Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cisco IDS/IPS

Puede integrar un dispositivo de seguridad Cisco IDS/IPS con JSA.

Cisco IDS/IPS DSM para JSA recopila Cisco IDS/IPS para eventos mediante el protocolo Security Device Event Exchange (SDEE).

La especificación SDEE define el formato del mensaje y el protocolo que se utiliza para comunicar los eventos generados por el dispositivo de seguridad Cisco IDS/IPS. JSA admite conexiones SDEE mediante sondeo directamente al dispositivo IDS/IPS y no al software de administración, que controla el dispositivo.

Nota:

Debe tener acceso de seguridad o autenticación web en el dispositivo antes de conectarse a JSA.

Después de configurar el dispositivo Cisco IDS/IPS, debe configurar el protocolo SDEE en JSA. Al configurar el protocolo SDEE, debe definir la dirección URL que se utiliza para acceder al dispositivo. Un ejemplo de una URL que define el dispositivo es https//www.example.com/cgi-bin/sdee-server.

Debe utilizar http o https en la URL, que es específica de su versión de Cisco IDS.

  • Cuando utilice RDEP (para Cisco IDS 4.0), asegúrese de que la URL tenga /cgi-bin/event-server al final de la URL. Un ejemplo de URL es https://www.example.com/cgi-bin/event-server.

  • Cuando utilice SDEE/CIDEE (para Cisco IDS 5.x y versiones posteriores), asegúrese de que la URL esté /cgi-bin/sdee-server al final de la URL. Un ejemplo de URL es https://www.example/cgi-bin/sdee-server.

Parámetros de origen de registro SDEE para Cisco IDS/IPS

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de Cisco Intrusion Prevention System (IPS) en la consola de JSA mediante el protocolo Security Device Event Exchange (SDEE).

La siguiente tabla describe los parámetros que requieren valores específicos para recopilar eventos syslog de los dispositivos Cisco IDS/IPS:

Tabla 1: Parámetros de origen de registro SDEE para Cisco IDS/IPS DSM

Parámetro

Valor

Tipo de origen de registro

Sistema de prevención de intrusiones (IPS) de Cisco

Configuración del protocolo

SDEE

Identificador de origen de registro

Escriba una dirección IP, un nombre de host o un nombre para identificar el origen del evento SDEE.

El identificador le ayuda a determinar qué eventos provienen de su dispositivo Cisco IDS/IPS.

URL

Escriba la dirección URL para tener acceso al origen del registro, por ejemplo, https://www.mysdeeserver.com/cgi-bin/sdee-server. Debe usar una http o https en la URL.

Estas son algunas opciones:

  • Si está utilizando SDEE/CIDEE (para Cisco IDS v5.x y versiones posteriores), compruebe que /cgi-bin/sdee-server esté al final de la URL. Por ejemplo https://www.my-sdee-server/cgi-bin/sdee-server

  • Si está utilizando RDEP (para Cisco IDS v4.0), compruebe que /cgi-bin/event-server está al final de la URL. Por ejemplo https://www.my-rdep-server.com/cgi-bin/event-server

Nombre de usuario

Escriba el nombre de usuario. Este nombre de usuario debe coincidir con el nombre de usuario de la URL SDEE que se utiliza para acceder a la URL de la SDEE. El nombre de usuario puede tener hasta 255 caracteres de longitud.

Contraseña

Escriba la contraseña de usuario. Esta contraseña debe coincidir con la contraseña de la URL SDEE que se utiliza para acceder a la URL SDEE. La contraseña puede tener hasta 255 caracteres de longitud.

Eventos / Consulta

Escriba el número máximo de eventos que desea recuperar por consulta. El intervalo válido es 0 - 501 y el valor predeterminado es 100.

Forzar suscripción

Active esta casilla si desea forzar una nueva suscripción SDEE. De forma predeterminada, la casilla de verificación está activada.

La casilla de verificación obliga al servidor a eliminar la conexión menos activa y aceptar una nueva conexión de suscripción SDEE para este origen de registro.

La desactivación de la casilla de verificación continúa con cualquier suscripción SDEE existente.

Filtro de gravedad baja

Active esta casilla si desea configurar el nivel de gravedad como bajo.

Los orígenes de registro que admiten SDEE solo devuelven los eventos que coinciden con este nivel de gravedad. De forma predeterminada, la casilla de verificación está activada.

Filtro de gravedad media

Active esta casilla si desea configurar el nivel de gravedad como medio.

Los orígenes de registro que admiten SDEE solo devuelven los eventos que coinciden con este nivel de gravedad. De forma predeterminada, la casilla de verificación está activada.

Filtro de gravedad alta

Active esta casilla si desea configurar el nivel de gravedad como alto.

Los orígenes de registro que admiten SDEE solo devuelven los eventos que coinciden con este nivel de gravedad. De forma predeterminada, la casilla de verificación está activada.