- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
外部アラートの設定
ASA FirePOWER モジュールではイベントのさまざまなビューをモジュール インターフェイス内で提供しますが、重要なシステムの継続的なモニタリングを容易にするために外部イベント通知を設定することもできます。次のいずれかが発生した場合にアラートを生成して、SNMP トラップまたは syslog により通知するように、モジュールを設定できます。
ASA FirePOWER モジュールでこれらのアラートが送信されるようにするには、まず アラート応答 を作成する必要があります。アラート応答は、アラート送信を計画している外部システムとモジュールが連携できるようにする一連の設定です。それらの設定では、たとえば、SNMP アラート パラメータ、または syslog ファシリティおよびプライオリティを指定する場合があります。
アラート応答を作成した後、アラートをトリガーとして使用するために使用するイベントに関連付けます。アラート応答とイベントを関連付けるための処理は、次のように、イベントのタイプによって異なることに注意してください。
- アラート応答をマルウェア イベントと関連付ける場合は、独自の設定ページを使用します。
- SNMP および syslog アラート応答を接続のログ記録と関連付ける場合は、アクセス コントロール ルールとポリシーを使用します。
ASA FirePOWER モジュールには、実行可能なもう 1 つのタイプのアラートがあります。この場合は、個々の侵入イベントに対して、SNMP、および syslog による侵入イベント通知を設定します。これらの通知は侵入ポリシーで設定します。侵入ルールの外部アラートの設定および SNMP アラートの追加を参照してください。次の表では、アラート生成に必要なライセンスについて説明します。
|
|
---|---|
アラート応答の使用
外部アラートを設定する際の最初の手順はまずアラート応答を作成することです。アラート応答は、アラート送信を計画している外部システムと ASA FirePOWER モジュールが連携できるようにする一連の設定です。アラート応答を作成して、Simple Network Management Protocol(SNMP)トラップまたはシステム ログ(syslog)によりアラートを送信できます。
アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。
作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。
アラート応答は [アラート(Alerts)] ページ([ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)])で管理します。各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。
SNMP アラート応答の作成
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。

(注) SNMP で 64 ビット値をモニタする場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
ステップ 2 [アラートの作成(Create Alert)] ドロップダウン メニューから、[SNMP アラートの作成(Create SNMP Alert)] を選択します。
[SNMP アラート作成の設定(Create SNMP Alert Configuration)] ポップアップ ウィンドウが表示されます。
ステップ 3 [名前(Name)] フィールドに、SNMP 応答を識別するために使用する名前を入力します。
ステップ 4 [トラップサーバ(Trap Server)] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
ステップ 5 [バージョン(Version)] ドロップダウンリストから、使用する SNMP バージョンを選択します。
SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。

(注) SNMPv2 は読み取り専用コミュニティのみをサポートし、SNMPv3 は読み取り専用ユーザのみをサポートしています。
ステップ 6 どのバージョンの SNMP を選択したかに応じて、以下のようにします。
ステップ 7 [認証プロトコル(Authentication Protocol)] ドロップダウンリストから、認証に使用するプロトコルを選択します。
ステップ 8 [認証パスワード(Authentication Password)] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。
ステップ 9 [プライバシー プロトコル(Privacy Protocol)] リストから、[なし(None)] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。
ステップ 10 [プライバシー パスワード(Privacy Password)] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。
ステップ 11 [エンジン ID(Engine ID)] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。
SNMPv3 を使用する場合、メッセージの符号化には エンジン ID 値が使用されます。SNMP サーバでは、メッセージをデコードするためにこの値が必要です。
シスコは、ASA FirePOWER モジュールの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、ASA FirePOWER モジュールの IP アドレスが 10.1.1.77
である場合、 0a01014D0
を使用します。
ステップ 12 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
Syslog アラート応答の作成
syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。

ヒント syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、
syslog
および syslog.conf
の man
ページで概念情報および設定手順が説明されています。
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、 syslog.conf
ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
次の表に、選択可能な syslog ファシリティを示します。
|
|
---|---|
syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
[アラート(Alerts)] ページが表示されます。[アラートの作成(Create Alert)] ドロップダウン メニューから、[Syslog アラートの作成(Create Syslog Alert)] を選択します。
[Syslog アラート作成の設定(Create Syslog Alert Configuration)] ポップアップ ウィンドウが表示されます。
ステップ 2 [名前(Name)] フィールドに、保存される応答を識別するために使用する名前を入力します。
ステップ 3 [ホスト(Host)] フィールドに、syslogサーバのホスト名またはIPアドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
ステップ 4 [ポート(Port)] フィールドに、サーバが syslog メッセージに使用するポートを入力します。
ステップ 5 [ファシリティ(Facility)] リストから、ファシリティを選択します。
使用可能なファシリティの一覧については、 使用可能な syslog ファシリティ の表を参照してください。
ステップ 6 [重大度(Severity)] リストから、重大度を選択します。
使用可能な重大度の一覧については、 syslog 重大度レベル の表を参照してください。
ステップ 7 [タグ(Tag)] フィールドに、syslog メッセージとともに表示するタグ名を入力します。
タグ名には英数字のみを使用します。スペースまたは下線は使用 できません 。
例として、syslog に送信されるすべてのメッセージの前に From
DC を付ける場合、フィールドに From
DC と入力します。
ステップ 8 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
アラート応答の変更
ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
ステップ 2 編集するアラート応答の横にある編集アイコン( )をクリックします。
そのアラート応答の設定ポップアップ ウィンドウが表示されます。
ステップ 4 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
アラート応答の削除
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
ステップ 2 削除するアラート応答の横にある削除アイコン( )をクリックします。
アラート応答の有効化と無効化
有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
ステップ 2 有効または無効にするアラート応答の横の有効または無効のスライダをクリックします。
アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。