Cisco ASA FirePower Sourcefire 5506 5508

Hallo zusammen,

ich habe nun die erste ASA mit FirePower SourceFire am Start. Aber wie das so beim ersten mal ist - es geht nicht so wie es soll... Da habe ich mich mal hingesetzt wie man das "Debuggen" kann.

Was habe ich hier am Start :

ASA 5508 - mit integ. SFR Modul. v5.4.1.3

Windows 2008 & 2012 mit Cisco User Agend v2.3.10

Wie kann man nun erkennen, ob SFR Modul überhaupt Daten vom Agent bekommt und was das Modul in der Datenbank gespeichert hat.

Am besten man loggt sich auf die "Console der ASA" ein (inkl. Enable) von da gehts weiter :

(Hinweis - falls mal nicht direkt ein Output kommt - nochmal Enter drücken)

1. Auf zur SourceFire Console (und da einloggen)

-> session sfr

2. Expert Modus starten

-> expert

3. Tüte Rechte besorgen

-> sudo su - (und danach das Passwort vom SFR Modul ohne User - bei mir Sourcefire)

4. Ins richtige Verzeichnis wechsel

-> cd /var/sf/user_enforcement/

5. Hier haben wir dann ein Perl Script was uns hilft


Abfrage was das Script so tolles kann : perl user_map_query.pl -h

Usage: user_map_query.pl [OPTIONS] [ITEMS]...

Version: 1.0

This script will return current information about users, groups and IP addresses.
This will only show user to IP address assoiciations to IP addresses that currently belong to a user.
It does not show all IP addresses that the user was associated with in the past.

You must provide one (and only one) of the following options: -g, -i, -u

Examples:
user_map_query.pl -u jsmith # displays the information for the user jsmith

user_map_query.pl -i 10.1.2.3 # displays users associated to the IP address 10.1.2.3

user_map_query.pl -g myGroup # displays all users associated to group myGroup

Options:
-d, --debug enable debug logging (off by default)
-g, --group Displays the users associated to the group(s) specified (can not be passed with -i or -u)
-h, -?, --help Print usage information
-i, --ip-addr Displays the users associated to the IPv4 address(es) specified (can not be passed with -g or u)
-u, --user Displays the IP addresses associated to the user(s) specified (can not be passed with -g or -i)



Hier ein Paar Beispiele wie die Outputs aussehen :


Abfrage über IP : perl user_map_query.pl -i 192.168.100.183

Ausgabe :

Getting information on IP Address(es)...

1) 192.168.100.183
Current User Info:
User ID: 26
Username: xyxyx
Last Seen: 10/16/2015 09:41:19 UTC


Abfrage über den User : perl user_map_query.pl -u xyxyx

Ausgabe :

1) xyxyx
ID: 26
Last Seen: 10/16/2015 09:41:19 UTC
Has Authoritative Login: 1
All Current IP Addresses:
1) ::ffff:192.168.100.73
2) ::ffff:192.168.100.183


ERROR: Could not find the user ID '26' in the user group map table!
NOTICE: Unable to get the group info for user_id '26'!

!! Hinweise - dieser User gehört zu keiner ADS/LDAP Gruppe - ansonsten würde hier die Gruppe stehen !!

Mit Gruppe sieht das so aus :

Groups:
1) INTERNET


Abfrage über eine Gruppe : perl user_map_query.pl -g INTERNET

Ausgabe :

Getting information on Group(s)...

1) INTERNET
ID: 1
Group Updated: 10/17/2015 12:00:02 UTC
Users:
1) xxyyxx
User ID: 12
Last Seen: 10/15/2015 14:57:24 UTC
Has Authoritative Login: 1
Group Map Last Updated: 10/13/2015 09:25:29 UTC UTC
2) yyxxyy
User ID: 14
Last Seen: 10/16/2015 18:45:52 UTC
Has Authoritative Login: 1
Group Map Last Updated: 10/13/2015 09:25:29 UTC UTC
usw....


Den Debug Schalter "-d" kann man benutzen - aber ich konnte keine nenneswerten "Mehr" - Infos finden.


Ich will mal weiter suchen - da müsste doch noch mehr gehen - das ganz bassiert ja unter einer MySql Datenbank

Viel Spass bei der Fehlersuche - wenn ihr einen Tollen Trick gefunden habt - einfach mal schreiben.