Falamos um pouco sobre o SecureX no post anterior, agora vamos ver como integrar o FMC ao SecureX. Com essa integração será possível ver o resumo dos alertas que estão ocorrendo no FMC, considerando todos os firewalls gerenciados. Também é possível integrar mais de um FMC e assim consolidar as informações do ambiente. Integrando FMC e Cisco SecureX 1) Acesse/Crie sua conta no SecureX (https://securex.us.security.cisco.com/). É possível logar com seu CCO ou uma Cisco Security Account (conta da console AMP, por exemplo). Note o “US” na URL, indicando que usará a “cloud americana”, mais próxima do Brasil. 2) Abra o SecureX e no SecureX Ribbon (barra na parte de baixo da tela) clique em Launch para abrir o Security Services Exchange (SSE). 3) No SSE Clique em Cloud Services e garanta que as opções Cisco SecureX threat response e Eventing estejam ativadas. Clique no ícone ferramentas e selecione Link Smart/Virtual Account. Aponte sua Smart e Virtual Account Cisco. Seu usuário precisa estar linkado a SmartAccount onde seu FMC está registrado. 4) Agora abra o FMC e vá em System > Integration > Cloud Services. Selecione a Cloud Region (para o Brasil a melhor opção é US – deve ser a mesma região da console SecureX que usamos no item 1), ligue a opção Cisco Cloud Event Configuration e selecione os tipos de eventos que quer enviar para a Cloud. Clique em Save. 5) Aguarde alguns minutos e clique na opção Click here to view your Cisco Cloud configuration. O Security Services Exchange deverá abrir e mostrar seu FMC e firewalls gerenciados. Se quiser clique na aba Events, onde é possível ver os eventos que o FMC está mandando para a nuvem (pode demorar alguns minutos para aparecer). 6) De volta ao SecureX clique na Aba Integration Modules, e selecione Add New Integration Module. Selecione Firepower Module e clique Save. 7) Clique em Dashboard > Customize > Firepower > Add All (ou pode selecionar apenas as opções que desejar). Save. 8) Pronto, já tem visibilidade dos eventos do FMC no Cisco SecureX. Agora é só organizar os Tiles da maneira que preferir e integrar outros produtos. Mais informações sobre integração Firepower e SecureX neste link. Até a próxima.
Cisco SecureX–Visibilidade e automação para segurança
O Cisco SecureX é um orquestrador que permite a automação de processos para ferramentas de segurança Cisco e de terceiros. Ele não é um SIEM, mas é um painel único onde além de agregar eventos de segurança de diversas fontes, podemos criar workflows para investigação de incidentes. Só o fato de ser uma interface única com os indicadores recebidos das outras soluções, já é bastante útil, visto a quantidade de produtos de segurança que a Cisco possui. O SecureX permite integração com Firepower (via FDM ou FMC), AMP4E, WSA e ESA, Umbrella, Stealthwatch, TreatGrid, Tetration e CDO, além de dezenas de outros produtos não Cisco. E se você adquiriu algum desses produtos de segurança Cisco já tem direito ao SecureX, sem custo adicional. Visibilidade e Orquestração Ao ativar o SecureX você já tem acesso a interface de visualização, onde podemos fazer as integrações e também monitorar os eventos. A ativação, integração e “montagem” da dashboard é bem simples. Nesta tela, além do menu superior temos: Applications: Barra lateral esquerda, que permite visualizar os produtos integrados e também abrir a console destes. Dashboard Tiles: No meio da tela temos informações e métricas recebidos dos produtos integrados. Customizável para cada usuário. News: Do lado direito mostra anúncios, notícias e postagens do blog (Cisco Talos) sobre segurança. Ribbon: Barra de acesso fácil à busca, aplicações linkadas e outras ferramentas. Para ter acesso a parte de orquestração, é necessário clicar em Orchestration e aguardar alguns minutos até a liberação. Esta parte é um pouco mais complexa, pois nela criamos os workflows que poderão ser usados nas investigações e mitigação de incidentes de segurança. Também é possíve importar workflows prontos (a própria Cisco disponibiliza alguns). Terminologia É importante conhecer alguns termos usados no SecureX para entender a ferramenta. Event: Um termo genérico para quase qualquer atividade observada na rede ou terminal. Inclui registros de fluxo de rede, eventos de conexão, registros de execução AMP, e logs de IPS, por exemplo. Alert: Notificação de um evento significativo de segurança, sintetizado por um sensor ou mecanismo de detecção. Modules: Interface de integração para cada produto de segurança Cisco e de terceiros. Podem fornecer Enrichment e capacidade de resposta. Enrichment: O processo de consulta a todos os módulos para descobrir o que eles sabem sabe sobre o observable. Observables: O SecureX oferece suporte à investigação rápida de observáveis, que podem ser domínios, endereços IP, hashes de arquivos, números de série do certificado PKI e até mesmo dispositivos ou usuários específicos. A primeira coisa que o CTR faz com um observável é determinar sua disposição a partir dos vários módulos de “enriquecimento” configurados. A disposição diz se o observável é: Clean, Malicius, Suspecious e Unknow. Sighting: Registro de quando (data/hora) um observável apareceu. Opcionalmente, pode ser relacionado a indicadores, fornecendo contexto sobre o observável. Target: O dispositivo, identidade ou recurso, que uma ameaça tem como alvo. Um alvo é identificado por um ou mais observáveis. Indicator: Descreve um padrão de comportamento ou um conjunto de condições que indicam um comportamento malicioso. Alguns indicadores são mais confiáveis do que outros. O Cisco Threat Response usa uma grande coleção de indicadores do AMP Global Intelligence, Threat Grid e outras fontes. Snapshot: Registro pontual da investigação, criado pelo usuário. Pode ser salvo para consulta/uso futuro. Casebook: Conjunto de observáveis criado pelo usuário, contendo anotações, menus e ações dinâmicas. Incidente: Evento de Segurança criado pelo sistema, com triagem também do sistema, mas gerenciado pelo usuário. Mais informações sobre o Cisco SecureX: – What is SecureX? – Cisco SecureX – Plataforma Integrada (E GRATUITA) – SecureX: Simplify Your Security with the Broadest, Most Integrated Platform Até a próxima.
Script Python para backup e configuração de switches e roteadores
Criei um script em Python para enviar comandos para um lista de devices Cisco (roteadores e switches rodando IOS) e salvar o output. O script tem sido bastante útil, podendo ser usado para fazer backup dos equipamentos e também para enviar comandos que são comuns para a lista de dispositivos, como configuração de logging, snmp, dhcp snooping, configuração de interfaces, e etc. Meus conhecimentos de Python são limitados, então o script é bem básico. Também foi intensional ser simples o suficiente para que qualquer um possa usar, sem precisar saber de programação. Para usar o script você vai precisar do python e dos módulos netmiko, getpass, csv, logging e datetime. Usando o script 1) Instale o Python e os módulos necessários usando o pip. 2) Baixe o repositório do Github (ou ao menos os arquivos send_commands.py, devices_to_configure.csv e commands_to_send.txt, salvando-os na mesma pasta). 3) No arquivo devices_to_configure.csv informe a porta (22 ou 23) e o IP dos equipamentos que quer configurar/salvar os outputs. 4) No arquivo commands_to_send.txt coloque os comandos que quer enviar (o script inicia no modo privilegiado). 5) Execute o script: python send_commands.py. Na linha de comando é possível acompanhar o andamento, e o output dos comandos executados são salvos no arquivo log_file.txt, gerado na mesma pasta do script. Mais informações no repositório do Github. Até a próxima.
Instalando Cisco ISE nos appliances SNS-36XX
Apesar de ser menos comum nos dias atuais, graças ao uso massivo de sistemas de virtualização, eventualmente ainda usamos os appliances físicos para a instalação do Cisco ISE. Os servidores físicos disponíveis no momento são os modelos SNS-3615, SNS-3655 e SNS-3695, e para esses casos este é o procedimento de instalação. Instalando Cisco ISE usando pendrive Esta opção é mais rápida, e por isso recomendada. Para fazer o procedimento você pode conectar um monitor e teclado no appliance, ou acompanhar via console KVM, através da rede (precisa conectar o cabo de rede na interface de gerência out of band do appliance, que receberá IP via DHCP, por padrão). 1) Baixe do site da Cisco a imagem (ISO) que será utilizada na instalação. 2) Baixe o Live USB Creator (ou outro software para esta função), que será utilizado para criar um pendrive “bootavel” . 3) Formate o pendrive (mais de 8 GB) em FAT32 (Windows 10 não tem essa opção, mas existem software para isso), abra o Live USB Creator e selecione a ISO (Use existing Live CD) e o pendrive (Target Device). Clique em Create Live USB. 4) Quando terminar de criar o pendrive bootavel, abra no bloco de notas os arquivos syslinux/syslinux.cfg e EFI/BOOT/grub.cfg e substitua todas as ocorrências de “cdrom:” por “hd:sdb1:”. Salve os arquivos. 5) Plug o pendrive no appliance e ligue. Aperte F6 para entrar no menu de boot e selecione o pendrive. 6) O appliance vai bootar pelo pendrive, e você verá o menu de instalação. Selecione a opção Cisco ISE Instalattion (Keyboard/Monitor) e pressione Enter. 7) Basta aguardar a instalação (em torno de 2 horas) e fazer o setup inicial. Instalando Cisco ISE usando CICM (via rede / console KVM) Esta opção é mais demorada (fazendo pela LAN 4-5 horas, se for via WAN vai depender da velocidade do link, mas chega fácil a 7h), mas pode ser útil se você não tem acesso físico ao servidor (instalado anteriormente), ou se tem alguma outra dificuldade com o pendrive. 1) Baixe do site da Cisco a imagem (ISO) que será utilizada na instalação. 2) Conecte a interface de gerência out of band do appliance. Por padrão esta interface recebe IP via DHCP (quando ligamos o appliance ele mostra que IP recebeu). 3) Abra o browser e acesse o CICM (http://X.X.X.X, usuário e senha – admin/password). 4) Clique em launch KVM Console. 5) Na nova janela selecione Virtual Midia > Activate Virtual Devices. Na sequencia selecione Accept this session e clique Apply. 6) Selecione Virtual Midia > Map CD/DVD e selecione a ISO. 7) Vá em Macros > Static Macros > CTRL+ALT+DEL para reiniciar o servidor. 8) Pressione F6 durante o boot para entrar no boot menu, e então selecione a opção Cisco vKVM-Mapped vDVD1.22. 9) O appliance vai bootar pelo driver virtual do KVM, e você verá o menu de instalação. Selecione a opção Cisco ISE Instalattion (Keyboard/Monitor) e pressione Enter. Aguarde instalação e faça o setup incial. Para mais informações visite os links: Create a Bootable USB Device to Install Cisco ISE Configure ISE on a Cisco SNS Appliance using CICM Até a próxima.
Serial Number Cisco DNAC
O Cisco DNA Center é o software para automação e gerenciamento da LAN, e ele é instalado em um appliance físico. Se for necessário achar o número de série (para abrir um chamado ou colocar no seu inventário, por exemplo) você pode acessar a CLI (SSH, porta 2222) e usar os comandos: sudo lshw | head sudo cat /sys/devices/virtual/dmi/id/chassis_serial Até a próxima.
