要件とベストプラクティス
セキュリティ分析とロギング(オンプレミス) を展開してファイアウォールのイベントデータを保存するための要件とベストプラクティスを次に示します。
ファイアウォール アプライアンス
次のファイアウォール アプライアンスを展開する必要があります。
ソリューションのコンポーネント |
必要なバージョン |
シスコのセキュリティ分析とロギング(オンプレミス) のライセンス |
注記 |
---|---|---|---|
Firepower Management Center(ハードウェアまたは仮想) |
v7.0+ 以前のバージョンを実行している Firepower Management Center の場合は、https://cisco.com/go/sal-on-prem-docsを参照してください。 |
なし |
|
Firepower 管理対象のデバイス |
v7.0+(ウィザードを使用) Firepower Threat Defense v6.4 以降(syslog を使用) NGIPS v6.4(syslog を使用) |
なし |
|
ASA デバイス |
v9.12+ |
なし |
|
Secure Network Analytics アプライアンス
Secure Network Analytics の展開には次のオプションがあります。
ソリューションのコンポーネント |
必要なバージョン |
セキュリティ分析とロギング(オンプレミス) のライセンス |
注記 |
---|---|---|---|
マネージャ |
Secure Network Analytics v7.3.1+ |
なし |
|
セキュリティ分析とロギング(オンプレミス) アプリ |
セキュリティ分析とロギング(オンプレミス) アプリケーション v2.0+ |
GB/日に基づくスマートライセンスのロギングおよびトラブルシューティング |
マネージャ にこのアプリケーションをインストールし、syslog の取り込みを有効にするように設定します。 |
ソリューションのコンポーネント |
必要なバージョン |
セキュリティ分析とロギング(オンプレミス) のライセンス |
注記 |
---|---|---|---|
マネージャ |
Secure Network Analytics v7.3.2+ |
なし |
|
Flow Collector |
Secure Network Analytics v7.3.2+ |
なし |
|
データストア(データノード X 3) |
Secure Network Analytics v7.3.2+ |
なし |
|
セキュリティ分析とロギング(オンプレミス) アプリ |
セキュリティ分析とロギング(オンプレミス) アプリケーション v2.0+ |
GB/日に基づくスマートライセンスのロギングおよびトラブルシューティング |
マネージャ にこのアプリケーションをインストールし、syslog の取り込みを有効にするように設定します。 |
これらのコンポーネントに加えて、すべてのアプライアンスが NTP を使用して時刻を同期できることを確認する必要があります。
Firepower または Secure Network Analytics アプライアンスのコンソールにリモートでアクセスする場合は、SSH 経由のアクセスを有効にできます。
Secure Network Analytics のライセンス
ライセンスなしで、セキュリティ分析とロギング(オンプレミス) を 90 日間評価モードで使用できます。90 日間経過した後も セキュリティ分析とロギング(オンプレミス) の使用を継続するには、ファイアウォール展開から Secure Network Analytics アプライアンスに syslog データで送信する見込みの 1 日あたりの GB に基づいて、スマートライセンスのロギングとトラブルシューティングのスマートライセンスを取得する必要があります。
(注) |
ライセンスの計算のために、データ量は最も近い GB 数(切り捨て)で報告されます。たとえば、1 日あたり 4.9 GB を送信する場合は、4 GB と報告されます。 |
Secure Network Analytics アプライアンスのライセンスに関する詳細については、『Secure Network Analytics Smart Software Licensing Guide』を参照してください。
Secure Network Analytics Resource Allocation
セキュリティ分析とロギング(オンプレミス) に展開した場合、Secure Network Analytics は次の取り込みレートを提供します。
-
ハードウェアまたはバーチャルエディション(VE)の 単一ノード の展開では、平均で最大約 20,000 イベント/秒(EPS)でショートバーストでは最大 35,000 EPS を取り込むことができます。
-
バーチャルエディション(VE)の マルチノード の展開では、平均で最大約 5,000 EPS、ショートバーストでは最大 175,000 EPS を取り込むことができます。
-
ハードウェア マルチノード の展開では、平均で最大約 10 万 EPS、ショートアーストでは最大 350,000 EPS を取り込むことができます。
割り当てたハードドライブストレージに基づいて、数週間または数か月にわたってデータを保存できます。これらの推定値は、ネットワーク負荷、トラフィックスパイク、イベントごとに送信される情報など、さまざまな要因の影響を受けます。
(注) |
EPS の取り込みレートが高いと、セキュリティ分析とロギング(オンプレミス) アプリケーションがデータをドロップする場合があります。さらに、接続、侵入、ファイル、マルウェアのイベントのみではなく、すべてのイベントタイプを送信する場合は、全体的な EPS の増加にしたがい、データをドロップする場合があります。この場合はログファイルを確認します。 |
単一ノード VE の推奨事項
最適なパフォーマンスを得るために、マネージャ VE を展開する場合は、次のリソースを割り当てます。
リソース |
推奨 |
---|---|
CPU |
12 |
RAM |
64 GB |
ハードドライブストレージ |
2 TB |
割り当てるストレージスペースに基づいて、大まかに次の期間のデータを 単一ノード の展開環境に保存できます。
平均 EPS |
平均日次イベント |
1 TB ストレージの推定保持期間 |
2 TB ストレージの推定保持期間 |
4 TB ストレージの推定保持期間 |
---|---|---|---|---|
1,000 |
8,650 万 |
250 日 |
500 日 |
1000 日 |
5,000 |
4 億 3,000 万 |
50 日 |
100 日 |
200 日 |
10,000 |
8 億 6,500 万 |
25 日 |
50 日 |
100 日 |
20,000 |
17 億 3,000 万 |
12.5 日 |
25 日 |
50 日 |
マネージャ が最大ストレージキャパシティに達すると、着信データ用のスペースを確保するために最も古いデータが最初に削除されます。
(注) |
この推定取り込みおよび保管の期間について、これらのリソース割り当てで マネージャ VE をテストしました。仮想アプライアンスに十分な CPU または RAM を割り当てないと、リソース割り当てが不十分なために予期しないエラーが発生する場合があります。ストレージ割り当てを 4 TB を超えて増やすと、リソース割り当てが不十分なために予期しないエラーが発生する可能性があります。 |
マルチノード 推奨事項
最適なパフォーマンスを得るために、マネージャ VE、フローコレクタ VE、および データストア VE を展開する場合は、次のリソースを割り当てます。
リソース |
推奨 |
---|---|
CPU |
8 Intel Xeon、最小 2.29 GHz |
RAM |
64 GB |
ハードドライブストレージ |
480 GB |
リソース |
推奨 |
---|---|
CPU |
8 Intel Xeon、最小 2.29 GHz |
RAM |
70 GB |
ハードドライブストレージ |
480 GB |
リソース |
推奨 |
---|---|
CPU |
12 Intel Xeon、データノードあたり最小 2.29 GHz |
RAM |
データノードあたり 32 GB |
ハードドライブストレージ |
データノード VE あたり 5 TB、または 3 つのデータノードで合計 15 TB |
割り当てるストレージスペースに基づいて、大まかに次の期間のデータを マルチノード の展開環境に保存できます。
平均 EPS |
平均日次イベント |
仮想 |
ハードウェア |
---|---|---|---|
1,000 |
8,650 万 |
1,500 日 |
3,000 日 |
5,000 |
4 億 3,000 万 |
300 日 |
600 日 |
10,000 |
8 億 6,500 万 |
150 日 |
300 日 |
20,000 |
17 億 3,000 万 |
75 日 |
150 日 |
25,000 |
21 億 6,000 万 |
60 日 |
120 日 |
50,000 |
43 億 2,000 万 |
30 |
60 日 |
75,000 |
64 億 8,000 万 |
サポート対象外 |
40 日間 |
100,000 |
86 億 4,000 万 |
サポート対象外 |
30日間 |
データストアが最大ストレージキャパシティに達すると、着信データ用のスペースを確保するために最も古いデータが最初に削除されます。
(注) |
この推定取り込みおよび保存の期間について、これらのリソース割り当てでこれらの仮想アプライアンスをテストしました。仮想アプライアンスに十分な CPU または RAM を割り当てないと、リソース割り当てが不十分なために予期しないエラーが発生する場合があります。ストレージ割り当てを 4 TB を超えて増やすと、リソース割り当てが不十分なために予期しないエラーが発生する可能性があります。 |
通信ポート
次の表に 単一ノード の展開の場合に セキュリティ分析とロギング(オンプレミス) を統合するために開く必要がある通信ポートを示します。
送信元(クライアント) |
宛先(サーバ) |
ポート |
プロトコルまたは目的 |
---|---|---|---|
外部インターネット(NTP サーバ) |
Firepower Management Center、Firepower Threat Defense デバイス、および マネージャ |
123/UDP |
すべて同じ NTP サーバへの NTP 時刻同期 |
ユーザワークステーション |
Firepower Management Centerおよびマネージャ |
443/TCP |
Web ブラウザを使用した HTTPS 経由でのアプライアンスの Web インターフェイスへのログイン |
Firepower Management Center によって管理される Firepower Threat Defense デバイス |
マネージャ |
8514/UDP |
Firepower Threat Defense デバイスからの syslog のエクスポート、マネージャ への取り込み |
Firepower Management Center | マネージャ |
443/TCP |
Firepower Management Center から マネージャ へのリモートクエリ |
次の表に マルチノード の展開の場合に セキュリティ分析とロギング(オンプレミス) を統合するために開く必要がある通信ポートを示します。さらに、Secure Network Analytics 展開で開く必要があるポートについては、『Data Store Hardware Deployment and Configuration Guide』と『Data Store Virtual Edition Deployment and Configuration Guide』を参照してください。
送信元(クライアント) |
宛先(サーバ) |
ポート |
プロトコルまたは目的 |
---|---|---|---|
外部インターネット(NTP サーバ) |
Firepower Management Center、Firepower Threat Defense デバイス、マネージャ、フローコレクタ、およびデータストア |
123/UDP |
すべて同じ NTP サーバへの NTP 時刻同期 |
ユーザワークステーション |
Firepower Management Centerおよびマネージャ |
443/TCP |
Web ブラウザを使用した HTTPS 経由でのアプライアンスの Web インターフェイスへのログイン |
Firepower Management Center によって管理される Firepower Threat Defense デバイス |
Flow Collector |
8514/UDP |
Firepower Threat Defense デバイスからの syslog のエクスポート、フローコレクタへの取り込み |
ASA デバイス |
Flow Collector |
514/UDP |
ASA デバイスからの syslog のエクスポート、フローコレクタへの取り込み |
Firepower Management Center | マネージャ |
443/TCP |
Firepower Management Center から マネージャ へのリモートクエリ |