Cisco Security Analytics and Logging

Security Cloud Control でのイベント

この章では、Security Cloud Control のセキュリティ分析およびロギング(SaaS)について説明します。

Security Cloud Control の Security Analytics and Logging(SaaS)について

用語に関する注 : このドキュメントでは、Cisco Security Analytics and Logging(Software as a Service(SaaS)製品)が、セキュリティイベントのモニタリングのために Security Cloud Control で使用されている場合、この統合は Cisco Security Analytics and Logging(SaaS)または SAL(SaaS)と呼ばれています。

Cisco Security Analytics and Logging(SAL)を使用すると、すべてのファイアウォールデバイスからサポートされているタイプのセキュリティイベントをキャプチャし、Security Cloud Control の 1 か所で表示できます。イベントは、セキュリティ分析およびロギングクラウドに保存され、 [Event Logging] ページから表示できます。[Event Logging] ページでは、セキュリティイベントデータを検索、フィルタ処理、および分析して、ネットワーク内でトリガーされているセキュリティルールを把握できます。

Security Cloud Control のイベントタイプ

Secure Logging Analytics(SaaS)によって記録されたセキュリティイベントをフィルタ処理する場合、Security Cloud Control がサポートする ASA、FTD、および のイベントタイプのリストから選択できます。Security Cloud Control メニューから、[分析(Analytics)] > [イベントロギング(Event Logging)] に移動し、フィルタアイコンをクリックしてイベントを選択します。これらのイベントタイプは、syslog ID のグループを表します。次の表は、どのイベントタイプにどの syslog ID が含まれるかを示しています。特定の syslog ID の詳細については、「Cisco ASA Series Syslog Messages」または「Cisco Secure Firewall Threat Defense Syslog Messages」で検索できます。

一部の syslog イベントには、追加の属性「EventName」があります。属性:値のペアでフィルタ処理することにより、EventName 属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。「Syslog イベントのイベント名属性」を参照してください。

一部の syslog イベントには、追加の属性「EventGroup」および「EventGroupDefinition」があります。属性:値のペアでフィルタ処理することにより、これらの追加属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。「一部の Syslog メッセージの EventGroup および EventGroupDefinition 属性」を参照してください。

NetFlow イベントは、syslog イベントとは異なります。NetFlow フィルタは、NSEL レコードになったすべての NetFlow イベント ID を検索します。これらの NetFlow イベント ID は、『Cisco ASA NetFlow 実装ガイド』で定義されています。

次の表に、Security Cloud Control がサポートするイベントタイプと、イベントタイプに対応する syslog または NetFlow イベント番号を示します。

フィルタ名(Filter Name)

説明

対応する Syslog イベントまたは NetFlow イベント

AAA

これらは、AAA が設定されている場合に、認証、許可、またはネットワーク内のリソースを使い果たすことを目的として失敗した試行または無効な試行が発生したときにシステムが生成するイベントです。

109001-109035

113001-113027

BotNet

これらのイベントは、マルウェアに感染したホスト(ボットネットの可能性あり)を含む可能性のある悪意のあるネットワークにユーザーがアクセスしようとしたとき、またはダイナミック フィルタ ブロック リストにあるドメインまたは IP アドレスとの間でやり取りされるトラフィックをシステムが検出したときにログに記録されます。

338001-338310

フェールオーバー

これらのイベントは、システムがステートフルおよびステートレス フェールオーバー構成でエラーを検出した場合、またはフェールオーバーが発生したときにセカンダリ ファイアウォール ユニットでエラーを検出した場合にログに記録されます。

101001-101005、102001、103001-103007、104001-104004、105001-105048

210001-210022

311001-311004

709001-709007

Firewall Denied

これらのイベントは、さまざまな理由でファイアウォールシステムがネットワークパケットのトラフィックを拒否したときに生成されます。この理由は、セキュリティポリシーによるパケットのドロップから、ネットワークへの攻撃を意味する可能性がある、同じ送信元 IP と宛先 IP を持つパケットをシステムが受信したことによるドロップまでさまざまです。

Firewall Denied イベントは NetFlow に含まれている場合があり、syslog ID だけでなく NetFlow イベント ID と共に報告される場合もあります。

106001、106007、106012、106013、106015、106016、106017、106020、106021、106022、106023、106025、106027

Firewall Traffic

これらは、ネットワークでのさまざまな接続試行、ユーザーアイデンティティ、タイムスタンプ、終了したセッションなどに応じてログに記録されるイベントです。

Firewall Traffic イベントは NetFlow に含まれている場合があり、syslog ID だけでなく NetFlow イベント ID と共に報告される場合もあります。

106001-106100、108001-108007、110002-110003

201002-201013、209003-209005、215001

302002-302304、302022-302027、303002-303005、313001-313008、317001-317006、324000-324301、337001-337009

400001-400050、401001-401005、406001-406003、407001-407003、408001-408003、415001-415020、416001、418001-418002、419001-419003、424001-424002、431001-431002、450001

500001-500005、508001-508002

607001-607003、608001-608005、609001-609002、616001

703001-703003、726001

IPsec VPN

これらのイベントは、IPsec セキュリティ アソシエーションで不一致が発生した場合、またはシステムが受信した IPsec パケットでエラーを検出した場合に、IPsec VPN が設定されたファイアウォールに記録されます。

402001-402148、602102-602305、702304-702307

NAT

これらのイベントは、NAT エントリが作成または削除されたとき、および NAT プール内のすべてのアドレスが使用されて使い果たされたときに、NAT が設定されたファイアウォールに記録されます。

201002-201013、202001-202011、305005-305012

SSL VPN

これらのイベントは、WebVPN セッションが作成または終了したとき、ユーザーアクセスエラー、およびユーザーアクティビティが発生したときに、SSL VPN が設定されたファイアウォールに記録されます。

716001-716060、722001-722053、723001-723014、724001-724004、725001-725015

NetFlow

これらのイベントは、ネットワークパケットがインターフェイスを出入りする際の IP ネットワークトラフィックを中心に、タイムスタンプ、ユーザーアイデンティティ、および転送されたデータ量がログに記録されます。

0、1、2、3、5

Connection

ユーザーが生成するトラフィックがシステムを通過する場合、この接続に対してイベントを生成できます。これらのイベントを生成するには、アクセス ルールで接続ロギングを有効にします。また、セキュリティ インテリジェンス ポリシーおよび SSL 復号ルールでロギングを有効にすると、接続イベントを生成できます。

接続イベントには、検出されたセッションに関するデータも含まれています。個々の接続イベントで入手可能な情報はいくつかの要因に応じて異なりますが、一般的には次のものがあります。

  • 基本的な接続プロパティ:タイムスタンプ、送信元と宛先の IP アドレス、入出力ゾーン、接続を処理したデバイスなど。

  • システムによって検出または推測される追加の接続プロパティ:アプリケーション、要求される URL、または接続に関連付けられているユーザーなど。

  • 接続がログに記録された理由に関するメタデータ:トラフィックを処理した設定、接続が許可またはブロックされていたかどうか、暗号化された接続および復号された接続に関する詳細など。

430002、430003

Intrusion

システムは、ネットワークを通過するパケットを検査し、ホストとそのデータの可用性、整合性、および機密性に影響を与える可能性がある、悪意のあるアクティビティについて調べます。システムは潜在的な侵入を識別すると、侵入イベントを生成します。これには、エクスプロイトの日時とタイプ、攻撃とそのターゲットについての状況説明が記録されます。侵入イベントは、アクセス制御ルールのロギング設定に関係なく、ブロックまたはアラートするように設定された侵入ルールに対して生成されます。

430001

ファイル(File)

ファイル イベントは、作成したファイル ポリシーに基づき、ネットワーク トラフィック内でシステムによって検出(オプションとしてブロック)されたファイルを表します。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

システムはファイル イベントを生成する場合、基になったアクセス コントロール ルールのロギング設定にかかわらず、関連する接続の終了についても記録します。

430004

マルウェア

システムは、全体的なアクセス コントロール設定の一環として、ネットワーク トラフィックのマルウェアを検出できます。AMP for Firepower は、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキスト データを含むマルウェア イベントを生成できます。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

ファイルの判定結果は、正常からマルウェア、マルウェアから正常などに変更できます。AMP for Firepower が AMP クラウドにファイルについて照会し、クエリから 1 週間以内に判定結果が変更されたことがクラウドに特定されると、システムはレトロスペクティブ マルウェア イベントを生成します。

430005

セキュリティ インテリジェンス(Security Intelligence)

セキュリティ インテリジェンス イベントは、ポリシーによってブロックまたはモニターされた各接続のセキュリティ インテリジェンス ポリシーによって生成された接続イベントの一種です。すべてのセキュリティ インテリジェンス イベントには、自動入力された [セキュリティインテリジェンスカテゴリ(Security Intelligence Category)] フィールドがあります。

これらの各イベントには、対応する「通常」の接続イベントがあります。セキュリティ インテリジェンス ポリシーはアクセス コントロールなどのその他多数のセキュリティ ポリシーより前に評価されるため、セキュリティ インテリジェンスによって接続がブロックされると、その結果のイベントには、以降の評価から収集される情報(ユーザー アイデンティティなど)は含まれません。

430002、430003

AI Defense

AI 防御イベントは、AI 環境内のアクティビティの詳細な記録を提供します。これにより、送信されたプロンプト、生成された応答、トリガーされた AI 防御ポリシー違反などのインタラクションがキャプチャされます。これらのイベントには、タイムスタンプ、関係するアプリケーションと AI モデル、トリガーされた特定のルール、実行されたアクションなどの重要な情報が含まれます。これらのイベントログにより、AI の使用状況を実数でモニターして、脅威を検出し、セキュリティポリシーを効果的に適用することができます。

Cisco Security Analytics and Logging(SaaS)をプロビジョニング解除する

Cisco Security Analytics and Logging(SaaS)の有料サブスクリプションの有効期限が切れると、新しいイベントの収集はすぐに停止します。有効期限から 90 日が経過すると、既存のイベントデータを表示またはクエリできなくなります。サブスクリプションを更新するには 180 日間の猶予期間があります。

180 日間の猶予期間が経過すると、システムはすべてのイベントデータを消去します。[Event Logging] ページでセキュリティイベントを表示することも、ダイナミック エンティティ モデリング(DEM)の動作分析をセキュリティイベントおよびネットワークフローデータに適用することもできなくなります。

Security Analytics and Logging ライセンス

この章では、Security Analytics and Logging ライセンスについて説明します。

Security Analytics and Logging ライセンス

Security Analytics and Logging サブスクリプションの概要

SALSecurity Cloud Control サブスクリプションを組み合わせることができます。Security Cloud Control を使用してファイアウォールを管理する場合、次の方法で Security Analytics and Logging の権限を取得できます。

  • 無制限のロギングを使用したデバイス管理:このオプションを使用すると、デバイスごとのライセンスが提供されます。ファイアウォール デバイスのデバイス管理機能と、直近 90 日間の無制限のログストレージが含まれています。

  • オプションのクラウドロギングのみを使用したデバイス管理:このオプションでは、管理専用のデバイスごとのライセンスを購入する必要があります。その後、Security Analytics and Logging を個別のクラウド ロギング サブスクリプションとして追加できます。これにより、特定の運用および規則遵守のニーズに基づいて、ロギングデータのストレージとログの保持をカスタマイズできます。

90 日の無料試用版

Security Cloud Control にログインし、Events & Logs > Events > Event Logging タブに移動することで、90 日間のトライアルをリクエストして、日次取り込み率を正確に見積もることができます。『Security Cloud Control Firewall Management Ordering Guide』の手順に従って、必要なサブスクリプションプランを購入してサービスを継続できます。

Security Analytics and Logging 有料サブスクリプション階層

無制限のロギングオプションによるデバイス管理を使用しない場合は、ロギング容量を個別に購入できます。このスタンドアロンの Security Analytics and Logging サブスクリプションを利用すると、柔軟性が向上し、デフォルトの保持が長く、ストレージ権限も増加します。これらのサブスクリプション階層のデフォルトの最小保持期間は1年です。

次の場合は、これらの回数変更可能 Security Analytics and Logging サブスクリプション階層を選択します。

  • ファイアウォールが別の注文の一部としてすでに購入されている。

  • 特定のロギングの見積もりがあり、固定量の取り込み、ストレージ、およびロギングの保持に基づいて階層を購入する必要がある。

  • 90 日を超えるログ保持期間が必要である。

Security Analytics and Logging サブスクリプションは Essentials、Advantage、Premier の 3 つの階層に分類されます。次の表に、各階層で利用可能なストレージ容量とログ保持期間を示します。

説明 保持期間 ストレージ制限 サブスクリプション期間

Cisco SAL Essentials サブスクリプション

1、2、または 3 年

2 TB

0 ~ 5 年

Cisco SAL Advantage サブスクリプション

1、2、または 3 年

4 TB

0 ~ 5 年
Cisco SAL Premier サブスクリプション

1、2、または 3 年

10 TB

0 ~ 5 年

サブスクリプションプランの詳細については、『Security Cloud Control Firewall Management Ordering Guide』を参照してください。


(注)  

有料サブスクリプションの場合、Security Analytics and Logging は自動的にイベントデータを管理して、ライセンス供与された保持期間に合わせます。Security Analytics and Logging は、指定された保持期間よりも古いイベントデータを毎日削除し、完全な保持期間内のすべてのイベントデータに常にアクセスできるようにします。

日次取り込み率の見積り

Cisco Cloud がオンボーディングされたファイアウォールデバイスから 1 日に受け取るイベント数を反映したサブスクリプションプランを購入する必要があります。これは「日次取り込み率」と呼ばれます。Logging Volume Estimator ツールを使用して、日次取り込み率を推定でき、率が変化すると、サブスクリプションプランを更新できます。

Security Analytics and Logging ライセンスに登録する

Security Analytics and Logging トライアルサブスクリプションを開始

オンボーディングされたセキュリティデバイスが Cisco Cloud に送信する 1 日あたりの件数と一致するデータストレージプランを購入します。このボリュームは、1 日の取り込み率と呼ばれます。購入する前に、Security Analytics and Logging の無料トライアルに参加して、日次取り込み率を正確に推定してください。

  • このトライアルプランでは、90 日間すべての Security Analytics and Logging 機能にアクセスできます。

  • 90 日間のトライアル期間中、オンボーディングされたファイアウォールはイベントを Security Analytics and Logging に送信します。イベントの取り込み率をモニターし、ストレージ要件を把握し、パフォーマンスを評価します。このデータは、最適な有料サブスクリプションを計画および選択するのに役立ちます。

  • トライアルがアクティブな状態で有料の Security Analytics and Logging サブスクリプションをアクティブ化すると、Security Cloud Control ではその製品インスタンスのトライアルライセンスが有料ライセンスに置き換えられ、トライアルが終了します。

  • 有料サブスクリプションをトライアルに適用しないことを選択した場合、イベントの取り込みは 90 日後に自動的に停止します。これを過ぎると、Security Analytics and Logging 機能にアクセスできません。ただし、既存のログデータは、トライアルの有効期限からさらに 90 日間、Security Analytics and Logging クラウドに残ります。


    (注)  

    この 90 日間の猶予期間内に有料 Security Analytics and Logging ライセンスに登録しない場合、すべてのトライアルデータが完全に削除されます。

有料 Security Analytics and Logging サブスクリプションを注文する

トライアル後に Security Analytics and Logging を引き続き使用する場合、または既存のロギング機能をアップグレードするには、次の手順を実行します。

  1. トライアルで得たインサイト(日次取り込み率、必要な保持、ストレージ量)を活用して、最適な Security Analytics and Logging サブスクリプションプランを決定します。

  2. Cisco 担当者または認定パートナーと協力して、適切な Security Analytics and Logging サブスクリプションを購入します。

Security Analytics and Logging サブスクリプションを要求

新しい Security Analytics and Logging サブスクリプションを購入すると、Security Cloud Control 以内にアクティブ化するための要求コードを受信します。サブスクリプション要求コードを含むウェルカムメールが、購入プロセス中に指定したプロビジョニング担当者に自動的に送信されます。エンドカスタマーの担当者が含まれている場合は、それらの担当者もコピーを受信します。この電子メールは、サブスクリプションのリクエストされた開始日に届きます。

Security Cloud Control 管理者は、クレームコードを使用して組織のサブスクリプションをアクティブ化します。サブスクリプションのクレームおよびアクティブ化に関する詳細は、「サブスクリプションのクレーム」を参照してください。

Security Analytics and Logging サブスクリプションの更新

アクティブな Security Analytics and Logging サブスクリプションを維持することで、継続的なロギングと履歴データへのアクセスが保証されます。

  • Security Analytics and Logging サブスクリプションが更新されずに期限切れになる場合、ファイアウォールからのイベントの取り込みが直ちに停止します。

  • サブスクリプションの有効期限が切れた後 90 日間は、既存のイベントデータを引き続き表示および検索できます。90 日が経過すると、イベントデータにアクセスできなくなります。

  • 既存のデータは、サブスクリプションの期限日から 180 日間の猶予期間中、Security Analytics and Logging クラウドに残ります。

  • この 180 日間の猶予期間内に Security Analytics and Logging サブスクリプションが更新されない場合、すべてのイベントデータが Security Analytics and Logging クラウドから完全に削除されます。

Security Analytics and Loggingライセンス情報の表示

Security Analytics and Logging ライセンス情報を表示し、利用資格がある月間保存容量やイベントストレージ保持期間を確認します。個別の Security Analytics and Logging ライセンスとデータプランがない場合は、90 日間のローリングデータストレージの詳細がライセンス情報に表示されます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

Administration > Logging Settingsを選択します。

ステップ 3

[View Logging Storage Usage] をクリックします。

ヒント

 

または、Events & Logs > Events > Event Logging に移動してから [Storage Utilization] ボタンをクリックして、Security Analytics and Logging のライセンス情報を表示します。

[Event Logging Insights and Storage Usage] のダッシュボードには、Security Analytics and Logging ライセンス サブスクリプションの包括的な概要が表示されます。

  • 保持ポリシー(Retention policy):サブスクリプションに応じて、イベントログの保持期間を表示します。保持期間よりも古いイベントデータは毎日削除され、常に保持期間内のすべてのイベントデータにアクセスできます。

  • ストレージ容量(Storage capacity)Security Analytics and Logging ライセンスの下で付与されたデータの合計、現在使用されているストレージの量、および残りの使用可能なストレージを表示します。

Security Analytics and Logging ストレージの使用状況の表示およびイベント取り込み率の表示

現在のセキュリティ分析およびロギングストレージの使用率を表示し、イベントロギングの傾向を分析します。ストレージ使用率のトレンドをイベントタイプ、デバイスタイプ、および個々のデバイス別に分析して、ストレージ使用率パターンに関するより深い知見を得ることができます。データの可視化を使用して、迅速かつ簡単に分析を行えます。これは、現在のストレージキャパシティを評価し、ストレージ使用率がセキュリティ分析およびロギングライセンスで指定される制限に近づいた場合に、ロギングレートを減らすための対策を実行するのに役立ちます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

Administration > Logging Settings を選択します。

ステップ 3

[View Logging Storage Usage] をクリックします。

ヒント

 

または、左側のナビゲーションバーから Events & Logs > Events > Event Logging に移動し、[Storage Utilization] ボタンをクリックして、Security Analytics and Logging のストレージ使用状況とイベント取り込みトレンドを表示します。

ステップ 4

次のダッシュボードを活用して、ストレージ使用率をカスタマイズおよび分析し、ファイアウォール展開におけるイベントロギングの傾向に関するインサイトを得ることができます。

  • 使用状況のトレンド(Usage Trends):過去 12 か月のイベントロギングのストレージ使用量が表示されます。バーにカーソルを合わせると、該当する月のデータ量が表示されます。

  • 1 秒あたりのイベント数(EPS)トレンド(Events per second (EPS) trends):オンボードされたデバイスのイベント取り込み率が表示されます。特定の期間またはデバイスにおけるイベント/秒あたりのトレンドビューをカスタマイズして、より詳細なデータを取得できます。過去 1 週間、2 週間、3 週間、または 1 か月のデータをフィルタ処理できます。

    (注)  

     

    デバイスドロップダウンリストには、Cisco Security Cloud にイベントを送信している管理されたファイアウォールデバイスが表示されます。

  • イベントタイプ別の使用率の傾向(Utilization by event type trends):さまざまなイベントタイプについて、使用されているイベントデータストレージを日次バイト単位で表示します。このウィジェットを使用して、イベントタイプごとのストレージ使用状況をモニターし、特定のイベントタイプのストレージ使用量にサージ(存在する場合)や異常な変更を特定します。このインサイトにより、特定のイベントタイプのロギング設定を調整し、ストレージ使用状況を管理できます。

  • デバイスタイプ別の使用率の傾向(Utilization by device type trends):管理対象の各デバイスタイプについて、使用されているイベントデータストレージを日次バイト単位で表示します。このウィジェットを使用して、デバイスタイプごとのストレージ使用状況をモニターし、特定のタイプのデバイスのストレージ使用量にサージや異常な変化がある場合を特定します。

  • デバイス別の使用率の傾向(Utilization by device trends):セキュリティ クラウド コントロールにイベントを送信する各セキュリティデバイスについて、使用されているイベントデータストレージを日次バイト単位で表示します。このウィジェットでは、ストレージ使用率が平均バイト/秒値を超えているデバイスに焦点が当てられ、使いやすさが向上する上位 5 つのデバイスのみが表示されます。このウィジェットを使用して、各デバイスのストレージ使用状況をモニターし、サージや異常な変更を特定します。このインサイトにより、特定のデバイスのロギング設定を調整し、ストレージ使用率を効果的に管理できます。

イベントストレージ期間の延長およびイベントストレージ容量の増加

ローリング イベント ストレージを拡張するか、イベントクラウドストレージの量を増やすには、次の手順を実行します。

手順

ステップ 1

Cisco Commerce のアカウントにログインします。

ステップ 2

Security Cloud Control PID を選択します。

ステップ 3

プロンプトに従って、ストレージの期間または容量をアップグレードします。

増加したコストは、既存のライセンスの残りの期間に基づいて比例配分されます。詳細な手順については、「Cisco Defense Orchestrator 製品の引用に関するガイドライン」を参照してください。

Security Analytics and Logging アラートの表示

管理対象ファイアウォールデバイスの Security Analytics and Logging 設定およびイベント設定に関するアラートと通知を表示します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

Administration > Logging Settingsを選択します。

ステップ 3

[View Logging Storage Usage] ボタンをクリックします。

ヒント

 

または、左側のナビゲーションバーから Events & Logs > Events > Event Logging に移動し、[Storage Utilization] ボタンをクリックして、Security Analytics and Logging のライセンス情報を表示します。

[Alerts and Notifications] セクションには、イベントロギングに影響を与える設定に関するアラートが表示されます。これらのアラートにより、問題を解決するためのアクションを実行できます。一部の設定:

  • クラウド設定へのイベントの送信は無効になっています。

  • クラウド設定へのイベントの送信はデバイスレベルで無効になっています。

  • Secure Event Connector が使用できなくなります。

  • イベントの取り込み率を上げます。

Security Analytics and Logging ライセンスに関するよくある質問(FAQ)

Security Analytics and Logging 割り当てに対してどのデータがカウントされますか。

Cisco Cloud クラウドに直接、または Secure Event Connector に送信されたイベントはすべて、Security Analytics and Logging に蓄積され、データ割り当てに対してカウントされます。

イベントビューアをフィルタリングしても、Security Analytics and Logging に保存されているイベントの数は減少しません。これにより、イベントビューアに表示されるイベントの数が減少するだけです。

ストレージの割り当てをすぐに使い果たしてしまいます。何をすればよいですか。

この問題に対処するアプローチは次の 2 つです。

  • より多くのストレージをリクエストする。

  • イベントを記録するルールの数を減らすことを考える。SSL ポリシールール、セキュリティ インテリジェンス ルール、アクセス制御ルール、侵入ポリシー、ファイルおよびマルウェアポリシーからのイベントをログに記録できます。現在のロギング設定を確認して、設定したすべてのルールおよびポリシーからイベントをログに記録する必要があるかどうかを判断します。

Security Analytics and Logging のライセンスの有効期限が切れた場合、データはどうなりますか。

有料 Security Analytics and Logging ライセンスの有効期限が切れると、ファイアウォールからのイベントの取り込みが直ちに停止します。ただし、180 日間の猶予期間中は、既存のデータは Security Analytics and Logging クラウドでアクセスできます。この猶予期間中に有料ライセンスを更新した場合は、サービスが中断されません。この 180 日間以内に更新しない場合、すべてのデータが完全に削除されます。

保持期間が 1 年、保持期間が 5 年の Security Analytics and Logging サブスクリプションを購入した場合、データは 5 年間すべて保存されますか。

保持期間は、各ログを保存する期間を定義します。保持期間が 1 年の場合、最新の 1 年のログデータのみを任意の時点で利用できます。新しいデータが収集されると、1 年を超えたログデータが上書きまたは削除されます。5 年の期間は、その期間のデータが取り込まれ続けますが、保持制限はログデータ自体に適用されることを意味します。

Secure Event Connector

この章では、セキュアイベントコネクタについての情報を提供します。

Secure Event Connector について

Secure Event Connector(SEC)は、Security Analytics and Logging SaaS ソリューションのコンポーネントです。ASA および FDM-managed デバイスからイベントを受信し、シスコクラウド に転送します。Security Cloud Control では、[Event Logging] ページにイベントが表示され、すべてのデバイスからのセキュリティイベントを一元的に分析できます。

SEC は、ネットワークに展開された Secure Device Connector、またはネットワークに展開された独自の Security Cloud Control コネクタ仮想マシン、あるいは AWS 仮想プライベートクラウド(VPC)にインストールします。

Secure Event Connector ID

Cisco Technical Assistance Center(TAC)などの Security Cloud Control サポートと連携する場合、SEC の ID が必要になる場合があります。この ID は、Security Cloud Control の [セキュアコネクタ(Secure Connectors)] ページで確認できます。SEC ID を確認するには、次の手順を実行します。

  1. 左側の Security Cloud Control メニューから Administration > Secure Connectors を選択します。

  2. 確認する SEC をクリックします。

  3. SEC ID は、[詳細(Details)] ペインの [テナントID( Tenant ID)] の上に表示されている ID です。

Secure Event Connector をインストールする

Secure Event Connector(SEC)は、SDC の有無にかかわらず、テナントにインストールできます。

SEC は Secure Device Connector(あれば)と同じ仮想マシンにインストールすることも、ネットワーク内で維持管理している独自の Security Cloud Control コネクタ仮想マシンにインストールすることもできます。

SDC 仮想マシンへの Secure Event Connector のインストール

Secure Event Connector(SEC)は、Cisco ASA FDM-managedデバイスからイベントを受信し、Cisco Cloud に転送します。Security Cloud Control[Event Logging] ページにイベントを表示し、管理者はそこで、または Cisco Secure Cloud Analytics を使用してイベントを分析できます。

SEC は Secure Device Connector(あれば)と同じ仮想マシンにインストールすることも、ネットワーク内で維持管理している独自の Security Cloud Control コネクタ仮想マシンにインストールすることもできます。

この記事では、SDC と同じ仮想マシンに SEC をインストールする方法について説明します。他にも SEC をインストールする場合は、Security Cloud Control イメージを使用した SEC のインストール または VM イメージを使用した SEC のインストール を参照してください。

始める前に

  • Cisco Security and Analytics Logging のライセンスを購入します。Cisco Security and Analytics Logging を最初に試す場合は、Security Cloud Control にログインし、メインナビゲーションバーで Events & Logs > Events > Event Logging を選択し、[Request Trial] をクリックします。

  • SDC がインストールされていることを確認します。詳細については、Secure Device Connector および Secure Event Connector を実行するための VM の展開を参照してください。

  • SDC が Security Cloud Control と通信していることを確認します。

    1. 左側のペインで Administration > Secure Connectors をクリックします。

    2. SEC をインストールする前に、SDC の最後のハートビートが 10 分以内であったこと、および SDC のステータスがアクティブであることを確認してください。

  • システム要件:SDC を実行している仮想マシンに追加の CPU とメモリを割り当てます。

    • CPU:SEC 用に追加の 4 つの CPU を割り当て、CPU の合計が 6 つとなるようにします。

    • メモリ:SEC 用に追加の 8 GB のメモリを割り当てて、メモリの合計が 10 GB となるようにします。

      SEC に対応するように VM の CPU とメモリを更新したら、VM の電源を入れ、[セキュアコネクタ(Secure Connectors)] ページに SDC が「アクティブ」状態であることが示されていることを確認します。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > Secure Connectors をクリックします。

ステップ 4

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 5

ウィザードのステップ 1 をスキップして、ステップ 2 に進みます。ウィザードのステップ 2で、 [SECブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 6

ターミナルウィンドウを開き、SDC に「cdo」ユーザーとしてログインします。

ステップ 7

ログインしたら、「sdc」ユーザーに切り替えます。パスワードの入力を求められたら、「cdo」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
[sudo] password for cdo: <type password for cdo user>
[sdc@sdc-vm ~]$

ステップ 8

プロンプトで、sec.sh setup スクリプトを実行します。 

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 9

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of Security Cloud Control: KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE
RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、「Secure Event Connector オンボーディングのトラブルシューティング」を参照してください。

ステップ 10

SDC と SEC が実行されている VM に追加の構成が必要かどうかを判断します。
次のタスク

に戻ってください。

Security Cloud Control イメージを使用した SEC のインストール

Secure Event Connector(SEC)は、Cisco ASA と FTD からのイベントを Cisco Cloud に転送し、Security Cloud Control[Event Logging] ページで表示できるようにします。

テナントに複数の Secure Event Connector(SEC)をインストールし、インストールした任意の SEC に ASA および FDM 管理対象デバイスからイベントを送信できます。複数の SEC を使用すると、さまざまな場所に SEC をインストールし、Cisco Cloud にイベントを送信する作業を分散できます。

SEC のインストールは、2 つの部分からなるプロセスです。

  1. Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール インストールする SEC ごとに 1 つの Security Cloud Control コネクタが必要です。Security Cloud Control コネクタは、Secure Device Connector(SDC)とは異なります。

  2. Security Cloud Control コネクタ仮想マシンへの Secure Event Connector のインストール


(注)  

独自の VM を作成して Security Cloud Control コネクタを作成する場合は、「作成した VM イメージを使用してテナントに複数の SEC をインストールする」を参照してください。

次に行う作業:

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール に進みます。

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール
始める前に

  • Cisco Security and Analytics Logging のライセンスを購入します。

    Security Analytics and Logging のトライアル版をリクエストする場合は、Security Cloud Control にログインし、メインナビゲーションバーで Events & Logs > Events > Event Logging を選択し、[トライアルのリクエスト(Request Trial)] をクリックします。

  • Security Cloud Control は、厳密な証明書チェックを必要とし、Security Cloud Control コネクタとインターネットの間の Web/コンテンツプロキシ検査をサポートしていません。プロキシサーバーを使用している場合は、Security Cloud Control コネクタと Security Cloud Control の間のトラフィックの検査を無効にします。

  • このプロセスでインストールされる Security Cloud Control コネクタには TCP ポート 443 でのインターネットへの完全なアウトバウンドアクセスが必要です。

  • Security Cloud Control コネクタで適切なネットワーク接続を確立するには、「Secure Device Connector を使用した Security Cloud Control への接続」を参照してください。

  • Security Cloud Control は、vSphere Web クライアントまたは ESXi Web クライアントを使用した Security Cloud Control コネクタ VM OVF イメージのインストールをサポートしています。

  • Security Cloud Control は、VM vSphere デスクトップクライアントを使用した Security Cloud Control コネクタ VM OVF イメージのインストールをサポートしていません。

  • ESXi 5.1 ハイパーバイザ。

  • Security Cloud Control コネクタと SEC のみをホストすることを目的とした VM のシステム要件は以下のとおりです。

    • VMware ESXi ホストには 4 つの vCPU が必要です。

    • VMware ESXi ホストには 8 GB 以上のメモリが必要です。

    • VMware ESXi では、プロビジョニングの選択に応じて、仮想マシンをサポートするために 64GB のディスク容量が必要です。

  • インストールを開始する前に、次の情報を収集します。

    • Security Cloud Control コネクタ VM に使用する静的 IP アドレス。

    • インストールプロセス中に作成する root ユーザーと Security Cloud Control ユーザーのパスワード。

    • 組織で使用する DNS サーバーの IP アドレス。

    • SDC アドレスが存在するネットワークのゲートウェイ IP アドレス。

    • タイムサーバーの FQDN または IP アドレス。

  • Security Cloud Control Connector 仮想マシンは、セキュリティパッチを定期的にインストールするように設定されており、これを行うには、ポート 80 のアウトバウンドを開く必要があります。

手順

ステップ 1

Security Cloud Control コネクタを作成する Security Cloud Control テナントにログオンします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > Secure Connectors をクリックします。

ステップ 4

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 5

ステップ 1 で、[Security Cloud ControlコネクタVMイメージのダウンロード(Download the Security Cloud Control Connector VM image)] をクリックします。これは、SEC をインストールする特別なイメージです。最新のイメージを確実に使用するために、常に Security Cloud Control コネクタ VM をダウンロードしてください。

ステップ 6

.zip ファイルからすべてのファイルを抽出します。これらは、次のようなものです。

  • Security Cloud Control-SDC-VM-ddd50fa.ovf

  • Security Cloud Control-SDC-VM-ddd50fa.mf

  • Security Cloud Control-SDC-VM-ddd50fa-disk1.vmdk

ステップ 7

vSphere Web クライアントを使用して、管理者として VMware サーバーにログオンします。

(注)  

 

VM vSphere デスクトップクライアントは使用しないでください。

ステップ 8

プロンプトに従って、OVF テンプレートからオンプレミスの Security Cloud Control コネクタ仮想マシンを展開します(テンプレートを展開するには、.ovf、.mf、および .vdk ファイルが必要です)。

ステップ 9

セットアップが完了したら、VM の電源を入れます。

ステップ 10

新しい Security Cloud Control コネクタ VM のコンソールを開きます。

ステップ 11

Security Cloud Control ユーザーとしてログインします。デフォルトのパスワードは adm123 です。

ステップ 12

プロンプトで、sudo sdc-onboard setup と入力します。 

[cdo@localhost ~]$ sudo sdc-onboard setup

ステップ 13

プロンプトで、Security Cloud Control ユーザーのデフォルトのパスワード(adm123)を入力します。

ステップ 14

プロンプトに従って、root ユーザーの新しいパスワードを作成します。

ステップ 15

プロンプトに従って、Security Cloud Control ユーザーの新しいパスワードを作成します。

ステップ 16

プロンプトに従って、Security Cloud Control ドメイン情報を入力します。

ステップ 17

Security Cloud Control コネクタ VM に使用する静的 IP アドレスを入力します。

ステップ 18

Security Cloud Control コネクタ VM がインストールされているネットワークのゲートウェイ IP アドレスを入力します。

ステップ 19

Security Cloud Control コネクタの NTP サーバーのアドレスまたは FQDN を入力します。

ステップ 20

プロンプトで、Docker ブリッジの情報を入力するか、該当しない場合は空白のままにして、Enter キーを押します。

ステップ 21

入力内容を確定します。

ステップ 22

「Would you like to setup the SDC now?」というプロンプトで、n を入力します。

ステップ 23

Security Cloud Control ユーザーとしてログインして、Security Cloud Control コネクタへの SSH 接続を作成します。

ステップ 24

プロンプトで、sudo sdc-onboard bootstrap と入力します。 

[cdo@localhost ~]$ sudo sdc-onboard bootstrap

ステップ 25

プロンプトで、Security Cloud Control ユーザーのパスワードを入力します。

ステップ 26

プロンプトで、Security Cloud Control に戻り、Security Cloud Control ブートストラップデータをコピーして、SSH セッションに貼り付けます。Security Cloud Control ブートストラップデータをコピーするには、次の手順を実行します。

  1. Security Cloud Control にログインします。

  2. 左側のペインで Administration > Secure Connectors をクリックします。

  3. オンボードを開始した Secure Event Connector を選択します。ステータスが「Onboarding」と表示されます。

  4. [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

  5. ダイアログボックスのステップ 1 で、Security Cloud Control ブートストラップデータをコピーします。

ステップ 27

「Would you like to update these settings?」というプロンプトで、n を入力します。

ステップ 28

Security Cloud Control の [オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] ダイアログに戻り、[OK] をクリックします。[セキュアコネクタ(Secure Connectors)] ページで、Secure Event Connector が黄色のオンボード状態であることを確認できます。

次のタスク

Security Cloud Control コネクタ VM への Secure Event Connector のインストール に進みます。

Security Cloud Control コネクタ VM への Secure Event Connector のインストール
始める前に

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール に記載があるように、Security Cloud Control コネクタ VM がインストールされている必要があります。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで、Administration > Secure Connectors を選択します。

ステップ 4

上記でオンボーディングした Security Cloud Control コネクタを選択します。セキュアコネクタテーブルでは、これはセキュアイベントコネクタと呼ばれ、「オンボーディング」ステータスのままである必要があります。

ステップ 5

右側の [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

ステップ 6

ウィザードのステップ 2で、 [SECブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 7

Security Cloud Control コネクタへの SSH 接続を作成し、CDO ユーザーとしてログインします。

ステップ 8

ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、「Security Cloud Control」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
 [sudo] password for cdo: <type password for cdo user> 
[sdc@sdc-vm ~]$

ステップ 9

プロンプトで、sec.sh セットアップスクリプトを実行します。

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 10

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of CDO: KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE
 RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、次を参照してください。SEC オンボーディング失敗のトラブルシューティング

成功メッセージを受け取った場合は、Security Cloud Control に戻り、[オンプレミスセキュアイベントコネクタの展開(Deploy an ON-Premise Secure Event Connector)] ダイアログボックスで [完了(Done)] をクリックします。

次のタスク

に戻ってください。

Ubuntu 仮想マシンへの Secure Event Connector の展開

始める前に

Secure Device Connector および Secure Event Connector を実行するための VM の展開の説明に従って、Ubuntu VM に Secure Device Connector をインストールしておく必要があります。

手順

ステップ 1

Security Cloud Control にログオンします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで、Administration > Secure Connectors をクリックします。

ステップ 4

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 5

ウィンドウの手順 2 の SEC ブートストラップデータをメモ帳にコピーします。

ステップ 6

次のコマンドを実行します。

[sdc@vm]:~$sudo su sdc
sdc@vm:/home/user$ cd /usr/local/cdo/toolkit

プロンプトが表示されたら、コピーした SEC ブートストラップデータを入力します。

sdc@vm:~/toolkit$ ./sec.sh setup
Please input the bootstrap data from Setup Secure Event Connector page of CDO: 
Successfully on-boarded SEC
Security Cloud Control で Secure Event Connector が [アクティブ(Active)] になるまでに数分かかる場合があります。

VM イメージを使用した SEC のインストール

Secure Event Connector(SEC)は、Cisco ASA と FTD からのイベントを Cisco Cloud に転送し、Security Cloud Control[Event Logging] ページで表示できるようにします。

テナントに複数の Secure Event Connector(SEC)をインストールし、インストールした任意の SEC に ASA および FDM 管理対象デバイスからイベントを送信できます。複数の SEC を使用すると、さまざまなリージョンに SEC をインストールし、Cisco Cloud にイベントを送信する作業を分散できます。

独自の VM イメージを使用した複数の SEC のインストールは、3 つの部分からなるプロセスです。次の各手順を実行する必要があります。

  1. VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストール

  2. 作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定

  3. Secure Event Connector のインストール


(注)  

Security Cloud Control コネクタに Security Cloud Control VM イメージを使用する方法は、Security Cloud Control コネクタをインストールする最も簡単で正確な推奨される方法です。その方法を使用する場合は、Security Cloud Control イメージを使用した SEC のインストールを参照してください。

次に行う作業:

VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストールに進みます。

VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストール

Security Cloud Control コネクタ VM は、SEC をインストールする仮想マシンです。Security Cloud Control コネクタの唯一の目的は、Cisco Security Analytics and Logging(SaaS)のお客様向けに SEC をサポートすることです。

これは、Secure Event Connector(SEC)をインストールして設定するために完了する必要がある 3 つの手順の 1 番目です。この手順の後、次の手順を実行する必要があります。

始める前に

  • Security and Analytics Logging(SaaS)サブスクリプションプランを購入してください。サブスクリプションプランの詳細については、『Security Cloud Control Firewall Management Ordering Guide』を参照してください。

    Security Analytics and Logging のトライアル版をリクエストする場合は、Security Cloud Control にログインし、メインナビゲーションバーで Events & Logs > Events > Event Logging を選択し、[トライアルのリクエスト(Request Trial)] をクリックします。

  • Security Cloud Control は、厳密な証明書チェックを必要とし、Security Cloud Control コネクタとインターネット間の Web プロキシやコンテンツプロキシをサポートしていません。

  • Security Cloud Control コネクタは TCP ポート 443 でインターネットへの完全なアウトバウンド接続を確立する必要があります。

  • コネクタで適切なネットワーク接続を確立するには、「Secure Device Connector を使用した Security Cloud Control への接続」を参照してください。Security Cloud Control

  • vCenter Web クライアントまたはr ESXi Web クライアントを使用してインストールされた VMware ESXi ホスト。


    (注)  
    vSphere デスクトップクライアントを使用したインストールはサポートしていません。

  • ESXi 5.1 ハイパーバイザ。

  • Ubuntu 22.04 および Ubuntu 24.04。

  • Security Cloud Control コネクタと SEC のみをホストする VM のシステム要件は以下のとおりです。

    • CPU:SEC 用に 4 つの CPU を割り当てます。

    • メモリ:SEC 用に 8 GB のメモリを割り当てます。

    • ディスク領域:64 GB

  • この手順を実行するユーザーは、Linux 環境の操作と vi ビジュアルエディタによるファイルの編集に慣れている必要があります。

  • インストールを開始する前に、次の情報を収集します。

    • Security Cloud Control コネクタに使用する静的 IP アドレス。

    • インストールプロセス中に作成する root ユーザーと Security Cloud Control ユーザーのパスワード。

    • 組織で使用する DNS サーバーの IP アドレス。

    • Security Cloud Control コネクタアドレスが存在するネットワークのゲートウェイ IP アドレス。

    • タイムサーバーの FQDN または IP アドレス。

  • Security Cloud Control Connector 仮想マシンは、セキュリティパッチを定期的にインストールするように設定されており、これを行うには、ポート 80 のアウトバウンドを開く必要があります。

  • 始める前に:手順内のコマンドは、コピーして端末ウィンドウに貼り付けるのではなく入力するようにしてください。一部のコマンドに含まれる「n ダッシュ」は、カットアンドペーストのプロセスで「m ダッシュ」として適用される場合があり、コマンドが失敗する原因となります。

手順

ステップ 1

Security Cloud Control にログオンします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで、Administration > Secure Connectors をクリックします。

ステップ 4

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 5

表示されたリンクを使用して、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] ウィンドウの手順 2 で SEC ブートストラップデータをコピーします。

ステップ 6

インストールしたら、Security Cloud Control コネクタ の IP アドレス、サブネットマスク、ゲートウェイの指定など、ネットワークの基本設定を行います。

ステップ 7

DNS(ドメインネームサーバー)を設定します。

ステップ 8

NTP(ネットワーク タイム プロトコル)サーバーを設定します。

ステップ 9

Security Cloud Control コネクタの CLI と簡単にやり取りできるように、SSH サーバーをインストールします。

ステップ 10

AWS CLI パッケージをインストールします(https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html を参照)。

(注)  

 

--user フラグは使用しないでください。

ステップ 11

Docker CE パッケージをインストールします(https://docs.docker.com/install/linux/docker-ce/centos/#install-docker-ce を参照)。

(注)  

 

「リポジトリを使用したインストール」方法を使用します。

ステップ 12

Docker サービスを開始し、起動時に開始できるようにします。

[root@sdc-vm ~]# systemctl start docker
 [root@sdc-vm ~]# systemctl enable docker 
Created symlink from /etc/systemd/system/multiuser.target.wants/docker.service to /usr/lib/systemd/system/docker.service.

ステップ 13

Security Cloud Controlsdc の 2 つのユーザーを作成します。Security Cloud Control ユーザーは、管理機能を実行するためにログインするユーザーです(つまりルートユーザーを直接使用する必要はありません)。sdc ユーザーは、Security Cloud Control コネクタの docker コンテナを実行するユーザーです。 

[root@sdc-vm ~]# useraddSecurity Cloud Control
 [root@sdc-vm ~]# useradd sdc –d /usr/local/Security Cloud Control

ステップ 14

crontab を使用するように sdc ユーザーを設定します。

[root@sdc-vm ~]# touch /etc/cron.allow
[root@sdc-vm ~]# echo "sdc" >> /etc/cron.allow

ステップ 15

Security Cloud Control ユーザーのパスワードを設定します。 

[root@sdc-vm ~]# passwd Security Cloud Control 
Changing password for user Security Cloud Control. 
New password: <type password>  
Retype new password: <type password> 
passwd: all authentication tokens updated successfully.

ステップ 16

Security Cloud Control ユーザーを「wheel」グループに追加し、管理者(sudo)権限を付与します。 

[root@sdc-vm ~]# usermod -aG wheelSecurity Cloud Control
 [root@sdc-vm ~]#

ステップ 17

Docker がインストールされると、ユーザーグループが作成されます。CentOS/Docker のバージョンに応じて、「docker」または「dockerroot」と呼ばれます。/etc/group ファイルでどのグループが作成されたかを確認したら、sdc ユーザーをそのグループに追加します。 


 [root@sdc-vm ~]# grep docker /etc/group 
docker:x:993:
[root@sdc-vm ~]# 
[root@sdc-vm ~]# usermod -aG docker sdc 
[root@sdc-vm ~]#

ステップ 18

/etc/docker/daemon.json ファイルが存在しない場合は作成し、以下の内容を入力します。作成したら、docker デーモンを再起動します。

(注)  

 

「group」キーに入力したグループ名が、/etc/group ファイルで見つけたグループと一致していることを確認してください。 

 [root@sdc-vm ~]# cat /etc/docker/daemon.json 
{
 "live-restore": true, 
 "group": "docker" 
} 
[root@sdc-vm ~]# systemctl restart docker 
[root@sdc-vm ~]#

ステップ 19

現在 vSphere コンソールセッションを使用している場合は、SSH に切り替えて、Security Cloud Control ユーザーでログインします。ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、Security Cloud Control ユーザーのパスワードを入力します。 

[Security Cloud Control@sdc-vm ~]$ sudo su sdc 
[sudo] password for Security Cloud Control: <type password for Security Cloud Control user > 
[sdc@sdc-vm ~]$

ステップ 20

ディレクトリを /usr/local/Security Cloud Control に変更します

ステップ 21

bootstrapdata という新しいファイルを作成し、展開ウィザードの手順1 のブートストラップデータを、このファイルに貼り付けます。[保存(Save)] をクリックしてファイルを保存します。[vi] または [nano] を使用してファイルを作成できます。

ステップ 22

ブートストラップデータは base64 でエンコードされていますので、復号して extractedbootstrapdata というファイルにエクスポートします。 

 [sdc@sdc-vm ~]$ base64 -d /usr/local/Security Cloud Control/bootstrapdata > /usr/local/Security Cloud Control/extractedbootstrapdata 
[sdc@sdc-vm ~]$

cat コマンドを実行して復号したデータを表示します。コマンドおよび復号したデータは次のようになります。 

[sdc@sdc-vm ~]$ cat /usr/local/Security Cloud Control/extractedbootstrapdata 
Security Cloud Control_TOKEN="<token string>" 
Security Cloud Control_DOMAIN="www.defenseorchestrator.com" 
Security Cloud Control_TENANT="<tenant-name>" 
<Security Cloud Control_URL>/sdc/bootstrap/Security Cloud Control_acm="https://www.defenseorchestrator.com/sdc/bootstrap/tenant-name/<tenant-name-SDC>" 
ONLY_EVENTING="true"

ステップ 23

以下のコマンドを実行して、復号したブートストラップデータの一部を環境変数にエクスポートします。


[sdc@sdc-vm ~]$ sed -e 's/^/export /g' extractedbootstrapdata > secenv && source secenv 
[sdc@sdc-vm ~]$

ステップ 24

Security Cloud Control からブートストラップバンドルをダウンロードします。 

 [sdc@sdc-vm ~]$ curl -H "Authorization: Bearer $Security Cloud Control_TOKEN" "$Security Cloud Control_BOOTSTRAP_URL" -o $Security Cloud Control_TENANT.tar.gz 
100 10314 100 10314 0 0 10656 0 --:--:-- --:--:-- --:--:-- 10654 
[sdc@sdc-vm ~]$ ls -l /usr/local/Security Cloud Control/*SDC 
-rw-rw-r--. 1 sdc sdc 10314 Jul 23 13:48 /usr/local/Security Cloud Control/Security Cloud Control_<tenant_name>

ステップ 25

Security Cloud Control コネクタ tarball を展開し、bootstrap_sec_only.sh ファイルを実行して Security Cloud Control コネクタパッケージをインストールします。 

 [sdc@sdc-vm ~]$ tar xzvf /usr/local/Security Cloud Control/tenant-name-SDC 
<snipped – extracted files> 
[sdc@sdc-vm ~]$ 
[sdc@sdc-vm ~]$ /usr/local/Security Cloud Control/bootstrap/bootstrap_sec_only.sh 
[2018-07-23 13:54:02] environment properly configured 
download: s3://onprem-sdc/toolkit/prod/toolkit.tar to toolkit/toolkit.tar 
toolkit.sh 
common.sh 
es_toolkit.sh 
sec.sh 
healthcheck.sh 
troubleshoot.sh 
no crontab for sdc 
-bash-4.2$ crontab -l 
*/5 * * * * /usr/local/Security Cloud Control/toolkit/es_toolkit.sh upgradeEventing 2>&1 >> /usr/local/Security Cloud Control/toolkit/toolkit.log 
0 2 * * * sleep 30 && /usr/local/Security Cloud Control/toolkit/es_toolkit.sh es_maintenance 2>&1 >> /usr/local/Security Cloud Control/toolkit/toolkit.log 
You have new mail in /var/spool/mail/sdc
次のタスク
作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定 に進みます。
作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定

Security Cloud Control コネクタを独自の CentOS 7 仮想マシンにインストールした場合は、イベントが SEC に到達できるように、次の付加的な設定手順のいずれかを実行します。

始める前に:

これは、SEC をインストールして設定するために完了する必要がある 3 つの手順の 2 番目です。まだ行っていない場合は、これらの設定変更を行う前に、VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストールを完了してください。

ここで説明されている追加の設定変更のいずれかを完了したら、Secure Event Connector のインストールを実行します。

CentOS 7 VM での firewalld サービスの無効化

  1. SDC VM の CLI に「Security Cloud Control」ユーザーとしてログインします。

  2. firewalld サービスを停止してから、続く VM の再起動時に無効のままになっていることを確認します。プロンプトが表示されたら、Security Cloud Control ユーザーのパスワードを入力します。 

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl stop firewalld
Security Cloud Control@SDC-VM ~]$ sudo systemctl disable firewalld

  3. Docker サービスを再起動して、Docker 固有のエントリをローカルファイアウォールに再挿入します。

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl restart docker

  4. Secure Event Connector のインストールに進みます。

firewalld サービスの実行を許可し、ファイアウォールルールを追加して、イベントトラフィックが SEC に到達できるようにします。

  1. SDC VM の CLI に「Security Cloud Control」ユーザーとしてログインします。

  2. ローカル ファイアウォール ルールを追加して、設定した TCP、UDP、または NSEL ポートから SEC への着信トラフィックを許可します。SEC で使用されるポートについては、「Cisco Security Analytics and Logging に使用されるデバイスの TCP、UDP、および NSEL ポートの検索」を参照してください。プロンプトが表示されたら、Security Cloud Control ユーザーのパスワードを入力します。コマンドの例を次に示します。別のポート値の指定が必要になる場合があります。 

    [Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10125/tcp 
Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10025/udp
[Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10425/udp

  3. firewalld サービスを再起動して、新しいローカル ファイアウォール ルールをアクティブかつ持続的なものにします。

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl restart firewalld

  4. Secure Event Connector のインストールに進みます。

Security Cloud Control コネクタ仮想マシンへの Secure Event Connector のインストール
始める前に

これは、Secure Event Connector(SEC)をインストールして設定するために完了する必要がある 3 つの手順の 3 番目です。まだ完了していない場合は、この手順を続行する前に、次のタスクを完了してください。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > Secure Connectors をクリックします。

ステップ 4

上記の前提条件の手順を使用してインストールした Security Cloud Control コネクタを選択します。[セキュアコネクタ(Secure Connectors)] テーブルでは、「Secure Event Connector」と表示されます。

ステップ 5

右側の [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

ステップ 6

ウィザードのステップ 2で、 [SEC ブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 7

SSH を使用してセキュアコネクタに接続し、Security Cloud Control ユーザーとしてログインします。

ステップ 8

ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、「Security Cloud Control」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
[sudo] password for cdo: <type password for cdo user>
[sdc@sdc-vm ~]$

ステップ 9

プロンプトで、sec.sh セットアップスクリプトを実行します。

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 10

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of CDO:
 KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、「Secure Event Connector オンボーディングのトラブルシューティング」を参照してください。

成功メッセージを受け取った場合は、[オンプレミスの Secure Event Connector の展開(Deploy an ON-Premise Secure Event Connector)] ダイアログボックスで [完了(Done)] をクリックします。VM イメージへの SEC のインストールは完了です。

次のタスク

この手順に戻って、SAL SaaS の実装を続行します:

Terraform モジュールを使用した AWS VPC 上での Secure Event Connector のインストール

始める前に

  • このタスクを実行するには、Security Cloud Control テナントで SAL を有効にする必要があります。このセクションでは、SAL ライセンスがあることを前提としています。ない場合は、Cisco Security and Analytics Logging の Logging and Troubleshooting ライセンスを購入します。

  • 新しい SEC がインストールされていることを確認します。新しい SEC を作成するには、SDC 仮想マシンへの Secure Event Connector のインストールを参照してください。

  • SEC をインストールするときは、Security Cloud Control ブートストラップデータと SEC ブートストラップデータを必ずメモしてください。

手順

ステップ 1

Terraform レジストリの [Secure Event Connector Terraform Module] に移動し、手順に従って SEC Terraform モジュールを Terraform コードに追加します。https://registry.terraform.io/modules/CiscoDevNet/cdo-sec/aws/latest

ステップ 2

Terraform コードを適用します。

ステップ 3

instance_id および sec_fqdn の出力は、後の手順で必要になるため、必ず出力してください。

(注)  

 

SEC のトラブルシューティングを行うには、AWS Systems Manager Session Manager(SSM)を使用して SEC インスタンスに接続する必要があります。SSM を使用したインスタンスへの接続の詳細については、「AWS Systems Manager Session Manager 」ドキュメントを参照してください。

SSH を使用して SDC インスタンスに接続するためのポートは、セキュリティ上の理由により公開されません。

ステップ 4

ASA から SEC へのログの送信を有効にするには、作成した SEC の証明書チェーンを取得し、ステップ 3 の出力を使用して次のコマンドを実行してリーフ証明書を削除します。 

rm -f /tmp/cert_chain.pem && openssl s_client -showcerts -verify 5 -connect <FQDN>:10125 < /dev/null | awk '/BEGIN CERTIFICATE/,/END CERTIFICATE/{ if(/BEGIN CERTIFICATE/){a++}; out="/tmp/cert_chain.pem"; if(a > 1) print >>out}'

ステップ 5

/tmp/cert_chain.pem の内容をクリップボードにコピーします。

ステップ 6

次のコマンドを使用して、SEC の IP アドレスをメモします。

nslookup <FQDN>

ステップ 7

Security Cloud Control にログインし、新しいトラストポイント オブジェクトの追加を開始します。詳細については、「Adding a Trusted CA Certificate Object」を参照してください。[追加(Add)] をクリックする前に、[その他のオプション(Other Options)] の [基本制約の拡張でCAフラグを有効にする(Enable CA flag in basic constraints extension)] チェックボックスをオフにしてください。

ステップ 8

[追加(Add)] をクリックし、Security Cloud Control によって生成された CLI コマンドを [証明書のインストール(Install Certificate)] ページにコピーして、[キャンセル(Cancel)] をクリックします。

ステップ 9

enrollment terminal の下に、テキストクリップボードの no ca-check を追加します。

ステップ 10

ASA デバイスに SSH 接続するか、Security Cloud Control で ASA CLI オプションを使用して、次のコマンドを実行します。 

DataCenterFW-1> en
Password: *****************
DataCenterFW-1# conf t
DataCenterFW-1(config)# <paste your modified ASA CLIs here and press Enter>
DataCenterFW-1(config)# wr mem
Building configuration...
Cryptochecksum: 6634f35f 4c5137f1 ab0c5cdc 9784bdb6
次のタスク
SEC が AWS SSM を使用してパケットを受信しているかどうかを確認できます。
次のようなログが表示されます。
time="2023-05-10T17:13:46.135018214Z" level=info msg="[ip-10-100-5-19.ec2.internal][util.go:67 plugin.createTickers:func1] Events - Processed - 6/s, Dropped - 0/s, Queue size - 0"

Secure Event Connector の削除

警告:この手順により、Secure Event Connector が Secure Device Connector から削除されます。これを行うと、Secure Logging Analytics(SaaS)を使用できなくなります。この操作は元に戻せません。質問や懸念事項がある場合は、このアクションを実行する前に Security Cloud Control サポートまでお問い合わせください

Secure Device Connector から Secure Event Connector を削除するには、次の 2 段階のプロセスを実行します。

  1. Security Cloud Control から SEC を削除します

  2. SDC から SEC ファイルを削除します

次に行う作業Security Cloud Control からの SEC の削除を続行します

Security Cloud Control からの SEC の削除

始める前に
Secure Event Connector の削除を参照してください。
手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > Secure Connectors を選択します。

ステップ 4

デバイスタイプが [Secure Event Connector] の行を選択します。

警告

 

Secure Device Connector を選択しないように注意してください。

ステップ 5

[アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 6

[OK] をクリックして確認します。

次のタスク
Secure Device Connector VM からの Secure Event Connector の削除 に進みます。

Secure Device Connector VM からの Secure Event Connector の削除

この項目は、SDC から Secure Event Connector を削除する 2 つの部分から成る手順の 2 番目の部分です。開始する前に「Secure Event Connector の削除」を参照してください。
手順

ステップ 1

仮想マシンのハイパーバイザを開き、SDC のコンソールセッションを開始します。

ステップ 2

[cdo@sdc]$ sudo su sdc コマンドを使用して SDC ユーザーに切り替えます。

ステップ 3

SDC 仮想マシンから SEC を削除するには、次のいずれかのコマンドを使用します。

  • テナントセレクタを使用する場合(または VM にテナントが 1 つしかない場合)は、次の手順を実行します。

    [sdc@tenant toolkit]$ sdc eventing delete

  • コマンド引数でテナントを直接指定する場合は、次のようにします。

    [sdc@tenant toolkit]$ sdc eventing delete CDO_{tenant-name}

ステップ 4

SEC ファイルの削除を確定します。

Secure Logging Analytics(SaaS)に使用されるデバイスの TCP、UDP、および NSEL ポートの検索

Secure Logging Analytics(SaaS)を使用すると、ご使用の ASA または FDM-managedデバイスから、Secure Event Connector(SEC)上の特定の UDP、TCP、または NSEL ポートにイベントを送信できます。その後、SEC はそれらのイベントを Cisco Cloud に転送します。

まだ使用されていないポートの場合、SEC はそれらのポートを使用してイベントを受信できるようにします。Secure Logging Analytics(SaaS)のマニュアルでは、機能を設定するときにポートを使用することが推奨されています。

  • TCP:10125

  • UDP:10025

  • NSEL:10425

すでに使用されているポートの場合は、Secure Logging Analytics(SaaS)を設定する前に、SEC デバイスの詳細を調べて、イベントの受信に実際に使用しているポートを特定します。

SEC が使用するポート番号を見つけるには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Administration > Integrations > Firewall Management Center をクリックし、[セキュアコネクタ(Secure Connectors)] タブをクリックします

ステップ 3

[セキュアコネクタ(Secure Connectors)] ページで、イベントを送信する SEC を選択します。

ステップ 4

[詳細(Details)] ペインに、イベントの送信先となる TCP、UDP、および NetFlow(NSEL)ポートが表示されます。

FDM 管理対象デバイスの Security Analytics and Logging(SaaS)

FDM-Managed デバイス用 Secure Analytics and Logging(SaaS)について

Cisco Security Analytics and Logging(SaaS)を使用すると、すべての FDM-managed デバイスからの接続、侵入、ファイル、マルウェア、セキュリティ インテリジェンスのイベントをキャプチャし、Security Cloud Control の 1 ヵ所で表示できます。

イベントは Cisco Cloud に保存され、Security Cloud Control の [イベントロギング(Event Logging)] ページから表示できます。イベントをフィルタリングして確認し、ネットワークでトリガーされているセキュリティルールを明確に理解できます。

Security Cloud Control イベントビューアでの FDM イベントの表示方法

接続、侵入、ファイル、マルウェア、およびセキュリティ インテリジェンスのイベントは、個々のルールがイベントをログに記録するように設定され、ネットワークトラフィックがルールの条件に一致する場合に生成されます。イベントが Cisco Cloud に保存されたら、Security Cloud Control で表示できます。イベントを Cisco Cloud に送信するように FDM-managed デバイスを設定するには、次の 2 つの方法があります。

  • 複数の Secure Event Connector(SEC)をインストールし、任意のデバイスでルールによって生成されたイベントを、syslog サーバーであるかのように任意の SEC に送信できます。SEC はイベントを Cisco Cloud に転送します。

  • FDM-managed デバイスが登録キーを使用して Security Cloud Control にオンボーディングされている場合、Secure Firewall Device Manager のコントロールを使用して、イベントを Cisco Cloud に直接送信できます。

Secure Event Connector を使用して Cisco Cloud にイベントが送信される仕組み

基本的な Logging and Troubleshooting ライセンスを使用した場合、Secure Firewall Device Manager イベントは次のように Cisco Cloud に到達します。

  1. ユーザー名とパスワードを使用するか登録キーを使用して、FDM-managed デバイスを Security Cloud Control にオンボードします。

  2. アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールなどの個々のルールを設定して、SEC が syslog サーバーであるかのように、いずれかの SEC にイベントを転送します。アクセスコントロールルールでは、ファイルおよびマルウェアポリシーと侵入ポリシーも有効化して、それらのポリシーによって生成されたイベントを SEC に転送することもできます。

  3. [システム設定(System Settings)] > [ロギング(Logging)]で、ファイルイベントのファイルロギングおよびマルウェアロギングを設定します。

  4. [システム設定(System Settings)] > [ロギング(Logging)]で、侵入イベントの侵入ロギングを設定します。

  5. SEC は、イベントが保存されている Cisco Cloud にイベントを転送します。

  6. Security Cloud Control は、設定したフィルタに基づいて、Cisco Cloud からのイベントを [イベントロギング(Events Logging)] ページに表示します。

イベントが Secure Firewall Device Manager から Cisco Cloud に直接送信される仕組み

基本的な Logging and Troubleshooting ライセンスを使用した場合、Secure Firewall Device Manager イベントは次のように Cisco Cloud に到達します。

  1. 登録トークンを使用して、FDM-managed デバイスを Security Cloud Control にオンボーディングします。

  2. アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールなどの個々のルールを設定して、イベントをログに記録します。ただし、イベントの送信先となる syslog サーバーは指定しません。アクセスコントロールルールでは、ファイルおよびマルウェアポリシーと侵入ポリシーも有効化して、それらのポリシーによって生成されたイベントを Cisco Cloud に転送することもできます。

  3. ファイルイベントと侵入イベントは、アクセスコントロールルールでファイルおよびマルウェアポリシーおよび侵入ポリシーが接続イベントをログに記録するように設定されている場合、Cisco Cloud に送信されます。

  4. Secure Firewall Device Manager でクラウドロギングをアクティブ化して、さまざまなルールで記録されたイベントが Cisco Cloud に送信されます。

  5. Security Cloud Control は、設定したフィルタに基づいて Cisco クラウドからイベントを取得し、イベントビューアに表示します。

設定の比較

SEC を介して Cisco Cloud にイベントを送信する場合と、Cisco Cloud にイベントを直接送信する場合の Security Cloud Control 設定の違いの概要を次に示します。

FDM-Managed デバイス設定

Secure Event Connector(SEC)を介してイベントを送信する場合

Cisco Cloud にイベントを直接送信する場合

Security Cloud Control での FDM-Managed デバイスのオンボーディング方法

ログイン情報(ユーザー名とパスワード)

登録トークン

登録トークン

シリアル番号(Serial Number)

バージョン サポート

バージョン 6.4 以降

登録トークン:バージョン 6.5 以降

シリアル番号:バージョン 6.7 以降

Cisco Security Analytics and Logging(SaaS)ライセンス

Logging and Troubleshooting

Logging Analytics and Detection(オプション)

Total Network Analytics and Monitoring(オプション)

Logging and Troubleshooting

Logging Analytics and Detection(オプション)

Total Network Analytics and Monitoring(オプション)

[ライセンス(Licenses)]

ライセンス

:侵入ルール、ファイル制御ルール、またはセキュリティ インテリジェンス フィルタリングから接続イベントを収集する場合。

マルウェア:ファイル制御ルールから接続イベントを収集する場合。

ライセンス

:侵入ルール、ファイル制御ルール、またはセキュリティ インテリジェンス フィルタリングから接続イベントを収集する場合。

マルウェア:ファイル制御ルールから接続イベントを収集する場合。

Secure Event Connector

必須

該当なし

データ圧縮*

イベントは圧縮されます*

イベントは圧縮されません*

データプラン

必須

必須

(注)  

データサブスクリプションと月次使用量の履歴は、使用する非圧縮データの量に基づいています。

ソリューションのコンポーネント

Cisco Security Analytics and Logging(SaaS)では、次のコンポーネントを使用してイベントを Security Cloud Control に配信します。

Secure Device Connector(SDC):SDC は Security Cloud ControlFDM-managed デバイスに接続します。FDM-managed デバイスのログイン情報は SDC に保存されます。

詳細については、「Secure Device Connector」を参照してください。

Secure Event Connector(SEC):SEC は、FDM-managed デバイスからイベントを受信し、Cisco Cloud に転送するアプリケーションです。Cisco Cloud に転送されたイベントは、Security Cloud Control の [Event Logging] ページで確認できます。テナントに 1 つ以上の SEC が関連付けられている場合があります。環境に応じて、Secure Event Connector を Secure Device Connector または Security Cloud Control コネクタ VM にインストールします。

Secure Firewall Device ManagerFDM-managed デバイスはシスコの次世代ファイアウォールです。ネットワークトラフィックのステートフル インスペクションとアクセス制御に加えて、FDM-managed デバイスはマルウェアやアプリケーション 層攻撃からの保護、統合された侵入防御、クラウド提供型脅威インテリジェンスなどの機能を提供します。

ライセンシング

このソリューションを設定するには、次のアカウントとライセンスが必要です。

  • Security Cloud ControlSecurity Cloud Control テナントが必要です。

  • Secure Device Connector 用の個別のライセンスはありません。

  • Secure Event Connector 用の個別のライセンスはありません。

  • Cisco Security Analytics and Logging(SaaS): オンボーディングされた FDM-managed デバイスから派生したリアルタイムおよび履歴イベントを保存し、障害対応およびトラフィック分析の目的で使用できるようにするには、有効なシスコのセキュリティ分析とロギング(SaaS)サブスクリプションプランが必要です。ネットワークで Security Cloud Control を使用します。Cisco Security Analytics and Logging(SaaS)サブスクリプションプランの詳細については、こちらを参照してください。Security Analytics and Logging ライセンス

FDM-Managed デバイスFDM-managed デバイスを実行し、セキュリティイベントを生成するルールを作成するには、次のライセンスが必要です。

ライセンス

期間

付与される機能

Essentials(自動的に含まれます)

永久

オプションのターム ライセンスでカバーされないすべての機能。

[このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。

ターム ベース

侵入検知および防御:侵入ポリシーが侵入とエクスプロイトを検出するためネットワークトラフィックを分析し、またオプションで違反パケットをドロップします。

ファイル制御:ファイルポリシーが特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェアライセンスが必要な AMP for Firepower を使用すると、マルウェアを含むファイルのインスペクションを実行してブロックできます。任意のタイプのファイルポリシーを使用するには、脅威ライセンスが必要です。

セキュリティ インテリジェンス フィルタ:トラフィックがアクセスコントロールルールによって分析を受ける前に、選択されたトラフィックをドロップします。ダイナミックフィードを使用することで、最新のインテリジェンスに基づいて接続をただちにドロップできます。

マルウェア

ターム ベース

マルウェアを確認するポリシーであり、Cisco Advanced Malware Protection(AMP)と一緒に AMP for Firepower (ネットワークベースの高度なマルウェア保護)と Cisco Threat Grid を使用します。

ファイル ポリシーは、ネットワーク上で伝送されるファイルに存在するマルウェアを検出してブロックできます。

日次取り込み率の見積り

Cisco Cloud がオンボーディングされたファイアウォールデバイスから 1 日に受け取るイベント数を反映したサブスクリプションプランを購入する必要があります。これは「日次取り込み率」と呼ばれます。Logging Volume Estimator ツールを使用して、日次取り込み率を推定でき、率が変化すると、サブスクリプション プランを更新できます。


注意    

イベントを Cisco クラウドに直接送信し、同時に SEC を介して送信するように FDM-managed デバイスを設定できます。これを行うと、同じイベントが 2 回取り込まれ、データプランに対して 2 回カウントされますが、Cisco クラウドには 1 回しか保存されません。いずれかの方法を使用してシスコクラウドにイベントを送信するようにして、イベントデータが重複したり、ストレージの使用量が追加されないようにしてください。

サブスクリプションプランの詳細については、『Security Cloud Control Firewall Management Ordering Guide』を参照してください。

90 日の無料試用版

Security Cloud Control にログインし、Events & Logs > Events > Event Logging タブに移動することで、90 日間のトライアルをリクエストして、日次取り込み率を正確に見積もることができます。『Security Cloud Control Firewall Management Ordering Guide』の手順に従って、必要なサブスクリプションプランを購入してサービスを継続できます。

次の手順

FDM-Managed デバイスに安全なロギング分析(SaaS)を導入するに進みます。

FDM-Managed デバイスに安全なロギング分析(SaaS)を導入する

はじめる前に

  • FDM-Managed デバイス用 Secure Analytics and Logging(SaaS)について」を参照して、次の点を確認してください。

    • Cisco Cloud へのイベントの送信方法

    • ソリューションに含まれるアプリケーション

    • 必要なライセンス

    • 必要なデータプラン

  • マネージドサービス プロバイダーまたは Security Cloud Control セールス担当者に問い合わせて Security Cloud Control テナントを所有している必要があります。

  • テナントは、FDM-managed デバイスに接続するために Security Cloud Control 用の Secure Device Connector(SDC)を使用する場合と使用しない場合があります。テナントには、デバイスログイン情報を使用してオンボーディングする FDM-managed デバイス用に SDC がインストールされている必要があります。これは、ベストプラクティスと見なされます。登録キーまたはシリアル番号を使用して FDM-managed デバイスをオンボーディングする場合、SDC は必要ありません。

  • テナントに SDC をインストールしている場合は、SDC のステータスがアクティブであり、最新のハートビートが記録されていることを確認してください。

  • SDC をインストールする場合は、次の手順を実行します。

  • テナントに 1 つ以上の SEC をインストールでき、任意の Firewall Device Manager から、テナントにオンボーディングされた任意の SEC にイベントを送信できます。

  • イベントを Firewall Device Manager から Cisco Cloud に直接送信する場合は、管理インターフェイスのポート 443 で発信アクセスを開いている必要があります。

  • アカウントのユーザー向けにニ要素認証を設定しました。

Secure Logging Analytics(SaaS)を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための新規 Security Cloud Control カスタマーワークフロー

  1. FDM-managed デバイスをオンボードします。管理者のユーザー名とパスワード、または登録トークンを使用して、デバイスをオンボーディングできます。

  2. Secure Logging Analytics(SaaS)の Syslog サーバーオブジェクトを作成します

  3. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  4. ルールとポリシーによって生成されたイベントが Secure Event Connector に送信されるようにFDM-managed デバイスを設定します。

  5. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから Events & Logs > Events > Event Logging を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

Secure Logging Analytics(SaaS)を導入し、Cisco Cloud にイベントを直接送信するための新規 Security Cloud Control カスタマーワークフロー

  1. FDM-managed デバイスをオンボードします

    登録キーのみを使用できます。

  2. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  3. イベントが直接 Cisco Cloud に送信されるように FDM-managed デバイスを設定します。

  4. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから Events & Logs > Events > Event Logging を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

Secure Logging Analytics(SaaS)を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための既存 Security Cloud Control カスタマーワークフロー

  1. FDM-managed デバイスをオンボードします。管理者のユーザー名とパスワード、または登録トークンを使用して、デバイスをオンボーディングできます。

  2. Secure Logging Analytics(SaaS)の Syslog サーバーオブジェクト

  3. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  4. ルールとポリシーによって生成されたイベントを Secure Event Connector に送信します

  5. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから Events & Logs > Events > Event Logging を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

Secure Logging Analytics(SaaS)を導入し、Cisco Cloud にイベントを直接送信するための既存 Security Cloud Control カスタマーワークフロー

  1. FDM-managed デバイスをオンボードします。登録キーのみを使用できます。

  2. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  3. イベントが直接 Cisco Cloud に送信されるように FDM-managed デバイスを設定します。

  4. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから Events & Logs > Events > Event Logging を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

Secure Analytics and Logging (SaaS)のワークフロー

Security and Analytics Logging イベントを使用したトラブルシューティング」では、Secure Logging Analytics(SaaS)から生成されたイベントを使用して、ユーザーがネットワークリソースにアクセスできない原因を特定する方法について説明しています。

FDM イベントを Security Cloud Control イベントロギングに送信する

アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールからの FDM-managed イベントをイベントロギングビューアで表示するには、最初にそれらのイベントを Cisco Cloud に送信する必要があります。

ファイルおよびマルウェアイベントまたは侵入イベントを Cisco Cloud に送信する場合で、Secure Event Connector を使用する場合は、デバイスのロギング設定を構成する必要があります。

Cisco Cloud に FDM-Managed イベントを直接送信する

Firewall Device Manager バージョン 6.5 以降では、接続イベント、侵入イベント、ファイルイベント、およびマルウェアイベントを FDM-managed デバイスから Cisco Cloud に直接送信できます。Cisco Cloud に送信されたイベントは、Security Cloud Control で監視し、Cisco Secure Cloud Analytics を使用して分析できます。この方法では、Secure Device Connector(SDC)仮想マシンに Secure Event Connector(SEC)コンテナをインストールする必要はありません。

始める前に

以下のトピックを確認してください。

手順

ステップ 1

イベントを Cisco Cloud に送信するデバイスの Firewall Device Manager にログオンします。

ステップ 2

[デバイス(Device)] > [システム設定(System Settings)] > [クラウドサービス(Cloud Services)] を選択します。

ステップ 3

[Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)] ペインで、[有効化(Enable)] をクリックします。

Cloud-Delivered Firewall Management Center:管理対象 Threat Defense デバイスイベントのモニター

Security Cloud ControlCloud-Delivered Firewall Management Center によって管理される Threat Defense デバイスからのイベントを表示します。

Firewall Threat DefenseSecurity Analytics and Logging(SaaS)について

SAL (SaaS) を使用すると、すべての Firewall Threat Defense デバイスからの接続、侵入、ファイル、マルウェア、セキュリティ インテリジェンスのイベントをキャプチャし、Security Cloud Control の 1 か所で表示できます。イベントは Cisco Cloud に保存され、Security Cloud Control[Event Logging] ページから表示できます。イベントをフィルタリングして確認し、ネットワークでトリガーされているセキュリティルールを明確に理解できます。

クラウド提供型ファイアウォール Management Center 管理対象デバイス用の SAL(SaaS)の実装

この統合を展開するには、syslog または直接接続のいずれかを使用して SAL (SaaS) でイベントデータストレージをセットアップする必要があります。

要件とガイドライン

タイプ

説明

Cisco Secure Firewall Threat Defense

  • Security Cloud Control 管理対象スタンドアロン Firewall Threat Defense デバイス、バージョン 7.2 以降。

  • syslog を使用してイベントを送信するには、Firewall Threat Defense デバイスバージョン 6.4 以降が必要です。

  • イベントを直接送信するには、Firewall Threat Defense デバイスバージョン 7.2 以降が必要です。

  • 必要に応じて Firewall Threat Defense デバイスをイベントの直接送信から除外するには、Firewall Threat Defense デバイスバージョン 7.4.1 以降が必要です。

  • ファイアウォールシステムの展開が完了し、イベントが正しく生成されている必要があります。

地域のクラウド

  • イベントの送信先となる地域クラウドを決定します。

  • イベントは、異なる地域のクラウドから表示したり、異なる地域のクラウド間で移動することはできません。

  • Cisco SecureX、Cisco SecureX Response、または Cisco XDR との統合のために、直接接続を使用して Cisco Security Cloud にイベントを送信する場合は、この統合に同じクラウドリージョンを使用する必要があります。

  • イベントを直接送信する場合、Security Cloud Control で指定する地域クラウドは Security Cloud Control テナントの地域と一致する必要があります。

Security Analytics and Logging サブスクリプションプラン

  • 有効な Security Analytics and Logging サブスクリプションプランが必要です。サブスクリプションプランの詳細については、「Security Analytics and Logging Licenses」を参照してください。

  • Security Analytics and Logging プランが登録されていない場合は、Security Cloud Control にログインし、Events & Logs > Events > Event Logging タブに移動することで、90 日間のトライアルをリクエストできます。『Security Cloud Control Firewall Management Ordering Guide』の手順に従って、必要なサブスクリプションプランを購入できます。

  • Cisco Cloud が脅威防御デバイスから 1 日に受け取るイベント数を反映したデータプランを購入する必要があります。これは「日次取り込み率」と呼ばれます。

  • Logging Volume Estimator ツール を使用して、データストレージの要件を見積書ます。

アカウント

この統合のライセンスを購入すると、統合をサポートする Security Cloud Control テナントアカウントが提供されます。

接続性

Firewall Threat Defense デバイスは、ポート 443 で次のアドレスの Cisco Security Cloud に対してアウトバウンド方向に接続できる必要があります。

  • 米国地域:

    • api sse.cisco.com

    • mx*.sse.itd.cisco.com

    • dex.sse.itd.cisco.com

    • eventing-ingest.sse.itd.cisco.com

    • registration.us.sse.itd.cisco.com

    • https://security.cisco.com

    • edge.us.cdo.cisco.com

  • EU 地域:

    • api.eu.sse.itd.cisco.com

    • mx*.eu.sse.itd.cisco.com

    • dex.eu.sse.itd.cisco.com

    • eventing-ingest.eu.sse.itd.cisco.com

    • registration.eu.sse.itd.cisco.com

    • https://security.cisco.com

    • edge.eu.cdo.cisco.com

  • アジア(APJ)地域:

    • api.apj.sse.itd.cisco.com

    • mx*.apj.sse.itd.cisco.com

    • dex.apj.sse.itd.cisco.com

    • eventing-ingest.apj.sse.itd.cisco.com

    • registration.apj.sse.itd.cisco.com

    • apj.cdo.cisco.com

    • edge.apj.cdo.cisco.com

  • オーストラリア地域:

    • api.aus.sse.itd.cisco.com

    • mx*.aus.sse.itd.cisco.com

    • dex.au.sse.itd.cisco.com

    • eventing-ingest.aus.sse.itd.cisco.com

    • registration.au.sse.itd.cisco.com

    • aus.cdo.cisco.com

  • インド地域:

    • api.in.sse.itd.cisco.com

    • mx*.in.sse.itd.cisco.com

    • dex.in.sse.itd.cisco.com

    • eventing-ingest.in.sse.itd.cisco.com

    • registration.in.sse.itd.cisco.com

    • in.cdo.cisco.com

直接接続を使用して Firewall Threat Defense イベントを Security Cloud Control に表示する方法

この図は、Security Cloud Control によって管理される Firewall Threat Defense デバイスがセキュリティイベント(接続、セキュリティ関連の接続、侵入、ファイル、およびマルウェア イベント)を Security Cloud Control と共有する方法を示しています。

図 1. Firewall Threat Defense イベントを Security Cloud Control に表示する方法

ステップ

説明

1

Firewall Threat Defense デバイスを設定して、イベントが直接 Cisco Cloud に送信されるようにします。

セキュリティイベントは、Firewall Threat Defense デバイスでロギングが有効になっていて、ネットワークトラフィックがアクセス制御ルールの基準に一致するときに生成されます。Firewall Threat Defense デバイスは、イベントを Security Services Exchange に直接送信します。

2

Security Services Exchange は、すべての Firewall Threat Defense デバイスからイベントデータを集約し、JSON 形式に変換して、ストレージ用に Security Analytics and Logging に送信します。

3

Security Analytics and Logging は、さまざまなサービスを使用してイベントデータを分類および強化し、Security Cloud Control で使用できるようにします。

4

Security Analytics and Logging は、イベントデータをクラウドデータストアに保存します。Security Cloud Control は、SOC アナリストに関連情報を提供するために、保存されたデータをクエリします。

直接接続を使用した SAL (SaaS) への Cloud-Delivered Firewall Management Center 管理対象 イベントログの送信

SAL (SaaS) にイベントを直接送信するように Cloud-Delivered Firewall Management Center を設定します。次の手順を実行して、Cloud-Delivered Firewall Management Centerで Cisco Cloud イベントのグローバル設定を有効にします。必要に応じて、個々の Firewall Threat Defense デバイスを SAL (SaaS) へのイベントログの送信対象から除外できます。詳細については、「直接接続を使用してイベントログを SAL(SaaS)に送信するための Threat Defense デバイスの有効化または無効化」を参照してください。

始める前に

  • Cloud-Delivered Firewall Management Center にデバイスをオンボードし、これらのデバイスにライセンスを割り当て、これらのデバイスを設定してイベントを SAL (SaaS) に直接送信します。

  • ルールを編集し、[接続の開始時にロギング(Log atBeginning of Connection)] オプションと [接続の終了時にロギング(Log at End of Connection)] オプションを選択することで、ルールごとに接続ロギングを有効にします。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > Firewall Management Center をクリックします。

ステップ 4

[クラウド提供型FMC(Cloud-Delivered FMC)] をクリックし、右側にある [システム(System)] ペインで [Cisco Cloudイベント(Cisco Cloud Events)] をクリックします。

ステップ 5

[Cisco Cloudイベントの設定(Configure Cisco Cloud Events)] ウィジェットで、次の手順を実行します。

  1. [Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)]トグルボタンをクリックして、設定全体を有効にします。

  2. [クラウドに侵入イベントを送信(Send Intrusion Events to the cloud)] チェックボックスをオンにして、侵入イベントをクラウドに送信します。

  3. [クラウドにファイルイベントとマルウェアイベントを送信(Send File and Malware Events to the cloud)] チェックボックスをオンにして、ファイルイベントとマルウェアイベントをクラウドに送信します。

  4. 接続イベントをクラウドに送信するオプションを選択します。

    • 接続イベントをクラウドに送信しない場合は、[なし(None)] オプションボタンをクリックします。

    • セキュリティ インテリジェンス イベントのみをクラウドに送信するには、[セキュリティイベント(Security Events)] オプションボタンをクリックします。

    • すべての接続イベントをクラウドに送信するには、[すべて(All)] オプションボタンをクリックします。

  5. [Save] をクリックします。

syslog を使用した SAL (SaaS)Cloud-Delivered Firewall Management Center 管理対象 のイベントの送信

この手順では、Security Cloud Control によって管理されるデバイスからセキュリティイベント(接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベント)の syslog メッセージを送信するための設定について説明します。

始める前に

  • セキュリティイベントを生成するポリシーを設定し、予期されるイベントが [イベントとログ(Events & Logs)] メニューの該当するテーブルに表示されることを確認します。

  • syslog サーバーの IP アドレス、ポート、およびプロトコル(UDP または TCP)に関連する情報を収集します。

  • デバイスが syslog サーバーに到達できることを確認します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Administration > Firewall Management Center をクリックして [サービス(Services)] ページを開きます。

ステップ 3

クリックして [クラウド提供型FMC(Cloud-Delivered FMC)] を選択し、[設定(Configuration)] をクリックします。

ステップ 4

Threat Defense デバイスの Syslog ロギングの設定:

  1. [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] をクリックし、Threat Defense デバイスに関連付けられているプラットフォーム設定ポリシーを編集します。

  2. 左側のナビゲーションウィンドウで [Syslog] をクリックし、次のように syslog 設定を構成します。

    クリックする UI 要素...

    実行する手順:

    [ロギングセットアップ(Logging Setup)]

    ロギングを有効にし、FTP サーバーの設定を指定し、フラッシュの使用を指定します。

    Logging Destination

    特定の接続先へのロギングを有効にし、メッセージの重大度、イベントクラス、またはカスタムイベントリストによるフィルタリングを指定します。

    [電子メールの設定(E-mail Setup)]

    電子メールとして送信される syslog メッセージの送信元アドレスとして使用する電子メールアドレスを指定します。

    [イベントリスト(Events Lists)]

    イベントクラス、重要度、イベント ID を含むカスタムイベントリストを定義します。

    Rate Limit

    設定されているすべての宛先に送信されるメッセージの量を指定し、レート制限を割り当てるメッセージの重大度を定義します。

    Syslog の設定(Syslog Settings)

    サーバーを Syslog 接続先として設定するために、ロギング機能を指定し、タイムスタンプの包含を有効にし、他の設定を有効にします。

    Syslog サーバ

    ロギング接続先として指定される Syslog サーバーの IP アドレス、使用されるプロトコル、形式、およびセキュリティゾーンを指定します。

  3. [保存(Save)] をクリックします。

ステップ 5

アクセス コントロール ポリシーの一般的なログ設定(ファイルおよびマルウェアロギングを含む)を指定します。

  1. [ポリシー(Policies)] > [アクセス制御(Access Control)] クリックし、Threat Defense デバイスに関連付けられているアクセス コントロール ポリシーを編集します。

  2. [詳細(More)] をクリックし、[ロギング(Logging)] を選択します。アクセス コントロール ポリシーの次のような一般的なログ設定(ファイルおよびマルウェアロギングを含む)を設定します。

    クリックする UI 要素...

    実行する手順:

    [特定のsyslogアラートを使用して送信する(Send using specific syslog alert)]

    既存の定義済みアラートのリストから syslog アラートを選択するか、名前、ロギングホスト、ポート、機能、および重大度を指定して syslog アラートを追加します。

    [デバイスに展開したFTDプラットフォーム設定のsyslog設定を使用する(Use the syslog settings configured in the FTD Platform Settings policy deployed on the device)]

    [プラットフォーム設定(Platform Settings)] で設定した syslog 設定を統合して、アクセス コントロール ポリシーでその設定を再利用します。選択した重大度はすべての接続イベントと侵入イベントに適用されます。デフォルトの重大度は [アラート(ALERT)] です。

    [IPSイベントの Syslogメッセージを送信する(Send Syslog messages for IPS events)]

    イベントを syslog メッセージとして送信します。オーバーライドしない限り、デフォルトの syslog 設定が使用されます。

    [ファイルおよびマルウェアイベントのsyslogメッセージを送信する(Send Syslog messages for File and Malware events)]

    ファイルおよびマルウェアイベントを syslog メッセージとして送信します。オーバーライドしない限り、デフォルトの syslog 設定が使用されます。

  3. [保存(Save)] をクリックします。

ステップ 6

アクセス コントロール ポリシーのセキュリティ インテリジェンス イベントのロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[セキュリティ インテリジェンス(Security Intelligence)] タブをクリックします。

  2. ロギングアイコンをクリックし、次の基準を使用してセキュリティ インテリジェンス ロギングを有効にします。

    • ドメイン名別:[DNSポリシー(DNS Policy)] ドロップダウンリストの横にあるロギングアイコンをクリックします。

    • IP アドレス別:[ネットワーク(Networks)] の横にあるロギング アイコンをクリックします。

    • URL 別:[URL(URLs)] の横にあるロギング アイコンをクリックします。

  3. [保存(Save)] をクリックします。

ステップ 7

アクセス コントロール ポリシーの各ルールの syslog ロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[アクセス制御(Access Control)] タブをクリックします。

  2. 編集するルールをクリックします。

  3. ルールの [ロギング(Logging)] タブをクリックします。

  4. [接続の開始時にロギング(Log at starting of connection)] チェックボックスと [接続の終了時にロギング(Log at end of connection)] チェックボックスをオンにします。

  5. ファイルイベントをログに記録する場合は、[ログファイル(Log Files)] チェックボックスをオンにします。

  6. [Syslog サーバー(Syslog Server)] チェックボックスをオンにします。

  7. ルールが [アクセスコントロールロギングでデフォルトのsyslog設定を使用する(Using default syslog configuration in Access Control Logging)] であることを確認します。

  8. [確認(Confirm)] をクリックします。

  9. [適用(Apply)] をクリックして、ルールを保存します。

  10. ポリシー内のルールごとにステップ 7.a ~ 7.h を繰り返し、[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

必要な変更をすべて行ったら、変更を管理対象デバイスに展開します。

直接接続を使用してイベントを SAL(SaaS)に送信するための個別の Threat Defense デバイスの有効化

Cloud-Delivered Firewall Management Center によって管理されている FTD デバイスがイベントを SAL(SaaS)に直接送信することを有効または無効にします。このデバイスレベルの制御により、必要に応じて、特定の FTD デバイスを Cisco Cloud へのイベントログの送信から除外して、トラフィックを削減したり、SAL とオンプレミスのイベントログストレージの組み合わせを維持したりすることができます。


(注)  

  • FTD デバイスから Cisco Cloud へのイベントの送信を有効または無効化にするには、 Cloud-Delivered Firewall Management Centerで Cisco Cloud イベントグローバル設定を有効にします。Cisco Cloudイベントのグローバル設定の有効化の詳細については、 直接接続を使用した SAL (SaaS) への Cloud-Delivered Firewall Management Center 管理対象 イベントログの送信を参照してください。

    Cisco Cloud イベントグローバル設定が Cloud-Delivered Firewall Management Centerで有効になっている場合、Cisco Cloud へのイベントの送信は、すべての FTD デバイスに対してデフォルトで有効になります。

  • FTD デバイスがイベントログをクラウドに送信することを有効または無効にするオプションは、FTD バージョン 7.4.1 以降でサポートされています。

始める前に

  • Cloud-Delivered Firewall Management Center にデバイスを導入準備し、これらのデバイスにライセンスを割り当て、イベントを SAL(SaaS)に直接送信するようにこれらのデバイスを設定します。

  • ルールを編集し、[接続の開始時にロギング(Log atBeginning of Connection)] オプションと [接続の終了時にロギング(Log at End of Connection)] オプションを選択することで、ルールごとに接続ロギングを有効にします。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [インベントリ(Inventory)]Security Devicesをクリックします。

ステップ 3

[デバイス(Devices)] タブをクリックしてデバイスを表示します。

ステップ 4

[FTD] タブをクリックして、FTD デバイスを表示します。

ステップ 5

[Security Devices] リストから、設定を編集する FTD デバイスを選択します。

ステップ 6

[デバイス管理(Device Management)] ペインで、[クラウドイベント(Cloud Events)] をクリックします。

ステップ 7

[Cisco Cloudへのイベントの送信(Send Events to the Cisco Cloud)] トグルボタンをクリックして、設定を有効または無効にします。

ステップ 8

[Save] をクリックします。

AI Defense イベントを Security Cloud Control で表示

AI Defense イベントは、AI 環境内のアクティビティを記録します。送信されたプロンプト、生成された応答、およびトリガーされた AI Defense ポリシー違反などのやり取りをキャプチャします。これらのイベントには、関係するアプリケーションと AI モデル、トリガーされた特定のルール、実行されたアクションなどの重要な情報が含まれます。

始める前に

手順

ステップ 1

ナビゲーションウィンドウで Events & Logs > Events > Event Logging を選択します。

ステップ 2

フィルタアイコン()をクリックします。

ステップ 3

[AI Defense] チェックボックスをオンにします。

Security Cloud Control イベントの表示

この章では、Security Cloud Control でライブイベントおよび過去のイベントを表示する方法について説明します。

ライブイベントを表示する

[ライブ(Live)] イベントページには、入力したフィルタおよび検索条件に一致する、直近 500 件のイベントが表示されます。[ライブ(Live)] ページに最大数である 500 のイベントが表示されており、さらに表示されるイベントが追加されると、Security Cloud Control は最新のライブイベントを表示し、最も古いライブイベントを [履歴(Historical)] イベントページに転送します。これにより、ライブイベントの総数が 500 に維持されます。この転送には、約 1 分を要します。フィルタリング基準を追加しない場合は、イベントを記録するように設定されたルールによって生成された最新の 500 のライブイベントがすべて表示されます。

イベントのタイムスタンプは UTC で表示されます。

ライブイベントが再生中か一時停止中かにかかわらず、フィルタリング基準を変更すると、イベント画面がクリアされ、収集プロセスが再開されます。

Security Cloud Control イベントビューアでライブイベントを表示するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

[ライブ(Live)] タブをクリックします。

次のタスク

次の関連情報を参照して、イベントを再生および一時停止する方法を確認します。

ライブイベントの再生/一時停止

ライブイベントのストリーミング中に「再生」または「一時停止」できます。ライブイベントが「再生中」の場合、Security Cloud Control は、イベントビューアで指定されたフィルタ基準に一致するイベントを受信順に表示します。イベントが一時停止された場合、ライブイベントの再生を再開するまで、Security Cloud Control はライブイベントページを更新しません。イベントの再生を再開すると、Security Cloud Control は、イベントの再生を再開した時点からライブページにイベントの入力を開始します。見逃したイベントが遡って再生されることはありません。

ライブイベントのストリーミングを再生または一時停止したかどうかにかかわらず、Security Cloud Control が受信したすべてのイベントを表示するには、[履歴(Historical)] タブをクリックします。

ライブイベントの自動一時停止

イベントを約 5 分間連続して表示した後、Security Cloud Control は、ライブイベントのストリーミングを一時停止しようとしていることを警告します。その時点で、リンクをクリックしてライブイベントのストリーミングをさらに 5 分間継続するか、ストリーミングを停止することができます。準備ができたら、ライブイベントのストリーミングを再開できます。

イベントの受信と報告

Secure Event Connector または Security Service Exchange がイベントを受信してから、Security Cloud Control がライブイベントビューアにイベントを投稿するまでに、わずかに遅れが生じる場合があります。ライブページで遅延を確認できます。イベントのタイムスタンプは、イベントが Secure Event Connector または Security Service Exchange によって受信された時刻です。

履歴イベントの表示

[ライブ(Live)] イベントページには、入力したフィルタおよび検索条件に一致する、直近 500 件のイベントが表示されます。直近の 500 件より古いイベントは、[履歴(Historical)] イベントテーブルに転送されます。この転送には、約 1 分を要します。その後、保存したすべてのイベントをフィルタリングして、探しているイベントを見つけることができます。

履歴イベントを表示するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

ナビゲーションウィンドウで Events & Logs > Events > Event Logging を選択します。

ステップ 3

[履歴(Historic)] タブをクリックします。デフォルトでは、[履歴(Historic)] イベントテーブルを開くと、フィルタは過去 1 時間以内に収集されたイベントを表示するように設定されています。

イベントの属性は、Firepower Device Manager(FDM)または Adaptive Security Device Manager(ASDM)によって報告されるものとほぼ同じです。

イベントビューのカスタマイズ

[イベントロギング(Event Logging)] ページに加えられた変更は、このページから移動して後で戻ったときに備えて自動的に保存されます。


(注)  

ライブイベントと履歴イベントビューの設定は同じです。イベントビューをカスタマイズすると、変更はライブビューと履歴ビューの両方に適用されます。

列の表示/非表示

ライブイベントと履歴イベントの両方のイベントビューを変更して、必要なビューに適用される列ヘッダーのみを含めることができます。列の右側にある列フィルタアイコン をクリックし、必要な列を選択または選択解除して、[適用(Apply)] をクリックします。

図 2. 列の表示/非表示
[テーブルのカスタマイズ(Customize Table)] ペインのスクリーンキャプチャ

アスタリスクの付いた列は、デフォルトでイベントテーブル内に含まれますが、いつでも削除できます。

列の検索と追加

デフォルトリストに含まれていない列をさらに検索し、ライブイベントと履歴イベントの両方のイベントビューに追加できます。テーブルをカスタマイズして多くの列を追加すると、パフォーマンスが低下する可能性があるので注意してください。データの取得を高速化するために、使用する列の数は減らすようにしてください。

または、イベントの横にある [+] アイコンをクリックして展開し、非表示の列を表示します。イベントを展開したときに表示されるイベントフィールドの一部は、対応する列名とは異なる名前を持つ場合があることに注意してください。イベントを展開したときに表示されるイベントフィールドを対応する列名に関連付けるには、「Threat Defense のイベントフィールドと列名の関連付け」を参照してください。

列の並べ替え

イベントテーブルの列を並べ替えることができます。列の右側にある列フィルタアイコン をクリックし、選択した列のリストを表示します。次に、列をドラッグアンドドロップして希望する順序に並べ替えます。ドロップダウンメニューのリストの一番上にある列が、イベントテーブルの左端の列として表示されます。

Firewall Threat Defense イベントフィールドと列名の関連付け

Security Cloud Control [イベントロギング(Event Logging)] ページで、任意のイベントをクリックして詳細を展開し、関連するすべてのイベントフィールドを表示できます。一部のイベントフィールドの名前は、これらのフィールドの値が表示される Security Cloud Control イベントビューアの列ヘッダーの名前と異なる場合があることに注意してください。次の表に、列名が異なる Firewall Threat Defense イベントフィールドと、Firewall Threat Defense イベントフィールドとそれぞれの列名の比較を示します。

表 1. Firewall Threat Defenseイベントフィールドと対応する Security Cloud Control 列名

Security Cloud Control 列名

FTD イベントフィールド

Date/Time

Timestamp

[Detection Type]

ClientAppDetector

[暗号化された可視性フィンガープリント(Encrypted Visibility Fingerprint)]

EVE_Fingerprint

[暗号化された可視性プロセス名(Encrypted Visibility Process Name)]

EVE_Process

[暗号化された可視性プロセスの信頼スコア(Encrypted Visibility Process Confidence Score)]

EVE_ProcessConfidencePct

[暗号化された可視性脅威の信頼度(Encrypted Visibility Threat Confidence)]

EVE_ThreatConfidenceIndex

[暗号化された可視性脅威の信頼スコア(Encrypted Visibility Threat Confidence Score)]

EVE_ThreatConfidencePct

MITRE

MitreAttackGroups

NAT 送信元 IP(NAT Source IP)

NAT_InitiatorIP

NAT 送信元ポート(NAT Source Port)

NAT_InitiatorPort

ルールグループ

SnortRuleGroup

イベントロギングページのカラムの表示および非表示

[イベントロギング(Event Logging)] ページには、構成済み ASA および FDM-managed デバイスから Cisco Cloud に送信されたイベントが表示されます。

テーブルで表示/非表示ウィジェットを使用して、[イベントロギング(Event Logging)] ページの列を表示したり非表示にしたりできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

テーブルの右端までスクロールし、列フィルタアイコン をクリックします。

ステップ 4

表示する列のチェックボックスをオンにし、非表示にする列のチェックボックスをオフにします。

列が再び表示されるか非表示にされるまで、表示するように選択した列がテナントにログインしている他のユーザーにも表示されます。

以下の表は、デフォルトの列ヘッダーについて説明しています。

カラム ヘッダ

説明

Date/Time

デバイスがイベントを生成した時間。デフォルトでは、イベントタイムスタンプはローカルタイムゾーンで表示されます。イベントのタイムスタンプを UTC で表示するには、イベントタイムスタンプのタイムゾーンの変更を参照してください。

デバイスタイプ(Device Type)

FTD(Firepower Threat Defense)

イベントタイプ

この複合列には、以下のいずれかを含めることができます。

  • FTD イベントタイプ

    • 接続(Connection):アクセスコントロールルールからの接続イベントを表示します。

    • ファイル(File):アクセスコントロールルールのファイルポリシーによって報告されたイベントを表示します。

    • 侵入(Intrusion):アクセスコントロールルールの侵入ポリシーによって報告されたイベントを表示します。

    • マルウェア(Malware):アクセスコントロールルールのマルウェアポリシーによって報告されたイベントを表示します。

  • [ASAイベントタイプ(ASA Event Types)]:これらのイベントタイプは、syslog または NetFlow イベントのグループを表します。syslog ID または NetFlow ID が含まれているグループの詳細については、『ASA イベントタイプ』を参照してください。

    • 解析されたイベント(Parsed Events):解析された syslog イベントには、他の syslog イベントよりも多くのイベント属性が含まれており、Security Cloud Control はそれらの属性に基づいて検索結果をより迅速に返すことができます。解析されたイベントはフィルタリングカテゴリではありませんが、解析されたイベント ID は、[イベントタイプ(Event Types)] 列に斜体で表示されます。斜体で表示されていないイベント ID は解析されていません。

    • ASA NetFlow イベント ID:ASAからのすべての NetFlow(NSEL)イベントがここに表示されます。

センサーID/ホスト名(Sensor ID / Hostname)

センサー ID は、イベントを Security Service Exchange または Secure Event Connector に送信する IP アドレスです。

これは通常、Threat Defense または ASA の管理インターフェイスです。

[イニシエータ IP(Initiator IP)]

これは、ネットワークトラフィックの送信元の IP アドレスです。イニシエータ アドレス フィールドの値は、イベントの詳細の InitiatorIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

レスポンダ IP(Responder IP)

これは、パケットの宛先 IP アドレスです。宛先アドレスフィールドの値は、イベントの詳細の ResponderIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

ポート

セッションレスポンダが使用するポートまたは ICMP コードです。宛先ポートの値は、イベントの詳細の ResponderPort の値に対応します

プロトコル

これは、イベントのプロトコルを表します。

操作

ルールによって定義されたセキュリティアクションを指定します。入力する値は、検索対象と完全に一致する必要がありますが、大文字小文字は関係ありません。各イベントタイプ(接続、ファイル、侵入、マルウェア、syslog、および NetFlow)に異なる値を入力します。

  • 接続イベントタイプの場合、フィルタは AC_RuleAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

  • ファイルイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

  • 侵入イベントタイプの場合、フィルタは InLineResult 属性で一致を検索します。それらの値は、Allowed、Blocked、Trusted の可能性があります。

  • マルウェアイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、クラウド ルックアップ タイムアウトである可能性があります。

  • syslog および NetFlow イベントタイプの場合、フィルタは Action 属性で一致を検索します。

ポリシー

イベントをトリガーしたポリシーの名前です。名前は ASA および FDM-managedデバイスによって異なります。

イベントタイムスタンプのタイムゾーンの変更

Security Cloud Control の [イベントロギング(Event Logging)] ページで、イベントタイムスタンプのタイムゾーン表示を変更します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Events & Logs > Events > Event Logging を選択します。

ステップ 3

[イベントロギング(Event Logging)] ページの右上にある [UTC時間(UTC Time)] ボタンまたは [ローカル時間(Local Time)] ボタンをクリックすると、選択したタイムゾーンのイベントタイムスタンプが表示されます。

デフォルトでは、イベントタイムスタンプはローカルタイムゾーンで表示されます。

カスタマイズ可能なイベントフィルタ

Secure Logging Analytics(SaaS)のお客様は、頻繁に使用するカスタムフィルタを作成して保存できます。

フィルタの要素は、設定時にフィルタのタブに保存されます。[イベントロギング(Event Logging)] ページに戻るたびに、これらの検索機能を使用できます。テナントの他の Security Cloud Control ユーザーは使用できません。複数のテナントを管理している場合、別のテナントでは使用できません。


(注)  

フィルタのタブで作業しているときにフィルタ条件を変更すると、加えられた変更はカスタムフィルタのタブに自動的に保存されることに注意してください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

メインメニューから Events & Logs > Events > Event Logging を選択します。

ステップ 3

値の [検索(Search)] フィールドをクリアします。

ステップ 4

イベントテーブルの上にある青いプラスボタンをクリックして、[表示(View)] タブを追加します。フィルタ表示には、名前を付けるまで、[表示1(View 1)]、[表示2(View 2)]、[表示3(View 3)] のようにラベルが付けられます。

ステップ 5

ビューのタブを選択します。

ステップ 6

フィルタバーを開き、カスタムフィルタに必要なフィルタ属性を選択します。「[イベントロギング(Event Logging)] ページを使用したイベントの検索とフィルタリング」を参照してください。カスタムフィルタにはフィルタ属性のみが保存されることに注意してください。

ステップ 7

[イベントロギング(Event Logging)] テーブルに表示する列をカスタマイズします。列の表示と非表示については、「イベントロギングページのカラムの表示および非表示」を参照してください。

ステップ 8

[表示X(View X)] ラベルの付いたフィルタタブをダブルクリックし、名前を変更します。

ステップ 9

(オプション)カスタムフィルタを作成したので、[検索(Search)] フィールドに検索条件を追加することにより、カスタムフィルタを変更せずに、[イベントロギング(Event Logging)] ページに表示される結果を微調整できます。「[イベントロギング(Event Logging)] ページを使用したイベントの検索とフィルタリング」を参照してください。

[イベントロギング(Event Logging)] ページを使用したイベントの検索とフィルタリング

特定のイベントの履歴イベントテーブルとライブイベントテーブルの検索とフィルタ処理は、Security Cloud Control で他の情報を検索してフィルタ処理する場合と同様に機能します。フィルタ条件を追加すると、Security Cloud Control は [イベントロギング(Event Logging)] ページに表示される内容を制限し始めます。検索フィールドに検索条件を入力して、特定の値を持つイベントを検索することもできます。フィルタリングと検索のメカニズムを組み合わせると、検索はイベントのフィルタリング後に表示される結果の中から、入力した値を見つけようとします。

イベントログの検索を実行するオプションは次のとおりです。

ライブイベントのフィルタリングは、履歴イベントの場合と同じように機能しますが、ライブイベントは時刻でフィルタリングできない点が異なります。

次のフィルタリング方法について説明します。

ライブまたは履歴イベントのフィルタ処理

この手順では、イベントフィルタリングを使用して、[イベントロギング(Event Logging)] ページでイベントのサブセットを表示する方法について説明します。特定のフィルタ条件を繰り返し使用する場合は、カスタマイズしたフィルタを作成して保存できます。詳細については、「カスタマイズ可能なイベントフィルタ」を参照してください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

ナビゲーションバーで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

[履歴(Historical)] タブまたは [ライブ(Live)] タブをクリックします。

ステップ 4

フィルタアイコン()をクリックします。ピンアイコン()をクリックして、[フィルタ(Filter)] ペインを開いた状態でピン留めします。

ステップ 5

保存されているフィルタ要素がない [表示(View)] タブをクリックします。

ステップ 6

フィルタリングするイベントの詳細を選択します。

  • [FTDイベント(FTD Events)]

    • 接続(Connection):アクセスコントロールルールからの接続イベントを表示します。

    • ファイル(File):アクセスコントロールルールのファイルポリシーによって報告されたイベントを表示します。

    • 侵入(Intrusion):アクセスコントロールルールの侵入ポリシーによって報告されたイベントを表示します。

    • マルウェア(Malware):アクセスコントロールルールのマルウェアポリシーによって報告されたイベントを表示します。

  • ASAイベント(ASA Events):これらのイベントタイプは、syslog または NetFlow イベントのグループを表します。

    イベントの詳細については、「Security Cloud Control イベントタイプ」を参照してください。

  • 時間範囲(Time Range):[開始時刻(Start time)] または [終了時刻(End time)] フィールドをクリックして、表示する期間の開始時刻と終了時刻を選択します。タイムスタンプは、コンピュータのローカル時間で表示されます。

  • アクション(Action):ルールによって定義されたセキュリティアクションを指定します。入力する値は、検索対象と完全に一致する必要がありますが、大文字小文字は関係ありません。各イベントタイプ(接続、ファイル、侵入、マルウェア、syslog、および NetFlow)に異なる値を入力します。

    • 接続イベントタイプの場合、フィルタは AC_RuleAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

    • ファイルイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

    • 侵入イベントタイプの場合、フィルタは InLineResult 属性で一致を検索します。それらの値は、Allowed、Blocked、Trusted の可能性があります。

    • マルウェアイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、クラウド ルックアップ タイムアウトである可能性があります。

    • syslog および NetFlow イベントタイプの場合、フィルタは Action 属性で一致を検索します。

  • [センサーID/ホスト名(Sensor ID / Hostname)]:センサー ID は、イベントを Secure Event Connector または Security Service Exchange に送信する管理 IP アドレスです。

    FDM-managed デバイスの場合、センサー ID は通常、デバイスの管理インターフェイスの IP アドレスです。

  • IP アドレス

    • イニシエータ(Initiator):ネットワークトラフィックの送信元の IP アドレスです。イニシエータ アドレス フィールドの値は、イベントの詳細の InitiatorIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

    • レスポンダ(Responder):パケットの宛先 IP アドレスです。宛先アドレスフィールドの値は、イベントの詳細の ResponderIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

  • ポート

    • イニシエータ(Initiator):セッションイニシエータが使用するポートまたは ICMP タイプ。送信元ポートの値は、イベントの詳細の InitiatorPort の値に対応します(範囲の追加:開始ポートと終了ポートと、イニシエータとレスポンダの間または両方のスペース)。

    • レスポンダ(Reponder):セッションレスポンダが使用するポートまたは ICMP コード。宛先ポートの値は、イベントの詳細の ResponderPort の値に対応します

ステップ 7

(任意)[表示(View)] タブの側をクリックして、フィルタをカスタムフィルタとして保存します。

ASA または FDM-Managed デバイスの Syslog イベントをフィルタリングするが、ASA NetFlow イベントはフィルタリングしない

この手順では、syslog イベントのみを検索します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

フィルタアイコン をクリックして、開いた状態でフィルタをピン留めします。

ステップ 4

[フィルタ(Filter)] ペインの一番下までスクロールし、[NetFlowイベントを含める(Include NetFlow Events)] フィルタがオフになっていることを確認します。

ステップ 5

[ASAイベント(ASA Events)] フィルタツリーまでスクロールして戻り、[NetFlow] ボックスがオフになっていることを確認します。

ステップ 6

ASA または FTD フィルタ条件の残りを選択します。

フィルタ要素の結合

イベントのフィルタリングは、通常、Security Cloud Control の標準フィルタリングルールに従います。フィルタリングカテゴリには「かつ(AND)」が適用され、カテゴリ内の値は「または(OR)」が適用されます。フィルタをユーザー独自の検索条件と組み合わせることもできます。ただし、イベントフィルタの場合は、デバイスイベントフィルタにも「または」が適用されます。たとえば、フィルタで次の値が選択されているとします。

このフィルタを使用すると、Security Cloud Control では、Firewall Threat Defenseデバイスの接続イベントまたは ASA の BotNet イベントまたはファイアウォール トラフィック イベント、かつ時間範囲内の 2 つの時間の間に発生したイベント、かつ ResponderPort 443 も含むイベントが表示されます。時間範囲内の履歴イベントでフィルタリングできます。ライブイベントページには常に最新のイベントが表示されます。

特定の属性:値ペアの検索

検索フィールドにイベント属性と値を入力することで、ライブイベントや過去のイベントを検索できます。これを行う最も簡単な方法は、イベントログテーブルで、検索する属性をクリックすることです。Security Cloud Control によってその属性が検索フィールドに入力されます。クリックできるイベントは、マウスのカーソルを合わせると青色になります。次に例を示します。

この例では、イニシエータ IP(InitiatorIP)の値である 10.10.11.11 にマウスのカーソルを合わせてクリックすることにより、検索が開始されています。「InitiatorIP」とその値が検索文字列に追加されています。次に、イベントタイプの値である 3 にマウスのカーソルが合わされてクリックされ、検索文字列に追加されています。このとき、Security Cloud Control によって AND が追加されています。そのため、この検索の結果は、10.10.11.11 から開始された、「かつ」イベントタイプが 3 のイベントのリストになります。

上の例で、値 3 の横にある虫眼鏡に注目してください。この虫眼鏡にマウスのカーソルを合わせ、AND、OR、AND NOT、OR NOT 演算子を選択して、検索に追加する値とともに指定することもできます。

次の例では「OR」が選択されています。この検索の結果は、10.10.11.11 から開始された、「または」イベントタイプが 106023 のイベントのリストになります。検索フィールドが空のときにテーブルの値を右クリックした場合は、他の値がないため、「以外(NOT)」しか使用できないことに注意してください。

マウスのカーソルを合わせると青色で強調表示される値は、検索文字列に追加できます。

AND、OR、NOT、AND NOT、OR NOT フィルタ演算子

検索文字列で使用される「AND」、「OR」、「NOT」、「AND NOT」、および「OR NOT」の動作は次のとおりです。

AND

すべての属性を含むイベントを検索するには、フィルタ文字列で AND 演算子を使用します。AND 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、TCP プロトコルを含んだ、「かつ」イニシエータ IP アドレス(InitiatorIP)10.10.10.43 から開始された、「かつ」イニシエータポート(InitiatorPort)59614 から送信されたイベントが検索されます。AND ステートメントを追加するたびに、基準を満たすイベントの数が少なくなることが予期されます。 

Protocol: "tcp" AND InitiatorIP: "10.10.10.43" AND InitiatorPort: "59614"

OR

いずれかの属性を含むイベントを検索するには、フィルタ文字列で OR 演算子を使用します。OR 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、TCP プロトコルを含んだ、「または」イニシエータ IP アドレス(InitiatorIP)10.10.10.43 から開始された、「または」イニシエータポート(InitiatorPort)59614 から送信されたイベントがイベントビューアに表示されます。OR ステートメントを追加するたびに、基準を満たすイベントの数が多くなることが予期されます。 

Protocol: "tcp" OR InitiatorIP: "10.10.10.43" OR InitiatorPort: "59614"

NOT

特定の属性を持つイベントを除外するには、検索文字列の先頭でのみ、これを使用します。たとえば、次の検索文字列では、InitiatorIP が 192.168.25.3 のイベントが結果から除外されます。 

 NOT InitiatorIP: "192.168.25.3"

AND NOT

特定の属性を含むイベントを除外するには、フィルタ文字列で AND NOT 演算子を使用します。AND NOT 演算子は、検索文字列の先頭では使用できません。

たとえば、次のフィルタ文字列では、イニシエータ IP アドレス(InitiatorIP)が 192.168.25.3 のイベントが表示されますが、それらのうち、レスポンダ IP アドレス(ResponderIP)が 10.10.10.1 のものは表示されません。

 InitiatorIP: "192.168.25.3" AND NOT ResponderIP: "10.10.10.1"

NOT と AND NOT を組み合わせて、複数の属性を除外することもできます。たとえば、次のフィルタ文字列では、InitiatorIP が 192.168.25.3 のイベントと ResponderIP が 10.10.10.1 のイベントが除外されます。

NOT InitiatorIP: "192.168.25.3" AND NOT ResponderIP: "10.10.10.1"

OR NOT

特定の要素を除外する検索結果を含めるには、フィルタ文字列で OR NOT 演算子を使用します。OR NOT 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、プロトコル(Protocol)が TCP のイベント、「または」InitiatorIP が 10.10.10.43 のイベント、「または」InitiatorPort が 59614 ではないイベントが検索されます。 

Protocol: "tcp" OR InitiatorIP: "10.10.10.43" OR NOT InitiatorPort: "59614"

これは、(Protocol: "tcp") OR (InitiatorIP: "10.10.10.43") OR (NOT InitiatorPort: "59614") の検索と考えることもできます。

ワイルドカード検索

アスタリスク(*)を「属性:値」ペア検索の「値」フィールドでワイルドカードとして使用して、イベント内の結果を検索することができます。たとえば、次のフィルタ文字列では、 

 URL:*feedback*

属性フィールドが「URL」のイベントの文字列が検索され、「feedback」という文字列が含まれているイベントが表示されます。

[イベントロギング(Events Logging)] ページを使用したイベントの検索

ログに記録されたすべてのイベントを検索して必要な情報を見つけるには、[イベントロギング(Event Logging)] ページの検索機能とレポート機能を使用します。履歴イベントに関するレポートのみを生成できることに注意してください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

ナビゲーションバーで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

[履歴(Historical)] タブまたは [ライブ(Live)] タブをクリックします。

ステップ 4

検索バーに検索クエリを入力し、[検索(Search)] をクリックして検索を実行します。

または、検索ボックスをクリックして [サンプルフィルタ(Sample Filters)] のリストから選択し、イベントをすばやく検索します。サンプルフィルタを使用して、検索バーに検索クエリをすばやく入力し、特定のニーズに合わせて変更します。サンプルフィルタの使用に関する詳細については、サンプルフィルタを使用したイベントの検索を参照してください。

ステップ 5

(オプション)検索ページから離れている間にバックグラウンドで検索を実行し、レポートを生成するには、次の手順を実行します。

  1. 検索クエリを入力し、[検索(Search)] ドロップダウンリストから [レポートのスケジュール設定(Schedule Report)] を選択します。

  2. [Generate Report] をクリックします。

    検索はキューに入れられ、完了すると通知されます。バックグラウンドで複数の検索を実行できます。

    レポートのスケジュール設定の詳細については、バックグラウンドで検索レポートを生成するためのスケジュールを参照してください

ステップ 6

(オプション)検索レポートを表示および管理する場合は、[レポート(Reports)] をクリックします。このビューから、次の操作を実行できます。

  • [レポート(Reports)] ページでは、検索レポートを表示、ダウンロード、または削除できます。

  • 1 回限りのレポートを生成するか、定期レポートをスケジュール設定するには、[レポートのスケジュール設定(Schedule a Report)] をクリックします。

  • 通知設定を表示または変更するには、[通知設定の表示(View Notification Settings)] をクリックして [通知設定(Notification Preferences)] ページに移動します。

次のタスク

定期検索が必要な場合は、任意の 1 回限りのレポートを定期レポートのスケジュールに変換できます。詳細については、バックグラウンドで検索レポートを生成するためのスケジュールを参照してください。

サンプルフィルタを使用したイベントの検索

サンプルフィルタを使用すると、完全なクエリを入力せずに共通の検索クエリをすばやく作成できます。フィルタを選択し、特定のニーズに合わせてクエリパラメータを変更します。

手順

ステップ 1

[Event Logging] ページで、検索バーをクリックします。[Sample Filters] のリストが、検索バーの下に表示されます。

ステップ 2

ドロップダウンリストから、フィルタを選択します。検索バーに対応する検索クエリが自動的に入力されます。

ステップ 3

事前定義されたクエリの値を変更して検索を絞り込みます。

  • 特定の Web サイトに関連するイベントを検索するには、[Wildcard URL] を選択します。検索バーに URL: "*.sharepoint.com" と表示されます。sharepoint.com を調査対象の他のドメインに変更できます。

  • 特定のデバイスに関係するイベントを検索するには、[Specific Host] を選択します。検索バーに InitiatorIP: "192.168.55.55" OR ResponderIP: "192.168.55.55" と表示されます。192.168.55.55 をモニターするデバイスの IP アドレスに変更します。

ステップ 4

[検索(Search)] をクリックします。

バックグラウンドでの履歴イベントの検索

Security Cloud Control では、検索条件を定義し、その検索条件に基づいてイベントログを検索できます。[レポート(Reports)] 機能により、バックグラウンドでイベントログ検索を実行し、レポートを生成することができます。

設定した通知設定に基づいて、レポートの生成が完了したときに通知を受け取ります。

[レポート(Reports)] ページから、レポートを表示、ダウンロード、または削除できます。さらに、1 回限りのレポートまたは定期レポートのいずれかの生成をスケジュールすることもできます。[通知設定(Notification Settings)] ページに移動して、サブスクリプション オプションを表示または変更します。

検索レポートのダウンロード

検索結果とスケジュールクエリは、Security Cloud Control によって自動的に削除されるまで 7 日間保存されます。検索レポートのコピーを CSV 形式でダウンロードできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

ナビゲーションバーで、Events & Logs > Events > Event Logging を選択します。

ステップ 3

[レポート(Reports)] をクリックします。

ステップ 4

[Actions] 列で、レポートの横にある [Download] をクリックして、レポートをダウンロードします。CSV 形式の検索レポートは、ローカルドライブのデフォルトの保存場所に自動的にダウンロードされます。

ステップ 5

(オプション)検索クエリを表示してレポートをダウンロードするには、次の手順を実行します。

  1. [Queries] タブをクリックします。

  2. レポートを展開して、検索クエリの詳細を表示します。

  3. 表示してダウンロードするレポートの横にある [View Reports] をクリックします。

  4. [Download] をクリックします。

Security Analytics and Logging のイベント属性

イベント属性の説明

Security Cloud Control によって使用されるイベント属性の説明は、Firepower Device Manager(FDM)および Adaptive Security Device Manager(ASDM)によって報告されるものとほぼ同じです。

一部の ASA syslog イベントは「解析」され、その他には、属性値ペアを使用してイベントログテーブルの内容をフィルタリングするときに使用できる追加の属性があります。syslog イベントのその他の重要な属性については、次の追加トピックを参照してください。

一部の Syslog メッセージの EventGroup および EventGroupDefinition 属性

一部の syslog イベントには、追加の属性「EventGroup」および「EventGroupDefinition」があります。属性:値のペアでフィルタ処理することにより、これらの追加属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。たとえば、イベントロギングテーブルの [検索(search)] フィールドに「apfw:415*」と入力して、アプリケーション ファイアウォール イベントをフィルタできます。

syslog メッセージのクラスおよび関連付けられているメッセージ ID 番号

EventGroup

EventGroupDefinition

Syslog メッセージ ID 番号(最初の 3 桁)
aaa/auth User Authentication 109、113
acl/session アクセスリスト/ユーザーセッション 106
apfw アプリケーション ファイアウォール 415
bridge トランスペアレント ファイアウォール 110、220
ca PKI 認証局 717
citrix Citrix Client 723
clst クラスタ 747
cmgr カード管理 323
config コマンド インターフェイス 111、112、208、308
csd Secure Desktop 724
cts Cisco TrustSec 776
dap ダイナミック アクセス ポリシー 734
eap、eapoudp ネットワーク アドミッション コントロールの EAP または EAPoUDP 333、334
eigrp EIGRP ルーティング 336
電子メール 電子メール プロキシ 719
ipaa/envmon 環境モニタリング 735
ha フェールオーバー 101、102、103、104、105、210、311、709
idfw Identity-Based ファイアウォール 746
ids 侵入検知システム 733
ids/ips 侵入検知システム/侵入防御システム 400
ikev2 IKEv2 ツールキット 750、751、752
ip IP スタック 209、215、313、317、408
ipaa IP アドレス割り当て 735
ips 侵入防御システム 401、420
ipv6 IPv6 325
l4tm ブロックリスト、許可リスト、グレーリスト 338
lic ライセンス 444
mdm-proxy MDM プロキシ 802
nac ネットワーク アドミッション コントロール 731、732
vpn/nap IKE と IPsec /ネットワーク アクセス ポイント 713
np ネットワーク プロセッサ 319
ospf OSPF ルーティング 318、409、503、613
passwd パスワードの暗号化 742
pp 電話プロキシ 337
rip RIP ルーティング 107、312
rm Resource Manager 321
sch Smart Call Home 120
session ユーザ セッション 108、201、202、204、302、303、304、314、405、406、407、500、502、607、608、609、616、620、703、710
session/natpat ユーザーセッション/NAT および PAT 305
snmp SNMP 212
ssafe ScanSafe 775
ssl/np ssl SSL スタック/NP SSL 725
svc SSL VPN クライアント 722
sys システム 199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741
tre トランザクション ルール エンジン 780
ucime UC-IME 339
tag-switching サービス タグ スイッチング 779
td 脅威の検出 733
vm VLAN マッピング 730
vpdn PPTP および L2TP セッション 213、403、603
vpn IKE および IPsec 316、320、402、404、501、602、702、713、714、715
vpnc VPN クライアント 611
vpnfo VPN フェールオーバー 720
vpnlb VPN ロード バランシング 718
vxlan VXLAN 778
webfo WebVPN フェールオーバー 721
webvpn WebVPN と AnyConnect Client 716
session/natpat ユーザーセッション/NAT および PAT 305

Syslog イベントの EventName 属性

一部の syslog イベントには、追加の属性「EventName」があります。属性:値のペアでフィルタ処理することにより、EventName 属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。たとえば、[イベントロギング(Event Logging)] テーブルの検索フィールドに「EventName:"Denied IP Packet"」と入力することで、「Denied IP packet」のイベントをフィルタリングできます。

Syslog イベント ID とイベント名のテーブル

AAA Syslog イベント ID とイベント名

EventID

EventName

109001

AAA Begin

109002

AAA Failed

109003

AAA Server Failed

109005

Authentication Success

109006

認証に失敗

109007

Authorization Success

109008

「許可に失敗しました(Authorization Failed)」

109010

AAA Pending

109011

AAA Session Started

109012

AAA Session Ended

109013

AAA

109014

AAA Failed

109016

AAA ACL not found

109017

AAA Limit Reach

109018

AAA ACL Empty

109019

AAA ACL error

109020

AAA ACL error

109021

AAA error

109022

AAA HTTP limit reached

109023

AAA auth required

109024

「許可に失敗しました(Authorization Failed)」

109025

「許可に失敗しました(Authorization Failed)」

109026

AAA error

109027

AAA Server error

109028

AAA Bypassed

109029

AAA ACL error

109030

AAA ACL error

109031

認証に失敗

109032

AAA ACL error

109033

認証に失敗

109034

認証に失敗

109035

AAA Limit Reach

113001

AAA Session limit reach

113003

AAA overridden

113004

AAA Successful

113005

Authorization Rejected

113006

AAA user locked

113007

AAA User unlocked

113008

AAA successful

113009

AAA retrieved

113010

AAA Challenge received

113011

AAA retrieved

113012

認証成功

113013

AAA error

113014

AAA error

113015

認証を却下

113016

AAA Rejected

113017

AAA Rejected

113018

AAA ACL error

113019

AAA Disconnected

113020

AAA error

113021

AAA Logging Fail

113022

AAA Failed

113023

AAA reactivated

113024

AAA Client certification

113025

AAA Authentication fail

113026

AAA error

113027

AAA error

ボットネット Syslog イベント ID とイベント名

EventID

EventName

338001

Botnet Source Block List

338002

Botnet Destination Block List

338003

Botnet Source Block List

338004

Botnet Destination Block List

338101

Botnet Source Allow List

338102

Botnet destination Allow List

338202

Botnet destination Grey

338203

Botnet Source Grey

338204

Botnet Destination Grey

338301

Botnet DNS Intercepted

338302

Botnet DNS

338303

Botnet DNS

338304

Botnet Download successful

338305

Botnet Download failed

338306

Botnet Authentication failed

338307

Botnet Decrypt failed

338308

Botnet Client

338309

Botnet Client

338310

Botnet dyn filter failed

フェールオーバー Syslog イベント ID とイベント名

EventID

EventName

101001

Failover Cable OK

101002

Failover Cable BAD

101003

Failover Cable not connected

101004

Failover Cable not connected

101005

Failover Cable reading error

102001

Failover Power failure

103001

No response from failover mate

103002

Failover mate interface OK

103003

Failover mate interface BAD

103004

Failover mate reports failure

103005

Failover mate reports self failure

103006

Failover version incompatible

103007

Failover version difference

104001

Failover role switch

104002

Failover role switch

104003

Failover unit failed

104004

Failover unit OK

106100

Permit/Denied by ACL

210001

Stateful Failover error

210002

Stateful Failover error

210003

Stateful Failover error

210005

Stateful Failover error

210006

Stateful Failover error

210007

Stateful Failover error

210008

Stateful Failover error

210010

Stateful Failover error

210020

Stateful Failover error

210021

Stateful Failover error

210022

Stateful Failover error

311001

Stateful Failover update

311002

Stateful Failover update

311003

Stateful Failover update

311004

Stateful Failover update

418001

Denied Packet to Management

709001

Failover replication error

709002

Failover replication error

709003

Failover replication start

709004

Failover replication complete

709005

Failover receive replication start

709006

Failover receive replication complete

709007

Failover replication failure

710003

Denied access to Device

ファイアウォール拒否 Syslog イベント ID とイベント名

EventID

EventName

106001

Denied by Security Policy

106002

Outbound Deny

106006

Denied by Security Policy

106007

Denied Inbound UDP

106008

Denied by Security Policy

106010

Denied by Security Policy

106011

Denied Inbound

106012

Denied due to Bad IP option

106013

Dropped Ping to PAT IP

106014

Denied Inbound ICMP

106015

Denied by Security Policy

106016

Denied IP Spoof

106017

Denied due to Land Attack

106018

Denied outbound ICMP

106020

Denied IP Packet

106021

Denied TCP

106022

Denied Spoof packet

106023

Denied IP Packet

106025

Dropped Packet failed to Detect context

106026

Dropped Packet failed to Detect context

106027

Dropped Packet failed to Detect context

106100

Permit/Denied by ACL

418001

Denied Packet to Management

710003

Denied access to Device

ファイアウォール トラフィック Syslog イベント ID とイベント名

EventID

EventName

108001

Inspect SMTP

108002

Inspect SMTP

108003

Inspect ESMTP Dropped

108004

Inspect ESMTP

108005

Inspect ESMTP

108006

Inspect ESMTP Violation

108007

Inspect ESMTP

110002

No Router found

110003

Failed to Find Next hop

209003

Fragment Limit Reach

209004

Fragment invalid Length

209005

Fragment IP discard

302003

H245 Connection Start

302004

H323 Connection start

302009

Restart TCP

302010

Connection USAGE

302012

H225 CALL SIGNAL CONN

302013

Built TCP

302014

Teardown TCP

302015

Built UDP

302016

Teardown UDP

302017

Built GRE

302018

Teardown GRE

302019

H323 Failed

302020

Built ICMP

302021

Teardown ICMP

302022

Built TCP Stub

302023

Teardown TCP Stub

302024

Built UDP Stub

302025

Teardown UDP Stub

302026

Built ICMP Stub

302027

Teardown ICMP Stub

302033

Connection H323

302034

H323 Connection Failed

302035

Built SCTP

302036

Teardown SCTP

303002

FTP file download/upload

303003

Inspect FTP Dropped

303004

Inspect FTP Dropped

303005

Inspect FTP reset

313001

ICMP Denied

313004

ICMP Drop

313005

ICMP Error Msg Drop

313008

ICMP ipv6 Denied

324000

GTP Pkt Drop

324001

GTP Pkt Error

324002

メモリ エラー

324003

GTP Pkt Drop

324004

GTP Version Not Supported

324005

GTP Tunnel Failed

324006

GTP Tunnel Failed

324007

GTP Tunnel Failed

337001

Phone Proxy SRTP Failed

337002

Phone Proxy SRTP Failed

337003

Phone Proxy SRTP Auth Fail

337004

Phone Proxy SRTP Auth Fail

337005

Phone Proxy SRTP no Media Session

337006

Phone Proxy TFTP Unable to Create File

337007

Phone Proxy TFTP Unable to Find File

337008

Phone Proxy Call Failed

337009

Phone Proxy Unable to Create Phone Entry

400000

IPS IP options-Bad Option List

400001

IPS IP options-Record Packet Route

400002

IPS IP options-Timestamp

400003

IPS IP options-Security

400004

IPS IP options-Loose Source Route

400005

IPS IP options-SATNET ID

400006

IPS IP options-Strict Source Route

400007

IPS IP Fragment Attack

400008

IPS IP Impossible Packet

400009

IPS IP Fragments Overlap

400010

IPS ICMP Echo Reply

400011

IPS ICMP Host Unreachable

400012

IPS ICMP Source Quench

400013

IPS ICMP Redirect

400014

IPS ICMP Echo Request

400015

IPS ICMP Time Exceeded for a Datagram

400017

IPS ICMP Timestamp Request

400018

IPS ICMP Timestamp Reply

400019

IPS ICMP Information Request

400020

IPS ICMP Information Reply

400021

IPS ICMP Address Mask Request

400022

IPS ICMP Address Mask Reply

400023

IPS Fragmented ICMP Traffic

400024

IPS Large ICMP Traffic

400025

IPS Ping of Death Attack

400026

IPS TCP NULL flags

400027

IPS TCP SYN+FIN flags

400028

IPS TCP FIN only flags

400029

IPS FTP Improper Address Specified

400030

IPS FTP Improper Port Specified

400031

IPS UDP Bomb attack

400032

IPS UDP Snork attack

400033

IPS UDP Chargen DoS attack

400034

IPS DNS HINFO Request

400035

IPS DNS Zone Transfer

400036

IPS DNS Zone Transfer from High Port

400037

IPS DNS Request for All Records

400038

IPS RPC Port Registration

400039

IPS RPC Port Unregistration

400040

IPS RPC Dump

400041

IPS Proxied RPC Request

400042

IPS YP server Portmap Request

400043

IPS YP bind Portmap Request

400044

IPS YP password Portmap Request

400045

IPS YP update Portmap Request

400046

IPS YP transfer Portmap Request

400047

IPS Mount Portmap Request

400048

IPS Remote execution Portmap Request

400049

IPS Remote execution Attempt

400050

IPS Statd Buffer Overflow

406001

Inspect FTP Dropped

406002

Inspect FTP Dropped

407001

Host Limit Reach

407002

Embryonic limit Reached

407003

Established limit Reached

415001

Inspect Http Header Field Count

415002

Inspect Http Header Field Length

415003

Inspect Http body Length

415004

Inspect Http content-type

415005

Inspect Http URL length

415006

Inspect Http URL Match

415007

Inspect Http Body Match

415008

Inspect Http Header match

415009

Inspect Http Method match

415010

Inspect transfer encode match

415011

Inspect Http Protocol Violation

415012

Inspect Http Content-type

415013

Inspect Http Malformed

415014

Inspect Http Mime-Type

415015

Inspect Http Transfer-encoding

415016

Inspect Http Unanswered

415017

Inspect Http Argument match

415018

Inspect Http Header length

415019

Inspect Http status Matched

415020

Inspect Http non-ASCII

416001

Inspect SNMP dropped

419001

Dropped packet

419002

Duplicate TCP SYN

419003

Packet modified

424001

Denied Packet

424002

Dropped Packet

431001

Dropped RTP

431002

Dropped RTCP

500001

Inspect ActiveX

500002

Inspect Java

500003

Inspect TCP Header

500004

Inspect TCP Header

500005

Inspect Connection Terminated

508001

Inspect DCERPC Dropped

508002

Inspect DCERPC Dropped

509001

Prevented No Forward Cmd

607001

Inspect SIP

607002

Inspect SIP

607003

Inspect SIP

608001

Inspect Skinny

608002

Inspect Skinny dropped

608003

Inspect Skinny dropped

608004

Inspect Skinny dropped

608005

Inspect Skinny dropped

609001

Built Local-Host

609002

Teardown Local Host

703001

H225 Unsupported Version

703002

H225 Connection

726001

Inspect Instant Message

アイデンティティ ベース ファイアウォール Syslog イベント ID とイベント名

EventID

EventName

746001

Import started

746002

Import complete

746003

Import failed

746004

Exceed user group limit

746005

AD Agent down

746006

AD Agent out of sync

746007

Netbios response failed

746008

Netbios started

746009

Netbios stopped

746010

Import user failed

746011

Exceed user limit

746012

User IP add

746013

User IP delete

746014

FQDN Obsolete

746015

FQDN resolved

746016

DNS lookup failed

746017

Import user issued

746018

Import user done

746019

Update AD Agent failed

IPSec Syslog イベント ID とイベント名

EventID

EventName
402114 Invalid SPI received
402115 Unexpected protocol received
402116 Packet doesn't match identity
402117 Non-IPSEC packet received
402118 Invalid fragment offset
402119 Anti-Replay check failure
402120 Authentication failure(認証失敗)
402121 Packet dropped
426101 cLACP Port Bundle
426102 cLACP Port Standby
426103 cLACP Port Moved To Bundle From Standby
426104 cLACP Port Unbundled
602103 Path MTU updated
602104 Path MTU exceeded
602303 New SA created
602304 SA deleted
702305 SA expiration - Sequence rollover
702307 SA expiration - Data rollover

NAT Syslog イベント ID とイベント名

EventID

EventName
201002 Max connection Exceeded for host
201003 Embryonic limit exceed
201004 UDP connection limit exceed
201005 FTP connection failed
201006 RCMD connection failed
201008 New connection Disallowed
201009 Connection Limit exceed
201010 Embryonic Connection limit exceeded
201011 接続制限の超過
201012 Per-client embryonic connection limit exceeded
201013 Per-client connection limit exceeded
202001 Global NAT exhausted
202005 Embryonic connection error
202011 Connection limit exceeded
305005 No NAT group found
305006 Translation failed
305007 Connection dropped
305008 NAT allocation issue
305009 NAT Created
305010 NAT teardown
305011 PAT created
305012 PAT teardown
305013 Connection denied

SSL VPN Syslog イベント ID とイベント名

EventID

EventName
716001 WebVPN Session Started
716002 WebVPN Session Terminated
716003 WebVPN User URL access
716004 WebVPN User URL access denied
716005 WebVPN ACL error
716006 WebVPN User Disabled
716007 WebVPN Unable to Create
716008 WebVPN Debug
716009 WebVPN ACL error
716010 WebVPN User access network
716011 WebVPN User access
716012 WebVPN User Directory access
716013 WebVPN User file access
716014 WebVPN User file access
716015 WebVPN User file access
716016 WebVPN User file access
716017 WebVPN User file access
716018 WebVPN User file access
716019 WebVPN User file access
716020 WebVPN User file access
716021 WebVPN user access file denied
716022 WebVPN Unable to connect proxy
716023 WebVPN session limit reached
716024 WebVPN User access error
716025 WebVPN User access error
716026 WebVPN User access error
716027 WebVPN User access error
716028 WebVPN User access error
716029 WebVPN User access error
716030 WebVPN User access error
716031 WebVPN User access error
716032 WebVPN User access error
716033 WebVPN User access error
716034 WebVPN User access error
716035 WebVPN User access error
716036 WebVPN User login successful
716037 WebVPN User login failed
716038 WebVPN User Authentication Successful
716039 WebVPN User Authentication Rejected
716040 WebVPN User logging denied
716041 WebVPN ACL hit count
716042 WebVPN ACL hit
716043 WebVPN Port forwarding
716044 WebVPN Bad Parameter
716045 WebVPN Invalid Parameter
716046 WebVPN connection terminated
716047 WebVPN ACL usage
716048 WebVPN memory issue
716049 WebVPN Empty SVC ACL
716050 WebVPN ACL error
716051 WebVPN ACL error
716052 WebVPN Session Terminated
716053 WebVPN SSO Server added
716054 WebVPN SSO Server deleted
716055 WebVPN Authentication Successful
716056 WebVPN Authentication Failed
716057 WebVPN Session terminated
716058 WebVPN Session lost
716059 WebVPN Session resumed
716060 WebVPN Session Terminated
722001 WebVPN SVC Connect request error
722002 WebVPN SVC Connect request error
722003 WebVPN SVC Connect request error
722004 WebVPN SVC Connect request error
722005 WebVPN SVC Connect update issue
722006 WebVPN SVC Invalid address
722007 WebVPN SVC Message
722008 WebVPN SVC Message
722009 WebVPN SVC Message
722010 WebVPN SVC Message
722011 WebVPN SVC Message
722012 WebVPN SVC Message
722013 WebVPN SVC Message
722014 WebVPN SVC Message
722015 WebVPN SVC invalid frame
722016 WebVPN SVC invalid frame
722017 WebVPN SVC invalid frame
722018 WebVPN SVC invalid frame
722019 WebVPN SVC Not Enough Data
722020 WebVPN SVC no address
722021 WebVPN Memory issue
722022 WebVPN SVC connection established
722023 WebVPN SVC connection terminated
722024 WebVPN Compression Enabled
722025 WebVPN Compression Disabled
722026 WebVPN Compression reset
722027 WebVPN Decompression reset
722028 WebVPN Connection Closed
722029 WebVPN SVC Session terminated
722030 WebVPN SVC Session terminated
722031 WebVPN SVC Session terminated
722032 WebVPN SVC connection Replacement
722033 WebVPN SVC Connection established
722034 WebVPN SVC New connection
722035 WebVPN Received Large packet
722036 WebVPN transmitting Large packet
722037 WebVPN SVC connection closed
722038 WebVPN SVC session terminated
722039 WebVPN SVC invalid ACL
722040 WebVPN SVC invalid ACL
722041 WebVPN SVC IPv6 not available
722042 WebVPN invalid protocol
722043 WebVPN DTLS disabled
722044 WebVPN unable to request address
722045 WebVPN Connection terminated
722046 WebVPN Session terminated
722047 WebVPN Tunnel terminated
722048 WebVPN Tunnel terminated
722049 WebVPN Session terminated
722050 WebVPN Session terminated
722051 WebVPN address assigned
722053 WebVPN Unknown client
723001 WebVPN Citrix connection Up
723002 WebVPN Citrix connection Down
723003 WebVPN Citrix no memory issue
723004 WebVPN Citrix bad flow control
723005 WebVPN Citrix no channel
723006 WebVPN Citrix SOCKS error
723007 WebVPN Citrix connection list broken
723008 WebVPN Citrix invalid SOCKS
723009 WebVPN Citrix invalid connection
723010 WebVPN Citrix invalid connection
723011 WebVPN citrix Bad SOCKS
723012 WebVPN Citrix Bad SOCKS
723013 WebVPN Citrix invalid connection
723014 WebVPN Citrix connected to Server
724001 WebVPN Session not allowed
724002 WebVPN Session terminated
724003 WebVPN CSD
724004 WebVPN CSD
725001 SSL handshake Started
725002 SSL Handshake completed
725003 SSL Client session resume
725004 SSL Client request Authentication
725005 SSL Server request authentication
725006 SSL Handshake failed
725007 SSL Session terminated
725008 SSL Client Cipher
725009 SSL Server Cipher
725010 SSL Cipher
725011 SSL Device choose Cipher
725012 SSL Device choose Cipher
725013 SSL Server choose cipher
725014 SSL LIB error
725015 SSL client certificate failed

Syslog イベントの時間属性

[イベントロギング(Event Logging)] ページのさまざまなタイムスタンプの目的を理解すると、関心のあるイベントをフィルタリングして見つけるのに役立ちます。

ケース

ラベル

説明

1

日時

Secure Event Connector(SEC)がイベントを処理した時刻。これは、ファイアウォールでそのトラフィックが検査された時刻と同じではない場合があります。タイムスタンプと同じ値。

2

EventSecond

LastPacketSecond と同じです。

3

FirstPacketSecond

接続が開かれた時刻。この時点で、ファイアウォールはパケットを検査します。

FirstPacketSecond の値は、LastPacketSecond から ConnectionDuration を差し引いて計算されます。

接続の開始時にログに記録される接続イベントの場合、FirstPacketSecond、LastPacketSecond、および EventSecond の値はすべて同じになります。

4

LastPacketSecond

接続が閉じた時刻。接続の最後に記録される接続イベントの場合、LastPacketSecond と EventSecond は等しくなります。

5

timestamp

Secure Event Connector(SEC)がイベントを処理した時刻。これは、ファイアウォールでそのトラフィックが検査された時刻と同じではない場合があります。[日時(Date/Time)] と同じ値。

6

syslog タイムスタンプ

「ロギングタイムスタンプ」が使用されている場合、syslog の開始時刻を表します。syslog にこの情報がない場合、SEC がイベントを受信した時刻が反映されます。

7

NetflowTimeStamp

ASA で、NetFlow パケットを埋めてフローコレクタに送信するのに十分なフローレコード/イベントの収集が終了した時刻。