この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
単一のペインである SecureX クラウドポータルを使用して、すべてのシスコセキュリティ製品などのデータを表示および操作します。SecureX で利用可能なツールを使用して、脅威ハントと調査を強化します。SecureX は、それぞれが最適なソフトウェアバージョンを実行しているかどうかなど、有用なアプライアンスおよびデバイス情報も提供します。
SecureX の詳細については、http://www.cisco.com/c/en/us/products/security/securex.htmlを参照してください。
Firepower と SecureX を統合し、SecureX リボンを使用するには、https://cisco.com/go/firepower-securex-documentation にある『Firepower および SecureX 統合ガイド』を参照してください。
Cisco SecureX Threat Response は、以前は Cisco Threat Response(CTR)と呼ばれていました。
Cisco SecureX Threat Response を使用して脅威を迅速に検出、調査、対応する Cisco Cloud の統合プラットフォームでは、Firepower を含む複数の製品から集約されたデータを使用してインシデントを分析することができます。
Cisco SecureX Threat Response の一般情報については、次を参照してください。
https://www.cisco.com/c/en/us/products/security/threat-response.html。
Firepower と Cisco SecureX Threat Response の統合の詳細な手順については、次を参照してください。
https://cisco.com/go/firepower-ctr-integration-docs にある『Firepower and Cisco SecureX Threat Response Integration Guide』
https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html にある『Firepower and Cisco SecureX Threat Response integration Guide 』の説明に従って、統合をセットアップします。
Cisco SecureX Threat Response のオンライン ヘルプを確認し、脅威の検出、調査、およびアクションを実行する方法を習得します。
Cisco SecureX Threat Response にアクセスするにはクレデンシャルが必要です。
| ステップ 1 |
Firepower Management Center で、次のいずれかを実行します。
|
| ステップ 2 |
プロンプトが表示されたら、Cisco SecureX Threat Response にサインインします。 |
Firepower Management Center 外部の Web ベースのリソースにおける潜在的な脅威についての情報をすばやく検索するには、コンテキスト クロス起動 機能を使用します。例:
Cisco または既知の疑わしい脅威に関する情報を公開するサードパーティ製クラウドホステッド サービスの疑わしい送信元 IP アドレスを検索する、または
組織の履歴ログで特定の脅威に関する過去のインスタンスを検索する(組織がセキュリティ情報とイベント管理(SIEM)アプリケーションでそのデータを格納している場合)。
組織で Cisco AMP for Endpoints を導入している場合は、ファイル トラジェクトリ情報などの特定のファイルに関する情報を検索します。
イベントを調査する際は、Firepower Management Center のイベント ビューアまたはダッシュ ボードのイベントから直接、外部リソースの関連情報をクリックできます。これにより、その IP アドレス、ポート、プロトコル、ドメイン、または SHA 256 ハッシュに基づいて、特定のイベントに関連するコンテキストを迅速に収集できます。
たとえば、[上位攻撃者(Top Attackers)] ダッシュボード ウィジェットを表示し、記載されている送信元 IP アドレスのいずれかに関する詳細情報を検索すると仮定します。この IP アドレスに関して、Talos がどのような情報を公開しているか確認したいので、「Talos IP」リソースを選択します。Talos Web サイトが開き、この特定の IP アドレスに関する情報が書かれたページが表示されます。
一般的に使用されているシスコやサードパーティ製の脅威インテリジェンス サービスへの一連の事前定義されたリンクから選択し、その他の Web ベースのインターフェイスおよび Web インターフェイスを持つ SIEM または他の製品へのカスタム リンクを追加できます。一部のリソースでは、アカウントまたは製品の購入が必要になる場合があります。
[分析(Analysis)] > [詳細(Advanced)] > [コンテキスト クロス起動(Contextual Cross-Launch)] ページを使用して外部の Web ベースのリソースを管理します。
シスコが提供している事前定義のリソースにはシスコのロゴが付いています。残りのリンクはサードパーティのリソースです。
必要がないリソースは無効にするか、または削除できます。あるいは、たとえば名前の前に小文字の「z」を追加するなどして名前を変更し、そのリソースをリストの下部に分類することができます。クロス起動リソースを無効にすると、すべてのユーザーに対して無効になります。削除されたリソースは、元に戻すことはできませんが、再作成できます。
リソースを追加するには、コンテキスト クロス起動のリソースの追加を参照してください。
カスタム コンテキスト クロス起動 リソースを追加する場合は、次の点に留意します。
リソースは Web ブラウザを介してアクセスできる必要があります。
http プロトコルと https プロトコルのみがサポートされています。
GET 要求のみがサポートされています。POST 要求はサポートされていません。
URL の変数のエンコーディングはサポートされていません。IPv6 アドレスをエンコードするにはコロンで区切る必要がある場合がありますが、ほとんどのサービスでこのエンコーディングは必要ありません。
事前に定義されたリソースを含めて、最大 100 のリソースを設定できます。
相互起動を作成するには管理者またはセキュリティ アナリスト(Security Analyst)のユーザーである必要がありますが、読み取り専用のセキュリティ アナリスト(Security Analyst)でも使用できます。
脅威インテリジェンス サービスやセキュリティ情報とイベント管理(SIEM)の ツールなどの コンテキスト クロス起動 リソースを追加できです。
マルチドメイン展開環境では、親ドメインのリソースを表示および使用できますが、現在のドメインで実行できるのはリソースの作成と編集のみです。 すべてのドメインのリソースの合計数は 100 に制限されています。
カスタム コンテキスト クロス起動のリソースの要件を参照してください。
リソースに必要な場合は、アクセスに必要なアカウントとクレデンシャルにリンクするか、作成するか、または取得します。必要に応じて、アクセスが必要な各ユーザーにクレデンシャルを割り当てて配布します。
リンク先のリソースのクエリ リンクのシンタックスを特定します。
ブラウザ経由でリソースにアクセスし、必要に応じてそのリソースのドキュメントを使用して、たとえば IP アドレスなど、検索するクエリ リンクの特定のタイプの情報の検索に必要なクエリ リンクを作成します。
クエリを実行して、結果の URL をブラウザのロケーション バーからコピーします。
たとえば、クエリ URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10 が表示される場合があります。
| ステップ 1 |
[分析(Analysis)] > [詳細(Advanced)] > [コンテキストクロス起動(Contextual Cross-Launch)] を選択します。 |
| ステップ 2 |
[新しいクロス起動(New Cross-Launch)] をクリックします。 表示されたフォームのアスタリスクの付いたすべてのフィールドに値が必要です。 |
| ステップ 3 |
一意のリソース名を入力します。 |
| ステップ 4 |
作業中の URL の文字列をリソースから [URL テンプレート(URL Template)] フィールドに貼り付けます。 |
| ステップ 5 |
クエリ文字列内の特定のデータ(IP アドレスなど)を適切な変数で置き換えます。変数を挿入するには、カーソルを置いて変数([ip] など)を 1 回クリックします。 上記の「開始する前に」の項の例では、URL は https://www.talosintelligence.com/reputation_center/lookup?search= {ip} になります。コンテキスト クロス起動 リンクを使用すると、URL 内の {ip} 変数は、イベント ビューアまたはダッシュボードでユーザーが右クリックする IP アドレスに置き換わります。 各変数の説明については、変数の上にカーソルを置きます。 1 つのツールまたはサービスに複数の コンテキスト クロス起動 リンクを作成するには、それぞれに異なる変数を使用します。 |
| ステップ 6 |
サンプルデータを使用したテスト( |
| ステップ 7 |
問題を修正します。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
アクセスするリソースにクレデンシャルが必要な場合は、それらのクレデンシャルがあることを確認します。
| ステップ 1 |
Firepower Management Center でイベントが表示される次のページのいずれかに移動します。
|
| ステップ 2 |
対象のイベントを右クリックして、使用する コンテキスト クロス起動 のリソースを選択します。 必要に応じて、コンテキスト メニューを下にスクロールして使用可能なすべてのオプションを確認します。 右クリックしたデータ タイプによって表示されるオプションが異なります。たとえば、IP アドレスを右クリックした場合は、IP アドレスに関連する コンテキスト クロス起動 のオプションのみが表示されます。 そのため、たとえば、[上位攻撃者(Top Attackers)] ダッシュボード ウィジェットに送信元 IP アドレスに関して Cisco Talos からの脅威情報を表示させるには、[Talos SrcIP] または [Talos IP] を選択します。 リソースに複数の変数が含まれている場合、そのリソースを選択するオプションは、含まれている各変数に可能な 1 つの値を持つイベントにのみ使用できます。 別のブラウザ ウィンドウに コンテキスト クロス起動 のリソースが開きます。 クエリを実行するデータの量、リソースの速度と需要によってはクエリが処理されるまでに時間がかかる場合があります。 |
| ステップ 3 |
必要に応じて、リソースにサインインします。 |
接続、セキュリティ インテリジェンス、侵入、およびファイルとマルウェアのイベントに関連するデータは、syslog を介してセキュリティ情報およびイベント管理(SIEM)ツールまたは、外部のイベント ストレージおよび管理ソリューションに送信できます。
これらのイベントを Snort® イベントと呼ぶこともあります。
セキュリティ イベントを syslog に送信するようにシステムを設定するには、次を知っておく必要があります。
ポリシーで syslog の設定を変更した場合、それらの変更を有効にするには展開する必要があります。
|
デバイスとバージョン |
設定の場所 |
|---|---|
| すべて(All) |
syslog またはストアイベントを外部で使用する場合は、ポリシー名やルール名などのオブジェクト名に特殊文字を使用しないでください。オブジェクト名には、カンマなどの特殊文字を含めることはできません。受信側アプリケーションで区切り文字として使用される可能性があります。 |
|
Firepower Threat Defense バージョン 6.3 以降 |
これらの設定の上書きは推奨していません。 最低限必要な詳細情報については、FTD デバイスからのセキュリティイベント syslog メッセージの送信を参照してください。 |
|
その他のすべてのデバイス |
詳細については、従来型デバイスからのセキュリティイベント syslog メッセージの送信を参照してください。 |
この手順では、FTD デバイスからセキュリティイベント(接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベント)の syslog メッセージを送信するためのベストプラクティス設定について説明します。
 (注) |
多くの FTD syslog 設定は、セキュリティイベントには適していません。この手順で説明するオプションのみを設定してください。 |
FMC で、セキュリティイベントを生成するようにポリシーを設定するとともに、予期されるイベントが [分析(Analysis)] メニューの該当するテーブルに表示されることを確認します。
syslog サーバーの IP アドレス、ポート、およびプロトコル(UDP または TCP)を収集します。
デバイスが syslog サーバーに到達できることを確認します。
syslog サーバーがリモートメッセージを受け入れられることを確認します。
接続ロギングに関する重要な情報については、接続ロギングの関連する章を参照してください。
| ステップ 1 |
FTD デバイスの syslog 設定を指定します。 |
| ステップ 2 |
アクセス コントロール ポリシーの一般的なログ設定(ファイルおよびマルウェアロギングを含む)を指定します。
|
| ステップ 3 |
アクセス コントロール ポリシーのセキュリティ インテリジェンス イベントのロギングを有効にします。
|
| ステップ 4 |
アクセス コントロール ポリシーの各ルールの syslog ロギングを有効にします。 |
| ステップ 5 |
侵入イベントを送信する場合は、次の手順を実行します。 |
(任意)個別のポリシーおよびルールに異なるロギング設定を指定します。
接続およびセキュリティ インテリジェンス イベント の syslog の設定場所(すべてのデバイス)にある該当する表の行を参照してください。
これらの設定には、Syslog アラート応答の作成の説明に従って設定される syslog アラート応答が必要です。この手順で指定したプラットフォーム設定は使用されません。
従来型デバイスのセキュリティイベント syslog ロギングを設定するには、従来型デバイスからのセキュリティイベント syslog メッセージの送信を参照してください。
変更が完了したら、変更を管理対象デバイスに展開します。
セキュリティイベントを生成するポリシーを設定します。
デバイスが syslog サーバーに到達できることを確認します。
syslog サーバーがリモートメッセージを受け入れられることを確認します。
接続ロギングに関する重要な情報については、接続ロギングの章を参照してください。
| ステップ 1 |
従来型デバイスのアラート応答を設定します。 Syslog アラート応答の作成 を参照してください。 |
| ステップ 2 |
アクセス コントロール ポリシーで syslog 設定を指定します。
|
| ステップ 3 |
ファイルイベントとマルウェアイベントを送信する場合は、次の手順を実行します。
|
| ステップ 4 |
侵入イベントを送信する場合は、次の手順を実行します。 |
(オプション)アクセス コントロール ルールごとに異なるロギング設定を指定します。接続およびセキュリティ インテリジェンス イベント の syslog の設定場所(すべてのデバイス) の該当するテーブル行を参照してください。これらの設定には、Syslog アラート応答の作成の説明に従って設定される syslog アラート応答が必要です。前の手順で指定した設定は使用されません。
FTD デバイスのセキュリティイベント syslog ロギングを設定するには、FTD デバイスからのセキュリティイベント syslog メッセージの送信を参照してください。
多くの場所でロギング設定を実行できます。次の表を使用して、必要なオプションが設定されていることを確認します。
重要 |
|
|
設定の場所 |
説明と詳細情報 |
|---|---|
|
[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]、Threat Defense 設定ポリシー、[Syslog] |
このオプションは、バージョン 6.3 以降を実行している Firepower Threat Defense のデバイスにのみ適用されます。 ここで行う設定は、アクセス コントロール ポリシーのロギング設定に指定でき、この表の残りのポリシーとルールに使用するか、それらをオーバーライドできます。 セキュリティ イベントの syslog メッセージに適用する FTD プラットフォームの設定とSyslog についておよびサブトピックを参照してください。 |
|
[ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[ロギング(Logging)] |
ここで行う設定は、この表の残りの行で指定する場所の子孫のポリシーおよびルールにあるデフォルトをオーバーライドしない限り、すべての接続イベントとセキュリティ インテリジェンス イベントの syslog のデフォルト設定になります。 6.3 以降を実行している FTD デバイスの推奨設定:FTD プラットフォーム設定を使用します。詳細については、セキュリティ イベントの syslog メッセージに適用する FTD プラットフォームの設定とSyslog についておよびサブトピックを参照してください。 その他のすべてのデバイスに必要な設定:syslog アラートを使用します。 syslog アラートを指定する場合は、Syslog アラート応答の作成を参照してください。 [ロギング(Logging)] タブの設定に関する詳細については、アクセス コントロール ポリシーのロギング設定を参照してください。 |
|
[ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[ルール(Rules)] 、[デフォルトアクション(Default Action)] 行、ロギング( |
ロギングのアクセス コントロール ポリシーに関連付けられているデフォルト アクションを設定します。 アクセス コントロール ルール章とポリシーのデフォルト アクションによる接続のロギングのロギングに関する情報を参照してください。 |
|
[ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[ルール(Rules)]、<各ルール>、[ロギング(Logging)] |
特定のルールの設定をアクセス制御ポリシーにログインします。 アクセス コントロール ルール 章のロギングに関する情報を参照してください。 |
|
[ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[セキュリティ インテリジェンス(Security Intelligence)]、ロギング ( |
セキュリティ インテリジェンス ブロック リストのロギング設定。 次のボタンをクリックして設定します。
前提条件を含めてセキュリティ インテリジェンスの設定とサブトピックおよびリンクを参照してください。 |
|
[ポリシー(Policies)] > [SSL]、<各ポリシー>、[デフォルトアクション(Default Action)] 行、ロギング( |
SSL ポリシーに関連付けられているデフォルト アクションのロギング設定。 ポリシーのデフォルト アクションによる接続のロギングを参照してください。 |
|
[ポリシー(Policies)] > [SSL]、<各ポリシー>、<各ルール>、[ロギング(Logging)] |
SSL ルールのロギング設定。 TLS/SSL ルールのコンポーネントを参照してください。 |
|
[ポリシー(Policies)] > [プレフィルタ(Prefilter)]、<各ポリシー>、[デフォルトアクション(Default Action)] 行、ロギング( |
プレフィルタ ポリシーに関連付けられているデフォルト アクションのロギング設定。 ポリシーのデフォルト アクションによる接続のロギングを参照してください。 |
|
[ポリシー(Policies)] > [プレフィルタ(Prefilter)]、<各ポリシー>、<各プレフィルタルール>、[ロギング(Logging)] |
プレフィルタ ポリシーの各プレフィルタのロギング設定。 トンネルとプレフィルタ ルールのコンポーネントを参照してください |
|
[ポリシー(Policies)] > [プレフィルタ(Prefilter)]、<各ポリシー>、<各トンネルルール>、[ロギング(Logging)] |
プレフィルタ ポリシーの各トンネル ルールのロギング設定。 トンネルとプレフィルタ ルールのコンポーネントを参照してください |
|
FTD クラスタ設定の追加 syslog の設定: |
Firepower Threat Defense 用のクラスタリングの章には syslog について複数の言及があります。「syslog」の章を検索してください。 |
侵入ポリシーの syslog 設定はさまざまな場所で指定でき、必要に応じてアクセス コントロール ポリシーまたは FTD プラットフォーム設定、あるいはその両方から設定を継承できます。
|
設定の場所 |
説明と詳細情報 |
|---|---|
|
[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]、Threat Defense 設定ポリシー、[Syslog] |
ここで設定した syslog の宛先は、侵入ポリシーのデフォルトとして使用可能なアクセス コントロール ポリシーの [ロギング(Logging)] タブで指定できます。 セキュリティ イベントの syslog メッセージに適用する FTD プラットフォームの設定とSyslog についておよびサブトピックを参照してください。 |
|
[ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[ロギング(Logging)] |
侵入ポリシーに他のロギング ホストが指定されていない場合は、侵入イベントの syslog の宛先のデフォルト設定。 アクセス コントロール ポリシーのロギング設定を参照してください。 |
|
[ポリシー(Policies)] > [侵入(Intrusion)]、<各ポリシー>、[詳細設定(Advanced Settings)]、[syslog アラート(Syslog Alerting)] を有効化、[編集(Edit)] をクリック |
アクセス コントロール ポリシーの [ロギング(Logging)] タブで指定した宛先以外の syslog コレクタを指定するには、侵入イベントの Syslog アラートの設定を参照してください。 [重大度(Severity)] または [ファシリティ(Facility)]、あるいはその両方を侵入ポリシーで設定されているとおりに使用する場合は、ポリシーにロギング ホストを設定する必要があります。アクセス コントロール ポリシーに指定されているロギング ホストを使用する場合は、侵入ポリシーに指定されている重大度とファシリティは使用されません。 |
(デフォルト)アクセス コントロール ポリシー(アクセス コントロール ポリシーのロギング設定syslog アラートを指定した場合)(Syslog アラート応答の作成を参照)
または侵入イベントの Syslog アラートの設定を参照してください。
デフォルトでは、侵入ポリシーはアクセス コントロール ポリシーの [ロギング(Logging)] タブの設定を使用します。FTD 6.3 以外のデバイスに適用される設定がない場合は、FTD 6.3 以外のデバイスの syslog は送信されず、警告は表示されません。
|
設定の場所 |
説明と詳細情報 |
|---|---|
|
アクセス コントロール ポリシーで次の手順を実行します。 [ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、[ロギング(Logging)] |
これは、ファイルとマルウェアのイベントの syslog を送信するようにシステムを設定するための主要な場所です。 FTD プラットフォームの syslog 設定を使用しない場合は、アラート応答も作成する必要があります。Syslog アラート応答の作成 を参照してください。 |
|
Firepower Threat Defense プラットフォーム設定で、次の手順を実行します。 [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]、[Threat Defense 設定ポリシー(Threat Defense Settings policy)]、[Syslog] |
これらの設定は、サポート対象のバージョンを実行しており、FTD プラットフォームを使用するようにアクセス コントロール ポリシーの [ロギング(Logging)] タブを設定している場合にのみ、Firepower Threat Defense デバイスにのみ適用されます。 セキュリティ イベントの syslog メッセージに適用する FTD プラットフォームの設定とSyslog についておよびサブトピックを参照してください。 |
|
アクセス コントロール ルールで次の手順を実行します。 [ポリシー(Policies)] > [アクセス制御(Access Control)]、<各ポリシー>、<各ルール>、[ロギング(Logging)] |
FTD プラットフォームの syslog 設定を使用しない場合は、アラート応答も作成する必要があります。Syslog アラート応答の作成 を参照してください。 |
|
サンプル メッセージの項目数 |
ヘッダー要素 |
説明 |
||
|---|---|---|---|---|
|
0 |
PRI | ファシリティとアラートのシビラティ(重大度)の両方を表すプライオリティ値です。FMC プラットフォーム設定を使用して EMBLEM 形式でのロギングを有効にした場合にのみ、この値が syslog メッセージに表示されます。アクセス コントロール ポリシーの [ロギング(Logging)] タブを使用して侵入イベントのロギングを有効にすると、PRI 値が自動的に syslog メッセージに表示されます。EMBLEM 形式を有効にする方法については、ロギングの有効化および基本設定の構成を参照してください。PRI の詳細については、「RFC5424」を参照してください。 | ||
|
1 |
タイムスタンプ |
syslog メッセージがデバイスから送信された日付と時刻。
[FTD プラットフォーム設定(FTD Platform Settings)] のタイムスタンプの設定を行うには、Syslog 設定を参照してください。 |
||
|
2 |
メッセージが送信されたデバイスまたはインターフェイス。 ここに表示される値は次のとおりです。
|
(FTD デバイス バージョン 6.3 以降のみから送信された syslog の場合) [FTDプラットフォーム設定(FTD Platform Settings)] を使用して syslog メッセージが送信された場合で、[SyslogデバイスIDの有効化(Enable Syslog Device ID)] オプションが指定されているときは、これはそのオプションの [Syslog設定(Syslog Settings)] に設定されている値になります。 それ以外の場合、この要素はヘッダーには表示されません。 [FTD プラットフォーム設定(FTD Platform Settings)] でこの設定を行うには、Syslog 設定を参照してください。 |
||
|
3 |
カスタム値 |
アラート応答を使用してメッセージが送信された場合、これは、メッセージを送信したアラート応答に設定されているタグ値がある場合は、その値になります。(Syslog アラート応答の作成 を参照)。 それ以外の場合、この要素はヘッダーには表示されません。 |
||
|
4 |
%FTD %NGIPS |
メッセージを送信したデバイスのタイプ。
|
||
|
5 |
重大度 |
メッセージをトリガーしたポリシーの syslog 設定に指定されている重要度。 重大度の説明については、重大度またはsyslog 重大度レベルを参照してください。 |
||
|
6 |
イベント タイプ識別子 |
バージョン 6.3 以降を実行しているデバイスから送信されたメッセージの場合:
バージョン 6.4 以降を実行しているデバイスから送信されたメッセージの場合は、次のイベント タイプ ID も使用されます。
バージョン 6.2.3 以前を実行しているデバイスから送信されたメセージの場合、イベント タイプ識別子は表示されません。 |
||
|
-- |
ファシリティ |
セキュリティ イベントの syslog メッセージのファシリティを参照してください。 |
||
|
-- |
メッセージの残りの部分 |
コロンで区切られたフィールドと値。 空または不明な値のあるフィールドはメッセージから省略されます。 フィールドの説明については、次を参照してください。
|
一般に、セキュリティ イベントの syslog メッセージではファシリティ値は関連性がありません。ただし、ファシリティが必要な場合は、次の表を使用してください。
|
デバイス |
接続イベントにファシリティを含める場合 |
侵入イベントにファシリティを含める場合 |
syslog メッセージ内の場所 |
|---|---|---|---|
|
FTD 6.3 以降 |
[FTD プラットフォーム設定(FTD Platform Settings)] の [EMBLEM] オプションを使用します。 [FTD プラットフォーム設定(FTD Platform Settings)] を使用して syslog メッセージを送信すると、ファシリティは常に、接続イベントに対して [アラート(ALERT)] になります。 |
[FTD プラットフォーム設定(FTD Platform Settings)] の [EMBLEM] オプションを使用するか、または侵入ポリシーの syslog 設定を使用してロギングを設定します。侵入ポリシーを使用した場合は、侵入ポリシー設定にロギング ホストも指定する必要があります。 syslog アラートを有効にし、侵入ポリシーでファシリティとシビラティ(重大度)を設定します。侵入イベントの Syslog アラートの設定を参照してください。 |
ファシリティはメッセージ ヘッダーには表示されませんが、syslog コレクタが RFC 5424、セクション 6.2.1 に基づいて値を派生させることができます。 |
|
6.3 より前の FTD |
アラート応答を使用します。 |
侵入ポリシーの高度な設定の syslog 設定、またはアクセス コントロール ポリシーの [ロギング(Logging)] タブで識別されているアラート応答を使用します。 |
|
|
FTD 以外のデバイス |
アラート応答を使用します。 |
侵入ポリシーの高度な設定の syslog 設定、またはアクセス コントロール ポリシーの [ロギング(Logging)] タブで識別されているアラート応答を使用します。 |
詳細については、「侵入 syslog アラートの重大度」および「Syslog アラート応答の作成」を参照してください。
Firepower は、次の表で説明するように、複数の syslog データ タイプを送信できます。
|
syslog データ タイプ |
参照先 |
|---|---|
|
FMC からの監査ログ |
|
|
従来型デバイス(ASA FirePOWER、NGIPSv)からの監査ログ |
従来型デバイスからの監査ログのストリーミングおよびシステムの監査の章 CLI コマンド: syslog |
|
FTD デバイスからのデバイス ヘルスとネットワーク関連のログ |
Syslog について およびサブトピック |
|
FTD デバイスからの接続、セキュリティ インテリジェンスおよび 侵入イベント ログ |
|
|
クラッシック デバイスからの接続、セキュリティ インテリジェンスおよび侵入イベント ログ |
syslog にセキュリティ イベントのデータを送信するためのシステムの設定について |
|
ファイルおよびマルウェアのイベントのログ |
syslog またはストアイベントを外部で使用する場合は、ポリシー名やルール名などのオブジェクト名に特殊文字を使用しないでください。オブジェクト名には、カンマなどの特殊文字を含めることはできません。受信側アプリケーションで区切り文字として使用される可能性があります。
syslog コレクタにイベントを表示するには最大 15 分かかる場合があります。
次のファイルおよびマルウェアのイベントのデータは syslog 経由で使用できません。
レトロスペクティブ イベント
エンドポイント向け AMP によって生成されたイベント
Event Streamer(eStreamer)を使用すると、Firepower Management Centerからの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、『Firepower System Event Streamer Integration Guide』を参照してください。
eStreamer サーバとして使用するアプライアンスで eStreamer イベントの外部クライアントへのストリームを開始するには、その前に、イベントをクライアントに送信するように eStreamer サーバを設定し、クライアントに関する情報を指定して、通信を確立するときに使用する認証クレデンシャルを生成する必要があります。アプライアンスのユーザ インターフェイスからこれらすべてのタスクを実行できます。設定が保存されると、選択したイベントが、要求時に、eStreamer クライアントに転送されます。
要求したクライアントに eStreamer サーバが送信できるイベント タイプを制御できます。
|
イベント タイプ(Event Type) |
説明 |
|---|---|
|
侵入イベント |
管理対象デバイスによって生成される侵入イベント |
|
侵入イベント パケット データ |
侵入イベントに関連付けられたパケット |
|
侵入イベント追加データ |
HTTP プロキシまたはロード バランサ経由で Web サーバーに接続しているクライアントの発信元 IP アドレスのような侵入イベントに関連付けられた追加データ |
|
検出イベント |
ネットワーク検出イベント |
|
相関および[ホワイトリスト(White List)]イベント |
相関およびコンプライアンスのwhiteリストイベント |
|
インパクト フラグ アラート |
FMC によって生成されたインパクト アラート |
|
ユーザー イベント |
ユーザー イベント |
|
マルウェア イベント |
マルウェア イベント |
|
ファイル イベント |
ファイル イベント |
|
接続イベント |
モニター対象のホストとその他のすべてのホスト間のセッション トラフィックに関する情報 |
一般に、現在 eStreamer に重大な既存イベントがない組織は、セキュリティ イベント データを外部で管理するのに eStreamer ではなく syslog を使用する必要があります。
|
Syslog |
eStreamer |
|---|---|
|
カスタマイズの必要なし |
各リリースの変更に対応するには、大幅なカスタマイズと継続メンテナンスが必要 |
|
標準 |
専用 |
|
syslog 標準規格では、データ損失に対する保護はありません(特に UDP を使用している場合) |
データ損失に対する保護 |
|
デバイスから直接送信 |
FMC から送信(処理オーバーヘッドが加わる) |
|
ファイル イベントとマルウェア イベント、接続イベント(セキュリティ インテリジェンス イベントを含む)、および侵入イベントをサポートします。 |
eStreamer サーバー ストリーミングに示されているすべてのイベント タイプをサポートします。 |
|
一部のイベントデータは、FMC からのみ送信できます。eStreamer 経由でのみ送信でき、syslog 経由では送信できないデータを参照してください。 |
デバイスから syslog を介して直接送信することができないデータが含まれます。eStreamer 経由でのみ送信でき、syslog 経由では送信できないデータ を参照してください。 |
次のデータは Firepower Management Center からのみ使用可能であるため、デバイスから syslog を介して送信することはできません。
パケット ログ
侵入イベント追加データ イベント
説明については、eStreamer サーバー ストリーミングを参照してください。
統計情報と集約イベント
ネットワーク検出イベント
ユーザー アクティビティとログイン イベント
相関イベント
マルウェア イベントの場合:
レトロスペクティブな判定
関連する SHA に関する情報がすでにデバイスに同期されている場合を除き、脅威の名前と性質
次のフィールド:
[Impact] および [ImpactFlag] フィールド
説明については、eStreamer サーバー ストリーミングを参照してください。
[IOC_Count] フィールド
ほとんどの raw ID と UUID。
次に例外を示します。
接続イベントの syslog には次のものがあります。FirewallPolicyUUID、FirewallRuleID、TunnelRuleID、MonitorRuleID、SI_CategoryID、SSL_PolicyUUID、および SSL_RuleID
侵入イベントの syslog には、IntrusionPolicyUUID、GeneratorID、および SignatureID が含まれます。
以下を含むがこれらに限定されない拡張メタデータ:
氏名、部署、電話番号などの LDAP によって提供されるユーザーの詳細。
syslog では、イベントのユーザー名のみが提供されます。
SSL 証明書の詳細などの状態ベースの情報の詳細。
syslog は、証明書のフィンガープリントなどの基本的な情報を提供しますが、cert CN など、証明書のその他の詳細は提供しません。
アプリケーション タグやカテゴリなどの詳細なアプリケーション情報。
syslog はアプリケーション名のみを提供します。
一部のメタデータ メッセージには、オブジェクトに関する追加情報も含まれています。
地理位置情報
eStreamer サーバーで送信可能なイベントの [eStreamer イベント設定(eStreamer Event Configuration)] チェックボックス管理。クライアントは、eStreamer サーバに送信する要求メッセージで受信するイベント タイプを具体的に要求する必要があります。詳細については、『Firepower System Event Streamer Integration Guide』を参照してください。
マルチドメイン展開では、どのドメインのレベルでも eStreamer のイベント構成を設定できます。ただし、先祖ドメインで特定のイベントタイプが有効になっている場合は、子孫ドメインのそのイベントタイプを無効にすることはできません。
FMC に対してこのタスクを実行するには、管理者ユーザーである必要があります。
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[eStreamer] をクリックします。 |
| ステップ 3 |
[eStreamer イベント設定(eStreamer Event Configuration)] の下で、eStreamer サーバー ストリーミングの説明に従って要求元のクライアントに転送するイベントタイプの横にあるチェックボックスをオンまたはオフにします。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
eStreamer がクライアントに eStreamer イベントを送信するには、その前に、eStreamer ページから eStreamer サーバーのピアデータベースにクライアントを追加しておく必要があります。また、eStreamer サーバーによって生成された認証証明書をクライアントにコピーする必要もあります。この手順を完了した後、クライアントが eStreamer サーバに接続できるように eStreamer サービスを再起動する必要はありません。
マルチドメイン展開では、任意のドメインで eStreamer クライアントを作成できます。認証証明書では、クライアントはクライアント証明書のドメインと子孫ドメインからのみイベントを要求することが許可されます。eStreamer 設定ページには、現在のドメインに関連付けられているクライアントのみが表示されるため、証明書をダウンロードまたは取り消す場合は、クライアントが作成されたドメインに切り替えます。
FMC に対してこのタスクを実行するには、管理者または検出管理者ユーザーである必要があります。
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[eStreamer] をクリックします。 |
||
| ステップ 3 |
[クライアントの作成(Create Client)] をクリックします。 |
||
| ステップ 4 |
[ホスト名(Hostname)] フィールドに、eStreamer クライアントを実行しているホストのホスト名または IP アドレスを入力します。
|
||
| ステップ 5 |
証明書ファイルを暗号化するには、[パスワード(Password)] フィールドにパスワードを入力します。 |
||
| ステップ 6 |
[Save] をクリックします。 |
||
| ステップ 7 |
クライアントのホスト名の横にあるダウンロード( |
||
| ステップ 8 |
SSL 認証のためにクライアントが使用する適切なディレクトリに証明書ファイルを保存します。 |
||
| ステップ 9 |
クライアントのアクセスを取り消すには、削除するホストの横にあるをクリックします。 eStreamer サービスを再起動する必要はありません。アクセスはただちに取り消されます。 |
(以前 Cisco Firepower App for Splunk と呼ばれていた)Cisco Secure Firewall(f.k.a. Firepower)app for Splunk を外部ツールとして使用して、Firepower イベントデータを表示して操作し、ネットワーク上の脅威をハントおよび調査することができます。
eStreamer が必要です。これは高度な機能です。eStreamer サーバー ストリーミングを参照してください。
詳細については、https://cisco.com/go/firepower-for-splunkを参照してください。
IBM QRadar 向けの Cisco Firepower アプリケーションをイベントデータを表示するための代替手段として使用して、ネットワークへの脅威の分析、ハント、および調査をすることができます。
eStreamer が必要です。これは高度な機能です。eStreamer サーバー ストリーミングを参照してください。
詳細については、https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.htmlを参照してください。
|
機能 |
バージョン |
詳細 |
|---|---|---|
|
IBM QRadar との統合 |
6.0 以降 |
IBM QRadar ユーザーは、新しい Firepower 固有のアプリを使用してイベントデータを分析できます。 どの機能を使用できるかは、Firepower のバージョンによって異なります。 IBM QRadar でのイベント分析を参照してください。 |
|
と統合するための拡張機能 Cisco SecureX Threat Response |
6.5 |
変更された画面:[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)] の新規オプション。 サポートされるプラットフォーム:直接統合または syslog を介して、このリリースでサポートされているすべてのデバイス。 |
|
Syslog |
6.5 |
[AccessControlRuleName] フィールドが、侵入イベントの syslog メッセージで使用できるようになりました。 |
|
Cisco Security Packet Analyzer との統合 |
6.5 |
この機能はサポートされなくなりました。 |
|
Cisco SecureX Threat Response との統合 |
6.3(syslog 経由、プロキシ コレクタを使用) 6.4(直接) |
Cisco SecureX Threat Response の強力な分析ツールを使用し、Firepower 侵入イベントデータを他のソースのデータと統合して、ネットワーク上の脅威を統合ビューに表示します。 変更された画面(バージョン 6.4):[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)] の新規オプション。 サポートされるプラットフォーム:バージョン 6.3(syslog 経由)または 6.4 を実行している Firepower Threat Defense デバイス |
|
ファイルとマルウェアのイベントの syslog サポート |
6.4 |
完全修飾ファイルおよびマルウェアのイベント データが syslog 経由で管理対象デバイスから送信できるようになりました。 変更された画面:[ポリシー(Policies)] > [アクセス制御(Access Control)] > [アクセス制御(Access Control)] > [ロギング(Logging)]。 サポート対象プラットフォーム:バージョン 6.4 を実行している管理対象のすべてのデバイス |
|
Splunk との統合 |
すべての 6.x バージョンのサポート |
Splunk のユーザーは、新しい個別の Splunk アプリケーションである Cisco Secure Firewall(f.k.a. Firepower)app for Splunk を使用してイベントを分析できます。 どの機能を使用できるかは、Firepower のバージョンによって異なります。 Splunk でのイベント分析を参照してください。 |
|
Cisco Security Packet Analyzer との統合 |
6.3 |
導入された機能:Cisco Security Packet Analyzer にイベントに関連するパケットについてすぐにクエリを実行した後、クリックして Cisco Security Packet Analyzer の結果を調べるか、またはダウンロードして別の外部ツールで分析します。 新規画面:
新規メニュー オプション:[ダッシュボード(Dashboard)] ページおよび [分析(Analysis)] メニューのページのイベント テーブルを右クリックしたときの [クエリ パケット アナライザ(Query Packet Analyzer)] のメニュー項目 サポートされるプラットフォーム Firepower Management Center |
|
コンテキスト クロス起動 |
6.3 |
導入された機能:イベントを右クリックし、事前に定義されているか、またはカスタム URL ベースの外部リソースの関連情報を検索します。 新規画面: 新規メニュー オプション:[ダッシュボード(Dashboard)] ページおよび [分析(Analysis)] メニュー ページのイベント テーブルを右クリックしたときに表示される複数のオプション サポートされるプラットフォーム Firepower Management Center |
|
接続イベントと侵入イベントの syslog メッセージ |
6.3 |
統合され、簡略化された新しい設定を使用して、完全修飾接続および侵入イベントを外部ストレージおよびツールに syslog 経由で送信する機能。メッセージ ヘッダーが標準化されてイベント タイプ識別子が組み込まれ、メッセージが小型になりました。これは、不明な値や空の値が含まれたフィールドが省略されるためです。 サポート対象プラットフォーム:
詳細については、セキュリティ イベントの syslog メッセージの送信についてのトピックとサブトピックを参照してください。 |
|
eStreamer |
6.3 |
eStreamer の内容をホストのアイデンティティ ソースに関する章からこの章に移動し、eStreamer と syslog を比較した概要を追加しました。 |
![[サンプルデータを使用したテスト(test with example data)] アイコン](/c/dam/en/us/td/i/400001-500000/420001-430000/427001-428000/427138.jpg){kind=small}
)
)![[ロギング(logging)] アイコン](/c/dam/en/us/td/i/400001-500000/420001-430000/429001-430000/429898.jpg)
)![[ダウンロード(download)] アイコン](/c/dam/en/us/td/i/300001-400000/370001-380000/372001-373000/372031.tif/_jcr_content/renditions/372031.jpg)
)
フィードバック