脅威インテリジェンス ダッシュボードの表示

この章では、脅威を識別して検疫する Cisco Secure Workload パイプラインの最新データセットを示します。このパイプラインは、外部の既知のマルウェア コマンド アンド コントロール アドレス、およびプロセスのセキュリティフローと地理的位置に関してデータセンターのワークロードを検査することにより検疫をします。この章では、ワークロードから既知の悪意のある IPv4 アドレスへの特定可能な通信についても詳しく説明しています。悪意のある IP アドレスは 24 時間ごとに更新されます。脅威インテリジェンスのデータセットを自動的に更新するか、データセットを手動で Cisco Secure Workload にアップロードするかを選択できます。


注目

最近の GUI の更新により、ユーザーガイドで使用されているイメージやスクリーンショットの一部に、製品の現在の設計が完全に反映されていない可能性があります。最も正確に視覚的に参照するには、このガイドを最新バージョンのソフトウェアと組み合わせて使用することを推奨します。

脅威インテリジェンスを管理

脅威インテリジェンスを管理するには、ナビゲーションウィンドウから、[管理(Manage)] > [サービスの設定(Service Settings)] > [脅威インテリジェンス(Threat Intelligence)] の順に選択します。


Note

デフォルトでは、既知の悪意のある IP アドレスを識別する機能は無効になっています。この機能を有効にする場合は、既知の悪意のある IPv4 アドレスの可視性を参照してください。

データ セットの自動更新

Cisco Secure Workload は、こちらで入手可能なグローバルデータセットと同期することで、定期的に UTC 時間の午前 3 ~ 4 時に脅威データセットを更新します。グローバル データ セットは、毎週金曜日または月曜日に更新されます。脅威インテリジェンス ダッシュボードには、データセットとデータセットの最終更新日が一覧表示されます。

Figure 1. 脅威インテリジェンス
脅威インテリジェンス

データセットの手動アップロード

[脅威インテリジェンス(Threat Intelligence)] ページには、脅威インテリジェンスのデータセットの更新されたステータスが表示されます。これらのデータセットは自動的に更新されます。


Note

脅威インテリジェンス機能を自動更新するには、Cisco Secure Workload サーバーへの接続が必要です。エンタープライズ アウトバウンド HTTP リクエストには、次が必要になる場合があります:

  • エンタープライズ ファイアウォールのアウトバウンドルールからドメイン uas.tetrationcloud.com を許可します。

  • アウトバウンド HTTP 接続を設定します。

アウトバウンド接続のない環境では、データセットを手動でアップロードします。

Note

手動アップロードのスケジューリング:データセット RPM ファイルは、Secure Workload Update Portal に毎週公開されます。管理者のスケジュールを設定して、最新のリリースを定期的にインストールすることを推奨します。

Table 1. データセット

データセット

説明

NVD CVE

セキュリティ関連のソフトウェアの欠陥、CVSS ベーススコア、脆弱な製品設定、および弱点の分類

MaxMind Geo

送信元 IP の場所および他の特性の特定

NIST RDS

既知の追跡可能なソフトウェア アプリケーションのデジタル署名の NIST 参照データセット

Team Cymru

3,000 を超えるボットネット コマンド アンド コントロール IP に関する知見

ハッシュ判定

プロセスハッシュに関する Secure Workload の判定([自動更新(Automatic Updates)] セクションでのみ利用可能)。


Note

MaxMind Geo データセットが以前のリリースで手動でアップロードされた場合は、対応する RPM を再アップロードして、[フローの可視性(Flow Visibility)] ページで場所と関連情報を表示する必要があります。

更新されたデータセットのダウンロード

ここから最新の脅威データセットをダウンロードします。

最新のデータセットのアップロード

Before you begin

サイト管理者またはカスタマー サポート エグゼクティブとしてログインします。

Procedure

Step 1

ナビゲーションウィンドウで、[管理(Manage)] > [サービスの設定(Service Settings)] > [脅威インテリジェンス(Threat Intelligence)] の順に選択します。

Step 2

[脅威データセットのアップロード(Upload Threat Dataset)] セクションで、手動アップロードを有効にします。

Step 3

[補足RPMの選択(Select Supplemental RPM)] をクリックし、Secure Workload 更新ポータルからダウンロードした RPM ファイルを選択します。

Step 4

[アップロード(Upload)] をクリックします。

RPM アップロードプロセスが開始され、ステータスが進行状況バーに表示されます。アップロード後、RPM ファイルが処理され、バックグラウンドでインストールされます。脅威データセットは、インストール完了後に更新されます。
Figure 2. 脅威データセット
テーブルの更新