

    23. Нажмите кноппку Apply.

    24. В правом верхнем углу нажмите Save для сохранения изменений в политике

        
        

    25. Выполните Deploy для примения конфигурации к целевомым устройствам FTD

    26. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов:
        • нажмите на значок ✎ (Edit) справа от имени правила;
        • либо щёлкните по профилю правой кнопкой мыши и выберите Edit.
    27. В настройках профиля перейдите на вкладку Syslog
    28. В открытом профиле Syslog перейдите на вкладку Logging Setup.
    29. В разделе Basic Logging Settings установите следующие параметры:
        • Enable logging — включено.
        • Enable logging on the failover standby unit — включено.
        • Send syslogs in EMBLEM format — включено.
        • Send debug messages as syslogs — выключено.
        • Memory Size of the Internal Buffer (bytes) — 524288

    30. Продейлайте шаги 3-10, 14-24 для всех используемых Access Control Policy в вашей компании

        

        Настройка логирования и отправки собтий аудита FTD (Platform Settings)

        1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора.
        2. В левом меню выберите Devices.
        3. В открывшемся окне выберите Platform Settings
           

        

         

        
        

        4. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов:
           • нажмите на значок ✎ (Edit) справа от имени правила;
           • либо щёлкните по профилю правой кнопкой мыши и выберите Edit.
        5. В настройках профиля перейдите на вкладку Syslog
        6. В открытом профиле Syslog перейдите на вкладку Logging Setup.
        7. В разделе Basic Logging Settings установите следующие параметры:
           • Enable logging — включено.
           • Enable logging on the failover standby unit — включено.
           • Send syslogs in EMBLEM format — включено.
           • Send debug messages as syslogs — выключено.
           • Memory Size of the Internal Buffer (bytes) — 524288

        

        8. Сохраните изменения, нажав Save в правом верхнем углу
        9. Перейдите на вкладку Event Lists.
        10. Нажмите кнопку Add.

        

В открывшемся окне в поле Name укажите имя списка, например: to_siem

12. ерейдите на вкладку Message ID, нажимая на кнопку +Add, добавьте следующие идентификаторы событий, разрешно добавлять значения по одному, либо диапазоном:
    • 199017-199021
    • 111008
    • 111010-111012
    • 110003
    • 110005
    • 110006
    • 110201-110206
    • 110101-110106
    • 110301-110304
13. Нажмите OK.
14. Сохраните изменения, нажав Save в правом верхнем углу
15. Перейдите на вкладку Logging Destinations.
16. В строке Syslog Servers нажмите на значок редактирования ✎ Edit

Если у вас отсутсвует Syslog Servers в качестве Logging Destination, нажмите +Add, у вас откроется окно с такими же параметрами для конфигурации.

17. В открывшемся окне Edit Logging Filter установите следующие параметры:
    • Logging Destination → Syslog Servers
    • Event Class → Use Event List → Выбирте созданный ранее Event List, в нашем примере to_siem

18. Нажмите OK.
19. Сохраните изменения, нажав Save в правом верхнем углу
20. Перейдите на вкладку Syslog Settings.

21. Установите параметры:
    • Facility — LOCAL4 (20).
    • Enable timestamp on syslog messages — включено.
    • Timestamp Format — Legacy (MMM dd yyyy HH:mm:ss) или RFC 5424 (**yyyy-MM-ddTHH:mm:ss**).
    • Enable syslog device ID — включено.
    • Device ID — Host Name.
    • Выберите Enable All Syslog Messages.
    • Logging Level — 5 - notifications.
22. Сохраните изменения, нажав Save в правом верхнем углу
23. Перейдите на вкладку Syslog Servers

24. становите:
    • Allow user traffic to pass when TCP syslog server is down — включено.
    • Message Queue Size (Messages) — 8192.
25. Нажмите Add чтобы добавить новый syslog server.
26. Заполните параметры:
    • IP Address - IP-адрес системы, принимающей syslog-сообщения (SIEM / log-collector).
    • Protocol - протокол передачи журналов:
      • UDP - стандартный вариант передачи syslog-сообщений; (рекомендуемый формат)
      • TCP - используется при необходимости гарантированной доставки;
      • Secure Syslog (TLS) - используется при передаче логов по защищённому каналу.
    • Port - порт приёма syslog-сообщений на стороне принимающей системы, согласно настройкам вашей SIEM.
    • Log Messages in Cisco EMBLEM format (UDP only) - включить при использовании UDP для передачи сообщений в расширенном формате Cisco EMBLEM.
    • Enable secure syslog - включается при использовании защищённого соединения (TLS).
    • Reachable By - установить Device Management Interface - рекомендуется для отправки событий аудита и управления

27. Нажмите OK.
28. Сохраните изменения, нажав Save в правом верхнем углу
29. Выполните Deploy конфигурации на FTD.
30. Если в Platform Settings используется несколько профилей, необходимо выполнить настройки, описанные в пунктах 4–29, для каждого профиля отдельно