- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
侵入ルールの外部アラートの設定
ASA FirePOWER モジュールでは、ユーザ インターフェイスで侵入イベントのさまざまな側面を表示できますが、重要なシステムを継続的にモニタリングできるように、外部侵入イベント通知を定義することを望んでいる企業もあります。syslog ファシリティへのロギングを有効にしたり、SNMP トラップ サーバにイベント データを送信したりできます。
各侵入ポリシー内では、侵入イベントの通知制限を指定し、外部ロギング ファシリティへの侵入イベント通知をセットアップし、侵入イベントへの外部応答を設定できます。

ヒント アナリストによっては、同じ侵入イベントに対して複数のアラートを受信することは望まないものの、特定の侵入イベントの発生については、頻度を制限したうえで通知を受信したいと考えています。詳細については、ポリシー単位の侵入イベント通知のフィルタリングを参照してください。
侵入ポリシー以外にも、ASA FirePOWER モジュールで実行可能な別のタイプのアラートがあります。特定のアクセス コントロール ルールによって記録された接続イベントなど、他のタイプのイベントに対して SNMP、syslog アラートによる応答を設定できます。詳細については、外部アラートの設定を参照してください。
外部侵入イベント通知の詳細情報については、次の項を参照してください。
- SNMP 応答の使用では、指定された SNMP トラップ サーバにイベント データを送信する場合に設定可能なオプションや、SNMP アラート オプションを指定する手順について説明します。
- Syslog 応答の使用では、外部 syslog にイベント データを送信する場合に設定可能なオプションや、syslog アラート オプションを指定する手順について説明します。
SNMP 応答の使用
SNMP トラップ は、ネットワーク管理に関する通知です。侵入イベントに関する通知を SNMP トラップ( SNMP アラート とも呼ばれる)として送信するようにデバイスを設定できます。各 SNMP アラートには次のものが含まれます。
さまざまな SNMP アラート パラメータを設定できます。使用可能なパラメータは、使用する SNMP のバージョンによって異なります。SNMP アラートを有効化および無効化する方法の詳細については、侵入ポリシーの詳細設定の設定を参照してください。

ヒント ネットワーク管理システムで Management Information Base(MIB)ファイルが必要な場合は、ASA FirePOWER モジュールの
/etc/sf/DCEALERT.MIB
から取得できます。
SNMPv2 の場合は、次の表で説明しているオプションを指定できます。
|
|
---|---|
アラートに表示される IP アドレスに使用するトラップ タイプ。 ネットワーク管理システムによって INET_IPV4 アドレス タイプが正常にレンダリングされた場合は、[バイナリとして(as Binary)] を選択できます。そうでない場合は、[文字列として(as String)] を選択します。たとえば、HP Openview では String タイプが必要になります。 |
|

(注) SNMPv2 は、読み込み専用コミュニティのみをサポートしています。
SNMPv3 の場合は、次の表で説明しているオプションを指定できます。

(注) SNMPv3 を使用する場合、アプライアンスは Engine ID 値を使用してメッセージをエンコードします。SNMP サーバでは、メッセージをデコードするためにこの値が必要です。現在、この Engine ID 値は常に、文字列の末尾に
01
が付く、アプライアンスの IP アドレスの 16 進数バージョンになります。たとえば、SNMP アラートを送信するアプライアンスの IP アドレスが 172.16.1.50
である場合、Engine ID は 0xAC10013201
になります。また、アプライアンスの IP アドレスが 10.1.1.77
である場合、Engine ID 0x0a01014D01
が使用されます。

(注) SNMPv3 は、読み取り専用ユーザと AES128 による暗号化のみをサポートしています。
SNMP アラートの設定の詳細については、SNMP 応答の設定を参照してください。
SNMP 応答の設定
侵入ポリシーで SNMP アラートを設定できます。アクセス コントロール ポリシーの一部としてポリシーを適用すると、システムは SNMP トラップで検出した侵入イベントをすべて通知するようになります。SNMP アラートの詳細については、SNMP 応答の使用を参照してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [侵入ポリシー(Intrusion Policy)] の順に選択します。
[侵入ポリシー(Intrusion Policy)] ページが表示されます。
ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。
別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ポリシー情報(Policy Information)] ページが表示されます。
ステップ 3 左側のナビゲーション パネルの [詳細設定(Advanced Settings)] をクリックします。
[詳細設定(Advanced Settings)] ページが表示されます。
ステップ 4 外部応答の [SNMP アラート(SNMP Alerting)] が有効かどうかに応じて、次の 2 つの選択肢があります。
[SNMP アラート(SNMP Alerting)] ページが表示されます。
ページ下部のメッセージは、設定を含む侵入ポリシー階層を示します。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用を参照してください。
ステップ 5 IP アドレスに使用するトラップ タイプの形式を [バイナリとして(as Binary)] または [文字列として(as String)] のいずれかに指定します。

(注) ネットワーク管理システムによって INET_IPV4 アドレス タイプが正常にレンダリングされた場合は、[バイナリとして(as Binary)] オプションを使用できます。正常にレンダリングされなかった場合は、[文字列として(as String)] オプションを使用します。たとえば、HP OpenView では [文字列として(as String)] オプションが必要になります。
ステップ 6 SNMPv2 または SNMPv3 を選択します。
- SNMPv2 を設定するには、使用するトラップ サーバの IP アドレスとコミュニティ名を対応するフィールドに入力します。SNMPv2 のオプションを参照してください。
- SNMPv3 を設定するには、使用するトラップ サーバの IP アドレス、認証パスワード、プライベート パスワード、およびユーザ名を対応するフィールドに入力します。詳細については、SNMPv3 のオプションを参照してください。

(注) SNMPv2 または SNMPv3 を選択する必要があります。SNMPv2 は読み取り専用コミュニティのみをサポートし、SNMPv3 は読み取り専用ユーザのみをサポートしています。

(注) SNMPv3 パスワードを入力すると、パスワードは、初期設定時にはプレーン テキストで表示されますが、暗号化形式で保存されます。
ステップ 7 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了する、のいずれかを行います。詳細については、競合の解決とポリシー変更の確定を参照してください。
Syslog 応答の使用
システム ログ、つまり syslog は、ネットワーク イベント ロギングの標準ロギング メカニズムです。侵入イベントの通知である syslog アラート をアプライアンスの syslog に送信できます。syslog では、syslog 内の情報を優先度別およびファシリティ別に分類することができます。 優先度 はアラートの重大度を反映し、 ファシリティ はアラートを生成したサブシステムを示します。ファシリティおよび優先度は syslog の実際のメッセージに表示されませんが、その代わりに、syslog メッセージを受信するシステムにそれを分類する方法を指示するために使用されます。
侵入ポリシーでは、syslog アラートを有効にして、syslog の侵入イベントの通知に関連付けられている syslog の優先度およびファシリティを指定できます。アクセス コントロール ポリシーの一部として侵入ポリシーを適用した場合、システムは、検出した侵入イベントの syslog アラートをローカル ホストまたはポリシーで指定されたロギング ホストの syslog ファシリティに送信します。アラートを受信したホストは、syslog アラートの設定時に設定されたファシリティおよび優先度に関する情報を使用して、アラートを分類します。
次の表には、syslog アラートを設定する場合に選択できるファシリティを示します。使用するリモート syslog サーバの設定に基づいて、効果のあるファシリティの設定を行ってください。リモート システムにある syslog.conf
ファイル(UNIX または Linux ベースのシステムに syslog メッセージをロギングしている場合)は、サーバのどのログ ファイルにどのファシリティが保存されるかを示します。
|
|
---|---|
セキュリティと承認に関連する制限付きアクセス メッセージ。多くのシステムで、これらのメッセージはセキュア ファイルに転送されます。 |
|
カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージは表示されるときにコンソールに出力されます。 |
|
|
|
---|---|
syslog の動作とその設定方法の詳細については、システムに付属の資料を参照してください。UNIX または Linux ベースのシステムの syslog にログインしている場合、 syslog.conf
man ファイル(コマンドラインで man syslog.conf
と入力)および syslog man ファイル(コマンドラインで man syslog
と入力)に、syslog の動作とその設定方法に関する情報が示されます。
syslog 応答の設定
侵入ポリシーで syslog アラートを設定できます。アクセス コントロール ポリシーの一部としてポリシーを適用すると、システムは syslog で検出した侵入イベントをすべて通知するようになります。syslog アラートの詳細については、Syslog 応答の使用を参照してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [侵入ポリシー(Intrusion Policy)] の順に選択します。
[侵入ポリシー(Intrusion Policy)] ページが表示されます。
ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。
別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ポリシー情報(Policy Information)] ページが表示されます。
ステップ 3 左側のナビゲーション パネルの [詳細設定(Advanced Settings)] をクリックします。
[詳細設定(Advanced Settings)] ページが表示されます。
ステップ 4 外部応答の [Syslog アラート(Syslog Alerting)] が有効かどうかに応じて、次の 2 つの選択肢があります。
[Syslog アラート(Syslog Alerting)] ページが表示されます。
ページ下部のメッセージは、設定を含む侵入ポリシー階層を示します。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用を参照してください。
ステップ 5 オプションで、[ロギング ホスト(Logging Hosts)] フィールドに、ロギング ホストとして指定するリモート アクセス IP アドレスを入力します。複数のホストを指定する場合は、カンマで区切ります。
ステップ 6 ドロップダウン リストからファシリティおよび優先度のレベルを選択します。
ファシリティおよび優先度オプションの詳細については、Syslog 応答の使用を参照してください。
ステップ 7 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了する、のいずれかを行います。詳細については、競合の解決とポリシー変更の確定を参照してください。