Отсутствием записи в логах-анализ сетевой безопасности

9 0 0 0

Отсутствием записи в логах - анализ сетевой безопасности для eSight Solution (V300R002C00SPC303)

 

 

[Описание]

После завершении настройки info-center для межсетевого экрана (USG6300 V100R001C30SPC100). Нет записи в логах - анализа сетевой безопасности, даже если пользователи входят в брандмауэр.

1. Необходимо выбрать соответствующие правила фильтрации уровня журнала.

2. Конфигурация для data-flow отсутствует.

3. Policy logging & session logging не сконфигурированы в security-policy.

4. Модуль POLICY & SHELL не установлен в состояние

[Процесс]

1. План IP выглядит следующим образом:

eSight-10.0.22.117

USG6300 --- 10.0.12.23

Примечание: все IP-адреса для лабораторного теста

2. Проверьте часовой пояс и дату и время. Часовой пояс и дата / время FW и сборщик журналов совпадают.

3. Параметр «Log Source» - FW уже добавлен в log collector.

4. Проверьте запрос события (выберите «Весь журнал»).

1.jpg

Но для этого нет никаких записей.

5. Проверьте конфигурацию для FW. binary logsNGFW сохраняются и передаются в формате потока данных. Таким образом, конфигурация для потока данных необходима в брандмауэре.

Добавьте конфигурацию для потока данных:

#

data-flow loghost 1 ip-address 10.0.22.117 port 9903

data-flow loghost source ip-address 10.0.12.23  source-port 1617

#

 

6. Проверьте Event Query, записи по-прежнему нет. Проверьте правила фильтрации подробности, как показано ниже:

2.jpg

Настройка правил фильтрации: Log Level-->Notice. Это означает, что будет записан только уровень журнала выше Уведомления. Отключите все настройки для уровня журнала и типа журнала. Это поможет нам найти основную причину.

7. Точно так же, как дизайн: необходимо настроить Syslog и двоичного журнала для отправки binary log межзон и системных журналов системы в eSight для анализа администратором. Проверьте конфигурацию для FW снова. Ведение журнала политики и ведения журнала сеанса не применяется к правилу (security-policy).

#

security-policy

 default action permit

 rule name HA1

  source-zone local

  destination-zone HEARTH_BEAT

  action permit

 rule name HA2

  source-zone HEARTH_BEAT

  destination-zone local

  action permit                          

 rule name "MGMT_ADMINS"

  source-zone MGMT

  destination-zone _ADMINS

  action permit

 rule name "MGMT CZS_TO_CZS"

  source-zone MGMT

  destination-zone CZS_TO_CZS

  destination-address address-set "Front_END CZS_TO_CZS"

  action permit

 rule name "CZS_ADMINS do MGMT"

  source-zone CZS_ADMINS

  destination-zone MGMT

  action permit

 rule name "CZS_ADMINS do CZS_TO_CZS"

  source-zone CZS_ADMINS

  destination-zone CZS_TO_CZS

  destination-address address-set "Front_END CZS_TO_CZS"

  action permit

 rule name "CZS_ADMINS do INTERNET"

  source-zone CZS_ADMINS

  destination-zone INTERNET

  profile ips default

  action permit                          

 rule name "CZS_TO_CZS do MGMT"

  source-zone CZS_TO_CZS

  destination-zone MGMT

  source-address address-set "Front_END CZS_TO_CZS"

  action permit

 rule name "CZS_TO_CZS do CZS_ADMINS"

  source-zone CZS_TO_CZS

  destination-zone CZS_ADMINS

  source-address address-set "Front_END CZS_TO_CZS"

  action permit

 rule name IPSEC1

  source-zone INTERNET

  destination-zone local

  destination-address address-set IPSEC_INT

  action permit

 rule name IPSEC2

  source-zone local

  destination-zone INTERNET

  action permit

 rule name VPNUSER_ACCESS

  source-zone trust

  source-address address-set VPN_USER

  action permit                          

 rule name VPNUSER_ACCESS2

  destination-zone trust

  destination-address address-set VPN_USER

  action permit

 rule name "CZS_TO_CZS do MGMT eSight"

  source-zone CZS_TO_CZS

  destination-zone MGMT

  source-address 10.0.20.117 mask 255.255.255.255

  action permit

 rule name DO_LOOPBACK_MGMT

  source-zone local

  destination-zone MGMT

  source-address address-set MGMT_LOOPBACK

  action permit

 rule name DO_LOOPBACK_MGMT2

  source-zone MGMT

  destination-zone local

  destination-address address-set MGMT_LOOPBACK

  action permit

 rule name ESIGHT_POCZTA

  source-zone CZS_TO_CZS

  destination-zone INTERNET

  source-address address-set ESIGHT      

  source-address address-set ESIGHT_SWIDNICA

  source-address address-set TNMS_SWIDNICA

  source-address address-set DEBIAN1

  action permit

 rule name SCIANA_WIZYJNA_WROCLAW

  source-zone MGMT

  destination-zone INTERNET

  source-address address-set SCIANA_WIZYJNA

  source-address address-set SERWER_KAMERY

  action permit

 rule name "Trap information"

  source-address address-set "Trap source"

  destination-address address-set ESIGHT_SWIDNICA

  action permit

#

 

8. Настройте правило для регистрации совпадающих пакетов. Включить протокол совпадения пакетов

#

policy logging

session logging

#

 

9. Проверьте конфигурацию для info-center FW

#

 undo info-center source default channel 2

 info-center source SHELL channel 6 log level informational

 undo info-center source default channel 6

 info-center loghost source LoopBack1

info-center loghost 10.0.22.117 514 module SHELL SEC

#

 

10. Должны собрать функциональные модули (SHELL & POLICY) на устройстве. Добавьте конфигурацию, как показано ниже:

#

undo info-center loghost 10.0.22.117 514 module SHELL SEC

info-center loghost 10.0.22.117 514

info-center source POLICY channel loghost log state on

info-center source SHELL channel loghost log state on

#

 

11. Проверьте запрос события. Есть запись. Детали, как показано ниже:

3.jpg

12. Проверьте событие доступа. Есть запись. Детали, как показано ниже:

4.jpg

 


  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх