Cisco Secure Firewall Anleitung

Verwenden Sie diese Anleitung, um Cybora ueber Security Intelligence feeds in Cisco Secure Firewall einzubinden. Der ueblichste Workflow besteht darin, den Feed in Secure Firewall Management Center zu erstellen und ihn dann in der Block- oder Do-not-block-Logik Ihrer Access Control Policy zu verwenden.

Was Cisco Secure Firewall mit einem Cybora-Feed machen kann

• Cisco Security Intelligence kann dynamische Feeds fuer IP-Adressen, Domains und URLs verarbeiten.
• Der Feed wird ueber HTTP oder HTTPS geladen und in einem konfigurierten Intervall aktualisiert.
• Der importierte Feed kann dann im Security-Intelligence-Bereich des Access-Control-Workflows verwendet werden, um passenden Traffic zu blockieren oder zu ueberwachen.
• Dieser Ansatz eignet sich besonders dann, wenn Threat Intelligence frueh durchgesetzt werden soll, bevor die restliche Access-Control-Logik ausgewertet wird.

Bevor Sie beginnen

• Verwenden Sie Secure Firewall Management Center oder cloud-delivered FMC mit Security Intelligence Support.
• Stellen Sie sicher, dass Ihr Deployment die von Cisco dokumentierten Voraussetzungen fuer Security Intelligence und Custom Feeds erfuellt.
• Stellen Sie sicher, dass das Management Center die Cybora-Feed-URL ueber HTTPS erreichen kann.
• Waehlen Sie den passenden Feed-Typ: Network fuer IP-Adressen, DNS fuer Domains oder URL fuer URLs.

Feed-Objekt erstellen

1. Gehen Sie zu Objects > Object Management.
2. Oeffnen Sie im Bereich Security Intelligence den Feed-Typ, der zu Ihrem Cybora-Feed passt.
3. Fuegen Sie ein neues Feed-Objekt hinzu.
4. Geben Sie einen klaren Feed-Namen ein.
5. Setzen Sie Type auf Feed.
6. Fuegen Sie die Cybora-Feed-URL in Feed URL ein.
7. Konfigurieren Sie eine MD5 URL nur dann, wenn Ihr Feed-Workflow dies unterstuetzt und Sie haeufigere Refresh-Pruefungen optimieren moechten.
8. Setzen Sie Update Frequency passend zu Ihrem Cybora-Plan. Wenn Ihr Cisco-Workflow fuer sehr haeufige Aktualisierungen eine MD5 URL benoetigt, waehlen Sie ein Intervall, das sowohl zu den Cisco-Anforderungen als auch zu Ihrem Cybora-Plan passt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Zu haeufiges Polling kann dazu fuehren, dass der Feed blockiert wird.
9. Speichern Sie das Feed-Objekt.

Feed in der Policy anwenden

1. Oeffnen Sie die relevante Access Control Policy.
2. Fuegen Sie im Bereich Security Intelligence den Cybora-Feed der Block List oder der passenden Matching-Logik hinzu.
3. Wenn Sie zunaechst nur beobachten moechten, aktivieren Sie Logging und verwenden Sie den Feed zuerst in einem nicht blockierenden Workflow.
4. Wenn Sie sofortigen Schutz moechten, verwenden Sie den Feed im Blocking-Modus, damit passende IPs, Domains oder URLs direkt verweigert werden.
5. Stellen Sie die Konfiguration auf den verwalteten Geraeten bereit.

Validierung

1. Bestaetigen Sie, dass der Feed in Object Management erfolgreich heruntergeladen wird.
2. Pruefen Sie, ob der Feed in der vorgesehenen Access Control Policy referenziert wird.
3. Loesen Sie bei Bedarf ein manuelles Feed-Update aus, um die Konnektivitaet sofort zu testen.
4. Pruefen Sie Security Intelligence Events und Connection Logs, um Treffer und Durchsetzung zu bestaetigen.

Weiterfuehrende Links

• Security Intelligence
• Custom Security Intelligence Feeds
• Creating Security Intelligence Feeds
• Custom Lists and Feeds: Requirements