INTEGRACIONES NATIVAS

Analice y monitoree los logs de Cisco Firepower con Log360

Resumen

Log360 es compatible con Cisco Firepower al ingerir sus logs para centralizar y analizar los datos de seguridad de su red. Esto permite a las organizaciones obtener información práctica de los eventos de Cisco Firepower aprovechando las potentes funciones de gestión, correlación y alerta de logs de Log360.

Cómo Log360 recopila y analiza los logs de Firepower

Log360 recopila los logs de Cisco Firepower mediante el protocolo Syslog. Los dispositivos Firepower se pueden configurar para que reenvíen logs a través de UDP, TCP o TLS. Una vez recibidos, Log360 analiza, categoriza y enriquece estos logs para permitir un análisis de seguridad exhaustivo.

Tipos de logs recopilados:

  • Logs de conexión: Cubre el tráfico permitido y denegado a través del firewall.
  • Logs de intrusión: Incluye los logs generados por el motor de IDS o IPS.
  • Logs de actividad en la web: Registra el acceso a sitios web y URL.
  • Logs de autenticación: Registra los intentos de inicio de sesión correctos y fallidos.
  • Logs de sistema: Incluye los eventos a nivel de dispositivo y los mensajes con etiqueta de gravedad.

Funciones de monitoreo

Log360 aprovecha el análisis de logs, la correlación y la generación de informes en tiempo real para monitorear de forma avanzada los eventos de Cisco Firepower:

  • Análisis del flujo de tráfico: Monitorea los eventos de conexión (incluyendo IP de origen y destino, puertos, protocolos, acciones de directivas de control de acceso, y estados de conexión) para perfilar los patrones de tráfico permitido versus denegado.
  • Detección de eventos de intrusión: Analiza las alertas de IDS e IPS basadas en Snort, registrando los ID de las firmas, las categorías de los ataques, los niveles de gravedad y los activos afectados. Permite correlacionar los intentos de intrusión con las técnicas de MITRE ATT&CK®.
  • Auditoría de la directiva de acceso: Supervisa los accesos basados en reglas, alertando sobre las infracciones de las directivas, las reglas ocultas o los flujos de tráfico no autorizados mediante datos granulares de coincidencia con la ACL.
  • Monitoreo del acceso a la web: Analiza el tráfico HTTP y HTTPS saliente para detectar intentos sospechosos de acceso a la web, categorizar los dominios de destino y marcar el tráfico hacia sitios web incluidos en listas de bloqueo o de alto riesgo.
  • Estado del dispositivo y asignación de gravedad: Recopila y monitorea los mensajes a nivel de sistema de Firepower con etiqueta de gravedad (Emergencia a Depuración) para mostrar los errores de configuración de hardware, software o directivas.
  • Correlación de la actividad del usuario: Asocia los eventos de inicio de sesión y los datos de la sesión VPN con el comportamiento del tráfico para detectar amenazas teniendo en cuenta la identidad.

Eventos críticos monitoreados

  • Tráfico permitido o denegado por el firewall
  • Inicio de sesión mediante VPN de Cisco o acceso remoto
  • Sitio web al que se accede a través del firewall
  • Intentos de intrusión y firmas de IDS e IPS disparadas
  • Cambios en el estado del dispositivo según los niveles de gravedad

Principales beneficios

  • Monitoreo de seguridad centralizado: Correlacione los logs de Firepower con los logs de otros dispositivos en una consola unificada.
  • Información operativa: Comprenda las tendencias de uso de los firewalls, las reglas más denegadas y las infracciones del control de acceso.
  • Detección granular de amenazas: Log360 permite detectar movimientos laterales, intentos de comando y control, y actividades de fuerza bruta correlacionando los eventos de intrusión de Firepower con la actividad de los usuarios y el flujo de tráfico.

Afrontar los retos de seguridad de Cisco Firepower

RetoCómo lo resuelve Log360
Falta de correlación centralizada para los logs de IDS e IPSAnaliza los logs de intrusión de Firepower y los correlaciona con el comportamiento del usuario y los metadatos de tráfico.
Visibilidad limitada sobre la efectividad de las reglas de accesoSupervisa los recuentos de aciertos por regla y marca las reglas poco utilizadas o solapadas para optimizarlas.
Incapacidad para detectar anomalías basadas en la identidadCorrelaciona las sesiones de IP con los usuarios de AD y señala las desviaciones de los patrones típicos de acceso de los usuarios.
Respuesta insuficiente a eventos críticos del firewallPermite alertas en tiempo real con umbrales de gravedad, y tickets y notificaciones automatizados.

Comenzar

¿Está listo para proteger su Firepower con Log360?

Obtenga una visibilidad completa, detecte las amenazas más rápidamente y simplifique el cumplimiento.

Explorar ManageEngine Log360  
Detalles
  • Categoría IT Operations
Enlaces

 support@log360.com

 Get technical assistance

Recursos importantes

 Reports for Cisco Firepower

 Configuring Cisco Firepower with EventLog Analyzer

Hable con nuestros expertos en seguridad

¿Tiene preguntas sobre las funciones de integración de Log360 o necesita orientación técnica?

 
 
 
»

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Solución integral para la gestión de registros y la auditoría de Active Directory
Productos relacionados