Configurando Notificações por E-mail para Eventos do Cisco Secure IDS no CSPM

Configurando Notificações por E-mail para Eventos do Cisco Secure IDS no CSPM Cisco anunciou o fim das vendas para o Cisco Secure Policy Manager x e x. Para obter mais informações, consulte o Anúncio End-of-Sales. Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurações Defina o mail server S TP Configurar o CSPM para usar o mail server S TP Defina os eventos IDS que provocam uma mensagem da notificação de E-mail Crie o assunto e mensagem de uma mensagem da notificação de E-mail Informações Relacionadas Introdução Este documento explica os procedimentos usados para configurar o Cisco Secure Policy Manager (CSPM) para enviar notificações de E-mail para os alarmes que recebe de um sensor do Cisco Secure Intrusion Detection System (IDS). Nota: A função da paginação do CSPM não trabalha neste tempo. A informação adicional sobre esta edição está disponível no conjunto de ferramentas do Bug da Cisco sob a identificação de bug Cisco CSCdu78552 (clientes registrados somente). Pré-requisitos Requisitos Este documento é baseado nestas suposições sobre sua instalação de rede. Você instalou CSPM I em seu computador. Você configurou com sucesso um host CSPM que comunica-se com um dispositivo de sensor, e o host CSPM está recebendo alarmes do sensor. Componentes Utilizados A informação neste documento é baseada em CSPM I. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco. Configurações Quando você entra ao CSPM, você deve ver uma tela similar a este exemplo. Desta tela, você pode definir o mail server do Simple Mail Transfer Protocol (SMTP), configura o CSPM para usar o mail server, define os eventos IDS que provocam uma notificação de E-mail, e cria o assunto e mensagem das notificações de E-mail.

Defina o mail server S TP Depois que você entra inicialmente ao CSPM, termine estas etapas para definir o mail server S TP que o CSPM usa aos alarmes do email. Nota: O seu servidor de e-mail não precisa estar na mesma rede do host e do sensor do CSPM. Para definir a rede que seu mail server está ligada, clicar com o botão direito o ícone de internet e selecione-o New > Cloud Network. Clicar com o botão direito o ícone de rede na área de topologia e no novo seleto > host. A tela exibida permite definir o endereço IP do servidor de email. 4. 5. 6. Na área de topologia, dê entrada com um nome para o host novo. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do host novo ao campo do endereço IP de Um ou Mais Servidores Cisco ICM NT e o clique adiciona. Clique em Add na caixa de diálogo Resident Client/Server Products. Clique em Add. Selecione SMTP e clique em OK. Uma tela similar a esta aparece.

7. Clique em OK novamente para concluir a definição do servidor de e-mail de SMTP. Configurar o CSPM para usar o mail server S TP Depois que o mail server S TP é definido, termine estas etapas para configurar o CSPM para usar este mail server. Selecione o host CSPM na área de topologia. Do tab geral, clique a lista de drop-down do servidor SMTP, selecionam o mail server que você apenas definiu, a seguir clicam a APROVAÇÃO. Do menu de arquivo CSPM, selecione o arquivo > salvar e atualizar. Depois que as atualizações CSPM (que supõem não há nenhum erro), você devem considerar uma tela similar a este exemplo.

Defina os eventos IDS que provocam uma mensagem da notificação de E-mail Termine estas etapas para definir os eventos IDS que provocam um mensagem de E-mail. No menu principal do CSPM, selecione Tools (Ferramentas) > Configure Notifications (Configurar notificações). Eventos IDS do clique. 4. 5. Na janela Event Description, selecione High Severity Alarms para ativar a janela Event Disposition. Na seção da disposição de evento, clique o evento do log e a notificação da edição especificados abaixo. Na área de mensagem de notificação, clique a caixa da descrição de evento incluir. 6. Na área dos métodos de notificação, clique a caixa do email e clique então endereços para adicionar os endereços email que recebem as notificações de E-mail.

7. Insira os endereços de e-mail dos usuários que devem ser notificados por e-mail. Você pode colocar múltiplos endereços nessa caixa. APROVAÇÃO do clique quando você for terminado. 8. 9. No registo e nas notificações configurar selecione, o clique aplica-se e fecha-se então. No menu principal do CSPM, seleciones File > Save and Update. Nota: Seu host CSPM deve poder alcançar seu mail server S TP na porta TCP 25. A fim testar isto, abra um comando prompt em seu host CSPM e datilografe o telnet x.x.x.x. 25, onde endereço IP de Um ou Mais Servidores Cisco ICM NT do isthe x.x.x.x do servidor SMTP que você definiu. Se isto trabalha corretamente, você deve obter um banner do SMTP similar a esta saída. rtp% telnet 1718.124.116 25 Trying 1718.124.116... Connected to 1718.124.116. Escape character is '^]'.!--- You should get some kind of response!--- like this from your mail server. 220 anger.cisco.com ESMTP!--- Type quit to exit the SMTP session. quit 221 anger.cisco.com Connection closed by foreign host. rtp% Esta saída mostra a um exemplo onde este comando não trabalhou. rtp% telnet 1718.124.116 25 Trying 1718.124.116...

!--- The SMTP server is not running on the host. telnet: Unable to connect to remote host: Connection refused rtp% Crie o assunto e mensagem de uma mensagem da notificação de E-mail À revelia, um email da notificação contém somente a informação similar a este exemplo. >Message 1: From MAILER-DAEMON Mon Oct 15 16:48:20 2001 Delivered-To: jason@anger.cisco.com From:Cisco Secure Policy Manager To: Jason@anger.cisco.com Subject: Cisco Notification High Severity Alarms Termine estas etapas para configurar o CSPM para definir a informação que é enviada dentro de um email da notificação. 4. No menu principal do CSPM, selecione Tools (Ferramentas) > Configure Notifications (Configurar notificações). Notificações IDS do clique. Alarmes de alta severidade do clique. Sob a seção do mensagem de notificação, mensagem do clique para trazer acima o indicador do conteúdo de mensagem de notificação que o deixa especificar o assunto e mensagem de seu mensagem de E-mail da notificação. Incorpore os elementos desejados da mensagem, a seguir clique a APROVAÇÃO. Um exemplo é mostrado aqui. Esta tabela indica uma lista completa das variáveis que você pode usar dentro dos email da notificação. Palavras-chave de script e notificações de e-mail $ {MsgType} Ações de palavras-chave Identifica um valor inteiro que indica o tipo de evento: 4 = Alarme. Nota: Este valor é sempre 4. $ {RecordID} Identifica o ID de registro para o evento. $ {GlobalTime} $ {LocalTime} $ {DateStr} $ {TimeStr} Identifica o timbre de hora GMT de quando o evento foi gerado, expresso em segundos, desde a meia-noite de 1º de janeiro de 1970 (time_t). Identifica a data/hora (sensor local) em que o evento foi gerado, expressada em segundos desde à meia-noite, 1º de janeiro de 1970 (time_t). Identifica o carimbo de data (sensor-local) de quando o evento foi gerado, no formato AAAA/MM/DD. Identifica o selo de tempo (do sensor local) para quando o evento foi gerado, no HH: MILÍMETRO:

$ {ApplID} $ {HostID} $ {OrgID} $ {SrcDirection} $ {DstDirection} Formato SS. Identifica o ID de aplicativo (postoffice) no sensor que gerou o evento. Identifica o ID do host (postoffice) do sensor que gerou o evento. Identifica o ID da organização (postoffice) no sensor que gerou o evento. Identifica o lugar da entidade da fonte (ataque) no que diz respeito à rede protegida. Os valores são "DENTRO" para dentro da rede protegida ou "FORA" para fora da rede protegida. Identifica o local da entidade de destino (atacada) com relação à rede protegida. Os valores são "DENTRO" para dentro da rede protegida ou "FORA" para fora da rede protegida. $ {AlarmLevel} Identifica o nível de seriedade do alarme. $ {SigID} Identifica a ID da assinatura que disparou o alarme. $ {SubSigID} Identifica a ID de sub-assinatura que disparou o alarme, se aplicável. $ {ProtocolType} Identifica o protocolo do alarme - sempre TCP/IP. $ {SrcIpAddr} Identifica o endereço IP do nó (ataque) de origem. $ {DstIpAddr} Identifica o endereço IP do nó de destino (atacado). $ {SrcIpPort} $ {DstIpPort} $ {RouterIpAddr} Identifica o número da porta IP do nó de origem (ataque). Identifica o número da porta IP do nó de destino (atacado). Identifica o endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador que enviou o mensagem do syslog ao sensor (alarmes do 10000 Series somente); se não 0.0.0.0. $ {AlarmDetails} Identifica os detalhes e/ou dados de contexto do alarme. $ {MsgCount} Identifica a quantidade de eventos que ocorreram no intervalo atual e que provocaram a geração desta notificação. Esta é um exemplo de uma mensagem da notificação de E-mail e as etapas usadas para criá-la. 4. 5. No indicador do conteúdo de mensagem de notificação, incorpore o alarme $ IDS {SigID} ao campo de assunto. Incorpore a fonte $ do alarme IDS {SigID}: destino $ {SrcIpAddr}: $ {DstIpAddr} @ $ {DateStr} no campo da mensagem. Clique em Apply. Fim do clique no registo e na janela de notificações configurar. No menu principal CSPM, selecione File (Arquivo) > Save and Update (Salvar e Atualizar). A mensagem da notificação de E-mail gerada por estas etapas deve olhar como este exemplo. From MAILER-DAEMON Mon Oct 15 18:27:53 2001 Delivered-To: jason@anger.cisco.com From:Cisco Secure Policy Manager To: jason@anger.cisco.com Subject: IDS alarm 3001 High Severity Alarms IDS alarm 3001 source: 1718.124.116 destination: 1718.124.122 @ 2001/10/15-14:27:33 Informações Relacionadas Notas Técnicas de Troubleshooting