Guide Cisco Secure Firewall

Utilisez ce guide pour integrer Cybora dans Cisco Secure Firewall via les Security Intelligence feeds. Le workflow le plus courant consiste a creer le flux dans Secure Firewall Management Center, puis a l’utiliser dans la logique block ou do-not-block de votre Access Control Policy.

Ce que Cisco Secure Firewall peut faire avec un flux Cybora

  • Cisco Security Intelligence peut consommer des flux dynamiques pour les IP addresses, les domains et les URLs.
  • Le flux est recupere via HTTP ou HTTPS et mis a jour selon un intervalle configure.
  • Le flux importe peut ensuite etre utilise dans la section Security Intelligence du workflow d’access control pour bloquer ou surveiller le trafic correspondant.
  • Cette approche est particulierement utile lorsque vous voulez appliquer la threat intelligence tres tot, avant le reste de la logique d’access control.

Avant de commencer

  • Utilisez Secure Firewall Management Center ou cloud-delivered FMC avec la prise en charge de Security Intelligence.
  • Assurez-vous que votre deploiement respecte les exigences documentees par Cisco pour Security Intelligence et les custom feeds.
  • Assurez-vous que le management center peut atteindre l’URL du flux Cybora via HTTPS.
  • Choisissez le type de flux approprie : Network pour les IP addresses, DNS pour les domains ou URL pour les URLs.

Creer l’objet de flux

  1. Allez dans Objects > Object Management.
  2. Ouvrez, dans la section Security Intelligence, le type de flux correspondant a votre flux Cybora.
  3. Ajoutez un nouvel objet de flux.
  4. Saisissez un nom de flux clair.
  5. Definissez Type sur Feed.
  6. Collez l’URL du flux Cybora dans Feed URL.
  7. Configurez une MD5 URL uniquement si votre workflow de flux la prend en charge et si vous avez besoin d’optimiser des verifications de rafraichissement frequentes.
  8. Definissez Update Frequency en fonction de votre plan Cybora. Si votre workflow Cisco exige une MD5 URL pour des rafraichissements tres frequents, choisissez un intervalle qui respecte a la fois les exigences Cisco et votre plan Cybora. Une seule requete est permise dans l’intervalle autorise. Des interrogations trop frequentes peuvent entrainer le blocage du flux.
  9. Enregistrez l’objet de flux.

Appliquer le flux dans la policy

  1. Ouvrez l’Access Control Policy appropriee.
  2. Dans la section Security Intelligence, ajoutez le flux Cybora a la Block list ou a la logique de correspondance appropriee.
  3. Si vous preferez une phase d’observation, activez la journalisation et utilisez d’abord le flux dans un workflow non bloquant.
  4. Si vous voulez une protection immediate, utilisez le flux en mode blocking afin que les IPs, domains ou URLs correspondants soient refuses directement.
  5. Deployez la configuration sur les appareils geres.

Validation

  1. Confirmez que le flux est telecharge correctement dans Object Management.
  2. Verifiez que le flux est reference dans l’Access Control Policy prevue.
  3. Lancez si necessaire une mise a jour manuelle du flux pour valider la connectivite immediatement.
  4. Consultez les Security Intelligence events et les connection logs afin de confirmer les correspondances et l’application.

Liens utiles

Retour à l'accueil