FireSIGHT システム ユーザ ガイド バージョン 5.3.1
外部アラートの設定
外部アラートの設定
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

外部アラートの設定

アラート応答の使用

電子メール アラート応答の作成

SNMP アラート応答の作成

Syslog アラート応答の作成

アラート応答の変更

アラート応答の削除

アラート応答の有効化と無効化

影響フラグ アラートの設定

検出イベント アラートの設定

高度なマルウェア対策アラートの設定

外部アラートの設定

FireSIGHT システムではイベントのさまざまなビューを Web インターフェイス内で提供しますが、重要なシステムの継続的なモニタリングを容易にするために外部イベント通知を設定することもできます。次のいずれかが発生したときに、電子メール、SNMP トラップ、または syslog で通知するアラートを生成するように FireSIGHT システムを設定できます。

特定の影響フラグを持つ侵入イベント

特定のタイプの検出イベント

ネットワークベースのマルウェア イベントまたはレトロスペクティブ マルウェア イベント

特定の相関ポリシー違反によってトリガーとして使用される相関イベント

特定のアクセス コントロール ルールによってトリガーとして使用される接続イベント

正常性ポリシー内のモジュールに対する特定のステータス変更

システムでこれらのアラートが送信されるようにするには、まず アラート応答 を作成する必要があります。アラート応答は、アラート送信を計画している外部システムと FireSIGHT システム が連携できるようにする一連の設定です。それらの設定では、たとえば、電子メール リレー ホスト、SNMP アラート パラメータ、または syslog ファシリティおよびプライオリティを指定する場合があります。

アラート応答を作成した後、アラートをトリガーとして使用するために使用するイベントに関連付けます。アラート応答とイベントを関連付けるための処理は、次のように、イベントのタイプによって異なることに注意してください。

アラート応答を影響フラグ、検出イベント、およびマルウェア イベントと関連付ける場合は、独自の設定ページを使用します。

相関イベントを相関ポリシー内でアラート応答(および修復応答)と関連付けます(修復応答については、「修復の作成」を参照してください)。

SNMP および syslog アラート応答を接続のログ記録と関連付ける場合は、アクセス コントロール ルールとポリシーを使用します。電子メール アラートは接続のログ記録ではサポートされません。

アラート応答をヘルス モジュールのステータス変更と関連付ける場合は、ヘルス モニタを使用します。

FireSIGHT システムには、実行可能なもう 1 つのタイプのアラートがあります。この場合は、影響フラグに関係なく個々の侵入イベントに対して、電子メール、SNMP、および syslog による侵入イベント通知を設定します。これらの通知は侵入ポリシーで設定します。「侵入ルールの外部アラートの設定」および「アラートの追加」を参照してください。次の表では、アラート生成に必要なライセンスについて説明します。

 

表 15-1 アラートを生成するためのライセンス要件

アラートを生成する条件
必要なライセンス

特定の影響フラグを持つ侵入イベント

FireSIGHT + Protection

特定のタイプの検出イベント

FireSIGHT

ネットワークベースのマルウェア イベント

Malware

相関ポリシー違反

ポリシー違反をトリガーとして使用するために必要なライセンス

接続イベント

接続をログに記録するために必要なライセンス

ヘルス モジュール ステータス変更

任意

詳細については、以下を参照してください。

「アラート応答の使用」

「影響フラグ アラートの設定」

「検出イベント アラートの設定」

「高度なマルウェア対策アラートの設定」

「ルールとホワイトリストに応答を追加する」

「接続、ファイル、マルウェアに関する情報のロギング」

「デフォルト アクションの接続のロギング」

「ヘルス モニタ アラートの設定」

アラート応答の使用

ライセンス:任意

外部アラートを設定する際の最初の手順はまずアラート応答を作成することです。アラート応答は、アラート送信を計画している外部システムと FireSIGHT システム が連携できるようにする一連の設定です。アラート応答を作成して、電子メール、Simple Network Management Protocol(SNMP)トラップ、またはシステム ログ(syslog)によりアラートを送信できます。

アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。たとえば、影響フラグのアラートには、タイムスタンプ、侵入ルール、影響フラグ、およびイベントの説明情報が含まれます。別の例として、検出イベントのアラートも、タイムスタンプと説明情報のほか、検出イベント タイプの情報が含まれます。

相関ポリシーでアラート応答を使用する場合、アラート情報は、相関ポリシー違反をトリガーしたイベントのタイプによって異なります。


接続トラッカーを含む相関ルールに対する応答としてアラートを設定した場合、相関ルール自体が異なる種類のイベントに基づいていても、受け取るアラート情報はトラフィック プロファイル変更のアラートの場合と同じです。


作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。

アラート応答は [Alerts] ページ([Policies] > [Actions] > [Alerts])で管理します。各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。

詳細については、以下を参照してください。

「電子メール アラート応答の作成」

「SNMP アラート応答の作成」

「Syslog アラート応答の作成」

「アラート応答の変更」

「アラート応答の削除」

「アラート応答の有効化と無効化」

電子メール アラート応答の作成

ライセンス:任意

電子メール アラートはアクセス コントロール ポリシーの接続のログ記録に対して実行 できない ことに注意してください。

電子メール アラート応答を作成する前に、防御センターが自身の IP アドレスを逆引き解決できることを確認する必要があります。また、「メール リレー ホストおよび通知アドレスの設定」で説明しているように、メール リレー ホストを設定する必要があります。

電子メール アラート応答を作成する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。

ステップ 2 [Create Alert] ドロップダウン メニューから、[Create Email Alert] を選択します。

[Create Email Alert Configuration] ポップアップ ウィンドウが表示されます。

ステップ 3 [Name] フィールドに、アラート応答を識別するために使用する名前を入力します。

ステップ 4 [To] フィールドに、アラートを送信する電子メール アドレスを入力します。

電子メール アドレスが複数ある場合はカンマで区切ります。

ステップ 5 [From] フィールドに、アラートの送信者として表示する電子メール アドレスを入力します。

ステップ 6 [Relay Host] の横に表示されるメール サーバが、アラートの送信に使用するサーバであることを確認します。

サーバを変更する場合、またはリレー ホストをまだ設定していない場合は、編集アイコン( )をクリックしてポップアップ ウィンドウに [System Policy] ページを表示し、「メール リレー ホストおよび通知アドレスの設定」の指示に従います。変更内容を有効にするために、編集後にシステム ポリシーを適用する必要があります。

ステップ 7 [Save] をクリックします。

アラート応答が保存され、自動的に有効になります。


 

SNMP アラート応答の作成

ライセンス:任意

SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。


SNMP で 64 ビット値を監視する場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。


ネットワーク管理システムで防御センターの管理情報ベース(MIB)ファイルが必要な場合は、 /etc/sf/ DC EALERT.MIB で取得できます。

SNMP アラート応答を作成する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。

ステップ 2 [Create Alert] ドロップダウン メニューから、[Create SNMP Alert] を選択します。

[Create SNMP Alert Configuration] ポップアップ ウィンドウが表示されます。

ステップ 3 [Name] フィールドに、SNMP 応答を識別するために使用する名前を入力します。

ステップ 4 [Trap Server] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。

このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。

ステップ 5 [Version] ドロップダウン リストから、使用する SNMP バージョンを選択します。

SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。

ステップ 6 どのバージョンの SNMP を選択したかに応じて、以下のようにします。

SNMP v1 または SNMP v2 の場合、英数字または特殊文字( * または $ )を使用して、[Community String] フィールドに SNMP コミュニティの名前を入力し、ステップ 12 に進みます。

SNMP v3 の場合、[User Name] フィールドに SNMP サーバで認証するユーザの名前を入力し、次のステップに進みます。

ステップ 7 [Authentication Protocol] ドロップダウン リストから、認証に使用するプロトコルを選択します。

ステップ 8 [Authentication Password] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。

ステップ 9 [Privacy Protocol] リストから、[None] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。

ステップ 10 [Privacy Password] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。

ステップ 11 [Engine ID] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。

SNMPv3 を使用する場合、メッセージの符号化には Engine ID 値が使用されます。SNMP サーバでは、メッセージを復号化するためにこの値が必要です。

シスコは、防御センターの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、防御センターの IP アドレスが 10.1.1.77 である場合、 0a01014D0 を使用します。

ステップ 12 [Save] をクリックします。

アラート応答が保存され、自動的に有効になります。


 

Syslog アラート応答の作成

ライセンス:任意

syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。


ヒント syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.confman ページで概念情報および設定手順が説明されています。

syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、 syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。

次の表に、選択可能な syslog ファシリティを示します。

 

表 15-2 使用可能な syslog ファシリティ

ファシリティ
説明

ALERT

アラート メッセージ。

AUDIT

監査サブシステムによって生成されるメッセージ。

AUTH

セキュリティと承認に関連するメッセージ。

AUTHPRIV

セキュリティと承認に関連する制限されたアクセスのメッセージ。多くのシステムで、これらのメッセージはセキュア ファイルに転送されます。

CLOCK

クロック デーモンによって生成されるメッセージ。

Windows オペレーティング システムを実行している syslog サーバは CLOCK ファシリティを使用することに注意してください。

CRON

クロック デーモンによって生成されるメッセージ。

Linux オペレーティング システムを実行している syslog サーバは CRON ファシリティを使用することに注意してください。

DAEMON

システム デーモンによって生成されるメッセージ。

FTP

FTP デーモンによって生成されるメッセージ。

KERN

カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージが発生する場合コンソールに出力されます。

LOCAL0-LOCAL7

内部プロセスによって生成されるメッセージ。

LPR

印刷サブシステムによって生成されるメッセージ。

MAIL

メール システムで生成されるメッセージ。

NEWS

ネットワーク ニュース サブシステムによって生成されるメッセージ。

NTP

NTP デーモンによって生成されるメッセージ。

SYSLOG

syslog デーモンによって生成されるメッセージ。

USER

ユーザレベルのプロセスによって生成されるメッセージ。

UUCP

UUCP サブシステムによって生成されるメッセージ。

次の表に、選択可能な標準の syslog 重大度レベルを示します。

 

表 15-3 syslog 重大度レベル

レベル
説明

ALERT

ただちに修正する必要がある状態。

CRIT

クリティカルな状態。

DEBUG

デバッグ情報を含むメッセージ。

EMERG

すべてのユーザに配信されるパニック状態。

ERR

エラー状態。

INFO

情報メッセージ。

NOTICE

エラー状態ではないが、注意が必要な状態。

WARNING

警告メッセージ。

syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。

syslog アラートを作成する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。[Create Alert] ドロップダウン メニューから、[Create Syslog Alert] を選択します。

[Create Syslog Alert Configuration] ポップアップ ウィンドウが表示されます。

ステップ 2 [Name] フィールドに、保存される応答を識別するために使用する名前を入力します。

ステップ 3 [Host] フィールドに、syslogサーバのホスト名またはIPアドレスを入力します。

このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。

ステップ 4 [Port] フィールドに、サーバが syslog メッセージに使用するポートを入力します。

この値はデフォルトで 514 です。

ステップ 5 [Facility] リストから、ファシリティを選択します。

使用可能なファシリティの一覧については、 「使用可能な syslog ファシリティ」 の表を参照してください。

ステップ 6 [Severity] リストから、重大度を選択します。

使用可能な重大度の一覧については、 「syslog 重大度レベル」 の表を参照してください。

ステップ 7 [Tag] フィールドに、syslog メッセージとともに表示するタグ名を入力します。

タグ名には英数字のみを使用します。スペースまたは下線は使用 できません

例として、syslog に送信されるすべてのメッセージの前に From DC を付ける場合、フィールドに From DC と入力します。

ステップ 8 [Save] をクリックします。

アラート応答が保存され、自動的に有効になります。


 

アラート応答の変更

ライセンス:任意

ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。

アラート応答を編集する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。

ステップ 2 編集するアラート応答の横にある編集アイコン( )をクリックします。

そのアラート応答の設定ポップアップ ウィンドウが表示されます。

ステップ 3 必要に応じて変更を加えます。

ステップ 4 [Save] をクリックします。

アラート応答が保存されます。


 

アラート応答の削除

ライセンス:任意

使用中でない任意のアラート応答を削除できます。

アラート応答を削除する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。

ステップ 2 削除するアラート応答の横にある削除アイコン( )をクリックします。

ステップ 3 アラート応答を削除することを確認します。

アラート応答が削除されます。


 

アラート応答の有効化と無効化

ライセンス:任意

有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。

アラート応答を有効または無効にする方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。

[Alerts] ページが表示されます。

ステップ 2 有効または無効にするアラート応答の横の有効または無効のスライダをクリックします。

アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。


 

影響フラグ アラートの設定

ライセンス:Protection

特定の影響フラグを持つ侵入イベントが発生するたびにアラートが生成されるようにシステムを設定できます。影響フラグは、侵入データ、ネットワーク検出データ、および脆弱性情報を関連付けることにより、侵入がネットワークに与える影響を評価するのに役立ちます。詳細については、「影響レベルを使用してイベントを評価する」を参照してください。

影響フラグ アラートを設定する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Impact Flag Alerts] タブを選択します。

[Impact Flag Alerts] ページが表示されます。

ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。

新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。

ステップ 3 [Impact Configuration] セクションで、各影響フラグに対して、受信するアラートに対応するチェック ボックスを選択します。

ステップ 4 [Save] をクリックします。

影響フラグ アラート設定が保存されます。


 

検出イベント アラートの設定

ライセンス:FireSIGHT

特定のタイプの検出イベントが発生するたびにアラートが生成されるようにシステムを設定できます。さまざまなイベント タイプについては、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。

検出イベント タイプに基づいてアラートを生成するには、そのイベント タイプをログに記録するようにネットワーク検出ポリシーを設定する必要があることに注意してください(「検出イベント ロギングの設定」を参照してください)。デフォルトでは、すべてのイベント タイプに対してロギングは有効です。

検出イベント アラートを設定する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Discovery Event Alerts] タブを選択します。

[Discovery Event Alerts] ページが表示されます。

ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。

新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。

ステップ 3 [Events Configuration] セクションで、各検出イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。

ステップ 4 [Save] をクリックします。

検出イベント アラート設定が保存されます。


 

高度なマルウェア対策アラートの設定

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X シリーズ

サポート対象防御センター:任意(DC500 を除く)

ネットワークベースのマルウェア イベント(レトロスペクティブ イベントを含む)が発生するたびにアラートが生成されるようにシステムを設定できます。ただし、エンドポイント ベースの(FireAMP)マルウェア イベントではアラートを生成できません。マルウェア イベントの詳細については、「マルウェア イベントの操作」を参照してください。

マルウェア イベントに基づいてアラートを生成するには、マルウェア クラウド検索を実行するファイル ポリシーを作成した後、そのポリシーをアクセス コントロール ルールに関連付ける必要があります。詳細については、「ファイル ポリシーの概要と作成」および「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。

マルウェア イベント アラートを設定する方法:

アクセス:Admin


ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Advanced Malware Protections Alerts] タブを選択します。

[Advanced Malware Protection Alerts] ページが表示されます。

ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。

新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。

ステップ 3 [Event Configuration] セクションで、各マルウェア イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。

[All network-based malware events] には [Retrospective Events] が含まれることに注意してください。

ステップ 4 [Save] をクリックします。

マルウェア イベント アラート設定が保存されます。