お問い合わせ内容
SIEM統合用のオンプレミスHTTPコネクタでWebHookベースのセキュリティイベントが受信されません。
環境
- 製品:Cisco Secure Access(SSE)
- テクノロジー:ソリューションサポート – セキュアアクセスのレポートとロギング
- 統合タイプ:Webhookベースのサードパーティ統合
- ターゲットコネクタ:オンプレミスHTTPコネクタ
- ダッシュボードのステータス:サードパーティ統合がAdmin > Third Party Integrationsで正常にロードされます。
解決策
Cisco Secure Accessサードパーティ統合のWebフック配信の問題を解決するには、これらのCisco SSE送信元IP範囲からの着信HTTPSトラフィックを許可するようにファイアウォールルールを設定します。
必要なファイアウォール設定
次のCisco SSE送信元IP範囲からオンプレミスコネクタへのインバウンドHTTPSトラフィックを許可します。
146.112.161.0/24
146.112.163.0/24
146.112.165.0/24
146.112.167.0/24
これらのIP範囲は、Webフック配信のためにCisco SSEがEUと米国の両方の地域から使用する共有IPアドレスを表します。
確認手順
手順1:SSEダッシュボードでサードパーティの統合ステータスを確認します。
SSEダッシュボードでAdmin > Third Party Integrationsに移動し、統合が組織に対して正しくロードされていることを確認します。
手順2:ファイアウォールルールを設定します。
指定されたSSE IP範囲からオンプレミスのコネクタサーバーへのインバウンドHTTPS接続を許可するように、ネットワークファイアウォールと介在するファイアウォールを更新します。
ステップ3:Webhookイベント配信をモニタします。
ファイアウォールの変更を実装したら、オンプレミスのHTTPコネクタを監視して、Cisco SSEからWebhookイベントを受信していることを確認します。
その他のトラブルシューティング
ファイアウォールルールを設定した後もwebhookイベントが受信されない場合は、次の手順を実行します。
- オンプレミスコネクタが正しく構成され、予期されたポートでリッスンしていることを確認します。
- SSE送信元IPとコネクタエンドポイント間のネットワーク接続を確認します。
- SSEダッシュボードでwebhook統合設定を確認します。
- Webフック配信をリアルタイムでレビューするために、ライブトラブルシューティングセッションをスケジュールすることを検討してください。
原因
Webhook配信の障害は、ネットワークファイアウォールがCisco SSEの送信元IPアドレスからオンプレミスのHTTPコネクタへの着信HTTPS接続をブロックした場合に発生します。Cisco SSEは、EUおよび米国の地域にある共有インフラストラクチャから特定のIP範囲を使用してWebhookイベントを配信します。イベントを正常に配信するには、これらをファイアウォール設定で明示的に許可する必要があります。
関連コンテンツ
フィードバック