伊势 2.1和Firepower 6.1的快速威胁遏制

在本文中,我将同时利用ISE和Firepower进行快速威胁遏制。为此,先决条件是事先在ISE和Firepower管理中心(FMC)之间配置pxGrid。如果您想知道如何做,我在这篇文章中介绍了如何使用自签名证书来做 这里 或此职位中由CA签名的证书 这里

在Firepower 5.4中,它可以通过pxGrid与ISE集成,但它不是Firepower的本机,因此需要安装插件和python脚本。只有Firepower 6.1版本才允许本机pxGrid集成 快速遏制威胁。为了在Firepower管理控制台中进行配置,我们必须首先创建缓解措施的实例,然后定义该操作的作用。 

导航 政策规定>Actions>Instances 然后选择 pxGrid缓解(v1.0) 从下拉框中单击

为实例命名对您有意义,然后单击 创建。 您可以被带到pxGrid实例上,如果您可以创建修复。

选择 缓解源 从下拉菜单中单击

通常,我想将其命名为QuarantineBySourceIP,但是您可以根据需要命名。缓解措施应为 隔离.

创建并保存后,添加另一个补救措施,这次将其按源取消隔离。 

创建两个补救措施后,请单击 完成了 然后您将返回到以下屏幕。请点击 救。 

现在,我们将创建一些关联最精准双色球预测专家,以自动化端点的隔离和不隔离。导航 政策规定>Correlation>Rule Management 然后点击 建立最精准双色球预测专家

现在,您可以在此处创建一个最精准双色球预测专家,该最精准双色球预测专家应触发端点的隔离或不隔离。 火力为您提供了很大的灵活性,您可以在特定的连接条件甚至特定的Snort最精准双色球预测专家上进行匹配,但是以下是一些我认为有效的不同想法和内容:

  • 发生入侵事件,其影响标志为1(易受攻击)
  • 冲击标志为1(易受攻击),并设置了IOC(妥协指示符)标签。

 

  • 根据追溯性基于网络的恶意软件检测来创建最精准双色球预测专家-基本上,如果文件最初通过并被标记为干净或未知,但是AMP后来发现它是恶意软件,它将通知Firepower管理控制台。借助ISE,您可以在降低风险的同时采取行动并阻止主机访问网络。 
  • 安培检测到端点存在恶意软件,但由于某种原因隔离失败。这是您希望此端点对其网络的访问权限受到限制的合理原因。 

无论您选择哪种隔离最精准双色球预测专家,都必须对您的业务有意义,所以我让您选择。至于不隔离最精准双色球预测专家,您可以用相同的方式创建它。良好的隔离最精准双色球预测专家的一个示例可能是允许端点仅访问内部页面,该页面将对计算机进行扫描并减轻损害。该最精准双色球预测专家看起来像这样。 

创建完这些最精准双色球预测专家后,请保存并导航至 政策规定>Correlation>Policy Management 然后点击 创建策略。 

为策略创建一个名称,然后在“策略最精准双色球预测专家”下,单击 添加最精准双色球预测专家。 添加先前创建的隔离最精准双色球预测专家。

单击最精准双色球预测专家旁边的红色按钮,以从先前创建的实例中添加缓解措施。

创建最精准双色球预测专家后,单击 在“策略管理”屏幕上,单击滑块以启用策略。

对您的非隔离最精准双色球预测专家执行相同的操作,并同时启用它。 

现在,您应该能够测试您的关联最精准双色球预测专家并通过导航到来查看它们 分析>Correlation>Correlation Events.