Guia de Cisco Secure Firewall

Utilice esta guia para integrar Cybora en Cisco Secure Firewall mediante Security Intelligence feeds. El flujo mas habitual es crear el feed en Secure Firewall Management Center y luego utilizarlo en la logica block o do-not-block de su Access Control Policy.

Lo que Cisco Secure Firewall puede hacer con un feed de Cybora

• Cisco Security Intelligence puede consumir feeds dinamicos para IP addresses, domains y URLs.
• El feed se obtiene mediante HTTP o HTTPS y se actualiza en el intervalo configurado.
• El feed importado puede utilizarse despues en la seccion Security Intelligence del flujo de access control para bloquear o monitorizar el trafico coincidente.
• Este enfoque es especialmente util cuando quiere aplicar threat intelligence al principio, antes de que se evalue el resto de la logica de access control.

Antes de empezar

• Utilice Secure Firewall Management Center o cloud-delivered FMC con compatibilidad para Security Intelligence.
• Asegurese de que su despliegue cumple los requisitos documentados por Cisco para Security Intelligence y custom feeds.
• Asegurese de que el management center puede acceder a la URL del feed de Cybora mediante HTTPS.
• Elija el tipo de feed adecuado: Network para IP addresses, DNS para domains o URL para URLs.

Crear el objeto de feed

1. Vaya a Objects > Object Management.
2. En la seccion Security Intelligence, abra el tipo de feed que coincida con su feed de Cybora.
3. Agregue un nuevo objeto de feed.
4. Introduzca un nombre claro para el feed.
5. Configure Type como Feed.
6. Pegue la URL del feed de Cybora en Feed URL.
7. Configure una MD5 URL solo si su flujo de feed la admite y necesita optimizar comprobaciones de refresco frecuentes.
8. Configure Update Frequency de acuerdo con su plan de Cybora. Si su flujo de Cisco requiere una MD5 URL para intervalos de refresco muy frecuentes, utilice un intervalo que respete tanto los requisitos de Cisco como su plan de Cybora. Solo se permite una solicitud dentro del intervalo autorizado. Un polling excesivo puede hacer que el feed sea bloqueado.
9. Guarde el objeto de feed.

Aplicar el feed en la policy

1. Abra la Access Control Policy correspondiente.
2. En la seccion Security Intelligence, agregue el feed de Cybora a la Block list o a la logica de coincidencia adecuada.
3. Si desea un despliegue inicial de observacion, habilite logging y use primero el feed en un flujo no bloqueante.
4. Si desea proteccion inmediata, utilice el feed en modo blocking para que las IP, domains o URLs coincidentes sean denegados directamente.
5. Despliegue la configuracion en los dispositivos gestionados.

Validacion

1. Confirme que el feed se descarga correctamente en Object Management.
2. Verifique que el feed esta referenciado en la Access Control Policy prevista.
3. Lance una actualizacion manual del feed si necesita validar la conectividad de inmediato.
4. Revise los Security Intelligence events y los connection logs para confirmar coincidencias y enforcement.

Lecturas adicionales

• Security Intelligence
• Custom Security Intelligence Feeds
• Creating Security Intelligence Feeds
• Custom Lists and Feeds: Requirements