Guida Cisco Secure Firewall

Utilizza questa guida per integrare Cybora in Cisco Secure Firewall tramite Security Intelligence feeds. Il workflow piu comune consiste nel creare il feed in Secure Firewall Management Center e poi usarlo nella logica block o do-not-block della tua Access Control Policy.

Cosa puo fare Cisco Secure Firewall con un feed Cybora

• Cisco Security Intelligence puo consumare feed dinamici per IP addresses, domains e URLs.
• Il feed viene recuperato tramite HTTP o HTTPS e aggiornato all’intervallo configurato.
• Il feed importato puo poi essere usato nella sezione Security Intelligence del workflow di access control per bloccare o monitorare il traffico corrispondente.
• Questo approccio e particolarmente utile quando vuoi applicare la threat intelligence molto presto, prima che venga valutata la restante logica di access control.

Prima di iniziare

• Usa Secure Firewall Management Center o cloud-delivered FMC con supporto per Security Intelligence.
• Assicurati che il tuo deployment soddisfi i requisiti documentati da Cisco per Security Intelligence e custom feeds.
• Assicurati che il management center possa raggiungere la URL del feed Cybora tramite HTTPS.
• Scegli il tipo di feed corretto: Network per IP addresses, DNS per domains o URL per URLs.

Creare l’oggetto feed

1. Vai su Objects > Object Management.
2. Nella sezione Security Intelligence, apri il tipo di feed che corrisponde al tuo feed Cybora.
3. Aggiungi un nuovo oggetto feed.
4. Inserisci un nome chiaro per il feed.
5. Imposta Type su Feed.
6. Incolla la URL del feed Cybora in Feed URL.
7. Configura una MD5 URL solo se il tuo workflow di feed la supporta e se ti serve ottimizzare controlli di refresh frequenti.
8. Imposta Update Frequency in base al tuo piano Cybora. Se il tuo workflow Cisco richiede una MD5 URL per intervalli di refresh molto frequenti, usa un intervallo che rispetti sia i requisiti Cisco sia il tuo piano Cybora. E consentita una sola richiesta nell’intervallo permesso. Un polling eccessivo puo causare il blocco del feed.
9. Salva l’oggetto feed.

Applicare il feed nella policy

1. Apri la Access Control Policy pertinente.
2. Nella sezione Security Intelligence, aggiungi il feed Cybora alla Block list o alla logica di matching appropriata.
3. Se vuoi un rollout iniziale di osservazione, abilita il logging e usa prima il feed in un workflow non bloccante.
4. Se vuoi protezione immediata, usa il feed in modalita blocking in modo che IP, domains o URLs corrispondenti vengano negati direttamente.
5. Distribuisci la configurazione ai dispositivi gestiti.

Verifica

1. Conferma che il feed venga scaricato correttamente in Object Management.
2. Verifica che il feed sia referenziato nella Access Control Policy prevista.
3. Avvia un aggiornamento manuale del feed se hai bisogno di validare subito la connettivita.
4. Controlla i Security Intelligence events e i connection logs per confermare match ed enforcement.

Ulteriori letture

• Security Intelligence
• Custom Security Intelligence Feeds
• Creating Security Intelligence Feeds
• Custom Lists and Feeds: Requirements