Cisco Security Analytics and Logging

Security Cloud Control の Security Analytics and Logging(SaaS)について

Cisco Security Analytics and Logging(SAL)を使用すると、すべての ASA および Cisco Secure Firewall Threat Defense デバイスからの接続イベント、侵入イベント、ファイルイベント、マルウェアイベント、セキュリティ インテリジェンス イベント、syslog イベント、および NetFlow Secure Event Logging(NSEL)イベントをキャプチャし、Security Cloud Control の 1 か所で表示できます。イベントは Cisco Cloud に保存され、Security Cloud Control の [イベントロギング(Event Logging)] ページから表示できます。イベントをフィルタリングして確認し、ネットワークでトリガーされているセキュリティルールを明確に理解できます。

これらのイベントをキャプチャ後、追加のライセンスを使用して、Security Cloud Control から、プロビジョニングされた Cisco Secure Cloud Analytics ポータルをクロス起動できます。Cisco Secure Cloud Analytics は、イベントとネットワークフローデータの動作分析を実行することでネットワークの状態を追跡する Software as a Service(SaaS)ソリューションです。ファイアウォールイベントとネットワークフローデータを含め、ネットワークトラフィックに関する情報を送信元から収集することによって、トラフィックに関する観測内容が作成され、トラフィックパターンに基づいてネットワークエンティティのロールが自動的に識別されます。Cisco Secure Cloud Analytics は、この情報を他の脅威インテリジェンス(Talos など)のソースと組み合わせて使用してアラートを生成します。このアラートは、本質的に悪意のある可能性がある動作の存在を示す警告を構成します。Cisco Secure Cloud Analytics は、このアラートとともに、ネットワークおよびホストの可視性と、収集したコンテキスト情報を提供します。このコンテキスト情報により、アラートを調査して悪意のある動作の原因を特定するためのより優れた基盤が得られます。

用語に関する注 : このドキュメントでは、Cisco Security Analytics and Logging が Cisco Secure Cloud Analytics ポータル(Software as a Service(SaaS)製品)で使用されている場合、この統合は Cisco Security Analytics and Logging(SaaS)または SAL(SaaS)と呼ばれています。

Security Cloud Control のイベントタイプ

Secure Logging Analytics(SaaS)によって記録された ASA および Cisco Secure Firewall Threat Defense イベントをフィルタ処理する場合、Security Cloud Control でサポートされる ASA および FTD イベントタイプのリストから選択できます。Security Cloud Control メニューから、[分析(Analytics)] > [イベントロギング(Event Logging)] に移動し、フィルタアイコンをクリックしてイベントを選択します。これらのイベントタイプは、syslog ID のグループを表します。次の表は、どのイベントタイプにどの syslog ID が含まれるかを示しています。特定の syslog ID の詳細については、『Cisco ASA Series Syslog Messages』または『Cisco Secure Firewall Threat Defense Syslog Messages』で検索できます。

一部の syslog イベントには、追加の属性「EventName」があります。属性:値のペアでフィルタ処理することにより、EventName 属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。「Syslog イベントのイベント名属性」を参照してください。

一部の syslog イベントには、追加の属性「EventGroup」および「EventGroupDefinition」があります。属性:値のペアでフィルタ処理することにより、これらの追加属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。「一部の Syslog メッセージの EventGroup および EventGroupDefinition 属性」を参照してください。

NetFlow イベントは、syslog イベントとは異なります。NetFlow フィルタは、NSEL レコードになったすべての NetFlow イベント ID を検索します。これらの NetFlow イベント ID は、『Cisco ASA NetFlow 実装ガイド』で定義されています。

次の表に、Security Cloud Control がサポートするイベントタイプと、イベントタイプに対応する syslog または NetFlow イベント番号を示します。

フィルタ名(Filter Name)

説明

対応する Syslog イベントまたは NetFlow イベント

AAA

これらは、AAA が設定されている場合に、認証、許可、またはネットワーク内のリソースを使い果たすことを目的として失敗した試行または無効な試行が発生したときにシステムが生成するイベントです。

109001-109035

113001-113027

BotNet

これらのイベントは、マルウェアに感染したホスト(ボットネットの可能性あり)を含む可能性のある悪意のあるネットワークにユーザーがアクセスしようとしたとき、またはダイナミック フィルタ ブロック リストにあるドメインまたは IP アドレスとの間でやり取りされるトラフィックをシステムが検出したときにログに記録されます。

338001-338310

フェールオーバー

これらのイベントは、システムがステートフルおよびステートレス フェールオーバー構成でエラーを検出した場合、またはフェールオーバーが発生したときにセカンダリ ファイアウォール ユニットでエラーを検出した場合にログに記録されます。

101001-101005、102001、103001-103007、104001-104004、105001-105048

210001-210022

311001-311004

709001-709007

Firewall Denied

これらのイベントは、さまざまな理由でファイアウォールシステムがネットワークパケットのトラフィックを拒否したときに生成されます。この理由は、セキュリティポリシーによるパケットのドロップから、ネットワークへの攻撃を意味する可能性がある、同じ送信元 IP と宛先 IP を持つパケットをシステムが受信したことによるドロップまでさまざまです。

Firewall Denied イベントは NetFlow に含まれている場合があり、syslog ID だけでなく NetFlow イベント ID と共に報告される場合もあります。

106001、106007、106012、106013、106015、106016、106017、106020、106021、106022、106023、106025、106027

Firewall Traffic

これらは、ネットワークでのさまざまな接続試行、ユーザーアイデンティティ、タイムスタンプ、終了したセッションなどに応じてログに記録されるイベントです。

Firewall Traffic イベントは NetFlow に含まれている場合があり、syslog ID だけでなく NetFlow イベント ID と共に報告される場合もあります。

106001-106100、108001-108007、110002-110003

201002-201013、209003-209005、215001

302002-302304、302022-302027、303002-303005、313001-313008、317001-317006、324000-324301、337001-337009

400001-400050、401001-401005、406001-406003、407001-407003、408001-408003、415001-415020、416001、418001-418002、419001-419003、424001-424002、431001-431002、450001

500001-500005、508001-508002

607001-607003、608001-608005、609001-609002、616001

703001-703003、726001

IPsec VPN

これらのイベントは、IPsec セキュリティ アソシエーションで不一致が発生した場合、またはシステムが受信した IPsec パケットでエラーを検出した場合に、IPsec VPN が設定されたファイアウォールに記録されます。

402001-402148、602102-602305、702304-702307

NAT

これらのイベントは、NAT エントリが作成または削除されたとき、および NAT プール内のすべてのアドレスが使用されて使い果たされたときに、NAT が設定されたファイアウォールに記録されます。

201002-201013、202001-202011、305005-305012

SSL VPN

これらのイベントは、WebVPN セッションが作成または終了したとき、ユーザーアクセスエラー、およびユーザーアクティビティが発生したときに、SSL VPN が設定されたファイアウォールに記録されます。

716001-716060、722001-722053、723001-723014、724001-724004、725001-725015

NetFlow

これらのイベントは、ネットワークパケットがインターフェイスを出入りする際の IP ネットワークトラフィックを中心に、タイムスタンプ、ユーザーアイデンティティ、および転送されたデータ量がログに記録されます。

0、1、2、3、5

Connection

ユーザーが生成するトラフィックがシステムを通過する場合、この接続に対してイベントを生成できます。これらのイベントを生成するには、アクセス ルールで接続ロギングを有効にします。また、セキュリティ インテリジェンス ポリシーおよび SSL 復号ルールでロギングを有効にすると、接続イベントを生成できます。

接続イベントには、検出されたセッションに関するデータも含まれています。個々の接続イベントで入手可能な情報はいくつかの要因に応じて異なりますが、一般的には次のものがあります。

  • 基本的な接続プロパティ:タイムスタンプ、送信元と宛先の IP アドレス、入出力ゾーン、接続を処理したデバイスなど。

  • システムによって検出または推測される追加の接続プロパティ:アプリケーション、要求される URL、または接続に関連付けられているユーザーなど。

  • 接続がログに記録された理由に関するメタデータ:トラフィックを処理した設定、接続が許可またはブロックされていたかどうか、暗号化された接続および復号された接続に関する詳細など。

430002、430003

Intrusion

システムは、ネットワークを通過するパケットを検査し、ホストとそのデータの可用性、整合性、および機密性に影響を与える可能性がある、悪意のあるアクティビティについて調べます。システムは潜在的な侵入を識別すると、侵入イベントを生成します。これには、エクスプロイトの日時とタイプ、攻撃とそのターゲットについての状況説明が記録されます。侵入イベントは、アクセス制御ルールのロギング設定に関係なく、ブロックまたはアラートするように設定された侵入ルールに対して生成されます。

430001

ファイル(File)

ファイル イベントは、作成したファイル ポリシーに基づき、ネットワーク トラフィック内でシステムによって検出(オプションとしてブロック)されたファイルを表します。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

システムはファイル イベントを生成する場合、基になったアクセス コントロール ルールのロギング設定にかかわらず、関連する接続の終了についても記録します。

430004

マルウェア

システムは、全体的なアクセス コントロール設定の一環として、ネットワーク トラフィックのマルウェアを検出できます。AMP for Firepower は、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキスト データを含むマルウェア イベントを生成できます。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

ファイルの判定結果は、正常からマルウェア、マルウェアから正常などに変更できます。AMP for Firepower が AMP クラウドにファイルについて照会し、クエリから 1 週間以内に判定結果が変更されたことがクラウドに特定されると、システムはレトロスペクティブ マルウェア イベントを生成します。

430005

セキュリティ インテリジェンス(Security Intelligence)

セキュリティ インテリジェンス イベントは、ポリシーによってブロックまたはモニターされた各接続のセキュリティ インテリジェンス ポリシーによって生成された接続イベントの一種です。すべてのセキュリティ インテリジェンス イベントには、自動入力された [セキュリティインテリジェンスカテゴリ(Security Intelligence Category)] フィールドがあります。

これらの各イベントには、対応する「通常」の接続イベントがあります。セキュリティ インテリジェンス ポリシーはアクセス コントロールなどのその他多数のセキュリティ ポリシーより前に評価されるため、セキュリティ インテリジェンスによって接続がブロックされると、その結果のイベントには、以降の評価から収集される情報(ユーザー アイデンティティなど)は含まれません。

430002、430003

FDM による管理 デバイスの安全なロギング分析

Cisco Security Analytics and Logging(SaaS)を使用すると、すべての FDM による管理 デバイスからの接続、侵入、ファイル、マルウェア、セキュリティ インテリジェンスのイベントをキャプチャし、Security Cloud Control の 1 か所で表示できます。

イベントは Cisco Cloud に保存され、Security Cloud Control の [イベントロギング(Event Logging)] ページから表示できます。イベントをフィルタリングして確認し、ネットワークでトリガーされているセキュリティルールを明確に理解できます。それらの機能は、Logging and Troubleshooting パッケージで提供されます。

Logging Analytics and Detection パッケージ(旧 Firewall Analytics and Logging パッケージ)を使用すると、システムは Cisco Secure Cloud Analytics 動的エンティティモデリングを FDM による管理 デバイスイベントに適用し、行動モデリング分析を使用して Cisco Secure Cloud Analytics の観測値とアラートを生成できます。Total Network Analytics and Monitoring パッケージを使用すると、システムは FDM による管理 デバイスイベントとネットワークトラフィックの両方に動的エンティティモデリングを適用し、観測値とアラートを生成します。Cisco Single Sign-On を使用して、プロビジョニングされた Secure Cloud Analytics ポータルを Security Cloud Control からクロス起動できます。

Security Cloud Control イベントビューアでの FDM イベントの表示方法

接続、侵入、ファイル、マルウェア、およびセキュリティ インテリジェンスのイベントは、個々のルールがイベントをログに記録するように設定され、ネットワークトラフィックがルールの条件に一致する場合に生成されます。イベントが Cisco Cloud に保存されたら、Security Cloud Control で表示できます。イベントを Cisco Cloud に送信するように FDM による管理 デバイスを設定するには、次の 2 つの方法があります。

  • 複数の Secure Event Connector(SEC)をインストールし、任意のデバイスでルールによって生成されたイベントを、syslog サーバーであるかのように任意の SEC に送信できます。SEC はイベントを Cisco Cloud に転送します。

  • FDM による管理 デバイスが登録キーを使用して Security Cloud Control にオンボーディングされている場合、Secure Firewall Device Manager のコントロールを使用して、イベントを Cisco Cloud に直接送信できます。

Secure Event Connector を使用して Cisco Cloud にイベントが送信される仕組み

基本的な Logging and Troubleshooting ライセンスを使用した場合、Secure Firewall Device Manager イベントは次のように Cisco Cloud に到達します。

  1. ユーザー名とパスワードを使用するか登録キーを使用して、FDM による管理 デバイスを Security Cloud Control にオンボードします。

  2. アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールなどの個々のルールを設定して、SEC が syslog サーバーであるかのように、いずれかの SEC にイベントを転送します。アクセスコントロールルールでは、ファイルおよびマルウェアポリシーと侵入ポリシーも有効化して、それらのポリシーによって生成されたイベントを SEC に転送することもできます。

  3. [システム設定(System Settings)] > [ロギング(Logging)]で、ファイルイベントのファイルロギングおよびマルウェアロギングを設定します。

  4. [システム設定(System Settings)] > [ロギング(Logging)]で、侵入イベントの侵入ロギングを設定します。

  5. SEC は、イベントが保存されている Cisco Cloud にイベントを転送します。

  6. Security Cloud Control は、設定したフィルタに基づいて、Cisco Cloud からのイベントを [イベントロギング(Events Logging)] ページに表示します。

Logging Analytics and Detection または Total Network Analytics and Monitoring ライセンスでは、次の動作も行われます。

  1. Cisco Secure Cloud Analytics は、Cisco Cloud に保存されている Secure Firewall Device Manager 接続イベントに分析を適用します。

  2. 生成された観測値とアラートには、Security Cloud Control ポータルに関連付けられた Cisco Secure Cloud Analytics ポータルからアクセスできます。

  3. Security Cloud Control ポータルから、Cisco Secure Cloud Analytics ポータルをクロス起動して、観察値とアラートを確認できます。

イベントが Secure Firewall Device Manager から Cisco Cloud に直接送信される仕組み

基本的な Logging and Troubleshooting ライセンスを使用した場合、Secure Firewall Device Manager イベントは次のように Cisco Cloud に到達します。

  1. 登録トークンを使用して、FDM による管理 デバイスを Security Cloud Control にオンボーディングします。

  2. アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールなどの個々のルールを設定して、イベントをログに記録します。ただし、イベントの送信先となる syslog サーバーは指定しません。アクセスコントロールルールでは、ファイルおよびマルウェアポリシーと侵入ポリシーも有効化して、それらのポリシーによって生成されたイベントを Cisco Cloud に転送することもできます。

  3. ファイルイベントと侵入イベントは、アクセスコントロールルールでファイルおよびマルウェアポリシーおよび侵入ポリシーが接続イベントをログに記録するように設定されている場合、Cisco Cloud に送信されます。

  4. Secure Firewall Device Manager でクラウドロギングをアクティブ化して、さまざまなルールで記録されたイベントが Cisco Cloud に送信されます。

  5. Security Cloud Control は、設定したフィルタに基づいて Cisco クラウドからイベントを取得し、イベントビューアに表示します。

Logging Analytics and Detection または Total Network Analytics and Monitoring ライセンスでは、次の動作も行われます。

  1. Cisco Secure Cloud Analytics は、Cisco Cloud に保存されている Secure Firewall Device Manager 接続イベントに分析を適用します。

  2. 生成された観測値とアラートには、Security Cloud Control ポータルに関連付けられた Cisco Secure Cloud Analytics ポータルからアクセスできます。

  3. Security Cloud Control ポータルから、Cisco Secure Cloud Analytics ポータルをクロス起動して、観察値とアラートを確認できます。

設定の比較

SEC を介して Cisco Cloud にイベントを送信する場合と、Cisco Cloud にイベントを直接送信する場合の Security Cloud Control 設定の違いの概要を次に示します。

FDM による管理 デバイス設定

Secure Event Connector(SEC)を介してイベントを送信する場合

Cisco Cloud にイベントを直接送信する場合

Security Cloud Control での FDM による管理 デバイスのオンボーディング方法

ログイン情報(ユーザー名とパスワード)

登録トークン

登録トークン

シリアル番号(Serial Number)

バージョン サポート

バージョン 6.4 以降

登録トークン:バージョン 6.5 以降

シリアル番号:バージョン 6.7 以降

Cisco Security Analytics and Logging(SaaS)ライセンス

Logging and Troubleshooting

Logging Analytics and Detection(オプション)

Total Network Analytics and Monitoring(オプション)

Logging and Troubleshooting

Logging Analytics and Detection(オプション)

Total Network Analytics and Monitoring(オプション)

[ライセンス(Licenses)]

ライセンス

:侵入ルール、ファイル制御ルール、またはセキュリティ インテリジェンス フィルタリングから接続イベントを収集する場合。

マルウェア:ファイル制御ルールから接続イベントを収集する場合。

ライセンス

:侵入ルール、ファイル制御ルール、またはセキュリティ インテリジェンス フィルタリングから接続イベントを収集する場合。

マルウェア:ファイル制御ルールから接続イベントを収集する場合。

Secure Event Connector

必須

該当なし

データ圧縮*

イベントは圧縮されます*

イベントは圧縮されません*

データプラン

必須

必須

(注)  

データサブスクリプションと月次使用量の履歴は、使用する非圧縮データの量に基づいています。

ソリューションのコンポーネント

Cisco Security Analytics and Logging(SaaS)では、次のコンポーネントを使用してイベントを Security Cloud Control に配信します。

Secure Device Connector(SDC):SDC は Security Cloud ControlFDM による管理 デバイスに接続します。FDM による管理 デバイスのログイン情報は SDC に保存されます。詳細については、「Secure Device Connector」を参照してください。

Secure Event Connector(SEC):SEC は、FDM による管理 デバイスからイベントを受信し、Cisco Cloud に転送するアプリケーションです。Cisco Cloud に転送されたイベントは、Security Cloud Control の [イベントロギング(Event Logging)] ページで確認したり、Cisco Secure Cloud Analytics で分析したりできます。テナントに 1 つ以上の SEC が関連付けられている場合があります。環境に応じて、Secure Event Connector を Secure Device Connector または Security Cloud Control コネクタ VM にインストールします。

Secure Firewall Device ManagerFDM による管理 デバイスはシスコの次世代ファイアウォールです。ネットワークトラフィックのステートフル インスペクションとアクセス制御に加えて、FDM による管理 デバイスはマルウェアやアプリケーション 層攻撃からの保護、統合された侵入防御、クラウド提供型脅威インテリジェンスなどの機能を提供します。

Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合、Cisco Security Analytics and Logging(SaaS)は Cisco Secure Cloud Analytics を使用して、Security Cloud Control に提供されたイベントを詳細に分析します。

Cisco Secure Cloud Analytics:Cisco Secure Cloud Analytics は、動的エンティティモデリングをイベントに適用し、この情報に基づいて検出を生成します。これにより、ネットワークから収集されたテレメトリの詳細な分析が可能になり、ネットワークトラフィックの傾向を特定し、異常な動作を調べることができます。

ライセンシング

このソリューションを設定するには、次のアカウントとライセンスが必要です。

Security Cloud ControlSecurity Cloud Control テナントが必要です。

Secure Device Connector。SDC には個別のライセンスはありません。

Secure Event Connector。SEC に個別のライセンスはありません。

Secure Logging Analytics(SaaS)Logging and Troubleshooting ライセンスを購入する必要があります。このパッケージの目的は、オンボーディングした FDM による管理 デバイスから派生したリアルタイムイベントとイベント履歴をネットワーク運用チームに提供し、ネットワーク内のトラフィックのトラブルシューティングと分析を可能にすることです。

Logging Analytics and Detection または Total Network Analytics and Monitoring ライセンスを購入して、Cisco Secure Cloud Analytics を適用することもできます。これらのパッケージの目的は、イベント(および Total Network Analytics and Monitoring ライセンスを購入した場合はネットワーク トラフィック)に関するより詳細な洞察をネットワーク運用チームに提供し、異常な動作の可能性をより適切に識別してそれに対応できるようにすることです。

ライセンス名

提供される機能

利用可能なライセンス期間

機能の前提条件

Logging and Troubleshooting

Security Cloud Control 内のライブフィードと履歴ビューの両方で、 イベントとイベントの詳細を表示します。

  • 1 年

  • 3 年

  • 5 年

  • Security Cloud Control

  • バージョン 6.4 以降を実行しているオンプレミスの展開

    .

  • イベントをクラウドに渡すための 1 つ以上の SEC の展開

Logging Analytics and Detection (旧称 Firewall Analytics and Monitoring

Logging and Troubleshooting の機能に加えて、以下の機能

  • 動的エンティティモデリングと動作分析を FDM による管理 デバイスイベントに適用します。

  • イベントデータに基づいて Cisco Secure Cloud Analytics でアラートを開き、Security Cloud Control イベントビューアからクロス起動します。

  • 1 年

  • 3 年

  • 5 年

  • Security Cloud Control

  • バージョン 6.4 以降を実行しているオンプレミスの展開。

  • イベントをクラウドに渡すための 1 つ以上の SEC の展開。

  • 新たにプロビジョニングされた、または既存の Secure Cloud Analytics ポータル。

Total Network Analytics and Monitoring

Logging Analytics and Detection の機能に加えて、以下の機能

  • 動的エンティティモデリングと動作分析をイベント、オンプレミスのネットワークトラフィック、およびクラウドベースのネットワークトラフィックに適用します。

  • イベントデータ、Cisco Secure Cloud Analytics センサーによって収集されたオンプレミスのネットワークトラフィックのフローデータ、および Secure Cloud Analytics に渡されるクラウドベースのネットワークトラフィックの組み合わせに基づいて、Security Cloud Control イベントビューアからのクロス起動によって Cisco Secure Cloud Analytics でアラートを開きます。

  • 1 年

  • 3 年

  • 5 年

  • Security Cloud Control

  • バージョン 6.4 以降を実行しているオンプレミスの展開

    .

  • イベントをクラウドに渡すための 1 つ以上の SEC の展開

    .

  • ネットワークトラフィックのフローデータをクラウドに渡すための少なくとも 1 つの Secure Cloud Analytics センサーバージョン 4.1 以降の展開、または、ネットワークトラフィックのフローデータを Secure Cloud Analytics に渡すためのクラウドベースと統合された Secure Cloud Analytics の展開。

  • 新たにプロビジョニングされた、または既存の Secure Cloud Analytics ポータル。

FDM による管理 デバイスFDM による管理 デバイスを実行し、セキュリティイベントを生成するルールを作成するには、次のライセンスが必要です。

ライセンス

期間

付与される機能

Essentials(自動的に含まれます)

永久

オプションのターム ライセンスでカバーされないすべての機能。

[このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。

ターム ベース

侵入検知および防御:侵入ポリシーが侵入とエクスプロイトを検出するためネットワークトラフィックを分析し、またオプションで違反パケットをドロップします。

ファイル制御:ファイルポリシーが特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェアライセンスが必要な AMP for Firepower を使用すると、マルウェアを含むファイルのインスペクションを実行してブロックできます。任意のタイプのファイルポリシーを使用するには、脅威ライセンスが必要です。

セキュリティ インテリジェンス フィルタ:トラフィックがアクセスコントロールルールによって分析を受ける前に、選択されたトラフィックをドロップします。ダイナミックフィードを使用することで、最新のインテリジェンスに基づいて接続をただちにドロップできます。

マルウェア

ターム ベース

マルウェアを確認するポリシーであり、Cisco Advanced Malware Protection(AMP)と一緒に AMP for Firepower (ネットワークベースの高度なマルウェア保護)と Cisco Threat Grid を使用します。

ファイル ポリシーは、ネットワーク上で伝送されるファイルに存在するマルウェアを検出してブロックできます。

データプラン

Cisco Cloud がオンボーディングされた FDM による管理 デバイスから 1 日に受け取るイベント数を反映したデータストレージプランを購入する必要があります。取り込み率を判断する最善の方法は、購入する前に Secure Logging Analytics(SaaS)のトライアル版に参加することです。これにより、イベントボリュームを適切に見積ることができます。また、ロギングボリューム見積ツール ツールも使用できます。


注意    

イベントを Cisco クラウドに直接送信し、同時に SEC を介して送信するように FDM による管理 デバイスを設定できます。これを行うと、同じイベントが 2 回取り込まれ、データプランに対して 2 回カウントされますが、Cisco クラウドには 1 回しか保存されません。不必要な料金が発生しないように、いずれか 1 つの方法を使用してイベントをCisco Cloud に送信するように注意してください。

データプランは、1 GB の日次ボリューム単位で、1 年、3 年、または 5 年の期間で利用できます。データプランの詳細については、『Secure Logging Analytics (SaaS) Ordering Guide』 を参照してください。


(注)  

Security Analytics and Logging ライセンスとデータプランがある場合、その後は別のライセンスを取得するだけで済み、別のデータプランを取得する必要はありません。ネットワークトラフィックのスループットが変化した場合は、別のデータプランを取得するだけで済み、別の Security Analytics and Logging ライセンスを取得する必要はありません。

30 日間の無料トライアル

Security Cloud Control にログインし、[イベントとログ(Events & Logs)] > [イベント(Events)] に移動して、30 日間のリスクフリーのトライアルをリクエストできます。30 日間のトライアルが終了したら、Secure Logging Analytics(SaaS)発注ガイド [英語] の手順に従って、Cisco Commerce Workspace(CCW)からサービスを継続するために必要なイベントデータボリュームを注文できます。

次の手順

FDM による管理 デバイスに安全なロギング分析(SaaS)を導入する」に進みます。

FDM による管理 デバイスに安全なロギング分析(SaaS)を導入する

はじめる前に

  • FDM による管理 デバイスの安全なロギング分析」を参照して、次の点を確認してください。

    • Cisco Cloud へのイベントの送信方法

    • ソリューションに含まれるアプリケーション

    • 必要なライセンス

    • 必要なデータプラン

  • マネージドサービス プロバイダーまたは Security Cloud Control セールス担当者に問い合わせて Security Cloud Control テナントを所有している必要があります。

  • テナントは、FDM による管理 デバイスに接続するために Security Cloud Control 用の Secure Device Connector(SDC)を使用する場合と使用しない場合があります。テナントには、デバイスログイン情報を使用してオンボーディングする FDM による管理 デバイス用に SDC がインストールされている必要があります。これは、ベストプラクティスと見なされます。登録キーまたはシリアル番号を使用して FDM による管理 デバイスをオンボーディングする場合、SDC は必要ありません。

  • テナントに SDC をインストールしている場合は、SDC のステータスがアクティブであり、最新のハートビートが記録されていることを確認してください。

  • SDC をインストールする場合は、次のいずれかのインストール方法を使用します。

  • テナントに 1 つ以上の SEC をインストールでき、任意の Firewall Device Manager から、テナントにオンボーディングされた任意の SEC にイベントを送信できます。

  • イベントを Firewall Device Manager から Cisco Cloud に直接送信する場合は、管理インターフェイスのポート 443 で発信アクセスを開いている必要があります。

  • アカウントのユーザー向けにニ要素認証を設定しました。

Secure Logging Analytics(SaaS)を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための新規 Security Cloud Control カスタマーワークフロー

  1. FDM 管理対象デバイスの導入準備。管理者のユーザー名とパスワード、または登録トークンを使用して、デバイスをオンボーディングできます。

  2. Secure Logging Analytics(SaaS)の Syslog サーバーオブジェクトを作成します

  3. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  4. ルールとポリシーによって生成されたイベントが Secure Event Connector に送信されるようにFDM による管理 デバイスを設定します。

  5. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

  6. Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合は、「Cisco Secure Cloud Analytics でのイベントの分析」に進みます。

Secure Logging Analytics(SaaS)を導入し、Cisco Cloud にイベントを直接送信するための新規 Security Cloud Control カスタマーワークフロー

  1. FDM 管理対象デバイスの導入準備。登録キーのみを使用できます。

  2. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  3. イベントが直接 Cisco Cloud に送信されるように FDM による管理 デバイスを設定します。

  4. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

  5. Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合は、「Cisco Secure Cloud Analytics でのイベントの分析」に進みます。

Secure Logging Analytics(SaaS)を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための既存 Security Cloud Control カスタマーワークフロー

  1. FDM 管理対象デバイスの導入準備。管理者のユーザー名とパスワード、または登録トークンを使用して、デバイスをオンボーディングできます。

  2. Secure Logging Analytics(SaaS)の Syslog サーバーオブジェクト

  3. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  4. ルールとポリシーによって生成されたイベントを Secure Event Connector に送信します

  5. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

  6. Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合は、「Cisco Secure Cloud Analytics でのイベントの分析」に進みます。

Secure Logging Analytics(SaaS)を導入し、Cisco Cloud にイベントを直接送信するための既存 Security Cloud Control カスタマーワークフロー

  1. FDM 管理対象デバイスの導入準備。登録キーのみを使用できます。

  2. 接続イベントがログに記録されるように FDM 管理対象デバイスポリシーを設定します

  3. イベントが直接 Cisco Cloud に送信されるように FDM による管理 デバイスを設定します。

  4. Security Cloud Control にイベントが表示されていることを確認します。ナビゲーションバーから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

  5. Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合は、「Cisco Secure Cloud Analytics でのイベントの分析」に進みます。

Cisco Secure Cloud Analytics でのイベントの分析

Logging Analytics and Detection ライセンスや Total Network Analytics and Monitoring ライセンスがある場合は、先行するステップに加えて、次の手順を実行します。

  1. Cisco Secure Cloud Analytics ポータルのプロビジョニング

  2. Total Network and Monitoring ライセンスを購入した場合は、1 つ以上の Secure Cloud Analytics センサーを内部ネットワークに展開します。「総合的なネットワーク分析およびレポーティングのための Cisco Secure Cloud Analytics センサーの展開」を参照してください。

  3. Cisco Single Sign-On ログイン情報に関連付ける Secure Cloud Analytics ユーザーアカウントを作成するようにユーザーに勧めます。「Security Cloud Control で Cisco Secure Cloud Analytics アラートを表示する」を参照してください。

  4. Security Cloud Control から Secure Cloud Analytics を相互起動し、Firewall Device Manager イベントから生成される Secure Cloud Analytics アラートをモニターします。Security Cloud Control で Cisco Secure Cloud Analytics アラートを表示するを参照してください。

Security Cloud Control からの相互起動による Cisco Secure Cloud Analytics アラートの確認

Logging Analytics and Detection ライセンスまたは Total Network Analytics and Monitoring ライセンスにより、Security Cloud Control から Secure Cloud Analytics を相互起動して、Firewall Device Manager イベントに基づいて Secure Cloud Analytics により生成されるアラートを確認できます。

詳細については、次の項目を参照してください。

Secure Analytics and Logging (SaaS)のワークフロー

Security and Analytics Logging イベントを使用したトラブルシューティング」では、Secure Logging Analytics(SaaS)から生成されたイベントを使用して、ユーザーがネットワークリソースにアクセスできない原因を特定する方法について説明しています。

FDM イベントに基づくアラートの使用」も参照してください。

FDM イベントを Security Cloud Control イベントロギングに送信する

アクセスコントロールルール、セキュリティ インテリジェンス ルール、SSL 復号ルールからの FDM による管理 イベントをイベントロギングビューアで表示するには、最初にそれらのイベントを Cisco Cloud に送信する必要があります。

ファイルおよびマルウェアイベントまたは侵入イベントを Cisco Cloud に送信する場合で、Secure Event Connector を使用する場合は、デバイスのロギング設定を構成する必要があります。

Cisco Cloud に FDM による管理 イベントを直接送信する

Firewall Device Manager バージョン 6.5 以降では、接続イベント、侵入イベント、ファイルイベント、およびマルウェアイベントを FDM による管理 デバイスから Cisco Cloud に直接送信できます。Cisco Cloud に送信されたイベントは、Security Cloud Control で監視し、Cisco Secure Cloud Analytics を使用して分析できます。この方法では、Secure Device Connector(SDC)仮想マシンに Secure Event Connector(SEC)コンテナをインストールする必要はありません。

始める前に

以下のトピックを確認してください。

手順

ステップ 1

イベントを Cisco Cloud に送信するデバイスの Firewall Device Manager にログオンします。

ステップ 2

[デバイス(Device)] > [システム設定(System Settings)] > [クラウドサービス(Cloud Services)] を選択します。

ステップ 3

[Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)] ペインで、[有効化(Enable)] をクリックします。

クラウド提供型 Firewall Management Center 管理対象デバイス用の SAL(SaaS)の実装

この統合を展開するには、syslog または直接接続のいずれかを使用して、 SAL(SaaS) にイベントデータストレージを設定する必要があります。

SAL(SaaS) 統合の要件、ガイドライン、および制限事項

タイプ

説明

Cisco Cisco Secure Firewall Threat Defense

  • Security Cloud Control 管理対象スタンドアロン 脅威に対する防御 デバイス、バージョン 7.2 以降。

  • Syslog を使用してイベントを送信するには、脅威に対する防御 デバイスバージョン 6.4 以降が必要です。

  • イベントを直接送信するには、脅威に対する防御 デバイスバージョン 7.2 以降が必要です。

  • 必要に応じて 脅威に対する防御 デバイスをイベントの直接送信から除外するには、脅威に対する防御 デバイスバージョン 7.4.1 以降が必要です。

  • ファイアウォールシステムの展開が完了し、イベントが正しく生成されている必要があります。

地域のクラウド

  • イベントの送信先となる地域クラウドを決定します。

  • イベントは、異なる地域のクラウドから表示したり、異なる地域のクラウド間で移動することはできません。

  • Cisco SecureX、Cisco SecureX Threat Response、または Cisco XDR との統合のために、直接接続を使用して Cisco Security Cloud にイベントを送信する場合は、統合に同じクラウドリージョンを使用する必要があります。

  • イベントを直接送信する場合、Security Cloud Control で指定する地域クラウドは Security Cloud Control テナントの地域と一致する必要があります。

データプラン

  • Cisco Cloud が Threat Defense デバイスから 1 日に受け取るイベント数を反映したデータプランを購入する必要があります。これは「日次取り込み率」と呼ばれます。

  • Logging Volume Estimator ツールを使用して、データストレージの要件を見積もります。

アカウント

この統合のライセンスを購入すると、統合をサポートする Security Cloud Control テナントアカウントが提供されます。

接続性

脅威に対する防御 デバイスは、ポート 443 で次のアドレスの Cisco Security Cloud に対してアウトバウンド方向に接続できる必要があります。

  • 米国地域:

    • api sse.cisco.com

    • mx*.sse.itd.cisco.com

    • dex.sse.itd.cisco.com

    • eventing-ingest.sse.itd.cisco.com

    • registration.us.sse.itd.cisco.com

    • us.manage.security.cisco.com

    • edge.us.cdo.cisco.com

  • EU 地域:

    • api.eu.sse.itd.cisco.com

    • mx*.eu.sse.itd.cisco.com

    • dex.eu.sse.itd.cisco.com

    • eventing-ingest.eu.sse.itd.cisco.com

    • registration.eu.sse.itd.cisco.com

    • eu.manage.security.cisco.com

    • edge.eu.cdo.cisco.com

  • アジア(APJ)地域:

    • api.apj.sse.itd.cisco.com

    • mx*.apj.sse.itd.cisco.com

    • dex.apj.sse.itd.cisco.com

    • eventing-ingest.apj.sse.itd.cisco.com

    • registration.apj.sse.itd.cisco.com

    • apj.cdo.cisco.com

    • edge.apj.cdo.cisco.com

  • オーストラリア地域:

    • api.aus.sse.itd.cisco.com

    • mx*.aus.sse.itd.cisco.com

    • dex.au.sse.itd.cisco.com

    • eventing-ingest.aus.sse.itd.cisco.com

    • registration.au.sse.itd.cisco.com

    • aus.cdo.cisco.com

  • インド地域:

    • api.in.sse.itd.cisco.com

    • mx*.in.sse.itd.cisco.com

    • dex.in.sse.itd.cisco.com

    • eventing-ingest.in.sse.itd.cisco.com

    • registration.in.sse.itd.cisco.com

    • in.cdo.cisco.com

syslog を使用した SAL(SaaS)クラウド提供型 Firewall Management Center 管理対象 のイベントの送信

この手順では、Security Cloud Control によって管理されるデバイスからセキュリティイベント(接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベント)の syslog メッセージを送信するための設定について説明します。

始める前に

  • セキュリティイベントを生成するポリシーを設定し、予期されるイベントが [イベントとログ(Events & Logs)] メニューの該当するテーブルに表示されることを確認します。

  • syslog サーバーの IP アドレス、ポート、およびプロトコル(UDP または TCP)に関連する情報を収集します。

  • デバイスが syslog サーバーに到達できることを確認します。

手順

ステップ 1

左側のペインで [管理(Administration)] > [Firewall Management Center] をクリックして [サービス(Services)] ページを開きます。

ステップ 2

クリックして [クラウド提供型FMC(Cloud-Delivered FMC)] を選択し、[設定(Configuration)] をクリックします。

ステップ 3

Threat Defense デバイスの Syslog ロギングの設定:

  1. [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] をクリックし、Threat Defense デバイスに関連付けられているプラットフォーム設定ポリシーを編集します。

  2. 左側のナビゲーションウィンドウで [Syslog] をクリックし、次のように syslog 設定を構成します。

    クリックする UI 要素...

    実行する手順:

    [ロギングセットアップ(Logging Setup)]

    ロギングを有効にし、FTP サーバーの設定を指定し、フラッシュの使用を指定します。

    Logging Destination

    特定の接続先へのロギングを有効にし、メッセージの重大度、イベントクラス、またはカスタムイベントリストによるフィルタリングを指定します。

    [電子メールの設定(E-mail Setup)]

    電子メールとして送信される syslog メッセージの送信元アドレスとして使用する電子メールアドレスを指定します。

    [イベントリスト(Events Lists)]

    イベントクラス、重要度、イベント ID を含むカスタムイベントリストを定義します。

    Rate Limit

    設定されているすべての宛先に送信されるメッセージの量を指定し、レート制限を割り当てるメッセージの重大度を定義します。

    Syslog の設定(Syslog Settings)

    サーバーを Syslog 接続先として設定するために、ロギング機能を指定し、タイムスタンプの包含を有効にし、他の設定を有効にします。

    Syslog サーバ

    ロギング接続先として指定される Syslog サーバーの IP アドレス、使用されるプロトコル、形式、およびセキュリティゾーンを指定します。

  3. [保存(Save)] をクリックします。

ステップ 4

アクセス コントロール ポリシーの一般的なログ設定(ファイルおよびマルウェアロギングを含む)を設定します。

  1. [ポリシー(Policies)] > [アクセス制御(Access Control)] をクリックし、Threat Defense デバイスに関連付けられているアクセス制御ポリシーを編集します。

  2. [詳細(More)] をクリックし、[ロギング(Logging)] を選択します。アクセス コントロール ポリシーの次のような一般的なログ設定(ファイルおよびマルウェアロギングを含む)を設定します。

    クリックする UI 要素...

    実行する手順:

    [特定のsyslogアラートを使用して送信する(Send using specific syslog alert)]

    既存の定義済みアラートのリストから syslog アラートを選択するか、名前、ロギングホスト、ポート、機能、および重大度を指定して syslog アラートを追加します。

    [デバイスに展開したFTDプラットフォーム設定のsyslog設定を使用する(Use the syslog settings configured in the FTD Platform Settings policy deployed on the device)]

    [プラットフォーム設定(Platform Settings)] で設定した syslog 設定を統合して、アクセス コントロール ポリシーでその設定を再利用します。選択した重大度はすべての接続イベントと侵入イベントに適用されます。デフォルトの重大度は [アラート(ALERT)] です。

    [IPSイベントのSyslogメッセージを送信する(Send Syslog messages for IPS events)]

    イベントを syslog メッセージとして送信します。オーバーライドしない限り、デフォルトの syslog 設定が使用されます。

    [ファイルおよびマルウェアイベントのsyslogメッセージを送信する(Send Syslog messages for File and Malware events)]

    ファイルおよびマルウェアイベントを syslog メッセージとして送信します。オーバーライドしない限り、デフォルトの syslog 設定が使用されます。

  3. [保存(Save)] をクリックします。

ステップ 5

アクセス コントロール ポリシーのセキュリティ インテリジェンス イベントのロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[セキュリティ インテリジェンス(Security Intelligence)] タブをクリックします。

  2. ロギングアイコンをクリックし、次の基準を使用してセキュリティ インテリジェンス ロギングを有効にします。

    • ドメイン名別:[DNSポリシー(DNS Policy)] ドロップダウンリストの横にあるロギングアイコンをクリックします。

    • IP アドレス別:[ネットワーク(Networks)] の横にあるロギング アイコンをクリックします。

    • URL 別:[URL(URLs)] の横にあるロギング アイコンをクリックします。

  3. [保存(Save)] をクリックします。

ステップ 6

アクセス コントロール ポリシーの各ルールの syslog ロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[アクセス制御(Access Control)] タブをクリックします。

  2. 編集するルールをクリックします。

  3. ルールの [ロギング(Logging)] タブをクリックします。

  4. [接続の開始時にロギング(Log at Beginning of Connection)] チェックボックスと [接続の終了時にロギング(Log at End of Connection)] チェックボックスをオンにします。

  5. ファイルイベントをログに記録する場合は、[ログファイル(Log Files)] チェックボックスをオンにします。

  6. [Syslogサーバー(Syslog Server)] チェックボックスをオンにします。

  7. ルールが [アクセス コントロール ロギングでデフォルトのsyslog設定を使用する(Using default syslog configuration in Access Control Logging)] であることを確認します。

  8. [確認(Confirm)] をクリックします。

  9. [適用(Apply)] をクリックして、ルールを保存します。

  10. ポリシー内のルールごとにステップ 7.a ~ 7.h を繰り返し、[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

必要な変更をすべて行ったら、変更を管理対象デバイスに展開します。

直接接続を使用した SAL(SaaS) への クラウド提供型 Firewall Management Center 管理対象 イベントログの送信

SAL(SaaS) にイベントを直接送信するように クラウド提供型 Firewall Management Center を設定します。次の手順を実行して、クラウド提供型 Firewall Management Center で Cisco Cloud イベントのグローバル設定を有効にします。必要に応じて、個々の FTD デバイスを SAL(SaaS)へのイベントログの送信対象から除外できます。詳細については、「直接接続を使用してイベントログを SAL(SaaS)に送信するための Threat Defense デバイスの有効化または無効化」を参照してください。

始める前に

  • クラウド提供型 Firewall Management Center にデバイスをオンボードし、オンボードしたデバイスにライセンスを割り当て、イベントを SAL(SaaS)に直接送信するようにデバイスを設定します。

  • ルールを編集し、[接続の開始時にロギング(Log at Beginning of Connection)] オプションと [接続の終了時にロギング(Log at End of Connection)] オプションを選択することで、ルールごとに接続ロギングを有効にします。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [Firewall Management Center] をクリックします。

ステップ 3

[クラウド提供型FMC(Cloud-Delivered FMC)] をクリックし、右側にある [システム(System)] ペインで [Cisco Cloudイベント(Cisco Cloud Events)] をクリックします。

ステップ 4

[Cisco Cloudイベントの設定(Configure Cisco Cloud Events)] ウィジェットで、次の手順を実行します。

  1. [Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)] トグルボタンをクリックして、設定全体を有効にします。

  2. [クラウドに侵入イベントを送信(Send Intrusion Events to the cloud)] チェックボックスをオンにして、侵入イベントをクラウドに送信します。

  3. [クラウドにファイルイベントとマルウェアイベントを送信(Send File and Malware Events to the cloud)] チェックボックスをオンにして、ファイルイベントとマルウェアイベントをクラウドに送信します。

  4. 接続イベントをクラウドに送信するオプションを選択します。

    • 接続イベントをクラウドに送信しない場合は、[なし(None)] オプションボタンをクリックします。

    • セキュリティ インテリジェンス イベントのみをクラウドに送信するには、[セキュリティイベント(Security Events)] オプションボタンをクリックします。

    • すべての接続イベントをクラウドに送信するには、[すべて(All)] オプションボタンをクリックします。

  5. [保存(Save)] をクリックします。

直接接続を使用してイベントログを SAL(SaaS)に送信するための Threat Defense デバイスの有効化または無効化

クラウド提供型 Firewall Management Center によって管理されている FTD デバイスがイベントを SAL(SaaS)に直接送信することを有効化または無効化します。このデバイスレベルの制御により、必要に応じて、特定の FTD デバイスを Cisco Cloud へのイベントログの送信対象から除外して、トラフィックを削減したり、SAL とオンプレミスのイベントログストレージの組み合わせを維持したりできます。


(注)  

  • FTD デバイスから Cisco Cloud へのイベントの送信を有効化または無効化するには、クラウド提供型 Firewall Management Center で Cisco Cloud イベントのグローバル設定を有効にします。Cisco Cloud イベントのグローバル設定の有効化の詳細については、直接接続を使用した SAL(SaaS) への クラウド提供型 Firewall Management Center 管理対象 イベントログの送信 を参照してください。

    Cisco Cloud イベントのグローバル設定が クラウド提供型 Firewall Management Center で有効になっている場合、Cisco Cloud へのイベントの送信は、すべての FTD デバイスに対してデフォルトで有効になります。

  • イベントログをクラウドに送信するために FTD デバイスを有効化または無効化するオプションは、FTD バージョン 7.4.1 以降でサポートされています。

始める前に

  • クラウド提供型 Firewall Management Center にデバイスをオンボードし、それらのデバイスにライセンスを割り当て、イベントを SAL(SaaS)に直接送信するようにデバイスを設定します。

  • ルールを編集し、[接続の開始時にロギング(Log at Beginning of Connection)] オプションと [接続の終了時にロギング(Log at End of Connection)] オプションを選択することで、ルールごとに接続ロギングを有効にします。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [インベントリ(Inventory)]セキュリティデバイスをクリックします。

ステップ 3

[デバイス(Devices)] タブをクリックして、デバイスを表示します。

ステップ 4

[FTD] タブをクリックして、FTD デバイスを表示します。

ステップ 5

インベントリリストから、設定を編集する FTD デバイスを選択します。

ステップ 6

[デバイス管理(Device Management)] ペインで、[クラウドイベント(Cloud Events)] をクリックします。

ステップ 7

[Cisco Cloudへのイベントの送信(Send Events to the Cisco Cloud)] トグルボタンをクリックして、設定を有効または無効にします。

ステップ 8

[保存(Save)] をクリックします。

Secure Event Connector

Secure Event Connector(SEC)は、Security Analytics and Logging SaaS ソリューションのコンポーネントです。ASA FDM による管理デバイスからイベントを受信し、Cisco Cloud に転送します。Security Cloud Control は [イベントロギング(Event Logging)] ページにイベントを表示し、管理者はそこで、または Cisco Secure Cloud Analytics を使用してイベントを分析できます。

SEC は、ネットワークに展開された Secure Device Connector、またはネットワークに展開された独自の Security Cloud Control コネクタ仮想マシン、あるいは AWS 仮想プライベートクラウド(VPC)にインストールします。

Secure Event Connector ID

Cisco Technical Assistance Center(TAC)などの Security Cloud Control サポートと連携する場合、SEC の ID が必要になる場合があります。この ID は、Security Cloud Control の [セキュアコネクタ(Secure Connectors)] ページで確認できます。SEC ID を確認するには、次の手順を実行します。

  1. 左側の Security Cloud Control メニューから [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] を選択します。

  2. 確認する SEC をクリックします。

  3. SEC ID は、[詳細(Details)] ペインの [テナントID( Tenant ID)] の上に表示されている ID です。

Secure Event Connector をインストールする

Secure Event Connector(SEC)は、SDC の有無にかかわらず、テナントにインストールできます。

SEC は Secure Device Connector(あれば)と同じ仮想マシンにインストールすることも、ネットワーク内で維持管理している独自の Security Cloud Control コネクタ仮想マシンにインストールすることもできます。

SDC 仮想マシンへの Secure Event Connector のインストール

Secure Event Connector(SEC)は、ASA FDM による管理デバイスからイベントを受信し、Cisco Cloud に転送します。Security Cloud Control は [イベントロギング(Event Logging)] ページにイベントを表示し、管理者はそこで、または Cisco Secure Cloud Analytics を使用してイベントを分析できます。

SEC は Secure Device Connector(あれば)と同じ仮想マシンにインストールすることも、ネットワーク内で維持管理している独自の Security Cloud Control コネクタ仮想マシンにインストールすることもできます。

この記事では、SDC と同じ仮想マシンに SEC をインストールする方法について説明します。他にも SEC をインストールする場合は、Security Cloud Control イメージを使用した SEC のインストール または VM イメージを使用した SEC のインストール を参照してください。

始める前に

  • Cisco Security and Analytics Logging の Logging and Troubleshooting ライセンスを購入します。または、Cisco Security and Analytics を最初に試す場合は、Security Cloud Control にログインし、メインナビゲーションバーで [イベントとログ(Events & Logs)] > [イベント(Events)] を選択し、[トライアルのリクエスト(Request Trial)] をクリックします。また、Logging Analytics and Detection および Total Network Analytics and Monitoring ライセンスを購入して、Secure Cloud Analytics をイベントに適用することもできます。

  • SDC がインストールされていることを確認します。SDC をインストールする必要がある場合は、次のいずれかの手順に従います。

  • SDC が Security Cloud Control と通信していることを確認します。

    1. 左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

    2. SEC をインストールする前に、SDC の最後のハートビートが 10 分以内であったこと、および SDC のステータスがアクティブであることを確認してください。

  • システム要件:SDC を実行している仮想マシンに追加の CPU とメモリを割り当てます。

    • CPU:SEC 用に追加の 4 つの CPU を割り当て、CPU の合計が 6 つとなるようにします。

    • メモリ:SEC 用に追加の 8 GB のメモリを割り当てて、メモリの合計が 10 GB となるようにします。

      SEC に対応するように VM の CPU とメモリを更新したら、VM の電源を入れ、[セキュアコネクタ(Secure Connectors)] ページに SDC が「アクティブ」状態であることが示されていることを確認します。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

ステップ 3

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 4

ウィザードのステップ 1 をスキップして、ステップ 2 に進みます。ウィザードのステップ 2で、 [SECブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 5

ターミナルウィンドウを開き、SDC に「cdo」ユーザーとしてログインします。

ステップ 6

ログインしたら、「sdc」ユーザーに切り替えます。パスワードの入力を求められたら、「cdo」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
[sudo] password for cdo: <type password for cdo user>
[sdc@sdc-vm ~]$

ステップ 7

プロンプトで、sec.sh setup スクリプトを実行します。 

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 8

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of Security Cloud Control: KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE
RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、「Secure Event Connector オンボーディングのトラブルシューティング」を参照してください。

ステップ 9

SDC と SEC が実行されている VM に追加の構成が必要かどうかを判断します。

次のタスク

FDM による管理 デバイスに安全なロギング分析(SaaS)を導入する に戻ります。

Security Cloud Control イメージを使用した SEC のインストール

Secure Event Connector(SEC)は、ASA と FTD からのイベントを Cisco Cloud に転送するため、ライセンスに応じて、[イベントロギング(Event Logging)] ページでイベントを表示し、Cisco Secure Cloud Analytics で調査できます。

テナントに複数の Secure Event Connector(SEC)をインストールし、インストールした任意の SEC に ASA および FDM 管理対象デバイスからイベントを送信できます。複数の SEC を使用すると、さまざまな場所に SEC をインストールし、Cisco Cloud にイベントを送信する作業を分散できます。

SEC のインストールは、2 つの部分からなるプロセスです。

  1. Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール インストールする SEC ごとに 1 つの Security Cloud Control コネクタが必要です。Security Cloud Control コネクタは、Secure Device Connector(SDC)とは異なります。

  2. Security Cloud Control コネクタ仮想マシンへの Secure Event Connector のインストール


(注)  

独自の VM を作成して Security Cloud Control コネクタを作成する場合は、「作成した VM イメージを使用してテナントに複数の SEC をインストールする」を参照してください。

次に行う作業:

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール に進みます。

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール

始める前に

  • Cisco Security and Analytics Logging と Logging and Troubleshooting ライセンスに加えて、Logging Analytics and DetectionTotal Network Analytics and Monitoring ライセンスを購入すると、イベントに Secure Cloud Analytics を適用できます。

    Security Analytics and Logging のトライアル版をリクエストする場合は、Security Cloud Control にログインし、メインナビゲーションバーで [イベントとログ(Events & Logs)] > [イベント(Events)] を選択し、[トライアルのリクエスト(Request Trial)] をクリックします。

  • Security Cloud Control は、厳密な証明書チェックを必要とし、Security Cloud Control コネクタとインターネットの間の Web/コンテンツプロキシ検査をサポートしていません。プロキシサーバーを使用している場合は、Security Cloud Control コネクタと Security Cloud Control の間のトラフィックの検査を無効にします。

  • このプロセスでインストールされる Security Cloud Control コネクタには TCP ポート 443 でのインターネットへの完全なアウトバウンドアクセスが必要です。

  • Security Cloud Control コネクタで適切なネットワーク接続を確立するには、「Secure Device Connector を使用した Security Cloud Control への接続」を参照してください。

  • Security Cloud Control は、vSphere Web クライアントまたは ESXi Web クライアントを使用した Security Cloud Control コネクタ VM OVF イメージのインストールをサポートしています。

  • Security Cloud Control は、VM vSphere デスクトップクライアントを使用した Security Cloud Control コネクタ VM OVF イメージのインストールをサポートしていません。

  • ESXi 5.1 ハイパーバイザ。

  • Security Cloud Control コネクタと SEC のみをホストすることを目的とした VM のシステム要件は以下のとおりです。

    • VMware ESXi ホストには 4 つの vCPU が必要です。

    • VMware ESXi ホストには 8 GB 以上のメモリが必要です。

    • VMware ESXi では、プロビジョニングの選択に応じて、仮想マシンをサポートするために 64GB のディスク容量が必要です。

  • インストールを開始する前に、次の情報を収集します。

    • Security Cloud Control コネクタ VM に使用する静的 IP アドレス。

    • インストールプロセス中に作成する root ユーザーと Security Cloud Control ユーザーのパスワード。

    • 組織で使用する DNS サーバーの IP アドレス。

    • SDC アドレスが存在するネットワークのゲートウェイ IP アドレス。

    • タイムサーバーの FQDN または IP アドレス。

  • Security Cloud Control Connector 仮想マシンは、セキュリティパッチを定期的にインストールするように設定されており、これを行うには、ポート 80 のアウトバウンドを開く必要があります。

手順

ステップ 1

Security Cloud Control コネクタを作成する Security Cloud Control テナントにログオンします。

ステップ 2

左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

ステップ 3

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 4

ステップ 1 で、[Security Cloud ControlコネクタVMイメージのダウンロード(Download the Security Cloud Control Connector VM image)] をクリックします。これは、SEC をインストールする特別なイメージです。最新のイメージを確実に使用するために、常に Security Cloud Control コネクタ VM をダウンロードしてください。

ステップ 5

.zip ファイルからすべてのファイルを抽出します。これらは、次のようなものです。

  • Security Cloud Control-SDC-VM-ddd50fa.ovf

  • Security Cloud Control-SDC-VM-ddd50fa.mf

  • Security Cloud Control-SDC-VM-ddd50fa-disk1.vmdk

ステップ 6

vSphere Web クライアントを使用して、管理者として VMware サーバーにログオンします。

(注)  

 

VM vSphere デスクトップクライアントは使用しないでください。

ステップ 7

プロンプトに従って、OVF テンプレートからオンプレミスの Security Cloud Control コネクタ仮想マシンを展開します(テンプレートを展開するには、.ovf、.mf、および .vdk ファイルが必要です)。

ステップ 8

セットアップが完了したら、VM の電源を入れます。

ステップ 9

新しい Security Cloud Control コネクタ VM のコンソールを開きます。

ステップ 10

Security Cloud Control ユーザーとしてログインします。デフォルトのパスワードは adm123 です。

ステップ 11

プロンプトで、sudo sdc-onboard setup と入力します。 

[cdo@localhost ~]$ sudo sdc-onboard setup

ステップ 12

プロンプトで、Security Cloud Control ユーザーのデフォルトのパスワード(adm123)を入力します。

ステップ 13

プロンプトに従って、root ユーザーの新しいパスワードを作成します。

ステップ 14

プロンプトに従って、Security Cloud Control ユーザーの新しいパスワードを作成します。

ステップ 15

プロンプトに従って、Security Cloud Control ドメイン情報を入力します。

ステップ 16

Security Cloud Control コネクタ VM に使用する静的 IP アドレスを入力します。

ステップ 17

Security Cloud Control コネクタ VM がインストールされているネットワークのゲートウェイ IP アドレスを入力します。

ステップ 18

Security Cloud Control コネクタの NTP サーバーのアドレスまたは FQDN を入力します。

ステップ 19

プロンプトで、Docker ブリッジの情報を入力するか、該当しない場合は空白のままにして、Enter キーを押します。

ステップ 20

入力内容を確定します。

ステップ 21

「Would you like to setup the SDC now?」というプロンプトで、n を入力します。

ステップ 22

Security Cloud Control ユーザーとしてログインして、Security Cloud Control コネクタへの SSH 接続を作成します。

ステップ 23

プロンプトで、sudo sdc-onboard bootstrap と入力します。 

[cdo@localhost ~]$ sudo sdc-onboard bootstrap

ステップ 24

プロンプトで、Security Cloud Control ユーザーのパスワードを入力します。

ステップ 25

プロンプトで、Security Cloud Control に戻り、Security Cloud Control ブートストラップデータをコピーして、SSH セッションに貼り付けます。Security Cloud Control ブートストラップデータをコピーするには、次の手順を実行します。

  1. Security Cloud Control にログインします。

  2. 左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

  3. オンボードを開始した Secure Event Connector を選択します。ステータスが「Onboarding」と表示されます。

  4. [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

  5. ダイアログボックスのステップ 1 で、Security Cloud Control ブートストラップデータをコピーします。

ステップ 26

「Would you like to update these settings?」というプロンプトで、n を入力します。

ステップ 27

Security Cloud Control の [オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] ダイアログに戻り、[OK] をクリックします。[セキュアコネクタ(Secure Connectors)] ページで、Secure Event Connector が黄色のオンボーディング状態であることを確認できます。

次のタスク

Security Cloud Control コネクタ VM への Secure Event Connector のインストール に進みます。

Security Cloud Control コネクタ VM への Secure Event Connector のインストール

始める前に

Security Cloud Control VM イメージを使用して Secure Event Connector をサポートするための Security Cloud Control コネクタのインストール に記載があるように、Security Cloud Control コネクタ VM がインストールされている必要があります。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで、[管理(Administration)] > [セキュアコネクタ(Secure Connectors)] を選択します。

ステップ 3

上記でオンボーディングした Security Cloud Control コネクタを選択します。セキュアコネクタテーブルでは、これはセキュアイベントコネクタと呼ばれ、「オンボーディング」ステータスのままである必要があります。

ステップ 4

右側の [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

ステップ 5

ウィザードのステップ 2で、 [SECブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 6

Security Cloud Control コネクタへの SSH 接続を作成し、Security Cloud Control ユーザーとしてログインします。

ステップ 7

ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、「Security Cloud Control」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
 [sudo] password for cdo: <type password for cdo user> 
[sdc@sdc-vm ~]$

ステップ 8

プロンプトで、sec.sh セットアップスクリプトを実行します。

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 9

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of CDO: KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE
 RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、次を参照してください。SEC オンボーディング失敗のトラブルシューティング

成功メッセージを受け取った場合は、Security Cloud Control に戻り、[オンプレミスセキュアイベントコネクタの展開(Deploy an ON-Premise Secure Event Connector)] ダイアログボックスで [完了(Done)] をクリックします。

次のタスク

FDM による管理 デバイスに安全なロギング分析(SaaS)を導入する に戻ります。

Ubuntu 仮想マシンへの Secure Event Connector の展開

始める前に

Ubuntu 仮想マシンでの Secure Device Connector と Secure Event Connector の展開の説明に従って、Ubuntu VM に Secure Device Connector をインストールしておく必要があります。

手順

ステップ 1

Security Cloud Control にログオンします。

ステップ 2

左側のペインで、[管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

ステップ 3

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 4

ウィンドウの手順 2 の SEC ブートストラップデータをメモ帳にコピーします。

ステップ 5

次のコマンドを実行します。

[sdc@vm]:~$sudo su sdc
sdc@vm:/home/user$ cd /usr/local/cdo/toolkit

プロンプトが表示されたら、コピーした SEC ブートストラップデータを入力します。

sdc@vm:~/toolkit$ ./sec.sh setup
Please input the bootstrap data from Setup Secure Event Connector page of CDO: 
Successfully on-boarded SEC
Security Cloud Control で Secure Event Connector が [アクティブ(Active)] になるまでに数分かかる場合があります。

VM イメージを使用した SEC のインストール

Secure Event Connector(SEC)は、ASA と FTD からのイベントを Cisco Cloud に転送するため、ライセンスに応じて、[イベントロギング(Event Logging)] ページでイベントを表示し、Cisco Secure Cloud Analytics で調査できます。

テナントに複数の Secure Event Connector(SEC)をインストールし、インストールした任意の SEC に ASA および FDM 管理対象デバイスからイベントを送信できます。複数の SEC を使用すると、さまざまなリージョンに SEC をインストールし、Cisco Cloud にイベントを送信する作業を分散できます。

独自の VM イメージを使用した複数の SEC のインストールは、3 つの部分からなるプロセスです。次の各手順を実行する必要があります。

  1. VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストール

  2. 作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定

  3. Secure Event Connector のインストール


(注)  

Security Cloud Control コネクタに Security Cloud Control VM イメージを使用する方法は、Security Cloud Control コネクタをインストールする最も簡単で正確な推奨される方法です。その方法を使用する場合は、Security Cloud Control イメージを使用した SEC のインストールを参照してください。

次に行う作業:

VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストールに進みます。

VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストール

Security Cloud Control コネクタ VM は、SEC をインストールする仮想マシンです。Security Cloud Control コネクタの唯一の目的は、Cisco Security Analytics and Logging(SaaS)のお客様向けに SEC をサポートすることです。

これは、Secure Event Connector(SEC)をインストールして設定するために完了する必要がある 3 つの手順の 1 番目です。この手順の後、次の手順を実行する必要があります。

始める前に

  • Cisco Security and Analytics Logging と Logging and Troubleshooting ライセンスに加えて、Logging Analytics and DetectionTotal Network Analytics and Monitoring ライセンスを購入すると、イベントに Secure Cloud Analytics を適用できます。

    Security Analytics and Logging のトライアル版をリクエストする場合は、Security Cloud Control にログインし、メインナビゲーションバーで [イベントとログ(Events & Logs)] > [イベント(Events)] を選択し、[トライアルのリクエスト(Request Trial)] をクリックします。

  • Security Cloud Control は、厳密な証明書チェックを必要とし、Security Cloud Control コネクタとインターネット間の Web プロキシやコンテンツプロキシをサポートしていません。

  • Security Cloud Control コネクタは TCP ポート 443 でインターネットへの完全なアウトバウンド接続を確立する必要があります。

  • コネクタで適切なネットワーク接続を確立するには、「Secure Device Connector を使用した Cisco Security Cloud Control への接続」を参照してください。Security Cloud Control

  • vCenter Web クライアントまたはr ESXi Web クライアントを使用してインストールされた VMware ESXi ホスト。


    (注)  
    vSphere デスクトップクライアントを使用したインストールはサポートしていません。

  • ESXi 5.1 ハイパーバイザ。

  • Cent OS 7 ゲスト オペレーティング システム。

  • Security Cloud Control コネクタと SEC のみをホストする VM のシステム要件は以下のとおりです。

    • CPU:SEC 用に 4 つの CPU を割り当てます。

    • メモリ:SEC 用に 8 GB のメモリを割り当てます。

    • ディスク領域:64 GB

  • この手順を実行するユーザーは、Linux 環境の操作と vi ビジュアルエディタによるファイルの編集に慣れている必要があります。

  • Security Cloud Control コネクタを CentOS 仮想マシンにインストールする場合は、Yum セキュリティパッチを定期的にインストールすることをお勧めします。Yum の更新を取得するための設定に応じて、ポート 443 だけでなくポート 80 でもアウトバウンドアクセスを開く必要がある場合があります。また、更新をスケジュールするために yum-cron または crontab も設定する必要があります。セキュリティ運用チームと連携して、Yum の更新を取得するためにセキュリティポリシーを変更する必要があるかどうかを判断します。

  • インストールを開始する前に、次の情報を収集します。

    • Security Cloud Control コネクタに使用する静的 IP アドレス。

    • インストールプロセス中に作成する root ユーザーと Security Cloud Control ユーザーのパスワード。

    • 組織で使用する DNS サーバーの IP アドレス。

    • Security Cloud Control コネクタアドレスが存在するネットワークのゲートウェイ IP アドレス。

    • タイムサーバーの FQDN または IP アドレス。

  • Security Cloud Control Connector 仮想マシンは、セキュリティパッチを定期的にインストールするように設定されており、これを行うには、ポート 80 のアウトバウンドを開く必要があります。

  • 始める前に:手順内のコマンドは、コピーして端末ウィンドウに貼り付けるのではなく入力するようにしてください。一部のコマンドに含まれる「n ダッシュ」は、カットアンドペーストのプロセスで「m ダッシュ」として適用される場合があり、コマンドが失敗する原因となります。

手順

ステップ 1

Security Cloud Control にログオンします。

ステップ 2

左側のペインで、[管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

ステップ 3

アイコンをクリックし、[Secure Event Connector] をクリックします。

ステップ 4

表示されたリンクを使用して、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] ウィンドウの手順 2 で SEC ブートストラップデータをコピーします。

ステップ 5

少なくともこの手順の前提条件に記載されているメモリ、CPU、およびディスク容量を備えた CentOS 7 仮想マシン(http://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-Minimal-1804.iso)をインストールします。

ステップ 6

インストールしたら、Security Cloud Control コネクタ の IP アドレス、サブネットマスク、ゲートウェイの指定など、ネットワークの基本設定を行います。

ステップ 7

DNS(ドメインネームサーバー)を設定します。

ステップ 8

NTP(ネットワーク タイム プロトコル)サーバーを設定します。

ステップ 9

Security Cloud Control コネクタ の CLI と簡単にやり取りできるように、CentOS に SSH サーバーをインストールします。

ステップ 10

Yum の更新を実行し、open-vm-toolsnettools、および bind-utils パッケージをインストールします。 

[root@sdc-vm ~]# yum update -y 
[root@sdc-vm ~]# yum install -y open-vm-tools net-tools bind-utils

ステップ 11

AWS CLI パッケージをインストールします(https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html を参照)。

(注)  

 

--user フラグは使用しないでください。

ステップ 12

Docker CE パッケージをインストールします(https://docs.docker.com/install/linux/docker-ce/centos/#install-docker-ce を参照)。

(注)  

 

「リポジトリを使用したインストール」方法を使用します。

ステップ 13

Docker サービスを開始し、起動時に開始できるようにします。

[root@sdc-vm ~]# systemctl start docker
 [root@sdc-vm ~]# systemctl enable docker 
Created symlink from /etc/systemd/system/multiuser.target.wants/docker.service to /usr/lib/systemd/system/docker.service.

ステップ 14

Security Cloud Controlsdc の 2 つのユーザーを作成します。Security Cloud Control ユーザーは、管理機能を実行するためにログインするユーザーです(つまりルートユーザーを直接使用する必要はありません)。sdc ユーザーは、Security Cloud Control コネクタの docker コンテナを実行するユーザーです。 

[root@sdc-vm ~]# useraddSecurity Cloud Control
 [root@sdc-vm ~]# useradd sdc –d /usr/local/Security Cloud Control

ステップ 15

crontab を使用するように sdc ユーザーを設定します。

[root@sdc-vm ~]# touch /etc/cron.allow
[root@sdc-vm ~]# echo "sdc" >> /etc/cron.allow

ステップ 16

Security Cloud Control ユーザーのパスワードを設定します。 

[root@sdc-vm ~]# passwd Security Cloud Control 
Changing password for user Security Cloud Control. 
New password: <type password>  
Retype new password: <type password> 
passwd: all authentication tokens updated successfully.

ステップ 17

Security Cloud Control ユーザーを「wheel」グループに追加し、管理者(sudo)権限を付与します。 

[root@sdc-vm ~]# usermod -aG wheelSecurity Cloud Control
 [root@sdc-vm ~]#

ステップ 18

Docker がインストールされると、ユーザーグループが作成されます。CentOS/Docker のバージョンに応じて、「docker」または「dockerroot」と呼ばれます。/etc/group ファイルでどのグループが作成されたかを確認したら、sdc ユーザーをそのグループに追加します。 


 [root@sdc-vm ~]# grep docker /etc/group 
docker:x:993:
[root@sdc-vm ~]# 
[root@sdc-vm ~]# usermod -aG docker sdc 
[root@sdc-vm ~]#

ステップ 19

/etc/docker/daemon.json ファイルが存在しない場合は作成し、以下の内容を入力します。作成したら、docker デーモンを再起動します。

(注)  

 

「group」キーに入力したグループ名が、/etc/group ファイルで見つけたグループと一致していることを確認してください。 

 [root@sdc-vm ~]# cat /etc/docker/daemon.json 
{
 "live-restore": true, 
 "group": "docker" 
} 
[root@sdc-vm ~]# systemctl restart docker 
[root@sdc-vm ~]#

ステップ 20

現在 vSphere コンソールセッションを使用している場合は、SSH に切り替えて、Security Cloud Control ユーザーでログインします。ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、Security Cloud Control ユーザーのパスワードを入力します。 

[Security Cloud Control@sdc-vm ~]$ sudo su sdc 
[sudo] password for Security Cloud Control: <type password for Security Cloud Control user > 
[sdc@sdc-vm ~]$

ステップ 21

ディレクトリを /usr/local/Security Cloud Control に変更します

ステップ 22

bootstrapdata という新しいファイルを作成し、展開ウィザードの手順1 のブートストラップデータを、このファイルに貼り付けます。[保存(Save)] をクリックしてファイルを保存します。[vi] または [nano] を使用してファイルを作成できます。

ステップ 23

ブートストラップデータは base64 でエンコードされていますので、復号して extractedbootstrapdata というファイルにエクスポートします。 

 [sdc@sdc-vm ~]$ base64 -d /usr/local/Security Cloud Control/bootstrapdata > /usr/local/Security Cloud Control/extractedbootstrapdata 
[sdc@sdc-vm ~]$

cat コマンドを実行して復号したデータを表示します。コマンドおよび復号したデータは次のようになります。 

[sdc@sdc-vm ~]$ cat /usr/local/Security Cloud Control/extractedbootstrapdata 
Security Cloud Control_TOKEN="<token string>" 
Security Cloud Control_DOMAIN="www.defenseorchestrator.com" 
Security Cloud Control_TENANT="<tenant-name>" 
<Security Cloud Control_URL>/sdc/bootstrap/Security Cloud Control_acm="https://www.defenseorchestrator.com/sdc/bootstrap/tenant-name/<tenant-name-SDC>" 
ONLY_EVENTING="true"

ステップ 24

以下のコマンドを実行して、復号したブートストラップデータの一部を環境変数にエクスポートします。


[sdc@sdc-vm ~]$ sed -e 's/^/export /g' extractedbootstrapdata > secenv && source secenv 
[sdc@sdc-vm ~]$

ステップ 25

Security Cloud Control からブートストラップバンドルをダウンロードします。 

 [sdc@sdc-vm ~]$ curl -H "Authorization: Bearer $Security Cloud Control_TOKEN" "$Security Cloud Control_BOOTSTRAP_URL" -o $Security Cloud Control_TENANT.tar.gz 
100 10314 100 10314 0 0 10656 0 --:--:-- --:--:-- --:--:-- 10654 
[sdc@sdc-vm ~]$ ls -l /usr/local/Security Cloud Control/*SDC 
-rw-rw-r--. 1 sdc sdc 10314 Jul 23 13:48 /usr/local/Security Cloud Control/Security Cloud Control_<tenant_name>

ステップ 26

Security Cloud Control コネクタ tarball を展開し、bootstrap_sec_only.sh ファイルを実行して Security Cloud Control コネクタパッケージをインストールします。 

 [sdc@sdc-vm ~]$ tar xzvf /usr/local/Security Cloud Control/tenant-name-SDC 
<snipped – extracted files> 
[sdc@sdc-vm ~]$ 
[sdc@sdc-vm ~]$ /usr/local/Security Cloud Control/bootstrap/bootstrap_sec_only.sh 
[2018-07-23 13:54:02] environment properly configured 
download: s3://onprem-sdc/toolkit/prod/toolkit.tar to toolkit/toolkit.tar 
toolkit.sh 
common.sh 
es_toolkit.sh 
sec.sh 
healthcheck.sh 
troubleshoot.sh 
no crontab for sdc 
-bash-4.2$ crontab -l 
*/5 * * * * /usr/local/Security Cloud Control/toolkit/es_toolkit.sh upgradeEventing 2>&1 >> /usr/local/Security Cloud Control/toolkit/toolkit.log 
0 2 * * * sleep 30 && /usr/local/Security Cloud Control/toolkit/es_toolkit.sh es_maintenance 2>&1 >> /usr/local/Security Cloud Control/toolkit/toolkit.log 
You have new mail in /var/spool/mail/sdc
次のタスク
作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定 に進みます。

作成した VM にインストールされた SDC および Security Cloud Control コネクタの追加設定

Security Cloud Control コネクタを独自の CentOS 7 仮想マシンにインストールした場合は、イベントが SEC に到達できるように、次の付加的な設定手順のいずれかを実行します。

始める前に:

これは、SEC をインストールして設定するために完了する必要がある 3 つの手順の 2 番目です。まだ行っていない場合は、これらの設定変更を行う前に、VM イメージを使用して SEC をサポートするための Security Cloud Control コネクタのインストールを完了してください。

ここで説明されている追加の設定変更のいずれかを完了したら、Secure Event Connector のインストールを実行します。

CentOS 7 VM での firewalld サービスの無効化

  1. SDC VM の CLI に「Security Cloud Control」ユーザーとしてログインします。

  2. firewalld サービスを停止してから、続く VM の再起動時に無効のままになっていることを確認します。プロンプトが表示されたら、Security Cloud Control ユーザーのパスワードを入力します。 

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl stop firewalld
Security Cloud Control@SDC-VM ~]$ sudo systemctl disable firewalld

  3. Docker サービスを再起動して、Docker 固有のエントリをローカルファイアウォールに再挿入します。

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl restart docker

  4. Secure Event Connector のインストールに進みます。

firewalld サービスの実行を許可し、ファイアウォールルールを追加して、イベントトラフィックが SEC に到達できるようにします。

  1. SDC VM の CLI に「Security Cloud Control」ユーザーとしてログインします。

  2. ローカル ファイアウォール ルールを追加して、設定した TCP、UDP、または NSEL ポートから SEC への着信トラフィックを許可します。SEC で使用されるポートについては、「Cisco Security Analytics and Logging に使用されるデバイスの TCP、UDP、および NSEL ポートの検索」を参照してください。プロンプトが表示されたら、Security Cloud Control ユーザーのパスワードを入力します。コマンドの例を次に示します。別のポート値の指定が必要になる場合があります。 

    [Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10125/tcp 
Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10025/udp
[Security Cloud Control@SDC-VM ~]$ sudo firewall-cmd --zone=public --permanent --add-port=10425/udp

  3. firewalld サービスを再起動して、新しいローカル ファイアウォール ルールをアクティブかつ持続的なものにします。

    [Security Cloud Control@SDC-VM ~]$ sudo systemctl restart firewalld

  4. Secure Event Connector のインストールに進みます。

Security Cloud Control コネクタ仮想マシンへの Secure Event Connector のインストール

始める前に

これは、Secure Event Connector(SEC)をインストールして設定するために完了する必要がある 3 つの手順の 3 番目です。まだ完了していない場合は、この手順を続行する前に、次のタスクを完了してください。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] をクリックします。

ステップ 3

上記の前提条件の手順を使用してインストールした Security Cloud Control コネクタを選択します。[セキュアコネクタ(Secure Connectors)] テーブルでは、「Secure Event Connector」と表示されます。

ステップ 4

右側の [アクション(Actions)] ペインで、[オンプレミスのSecure Event Connectorの展開(Deploy an On-Premises Secure Event Connector)] をクリックします。

ステップ 5

ウィザードのステップ 2で、 [SEC ブートストラップデータのコピー(Copy SEC bootstrap data)] のリンクをクリックします。

ステップ 6

SSH を使用してセキュアコネクタに接続し、Security Cloud Control ユーザーとしてログインします。

ステップ 7

ログインしたら、sdc ユーザーに切り替えます。パスワードの入力を求められたら、「Security Cloud Control」ユーザーのパスワードを入力します。これらのコマンドの例を次に示します。 

[cdo@sdc-vm ~]$ sudo su sdc
[sudo] password for cdo: <type password for cdo user>
[sdc@sdc-vm ~]$

ステップ 8

プロンプトで、sec.sh セットアップスクリプトを実行します。

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

ステップ 9

プロンプトの最後に、手順 4 でコピーしたブートストラップデータを貼り付けて、Enter キーを押します。 

Please copy the bootstrap data from Setup Secure Event Connector page of CDO:
 KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC がオンボーディングされると、sec.sh は、SEC のヘルスをチェックするスクリプトを実行します。すべてのヘルスチェックが「正常」の場合、ヘルスチェックはサンプルイベントをイベントログに送信します。このサンプルイベントは、「sec-health-check」という名前のポリシーとしてイベントログに表示されます。

登録に失敗したことや SEC のオンボーディングに失敗したことを示すメッセージを受け取った場合は、「Secure Event Connector オンボーディングのトラブルシューティング」を参照してください。

成功メッセージを受け取った場合は、[オンプレミスの Secure Event Connector の展開(Deploy an ON-Premise Secure Event Connector)] ダイアログボックスで [完了(Done)] をクリックします。VM イメージへの SEC のインストールは完了です。

次のタスク

この手順に戻って、SAL SaaS の実装を続行します: FDM による管理 デバイスに安全なロギング分析(SaaS)を導入する

Terraform モジュールを使用した AWS VPC 上での Secure Event Connector のインストール

始める前に

  • このタスクを実行するには、Security Cloud Control テナントで SAL を有効にする必要があります。このセクションでは、SAL ライセンスがあることを前提としています。ない場合は、Cisco Security and Analytics Logging の Logging and Troubleshooting ライセンスを購入します。

  • 新しい SEC がインストールされていることを確認します。新しい SEC を作成するには、SDC 仮想マシンへの Secure Event Connector のインストールを参照してください。

  • SEC をインストールするときは、Security Cloud Control ブートストラップデータと SEC ブートストラップデータを必ずメモしてください。

手順

ステップ 1

Terraform レジストリの [Secure Event Connector Terraform Module] に移動し、手順に従って SEC Terraform モジュールを Terraform コードに追加します。https://registry.terraform.io/modules/CiscoDevNet/cdo-sec/aws/latest

ステップ 2

Terraform コードを適用します。

ステップ 3

instance_id および sec_fqdn の出力は、後の手順で必要になるため、必ず出力してください。

(注)  

 

SEC のトラブルシューティングを行うには、AWS Systems Manager Session Manager(SSM)を使用して SEC インスタンスに接続する必要があります。SSM を使用したインスタンスへの接続の詳細については、「AWS Systems Manager Session Manager 」ドキュメントを参照してください。

SSH を使用して SDC インスタンスに接続するためのポートは、セキュリティ上の理由により公開されません。

ステップ 4

ASA から SEC へのログの送信を有効にするには、作成した SEC の証明書チェーンを取得し、ステップ 3 の出力を使用して次のコマンドを実行してリーフ証明書を削除します。 

rm -f /tmp/cert_chain.pem && openssl s_client -showcerts -verify 5 -connect <FQDN>:10125 < /dev/null | awk '/BEGIN CERTIFICATE/,/END CERTIFICATE/{ if(/BEGIN CERTIFICATE/){a++}; out="/tmp/cert_chain.pem"; if(a > 1) print >>out}'

ステップ 5

/tmp/cert_chain.pem の内容をクリップボードにコピーします。

ステップ 6

次のコマンドを使用して、SEC の IP アドレスをメモします。

nslookup <FQDN>

ステップ 7

Security Cloud Control にログインし、新しいトラストポイント オブジェクトの追加を開始します。詳細については、「Adding a Trusted CA Certificate Object」を参照してください。[追加(Add)] をクリックする前に、[その他のオプション(Other Options)] の [基本制約の拡張でCAフラグを有効にする(Enable CA flag in basic constraints extension)] チェックボックスをオフにしてください。

ステップ 8

[追加(Add)] をクリックし、Security Cloud Control によって生成された CLI コマンドを [証明書のインストール(Install Certificate)] ページにコピーして、[キャンセル(Cancel)] をクリックします。

ステップ 9

enrollment terminal の下に、テキストクリップボードの no ca-check を追加します。

ステップ 10

ASA デバイスに SSH 接続するか、Security Cloud Control で ASA CLI オプションを使用して、次のコマンドを実行します。 

DataCenterFW-1> en
Password: *****************
DataCenterFW-1# conf t
DataCenterFW-1(config)# <paste your modified ASA CLIs here and press Enter>
DataCenterFW-1(config)# wr mem
Building configuration...
Cryptochecksum: 6634f35f 4c5137f1 ab0c5cdc 9784bdb6

次のタスク

SEC が AWS SSM を使用してパケットを受信しているかどうかを確認できます。
次のようなログが表示されます。
time="2023-05-10T17:13:46.135018214Z" level=info msg="[ip-10-100-5-19.ec2.internal][util.go:67 plugin.createTickers:func1] Events - Processed - 6/s, Dropped - 0/s, Queue size - 0"

Cisco Security Analytics and Logging(SaaS)をプロビジョニング解除する

Cisco Security Analytics and Logging(SaaS)の有料ライセンスの有効期限が切れた場合、90 日間の猶予期間があります。この猶予期間中に有料ライセンスを更新した場合は、サービスが中断されません。

更新せずに 90 日間の猶予期間が経過すると、お客様のデータはすべて消去されます。[イベントロギング(Event Logging)] ページから ASA や FTD イベントを表示することも、ダイナミック エンティティ モデリングの動作分析を ASA または FTD イベント、およびネットワークフローデータに適用することもできなくなります。

Secure Event Connector の削除

警告:この手順により、Secure Event Connector が Secure Device Connector から削除されます。これを行うと、Secure Logging Analytics(SaaS)を使用できなくなります。この操作は元に戻せません。質問や懸念事項がある場合は、このアクションを実行する前に Security Cloud Control サポートまでお問い合わせください

Secure Device Connector から Secure Event Connector を削除するには、次の 2 段階のプロセスを実行します。

  1. Security Cloud Control から SEC を削除します

  2. SDC から SEC ファイルを削除します

次に行う作業Security Cloud Control からの SEC の削除を続行します

Security Cloud Control からの SEC の削除

始める前に

Secure Event Connector の削除を参照してください。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [セキュアコネクタ(Secure Connectors)] を選択します。

ステップ 3

デバイスタイプが [Secure Event Connector] の行を選択します。

警告

 

Secure Device Connector を選択しないように注意してください。

ステップ 4

[アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 5

[OK] をクリックして確認します。

次のタスク

SDC からの SEC ファイルの削除 に進みます。

SDC からの SEC ファイルの削除

この項目は、SDC から Secure Event Connector を削除する 2 つの部分から成る手順の 2 番目の部分です。開始する前に「Secure Event Connector の削除」を参照してください。

手順

ステップ 1

仮想マシンのハイパーバイザを開き、SDC のコンソールセッションを開始します。

ステップ 2

SDC ユーザーに切り替えます。

 [cdo@tenant toolkit]$sudo su sdc

ステップ 3

プロンプトで、次のいずれかのコマンドを入力します。

  • 独自のテナントのみを管理している場合:

    [sdc@tenant toolkit]$ /usr/local/cdo/toolkit/sec.sh remove

  • 複数のテナントを管理する場合は、テナント名の先頭に Security Cloud Control_ を追加してください。次に例を示します。 

     [sdc@tenant toolkit]$ /usr/local/cdo/toolkit/sec.sh remove CDO_[tenant_name]

ステップ 4

SEC ファイルの削除を確定します。

Cisco Secure Cloud Analytics ポータルのプロビジョニング

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

Logging Analytics and Detection ライセンスまたは Total Network Analytics and Monitoring ライセンスを購入した場合、Secure Event Connector(SEC)を展開して設定した後、Secure Cloud Analytics ポータルを Security Cloud Control ポータルに関連付けて、Secure Cloud Analytics アラートを表示する必要があります。ライセンスを購入すると、既存の Secure Cloud Analytics ポータルがある場合は、Secure Cloud Analytics ポータル名を指定して、すぐに Security Cloud Control ポータルに関連付けることができます。

それ以外の場合は、Security Cloud Control UI から新しい Secure Cloud Analytics ポータルをリクエストできます。Secure Cloud Analytics アラートに初めてアクセスすると、システムに Secure Cloud Analytics ポータルを要求するページが表示されます。このポータルを要求するユーザーには、ポータルの管理者権限が付与されます。

手順

ステップ 1

左側のペインで、[分析(Analytics)] > [Cisco Secure Cloud Analytics] をクリックし、新しいウィンドウで Cisco Secure Cloud Analytics の UI を開きます。

ステップ 2

[無料トライアルを開始(Start Free Trial)] をクリックして、Secure Cloud Analytics ポータルをプロビジョニングし、Security Cloud Control ポータルに関連付けます。

(注)  

 

ポータルを要求した後、プロビジョニングに数時間かかる場合があります。

次の手順に進む前に、ポータルがプロビジョニングされていることを確認してください。

  1. 左側のペインで、[分析(Analytics)] > [Cisco Secure Cloud Analytics] をクリックし、新しいウィンドウで Cisco Secure Cloud Analytics の UI を開きます。

  2. 次の選択肢があります。

    • Secure Cloud Analytics ポータルを要求したものの、まだポータルのプロビジョニング中であることがシステムに表示されている場合は、しばらく待ってから、後でアラートへのアクセスを試行してください。

    • Secure Cloud Analytics ポータルがプロビジョニング済みの場合は、[ユーザー名(Username)] と [パスワード(Password)] を入力し、[サインイン(Sign in)] をクリックします。


(注)  

管理者ユーザーは、Secure Cloud Analytis ポータル内でアカウントを作成するように他のユーザーを招待できます。詳細については、Security Cloud Control で Cisco Secure Cloud Analytics アラートを表示するを参照してください。

次のタスク

Cisco Secure Cloud Analytics でのセンサーの正常性と Security Cloud Control 統合ステータスの確認

Sensor Status

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

Cisco Secure Cloud Analytics Web UI では、[センサーリスト(Sensor List)] ページで Security Cloud Control 統合ステータスと設定済みセンサーを確認できます。Security Cloud Control 統合は、読み取り専用の接続イベントセンサーです。Stelathwatch Cloud のメインメニューには、センサーの全体的な正常性が示されます。

  • 緑色の雲のアイコン():すべてのセンサーと Security Cloud Control(設定されている場合)との接続が確立されています

  • 黄色の雲のアイコン():一部のセンサー、または Security Cloud Control(設定されている場合)との接続が確立されており、1 つ以上のセンサーが正しく設定されていません

  • 赤色の雲のアイコン():設定されているすべてのセンサーと Security Cloud Control(設定されている場合)との接続が失われています

センサーまたは Security Cloud Control 統合ごとに、緑色のアイコンは接続が確立されていることを示し、赤色のアイコンは接続が失われていることを示します。

手順

ステップ 1

1. Cisco Secure Cloud Analytics ポータル UI で、[設定(Settings)]()> [センサー(Sensors)] を選択します。

ステップ 2

[センサーリスト(Sensor List)] を選択します。

総合的なネットワーク分析およびレポーティングのための Cisco Secure Cloud Analytics センサーの展開

Secure Cloud Analytics センサーの概要と展開

必要なライセンスTotal Network Analytics and Monitoring

Total Network Analytics and Monitoring ライセンスを取得している場合は、Secure Cloud Analytics ポータルをプロビジョニングした後に、次のことができます。

  • オンプレミスネットワーク内に Secure Cloud Analytics センサーを展開し、ネットワークフローデータを分析のためにクラウドに渡すように設定します。

  • フローデータを分析のために Secure Cloud Analytics に渡すようにクラウドベースの展開を設定します。

ネットワーク境界のファイアウォールが内部ネットワークと外部ネットワークの間のトラフィックに関する情報を収集する一方で、Secure Cloud Analytics センサーは内部ネットワーク内のトラフィックに関する情報を収集します。


(注)  

FDM による管理Cisco Secure Firewall Threat Defense デバイスは、NetFlow データを渡すように設定できます。センサーを展開するときは、イベント情報を Security Cloud Control に渡すように設定されている FDM による管理Cisco Secure Firewall Threat Defense デバイスからの NetFlow データを渡すようにセンサーを設定しないでください。

センサーの展開手順と推奨事項については、Secure Cloud Analytics センサーのインストールガイドを参照してください。

クラウドベース展開の設定手順と推奨事項については、Secure Cloud Analytics パブリック クラウド モニタリング ガイドを参照してください。


(注)  

Secure Cloud Analytics ポータルの UI で手順を確認して、センサーとクラウドベース展開を設定することもできます。

Secure Cloud Analytics の詳細については、Secure Cloud Analytics 無料試用ガイドを参照してください。

次の手順

Security Cloud Control で Cisco Secure Cloud Analytics アラートを表示する

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

[イベントロギング(Event Logging)] ページでファイアウォールイベントを確認できますが、Security Cloud Control ポータル UI から Cisco Secure Cloud Analytics アラートを確認することはできません。[セキュリティ分析(Security Analytics)] メニューオプションを使用して Security Cloud Control から Secure Cloud Analytics ポータルを相互起動し、ファイアウォール イベント データ(および [Total Network Analytics and Monitoring] を有効にしている場合はネットワークフローデータ)から生成されたアラートを表示できます。[セキュリティ分析(Security Analytics)] メニューオプションには、1 つ以上のワークフローステータスが開いている場合、開いているワークフローステータスの Secure Cloud Analytics アラートの数を示すバッジが表示されます。

Security Analytics and Logging ライセンスを使用して Secure Cloud Analytics アラートを生成し、新しい Secure Cloud Analytics ポータルをプロビジョニングした場合は、Security Cloud Control にログインしてから、Cisco Security Cloud Sign On を使用して Secure Cloud Analytics を相互起動します。URL を使用して Secure Cloud Analytics ポータルに直接アクセスすることもできます。

詳細については、「Cisco Security Cloud Sign On」を参照してください。

Cisco Secure Cloud Analytics ポータルへに参加するようユーザーを招待する

Cisco Secure Cloud Analytics ポータルのプロビジョニングをリクエストする最初のユーザーには、Cisco Secure Cloud Analytics ポータルの管理者権限があります。そのユーザーは、他のユーザーを電子メールで招待してポータルに参加させることができます。招待されたユーザーは、Cisco Security Cloud Sign On のログイン情報を持っていない場合、招待メールのリンクを使用して作成できます。ユーザーは、Security Cloud Control から Cisco Secure Cloud Analytics へのクロス起動中に、Cisco Security Cloud Sign On のログイン情報を使用してログインできます。

電子メールで他のユーザーを Cisco Secure Cloud Analytics ポータルに招待するには、次の手順を実行します。

手順

ステップ 1

Cisco Secure Cloud Analytics ポータルに管理者としてログインします。

ステップ 2

[設定(Settings)] > [アカウント管理(Account Management)] > [ユーザー管理(User Management)] を選択します。

ステップ 3

[電子メール(Email)] アドレスを入力します。

ステップ 4

[招待(Invite)] をクリックします。

Security Cloud Control から Secure Cloud Analytics を相互起動する

Security Cloud Control からのセキュリティアラートを表示するには以下を実行します。

手順

ステップ 1

Security Cloud Control ポータルにログインします。

ステップ 2

左側のペインで、[分析(Analytics)] > [Cisco Secure Cloud Analytics] を選択します。

ステップ 3

Secure Cloud Analytics インターフェイスで [監視(Monitor)] > [Alerts(アラート)] を選択します。 >

Cisco Secure Cloud Analytics とダイナミック エンティティ モデリング

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

Secure Cloud Analytics は、オンプレミスおよびクラウドベースのネットワーク展開をモニターする Software as a Service(SaaS)ソリューションです。ファイアウォールイベントとネットワークフローデータを含め、ネットワークトラフィックに関する情報を送信元から収集することによって、トラフィックに関する観測内容が作成され、トラフィックパターンに基づいてネットワークエンティティのロールが自動的に識別されます。Cisco Secure Cloud Analytics は、この情報を他の脅威インテリジェンス(Talos など)のソースと組み合わせて使用してアラートを生成します。このアラートは、本質的に悪意のある可能性がある動作の存在を示す警告を構成します。Cisco Secure Cloud Analytics は、このアラートとともに、ネットワークおよびホストの可視性と、収集したコンテキスト情報を提供します。このコンテキスト情報により、アラートを調査して悪意のある動作の原因を特定するためのより優れた基盤が得られます。

ダイナミック エンティティ モデリング

ダイナミック エンティティ モデリングは、ファイアウォールイベントとネットワークフローデータの動作分析を実行することにより、ネットワークの状態を追跡します。Secure Cloud Analytics のコンテキストにおいて、エンティティとは、ネットワーク上のホストやエンドポイントといった、何らかの経時的に追跡できるものです。ダイナミック エンティティ モデリングは、ネットワークで送信されるトラフィックと実行されるアクティビティに基づいて、エンティティに関する情報を収集します。Logging Analytics and Detection ライセンスと統合された Secure Cloud Analytics は、エンティティが通常送信するトラフィックのタイプを判別するために、ファイアウォールイベントやその他のトラフィック情報から引き出すことができます。Total Network Analytics and Monitoring ライセンスを購入すると、Secure Cloud Analytics は、エンティティトラフィックのモデル化に NetFlow およびその他のトラフィック情報を含めることもできます。各エンティティの最新のモデルを維持するため、Secure Cloud Analytics では、エンティティがトラフィックを送信し続け、場合によっては異なるトラフィックを送信する可能性があるため、これらのモデルを徐々に更新します。この情報から、Secure Cloud Analytics は以下を識別します。

  • エンティティのロール:これは、エンティティが通常行うことの記述子です。たとえば、エンティティが、一般に電子メールサーバーに関連付けられるトラフィックを送信する場合、Secure Cloud Analytics は、そのエンティティに電子メールサーバーロールを割り当てます。エンティティは複数のロールを実行する場合があるため、ロールとエンティティの関係は多対 1 である可能性があります。

  • エンティティの観測内容:これは、ネットワーク上でのエンティティの動作に関する事実(外部 IP アドレスとのハートビート接続、別のエンティティとの間で確立されたリモートアクセスセッションなど)です。Security Cloud Control と統合すると、ファイアウォールイベントからこれらの事実を取得できます。Total Network Analytics and Monitoring ライセンスも購入すると、システムは NetFlow から事実を取得し、ファイアウォールイベントと NetFlow の両方から観測内容を生成することもできます。観測内容それ自体は、それらが表すものの事実を超えた意味を持ちません。一般的なお客様は、何千もの観測内容と少数のアラートを持つ可能性があります。

アラートと分析

ロール、観測内容、およびその他の脅威インテリジェンスの組み合わせに基づいて Secure Cloud Analytics が生成するアラートは、潜在的な悪意のある動作をシステムによって識別されたものとして表す実用的な項目です。1 つのアラートが複数の観測内容を表す場合があることに注意してください。ファイアウォールが同じ接続とエンティティに関連する複数の接続イベントをログに記録する場合、アラートが 1 つだけになる可能性があります。

上記の例で言えば、新しい内部デバイスの観測内容だけでは、潜在的な悪意のある動作は構成されません。ただし、時間の経過とともに、エンティティがドメイン コントローラと一致するトラフィックを送信する場合、システムではそのエンティティにドメイン コントローラ ロールが割り当てられます。その後、そのエンティティが、以前に接続を確立していない外部サーバーへの接続を確立し、異常なポートを使用して大量のデータを転送すると、システムは、[新しい大規模接続(外部)(New Large Connection (External))] 観測内容と [例外ドメインコントローラ(Exceptional Domain Controller)] 観測内容をログに記録します。その外部サーバーが Talos ウォッチリストに登録されているものと識別された場合、これらすべての情報の組み合わせにより Secure Cloud Analytics はこのエンティティの動作に関するアラートを生成し、悪意のある動作を調査して対処するように促します。

Secure Cloud Analytics の Web ポータル UI でアラートを開くと、システムがアラートを生成した原因となっている観測内容を確認できます。これらの観測内容から、関連するエンティティに関する追加のコンテキスト(それらが送信したトラフィック、外部脅威インテリジェンス(利用可能な場合)など)も確認できます。また、エンティティが関係性を持っていたその他の観測内容やアラートを確認したり、この動作が他の潜在的に悪意のある動作に結び付いているかどうかを判断することもできます。

Secure Cloud Analytics でアラートを表示して閉じる場合、Secure Cloud Analytics UI からのトラフィックを許可またはブロックできないことに注意してください。デバイスをアクティブモードで展開した場合、ファイアウォール アクセス コントロール ルールを、トラフィックを許可またはブロックするように更新する必要があり、ファイアウォールがパッシブモードで展開されている場合は、ファイアウォール アクセス コントロール ルールを更新する必要があります。

ファイアウォールイベントに基づくアラートの使用

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

アラートのワークフロー

アラートのワークフローは、そのステータスに基づいて異なります。システムによってアラートが生成される場合、そのデフォルト ステータスは [オープン(Open)] であり、ユーザーは割り当てられません。アラートのサマリーを表示すると、デフォルトでは、当面注意が必要なすべてのオープン アラートが表示されます。

注: Total Network Analytics and Monitoring ライセンスを持っている場合、アラートは、NetFlow から生成された観測結果、ファイアウォールイベントから生成された観測結果、または両方のデータ ソースからの観測結果に基づいて生成できます。

アラートのサマリーを確認する際は、初期トリアージとして、アラートにステータスを割り当て、タグ付けし、更新することができます。フィルタ機能と検索機能を使用して、特定のアラートを検索したり、さまざまなステータスのアラートを表示したり、さまざまなタグや割り当て対象を関連付けたりすることができます。アラートのステータスは [スヌーズ(Snoozed)] に設定できます。この場合、そのアラートはスヌーズ期間が経過するまでオープンアラートのリストに表示されません。アラートから [スヌーズ(Snoozed)] ステータスを削除して、再びオープン アラートとして表示されるようにすることもできます。アラートを確認する際は、それらのアラートをそのユーザー自身またはシステム内の別のユーザーに割り当てることができます。ユーザーは、自分のユーザー名に割り当てられているすべてのアラートを検索できます。

アラートのサマリーから、アラートの詳細ページを表示できます。このページでは、このアラートを生成させた、裏付けとなる観測内容に関する追加のコンテキストと、このアラートに関連するエンティティに関する追加のコンテキストを確認できます。この情報は、ネットワーク上の問題をさらに調査して悪意のある動作を潜在的に解決するために実際の問題を特定する上で役立ちます。

Security Cloud Control の Secure Cloud Analytics Web ポータル UI 内やネットワーク上で調査しているときに、発見した内容を説明するコメントをアラートに残すことができます。これは、将来参照できる調査の記録を作成するために役立ちます。

分析が完了したら、ステータスを [クローズ(Closed)] に更新できます。これにより、デフォルトではオープンアラートとして表示されなくなります。将来、状況が変わった場合は、クローズ アラートのステータスを再度オープンにすることもできます。

ここでは、特定のアラートを調査する方法に関する一般的なガイドラインと推奨事項を示します。Secure Cloud Analytics はアラートをログに記録するときに追加のコンテキストを提供するため、このコンテキストを参照しながら調査を進めることができます。

これらの手順は、総合的または包括的であることを意図したものではありません。これらは単にアラートの調査を開始するための一般的な枠組みを提供するためのものです。

一般に、次の手順でアラートを確認できます。

  1. オープンアラートのトリアージ

  2. 後で分析するためにアラートをスヌーズする

  3. 詳細な調査のためのアラートの更新

  4. アラートの確認と調査の開始

  5. エンティティとユーザーの調査

  6. Secure Cloud Analytics を使用して問題を解決する

  7. アラートの更新とクローズ

オープンアラートのトリアージ

特に複数の調査が必要な場合は、オープンアラートのトリアージを行います。

次の質問に答えてください。

  • このアラート タイプを優先度の高いものとして設定しましたか。

  • 影響を受けるサブネットに高い機密性を設定しましたか。

  • この異常な動作はネットワーク上の新しいエンティティによるものですか。

  • エンティティの通常のロールは何ですか。また、このアラートの動作はそのロールにどのように適合しますか。

  • これは、このエンティティの通常の動作からの例外的な逸脱ですか。

  • ユーザーが関与している場合、これはユーザーの予想される動作ですか、それとも例外的な動作ですか。

  • 保護されたデータや機密データが侵害を受けるリスクがありますか。

  • この動作の継続を許可すると、ネットワークへの影響はどの程度深刻になりますか。

  • 外部エンティティとの通信がある場合、それらのエンティティは過去にネットワーク上の他のエンティティとの接続を確立しましたか。

これが優先順位の高いアラートである場合は、調査を進める前に、インターネットからエンティティを隔離するか、隔離しないときは接続を切断することを検討してください。

後で分析するためにアラートをスヌーズする

他のアラートと比較して優先度が低いときに、アラートをスヌーズします。たとえば、組織が電子メールサーバーを FTP サーバーとして再利用する場合、緊急プロファイルアラートが生成されます(エンティティの現在のトラフィックが、以前には一致しなかった動作プロファイルと一致することを示します)。これは想定される動作であるため、このアラートをスヌーズして、後日再検討できます。スヌーズされたアラートは、オープンアラートと一緒に表示されません。これらのスヌーズされたアラートを確認するには、特別にフィルタリングする必要があります。

アラートをスヌーズする:

手順

ステップ 1

[アラートを閉じる(Close Alert)] をクリックします。

ステップ 2

[このアラートをスヌーズ(Snooze this alert)] ペインで、ドロップダウンからスヌーズ期間を選択します。

ステップ 3

[保存(Save)] をクリックします。

次のタスク

スヌーズしたアラートを確認する準備ができたら、アラートのスヌーズを解除できます。これにより、ステータスが [オープン(Open)] に設定され、他のオープンアラートとともにアラートが表示されます。

スヌーズしたアラートのスヌーズを解除する:

  • スヌーズしたアラートから、[アラートのスヌーズ解除(Unsnooze Alert)] をクリックします。

詳細な調査のためのアラートの更新

アラートの詳細情報を確認します。

手順

ステップ 1

[モニター(Monitor)] > [アラート(Alerts)] を選択します。

ステップ 2

アラートタイプ名をクリックします。

次のタスク

初期トリアージと優先順位付けに基づいて、アラートを割り当て、タグを付けます。

  1. [担当者(Assignee)] ドロップダウンからユーザーを選択してアラートを割り当てます。これにより、ユーザーが調査を開始できるようになります。

  2. [タグ(Tags)] ドロップダウンから 1 つ以上のタグを選択して、アラートにタグを追加することにより、将来の識別のためにアラートをより適切に分類したり、アラートの長期的なパターンの確立を試みることができます。

  3. 必要に応じて、このアラートに関するコメントを入力し、[コメント(Comment)] をクリックすることにより、最初の調査結果を追跡するためのコメントを残し、アラートに割り当てられた担当者を支援することができます。アラートは、システムコメントとユーザーコメントの両方を追跡します。

アラートの確認と調査の開始

割り当てられたアラートを確認する際は、アラートの詳細情報を確認して Cisco Secure Cloud Analytics がアラートを生成した理由を理解してください。裏付けとなる観測内容を確認し、これらの観測内容がソースエンティティに対して持つ意味を理解します。

アラートがファイアウォールイベントに基づいて生成された場合、ファイアウォールの展開がこのアラートのソースであることはシステムに認識されません。

このソースエンティティの一般的な動作やパターンを理解するために、サポートされている観測内容をすべて表示し、このアクティビティがより長いトレンドの一部である可能性があるかどうかを確認します。

手順

ステップ 1

アラートの詳細で、観測タイプの横にある矢印アイコン()をクリックして、そのタイプの記録されたすべての観測内容を表示します。

ステップ 2

[ネットワークのすべての観測内容(All Observations for Network)] の横にある矢印アイコン()をクリックして、このアラートのソースエンティティの記録された観測内容をすべて表示します。

観測内容に対して追加の分析を実行する場合は、サポートされている観測内容をコンマ区切り値ファイルでダウンロードします。

  • アラートの詳細の [サポートされている観測内容(Supporting Observations)] ペインで、[CSV] をクリックします。

観測内容から、ソースエンティティの動作が悪意のある動作を示しているか判断します。ソースエンティティが複数の外部エンティティとの接続を確立している場合は、それらのエンティティが何らかの関連性を持つかどうか(それらのすべてが類似の地理位置情報を持っているか、それらの IP アドレスが同じサブネットからのものであるかなど)を確認します。

ソースエンティティの IP アドレスまたはホスト名から、ソースエンティティに関連する追加コンテキスト(関与している可能性がある他のアラートや観測内容、デバイス自体に関する情報、送信しているセッショントラフィックのタイプなど)を表示します。

  • エンティティに関連するすべてのアラートを表示するには、IP アドレスまたはホスト名のドロップダウンから [アラート(Alerts)] を選択します。

  • エンティティに関連するすべての観測内容を表示するには、IP アドレスまたはホスト名のドロップダウンから [観測内容(Observations)] を選択します。

  • デバイスに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [デバイス(Device)] を選択します。

  • このエンティティに関連するセッショントラフィックを表示するには、IP アドレスまたはホスト名のドロップダウンから [セッショントラフィック(Session Traffic)] を選択します。

  • IP アドレスまたはホスト名をコピーするには、IP アドレスまたはホスト名のドロップダウンから [コピー(Copy)] を選択します。

Cisco Secure Cloud Analytics のソースエンティティは常にネットワークの内部にあります。この点を、接続を開始したエンティティを示し、ネットワークの内部または外部にある可能性がある、ファイアウォールイベントのイニシエータ IP と比較してください。

観測内容から、他の外部エンティティに関する情報を調べます。地理位置情報を調査し、いずれかの地理位置情報データまたは Umbrella データによって悪意のあるエンティティが特定されるかどうかを確認します。これらのエンティティによって生成されたトラフィックを表示します。Talos、AbuseIPDB、または Google にこれらのエンティティに関する情報があるかどうかを確認します。複数の日にわたる IP アドレスを見つけて、外部エンティティがネットワーク上のエンティティと確立した他のタイプの接続を確認します。必要に応じて、それらの内部エンティティを見つけ、侵害または意図しない動作の証拠があるかどうかを判断します。

ソースエンティティが接続を確立した外部エンティティの IP アドレスまたはホスト名のコンテキストを確認します。

  • このエンティティの最近のトラフィック情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [IPトラフィック(IP Traffic)] を選択します。

  • このエンティティの最近のセッショントラフィック情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [セッショントラフィック(Session Traffic)] を選択します。

  • AbuseIPDB の Web サイト上でこのエンティティに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [AbuseIPDB ] を選択します。

  • Cisco Umbrella の Web サイト上でこのエンティティに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [Cisco Umbrella] を選択します。

  • Google でこの IP アドレスを検索するには、IP アドレスまたはホスト名のドロップダウンから [Google検索(Google Search)] を選択します。

  • Talos の Web サイト上でこの情報に関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [Talos Intelligence] を選択します。

  • このエンティティをウォッチリストに追加するには、IP アドレスまたはホスト名のドロップダウンから [IPをウォッチリストに追加(Add IP to watchlist)] を選択します。

  • 前月のこのエンティティのトラフィックを検索するには、IP アドレスまたはホスト名のドロップダウンから [複数日のIPを検索(Find IP on multiple days)] を選択します。

  • IP アドレスまたはホスト名をコピーするには、IP アドレスまたはホスト名のドロップダウンから [コピー(Copy)] を選択します。

Cisco Secure Cloud Analytics の接続エンティティは、常にネットワークの外部にあります。この点を、接続要求に応答したエンティティを示し、ネットワークの内部または外部にある可能性がある、ファイアウォールイベントのレスポンダ IP と比較してください。

調査結果に関するコメントを残します。

  • [アラートの詳細( alert detail)] で、[このアラートに関するコメント(Comment on this alert)] を入力し、[コメント(Comment)] をクリックします。

エンティティとユーザーの調査

Cisco Secure Cloud Analytics ポータル UI でアラートを確認したら、ソースエンティティ、このアラートに関係している可能性のあるユーザー、およびその他の関連エンティティに対して、追加の調査を直接実行できます。

  • ソースエンティティがネットワーク上のどこ(物理的またはクラウド上)にあるかを特定し、直接アクセスします。このエンティティのログ ファイルを見つけます。それがネットワーク上の物理エンティティである場合は、デバイスにアクセスしてログ情報を確認し、この動作の原因となっているものに関する情報があるかどうかを確認します。それが仮想エンティティである場合またはクラウドに保存されている場合は、ログにアクセスして、このエンティティに関連するエントリを検索します。不正なログイン、承認されていない設定変更などに関する詳細について、ログを調査します。

  • エンティティを調査します。マルウェアまたはエンティティ自体にある脆弱性を特定できるかどうかを判断してください。デバイスの物理的な変更(組織によって承認されていない USB スティックなど)を含め、何らかの悪意のある変更があったかどうかを確認します。

  • ネットワーク上のユーザーまたはネットワーク外のユーザーによる関与があったかどうかを確認します。可能であれば、何をしていたのかをユーザーに尋ねてください。ユーザーに尋ねることができない場合は、そのユーザーがアクセス権を持っていたと考えられるかどうかと、この動作を促す状況(解雇された従業員が退社する前に外部サーバーにファイルをアップロードするなど)が発生したかどうかを確認します。

調査結果に関するコメントを残します。

  • [アラートの詳細( alert detail)] で、[このアラートに関するコメント(Comment on this alert)] を入力し、[コメント(Comment)] をクリックします。

Secure Cloud Analytics を使用して問題を解決する

悪意のある動作によってアラートが発生した場合は、悪意のある動作を修正します。次に例を示します。

  • 悪意のあるエンティティまたはユーザーがネットワーク外からのログインを試みた場合は、ファイアウォールルールとファイアウォール構成を更新して、それらのエンティティまたはユーザーがネットワークにアクセスできないようにします。

  • エンティティが不正または悪意のあるドメインにアクセスを試みた場合は、影響を受けるエンティティを調べて、マルウェアが原因かどうかを判断します。悪意のある DNS リダイレクトがある場合は、ネットワーク上の他のエンティティが影響を受けているかどうか、またはボットネットの一部であるかどうかを判断します。これがユーザーによる意図である場合は、ファイアウォール設定のテストなど、正当な理由があるかどうかを判断します。ファイアウォールルールとファイアウォール構成を更新して、ドメインへのそれ以上のアクセスを防止します。

  • エンティティが過去のエンティティモデルの動作と異なる動作を示している場合は、動作の変更が意図されたものかどうかを判断します。意図されたものでない場合は、変更の責任がネットワーク上の承認されたユーザーにあるかどうかを調べます。ネットワークの外部にあるエンティティが関係している場合は、ファイアウォールルールとファイアウォール構成を更新して意図せぬ動作に対処します。

  • 脆弱性またはエクスプロイトを特定した場合は、影響を受けるエンティティを更新したり、それらにパッチを適用して脆弱性を削除するか、ファイアウォール構成を更新して不正アクセスを防止します。ネットワーク上の他のエンティティが同様に影響を受ける可能性があるかどうかを判断し、それらのエンティティに同じ更新またはパッチを適用します。現時点で脆弱性またはエクスプロイトを修正する手段がない場合は、該当するベンダーに連絡し、それらを通知してください。

  • マルウェアを特定した場合は、エンティティを隔離してマルウェアを削除します。ファイアウォールファイルおよびマルウェアイベントを確認してネットワーク上の他のエンティティが危険にさらされているかどうかを判断し、エンティティを検疫および更新して、このマルウェアが広がることを防止します。このマルウェアまたはこのマルウェアの原因となったエンティティに関する情報によってセキュリティ情報を更新してください。ファイアウォールのアクセス制御およびファイルとマルウェアルールを更新して、今後このマルウェアがネットワークに感染するのを防ぎます。必要に応じてベンダーに通知してください。

  • 悪意のある動作によってデータが漏洩した場合は、許可されていないソースに送信されたデータの性質を確認します。不正なデータ漏洩に関する組織の規定に従ってください。ファイアウォール構成を更新して、このソースによる今後のデータ漏洩の試みを防ぎます。

アラートの更新とクローズ

調査結果に基づいてタグを追加する。

手順

ステップ 1

Secure Cloud Analytics ポータルの UI で、[監視(Monitor)] > [アラート(Alerts)] を選択します。 >

ステップ 2

ドロップダウンから 1 つ以上のタグを選択します。

調査結果と実行された修正手順を説明する最終コメントを追加する。

  • アラートの詳細で、このアラートに関するコメントを入力し、[コメント(Comment)] をクリックします。

アラートをクローズして、有用だったかどうかをマークする。

  1. アラートの詳細から、[アラートをクローズ(Close Alert)] をクリックします。

  2. アラートが有用だった場合は [はい(Yes)] を、アラートが有用でなかった場合は [いいえ(No)] を選択します。これはアラートが悪意のある動作に起因するかどうかではなく、単にアラートが組織にとって有用であったかどうかを意味します。

  3. [保存(Save)] をクリックします。

次のタスク

クローズしたアラートをオープンする

クローズしたアラートに関連する追加情報を検出した場合、またはそのアラートに関連するコメントを追加する場合は、そのアラートを再度開いてステータスを [オープン(Open)] に変更できます。その後、必要に応じてアラートを変更し、追加調査が完了したら再度閉じます。

クローズしたアラートをオープンする

  • クローズしたアラートの詳細から、[アラートを再オープン(Reopen Alert)] をクリックします。

アラートの優先順位を変更する

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

アラート タイプにはデフォルトの優先順位が設定されています。これは、このタイプのアラートを生成するシステムの機密性に影響します。アラートの優先順位は、シスコのインテリジェンスおよびその他の要因に基づいて、[低(low)] または [通常(normal)] にデフォルト設定されます。ネットワーク環境に基づいて、関心のある特定のアラートを強調するために、アラートタイプの優先順位を変更することができます。アラートタイプの優先順位は、[低(low)]、[通常(normal)]、または [高(high)] に設定できます。

  • [モニター(Monitor)] > [アラート(Alerts)] を選択します。

  • 設定のドロップダウンアイコン()をクリックし、[アラートのタイプと優先順位(Alert Types and Priorities)] を選択します。

  • アラートタイプの横にある編集のアイコン()をクリックし、[低(low)]、[中(medium)]、または [高(high)] を選択して優先順位を変更します。

ライブイベントを表示する

[ライブ(Live)] イベントページには、入力したフィルタおよび検索条件に一致する、直近 500 件のイベントが表示されます。[ライブ(Live)] ページに最大数である 500 のイベントが表示されており、さらに表示されるイベントが追加されると、Security Cloud Control は最新のライブイベントを表示し、最も古いライブイベントを [履歴(Historical)] イベントページに転送します。これにより、ライブイベントの総数が 500 に維持されます。この転送には、約 1 分を要します。フィルタリング基準を追加しない場合は、イベントを記録するように設定されたルールによって生成された最新の 500 のライブイベントがすべて表示されます。

イベントのタイムスタンプは UTC で表示されます。

ライブイベントが再生中か一時停止中かにかかわらず、フィルタリング基準を変更すると、イベント画面がクリアされ、収集プロセスが再開されます。

Security Cloud Control イベントビューアでライブイベントを表示するには、次の手順を実行します。

手順

ステップ 1

左側のペインで、[イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

[ライブ(Live)] タブをクリックします。

次のタスク

次の関連情報を参照して、イベントを再生および一時停止する方法を確認します。

ライブイベントの再生/一時停止

ライブイベントのストリーミング中に「再生」または「一時停止」できます。ライブイベントが「再生中」の場合、Security Cloud Control は、イベントビューアで指定されたフィルタ基準に一致するイベントを受信順に表示します。イベントが一時停止された場合、ライブイベントの再生を再開するまで、Security Cloud Control はライブイベントページを更新しません。イベントの再生を再開すると、Security Cloud Control は、イベントの再生を再開した時点からライブページにイベントの入力を開始します。見逃したイベントが遡って再生されることはありません。

ライブイベントのストリーミングを再生または一時停止したかどうかにかかわらず、Security Cloud Control が受信したすべてのイベントを表示するには、[履歴(Historical)] タブをクリックします。

ライブイベントの自動一時停止

イベントを約 5 分間連続して表示した後、Security Cloud Control は、ライブイベントのストリーミングを一時停止しようとしていることを警告します。その時点で、リンクをクリックしてライブイベントのストリーミングをさらに 5 分間継続するか、ストリーミングを停止することができます。準備ができたら、ライブイベントのストリーミングを再開できます。

イベントの受信と報告

Secure Event Connector(SEC)がイベントを受信してから、Security Cloud Control がライブイベントビューアにイベントを投稿するまでに、わずかに遅れが生じる場合があります。ライブページで遅延を確認できます。イベントのタイムスタンプは、SEC がイベントを受信した時刻です。

履歴イベントの表示

[ライブ(Live)] イベントページには、入力したフィルタおよび検索条件に一致する、直近 500 件のイベントが表示されます。直近の 500 件より古いイベントは、[履歴(Historical)] イベントテーブルに転送されます。この転送には、約 1 分を要します。その後、保存したすべてのイベントをフィルタリングして、探しているイベントを見つけることができます。

履歴イベントを表示するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

[履歴(Historic)] タブをクリックします。デフォルトでは、[履歴(Historic)] イベントテーブルを開くと、フィルタは過去 1 時間以内に収集されたイベントを表示するように設定されています。

イベントの属性は、Firepower Device Manager(FDM)または Adaptive Security Device Manager(ASDM)によって報告されるものとほぼ同じです。

イベントビューのカスタマイズ

[イベントロギング(Event Logging)] ページに加えられた変更は、このページから移動して後で戻ったときに備えて自動的に保存されます。


(注)  

ライブイベントと履歴イベントビューの設定は同じです。イベントビューをカスタマイズすると、変更はライブビューと履歴ビューの両方に適用されます。

列の表示/非表示

ライブイベントと履歴イベントの両方のイベントビューを変更して、必要なビューに適用される列ヘッダーのみを含めることができます。列の右側にある列フィルタアイコン をクリックし、必要な列を選択または選択解除して、[適用(Apply)] をクリックします。

図 1. 列の表示/非表示
[テーブルのカスタマイズ(Customize Table)] ペインのスクリーンキャプチャ

アスタリスクの付いた列は、デフォルトでイベントテーブル内に含まれますが、いつでも削除できます。

列の検索と追加

デフォルトリストに含まれていない列をさらに検索し、ライブイベントと履歴イベントの両方のイベントビューに追加できます。テーブルをカスタマイズして多くの列を追加すると、パフォーマンスが低下する可能性があるので注意してください。データの取得を高速化するために、使用する列の数は減らすようにしてください。

または、イベントの横にある [+] アイコンをクリックして展開し、非表示の列を表示します。イベントを展開したときに表示されるイベントフィールドの一部は、対応する列名とは異なる名前を持つ場合があることに注意してください。イベントを展開したときに表示されるイベントフィールドを対応する列名に関連付けるには、「Threat Defense のイベントフィールドと列名の関連付け」を参照してください。

列の並べ替え

イベントテーブルの列を並べ替えることができます。列の右側にある列フィルタアイコン をクリックし、選択した列のリストを表示します。次に、列をドラッグアンドドロップして希望する順序に並べ替えます。ドロップダウンメニューのリストの一番上にある列が、イベントテーブルの左端の列として表示されます。

脅威防御 イベントフィールドと列名の関連付け

Security Cloud Control [イベントロギング(Event Logging)] ページで、任意のイベントをクリックして詳細を展開し、関連するすべてのイベントフィールドを表示できます。一部のイベントフィールドの名前は、これらのフィールドの値が表示される Security Cloud Control イベントビューアの列ヘッダーの名前と異なる場合があることに注意してください。次の表に、列名が異なる 脅威に対する防御 イベントフィールドと、脅威に対する防御 イベントフィールドとそれぞれの列名の比較を示します。

表 1. 脅威防御イベントフィールドと対応する Security Cloud Control 列名

Security Cloud Control 列名

FTD イベントフィールド

Date/Time

Timestamp

[Detection Type]

ClientAppDetector

[暗号化された可視性フィンガープリント(Encrypted Visibility Fingerprint)]

EVE_Fingerprint

[暗号化された可視性プロセス名(Encrypted Visibility Process Name)]

EVE_Process

[暗号化された可視性プロセスの信頼スコア(Encrypted Visibility Process Confidence Score)]

EVE_ProcessConfidencePct

[暗号化された可視性脅威の信頼度(Encrypted Visibility Threat Confidence)]

EVE_ThreatConfidenceIndex

[暗号化された可視性脅威の信頼スコア(Encrypted Visibility Threat Confidence Score)]

EVE_ThreatConfidencePct

MITRE

MitreAttackGroups

NAT 送信元 IP(NAT Source IP)

NAT_InitiatorIP

NAT 送信元ポート(NAT Source Port)

NAT_InitiatorPort

ルールグループ

SnortRuleGroup

イベントロギングページのカラムの表示および非表示

[イベントロギング(Event Logging)] ページには、構成済み ASA および FDM による管理デバイスから Cisco Cloud に送信された ASA および FTD Syslog イベントと、ASA NetFlow セキュアイベントロギング(NSEL)イベントが表示されます。

テーブルで表示/非表示ウィジェットを使用して、[イベントロギング(Event Logging)] ページの列を表示したり非表示にしたりできます。

手順

ステップ 1

左側のペインで、[イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

テーブルの右端までスクロールし、列フィルタアイコン をクリックします。

ステップ 3

表示する列のチェックボックスをオンにし、非表示にする列のチェックボックスをオフにします。

列が再び表示されるか非表示にされるまで、表示するように選択した列がテナントにログインしている他のユーザーにも表示されます。

以下の表は、デフォルトの列ヘッダーについて説明しています。

カラム ヘッダ

説明

Date/Time

デバイスがイベントを生成した時間。デフォルトでは、イベントタイムスタンプはローカルタイムゾーンで表示されます。イベントのタイムスタンプを UTC で表示するには、イベントタイムスタンプのタイムゾーンの変更を参照してください。

デバイスタイプ

FTD(Firepower Threat Defense)

イベントタイプ

この複合列には、以下のいずれかを含めることができます。

  • FTD イベントタイプ

    • 接続(Connection):アクセスコントロールルールからの接続イベントを表示します。

    • ファイル(File):アクセスコントロールルールのファイルポリシーによって報告されたイベントを表示します。

    • 侵入(Intrusion):アクセスコントロールルールの侵入ポリシーによって報告されたイベントを表示します。

    • マルウェア(Malware):アクセスコントロールルールのマルウェアポリシーによって報告されたイベントを表示します。

  • ASAイベントタイプ(ASA Event Types):これらのイベントタイプは、syslog または NetFlow イベントのグループを表します。syslog ID または NetFlow ID が含まれているグループの詳細については、『ASA イベントタイプ』を参照してください。

    • 解析されたイベント(Parsed Events):解析された syslog イベントには、他の syslog イベントよりも多くのイベント属性が含まれており、Security Cloud Control はそれらの属性に基づいて検索結果をより迅速に返すことができます。解析されたイベントはフィルタリングカテゴリではありませんが、解析されたイベント ID は、[イベントタイプ(Event Types)] 列に斜体で表示されます。斜体で表示されていないイベント ID は解析されていません。

    • ASA NetFlow イベント ID:ASAからのすべての NetFlow(NSEL)イベントがここに表示されます。

センサー ID(Sensor ID)

センサー ID は、イベントを Secure Event Connector に送信する IP アドレスです。これは通常、Firepower Threat Defense または ASA の管理インターフェイスです。

[イニシエータ IP(Initiator IP)]

これは、ネットワークトラフィックの送信元の IP アドレスです。イニシエータ アドレス フィールドの値は、イベントの詳細の InitiatorIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

レスポンダ IP(Responder IP)

これは、パケットの宛先 IP アドレスです。宛先アドレスフィールドの値は、イベントの詳細の ResponderIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

ポート

セッションレスポンダが使用するポートまたは ICMP コードです。宛先ポートの値は、イベントの詳細の ResponderPort の値に対応します

プロトコル

これは、イベントのプロトコルを表します。

操作

ルールによって定義されたセキュリティアクションを指定します。入力する値は、検索対象と完全に一致する必要がありますが、大文字小文字は関係ありません。各イベントタイプ(接続、ファイル、侵入、マルウェア、syslog、および NetFlow)に異なる値を入力します。

  • 接続イベントタイプの場合、フィルタは AC_RuleAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

  • ファイルイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

  • 侵入イベントタイプの場合、フィルタは InLineResult 属性で一致を検索します。それらの値は、Allowed、Blocked、Trusted の可能性があります。

  • マルウェアイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、クラウド ルックアップ タイムアウトである可能性があります。

  • syslog および NetFlow イベントタイプの場合、フィルタは Action 属性で一致を検索します。

ポリシー

イベントをトリガーしたポリシーの名前です。名前は ASA および FDM による管理デバイスによって異なります。

イベントタイムスタンプのタイムゾーンの変更

Security Cloud Control の [イベントロギング(Event Logging)] ページで、イベントタイムスタンプのタイムゾーン表示を変更します。

手順

ステップ 1

左側のペインで [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

[イベントロギング(Event Logging)] ページの右上にある [UTC時間(UTC Time)] ボタンまたは [ローカル時間(Local Time)] ボタンをクリックすると、選択したタイムゾーンのイベントタイムスタンプが表示されます。

デフォルトでは、イベントタイムスタンプはローカルタイムゾーンで表示されます。

カスタマイズ可能なイベントフィルタ

Secure Logging Analytics(SaaS)のお客様は、頻繁に使用するカスタムフィルタを作成して保存できます。

フィルタの要素は、設定時にフィルタのタブに保存されます。[イベントロギング(Event Logging)] ページに戻るたびに、これらの検索機能を使用できます。テナントの他の Security Cloud Control ユーザーは使用できません。複数のテナントを管理している場合、別のテナントでは使用できません。


(注)  

フィルタのタブで作業しているときにフィルタ条件を変更すると、加えられた変更はカスタムフィルタのタブに自動的に保存されることに注意してください。

手順

ステップ 1

メインメニューから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

値の [検索(Search)] フィールドをクリアします。

ステップ 3

イベントテーブルの上にある青いプラスボタンをクリックして、[表示(View)] タブを追加します。フィルタ表示には、名前を付けるまで、[表示1(View 1)]、[表示2(View 2)]、[表示3(View 3)] のようにラベルが付けられます。

ステップ 4

ビューのタブを選択します。

ステップ 5

フィルタバーを開き、カスタムフィルタに必要なフィルタ属性を選択します。「イベントロギングページでのイベントの検索とフィルタリング」を参照してください。カスタムフィルタにはフィルタ属性のみが保存されることに注意してください。

ステップ 6

[イベントロギング(Event Logging)] テーブルに表示する列をカスタマイズします。列の表示と非表示については、「イベントロギングページのカラムの表示および非表示」を参照してください。

ステップ 7

[表示X(View X)] ラベルの付いたフィルタタブをダブルクリックし、名前を変更します。

ステップ 8

(オプション)カスタムフィルタを作成したので、[検索(Search)] フィールドに検索条件を追加することにより、カスタムフィルタを変更せずに、[イベントロギング(Event Logging)] ページに表示される結果を微調整できます。「イベントロギングページでのイベントの検索とフィルタリング」を参照してください。

Security Analytics and Logging のイベント属性

イベント属性の説明

Security Cloud Control によって使用されるイベント属性の説明は、Firepower Device Manager(FDM)および Adaptive Security Device Manager(ASDM)によって報告されるものとほぼ同じです。

一部の ASA syslog イベントは「解析」され、その他には、属性値ペアを使用してイベントログテーブルの内容をフィルタリングするときに使用できる追加の属性があります。syslog イベントのその他の重要な属性については、次の追加トピックを参照してください。

一部の Syslog メッセージの EventGroup および EventGroupDefinition 属性

一部の syslog イベントには、追加の属性「EventGroup」および「EventGroupDefinition」があります。属性:値のペアでフィルタ処理することにより、これらの追加属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。たとえば、イベントロギングテーブルの [検索(search)] フィールドに「apfw:415*」と入力して、アプリケーション ファイアウォール イベントをフィルタできます。

syslog メッセージのクラスおよび関連付けられているメッセージ ID 番号

EventGroup

EventGroupDefinition

Syslog メッセージ ID 番号(最初の 3 桁)
aaa/auth ユーザ認証 109、113
acl/session アクセスリスト/ユーザーセッション 106
apfw アプリケーション ファイアウォール 415
ブリッジ トランスペアレント ファイアウォール 110、220
ca PKI 証明機関 717
citrix Citrix クライアント 723
clst クラスタリング 747
cmgr カード管理 323
config コマンド インターフェイス 111、112、208、308
csd セキュアなデスクトップ 724
cts Cisco TrustSec 776
dap ダイナミック アクセス ポリシー 734
eap、eapoudp ネットワーク アドミッション コントロール用の EAP または EAPoUDP 333、334
eigrp EIGRP ルーティング 336
email 電子メール プロキシ 719
ipaa/envmon 環境モニタリング 735
ha フェールオーバー 101、102、103、104、105、210、311、709
idfw Identity-Based ファイアウォール 746
ids 侵入検知システム 733
ids/ips 侵入検知システム/侵入防御システム 400
ikev2 IKEv2 ツールキット 750、751、752
ip IP スタック 209、215、313、317、408
ipaa IP アドレスの割り当て 735
ips 侵入防御システム 401、420
ipv6 IPv6 325
l4tm ブロックリスト、許可リスト、グレーリスト 338
lic ライセンシング 444
mdm-proxy MDM プロキシ 802
nac ネットワーク アドミッション コントロール 731、732
vpn/nap IKE と IPsec /ネットワーク アクセス ポイント 713
np ネットワーク プロセッサ 319
ospf OSPF ルーティング 318、409、503、613
passwd パスワードの暗号化 742
pp Phone Proxy 337
rip RIP ルーティング 107、312
rm Resource Manager 321
sch Smart Call Home 120
session ユーザ セッション 108、201、202、204、302、303、304、314、405、406、407、500、502、607、608、609、616、620、703、710
session/natpat ユーザーセッション/NAT および PAT 305
snmp SNMP 212
ssafe ScanSafe 775
ssl/np ssl SSL スタック/NP SSL 725
svc SSL VPN クライアント 722
sys システム 199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741
tre トランザクション ルール エンジン 780
ucime UC-IME 339
tag-switching サービス タグ スイッチング 779
td 脅威の検出 733
vm VLAN マッピング 730
vpdn PPTP および L2TP セッション 213、403、603
vpn IKE および IPsec 316、320、402、404、501、602、702、713、714、715
vpnc VPN クライアント 611
vpnfo VPN フェールオーバー 720
vpnlb VPN ロード バランシング 718
vxlan VXLAN 778
webfo WebVPN フェールオーバー 721
webvpn WebVPN および AnyConnect クライアント 716
session/natpat ユーザーセッション/NAT および PAT 305

Syslog イベントの EventName 属性

一部の syslog イベントには、追加の属性「EventName」があります。属性:値のペアでフィルタ処理することにより、EventName 属性を使用してイベントテーブルをフィルタ処理し、イベントを見つけることができます。たとえば、[イベントロギング(Event Logging)] テーブルの検索フィールドに「EventName:"Denied IP Packet"」と入力することで、「Denied IP packet」のイベントをフィルタリングできます。

Syslog イベント ID とイベント名のテーブル

AAA Syslog イベント ID とイベント名

EventID

EventName

109001

AAA Begin

109002

AAA Failed

109003

AAA Server Failed

109005

Authentication Success

109006

認証に失敗

109007

Authorization Success

109008

「許可に失敗しました(Authorization Failed)」

109010

AAA Pending

109011

AAA Session Started

109012

AAA Session Ended

109013

AAA

109014

AAA Failed

109016

AAA ACL not found

109017

AAA Limit Reach

109018

AAA ACL Empty

109019

AAA ACL error

109020

AAA ACL error

109021

AAA error

109022

AAA HTTP limit reached

109023

AAA auth required

109024

「許可に失敗しました(Authorization Failed)」

109025

「許可に失敗しました(Authorization Failed)」

109026

AAA error

109027

AAA Server error

109028

AAA Bypassed

109029

AAA ACL error

109030

AAA ACL error

109031

認証に失敗

109032

AAA ACL error

109033

認証に失敗

109034

認証に失敗

109035

AAA Limit Reach

113001

AAA Session limit reach

113003

AAA overridden

113004

AAA Successful

113005

Authorization Rejected

113006

AAA user locked

113007

AAA User unlocked

113008

AAA successful

113009

AAA retrieved

113010

AAA Challenge received

113011

AAA retrieved

113012

認証成功

113013

AAA error

113014

AAA error

113015

認証を却下

113016

AAA Rejected

113017

AAA Rejected

113018

AAA ACL error

113019

AAA Disconnected

113020

AAA error

113021

AAA Logging Fail

113022

AAA Failed

113023

AAA reactivated

113024

AAA Client certification

113025

AAA Authentication fail

113026

AAA error

113027

AAA error

ボットネット Syslog イベント ID とイベント名

EventID

EventName

338001

Botnet Source Block List

338002

Botnet Destination Block List

338003

Botnet Source Block List

338004

Botnet Destination Block List

338101

Botnet Source Allow List

338102

Botnet destination Allow List

338202

Botnet destination Grey

338203

Botnet Source Grey

338204

Botnet Destination Grey

338301

Botnet DNS Intercepted

338302

Botnet DNS

338303

Botnet DNS

338304

Botnet Download successful

338305

Botnet Download failed

338306

Botnet Authentication failed

338307

Botnet Decrypt failed

338308

Botnet Client

338309

Botnet Client

338310

Botnet dyn filter failed

フェールオーバー Syslog イベント ID とイベント名

EventID

EventName

101001

Failover Cable OK

101002

Failover Cable BAD

101003

Failover Cable not connected

101004

Failover Cable not connected

101005

Failover Cable reading error

102001

Failover Power failure

103001

No response from failover mate

103002

Failover mate interface OK

103003

Failover mate interface BAD

103004

Failover mate reports failure

103005

Failover mate reports self failure

103006

Failover version incompatible

103007

Failover version difference

104001

Failover role switch

104002

Failover role switch

104003

Failover unit failed

104004

Failover unit OK

106100

Permit/Denied by ACL

210001

Stateful Failover error

210002

Stateful Failover error

210003

Stateful Failover error

210005

Stateful Failover error

210006

Stateful Failover error

210007

Stateful Failover error

210008

Stateful Failover error

210010

Stateful Failover error

210020

Stateful Failover error

210021

Stateful Failover error

210022

Stateful Failover error

311001

Stateful Failover update

311002

Stateful Failover update

311003

Stateful Failover update

311004

Stateful Failover update

418001

Denied Packet to Management

709001

Failover replication error

709002

Failover replication error

709003

Failover replication start

709004

Failover replication complete

709005

Failover receive replication start

709006

Failover receive replication complete

709007

Failover replication failure

710003

Denied access to Device

ファイアウォール拒否 Syslog イベント ID とイベント名

EventID

EventName

106001

Denied by Security Policy

106002

Outbound Deny

106006

Denied by Security Policy

106007

Denied Inbound UDP

106008

Denied by Security Policy

106010

Denied by Security Policy

106011

Denied Inbound

106012

Denied due to Bad IP option

106013

Dropped Ping to PAT IP

106014

Denied Inbound ICMP

106015

Denied by Security Policy

106016

Denied IP Spoof

106017

Denied due to Land Attack

106018

Denied outbound ICMP

106020

Denied IP Packet

106021

Denied TCP

106022

Denied Spoof packet

106023

Denied IP Packet

106025

Dropped Packet failed to Detect context

106026

Dropped Packet failed to Detect context

106027

Dropped Packet failed to Detect context

106100

Permit/Denied by ACL

418001

Denied Packet to Management

710003

Denied access to Device

ファイアウォール トラフィック Syslog イベント ID とイベント名

EventID

EventName

108001

Inspect SMTP

108002

Inspect SMTP

108003

Inspect ESMTP Dropped

108004

Inspect ESMTP

108005

Inspect ESMTP

108006

Inspect ESMTP Violation

108007

Inspect ESMTP

110002

No Router found

110003

Failed to Find Next hop

209003

Fragment Limit Reach

209004

Fragment invalid Length

209005

Fragment IP discard

302003

H245 Connection Start

302004

H323 Connection start

302009

Restart TCP

302010

Connection USAGE

302012

H225 CALL SIGNAL CONN

302013

Built TCP

302014

Teardown TCP

302015

Built UDP

302016

Teardown UDP

302017

Built GRE

302018

Teardown GRE

302019

H323 Failed

302020

Built ICMP

302021

Teardown ICMP

302022

Built TCP Stub

302023

Teardown TCP Stub

302024

Built UDP Stub

302025

Teardown UDP Stub

302026

Built ICMP Stub

302027

Teardown ICMP Stub

302033

Connection H323

302034

H323 Connection Failed

302035

Built SCTP

302036

Teardown SCTP

303002

FTP file download/upload

303003

Inspect FTP Dropped

303004

Inspect FTP Dropped

303005

Inspect FTP reset

313001

ICMP Denied

313004

ICMP Drop

313005

ICMP Error Msg Drop

313008

ICMP ipv6 Denied

324000

GTP Pkt Drop

324001

GTP Pkt Error

324002

メモリ エラー

324003

GTP Pkt Drop

324004

GTP Version Not Supported

324005

GTP Tunnel Failed

324006

GTP Tunnel Failed

324007

GTP Tunnel Failed

337001

Phone Proxy SRTP Failed

337002

Phone Proxy SRTP Failed

337003

Phone Proxy SRTP Auth Fail

337004

Phone Proxy SRTP Auth Fail

337005

Phone Proxy SRTP no Media Session

337006

Phone Proxy TFTP Unable to Create File

337007

Phone Proxy TFTP Unable to Find File

337008

Phone Proxy Call Failed

337009

Phone Proxy Unable to Create Phone Entry

400000

IPS IP options-Bad Option List

400001

IPS IP options-Record Packet Route

400002

IPS IP options-Timestamp

400003

IPS IP options-Security

400004

IPS IP options-Loose Source Route

400005

IPS IP options-SATNET ID

400006

IPS IP options-Strict Source Route

400007

IPS IP Fragment Attack

400008

IPS IP Impossible Packet

400009

IPS IP Fragments Overlap

400010

IPS ICMP Echo Reply

400011

IPS ICMP Host Unreachable

400012

IPS ICMP Source Quench

400013

IPS ICMP Redirect

400014

IPS ICMP Echo Request

400015

IPS ICMP Time Exceeded for a Datagram

400017

IPS ICMP Timestamp Request

400018

IPS ICMP Timestamp Reply

400019

IPS ICMP Information Request

400020

IPS ICMP Information Reply

400021

IPS ICMP Address Mask Request

400022

IPS ICMP Address Mask Reply

400023

IPS Fragmented ICMP Traffic

400024

IPS Large ICMP Traffic

400025

IPS Ping of Death Attack

400026

IPS TCP NULL flags

400027

IPS TCP SYN+FIN flags

400028

IPS TCP FIN only flags

400029

IPS FTP Improper Address Specified

400030

IPS FTP Improper Port Specified

400031

IPS UDP Bomb attack

400032

IPS UDP Snork attack

400033

IPS UDP Chargen DoS attack

400034

IPS DNS HINFO Request

400035

IPS DNS Zone Transfer

400036

IPS DNS Zone Transfer from High Port

400037

IPS DNS Request for All Records

400038

IPS RPC Port Registration

400039

IPS RPC Port Unregistration

400040

IPS RPC Dump

400041

IPS Proxied RPC Request

400042

IPS YP server Portmap Request

400043

IPS YP bind Portmap Request

400044

IPS YP password Portmap Request

400045

IPS YP update Portmap Request

400046

IPS YP transfer Portmap Request

400047

IPS Mount Portmap Request

400048

IPS Remote execution Portmap Request

400049

IPS Remote execution Attempt

400050

IPS Statd Buffer Overflow

406001

Inspect FTP Dropped

406002

Inspect FTP Dropped

407001

Host Limit Reach

407002

Embryonic limit Reached

407003

Established limit Reached

415001

Inspect Http Header Field Count

415002

Inspect Http Header Field Length

415003

Inspect Http body Length

415004

Inspect Http content-type

415005

Inspect Http URL length

415006

Inspect Http URL Match

415007

Inspect Http Body Match

415008

Inspect Http Header match

415009

Inspect Http Method match

415010

Inspect transfer encode match

415011

Inspect Http Protocol Violation

415012

Inspect Http Content-type

415013

Inspect Http Malformed

415014

Inspect Http Mime-Type

415015

Inspect Http Transfer-encoding

415016

Inspect Http Unanswered

415017

Inspect Http Argument match

415018

Inspect Http Header length

415019

Inspect Http status Matched

415020

Inspect Http non-ASCII

416001

Inspect SNMP dropped

419001

Dropped packet

419002

Duplicate TCP SYN

419003

Packet modified

424001

Denied Packet

424002

Dropped Packet

431001

Dropped RTP

431002

Dropped RTCP

500001

Inspect ActiveX

500002

Inspect Java

500003

Inspect TCP Header

500004

Inspect TCP Header

500005

Inspect Connection Terminated

508001

Inspect DCERPC Dropped

508002

Inspect DCERPC Dropped

509001

Prevented No Forward Cmd

607001

Inspect SIP

607002

Inspect SIP

607003

Inspect SIP

608001

Inspect Skinny

608002

Inspect Skinny dropped

608003

Inspect Skinny dropped

608004

Inspect Skinny dropped

608005

Inspect Skinny dropped

609001

Built Local-Host

609002

Teardown Local Host

703001

H225 Unsupported Version

703002

H225 Connection

726001

Inspect Instant Message

アイデンティティ ベース ファイアウォール Syslog イベント ID とイベント名

EventID

EventName

746001

Import started

746002

Import complete

746003

Import failed

746004

Exceed user group limit

746005

AD Agent down

746006

AD Agent out of sync

746007

Netbios response failed

746008

Netbios started

746009

Netbios stopped

746010

Import user failed

746011

Exceed user limit

746012

User IP add

746013

User IP delete

746014

FQDN Obsolete

746015

FQDN resolved

746016

DNS lookup failed

746017

Import user issued

746018

Import user done

746019

Update AD Agent failed

IPSec Syslog イベント ID とイベント名

EventID

EventName
402114 Invalid SPI received
402115 Unexpected protocol received
402116 Packet doesn't match identity
402117 Non-IPSEC packet received
402118 Invalid fragment offset
402119 Anti-Replay check failure
402120 Authentication failure(認証失敗)
402121 Packet dropped
426101 cLACP Port Bundle
426102 cLACP Port Standby
426103 cLACP Port Moved To Bundle From Standby
426104 cLACP Port Unbundled
602103 Path MTU updated
602104 Path MTU exceeded
602303 New SA created
602304 SA deleted
702305 SA expiration - Sequence rollover
702307 SA expiration - Data rollover

NAT Syslog イベント ID とイベント名

EventID

EventName
201002 Max connection Exceeded for host
201003 Embryonic limit exceed
201004 UDP connection limit exceed
201005 FTP connection failed
201006 RCMD connection failed
201008 New connection Disallowed
201009 Connection Limit exceed
201010 Embryonic Connection limit exceeded
201011 接続制限の超過
201012 Per-client embryonic connection limit exceeded
201013 Per-client connection limit exceeded
202001 Global NAT exhausted
202005 Embryonic connection error
202011 Connection limit exceeded
305005 No NAT group found
305006 Translation failed
305007 Connection dropped
305008 NAT allocation issue
305009 NAT Created
305010 NAT teardown
305011 PAT created
305012 PAT teardown
305013 Connection denied

SSL VPN Syslog イベント ID とイベント名

EventID

EventName
716001 WebVPN Session Started
716002 WebVPN Session Terminated
716003 WebVPN User URL access
716004 WebVPN User URL access denied
716005 WebVPN ACL error
716006 WebVPN User Disabled
716007 WebVPN Unable to Create
716008 WebVPN Debug
716009 WebVPN ACL error
716010 WebVPN User access network
716011 WebVPN User access
716012 WebVPN User Directory access
716013 WebVPN User file access
716014 WebVPN User file access
716015 WebVPN User file access
716016 WebVPN User file access
716017 WebVPN User file access
716018 WebVPN User file access
716019 WebVPN User file access
716020 WebVPN User file access
716021 WebVPN user access file denied
716022 WebVPN Unable to connect proxy
716023 WebVPN session limit reached
716024 WebVPN User access error
716025 WebVPN User access error
716026 WebVPN User access error
716027 WebVPN User access error
716028 WebVPN User access error
716029 WebVPN User access error
716030 WebVPN User access error
716031 WebVPN User access error
716032 WebVPN User access error
716033 WebVPN User access error
716034 WebVPN User access error
716035 WebVPN User access error
716036 WebVPN User login successful
716037 WebVPN User login failed
716038 WebVPN User Authentication Successful
716039 WebVPN User Authentication Rejected
716040 WebVPN User logging denied
716041 WebVPN ACL hit count
716042 WebVPN ACL hit
716043 WebVPN Port forwarding
716044 WebVPN Bad Parameter
716045 WebVPN Invalid Parameter
716046 WebVPN connection terminated
716047 WebVPN ACL usage
716048 WebVPN memory issue
716049 WebVPN Empty SVC ACL
716050 WebVPN ACL error
716051 WebVPN ACL error
716052 WebVPN Session Terminated
716053 WebVPN SSO Server added
716054 WebVPN SSO Server deleted
716055 WebVPN Authentication Successful
716056 WebVPN Authentication Failed
716057 WebVPN Session terminated
716058 WebVPN Session lost
716059 WebVPN Session resumed
716060 WebVPN Session Terminated
722001 WebVPN SVC Connect request error
722002 WebVPN SVC Connect request error
722003 WebVPN SVC Connect request error
722004 WebVPN SVC Connect request error
722005 WebVPN SVC Connect update issue
722006 WebVPN SVC Invalid address
722007 WebVPN SVC Message
722008 WebVPN SVC Message
722009 WebVPN SVC Message
722010 WebVPN SVC Message
722011 WebVPN SVC Message
722012 WebVPN SVC Message
722013 WebVPN SVC Message
722014 WebVPN SVC Message
722015 WebVPN SVC invalid frame
722016 WebVPN SVC invalid frame
722017 WebVPN SVC invalid frame
722018 WebVPN SVC invalid frame
722019 WebVPN SVC Not Enough Data
722020 WebVPN SVC no address
722021 WebVPN Memory issue
722022 WebVPN SVC connection established
722023 WebVPN SVC connection terminated
722024 WebVPN Compression Enabled
722025 WebVPN Compression Disabled
722026 WebVPN Compression reset
722027 WebVPN Decompression reset
722028 WebVPN Connection Closed
722029 WebVPN SVC Session terminated
722030 WebVPN SVC Session terminated
722031 WebVPN SVC Session terminated
722032 WebVPN SVC connection Replacement
722033 WebVPN SVC Connection established
722034 WebVPN SVC New connection
722035 WebVPN Received Large packet
722036 WebVPN transmitting Large packet
722037 WebVPN SVC connection closed
722038 WebVPN SVC session terminated
722039 WebVPN SVC invalid ACL
722040 WebVPN SVC invalid ACL
722041 WebVPN SVC IPv6 not available
722042 WebVPN invalid protocol
722043 WebVPN DTLS disabled
722044 WebVPN unable to request address
722045 WebVPN Connection terminated
722046 WebVPN Session terminated
722047 WebVPN Tunnel terminated
722048 WebVPN Tunnel terminated
722049 WebVPN Session terminated
722050 WebVPN Session terminated
722051 WebVPN address assigned
722053 WebVPN Unknown client
723001 WebVPN Citrix connection Up
723002 WebVPN Citrix connection Down
723003 WebVPN Citrix no memory issue
723004 WebVPN Citrix bad flow control
723005 WebVPN Citrix no channel
723006 WebVPN Citrix SOCKS error
723007 WebVPN Citrix connection list broken
723008 WebVPN Citrix invalid SOCKS
723009 WebVPN Citrix invalid connection
723010 WebVPN Citrix invalid connection
723011 WebVPN citrix Bad SOCKS
723012 WebVPN Citrix Bad SOCKS
723013 WebVPN Citrix invalid connection
723014 WebVPN Citrix connected to Server
724001 WebVPN Session not allowed
724002 WebVPN Session terminated
724003 WebVPN CSD
724004 WebVPN CSD
725001 SSL handshake Started
725002 SSL Handshake completed
725003 SSL Client session resume
725004 SSL Client request Authentication
725005 SSL Server request authentication
725006 SSL Handshake failed
725007 SSL Session terminated
725008 SSL Client Cipher
725009 SSL Server Cipher
725010 SSL Cipher
725011 SSL Device choose Cipher
725012 SSL Device choose Cipher
725013 SSL Server choose cipher
725014 SSL LIB error
725015 SSL client certificate failed

Syslog イベントの時間属性

[イベントロギング(Event Logging)] ページのさまざまなタイムスタンプの目的を理解すると、関心のあるイベントをフィルタリングして見つけるのに役立ちます。

ケース

ラベル

説明

1

日時

Secure Event Connector(SEC)がイベントを処理した時刻。これは、ファイアウォールでそのトラフィックが検査された時刻と同じではない場合があります。タイムスタンプと同じ値。

2

EventSecond

LastPacketSecond と同じです。

3

FirstPacketSecond

接続が開かれた時刻。この時点で、ファイアウォールはパケットを検査します。

FirstPacketSecond の値は、LastPacketSecond から ConnectionDuration を差し引いて計算されます。

接続の開始時にログに記録される接続イベントの場合、FirstPacketSecond、LastPacketSecond、および EventSecond の値はすべて同じになります。

4

LastPacketSecond

接続が閉じた時刻。接続の最後に記録される接続イベントの場合、LastPacketSecond と EventSecond は等しくなります。

5

timestamp

Secure Event Connector(SEC)がイベントを処理した時刻。これは、ファイアウォールでそのトラフィックが検査された時刻と同じではない場合があります。[日時(Date/Time)] と同じ値。

6

syslog タイムスタンプ

「ロギングタイムスタンプ」が使用されている場合、syslog の開始時刻を表します。syslog にこの情報がない場合、SEC がイベントを受信した時刻が反映されます。

7

NetflowTimeStamp

ASA で、NetFlow パケットを埋めてフローコレクタに送信するのに十分なフローレコード/イベントの収集が終了した時刻。

Cisco Secure Cloud Analytics とダイナミック エンティティ モデリング

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

Secure Cloud Analytics は、オンプレミスおよびクラウドベースのネットワーク展開をモニターする Software as a Service(SaaS)ソリューションです。ファイアウォールイベントとネットワークフローデータを含め、ネットワークトラフィックに関する情報を送信元から収集することによって、トラフィックに関する観測内容が作成され、トラフィックパターンに基づいてネットワークエンティティのロールが自動的に識別されます。Cisco Secure Cloud Analytics は、この情報を他の脅威インテリジェンス(Talos など)のソースと組み合わせて使用してアラートを生成します。このアラートは、本質的に悪意のある可能性がある動作の存在を示す警告を構成します。Cisco Secure Cloud Analytics は、このアラートとともに、ネットワークおよびホストの可視性と、収集したコンテキスト情報を提供します。このコンテキスト情報により、アラートを調査して悪意のある動作の原因を特定するためのより優れた基盤が得られます。

ダイナミック エンティティ モデリング

ダイナミック エンティティ モデリングは、ファイアウォールイベントとネットワークフローデータの動作分析を実行することにより、ネットワークの状態を追跡します。Secure Cloud Analytics のコンテキストにおいて、エンティティとは、ネットワーク上のホストやエンドポイントといった、何らかの経時的に追跡できるものです。ダイナミック エンティティ モデリングは、ネットワークで送信されるトラフィックと実行されるアクティビティに基づいて、エンティティに関する情報を収集します。Logging Analytics and Detection ライセンスと統合された Secure Cloud Analytics は、エンティティが通常送信するトラフィックのタイプを判別するために、ファイアウォールイベントやその他のトラフィック情報から引き出すことができます。Total Network Analytics and Monitoring ライセンスを購入すると、Secure Cloud Analytics は、エンティティトラフィックのモデル化に NetFlow およびその他のトラフィック情報を含めることもできます。各エンティティの最新のモデルを維持するため、Secure Cloud Analytics では、エンティティがトラフィックを送信し続け、場合によっては異なるトラフィックを送信する可能性があるため、これらのモデルを徐々に更新します。この情報から、Secure Cloud Analytics は以下を識別します。

  • エンティティのロール:これは、エンティティが通常行うことの記述子です。たとえば、エンティティが、一般に電子メールサーバーに関連付けられるトラフィックを送信する場合、Secure Cloud Analytics は、そのエンティティに電子メールサーバーロールを割り当てます。エンティティは複数のロールを実行する場合があるため、ロールとエンティティの関係は多対 1 である可能性があります。

  • エンティティの観測内容:これは、ネットワーク上でのエンティティの動作に関する事実(外部 IP アドレスとのハートビート接続、別のエンティティとの間で確立されたリモートアクセスセッションなど)です。Security Cloud Control と統合すると、ファイアウォールイベントからこれらの事実を取得できます。Total Network Analytics and Monitoring ライセンスも購入すると、システムは NetFlow から事実を取得し、ファイアウォールイベントと NetFlow の両方から観測内容を生成することもできます。観測内容それ自体は、それらが表すものの事実を超えた意味を持ちません。一般的なお客様は、何千もの観測内容と少数のアラートを持つ可能性があります。

アラートと分析

ロール、観測内容、およびその他の脅威インテリジェンスの組み合わせに基づいて Secure Cloud Analytics が生成するアラートは、潜在的な悪意のある動作をシステムによって識別されたものとして表す実用的な項目です。1 つのアラートが複数の観測内容を表す場合があることに注意してください。ファイアウォールが同じ接続とエンティティに関連する複数の接続イベントをログに記録する場合、アラートが 1 つだけになる可能性があります。

上記の例で言えば、新しい内部デバイスの観測内容だけでは、潜在的な悪意のある動作は構成されません。ただし、時間の経過とともに、エンティティがドメイン コントローラと一致するトラフィックを送信する場合、システムではそのエンティティにドメイン コントローラ ロールが割り当てられます。その後、そのエンティティが、以前に接続を確立していない外部サーバーへの接続を確立し、異常なポートを使用して大量のデータを転送すると、システムは、[新しい大規模接続(外部)(New Large Connection (External))] 観測内容と [例外ドメインコントローラ(Exceptional Domain Controller)] 観測内容をログに記録します。その外部サーバーが Talos ウォッチリストに登録されているものと識別された場合、これらすべての情報の組み合わせにより Secure Cloud Analytics はこのエンティティの動作に関するアラートを生成し、悪意のある動作を調査して対処するように促します。

Secure Cloud Analytics の Web ポータル UI でアラートを開くと、システムがアラートを生成した原因となっている観測内容を確認できます。これらの観測内容から、関連するエンティティに関する追加のコンテキスト(それらが送信したトラフィック、外部脅威インテリジェンス(利用可能な場合)など)も確認できます。また、エンティティが関係性を持っていたその他の観測内容やアラートを確認したり、この動作が他の潜在的に悪意のある動作に結び付いているかどうかを判断することもできます。

Secure Cloud Analytics でアラートを表示して閉じる場合、Secure Cloud Analytics UI からのトラフィックを許可またはブロックできないことに注意してください。デバイスをアクティブモードで展開した場合、ファイアウォール アクセス コントロール ルールを、トラフィックを許可またはブロックするように更新する必要があり、ファイアウォールがパッシブモードで展開されている場合は、ファイアウォール アクセス コントロール ルールを更新する必要があります。

ファイアウォールイベントに基づくアラートの使用

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

アラートのワークフロー

アラートのワークフローは、そのステータスに基づいて異なります。システムによってアラートが生成される場合、そのデフォルト ステータスは [オープン(Open)] であり、ユーザーは割り当てられません。アラートのサマリーを表示すると、デフォルトでは、当面注意が必要なすべてのオープン アラートが表示されます。

注: Total Network Analytics and Monitoring ライセンスを持っている場合、アラートは、NetFlow から生成された観測結果、ファイアウォールイベントから生成された観測結果、または両方のデータ ソースからの観測結果に基づいて生成できます。

アラートのサマリーを確認する際は、初期トリアージとして、アラートにステータスを割り当て、タグ付けし、更新することができます。フィルタ機能と検索機能を使用して、特定のアラートを検索したり、さまざまなステータスのアラートを表示したり、さまざまなタグや割り当て対象を関連付けたりすることができます。アラートのステータスは [スヌーズ(Snoozed)] に設定できます。この場合、そのアラートはスヌーズ期間が経過するまでオープンアラートのリストに表示されません。アラートから [スヌーズ(Snoozed)] ステータスを削除して、再びオープン アラートとして表示されるようにすることもできます。アラートを確認する際は、それらのアラートをそのユーザー自身またはシステム内の別のユーザーに割り当てることができます。ユーザーは、自分のユーザー名に割り当てられているすべてのアラートを検索できます。

アラートのサマリーから、アラートの詳細ページを表示できます。このページでは、このアラートを生成させた、裏付けとなる観測内容に関する追加のコンテキストと、このアラートに関連するエンティティに関する追加のコンテキストを確認できます。この情報は、ネットワーク上の問題をさらに調査して悪意のある動作を潜在的に解決するために実際の問題を特定する上で役立ちます。

Security Cloud Control の Secure Cloud Analytics Web ポータル UI 内やネットワーク上で調査しているときに、発見した内容を説明するコメントをアラートに残すことができます。これは、将来参照できる調査の記録を作成するために役立ちます。

分析が完了したら、ステータスを [クローズ(Closed)] に更新できます。これにより、デフォルトではオープンアラートとして表示されなくなります。将来、状況が変わった場合は、クローズ アラートのステータスを再度オープンにすることもできます。

ここでは、特定のアラートを調査する方法に関する一般的なガイドラインと推奨事項を示します。Secure Cloud Analytics はアラートをログに記録するときに追加のコンテキストを提供するため、このコンテキストを参照しながら調査を進めることができます。

これらの手順は、総合的または包括的であることを意図したものではありません。これらは単にアラートの調査を開始するための一般的な枠組みを提供するためのものです。

一般に、次の手順でアラートを確認できます。

  1. オープンアラートのトリアージ

  2. 後で分析するためにアラートをスヌーズする

  3. 詳細な調査のためのアラートの更新

  4. アラートの確認と調査の開始

  5. エンティティとユーザーの調査

  6. Secure Cloud Analytics を使用して問題を解決する

  7. アラートの更新とクローズ

オープンアラートのトリアージ

特に複数の調査が必要な場合は、オープンアラートのトリアージを行います。

次の質問に答えてください。

  • このアラート タイプを優先度の高いものとして設定しましたか。

  • 影響を受けるサブネットに高い機密性を設定しましたか。

  • この異常な動作はネットワーク上の新しいエンティティによるものですか。

  • エンティティの通常のロールは何ですか。また、このアラートの動作はそのロールにどのように適合しますか。

  • これは、このエンティティの通常の動作からの例外的な逸脱ですか。

  • ユーザーが関与している場合、これはユーザーの予想される動作ですか、それとも例外的な動作ですか。

  • 保護されたデータや機密データが侵害を受けるリスクがありますか。

  • この動作の継続を許可すると、ネットワークへの影響はどの程度深刻になりますか。

  • 外部エンティティとの通信がある場合、それらのエンティティは過去にネットワーク上の他のエンティティとの接続を確立しましたか。

これが優先順位の高いアラートである場合は、調査を進める前に、インターネットからエンティティを隔離するか、隔離しないときは接続を切断することを検討してください。

後で分析するためにアラートをスヌーズする

他のアラートと比較して優先度が低いときに、アラートをスヌーズします。たとえば、組織が電子メールサーバーを FTP サーバーとして再利用する場合、緊急プロファイルアラートが生成されます(エンティティの現在のトラフィックが、以前には一致しなかった動作プロファイルと一致することを示します)。これは想定される動作であるため、このアラートをスヌーズして、後日再検討できます。スヌーズされたアラートは、オープンアラートと一緒に表示されません。これらのスヌーズされたアラートを確認するには、特別にフィルタリングする必要があります。

アラートをスヌーズする:

手順

ステップ 1

[アラートを閉じる(Close Alert)] をクリックします。

ステップ 2

[このアラートをスヌーズ(Snooze this alert)] ペインで、ドロップダウンからスヌーズ期間を選択します。

ステップ 3

[保存(Save)] をクリックします。

次のタスク

スヌーズしたアラートを確認する準備ができたら、アラートのスヌーズを解除できます。これにより、ステータスが [オープン(Open)] に設定され、他のオープンアラートとともにアラートが表示されます。

スヌーズしたアラートのスヌーズを解除する:

  • スヌーズしたアラートから、[アラートのスヌーズ解除(Unsnooze Alert)] をクリックします。

詳細な調査のためのアラートの更新

アラートの詳細情報を確認します。

手順

ステップ 1

[モニター(Monitor)] > [アラート(Alerts)] を選択します。

ステップ 2

アラートタイプ名をクリックします。
次のタスク

初期トリアージと優先順位付けに基づいて、アラートを割り当て、タグを付けます。

  1. [担当者(Assignee)] ドロップダウンからユーザーを選択してアラートを割り当てます。これにより、ユーザーが調査を開始できるようになります。

  2. [タグ(Tags)] ドロップダウンから 1 つ以上のタグを選択して、アラートにタグを追加することにより、将来の識別のためにアラートをより適切に分類したり、アラートの長期的なパターンの確立を試みることができます。

  3. 必要に応じて、このアラートに関するコメントを入力し、[コメント(Comment)] をクリックすることにより、最初の調査結果を追跡するためのコメントを残し、アラートに割り当てられた担当者を支援することができます。アラートは、システムコメントとユーザーコメントの両方を追跡します。

アラートの確認と調査の開始

割り当てられたアラートを確認する際は、アラートの詳細情報を確認して Cisco Secure Cloud Analytics がアラートを生成した理由を理解してください。裏付けとなる観測内容を確認し、これらの観測内容がソースエンティティに対して持つ意味を理解します。

アラートがファイアウォールイベントに基づいて生成された場合、ファイアウォールの展開がこのアラートのソースであることはシステムに認識されません。

このソースエンティティの一般的な動作やパターンを理解するために、サポートされている観測内容をすべて表示し、このアクティビティがより長いトレンドの一部である可能性があるかどうかを確認します。

手順

ステップ 1

アラートの詳細で、観測タイプの横にある矢印アイコン()をクリックして、そのタイプの記録されたすべての観測内容を表示します。

ステップ 2

[ネットワークのすべての観測内容(All Observations for Network)] の横にある矢印アイコン()をクリックして、このアラートのソースエンティティの記録された観測内容をすべて表示します。

観測内容に対して追加の分析を実行する場合は、サポートされている観測内容をコンマ区切り値ファイルでダウンロードします。

  • アラートの詳細の [サポートされている観測内容(Supporting Observations)] ペインで、[CSV] をクリックします。

観測内容から、ソースエンティティの動作が悪意のある動作を示しているか判断します。ソースエンティティが複数の外部エンティティとの接続を確立している場合は、それらのエンティティが何らかの関連性を持つかどうか(それらのすべてが類似の地理位置情報を持っているか、それらの IP アドレスが同じサブネットからのものであるかなど)を確認します。

ソースエンティティの IP アドレスまたはホスト名から、ソースエンティティに関連する追加コンテキスト(関与している可能性がある他のアラートや観測内容、デバイス自体に関する情報、送信しているセッショントラフィックのタイプなど)を表示します。

  • エンティティに関連するすべてのアラートを表示するには、IP アドレスまたはホスト名のドロップダウンから [アラート(Alerts)] を選択します。

  • エンティティに関連するすべての観測内容を表示するには、IP アドレスまたはホスト名のドロップダウンから [観測内容(Observations)] を選択します。

  • デバイスに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [デバイス(Device)] を選択します。

  • このエンティティに関連するセッショントラフィックを表示するには、IP アドレスまたはホスト名のドロップダウンから [セッショントラフィック(Session Traffic)] を選択します。

  • IP アドレスまたはホスト名をコピーするには、IP アドレスまたはホスト名のドロップダウンから [コピー(Copy)] を選択します。

Cisco Secure Cloud Analytics のソースエンティティは常にネットワークの内部にあります。この点を、接続を開始したエンティティを示し、ネットワークの内部または外部にある可能性がある、ファイアウォールイベントのイニシエータ IP と比較してください。

観測内容から、他の外部エンティティに関する情報を調べます。地理位置情報を調査し、いずれかの地理位置情報データまたは Umbrella データによって悪意のあるエンティティが特定されるかどうかを確認します。これらのエンティティによって生成されたトラフィックを表示します。Talos、AbuseIPDB、または Google にこれらのエンティティに関する情報があるかどうかを確認します。複数の日にわたる IP アドレスを見つけて、外部エンティティがネットワーク上のエンティティと確立した他のタイプの接続を確認します。必要に応じて、それらの内部エンティティを見つけ、侵害または意図しない動作の証拠があるかどうかを判断します。

ソースエンティティが接続を確立した外部エンティティの IP アドレスまたはホスト名のコンテキストを確認します。

  • このエンティティの最近のトラフィック情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [IPトラフィック(IP Traffic)] を選択します。

  • このエンティティの最近のセッショントラフィック情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [セッショントラフィック(Session Traffic)] を選択します。

  • AbuseIPDB の Web サイト上でこのエンティティに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [AbuseIPDB ] を選択します。

  • Cisco Umbrella の Web サイト上でこのエンティティに関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [Cisco Umbrella] を選択します。

  • Google でこの IP アドレスを検索するには、IP アドレスまたはホスト名のドロップダウンから [Google検索(Google Search)] を選択します。

  • Talos の Web サイト上でこの情報に関する情報を表示するには、IP アドレスまたはホスト名のドロップダウンから [Talos Intelligence] を選択します。

  • このエンティティをウォッチリストに追加するには、IP アドレスまたはホスト名のドロップダウンから [IPをウォッチリストに追加(Add IP to watchlist)] を選択します。

  • 前月のこのエンティティのトラフィックを検索するには、IP アドレスまたはホスト名のドロップダウンから [複数日のIPを検索(Find IP on multiple days)] を選択します。

  • IP アドレスまたはホスト名をコピーするには、IP アドレスまたはホスト名のドロップダウンから [コピー(Copy)] を選択します。

Cisco Secure Cloud Analytics の接続エンティティは、常にネットワークの外部にあります。この点を、接続要求に応答したエンティティを示し、ネットワークの内部または外部にある可能性がある、ファイアウォールイベントのレスポンダ IP と比較してください。

調査結果に関するコメントを残します。

  • [アラートの詳細( alert detail)] で、[このアラートに関するコメント(Comment on this alert)] を入力し、[コメント(Comment)] をクリックします。

エンティティとユーザーの調査

Cisco Secure Cloud Analytics ポータル UI でアラートを確認したら、ソースエンティティ、このアラートに関係している可能性のあるユーザー、およびその他の関連エンティティに対して、追加の調査を直接実行できます。

  • ソースエンティティがネットワーク上のどこ(物理的またはクラウド上)にあるかを特定し、直接アクセスします。このエンティティのログ ファイルを見つけます。それがネットワーク上の物理エンティティである場合は、デバイスにアクセスしてログ情報を確認し、この動作の原因となっているものに関する情報があるかどうかを確認します。それが仮想エンティティである場合またはクラウドに保存されている場合は、ログにアクセスして、このエンティティに関連するエントリを検索します。不正なログイン、承認されていない設定変更などに関する詳細について、ログを調査します。

  • エンティティを調査します。マルウェアまたはエンティティ自体にある脆弱性を特定できるかどうかを判断してください。デバイスの物理的な変更(組織によって承認されていない USB スティックなど)を含め、何らかの悪意のある変更があったかどうかを確認します。

  • ネットワーク上のユーザーまたはネットワーク外のユーザーによる関与があったかどうかを確認します。可能であれば、何をしていたのかをユーザーに尋ねてください。ユーザーに尋ねることができない場合は、そのユーザーがアクセス権を持っていたと考えられるかどうかと、この動作を促す状況(解雇された従業員が退社する前に外部サーバーにファイルをアップロードするなど)が発生したかどうかを確認します。

調査結果に関するコメントを残します。

  • [アラートの詳細( alert detail)] で、[このアラートに関するコメント(Comment on this alert)] を入力し、[コメント(Comment)] をクリックします。

アラートの更新とクローズ

調査結果に基づいてタグを追加する。

手順

ステップ 1

Secure Cloud Analytics ポータルの UI で、[監視(Monitor)] > [アラート(Alerts)] を選択します。 >

ステップ 2

ドロップダウンから 1 つ以上のタグを選択します。

調査結果と実行された修正手順を説明する最終コメントを追加する。

  • アラートの詳細で、このアラートに関するコメントを入力し、[コメント(Comment)] をクリックします。

アラートをクローズして、有用だったかどうかをマークする。

  1. アラートの詳細から、[アラートをクローズ(Close Alert)] をクリックします。

  2. アラートが有用だった場合は [はい(Yes)] を、アラートが有用でなかった場合は [いいえ(No)] を選択します。これはアラートが悪意のある動作に起因するかどうかではなく、単にアラートが組織にとって有用であったかどうかを意味します。

  3. [保存(Save)] をクリックします。

次のタスク

クローズしたアラートをオープンする

クローズしたアラートに関連する追加情報を検出した場合、またはそのアラートに関連するコメントを追加する場合は、そのアラートを再度開いてステータスを [オープン(Open)] に変更できます。その後、必要に応じてアラートを変更し、追加調査が完了したら再度閉じます。

クローズしたアラートをオープンする

  • クローズしたアラートの詳細から、[アラートを再オープン(Reopen Alert)] をクリックします。

アラートの優先順位を変更する

必要なライセンスLogging Analytics and Detection または Total Network Analytics and Monitoring

アラート タイプにはデフォルトの優先順位が設定されています。これは、このタイプのアラートを生成するシステムの機密性に影響します。アラートの優先順位は、シスコのインテリジェンスおよびその他の要因に基づいて、[低(low)] または [通常(normal)] にデフォルト設定されます。ネットワーク環境に基づいて、関心のある特定のアラートを強調するために、アラートタイプの優先順位を変更することができます。アラートタイプの優先順位は、[低(low)]、[通常(normal)]、または [高(high)] に設定できます。

  • [モニター(Monitor)] > [アラート(Alerts)] を選択します。

  • 設定のドロップダウンアイコン()をクリックし、[アラートのタイプと優先順位(Alert Types and Priorities)] を選択します。

  • アラートタイプの横にある編集のアイコン()をクリックし、[低(low)]、[中(medium)]、または [高(high)] を選択して優先順位を変更します。

イベントロギングページでのイベントの検索とフィルタリング

特定のイベントの履歴イベントテーブルとライブイベントテーブルの検索とフィルタ処理は、Security Cloud Control で他の情報を検索してフィルタ処理する場合と同様に機能します。フィルタ条件を追加すると、Security Cloud Control は [イベントロギング(Event Logging)] ページに表示される内容を制限し始めます。検索フィールドに検索条件を入力して、特定の値を持つイベントを検索することもできます。フィルタリングと検索のメカニズムを組み合わせると、検索はイベントのフィルタリング後に表示される結果の中から、入力した値を見つけようとします。

イベントログの検索を実行するオプションは次のとおりです。

ライブイベントのフィルタリングは、履歴イベントの場合と同じように機能しますが、ライブイベントは時刻でフィルタリングできない点が異なります。

次のフィルタリング方法について説明します。

ライブまたは履歴イベントのフィルタ処理

この手順では、イベントフィルタリングを使用して、[イベントロギング(Event Logging)] ページでイベントのサブセットを表示する方法について説明します。特定のフィルタ条件を繰り返し使用する場合は、カスタマイズしたフィルタを作成して保存できます。詳細については、「カスタマイズ可能なイベントフィルタ」を参照してください。

手順

ステップ 1

ナビゲーションバーで、[イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

[履歴(Historical)] タブまたは [ライブ(Live)] タブをクリックします。

ステップ 3

フィルタボタン をクリックします。ピンアイコン をクリックして、[フィルタ(Filter)] ペインを開いた状態でピン留めします。

ステップ 4

保存されているフィルタ要素がない [表示(View)] タブをクリックします。

ステップ 5

フィルタリングするイベントの詳細を選択します。

  • FTD イベント

    • 接続(Connection):アクセスコントロールルールからの接続イベントを表示します。

    • ファイル(File):アクセスコントロールルールのファイルポリシーによって報告されたイベントを表示します。

    • 侵入(Intrusion):アクセスコントロールルールの侵入ポリシーによって報告されたイベントを表示します。

    • マルウェア(Malware):アクセスコントロールルールのマルウェアポリシーによって報告されたイベントを表示します。

  • ASAイベント(ASA Events):これらのイベントタイプは、syslog または NetFlow イベントのグループを表します。

    イベントの詳細については、「Security Cloud Control イベントタイプ」を参照してください。

  • 時間範囲(Time Range):[開始時刻(Start time)] または [終了時刻(End time)] フィールドをクリックして、表示する期間の開始時刻と終了時刻を選択します。タイムスタンプは、コンピュータのローカル時間で表示されます。

  • アクション(Action):ルールによって定義されたセキュリティアクションを指定します。入力する値は、検索対象と完全に一致する必要がありますが、大文字小文字は関係ありません。各イベントタイプ(接続、ファイル、侵入、マルウェア、syslog、および NetFlow)に異なる値を入力します。

    • 接続イベントタイプの場合、フィルタは AC_RuleAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

    • ファイルイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、Allow、Block、Trust の可能性があります。

    • 侵入イベントタイプの場合、フィルタは InLineResult 属性で一致を検索します。それらの値は、Allowed、Blocked、Trusted の可能性があります。

    • マルウェアイベントタイプの場合、フィルタは FileAction 属性で一致を検索します。それらの値は、クラウド ルックアップ タイムアウトである可能性があります。

    • syslog および NetFlow イベントタイプの場合、フィルタは Action 属性で一致を検索します。

  • センサーID(Sensor ID):センサー ID は、イベントが Secure Event Connector に送信される管理 IP アドレスです。

    FDM による管理 デバイスの場合、センサー ID は通常、デバイスの管理インターフェイスの IP アドレスです。

  • IP アドレス

    • イニシエータ(Initiator):ネットワークトラフィックの送信元の IP アドレスです。イニシエータ アドレス フィールドの値は、イベントの詳細の InitiatorIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

    • レスポンダ(Responder):パケットの宛先 IP アドレスです。宛先アドレスフィールドの値は、イベントの詳細の ResponderIP フィールドの値に対応します。10.10.10.100 などの単一のアドレス、または 10.10.10.0/24 などの CIDR 表記で定義されたネットワークを入力できます。

  • ポート

    • イニシエータ(Initiator):セッションイニシエータが使用するポートまたは ICMP タイプ。送信元ポートの値は、イベントの詳細の InitiatorPort の値に対応します(範囲の追加:開始ポートと終了ポートと、イニシエータとレスポンダの間または両方のスペース)。

    • レスポンダ(Reponder):セッションレスポンダが使用するポートまたは ICMP コード。宛先ポートの値は、イベントの詳細の ResponderPort の値に対応します

ステップ 6

(任意)[表示(View)] タブの側をクリックして、フィルタをカスタムフィルタとして保存します。

NetFlow イベントのみフィルタ処理

この手順では、ASA NetFlow イベントのみを検索します。

手順

ステップ 1

左側のメニューから [イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

フィルタアイコン をクリックして、開いた状態でフィルタをピン留めします。

ステップ 3

[Netflow] ASA イベントフィルタをオンにします。

ステップ 4

他のすべての ASA イベントフィルタをオフにします。

[イベントロギング(Event Logging)] テーブルには、ASA NetFlow イベントのみが表示されます。

ASA または FDM による管理 デバイスの Syslog イベントをフィルタリングするが、ASA NetFlow イベントはフィルタリングしない

この手順では、syslog イベントのみを検索します。

手順

ステップ 1

左側のペインで、[イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

フィルタアイコン をクリックして、開いた状態でフィルタをピン留めします。

ステップ 3

[フィルタ(Filter)] ペインの一番下までスクロールし、[NetFlowイベントを含める(Include NetFlow Events)] フィルタがオフになっていることを確認します。

ステップ 4

[ASAイベント(ASA Events)] フィルタツリーまでスクロールして戻り、[NetFlow] ボックスがオフになっていることを確認します。

ステップ 5

ASA または FTD フィルタ条件の残りを選択します。

フィルタ要素の結合

イベントのフィルタリングは、通常、Security Cloud Control の標準フィルタリングルールに従います。フィルタリングカテゴリには「かつ(AND)」が適用され、カテゴリ内の値は「または(OR)」が適用されます。フィルタをユーザー独自の検索条件と組み合わせることもできます。ただし、イベントフィルタの場合は、デバイスイベントフィルタにも「または」が適用されます。たとえば、フィルタで次の値が選択されているとします。

このフィルタを使用すると、Security Cloud Control では、脅威に対する防御デバイスの接続イベントまたは ASA の BotNet イベントまたはファイアウォール トラフィック イベント、かつ時間範囲内の 2 つの時間の間に発生したイベント、かつ ResponderPort 443 も含むイベントが表示されます。時間範囲内の履歴イベントでフィルタリングできます。ライブイベントページには常に最新のイベントが表示されます。

特定の属性:値ペアの検索

検索フィールドにイベント属性と値を入力することで、ライブイベントや過去のイベントを検索できます。これを行う最も簡単な方法は、イベントログテーブルで、検索する属性をクリックすることです。Security Cloud Control によってその属性が検索フィールドに入力されます。クリックできるイベントは、マウスのカーソルを合わせると青色になります。次に例を示します。

この例では、イニシエータ IP(InitiatorIP)の値である 10.10.11.11 にマウスのカーソルを合わせてクリックすることにより、検索が開始されています。「InitiatorIP」とその値が検索文字列に追加されています。次に、イベントタイプの値である 3 にマウスのカーソルが合わされてクリックされ、検索文字列に追加されています。このとき、Security Cloud Control によって AND が追加されています。そのため、この検索の結果は、10.10.11.11 から開始された、「かつ」イベントタイプが 3 のイベントのリストになります。

上の例で、値 3 の横にある虫眼鏡に注目してください。この虫眼鏡にマウスのカーソルを合わせ、AND、OR、AND NOT、OR NOT 演算子を選択して、検索に追加する値とともに指定することもできます。

次の例では「OR」が選択されています。この検索の結果は、10.10.11.11 から開始された、「または」イベントタイプが 106023 のイベントのリストになります。検索フィールドが空のときにテーブルの値を右クリックした場合は、他の値がないため、「以外(NOT)」しか使用できないことに注意してください。

マウスのカーソルを合わせると青色で強調表示される値は、検索文字列に追加できます。

AND、OR、NOT、AND NOT、OR NOT フィルタ演算子

検索文字列で使用される「AND」、「OR」、「NOT」、「AND NOT」、および「OR NOT」の動作は次のとおりです。

AND

すべての属性を含むイベントを検索するには、フィルタ文字列で AND 演算子を使用します。AND 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、TCP プロトコルを含んだ、「かつ」イニシエータ IP アドレス(InitiatorIP)10.10.10.43 から開始された、「かつ」イニシエータポート(InitiatorPort)59614 から送信されたイベントが検索されます。AND ステートメントを追加するたびに、基準を満たすイベントの数が少なくなることが予期されます。 

Protocol: "tcp" AND InitiatorIP: "10.10.10.43" AND InitiatorPort: "59614"

OR

いずれかの属性を含むイベントを検索するには、フィルタ文字列で OR 演算子を使用します。OR 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、TCP プロトコルを含んだ、「または」イニシエータ IP アドレス(InitiatorIP)10.10.10.43 から開始された、「または」イニシエータポート(InitiatorPort)59614 から送信されたイベントがイベントビューアに表示されます。OR ステートメントを追加するたびに、基準を満たすイベントの数が多くなることが予期されます。 

Protocol: "tcp" OR InitiatorIP: "10.10.10.43" OR InitiatorPort: "59614"

NOT

特定の属性を持つイベントを除外するには、検索文字列の先頭でのみ、これを使用します。たとえば、次の検索文字列では、InitiatorIP が 192.168.25.3 のイベントが結果から除外されます。 

 NOT InitiatorIP: "192.168.25.3"

AND NOT

特定の属性を含むイベントを除外するには、フィルタ文字列で AND NOT 演算子を使用します。AND NOT 演算子は、検索文字列の先頭では使用できません。

たとえば、次のフィルタ文字列では、イニシエータ IP アドレス(InitiatorIP)が 192.168.25.3 のイベントが表示されますが、それらのうち、レスポンダ IP アドレス(ResponderIP)が 10.10.10.1 のものは表示されません。

 InitiatorIP: "192.168.25.3" AND NOT ResponderIP: "10.10.10.1"

NOT と AND NOT を組み合わせて、複数の属性を除外することもできます。たとえば、次のフィルタ文字列では、InitiatorIP が 192.168.25.3 のイベントと ResponderIP が 10.10.10.1 のイベントが除外されます。

NOT InitiatorIP: "192.168.25.3" AND NOT ResponderIP: "10.10.10.1"

OR NOT

特定の要素を除外する検索結果を含めるには、フィルタ文字列で OR NOT 演算子を使用します。OR NOT 演算子は、検索文字列の先頭では使用できません。

たとえば、次の検索文字列では、プロトコル(Protocol)が TCP のイベント、「または」InitiatorIP が 10.10.10.43 のイベント、「または」InitiatorPort が 59614 ではないイベントが検索されます。 

Protocol: "tcp" OR InitiatorIP: "10.10.10.43" OR NOT InitiatorPort: "59614"

これは、(Protocol: "tcp") OR (InitiatorIP: "10.10.10.43") OR (NOT InitiatorPort: "59614") の検索と考えることもできます。

ワイルドカード検索

アスタリスク(*)を「属性:値」ペア検索の「値」フィールドでワイルドカードとして使用して、イベント内の結果を検索することができます。たとえば、次のフィルタ文字列では、 

 URL:*feedback*

属性フィールドが「URL」のイベントの文字列が検索され、「feedback」という文字列が含まれているイベントが表示されます。

バックグラウンドでの履歴イベントの検索

Security Cloud Control では、検索条件を定義し、定義された検索条件に基づいてイベントログを検索できます。バックグラウンド検索機能を使用すると、バックグラウンドでイベントログの検索を実行して、バックグラウンド検索が完了した後に検索結果を表示することもできます。

構成したサブスクリプションアラートとサービス統合に基づいて、バックグラウンド検索が完了すると通知されます。

[バックグラウンド検索(Background Searches)] ページから、じかに検索結果を表示、ダウンロード、または削除することができます。1 回限りのイベントに対してバックグラウンド検索を実行するようにスケジュールしたり、繰り返しスケジュールを設定したりすることもできます。[通知設定(Notification Settings)] ページに移動して、サブスクリプション オプションを表示または変更します。

[イベントロギング(Events Logging)] ページでのイベントの検索

検索とバックグラウンド検索機能を使用して、ログに記録されたすべてのイベントを [イベントロギング(Event Logging)] ページに表示します。バックグラウンド検索は、履歴イベントに対してのみ実行できることに注意してください。

手順

ステップ 1

ナビゲーションバーで、[イベントとログ(Events & Logs)] > [イベント(Events)] を選択します。

ステップ 2

[履歴(Historical)] タブまたは [ライブ(Live)] タブをクリックします。

ステップ 3

検索バーに移動して検索式を入力し、[検索(Search)] ボタンで検索を実行します。[絶対時間範囲(Absolute Time Range)] または [相対時間範囲(Relative Time Range)] を使用して、検索を絞り込んだり拡張したりできます。

または、[検索(Search)] ドロップダウンリストから、[バックグラウンドで検索(Search in Background)] を選択すると、検索ページから離れていてもバックグラウンドで検索を実行できます。検索結果の準備ができたときに通知されます。

[検索(Search)] ボタンをクリックすると、その結果がイベントテーブルに直接表示されます。具体的な検索結果を選択すると、検索条件が検索バーに表示され、簡単に参照できます。

検索をバックグラウンドで実行することを選択した場合、検索操作はキューに入れられ、検索が完了すると通知されます。バックグラウンドで複数の検索クエリを実行できます。

ステップ 4

[バックグラウンド検索(Background Search)] ボタンをクリックして、[バックグラウンド検索(Background Searches)] ページを開きます。

[バックグラウンド検索(Background Searches)] ページには、検索結果のリストが表示されます。検索結果は、表示、ダウンロード、または削除できます。[通知設定(Notification Settings)] ページに移動して、サブスクリプション オプションを表示または変更することもできます。このページから検索を開始するには、[バックグラウンド検索の開始(Start a Background Search)] ボタンを選択します。
次のタスク

繰り返しクエリが必要な場合は、バックグラウンド検索をスケジュールされたバックグラウンド検索に変更できます。詳細については、イベントビューアでのバックグラウンド検索のスケジュール設定を参照してください。

バックグラウンド検索のダウンロード

検索結果とスケジュールクエリは、Security Cloud Control によって自動的に削除されるまで 7 日間保存されます。バックグラウンド検索のコピーを .CSV 形式でダウンロードします。

手順

ステップ 1

左側のペインで [イベントとログ(Events & Logs)] > [イベント(Events)] に移動します。

ステップ 2

[バックグラウンド検索(Background Searches)] > [アクション(Actions)] > [ダウンロード(Download)] をクリックします。

ステップ 3

自分の検索を探します。スケジュールされた検索は、[クエリ(Queries)] タブに保存されます。

ステップ 4

[ダウンロード(Download)] をクリックします。.CSV 形式のバックグラウンド検索ファイルは、ローカルドライブのデフォルトの保存場所に自動的にダウンロードされます。

データストレージプラン

オンボードされた Cisco ASA および FTD デバイスから Cisco Cloud が 1 日に受け取るイベントの量に対応するデータストレージプランを購入する必要があります。このボリュームは、1 日の取り込み率と呼ばれます。データプランは整数量の GB/日で、1 年、3 年、5 年単位で利用できます。取り込み率を判断する最も効果的な方法は、購入する前に Secure Logging Analytics(SaaS)のトライアル版に参加することです。このトライアル版により、イベント量を正確に見積もることができます。

デフォルトでは、90 日間のローリングデータストレージを受け取ります。このポリシーにより、最新の 90 日間のイベントが Cisco Cloud に保存され、90 日より古いデータは削除されます。

デフォルトの 90 日より長いイベント保持期間にアップグレードするか、既存のサブスクリプションへの発注変更によって 1 日のボリューム(GB/日)を増やすオプションがあります。それらのアップグレードの課金情報は、サブスクリプション期間の残りの期間について日割計算されます。

データ プランの詳細については、『Secure Logging Analytics (SaaS)発注ガイド』を参照してください。


(注)  

Security Analytics and Logging のライセンスとデータプランをお持ちの場合、別の Security Analytics and Logging ライセンスを取得できるので、データプランを変更する必要はありません。同様に、ネットワークトラフィックのスループットが変化した場合は、別のデータプランを取得するだけなので、別の Security Analytics and Logging ライセンスを取得する必要はありません。

割り当てに対してどのデータがカウントされますか?

Secure Event Connector に送信されたイベントはすべて、Secure Logging Analytics(SaaS)クラウドに蓄積され、データ割り当てに対してカウントされます。

イベントビューアに表示される内容をフィルタ処理しても、Secure Logging Analytics(SaaS)クラウドに保存されるイベントの数は減りません。イベントビューアに表示されるイベントの数が減るだけです。

ストレージの割り当てをすぐに使い果たしてしまいます。どうすればよいでしょうか?

この問題に対処するアプローチは次の 2 つです。

  • より多くのストレージをリクエストする。

  • イベントを記録するルールの数を減らすことを考える。SSL ポリシールール、セキュリティ インテリジェンス ルール、アクセス制御ルール、侵入ポリシー、ファイルおよびマルウェアポリシーからのイベントをログに記録できます。現在ログに記録している内容を確認して、イベントをログに記録する必要があるルールとポリシーの数を決めます。

イベントストレージ期間の延長およびイベントストレージ容量の増加

Security Analytics and Logging の権限を取得するには、次のいずれかのライセンスを購入します。

  • Cisco Defense Orchestrator デバイス ライセンス サブスクリプション(無制限ロギング付き):このライセンスは、Cisco ファイアウォールデバイスを管理するための Cisco Defense Orchestrator 管理ライセンスと、無制限のイベントロギングを組み合わせたものです。このライセンスのデフォルトでは、ストレージを 90 日間保持できます。追加のデータ保持延長ライセンスを購入することで、ログの保持期間を 1 年、2 年、または 3 年に延長できます。

  • Cisco Logging and Troubleshooting ライセンス サブスクリプション:このライセンスは、1 日あたり 1 GB のボリュームのロギングをサポートし、ストレージを 90 日間保持できます。追加のデータ保持延長ライセンスを購入することで、ログの保持期間を 1 年、2 年、または 3 年に延長できます。

詳細については、「CDO ライセンスについて」を参照してください。

ローリング イベント ストレージを拡張するか、イベントクラウドストレージの量を増やすには、次の手順を実行します。

手順

ステップ 1

Cisco Commerce のアカウントにログインします。

ステップ 2

Security Cloud Control PID を選択します。

ステップ 3

プロンプトに従って、ストレージ容量の長さまたは容量をアップグレードします。

増加したコストは、既存のライセンスの残りの期間に基づいて比例配分されます。詳細な手順については、「Cisco Defense Orchestrator 製品の引用に関するガイドライン」を参照してください。

Security Analytics and Logging データプランの使用状況の表示

毎月のロギング制限、使用したストレージ量、いつ使用期間がゼロにリセットされるかを表示するには、次の手順を実行します。

手順

ステップ 1

左側のナビゲーションバーから、[管理(Administration)] > [ログ設定(Log Settings)] の順にクリックします。

ステップ 2

[使用履歴の表示(View Historical Usage)] をクリックして、過去 12 ヵ月のストレージ使用状況を表示することもできます。

Secure Logging Analytics(SaaS)に使用されるデバイスの TCP、UDP、および NSEL ポートの検索

Secure Logging Analytics(SaaS)を使用すると、ご使用の ASA または FDM による管理デバイスから、Secure Event Connector(SEC)上の特定の UDP、TCP、または NSEL ポートにイベントを送信できます。その後、SEC はそれらのイベントを Cisco Cloud に転送します。

まだ使用されていないポートの場合、SEC はそれらのポートを使用してイベントを受信できるようにします。Secure Logging Analytics(SaaS)のマニュアルでは、機能を設定するときにポートを使用することが推奨されています。

  • TCP:10125

  • UDP:10025

  • NSEL:10425

すでに使用されているポートの場合は、Secure Logging Analytics(SaaS)を設定する前に、SEC デバイスの詳細を調べて、イベントの受信に実際に使用しているポートを特定します。

SEC が使用するポート番号を見つけるには、次の手順を実行します。

手順

ステップ 1

左側のペインで [管理(Administration)] > [Firewall Management Center] をクリックし、[セキュアコネクタ(Secure Connectors)] タブをクリックします

ステップ 2

[セキュアコネクタ(Secure Connectors)] ページで、イベントを送信する SEC を選択します。

ステップ 3

[詳細(Details)] ペインに、イベントの送信先となる TCP、UDP、および NetFlow(NSEL)ポートが表示されます。