Cisco Secure Firewall App for Splunk について


重要

Cisco Secure Firewall App for Splunkhttps://splunkbase.splunk.com/app/4388/)は、2024 年 7 月 15 日にサポートが終了しました。このアプリケーションのサポートは限定的なものです。シスコのデバイスを Splunk に接続するには、最新の Cisco Security Cloud アプリ(https://splunkbase.splunk.com/app/7404)を使用してください。

Cisco Security Cloudアプリケーションの詳細については、 Cisco Security Cloud App for Splunk ユーザー ガイドを参照してください。

これは、https://splunkbase.splunk.com/app/4388/ の Splunkbase で入手可能な、Cisco Secure Firewall app for Splunk(以前の Firepower App for Splunk)のドキュメントです。

Secure Firewall Management Centerからの脅威データとトラフィック データを使用して、脅威を検出し、調査します。Splunk は、Firewall Management Center よりもはるかに多くのデータを保存できるため、ネットワーク上のアクティビティをより詳細に把握できます。

このアプリケーションは、Cisco Firepower eNcore App for Splunk(https://splunkbase.splunk.com/app/3663/)の後継アプリケーションです。必要に応じて、両方のアプリケーションを並行して実行できます。

Secure Firewall App for Splunk のセットアップ

要件および制約事項

  • Splunk 向け Cisco Secure Firewall アプリには、バージョン 6.0 以降を実行している Firewall Management Center から Splunk に送信されたセキュリティおよびネットワーク イベント情報が表示されます。どの機能を使用できるかは、Firewall Management Center のバージョンによって異なります。

  • サポートされている Splunk のバージョンおよびその他の互換性情報については、 https://splunkbase.splunk.com/app/4388/を参照してください。

  • このアプリを使用する前に、Firewall Management Center のイベントデータが Splunk で利用できることを確認してください。

    Firewall Management Center のデータを Splunk に取り込むには、Cisco Secure eStreamer Client Add-On for Splunk(旧 Cisco eStreamer eNcore Add-on for Splunk)を使用します。このテクニカル アドオン(TA)は https://splunkbase.splunk.com/app/3662/ から入手できます。

    この TA のドキュメントは https://www.cisco.com/c/en/us/support/security/defense-center/products-programming-reference-guides-list.html から入手できます。

  • Splunk アプリケーションで分析に使用できるイベントデータのタイプについては、https://splunkbase.splunk.com/app/3662/を参照してください。

Cisco Secure Firewall App for Splunk のインストール

始める前に

要件および制約事項 の要件および前提条件を満たします。

手順

ステップ 1

https://splunkbase.splunk.com/app/4388/」に進みます。

ステップ 2

Adminとして Splunk にログインします。

ステップ 3

アプリをダウンロードします。

ステップ 4

[アプリケーション(Apps)] > [アプリケーションの管理(Manage Apps)] の順に選択します。

ステップ 5

[ファイルからアプリをインストールする(Install App from File)]をクリックします。

ステップ 6

[Cisco Secure Firewall app for Splunk] に移動します。

ステップ 7

[アプリのアップグレード(Upgrade app)] をクリックします。

このアプリの既存のインストール バージョンがない場合は、新規インストールが実行されます。そうでなければ、以前のバージョンが上書きされます。

ステップ 8

指示に従って Splunk を再起動します。

ベストプラクティス

ネットワークは、ネットワークの内部で発生した攻撃を簡単に特定できるように構成してください(特にホーム ネットワークでの特定)。

Secure Firewall App for Splunk の構成

少なくとも、内部ネットワークと外部ネットワークを定義する IP アドレスを指定する必要があります。これは、ネットワーク内で発生した脅威を簡単に確認できるようにするためです。

手順

ステップ 1

標準の Splunk の場所にアクセスして、アプリの設定を構成します。

  1. ウィンドウの左上隅で、 [アプリ(App: Cisco Firepower App for Splunk)] > [アプリの管理(Manage Apps)]を選択します。

  2. [Cisco Secure Firewall app for Splunk]の行で、 [セットアップ(Set Up)]をクリックします。

ステップ 2

内部ネットワーク上の IP アドレスと範囲を指定すると、エクスプロイトの方向を特定できます。

  1. [ホームネット設定(Homenet Settings)] セクションで次のようにします。

  2. 内部ネットワークを定義する IP アドレスと範囲を指定します。

ステップ 3

Firewall Management Center で素早いピボットでデータを表示できるようにするには、該当するデータを右クリックして機能を有効にします。

たとえば、ホスト プロファイル情報は、Firewall Management Centerでのみ使用できます。

  1. [FMCリンク(FMC Link)] セクションで、次の手順を実行します。

  2. Firewall Management Center インターフェイスの IP アドレスを入力します。

ステップ 4

[保存(Save)] をクリックします。

Cisco Secure Firewall App for Splunk の使用

推奨される調査

  • システムが識別した脅威をシステムがブロックしていることを確認します:

    [脅威(Threats)] > [脅威サマリー(Threat Summary)]ページで、方向に関係なく、ブロックされなかった脅威をフィルタリングします。

    [脅威(Threats)] > [侵入イベント(Intrusion Events)]ページで、ブロックされていない影響 1 の脅威をフィルタリングします。

  • 侵害された内部ホストを探します:

    攻撃が内部ホストによって開始されている場合、常に侵害を示しています。

    • [脅威(Threats)] > [侵入イベント(Intrusion Events)]ページで、ブロックされたかどうかにかかわらず、影響 3 の脅威をフィルタリングし、タイムラインの下にある円グラフで、関連する内部ホストのオプションをクリックします。ページの下部にある表で内部 IP アドレスを調べます。

    • 次に、影響 2 のイベントについて同じ手順を実行します。

    • [脅威(Threats)] > [脅威サマリー(Threat Summary)]ページで、内部ホストで発生した脅威(ブロックされたかどうかには関係なく)をフィルタリングし、脅威がブロックされたかどうかに関係なく、関与している内部ホストを調査します。

  • 脅威であると認識される前にネットワークに侵入したマルウェアの影響を受けているホストを特定します:

    [脅威(Threats)] > [脅威サマリー(Threat Summary)]ページにあるレトロスペクティブ マルウェア イベントのグラフを使用して、影響を受けているホストを特定します。

  • 承認されていないアプリケーションや使用中の非標準ポートなど、ネットワーク上に異常がないかを探します:

    • [ネットワーク(Network)] ページのグラフを確認します。

    • [ネットワーク(Network)] ページの [最も観察されていない TCP ポートで使用中の上位サーバーアプリケーション(Top Server Applications In Use with Least Seen TCP Ports)] グラフで強調表示されている、一般的ではないポートでのアクティビティを探します。

  • のデータを調べて、異常(想定外に頻繁またはあまり見られないアクティビティまたはパラメータ)を確認します。

  • ネットワーク上の予期しないホストを調査します。

    ネットワーク上のホスト検出に関連していないレベル 0 の侵入イベントは、ゴースト ネットワークの存在を示している可能性があります。

    (レベル 0 の侵入イベントは、ネットワーク検出ポリシーが適切に実装されていないことを示している可能性もあります)。

  • 時間の経過とともに生じている、または主要なホスト(サーバーなど)に対する優先度の高い攻撃のスパイクやトレンドを探します。

    これらは、 [脅威(Threats)] メニューの各ページにあるタイムライン グラフで確認するのが最も簡単です。

    さまざまな時間範囲を選択して、何が顕著であるかを確認してください。

  • 重要でないデータの大きなチャンクを排除して、重要なデータを目立つようにすることができます。

  • 一意のイベントを慎重に調べてください。これらのイベントは、的を絞った攻撃を示している可能性があります。

  • 関心のある項目をドリルダウンします。

    フラグを発生させるパターン、ホスト、ユーザー、アプリケーション、ポートなどを見つけたら、ドリルダウンしてフィルタリングを行い、関連するエンティティに関係する他のトランザクションを確認します。また、項目を右クリックして、追加情報が利用可能かどうかを確認します。

  • 調査する際は、その他の疑わしい動作も探します。次に例を示します。

    • 単一の URL が、時間の経過とともに複数の IP アドレスと MAC アドレスに予期せず関連付けられている。

    • ホストが SSH を使用して、過去 1 時間に 30 の異なるエンドポイントに予期せず接続した。

  • 特定の IP アドレスに関連付けられたイベントとデータを検索します。

    [脅威(Threats)] > [コンテキスト エクスプローラ(Context Explorer)]ページを使用します。


    (注)  

    フィルタに多数の IP アドレスを含めている場合、データのセットアップにもよりますが、アプリの動作が非常に遅くなる可能性があります。

  • 侵入イベント影響レベルも参照してください。

ウィジェットの説明:

このアプリケーションのほとんどのウィジェットは、 Firewall Management Center の同等のウィジェットと同じです。これらのウィジェットの詳細については、https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html にある、お使いのバージョンの Cisco Secure Firewall Management Center 構成ガイドを参照してください。

侵入イベント影響レベル

表 1.

影響レベル(Impact Level)

説明と推奨されるアクション

0

ネットワーク上に予期しないホストが存在する

送信元と宛先のホストの IP アドレスが、Firewall Management Centerの検出ポリシーで定義されているように、ネットワーク内にありません。

ディスカバリ ポリシーが正しく設定されている場合、Impact 0 イベントはネットワーク上の不正なデバイスを示している可能性があります(アイデンティティ ネットワーク)。

この影響レベルをクリックし、ページの下部にあるテーブルを確認して、どのセンサーがこのトラフィックを監視しているかを判断し、ネットワーク チームにこれらのデバイスを見つけて分離するように依頼します。

1

優先度の高い侵入イベント

ターゲットホストがエクスプロイトに対して脆弱です。

これらのイベントには、OS、サーバー、またはクライアントの脆弱性、または Cisco Talos で定義されている侵害の兆候などがあります。

これらのイベントの内訳をタイプ別に表示するには、下の [影響 1 - 優先度の高いイベント(Impact 1 - High Priority Events)] ウィジェットを参照するか、ページの下部にあるテーブルを参照してリスクのあるホストのリストを確認してください。

2

侵害を受けた可能性のあるホスト

エクスプロイトがネットワーク内で発生している場合は、侵害されたホストがあることを示しているため、送信元 IP アドレスを調査する必要があります。

エクスプロイトに対する宛先ホストの既知の脆弱性は特定されていません。

ただし、送信元 IP に関係なく、宛先ホストが攻撃を受けていないか確認する必要があります。

3

おそらく侵害を受けたホスト

影響 3 のイベントは、通常、内部ホストがエクスプロイトのソースである場合にのみ発生します。

内部ソースのイベントは常にホストの侵害を示しています。

次の関連ウィジェットをクリックしてページの下部のテーブルに内部ソース イベントを表示し、そのテーブル内のソース IP アドレスを調査してください。

4

ネットワークに完全に統合されていないホスト

ホストは Firewall Management Center のディスカバリ ポリシーで設定されている IP アドレスの予想される範囲内にありますが、ホスト プロファイルを持っていません。

ホストは、ネットワークにとって新しいものである可能性があります。たとえば、ネットワークを新たに取得または拡大したにもかかわらず、まだ適切に構成されていない場合などです。

トラブルシューティング

既存の指示の確認

Secure Firewall App for Splunk のセットアップに記載されている要件と前提条件を満たしていることを確認します。

サポートの利用

このアプリは現状のまま提供され、保証はありません。コミュニティによるサポートを受けています。次のことを試してください。

関連資料

詳細(この統合に特有のもの以外)については、次の Firewall Management Center ドキュメントを参照してください。

  • Firewall Management Center 内のオンライン ヘルプ(ブラウザ ウィンドウの右上隅付近にある [ヘルプ(Help)] メニューの下)。

  • お使いのバージョンの Cisco Secure Firewall Management Center 構成ガイド

    構成ガイド

  • その他の Firewall Management Center リソース:

    Cisco Secure Firewall Management Center