セキュリティ : Cisco Firepower Management Center

IP アドレスは FireSIGHT システムのセキュリティ Intellegence によってブロックされるか、またはブラックリストに載せられます

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 19 日) | フィードバック

概要

安全保障局機能はソースか宛先 IP アドレスに基づいてネットワークを横断できるトラフィックを規定 することを可能にします。 これは-トラフィックをに出入して拒否して下さい-トラフィックがアクセスコントロール ルールによって分析に服従する前に特定の IP アドレスをブラックリストに載せたいと思う場合特に役立ちます。 これは IP アドレスが Cisco FireSIGHT システムによってブロックされるか、またはブラックリストに載せられているとき記述しますシナリオを処理する方法を文書化します。

著者:Cisco TAC エンジニア、Nazmul Rajib

前提条件

要件

Cisco は Cisco FireSIGHT Management Center のナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • Cisco FireSIGHT Management Center
  • Cisco 火力アプライアンス
  • 火力(SFR)モジュールが付いている Cisco ASA
  • ソフトウェア バージョン 5.2 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

知性供給と知性 リストの違い

FireSIGHT システムで安全保障局機能を使用する 2 つの方法があります:

セキュリティ インテリジェンス フィード


安全保障局供給は防御センターが HTTP または HTTPS サーバからダウンロードする IP アドレスのダイナミック 収集です。 ブラックリストを構築するのを助けるために Cisco は悪い評判を持つために脆弱性調査チーム(VRT)が判別する IP アドレスを表す安全保障局供給を提供します。

安全保障局リスト

供給と対照される安全保障局リストは FireSIGHT Management Center に手動でアップロードする IP アドレスの簡単なスタティックリストです。

正規のIPアドレスはブロックされるか、またはブラックリストに載せられます

IP アドレスが安全保障局供給にあるかどうか確認して下さい

IP アドレスが安全保障局供給ブラックリストによってブロックされる場合、これを確認するために下記のステップに従うことができます:

ステップ 1: 火力アプライアンスまたはサービスモジュールの CLI にアクセスして下さい。

ステップ 2: 次のコマンドを実行して下さい。 捜したいと思う IP アドレスと <IP_Address> を取り替えて下さい:

admin@Firepower:~$ grep <IP_Address> /var/sf/iprep_download/*.blf

たとえば IP アドレス 198.51.100.1 を捜したいと思ったら次のコマンドを実行して下さい:

admin@Firepower:~$ grep 198.51.100.1 /var/sf/iprep_download/*.blf

このコマンドが提供した IP アドレスのための一致を戻せば、IP アドレスが安全保障局供給ブラックリストにあることを示します。

ブラックリストをチェックして下さい

ブラックリストに載せられるかもしれない IP アドレスのリストを見つけるために下記のようにステップに従って下さい:

ステップ 1: FireSIGHT Management Center の Webインターフェイスへのアクセス。

ステップ 2: オブジェクト > オブジェクト 管理 > Security 知性へのナビゲート。

手順 3: グローバル なブラックリストを開くか、または編集するために鉛筆アイコンをクリックして下さい。 IP アドレスのリストが付いているウィンドウの上のぽんと鳴らは現われます。

ブロックされたか、またはブラックリストに載せられた IP アドレスを使用して下さい

特定IPアドレスが安全保障局供給によってブロックされるか、またはブラックリストに載せられる場合、のそれを許可する次のオプション検討できます。

オプション 1: 安全保障局ホワイトリスト

安全保障局によってブラックリストに載せられる whitelist IP アドレスできます。 whitelist はブラックリストを無効にします。 FireSIGHT システムはアクセスコントロール ルールを使用して IP アドレスがまたブラックリストに載せられても、whitelisted ソースのトラフィックか宛先 IP アドレスを評価します。 従ってブラックリストがそれでも役立つ whitelist を使用ができ、スコープで余りにも広く、不正確に検査するにはたいと思うトラフィックをブロックしますとき。

たとえば、評判が良い供給が重要なリソースに不適当にアクセスをブロックするが、組織に全面的に役立てば、できま全体供給をブラックリストから取除きますよりもむしろ whitelist 不適当に分類された IP アドレスだけ。

注意: アクセスコントロール ポリシーの変更を行なった後、管理対象装置にポリシーを再適用して下さい。

オプション 2: セキュリティ ゾーンによって安全保障局フィルタを実施して下さい

追加された細かさの場合、接続のソースか宛先 IP アドレスが特定のセキュリティ ゾーンに常駐するかどうか基づいて安全保障局フィルタリングを実施できます。

whitelist 上述の例を、whitelist 不適当に分類された IP アドレス拡張し、一方では whitelist オブジェクトを組織でそれらの IP アドレスにアクセスする必要があるそれらによって使用されたセキュリティ ゾーンを使用して制限する可能性がありましたが。 ビジネス上の必要のその方法は、それらだけ whitelisted IP アドレスにアクセスできます。 別の例として、電子メールサーバ セキュリティ ゾーンのトラフィックをブラックリストに載せるのにサード パーティ スパム供給を使用したいと思うかもしれません。

オプション 3:: 、よりもむしろブラックリストに載せます監視して下さい

アドレスの特定IPアドレスかセットをブラックリストに載せたいと思うかどうか確実ではない場合システムがアクセスコントロール ルールへの適合する接続を渡すようにするが「モニタのみの」設定を使用できましたりまたブラックリストに一致を記録 します。 モニタのみにグローバル なブラックリストを設定できないことに注目して下さい
 
その供給を使用してブロッキングを設定する前にサード パーティ供給をテストしたいと思うシナリオを考慮して下さい。 モニタのみに供給を設定 したとき、システムは更にシステムによって分析されるためにブロックされようが可能にしましたりまた評価のためのそれらの接続のそれぞれのレコードを記録 します接続を。

「モニタのみの」設定で安全保障局を設定するステップ:

  1. アクセスコントロール ポリシーの安全保障局タブで、ロギング アイコンをクリックして下さい。 ブラックリスト Options ダイアログボックスは現われます。
  2. トラフィックが安全保障局状態を満たすとき始まりの接続イベントを記録 するためにログ Connections チェックボックスを選択して下さい。
  3. 接続イベントをどこに送信 するか規定 して下さい。
  4. ロギング オプションを設定するために『OK』 をクリック して下さい。 安全保障局タブは再度現われます。
  5. [Save] をクリックします。 実施されるために変更のためのアクセスコントロール ポリシーを適用して下さい。

オプション 4: 連絡先 Cisco Technical Assistance Center

Cisco Technical Assistance Center に常に連絡できます:

  • 上記のオプション 1、2 か 3.の質問があります。
  • 安全保障局によってブラックリストに載せられる分析および IP アドレスのそれ以上のリサーチがほしいと思います。
  • IP アドレスが安全保障局によってなぜブラックリストに載せられるか説明がほしいと思います。


Document ID: 117993