NetFlow mit NSEL konfigurieren

Sie können Cisco ASA für die Weiterleitung von NetFlow -Ereignissen mithilfe von NSEL konfigurieren.

Vorgehensweise

  1. Melden Sie sich bei der Befehlszeilenschnittstelle (CLI) der Cisco ASA-Einheit an.
  2. Geben Sie den folgenden Befehl ein, um auf den privilegierten EXEC-Modus zuzugreifen:

    enable

  3. Geben Sie den folgenden Befehl ein, um auf den globalen Konfigurationsmodus zuzugreifen:

    conf t

  4. Inaktivieren Sie die Option für den Ausgabeobjektnamen:

    no names

  5. Geben Sie den folgenden Befehl ein, um den NetFlow -Export zu aktivieren:

    flow-export destination <schnittstellenname> <ipv4-adresse oder hostname> <udp-port>

    Dabei gilt Folgendes:

    • <schnittstellenname> ist der Name der Cisco Adaptive Security Appliance-Schnittstelle für den NetFlow -Kollektor.

    • <IPv4-Adresse oder Hostname> ist die IP-Adresse oder der Hostname der Cisco ASA-Einheit mit der Kollektoranwendung NetFlow .

    • <UDP-Port> ist die UDP-Portnummer, an die NetFlow -Pakete gesendet werden.

    Hinweis: IBM QRadar verwendet in der Regel Port 2055 für NetFlow -Ereignisdaten in QRadar QFlow Collectors. Sie müssen einen anderen UDP-Port für Cisco Adaptive Security Appliance for NetFlow mit NSEL konfigurieren.
  6. Geben Sie den folgenden Befehl ein, um die NSEL-Klassenzuordnung zu konfigurieren:

    class-map flow_export_class

  7. Wählen Sie eine der folgenden Datenverkehrsoptionen aus:

    Geben Sie den folgenden Befehl ein, um eine NetFlow -Zugriffsliste für einen bestimmten Datenverkehr zu konfigurieren:

    match access-list flow_export_acl

  8. Geben Sie den folgenden Befehl ein, um NetFlow für einen beliebigen Datenverkehr zu konfigurieren:

    match any

    Hinweis: Die Zugriffssteuerungsliste (ACL) muss auf der Cisco ASA-Einheit vorhanden sein, bevor Sie die Option für den Datenverkehrsabgleich in NetFlow mit NSEL konfigurierendefinieren.
  9. Geben Sie den folgenden Befehl ein, um die NSEL-Richtlinienzuordnung zu konfigurieren:

    policy-map flow_export_policy

  10. Geben Sie den folgenden Befehl ein, um eine Klasse für die Aktion flow-export zu definieren:

    class flow_export_class

  11. Geben Sie den folgenden Befehl ein, um die Aktion flow-export zu konfigurieren:

    flow-export event-type all destination <IP-Adresse>

    Dabei ist <IP-Adresse> die IP-Adresse von QRadar.

    Hinweis: Wenn Sie eine Cisco ASA-Version vor v8.3 , können Sie dieKonfiguration von NetFlow mit NSEL als Standardeinheit für das Ziel für Datenflussexport überspringen. Weitere Informationen finden Sie in Cisco ASA-Dokumentation.
  12. Geben Sie den folgenden Befehl ein, um die Servicerichtlinie global hinzuzufügen:

    service-policy flow_export_policy global

  13. Beenden Sie die Konfiguration:

    exit

  14. Speichern Sie die Änderungen folgendermaßen:

    write mem

    Sie müssen überprüfen, ob Ihre Kollektoranwendungen das Feld Ereigniszeit zum Korrelieren von Ereignissen verwenden.