Cisco XDR との統合

この章の内容は、次のとおりです。

アプライアンスと Cisco XDR の統合

アプライアンスと Cisco XDR の統合

Cisco XDR は、すべてのシスコセキュリティ製品に組み込まれているセキュリティ プラットフォームです。これは新しいテクノロジーを導入する必要のないクラウドネイティブです。Cisco XDR は、可視性を統合し、自動化を可能にして、ネットワーク、エンドポイント、クラウド、およびアプリケーション全体のセキュリティを強化するプラットフォームを提供することで、脅威からの保護に関する要求を簡素化します。統合プラットフォームで技術を連携することで、Cisco XDR は測定可能なインサイト、望ましい成果、比類のないチーム間のコラボレーションを提供します。Cisco XDR では、セキュリティ インフラストラクチャを連携させて機能を拡張できます。

Cisco XDR は、複数のシスコセキュリティ製品の統合をサポートして自動化する、脅威インシデント対応のオーケストレーションハブです。 XDR は、シスコの統合セキュリティアーキテクチャの主要な柱として、主要なセキュリティ運用機能(検出、調査、修復)を加速します。

アプライアンスと Cisco XDR の統合には、次のセクションが含まれています。

アプライアンスを Cisco XDR と統合し、Cisco XDR で以下のアクションを実行できます。

  • 組織内の複数のアプライアンスから電子メールデータを表示および送信します。

  • 電子メールレポート、送信者とターゲットの関係、複数の電子メールアドレスと件名行の検索、およびメッセージトラッキングで確認された脅威を特定、調査、修復します。

  • 侵害されたユーザまたは発信電子メールポリシーに違反するユーザをブロックします。

  • 特定した脅威を迅速に解決し、特定した脅威に対して推奨されるアクションを実行します。

  • 脅威をドキュメント化して調査内容を保存し、他のデバイスと情報を共有します。

  • 悪意のあるドメインのブロック、不審な観測対象の追跡、承認ワークフローの開始、または電子メールポリシーを更新するための IT チケットの作成を行います。

Cisco XDR には、次の URL を使用してアクセスできます。

https://xdr.us.security.cisco.com/

Cisco Cisco Secure Email and Web Manager によって、複数の Cisco Cisco Secure Email Gateways の管理機能やレポート機能が一元化されます。Cisco Secure Email and Web Manager モジュールで強化できる観測対象の詳細については、https://xdr.us.security.cisco.com/administration/integrationsにアクセスし、Cisco XDR と統合するモジュールに移動して、[始める(Get Started)] をクリックしてください。

アプライアンスと Cisco XDR の統合方法

表 1. アプライアンスと Cisco XDR の統合方法

操作手順

詳細

ステップ 1

前提条件を確認します。

前提条件

ステップ 2

Cisco Secure Email and Web Manager で、Cisco Cloud Services ポータルを有効にします。

Cisco Secure Email and Web Manager での Cisco Cloud Services ポータルの有効化

ステップ 3

Cisco XDR で、アプライアンスをデバイスとして追加して登録し、登録トークンを生成します。

詳細については、https://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htm を参照してください。

ステップ 4

Cisco Secure Email and Web Manager を登録しCisco Cloud Services ポータルとの Cisco SecureX または Cisco Threat Response の登録を完了します。

Cisco Cloud Services ポータルへの Cisco Secure Email and Web Manager の登録

ステップ 5

登録が成功したかどうかを確認します。

登録が成功したかどうかの確認

ステップ 6

Cisco XDR で、Cisco Secure Email and Web Manager モジュールを追加します。

詳細については、https://xdr.us.security.cisco.com/administration/integrationsにアクセスし、Cisco XDR と統合するモジュールに移動し、][始める(Get Started)] をクリックしてページに記載されている手順を参照してください。

前提条件


(注)  

すでに Cisco Threat Response のユーザーアカウントをお持ちの場合は、Cisco XDR のユーザーアカウントを作成する必要はありません。Cisco Threat Response ユーザーアカウントのログイン情報を使用して Cisco XDR にログインできます。

  • Cisco XDR でユーザーアカウントを作成する際には、必ず管理者アクセス権を使用してください。新しいユーザーアカウントを作成するには、URL https://xdr.us.security.cisco.com を使用して、Cisco XDR ログインページにアクセスし、ログインページで [今すぐサインアップ(Sign up now)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。

  • (プロキシサーバーを使用していない場合のみ)アプライアンスを Cisco XDR に登録する場合、ファイアウォールで HTTPS(インおよびアウト)443 ポートが次の FQDN に対してオープンになっていることを確認してください。

    • api-sse.cisco.com(NAM ユーザのみに対応)

    • api.eu.sse.itd.cisco.com(欧州連合(EU)のユーザのみに対応)

    • api.apj.sse.itd.cisco.com(APJC ユーザのみに対応)

    • est.sco.cisco.com(APJC、EU、および NAM ユーザに対応)

    詳細については、ファイアウォール情報を参照してください。

  • (Cisco Secure Email and Web Manager にスマートライセンスが登録されているユーザーの場合)(Cisco Smart Software Manager ポータルで作成された)スマートアカウントが Cisco Security Services Exchange にすでにリンクされていることを確認してください。詳細については、次の資料を参照してください。

Cisco Secure Email and Web Manager での Cisco Cloud Services ポータルの有効化

始める前に

Cisco Secure Email and Web Manager で Cisco XDR を有効にするには、Cisco Cloud Services を有効にしてください。

Cisco Cloud Services を有効にし、Cisco Secure Email and Web Manager で Cisco XDR を有効にするには、次の手順を実行します。

手順

ステップ 1

アプライアンスにログインします。

ステップ 2

[ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] を選択します。

ステップ 3

[グローバル設定を編集(Edit Global Settings)] をクリックします。

ステップ 4

[有効(Enable)] チェックボックスをオンにします。

ステップ 5

変更を送信し、保存します。

ステップ 6

数分待ってから、[登録(Register)] ボタンがアプライアンスに表示されるかどうかを確認します。


(注)  
CLI を使用して Cisco XDR を有効にするには、generalconfig コマンドを使用します。

(注)  

Cisco Cloud Services を無効化すると、アプライアンスで Cisco XDR が無効になります。
次のタスク

アプライアンスを Cisco XDR(https://xdr.us.security.cisco.com/administration/on-premise-appliances に登録します。詳細については、 にアクセスしてhttps://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htmください。

Cisco Cloud Services ポータルへの Cisco Secure Email and Web Manager の登録

手順

ステップ 1

[ネットワーク(Networks)] > [クラウドサービスの設定(Cloud Service Settings)] に移動します。

ステップ 2

[クラウドサービス設定(Cloud Services Settings)] に、登録トークンを入力し、[登録(Register)] をクリックします。


(注)  
CLI の cloudserviceconfig コマンドを使用して、Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに登録します。
次のタスク

登録が成功したかどうかの確認

Cisco Cloud Service ポータルへの登録

次のいずれかのシナリオに基づいて、オンプレミス Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに再登録できます。

  • Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに自動的に登録するときに、Cisco Cloud Services ポータルに追加されたデバイス(Cisco Secure Email and Web Manager )を表示または管理できない場合。

  • Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに自動的に登録するときに、スマートアカウントと Cisco Cloud Services アカウントがリンクされていない場合。

CLI で cloudserviceconfig > reregister サブコマンドを使用して、Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに登録することもできます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Cisco Secure Email and Web Manager でスマート ソフトウェア ライセンシングを有効にします。

  • Cisco Smart Software Manager に Cisco Secure Email and Web Manager を登録している。

手順

ステップ 1

Cisco Secure Email and Web Manager の [ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] ページに移動します。

ステップ 2

[再登録(Reregister)] をクリックします。

(注)  

 
[再登録(Reregister)]をクリックした後、要件に応じてステップ 3 または 4 のいずれかまたは両方でタスクを実行するかどうかを選択できます。

ステップ 3

(オプション)デバイスが誤った Cisco XDR サーバーに自動的に登録されている場合は、適切な Cisco XDR サーバーを選択して、Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに接続します。

ステップ 4

(オプション)Cisco Secure Email and Web Manager が誤ったスマートアカウントで自動的に登録された場合は、Cisco Cloud Services ポータルから取得した登録トークンを入力します。

ステップ 5

[送信(Submit)] をクリックすると、ステップ 4 で登録トークンを入力しない場合にのみ、[再登録の確認(Confirm reregistration)] ダイアログボックスが表示されます。

ステップ 6

[再登録の確認(Confirm reregistration)] ダイアログボックスで [送信(Submit)] をクリックすると、Cisco Cloud Services が Cisco Cloud Services ポータルから自動生成されたトークンをスマートアカウント情報とともに使用して、Cisco Secure Email and Web Manager を Cisco Cloud Services ポータルに再登録できます。

(注)  

 

Cisco Secure Email and Web Manager でスマート ソフトウェア ライセンスを使用しておらず、Cisco XDR サーバーのリージョンを変更する場合は、Cisco Secure Email and Web Manager を Cisco XDR(Cisco Cloud Services ポータルからの Cisco Secure Email and Web Manager の登録解除)から登録解除して、[登録(Register)] ボタンをクリックします。

登録が成功したかどうかの確認


(注)  

別の Cisco XDR サーバー(欧州用の「api.eu.sse.itd.cisco.com」など)に切り替える場合は、最初に Cisco XDR からアプライアンスの登録を解除して、アプライアンスと Cisco XDR の統合方法のステップを実行する必要があります。

Cisco XDR にアプライアンスを統合した後は、電子メールと Web のレポート機能が集中管理されるため、Cisco Secure Email Gateway を Cisco XDR に統合する必要はありません。

security services exchange にアプライアンスが正常に登録されたら、Cisco XDRCisco Secure Email and Web Manager モジュールを追加します。詳細については、https://xdr.us.security.cisco.com/administration/integrations にアクセスして、Cisco XDR と統合するモジュールに移動し、[始める(Get Started)] をクリックしてページに記載されている手順を参照してください。

Cisco Cloud Services ポータルからの Cisco Secure Email and Web Manager の登録解除

Cisco Cloud Services ポータルから Cisco Secure Email and Web Manager の登録を解除するには、次の手順を実行します。

手順

ステップ 1

[ネットワーク(Networks)] > [クラウドサービスの設定(Cloud Service Settings)] に移動します。

ステップ 2

[クラウドサービスの設定(Cloud Service Settings)] ページで [登録解除( Deregister)] をクリックします。

ステップ 3

[アプライアンスの登録解除(Deregister Appliance)] ポップアップウィンドウで [登録解除(Deregister)] をクリックします。

Cisco XDR Ribbon プラグインを使用した攻撃分析の実行

Cisco SecureXXDR は、可視性の統合、自動化の実現、インシデント対応ワークフローの迅速化、脅威ハンティングの改善を行う一連の分散型機能をサポートします。これらの分散型機能は、Cisco XDR Ribbon プラグインで使用できます。

Cisco XDR Ribbon プラグインのインストールの詳細については、「https://docs.xdr.security.cisco.com/Content/Ribbon/install-ribbon-extension.htm」[英語] を参照してください。

Cisco XDR Ribbon プラグインを使用した調査の詳細については、「https://docs.xdr.security.cisco.com/Content/Ribbon/investigate-using-ribbon-extension.htm」[英語] を参照してください。

例:Cisco Secure Email and Web Manager NGUI を介した Cisco XDR Ribbon プラグインの使用

Cisco Secure Email and Web Manager の新しい Web インターフェイスから Cisco XDR Ribbon プラグインにアクセスするには、次の手順を実行します。

手順

ステップ 1

Cisco Secure Email and Web Manager の新しい Web インターフェイスにログインします。

ステップ 2

[モニタリング(Monitoring)] > [メールフロー詳細(Mail Flow Details)] > [ 受信メール(Incoming Mails)] の順に選択します。

ステップ 3

[IPアドレス(IP Address)] タブを選択します。

ステップ 4

調査する IP アドレスを選択し、右クリックして [Cisco XDR] を選択します。

Cisco XDR Ribbon プラグインが表示されます。

Cisco XDR 内のメッセージに対する修復アクションの実行

始める前に

Cisco XDR では、Cisco Secure Email and Web Manager で処理されたメッセージに対して次の修復アクションを調査して適用できるようになりました。

  • 削除(Delete)

  • 転送(Forward)

  • 転送と削除(Forward and Delete)

Cisco XDR のメッセージに対して修復アクションを実行する前に、次の前提条件を満たしていることを確認します。

  • Cisco XDR サーバーで Cisco Secure Email and Web Manager を有効にして、登録している。詳細については、「」、Cisco Secure Email and Web Manager での Cisco Cloud Services ポータルの有効化、およびCisco Cloud Services ポータルへの Cisco Secure Email and Web Manager の登録を参照してください。

  • Cisco Secure Email and Web Manager モジュールを Cisco XDR に追加し、Cisco XDR で修復転送アドレスを指定している。詳細については、https://xdr.us.security.cisco.com/administration/integrations にアクセスして、Cisco XDR と統合するために必要な Cisco Secure Email and Web Manager モジュールを選択し、[始める(Get Started)] をクリックして、そのページに記載されている手順を参照してください。

  • 電子メールゲートウェイの [システム管理(System Administration)] > [アカウント設定(Account Settings)] ページで修復プロファイルを有効にして設定します。詳細については、Cisco Secure Email Gateway ユーザーガイド [英語] の「Mailboxes」の章にある「Remediating Messages」参照してください。

手順

ステップ 1

ログイン情報を使用して Cisco XDR にログインします。

ステップ 2

[調査(Investigate)] パネルで必要な IOC(URL、電子メールメッセージ ID など)を入力して脅威分析の調査を実行し、[調査(Investigate)] をクリックします。詳細については、https://docs.xdr.security.cisco.com/Content/Investigate/investigate.htmで「ヘルプ」セクションの「調査」のトピックを参照してください。

ステップ 3

観測対象の横にあるピボットメニューボタンをクリックして、脅威に対応し、調査、観測対象への判断の作成、自動化ワークフローの開始、または統合製品へのピボットなどのタスクを実行して追加のアクションを実行します。詳細については、https://docs.xdr.security.cisco.com/Content/pivot-menu.htmで [ヘルプ(Help)] セクションにある [ピボットメニュー(Pivot Menu)] のトピックを参照してください。