Configuración de NetFlow utilizando NSEL

Puede configurar Cisco ASA para reenviar sucesos de NetFlow utilizando NSEL.

Procedimiento

  1. Inicie sesión en la interfaz de línea de mandatos (CLI) del dispositivo ASA de Cisco.
  2. Escriba el mandato siguiente para acceder a la modalidad EXEC privilegiada:

    enable

  3. Escriba el mandato siguiente para acceder a la modalidad de configuración global:

    conf t

  4. Inhabilite la opción de nombre de objeto de salida:

    no names

  5. Escriba el mandato siguiente para habilitar la exportación NetFlow :

    flow-export destination <nombre-interfaz> <dirección-ipv4 o nombrehost> <puerto-udp>

    Donde:

    • <nombre-interfaz> es el nombre de la interfaz de Cisco Adaptive Security Appliance para el recopilador NetFlow .

    • <ipv4-address or hostname> es la dirección IP o el nombre de host del dispositivo ASA de Cisco con la aplicación de recopilador NetFlow .

    • <udp-port> es el número de puerto UDP al que se envían los paquetes NetFlow .

    Nota: IBM QRadar suele utilizar el puerto 2055 para los datos de sucesos de NetFlow en los recopiladores de QFlow de QRadar . Debe configurar un puerto UDP diferente en Cisco Adaptive Security Appliance para NetFlow utilizando NSEL.
  6. Escriba el mandato siguiente para configurar la correlación de clases NSEL:

    class-map flow_export_class

  7. Elija una de las siguientes opciones de tráfico:

    Para configurar una lista de acceso NetFlow para que coincida con el tráfico específico, escriba el mandato:

    match access-list flow_export_acl

  8. Para configurar NetFlow para que coincida con cualquier tráfico, escriba el mandato:

    match any

    Nota: La lista de control de accesos (ACL) debe existir en el dispositivo ASA de Cisco antes de definir la opción de coincidencia de tráfico en Configuración de NetFlow utilizando NSEL.
  9. Escriba el mandato siguiente para configurar la correlación de políticas NSEL:

    policy-map flow_export_policy

  10. Escriba el mandato siguiente para definir una clase para la acción flow-export:

    class flow_export_class

  11. Escriba el mandato siguiente para configurar la acción de exportación de flujo:

    flow-export event-type all destination <Dirección IP>

    Donde <dirección IP> es la dirección IP de QRadar.

    Nota: Si utiliza una versión de Cisco ASA anterior a v8.3 , puede omitirConfiguración de NetFlow utilizando NSEL ya que el dispositivo toma de forma predeterminada el destino de exportación de flujo. Para obtener más información, consulte Documentación ASA de Cisco.
  12. Escriba el mandato siguiente para añadir la política de servicio globalmente:

    service-policy flow_export_policy global

  13. Salga de la configuración:

    exit

  14. Guarde los cambios:

    write mem

    Debe verificar que las aplicaciones de recopilador utilizan el campo Hora de suceso para correlacionar sucesos.