# Cisco FTD **Cisco Firepower Threat Defense (Cisco FTD)** - межсетевой экран нового поколения, объединяющий функции классического firewall, системы предотвращения вторжений (IPS), контроля приложений и сетевого трафика. Cisco FTD используется для защиты сетевых сегментов, контроля доступа и мониторинга сетевой активности на границе и внутри корпоративной инфраструктуры. В рамках задач информационной безопасности Cisco FTD является источником событий сетевого и технического аудита. События FTD позволяют отслеживать действия администраторов, изменения конфигурации, а также факты установления и завершения сетевых соединений, что используется для мониторинга трафика, выявления инцидентов и последующего анализа в системах класса SIEM. - Документация: [https://www.cisco.com/c/en/us/support/security/firepower-ngfw/series.html](https://www.cisco.com/c/en/us/support/security/firepower-ngfw/series.html) **Типы собираемых событий** - События аудита и административных действий - События сетевых соединений - Служебные и системные события безопасности ## Настройка Cisco FTD через FMC для отправки событий в SIEM ### Настройка логирования и отправки сетевого трафика (Access Control Policy) 1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора. 2. В главном меню слева перейдите в раздел **Policies**. 3. Выберите **Access Control.** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/waRimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/waRimage.png) 4. Откройте используемую **Access Control Policy**. 5. В списке правил выберите правило, нажмите Edit, одним из следующих способов: - нажмите на значок **✎** (Edit) справа от имени правила; - либо щёлкните по правилу правой кнопкой мыши и выберите **Rule Actions → Edit Rule**.[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/bxqimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/bxqimage.png) - В верхней правой части открывшегося окна нажмите на надпись **Logging**. - В окне **Logging Settings for Rule** установите следующие параметры: - \*\*Log at beginning of connection (\*\**Опционально*. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности) - **Log at end of connection** - В разделе **Send Connection Events to** выберите: - **Firewall Management Center** (опционально, при необходимости отображения логов в FMC) - **Syslog server** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/tJLimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/tJLimage.png) - Нажмите **Show overrides**. - Установите флаг **Override default syslog destination**. [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/hXBimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/hXBimage.png) 16. При первичной настройке нажмите кнопку **+** для cоздания syslog-назначения. 17. В открывшемся окне задайте конфигурацию syslog-назначения: - В поле **Name** укажите имя конфигурации, например to\_siem; - задайте адрес,в поле **Host,** и порт, в поле **Port**, сервера приёма syslog; - выберите **Facility** в соответствии с требованиями SIEM, например syslog; - выберите **Severity** в соответствии с требованиями SIEM, например INFO; - Опционально, в поле **Tag** укажите произвольную метку для идентификации источника в SIEM, например FTDNE [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/IGrimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/IGrimage.png) 18. Сохраните конфигурацию syslog-назначения, нажав на кнопку **Save**. 19. В окне **Select a syslog alert configuration,** выберите созданный syslog destination, в нашем примере `to_siem` 20. В окне **Logging Settings for Rule** нажмите **Confirm** для сохранения настроек логирования правила. 21. Нажмите кнопку **Apply** в правом нижнем углу страницы 22. Повторите шаги **5–10** и **14-16** для всех правил в вашей Access Control Policy, шаги 11-13 по созданию syslog destination выполнять не нужно, используйте ранее созданный syslog destintation. В нашем примере `to_siem` 23. В нижней части страницы ранее открытой **Access Control Policy**, справа от надписи **Default Action**, нажмите на значок шестеренки **⚙** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/KcYimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/KcYimage.png) 24. В открывшемся окне **Default Logging and Inspection,** включите: - **Log at beginning of connection** (*Опционально*. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности) - **Log at end of connection** - **Firewall Management Center** (опционально, при необходимости отображения логов в FMC) - **Syslog server** 25. Нажмите **Show overrides**. 26. Установите флаг **Override default syslog destination**. 27. В окне **Select a syslog alert configuration,** выберите созданный syslog destination, в нашем примере to\_siem[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/nceimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/nceimage.png) 23. Нажмите кноппку **Apply**. 24. В правом верхнем углу нажмите **Save** для сохранения изменений в политике 25. Выполните **Deploy** для примения конфигурации к целевомым устройствам FTD 26. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов: - нажмите на значок **✎** (Edit) справа от имени правила; - либо щёлкните по профилю правой кнопкой мыши и выберите **Edit**. 27. В настройках профиля перейдите на вкладку **Syslog** 28. В открытом профиле **Syslog** перейдите на вкладку **Logging Setup**. 29. В разделе **Basic Logging Settings** установите следующие параметры: - **Enable logging** — включено. - **Enable logging on the failover standby unit** — включено. - **Send syslogs in EMBLEM format** — включено. - **Send debug messages as syslogs** — выключено. - **Memory Size of the Internal Buffer (bytes)** — `524288` 30. Продейлайте шаги 3-10, 14-24 для всех используемых Access Control Policy в вашей компании [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/wgtimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/wgtimage.png) ##### **Настройка логирования и отправки собтий аудита FTD (Platform Settings)** 1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора. 2. В левом меню выберите **Devices**. 3. В открывшемся окне выберите **Platform Settings** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/Z0Cimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/Z0Cimage.png) 4. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов: - нажмите на значок **✎** (Edit) справа от имени правила; - либо щёлкните по профилю правой кнопкой мыши и выберите **Edit**. 5. В настройках профиля перейдите на вкладку **Syslog** 6. В открытом профиле **Syslog** перейдите на вкладку **Logging Setup**. 7. В разделе **Basic Logging Settings** установите следующие параметры: - **Enable logging** — включено. - **Enable logging on the failover standby unit** — включено. - **Send syslogs in EMBLEM format** — включено. - **Send debug messages as syslogs** — выключено. - **Memory Size of the Internal Buffer (bytes)** — `524288` [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/0gMimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/0gMimage.png) 8. Сохраните изменения, нажав **Save** в правом верхнем углу 9. Перейдите на вкладку **Event Lists**. 10. Нажмите кнопку **Add**. [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/bdYimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/bdYimage.png) **В открывшемся окне в поле Name укажите имя списка, например: to\_siem** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/Ggximage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/Ggximage.png) 12. ерейдите на вкладку **Message ID,** нажимая на кнопку **+Add,** добавьте следующие идентификаторы событий, разрешно добавлять значения по одному, либо диапазоном: - 199017-199021 - 111008 - 111010-111012 - 110003 - 110005 - 110006 - 110201-110206 - 110101-110106 - 110301-110304 13. Нажмите **OK.** 14. Сохраните изменения, нажав **Save** в правом верхнем углу 15. Перейдите на вкладку **Logging Destinations**. 16. В строке **Syslog Servers** нажмите на значок редактирования **✎ Edit**[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/IWBimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/IWBimage.png)

Если у вас отсутсвует Syslog Servers в качестве Logging Destination, нажмите +Add, у вас откроется окно с такими же параметрами для конфигурации.

17. В открывшемся окне **Edit Logging Filter** установите следующие параметры: - Logging Destination → Syslog Servers - Event Class → Use Event List → Выбирте созданный ранее Event List, в нашем примере `to_siem` [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/zq1image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/zq1image.png) 18. Нажмите **OK.** 19. Сохраните изменения, нажав **Save** в правом верхнем углу 20. Перейдите на вкладку **Syslog Settings**. [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/F3Iimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/F3Iimage.png) 21. Установите параметры: - **Facility** — `LOCAL4 (20)`. - **Enable timestamp on syslog messages** — включено. - **Timestamp Format** — `Legacy (MMM dd yyyy HH:mm:ss)` или `RFC 5424 (**yyyy-MM-ddTHH:mm:ss**)`. - **Enable syslog device ID** — включено. - **Device ID** — `Host Name`. - Выберите **Enable All Syslog Messages**. - **Logging Level** — `5 - notifications`. 22. Сохраните изменения, нажав **Save** в правом верхнем углу 23. Перейдите на вкладку **Syslog Servers** [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/Q9Fimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/Q9Fimage.png) 24. становите: - **Allow user traffic to pass when TCP syslog server is down** — включено. - **Message Queue Size (Messages)** — `8192`. 25. Нажмите **Add** чтобы добавить новый **syslog server**. 26. Заполните параметры: - **IP Address** - IP-адрес системы, принимающей syslog-сообщения (SIEM / log-collector). - **Protocol** - протокол передачи журналов: - **UDP** - стандартный вариант передачи syslog-сообщений; (рекомендуемый формат) - **TCP** - используется при необходимости гарантированной доставки; - **Secure Syslog (TLS)** - используется при передаче логов по защищённому каналу. - **Port** - порт приёма syslog-сообщений на стороне принимающей системы, согласно настройкам вашей SIEM. - **Log Messages in Cisco EMBLEM format (UDP only)** - включить при использовании UDP для передачи сообщений в расширенном формате Cisco EMBLEM. - **Enable secure syslog** - включается при использовании защищённого соединения (TLS). - **Reachable By** - установить **Device Management Interface** - рекомендуется для отправки событий аудита и управления [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/scaled-1680-/bE0image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-05/bE0image.png) 27. Нажмите **OK.** 28. Сохраните изменения, нажав **Save** в правом верхнем углу 29. Выполните **Deploy** конфигурации на FTD. 30. Если в **Platform Settings** используется **несколько профилей**, необходимо **выполнить настройки, описанные в пунктах 4–29, для каждого профиля отдельно**