- starsec starsec
- firpower, اسپلانک،فایرپاور، خرید لایسنس اسپلانک، splunk
- 0 نظر
- 8002 بازدید
چگونه cisco firepower را برای ارسال لاگ به اسپلانک کانفیگ کنیم:
فایروال Cisco Firepower یک فایروال نسل جدید (next generation ) است که قابلیت های اصلی زیر را داراست:
- کنترل برنامه های کاربردی (Application Control)
- محافظت در مقابل نفوذ (Intrusion Protection)
- ضد بدافزار(Anti-Malware)
- محدودسازی مسیرها(URL Filtering)
به همین دلیل این تجهیز یکی از منابع مهم دریافت لاگ برای آنالیز و تحلیل به شمار می رود.داشبورد های حرفه ای و از پیش تعریف شده برای مانیتور فعالیت های این تجهیز وجود دارد که با پایش درست لاگ های آن این امکان را فراهم مینماید که بتوان از تمامی قوانین همبستگی مرتبط نیز استفاده کرد
به دو روش میتوان لاگ های فایروال firepower را دریافت نمود:
- Syslog
- مزایا: کانفیگ ساده
- معایب: اشکال در پایش کامل لاگ ها، عدم امکان استفاده ازتمامی داشبوردها و قوانین تحلیل،عدم امکان فیلتر مناسب دیتا، نیاز به استخراج دستی تمامی هشدارهای مهم از طریق FMC
- Estreamer
- مزایا: ارسال داده رمز شده و امن،پایش کامل لاگ ها،امکان فیلترینگ کامل،یکسان سازی شده با تمامی داشبوردها و قوانین تحلیل
- معایب: گانفیگ پیچیده تر نسبت به متد قبلی،نیاز به استفاده از heavy forwarder
در ادامه روش دوم که روش بهینه و پیشنهاد شده است را توضیح میدهیم:
تنظیماتSplunk server
- دریافت اخرین نسخه add-on های اسپلانک
https://splunkbase.splunk.com/app/3662/
http://apps.splunk.com/app/3663
https://splunkbase.splunk.com/app/4388/
- بررسی یکسان بودن شبکه FMC, FTD
یک مورد مهم این است که باید FMC و FTD با اسپلانک که add-on روی آن نصب شده است در یک شبکه باشند
- نصب برنامه های مورد نیاز بر روی سرور اسپلانک که وظیفه پایش دیتا را بر عهده دارد(SearchHead)
- Python2,3
- Openssl(pyopenssl)
- eNcore add-on and dashboard
نکته:این add-on بر روی اسپلانک نسخه ویندوزی پشتیبانی نمی شود
- تنظیمات مربوط به add-on
- فعال سازی Data Input:
از قسمت تنظیمات به قسمت Data Input-> Files & Directories می رویم و دیتای مربوطه را فعال میکنیم
-
- فعال سازی script ها:
از قسمت تنظیمات به قسمت Data Inputs-> Scripts می رویم و دیتای مربوطه را فعال میکنیم
- انجام تنظیمات مربوط به setup
در صورت تغییر مسیر پیش فرض نصب اسپلانک، به سرور اسپلانک ssh میزنیم و در مسیر $SPLUNK_HOME/etc/apps/TA-eStreamer/bin فایل splencore.sh را ویرایش میکنیم و مسیر جدید را در تنظیمات وارد میکنیم
نکته: بر روی سیستم عامل centos ممکن است با خطای زیر مواجه شوید
**/opt/splunk/bin/openssl: error while loading shared libraries: libssl.so.1.0.0: cannot open shared object file: No such file or directory**
برای رفع آن دستورات زیر را وارد کنید:
export LD_LIBRARY_PATH=$SPLUNK_HOME/lib
example: LD_LIBRARY_PATH=/opt/splunk/lib
- تغییر کانفیگ encore
در مسیر $SPLUNK_HOME/etc/apps/TA-eStreamer/bin/encore لازم است که فایل streamer.conf را ویرایش کنید و مقدار فیلد host را برابر با نام هاست یا ادرس آی پی FMC قراردهید
همچنین تنظیمات را ویرایش کرده مقدار enabled را از false به true تغییر دهید
سپس دستور زیر را بزنید و ادرس FMC را وارد نمایید
./splencore.sh test
خروجی این دستور دو کامند می باشد که باید جداگانه اجرا گردد.
در هردودستور یک فایل client.pkcs12 به عنوان ورودی داده میشود که این فایل در FMC ایجاد و به مسیر مربوطه بر روی سرور اسپلانک منتقل میگرددو در قسمت بعدی شیوه ساخت آن به تفصیل توضیح داده شده است.
دستور اول سرتیفیکیت را میسازد
$SPLUNK_HOME/apps/TA-eStreamer/bin# $SPLUNK_HOME/bin /openssl pkcs12 -in $SPLUNK_HOME /etc/apps/TA-eStreamer/bin/encore/”client.pkcs12″ -nocerts -nodes -out “$SPLUNK_HOME/etc/apps/TA-eStreamer/bin/encore/$FMC_IP-8302_pkcs.key”
Example: /opt/splunk/bin/openssl pkcs12 -in /opt/splunk/etc/apps/TA-eStreamer/bin/encore/”client.pkcs12″ -clcerts -nokeys -out “/opt/splunk/etc/apps/TA-eStreamer/bin/encore/64.100.13.164-8302_pkcs.cert”
دستور دوم فایل کلید را میسازد
Example: /opt/splunk/etc/apps/TA-eStreamer/bin# /opt/splunk/bin/openssl pkcs12 -in /opt/splunk/etc/apps/TA-eStreamer/bin/encore/”client.pkcs12″ -nocerts -nodes -out “/opt/splunk/etc/apps/TA-eStreamer/bin/encore/64.100.13.164-8302_pkcs.key”
نصب و راه اندازی اسپلانک
تنظیمات Cisco Firepower
- ایجاد سرتیفیکیت برای کلاینت:
وارد کنسول وب FMC شوید و به قسمت System > Integration > eStreamer بروید
قسمت create client را انتخاب کنید و ادرس کالکتور اسپلانک که add-on مربوطه روی آن نصب شده و وظیفه دریافت لاگ ها را دارد را وارد نمایید.پسوردی که در این مرحله وارد میکنید در اولین اجرای streamer eNcore مورد نیاز است . سپس فایل pkcs را از مسیر مشخص شده دانلود کنید.
