คู่มือผู้ใช้การวิเคราะห์เหตุการณ์ของ Cisco โดยใช้เครื่องมือภายนอก

การวิเคราะห์เหตุการณ์ของ Cisco โดยใช้เครื่องมือภายนอก

ข้อมูลสินค้า

ผลิตภัณฑ์นี้อนุญาตให้ผู้ใช้รวมเข้ากับ Cisco SecureX และเข้าถึงได้โดยใช้คุณสมบัติริบบอนใน FMC web อินเทอร์เฟซ

ข้อมูลจำเพาะ

• การบูรณาการ: ซิสโก้ ซีเคียวเอ็กซ์
• อินเทอร์เฟซ: เอฟเอ็มซี web อินเทอร์เฟซ
• คุณสมบัติริบบิ้น: ด้านล่างของทุกหน้า

คำแนะนำการใช้ผลิตภัณฑ์

การเข้าถึง SecureX โดยใช้ Ribbon
หากต้องการเข้าถึง SecureX โดยใช้คุณสมบัติ Ribbon ให้ทำตามขั้นตอนเหล่านี้:

1. ใน FMC คลิกริบบิ้นที่ด้านล่างของหน้า FMC ใดก็ได้
2. คลิก “รับ SecureX”
3. ลงชื่อเข้าใช้ SecureX
4. คลิกลิงก์เพื่ออนุญาตการเข้าถึง
5. คลิก Ribbon เพื่อขยายและใช้งาน

การวิเคราะห์เหตุการณ์โดยใช้เครื่องมือภายนอก
หากต้องการดำเนินการวิเคราะห์เหตุการณ์โดยใช้เครื่องมือภายนอก ให้ทำตามขั้นตอนเหล่านี้:

1. ใน FMC คลิกริบบิ้นที่ด้านล่างของหน้า FMC ใดก็ได้
2. คลิก “รับ SecureX”
3. ลงชื่อเข้าใช้ SecureX
4. คลิกลิงก์เพื่ออนุญาตการเข้าถึง
5. คลิก Ribbon เพื่อขยายและใช้งาน

การวิเคราะห์เหตุการณ์ด้วย Cisco SecureX Threat Response
Cisco SecureX Threat Response (เดิมชื่อ Cisco Threat Response) ช่วยให้ผู้ใช้สามารถตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว หากต้องการดำเนินการวิเคราะห์เหตุการณ์ด้วย Cisco SecureX Threat Response ให้ทำตามขั้นตอนเหล่านี้:

1. ใน FMC คลิกริบบิ้นที่ด้านล่างของหน้า FMC ใดก็ได้
2. คลิก “รับ SecureX”
3. ลงชื่อเข้าใช้ SecureX
4. คลิกลิงก์เพื่ออนุญาตการเข้าถึง
5. คลิก Ribbon เพื่อขยายและใช้งาน

View ข้อมูลเหตุการณ์ในการตอบสนองต่อภัยคุกคามของ Cisco SecureX

ถึง view ข้อมูลเหตุการณ์ใน Cisco SecureX Threat Response โปรดติดตาม
ขั้นตอนเหล่านี้:

1. ลงชื่อเข้าใช้ Cisco SecureX Threat Response เมื่อได้รับแจ้ง

การใช้การตรวจสอบเหตุการณ์ Web- ทรัพยากรพื้นฐาน
เพื่อตรวจสอบเหตุการณ์โดยใช้ web-ตามทรัพยากร ให้ทำตามขั้นตอนเหล่านี้:

1. ลงชื่อเข้าใช้ Cisco SecureX Threat Response เมื่อได้รับแจ้ง
2. ใช้คุณลักษณะการเปิดใช้งานข้ามบริบทเพื่อค้นหาข้อมูลเพิ่มเติมเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น web- ทรัพยากรที่ใช้อยู่นอกศูนย์การจัดการอำนาจการยิง
3. คลิกโดยตรงจากกิจกรรมในกิจกรรม viewer หรือแดชบอร์ดใน Firepower Management Center ไปยังข้อมูลที่เกี่ยวข้องในทรัพยากรภายนอก

เกี่ยวกับการจัดการทรัพยากรการเปิดใช้ข้ามบริบทตามบริบท
เพื่อบริหารจัดการภายนอก web-ตามทรัพยากร ให้ทำตามขั้นตอนเหล่านี้:

1. ไปที่การวิเคราะห์ > ขั้นสูง > การเปิดตัวข้ามบริบท
2. จัดการทรัพยากรที่กำหนดไว้ล่วงหน้าและของบุคคลที่สามที่นำเสนอโดย Cisco
3. คุณสามารถปิดใช้งาน ลบ หรือเปลี่ยนชื่อทรัพยากรได้ตามต้องการ

คำถามที่พบบ่อย

• ถาม: SecureX คืออะไร
  ตอบ: SecureX เป็นแพลตฟอร์มบูรณาการใน Cisco Cloud ที่ให้ผู้ใช้สามารถวิเคราะห์เหตุการณ์โดยใช้ข้อมูลที่รวบรวมจากผลิตภัณฑ์หลายชนิด รวมถึง Firepower
• ถาม: ฉันจะเข้าถึง SecureX โดยใช้คุณสมบัติ Ribbon ได้อย่างไร
  ตอบ: หากต้องการเข้าถึง SecureX โดยใช้คุณสมบัติ Ribbon ให้คลิกริบบิ้นที่ด้านล่างของหน้า FMC ใดก็ได้แล้วทำตามขั้นตอนที่ให้ไว้
• ถาม: ฉันสามารถ view ข้อมูลเหตุการณ์ใน Cisco SecureX Threat Response หรือไม่
  A: ใช่ คุณสามารถทำได้ view ข้อมูลเหตุการณ์ใน Cisco SecureX Threat Response โดยการลงชื่อเข้าใช้เมื่อได้รับแจ้ง
• ถาม: ฉันจะตรวจสอบเหตุการณ์โดยใช้ได้อย่างไร web- ทรัพยากรพื้นฐาน?
  ตอบ: เพื่อตรวจสอบเหตุการณ์โดยใช้ web-ตามทรัพยากร ลงชื่อเข้าใช้ Cisco SecureX Threat Response และใช้คุณสมบัติการเปิดใช้งานข้ามบริบทเพื่อค้นหาข้อมูลที่เกี่ยวข้อง

บูรณาการกับ Cisco SecureX

View และทำงานกับข้อมูลจากผลิตภัณฑ์รักษาความปลอดภัย Cisco ทั้งหมดของคุณและอื่นๆ อีกมากมายผ่านพอร์ทัลระบบคลาวด์ SecureX เพียงบานเดียว ใช้เครื่องมือที่มีให้ผ่าน SecureX เพื่อเพิ่มประสิทธิภาพการตามล่าหาภัยคุกคามและการสืบสวนของคุณ SecureX ยังสามารถให้ข้อมูลอุปกรณ์และอุปกรณ์ที่เป็นประโยชน์ เช่น ว่าแต่ละเครื่องใช้ซอฟต์แวร์เวอร์ชันที่เหมาะสมที่สุดหรือไม่

• สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SecureX โปรดดู http://www.cisco.com/c/en/us/products/security/securex.html.
• หากต้องการรวม Firepower เข้ากับ SecureX โปรดดูคู่มือการรวม Firepower และ SecureX ที่ https://cisco.com/go/firepower-securex-documentation.

เข้าถึง SecureX โดยใช้ Ribbon
Ribbon จะปรากฏที่ด้านล่างของทุกหน้าใน FMC web อินเตอร์เฟซ. คุณสามารถใช้ริบบอนเพื่อสลับไปยังผลิตภัณฑ์รักษาความปลอดภัยอื่นๆ ของ Cisco ได้อย่างรวดเร็ว และทำงานกับข้อมูลภัยคุกคามจากหลายแหล่ง

ก่อนที่คุณจะเริ่มต้น

• หากคุณไม่เห็นริบบิ้น SecureX ที่ด้านล่างของ FMC web หน้าอินเทอร์เฟซ ห้ามใช้ขั้นตอนนี้ โปรดดูคู่มือการรวม Firepower และ SecureX แทนที่ https://cisco.com/go/firepower-securex-documentation.
• หากคุณยังไม่มีบัญชี SecureX ให้ขอบัญชีจากแผนกไอทีของคุณ

ขั้นตอน

• ขั้นตอนที่ 1 ใน FMC คลิกริบบิ้นที่ด้านล่างของหน้า FMC ใดก็ได้
• ขั้นตอนที่ 2 คลิกรับ SecureX
• ขั้นตอนที่ 3 ลงชื่อเข้าใช้ SecureX
• ขั้นตอนที่ 4 คลิกลิงก์เพื่ออนุญาตการเข้าถึง
• ขั้นตอนที่ 5 คลิก Ribbon เพื่อขยายและใช้งาน

จะต้องทำอย่างไรต่อไป
สำหรับข้อมูลเกี่ยวกับคุณสมบัติ Ribbon และวิธีการใช้งาน โปรดดูวิธีใช้ออนไลน์ใน SecureX

การวิเคราะห์เหตุการณ์พร้อมการตอบสนองภัยคุกคามของ Cisco SecureX

การตอบสนองภัยคุกคามของ Cisco SecureX เดิมชื่อ Cisco Threat Response (CTR) ตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคามอย่างรวดเร็วโดยใช้การตอบสนองภัยคุกคามของ Cisco SecureX ซึ่งเป็นแพลตฟอร์มบูรณาการใน Cisco Cloud ที่ช่วยให้คุณวิเคราะห์เหตุการณ์โดยใช้ข้อมูลที่รวบรวมจากผลิตภัณฑ์ต่างๆ รวมถึง อำนาจการยิง

• สำหรับข้อมูลทั่วไปเกี่ยวกับการตอบสนองต่อภัยคุกคามของ Cisco SecureX โปรดดู: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• สำหรับคำแนะนำโดยละเอียดสำหรับการผสานรวม Firepower กับการตอบสนองต่อภัยคุกคามของ Cisco SecureX โปรดดู:
• คู่มือบูรณาการการตอบสนองภัยคุกคาม Firepower และ Cisco SecureX ที่ https://cisco.com/go/firepower-ctr-integration-docs.

View ข้อมูลเหตุการณ์ในการตอบสนองต่อภัยคุกคามของ Cisco SecureX

ก่อนที่คุณจะเริ่มต้น

• ตั้งค่าการรวมตามที่อธิบายไว้ในคู่มือการรวมการตอบสนองต่อภัยคุกคามของ Firepower และ Cisco SecureX ที่ https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review ความช่วยเหลือออนไลน์ในการตอบสนองต่อภัยคุกคามของ Cisco SecureX เพื่อเรียนรู้วิธีค้นหา ตรวจสอบ และดำเนินการกับภัยคุกคาม
• คุณจะต้องมีข้อมูลประจำตัวของคุณเพื่อเข้าถึงการตอบสนองภัยคุกคามของ Cisco SecureX

ขั้นตอน

ขั้นตอนที่ 1
ใน Firepower Management Center ให้ทำอย่างใดอย่างหนึ่งต่อไปนี้:

• หากต้องการเปลี่ยนไปใช้การตอบสนองภัยคุกคามของ Cisco SecureX จากเหตุการณ์เฉพาะ:
  • นำทางไปยังเพจภายใต้เมนูการวิเคราะห์ > การบุกรุกที่แสดงรายการเหตุการณ์ที่สนับสนุน
  • คลิกขวาที่ที่อยู่ IP ต้นทางหรือปลายทางแล้วเลือก View ใน SecureX
• ถึง view ข้อมูลเหตุการณ์โดยทั่วไป:
  • ไปที่ระบบ > บูรณาการ > บริการคลาวด์
  • คลิกลิงก์เพื่อ view เหตุการณ์ในการตอบสนองต่อภัยคุกคามของ Cisco SecureX

ขั้นตอนที่ 2
ลงชื่อเข้าใช้การตอบสนองภัยคุกคามของ Cisco SecureX เมื่อได้รับแจ้ง

การใช้การตรวจสอบเหตุการณ์ Web- ทรัพยากรพื้นฐาน
ใช้คุณลักษณะการเปิดใช้งานข้ามบริบทเพื่อค้นหาข้อมูลเพิ่มเติมเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นได้อย่างรวดเร็ว web- ทรัพยากรที่ใช้อยู่นอกศูนย์การจัดการอำนาจการยิง สำหรับเช่นampเลอ, คุณอาจ:

• ค้นหาที่อยู่ IP ต้นทางที่น่าสงสัยในบริการที่โฮสต์บนคลาวด์ของ Cisco หรือบุคคลที่สามซึ่งเผยแพร่ข้อมูลเกี่ยวกับภัยคุกคามที่ทราบและน่าสงสัย หรือ
• ค้นหาอินสแตนซ์ที่ผ่านมาของภัยคุกคามเฉพาะในบันทึกประวัติขององค์กรของคุณ หากองค์กรของคุณจัดเก็บข้อมูลนั้นไว้ในแอปพลิเคชันการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM)
• ค้นหาข้อมูลเกี่ยวกับเรื่องใดเรื่องหนึ่ง file, รวมทั้ง file ข้อมูลเส้นทาง หากองค์กรของคุณใช้งาน Cisco AMP สำหรับจุดสิ้นสุด

เมื่อตรวจสอบกิจกรรม คุณสามารถคลิกได้โดยตรงจากกิจกรรมในกิจกรรม viewer หรือแดชบอร์ดใน Firepower Management Center ไปยังข้อมูลที่เกี่ยวข้องในทรัพยากรภายนอก ซึ่งช่วยให้คุณรวบรวมบริบทเกี่ยวกับเหตุการณ์เฉพาะได้อย่างรวดเร็วตามที่อยู่ IP, พอร์ต, โปรโตคอล, โดเมน และ/หรือแฮช SHA 256 สำหรับเช่นampสมมติว่าคุณกำลังดูวิดเจ็ตแดชบอร์ด Top Attackers และต้องการค้นหาข้อมูลเพิ่มเติมเกี่ยวกับที่อยู่ IP ต้นทางรายการใดรายการหนึ่ง คุณต้องการดูว่า Talos เผยแพร่ข้อมูลใดเกี่ยวกับที่อยู่ IP นี้ ดังนั้นคุณจึงเลือกทรัพยากร "Talos IP" ทาลอส web ไซต์เปิดหน้าพร้อมข้อมูลเกี่ยวกับที่อยู่ IP เฉพาะนี้ คุณสามารถเลือกจากชุดลิงก์ที่กำหนดไว้ล่วงหน้าไปยังบริการข่าวกรองภัยคุกคามของ Cisco และบุคคลที่สามที่ใช้กันทั่วไป และเพิ่มลิงก์ที่กำหนดเองไปยังบริการอื่น ๆ web-บริการตาม และต่อ SIEM หรือผลิตภัณฑ์อื่น ๆ ที่มี web อินเตอร์เฟซ. โปรดทราบว่าทรัพยากรบางอย่างอาจต้องมีบัญชีหรือการซื้อผลิตภัณฑ์

เกี่ยวกับการจัดการทรัพยากรการเปิดใช้ข้ามบริบทตามบริบท

• จัดการภายนอก web-อิงทรัพยากรโดยใช้หน้าการวิเคราะห์ > ขั้นสูง > การเปิดตัวข้ามบริบท

ข้อยกเว้น:
จัดการลิงก์การเปิดใช้งานข้ามไปยังอุปกรณ์ Secure Network Analytics โดยทำตามขั้นตอนใน กำหนดค่าลิงก์การเปิดใช้งานข้ามสำหรับการวิเคราะห์เครือข่ายที่ปลอดภัย

• ทรัพยากรที่กำหนดไว้ล่วงหน้าที่ Cisco นำเสนอจะมีเครื่องหมายโลโก้ Cisco ลิงก์ที่เหลือเป็นแหล่งข้อมูลของบุคคลที่สาม
• คุณสามารถปิดการใช้งานหรือลบทรัพยากรใดๆ ที่คุณไม่ต้องการ หรือคุณสามารถเปลี่ยนชื่อได้ เช่นampโดยนำหน้าชื่อด้วยตัวพิมพ์เล็ก "z" เพื่อให้ทรัพยากรเรียงลำดับไปที่ด้านล่างของรายการ การปิดใช้ทรัพยากรการเปิดใช้ข้ามจะเป็นการปิดใช้ทรัพยากรสำหรับผู้ใช้ทั้งหมด คุณไม่สามารถคืนสถานะทรัพยากรที่ถูกลบได้ แต่คุณสามารถสร้างใหม่ได้
• หากต้องการเพิ่มทรัพยากร โปรดดูเพิ่มทรัพยากรการเปิดใช้งานข้ามบริบท

ข้อกำหนดสำหรับทรัพยากรการเปิดใช้ข้ามบริบทแบบกำหนดเอง

เมื่อเพิ่มทรัพยากรการเปิดใช้ข้ามบริบทแบบกำหนดเอง:

• ทรัพยากรจะต้องสามารถเข้าถึงได้ผ่านทาง web เบราว์เซอร์
• รองรับโปรโตคอล http และ https เท่านั้น
• รองรับเฉพาะคำขอ GET เท่านั้น คำขอ POST ไม่ใช่
• การเข้ารหัสตัวแปรใน URLไม่รองรับ s แม้ว่าที่อยู่ IPv6 อาจต้องมีการเข้ารหัสตัวคั่นโคลอน แต่บริการส่วนใหญ่ไม่ต้องการการเข้ารหัสนี้
• สามารถกำหนดค่าทรัพยากรได้สูงสุด 100 รายการ รวมถึงทรัพยากรที่กำหนดไว้ล่วงหน้า
• คุณต้องเป็นผู้ดูแลระบบหรือผู้ใช้นักวิเคราะห์ความปลอดภัยจึงจะสร้างการเปิดใช้ข้ามได้ แต่คุณสามารถเป็นนักวิเคราะห์ความปลอดภัยแบบอ่านอย่างเดียวเพื่อใช้งานได้

เพิ่มทรัพยากรการเปิดตัวข้ามบริบท

• คุณสามารถเพิ่มทรัพยากรการเปิดใช้งานข้ามบริบทได้ เช่น บริการข่าวกรองภัยคุกคาม และเครื่องมือการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM)
• ในการปรับใช้หลายโดเมน คุณสามารถดูและใช้ทรัพยากรในโดเมนหลักได้ แต่คุณสามารถสร้างและแก้ไขทรัพยากรในโดเมนปัจจุบันเท่านั้น จำนวนทรัพยากรทั้งหมดในทุกโดเมนจำกัดไว้ที่ 100 รายการ

ก่อนที่คุณจะเริ่มต้น

• หากคุณกำลังเพิ่มลิงก์ไปยังอุปกรณ์ Secure Network Analytics ให้ตรวจสอบเพื่อดูว่าลิงก์ที่คุณต้องการมีอยู่แล้วหรือไม่ ลิงก์ส่วนใหญ่จะถูกสร้างขึ้นโดยอัตโนมัติสำหรับคุณเมื่อคุณกำหนดค่า Cisco Security Analytics และ Logging (ภายในองค์กร)
• ดูข้อกำหนดสำหรับทรัพยากรการเปิดใช้ข้ามบริบทแบบกำหนดเอง
• หากจำเป็นสำหรับทรัพยากร คุณจะลิงก์ สร้างหรือรับบัญชีและข้อมูลประจำตัวที่จำเป็นสำหรับการเข้าถึง คุณสามารถเลือกกำหนดและแจกจ่ายข้อมูลรับรองสำหรับผู้ใช้แต่ละรายที่ต้องการสิทธิ์เข้าถึงได้
• กำหนดไวยากรณ์ของลิงก์แบบสอบถามสำหรับทรัพยากรที่คุณจะลิงก์ไป:
  • เข้าถึงทรัพยากรผ่านเบราว์เซอร์ และใช้เอกสารประกอบสำหรับทรัพยากรนั้นตามต้องการ เพื่อกำหนดลิงก์แบบสอบถามที่จำเป็นในการค้นหาข้อมูลเฉพาะampประเภทของข้อมูลที่คุณต้องการให้ลิงก์ค้นหาของคุณค้นหา เช่น ที่อยู่ IP
  • เรียกใช้แบบสอบถาม จากนั้นคัดลอกผลลัพธ์ URL จากแถบตำแหน่งของเบราว์เซอร์
  • เช่นampเลอ, คุณอาจมีคำถาม URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

ขั้นตอน

• ขั้นตอนที่ 1
  เลือกการวิเคราะห์ > ขั้นสูง > การเปิดตัวข้ามบริบท
• ขั้นตอนที่ 2 คลิกเปิดตัวข้ามใหม่
  ในแบบฟอร์มที่ปรากฏขึ้น ทุกฟิลด์ที่มีเครื่องหมายดอกจันจำเป็นต้องมีค่า
• ขั้นตอนที่ 3 ป้อนชื่อทรัพยากรที่ไม่ซ้ำกัน
• ขั้นตอนที่ 4 วางการทำงาน URL สตริงจากทรัพยากรของคุณลงใน URL ฟิลด์เทมเพลต
• ขั้นตอนที่ 5 แทนที่ข้อมูลเฉพาะ (เช่น ที่อยู่ IP) ในสตริงการสืบค้นด้วยตัวแปรที่เหมาะสม: วางตำแหน่งเคอร์เซอร์ของคุณ จากนั้นคลิกตัวแปร (เช่นample, ip) หนึ่งครั้งเพื่อแทรกตัวแปร
  • ในอดีตample จากส่วน "ก่อนเริ่มต้น" ด้านบน ผลลัพธ์ที่ได้ URL อาจจะเป็น https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • เมื่อใช้ลิงก์เปิดใช้ข้ามบริบท ตัวแปร {ip} ใน URL จะถูกแทนที่ด้วยที่อยู่ IP ที่ผู้ใช้คลิกขวาในเหตุการณ์ viewเอ้อหรือแดชบอร์ด
  • สำหรับคำอธิบายของแต่ละตัวแปร ให้วางเมาส์เหนือตัวแปร
  • คุณสามารถสร้างลิงก์เปิดใช้งานข้ามบริบทได้หลายลิงก์สำหรับเครื่องมือหรือบริการเดียว โดยใช้ตัวแปรที่แตกต่างกันสำหรับแต่ละรายการ
• ขั้นตอนที่ 6 คลิก ทดสอบกับอดีตampข้อมูล ( ) เพื่อทดสอบลิงก์ของคุณกับอดีตampข้อมูล
• ขั้นตอนที่ 7 แก้ไขปัญหาใดๆ
• ขั้นตอนที่ 8 คลิกบันทึก

ตรวจสอบเหตุการณ์โดยใช้ Contextual Cross-Launch

ก่อนที่คุณจะเริ่มต้น
หากทรัพยากรที่คุณจะเข้าถึงต้องใช้ข้อมูลรับรอง ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลรับรองเหล่านั้น

ขั้นตอน

• ขั้นตอนที่ 1 ไปที่หน้าใดหน้าหนึ่งต่อไปนี้ใน Firepower Management Center ที่แสดงเหตุการณ์:
  • แดชบอร์ด (Overview > แดชบอร์ด) หรือ
  • เหตุการณ์ viewหน้า er (ตัวเลือกเมนูใดๆ ใต้เมนูการวิเคราะห์ที่มีตารางเหตุการณ์)
• ขั้นตอนที่ 2 คลิกขวาที่เหตุการณ์ที่สนใจและเลือกทรัพยากรการเปิดใช้งานข้ามบริบทที่จะใช้
  • หากจำเป็น ให้เลื่อนลงในเมนูบริบทเพื่อดูตัวเลือกที่มีทั้งหมด
  • ประเภทข้อมูลที่คุณคลิกขวาจะกำหนดตัวเลือกที่คุณเห็น สำหรับเช่นampอย่างไรก็ตาม หากคุณคลิกขวาที่ที่อยู่ IP คุณจะเห็นเฉพาะตัวเลือกการเปิดใช้งานข้ามบริบทที่เกี่ยวข้องกับที่อยู่ IP เท่านั้น
  • ตัวอย่างเช่นampหากต้องการรับข้อมูลภัยคุกคามจาก Cisco Talos เกี่ยวกับที่อยู่ IP ต้นทางในวิดเจ็ตแดชบอร์ด Top Attackers ให้เลือก Talos SrcIP หรือ Talos IP
  • หากทรัพยากรมีตัวแปรหลายตัว ตัวเลือกในการเลือกทรัพยากรนั้นจะใช้ได้เฉพาะกับเหตุการณ์ที่มีค่าที่เป็นไปได้เพียงค่าเดียวสำหรับตัวแปรที่รวมไว้แต่ละตัว
  • ทรัพยากรการเปิดใช้งานข้ามบริบทจะเปิดขึ้นในหน้าต่างเบราว์เซอร์แยกต่างหาก
  • อาจต้องใช้เวลาสักระยะในการประมวลผลการสืบค้น ขึ้นอยู่กับปริมาณข้อมูลที่จะสืบค้น ความเร็วและความต้องการทรัพยากร และอื่นๆ
• ขั้นตอนที่ 3 ลงชื่อเข้าใช้ทรัพยากรหากจำเป็น

กำหนดค่าลิงก์เปิดใช้ข้ามสำหรับการวิเคราะห์เครือข่ายที่ปลอดภัย

• คุณสามารถเปิดใช้งานข้ามจากข้อมูลเหตุการณ์ใน Firepower ไปยังข้อมูลที่เกี่ยวข้องในอุปกรณ์ Secure Network Analytics ของคุณ
• สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ Secure Network Analytics โปรดดูที่ https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• สำหรับข้อมูลทั่วไปเกี่ยวกับการเปิดใช้งานข้ามบริบท โปรดดูที่ ตรวจสอบเหตุการณ์โดยใช้การเปิดใช้งานข้ามบริบท
• ใช้ขั้นตอนนี้เพื่อกำหนดค่าชุดลิงก์เปิดใช้ข้ามไปยังอุปกรณ์ Secure Network Analytics ของคุณอย่างรวดเร็ว

บันทึก

• หากคุณต้องการเปลี่ยนแปลงลิงก์เหล่านี้ในภายหลัง ให้กลับมาที่ขั้นตอนนี้ คุณไม่สามารถทำการเปลี่ยนแปลงได้โดยตรงบนหน้ารายการการเปิดตัวข้ามบริบทโดยตรง
• คุณสามารถสร้างลิงก์เพิ่มเติมด้วยตนเองเพื่อเปิดใช้งานข้ามอุปกรณ์ Secure Network Analytics ของคุณโดยใช้ขั้นตอนในการเพิ่มทรัพยากรการเปิดใช้งานข้ามบริบท แต่ลิงก์เหล่านั้นจะไม่ขึ้นอยู่กับทรัพยากรที่สร้างขึ้นอัตโนมัติ และจะต้องได้รับการจัดการด้วยตนเอง (ลบ อัปเดต ฯลฯ)

ก่อนที่คุณจะเริ่มต้น

• คุณต้องมีอุปกรณ์ Secure Network Analytics ที่ปรับใช้และทำงานอยู่
• หากคุณต้องการส่งข้อมูล Firepower ไปยังอุปกรณ์ Secure Network Analytics ของคุณโดยใช้ Cisco Security Analytics และ Logging (ในองค์กร) โปรดดูที่การจัดเก็บข้อมูลระยะไกลบนอุปกรณ์การวิเคราะห์เครือข่ายที่ปลอดภัย

ขั้นตอน

• ขั้นตอนที่ 1 เลือก ระบบ > การบันทึก > การวิเคราะห์ความปลอดภัยและการบันทึก
• ขั้นตอนที่ 2 เปิดใช้งานคุณสมบัติ
• ขั้นตอนที่ 3 ป้อนชื่อโฮสต์หรือที่อยู่ IP และพอร์ตของอุปกรณ์ Secure Network Analytics ของคุณ พอร์ตเริ่มต้นคือ 443
• ขั้นตอนที่ 4 คลิกบันทึก
• ขั้นตอนที่ 5 ตรวจสอบลิงก์การเปิดตัวข้ามใหม่ของคุณ: เลือกการวิเคราะห์ > ขั้นสูง > การเปิดตัวข้ามบริบทตามบริบท หากคุณต้องการเปลี่ยนแปลง ให้กลับสู่ขั้นตอนนี้ คุณไม่สามารถทำการเปลี่ยนแปลงได้โดยตรงบนหน้ารายการการเปิดตัวข้ามบริบทโดยตรง

จะต้องทำอย่างไรต่อไป

• เพื่อเปิดตัวข้ามเหตุการณ์ไปยังเหตุการณ์ Secure Network Analytics viewคือ คุณจะต้องมีข้อมูลรับรอง Secure Network Analytics
• เพื่อข้ามการเปิดตัวจากงานในงาน FMC viewหรือแดชบอร์ด ให้คลิกขวาที่เซลล์ตารางของเหตุการณ์ที่เกี่ยวข้องแล้วเลือกตัวเลือกที่เหมาะสม
• อาจต้องใช้เวลาสักระยะในการประมวลผลการสืบค้น ขึ้นอยู่กับปริมาณข้อมูลที่จะสืบค้น ความเร็วและความต้องการบนคอนโซลการจัดการ Stealthwatch เป็นต้น

เกี่ยวกับการส่งข้อความ Syslog สำหรับเหตุการณ์ด้านความปลอดภัย

• คุณสามารถส่งข้อมูลที่เกี่ยวข้องกับการเชื่อมต่อ ข้อมูลความปลอดภัย การบุกรุก และ file และเหตุการณ์มัลแวร์ผ่าน syslog ไปยังเครื่องมือข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) หรือโซลูชันการจัดเก็บและการจัดการเหตุการณ์ภายนอกอื่น ๆ
• เหตุการณ์เหล่านี้บางครั้งเรียกว่าเหตุการณ์ Snort®

เกี่ยวกับการกำหนดค่าระบบเพื่อส่งข้อมูลเหตุการณ์ความปลอดภัยไปยัง Syslog

ในการกำหนดค่าระบบให้ส่ง syslogs เหตุการณ์การรักษาความปลอดภัย คุณจะต้องทราบสิ่งต่อไปนี้:

• แนวทางปฏิบัติที่ดีที่สุดสำหรับการกำหนดค่าการส่งข้อความ Syslog เหตุการณ์ความปลอดภัย
• ตำแหน่งการกำหนดค่าสำหรับ Syslogs เหตุการณ์ความปลอดภัย
• การตั้งค่าแพลตฟอร์ม FTD ที่ใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย
• หากคุณทำการเปลี่ยนแปลงการตั้งค่า syslog ในนโยบายใดๆ คุณต้องปรับใช้ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

แนวทางปฏิบัติที่ดีที่สุดสำหรับการกำหนดค่าการส่งข้อความ Syslog เหตุการณ์ความปลอดภัย

อุปกรณ์และเวอร์ชัน	การกำหนดค่า ที่ตั้ง
ทั้งหมด	หากคุณจะใช้ syslog หรือจัดเก็บเหตุการณ์ภายนอก ให้หลีกเลี่ยงอักขระพิเศษในชื่อออบเจ็กต์ เช่น ชื่อนโยบายและกฎ ชื่อออบเจ็กต์ไม่ควรมีอักขระพิเศษ เช่น เครื่องหมายจุลภาค ซึ่งแอปพลิเคชันที่ได้รับอาจใช้เป็นตัวคั่น

การป้องกันภัยคุกคามด้วยอำนาจการยิง

1.      กำหนดการตั้งค่าแพลตฟอร์ม FTD (อุปกรณ์ > การตั้งค่าแพลตฟอร์ม > การตั้งค่าการป้องกันภัยคุกคาม > Syslog.) ดูเพิ่มเติมที่การตั้งค่าแพลตฟอร์ม FTD ที่ใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย 2.      ในแท็บการบันทึกนโยบายการควบคุมการเข้าถึง เลือกใช้การตั้งค่าแพลตฟอร์ม FTD 3.      (สำหรับเหตุการณ์การบุกรุก) กำหนดค่านโยบายการบุกรุกเพื่อใช้การตั้งค่าในแท็บการบันทึกนโยบายการควบคุมการเข้าถึงของคุณ (นี่คือค่าเริ่มต้น)   ไม่แนะนำให้แก้ไขการตั้งค่าใดๆ เหล่านี้ สำหรับรายละเอียดที่สำคัญ โปรดดูที่ส่งข้อความ Syslog เหตุการณ์การรักษาความปลอดภัยจากอุปกรณ์ FTD

อุปกรณ์อื่นๆ ทั้งหมด

1.      สร้างการตอบสนองการแจ้งเตือน 2.      กำหนดค่าการบันทึกนโยบายการควบคุมการเข้าถึงเพื่อใช้การตอบสนองการแจ้งเตือน 3.      (สำหรับเหตุการณ์การบุกรุก) กำหนดการตั้งค่า syslog ในนโยบายการบุกรุก  สำหรับรายละเอียดทั้งหมด โปรดดูที่การส่งข้อความ Syslog ของเหตุการณ์การรักษาความปลอดภัยจากอุปกรณ์แบบคลาสสิก

ส่งข้อความ Syslog เหตุการณ์การรักษาความปลอดภัยจากอุปกรณ์ FTD
ขั้นตอนนี้จะบันทึกการกำหนดค่าแนวปฏิบัติที่ดีที่สุดสำหรับการส่งข้อความ syslog สำหรับเหตุการณ์ด้านความปลอดภัย (การเชื่อมต่อ การเชื่อมต่อที่เกี่ยวข้องกับความปลอดภัย การบุกรุก fileและเหตุการณ์มัลแวร์) จากอุปกรณ์ Firepower Threat Defense

บันทึก
การตั้งค่าบันทึกระบบ Firepower Threat Defense จำนวนมากไม่สามารถใช้ได้กับเหตุการณ์ด้านความปลอดภัย กำหนดค่าเฉพาะตัวเลือกที่อธิบายไว้ในขั้นตอนนี้

ก่อนที่คุณจะเริ่มต้น

• ใน FMC ให้กำหนดค่านโยบายเพื่อสร้างเหตุการณ์ด้านความปลอดภัยและตรวจสอบว่าเหตุการณ์ที่คุณคาดว่าจะเห็นปรากฏในตารางที่เกี่ยวข้องภายใต้เมนูการวิเคราะห์
• รวบรวมที่อยู่ IP, พอร์ต และโปรโตคอลของเซิร์ฟเวอร์ syslog (UDP หรือ TCP):
• ตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณสามารถเข้าถึงเซิร์ฟเวอร์ syslog ได้
• ยืนยันว่าเซิร์ฟเวอร์ syslog สามารถรับข้อความระยะไกลได้
• สำหรับข้อมูลสำคัญเกี่ยวกับการบันทึกการเชื่อมต่อ โปรดดูบทเกี่ยวกับการบันทึกการเชื่อมต่อ

ขั้นตอน

• ขั้นตอนที่ 1 กำหนดการตั้งค่า syslog สำหรับอุปกรณ์ Firepower Threat Defense ของคุณ:
  • คลิกอุปกรณ์ > การตั้งค่าแพลตฟอร์ม
  • แก้ไขนโยบายการตั้งค่าแพลตฟอร์มที่เกี่ยวข้องกับอุปกรณ์ Firepower Threat Defense ของคุณ
  • ในบานหน้าต่างนำทางด้านซ้าย คลิก Syslog
  • คลิกเซิร์ฟเวอร์ Syslog และคลิกเพิ่มเพื่อป้อนเซิร์ฟเวอร์ โปรโตคอล อินเทอร์เฟซ และข้อมูลที่เกี่ยวข้อง หากคุณมีคำถามเกี่ยวกับตัวเลือกในหน้านี้ โปรดดูที่กำหนดค่าเซิร์ฟเวอร์ Syslog
  • คลิกการตั้งค่า Syslog และกำหนดการตั้งค่าต่อไปนี้:
    • เปิดใช้งานไทม์สamp บนข้อความ Syslog
    • เวลาamp รูปแบบ
    • เปิดใช้งานรหัสอุปกรณ์ Syslog
  • คลิกการตั้งค่าการบันทึก
  • เลือกว่าจะส่งบันทึกระบบในรูปแบบ EMBLEM หรือไม่
  • บันทึกการตั้งค่าของคุณ
• ขั้นตอนที่ 2 กำหนดการตั้งค่าการบันทึกทั่วไปสำหรับนโยบายการควบคุมการเข้าถึง (รวมถึง file และการบันทึกมัลแวร์):
  • คลิกนโยบาย > การควบคุมการเข้าถึง
  • แก้ไขนโยบายการควบคุมการเข้าถึงที่เกี่ยวข้อง
  • คลิกการบันทึก
  • เลือก FTD 6.3 และใหม่กว่า: ใช้การตั้งค่า syslog ที่กำหนดค่าไว้ในนโยบายการตั้งค่าแพลตฟอร์ม FTD ที่ปรับใช้บนอุปกรณ์
  • (ไม่บังคับ) เลือกความรุนแรงของ Syslog
  • ถ้าจะส่ง file และเหตุการณ์มัลแวร์ ให้เลือกส่งข้อความ Syslog สำหรับ File และเหตุการณ์มัลแวร์
  • คลิกบันทึก
• ขั้นตอนที่ 3 เปิดใช้งานการบันทึกเหตุการณ์การเชื่อมต่อที่เกี่ยวข้องกับความปลอดภัยสำหรับนโยบายการควบคุมการเข้าถึง:
  • ในนโยบายการควบคุมการเข้าถึงเดียวกัน ให้คลิกแท็บ Security Intelligence
  • ในแต่ละตำแหน่งต่อไปนี้ คลิกการบันทึก ( ) และเปิดใช้งานจุดเริ่มต้นและจุดสิ้นสุดของการเชื่อมต่อและเซิร์ฟเวอร์ Syslog:
    • นอกเหนือจากนโยบาย DNS
    • ในกล่องรายการบล็อก สำหรับเครือข่ายและสำหรับ URLs.
  • คลิกบันทึก
• ขั้นตอนที่ 4 เปิดใช้งานการบันทึก syslog สำหรับแต่ละกฎในนโยบายการควบคุมการเข้าถึง:
  • ในนโยบายการควบคุมการเข้าถึงเดียวกัน ให้คลิกแท็บกฎ
  • คลิกกฎเพื่อแก้ไข
  • คลิกแท็บการบันทึกในกฎ
  • เลือกว่าจะบันทึกจุดเริ่มต้นหรือจุดสิ้นสุดของการเชื่อมต่อ หรือทั้งสองอย่าง
    (การบันทึกการเชื่อมต่อจะสร้างข้อมูลจำนวนมาก การบันทึกทั้งจุดเริ่มต้นและจุดสิ้นสุดจะสร้างข้อมูลประมาณสองเท่า ไม่ใช่ทุกการเชื่อมต่อที่สามารถบันทึกได้ทั้งจุดเริ่มต้นและสิ้นสุด)
  • หากคุณจะเข้าสู่ระบบ file เหตุการณ์ ให้เลือก บันทึก Files.
  • เปิดใช้งานเซิร์ฟเวอร์ Syslog
  • ตรวจสอบว่ากฎคือ "การใช้การกำหนดค่า syslog เริ่มต้นในการบันทึกการควบคุมการเข้าถึง"
  • คลิกเพิ่ม
  • ทำซ้ำสำหรับแต่ละกฎในนโยบาย
• ขั้นตอนที่ 5 หากคุณจะส่งเหตุการณ์การบุกรุก:
  • นำทางไปยังนโยบายการบุกรุกที่เกี่ยวข้องกับนโยบายการควบคุมการเข้าถึงของคุณ
  • ในนโยบายการบุกรุกของคุณ คลิก การตั้งค่าขั้นสูง > การแจ้งเตือน Syslog > เปิดใช้งาน
  • หากจำเป็น คลิกแก้ไข
  • ป้อนตัวเลือก:
    

    ตัวเลือก	ค่า
    โฮสต์การบันทึก	เว้นแต่ว่าคุณจะส่งข้อความ syslog ของเหตุการณ์การบุกรุกไปยังเซิร์ฟเวอร์ syslog อื่นนอกเหนือจากที่คุณจะส่งข้อความ syslog อื่นๆ ให้เว้นว่างไว้เพื่อใช้การตั้งค่าที่คุณได้กำหนดไว้ข้างต้น
    สิ่งอำนวยความสะดวก	การตั้งค่านี้ใช้ได้เฉพาะเมื่อคุณระบุโฮสต์การบันทึกในหน้านี้ สำหรับคำอธิบาย โปรดดูที่สิ่งอำนวยความสะดวกการแจ้งเตือน Syslog
    ความรุนแรง	การตั้งค่านี้ใช้ได้เฉพาะเมื่อคุณระบุโฮสต์การบันทึกในหน้านี้ สำหรับคำอธิบาย โปรดดูที่ระดับความรุนแรงของ Syslog

  • คลิกย้อนกลับ
  • คลิกข้อมูลนโยบายในบานหน้าต่างนำทางด้านซ้าย
  • คลิกยอมรับการเปลี่ยนแปลง

จะต้องทำอย่างไรต่อไป

• (ไม่บังคับ) กำหนดการตั้งค่าการบันทึกที่แตกต่างกันสำหรับนโยบายและกฎแต่ละรายการ ดูแถวตารางที่เกี่ยวข้องในตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การเชื่อมต่อและข่าวกรองความปลอดภัย (อุปกรณ์ทั้งหมด)
  • การตั้งค่าเหล่านี้จะต้องมีการตอบสนองการแจ้งเตือน syslog ซึ่งได้รับการกำหนดค่าตามที่อธิบายไว้ในการสร้างการตอบสนองการแจ้งเตือน Syslog พวกเขาไม่ได้ใช้การตั้งค่าแพลตฟอร์มที่คุณกำหนดไว้ในขั้นตอนนี้
• หากต้องการกำหนดค่าการบันทึก Syslog เหตุการณ์ความปลอดภัยสำหรับอุปกรณ์ Classic โปรดดูที่ส่งข้อความ Syslog เหตุการณ์ความปลอดภัยจากอุปกรณ์ Classic
• หากคุณทำการเปลี่ยนแปลงเสร็จแล้ว ให้ปรับใช้การเปลี่ยนแปลงกับอุปกรณ์ที่ได้รับการจัดการ

ส่งข้อความ Syslog ของเหตุการณ์ความปลอดภัยจากอุปกรณ์แบบคลาสสิก

ก่อนที่คุณจะเริ่มต้น

• กำหนดค่านโยบายเพื่อสร้างกิจกรรมด้านความปลอดภัย
• ตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณสามารถเข้าถึงเซิร์ฟเวอร์ syslog ได้
• ยืนยันว่าเซิร์ฟเวอร์ syslog สามารถรับข้อความระยะไกลได้
• สำหรับข้อมูลสำคัญเกี่ยวกับการบันทึกการเชื่อมต่อ โปรดดูบทเกี่ยวกับการบันทึกการเชื่อมต่อ

ขั้นตอน

• ขั้นตอนที่ 1 กำหนดค่าการตอบกลับการแจ้งเตือนสำหรับอุปกรณ์ Classic ของคุณ: ดูการสร้างการตอบกลับการแจ้งเตือน Syslog
• ขั้นตอนที่ 2 กำหนดการตั้งค่า syslog ในนโยบายการควบคุมการเข้าถึง:
  • คลิกนโยบาย > การควบคุมการเข้าถึง
  • แก้ไขนโยบายการควบคุมการเข้าถึงที่เกี่ยวข้อง
  • คลิกการบันทึก
  • เลือกส่งโดยใช้การแจ้งเตือน syslog เฉพาะ
  • เลือกการแจ้งเตือน Syslog ที่คุณสร้างไว้ด้านบน
  • คลิกบันทึก
• ขั้นตอนที่ 3 หากคุณจะส่ง file และเหตุการณ์มัลแวร์:
  • เลือกส่งข้อความ Syslog สำหรับ File และเหตุการณ์มัลแวร์
  • คลิกบันทึก
• ขั้นตอนที่ 4 หากคุณจะส่งเหตุการณ์การบุกรุก:
  • นำทางไปยังนโยบายการบุกรุกที่เกี่ยวข้องกับนโยบายการควบคุมการเข้าถึงของคุณ
  • ในนโยบายการบุกรุกของคุณ คลิก การตั้งค่าขั้นสูง > การแจ้งเตือน Syslog > เปิดใช้งาน
  • หากจำเป็น คลิกแก้ไข
  • ป้อนตัวเลือก:
    

    ตัวเลือก	ค่า
    โฮสต์การบันทึก	เว้นแต่ว่าคุณจะส่งข้อความ syslog ของเหตุการณ์การบุกรุกไปยังเซิร์ฟเวอร์ syslog อื่นนอกเหนือจากที่คุณจะส่งข้อความ syslog อื่นๆ ให้เว้นว่างไว้เพื่อใช้การตั้งค่าที่คุณได้กำหนดไว้ข้างต้น
    สิ่งอำนวยความสะดวก	การตั้งค่านี้ใช้ได้เฉพาะเมื่อคุณระบุโฮสต์การบันทึกในหน้านี้ ดูสิ่งอำนวยความสะดวกการแจ้งเตือน Syslog
    ความรุนแรง	การตั้งค่านี้ใช้ได้เฉพาะเมื่อคุณระบุโฮสต์การบันทึกในหน้านี้ ดูระดับความรุนแรงของ Syslog

  • คลิกย้อนกลับ
  • คลิกข้อมูลนโยบายในบานหน้าต่างนำทางด้านซ้าย
  • คลิกยอมรับการเปลี่ยนแปลง

จะต้องทำอย่างไรต่อไป

• (ไม่บังคับ) กำหนดการตั้งค่าการบันทึกที่แตกต่างกันสำหรับกฎการควบคุมการเข้าถึงแต่ละรายการ ดูแถวตารางที่เกี่ยวข้องในตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การเชื่อมต่อและข่าวกรองความปลอดภัย (อุปกรณ์ทั้งหมด) การตั้งค่าเหล่านี้จะต้องมีการตอบสนองการแจ้งเตือน syslog ซึ่งได้รับการกำหนดค่าตามที่อธิบายไว้ในการสร้างการตอบสนองการแจ้งเตือน Syslog พวกเขาไม่ได้ใช้การตั้งค่าที่คุณกำหนดไว้ข้างต้น
• หากต้องการกำหนดค่าการบันทึกเหตุการณ์ความปลอดภัย syslog สำหรับอุปกรณ์ FTD โปรดดูที่ส่งข้อความ Syslog เหตุการณ์ความปลอดภัยจากอุปกรณ์ FTD

ตำแหน่งการกำหนดค่าสำหรับ Syslogs เหตุการณ์ความปลอดภัย

• ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การเชื่อมต่อและความปลอดภัย (อุปกรณ์ทั้งหมด)12
• ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การบุกรุก (อุปกรณ์ FTD)
• ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การบุกรุก (อุปกรณ์อื่นที่ไม่ใช่ FTD)
• ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับ File และเหตุการณ์มัลแวร์

ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การเชื่อมต่อและความปลอดภัย (อุปกรณ์ทั้งหมด)
มีหลายที่ในการกำหนดการตั้งค่าการบันทึก ใช้ตารางด้านล่างเพื่อให้แน่ใจว่าคุณได้ตั้งค่าตัวเลือกที่คุณต้องการ

สำคัญ

• โปรดใช้ความระมัดระวังเมื่อกำหนดการตั้งค่า syslog โดยเฉพาะอย่างยิ่งเมื่อใช้ค่าเริ่มต้นที่สืบทอดมาจากการกำหนดค่าอื่นๆ ตัวเลือกบางอย่างอาจไม่สามารถใช้ได้กับอุปกรณ์ที่ได้รับการจัดการบางรุ่นและเวอร์ชันซอฟต์แวร์ ดังที่ระบุไว้ในตารางด้านล่าง
• สำหรับข้อมูลสำคัญเมื่อกำหนดค่าการบันทึกการเชื่อมต่อ โปรดดูบทเกี่ยวกับการบันทึกการเชื่อมต่อ

การกำหนดค่า ที่ตั้ง	คำอธิบาย และ มากกว่า ข้อมูล
อุปกรณ์ > การตั้งค่าแพลตฟอร์ม, นโยบายการตั้งค่าการป้องกันภัยคุกคาม, ซิสล็อก	ตัวเลือกนี้ใช้กับอุปกรณ์ Firepower Threat Defense เท่านั้น การตั้งค่าที่คุณกำหนดค่าที่นี่สามารถระบุได้ในการตั้งค่าการบันทึกสำหรับนโยบายการควบคุมการเข้าถึง จากนั้นจึงใช้หรือแทนที่ใน นโยบายและกฎเกณฑ์ที่เหลืออยู่ในตารางนี้ ดูการตั้งค่าแพลตฟอร์ม FTD ที่ใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย และเกี่ยวกับ Syslog และหัวข้อย่อย
นโยบาย > การควบคุมการเข้าถึง- - การบันทึกข้อมูล	การตั้งค่าที่คุณกำหนดที่นี่คือการตั้งค่าเริ่มต้นสำหรับบันทึกระบบสำหรับการเชื่อมต่อและเหตุการณ์ข่าวกรองความปลอดภัยทั้งหมด เว้นแต่คุณจะแทนที่ค่าเริ่มต้นในนโยบายและกฎที่สืบทอดในตำแหน่งที่ระบุในแถวที่เหลือของตารางนี้ การตั้งค่าที่แนะนำสำหรับอุปกรณ์ FTD: ใช้การตั้งค่าแพลตฟอร์ม FTD สำหรับข้อมูล โปรดดูการตั้งค่าแพลตฟอร์ม FTD ที่นำไปใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย และ เกี่ยวกับ Syslog และหัวข้อย่อย การตั้งค่าที่จำเป็นสำหรับอุปกรณ์อื่นๆ ทั้งหมด: ใช้การแจ้งเตือน syslog หากคุณระบุการแจ้งเตือน syslog โปรดดูที่ การสร้างการตอบกลับการแจ้งเตือน Syslog สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าบนแท็บการบันทึก โปรดดูการตั้งค่าการบันทึกสำหรับนโยบายการควบคุมการเข้าถึง

นโยบาย > การควบคุมการเข้าถึง- - กฎ, การกระทำเริ่มต้น แถว, การบันทึกข้อมูล ( )	การตั้งค่าการบันทึกสำหรับการดำเนินการเริ่มต้นที่เกี่ยวข้องกับนโยบายการควบคุมการเข้าถึง ดูข้อมูลเกี่ยวกับการเข้าสู่ระบบในบทกฎการควบคุมการเข้าถึงและการบันทึกการเชื่อมต่อด้วยการดำเนินการเริ่มต้นของนโยบาย
นโยบาย > การควบคุมการเข้าถึง- - กฎ- - การบันทึกข้อมูล	การตั้งค่าการบันทึกสำหรับกฎเฉพาะในนโยบายการควบคุมการเข้าถึง ดูข้อมูลเกี่ยวกับการเข้าสู่ระบบในบทกฎการควบคุมการเข้าถึง
นโยบาย > การควบคุมการเข้าถึง- - หน่วยสืบราชการลับด้านความปลอดภัย, การบันทึกข้อมูล ( )	การตั้งค่าการบันทึกสำหรับรายการบล็อกข่าวกรองความปลอดภัย คลิกปุ่มเหล่านี้เพื่อกำหนดค่า: • ตัวเลือกการบันทึกรายการบล็อก DNS -  URL ตัวเลือกการบันทึกรายการบล็อก • ตัวเลือกการบันทึกรายการบล็อกเครือข่าย (สำหรับที่อยู่ IP ในรายการที่ถูกบล็อก)   ดูกำหนดค่า Security Intelligence รวมถึงส่วนข้อกำหนดเบื้องต้น หัวข้อย่อยและลิงก์
นโยบาย > SSL- - การกระทำเริ่มต้น แถว, การบันทึกข้อมูล ( )	การตั้งค่าการบันทึกสำหรับการดำเนินการเริ่มต้นที่เกี่ยวข้องกับนโยบาย SSL ดูการบันทึกการเชื่อมต่อด้วยการดำเนินการเริ่มต้นของนโยบาย
นโยบาย > เอสเอสแอล- - - การบันทึกข้อมูล	การตั้งค่าการบันทึกสำหรับกฎ SSL ดูส่วนประกอบของกฎ TLS/SSL
นโยบาย > ตัวกรองล่วงหน้า- - การกระทำเริ่มต้น แถว, การบันทึกข้อมูล ( )	การตั้งค่าการบันทึกสำหรับการดำเนินการเริ่มต้นที่เกี่ยวข้องกับนโยบายตัวกรองล่วงหน้า ดูการบันทึกการเชื่อมต่อด้วยการดำเนินการเริ่มต้นของนโยบาย
นโยบาย > ตัวกรองล่วงหน้า- - - การบันทึกข้อมูล	การตั้งค่าการบันทึกสำหรับกฎตัวกรองล่วงหน้าแต่ละรายการในนโยบายตัวกรองล่วงหน้า ดูส่วนประกอบของอุโมงค์และกฎตัวกรองล่วงหน้า
นโยบาย > ตัวกรองล่วงหน้า- - - การบันทึกข้อมูล	การตั้งค่าการบันทึกสำหรับกฎช่องสัญญาณแต่ละกฎในนโยบายตัวกรองล่วงหน้า ดูส่วนประกอบของอุโมงค์และกฎตัวกรองล่วงหน้า
การตั้งค่า syslog เพิ่มเติมสำหรับการกำหนดค่าคลัสเตอร์ FTD:	บทการทำคลัสเตอร์สำหรับ Firepower Threat Defense มีการอ้างอิงหลายรายการไปยัง syslog; ค้นหาบทสำหรับ “syslog”

ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การบุกรุก (อุปกรณ์ FTD)
คุณสามารถระบุการตั้งค่า syslog สำหรับนโยบายการบุกรุกได้ในที่ต่างๆ และอาจสืบทอดการตั้งค่าจากนโยบายการควบคุมการเข้าถึงหรือการตั้งค่าแพลตฟอร์ม FTD หรือทั้งสองอย่างก็ได้

การกำหนดค่า ที่ตั้ง	คำอธิบาย และ มากกว่า ข้อมูล
อุปกรณ์ > แพลตฟอร์ม การตั้งค่า, นโยบายการตั้งค่าการป้องกันภัยคุกคาม, ซิสล็อก	ปลายทาง Syslog ที่คุณกำหนดค่าที่นี่สามารถระบุได้ในแท็บการบันทึกของนโยบายการควบคุมการเข้าถึง ซึ่งอาจเป็นค่าเริ่มต้นสำหรับนโยบายการบุกรุก ดูการตั้งค่าแพลตฟอร์ม FTD ที่ใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย และเกี่ยวกับ Syslog และหัวข้อย่อย
นโยบาย > การควบคุมการเข้าถึง- - การบันทึกข้อมูล	การตั้งค่าเริ่มต้นสำหรับปลายทาง syslog สำหรับการบุกรุก เหตุการณ์ต่างๆ หากนโยบายการบุกรุกไม่ได้ระบุโฮสต์การบันทึกอื่นๆ ดูการตั้งค่าการบันทึกสำหรับนโยบายการควบคุมการเข้าถึง
นโยบาย > การบุกรุก- - การตั้งค่าขั้นสูง, เปิดใช้งาน การแจ้งเตือน Syslog, คลิก แก้ไข	หากต้องการระบุตัวรวบรวม syslog นอกเหนือจากปลายทางที่ระบุในแท็บการบันทึกนโยบายการควบคุมการเข้าถึง และเพื่อระบุสิ่งอำนวยความสะดวกและความรุนแรง โปรดดูที่ การกำหนดค่าการแจ้งเตือน Syslog สำหรับเหตุการณ์การบุกรุก หากคุณต้องการใช้ ความรุนแรง or สิ่งอำนวยความสะดวก หรือทั้งสองอย่างตามที่กำหนดค่าไว้ในนโยบายการบุกรุก คุณต้องทำเช่นกัน กำหนดค่าโฮสต์การบันทึกในนโยบาย หากคุณใช้โฮสต์การบันทึกที่ระบุในนโยบายการควบคุมการเข้าถึง ระดับความรุนแรงและสิ่งอำนวยความสะดวกที่ระบุในนโยบายการบุกรุกจะไม่ถูกนำมาใช้

ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับเหตุการณ์การบุกรุก (อุปกรณ์อื่นที่ไม่ใช่ FTD)

• (ค่าเริ่มต้น) การตั้งค่าการบันทึกนโยบายการควบคุมการเข้าถึงสำหรับนโยบายการควบคุมการเข้าถึง หากคุณระบุการแจ้งเตือน syslog (โปรดดูการสร้างการตอบกลับการแจ้งเตือน Syslog)
• หรือดูการกำหนดค่าการแจ้งเตือน Syslog สำหรับเหตุการณ์การบุกรุก

ตามค่าเริ่มต้น นโยบายการบุกรุกจะใช้การตั้งค่าในแท็บการบันทึกของนโยบายการควบคุมการเข้าถึง หากไม่ได้กำหนดค่าการตั้งค่าที่ใช้กับอุปกรณ์อื่นที่ไม่ใช่ FTD ไว้ที่นั่น ระบบจะไม่ส่งบันทึกระบบสำหรับอุปกรณ์อื่นที่ไม่ใช่ FTD และไม่มีคำเตือนปรากฏขึ้น

ตำแหน่งการกำหนดค่าสำหรับ Syslogs สำหรับ File และเหตุการณ์มัลแวร์

การกำหนดค่า ที่ตั้ง	คำอธิบาย และ มากกว่า ข้อมูล
ในนโยบายการควบคุมการเข้าถึง: นโยบาย > การควบคุมการเข้าถึง- - การบันทึกข้อมูล	นี่คือตำแหน่งหลักสำหรับการกำหนดค่าระบบเพื่อส่ง syslogs ให้ file และเหตุการณ์มัลแวร์ หากคุณไม่ได้ใช้การตั้งค่า syslog ในการตั้งค่าแพลตฟอร์ม FTD คุณต้องสร้างการตอบกลับการแจ้งเตือนด้วย โปรดดูการสร้างการตอบกลับการแจ้งเตือน Syslog

การกำหนดค่า ที่ตั้ง	คำอธิบาย และ มากกว่า ข้อมูล
ในการตั้งค่าแพลตฟอร์มการป้องกันภัยคุกคาม Firepower: อุปกรณ์ > แพลตฟอร์ม การตั้งค่า, นโยบายการตั้งค่าการป้องกันภัยคุกคาม, ซิสล็อก	การตั้งค่าเหล่านี้ใช้กับอุปกรณ์ Firepower Threat Defense ที่ใช้เวอร์ชันที่รองรับเท่านั้น และเฉพาะเมื่อคุณกำหนดค่าแท็บการบันทึกในนโยบายการควบคุมการเข้าถึงเพื่อใช้การตั้งค่าแพลตฟอร์ม FTD ดูการตั้งค่าแพลตฟอร์ม FTD ที่ใช้กับข้อความ Syslog ของเหตุการณ์ความปลอดภัย และเกี่ยวกับ Syslog และหัวข้อย่อย
ในกฎการควบคุมการเข้าถึง: นโยบาย > การควบคุมการเข้าถึง- - - การบันทึกข้อมูล	หากคุณไม่ได้ใช้การตั้งค่า syslog ในการตั้งค่าแพลตฟอร์ม FTD คุณต้องสร้างการตอบกลับการแจ้งเตือนด้วย โปรดดูการสร้างการตอบกลับการแจ้งเตือน Syslog

กายวิภาคของข้อความ Syslog ของเหตุการณ์ความปลอดภัย

Exampข้อความเหตุการณ์ความปลอดภัยจาก FTD (เหตุการณ์การบุกรุก)

ตารางที่ 1: ส่วนประกอบของข้อความ Syslog เหตุการณ์ความปลอดภัย

รายการ ตัวเลข in Sample ข้อความ	ส่วนหัว องค์ประกอบ	คำอธิบาย
0	ปรีดี	ค่าลำดับความสำคัญที่แสดงถึงทั้งสิ่งอำนวยความสะดวกและความร้ายแรงของการแจ้งเตือน ค่าจะปรากฏในข้อความ syslog เฉพาะเมื่อคุณเปิดใช้งานการบันทึกในรูปแบบ EMBLEM โดยใช้การตั้งค่าแพลตฟอร์ม FMC ถ้าคุณ เปิดใช้งานการบันทึกเหตุการณ์การบุกรุกผ่านแท็บการบันทึกนโยบายการควบคุมการเข้าถึง ค่า PRI จะแสดงโดยอัตโนมัติในข้อความ syslog สำหรับข้อมูลเกี่ยวกับวิธีการเปิดใช้งานรูปแบบ EMBLEM โปรดดูที่เปิดใช้งานการบันทึกและกำหนดการตั้งค่าพื้นฐาน สำหรับข้อมูลเกี่ยวกับ PRI โปรดดู RFC5424.
1	เวลาamp	วันที่และเวลาที่ข้อความ syslog ถูกส่งจากอุปกรณ์ • (Syslogs ที่ส่งจากอุปกรณ์ FTD) สำหรับ syslogs ที่ส่งโดยใช้การตั้งค่าในนโยบายการควบคุมการเข้าถึงและลูกหลาน หรือหากระบุให้ใช้รูปแบบนี้ในการตั้งค่าแพลตฟอร์ม FTD รูปแบบวันที่คือรูปแบบที่กำหนดไว้ในเวลา ISO 8601amp ตามที่ระบุไว้ใน RFC 5424 (yyyy-MM-ddTHH:mm:ssZ) โดยที่ตัวอักษร Z ระบุเขตเวลา UTC • (Syslogs ที่ส่งจากอุปกรณ์อื่นๆ ทั้งหมด) สำหรับ syslogs ที่ส่งโดยใช้การตั้งค่าในนโยบายการควบคุมการเข้าถึงและลูกหลาน รูปแบบวันที่คือรูปแบบที่กำหนดไว้ในเวลา ISO 8601amp ตามที่ระบุไว้ใน RFC 5424 (yyyy-MM-ddTHH:mm:ssZ) โดยที่ตัวอักษร Z ระบุเขตเวลา UTC • มิฉะนั้น จะเป็นเดือน วัน และเวลาในเขตเวลา UTC แม้ว่าจะไม่ได้ระบุโซนเวลาก็ตาม   เพื่อกำหนดค่าเวลาamp การตั้งค่าในการตั้งค่าแพลตฟอร์ม FTD โปรดดูกำหนดการตั้งค่า Syslog
2	อุปกรณ์หรืออินเทอร์เฟซที่ใช้ส่งข้อความ นี่สามารถเป็น: • ที่อยู่ IP ของอินเทอร์เฟซ • ชื่อโฮสต์ของอุปกรณ์ • ตัวระบุอุปกรณ์ที่กำหนดเอง	(สำหรับบันทึกระบบที่ส่งจากอุปกรณ์ FTD) หากข้อความ syslog ถูกส่งโดยใช้การตั้งค่าแพลตฟอร์ม FTD นี่คือค่าที่กำหนดค่าไว้ การตั้งค่า Syslog สำหรับ เปิดใช้งานรหัสอุปกรณ์ Syslog ตัวเลือกหากระบุไว้ มิฉะนั้น องค์ประกอบนี้จะไม่ปรากฏในส่วนหัว หากต้องการกำหนดการตั้งค่านี้ในการตั้งค่าแพลตฟอร์ม FTD โปรดดูกำหนดการตั้งค่า Syslog

3	ค่าที่กำหนดเอง	หากข้อความถูกส่งโดยใช้การตอบกลับการแจ้งเตือน นี่คือ Tag ค่าที่กำหนดค่าในการตอบกลับการแจ้งเตือนที่ส่งข้อความ หากกำหนดค่าไว้ (โปรดดูการสร้างการตอบกลับการแจ้งเตือน Syslog) มิฉะนั้น องค์ประกอบนี้จะไม่ปรากฏในส่วนหัว
4	%เอฟทีดี %NGIPS	ประเภทของอุปกรณ์ที่ส่งข้อความ • %FTD คือพลังป้องกันภัยคุกคามจากอาวุธ • %NGIPS คืออุปกรณ์อื่นๆ ทั้งหมด
5	ความรุนแรง	ความรุนแรงที่ระบุในการตั้งค่า syslog สำหรับนโยบายที่ทริกเกอร์ข้อความ สำหรับคำอธิบายความรุนแรง โปรดดูระดับความรุนแรงหรือระดับความรุนแรงของ Syslog
6	ตัวระบุประเภทเหตุการณ์	• 430001: เหตุการณ์การบุกรุก • 430002: เหตุการณ์การเชื่อมต่อถูกบันทึกไว้เมื่อเริ่มต้นการเชื่อมต่อ • 430003: บันทึกเหตุการณ์การเชื่อมต่อเมื่อสิ้นสุดการเชื่อมต่อ   • 430004: File เหตุการณ์ • 430005: File เหตุการณ์มัลแวร์
-	สิ่งอำนวยความสะดวก	ดูสิ่งอำนวยความสะดวกในข้อความ Syslog ของเหตุการณ์ความปลอดภัย
-	ข้อความที่เหลือ	ฟิลด์และค่าที่คั่นด้วยเครื่องหมายทวิภาค ช่องที่มีค่าว่างหรือค่าที่ไม่รู้จักจะถูกละเว้นจากข้อความ สำหรับคำอธิบายฟิลด์ โปรดดู: • ฟิลด์เหตุการณ์การเชื่อมต่อและข่าวกรองความปลอดภัย • ฟิลด์เหตุการณ์การบุกรุก -  File และช่องเหตุการณ์มัลแวร์   บันทึก              รายการคำอธิบายฟิลด์มีทั้งฟิลด์ syslog และ ฟิลด์ที่มองเห็นได้ภายในงาน viewเอ้อ (ตัวเลือกเมนูใต้เมนูการวิเคราะห์ในศูนย์การจัดการอาวุธ web อินเทอร์เฟซ) ฟิลด์ที่ใช้ได้ผ่านทาง syslog จะมีป้ายกำกับเช่นนี้ มีบางช่องที่มองเห็นได้ภายในงาน viewไม่สามารถใช้ผ่าน syslog ได้ นอกจากนี้ ฟิลด์ syslog บางฟิลด์จะไม่รวมอยู่ในเหตุการณ์ viewเอ้อ (แต่อาจสามารถใช้ได้ผ่านการค้นหา) และบางฟิลด์จะรวมกันหรือแยกออกจากกัน

สิ่งอำนวยความสะดวกในข้อความ Syslog ของเหตุการณ์ความปลอดภัย
โดยทั่วไปค่าสิ่งอำนวยความสะดวกจะไม่เกี่ยวข้องกับข้อความ syslog สำหรับเหตุการณ์ด้านความปลอดภัย อย่างไรก็ตาม หากคุณต้องการสิ่งอำนวยความสะดวก ให้ใช้ตารางต่อไปนี้:

อุปกรณ์	เพื่อรวมสิ่งอำนวยความสะดวกในกิจกรรมการเชื่อมต่อ	ถึง รวม สิ่งอำนวยความสะดวก in เหตุการณ์การบุกรุก	ตำแหน่งในข้อความ Syslog
เอฟทีดี	ใช้ตัวเลือก EMBLEM ในการตั้งค่าแพลตฟอร์ม FTD สิ่งอำนวยความสะดวกอยู่เสมอ เตือน สำหรับเหตุการณ์การเชื่อมต่อเมื่อส่งข้อความ syslog โดยใช้การตั้งค่าแพลตฟอร์ม FTD	ใช้ตัวเลือก EMBLEM ในการตั้งค่าแพลตฟอร์ม FTD หรือ กำหนดค่าการบันทึกโดยใช้การตั้งค่า syslog ในนโยบายการบุกรุก หากคุณใช้นโยบายการบุกรุก คุณต้องระบุโฮสต์การบันทึกในการตั้งค่านโยบายการบุกรุกด้วย	สิ่งอำนวยความสะดวกไม่ปรากฏในส่วนหัวของข้อความ แต่ตัวรวบรวม syslog สามารถสืบทอดค่าได้ อ้างอิงจาก RFC 5424 ส่วน 6.2.1
		เปิดใช้งานการแจ้งเตือน syslog และ กำหนดค่าสิ่งอำนวยความสะดวกและความเข้มงวดในนโยบายการบุกรุก โปรดดูการกำหนดค่าการแจ้งเตือน Syslog สำหรับเหตุการณ์การบุกรุก
อุปกรณ์อื่นที่ไม่ใช่ FTD	ใช้การตอบสนองการแจ้งเตือน	ใช้การตั้งค่า syslog ในการตั้งค่าขั้นสูงของนโยบายการบุกรุก หรือการตอบสนองต่อการแจ้งเตือนที่ระบุในแท็บการบันทึกนโยบายการควบคุมการเข้าถึง

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ สิ่งอำนวยความสะดวกและระดับความรุนแรงสำหรับการแจ้งเตือน Syslog การบุกรุก และการสร้างการตอบสนองการแจ้งเตือน Syslog

ประเภทข้อความ Syslog ของ Firepower
Firepower สามารถส่งข้อมูล syslog ได้หลายประเภท ดังที่อธิบายไว้ในตารางต่อไปนี้:

ประเภทข้อมูล Syslog	ดู
บันทึกการตรวจสอบจาก FMC	สตรีมบันทึกการตรวจสอบไปยัง Syslog และบทการตรวจสอบระบบ
บันทึกการตรวจสอบจากอุปกรณ์คลาสสิก (ASA FirePOWER, NGIPSv)	สตรีมบันทึกการตรวจสอบจากอุปกรณ์แบบคลาสสิกและบทการตรวจสอบระบบ คำสั่ง CLI: syslog
ความสมบูรณ์ของอุปกรณ์และบันทึกที่เกี่ยวข้องกับเครือข่ายจากอุปกรณ์ FTD	เกี่ยวกับ Syslog และหัวข้อย่อย
บันทึกเหตุการณ์การเชื่อมต่อ ข้อมูลความปลอดภัย และบันทึกเหตุการณ์การบุกรุกจากอุปกรณ์ FTD	เกี่ยวกับการกำหนดค่าระบบเพื่อส่งข้อมูลเหตุการณ์ความปลอดภัยไปยัง Syslog
การเชื่อมต่อ ข้อมูลความปลอดภัย และบันทึกเหตุการณ์การบุกรุกจากอุปกรณ์ Classic	เกี่ยวกับการกำหนดค่าระบบเพื่อส่งข้อมูลเหตุการณ์ความปลอดภัยไปยัง Syslog

บันทึกสำหรับ file และเหตุการณ์มัลแวร์

เกี่ยวกับการกำหนดค่าระบบเพื่อส่งข้อมูลเหตุการณ์ความปลอดภัยไปยัง Syslog

ข้อจำกัดของ Syslog สำหรับเหตุการณ์ด้านความปลอดภัย

• หากคุณจะใช้ syslog หรือจัดเก็บเหตุการณ์ภายนอก ให้หลีกเลี่ยงอักขระพิเศษในชื่อออบเจ็กต์ เช่น ชื่อนโยบายและกฎ ชื่อออบเจ็กต์ไม่ควรมีอักขระพิเศษ เช่น เครื่องหมายจุลภาค ซึ่งแอปพลิเคชันที่ได้รับอาจใช้เป็นตัวคั่น
• อาจใช้เวลาถึง 15 นาทีก่อนที่เหตุการณ์จะปรากฏบนตัวรวบรวม syslog ของคุณ
• ข้อมูลดังต่อไปนี้ file และเหตุการณ์มัลแวร์ไม่พร้อมใช้งานผ่าน syslog:
• เหตุการณ์ย้อนหลัง
• เหตุการณ์ที่เกิดขึ้นโดย AMP สำหรับจุดสิ้นสุด

การสตรีมเซิร์ฟเวอร์ eStreamer

• Event Streamer (eStreamer) ช่วยให้คุณสามารถสตรีมข้อมูลเหตุการณ์หลายประเภทจาก Firepower Management Center ไปยังแอปพลิเคชันไคลเอนต์ที่พัฒนาขึ้นเอง สำหรับข้อมูลเพิ่มเติม โปรดดูคู่มือการรวม Firepower System Event Streamer
• ก่อนที่อุปกรณ์ที่คุณต้องการใช้เป็นเซิร์ฟเวอร์ eStreamer จะสามารถเริ่มการสตรีมเหตุการณ์ eStreamer ไปยังไคลเอนต์ภายนอกได้ คุณต้องกำหนดค่าเซิร์ฟเวอร์ eStreamer ให้ส่งเหตุการณ์ไปยังไคลเอนต์ ให้ข้อมูลเกี่ยวกับไคลเอนต์ และสร้างชุดข้อมูลรับรองการตรวจสอบสิทธิ์เพื่อใช้เมื่อสร้าง การสื่อสาร. คุณสามารถทำงานทั้งหมดนี้ได้จากอินเทอร์เฟซผู้ใช้ของอุปกรณ์ เมื่อการตั้งค่าของคุณได้รับการบันทึก กิจกรรมที่คุณเลือกจะถูกส่งต่อไปยังไคลเอนต์ eStreamer เมื่อมีการร้องขอ
• คุณสามารถควบคุมประเภทของเหตุการณ์ที่เซิร์ฟเวอร์ eStreamer สามารถส่งไปยังไคลเอนต์ที่ร้องขอได้

ตารางที่ 2: ประเภทเหตุการณ์ที่ส่งผ่านเซิร์ฟเวอร์ eStreamer

เหตุการณ์ พิมพ์	คำอธิบาย
เหตุการณ์การบุกรุก	เหตุการณ์การบุกรุกที่สร้างโดยอุปกรณ์ที่ได้รับการจัดการ
ข้อมูลแพ็คเก็ตเหตุการณ์การบุกรุก	แพ็กเก็ตที่เกี่ยวข้องกับเหตุการณ์การบุกรุก
ข้อมูลเพิ่มเติมของเหตุการณ์การบุกรุก	ข้อมูลเพิ่มเติมที่เกี่ยวข้องกับเหตุการณ์การบุกรุก เช่น ที่อยู่ IP เริ่มต้นของไคลเอ็นต์ที่เชื่อมต่อกับ web เซิร์ฟเวอร์ผ่านพร็อกซี HTTP หรือโหลดบาลานเซอร์
เหตุการณ์การค้นพบ	กิจกรรมการค้นพบเครือข่าย
ความสัมพันธ์ และอนุญาต รายการกิจกรรม	ความสัมพันธ์และการปฏิบัติตามข้อกำหนดอนุญาตรายการเหตุการณ์
การแจ้งเตือนธงผลกระทบ	การแจ้งเตือนผลกระทบที่สร้างโดย FMC
เหตุการณ์ของผู้ใช้	เหตุการณ์ของผู้ใช้

เหตุการณ์ พิมพ์	คำอธิบาย
เหตุการณ์มัลแวร์	เหตุการณ์มัลแวร์
File กิจกรรม	file เหตุการณ์ที่เกิดขึ้น
เหตุการณ์การเชื่อมต่อ	ข้อมูลเกี่ยวกับการรับส่งข้อมูลเซสชันระหว่างโฮสต์ที่ได้รับการตรวจสอบและโฮสต์อื่น ๆ ทั้งหมด

การเปรียบเทียบ Syslog และ eStreamer สำหรับเหตุการณ์ด้านความปลอดภัย

โดยทั่วไป องค์กรที่ปัจจุบันยังไม่มีการลงทุนที่สำคัญใน eStreamer ควรใช้ syslog แทน eStreamer เพื่อจัดการข้อมูลเหตุการณ์ด้านความปลอดภัยจากภายนอก

ซิสล็อก	อีสตรีมเมอร์
ไม่จำเป็นต้องปรับแต่ง	การปรับแต่งที่สำคัญและการบำรุงรักษาอย่างต่อเนื่องที่จำเป็นเพื่อรองรับการเปลี่ยนแปลงในแต่ละรุ่น
มาตรฐาน	กรรมสิทธิ์
มาตรฐาน Syslog ไม่ได้ป้องกันการสูญหายของข้อมูล โดยเฉพาะเมื่อใช้ UDP	การป้องกันข้อมูลสูญหาย
ส่งโดยตรงจากอุปกรณ์	ส่งจาก FMC โดยเพิ่มค่าใช้จ่ายในการประมวลผล
การสนับสนุนสำหรับ file และเหตุการณ์มัลแวร์ การเชื่อมต่อ เหตุการณ์ (รวมถึงเหตุการณ์ข่าวกรองด้านความปลอดภัย) และเหตุการณ์การบุกรุก	รองรับกิจกรรมทุกประเภทที่แสดงอยู่ใน eStreamer Server Streaming
ข้อมูลเหตุการณ์บางอย่างสามารถส่งได้จาก FMC เท่านั้น ดูข้อมูลที่ส่งผ่าน eStreamer เท่านั้น ไม่ใช่ผ่าน Syslog	รวมข้อมูลที่ไม่สามารถส่งผ่าน syslog จากอุปกรณ์ได้โดยตรง ดูข้อมูลที่ส่งผ่าน eStreamer เท่านั้น ไม่ใช่ผ่าน Syslog

ข้อมูลที่ส่งผ่าน eStreamer เท่านั้น ไม่ใช่ผ่าน Syslog
ข้อมูลต่อไปนี้มีให้เฉพาะจาก Firepower Management Center เท่านั้น จึงไม่สามารถส่งผ่าน syslog จากอุปกรณ์ได้:

• บันทึกแพ็คเก็ต
• เหตุการณ์การบุกรุก เหตุการณ์ข้อมูลพิเศษ
  สำหรับคำอธิบาย โปรดดูที่การสตรีมเซิร์ฟเวอร์ eStreamer
• สถิติและเหตุการณ์รวม
• กิจกรรมการค้นพบเครือข่าย
• กิจกรรมของผู้ใช้และกิจกรรมการเข้าสู่ระบบ
• เหตุการณ์ความสัมพันธ์
• สำหรับเหตุการณ์มัลแวร์:
  • คำตัดสินย้อนหลัง
  • ชื่อภัยคุกคามและการจัดการ เว้นแต่ข้อมูลเกี่ยวกับ SHA ที่เกี่ยวข้องได้รับการซิงโครไนซ์กับอุปกรณ์แล้ว
• ฟิลด์ต่อไปนี้:
  • ฟิลด์ Impact และ ImpactFlag
    สำหรับคำอธิบาย โปรดดูที่การสตรีมเซิร์ฟเวอร์ eStreamer
  • ฟิลด์ IOC_Count
• ID ดิบและ UUID ส่วนใหญ่
  ข้อยกเว้น:
  • Syslog สำหรับเหตุการณ์การเชื่อมต่อมีดังต่อไปนี้: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID และ SSL_RuleID
  • Syslogs สำหรับเหตุการณ์การบุกรุกประกอบด้วย IntrusionPolicyUUID, GeneratorID และ SignatureID
• ข้อมูลเมตาเพิ่มเติม รวมถึงแต่ไม่จำกัดเฉพาะ:
  • รายละเอียดผู้ใช้ที่ LDAP มอบให้ เช่น ชื่อนามสกุล แผนก หมายเลขโทรศัพท์ ฯลฯ Syslog จะให้เฉพาะชื่อผู้ใช้ในกิจกรรมเท่านั้น
  • รายละเอียดข้อมูลตามสถานะ เช่น รายละเอียดใบรับรอง SSL Syslog ให้ข้อมูลพื้นฐาน เช่น ลายนิ้วมือของใบรับรอง แต่จะไม่ให้รายละเอียดใบรับรองอื่นๆ เช่น CN ของใบรับรอง
  • ข้อมูลการใช้งานโดยละเอียด เช่น App Tags และหมวดหมู่ Syslog ระบุเฉพาะชื่อแอปพลิเคชันเท่านั้น ข้อความเมตาดาต้าบางข้อความยังมีข้อมูลเพิ่มเติมเกี่ยวกับออบเจ็กต์ด้วย
• ข้อมูลตำแหน่งทางภูมิศาสตร์

การเลือกประเภทกิจกรรม eStreamer

• กล่องกาเครื่องหมายการกำหนดค่าเหตุการณ์ eStreamer จะควบคุมเหตุการณ์ที่เซิร์ฟเวอร์ eStreamer สามารถส่งได้
• ลูกค้าของคุณยังต้องร้องขอประเภทกิจกรรมที่คุณต้องการให้รับโดยเฉพาะในข้อความคำขอที่ส่งไปยังเซิร์ฟเวอร์ eStreamer สำหรับข้อมูลเพิ่มเติม โปรดดูคู่มือการรวม Firepower System Event Streamer
• ในการปรับใช้หลายโดเมน คุณสามารถกำหนดค่า eStreamer Event Configuration ได้ที่ระดับโดเมนใดก็ได้ อย่างไรก็ตาม หากโดเมนระดับบนได้เปิดใช้งานประเภทเหตุการณ์ใดประเภทหนึ่ง คุณจะไม่สามารถปิดใช้งานประเภทเหตุการณ์นั้นในโดเมนระดับล่างได้
• คุณต้องเป็นผู้ใช้ผู้ดูแลระบบจึงจะสามารถดำเนินการนี้ได้ สำหรับ FMC

ขั้นตอน

• ขั้นตอนที่ 1 เลือกระบบ > บูรณาการ
• ขั้นตอนที่ 2 คลิก eStreamer
• ขั้นตอนที่ 3 ภายใต้การกำหนดค่าเหตุการณ์ eStreamer ให้เลือกหรือล้างกล่องกาเครื่องหมายถัดจากประเภทของเหตุการณ์ที่คุณต้องการให้ eStreamer ส่งต่อไปยังไคลเอนต์ที่ร้องขอ ตามที่อธิบายไว้ใน eStreamer Server Streaming
• ขั้นตอนที่ 4 คลิกบันทึก

การกำหนดค่าการสื่อสารไคลเอนต์ eStreamer

• ก่อนที่ eStreamer จะสามารถส่งกิจกรรม eStreamer ไปยังไคลเอนต์ได้ คุณต้องเพิ่มไคลเอนต์ไปยังฐานข้อมูลเพียร์ของเซิร์ฟเวอร์ eStreamer จากหน้า eStreamer คุณต้องคัดลอกใบรับรองการตรวจสอบสิทธิ์ที่สร้างโดยเซิร์ฟเวอร์ eStreamer ไปยังไคลเอนต์ด้วย หลังจากทำตามขั้นตอนเหล่านี้แล้ว คุณไม่จำเป็นต้องรีสตาร์ทบริการ eStreamer เพื่อให้ไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์ eStreamer
• ในการปรับใช้หลายโดเมน คุณสามารถสร้างไคลเอนต์ eStreamer ในโดเมนใดก็ได้ ใบรับรองการตรวจสอบสิทธิ์อนุญาตให้ไคลเอนต์ร้องขอกิจกรรมจากโดเมนของใบรับรองไคลเอนต์และโดเมนที่สืบทอดเท่านั้น หน้าการกำหนดค่า eStreamer จะแสดงเฉพาะไคลเอนต์ที่เชื่อมโยงกับโดเมนปัจจุบัน ดังนั้นหากคุณต้องการดาวน์โหลดหรือเพิกถอนใบรับรอง ให้สลับไปยังโดเมนที่สร้างไคลเอนต์
• คุณต้องเป็นผู้ดูแลระบบหรือผู้ใช้ Discovery Admin เพื่อดำเนินการงานนี้ สำหรับ FMC

ขั้นตอน

• ขั้นตอนที่ 1 เลือกระบบ > บูรณาการ
• ขั้นตอนที่ 2 คลิก eStreamer
• ขั้นตอนที่ 3 คลิกสร้างลูกค้า
• ขั้นตอนที่ 4 ในฟิลด์ชื่อโฮสต์ ป้อนชื่อโฮสต์หรือที่อยู่ IP ของโฮสต์ที่ใช้งานไคลเอนต์ eStreamer
  บันทึก หากคุณไม่ได้กำหนดค่าการแก้ไข DNS ให้ใช้ที่อยู่ IP
• ขั้นตอนที่ 5 หากคุณต้องการเข้ารหัสใบรับรอง fileให้ป้อนรหัสผ่านในช่องรหัสผ่าน
• ขั้นตอนที่ 6 คลิกบันทึก
  ขณะนี้เซิร์ฟเวอร์ eStreamer อนุญาตให้โฮสต์เข้าถึงพอร์ต 8302 บนเซิร์ฟเวอร์ eStreamer และสร้างใบรับรองการตรวจสอบสิทธิ์เพื่อใช้ระหว่างการตรวจสอบสิทธิ์ไคลเอ็นต์-เซิร์ฟเวอร์
• ขั้นตอนที่ 7 คลิกดาวน์โหลด ( ) ถัดจากชื่อโฮสต์ของไคลเอ็นต์เพื่อดาวน์โหลดใบรับรอง file.
• ขั้นตอนที่ 8 บันทึกใบรับรอง file ไปยังไดเร็กทอรีที่เหมาะสมซึ่งไคลเอ็นต์ของคุณใช้สำหรับการรับรองความถูกต้อง SSL
• ขั้นตอนที่ 9 หากต้องการเพิกถอนการเข้าถึงไคลเอ็นต์ คลิกลบ ( ) ถัดจากโฮสต์ที่คุณต้องการลบ
  โปรดทราบว่าคุณไม่จำเป็นต้องรีสตาร์ทบริการ eStreamer การเข้าถึงจะถูกเพิกถอนทันที

การวิเคราะห์เหตุการณ์ใน Splunk

• คุณสามารถใช้แอป Cisco Secure Firewall (fka Firepower) สำหรับ Splunk (เดิมชื่อ Cisco Firepower App สำหรับ Splunk) เป็นเครื่องมือภายนอกเพื่อแสดงและทำงานกับข้อมูลเหตุการณ์ Firepower เพื่อค้นหาและตรวจสอบภัยคุกคามบนเครือข่ายของคุณ
• จำเป็นต้องมี eStreamer นี่คือฟังก์ชันขั้นสูง ดูการสตรีมเซิร์ฟเวอร์ eStreamer
• สำหรับข้อมูลเพิ่มเติมโปรดดูที่ https://cisco.com/go/firepower-for-splunk.

การวิเคราะห์เหตุการณ์ใน IBM QRadar

• คุณสามารถใช้แอป Cisco Firepower สำหรับ IBM QRadar เป็นทางเลือกในการแสดงข้อมูลเหตุการณ์ และช่วยคุณวิเคราะห์ ค้นหา และตรวจสอบภัยคุกคามต่อเครือข่ายของคุณ
• จำเป็นต้องมี eStreamer นี่คือฟังก์ชันขั้นสูง ดูการสตรีมเซิร์ฟเวอร์ eStreamer
• สำหรับข้อมูลเพิ่มเติมโปรดดูที่ https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

ประวัติการวิเคราะห์ข้อมูลเหตุการณ์โดยใช้เครื่องมือภายนอก

คุณสมบัติ	เวอร์ชัน	รายละเอียด
ริบบิ้น SecureX	7.0	ริบบอน SecureX จะหมุนไปที่ SecureX เพื่อให้มองเห็นภาพรวมภัยคุกคามในผลิตภัณฑ์ความปลอดภัยของ Cisco ของคุณได้ทันที หากต้องการแสดงแถบ SecureX ใน FMC โปรดดู Firepower และ SecureX Integration Guide ที่ https://cisco.com/go/firepower-securex-documentation. หน้าจอใหม่/แก้ไข: หน้าใหม่: ระบบ > SecureX
ส่งกิจกรรมการเชื่อมต่อทั้งหมดไปยังระบบคลาวด์ของ Cisco	7.0	ตอนนี้คุณสามารถส่งกิจกรรมการเชื่อมต่อทั้งหมดไปยังระบบคลาวด์ของ Cisco แทนที่จะส่งเพียงกิจกรรมการเชื่อมต่อที่มีลำดับความสำคัญสูง หน้าจอใหม่/แก้ไข: ตัวเลือกใหม่บนหน้า ระบบ > บูรณาการ > บริการคลาวด์
เปิดตัวข้ามไปที่ view ข้อมูลใน Secure Network Analytics	6.7	คุณลักษณะนี้แนะนำวิธีที่รวดเร็วในการสร้างหลายรายการสำหรับอุปกรณ์ Secure Network Analytics ของคุณบนหน้า การวิเคราะห์ > การเปิดใช้งานข้ามบริบท รายการเหล่านี้ช่วยให้คุณสามารถคลิกขวาที่เหตุการณ์ที่เกี่ยวข้องเพื่อเปิดใช้งาน Secure Network Analytics ข้ามระบบเพื่อแสดงข้อมูลที่เกี่ยวข้องกับจุดข้อมูลที่คุณเปิดใช้งานข้ามเครือข่าย รายการเมนูใหม่: ระบบ > การบันทึก > การวิเคราะห์ความปลอดภัย และการบันทึก หน้าใหม่เพื่อกำหนดค่าการส่งเหตุการณ์ไปยัง Secure Network Analytics

การเปิดตัวข้ามบริบท จากประเภทฟิลด์เพิ่มเติม	6.7	ตอนนี้คุณสามารถเปิดใช้งานข้ามแอปพลิเคชันภายนอกได้โดยใช้ข้อมูลเหตุการณ์ประเภทเพิ่มเติมต่อไปนี้: • นโยบายการควบคุมการเข้าถึง • นโยบายการบุกรุก • โปรโตคอลการสมัคร • ใบสมัครลูกค้า -  Web แอปพลิเคชัน • ชื่อผู้ใช้ (รวมถึงขอบเขต)   ตัวเลือกเมนูใหม่: ขณะนี้ตัวเลือกการเปิดใช้ข้ามบริบทพร้อมใช้งานแล้วเมื่อคลิกขวาที่ประเภทข้อมูลด้านบนสำหรับเหตุการณ์ในวิดเจ็ตแดชบอร์ดและตารางเหตุการณ์บนเพจภายใต้เมนูการวิเคราะห์ แพลตฟอร์มที่รองรับ: ศูนย์การจัดการอำนาจการยิง
บูรณาการกับ IBM QRadar	6.0 และใหม่กว่า	ผู้ใช้ IBM QRadar สามารถใช้แอปเฉพาะ Firepower ใหม่เพื่อวิเคราะห์ข้อมูลเหตุการณ์ของตนได้ ฟังก์ชันการทำงานที่ใช้ได้จะได้รับผลกระทบจากเวอร์ชัน Firepower ของคุณ ดูการวิเคราะห์เหตุการณ์ใน IBM QRadar
การปรับปรุงการบูรณาการกับการตอบสนองภัยคุกคามของ Cisco SecureX	6.5	• รองรับระบบคลาวด์ระดับภูมิภาค: • สหรัฐอเมริกา (อเมริกาเหนือ) • ยุโรป   • รองรับประเภทกิจกรรมเพิ่มเติม: -  File และเหตุการณ์มัลแวร์ • เหตุการณ์การเชื่อมต่อที่มีลำดับความสำคัญสูง เหล่านี้เป็นเหตุการณ์การเชื่อมต่อที่เกี่ยวข้องกับสิ่งต่อไปนี้: • เหตุการณ์การบุกรุก • กิจกรรมข่าวกรองด้านความปลอดภัย -  File และเหตุการณ์มัลแวร์     หน้าจอที่แก้ไข: เปิดตัวเลือกใหม่ ระบบ > บูรณาการ > บริการคลาวด์. แพลตฟอร์มที่รองรับ: อุปกรณ์ทั้งหมดที่รองรับในรุ่นนี้ ไม่ว่าจะผ่านการผสานรวมโดยตรงหรือบันทึกระบบ
ซิสล็อก	6.5	ขณะนี้ฟิลด์ AccessControlRuleName พร้อมใช้งานในข้อความ syslog ของเหตุการณ์การบุกรุก
บูรณาการกับ Cisco Security Packet Analyzer	6.5	การสนับสนุนคุณลักษณะนี้ถูกลบออกแล้ว

บูรณาการกับการตอบสนองต่อภัยคุกคามของ Cisco SecureX	6.3 (ผ่าน syslog โดยใช้ proxy นักสะสม) 6.4 (โดยตรง)	ผสานรวมข้อมูลเหตุการณ์การบุกรุกของ Firepower เข้ากับข้อมูลจากแหล่งอื่นเพื่อให้เป็นหนึ่งเดียว view ภัยคุกคามบนเครือข่ายของคุณโดยใช้เครื่องมือวิเคราะห์ที่มีประสิทธิภาพในการตอบสนองต่อภัยคุกคามของ Cisco SecureX หน้าจอที่แก้ไข (เวอร์ชัน 6.4): เปิดตัวเลือกใหม่ ระบบ > บูรณาการ > บริการคลาวด์- แพลตฟอร์มที่รองรับ: อุปกรณ์ Firepower Threat Defense ที่ใช้เวอร์ชัน 6.3 (ผ่าน syslog) หรือ 6.4
รองรับ Syslog สำหรับ File และเหตุการณ์มัลแวร์	6.4	คุณสมบัติครบถ้วน file และข้อมูลเหตุการณ์มัลแวร์สามารถส่งจากอุปกรณ์ที่ได้รับการจัดการผ่านทาง syslog ได้แล้ว หน้าจอที่แก้ไข: นโยบาย > การควบคุมการเข้าถึง > การควบคุมการเข้าถึง > การบันทึก. แพลตฟอร์มที่รองรับ: อุปกรณ์ที่ได้รับการจัดการทั้งหมดที่ใช้เวอร์ชัน 6.4
บูรณาการกับ Splunk	รองรับเวอร์ชัน 6.x ทั้งหมด	ผู้ใช้ Splunk สามารถใช้แอป Splunk ใหม่แยกต่างหาก ซึ่งเป็นแอป Cisco Secure Firewall (fka Firepower) สำหรับ Splunk เพื่อวิเคราะห์เหตุการณ์ ฟังก์ชันการทำงานที่ใช้ได้จะได้รับผลกระทบจากเวอร์ชัน Firepower ของคุณ ดูการวิเคราะห์เหตุการณ์ใน Splunk
บูรณาการกับ Cisco Security Packet Analyzer	6.3	คุณลักษณะที่แนะนำ: ค้นหา Cisco Security Packet Analyzer ทันทีสำหรับแพ็กเก็ตที่เกี่ยวข้องกับเหตุการณ์ จากนั้นคลิกเพื่อตรวจสอบผลลัพธ์ใน Cisco Security Packet Analyzer หรือดาวน์โหลดเพื่อการวิเคราะห์และเครื่องมือภายนอกอื่น หน้าจอใหม่: ระบบ > การบูรณาการ > การวิเคราะห์ตัววิเคราะห์แพ็คเก็ต > ขั้นสูง > แบบสอบถามตัววิเคราะห์แพ็คเก็ต ตัวเลือกเมนูใหม่: ตัววิเคราะห์แพ็คเก็ตแบบสอบถาม รายการเมนูเมื่อคลิกขวาที่เหตุการณ์บนหน้า Dashboar และตารางเหตุการณ์บนหน้าเว็บภายใต้เมนูการวิเคราะห์ แพลตฟอร์มที่รองรับ: ศูนย์การจัดการอำนาจการยิง
การเปิดตัวข้ามบริบท	6.3	คุณลักษณะที่แนะนำ: คลิกขวาที่เหตุการณ์เพื่อค้นหาข้อมูลที่เกี่ยวข้องในรูปแบบที่กำหนดไว้ล่วงหน้าหรือกำหนดเอง URL-ตามทรัพยากรภายนอก หน้าจอใหม่: การวิเคราะห์ > ขั้นสูง > การเปิดตัวข้ามบริบท ตัวเลือกเมนูใหม่: หลายตัวเลือกเมื่อคลิกขวาที่เหตุการณ์บนหน้าแดชบอร์ดและแม้แต่ตารางบนหน้าเว็บภายใต้เมนูการวิเคราะห์ แพลตฟอร์มที่รองรับ: ศูนย์การจัดการอำนาจการยิง

ข้อความ Syslog สำหรับ เหตุการณ์การเชื่อมต่อและการบุกรุก	6.3	ความสามารถในการส่งเหตุการณ์การเชื่อมต่อและการบุกรุกที่มีคุณสมบัติครบถ้วนไปยังที่จัดเก็บข้อมูลภายนอกและเครื่องมือผ่าน syslog โดยใช้การกำหนดค่าแบบครบวงจรใหม่และง่ายขึ้น ขณะนี้ส่วนหัวของข้อความเป็นแบบมาตรฐานและรวมตัวระบุประเภทเหตุการณ์ และข้อความมีขนาดเล็กลงเนื่องจากช่องที่ไม่ทราบค่าและค่าว่างจะถูกละเว้น แพลตฟอร์มที่รองรับ: • ฟังก์ชันการทำงานใหม่ทั้งหมด: อุปกรณ์ FTD ที่ใช้เวอร์ชัน 6.3 • ฟังก์ชันใหม่บางอย่าง: อุปกรณ์ที่ไม่ใช่ FTD ที่ใช้เวอร์ชัน 6.3 • ฟังก์ชันใหม่น้อยลง: อุปกรณ์ทั้งหมดที่ใช้เวอร์ชันเก่ากว่า 6.3 สำหรับข้อมูลเพิ่มเติม โปรดดูหัวข้อภายใต้เกี่ยวกับการส่งข้อความ Syslog สำหรับเหตุการณ์ด้านความปลอดภัย
อีสตรีมเมอร์	6.3	ย้ายเนื้อหา eStreamer จากบท Host Identity Sources ไปยังบทนี้ และเพิ่มบทสรุปเปรียบเทียบ eStreamer กับ syslog