統合:Firepower と Cisco Security Analytics and Logging (SaaS)

次との Firepower の統合の概要: Cisco Security Analytics and Logging (SaaS)

この統合は、Firepower Management Center(FMC)によって管理される Firepower Threat DefenseFTD)デバイス専用です。このドキュメントは、Firepower ソフトウェアを実行していないデバイス、Firepower Device ManagerFDM)によって管理されているデバイス、または FMC によって管理されている非 FTD デバイスには適用されません。

Firepower イベントを Stealthwatch Cloud に送信して保存したり、必要に応じて、Firepower イベントデータを Stealthwatch Cloud によるセキュリティ分析に利用できるようにすることが可能です。

Cisco Security Analytics and Logging (SaaS)SAL(SaaS) とも呼ばれる)により、Firepower デバイスは、イベントを syslog メッセージとしてネットワーク上の仮想マシンにインストールされた Security Events Connector(SEC)に送信します。この SEC は、イベントを Stealthwatch Cloud に転送して保存します。Web ベースの Cisco Defense OrchestratorCDO)ポータルを使用して、イベントを表示および操作します。購入するライセンスによっては、Stealthwatch ポータルを使用して、その製品の分析機能にアクセスすることもできます。


(注)  

CDO ポータルのほとんどの機能は、この統合には適用されません。たとえば、CDO はデバイスを管理しないため、デバイスは CDO にオンボーディングされません。


Cisco Security Analytics and Logging (SaaS) の詳細については、https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.htmlを参照してください。

SAL(SaaS) 統合の要件と前提条件

要件または前提条件のタイプ

要件

Firepower

Firepower Threat Defense デバイスを管理する Firepower Management Center

FMC およびデバイスのバージョン:6.4 以降

Firepower システムが展開され、イベントを正常に生成している必要があります。

地域のクラウド

イベントの宛先となる地域クラウドを決定します。

イベントは、異なる地域のクラウドから表示したり、異なる地域のクラウド間で移動することはできません。

データプラン

システムに必要なストレージの容量を決定します。

ストレージ要件の計算とデータプランの購入 を参照してください。

ライセンシング

  • Cisco Security Analytics and Logging ライセンス:任意

    ライセンスのオプションと説明については、SAL(SaaS) ライセンスを参照してください。

  • CDO ライセンス:追加の CDO ライセンスは必要ありません。

  • Stealthwatch Cloud ライセンス:追加のライセンスは必要ありません。

  • Firepower ライセンス:追加の Firepower ライセンスは必要ありません。

アカウント

この統合のライセンスを購入すると、この機能をサポートする CDO テナントアカウントが提供されます。

サポートされる Firepower イベントタイプ

侵入、接続、セキュリティ インテリジェンス、ファイル、およびマルウェアイベント

追加の前提条件

各手順の「はじめる前に」または「前提条件」を参照してください。

SAL(SaaS) ライセンス

ライセンス

詳細

無料トライアル

30 日間の無料トライアルライセンスを取得するには、https://info.securexanalytics.com/sal-trial.html にアクセスしてください。

Logging and Troubleshooting

イベントを Cisco Cloud に保存し、CDO の Web インターフェイスを使用して、保存されたイベントを表示およびフィルタ処理します。

(オプション)Logging Analytics and Detection

システムは、FTD イベントに Stealthwatch Cloud の動的エンティティモデリングを適用し、行動モデリング分析を使用して Stealthwatch Cloud の観測値とアラートを生成することができます。Cisco Single Sign-On を使用して、CDO から、プロビジョニングされた Stealthwatch Cloud ポータルを相互起動できます。

SAL のライセンスを購入すると、ログを表示するための CDO テナントへのアクセスと、脅威を検出するための SWC インスタンスが提供されます。SAL のユーザは、これらの 2 つのポータルにアクセスして SAL が提供する結果を確認するために個別の CDO ライセンスまたは SWC ライセンスを必要としません。

(オプション)Total Network Analytics and Detection

システムは、FTD イベントとネットワークトラフィックの両方に動的エンティティモデリングを適用し、観測値とアラートを生成します。Cisco Single Sign-On を使用して、CDO から、プロビジョニングされた Stealthwatch Cloud ポータルを相互起動できます。

SAL のライセンスを購入すると、ログを表示するための CDO テナントへのアクセスと、脅威を検出するための SWC インスタンスが提供されます。SAL のユーザは、これらの 2 つのポータルにアクセスして SAL が提供する結果を確認するために個別の CDO ライセンスまたは SWC ライセンスを必要としません。

SAL(SaaS) ライセンスオプションの詳細については、『Cisco Security Analytics and Logging Ordering Guide』(https://www.cisco.com/c/en/us/products/collateral/security/security-analytics-logging/guide-c07-742707.html)を参照してください。

SAL(SaaS) ライセンスは、Cisco Defense Orchestrator テナントを使用してファイアウォールログを表示する権利と、分析用の Stealthwatch Cloud(SWC)インスタンスを提供します。これらの製品のいずれかを使用するために個別のライセンスを保持する必要はありません。

SAL(SaaS) ライセンスを購入するには、シスコの認定販売代理店に問い合わせるか、https://apps.cisco.com/Commerce/guest にアクセスして SAL-SUB で始まる PID を検索してください。

ストレージ要件の計算とデータプランの購入

Cisco Cloud が FTD から毎日受け取るイベント数を反映したデータプランを購入する必要があります。これは「日次取り込み率」と呼ばれます。

データストレージ要件を見積もるには、次の手順を実行します。

データプランは、さまざまな日単位およびさまざまな年単位で利用できます。データプランの詳細については、『Cisco Security Analytics and Logging Ordering Guide』(https://www.cisco.com/c/en/us/products/collateral/security/security-analytics-logging/guide-c07-742707.html)を参照してください。


(注)  

SAL(SaaS) ライセンスとデータプランがある場合、その後は別のライセンスを取得するだけで、別のデータプランを取得する必要はありません。ネットワークトラフィックのスループットが変化した場合は、別のデータプランを取得するだけで、別の SAL(SaaS) ライセンスを取得する必要はありません。


次でのイベントデータストレージのセットアップ方法: SAL(SaaS)

操作手順

詳細情報

要件と前提条件を確認する

SAL(SaaS) 統合の要件と前提条件を参照してください

必要なライセンス、アカウント、およびデータストレージプランを取得する

シスコの認定営業担当者にお問い合わせください。

多要素認証を使用して CDO アクセスをセットアップする

CDO へのサインインについては、CDO のオンラインヘルプに記載されている手順を参照してください。https://docs.defenseorchestrator.com/Welcome_to_Cisco_Defense_Orchestrator/0015_Signing_on_to_CDO

VMWare仮想マシンでオンプレミスの Secure Device Connector(SDC)をセットアップする

このコンポーネントは、Firepower デバイスがイベントを送信するコンポーネントである SEC のインストールを可能にするためにのみ必要です。

CDO のオンラインヘルプの説明に従って、次のいずれかを使用します。

重要手順の前提条件を省略しないでください。ただし、この統合には適用されないオンボーディングに関する情報は無視してください。

作成した SDC 仮想マシンに Secure Event Connector(SEC)をインストールします。

これは、Firepower デバイスがイベントを送信するコンポーネントです。

Secure Event Connector をインストールするには、CDO のオンラインヘルプを参照してください。

重要手順の前提条件を省略しないでください。ただし、この統合には適用されないオンボーディングに関する情報は無視してください。

管理対象デバイスに syslog イベントを SEC に送信させるように FMC を設定します。

FTD デバイスからのセキュリティイベント syslog メッセージの送信

イベントが正常に送信されていることを確認する

イベントの表示および操作 を参照してください。

(任意)CDO の一般設定を指定する

たとえば、シスコのサポートスタッフがデータを使用できないようにすることができます。

CDO のオンラインヘルプで、「一般設定」を参照してください。

(任意)同僚がイベントを表示および操作するための CDO ユーザアカウントを作成する

CDO のオンラインヘルプで、「新規 CDO ユーザの作成」を参照してください。

FTD デバイスからのセキュリティイベント syslog メッセージの送信

この手順では、Firepower Management Center によって管理される FTD デバイスからセキュリティイベント(接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベント)の syslog メッセージを送信するためのベストプラクティス設定について説明します。


(注)  

多くの FTD syslog 設定は、セキュリティイベントには適していません。この手順で説明するオプションのみを設定してください。


始める前に

  • Firepower Management Center で、セキュリティイベントを生成するようにポリシーを設定するとともに、予期されるイベントが [分析(Analysis)] メニューの該当するテーブルに表示されることを確認します。

  • syslog サーバの IP アドレス、ポート、およびプロトコル(UDP または TCP)を収集します。

    CDO にサインインします。その後、CDO ブラウザウィンドウの右上にあるユーザメニューから [セキュアコネクタ(Secure Connectors)] を選択します。[Secure Event Connector] をクリックすると、右側に必要な情報が表示されます。

  • デバイスが syslog サーバに到達できることを確認します。

  • 詳細については、FMC のオンラインヘルプで「接続ロギング」の章を参照してください。

手順


ステップ 1

Firepower Management Center の Web インターフェイスにサインインします。

ステップ 2

FTD デバイスの syslog 設定を指定します。

  1. [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] をクリックします。

  2. FTD デバイスに関連付けられているプラットフォーム設定ポリシーを編集します。

  3. 左側のナビゲーションペインで、[Syslog] をクリック。

  4. [syslog サーバ(Syslog Servers)] をクリックし、[追加(Add)] をクリックして、サーバ、プロトコル、インターフェイス、および関連情報を入力します。

    上記の CDO から収集した IP アドレス、ポート、およびプロトコルを使用してください。

    EMBLEM 形式とセキュア syslog は、この統合ではサポートされていません。

    このページのオプションについて疑問がある場合は、FMC のオンラインヘルプで「syslog サーバの設定」のトピックを参照してください。

  5. [syslog 設定(Syslog Settings)] をクリックし、次の設定を行います。

    • syslog メッセージのタイムスタンプを有効化

    • タイムスタンプ形式

    • Enable Syslog Device ID

  6. [ロギングのセットアップ(Logging Setup)] をクリックします。

  7. [EMBLEM 形式で syslogs を送信(Send syslogs in EMBLEM format)] がオフになっていることを確認します。

  8. 設定を保存します。

ステップ 3

アクセス コントロール ポリシーの一般的なログ設定(ファイルおよびマルウェアロギングを含む)を指定します。

  1. [ポリシー(Policies)] > [アクセスコントロール(Access Control)] をクリックします。

  2. 該当するアクセス コントロール ポリシーを編集します。

  3. [ロギング(Logging)] をクリックします。

  4. [FTD 6.3 以降:デバイスに展開した FTD プラットフォーム設定の syslog 設定を使用する(FTD 6.3 and later: Use the syslog settings configured in the FTD Platform Settings policy deployed on the device)] をオンにします。

  5. (任意)syslog の重大度を選択します。

  6. ファイルおよびマルウェアイベントを送信する場合は、[ファイル/マルウェアイベントの syslog メッセージを送信する(Send Syslog messages for File and Malware events)] をオンにします。

  7. [保存(Save)] をクリックします。

ステップ 4

アクセス コントロール ポリシーのセキュリティ インテリジェンス イベントのロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[セキュリティ インテリジェンス(Security Intelligence)] タブをクリックします。

  2. 次の各場所で、 をクリックし、接続の開始および終了と [syslog サーバ(Syslog Server)] を有効にします。

    • [DNS ポリシー(DNS Policy)] の横。

    • [ブロックリスト(Block List)]ボックスの、[ネットワーク(Networks)] と [URL(URLs)] 。

  3. [保存(Save)] をクリックします。

ステップ 5

アクセス コントロール ポリシーの各ルールの syslog ロギングを有効にします。

  1. 同じアクセス コントロール ポリシーで、[ルール(Rules)] タブをクリックします。

  2. 編集するルールをクリックします。

  3. ルールの [ロギング(Logging)] タブをクリックします。

  4. 接続の開始時と終了時の両方を有効にします。

  5. ファイルイベントをログに記録する場合は、[ファイルのロギング(Log Files)] を選択します。

  6. [syslog サーバ(Syslog Server)] を有効にします。

  7. ルールが [アクセスコントロールログでデフォルトの syslog 設定を使用する(Using default syslog configuration in Access Control Logging)] であることを確認します。

    オーバーライドを設定しないでください。

  8. [追加(Add)] をクリックします。

  9. ポリシーの各ルールに対して手順を繰り返します。

ステップ 6

侵入イベントを送信する場合は、次の手順を実行します。

  1. アクセス コントロール ポリシーに関連付けられている侵入ポリシーに移動します。

  2. 侵入ポリシーで、[詳細設定(Advanced Settings)] > [Syslog アラート(Syslog Alerting)] > [有効(Enabled)] をクリックします。

    ポリシーがアクセス コントロール ロギング用に設定されたデフォルト設定を使用していることを確認します。

  3. [戻る(Back)] をクリックします。

  4. 左側にあるナビゲーションウィンドウの [ポリシー情報(Policy Information)] をクリックします。

  5. [変更を確定(Commit Changes)] をクリックします。


次のタスク

  • 変更が完了したら、変更を管理対象デバイスに展開します。

イベントの表示および操作

クラウドでイベントを表示および検索するには、次の手順を実行します。

手順


ステップ 1

ブラウザを使用して、イベントの送信先の地域 CDO クラウドに移動します。

ステップ 2

CDO にサインインします。

ステップ 3

ナビゲーションバーから、[モニタリング(Monitoring)] > [イベントロギング(Event Logging)] を選択します。

ステップ 4

[履歴(Historical)] タブを使用して履歴イベントデータを表示します。デフォルトでは、このタブがビューアに表示されます。

ステップ 5

ライブイベントを表示するには、[ライブ(Live)] タブをクリックします。

このページで実行できることの詳細については、CDO のオンラインヘルプでイベント表示の手順を参照してください。。


次のタスク

Logging Analytics and Detection ライセンスまたは Total Network Analytics and Detection ライセンスがある場合は、CDO のオンラインヘルプで手順を参照して Stealthwatch Cloud ポータルを相互起動してください。

よくある質問

SAL に関する詳細情報はどこで入手できますか。

SAL の「使用する前に」と「よくある質問」も参照してください。

Firepower デバイスを CDO にオンボードする必要はありますか。

いいえ。デバイスを CDO にオンボードしないでください。

SecureX または Cisco Threat Response を使用する場合、CDO アカウントをマージする必要はありますか。

いいえ。CDO アカウントを SecureX および Cisco Threat Response に使用するアカウントとマージしないでください。