Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Security Intelligence Use Case trên Cisco Secure Firewall Threat Defense

    Security Intelligence (SI) là tuyến phòng thủ đầu tiên trong Cisco Secure Firewall Threat Defense. Nó cho phép chặn ngay lập tức lưu lượng đến/từ các IP, URL, DNS có danh tiếng xấu (bad reputation), dựa trên feed cung cấp sẵn từ Cisco Talos, mà không cần đến phân tích chuyên sâu tốn tài nguyên hơn. Tình huống thực tế (Use Case)


    Trong kịch bản này, ta cần triển khai SI với các yêu cầu:
    1. Chặn tất cả liên lạc đến/từ IP/URL xấu
      • Sử dụng feed do Cisco cung cấp, chứa các "bad categories" về IP và URL.
      • Tất cả feed này được đưa vào Block list container.
    2. Theo dõi một IP nghi ngờ mà chưa chặn ngay
      • Bạn phát hiện địa chỉ IP 209.165.202.5 có dấu hiệu đáng ngờ.
      • Thay vì block, ta muốn chỉ giám sát (monitor-only) để sinh sự kiện khi có giao tiếp.
      • Giải pháp: tạo network object cho IP này, thêm vào Block list container, nhưng thay đổi action từ Block (red cross) sang Monitor (green arrow).
    3. Bảo vệ URL của đối tác khỏi bị chặn nhầm
      • Nếu URL máy chủ đối tác lọt vào blacklist, ta vẫn phải đảm bảo truy cập không bị gián đoạn.
      • Giải pháp: tạo URL object cho Partner_Server, đưa vào Do Not Block list.
      • Lưu ý: trong Do Not Block list, không thể cấu hình action, mặc định luôn là "cho phép".
    Kết quả cấu hình
    • Do Not Block list container: chứa object Partner_Server → đảm bảo không bao giờ bị block.
    • Block list container: chứa tất cả feed bad IP/URL categories, kèm thêm 209.165.202.5 với action "Monitor-only".
    • Security Intelligence Events: ghi nhận các kết nối trùng khớp, hiển thị trong FMC (Firepower Management Center), bao gồm thông tin về category của IP/URL bị match.
    Phân loại Security Intelligence Objects


    Trong Cisco Secure Firewall, SI objects có thể được chia như sau:
    • Feed objects: nguồn dữ liệu động (dynamic feeds) do Cisco cung cấp hoặc tự định nghĩa, chứa IP/URL/DNS xấu.
    • List objects: danh sách tĩnh (static lists) do quản trị viên tạo, có thể là file upload hoặc tự định nghĩa.
    • General network or URL objects: các đối tượng IP, network, hoặc URL cụ thể, do quản trị viên định nghĩa.
    • Global Do Not Block / Block lists: danh sách toàn cục để chặn hoặc cho phép, áp dụng cho toàn bộ hệ thống.
    Câu hỏi ôn tập (Content Review Question)


    Hãy match các định nghĩa sau:
    • Feed objects → Nguồn dữ liệu động chứa thông tin IP/URL xấu (thường từ Cisco Talos).
    • List objects → Danh sách tĩnh được quản trị viên upload hoặc tự định nghĩa.
    • General network or URL objects → Các đối tượng đơn lẻ (IP, network, hoặc URL) do admin tạo.
    • Global Do Not Block / Block lists → Danh sách toàn cục xác định hành vi "chặn hoặc không chặn" cho SI.

    👉 Như vậy, Security Intelligence cho phép firewall ra quyết định sớm nhất trước khi lưu lượng vào các pipeline khác như Access Control Policy (ACP) hay IPS Inspection, vừa tiết kiệm tài nguyên, vừa ngăn chặn nhanh chóng các mối đe dọa đã biết.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X