외부 도구를 사용한 Cisco 이벤트 분석 사용 설명서

외부 도구를 사용한 Cisco 이벤트 분석

제품 정보

이 제품을 사용하면 사용자는 Cisco SecureX와 통합하고 FMC의 리본 기능을 사용하여 액세스할 수 있습니다. web 인터페이스.

명세서

• 완성: 시스코 시큐어엑스
• 인터페이스: FMC web 인터페이스
• 리본 특징: 모든 페이지의 하단

제품 사용 지침

리본을 사용하여 SecureX에 액세스하기
리본 기능을 사용하여 SecureX에 액세스하려면 다음 단계를 따르세요.

1. FMC에서 FMC 페이지 하단에 있는 리본을 클릭합니다.
2. “SecureX 받기”를 클릭하세요.
3. SecureX에 로그인하세요.
4. 링크를 클릭하여 액세스를 승인하세요.
5. 리본을 클릭해 확장하고 사용하세요.

외부 도구를 이용한 이벤트 분석
외부 도구를 사용하여 이벤트 분석을 수행하려면 다음 단계를 따르세요.

1. FMC에서 FMC 페이지 하단에 있는 리본을 클릭합니다.
2. “SecureX 받기”를 클릭하세요.
3. SecureX에 로그인하세요.
4. 링크를 클릭하여 액세스를 승인하세요.
5. 리본을 클릭해 확장하고 사용하세요.

Cisco SecureX 위협 대응을 통한 이벤트 분석
Cisco SecureX Threat Response(이전 명칭 Cisco Threat Response)를 사용하면 사용자가 위협을 신속하게 탐지, 조사 및 대응할 수 있습니다. Cisco SecureX Threat Response로 이벤트 분석을 수행하려면 다음 단계를 따르세요.

1. FMC에서 FMC 페이지 하단에 있는 리본을 클릭합니다.
2. “SecureX 받기”를 클릭하세요.
3. SecureX에 로그인하세요.
4. 링크를 클릭하여 액세스를 승인하세요.
5. 리본을 클릭해 확장하고 사용하세요.

View Cisco SecureX Threat Response의 이벤트 데이터

에게 view Cisco SecureX Threat Response의 이벤트 데이터를 따르세요.
이 단계:

1. 지시에 따라 Cisco SecureX Threat Response에 로그인합니다.

이벤트 조사 사용 Web- 기반 리소스
이벤트를 조사하려면 다음을 사용합니다. web기반 리소스를 사용하는 경우 다음 단계를 따르세요.

1. 지시에 따라 Cisco SecureX Threat Response에 로그인합니다.
2. 상황에 맞는 교차 실행 기능을 사용하여 잠재적 위협에 대한 자세한 정보를 찾아보세요. webFirepower Management Center 외부의 리소스 기반입니다.
3. 이벤트에서 이벤트에서 직접 클릭하세요 viewFirepower Management Center의 대시보드나 외부 리소스의 관련 정보를 확인하세요.

컨텍스트별 크로스 런칭 리소스 관리에 관하여
외부를 관리하려면 web기반 리소스를 사용하는 경우 다음 단계를 따르세요.

1. 분석 > 고급 > 상황에 맞는 교차 출시로 이동합니다.
2. Cisco에서 제공하는 사전 정의된 리소스와 타사 리소스를 관리합니다.
3. 필요에 따라 리소스를 비활성화하거나 삭제하거나 이름을 바꿀 수 있습니다.

자주 묻는 질문

• 질문: SecureX란 무엇인가요?
  답변: SecureX는 Cisco Cloud의 통합 플랫폼으로, 사용자가 Firepower를 포함한 여러 제품에서 집계된 데이터를 사용하여 사고를 분석할 수 있도록 해줍니다.
• 질문: 리본 기능을 사용하여 SecureX에 어떻게 액세스할 수 있나요?
  답변: 리본 기능을 사용하여 SecureX에 액세스하려면 FMC 페이지 하단에 있는 리본을 클릭하고 제공된 단계를 따르세요.
• Q: 할 수 있나요? view Cisco SecureX Threat Response의 이벤트 데이터?
  A: 네, 가능합니다. view 프롬프트에 따라 로그인하여 Cisco SecureX Threat Response에서 이벤트 데이터를 확인하세요.
• 질문: 어떻게 하면 이벤트를 조사할 수 있습니까? web기반 리소스?
  A: 이벤트를 조사하려면 web기반 리소스를 사용하려면 Cisco SecureX Threat Response에 로그인하고 상황에 맞는 교차 실행 기능을 사용하여 관련 정보를 찾으세요.

Cisco SecureX와 통합

View 그리고 모든 Cisco 보안 제품의 데이터와 더 많은 것을 단일 창인 SecureX 클라우드 포털을 통해 작업하세요. SecureX를 통해 제공되는 도구를 사용하여 위협 사냥과 조사를 강화하세요. SecureX는 또한 각각이 최적의 소프트웨어 버전을 실행하고 있는지 여부와 같은 유용한 어플라이언스 및 장치 정보를 제공할 수 있습니다.

• SecureX에 대한 자세한 내용은 다음을 참조하세요. http://www.cisco.com/c/en/us/products/security/securex.html.
• Firepower를 SecureX와 통합하려면 Firepower 및 SecureX 통합 가이드를 참조하세요. https://cisco.com/go/firepower-securex-documentation.

리본을 사용하여 SecureX에 액세스
리본은 FMC의 모든 페이지 하단에 나타납니다. web 인터페이스. 리본을 사용하여 다른 Cisco 보안 제품으로 빠르게 피벗하고 여러 소스의 위협 데이터로 작업할 수 있습니다.

시작하기 전에

• FMC 하단에 SecureX 리본이 보이지 않는 경우 web 인터페이스 페이지에서는 이 절차를 사용하지 마십시오. 대신 Firepower 및 SecureX 통합 가이드를 참조하십시오. https://cisco.com/go/firepower-securex-documentation.
• 아직 SecureX 계정이 없다면 IT 부서에서 계정을 만드세요.

절차

• 1단계 FMC에서 FMC 페이지 하단에 있는 리본을 클릭합니다.
• 2단계 SecureX 받기를 클릭합니다.
• 3단계 SecureX에 로그인합니다.
• 4단계 링크를 클릭하여 액세스 권한을 부여합니다.
• 5단계 리본을 클릭해 확장하고 사용합니다.

다음에 무엇을 할 것인가
리본 기능과 사용 방법에 대한 자세한 내용은 SecureX의 온라인 도움말을 참조하세요.

Cisco SecureX 위협 대응을 통한 이벤트 분석

Cisco SecureX 위협 대응은 이전에 Cisco Threat Response(CTR)로 알려져 있었습니다. Firepower를 포함한 여러 제품에서 집계된 데이터를 사용하여 사고를 분석할 수 있는 Cisco Cloud의 통합 플랫폼인 Cisco SecureX 위협 대응을 사용하여 위협을 신속하게 탐지, 조사하고 대응하세요.

• Cisco SecureX 위협 대응에 대한 일반 정보는 다음을 참조하세요. https://www.cisco.com/c/en/us/products/security/threat-response.html.
• Firepower를 Cisco SecureX 위협 대응과 통합하는 방법에 대한 자세한 지침은 다음을 참조하세요.
• Firepower 및 Cisco SecureX 위협 대응 통합 가이드 https://cisco.com/go/firepower-ctr-integration-docs.

View Cisco SecureX 위협 대응의 이벤트 데이터

시작하기 전에

• Firepower 및 Cisco SecureX 위협 대응 통합 가이드에 설명된 대로 통합을 설정하세요. https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review Cisco SecureX 위협 대응의 온라인 도움말을 통해 위협을 찾고 조사하고 조치를 취하는 방법을 알아보세요.
• Cisco SecureX 위협 대응에 액세스하려면 자격 증명이 필요합니다.

절차

1단계
Firepower Management Center에서 다음 중 하나를 수행하세요.

• 특정 이벤트에서 Cisco SecureX 위협 대응으로 전환하려면 다음을 수행하세요.
  • 분석 > 침입 메뉴에서 지원되는 이벤트가 나열된 페이지로 이동합니다.
  • 소스 또는 대상 IP 주소를 마우스 오른쪽 버튼으로 클릭하고 선택하세요. View SecureX에서.
• 에게 view 이벤트 정보는 일반적으로 다음과 같습니다.
  • 시스템 > 통합 > 클라우드 서비스로 이동합니다.
  • 링크를 클릭하세요 view Cisco SecureX 위협 대응 이벤트.

2단계
지시에 따라 Cisco SecureX 위협 대응에 로그인합니다.

이벤트 조사 사용 Web- 기반 리소스
상황에 맞는 교차 실행 기능을 사용하여 잠재적 위협에 대한 자세한 정보를 빠르게 찾으세요. webFirepower Management Center 외부의 기반 리소스. 예를 들어ample, 당신은 할 수 있습니다:

• 알려진 위협 및 의심되는 위협에 대한 정보를 게시하는 Cisco 또는 타사 클라우드 호스팅 서비스에서 의심스러운 소스 IP 주소를 조회하거나
• 조직에서 SIEM(보안 정보 및 이벤트 관리) 애플리케이션에 해당 데이터를 저장하는 경우 조직의 이전 로그에서 특정 위협의 과거 사례를 찾아보세요.
• 특정에 대한 정보를 찾아보세요 file, 포함 file 조직에서 Cisco를 배포한 경우 궤적 정보 AMP 엔드포인트용.

이벤트를 조사할 때 이벤트에서 직접 이벤트를 클릭할 수 있습니다. viewFirepower Management Center의 er 또는 대시보드에서 외부 리소스의 관련 정보로 이동합니다. 이를 통해 IP 주소, 포트, 프로토콜, 도메인 및/또는 SHA 256 해시를 기반으로 특정 이벤트 주변의 컨텍스트를 빠르게 수집할 수 있습니다. 예를 들어amp예를 들어, Top Attackers 대시보드 위젯을 보고 있고 나열된 소스 IP 주소 중 하나에 대한 자세한 정보를 찾고 싶다고 가정해 보겠습니다. Talos가 이 IP 주소에 대해 게시하는 정보를 보고 싶어서 "Talos IP" 리소스를 선택합니다. Talos web 사이트는 이 특정 IP 주소에 대한 정보가 있는 페이지로 열립니다. 일반적으로 사용되는 Cisco 및 타사 위협 인텔리전스 서비스에 대한 미리 정의된 링크 세트에서 선택하고 다른 web기반 서비스 및 SIEM 또는 기타 제품에 대해 web 인터페이스. 일부 리소스에는 계정이나 제품 구매가 필요할 수 있습니다.

컨텍스트별 크로스 런칭 리소스 관리에 관하여

• 외부 관리 web분석 > 고급 > 상황별 교차 출시 페이지를 사용하여 기반 리소스를 탐색합니다.

예외:
보안 네트워크 분석에 대한 교차 실행 링크 구성의 절차에 따라 보안 네트워크 분석 어플라이언스에 대한 교차 실행 링크를 관리합니다.

• Cisco에서 제공하는 사전 정의된 리소스에는 Cisco 로고가 표시됩니다. 나머지 링크는 타사 리소스입니다.
• 필요하지 않은 리소스는 비활성화하거나 삭제할 수 있으며, 예를 들어 리소스의 이름을 바꿀 수도 있습니다.amp이름 앞에 소문자 "z"를 붙여서 리소스가 목록 맨 아래에 정렬되도록 합니다. 크로스 런치 리소스를 비활성화하면 모든 사용자에 대해 비활성화됩니다. 삭제된 리소스는 복구할 수 없지만 다시 만들 수는 있습니다.
• 리소스를 추가하려면 상황에 맞는 교차 출시 리소스 추가를 참조하세요.

사용자 정의 컨텍스트 크로스 런칭 리소스에 대한 요구 사항

사용자 정의 컨텍스트 교차 출시 리소스를 추가할 때:

• 리소스는 다음을 통해 액세스할 수 있어야 합니다. web 브라우저.
• http 및 https 프로토콜만 지원됩니다.
• GET 요청만 지원되고 POST 요청은 지원되지 않습니다.
• 변수의 인코딩 URLs는 지원되지 않습니다. IPv6 주소는 콜론 구분 기호를 인코딩해야 할 수 있지만 대부분 서비스는 이 인코딩을 요구하지 않습니다.
• 미리 정의된 리소스를 포함하여 최대 100개의 리소스를 구성할 수 있습니다.
• 교차 실행을 만들려면 관리자 또는 보안 분석가 사용자여야 하지만, 읽기 전용 보안 분석가가 되어도 사용할 수 있습니다.

상황에 맞는 크로스 런칭 리소스 추가

• 위협 인텔리전스 서비스, SIEM(보안 정보 및 이벤트 관리) 도구와 같은 상황에 맞는 교차 출시 리소스를 추가할 수 있습니다.
• 다중 도메인 배포에서는 부모 도메인의 리소스를 보고 사용할 수 있지만 현재 도메인에서만 리소스를 만들고 편집할 수 있습니다. 모든 도메인의 총 리소스 수는 100개로 제한됩니다.

시작하기 전에

• 보안 네트워크 분석 어플라이언스에 링크를 추가하는 경우 원하는 링크가 이미 있는지 확인하세요. 대부분의 링크는 Cisco Security Analytics and Logging(온프레미스)을 구성할 때 자동으로 생성됩니다.
• 맞춤형 컨텍스트 교차 출시 리소스에 대한 요구 사항을 참조하세요.
• 연결할 리소스에 필요한 경우, 액세스에 필요한 계정과 자격 증명을 만들거나 얻으세요. 선택적으로, 액세스가 필요한 각 사용자에게 자격 증명을 할당하고 배포하세요.
• 링크할 리소스에 대한 쿼리 링크 구문을 결정합니다.
  • 브라우저를 통해 리소스에 액세스하고 필요에 따라 해당 리소스에 대한 설명서를 사용하여 특정 s를 검색하는 데 필요한 쿼리 링크를 공식화합니다.ampIP 주소 등 쿼리 링크에서 찾으려는 정보의 유형을 선택하세요.
  • 쿼리를 실행한 다음 결과를 복사합니다. URL 브라우저의 위치 표시줄에서.
  • 예를 들어ample, 당신은 질문이 있을 수 있습니다 URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

절차

• 1단계
  분석 > 고급 > 상황에 맞는 교차 출시를 선택합니다.
• 2단계 새로운 교차 출시를 클릭합니다.
  표시된 양식에서 별표가 있는 모든 필드에는 값이 필요합니다.
• 3단계 고유한 리소스 이름을 입력합니다.
• 4단계 작업 붙여넣기 URL 리소스에서 문자열로 URL 템플릿 필드.
• 5단계 쿼리 문자열의 특정 데이터(예: IP 주소)를 적절한 변수로 바꿉니다. 커서를 놓은 다음 변수를 클릭합니다(예:ample, ip)를 한 번 입력하여 변수를 삽입합니다.
  • 예전에는amp위의 "시작하기 전에" 섹션에서 나온 결과 URL 될 수도 있다 https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • 컨텍스트별 교차 실행 링크가 사용되는 경우 {ip} 변수는 URL 이벤트에서 사용자가 마우스 오른쪽 버튼을 클릭한 IP 주소로 대체됩니다. view대시보드.
  • 각 변수에 대한 설명을 확인하려면 변수 위에 마우스를 올려 놓으세요.
  • 각각 다른 변수를 사용하여 하나의 도구나 서비스에 대해 여러 개의 상황에 맞는 교차 출시 링크를 만들 수 있습니다.
• 6단계 ex로 테스트를 클릭하세요.amp데이터( ) ex와의 링크를 테스트하려면amp르 데이터.
• 7단계 문제를 해결하세요.
• 단계 8 저장을 클릭합니다.

컨텍스트별 크로스 런치를 사용하여 이벤트 조사

시작하기 전에
액세스하려는 리소스에 자격 증명이 필요한 경우 해당 자격 증명이 있는지 확인하세요.

절차

• 1단계 Firepower Management Center에서 이벤트를 표시하는 다음 페이지 중 하나로 이동합니다.
  • 대시보드(Overview > 대시보드), 또는
  • 이벤트 viewer 페이지(이벤트 표가 포함된 분석 메뉴 아래의 모든 메뉴 옵션)
• 2단계 관심 있는 이벤트를 마우스 오른쪽 버튼으로 클릭하고 사용할 상황에 맞는 교차 출시 리소스를 선택합니다.
  • 필요한 경우 상황에 맞는 메뉴에서 아래로 스크롤하여 사용 가능한 모든 옵션을 확인하세요.
  • 마우스 오른쪽 버튼을 클릭한 데이터 유형에 따라 표시되는 옵션이 결정됩니다. 예를 들어amp즉, IP 주소를 마우스 오른쪽 버튼으로 클릭하면 IP 주소와 관련된 상황에 맞는 교차 실행 옵션만 표시됩니다.
  • 그래서 예를 들어ampCisco Talos에서 Top Attackers 대시보드 위젯의 소스 IP 주소에 대한 위협 인텔리전스를 얻으려면 Talos SrcIP 또는 Talos IP를 선택하세요.
  • 리소스에 여러 변수가 포함된 경우 해당 리소스를 선택하는 옵션은 포함된 각 변수에 대해 가능한 값이 하나인 이벤트에만 사용할 수 있습니다.
  • 상황에 맞는 교차 출시 리소스는 별도의 브라우저 창에서 열립니다.
  • 쿼리를 처리하는 데 시간이 걸릴 수 있으며, 이는 쿼리할 데이터 양, 리소스의 속도 및 수요 등에 따라 달라집니다.
• 3단계 필요한 경우 리소스에 로그인합니다.

보안 네트워크 분석을 위한 크로스 런칭 링크 구성

• Firepower의 이벤트 데이터에서 Secure Network Analytics 어플라이언스의 관련 데이터로 교차 출시할 수 있습니다.
• Secure Network Analytics 제품에 대한 자세한 내용은 다음을 참조하세요. https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• 상황에 맞는 교차 실행에 대한 일반 정보는 상황에 맞는 교차 실행을 사용하여 이벤트 조사를 참조하세요.
• 이 절차를 사용하면 Secure Network Analytics 어플라이언스에 대한 일련의 교차 실행 링크를 빠르게 구성할 수 있습니다.

메모

• 나중에 이 링크를 변경해야 하는 경우 이 절차로 돌아오세요. 상황에 맞는 교차 출시 목록 페이지에서 직접 변경할 수는 없습니다.
• 컨텍스트별 교차 실행 리소스 추가의 절차를 사용하여 보안 네트워크 분석 어플라이언스에 교차 실행하기 위한 추가 링크를 수동으로 생성할 수 있지만, 해당 링크는 자동 생성된 리소스와 독립적이기 때문에 수동으로 관리(삭제, 업데이트 등)해야 합니다.

시작하기 전에

• 배포되고 실행 중인 보안 네트워크 분석 어플라이언스가 있어야 합니다.
• Cisco Security Analytics and Logging(온프레미스)을 사용하여 Firepower 데이터를 Secure Network Analytics 어플라이언스로 전송하려면 Secure Network Analytics 어플라이언스의 원격 데이터 저장을 참조하세요.

절차

• 1단계 시스템 > 로깅 > 보안 분석 및 로깅을 선택합니다.
• 2단계 기능을 활성화합니다.
• 3단계 Secure Network Analytics 어플라이언스의 호스트 이름 또는 IP 주소와 포트를 입력합니다. 기본 포트는 443입니다.
• 단계 4 저장을 클릭합니다.
• 5단계 새 크로스 런칭 링크 확인: 분석 > 고급 > 상황별 크로스 런칭을 선택합니다. 변경해야 하는 경우 이 절차로 돌아가세요. 상황별 크로스 런칭 목록 페이지에서 직접 변경할 수 없습니다.

다음에 무엇을 할 것인가

• 이벤트에서 보안 네트워크 분석 이벤트로 교차 실행하려면 view어, 보안 네트워크 분석 자격 증명이 필요합니다.
• FMC 이벤트에서 이벤트에서 교차 발사하려면 view이벤트나 대시보드에서 관련 이벤트의 표 셀을 마우스 오른쪽 버튼으로 클릭하고 적절한 옵션을 선택하세요.
• 쿼리를 처리하는 데 시간이 걸릴 수 있으며, 이는 쿼리할 데이터 양, Stealthwatch Management Console의 속도 및 수요 등에 따라 달라질 수 있습니다.

보안 이벤트에 대한 Syslog 메시지 보내기 정보

• 연결, 보안 인텔리전스, 침입 등과 관련된 데이터를 보낼 수 있습니다. file 시스템 로그를 통해 맬웨어 이벤트를 보안 정보 및 이벤트 관리(SIEM) 도구나 다른 외부 이벤트 저장 및 관리 솔루션으로 전송합니다.
• 이러한 이벤트는 Snort® 이벤트라고도 합니다.

Syslog에 보안 이벤트 데이터를 전송하기 위한 시스템 구성에 관하여

보안 이벤트 syslog를 보내도록 시스템을 구성하려면 다음 사항을 알아야 합니다.

• 보안 이벤트 Syslog 메시징 구성을 위한 모범 사례
• 보안 이벤트 Syslog에 대한 구성 위치
• 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정
• 정책에서 syslog 설정을 변경한 경우 변경 사항을 적용하려면 다시 배포해야 합니다.

보안 이벤트 Syslog 메시징 구성을 위한 모범 사례

장치 및 버전	구성 위치
모두	syslog를 사용하거나 외부에서 이벤트를 저장하는 경우 정책 및 규칙 이름과 같은 개체 이름에 특수 문자를 사용하지 마십시오. 개체 이름에는 수신 애플리케이션이 구분 기호로 사용할 수 있는 쉼표와 같은 특수 문자가 포함되어서는 안 됩니다.

화력 위협 방어	1.      FTD 플랫폼 설정 구성(장치 > 플랫폼 설정 > 위협 방어 설정 > Syslog.) 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정도 참조하세요. 2.      액세스 제어 정책의 로깅 탭에서 FTD 플랫폼 설정을 사용하도록 선택합니다. 3.      (침입 이벤트의 경우) 액세스 제어 정책 로깅 탭의 설정을 사용하도록 침입 정책을 구성합니다. (이것이 기본값입니다.)   이러한 설정을 재정의하는 것은 권장되지 않습니다. 자세한 내용은 FTD 장치에서 보안 이벤트 Syslog 메시지 보내기를 참조하세요.
다른 모든 장치	1.      경고에 대한 응답을 만듭니다. 2.      경고 응답을 사용하도록 액세스 제어 정책 로깅을 구성합니다. 3.      (침입 이벤트에 대해) 침입 정책에서 syslog 설정을 구성합니다.  자세한 내용은 클래식 장치에서 보안 이벤트 Syslog 메시지 보내기를 참조하세요.

FTD 장치에서 보안 이벤트 Syslog 메시지 보내기
이 절차에서는 보안 이벤트(연결, 보안 관련 연결, 침입)에 대한 syslog 메시지를 보내기 위한 모범 사례 구성을 문서화합니다. fileFirepower Threat Defense 장치에서 발생하는 , 맬웨어 이벤트 등을 감지합니다.

메모
많은 Firepower Threat Defense syslog 설정은 보안 이벤트에 적용할 수 없습니다. 이 절차에 설명된 옵션만 구성하세요.

시작하기 전에

• FMC에서 보안 이벤트를 생성하기 위한 정책을 구성하고, 보고 싶은 이벤트가 분석 메뉴 아래의 해당 표에 나타나는지 확인합니다.
• Syslog 서버 IP 주소, 포트, 프로토콜(UDP 또는 TCP)을 수집합니다.
• 장치가 Syslog 서버에 도달할 수 있는지 확인하세요.
• Syslog 서버가 원격 메시지를 수락할 수 있는지 확인하세요.
• 연결 로깅에 대한 중요한 내용은 연결 로깅 장을 참조하세요.

절차

• 1단계 Firepower Threat Defense 장치에 대한 syslog 설정을 구성합니다.
  • 장치 > 플랫폼 설정을 클릭합니다.
  • Firepower Threat Defense 장치와 관련된 플랫폼 설정 정책을 편집합니다.
  • 왼쪽 탐색 창에서 Syslog를 클릭합니다.
  • Syslog 서버를 클릭하고 추가를 클릭하여 서버, 프로토콜, 인터페이스 및 관련 정보를 입력합니다. 이 페이지의 옵션에 대한 질문이 있으면 Syslog 서버 구성을 참조하세요.
  • Syslog 설정을 클릭하고 다음 설정을 구성합니다.
    • 타임스탬 활성화amp Syslog 메시지에 대하여
    • 가장 타임스트amp 체재
    • Syslog 장치 ID 활성화
  • 로깅 설정을 클릭합니다.
  • EMBLEM 형식으로 syslog를 보낼지 여부를 선택합니다.
  • 설정을 저장하세요.
• 2단계 액세스 제어 정책에 대한 일반 로깅 설정을 구성합니다(다음 포함) file 및 맬웨어 로깅):
  • 정책 > 액세스 제어를 클릭합니다.
  • 해당 액세스 제어 정책을 편집합니다.
  • 로깅을 클릭합니다.
  • FTD 6.3 이상을 선택하세요: 장치에 배포된 FTD 플랫폼 설정 정책에 구성된 syslog 설정을 사용합니다.
  • (선택 사항) Syslog 심각도를 선택하세요.
  • 당신이 보낼 경우 file 및 맬웨어 이벤트의 경우 Syslog 메시지 보내기를 선택하세요. File 및 맬웨어 이벤트.
  • 저장을 클릭하세요.
• 3단계 액세스 제어 정책에 대한 보안 관련 연결 이벤트에 대한 로깅을 활성화합니다.
  • 동일한 액세스 제어 정책에서 보안 인텔리전스 탭을 클릭합니다.
  • 다음 각 위치에서 로깅(Logging)을 클릭합니다. ) 및 연결의 시작과 종료 및 Syslog 서버를 활성화합니다.
    • DNS 정책 옆.
    • 차단 목록 상자에서 네트워크 및 URLs.
  • 저장을 클릭하세요.
• 4단계 액세스 제어 정책의 각 규칙에 대해 syslog 로깅을 활성화합니다.
  • 동일한 액세스 제어 정책에서 규칙 탭을 클릭합니다.
  • 편집할 규칙을 클릭하세요.
  • 규칙에서 로깅 탭을 클릭합니다.
  • 연결의 시작이나 끝, 혹은 둘 다를 기록할지 선택합니다.
    (연결 로깅은 많은 데이터를 생성합니다. 시작과 끝을 모두 로깅하면 대략 두 배의 데이터가 생성됩니다. 모든 연결을 시작과 끝 모두에 로깅할 수 있는 것은 아닙니다.)
  • 로그인할 경우 file 이벤트, 로그 선택 Files.
  • Syslog 서버를 활성화합니다.
  • 규칙이 "액세스 제어 로깅에서 기본 syslog 구성 사용"인지 확인하세요.
  • 추가를 클릭하세요.
  • 정책의 각 규칙에 대해 반복합니다.
• 5단계 침입 이벤트를 보낼 경우:
  • 액세스 제어 정책과 관련된 침입 정책으로 이동합니다.
  • 침입 정책에서 고급 설정 > Syslog 알림 > 사용을 클릭합니다.
  • 필요한 경우 편집을 클릭하세요.
  • 옵션을 입력하세요:
    

    옵션	값
    로깅 호스트	침입 이벤트 syslog 메시지를 다른 syslog 서버로 보내지 않는 한, 위에서 구성한 설정을 사용하려면 이 항목을 비워 두세요.
    시설	이 설정은 이 페이지에서 로깅 호스트를 지정한 경우에만 적용됩니다. 자세한 내용은 Syslog 경고 기능을 참조하세요.
    심각성	이 설정은 이 페이지에서 로깅 호스트를 지정한 경우에만 적용됩니다. 자세한 내용은 Syslog 심각도 수준을 참조하세요.

  • 뒤로를 클릭합니다.
  • 왼쪽 탐색 창에서 정책 정보를 클릭합니다.
  • 변경 사항 적용을 클릭합니다.

다음에 무엇을 할 것인가

• (선택 사항) 개별 정책 및 규칙에 대해 다른 로깅 설정을 구성합니다. 연결 및 보안 인텔리전스 이벤트에 대한 Syslog 구성 위치(모든 장치)에서 해당 표 행을 참조하세요.
  • 이러한 설정에는 Syslog 경고 응답이 필요하며, Syslog 경고 응답 생성에서 설명한 대로 구성됩니다. 이 절차에서 구성한 플랫폼 설정은 사용하지 않습니다.
• 클래식 장치에 대한 보안 이벤트 Syslog 로깅을 구성하려면 클래식 장치에서 보안 이벤트 Syslog 메시지 보내기를 참조하세요.
• 변경이 완료되면 관리되는 장치에 변경 사항을 배포합니다.

클래식 장치에서 보안 이벤트 Syslog 메시지 보내기

시작하기 전에

• 보안 이벤트를 생성하기 위한 정책을 구성합니다.
• 장치가 Syslog 서버에 도달할 수 있는지 확인하세요.
• Syslog 서버가 원격 메시지를 수락할 수 있는지 확인하세요.
• 연결 로깅에 대한 중요한 내용은 연결 로깅 장을 참조하세요.

절차

• 1단계 클래식 장치에 대한 경고 응답을 구성합니다. Syslog 경고 응답 만들기를 참조하세요.
• 2단계 액세스 제어 정책에서 syslog 설정을 구성합니다.
  • 정책 > 액세스 제어를 클릭합니다.
  • 해당 액세스 제어 정책을 편집합니다.
  • 로깅을 클릭합니다.
  • 특정 syslog 알림을 사용하여 보내기를 선택합니다.
  • 위에서 만든 Syslog 알림을 선택하세요.
  • 저장을 클릭하세요.
• 3단계 보내실 경우 file 및 맬웨어 이벤트:
  • Syslog 메시지 보내기를 선택하세요 File 및 맬웨어 이벤트.
  • 저장을 클릭하세요.
• 4단계 침입 이벤트를 보낼 경우:
  • 액세스 제어 정책과 관련된 침입 정책으로 이동합니다.
  • 침입 정책에서 고급 설정 > Syslog 알림 > 사용을 클릭합니다.
  • 필요한 경우 편집을 클릭하세요.
  • 옵션을 입력하세요:
    

    옵션	값
    로깅 호스트	침입 이벤트 syslog 메시지를 다른 syslog 서버로 보내지 않는 한, 위에서 구성한 설정을 사용하려면 이 항목을 비워 두세요.
    시설	이 설정은 이 페이지에서 로깅 호스트를 지정한 경우에만 적용됩니다. Syslog 경고 기능을 참조하세요.
    심각성	이 설정은 이 페이지에서 로깅 호스트를 지정한 경우에만 적용됩니다. Syslog 심각도 수준을 참조하세요.

  • 뒤로를 클릭합니다.
  • 왼쪽 탐색 창에서 정책 정보를 클릭합니다.
  • 변경 사항 적용을 클릭합니다.

다음에 무엇을 할 것인가

• (선택 사항) 개별 액세스 제어 규칙에 대해 다른 로깅 설정을 구성합니다. 연결 및 보안 인텔리전스 이벤트(모든 장치)에 대한 Syslog 구성 위치에서 해당 표 행을 참조하세요. 이러한 설정에는 Syslog 경고 응답이 필요하며, Syslog 경고 응답 생성에서 설명한 대로 구성됩니다. 위에서 구성한 설정은 사용하지 않습니다.
• FTD 장치에 대한 보안 이벤트 Syslog 로깅을 구성하려면 FTD 장치에서 보안 이벤트 Syslog 메시지 보내기를 참조하세요.

보안 이벤트 Syslog에 대한 구성 위치

• 연결 및 보안 인텔리전스 이벤트에 대한 Syslog 구성 위치(모든 장치)12
• 침입 이벤트에 대한 Syslog 구성 위치(FTD 장치)
• 침입 이벤트에 대한 Syslog 구성 위치(FTD 이외의 장치)
• Syslog에 대한 구성 위치 File 및 맬웨어 이벤트

연결 및 보안 인텔리전스 이벤트에 대한 Syslog 구성 위치(모든 장치)
로깅 설정을 구성할 수 있는 곳이 많습니다. 아래 표를 사용하여 필요한 옵션을 설정했는지 확인하세요.

중요한

• 특히 다른 구성에서 상속된 기본값을 사용할 때 syslog 설정을 구성할 때는 주의 깊게 주의하십시오. 아래 표에 나와 있듯이 일부 옵션은 모든 관리되는 장치 모델 및 소프트웨어 버전에서 사용할 수 없을 수 있습니다.
• 연결 로깅을 구성할 때 중요한 정보는 연결 로깅에 관한 장을 참조하세요.

구성 위치	설명 그리고 더 정보
장치 > 플랫폼 설정, 위협 방어 설정 정책, 시스템로그	이 옵션은 Firepower Threat Defense 장치에만 적용됩니다. 여기에서 구성하는 설정은 액세스 제어 정책에 대한 로깅 설정에서 지정한 다음 사용되거나 재정의될 수 있습니다. 이 표에 남은 정책과 규칙이 있습니다. 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정 및 Syslog 정보 및 하위 주제를 참조하세요.
정책 > 접근 제어, , 벌채 반출	여기에서 구성하는 설정은 이 표의 나머지 행에 지정된 위치에서 하위 정책 및 규칙의 기본값을 재정의하지 않는 한 모든 연결 및 보안 인텔리전스 이벤트에 대한 syslog의 기본 설정입니다. FTD 장치에 권장되는 설정: FTD 플랫폼 설정 사용. 자세한 내용은 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정 및 Syslog 정보 및 하위 주제를 참조하세요. 다른 모든 장치에 필요한 설정: Syslog 알림을 사용합니다. Syslog 경고를 지정하는 경우 Syslog 경고 응답 생성을 참조하세요. 로깅 탭의 설정에 대한 자세한 내용은 액세스 제어 정책에 대한 로깅 설정을 참조하세요.

정책 > 접근 제어, , 규칙, 기본 동작 열, 벌채 반출 ( )	액세스 제어 정책과 연관된 기본 작업에 대한 로깅 설정입니다. 액세스 제어 규칙 장에서 로깅에 대한 정보와 정책 기본 작업을 사용하여 연결 로깅을 참조하세요.
정책 > 접근 제어, , 규칙, , 벌채 반출	액세스 제어 정책의 특정 규칙에 대한 로깅 설정입니다. 액세스 제어 규칙 장에서 로깅에 대한 정보를 참조하세요.
정책 > 접근 제어, , 보안 인텔리전스, 벌채 반출 ( )	보안 인텔리전스 차단 목록에 대한 로깅 설정. 다음 버튼을 클릭하여 구성하세요. • DNS 차단 목록 로깅 옵션 •  URL 차단 목록 로깅 옵션 • 네트워크 차단 목록 로깅 옵션(차단 목록에 있는 IP 주소의 경우)   필수 구성 요소 섹션, 하위 주제 및 링크를 포함하여 보안 인텔리전스 구성을 참조하세요.
정책 > SSL, , 기본 동작 열, 벌채 반출 ( )	SSL 정책과 관련된 기본 작업에 대한 로깅 설정입니다. 정책 기본 동작으로 연결 로깅을 참조하세요.
정책 > SSL, , , 벌채 반출	SSL 규칙에 대한 로깅 설정. TLS/SSL 규칙 구성 요소를 참조하세요.
정책 > 사전 필터, , 기본 동작 열, 벌채 반출 ( )	사전 필터 정책과 연관된 기본 작업에 대한 로깅 설정입니다. 정책 기본 동작으로 연결 로깅을 참조하세요.
정책 > 사전 필터, , , 벌채 반출	사전 필터 정책의 각 사전 필터 규칙에 대한 로깅 설정입니다. 터널 및 사전 필터 규칙 구성 요소 참조
정책 > 사전 필터, , , 벌채 반출	사전 필터 정책의 각 터널 규칙에 대한 로깅 설정입니다. 터널 및 사전 필터 규칙 구성 요소 참조
FTD 클러스터 구성을 위한 추가 syslog 설정:	Firepower Threat Defense 챕터의 클러스터링에는 syslog에 대한 여러 참조가 있습니다. 챕터에서 "syslog"를 검색하세요.

침입 이벤트에 대한 Syslog 구성 위치(FTD 장치)
다양한 곳에서 침입 정책에 대한 syslog 설정을 지정할 수 있으며, 선택적으로 액세스 제어 정책이나 FTD 플랫폼 설정, 또는 둘 다에서 설정을 상속받을 수 있습니다.

구성 위치	설명 그리고 더 정보
장치 > 플랫폼 설정, 위협 방어 설정 정책, 시스템로그	여기에서 구성하는 Syslog 대상은 침입 정책의 기본값이 될 수 있는 액세스 제어 정책의 로깅 탭에서 지정할 수 있습니다. 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정 및 Syslog 정보 및 하위 주제를 참조하세요.
정책 > 접근 제어, , 벌채 반출	침입에 대한 syslog 대상의 기본 설정 침입 정책에 다른 로깅 호스트가 지정되지 않은 경우 이벤트가 발생합니다. 액세스 제어 정책에 대한 로깅 설정을 참조하세요.
정책 > 침입, , 고급 설정, 할 수 있게 하다 Syslog 알림, 클릭 편집하다	액세스 제어 정책의 로깅 탭에 지정된 대상 외의 Syslog 수집기를 지정하고 기능 및 심각도를 지정하려면 침입 이벤트에 대한 Syslog 알림 구성을 참조하세요. 사용하려는 경우 심각성 or 시설 또는 침입 정책에 구성된 대로 둘 다 수행해야 합니다. 정책에서 로깅 호스트를 구성합니다. 액세스 제어 정책에 지정된 로깅 호스트를 사용하는 경우 침입 정책에 지정된 심각도 및 기능이 사용되지 않습니다.

침입 이벤트에 대한 Syslog 구성 위치(FTD 이외의 장치)

• (기본값) 액세스 제어 정책에 대한 로깅 설정(Syslog 경고를 지정한 경우) (Syslog 경고 응답 생성 참조)
• 또는 침입 이벤트에 대한 Syslog 알림 구성을 참조하세요.

기본적으로 침입 정책은 액세스 제어 정책의 로깅 탭에 있는 설정을 사용합니다. FTD 이외의 장치에 적용 가능한 설정이 구성되어 있지 않으면 FTD 이외의 장치에 대한 syslog가 전송되지 않으며 경고가 나타나지 않습니다.

Syslog에 대한 구성 위치 File 및 맬웨어 이벤트

구성 위치	설명 그리고 더 정보
액세스 제어 정책에서: 정책 > 접근 제어, , 벌채 반출	이것은 syslog를 보내도록 시스템을 구성하기 위한 주요 위치입니다. file 및 맬웨어 이벤트. FTD 플랫폼 설정에서 syslog 설정을 사용하지 않는 경우 경고 응답도 만들어야 합니다. Syslog 경고 응답 만들기를 참조하세요.

구성 위치	설명 그리고 더 정보
Firepower Threat Defense 플랫폼 설정에서: 장치 > 플랫폼 설정, 위협 방어 설정 정책, 시스템로그	이러한 설정은 지원되는 버전을 실행하는 Firepower Threat Defense 장치에만 적용되며, 액세스 제어 정책의 로깅 탭을 구성하여 FTD 플랫폼 설정을 사용하는 경우에만 적용됩니다. 보안 이벤트 Syslog 메시지에 적용되는 FTD 플랫폼 설정 및 Syslog 정보 및 하위 주제를 참조하세요.
액세스 제어 규칙에서: 정책 > 접근 제어, , , 벌채 반출	FTD 플랫폼 설정에서 syslog 설정을 사용하지 않는 경우 경고 응답도 만들어야 합니다. Syslog 경고 응답 만들기를 참조하세요.

보안 이벤트 Syslog 메시지의 해부학

ExampFTD의 보안 이벤트 메시지(침입 이벤트)

표 1: 보안 이벤트 Syslog 메시지의 구성 요소

목 숫자 in Sample 메시지	헤더 요소	설명
0	PRI	경보의 시설과 심각도를 모두 나타내는 우선 순위 값입니다. 이 값은 FMC 플랫폼 설정을 사용하여 EMBLEM 형식으로 로깅을 활성화할 때만 syslog 메시지에 나타납니다. 액세스 제어 정책을 통해 침입 이벤트 로깅을 활성화합니다. 로깅 탭에서 PRI 값은 syslog 메시지에 자동으로 표시됩니다. EMBLEM 형식을 활성화하는 방법에 대한 자세한 내용은 로깅 활성화 및 기본 설정 구성을 참조하세요. PRI에 대한 자세한 내용은 다음을 참조하세요. RFC5424.
1	가장 타임스트amp	장치에서 syslog 메시지가 전송된 날짜와 시간입니다. • (FTD 장치에서 전송된 Syslog) 액세스 제어 정책 및 해당 하위 항목의 설정을 사용하여 전송된 Syslog의 경우 또는 FTD 플랫폼 설정에서 이 형식을 사용하도록 지정된 경우 날짜 형식은 ISO 8601 timest에 정의된 형식입니다.amp RFC 5424에 지정된 형식(yyyy-MM-ddTHH:mm:ssZ), 여기서 문자 Z는 UTC 시간대를 나타냅니다. • (다른 모든 장치에서 전송된 Syslog) 액세스 제어 정책 및 해당 하위 항목의 설정을 사용하여 전송된 Syslog의 경우 날짜 형식은 ISO 8601 timest에 정의된 형식입니다.amp RFC 5424에 지정된 형식(yyyy-MM-ddTHH:mm:ssZ), 여기서 문자 Z는 UTC 시간대를 나타냅니다. • 그렇지 않은 경우 UTC 시간대의 월, 일, 시간이 표시됩니다. 단, 시간대는 표시되지 않습니다.   시간을 구성하려면amp FTD 플랫폼 설정에서 Syslog 설정 구성을 참조하세요.
2	메시지가 전송된 장치 또는 인터페이스. 이는 다음과 같습니다. • 인터페이스의 IP 주소 • 장치 호스트 이름 • 사용자 정의 장치 식별자	(FTD 장치에서 전송된 syslog의 경우) FTD 플랫폼 설정을 사용하여 syslog 메시지가 전송된 경우 이는 다음에 구성된 값입니다. 시스템 로그 설정 를 위해 Syslog 장치 ID 활성화 지정된 경우 옵션입니다. 그렇지 않으면 이 요소는 헤더에 존재하지 않습니다. FTD 플랫폼 설정에서 이 설정을 구성하려면 Syslog 설정 구성을 참조하세요.

3	맞춤 값	메시지가 경고 응답을 사용하여 전송된 경우 이는 다음과 같습니다. Tag 메시지를 보낸 경고 응답에서 구성된 값(구성된 경우). (Syslog 경고 응답 생성 참조) 그렇지 않으면 이 요소는 헤더에 존재하지 않습니다.
4	%FTD %NGIPS	메시지를 보낸 장치의 유형입니다. • %FTD는 Firepower Threat Defense입니다. • %NGIPS는 다른 모든 장치입니다.
5	심각성	메시지를 트리거한 정책에 대한 syslog 설정에 지정된 심각도입니다. 심각도 설명은 심각도 수준 또는 Syslog 심각도 수준을 참조하세요.
6	이벤트 유형 식별자	• 430001: 침입 이벤트 • 430002: 연결 시작 시 연결 이벤트가 기록됨 • 430003: 연결 종료 시 연결 이벤트가 기록됨   • 430004년: File 이벤트 • 430005년: File 맬웨어 이벤트
—	시설	보안 이벤트 Syslog 메시지에서 시설 보기
—	메시지의 나머지	콜론으로 구분된 필드와 값입니다. 비어 있거나 알 수 없는 값이 있는 필드는 메시지에서 생략됩니다. 필드 설명은 다음을 참조하세요. • 연결 및 보안 인텔리전스 이벤트 필드. • 침입 이벤트 필드 •  File 및 맬웨어 이벤트 필드   메모              필드 설명 목록에는 syslog 필드와 이벤트에서 볼 수 있는 필드 viewer (Firepower Management Center의 분석 메뉴 아래에 있는 메뉴 옵션) web 인터페이스.) syslog를 통해 사용할 수 있는 필드에는 레이블이 지정되어 있습니다. 이벤트에서 볼 수 있는 일부 필드 viewer은 syslog를 통해 사용할 수 없습니다. 또한 일부 syslog 필드는 이벤트에 포함되지 않습니다. view(하지만 검색을 통해 가능할 수도 있음) 일부 필드는 결합되거나 분리됩니다.

보안 이벤트 Syslog 메시지의 시설
시설 값은 일반적으로 보안 이벤트에 대한 syslog 메시지와 관련이 없습니다. 그러나 시설이 필요한 경우 다음 표를 사용하십시오.

장치	연결 이벤트에 시설을 포함하려면	에게 포함하다 시설 in 침입 이벤트	Syslog 메시지의 위치
FTD	FTD 플랫폼 설정에서 EMBLEM 옵션을 사용하세요. 시설은 항상 알리다 FTD 플랫폼 설정을 사용하여 syslog 메시지를 보낼 때의 연결 이벤트에 대한 정보입니다.	FTD 플랫폼 설정에서 EMBLEM 옵션을 사용하거나 침입 정책의 syslog 설정을 사용하여 로깅을 구성합니다. 침입 정책을 사용하는 경우 침입 정책 설정에서 로깅 호스트도 지정해야 합니다.	메시지 헤더에 기능이 나타나지 않지만 syslog 수집기는 값을 파생할 수 있습니다. RFC 5424, 섹션 6.2.1을 기반으로 합니다.
		Syslog 경고를 활성화하고 침입 정책에서 시설 및 심각도를 구성합니다. 침입 이벤트에 대한 Syslog 경고 구성을 참조하세요.
FTD 이외의 장치	경고적 대응을 사용하세요.	침입 정책 고급 설정의 syslog 설정을 사용하거나 액세스 제어 정책의 로깅 탭에서 식별된 경고 응답을 사용합니다.

자세한 내용은 침입 Syslog 경고의 기능 및 심각도와 Syslog 경고 대응 생성을 참조하세요.

Firepower Syslog 메시지 유형
Firepower는 다음 표에 설명된 대로 여러 syslog 데이터 유형을 전송할 수 있습니다.

Syslog 데이터 유형	보다
FMC의 감사 로그	Syslog에 감사 로그 스트리밍 및 시스템 감사 챕터
클래식 장치(ASA FirePOWER, NGIPSv)의 감사 로그	클래식 장치 및 시스템 감사 챕터에서 스트림 감사 로그 CLI 명령어: syslog
FTD 장치의 장치 상태 및 네트워크 관련 로그	Syslog 및 하위 주제에 관하여
FTD 장치의 연결, 보안 인텔리전스 및 침입 이벤트 로그	Syslog에 보안 이벤트 데이터를 전송하기 위한 시스템 구성에 대하여.
클래식 장치의 연결, 보안 인텔리전스 및 침입 이벤트 로그	Syslog에 보안 이벤트 데이터를 전송하기 위한 시스템 구성에 관하여

다음에 대한 로그 file 및 악성 코드 이벤트

Syslog에 보안 이벤트 데이터를 전송하기 위한 시스템 구성에 관하여

보안 이벤트에 대한 Syslog의 제한 사항

• syslog를 사용하거나 외부에서 이벤트를 저장하는 경우 정책 및 규칙 이름과 같은 개체 이름에 특수 문자를 사용하지 마십시오. 개체 이름에는 수신 애플리케이션이 구분 기호로 사용할 수 있는 쉼표와 같은 특수 문자가 포함되어서는 안 됩니다.
• 이벤트가 syslog 수집기에 나타나기까지 최대 15분이 걸릴 수 있습니다.
• 다음에 대한 데이터 file 그리고 맬웨어 이벤트는 syslog를 통해 사용할 수 없습니다.
• 회고적 사건
• 생성된 이벤트 AMP 엔드포인트용

eStreamer 서버 스트리밍

• 이벤트 스트리머(eStreamer)를 사용하면 Firepower Management Center에서 사용자 지정 개발 클라이언트 애플리케이션으로 여러 종류의 이벤트 데이터를 스트리밍할 수 있습니다. 자세한 내용은 Firepower System Event Streamer 통합 가이드를 참조하세요.
• eStreamer 서버로 사용하려는 어플라이언스가 외부 클라이언트에 eStreamer 이벤트를 스트리밍하기 시작하기 전에 클라이언트에 이벤트를 보내고, 클라이언트에 대한 정보를 제공하고, 통신을 설정할 때 사용할 인증 자격 증명 세트를 생성하도록 eStreamer 서버를 구성해야 합니다. 이러한 모든 작업은 어플라이언스의 사용자 인터페이스에서 수행할 수 있습니다. 설정을 저장하면 요청 시 선택한 이벤트가 eStreamer 클라이언트로 전달됩니다.
• eStreamer 서버가 요청한 클라이언트에 전송할 수 있는 이벤트 유형을 제어할 수 있습니다.

표 2: eStreamer 서버에서 전송할 수 있는 이벤트 유형

이벤트 유형	설명
침입 이벤트	관리되는 장치에서 생성된 침입 이벤트
침입 이벤트 패킷 데이터	침입 이벤트와 관련된 패킷
침입 이벤트 추가 데이터	침입 이벤트와 관련된 추가 데이터(예: 클라이언트가 연결하는 원래 IP 주소) web HTTP 프록시 또는 로드 밸런서를 통한 서버
디스커버리 이벤트	네트워크 발견 이벤트
상관관계 그리고 허용 이벤트 목록	상관관계 및 규정 준수 허용 목록 이벤트
임팩트 플래그 알림	FMC에서 생성된 영향 경보
사용자 이벤트	사용자 이벤트

이벤트 유형	설명
맬웨어 이벤트	맬웨어 이벤트
File 이벤트	file 이벤트
연결 이벤트	모니터링되는 호스트와 다른 모든 호스트 간의 세션 트래픽에 대한 정보입니다.

보안 이벤트를 위한 Syslog와 eStreamer 비교

일반적으로, 현재 eStreamer에 큰 투자를 하지 않은 조직은 eStreamer가 아닌 syslog를 사용하여 외부에서 보안 이벤트 데이터를 관리해야 합니다.

시스템로그	이스트리머
사용자 정의가 필요하지 않습니다	각 릴리스의 변경 사항을 수용하기 위해 상당한 사용자 정의 및 지속적인 유지 관리가 필요합니다.
기준	소유권
Syslog 표준은 특히 UDP를 사용할 때 데이터 손실로부터 보호하지 않습니다.	데이터 손실로부터 보호
장치에서 직접 전송	FMC에서 전송하여 처리 오버헤드 추가
지원 file 및 맬웨어 이벤트, 연결 이벤트(보안 인텔리전스 이벤트 포함) 및 침입 이벤트.	eStreamer Server Streaming에 나열된 모든 이벤트 유형을 지원합니다.
일부 이벤트 데이터는 FMC에서만 보낼 수 있습니다. Syslog가 아닌 eStreamer를 통해서만 전송되는 데이터를 참조하세요.	장치에서 직접 syslog를 통해 보낼 수 없는 데이터를 포함합니다. eStreamer를 통해서만 전송된 데이터, Syslog를 통해서 전송되지 않음을 참조하세요.

eStreamer를 통해서만 데이터가 전송되고 Syslog를 통해서는 전송되지 않습니다.
다음 데이터는 Firepower Management Center에서만 사용할 수 있으므로 장치에서 syslog를 통해 전송할 수 없습니다.

• 패킷 로그
• 침입 이벤트 추가 데이터 이벤트
  자세한 내용은 eStreamer 서버 스트리밍을 참조하세요.
• 통계 및 집계 이벤트
• 네트워크 발견 이벤트
• 사용자 활동 및 로그인 이벤트
• 상관관계 이벤트
• 맬웨어 이벤트의 경우:
  • 회고적 평결
  • 관련 SHA에 대한 정보가 이미 장치에 동기화되지 않은 경우 위협 이름 및 처리
• 다음 필드:
  • Impact 및 ImpactFlag 필드
    자세한 내용은 eStreamer 서버 스트리밍을 참조하세요.
  • IOC_Count 필드
• 대부분의 원시 ID와 UUID.
  예외:
  • 연결 이벤트에 대한 Syslog에는 다음이 포함됩니다. FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID 및 SSL_RuleID
  • 침입 이벤트에 대한 Syslog에는 IntrusionPolicyUUID, GeneratorID 및 SignatureID가 포함됩니다.
• 다음을 포함하되 이에 국한되지 않는 확장된 메타데이터:
  • LDAP가 제공하는 사용자 세부 정보(성함, 부서, 전화번호 등)입니다. Syslog는 이벤트에서 사용자 이름만 제공합니다.
  • SSL 인증서 세부 정보와 같은 상태 기반 정보에 대한 세부 정보. Syslog는 인증서 지문과 같은 기본 정보를 제공하지만 인증서 CN과 같은 다른 인증서 세부 정보는 제공하지 않습니다.
  • 앱 등의 자세한 신청정보 Tags 및 카테고리. Syslog는 애플리케이션 이름만 제공합니다. 일부 메타데이터 메시지에는 객체에 대한 추가 정보도 포함됩니다.
• 지리적 위치 정보

eStreamer 이벤트 유형 선택

• eStreamer 이벤트 구성 확인란은 eStreamer 서버가 전송할 수 있는 이벤트를 제어합니다.
• 클라이언트는 여전히 eStreamer 서버로 보내는 요청 메시지에서 수신하려는 이벤트 유형을 구체적으로 요청해야 합니다. 자세한 내용은 Firepower System Event Streamer 통합 가이드를 참조하세요.
• 다중 도메인 배포에서는 모든 도메인 수준에서 eStreamer 이벤트 구성을 구성할 수 있습니다. 그러나 조상 도메인이 특정 이벤트 유형을 활성화한 경우 하위 도메인에서 해당 이벤트 유형을 비활성화할 수 없습니다.
• FMC에서 이 작업을 수행하려면 관리자 권한이 있어야 합니다.

절차

• 1단계 시스템 > 통합을 선택합니다.
• 2단계 eStreamer를 클릭하세요.
• 3단계 eStreamer 이벤트 구성에서 eStreamer 서버 스트리밍에 설명된 대로 eStreamer가 요청 클라이언트에 전달하길 원하는 이벤트 유형 옆에 있는 확인란을 선택하거나 선택 취소합니다.
• 단계 4 저장을 클릭합니다.

eStreamer 클라이언트 통신 구성

• eStreamer가 eStreamer 이벤트를 클라이언트에 보내기 전에, eStreamer 페이지에서 클라이언트를 eStreamer 서버의 피어 데이터베이스에 추가해야 합니다. 또한 eStreamer 서버에서 생성한 인증 인증서를 클라이언트에 복사해야 합니다. 이러한 단계를 완료한 후에는 클라이언트가 eStreamer 서버에 연결할 수 있도록 eStreamer 서비스를 다시 시작할 필요가 없습니다.
• 다중 도메인 배포에서는 모든 도메인에서 eStreamer 클라이언트를 만들 수 있습니다. 인증 인증서를 사용하면 클라이언트가 클라이언트 인증서의 도메인과 모든 하위 도메인에서만 이벤트를 요청할 수 있습니다. eStreamer 구성 페이지에는 현재 도메인과 연결된 클라이언트만 표시되므로 인증서를 다운로드하거나 해지하려면 클라이언트가 생성된 도메인으로 전환하세요.
• FMC에서 이 작업을 수행하려면 관리자 또는 검색 관리자 사용자여야 합니다.

절차

• 1단계 시스템 > 통합을 선택합니다.
• 2단계 eStreamer를 클릭하세요.
• 3단계 클라이언트 만들기를 클릭합니다.
• 4단계 호스트 이름 필드에 eStreamer 클라이언트를 실행하는 호스트의 호스트 이름이나 IP 주소를 입력합니다.
  메모 DNS 확인을 구성하지 않은 경우 IP 주소를 사용하세요.
• 5단계 인증서를 암호화하려면 file, 비밀번호 필드에 비밀번호를 입력하세요.
• 단계 6 저장을 클릭합니다.
  이제 eStreamer 서버는 호스트가 eStreamer 서버의 포트 8302에 액세스하도록 허용하고 클라이언트-서버 인증에 사용할 인증서 를 생성합니다.
• 7단계 다운로드를 클릭하세요. )를 클릭하여 인증서를 다운로드합니다. file.
• 8단계 인증서 저장 file 클라이언트가 SSL 인증을 위해 사용하는 적절한 디렉토리로 이동합니다.
• 9단계 클라이언트의 액세스를 취소하려면 삭제( 제거하려는 호스트 옆에 있는 )을 클릭합니다.
  eStreamer 서비스를 다시 시작할 필요는 없습니다. 액세스는 즉시 취소됩니다.

Splunk에서의 이벤트 분석

• Splunk용 Cisco Secure Firewall(이전 명칭: Cisco Firepower App for Splunk) 앱을 외부 도구로 사용하여 Firepower 이벤트 데이터를 표시하고 작업하고, 네트워크의 위협을 사냥하고 조사할 수 있습니다.
• eStreamer가 필요합니다. 이는 고급 기능입니다. eStreamer Server Streaming을 참조하세요.
• 자세한 내용은 다음을 참조하세요. https://cisco.com/go/firepower-for-splunk.

IBM QRadar의 이벤트 분석

• IBM QRadar용 Cisco Firepower 앱을 사용하면 이벤트 데이터를 표시하고 네트워크에 대한 위협을 분석, 사냥, 조사하는 대체 방법으로 사용할 수 있습니다.
• eStreamer가 필요합니다. 이는 고급 기능입니다. eStreamer Server Streaming을 참조하세요.
• 자세한 내용은 다음을 참조하세요. https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

외부 도구를 사용하여 이벤트 데이터 분석을 위한 기록

특징	버전	세부
SecureX 리본	7.0	SecureX 리본은 SecureX로 전환되어 Cisco 보안 제품 전반의 위협 환경을 즉시 파악할 수 있습니다. FMC에서 SecureX 리본을 표시하려면 Firepower 및 SecureX 통합 가이드를 참조하세요. https://cisco.com/go/firepower-securex-documentation. 새로운/수정된 화면: 새 페이지: 시스템 > SecureX
모든 연결 이벤트를 Cisco 클라우드로 전송	7.0	이제 높은 우선순위의 연결 이벤트만 전송하는 것이 아니라 모든 연결 이벤트를 Cisco 클라우드로 전송할 수 있습니다. 새로운/수정된 화면: 시스템 > 통합 > 클라우드 서비스 페이지의 새 옵션
크로스 런칭 view 보안 네트워크 분석의 데이터	6.7	이 기능은 분석 > 상황별 교차 실행 페이지에서 보안 네트워크 분석 어플라이언스에 대한 여러 항목을 빠르게 만드는 방법을 소개합니다. 이러한 항목을 사용하면 관련 이벤트를 마우스 오른쪽 버튼으로 클릭하여 보안 네트워크 분석을 교차 실행할 수 있으며, 교차 실행한 데이터 포인트와 관련된 정보를 표시할 수 있습니다. 새 메뉴 항목: 시스템 > 로깅 > 보안 분석 및 로깅 보안 네트워크 분석에 이벤트를 전송하는 방법을 구성하는 새 페이지입니다.

상황에 맞는 교차 출시 추가 필드 유형에서	6.7	이제 다음과 같은 추가 유형의 이벤트 데이터를 사용하여 외부 애플리케이션에 교차 실행할 수 있습니다. • 접근 제어 정책 • 침입 정책 • 응용 프로그램 프로토콜 • 클라이언트 애플리케이션 •  Web 애플리케이션 • 사용자 이름(영역 포함)   새로운 메뉴 옵션: 분석 메뉴 아래 페이지에 있는 대시보드 위젯과 이벤트 테이블의 이벤트에 대해 위의 데이터 유형을 마우스 오른쪽 버튼으로 클릭하면 상황에 맞는 교차 실행 옵션을 사용할 수 있습니다. 지원 플랫폼: Firepower Management Center
IBM QRadar와 통합	6.0년 이후	IBM QRadar 사용자는 새로운 Firepower 전용 앱을 사용하여 이벤트 데이터를 분석할 수 있습니다. 사용 가능한 기능은 Firepower 버전에 따라 영향을 받습니다. IBM QRadar에서 이벤트 분석을 확인하세요.
Cisco SecureX 위협 대응과의 통합 향상	6.5	• 지역 클라우드 지원: • 미국(북미) • 유럽   • 추가 이벤트 유형 지원: •  File 및 악성 코드 이벤트 • 높은 우선 순위 연결 이벤트 이는 다음과 관련된 연결 이벤트입니다. • 침입 이벤트 • 보안 인텔리전스 이벤트 •  File 및 악성 코드 이벤트     수정된 화면: 새로운 옵션 시스템 > 통합 > 클라우드 서비스. 지원 플랫폼: 이 릴리스에서 지원되는 모든 장치는 직접 통합이나 syslog를 통해 지원됩니다.
시스템로그	6.5	AccessControlRuleName 필드를 이제 침입 이벤트 syslog 메시지에서 사용할 수 있습니다.
Cisco Security Packet Analyzer와 통합	6.5	이 기능에 대한 지원이 제거되었습니다.

Cisco SecureX 위협 대응과의 통합	6.3 (syslog를 통해 프록시 사용) 수집기) 6.4 (직접)	통합된 Firepower 침입 이벤트 데이터를 다른 소스의 데이터와 통합합니다. view Cisco SecureX 위협 대응의 강력한 분석 도구를 사용하여 네트워크에 대한 위협을 예방하세요. 수정된 화면(버전 6.4): 새로운 옵션 시스템 > 통합 > 클라우드 서비스지원 플랫폼: 버전 6.3(Syslog를 통해) 또는 6.4를 실행하는 Firepower Threat Defense 장치.
Syslog 지원 File 및 맬웨어 이벤트	6.4	완전 자격 file 그리고 맬웨어 이벤트 데이터는 이제 syslog를 통해 관리되는 장치에서 보낼 수 있습니다. 수정된 화면: 정책 > 액세스 제어 > 액세스 제어 > 로깅. 지원 플랫폼: 버전 6.4를 실행하는 모든 관리 장치
Splunk와의 통합	모든 6.x 버전 지원	Splunk 사용자는 Splunk용 Cisco Secure Firewall(이전 명칭 Firepower) 앱이라는 새로운 별도 Splunk 앱을 사용하여 이벤트를 분석할 수 있습니다. 사용 가능한 기능은 Firepower 버전에 따라 영향을 받습니다. Splunk에서 이벤트 분석을 참조하세요.
Cisco Security Packet Analyzer와 통합	6.3	도입된 기능: 이벤트와 관련된 패킷에 대해 Cisco Security Packet Analyzer를 즉시 쿼리한 다음, Cisco Security Packet Analyzer에서 결과를 클릭하여 검토하거나 다른 외부 도구에서 분석하기 위해 다운로드합니다. 새로운 화면: 체계 > 완성 > 패킷 분석기 분석 > 고급의 > 패킷 분석기 쿼리 새로운 메뉴 옵션: 쿼리 패킷 분석기 대시보드 페이지에서 이벤트를 마우스 오른쪽 버튼으로 클릭하면 메뉴 항목이 표시되고, 분석 메뉴 아래에 있는 페이지에서 이벤트 테이블이 표시됩니다. 지원 플랫폼: Firepower Management Center
상황에 맞는 교차 출시	6.3	기능 도입: 사전 정의 또는 사용자 정의에서 관련 정보를 찾으려면 이벤트를 마우스 오른쪽 버튼으로 클릭하세요. URL-기반의 외부 리소스. 새로운 화면: 분석 > 고급의 > 컨텍스트별 크로스 런칭 새로운 메뉴 옵션: 대시보드 페이지에서 이벤트를 마우스 오른쪽 버튼으로 클릭하면 여러 옵션이 표시되고, 분석 메뉴 아래에 있는 페이지에서도 표를 클릭하면 여러 옵션이 표시됩니다. 지원 플랫폼: Firepower Management Center

Syslog 메시지 연결 및 침입 이벤트	6.3	새로운 통합 및 단순화된 구성을 사용하여 syslog를 통해 외부 저장소 및 도구에 완전히 적격한 연결 및 침입 이벤트를 보낼 수 있는 기능. 메시지 헤더는 이제 표준화되어 이벤트 유형 식별자를 포함하고, 알 수 없는 값과 빈 값이 있는 필드가 생략되어 메시지가 더 작아졌습니다. 지원 플랫폼: • 모든 새로운 기능: 버전 6.3을 실행하는 FTD 장치. • 일부 새로운 기능: 버전 6.3을 실행하는 비 FTD 장치. • 새로운 기능 감소: 6.3보다 이전 버전을 실행하는 모든 기기. 자세한 내용은 보안 이벤트에 대한 Syslog 메시지 전송에 대한 항목을 참조하세요.
이스트리머	6.3	호스트 ID 소스 장에서 eStreamer 콘텐츠를 이 장으로 옮기고 eStreamer를 syslog와 비교하는 요약을 추가했습니다.