Benutzerhandbuch zur Cisco-Ereignisanalyse mithilfe externer Tools

Cisco-Ereignisanalyse mit externen Tools

Produktinformationen

Das Produkt ermöglicht Benutzern die Integration mit Cisco SecureX und den Zugriff darauf über die Ribbon-Funktion im FMC web Schnittstelle.

Technische Daten

• Integration: Cisco SecureX
• Schnittstelle: FMC web Schnittstelle
• Bandfunktion: Unten auf jeder Seite

Anweisungen zur Produktverwendung

Zugriff auf SecureX über die Multifunktionsleiste
Um über die Multifunktionsleistenfunktion auf SecureX zuzugreifen, führen Sie die folgenden Schritte aus:

1. Klicken Sie in FMC auf das Menüband unten auf einer beliebigen FMC-Seite.
2. Klicken Sie auf „SecureX herunterladen“.
3. Melden Sie sich bei SecureX an.
4. Klicken Sie auf den Link, um den Zugriff zu autorisieren.
5. Klicken Sie auf das Menüband, um es zu erweitern und zu verwenden.

Ereignisanalyse mit externen Tools
Um eine Ereignisanalyse mit externen Tools durchzuführen, gehen Sie folgendermaßen vor:

1. Klicken Sie in FMC auf das Menüband unten auf einer beliebigen FMC-Seite.
2. Klicken Sie auf „SecureX herunterladen“.
3. Melden Sie sich bei SecureX an.
4. Klicken Sie auf den Link, um den Zugriff zu autorisieren.
5. Klicken Sie auf das Menüband, um es zu erweitern und zu verwenden.

Ereignisanalyse mit Cisco SecureX Threat Response
Mit Cisco SecureX Threat Response (früher bekannt als Cisco Threat Response) können Benutzer Bedrohungen schnell erkennen, untersuchen und darauf reagieren. Führen Sie die folgenden Schritte aus, um eine Ereignisanalyse mit Cisco SecureX Threat Response durchzuführen:

1. Klicken Sie in FMC auf das Menüband unten auf einer beliebigen FMC-Seite.
2. Klicken Sie auf „SecureX herunterladen“.
3. Melden Sie sich bei SecureX an.
4. Klicken Sie auf den Link, um den Zugriff zu autorisieren.
5. Klicken Sie auf das Menüband, um es zu erweitern und zu verwenden.

View Ereignisdaten in Cisco SecureX Threat Response

Zu view Ereignisdaten in Cisco SecureX Threat Response finden Sie hier
diese Schritte:

1. Melden Sie sich nach Aufforderung bei Cisco SecureX Threat Response an.

Ereignisuntersuchung mit Web-basierte Ressourcen
Zur Untersuchung von Ereignissen mit web-basierte Ressourcen befolgen Sie diese Schritte:

1. Melden Sie sich nach Aufforderung bei Cisco SecureX Threat Response an.
2. Verwenden Sie die kontextbezogene Cross-Launch-Funktion, um weitere Informationen zu potenziellen Bedrohungen zu finden web-basierte Ressourcen außerhalb des Firepower Management Centers.
3. Klicken Sie direkt von einem Event in das Event viewEr oder Dashboard im Firepower Management Center mit den relevanten Informationen in der externen Ressource.

Informationen zum Verwalten kontextbezogener Cross-Launch-Ressourcen
Externe verwalten web-basierte Ressourcen befolgen Sie diese Schritte:

1. Gehen Sie zu Analyse > Erweitert > Kontextueller Cross-Launch.
2. Verwalten Sie die von Cisco angebotenen vordefinierten Ressourcen und Ressourcen von Drittanbietern.
3. Sie können Ressourcen nach Bedarf deaktivieren, löschen oder umbenennen.

FAQs

• F: Was ist SecureX?
  A: SecureX ist eine Integrationsplattform in der Cisco Cloud, die es Benutzern ermöglicht, Vorfälle mithilfe von Daten zu analysieren, die aus mehreren Produkten, einschließlich Firepower, aggregiert wurden.
• F: Wie kann ich über die Multifunktionsleistenfunktion auf SecureX zugreifen?
  A: Um über die Multifunktionsleistenfunktion auf SecureX zuzugreifen, klicken Sie unten auf einer beliebigen FMC-Seite auf die Multifunktionsleiste und befolgen Sie die bereitgestellten Schritte.
• F: Kann ich view Ereignisdaten in Cisco SecureX Threat Response?
  A: Ja, das können Sie view Ereignisdaten in Cisco SecureX Threat Response, indem Sie sich nach Aufforderung anmelden.
• F: Wie kann ich Ereignisse mithilfe von untersuchen? web-basierte Ressourcen?
  A: Um Ereignisse zu untersuchen mit web-basierte Ressourcen, melden Sie sich bei Cisco SecureX Threat Response an und nutzen Sie die kontextbezogene Cross-Launch-Funktion, um relevante Informationen zu finden.

Integrieren Sie mit Cisco SecureX

View und arbeiten Sie mit Daten aus all Ihren Cisco-Sicherheitsprodukten und mehr über eine einzige Oberfläche, das SecureX-Cloud-Portal. Nutzen Sie die über SecureX verfügbaren Tools, um Ihre Bedrohungssuche und -untersuchung zu bereichern. SecureX kann auch nützliche Appliance- und Geräteinformationen bereitstellen, z. B. ob auf jedem Gerät die optimale Softwareversion ausgeführt wird.

• Weitere Informationen zu SecureX finden Sie unter http://www.cisco.com/c/en/us/products/security/securex.html.
• Informationen zur Integration von Firepower mit SecureX finden Sie im Firepower- und SecureX-Integrationshandbuch unter https://cisco.com/go/firepower-securex-documentation.

Greifen Sie über die Multifunktionsleiste auf SecureX zu
Das Menüband erscheint unten auf jeder Seite im FMC web Schnittstelle. Mit der Multifunktionsleiste können Sie schnell zu anderen Cisco-Sicherheitsprodukten wechseln und mit Bedrohungsdaten aus mehreren Quellen arbeiten.

Bevor Sie beginnen

• Wenn Sie das SecureX-Menüband unten im FMC nicht sehen web Verwenden Sie dieses Verfahren nicht, wenn Sie Schnittstellenseiten verwenden. Sehen Sie sich stattdessen das Firepower- und SecureX-Integrationshandbuch unter an https://cisco.com/go/firepower-securex-documentation.
• Wenn Sie noch kein SecureX-Konto haben, besorgen Sie sich eines bei Ihrer IT-Abteilung.

Verfahren

• Schritt 1 Klicken Sie in FMC auf das Menüband unten auf einer beliebigen FMC-Seite.
• Schritt 2: Klicken Sie auf „SecureX herunterladen“.
• Schritt 3 Melden Sie sich bei SecureX an.
• Schritt 4 Klicken Sie auf den Link, um den Zugriff zu autorisieren.
• Schritt 5 Klicken Sie auf das Menüband, um es zu erweitern und zu verwenden.

Nächste Schritte
Informationen zu Multifunktionsleistenfunktionen und deren Verwendung finden Sie in der Online-Hilfe in SecureX.

Ereignisanalyse mit Cisco SecureX-Bedrohungsreaktion

Cisco SecureX Threat Response war früher als Cisco Threat Response (CTR) bekannt. Erkennen, untersuchen und reagieren Sie schnell auf Bedrohungen mit Cisco SecureX Threat Response, der Integrationsplattform in der Cisco Cloud, mit der Sie Vorfälle mithilfe von Daten analysieren können, die aus mehreren Produkten aggregiert wurden, darunter Feuerkraft.

• Allgemeine Informationen zur Cisco SecureX-Bedrohungsreaktion finden Sie unter: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• Ausführliche Anweisungen zur Integration von Firepower mit Cisco SecureX Threat Response finden Sie unter:
• Das Firepower- und Cisco SecureX Threat Response-Integrationshandbuch unter https://cisco.com/go/firepower-ctr-integration-docs.

View Ereignisdaten in der Cisco SecureX-Bedrohungsreaktion

Bevor Sie beginnen

• Richten Sie die Integration wie im Integrationsleitfaden für Firepower und Cisco SecureX Threat Response unter beschrieben ein https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review In der Online-Hilfe von Cisco SecureX Threat Response erfahren Sie, wie Sie Bedrohungen finden, untersuchen und entsprechende Maßnahmen ergreifen.
• Sie benötigen Ihre Anmeldeinformationen, um auf Cisco SecureX Threat Response zuzugreifen.

Verfahren

Schritt 1
Führen Sie im Firepower Management Center einen der folgenden Schritte aus:

• So wechseln Sie ab einem bestimmten Ereignis zur Cisco SecureX-Bedrohungsreaktion:
  • Navigieren Sie zu einer Seite im Menü „Analyse > Einbrüche“, auf der ein unterstütztes Ereignis aufgeführt ist.
  • Klicken Sie mit der rechten Maustaste auf eine Quell- oder Ziel-IP-Adresse und wählen Sie aus View in SecureX.
• Zu view Veranstaltungsinfo allgemein:
  • Navigieren Sie zu System > Integrationen > Cloud Services.
  • Klicken Sie auf den Link zu view Ereignisse in der Cisco SecureX-Bedrohungsreaktion.

Schritt 2
Melden Sie sich nach Aufforderung bei Cisco SecureX Threat Response an.

Ereignisuntersuchung mit Web-basierte Ressourcen
Nutzen Sie die kontextbezogene Cross-Launch-Funktion, um schnell weitere Informationen zu potenziellen Bedrohungen zu finden web-basierte Ressourcen außerhalb des Firepower Management Centers. Zum Beispielample, du könntest:

• Suchen Sie nach einer verdächtigen Quell-IP-Adresse in einem Cloud-gehosteten Dienst von Cisco oder einem Drittanbieter, der Informationen über bekannte und vermutete Bedrohungen veröffentlicht, oder
• Suchen Sie in den historischen Protokollen Ihres Unternehmens nach früheren Vorfällen einer bestimmten Bedrohung, wenn Ihr Unternehmen diese Daten in einer SIEM-Anwendung (Security Information and Event Management) speichert.
• Suchen Sie nach Informationen zu einem bestimmten Thema file, einschließlich file Flugbahninformationen, wenn Ihr Unternehmen Cisco eingesetzt hat AMP für Endpunkte.

Wenn Sie ein Ereignis untersuchen, können Sie direkt von einem Ereignis in das Ereignis klicken viewEr oder Dashboard im Firepower Management Center mit den relevanten Informationen in der externen Ressource. Auf diese Weise können Sie schnell den Kontext zu einem bestimmten Ereignis basierend auf dessen IP-Adressen, Ports, Protokoll, Domäne und/oder SHA 256-Hash erfassen. Zum BeispielampAngenommen, Sie sehen sich das Top-Angreifer-Dashboard-Widget an und möchten weitere Informationen zu einer der aufgeführten Quell-IP-Adressen erhalten. Sie möchten sehen, welche Informationen Talos über diese IP-Adresse veröffentlicht, also wählen Sie die Ressource „Talos IP“. Die Talos web Die Website öffnet eine Seite mit Informationen zu dieser spezifischen IP-Adresse. Sie können aus einer Reihe vordefinierter Links zu häufig verwendeten Threat-Intelligence-Diensten von Cisco und Drittanbietern auswählen und benutzerdefinierte Links zu anderen hinzufügen web-basierte Dienste und für SIEMs oder andere Produkte, die über eine verfügen web Schnittstelle. Beachten Sie, dass für einige Ressourcen möglicherweise ein Konto oder ein Produktkauf erforderlich ist.

Informationen zum Verwalten kontextbezogener Cross-Launch-Ressourcen

• Externe verwalten web-basierte Ressourcen über die Seite Analyse > Erweitert > Kontextueller Cross-Launch.

Ausnahme:
Verwalten Sie Cross-Launch-Links zu einer Secure Network Analytics-Appliance, indem Sie dem Verfahren unter Konfigurieren von Cross-Launch-Links für Secure Network Analytics folgen.

• Von Cisco angebotene vordefinierte Ressourcen sind mit dem Cisco-Logo gekennzeichnet. Bei den übrigen Links handelt es sich um Ressourcen Dritter.
• Sie können alle Ressourcen, die Sie nicht benötigen, deaktivieren oder löschen oder sie beispielsweise umbenennenample, indem Sie einem Namen ein kleines „z“ voranstellen, sodass die Ressource am Ende der Liste sortiert wird. Durch das Deaktivieren einer Cross-Launch-Ressource wird diese für alle Benutzer deaktiviert. Sie können gelöschte Ressourcen nicht wiederherstellen, aber Sie können sie neu erstellen.
• Informationen zum Hinzufügen einer Ressource finden Sie unter Kontextbezogene Cross-Launch-Ressourcen hinzufügen.

Anforderungen für benutzerdefinierte kontextbezogene Cross-Launch-Ressourcen

Beim Hinzufügen benutzerdefinierter kontextbezogener Cross-Launch-Ressourcen:

• Ressourcen müssen über zugänglich sein web Browser.
• Es werden nur die Protokolle http und https unterstützt.
• Es werden nur GET-Anfragen unterstützt; POST-Anfragen sind nicht vorhanden.
• Kodierung von Variablen in URLs wird nicht unterstützt. Während für IPv6-Adressen möglicherweise die Kodierung von Doppelpunkttrennzeichen erforderlich ist, ist diese Kodierung für die meisten Dienste nicht erforderlich.
• Bis zu 100 Ressourcen können konfiguriert werden, einschließlich vordefinierter Ressourcen.
• Sie müssen ein Administrator oder ein Sicherheitsanalyst sein, um einen Cross-Launch zu erstellen. Sie können aber auch ein schreibgeschützter Sicherheitsanalyst sein, um diese zu verwenden.

Fügen Sie kontextbezogene Cross-Launch-Ressourcen hinzu

• Sie können kontextbezogene Cross-Launch-Ressourcen wie Threat-Intelligence-Dienste und SIEM-Tools (Security Information and Event Management) hinzufügen.
• In Multidomänenbereitstellungen können Sie Ressourcen in übergeordneten Domänen sehen und verwenden, Sie können jedoch nur Ressourcen in der aktuellen Domäne erstellen und bearbeiten. Die Gesamtzahl der Ressourcen über alle Domänen hinweg ist auf 100 begrenzt.

Bevor Sie beginnen

• Wenn Sie Links zu einer Secure Network Analytics-Appliance hinzufügen, prüfen Sie, ob die gewünschten Links bereits vorhanden sind. Die meisten Links werden automatisch für Sie erstellt, wenn Sie Cisco Security Analytics and Logging (On Premises) konfigurieren.
• Siehe Anforderungen für benutzerdefinierte kontextbezogene Cross-Launch-Ressourcen.
• Wenn es für die Ressource, mit der Sie eine Verknüpfung herstellen möchten, erforderlich ist, erstellen oder erhalten Sie ein Konto und die für den Zugriff erforderlichen Anmeldeinformationen. Optional können Sie jedem Benutzer, der Zugriff benötigt, Anmeldeinformationen zuweisen und verteilen.
• Bestimmen Sie die Syntax des Abfragelinks für die Ressource, auf die Sie verlinken möchten:
  • Greifen Sie über einen Browser auf die Ressource zu und formulieren Sie unter Verwendung der Dokumentation für diese Ressource nach Bedarf den Abfragelink, der für die Suche nach einem bestimmten s erforderlich istampGeben Sie die Art der Informationen an, die Ihr Abfragelink finden soll, beispielsweise eine IP-Adresse.
  • Führen Sie die Abfrage aus und kopieren Sie dann das Ergebnis URL aus der Adressleiste des Browsers.
  • Zum Beispielample, vielleicht haben Sie die Frage URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Verfahren

• Schritt 1
  Wählen Sie Analyse > Erweitert > Kontextueller Cross-Launch.
• Schritt 2: Klicken Sie auf „Neuer Cross-Launch“.
  Im angezeigten Formular erfordern alle mit einem Sternchen markierten Felder einen Wert.
• Schritt 3 Geben Sie einen eindeutigen Ressourcennamen ein.
• Schritt 4 Fügen Sie die Arbeit ein URL string von Ihrer Ressource in die URL Vorlagenfeld.
• Schritt 5 Ersetzen Sie die spezifischen Daten (z. B. eine IP-Adresse) in der Abfragezeichenfolge durch eine entsprechende Variable: Positionieren Sie Ihren Cursor und klicken Sie dann auf eine Variable (z. Bample, ip), um die Variable einzufügen.
  • Im Example aus dem Abschnitt „Bevor Sie beginnen“ oben, das Ergebnis URL könnte sein https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • Wenn der kontextbezogene Cross-Launch-Link verwendet wird, wird die Variable {ip} im URL wird durch die IP-Adresse ersetzt, auf die der Nutzer in diesem Fall mit der rechten Maustaste klickt viewäh oder Armaturenbrett.
  • Für eine Beschreibung jeder Variablen bewegen Sie den Mauszeiger über die Variable.
  • Sie können mehrere kontextbezogene Cross-Launch-Links für ein einzelnes Tool oder einen einzelnen Dienst erstellen und dabei jeweils unterschiedliche Variablen verwenden.
• Schritt 6 Klicken Sie auf „Testen mit Beispiel“.ample Daten ( ), um Ihren Link mit ex zu testenample Daten.
• Schritt 7 Beheben Sie alle Probleme.
• Schritt 8 Klicken Sie auf Speichern.

Untersuchen Sie Ereignisse mit kontextbezogenem Cross-Launch

Bevor Sie beginnen
Wenn für die Ressource, auf die Sie zugreifen möchten, Anmeldeinformationen erforderlich sind, stellen Sie sicher, dass Sie über diese Anmeldeinformationen verfügen.

Verfahren

• Schritt 1 Navigieren Sie zu einer der folgenden Seiten im Firepower Management Center, auf der Ereignisse angezeigt werden:
  • Ein Dashboard (Overview > Dashboards) oder
  • Ein Ereignis viewEr-Seite (jede Menüoption im Analysemenü, die eine Ereignistabelle enthält.)
• Schritt 2 Klicken Sie mit der rechten Maustaste auf das gewünschte Ereignis und wählen Sie die zu verwendende kontextbezogene Cross-Launch-Ressource aus.
  • Scrollen Sie bei Bedarf im Kontextmenü nach unten, um alle verfügbaren Optionen anzuzeigen.
  • Der Datentyp, auf den Sie mit der rechten Maustaste klicken, bestimmt die angezeigten Optionen. zum BeispielampWenn Sie also mit der rechten Maustaste auf eine IP-Adresse klicken, werden nur kontextbezogene Cross-Launch-Optionen angezeigt, die für IP-Adressen relevant sind.
  • Also zum BeispielampUm von Cisco Talos Bedrohungsinformationen über eine Quell-IP-Adresse im Top-Angreifer-Dashboard-Widget zu erhalten, wählen Sie Talos SrcIP oder Talos IP.
  • Wenn eine Ressource mehrere Variablen enthält, ist die Option zum Auswählen dieser Ressource nur für Ereignisse verfügbar, die für jede enthaltene Variable einen einzigen möglichen Wert haben.
  • Die kontextbezogene Cross-Launch-Ressource wird in einem separaten Browserfenster geöffnet.
  • Die Verarbeitung der Abfrage kann einige Zeit dauern, abhängig von der Menge der abzufragenden Daten, der Geschwindigkeit und der Beanspruchung der Ressource usw.
• Schritt 3 Melden Sie sich bei Bedarf bei der Ressource an.

Konfigurieren Sie Cross-Launch-Links für sichere Netzwerkanalysen

• Sie können einen Cross-Launch von Ereignisdaten in Firepower zu zugehörigen Daten in Ihrer Secure Network Analytics-Appliance durchführen.
• Weitere Informationen zum Produkt Secure Network Analytics finden Sie unter https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• Allgemeine Informationen zum kontextuellen Cross-Launch finden Sie unter Untersuchen von Ereignissen mithilfe kontextueller Cross-Launch.
• Verwenden Sie dieses Verfahren, um schnell eine Reihe von Cross-Launch-Links zu Ihrer Secure Network Analytics-Appliance zu konfigurieren.

Notiz

• Wenn Sie später Änderungen an diesen Links vornehmen müssen, kehren Sie zu diesem Verfahren zurück. Sie können keine Änderungen direkt auf der kontextbezogenen Cross-Launch-Eintragsseite vornehmen.
• Sie können manuell zusätzliche Links zum Cross-Launch in Ihrer Secure Network Analytics-Appliance erstellen, indem Sie das Verfahren unter „Kontextbezogene Cross-Launch-Ressourcen hinzufügen“ verwenden. Diese Links wären jedoch unabhängig von den automatisch erstellten Ressourcen und müssten daher manuell verwaltet (gelöscht, gelöscht) werden. aktualisiert usw.)

Bevor Sie beginnen

• Sie müssen über eine bereitgestellte und ausgeführte Secure Network Analytics-Appliance verfügen.
• Wenn Sie Firepower-Daten mithilfe von Cisco Security Analytics and Logging (On Premises) an Ihre Secure Network Analytics-Appliance senden möchten, finden Sie weitere Informationen unter Remote-Datenspeicherung auf einer Secure Network Analytics-Appliance.

Verfahren

• Schritt 1: Wählen Sie System > Protokollierung > Sicherheitsanalyse und Protokollierung aus.
• Schritt 2: Aktivieren Sie die Funktion.
• Schritt 3 Geben Sie den Hostnamen oder die IP-Adresse und den Port Ihrer Secure Network Analytics-Appliance ein. Der Standardport ist 443.
• Schritt 4 Klicken Sie auf Speichern.
• Schritt 5 Überprüfen Sie Ihre neuen Cross-Launch-Links: Wählen Sie Analyse > Erweitert > Kontextueller Cross-Launch. Wenn Sie Änderungen vornehmen müssen, kehren Sie zu diesem Verfahren zurück; Sie können keine Änderungen direkt auf der kontextbezogenen Cross-Launch-Eintragsseite vornehmen.

Nächste Schritte

• Zum Querstart von einem Ereignis zum Secure Network Analytics-Ereignis viewSie benötigen Ihre Secure Network Analytics-Anmeldeinformationen.
• Zum Cross-Launch von einem Event in das FMC-Event viewKlicken Sie in einem Browser oder Dashboard mit der rechten Maustaste auf die Tabellenzelle eines relevanten Ereignisses und wählen Sie die entsprechende Option aus.
• Es kann einige Zeit dauern, bis die Anfrage verarbeitet wird, abhängig von der abzufragenden Datenmenge, der Geschwindigkeit und der Nachfrage der Stealthwatch-Managementkonsole usw.

Informationen zum Senden von Syslog-Nachrichten für Sicherheitsereignisse

• Sie können Daten zu Verbindung, Sicherheitsinformationen, Einbruch usw. senden file und Malware-Ereignisse über Syslog an ein Security Information and Event Management (SIEM)-Tool oder eine andere externe Ereignisspeicher- und -verwaltungslösung.
• Diese Ereignisse werden manchmal auch als Snort®-Ereignisse bezeichnet.

Informationen zum Konfigurieren des Systems zum Senden von Sicherheitsereignisdaten an Syslog

Um das System zum Senden von Sicherheitsereignis-Syslogs zu konfigurieren, müssen Sie Folgendes wissen:

• Best Practices für die Konfiguration von Syslog-Nachrichten zu Sicherheitsereignissen
• Konfigurationsspeicherorte für Sicherheitsereignis-Syslogs
• FTD-Plattformeinstellungen, die für Sicherheitsereignis-Syslog-Meldungen gelten
• Wenn Sie in einer Richtlinie Änderungen an den Syslog-Einstellungen vornehmen, müssen Sie eine erneute Bereitstellung durchführen, damit die Änderungen wirksam werden.

Best Practices für die Konfiguration von Syslog-Nachrichten zu Sicherheitsereignissen

Gerät und Version	Konfiguration Standort
Alle	Wenn Sie Syslog verwenden oder Ereignisse extern speichern, vermeiden Sie Sonderzeichen in Objektnamen wie Richtlinien- und Regelnamen. Objektnamen sollten keine Sonderzeichen wie Kommas enthalten, die die empfangende Anwendung möglicherweise als Trennzeichen verwendet.

Feuerkraft-Bedrohungsabwehr

1.      Konfigurieren Sie die FTD-Plattformeinstellungen (Geräte > Plattformeinstellungen > Bedrohungsabwehreinstellungen > Syslog.) Siehe auch FTD-Plattformeinstellungen, die für Sicherheitsereignis-Syslog-Meldungen gelten. 2.      Wählen Sie auf der Registerkarte „Protokollierung“ Ihrer Zugriffskontrollrichtlinie die Verwendung der FTD-Plattformeinstellungen aus. 3.      (Für Einbruchsereignisse) Konfigurieren Sie Einbruchsrichtlinien, um die Einstellungen auf der Registerkarte „Protokollierung“ Ihrer Zugriffskontrollrichtlinie zu verwenden. (Dies ist die Standardeinstellung.)   Es wird nicht empfohlen, diese Einstellungen zu überschreiben. Wesentliche Details finden Sie unter Senden von Sicherheitsereignis-Syslog-Meldungen von FTD-Geräten.

Alle anderen Geräte

1.      Erstellen Sie eine Alarmreaktion. 2.      Konfigurieren Sie die Protokollierung der Zugriffskontrollrichtlinie, um die Warnungsreaktion zu verwenden. 3.      (Für Einbruchsereignisse) Konfigurieren Sie Syslog-Einstellungen in Einbruchsrichtlinien.  Ausführliche Informationen finden Sie unter Senden von Syslog-Meldungen zu Sicherheitsereignissen von klassischen Geräten.

Senden Sie Sicherheitsereignis-Syslog-Meldungen von FTD-Geräten
Dieses Verfahren dokumentiert die Best-Practice-Konfiguration zum Senden von Syslog-Nachrichten für Sicherheitsereignisse (Verbindung, sicherheitsrelevante Verbindung, Einbruch, fileund Malware-Ereignisse) von Firepower Threat Defense-Geräten.

Notiz
Viele Syslog-Einstellungen von Firepower Threat Defense gelten nicht für Sicherheitsereignisse. Konfigurieren Sie nur die in diesem Verfahren beschriebenen Optionen.

Bevor Sie beginnen

• Konfigurieren Sie in FMC Richtlinien zum Generieren von Sicherheitsereignissen und überprüfen Sie, ob die erwarteten Ereignisse in den entsprechenden Tabellen im Menü „Analyse“ angezeigt werden.
• Erfassen Sie die IP-Adresse, den Port und das Protokoll (UDP oder TCP) des Syslog-Servers:
• Stellen Sie sicher, dass Ihre Geräte den/die Syslog-Server erreichen können.
• Bestätigen Sie, dass der/die Syslog-Server Remote-Nachrichten akzeptieren können.
• Wichtige Informationen zur Verbindungsprotokollierung finden Sie im Kapitel zur Verbindungsprotokollierung.

Verfahren

• Schritt 1: Konfigurieren Sie die Syslog-Einstellungen für Ihr Firepower Threat Defense-Gerät:
  • Klicken Sie auf Geräte > Plattformeinstellungen.
  • Bearbeiten Sie die Plattformeinstellungsrichtlinie, die Ihrem Firepower Threat Defense-Gerät zugeordnet ist.
  • Klicken Sie im linken Navigationsbereich auf Syslog.
  • Klicken Sie auf „Syslog-Server“ und dann auf „Hinzufügen“, um Server, Protokoll, Schnittstelle und zugehörige Informationen einzugeben. Wenn Sie Fragen zu den Optionen auf dieser Seite haben, lesen Sie „Konfigurieren eines Syslog-Servers“.
  • Klicken Sie auf Syslog-Einstellungen und konfigurieren Sie die folgenden Einstellungen:
    • Aktivieren Sie Timestamp auf Syslog-Meldungen
    • Zeitamp Format
    • Aktivieren Sie die Syslog-Geräte-ID
  • Klicken Sie auf Protokollierungs-Setup.
  • Wählen Sie aus, ob Syslogs im EMBLEM-Format gesendet werden sollen oder nicht.
  • Speichern Sie Ihre Einstellungen.
• Schritt 2: Konfigurieren Sie allgemeine Protokollierungseinstellungen für die Zugriffskontrollrichtlinie (einschließlich file und Malware-Protokollierung):
  • Klicken Sie auf Richtlinien > Zugriffskontrolle.
  • Bearbeiten Sie die geltende Zugriffskontrollrichtlinie.
  • Klicken Sie auf Protokollierung.
  • Wählen Sie FTD 6.3 und höher: Verwenden Sie die Syslog-Einstellungen, die in der auf dem Gerät bereitgestellten FTD-Plattformeinstellungsrichtlinie konfiguriert sind.
  • (Optional) Wählen Sie einen Syslog-Schweregrad aus.
  • Wenn Sie senden file und Malware-Ereignisse wählen Sie Syslog-Nachrichten senden für File und Malware-Ereignisse.
  • Klicken Sie auf Speichern.
• Schritt 3 Aktivieren Sie die Protokollierung sicherheitsrelevanter Verbindungsereignisse für die Zugriffskontrollrichtlinie:
  • Klicken Sie in derselben Zugriffskontrollrichtlinie auf die Registerkarte Security Intelligence.
  • Klicken Sie an jedem der folgenden Orte auf Protokollierung ( ) und aktivieren Sie Anfang und Ende von Verbindungen und Syslog-Server:
    • Neben DNS-Richtlinie.
    • Im Feld Sperrliste für Netzwerke und für URLs.
  • Klicken Sie auf Speichern.
• Schritt 4 Aktivieren Sie die Syslog-Protokollierung für jede Regel in der Zugriffskontrollrichtlinie:
  • Klicken Sie in derselben Zugriffskontrollrichtlinie auf die Registerkarte Regeln.
  • Klicken Sie auf eine Regel, um sie zu bearbeiten.
  • Klicken Sie in der Regel auf die Registerkarte Protokollierung.
  • Wählen Sie, ob der Beginn oder das Ende von Verbindungen oder beides protokolliert werden soll.
    (Die Verbindungsprotokollierung erzeugt viele Daten; die Protokollierung sowohl am Anfang als auch am Ende erzeugt etwa doppelt so viele Daten. Nicht jede Verbindung kann sowohl am Anfang als auch am Ende protokolliert werden.)
  • Wenn Sie sich anmelden file Um Ereignisse anzuzeigen, wählen Sie „Protokoll“. Files.
  • Aktivieren Sie den Syslog-Server.
  • Stellen Sie sicher, dass die Regel „Standard-Syslog-Konfiguration in der Zugriffskontrollprotokollierung verwenden“ lautet.
  • Klicken Sie auf „Hinzufügen“.
  • Wiederholen Sie diesen Vorgang für jede Regel in der Richtlinie.
• Schritt 5 Wenn Sie Einbruchsereignisse senden:
  • Navigieren Sie zu der Einbruchsrichtlinie, die Ihrer Zugriffskontrollrichtlinie zugeordnet ist.
  • Klicken Sie in Ihrer Einbruchsrichtlinie auf Erweiterte Einstellungen > Syslog-Warnung > Aktiviert.
  • Klicken Sie bei Bedarf auf Bearbeiten
  • Geben Sie Optionen ein:
    

    Option	Wert
    Protokollierungshost	Sofern Sie Syslog-Meldungen zu Einbruchsereignissen nicht an einen anderen Syslog-Server senden als andere Syslog-Meldungen, lassen Sie dieses Feld leer, um die oben konfigurierten Einstellungen zu verwenden.
    Einrichtung	Diese Einstellung ist nur anwendbar, wenn Sie auf dieser Seite einen Protokollierungshost angeben. Beschreibungen finden Sie unter Syslog-Warnfunktionen.
    Schwere	Diese Einstellung ist nur anwendbar, wenn Sie auf dieser Seite einen Protokollierungshost angeben. Beschreibungen finden Sie unter Syslog-Schweregrade.

  • Klicken Sie auf Zurück.
  • Klicken Sie im linken Navigationsbereich auf Richtlinieninformationen.
  • Klicken Sie auf Änderungen übernehmen.

Nächste Schritte

• (Optional) Konfigurieren Sie verschiedene Protokollierungseinstellungen für einzelne Richtlinien und Regeln. Sehen Sie sich die entsprechenden Tabellenzeilen unter Konfigurationsspeicherorte für Syslogs für Verbindungs- und Security Intelligence-Ereignisse (alle Geräte) an.
  • Für diese Einstellungen sind Syslog-Warnungsantworten erforderlich, die wie unter „Erstellen einer Syslog-Warnungsantwort“ beschrieben konfiguriert werden. Sie verwenden nicht die Plattformeinstellungen, die Sie in diesem Verfahren konfiguriert haben.
• Informationen zum Konfigurieren der Syslog-Protokollierung von Sicherheitsereignissen für klassische Geräte finden Sie unter Senden von Syslog-Nachrichten zu Sicherheitsereignissen von klassischen Geräten.
• Wenn Sie mit den Änderungen fertig sind, stellen Sie Ihre Änderungen auf verwalteten Geräten bereit.

Senden Sie Syslog-Meldungen zu Sicherheitsereignissen von klassischen Geräten

Bevor Sie beginnen

• Konfigurieren Sie Richtlinien zum Generieren von Sicherheitsereignissen.
• Stellen Sie sicher, dass Ihre Geräte den/die Syslog-Server erreichen können.
• Bestätigen Sie, dass der/die Syslog-Server Remote-Nachrichten akzeptieren können.
• Wichtige Informationen zur Verbindungsprotokollierung finden Sie im Kapitel zur Verbindungsprotokollierung.

Verfahren

• Schritt 1 Konfigurieren Sie eine Alarmreaktion für Ihre Classic-Geräte: Siehe Erstellen einer Syslog-Alarmreaktion.
• Schritt 2: Konfigurieren Sie die Syslog-Einstellungen in der Zugriffskontrollrichtlinie:
  • Klicken Sie auf Richtlinien > Zugriffskontrolle.
  • Bearbeiten Sie die geltende Zugriffskontrollrichtlinie.
  • Klicken Sie auf Protokollierung.
  • Wählen Sie „Mit spezifischer Syslog-Warnung senden“ aus.
  • Wählen Sie die Syslog-Warnung aus, die Sie oben erstellt haben.
  • Klicken Sie auf Speichern.
• Schritt 3: Wenn Sie senden möchten file und Malware-Ereignisse:
  • Wählen Sie „Syslog-Nachrichten senden für“. File und Malware-Ereignisse.
  • Klicken Sie auf Speichern.
• Schritt 4 Wenn Sie Einbruchsereignisse senden:
  • Navigieren Sie zu der Einbruchsrichtlinie, die Ihrer Zugriffskontrollrichtlinie zugeordnet ist.
  • Klicken Sie in Ihrer Einbruchsrichtlinie auf Erweiterte Einstellungen > Syslog-Warnung > Aktiviert.
  • Klicken Sie bei Bedarf auf Bearbeiten
  • Geben Sie Optionen ein:
    

    Option	Wert
    Protokollierungshost	Sofern Sie Syslog-Meldungen zu Einbruchsereignissen nicht an einen anderen Syslog-Server senden als andere Syslog-Meldungen, lassen Sie dieses Feld leer, um die oben konfigurierten Einstellungen zu verwenden.
    Einrichtung	Diese Einstellung ist nur anwendbar, wenn Sie auf dieser Seite einen Protokollierungshost angeben. Siehe Syslog-Warnfunktionen.
    Schwere	Diese Einstellung ist nur anwendbar, wenn Sie auf dieser Seite einen Protokollierungshost angeben. Siehe Syslog-Schweregrade.

  • Klicken Sie auf Zurück.
  • Klicken Sie im linken Navigationsbereich auf Richtlinieninformationen.
  • Klicken Sie auf Änderungen übernehmen.

Nächste Schritte

• (Optional) Konfigurieren Sie verschiedene Protokollierungseinstellungen für einzelne Zugriffskontrollregeln. Sehen Sie sich die entsprechenden Tabellenzeilen unter Konfigurationsspeicherorte für Syslogs für Verbindungs- und Security Intelligence-Ereignisse (alle Geräte) an. Für diese Einstellungen sind Syslog-Warnungsantworten erforderlich, die wie unter „Erstellen einer Syslog-Warnungsantwort“ beschrieben konfiguriert werden. Sie verwenden nicht die Einstellungen, die Sie oben konfiguriert haben.
• Informationen zum Konfigurieren der Syslog-Protokollierung von Sicherheitsereignissen für FTD-Geräte finden Sie unter Senden von Syslog-Nachrichten zu Sicherheitsereignissen von FTD-Geräten.

Konfigurationsspeicherorte für Sicherheitsereignis-Syslogs

• Konfigurationsspeicherorte für Syslogs für Verbindungs- und Security Intelligence-Ereignisse (alle Geräte)12
• Konfigurationsspeicherorte für Syslogs für Einbruchsereignisse (FTD-Geräte)
• Konfigurationsspeicherorte für Syslogs für Einbruchsereignisse (andere Geräte als FTD)
• Konfigurationsspeicherorte für Syslogs für File und Malware-Ereignisse

Konfigurationsspeicherorte für Syslogs für Verbindungs- und Security Intelligence-Ereignisse (alle Geräte)
Es gibt viele Orte, an denen Sie Protokollierungseinstellungen konfigurieren können. Verwenden Sie die folgende Tabelle, um sicherzustellen, dass Sie die benötigten Optionen festlegen.

Wichtig

• Seien Sie vorsichtig, wenn Sie die Syslog-Einstellungen konfigurieren, insbesondere wenn Sie geerbte Standardeinstellungen aus anderen Konfigurationen verwenden. Einige Optionen sind möglicherweise NICHT für alle verwalteten Gerätemodelle und Softwareversionen verfügbar, wie in der folgenden Tabelle aufgeführt.
• Wichtige Informationen zur Konfiguration der Verbindungsprotokollierung finden Sie im Kapitel zur Verbindungsprotokollierung.

Konfiguration Standort	Beschreibung Und Mehr Information
Geräte > Plattformeinstellungen, Richtlinie „Einstellungen zur Bedrohungsabwehr“, Syslog	Diese Option gilt nur für Firepower Threat Defense-Geräte. Die hier konfigurierten Einstellungen können in den Protokollierungseinstellungen für eine Zugriffskontrollrichtlinie angegeben und dann in verwendet oder überschrieben werden verbleibende Richtlinien und Regeln in dieser Tabelle. Siehe FTD-Plattformeinstellungen, die auf Sicherheitsereignis-Syslog-Meldungen angewendet werden und Informationen zu Syslog und Unterthemen.
Richtlinien > Zugriffskontrolle, , Protokollierung	Die hier konfigurierten Einstellungen sind die Standardeinstellungen für Syslogs für alle Verbindungs- und Security-Intelligence-Ereignisse, es sei denn, Sie überschreiben die Standardeinstellungen in untergeordneten Richtlinien und Regeln an den in den verbleibenden Zeilen dieser Tabelle angegebenen Speicherorten. Empfohlene Einstellung für FTD-Geräte: Verwenden Sie die FTD-Plattformeinstellungen. Weitere Informationen finden Sie unter FTD-Plattformeinstellungen, die auf Sicherheitsereignis-Syslog-Meldungen angewendet werden, und „Informationen zu Syslog“ und Unterthemen. Erforderliche Einstellung für alle anderen Geräte: Verwenden Sie eine Syslog-Warnung. Wenn Sie eine Syslog-Warnung angeben, finden Sie weitere Informationen unter Erstellen einer Syslog-Warnungsantwort. Weitere Informationen zu den Einstellungen auf der Registerkarte „Protokollierung“ finden Sie unter Protokollierungseinstellungen für Zugriffskontrollrichtlinien.

Richtlinien > Zugriffskontrolle, , Regeln, Standardaktion Reihe, Protokollierung ( )	Protokollierungseinstellungen für die Standardaktion, die einer Zugriffskontrollrichtlinie zugeordnet ist. Weitere Informationen zur Protokollierung finden Sie im Kapitel „Zugriffskontrollregeln“ und „Verbindungen mit einer Richtlinienstandardaktion protokollieren“.
Richtlinien > Zugriffskontrolle, , Regeln, , Protokollierung	Protokollierungseinstellungen für eine bestimmte Regel in einer Zugriffskontrollrichtlinie. Informationen zur Protokollierung finden Sie im Kapitel „Zugriffskontrollregeln“.
Richtlinien > Zugriffskontrolle, , Security Intelligence, Protokollierung ( )	Protokollierungseinstellungen für Security Intelligence-Blocklisten. Klicken Sie zum Konfigurieren auf diese Schaltflächen: •  Protokollierungsoptionen für DNS-Blocklisten •  URL Protokollierungsoptionen für Sperrlisten • Protokollierungsoptionen für Netzwerk-Sperrlisten (für IP-Adressen auf der Sperrliste)   Siehe Konfigurieren von Security Intelligence, einschließlich des Abschnitts „Voraussetzungen“ sowie Unterthemen und Links.
Richtlinien > SSL, , Standardaktion Reihe, Protokollierung ( )	Protokollierungseinstellungen für die Standardaktion, die einer SSL-Richtlinie zugeordnet ist. Siehe Protokollieren von Verbindungen mit einer Richtlinien-Standardaktion.
Richtlinien > SSL, , , Protokollierung	Protokollierungseinstellungen für SSL-Regeln. Siehe TLS/SSL-Regelkomponenten.
Richtlinien > Vorfilter, , Standardaktion Reihe, Protokollierung ( )	Protokollierungseinstellungen für die Standardaktion, die einer Vorfilterrichtlinie zugeordnet ist. Siehe Protokollieren von Verbindungen mit einer Richtlinien-Standardaktion.
Richtlinien > Vorfilter, , , Protokollierung	Protokollierungseinstellungen für jede Vorfilterregel in einer Vorfilterrichtlinie. Siehe Tunnel- und Vorfilterregelkomponenten
Richtlinien > Vorfilter, , , Protokollierung	Protokollierungseinstellungen für jede Tunnelregel in einer Vorfilterrichtlinie. Siehe Tunnel- und Vorfilterregelkomponenten
Zusätzliche Syslog-Einstellungen für FTD-Cluster-Konfigurationen:	Das Kapitel „Clustering for the Firepower Threat Defense“ enthält mehrere Verweise auf Syslog; Durchsuchen Sie das Kapitel nach „Syslog“.

Konfigurationsspeicherorte für Syslogs für Einbruchsereignisse (FTD-Geräte)
Sie können Syslog-Einstellungen für Einbruchsrichtlinien an verschiedenen Stellen angeben und optional Einstellungen von der Zugriffskontrollrichtlinie oder den FTD-Plattformeinstellungen oder beiden übernehmen.

Konfiguration Standort	Beschreibung Und Mehr Information
Geräte > Plattform Einstellungen, Richtlinie „Einstellungen zur Bedrohungsabwehr“, Syslog	Syslog-Ziele, die Sie hier konfigurieren, können auf der Registerkarte „Protokollierung“ einer Zugriffskontrollrichtlinie angegeben werden, die als Standard für eine Einbruchsrichtlinie dienen kann. Siehe FTD-Plattformeinstellungen, die auf Sicherheitsereignis-Syslog-Meldungen angewendet werden und Informationen zu Syslog und Unterthemen.
Richtlinien > Zugriffskontrolle, , Protokollierung	Standardeinstellung für das Syslog-Ziel für Eindringlinge Ereignisse, wenn die Einbruchsrichtlinie keine anderen Protokollierungshosts angibt. Siehe Protokollierungseinstellungen für Zugriffskontrollrichtlinien.
Richtlinien > Einbruch, , Erweiterte Einstellungen, aktivieren Syslog-Warnungauf Bearbeiten	Informationen zum Festlegen anderer Syslog-Kollektoren als der auf der Registerkarte „Protokollierung“ der Zugriffskontrollrichtlinie angegebenen Ziele sowie zum Festlegen von Funktion und Schweregrad finden Sie unter Konfigurieren von Syslog-Warnungen für Einbruchsereignisse. Wenn Sie die Schwere or Einrichtung oder beides, wie in der Einbruchsrichtlinie konfiguriert, müssen Sie auch Konfigurieren Sie die Protokollierungshosts in der Richtlinie. Wenn Sie die in der Zugriffskontrollrichtlinie angegebenen Protokollierungshosts verwenden, werden der in der Einbruchsrichtlinie angegebene Schweregrad und die Funktion nicht verwendet.

Konfigurationsspeicherorte für Syslogs für Einbruchsereignisse (andere Geräte als FTD)

• (Standard) Protokollierungseinstellungen für Zugriffskontrollrichtlinien für Zugriffskontrollrichtlinien, WENN Sie eine Syslog-Warnung angeben (siehe Erstellen einer Syslog-Warnungsantwort.)
• Oder siehe Konfigurieren von Syslog-Warnungen für Einbruchsereignisse.

Standardmäßig verwendet die Einbruchsrichtlinie die Einstellungen auf der Registerkarte „Protokollierung“ der Zugriffskontrollrichtlinie. Wenn dort keine Einstellungen konfiguriert sind, die für andere Geräte als FTD gelten, werden keine Syslogs für andere Geräte als FTD gesendet und es wird keine Warnung angezeigt.

Konfigurationsspeicherorte für Syslogs für File und Malware-Ereignisse

Konfiguration Standort	Beschreibung Und Mehr Information
In einer Zugriffskontrollrichtlinie: Richtlinien > Zugriffskontrolle, , Protokollierung	Dies ist der Hauptspeicherort für die Konfiguration des Systems, für das Syslogs gesendet werden sollen file und Malware-Ereignisse. Wenn Sie die Syslog-Einstellungen in den FTD-Plattformeinstellungen nicht verwenden, müssen Sie auch eine Alarmantwort erstellen. Siehe Erstellen einer Syslog-Warnungsantwort.

Konfiguration Standort	Beschreibung Und Mehr Information
In den Einstellungen der Firepower Threat Defense-Plattform: Geräte > Plattform Einstellungen, Richtlinie „Einstellungen zur Bedrohungsabwehr“, Syslog	Diese Einstellungen gelten nur für Firepower Threat Defense-Geräte, auf denen unterstützte Versionen ausgeführt werden, und nur, wenn Sie die Registerkarte „Protokollierung“ in der Zugriffskontrollrichtlinie für die Verwendung von FTD-Plattformeinstellungen konfigurieren. Siehe FTD-Plattformeinstellungen, die auf Sicherheitsereignis-Syslog-Meldungen angewendet werden und Informationen zu Syslog und Unterthemen.
In einer Zugriffskontrollregel: Richtlinien > Zugriffskontrolle, , , Protokollierung	Wenn Sie die Syslog-Einstellungen in den FTD-Plattformeinstellungen nicht verwenden, müssen Sie auch eine Alarmantwort erstellen. Siehe Erstellen einer Syslog-Warnungsantwort.

Anatomie der Syslog-Meldungen von Sicherheitsereignissen

Example Sicherheitsereignismeldung von FTD (Intrusion Event)

Tabelle 1: Komponenten von Sicherheitsereignis-Syslog-Meldungen

Artikel Nummer in Sample Nachricht	Kopfbereich Element	Beschreibung
0	PRI	Der Prioritätswert, der sowohl die Einrichtung als auch den Schweregrad der Warnung darstellt. Der Wert erscheint nur dann in den Syslog-Meldungen, wenn Sie die Protokollierung im EMBLEM-Format mithilfe der FMC-Plattformeinstellungen aktivieren. Wenn du Wenn Sie die Protokollierung von Einbruchsereignissen über die Registerkarte „Protokollierung“ der Zugriffskontrollrichtlinie aktivieren, wird der PRI-Wert automatisch in den Syslog-Meldungen angezeigt. Informationen zum Aktivieren des EMBLEM-Formats finden Sie unter Protokollierung aktivieren und Grundeinstellungen konfigurieren. Informationen zu PRI finden Sie unter RFC5424.
1	Zeitamp	Datum und Uhrzeit, zu der die Syslog-Nachricht vom Gerät gesendet wurde. •  (Syslogs, die von FTD-Geräten gesendet werden) Für Syslogs, die mithilfe von Einstellungen in der Zugriffskontrollrichtlinie und ihren Nachkommen gesendet werden, oder wenn in den FTD-Plattformeinstellungen die Verwendung dieses Formats angegeben wurde, ist das Datumsformat das in der ISO 8601-Zeiteinstellung definierte Formatamp Format gemäß RFC 5424 (jjjj-MM-ttTHH:mm:ssZ), wobei der Buchstabe Z die UTC-Zeitzone angibt. •  (Syslogs, die von allen anderen Geräten gesendet werden) Für Syslogs, die mithilfe von Einstellungen in der Zugriffskontrollrichtlinie und ihren Nachkommen gesendet werden, ist das Datumsformat das in der ISO 8601-Zeiteinstellung definierte Formatamp Format gemäß RFC 5424 (jjjj-MM-ttTHH:mm:ssZ), wobei der Buchstabe Z die UTC-Zeitzone angibt. • Andernfalls handelt es sich um Monat, Tag und Uhrzeit in der UTC-Zeitzone, die Zeitzone wird jedoch nicht angegeben.   Um die Zeiten zu konfigurierenamp Weitere Informationen zur Einstellung in den FTD-Plattformeinstellungen finden Sie unter Konfigurieren der Syslog-Einstellungen.
2	Gerät oder Schnittstelle, von der die Nachricht gesendet wurde. Dies kann sein: •  IP-Adresse der Schnittstelle • Hostname des Geräts • Benutzerdefinierte Gerätekennung	(Für Syslogs, die von FTD-Geräten gesendet werden) Wenn die Syslog-Nachricht über die FTD-Plattformeinstellungen gesendet wurde, ist dies der in konfigurierte Wert Syslog-Einstellungen für die Aktivieren Sie die Syslog-Geräte-ID Option, falls angegeben. Andernfalls ist dieses Element nicht im Header vorhanden. Informationen zum Konfigurieren dieser Einstellung in den FTD-Plattformeinstellungen finden Sie unter Syslog-Einstellungen konfigurieren.

3	Benutzerdefinierten Wert	Wenn die Nachricht mithilfe einer Alarmantwort gesendet wurde, ist dies die Tag Wert, der in der Alarmantwort konfiguriert ist, die die Nachricht gesendet hat, sofern konfiguriert. (Siehe Erstellen einer Syslog-Alarmantwort.) Andernfalls ist dieses Element nicht im Header vorhanden.
4	%FTD %NGIPS	Typ des Geräts, das die Nachricht gesendet hat. •  %FTD ist Firepower Threat Defense •  %NGIPS gilt für alle anderen Geräte
5	Schwere	Der Schweregrad, der in den Syslog-Einstellungen für die Richtlinie angegeben ist, die die Nachricht ausgelöst hat. Beschreibungen des Schweregrads finden Sie unter Schweregrade oder Syslog-Schweregrade.
6	Kennung des Ereignistyps	•  430001: Einbruchsereignis •  430002: Verbindungsereignis zu Beginn der Verbindung protokolliert •  430003: Verbindungsereignis am Ende der Verbindung protokolliert   • 430004: File Ereignis • 430005: File Malware-Ereignis
—	Einrichtung	Siehe Einrichtung in Syslog-Meldungen zu Sicherheitsereignissen
—	Rest der Nachricht	Durch Doppelpunkte getrennte Felder und Werte. Felder mit leeren oder unbekannten Werten werden in Nachrichten weggelassen. Feldbeschreibungen finden Sie unter: •  Verbindungs- und Security-Intelligence-Ereignisfelder. • Felder für Einbruchsereignisse •  File und Malware-Ereignisfelder   Notiz              Feldbeschreibungslisten umfassen sowohl Syslog-Felder als auch Felder, die in der Veranstaltung sichtbar sind viewer (Menüoptionen im Menü „Analyse“ im Firepower Management Center web Schnittstelle.) Über Syslog verfügbare Felder sind als solche gekennzeichnet. Einige Felder sind im Ereignis sichtbar viewer sind nicht über Syslog verfügbar. Außerdem sind einige Syslog-Felder nicht im Ereignis enthalten viewäh (aber möglicherweise über die Suche verfügbar), und einige Felder sind kombiniert oder getrennt.

Einrichtung in Sicherheitsereignis-Syslog-Meldungen
Facility-Werte sind in Syslog-Meldungen für Sicherheitsereignisse im Allgemeinen nicht relevant. Wenn Sie jedoch eine Einrichtung benötigen, verwenden Sie die folgende Tabelle:

Gerät	Um eine Einrichtung in Verbindungsereignisse einzubeziehen	Zu Enthalten Einrichtung in Einbruchereignisse	Speicherort in der Syslog-Nachricht
FTD	Verwenden Sie die EMBLEM-Option in den FTD-Plattformeinstellungen. Einrichtung ist immer vorhanden ALARM für Verbindungsereignisse beim Senden von Syslog-Nachrichten mithilfe der FTD-Plattformeinstellungen.	Verwenden Sie die EMBLEM-Option in den FTD-Plattformeinstellungen oder Konfigurieren Sie die Protokollierung mithilfe der Syslog-Einstellungen in der Einbruchsrichtlinie. Wenn Sie die Einbruchsrichtlinie verwenden, müssen Sie auch den Protokollierungshost in den Einstellungen der Einbruchsrichtlinie angeben.	Facility erscheint nicht im Nachrichtenkopf, aber der Syslog-Collector kann den Wert ableiten Basierend auf RFC 5424, Abschnitt 6.2.1.
		Aktivieren Sie Syslog-Benachrichtigungen und Konfigurieren Sie Einrichtung und Schweregrad in der Einbruchsrichtlinie. Siehe Konfigurieren von Syslog-Warnungen für Einbruchsereignisse.
Andere Geräte als FTD	Verwenden Sie eine Warnreaktion.	Verwenden Sie die Syslog-Einstellung in den erweiterten Einstellungen der Einbruchsrichtlinie oder eine Alarmreaktion, die auf der Registerkarte „Protokollierung“ der Zugriffskontrollrichtlinie angegeben ist.

Weitere Informationen finden Sie unter Möglichkeiten und Schweregrade für Einbruchs-Syslog-Warnungen und Erstellen einer Syslog-Warnungsreaktion.

Firepower-Syslog-Nachrichtentypen
Firepower kann mehrere Syslog-Datentypen senden, wie in der folgenden Tabelle beschrieben:

Syslog-Datentyp	Sehen
Audit-Protokolle von FMC	Streamen Sie Überwachungsprotokolle nach Syslog und lesen Sie das Kapitel „Überwachung des Systems“.
Audit-Protokolle von klassischen Geräten (ASA FirePOWER, NGIPSv)	Streamen Sie Überwachungsprotokolle von klassischen Geräten und lesen Sie das Kapitel „Überwachung des Systems“. CLI-Befehl: syslog
Gerätezustands- und netzwerkbezogene Protokolle von FTD-Geräten	Über Syslog und Unterthemen
Verbindungs-, Sicherheitsinformationen und Einbruchsereignisprotokolle von FTD-Geräten	Informationen zum Konfigurieren des Systems zum Senden von Sicherheitsereignisdaten an Syslog.
Verbindungs-, Sicherheitsinformationen und Einbruchsereignisprotokolle von Classic-Geräten	Informationen zum Konfigurieren des Systems zum Senden von Sicherheitsereignisdaten an Syslog

Protokolle für file und Malware-Ereignisse

Informationen zum Konfigurieren des Systems zum Senden von Sicherheitsereignisdaten an Syslog

Einschränkungen von Syslog für Sicherheitsereignisse

• Wenn Sie Syslog verwenden oder Ereignisse extern speichern, vermeiden Sie Sonderzeichen in Objektnamen wie Richtlinien- und Regelnamen. Objektnamen sollten keine Sonderzeichen wie Kommas enthalten, die die empfangende Anwendung möglicherweise als Trennzeichen verwendet.
• Es kann bis zu 15 Minuten dauern, bis Ereignisse in Ihrem Syslog-Collector angezeigt werden.
• Daten für Folgendes file und Malware-Ereignisse sind über Syslog nicht verfügbar:
• Retrospektive Ereignisse
• Ereignisse generiert von AMP für Endpunkte

eStreamer-Server-Streaming

• Mit dem Event Streamer (eStreamer) können Sie verschiedene Arten von Ereignisdaten von einem Firepower Management Center an eine individuell entwickelte Client-Anwendung streamen. Weitere Informationen finden Sie im Firepower System Event Streamer-Integrationshandbuch.
• Bevor die Appliance, die Sie als eStreamer-Server verwenden möchten, mit dem Streamen von eStreamer-Ereignissen an einen externen Client beginnen kann, müssen Sie den eStreamer-Server so konfigurieren, dass er Ereignisse an Clients sendet, Informationen über den Client bereitstellt und eine Reihe von Authentifizierungsanmeldeinformationen generiert, die beim Einrichten verwendet werden Kommunikation. Sie können alle diese Aufgaben über die Benutzeroberfläche der Appliance ausführen. Sobald Ihre Einstellungen gespeichert sind, werden die von Ihnen ausgewählten Ereignisse auf Anfrage an eStreamer-Clients weitergeleitet.
• Sie können steuern, welche Arten von Ereignissen der eStreamer-Server an Clients übertragen kann, die diese anfordern.

Tabelle 2: Vom eStreamer-Server übertragbare Ereignistypen

Ereignis Typ	Beschreibung
Einbruchereignisse	Einbruchsereignisse, die von verwalteten Geräten generiert werden
Paketdaten zu Einbruchsereignissen	Pakete im Zusammenhang mit Einbruchsereignissen
Zusätzliche Daten zu Einbruchsereignissen	Zusätzliche Daten im Zusammenhang mit einem Einbruchsereignis, z. B. die Ursprungs-IP-Adressen eines Clients, der eine Verbindung zu einem herstellt web Server über einen HTTP-Proxy oder Load Balancer
Entdeckungsereignisse	Netzwerkerkennungsereignisse
Korrelation und Erlauben Auflisten von Ereignissen	Korrelation und Compliance erlauben Listenereignisse
Warnungen zu Auswirkungskennzeichen	Vom FMC generierte Auswirkungswarnungen
Benutzerereignisse	Benutzerereignisse

Ereignis Typ	Beschreibung
Malware-Ereignisse	Malware-Ereignisse
File Veranstaltungen	file Veranstaltungen
Verbindungsereignisse	Informationen über den Sitzungsverkehr zwischen Ihren überwachten Hosts und allen anderen Hosts.

Vergleich von Syslog und eStreamer für Security Eventing

Im Allgemeinen sollten Organisationen, die derzeit keine nennenswerten Investitionen in eStreamer haben, Syslog anstelle von eStreamer verwenden, um Sicherheitsereignisdaten extern zu verwalten.

Syslog	eStreamer
Keine Anpassung erforderlich	Erhebliche Anpassungen und laufende Wartung sind erforderlich, um Änderungen in jeder Version zu berücksichtigen
Standard	Proprietär
Der Syslog-Standard schützt nicht vor Datenverlust, insbesondere bei Verwendung von UDP	Schutz vor Datenverlust
Sendet direkt von Geräten	Sendet von FMC, erhöht den Verarbeitungsaufwand
Unterstützung für file und Malware-Ereignisse, Verbindung Ereignisse (einschließlich Security-Intelligence-Ereignisse) und Einbruchsereignisse.	Unterstützung für alle in eStreamer Server Streaming aufgeführten Ereignistypen.
Einige Ereignisdaten können nur von FMC gesendet werden. Siehe „Nur über eStreamer gesendete Daten, nicht über Syslog“.	Umfasst Daten, die nicht über Syslog direkt von Geräten gesendet werden können. Siehe „Nur über eStreamer gesendete Daten, nicht über Syslog“.

Daten werden nur über eStreamer gesendet, nicht über Syslog
Die folgenden Daten sind nur im Firepower Management Center verfügbar und können daher nicht über Syslog von Geräten gesendet werden:

• Paketprotokolle
• Einbruchsereignis Zusätzliche Datenereignisse
  Eine Beschreibung finden Sie unter eStreamer Server Streaming.
• Statistiken und aggregierte Ereignisse
• Netzwerkerkennungsereignisse
• Benutzeraktivität und Anmeldeereignisse
• Korrelationsereignisse
• Für Malware-Ereignisse:
  • rückwirkende Urteile
  • ThreatName und Disposition, es sei denn, Informationen zu den relevanten SHAs wurden bereits mit dem Gerät synchronisiert
• Die folgenden Felder:
  • Impact- und ImpactFlag-Felder
    Eine Beschreibung finden Sie unter eStreamer Server Streaming.
  • das IOC_Count-Feld
• Die meisten Roh-IDs und UUIDs.
  Ausnahmen:
  • Syslogs für Verbindungsereignisse umfassen Folgendes: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID und SSL_RuleID
  • Syslogs für Einbruchsereignisse umfassen IntrusionPolicyUUID, GeneratorID und SignatureID
• Erweiterte Metadaten, einschließlich, aber nicht beschränkt auf:
  • Von LDAP bereitgestellte Benutzerdetails, wie vollständiger Name, Abteilung, Telefonnummer usw. Syslog stellt in den Ereignissen nur Benutzernamen bereit.
  • Details für zustandsbasierte Informationen wie SSL-Zertifikatdetails. Syslog stellt grundlegende Informationen wie den Zertifikatsfingerabdruck bereit, stellt jedoch keine anderen Zertifikatsdetails wie den Zertifikats-CN bereit.
  • Detaillierte Bewerbungsinformationen, z. B. App Tags und Kategorien. Syslog stellt nur Anwendungsnamen bereit. Einige Metadatennachrichten enthalten auch zusätzliche Informationen zu den Objekten.
• Geolocation-Informationen

Auswählen von eStreamer-Ereignistypen

• Die Kontrollkästchen „eStreamer-Ereigniskonfiguration“ steuern, welche Ereignisse der eStreamer-Server übertragen kann.
• Ihr Client muss dennoch in der Anforderungsnachricht, die er an den eStreamer-Server sendet, gezielt die Ereignistypen anfordern, die er empfangen soll. Weitere Informationen finden Sie im Firepower System Event Streamer-Integrationshandbuch.
• In einer Multidomänenbereitstellung können Sie die eStreamer-Ereigniskonfiguration auf jeder Domänenebene konfigurieren. Wenn jedoch eine Vorgängerdomäne einen bestimmten Ereignistyp aktiviert hat, können Sie diesen Ereignistyp in den Nachkommendomänen nicht deaktivieren.
• Sie müssen ein Admin-Benutzer sein, um diese Aufgabe für FMC ausführen zu können.

Verfahren

• Schritt 1 Wählen Sie System > Integration.
• Schritt 2 Klicken Sie auf eStreamer.
• Schritt 3 Aktivieren oder deaktivieren Sie unter „eStreamer-Ereigniskonfiguration“ die Kontrollkästchen neben den Ereignistypen, die eStreamer an anfragende Clients weiterleiten soll, wie unter „eStreamer-Server-Streaming“ beschrieben.
• Schritt 4 Klicken Sie auf Speichern.

Konfigurieren der eStreamer-Client-Kommunikation

• Bevor eStreamer eStreamer-Ereignisse an einen Client senden kann, müssen Sie den Client über die eStreamer-Seite zur Peers-Datenbank des eStreamer-Servers hinzufügen. Sie müssen außerdem das vom eStreamer-Server generierte Authentifizierungszertifikat auf den Client kopieren. Nach Abschluss dieser Schritte müssen Sie den eStreamer-Dienst nicht neu starten, damit der Client eine Verbindung zum eStreamer-Server herstellen kann.
• In einer Multidomänenbereitstellung können Sie einen eStreamer-Client in jeder Domäne erstellen. Das Authentifizierungszertifikat ermöglicht es dem Client, Ereignisse nur von der Domäne des Client-Zertifikats und allen untergeordneten Domänen anzufordern. Auf der eStreamer-Konfigurationsseite werden nur Clients angezeigt, die mit der aktuellen Domäne verknüpft sind. Wenn Sie also ein Zertifikat herunterladen oder widerrufen möchten, wechseln Sie zu der Domäne, in der der Client erstellt wurde.
• Um diese Aufgabe für FMC ausführen zu können, müssen Sie ein Admin- oder Discovery-Administrator sein.

Verfahren

• Schritt 1 Wählen Sie System > Integration.
• Schritt 2 Klicken Sie auf eStreamer.
• Schritt 3: Klicken Sie auf „Client erstellen“.
• Schritt 4 Geben Sie im Feld „Hostname“ den Hostnamen oder die IP-Adresse des Hosts ein, auf dem der eStreamer-Client ausgeführt wird.
  Notiz Wenn Sie keine DNS-Auflösung konfiguriert haben, verwenden Sie eine IP-Adresse.
• Schritt 5: Wenn Sie das Zertifikat verschlüsseln möchten fileGeben Sie im Feld „Passwort“ ein Passwort ein.
• Schritt 6 Klicken Sie auf Speichern.
  Der eStreamer-Server ermöglicht dem Host nun den Zugriff auf Port 8302 auf dem eStreamer-Server und erstellt ein Authentifizierungszertifikat zur Verwendung bei der Client-Server-Authentifizierung.
• Schritt 7 Klicken Sie auf „Herunterladen“ ( ) neben dem Client-Hostnamen, um das Zertifikat herunterzuladen file.
• Schritt 8 Speichern Sie das Zertifikat file in das entsprechende Verzeichnis, das Ihr Client für die SSL-Authentifizierung verwendet.
• Schritt 9 Um den Zugriff für einen Client zu widerrufen, klicken Sie auf Löschen ( ) neben dem Host, den Sie entfernen möchten.
  Beachten Sie, dass Sie den eStreamer-Dienst nicht neu starten müssen; Der Zugriff wird sofort widerrufen.

Ereignisanalyse in Splunk

• Sie können die Cisco Secure Firewall-App (früher bekannt als Cisco Firepower-App für Splunk) für Splunk (früher bekannt als Cisco Firepower-App für Splunk) als externes Tool verwenden, um Firepower-Ereignisdaten anzuzeigen und damit zu arbeiten und Bedrohungen in Ihrem Netzwerk zu suchen und zu untersuchen.
• eStreamer ist erforderlich. Dies ist eine erweiterte Funktionalität. Siehe eStreamer-Server-Streaming.
• Weitere Informationen finden Sie unter https://cisco.com/go/firepower-for-splunk.

Ereignisanalyse in IBM QRadar

• Sie können die Cisco Firepower-App für IBM QRadar als alternative Möglichkeit zur Anzeige von Ereignisdaten verwenden und Sie bei der Analyse, Suche und Untersuchung von Bedrohungen für Ihr Netzwerk unterstützen.
• eStreamer ist erforderlich. Dies ist eine erweiterte Funktionalität. Siehe eStreamer-Server-Streaming.
• Weitere Informationen finden Sie unter https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

Verlauf zur Analyse von Ereignisdaten mithilfe externer Tools

Besonderheit	Version	Details
SecureX-Menüband	7.0	Das SecureX-Menüband lässt sich in SecureX integrieren und bietet sofortigen Einblick in die Bedrohungslandschaft Ihrer Cisco-Sicherheitsprodukte. Informationen zum Anzeigen des SecureX-Menübands in FMC finden Sie im Firepower- und SecureX-Integrationshandbuch unter https://cisco.com/go/firepower-securex-documentation. Neue/geänderte Bildschirme: Neue Seite: System > SecureX
Senden Sie alle Verbindungsereignisse an die Cisco Cloud	7.0	Sie können jetzt alle Verbindungsereignisse an die Cisco-Cloud senden, anstatt nur Verbindungsereignisse mit hoher Priorität zu senden. Neue/geänderte Bildschirme: Neue Option auf der Seite System > Integration > Cloud-Dienste
Cross-Launch zu view Daten in Secure Network Analytics	6.7	Mit dieser Funktion können Sie schnell mehrere Einträge für Ihre Secure Network Analytics-Appliance auf der Seite „Analyse“ > „Kontextueller Cross-Launch“ erstellen. Mit diesen Einträgen können Sie mit der rechten Maustaste auf ein relevantes Ereignis klicken, um Secure Network Analytics übergreifend zu starten und Informationen zu dem Datenpunkt anzuzeigen, von dem aus Sie übergreifend gestartet haben. Neuer Menüpunkt: System > Protokollierung > Sicherheitsanalysen und Protokollierung. Neue Seite zum Konfigurieren des Sendens von Ereignissen an Secure Network Analytics.

Kontextueller Cross-Launch aus zusätzlichen Feldtypen	6.7	Sie können jetzt mithilfe der folgenden zusätzlichen Ereignisdatentypen einen Cross-Launch in einer externen Anwendung durchführen: • Zugriffskontrollrichtlinie •  Einbruchsrichtlinie • Anwendungsprotokoll • Client-Anwendung •  Web Anwendung • Benutzername (einschließlich Realm)   Neue Menüoptionen: Kontextübergreifende Startoptionen sind jetzt verfügbar, wenn Sie mit der rechten Maustaste auf die oben genannten Datentypen für Ereignisse in Dashboard-Widgets und Ereignistabellen auf Seiten im Menü „Analyse“ klicken. Unterstützte Plattformen: Firepower Management Center
Integration mit IBM QRadar	6.0 und höher	Benutzer von IBM QRadar können eine neue Firepower-spezifische App verwenden, um ihre Ereignisdaten zu analysieren. Die verfügbare Funktionalität wird von Ihrer Firepower-Version beeinflusst. Siehe Ereignisanalyse in IBM QRadar.
Verbesserungen bei der Integration mit Cisco SecureX Threat Response	6.5	• Unterstützung für regionale Clouds: •  Vereinigte Staaten (Nordamerika) • Europa   •  Unterstützung für zusätzliche Ereignistypen: •  File und Malware-Ereignisse •  Verbindungsereignisse mit hoher Priorität Dies sind Verbindungsereignisse im Zusammenhang mit Folgendem: •  Einbruchsereignisse •  Security Intelligence-Ereignisse •  File und Malware-Ereignisse     Geänderte Bildschirme: Neue Optionen aktiviert System > Integration > Cloud-Dienste. Unterstützte Plattformen: Alle in dieser Version unterstützten Geräte, entweder über direkte Integration oder Syslog.
Syslog	6.5	Das Feld „AccessControlRuleName“ ist jetzt in Syslog-Meldungen zu Einbruchsereignissen verfügbar.
Integration mit Cisco Security Packet Analyzer	6.5	Die Unterstützung für diese Funktion wurde entfernt.

Integration mit Cisco SecureX-Bedrohungsreaktion	6.3 (über Syslog, unter Verwendung eines Proxys Kollektor) 6.4 (direkt)	Integrieren Sie Firepower-Einbruchsereignisdaten mit Daten aus anderen Quellen für eine einheitliche Lösung view Mithilfe der leistungsstarken Analysetools von Cisco SecureX Threat Response erkennen Sie Bedrohungen in Ihrem Netzwerk. Geänderte Bildschirme (Version 6.4): Neue Optionen aktiviert System > Integration > Cloud-Dienste. Unterstützte Plattformen: Firepower Threat Defense-Geräte mit Version 6.3 (über Syslog) oder 6.4.
Syslog-Unterstützung für File und Malware-Ereignisse	6.4	Vollqualifiziert file und Malware-Ereignisdaten können jetzt von verwalteten Geräten über Syslog gesendet werden. Geänderte Bildschirme: Richtlinien > Zugriffskontrolle > Zugriffskontrolle > Protokollierung. Unterstützte Plattformen: Alle verwalteten Geräte mit Version 6.4.
Integration mit Splunk	Unterstützt alle 6.x-Versionen	Splunk-Benutzer können eine neue, separate Splunk-App, die Cisco Secure Firewall (früher Firepower) App für Splunk, verwenden, um Ereignisse zu analysieren. Die verfügbare Funktionalität wird von Ihrer Firepower-Version beeinflusst. Siehe Ereignisanalyse in Splunk.
Integration mit Cisco Security Packet Analyzer	6.3	Eingeführte Funktion: Fragen Sie Cisco Security Packet Analyzer sofort nach Paketen im Zusammenhang mit einem Ereignis ab und klicken Sie dann, um die Ergebnisse im Cisco Security Packet Analyzer zu überprüfen, oder laden Sie sie zur Analyse mit einem anderen externen Tool herunter. Neue Bildschirme: System > Integration > Paketanalysator-Analyse > Fortschrittlich > Paketanalysator-Abfragen Neue Menüoptionen: Abfragepaketanalysator Menüelement, wenn Sie mit der rechten Maustaste auf ein Ereignis auf Dashboard-Seiten und Ereignistabellen auf Seiten im Menü „Analyse“ klicken. Unterstützte Plattformen: Firepower Management Center
Kontextueller Cross-Launch	6.3	Eingeführte Funktion: Klicken Sie mit der rechten Maustaste auf ein Ereignis, um zugehörige Informationen in vordefinierter oder benutzerdefinierter Form nachzuschlagen URL-basierte externe Ressourcen. Neue Bildschirme: Analyse > Fortschrittlich > Kontextueller Cross-Launch Neue Menüoptionen: Mehrere Optionen beim Rechtsklick auf ein Ereignis auf Dashboard-Seiten und sogar auf Tabellen auf Seiten im Analysemenü. Unterstützte Plattformen: Firepower Management Center

Syslog-Meldungen für Verbindungs- und Einbruchsereignisse	6.3	Möglichkeit, mithilfe neuer einheitlicher und vereinfachter Konfigurationen vollständig qualifizierte Verbindungs- und Einbruchsereignisse über Syslog an externe Speicher und Tools zu senden. Nachrichtenkopfzeilen sind jetzt standardisiert und enthalten Ereignistypkennungen. Außerdem sind Nachrichten kleiner, da Felder mit unbekannten und leeren Werten weggelassen werden. Unterstützte Plattformen: • Völlig neue Funktionalität: FTD-Geräte mit Version 6.3. • Einige neue Funktionen: Nicht-FTD-Geräte mit Version 6.3. • Weniger neue Funktionalität: Alle Geräte, auf denen Versionen vor 6.3 ausgeführt werden. Weitere Informationen finden Sie in den Themen unter „Informationen zum Senden von Syslog-Meldungen für Sicherheitsereignisse“.
eStreamer	6.3	Der eStreamer-Inhalt wurde aus dem Kapitel „Host-Identitätsquellen“ in dieses Kapitel verschoben und eine Zusammenfassung hinzugefügt, in der eStreamer mit Syslog verglichen wird.