Cisco Secure Firewall Management Center から収集される Cisco Success Network テレメトリデータ
Cisco Success Network では、登録済み FMC はリアルタイムの設定と動作の状態に関する情報を Cisco Success Network Cloud に継続的にストリーミングすることができます。このドキュメントでは、収集およびモニターされるデータのリストを示します。
登録済みデバイス データ
Cisco Success Network に FMC を登録したら、登録済みの FMC デバイスに関する選択したテレメトリデータが Cisco Cloud ヘストリーミングされます。次の表に、登録済みのデバイスに関して収集し、監視しているデータを示します。このデータには、侵入ポリシー(システムが提供するポリシーとカスタムポリシーの両方)および登録済みの FMC のマルウェア検出に関する機能に固有の情報が含まれます。
データ ポイント | 値の例 |
---|---|
デバイス名(Device Name) |
Management Center East |
デバイス UUID |
24fd0ccf-1464- 491f-a503- d241317bb327 |
デバイス モデル |
Cisco Firepower Management Center 4000 Cisco Firepower Management Center for VMWare |
シリアル番号(Serial Number) |
9AMDESQP6UN |
システム稼動時間(System Uptime) |
99700000 |
製品 ID(Product Identifier) |
FS-VMW-SW-K9 |
スマート ライセンス PIID |
24fd0ccf-1464- 491f-a503- d241317bb327 |
仮想アカウント識別子 |
CiscoSVStemp |
スマート ライセンス バーチャル アカウント名 |
FTD-ENG-SJC |
ソフトウェア バージョン データ
Cisco Success Network は、ソフトウェアのバージョン、ルールの更新バージョン、地理位置情報データベースのバージョン、脆弱性データベースのバージョン情報など、登録済みの FMC デバイスに関連するソフトウェア情報を収集します。次の表に、登録済みのデバイスに関して収集し、監視しているソフトウェア情報を示します。
データ ポイント | 値の例 |
---|---|
FMC ソフトウェアバージョン |
{ type: "SOFTWARE", version: "x.x.x.x" } |
ルールの更新バージョン |
{version: "2016-11-29-001-vrt", lastUpdated: 1468606837000 } |
脆弱性データベース(VDB)のバージョン |
{version: "271", lastUpdated: 1468606837000 } |
地理的位置情報データベースのバージョン |
{version: "850" } |
管理対象デバイス データ
Cisco Success Network は、登録済み FMC に関連付けられているすべての管理対象デバイスに関する情報を収集します。次の表に、管理対象デバイスに関して収集し、監視している情報を示します。これには、管理対象デバイスの URL フィルタリング、侵略防御、およびマルウェア 検出など、機能に固有のポリシーおよびライセンス情報が含まれます。
データ ポイント | 値の例 |
---|---|
管理対象デバイス名。 |
firepower |
管理対象デバイスバージョン。 |
6.2.3-10616 |
管理対象デバイスマネージャ。 |
FMC |
管理対象デバイスモデル。 |
Cisco Firepower 2130 NGFW アプライアンス Cisco FTD VMware |
管理対象デバイスのシリアル番号。 |
9AMDESQP6UN |
管理対象デバイスの PID。 |
FPR2130-NGFW-K9 NGFWv |
デバイスに URL フィルタリング ライセンスを使用しているか |
True |
デバイスごとに URL フィルタリングを使用する AC ルール。 |
10 |
URL フィルタリングライセンスを使用する URL フィルタリングでの AC ルールの数。 |
3 |
脅威ライセンスを使用する URL フィルタリングでの AC ルールの数。 |
3 |
デバイスに脅威ライセンスを使用しているか |
True |
AC ポリシーに侵略ルールを追加しているか |
True |
侵入ポリシーを使用する AC ルールの数。 |
10 |
デバイスにマルウェア ライセンスを使用しているか |
True |
マルウェアポリシーを使用する AC ルールの数。 |
10 |
マルウェアライセンスを使用するマルウェアポリシーでの AC ルールの数。 |
5 |
デバイスに Threat Intelligence Director (TID) を使用しているか |
True |
静的ルートの数。 |
4 |
VRF 数。 |
0 |
ローカル URL 項目の数。 |
{"url": "/api/local/fmc_config/v1/domain/{domainUUID}/object/networks", "count": 10}, {"url": "/api/local/fmc_platform/v1/info/serverversion", "count": 2} |
導入情報
展開を設定した後、影響を受けるデバイスにその変更を展開する必要があります。次の表に、影響を受けるデバイスの数と成功か失敗かの情報を含む展開のステータスなど、設定の展開に関して収集し、モニターするデータを示します。
データ ポイント | 値の例 |
---|---|
ジョブ ID(Job ID) |
8589936079 |
展開用に選択したデバイスの数 |
3 |
展開に失敗したデバイスの数 |
1 |
展開に成功したデバイスの数 |
2 |
終了時間(End Time) |
1523993913001 |
開始時間(Start Time) |
1523993840445 |
ステータス |
SUCCEEDED |
ターゲット デバイスの UUID |
4f14f644-41e0 -11e8-9354- cf32315d7095 |
展開したポリシー タイプ |
NetworkDiscovery NGFWPolicy DeviceConfiguration |
現在の実行で収集した最後の展開ジョブの ID |
8589936079 |
コンテナ タイプ(スタンドアロンまたは HA ペア) |
STANDALONE HAPAIR |
コンテナの UUID |
5e006633-30fe-11e9-8a70-cd88086eeac0 |
デバイス モデル |
Cisco FTD for VMWare |
デバイスバージョン |
6.4.0 |
ポリシー バンドルのサイズ |
3588153 |
TLS/SSL インスペクション イベント データ
Firepower システムは、デフォルトではセキュア ソケット レイヤ(SSL)プロトコルまたはその後継である Transport Layer Security(TLS)プロトコルで暗号化されたトラフィックを検査できません。TLS/SSL インスペクションを使用すると、暗号化トラフィックをインスペクションを実行せずにブロックしたり、暗号化または復号されたトラフィックをアクセス コントロールを使用して検査したりできます。次の各表では、暗号化されたトラフィックについて Cisco Success Network と共有する統計情報について説明します。
ハンドシェイク プロセス
システムで TCP 接続での TLS/SSL ハンドシェイクが検出された場合、その検出されたトラフィックを復号できるかどうかが判定されます。システムは、暗号化されたセッションを処理する際にトラフィックに関する詳細をログに記録します。
データ ポイント | 値の例 |
---|---|
システムは、トラフィックが復号できず次の状態となった場合、適用されたアクションを報告します。
|
0 以上の整数値 |
システムは、トラフィックが次の方法で復号できた場合、適用されたアクションを報告します。
|
0 以上の整数値 |
キャッシュ データ
TLS/SSL ハンドシェイクが完了すると、管理対象デバイスは暗号化セッション データをキャッシュに保存し、それによりフル ハンドシェイクを必要とせずにセッションを再開できます。管理対象デバイスもサーバー証明書データをキャッシュに保存し、それにより後続のセッションでのより速いハンドシェイクの処理が可能になります。
データ ポイント | 値の例 |
---|---|
システムは暗号化されたセッション データおよびサーバ証明書データをキャッシュし、キャッシュについて SSL 接続ごとにレポートします。具体的な内容は次のとおりです。
|
0 以上の整数値 |
FMC で SSL の使用が有効になっているかどうか。 |
はい(True) |
証明書のステータス
システムは暗号化されたトラフィックを評価し、暗号化サーバーの証明書のステータスを報告します。
データ ポイント | 値の例 |
---|---|
システムは暗号化されたトラフィックを暗号化サーバーの証明書ステータスに基づいて評価し、報告します。
|
0 以上の整数値 |
失敗の理由
システムは暗号化されたトラフィックを評価し、システムがトラフィックの復号化に失敗している場合は失敗の理由を報告します。
データ ポイント | 値の例 |
---|---|
システムは暗号化されたトラフィックを評価し、システムが次の理由のためにトラフィックの復号化に失敗している場合は失敗の理由を報告します。
|
0 以上の整数値 |
バージョン(Version)
システムは暗号化されたトラフィックを評価し、ネゴシエートされた TLS/SSL バージョンを接続ごとに報告します。
データ ポイント | 値の例 |
---|---|
システムは暗号化されたトラフィックを評価し、次のようなネゴシエートされたバージョンを SSL 接続ごとに報告します。
|
0 以上の整数値 |
Snort 再起動データ
管理対象デバイス上の Snort プロセスと呼ばれるトラフィック インスペクション エンジンが再起動すると、プロセスが再開されるまでインスペクションが中断されます。ユーザー定義のアプリケーションの作成/削除を行うか、システムまたはカスタム アプリケーション ディテクタを有効化/無効化すると、展開プロセスを経由することなく、ただちに Snort プロセスが再起動します。Snort プロセスの再起動が続行されていることが警告され、キャンセルが可能になります。再起動は、現在のドメインまたはそのいずれかの子ドメイン内の任意の管理対象デバイスで発生します。
データ ポイント | 値の例 |
---|---|
カスタム アプリケーション ディテクタを有効または無効にした場合の Snort 再起動の数。 |
0 以上の整数値 |
カスタム アプリケーション ディテクタを作成または変更した場合の Snort 再起動の数。 |
0 以上の整数値 |
コンテキスト クロス起動データ
コンテキストクロス起動機能を使用すると、FMC の外部の Web ベースのリソースにおける潜在的な脅威に関する詳細情報をすばやく検索できます。FMC のイベントビューアまたはダッシュボードのイベントから、外部リソースの関連情報を直接クリックできます。これにより、その IP アドレス、ポート、プロトコル、ドメイン、または SHA 256 ハッシュに基づいて、特定のイベントに関連するコンテキストを迅速に収集できます。
データ ポイント | 値の例 |
---|---|
FMC 上に設定されているコンテキストクロス起動リソースの数。 |
0 以上の整数値 |
FMC 上で有効になっているコンテキストクロス起動リソースの数。 |
0 以上の整数値 |
ドメイン変数を含むコンテキストクロス起動インスタンスの数。 |
0 以上の整数値 |
IP 変数を含むコンテキストクロス起動インスタンスの数。 |
0 以上の整数値 |
SHA 256 変数を含むコンテキストクロス起動インスタンスの数。 |
0 以上の整数値 |
テーマのレガシーの数。 |
0 以上の整数値 |
テレメトリ ファイルの例
次に、FMC とその管理対象デバイスに関してポリシーと展開の情報をストリーミングするための Cisco Success Network テレメトリファイルの例を示します。
{
"version" : "1.0",
"metadata" : {
"topic" : "fmc.telemetry",
"contentType" : "application/json"
},
"payload" : {
"recordType" : "CST_FMC",
"recordVersion" : "6.6.0",
"recordedAt" : 1568961395861,
"fmc" : {
"deviceInfo" : {
"deviceModel" : "Cisco Firepower Management Center for VMWare",
"deviceName" : "liverpool",
"deviceUuid" : "c9a7877c-da65-11e9-956f-cc1767fe73df",
"serialNumber" : "None",
"smartLicenseProductInstanceIdentifier" : "1077ac5d-619f-49eb-a6a9-6ad61c30a481",
"smartLicenseVirtualAccountName" : "FTD-ENG-SJC",
"systemUptime" : 114808000,
"udiProductIdentifier" : "FS-VMW-SW-K9"
},
"versions" : {
"items" : [
{
"type" : "SOFTWARE",
"version" : "6.6.0-1034"
},
{
"lastUpdated" : 0,
"type" : "SNORT_RULES_DB",
"version" : "2019-08-12-001-vrt"
},
{
"lastUpdated" : 1568847127000,
"type" : "VULNERABILITY_DB",
"version" : "309"
},
{
"type" : "GEOLOCATION_DB",
"version" : "None"
}
]
}
},
"managedDevices" : {
"items" : [
{
"deviceInfo" : {
"deviceManager" : "FMC",
"deviceModel" : "Cisco Firepower 4125 Threat Defense",
"deviceName" : "192.168.1.165",
"deviceVersion" : "6.6.0-1034",
"serialNumber" : "FCH22197RU0"
},
"malware" : {
"malwareLicenseUsed" : true,
"numberOfACRulesNeedMalwareLicense" : 0,
"numberOfACRulesWithMalware" : 0
},
"sslCacheStats" : {
"clientHelloDigestCacheEntries" : 3,
"clientHelloDigestCacheEvicted" : 0,
"clientHelloDigestCacheHit" : 7,
"clientHelloDigestCacheMemoryUsed" : 720460,
"clientHelloDigestCacheMiss" : 7,
"endpointCertCacheEntries" : 0,
"endpointCertCacheMemoryUsed" : 960,
"externalCertCacheEntries" : 0,
"externalCertCacheMemoryUsed" : 960,
"internalCACacheEntries" : 1,
"internalCACacheMemoryUsed" : 1049,
"objectListCacheEntries" : 2,
"objectListCacheMemoryUsed" : 1278,
"originalCertCacheEntries" : 3,
"originalCertCacheEntriesMemoryUsed" : 9120,
"originalCertCacheEvicted" : 0,
"originalCertCacheHit" : 7,
"originalCertCacheMemoryUsed" : 80460,
"originalCertCacheMiss" : 0,
"resignedCertCacheEntries" : 3,
"resignedCertCacheEntriesMemoryUsed" : 4270,
"resignedCertCacheEvicted" : 0,
"resignedCertCacheHit" : 14,
"resignedCertCacheMemoryUsed" : 720484,
"resignedCertCacheMistt" : 2,
"serverNameCacheEntries" : 6,
"serverNameCacheEvicted" : 0,
"serverNameCacheHit" : 14,
"serverNameCacheMemoryUsed" : 16731,
"serverNameCacheMiss" : 0,
"sessionIDCacheEntries" : 1,
"sessionIDCacheEvicted" : 0,
"sessionIDCacheHit" : 0,
"sessionIDCacheMemoryUsed" : 720428,
"sessionIDCacheMiss" : 14,
"sessionTicketCacheEntries" : 1,
"sessionTicketCacheEvicted" : 0,
"sessionTicketCacheHit" : 0,
"sessionTicketCacheMemoryUsed" : 720393,
"sessionTicketCacheMiss" : 0,
"sslCachesTotalMemory" : 14000000,
"sslCachesTotalMemoryUsed" : 2999399,
"urlRetryCacheEntries" : 0,
"urlRetryCacheEvicted" : 0,
"urlRetryCacheHit" : 0,
"urlRetryCacheMemoryUsed" : 16176,
"urlRetryCacheMiss" : 0
},
"sslUsage" : {
"isSSLEnabled" : true
},
"threat" : {
"acPolicyHasIntrusion" : false,
"acRulesWithIntrusion" : 0,
"isTIDEnabled" : true,
"numberOfACRulesNeedThreatLicense" : 0,
"threatLicenseUsed" : true
},
"urlFiltering" : {
"acRulesWithURLFiltering" : 0,
"numberOfACRulesNeedThreatLicense" : 0,
"numberOfACRulesNeedURLLicense" : 0,
"urlFilteringLicenseUsed" : true
},
"vrfInfo": {
"literal": false,
"numberOfStaticRoutes": 4,
"vrfCount": 0
}
}
]
},
"deploymentData" : { },
"analysis" : {
"crossLaunchInfo" : {
"count" : 28,
"enabledCount" : 28,
"iocInfo" : [
{
"domain" : 10,
"ip" : 9,
"sha256" : 9
}
]
}
},
"theme" : {
"legacy" : 1
},
"SSLStats" : {
"action" : {
"block" : 0,
"block_with_reset" : 0,
"decrypt_resign_self_signed" : 0,
"decrypt_resign_self_signed_replace_key_only" : 0,
"decrypt_resign_signed_cert" : 887,
"decrypt_with_known_key" : 0,
"do_not_decrypt" : 0
},
"cache_status" : {
"cached_session" : 60,
"cert_validation_cache_hit" : 0,
"cert_validation_cache_miss" : 887,
"orig_cert_cache_hit" : 771,
"orig_cert_cache_miss" : 0,
"resigned_cert_cache_hit" : 887,
"resigned_cert_cache_miss" : 17,
"session_cache_hit" : 0,
"session_cache_miss" : 700
},
"cert_status" : {
"cert_expired" : 0,
"cert_invalid_issuer" : 1,
"cert_invalid_signature" : 0,
"cert_not_checked" : 0,
"cert_not_yet_valid" : 0,
"cert_revoked" : 0,
"cert_self_signed" : 0,
"cert_unknown" : 0,
"cert_valid" : 886
},
"failure_reason" : {
"decryption_error" : 0,
"handshake_error_before_verdict" : 0,
"handshake_error_during_verdict" : 0,
"ssl_compression" : 0,
"uncached_session" : 0,
"undecryptable_in_passive_mode" : 0,
"unknown_cipher_suite" : 0,
"unsupported_cipher_suite" : 0
},
"version" : {
"ssl_v20" : 0,
"ssl_v30" : 0,
"ssl_version_unknown" : 0,
"tls_v10" : 0,
"tls_v11" : 0,
"tls_v12" : 887,
"tls_v13" : 0
}
},
"snortRestart" : {
"appDetectorSnortRestartCnt" : 0,
"appSnortRestartCnt" : 0
}
}
}