この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firepower リリース 6.3 以降では、サポートされているイベントを Firepower デバイスから Cisco Cloud に syslog を使用して送信できます。オンプレミス Cisco Security Services Proxy(CSSP)サーバをセットアップし、このプロキシに syslog メッセージを送信するようにデバイスを設定する必要があります。
プロキシは収集したイベントを 10 分ごとに Security Services Exchange(SSE)へ転送します。そこから、Cisco Threat Response(CTR)に表示されるインシデントに自動または手動で昇格させることができます。
|
操作手順 |
詳細情報 |
|
|---|---|---|
|
ステップ 1 |
要件を満たす。 |
syslog を使用した統合の要件を参照してください。 |
|
ステップ 2 |
デバイスを管理し、イベントをフィルタ処理するために使用する Cisco Threat Response のクラウド ポータルである Security Services Exchange(SSE)にアクセスする。 |
アクセス Security Services Exchangeを参照してください。 |
| ステップ 3 |
Cisco Security Services Proxy(CSSP)サーバをインストールし、設定する。 |
無料のインストーラと手順を Security Services Exchange からダウンロードします。 SSE で、ブラウザ ウィンドウの右上の近くにある [ツール(Tools)] ボタン( |
|
ステップ 4 |
Security Services Exchange で、機能を有効にする。 |
[クラウド サービス(Cloud Services)] をクリックして次のオプションを有効にします。
|
|
ステップ 5 |
サポートされているイベントの syslog メッセージをプロキシ サーバに送信するように Firepower デバイスを設定する。 |
|
|
ステップ 6 |
Firepower 製品で、各イベントを生成したデバイスをメッセージが識別していることを確認する。 |
|
|
ステップ 7 |
サポートされているイベントを生成する。 |
-- |
|
ステップ 8 |
イベントが予期したとおりに Security Services Exchange に表示されていることを確認し、必要に応じてトラブルシューティングを行う。 |
参照先: |
|
ステップ 9 |
(任意)重要でない特定のイベントを自動的に削除し、特定のイベントを自動的にインシデントに昇格させて Cisco Threat Response に表示されるように Security Services Exchange を設定する。 |
イベントのフィルタ処理とイベントの昇格については、Security Services Exchange のオンライン ヘルプの情報を参照してください。 |
|
ステップ 11 |
昇格したイベントが予期したとおりに Cisco Threat Response Incident Manager に表示されることを確認する。 |
Cisco Threat Response で [インシデント(Incidents)] をクリックします。 |
|
ステップ 12 |
Cisco Threat Response で、Firepower モジュールを追加します。 このモジュールが設定されている場合、CTR は、侵入イベントがまだ昇格されていない場合でも、SSE 内の侵入イベントからの検知物を返します。 |
[モジュール(Modules)] > [統合モジュール(Integration Modules)] > [モジュールの設定(Configure Modules)] に移動し、Firepower モジュールを選択します。 このモジュールの詳細については、CTR でオンラインヘルプを参照してください。 |
|
要件のタイプ |
要件 |
|---|---|
|
Firepower デバイス |
サポートされているバージョンの Firepower ソフトウェアを実行しているデバイス |
|
Firepower のバージョン |
6.3 以降 |
|
サポートされている Cisco Threat Response の地域クラウド |
北米のクラウド ヨーロッパのクラウド |
|
使用予定の Cisco Threat Response クラウドのアカウント |
「Cisco Threat Response のアクセスに必要なアカウント」を参照してください。 |
|
全般 |
Firepower システムが予期したとおりにイベントを生成しています。 |
ブラウザで、ポップアップのブロッキングを無効にします。
| ステップ 1 |
ブラウザウィンドウで、お客様のCisco Threat Response クラウドに移動します。
|
| ステップ 2 |
エンドポイント向け AMP、Cisco Threat Grid、またはシスコのセキュリティ アカウントのクレデンシャルを使用してサインインします。 |
| ステップ 3 |
Security Services Exchange に移動します。 [モジュール(Modules)] > [デバイス(Devices)] > [管理デバイス(Managing Devices)] を選択します。 Security Services Exchange が新しいブラウザ ウィンドウに開きます。 |
イベントが予期していたとおりに Firepower に表示されることを確認します。
| ステップ 1 |
メッセージがプロキシから Security Services Exchange に転送できるようになるには、Firepower デバイスがサポートされているイベントを検出してから 15 分待ちます。 |
| ステップ 2 | |
| ステップ 3 |
Security Services Exchange で [イベント(Events)] をクリックします。 |
| ステップ 4 |
デバイスからイベントを検索します。 予期していたイベントが表示されない場合は、syslog 統合のトラブルシューティングのヒントを参照し、syslog を使用した Cisco Cloud へのイベントの送信方法でもう一度確認してください。 |
デバイスからネットワーク上の CSSP に到達できることを確認します。
この統合の設定を試みる直前にクラウド アカウントをアクティブ化し、この統合の実装中に問題が発生した場合は、1 ~ 2 時間待ってから、クラウド アカウントへのログインを試します。
アカウントに関連付けられている地域のクラウドの正しい URL にアクセスしていることを確認してください。
次の点をチェックします。
[イベント(Events)] ページの [更新(Refresh)] ボタンをクリックしてリストを更新します。
予期していたイベントが Firepower に表示されることを確認します。
SSE の [クラウド サービス(Cloud Services)] ページの [イベント サービス(Eventing Service)] の設定で、自動削除(イベントのフィルタ アウト処理)の設定を確認します。
イベントの送信先の地域クラウドを調べていることを確認します。
その他のトラブルシューティングのヒントについては、SSE のオンライン ヘルプを参照してください。
syslog のフィールドと説明については、https://www.cisco.com/c/en/us/support/security/defense-center/products-system-message-guides-list.html にある『Cisco Firepower Threat Defense Syslog Messages』ガイド を参照してください。
![[ツール(Tools)] ボタン](/c/dam/en/us/td/i/400001-500000/430001-440000/436001-437000/436051.jpg)
)から [ダウンロード(Downloads)]
フィードバック