Secure Firewall Threat Intelligence Director

この章のトピックでは、Threat Intelligence Director を設定および使用する方法について説明します。

Secure Firewall Threat Intelligence Director の概要

Secure Firewall Threat Intelligence Director は脅威インテリジェンス データを操作可能にし、インテリジェンス データの集約、防衛アクションの設定、環境内の脅威の分析を支援します。この機能は、Firepower の他の機能を補完するもので、脅威に対する追加の防衛線を提供します。

Threat Intelligence Director をホスティング プラットフォームに設定すると、脅威インテリジェンス ソースからデータが取り込まれ、設定されたすべての管理対象デバイス(要素)にそのデータが公開されます。このリリースでサポートされているホスティング プラットフォームと要素の詳細については、プラットフォーム、要素、およびライセンスに関する要件 を参照してください。

ソースには、オブザーバブルを含むインジケータが含まれています。インジケータは、脅威に関連するすべての特性を伝達し、個々のオブザーバブルは、その脅威に関連付けられた個々の特性(例えば、SHA-256 値)を表します。単純なインジケータには単一のオブザーバブルが含まれ、複合インジケータには 2 つ以上のオブザーバブルが含まれます。

オブザーバブルとそれらの間の AND/OR 演算子は、次の例に示すように、インジケータのパターンを形成します。

図 1. 例:インジケータ パターン


オブザーバブルが要素に公開された後、要素はトラフィックをモニタし、システムがトラフィック内のオブザーバブルを識別すると、Management Centerオブザベーションを報告します。

Management Center は、すべての要素からのオブザベーションを収集し、Threat Intelligence Director インジケータに対してオブザベーションを評価して、オブザーバブルの親インジケータに関連付けられたインシデントを生成または更新します。

インシデントは、インジケータのパターンが満たされたときに完全に実現されます。トラフィックがインジケータ内の 1 つまたは複数のオブザーバブルに一致するが、パターン全体では一致しない場合、インシデントは部分的に実現されます。詳細については、監視とインシデント生成を参照してください。

次の図に、サンプルのシステム構成におけるデータフローを示します。

図 2. Management Centerデータフロー


Threat Intelligence Director インシデントが完全または部分的に実現されると、システムは設定されたアクション(モニタ、ブロック、部分的なブロック、またはアクションなし)を実行します。詳細については、アクションに影響を与える要因 を参照してください。

Threat Intelligence Director およびセキュリティ インテリジェンス

アクセス コントロール ポリシーの一部として、セキュリティ インテリジェンスではレピュテーション インテリジェンスを使用して、IP アドレス、URL、およびドメインとの間の接続をすばやくブロックします。セキュリティ インテリジェンスは、Talos インテリジェンスグループからの業界をリードする脅威インテリジェンスへのアクセスを一意に提供します。セキュリティ インテリジェンスの詳細については、セキュリティ インテリジェンスについてを参照してください。

Threat Intelligence Director は、サードパーティのソースからのセキュリティ インテリジェンスに基づいて接続をブロックするシステムの機能を次のように拡張します。

  • Threat Intelligence Director は、追加のトラフィック フィルタリング基準をサポート:セキュリティ インテリジェンスは、IP アドレス、URL、および(DNS ポリシーが有効な場合は)ドメイン名に基づいてトラフィックをフィルタリングできるようにします。Threat Intelligence Director でも、これらの基準によるフィルタリングをサポートし、SHA-256 ハッシュ値に基づくフィルタリングのサポートを追加します。

  • Threat Intelligence Director は、追加のインテリジェンス取り込み方法をサポート:セキュリティ インテリジェンスおよび Threat Intelligence Director の両方を使用して、フラット ファイルを手動でアップロードするか、サードパーティ ホストからフラット ファイルを取得するようにシステムを構成することで、システムに脅威インテリジェンスをインポートできます。Threat Intelligence Director は、これらのフラット ファイルの管理における柔軟性を向上させます。また、Threat Intelligence Director は Structured Threat Information eXpression(STIX™)形式で提供されるインテリジェンスを取得して取り込むことができます。

  • Threat Intelligence Director は、フィルタリング処理のきめ細かい制御を提供:セキュリティ インテリジェンスにより、ネットワーク、URL、または DNS オブジェクトによるフィルタリング基準を指定できます。セキュリティ インテリジェンス オブジェクト(特にリストおよびフィード)には、複数の IP アドレス、URL、DNS ドメイン名を含めることができますが、オブジェクトの個別のコンポーネントではなく、オブジェクト全体に基づいてのみ、ブロックまたはブロックしないことができます。Threat Intelligence Director を使用すると、個別の基準(つまり簡易インジケータまたは個別のオブザーバブル)に対するフィルタリング処理を構成できます。

  • Threat Intelligence Director 構成の変更には再展開は不要:アクセス コントロール ポリシーでセキュリティ インテリジェンス設定を変更したら、管理対象デバイスに変更された構成を再展開する必要があります。Threat Intelligence Director では、管理対象デバイスへのアクセス コントロール ポリシーの初期展開後に、ソース、インジケータ、およびオブザーバブルを再展開せずに構成でき、システムによって新しい Threat Intelligence Director データが要素に自動的に公開されます。

セキュリティ インテリジェンスまたは Threat Intelligence Director が特定のインシデントに対処できるときに、システムがどのように機能するかについては、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

Threat Intelligence Director のパフォーマンスへの影響

Secure Firewall Management Center

いくつかのケースで、次のような場合があります。

  • 特に大きな STIX ソースを取り込んている間にシステムのパフォーマンスがわずかに低下することがあり、取り込みが完了するまでに時間がかかることがあります。

  • 新しいまたは変更された Threat Intelligence Director データを要素に公開するまでに、最大 15 分かかることがあります。

管理対象デバイス(Managed Device)

例外的なパフォーマンスの影響はありません。Threat Intelligence Director は、Secure Firewall Management Center セキュリティ インテリジェンスの機能と同じようにパフォーマンスに影響します。

Threat Intelligence Director の要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

管理者

脅威インテリジェンス ディレクタユーザー

追加の要件

次のトピックでは、Threat Intelligence Director を使用するための追加の要件について説明します。

プラットフォーム、要素、およびライセンスに関する要件

ホスティング プラットフォーム

次の物理および仮想 Secure Firewall Management CenterThreat Intelligence Director をホスティングできます。

要素

デバイスがバージョン 6.2.2 以降を実行している場合は、任意の Secure Firewall Management Center 管理対象デバイスを Threat Intelligence Director 要素として使用できます。

ライセンシング

SHA-256 の監視可能な公開のファイルポリシーを構成するには、次のライセンスを取得したデバイスが必要です。

  • スマートライセンスデバイスの場合:

    • IPS ライセンス:IPv4、IPv6、URL、および DNS の検出と監視可能

    • マルウェア防御ライセンス:SHA-256 の検出と監視可能

  • クラシック ライセンス デバイスの場合:

    • 保護ライセンス:IPv4、IPv6、URL、および DNS の検出と監視可能

    • マルウェアライセンス:SHA-256 の検出と監視可能

詳細については、Threat Intelligence Director をサポートするためのポリシーの設定 およびCisco Secure Firewall Management Center アドミニストレーション ガイドの「Licenses」の章を参照してください。

ソース要件

ソース タイプの要件:

STIX

ファイルは、STIX バージョン 1.0、1.1、1.1.1、または 1.2 であり、STIX ドキュメントのガイドライン(http://stixproject.github.io/documentation/suggested-practices/)に準拠していなければなりません。

STIX ファイルには複雑なインジケータを含めることができます。

URL ダウンロードまたはファイルアップロードで設定される場合、STIX ファイルの最大サイズは 40MB です。これより大きい STIX ファイルがある場合は、TAXII サーバーを使用することを推奨します。

フラット ファイル(Flat File)

ファイルは、1 行に 1 つのオブザーバブル値を持つ ASCII テキスト ファイルでなければなりません。

フラット ファイルには、簡易インジケータ(インジケータごとに 1 つのオブザーバブル)しか含まれていません。

フラットファイルは 500 MB 以下にする必要があります。

Threat Intelligence Director では、以下はサポートされません

  • オブザーバブル値を区切る区切り文字(たとえば、observable, は無効です)。

  • オブザーバブル値を囲む囲み文字(たとえば、"observable" は無効です)。

各ファイルには、コンテンツ タイプを 1 つしか含めることができません。

  • SHA-256:SHA-256 ハッシュ値。

  • Domain:RFC 1035 で規定されているドメイン名。

  • URL:RFC 1738 で規定されている URL。


    (注)  


    Threat Intelligence Director は、ポート、プロトコル、または認証情報を含む URL を正規化し、インジケータを検出するときに正規化されたバージョンを使用します。たとえば、Threat Intelligence Director は次の URL を正規化します。

    http://example.com/index.htm
    http://example.com:8080/index.htm
    example.com:8080/index.htm
    example.com/index.htm

    as:

    example.com/index.htm

    または、Threat Intelligence Director はたとえば次の URL を正規化します。

    
    http://abc@example.com:8080/index.htm

    これを次のように更新します。

    abc@example.com/index.htm/

  • IPv4:RFC 791 で規定されている IPv4 アドレス。

    Threat Intelligence Director は CIDR ブロックを受け入れません。

  • IPv6:RFC 4291 で規定されている IPv6 アドレス。

    Threat Intelligence Director はプレフィックス長を受け入れません。

ソース コンテンツの制限事項

システムにより、URL オブザーバブルの最初の 1000 文字のみが取り込まれ、照合されます。

Threat Intelligence Director のセットアップ方法


(注)  


Threat Intelligence Director の設定や操作中に問題が発生した場合は、Threat Intelligence Director のトラブルシューティングを参照してください。


手順


ステップ 1

インストールしたものが Threat Intelligence Director を実行するための要件を満たしていることを確認します。

プラットフォーム、要素、およびライセンスに関する要件を参照してください

ステップ 2

管理対象デバイスごとに、Threat Intelligence Director をサポートするために必要なポリシーを設定し、それらのポリシーをデバイスに展開します。

Threat Intelligence Director をサポートするためのポリシーの設定を参照してください。

インテリジェンス データ ソースを取り込む前または後で要素を設定できます。

ステップ 3

Threat Intelligence Director で取り込むインテリジェンス ソースを設定します。

ソース要件データ ソースを取り込むためのオプションの下のトピックを参照してください。

ステップ 4

要素にデータをまだ公開していない場合は、公開します。ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。


次のタスク

Threat Intelligence Director をサポートするためのポリシーの設定

Management Center から管理対象デバイス(要素)に Threat Intelligence Director データを公開するには、アクセス コントロール ポリシーを設定する必要があります。さらに、最大限のオブザベーションおよび Management Center イベント生成を行うためにアクセス コントロール ポリシーを設定することを推奨します。

Threat Intelligence Director をサポートする各管理対象デバイスに対し、次の手順を実行して関連付けられたアクセス コントロール ポリシーを設定します。

データが公開された後に Threat Intelligence Director を使用するように設定されている要素は、現在公開されているすべてのオブザーバブルを自動的に受信します。

手順


ステップ 1

アクセス コントロール ポリシーの [一般設定(General Settings)] で、[Threat Intelligence Directorを有効にする(Enable Threat Intelligence Director)] チェックボックスがオンになっていることを確認します。[一般設定(General Settings)] に移動するには、[ポリシー(Policies)] > [アクセス制御(Access Control)] > [編集(Edit)] > [詳細(More)] > [詳細設定(Advanced Settings)] を選択します。このオプションは、デフォルトで有効です。

詳細については、アクセス コントロール ポリシーの詳細設定を参照してください。

ステップ 2

まだ設定されていない場合は、アクセス コントロール ポリシーに接続を(信頼ではなく)許可するルールを追加します。Threat Intelligence Director では、アクセス コントロール ポリシーで 1 つ以上のルールを指定する必要があります。

Threat Intelligence Director はインスペクションに依存しているため、トラフィックを信頼するのではなく、許可するようにしてください。トラフィックを信頼する目的はインスペクションをバイパスすることであるためです。詳細については、基本的なアクセス コントロール ポリシーの作成を参照してください。

ステップ 3

アクセス コントロール ポリシーのデフォルト アクションとして [侵入防御(Intrusion Prevention)] を選択し、TID 検出のためにトラフィックを復号する場合は、SSL ポリシーをアクセス コントロール ポリシーに関連付けます。アクセス制御への他のポリシーの関連付けを参照してください。

ステップ 4

SHA-256 オブザーバブルにオブザベーションおよび Secure Firewall Management Center イベントを生成させる場合:

  1. 1 つ以上の [マルウェアクラウドルックアップ(Malware Cloud Lookup)] または [マルウェアブロック(Block Malware)] ファイル ルールを含むファイル ポリシーを作成します。

    詳細については、ファイル ポリシーの設定を参照してください。

  2. このファイル ポリシーを、アクセス コントロール ポリシーの 1 つ以上のルールと関連付けます。

ステップ 5

[IPv4]、[IPv6]、[URL]、または [ドメイン名(Domain Name)] のオブザベーションで接続およびセキュリティ インテリジェンス イベントを生成する場合は、アクセス コントロール ポリシーで接続およびセキュリティ インテリジェンスのロギングを有効にします。

  1. ファイル ポリシーを呼び出したアクセス コントロール ルールで、[接続の終了時にロギング(Log at End of Connection)] および [ファイル イベント:ログファイル(File Events: Log Files)] を有効にします(まだ有効になっていない場合)。

    詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「Logging Connections with Access Control Rules」を参照してください。

  2. セキュリティ インテリジェンス設定でデフォルトのロギング([DNS ポリシー(DNS Policy)]、[ネットワーク(Networks)]、および [URL(URLs)])が有効になっていることを確認します。

    詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「Logging Connections with Security Intelligence」を参照してください。

ステップ 6

設定変更を展開します設定変更の展開を参照してください


次のタスク

残りの項目を入力します。 Threat Intelligence Director のセットアップ方法

データ ソースを取り込むためのオプション

使用するデータ タイプと配信メカニズムに基づいて構成オプションを選択します。

これらのデータ タイプの詳細については、ソース要件 を参照してください。

表 1. データ ソースを取り込むためのオプション

データ タイプ

取り込みオプション

STIX

フラット ファイル

ソースとして使用する TAXII フィードの取得

TID の設定や操作中に問題が発生した場合は、を参照してください。 Threat Intelligence Director のトラブルシューティング

手順

ステップ 1

次の要件をソースが満たしていることを確認します。 ソース要件

ステップ 2

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] を選択します。

ステップ 3

Add ( add icon) をクリックします。

ステップ 4

ソースの [配信(Delivery)] 方法として [TAXII] を選択します。

ステップ 5

情報を入力します。

  • ホスト サーバーで暗号化された接続が必要な場合は、Threat Intelligence Director ソースの TLS/SSL 設定の構成 の説明に従って [SSL 設定(SSL Settings)] を構成します。

  • TAXII ソースの [アクション(Action)] 選択を変更することはできません。

    STIX データに(システムがブロックできない)複雑なインジケータが含まれている可能性があるため、TAXII ソースの Block が [アクション(Action)] オプションになりません。デバイス(要素)は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。

    ただし、取り込み後は、個々のオブザーバブルと、そのソースから取得した簡易インジケータをブロックすることができます。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

  • フィードのリストが読み込まれるまでには時間がかかることがあります。

  • [更新頻度(Update Every)] 間隔は、Threat Intelligence Director が TAXII ソースから更新を取得する頻度を指定します。

    データ ソースを更新する有効な更新頻度を設定します。たとえば、ソースを 1 日に 3 回更新する場合、更新間隔を 1440/3 または 480 分に設定して、定期的に最新データをキャプチャします。

  • [TTL] に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。

    • 以降のソース更新に含まれないソースのインジケータのすべて。

    • 残ったインジケータによって参照されないすべてのオブザーバブル。

ステップ 6

要素への公開をすぐに開始する場合は、[公開(PUBLISH)] [スライダ(Slider)][スライダ(Slider)] アイコンが有効になっていることを確認します。

このオプションを有効にすると、システムは自動的に初期ソース データとそれに続く変更を公開します。

詳細は、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

ステップ 7

[保存(Save)] をクリックします。


次のタスク
  • TAXII フィードには大量のデータが含まれている可能性があるため、システムがすべてのデータを取り込むまでに時間がかかることがあります。取り込みステータスを表示するには、[ソース(Sources)] ページを更新します。

  • このソースのエラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。

  • 初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法 に戻ります。

URL からのソースの取得

Threat Intelligence Director でホストからファイルを取得する場合は、URL ソースを設定します。

TID の設定や操作中に問題が発生した場合は、を参照してください。 Threat Intelligence Director のトラブルシューティング

手順

ステップ 1

次の要件をソースが満たしていることを確認します。 ソース要件

ステップ 2

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] を選択します。

ステップ 3

Add ( add icon) をクリックします。

ステップ 4

ソースの [配信(Delivery)] 方法として [URL] を選択します。

ステップ 5

フォームに入力します。

  • フラットファイルを取り込む場合は、ソース内に含まれるデータを記述する [タイプ(Type)] を選択します。

  • ホスト サーバーで暗号化された接続が必要な場合は、Threat Intelligence Director ソースの TLS/SSL 設定の構成 の説明に従って SSL 設定を構成します。

  • 名前の場合:Threat Intelligence Director インジケータに基づいてインシデントの並び替えと処理を簡単にするには、 送信元全体に一貫した命名スキームを使用します。例:<source>-<type>。

    ソース名も追加すると、追加の情報やフィードバックのためにソースに返信することが簡単になります。

    一貫性のある名前を入力してください。たとえば、IPv4 アドレスを含むソースの場合、常に IPV4 を使用します(IPv4、ipv4、IP_v4、IP_V4、ip-v4、IP-v4、IP-V4 などは使用しません)。

  • STIX ファイルを取り込む場合は、STIX データに(システムがブロックできない)複雑なインジケータが含まれている可能性があるため、Block が [アクション(Action)] オプションになりません。デバイス(要素)は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。

    ただし、取り込み後は、個々のオブザーバブルと、そのソースから取得した簡易インジケータをブロックすることができます。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

  • データ ソースを更新する有効な更新頻度を設定します。たとえば、ソースを 1 日に 3 回更新する場合、更新間隔を 1440/3 または 480 分に設定して、定期的に最新データをキャプチャします。

  • [TTL] 間隔に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。

    • 以降のソース更新に含まれないソースのインジケータのすべて。

    • 残ったインジケータによって参照されないすべてのオブザーバブル。

ステップ 6

要素への公開をすぐに開始する場合は、[公開(Publish)] [スライダ(Slider)][スライダ(Slider)] アイコンが有効になっていることを確認します。

このオプションを有効にすると、システムは自動的に初期ソース データとそれに続く変更を公開します。

詳細は、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

ステップ 7

[保存(Save)] をクリックします。


次のタスク
  • 取り込みステータスを表示するには、[ソース(Sources)] ページを更新します。エラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。

  • 初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法 に戻ります。

ソースとして使用するローカル ファイルのアップロード

この手順は、ローカル ファイルのワンタイム手動アップロードに使用します。

STIX ファイルを取り込むと、Threat Intelligence Director によって STIX ファイルの内容から単純または複雑なインジケータが作成されます。

フラット ファイルを取り込むと、Threat Intelligence Director によってファイル内のオブザーバブル値ごとに簡易インジケータが作成されます。

Threat Intelligence Director の設定や操作中に問題が発生した場合は、Threat Intelligence Director のトラブルシューティングを参照してください。

手順

ステップ 1

ソース要件 の要件をファイルが満たしていることを確認します。

ステップ 2

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 3

Add ( add icon) をクリックします。

ステップ 4

ソースの [配信(Delivery)] 方法として [アップロード(Upload)] を選択します。

ステップ 5

フォームに入力します。

  • フラットファイルをアップロードする場合は、ソース内に含まれるデータを記述する [タイプ(Type)] を選択します。

  • 名前の場合:Threat Intelligence Director インジケータに基づいてインシデントの並び替えと処理を簡単にするには、 送信元全体に一貫した命名スキームを使用します。例:<source>-<type>。

    ソース名も追加すると、追加の情報やフィードバックのためにソースに返信することが簡単になります。

    一貫性のある名前を入力してください。たとえば、IPv4 アドレスを含むソースの場合、常に IPV4 を使用します(IPv4、ipv4、IP_v4、IP_V4、ip-v4、IP-v4、IP-V4 などは使用しません)。

  • STIX ファイルをアップロードする場合は、STIX データに複雑なインジケータが含まれている可能性があるため、Block が [アクション(Action)] オプションになりません。デバイス(要素)は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。

    ただし、インジケータまたはオブザーバブル レベルで簡易インジケータをブロックすることはできます。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

  • [TTL] 間隔に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。

    • 以降のアップロードに含まれないソースのインジケータのすべて。

    • 残ったインジケータによって参照されないすべてのオブザーバブル。

ステップ 6

要素への公開をすぐに開始する場合は、[公開(Publish)] [スライダ(Slider)][スライダ(Slider)] アイコンが有効になっていることを確認します。

取り込み時にソースを公開しない場合、後ですべてのソース インジケータを一度に公開することはできません。代わりに、各オブザーバブルを個別に公開する必要があります。ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

ステップ 7

[保存(Save)] をクリックします。


次のタスク
  • 取り込みステータスを表示するには、[ソース(Sources)] ページを更新します。エラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。

  • 初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法 に戻ります。

重複インジケータの処理

単一のインジケータが複数のソースに含まれている場合:

インジケータの各インスタンスがインシデントを生成するため、特定の脅威を一度検出すると複数のインシデントを生成する場合があります。

今後の重複インシデントを回避するには、重複インジケータの 1 つを除くすべてのインジケータの公開を一時停止します。ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開 を参照してください。

Threat Intelligence Director ソースの TLS/SSL 設定の構成

ホスト サーバーで暗号化された接続が必要な場合は、SSL 設定を構成します。

始める前に
手順

ステップ 1

[ソースの編集(Edit Source)] ダイアログボックスで、[SSL設定(SSL Settings)] セクションを展開します。

ステップ 2

サーバ証明書が自己署名されている場合:

  1. [自己署名証明書(Self-Signed Certificate)] を有効にします。

  2. [SSL ホスト名検証(SSL Hostname Verification)] 方式を選択します。

    • [厳格(Strict)]:Threat Intelligence Director では、ソース URL がサーバー証明書に指定されたホスト名と一致する必要があります。

      ホスト名にワイルドカードが含まれる場合、TID は複数のサブドメインと一致することはできません。

    • [ブラウザ互換性あり(Browser Compatible)]:Threat Intelligence Director では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要があります。

      ホスト名にワイルドカードが含まれる場合、TID はすべてのサブドメインに一致します。

    • [すべて許可(Allow All)]:Threat Intelligence Director では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要はありません。

    たとえば、subdomain1.subdomain2.cisco.com がソース URL で、*.cisco.com がサーバ証明書で指定されたホスト名である場合は、次のようになります。

    • [厳格(Strict)] ホスト名検証は失敗します。

    • [ブラウザ互換性あり(Browser Compatible)] ホスト名検証は成功します。

    • [すべて許可(Allow All)] ホスト名検証では、ホスト名の値は完全に無視されます。

  3. [サーバ証明書(Server Certificate)] の場合:

    • PEM エンコードおよび自己署名されたサーバ証明書にアクセスできる場合は、テキスト エディタで証明書を開き、BEGIN CERTIFICATE 行と END CERTIFICATE 行を含むテキスト ブロック全体をコピーします。この文字列全体をフィールドに入力します。

    • 自己署名されたサーバ証明書にアクセスできない場合は、フィールドを空白のままにします。ソースを保存すると、Threat Intelligence Director はサーバーから証明書を取得します。

ステップ 3

サーバにユーザ証明書が必要な場合:

  1. [ユーザ証明書(User Certificate)] を入力します。

    テキスト エディタで PEM エンコードされた証明書を開いて、BEGIN CERTIFICATE 行と END CERTIFICATE 行を含むテキストのブロック全体をコピーします。この文字列全体をフィールドに入力します。

  2. [ユーザ秘密キー(User Private Key)] を入力します。

    テキスト エディタで秘密キー ファイルを開き、BEGIN RSA PRIVATE KEY および END RSA PRIVATE KEY 行を含むテキスト ブロック全体をコピーします。この文字列全体をフィールドに入力します。


次のタスク

Threat Intelligence Director アクセス権を持つユーザー ロール

Management Center ユーザー アカウントを使用して、Threat Intelligence Director のメニューやページにアクセスすることができます。

  • [管理者(Admin)] または [Threat Intelligence Director ユーザ(Threat Intelligence Director User)] のユーザ ロールを持つアカウント。

  • [インテリジェンス(Intelligence)] 権限を含むカスタム ユーザ ロールを持つアカウント。

さらに、[管理者(Admin)]、[アクセス管理者(Access Admin)]、または [ネットワーク管理者(Network Admin)] のユーザ ロールを持つ Management Center ユーザ アカウントを使用して、アクセス コントロール ポリシーで Threat Intelligence Director を有効または無効にすることができます。

ユーザーアカウントの詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「Management Center」の章を参照してください。

Threat Intelligence Director データのバックアップおよび復元について

Management Center を使用して、Threat Intelligence Director に必要なすべてのデータ(要素データ、セキュリティ インテリジェンス イベント、接続イベント、Threat Intelligence Director 構成、および Threat Intelligence Director データ)をバックアップおよび復元できます。詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「the Backup/Restore」の章を参照してください。


(注)  


ハイ アベイラビリティ構成のアクティブな Management CenterThreat Intelligence Director をホスティングする場合、システムは Threat Intelligence Director 構成と Threat Intelligence Director データをスタンバイ Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Management CenterThreat Intelligence Director データの定期的なバックアップを実行することを推奨します。

アクティブな Management CenterThreat Intelligence Director のデータの復元を試みる前に、アクティブピアで同期を一時停止します。詳細については、「」Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「Pausing Communication Between Paired Firepower Management Centersを参照してください。


表 2. Threat Intelligence Director 関連のバックアップおよび復元ファイルの内容

Threat Intelligence Director 関連ファイルの内容

バックアップの選択

復元の選択

要素データ

バックアップ構成

設定データの復元(Restore Configuration Data)

Secure Firewall Management Center イベント データ

イベントのバックアップ

イベント データの復元(Restore Event Data)

Threat Intelligence Director 構成および Threat Intelligence Director データ

Threat Intelligence Director のバックアップ

Threat Intelligence Director データの復元(Restore Threat Intelligence Director Data)

Threat Intelligence Director インシデントおよびオブザベーション データの分析

Threat Intelligence Director 要素によって生成されたインシデントおよびオブザベーション データを分析するには、インシデント表およびインシデント詳細ページを使用します。

監視とインシデント生成

Threat Intelligence Director は、インジケータに対する最初のオブザーバブルがトラフィックに見られたときにインシデントを生成します。単一の監視後、簡易インジケータが完全に実現されます。複雑なインジケータは、1 つ以上の追加の監視がそのパターンを実行するまで、部分的に実現されます。複雑なインジケータは、必ずしも単一のトランザクション中に達成される必要はありません。各オブザーバブルは、異なるトランザクションにより、時間の経過とともに個別に達成できます。


(注)  


インジケータのパターンを評価するときに、Threat Intelligence Director は、サポートされていない無効なオブジェクトと、ブロックしないリストにあるオブザーバブルを無視します。


インシデントが完全に実現された後、その後の監視で新しいインシデントがトリガーされます。

図 3. 例:インジケータ パターン


Threat Intelligence Director が上記の例からのオブザーバブルを取り込み、オブザーバブルが順番に確認されると、インシデント生成は次のように進行します。

  1. システムがトラフィック中のオブザーバブル A を識別すると、Threat Intelligence Director は次のようになります。

    • インジケータ 1 に対して完全に実現されたインシデントを生成します。

    • インジケータ 2 とインジケータ 3 に対して、部分的に実現されたインシデントを生成します。

  2. システムがトラフィック中のオブザーバブル B を識別すると、Threat Intelligence Director は次のようになります。

    • インジケータ 2 については、パターンが達成されたのでインシデントを [完全に実現(fully-realized)] に更新します。

    • インジケータ 3 については、インシデントを [部分的に実現(partially-realized)] に更新します。

  3. システムがトラフィック中のオブザーバブル C を識別すると、Threat Intelligence Director は次のようになります。

    • インジケータ 3 については、パターンが達成されたのでインシデントを [完全に実現(fully-realized)] に更新します。

  4. システムがオブザーバブル A をもう一度識別すると、Threat Intelligence Director は次のようになります。

    • インジケータ 1 に対して新しい完全に実現されたインシデントを生成します。

    • インジケータ 2 とインジケータ 3 に対して、新しい部分的に実現されたインシデントを生成します。

特定のインジケータが複数のソースに存在する場合、重複インシデントが表示される場合があります。詳細については、Threat Intelligence Director のトラブルシューティングを参照してください。

インシデントは実際のトラフィックによってのみ生成されることに注意してください。URL B のオブザーバブルがあり、ユーザーが URL B へのリンクを表示する URL A にアクセスした場合は、ユーザーが URL B のリンクをクリックしない限り、インシデントは発生しません。

インシデントの表示と管理

[インシデント(Incidents)] ページには、最大 110 万件の最新の Threat Intelligence Director インシデントに関する要約情報が表示されます。(インシデント サマリー情報を参照)。

始める前に

手順


ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [インシデント(Incidents)] を選択します。

ステップ 2

次のようにインシデントを確認します。

  • 1 つ以上のフィルタを追加するには、[フィルタ(Filter)]([フィルタ(Filter)] アイコン をクリックします。デフォルトのフィルタは 6 時間です。詳細については、テーブル ビューでの Threat Intelligence Director データのフィルタ処理を参照してください。

  • Threat Intelligence Director でインシデントが最後に更新された日時を表示するには、[最終更新日(Last Updated)] 列内の値の上にカーソルを置きます。

  • インシデントに関連付けられているインジケータについての詳細を表示するには、[インジケータ名(Indicator Name)] 列内のテキストをクリックします(インジケータの表示と管理を参照)。

ステップ 3

[インシデントID(Incident ID)] 列の値をクリックして、その他の詳細を表示します。

表示される詳細の説明については、インシデントの詳細を参照してください。

  • インジケータの詳細を表示するには、ウィンドウ下部の [インジケータ(Indicator)] 見出しのインジケータ値(IP アドレスや SHA-256 の値など)をクリックします。

  • オブザベーションの詳細を表示するには、[オブザベーション(Observations)] 見出しのすぐ下のオブザベーションの左にある矢印をクリックします。

  • [Security Intelligence Events(セキュリティ インテリジェンス イベント)] ページでこのインシデントを表示するには、オブザベーション詳細セクションで [イベント(Events)] リンクをクリックします。

ステップ 4

(オプション)インシデント詳細ページで詳細情報を入力します。

ヒント:次のオプションの一貫性と有用性を最大化するには、方針を作成したうえで、命名規則、カテゴリの選択、および信頼度レベル基準を文書化します。

  • [名前(Name)]、[説明(Description)] および [カテゴリ(Category)] フィールドに任意の値を入力します。

  • [信頼度(Confidence)] の評価レベルをクリックします。

  • インシデントの調査ステータスを指定するには、[ステータス(Status)] フィールドのドロップダウン リストから値を選択します。


インシデント サマリー情報

[インシデント(Incidents)] ページには、すべての Threat Intelligence Director インシデントのサマリー情報が表示されます。

表 3. インシデント サマリー情報

フィールド

説明

最終更新日

システムまたはユーザが最後にインシデントを更新してからの日数。更新の日時を表示するには、この列の値にマウスオーバーします。

[インシデント ID(Incident ID)]

インシデントの固有識別子。この ID の形式は次のとおりです。

<type>-<date>-<number>
  • <type>:インシデントに関係するインジケータまたはオブザーバブルのタイプ。単純なインジケータの場合、この値はオブザーバブルのタイプ(IP(IPv4 または IPv6)、URL(URL)、DOM(ドメイン)、または SHA(SHA-256))を示します。複雑なインジケータの場合、この値は COM です。

  • <date>:インシデントが作成された日付(yyyymmdd)。

  • <number>:インシデント番号。これは、1 日に作成されたインシデントの中での順序を示す番号です。この順序は 0 で始まることに注意してください。たとえば、DOM-20170828-10 はその日に作成された 11 番目のインシデントです。

識別子の隣には、インシデントが [部分的に実現(Partially Realized)] か、[完全に実現(Fully Realized)] かを示すアイコンが表示されます。詳細については、監視とインシデント生成を参照してください。

[インジケータ名(Indicator Name)]

インシデントに関係するインジケータの名前。インジケータの追加情報を表示するには、この列の値をクリックします。インジケータの表示と管理を参照してください。

Type

インシデントに関係するインジケータのタイプ。

  • 単一のオブザーバブルを含むインジケータでは、データ型(URLSHA-256 など)が表示されます。

  • 2 つ以上のオブザーバブルを含むインジケータは、Complex として表示されます。

[実施アクション(Action Taken)]

インシデントに関してシステムが実行するアクション。詳細については、インシデントの詳細を参照してください。

Status(ステータス)

インシデントに関する調査のステータスです。詳細については、インシデントの詳細を参照してください。

[削除(Delete)]削除アイコン

このアイコンをクリックすると、インシデントが完全に削除されます。

インシデントの詳細

[インシデントの詳細(Incident Details)] ウィンドウには、単一の Threat Intelligence Director インシデントに関する情報が表示されます。このウィンドウは、2 つのセクションで構成されています。

インシデントの詳細:基本情報

[インシデントの詳細(Incident Details)] ウィンドウの上部セクションでは、次の情報が提供されます。

表 4. 基本的なインシデント情報フィールド

フィールド

説明

[部分的に実現IncidentID(Partially-Realized IncidentID)] または [完全に実現IncidentID(Fully-Realized IncidentID)]

インシデントのステータス(部分的に実現または完全に実現)およびインシデントの一意の ID を示すアイコン。

(注)  

 

インジケータのステータスを判断するときに、Threat Intelligence Director は、サポートされていない無効なオブザーバブルと、ブロックしないリストにあるオブザーバブルを無視します。

[既読(Opened)]

インシデントが最後に更新された日時。

Name

手動で入力するオプションのカスタム インシデント名。

ヒント:[説明(Description)] フィールド(ウィンドウの下部)にソースからの情報がある場合は、そのフィールドの情報を使用してインシデントに名前を付けます。

説明

手動で入力するオプションのカスタム インシデント説明。

ヒント:[説明(Description)] フィールド(ウィンドウの下部)にソースからの情報がある場合は、そのフィールドの情報を使用してインシデントについて説明します。

[オブザベーション(Observations)]

インシデント内のオブザベーションの数。

信頼性(Confidence)

インシデントの相対的な重要度を示すために手動で選択できるオプションの評価。

[実施アクション(Action Taken)]

システムによって実行されるアクション:[モニタ済み(Monitored)]、[ブロック済み(Blocked)]、または [部分的にブロック済み(Partially Blocked)]

[部分的にブロック済み(Partially Blocked)] は、インシデントに [モニタ済み(Monitored)] と [ブロック済み(Blocked)] の両方のオブザベーションが含まれていることを示します。

(注)  

 

[実施アクション(Action Taken)] は、システムによって実行されるアクションを示しますが、必ずしも Threat Intelligence Director で選択されているアクションではありません。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

カテゴリ(Category)

インシデントに手動で追加するオプションのカスタム タグまたはキーワード。

Status(ステータス)

インシデントの分析の現在の段階を示す値。すべてのインシデントは、[ステータス(Status)] を初めて変更するまでは [新規(New)] です。

このフィールドは任意です。組織のニーズに応じて、以下のステータス値を使用することを検討してください。

  • [新規(New)]:インシデントには調査が必要ですが、まだ調査を開始していません。

  • [オープン(Open)]:現在インシデントを調査しています。

  • [クローズ済み(Closed)]:インシデントを調査し、対処しました。

  • [却下(Rejected)]:インシデントを調査し、実行するアクションはないと判断しました。

[削除(Delete)]削除アイコン

このアイコンをクリックすると、このインシデントが完全に削除されます。

インシデントの詳細:インジケータとオブザベーション

[インシデントの詳細(Incident Details)] ウィンドウの下部セクションには、インジケータとオブザベーションの詳細情報が表示されます。この情報は、[インジケータ(Indicator)] フィールド、インジケータ パターン、および [オブザベーション(Observations)] フィールドとして編成されています。

[インジケータ(Indicator)] セクション

インジケータの詳細を初めて表示するときには、このセクションにはインジケータ名のみが表示されます。

[インジケータ(Indicator)] ページでインジケータを表示するには、インジケータ名をクリックします。

インジケータ名の隣にある下矢印をクリックすると、インシデントを閉じることなくインジケータの詳細を表示できます。詳細フィールドには、次のものがあります。

表 5. インジケータのフィールド

フィールド

説明

Description

ソースから提供されたインジケータの説明。

ソース(Source)

インジケータが含まれていたソース。このリンクをクリックすると、完全なソースの詳細にアクセスできます。

[有効期限(Expires)]

ソースの [TTL] 値に基づく、インシデントが期限切れになる日時。

操作(Action)

インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

パブリッシュ

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

[STIX のダウンロード(Download STIX)]

ソース タイプが STIX の場合は、このボタンをクリックして STIX ファイルをダウンロードします。

[インジケータ パターン(Indicator Pattern)]

インジケータ パターンは、インジケータを構成するオブザーバブルおよび演算子のグラフィカル表示です。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は [AND] 演算子で示されます。OR 関係は、OR 演算子、または複数のオブザーバブルの緊密なグループ化によって示されます。

パターンのオブザーバブルがすでに観測されている場合、オブザーバブル ボックスは白色です。オブザーバブルがまだ観測されていない場合、オブザーバブル ボックスは灰色です。

インジケータ パターンで、次のようにします。

  • [ブロックしないリストに追加(Add to Do-Not-Block List)] ボタンをクリックして、オブザーバブルをブロックしないリストに追加します。このアイコンは、白色と灰色の両方のオブザーバブル ボックスに表示されます。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

  • 白色のオブザーバブル ボックスにマウスオーバーすると、[オブザベーション(Observations)] セクションで関連するオブザベーションが強調表示されます。

  • 白色のオブザーバブル ボックスをクリックすると、[オブザベーション(Observations)] セクションで関連するオブザベーションが強調表示され、そのオブザベーションがスクロールされて表示されて(複数のオブザベーションが存在する場合)、そのオブザベーションの詳細表示が展開されます。

  • インジケータ パターンで灰色のオブザーバブル ボックスをマウスオーバーまたはクリックした場合、[オブザベーション(Observations)] セクションに変化はありません。これは、オブザーバブルがまだ観測されていないため、表示するオブザベーションの詳細がないためです。

[オブザベーション(Observations)] セクション

デフォルトでは、[オブザベーション(Observations)] セクションには、次のような概要情報が表示されます。

  • オブザベーションをトリガーしたオブザーバブルのタイプ(たとえば、[ドメイン(Domain)]

  • オブザーバブルを構成するデータ

  • オブザベーションが最初のオブザベーションか、それ以降のオブザベーションか(たとえば、[最初の(1st)] または [3 つ目(3rd)]


    (注)  


    1 つのオブザーバブルが 3 回以上観測された場合、Threat Intelligence Director では最初と最後のオブザベーションの詳細を表示します。中間のオブザベーションの詳細は表示されません。


  • オブザベーションの日時

  • オブザーバブルに設定されているアクション

[オブザベーション(Observations)] セクションでオブザベーションにマウスオーバーすると、インジケータ パターンの関連するオブザーバブルが強調表示されます。

[オブザベーション(Observations)] セクションでオブザベーションをクリックした場合は、インジケータ パターンで関連するオブザーバブルが強調表示され、関連する最初のオブザーバブルがスクロールされて表示されます(複数のオブザーバブルが存在する場合)。また、オブザベーションをクリックすると、[オブザベーション(Observations)] セクションのオブザベーションの詳細が展開されます。

オブザベーションの詳細には、次のようなフィールドがあります。

表 6. オブザベーションの詳細のフィールド

フィールド

説明

[送信元(SOURCE)]

オブザベーションをトリガーしたトラフィックの送信元 IP アドレスおよびポート。

DESTINATION

オブザベーションをトリガーしたトラフィックの宛先 IP アドレスおよびポート。

[その他の情報(ADDITIONAL INFORMATION)]

オブザベーションをトリガーしたトラフィックに関連する DNS および認証情報。

イベント

このクリッカブル リンクは、オブザベーションによって接続、セキュリティ インテリジェンス、ファイル、またはマルウェア イベントが生成された場合に表示されます。リンクをクリックして、Secure Firewall Management Center イベント テーブルでイベントを表示します。Cisco Secure Firewall Management Center アドミニストレーション ガイドを参照してください。

Threat Intelligence Director オブザベーションのイベントの表示

Threat Intelligence Director オブザベーションによって生成される Secure Firewall Management Center イベントについて詳しくは、Secure Firewall Management Center イベントでの Threat Intelligence Director オブザベーション を参照してください。

Threat Intelligence Director 関連のイベントについてログに記録されるシステム アクションは、Threat Intelligence Director の相互作用やその他の Secure Firewall Management Center 機能によって異なります。アクションの優先順位付けについて詳しくは、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

始める前に

手順


ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [インシデント(Incidents)] を選択します。

ステップ 2

インシデントの [インシデント ID(Incident ID)] 値をクリックします。

ステップ 3

[インジケータ(Indicator)] セクションでオブザベーションをクリックして、オブザベーション ボックスを表示します。

ステップ 4

オブザベーション ボックスの左上隅にある矢印をクリックしてボックスを展開します。

ステップ 5

オブザベーション情報で [イベント(Events)] リンクをクリックします。セキュリティ インテリジェンス イベントの詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の接続イベントとセキュリティ インテリジェンスのイベント」を参照してください。


Secure Firewall Management Center イベントでの Threat Intelligence Director オブザベーション

アクセス コントロール ポリシーを完全に制御する場合、Threat Intelligence Director オブザベーションによって、次の Secure Firewall Management Center イベントが生成されます。

表 7. オブザベーションによって生成される Secure Firewall Management Center イベント

オブザベーションの内容

接続イベントの表

セキュリティ インテリジェンス イベントの表

ファイル イベントの表

マルウェア イベントの表

SHA-256

対応

非対応

対応

○(判定結果がマルウェアまたはカスタム検出の場合)。

[ドメイン名(Domain Name)][URL]、または [IPv4/IPv6]

Threat Intelligence Director 関連の接続イベントは、Threat Intelligence Director 関連の [セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)] 値によって識別されます。

Threat Intelligence Director 関連のセキュリティ インテリジェンス イベントは、Threat Intelligence Director 関連の [セキュリティ インテリジェンス イベント(Security Intelligence Category)] 値により識別されます。

非対応

非対応

アクションに影響を与える要因

システムがアクションを取るタイミングや、Threat Intelligence Director オブザーバブルと一致するトラフィックを検出したときにシステムが取るアクションは多くの要因によって決定されます。

Threat Intelligence Director-Management Center のアクションの優先順位付け

Threat Intelligence Director のオブザーバブルアクションが Management Center のポリシーアクションと競合する場合は、システムが次のようにアクションに優先順位を付けます。

  • セキュリティ インテリジェンスのブロックしないリスト

  • TID ブロック(TID Block)

  • セキュリティ インテリジェンス ブロック

  • TID モニター

  • セキュリティ インテリジェンス モニター

具体的には次のとおりです。

表 8. Threat Intelligence Director URL 監視可能アクション対セキュリティ インテリジェンス アクション

設定:セキュリティ インテリジェンス アクション

設定:Threat Intelligence Director 監視可能アクション

Threat Intelligence Director インシデント フィールド:実行されるアクション

セキュリティ インテリジェンス イベントのフィールド:

操作

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

理由

[ブロックしない(Do Not Block)]

[モニター(Monitor)] または [ブロック(Block)]

TID インシデントなし

セキュリティ インテリジェンス イベントなし

ブロック(Block)

モニター

ブロック(Block)

ブロック(Block)

システム分析により決定(を参照) セキュリティ インテリジェンス カテゴリ

URL Block

ブロック(Block)

ブロック(Block)

ブロック(Block)

TID URL ブロック(TID URL Block)

URL Block

モニター(Monitor)

モニター(Monitor)

監視対象(Monitored)

セキュリティ インテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。

TID URL モニター

URL Monitor

ブロック(Block)

ブロック

ブロック(Block)

TID URL ブロック(TID URL Block)

URL Block

表 9. Threat Intelligence Director IPv4/IPv6 監視可能アクション対セキュリティ インテリジェンス アクション

設定:セキュリティ インテリジェンス アクション

設定:Threat Intelligence Director 監視可能アクション

Threat Intelligence Director インシデント フィールド:実行されるアクション

セキュリティ インテリジェンス イベントのフィールド:

操作

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

理由

[ブロックしない(Do Not Block)]

[モニター(Monitor)] または [ブロック(Block)]

TID インシデントなし

セキュリティ インテリジェンス イベントなし

ブロック(Block)

モニター

TID インシデントなし

ブロック(Block)

システム分析により決定(を参照) セキュリティ インテリジェンス カテゴリ

IP Block

ブロック(Block)

ブロック(Block)

ブロック(Block)

TID IPv4 Block

TID IPv6 Block

IP Block

モニター(Monitor)

モニター(Monitor)

監視対象(Monitored)

セキュリティ インテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。

TID IPv4 モニタ

TID IPv6 Monitor

IP Monitor

ブロック(Block)

ブロック

ブロック(Block)

TID IPv4 Block

TID IPv6 Block

IP Block

表 10. Threat Intelligence Director ドメイン名の監視可能アクション対 DNS ポリシー アクション

設定:DNS ポリシー アクション

設定:Threat Intelligence Director ドメイン名の監視可能アクション

Threat Intelligence Director インシデント フィールド:実行されるアクション

セキュリティ インテリジェンス イベントのフィールド:

操作

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

理由

[ブロックしない(Do Not Block)]

[モニター(Monitor)] または [ブロック(Block)]

TID インシデントなし

セキュリティ インテリジェンス イベントなし

Drop, Domain Not Found

Sinkhole—Log

Sinkhole—Block and Log

モニター(Monitor)

ブロック(Block)

ブロック(Block)

システム分析により決定(を参照) セキュリティ インテリジェンス カテゴリ

DNS ブロック(DNS Block)

ブロック(Block)

ブロック

ブロック(Block)

TID ドメイン名ブロック

DNS ブロック(DNS Block)

モニター(Monitor)

モニター(Monitor)

監視対象(Monitored)

セキュリティ インテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。

TID ドメイン名モニター

DNS モニター(DNS Monitor)

ブロック(Block)

ブロック

ブロック(Block)

TID ドメイン名ブロック

DNS ブロック(DNS Block)

表 11. TID SHA-256 監視可能アクション対マルウェア クラウド ルックアップ ファイル ポリシー

ファイル傾向(File Disposition)

Threat Intelligence Director SHA-256 監視可能アクション

Threat Intelligence Director インシデントで行われるアクション

ファイル イベントでのアクション

マルウェア イベントでのアクション

クリーン(Clean)

[モニタ(Monitor)] または [ブロック(Block)]

監視対象(Monitored)

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

Malware

[モニタ(Monitor)] または [ブロック(Block)]

監視対象(Monitored)

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

Custom

[モニタ(Monitor)] または [ブロック(Block)]

監視対象(Monitored)

  • SHA-256 がカスタム検出リストにない場合は、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)]。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出(Custom Detection)]。

  • SHA-256 がカスタム検出リストにない場合は、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)]。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出(Custom Detection)]。

Unknown

[モニタ(Monitor)] または [ブロック(Block)]

監視対象(Monitored)

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外


(注)  


Threat Intelligence Director の一致は、システムが動的分析用にファイルを送信する前に発生します。
表 12. TID SHA-256 監視可能アクション対マルウェア ブロック ファイル ポリシー

ファイル傾向(File Disposition)

Threat Intelligence Director SHA-256 監視可能アクション

Threat Intelligence Director インシデントで行われるアクション

ファイル イベントでのアクション

マルウェア イベントでのアクション

[正常(Clean)] または [不明(Unknown)]

モニター(Monitor)

監視対象(Monitored)

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

ブロック(Block)

ブロック(Block)

  • SHA-256 がカスタム検出リストにない場合は、[TID ブロック(TID Block)]。

    変更されたファイル性質は [カスタム(Custom)] です。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック(Custom Detection Block)]。

TID ブロック(TID Block)

変更されたファイル性質は [カスタム(Custom)] です。

[マルウェア(Malware)] または [カスタム(Custom)]

モニター(Monitor)

ブロック(Block)

マルウェア ブロック(Block Malware)

マルウェア ブロック(Block Malware)

ブロック(Block)

ブロック(Block)

  • SHA-256 がカスタム検出リストにない場合は、[TID ブロック(TID Block)]。

    変更されたファイル性質は [カスタム(Custom)] です。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック(Custom Detection Block)]。

TID ブロック(TID Block)

変更されたファイル性質は [カスタム(Custom)] です。

Threat Intelligence Director 設定の表示および変更

必要に応じて、次の情報を使用して設定を見直し、微調整します。

要素(管理対象デバイス)の Threat Intelligence Director ステータスの表示

管理対象デバイスとして Management Center に登録されているすべてのデバイスは、[要素(Elements)] ページに自動的に表示されます。すべての(Threat Intelligence Director をサポートするためのポリシーの設定 で指定されたとおりに)適切に構成された要素は、要素が追加される前に取り込まれたものを含めて、現在公開されているすべてのオブザーバブルを受信します。

手順


ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [要素(Elements)] を選択します。 > >

ステップ 2

要素が接続され、Threat Intelligence Director が有効になっているかどうかを確認するには、要素名の横にあるアイコンにカーソルを合わせます。

(注)  

 

展開後、適用されたアクセス コントロール ポリシーと TID が有効かどうかなど、このページの情報が更新されるまで、最大 5 分かかる場合があります。


ソースの表示と管理

[ソース(Sources)] ページには、設定済みのすべてのソースに関する概要情報が表示されます(ソース サマリー情報を参照)。

手順


ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] を選択します。

ステップ 2

ソースを次のように表示します。

ステップ 3

ソースを次のように管理します。

  • [アクション(Action)] 設定を編集するには、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。固定されているアクションがある場合、ソースの [タイプ(Type)] には、そのアクションだけがサポートされます。

  • [公開(Publish)] 設定を編集するには、[スライダ(Slider)][スライダ(Slider)] アイコン をクリックします。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

  • Threat Intelligence Director によるソースの更新を一時停止または再開する場合は、[更新の一時停止(Pause Updates)] または [更新の再開(Resume Updates)] をクリックします。更新を一時停止すると、更新は中断されますが、既存のインジケータとオブザーバブルは TID 内に残ります。

  • ソースを削除するには、[削除(Delete)]削除アイコン をクリックします。ソースが現在処理中の場合、[削除(Delete)] はグレー表示になります。ソースを削除すると、そのソースに関連付けられているすべてのインジケータも削除されます。関連付けられているオブザーバブルも削除される可能性があります。ただし、システム内に残っているインジケータに関連付けられたオブザーバブルは保持されます。


ソース サマリー情報

[ソース(Sources)] ページには、設定されているすべてのソースの概要情報が表示されます。次の表で、概要表示に含まれるフィールドについて簡単に説明します。これらのフィールドの詳細については、ソースの関連設定トピックの説明を参照してください。データ ソースを取り込むためのオプション を参照してください。

表 13. ソース サマリー情報

フィールド

説明

名前(Name)

ソース名。

Type

ソースのデータ形式([STIX] または [フラットファイル(Flat File)])。

配信

Threat Intelligence Director がソースを取得するのに使用する手法。

操作(Action)

このソースに含まれるデータと一致するトラフィックに対してシステムで実行するように設定されているアクション([ブロック(Block)] または [モニター(Monitor)])。

可用性、継承、および継承のオーバーライドを含むThreat Intelligence Director のアクションの詳細については、アクションに影響を与える要因 を参照してください。

パブリッシュ

[オン(On)] または [オフ(Off)] トグル。登録されている要素(Threat Intelligence Director をサポートするために設定された管理対象デバイス)に Threat Intelligence Director がソースからのデータを公開するかどうかを指定します。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

Last Updated

Threat Intelligence Director が最後にソースを更新した日時。

Status(ステータス)

ソースの現在のステータス。

  • [新規(New)]:ソースは新規に作成されます。

  • [スケジュール済み(Scheduled)]:初回のダウンロードまたはその後の更新がスケジュールされていますが、まだ進行中ではありません。

  • [ダウンロード 中(Downloading)]Threat Intelligence Director が初回のダウンロードまたは更新を処理中です。

  • [解析中(Parsing)] または [処理中(Processing)]Threat Intelligence Director がソースを取り込んでいます。

  • [完了(Completed)]Threat Intelligence Director はソースの取り込みを終了しました。

  • [完了(エラーあり)(Completed with Errors)]Threat Intelligence Director はソースの取り込みを終了しましたが、一部のオブザーバブルがサポートされていないか無効です。

  • [エラー(Error)]Threat Intelligence Director による処理にエラーが発生しました。[更新間隔(Update Frequency)] が指定された TAXII ソースまたは URL ソースの場合、更新が一時停止でなければ、 Threat Intelligence Director はスケジュールされている次回の更新で再試行します。

ページを更新してステータスを更新します。

[編集(Edit)]([編集(Edit)] アイコン

このアイコンをクリックすると、ソースの設定を編集できます。

[削除(Delete)]削除アイコン

このアイコンをクリックすると、ソースが完全に削除されます。

ソース ステータスの詳細

ソースの概要ページに表示されるソースの [ステータス(Status)] 値にマウスオーバーすると、Threat Intelligence Director は次の詳細情報を表示します。

データ

説明

ステータス メッセージ

ソースの現在のステータスを簡単に説明します。

最終更新日(Last Updated)

Threat Intelligence Director が最後にソースを更新した日時を表示します。

次回更新日(Next Update)

TAXII および URL ソースの場合、この値は Threat Intelligence Director が次にソースを更新する時期を指定します。

インジケータ(Indicators)

インジケータ カウントを表示します。

  • [使用済み(Consumed)]:最近のソース更新中に Threat Intelligence Director が処理したインジケータの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのインジケータを表します。

  • [破棄済み(Discarded)] :最近の更新でシステムが Threat Intelligence Director に追加しなかった無効なインジケータの数。

    (注)  

     

    TAXII ソースの場合、 Threat Intelligence Director は [最終更新(Last Update)] と [合計(Total)] とに分けてインジケータ数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソース タイプのインジケータの場合、これらのソースの更新では既存のデータ セットが完全に置換されるので、Threat Intelligence Director は [最終更新(Last Update)] の値のみを表示します。

    あるインジケータのオブザーバブルがすべて [無効(Invalid)] の場合、 Threat Intelligence Director はそのインジケータを破棄します。

オブザーバブル(Observables)

オブザーバブルの数を表示します。

  • [使用済み(Consumed)]:最近のソース更新中に Threat Intelligence Director が処理したオブザーバブルの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのオブザーバブルを表します。

  • [サポート対象外(Unsupported)] :最近の更新でシステムが Threat Intelligence Director に追加しなかったサポートされないオブザーバブルの数。

    サポートされているオブザーバブルのタイプに関する詳細については、ソース要件 でコンテンツ タイプに関する情報を参照してください。

  • [無効(Invalid)] :最近の更新でシステムが Threat Intelligence Director に追加しなかった無効なオブザーバブルの数。

    オブザーバブルが正しく作成されていない場合は無効になります。たとえば、10.10.10.10.123 は有効な IPv4 アドレスではありません。

    (注)  

     

    TAXII ソースの場合、 Threat Intelligence Director は [最終更新(Last Update)] と [合計(Total)] とに分けてオブザーバブル数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソース タイプのオブザーバブルの場合、これらのソースの更新では既存のデータ セットが完全に置換されるので、Threat Intelligence Director は [最終更新(Last Update)] の値のみを表示します。

インジケータの表示と管理

インジケータは、取り込まれたソースから自動的に生成されます。このページの詳細については、インジケータ サマリー情報 を参照してください。

手順


ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

[インジケータ(Indicators)] をクリックします。

ステップ 3

現在のインジケータを次のように表示します。

  • ページに表示されるインジケータをフィルタリングするには、[フィルタ(Filter)]([フィルタ(Filter)] アイコンをクリックします。詳細については、テーブル ビューでの Threat Intelligence Director データのフィルタ処理を参照してください。

  • インジケータの詳細情報(関連付けられているオブザーバブルなど)を表示するには、インジケータ名をクリックします。詳細については、インジケータの詳細を参照してください。

  • インジケータに関連付けられているインシデントについての情報を表示するには、[インシデント(Incidents)] 列内の番号をクリックします。また、インシデントの上にカーソルを移動すると、インシデントが完全に実現されたか、部分的に実現されたかを確認できます。

  • ソースからのインジケータの調査が Threat Intelligence Director で完了したかどうかを判別するには、[ステータス(Status)] 列を確認します。

ステップ 4

現在のインジケータを次のように管理します。


インジケータ サマリー情報

[インジケータ(Indicators)] ページには、設定されたソースに関連付けられているすべてのインジケータの概要情報が表示されます。

表 14. インジケータ サマリー情報

フィールド

説明

タイプ

  • 1 つオブザーバブルを持つインジケータには、そのオブザーバブルのデータ タイプがリストされます(URL、SHA-256 など)。

  • 2 つ以上のオブザーバブルを持つインジケータは、[複合(Complex)] としてリストされます。

特定のオブザーバブルを確認するには、タイプの上にカーソルを移動します。

名前(Name)

インジケータ名。

ソース(Source)

インジケータが含まれていたソース(親ソース)。

[インシデント(Incidents)]

インジケータに関連付けられたすべてのインシデントに関する情報。

  • インシデントが部分的に実現()されるか、完全に実現()されるかを指定するアイコン。

  • インジケータに関連付けられたインシデント数。

操作(Action)

インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

パブリッシュ

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

Last Updated

Threat Intelligence Director が最後にインジケータを更新した日時。

Status(ステータス)

インジケータの現在のステータス。

  • [保留中(Pending)]Threat Intelligence Director はインジケータのオブザーバブルを取り込み中です。

  • [完了(Completed)]Threat Intelligence Director はインジケータのオブザーバブルをすべて正常に取り込みました。

  • [完了(エラーあり)(Completed With Errors)]Threat Intelligence Director はインジケータを取り込みましたが、一部のオブザーバブルがサポートされていないか無効です。

インジケータの詳細

[インジケーターの詳細(Indicator Details)] ページには、インシデントのインジケータとオブザーバブル(監視可能)データが表示されます。

表 15. インジケータの詳細情報

フィールド

説明

名前(Name)

インジケータ名。

説明

ソースから提供されたインジケータの説明。

ソース(Source)

インジケータが含まれていたソース。

有効期限

ソースの [TTL] 値に基づく、インジケータが期限切れになる日時。

操作(Action)

インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

パブリッシュ

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

インジケータは親ソースから [パブリッシュ(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [パブリッシュ(Publish)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

インジケータのパターン(Indicator Pattern)

インジケーターのパターンを形成するオブザーバブルと演算子。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は [AND] 演算子で示されます。OR 関係は、OR 演算子、または複数のオブザーバブルの緊密なグループ化によって示されます。

必要に応じて、[ブロックしないリストに追加(Add to Do-Not-Block List)] ボタンをクリックして、オブザーバブルをブロックしないリストに追加します。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

オブザーバブルの表示と管理

[オブザーバブル(Observables)] ページには、正常に取り込まれたすべてのオブザーバブルが表示されます(オブザーバブル サマリー情報を参照)。

始める前に

手順


ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

[オブザーバブル(Observables)] をクリックします。

ステップ 3

現在のオブザーバブルを次のように表示します。

  • ページに表示されるオブザーバブルをフィルタリングするには、[フィルタ(Filter)]([フィルタ(Filter)] アイコンをクリックします。詳細については、テーブル ビューでの Threat Intelligence Director データのフィルタ処理を参照してください。

  • [値(Value)] 列の情報が途切れている場合は、値の上にカーソルを移動します。

  • そのオブザーバブルを含むインジケータを表示するには、[インジケータ(Indicators)] 列内の番号をクリックします。[インシデント(Incidents)] ページが開き、オブザーバブルの値がフィルタとして適用されます。詳細については、インジケータの表示と管理を参照してください。

ステップ 4

現在のオブザーバブルを次のように管理します。


オブザーバブル サマリー情報

[オブザーバブル(Observables)] ページには、取り込まれたすべてのオブザーバブルの概要情報が表示されます。

表 16. オブザーバブル サマリー情報

フィールド

説明

タイプ

オブザーバブル(監視可能)データのタイプ:SHA-256DomainURLIPv4、または IPv6

オブザーバブルを構成するデータ。

インジケータ(Indicators)

オブザーバブルを含む親インジケータの数。

操作(Action)

オブザーバブルに対して設定されている操作。詳細については、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

パブリッシュ

オブザーバブルのパブリッシュ設定(ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照)。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。

更新時刻(Updated At)

Threat Intelligence Director が最後にオブザーバブルを更新した日時。

有効期限

親インジケータの [TTL] に基づいて、オブザーバブルが Threat Intelligence Director から自動的に消去される日付。

[ブロックしないリストに追加(Add to Do-Not-Block List)] ボタン

このボタンをクリックすると、オブザーバブルがブロックしないリストに追加されます。Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

テーブル ビューでの Threat Intelligence Director データのフィルタ処理

手順


ステップ 1

次のいずれかの Threat Intelligence Director テーブル ビューを選択します。

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [インシデント(Incidents)]

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)]

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [監視可能(Observables)]

ステップ 2

[フィルタ(Filter)]([フィルタ(Filter)] アイコンをクリックし、フィルタ属性を選択します。

ステップ 3

そのフィルタ属性の値を選択または入力します。

フィルタでは大文字/小文字が区別されます。

ステップ 4

(オプション)複数の属性でフィルタリングするには、[フィルタ(Filter)]([フィルタ(Filter)] アイコンをクリックし、手順 2 と手順 3 を繰り返します。

ステップ 5

前回フィルタを適用してから行った変更を取り消すには、[キャンセル(Cancel)] をクリックします。

ステップ 6

フィルタを適用してテーブルを更新するには、[適用(Apply)] をクリックします。

ステップ 7

フィルタ属性を個別に削除するには、フィルタ属性の横にある[削除(Remove)]([削除(Remove)] アイコンをクリックし、[適用(Apply)] をクリックしてテーブルを更新します。


Threat Intelligence Director 設定における継承

Threat Intelligence Director はソースからインテリジェンス データを取り込むと、そのソースの子オブジェクトとしてインジケータとオブザーバブルを作成します。作成時に、これらの子オブジェクトは、親設定から [アクション(Action)] および [公開(Publish)] 設定を継承します。

インジケータは、親ソースからこれらの設定を継承します。インジケータは、親ソースを 1 つしか持てません。

オブザーバブルは、親インジケータからこれらの設定を継承します。オブザーバブルは、複数の親インジケータを持つことができます。

詳細については、以下を参照してください。

複数の親からの TID 設定の継承

オブザーバブルに複数の親インジケータがある場合、システムはすべての親から継承した設定を比較し、オブザーバブルに最もセキュアなオプションを割り当てます。つまり、

  • [アクション(Action)]:[ブロック(Block)] [モニタ(Monitor)] よりもセキュアです。

  • [公開(Publish)]:[オン(On)] [オフ(Off)] よりもセキュアです。

たとえば、SourceA は IndicatorA と関連する ObservableA に関与する可能性があります。

設定

SourceA

IndicatorA

ObservableA

操作(Action)

ブロック(Block)

ブロック(Block)

ブロック(Block)

パブリッシュ

オフ(Off)

オフ(Off)

オフ(Off)

SourceB が後で ObservableA を含む IndicatorB に関与する場合、システムは ObservableA を次のように変更します。

設定

SourceB

IndicatorB

ObservableA

操作(Action)

モニター(Monitor)

モニター(Monitor)

[ブロック(Block)](IndicatorA から継承)

パブリッシュ

オン(On)

オン(On)

[オン(On)](IndicatorB から継承)

この例では、ObservableA には 2 つの親があります。1 つは [アクション(Action)] 設定の親で、もう 1 つは [公開(Publish)] 設定の親です。オブザーバブルの設定を手動で編集してから設定を元に戻した場合、[アクション(Action)] 設定が IndicatorA 値に設定され、[公開(Publish)] 設定が IndicatorB 値に設定されます。

継承された TID 設定の上書きについて

継承された設定を上書きするには、子レベルで設定を変更します。ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集およびソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開を参照してください。継承された設定を上書きすると、親オブジェクトに変更にかかわらず、子オブジェクトではその設定が保持されます。

たとえば、上書きを設定せずに、次の元の設定で開始するとします。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オフ(Off)

オフ(Off)

オフ(Off)

IndicatorA の設定を上書きした場合、設定は次のようになります。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オン(On)

オン(On)

オン(On)

この場合、SourceA の [公開(Publish)] 設定への変更は、IndicatorA に自動的にはカスケードされなくなります。ただし、オブザーバブルの設定は現在値を上書きするようには設定されていないため、IndicatorA から ObservableA1 および ObservableA2 への継承は続行されます。

後から ObservableA1 の設定を上書きする場合は、次のようになります。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オン(On)

オフ(Off)

オン(On)

IndicatorA の [公開(Publish)] 設定への変更は、ObservableA1 に自動的にはカスケードされなくなります。ただし、ObservableA2 は上書き値には設定されていないため、これらの変更は引き続き ObservableA2 にカスケードされます。

オブザーバブル レベルでは、上書き設定から継承された設定に戻すことができ、システムは、親インジケータからそのオブザーバブルへの設定変更のカスケードを自動的に再開します。

ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director アクションの編集

(注)

  • 親のアクションを編集すると、すべての子に対しアクションが設定されます。ソース レベルでアクションを編集すると、そのすべてのインジケータにアクションが設定されます。インジケータ レベルでアクションを編集すると、そのオブザーバブルのすべてに対してアクションが設定されます。

  • 子のアクションを編集すると、継承が中断されます。インジケータ レベルでアクションを編集し、続いてソース レベルで編集すると、個々のインジケータのアクションを編集するまで、インジケータのアクションが保持されます。監視可能レベルでアクションを編集し、続いてインジケータ レベルで編集すると、個々のオブザーバブルのアクションを編集するまで、オブザーバブルのアクションが保持されます。監視可能レベルでは、親インジケータのアクションに自動的に復元できます。継承の詳細については、Threat Intelligence Director 設定における継承を参照してください。

他の アクションに影響を与える要因 を確認することもできます。

手順


ステップ 1

次のいずれかを選択します。

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)]

    (注)  

     

    Threat Intelligence Director は、ソース レベルでの TAXII ソースのブロックをサポートしていません。TAXII ソースに簡易インジケータが含まれている場合、インジケータ レベルまたは監視可能レベルでブロックすることができます。

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)] > > >

    (注)  

     

    Threat Intelligence Director は、複雑なインジケータのブロックをサポートしていません。代わりに、複雑なインジケータ内で個々のオブザーバブルをブロックします。

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [監視可能(Observables)]

ステップ 2

[アクション(Action)] ドロップダウンを使用して、 または Block ( block icon) を選択します。

ステップ 3

(オブザーバブルのみ)親インジケータからアクション設定を継承し直すには、オブザーバブルの [アクション(Action)] 設定の横にある [復元(Revert)] をクリックします。


公開の一時停止について

  • 機能レベルで公開を一時停止すると、要素に保存されているすべての Threat Intelligence Director オブザーバブルが消去されます。つまり、Threat Intelligence Director は脅威を検出、監視、ブロックすることはできません。システム上の他のセキュリティ機能は影響を受けません。

  • ソース、インジケータ、またはオブザーバブル レベルで公開を一時停止すると、システムは一時停止された Threat Intelligence Director オブザーバブルを要素から削除し、トラフィックと一致しないようにします。

  • 親のパブリケーションを一時停止すると、すべての子が一時停止します。ソース レベルで公開を一時停止すると、そのすべてのインジケータの公開が一時停止されます。インジケータ レベルで公開を一時停止すると、そのすべてのオブザーバブルの公開が一時停止されます。

  • 子のパブリケーションを一時停止すると、継承が中断されます。インジケータ レベルで公開を一時停止し、その後にソース レベルで公開すると、インジケータの個別設定を変更するまで、インジケータの公開は一時停止されたままになります。監視可能レベルで公開を一時停止し、その後にインジケータ レベルで公開すると、オブザーバブルの個別設定を変更するまで、オブザーバブルの公開は一時停止されたままになります。監視可能レベルでは、親インジケータの公開ステータスに自動的に復元できます。継承の詳細については、Threat Intelligence Director 設定における継承を参照してください。

  • アップロードされたソースの公開は、インジケータ レベルでのみ一時停止することができます。

  • オブザーバブルの公開を一時停止することと、オブザーバブルをブロックしないリストに追加することの比較については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

  • 個々のオブザーバブルまたはインジケータに対して公開または一時停止の設定を指定した場合、更新プログラムに同じオブザーバブルまたはインジケータが含まれている場合、ソースの更新によってその設定が変わることはありません。

  • オブジェクト管理ページで公開を無効にすることができます。オブザーバブルのパブリケーション頻度の変更を参照してください。

  • 更新を一時停止する [ソース(Sources)] ページ上のオプションは、要素へのデータの公開には関連しません。フィードから Management Center 上のソースを更新する場合に適用されます。

Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去


注意    


この設定により、すべての要素への公開が一時停止され、要素に保存されたすべての Threat Intelligence Director オブザーバブルが消去され、Threat Intelligence Director 機能を使用したトラフィックの検査が停止されます。

より細かいレベルでオブザーバブルを無効にするには、ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開 を参照してください。


管理センター上のデータ(既存のインシデントと設定済みのソース、インジケータ、オブザーバブル、およびソースの取り込み)は、この設定の影響を受けません。

手順


ステップ 1

[インテリジェンス(Intelligence)] > [設定(Settings)] の順に選択します。

ステップ 2

[一時停止(Pause)] をクリックします。


次のタスク

要素への Threat Intelligence Director データの同期とオブザベーションの生成を再開する準備ができたら、このページから手動で公開を [再開(Resume)] します。管理センター上の既存のオブザーバブルがすべての要素に公開されます。

ソース、インジケータ、またはオブザーバブル レベルでの Threat Intelligence Director データの一時停止または公開

ソース レベルで公開が有効になっている場合、システムは最初のソース データとそれに続く以下のような変更を自動的に公開します。

  • 定期的なソースの更新からの変更

  • システム アクションに起因する変更(TTL の有効期限など)

  • ユーザーが開始した変更(インジケータやオブザーバブルの [アクション(Action)] 設定の変更など)


(注)  


デバイス(要素)から一度にすべての Threat Intelligence Director オブザーバブルを消去するには、Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去 を参照してください。


始める前に

公開を一時停止する前に、公開の一時停止について に記載されている影響を把握してください。

手順


ステップ 1

次のいずれかを選択します。

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)]

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

  • [統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [監視可能(Observables)]

ステップ 2

[公開(Publish)] [スライダ(Slider)][スライダ(Slider)] アイコンを検索して、要素への公開を切り替えるために使用します。

ステップ 3

(オブザーバブルのみ)親インジケータからパブリケーション設定を継承し直す場合は、オブザーバブルの [公開(Publish)] 設定の横にある [復元(Revert)] をクリックします。


次のタスク

  • 要素が変更を受け取るまで少なくとも 10 分間待機します。大規模なソースが含まれる変更には時間がかかります。

  • (オプション)オブザーバブル レベルで TID データのパブリケーション頻度を変更します。オブザーバブルのパブリケーション頻度の変更 を参照してください。

オブザーバブルのパブリケーション頻度の変更

デフォルトでは、監視可能データ(オブザーバブル)が TID 要素に 5 分ごとに公開されます。この間隔を別の値に設定するには、次の手順を実行します。

始める前に

手順


ステップ 1

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)]を選択します。

ステップ 2

[セキュリティインテリジェンス(Security Intelligence)] > [ネットワークリストとフィード(Network Lists and Feeds)] を選択します。

ステップ 3

[Cisco-TIDフィード(Cisco-TID-Feed)] の横にある[編集(Edit)]編集アイコンをクリックします。

ステップ 4

[更新間隔:(Update Frequency)] ドロップダウンリストから値を選択します。

  • 監視可能なデータの要素への公開を停止するには、[無効(Disable)] を選択します。
  • その他の値を選択して、監視可能なパブリケーションの間隔を設定します。

ステップ 5

[保存(Save)] をクリックします。


Threat Intelligence Director オブザーバブルのブロックしないリストへの追加について

指定された [アクション(Action)] から簡易インジケータ内の 1 つのオブザーバブルを除外する(モニタリング/ブロッキングなしでトラフィックを通過させる)には、オブザーバブルをブロックしないリストに追加することができます。

複雑なインジケータでは、Threat Intelligence Director はトラフィックを評価するときにブロックしないリストのオブザーバブルを無視しますが、そのインジケータ内の他のオブザーバブルは引き続き評価されます。たとえば、インジケータに AND 演算子でリンクされているオブザーバブル 1 とオブザーバブル 2 が含まれていて、オブザーバブル 1 をブロックしないリストに追加すると、Threat Intelligence Director はオブザーバブル 2 が認識されたときに完全に実現されたインシデントを生成します。

これに対して、同じ複雑なインジケータで、オブザーバブル 1 をブロックしないリストに追加するのではなく、その公開を無効にすると、Threat Intelligence Director はオブザーバブル 2 が認識されたときに部分的に実現されたインシデントを生成します。


(注)  


オブザーバブルをブロックしないリストに追加する場合、オブザーバブルの設定が継承されるか上書き値であるかにかかわらず、常に [アクション(Action)] 設定より優先されます。


更新プログラムに同じオブザーバブルが含まれている場合、ソースの更新は個々のオブザーバブルのブロックしないリスト設定に影響しません。

Threat Intelligence Director オブザーバブルのブロックしないリストへの追加

ブロックしないリストの使用の詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。


ヒント


Web インターフェイスのいくつかの場所に [ブロックしないリストに追加(Add to Do Not Block List)] ボタン()が表示されます。このボタンをクリックすると、これらの場所にあるいずれかのブロックしないリストにオブザーバブルを追加できます。


手順

ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [監視可能(Observables)] を選択します。

ステップ 2

許可するオブザーバブルに移動します。

ステップ 3

そのオブザーバブルの [ブロックしないリストに追加(Add to Do-Not-Block List)])をクリックします。


次のタスク

(オプション)ブロックしないリストからオブザーバブルを削除する必要がある場合は、ボタンをもう一度クリックします。

STIX ソース ファイルの表示

手順


ステップ 1

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]を選択します。

ステップ 2

インジケータ名をクリックします。

ステップ 3

[STIXのダウンロード(Download STIX)] をクリックします。

ステップ 4

テキスト エディタでこのファイルを開きます。


Threat Intelligence Director のトラブルシューティング

以下のセクションでは、Threat Intelligence Director の一般的な問題について、可能な解決策と軽減策を説明します。

フラット ファイル ソースを取得またはアップロードするとエラーが発生する

システムがフラット ファイル ソースを取得またはアップロードできない場合は、フラット ファイル内のデータが [インテリジェンス(Intelligence)] > [ソース(Sources)] ページの [タイプ(Type)] 列と一致することを確認してください。

TAXII または URL のソース アップデートでエラーが発生する

TAXII または URL のソース アップデートでソース ステータス エラーが発生した場合は、サーバー証明書の期限が切れていないことを確認してください。証明書の有効期限が切れている場合は、新しいサーバー証明書を入力するか、または既存のサーバー証明書を削除して、Threat Intelligence Director が新しい証明書を取得できるようにします。詳細については、Threat Intelligence Director ソースの TLS/SSL 設定の構成を参照してください。

インジケータまたはソースに対して「ブロック」アクションは使用できず、「モニター」アクションのみを使用できます。

インジケータまたはソースの個々のオブザーバブルのアクションを変更できます。

Threat Intelligence Director テーブル ビューで「結果なし」と表示される

テーブル ビューには、[ソース(Sources)]、[インジケータ(Indicators)]、[オブザーバブル(Observables)]、および [インシデント(Incidents)] ページが含まれます。

いずれかの Threat Intelligence Director テーブル ビューにデータが表示されない場合:

システムが低速またはパフォーマンス低下を起こしている

パフォーマンスの影響の詳細については、Threat Intelligence Director のパフォーマンスへの影響 を参照してください。

Secure Firewall Management Center テーブル ビューに Threat Intelligence Director データが表示されない

オブザーバブルを要素に公開しても、接続、セキュリティ インテリジェンス、ファイル、またはマルウェア イベントのテーブルに Threat Intelligence Director データが表示されない場合は、要素に展開されたアクセス コントロール ポリシーとファイル ポリシーを確認してください。詳細については、Threat Intelligence Director をサポートするためのポリシーの設定を参照してください。

1 つまたは複数の要素が Threat Intelligence Director データによって圧倒される

Threat Intelligence Director データが 1 つまたは複数のデバイスを圧倒している場合は、Threat Intelligence Director による要素に保存されているデータの公開と消去を一時停止することを検討してください。詳細については、Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去を参照してください。

システムが TID ブロックの代わりにマルウェア クラウド ルックアップを実行している

これは設計によるものです。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

システムが TID アクションではなく、セキュリティ インテリジェンスまたは DNS ポリシー アクションを実行している

これは設計によるものです。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

TID が無効化されている

  • アプライアンスにメモリを追加します。Threat Intelligence Director を使用するには、少なくとも 15 GB のメモリをアプライアンスに搭載する必要があります。

  • Secure Firewall Management Center の REST API アクセスを有効化します。詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「Enabling REST API Access」を参照してください。

システムが Threat Intelligence Director インシデントを生成しないか、または予期される Threat Intelligence Director アクションを実行しない

特定の脅威との一度の遭遇によって、複数のインシデントが生成される

これは、単一のインジケータが複数のソースに含まれている場合に発生します。

詳細については、重複インジケータの処理 を参照してください。

Threat Intelligence Director の履歴

機能

最小 Management Center

最小 Threat Defense

詳細

複数の STIX フィードに含まれるインジケータの扱い

7.1

任意(Any)

STIX フィードに同一のインジケータが含まれている場合、フィードごとにインジケータが作成され、同じインジケータに対して複数のインシデントが生成される可能性があります。以前は、最後にダウンロードされたフィードのみが有効でした。

アクションの優先順位付けの変更

6.5

任意(Any)

これらの変更は、複数の Firepower 機能を特定の 1 つのオブザーバブルに適用可能な場合に適用されます。

TID ブロッキングおよびモニタリング監視可能アクションが、セキュリティ インテリジェンスを使用したブロッキングおよびモニタリングよりも優先されるようになりました。

重要

 

システムは引き続き、トラフィックを以前と同様に効果的に処理します。以前にブロックされたトラフィックは引き続きブロックされ、モニター対象トラフィックは引き続きモニターされます。これは、アクションに関与しているとイベント内で報告されるコンポーネントを変更するだけです。さらに、より多くの TID インシデントが生成されている場合もあります。

  • [ブロック(Block)] TID 監視可能アクションを設定した場合は、トラフィックがセキュリティ インテリジェンス ブロック アクションにも一致していても、次のようになります。

    • 接続イベントのセキュリティ インテリジェンス カテゴリは TID ブロックのバリアントです。

    • システムは、[Blocked] のアクション実施を伴う TID インシデントを生成します。

  • [モニター(Monitor)] TID 監視可能アクションを設定した場合は、トラフィックがセキュリティ インテリジェンス モニター ルールにも一致していても、次のようになります。

    • 接続イベントのセキュリティ インテリジェンス カテゴリは TID モニターのバリアントです。

    • システムは、[Monitored] のアクション実施を伴う TID インシデントを生成します。

以前は、どちらの場合も、システムではカテゴリが分析別に報告され、TID インシデントは生成されませんでした。

Secure Firewall Threat Intelligence Director

6.2.2

いずれか

導入された機能:外部送信元から脅威のインテリジェンスを使用して脅威を特定し処理できます。

新規画面:複数のタブがあるトップレベルの新しい [インテリジェンス(Intelligence)] メニュー

サポートされているプラットフォーム: Secure Firewall Management Center