Cisco SecureX および Cisco Threat Response との統合

この章で説明する内容は、次のとおりです。

アプライアンスと Cisco SecureX または Cisco Threat Response の統合

Cisco SecureX は、すべてのシスコセキュリティ製品に組み込まれたセキュリティプラットフォームです。これは新しいテクノロジーを導入する必要のないクラウドネイティブです。Cisco SecureX は、可視性を統合し、自動化を可能にして、ネットワーク、エンドポイント、クラウド、およびアプリケーション全体のセキュリティを強化するプラットフォームを提供することで、脅威からの保護の要求を簡素化します。統合プラットフォームで技術を連携することで、Cisco SecureX は測定可能な分析情報、望ましい成果、比類のないチーム間のコラボレーションを実現します。Cisco SecureX では、セキュリティ インフラストラクチャを連携させて機能を拡張できます。

アプライアンスと Cisco SecureX または Cisco Threat Response の統合には、次のセクションが含まれています。

アプライアンスを Cisco SecureX または Cisco Threat Response と統合し、Cisco SecureX または Cisco Threat Response で以下のアクションを実行できます。

  • 組織内の複数のアプライアンスから Web データを表示および送信します。

  • Web レポートおよびトラッキングで検出された脅威を特定、調査、修正します。

  • 侵害された URL または Web トラフィックをブロックします。

  • 特定した脅威を迅速に解決し、特定した脅威に対して推奨されるアクションを実行します。

  • 脅威をドキュメント化して調査内容を保存し、他のデバイスと情報を共有します。

  • 悪意のあるドメインのブロック、不審な観測対象の追跡、承認ワークフローの開始、または Web ポリシーを更新するための IT チケットの作成を行います。

Cisco SecureX または Cisco Threat Response には、次の URL を使用してアクセスできます。

https://securex.us.security.cisco.com/login

Cisco Secure Web Applianceは高度な脅威防御機能を備え、脅威を迅速に検出、ブロック、修復します。また、データの損失を防ぎ、送信中の重要情報をエンドツーエンドの暗号化によって保護します。 Secure Web Appliance モジュールで強化できる観測対象の詳細については、https://securex.us.security.cisco.com/settings/modules/available に移動し、Cisco SecureX と統合するモジュールに移動して、[詳細情報(Learn More)] をクリックしてください。

Cisco Secure Web Appliance を SecureX と統合すると、Cisco Secure Web Appliance の Web トラッキングデータが検証されます。トランザクション タイムアウト(60 秒)は、Cisco Secure Web Appliance での処理遅延が原因で発生し、統合が失敗します。正常に統合するには、統合の時間制限をデフォルトの 30 日から 1 日または 2 日に短縮します。ただし、この短縮を行うと Cisco Secure Web Appliance のモニタリングの有効性に影響します。

アプライアンスと Cisco SecureX または Cisco Threat Response の統合方法

表 1. アプライアンスと Cisco SecureX または Cisco Threat Response の統合方法

操作内容

詳細

ステップ 1

前提条件を確認します。

前提条件

ステップ 2

Secure Web Applianceで、Cisco SecureX または Cisco Threat Response の統合を有効にします。

Cisco Secure Web Applianceでの Cisco SecureX または Threat Response の統合の有効化

ステップ 3

Cisco SecureX で、アプライアンスをデバイスとして追加し、登録して、登録トークンを生成します。

詳細については、次を参照してください。 https://securex.us.security.cisco.com/help/settings-devices

ステップ 4

Secure Web Applianceで、Cisco SecureX または Cisco Threat Response の登録を完了します。

Cisco Secure Web Applianceでの Cisco SecureX または Cisco Threat Response の登録

ステップ 5

登録が成功したかどうかを確認します。

登録が成功したかどうかの確認

ステップ 6

Cisco SecureX で、Web セキュリティ アプライアンス モジュールを追加します。

詳細については、https://securex.us.security.cisco.com/settings/modules/available に移動して、Cisco SecureX と統合するために必要な Secure Web Appliance モジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。

前提条件


(注)  


すでに Cisco Threat Response ユーザアカウントを持っている場合は、Cisco SecureX ユーザアカウントを作成する必要はありません。Cisco Threat Response ユーザアカウントのクレデンシャルを使用して Cisco SecureX にログインできます。
  • 管理者アクセス権を使用して、Cisco SecureX でユーザアカウントを作成していることを確認します。新しいユーザアカウントを作成するには、URL(https://securex.us.security.cisco.com/login)を使用して Cisco SecureX のログインページに移動し、ログインページで [SecureXサインオンアカウントの作成(Create a SecureX Sign-on Account)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。

  • (プロキシサーバを使用していない場合のみ)アプライアンスを Cisco SecureX または Cisco Threat Response に登録する場合、ファイアウォールで HTTPS(インおよびアウト)443 ポートが次の FQDN に対してオープンになっていることを確認してください。

    • api-sse.cisco.com(NAM ユーザのみに対応)

    • api.eu.sse.itd.cisco.com(欧州連合(EU)のユーザのみに対応)

    • api.apj.sse.itd.cisco.com(APJC ユーザのみに対応)

    • est.sco.cisco.com(APJC、EU、および NAM ユーザに対応)

Cisco Secure Web Applianceでの Cisco SecureX または Threat Response の統合の有効化

手順


ステップ 1

アプライアンスにログインします。

ステップ 2

[ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] を選択します。

ステップ 3

[設定の編集(Edit Settings)] をクリックします。

ステップ 4

[有効(Enable)] チェックボックスをオンにします。

ステップ 5

アプライアンスを Cisco SecureX または Cisco Threat Response に接続するために必要な Cisco SecureX または Cisco Threat Response サーバーを選択します。

ステップ 6

変更を送信し、保存します。

ステップ 7

数分待ってから、[登録(Register)] ボタンがアプライアンスに表示されるかどうかを確認します。


次のタスク

アプライアンスを Cisco SecureX または Cisco Threat Response に登録します。詳細については、https://securex.us.security.cisco.com/settings/modules/availableに移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。

Cisco Secure Web Applianceでの Cisco SecureX または Cisco Threat Response の登録

手順


ステップ 1

[ネットワーク(Network)] > [クラウドサービス設定(Cloud Service Settings)] に移動します。

ステップ 2

[クラウドサービス設定(Cloud Services Settings)] に、登録トークンを入力し、[登録(Register)] をクリックします。



(注)  


CLI を使用して Cisco SecureX または Cisco Threat Response を登録するには、cloudserviceconfig コマンドを使用します。

次のタスク

登録が成功したかどうかの確認

スマートライセンスを使用した Security Service Exchange(SSE)ポータルへの Cisco Secure Web Appliance の登録

すでに Cisco Smart Software Manager にアプライアンスを登録している場合、AsyncOS 14.x にアップグレードすると Cisco Cloud Services が自動的に有効になります。以下の手順に従って、アプライアンスを SSE ポータルに追加します。

手順


ステップ 1

メンテナンス時間帯をスケジュールします。

ステップ 2

[システム管理(System Administration)] > [スマートソフトウェアライセンシング(Smart Software Licensing)] に移動します。

ステップ 3

[アクション(Action)] ドロップダウンリストから、[登録解除(Deregister)] を選択し、[実行(Go)] を選択します。

ステップ 4

SSE ポータルからすべての SWA エントリを削除します。

ステップ 5

[ネットワーク(Network)] > [クラウドサービス設定(Cloud Service Settings)] に移動します。

ステップ 6

[Cisco Cloud Servicesの有効化(Enable Cisco Cloud Services)] チェックボックスをオンにします。

ステップ 7

[有効(Enable)] をクリックします。

ステップ 8

変更を送信し、保存します。

ステップ 9

登録トークンを貼り付けます。

ステップ 10

[登録(Register)] をクリックします。


登録が成功したかどうかの確認

  • Security Services Exchange で、Security Services Exchange のステータスを確認して、正常に登録されたことを確認します。

  • Cisco SecureX で、[デバイス(Devices)] ページに移動し、Security Services Exchange に登録されている Secure Web Applianceを表示します。


(注)  


別の Cisco SecureX サーバーまたは Cisco Threat Response サーバー(欧州用の「api.eu.sse.itd.cisco.com」など)に切り替える場合は、最初に Cisco SecureX または Cisco Threat Response からアプライアンスの登録を解除して、アプライアンスと Cisco SecureX または Cisco Threat Response の統合方法のステップを実行する必要があります。

アプライアンスを Cisco SecureX または Cisco Threat Response と統合した後は、Cisco Security Management アプライアンスを Cisco SecureX または Cisco Threat Response と統合する必要はありません。

Security Services Excange にアプライアンスが正常に登録されたら、Cisco SecureX に Secure Web Appliance Web モジュールを追加します。詳細については、https://securex.us.security.cisco.com/settings/modules/availableに移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。


Secure Web Applianceでの Cisco Cloud Services ポータルの有効化

手順


ステップ 1

Secure Web Appliance にログインします。

ステップ 2

[ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] を選択します。

ステップ 3

[有効(Enable)] をクリックします。

ステップ 4

[Cisco Cloud Servicesの有効化(Enable Cisco Cloud Services)] チェックボックスをオンにします。

ステップ 5

必要な Cisco Secure サーバーを選択して、 Secure Web Applianceを Cisco Cloud Services ポータルに接続します。

ステップ 6

変更を送信し、保存します。

ステップ 7

数分待ってから、[登録(Register)] ボタンが [クラウドサービス設定(Cloud Services Settings)] ページに表示されるかどうかを確認します。



(注)  


CLI を使用して Cisco Cloud Services ポータルを有効にするには、cloudserviceconfig コマンドを使用します。

次のタスク

Cisco Cloud Services ポータルに Secure Web Applianceを登録します。詳細については、https://securex.us.security.cisco.com/settings/modules/available に移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。

Cisco Cloud Services ポータルへの Secure Web Applianceの登録

手順


ステップ 1

[ネットワーク(Network)] > [クラウドサービス設定(Cloud Service Settings)] に移動します。

ステップ 2

[クラウドサービス設定(Cloud Services Settings)] の下に、登録トークンを入力し、[登録(Register)] をクリックします。



(注)  


CLI を使用して Secure Web Applianceを Cisco Cloud Services ポータルに登録するには、cloudserviceconfig コマンドを使用します。

アプライアンスにスマートライセンスが登録されている場合は、Cisco Cloud サービスを無効化または登録解除できません。


Cisco SecureX Ribbon を使用した攻撃分析の実行


(注)  


AsyncOS 14.0 以前のバージョンからダウングレードする場合、ケースブックは Cisco SecureX Ribbon の一部となります。


Cisco SecureX は、可視性の統合、自動化の実現、インシデント対応ワークフローの迅速化、脅威ハンティングの改善を行う一連の分散型機能をサポートします。Cisco SecureX の分散機能は、SecureX リボンでアプリケーションおよびツールの形式で利用できます。

この章で説明する内容は、次のとおりです。

Cisco SecureX Ribbon はページの下部ペインにあり、ダッシュボードと環境内の他のセキュリティ製品間を移動しても保持されます。Cisco SecureX Ribbon は、次のアイコンと要素で構成されています。

  • [リボンの展開/縮小(Expand/Collapse Ribbon)]

  • Home

  • ケースブックアプリ

  • Incidents アプリ

  • Orbital アプリ

  • [エンリッチメント(Enrichment)] 検索ボックス

  • 観測対象の検索

  • 設定

Cisco SecureX Ribbon の詳細については、https://securex.us.security.cisco.com/help/ribbon を参照してください。

Cisco SecureX Ribbon へのアクセス

始める前に

前提条件に記載されているすべての前提条件を満たしていることを確認してください。

(注)  


AsyncOS の以前のバージョンでケースブックを設定していたものとします。次の手順で説明するように、追加のスコープを持つ Cisco SecureX API クライアントで新しい [クライアントID(Client ID)] と [クライアントのシークレット(Client Secret)] を作成する必要があります。

ボタンを使用して、ページの下部ペインにある Cisco SecureX リボンを右からドラッグできます。

手順


ステップ 1

アプライアンスの新しい Web インターフェイスにログインします。詳細については、新しい Web インターフェイスの Web レポート ページの概要を参照してください。

ステップ 2

[Cisco SecureX Ribbon] をクリックします。

ステップ 3

SecureX API クライアントで [クライアントID(Client ID)] と [クライアントのシークレット(Client Secret)] を作成します。API クライアントのクレデンシャルを生成する方法の詳細については、「Creating an API Client」を参照してください。

クライアント ID とクライアントパスワードの作成時には、次の範囲を選択してください。

  • casebook

  • enrich:read

  • global-intel:read

  • inspect:read

  • integration:read

  • profile

  • private-intel

  • response

  • registry/user/ribbon

  • telemetry:write

  • users:read

  • orbital (アクセス権がある場合)

ステップ 4

アプライアンスの [SecureXリボンを使用するにはログインしてください(Login to use SecureX Ribbon)] ダイアログボックスのステップ 3 で取得したクライアント ID とクライアントパスワードを入力します。

ステップ 5

[SecureXリボンを使用するにはログインしてください(Login to use SecureX Ribbon)] ダイアログボックスで必要な Cisco SecureX サーバを選択します。

ステップ 6

[認証(Authenticate)] をクリックします。

(注)  

 

クライアント ID、クライアントパスワード、および Cisco SecureX サーバを編集する場合は、Cisco SecureX リボンを右クリックして詳細を追加します。


次のタスク

Cisco SecureX Ribbon およびピボットメニューを使用した攻撃分析のためのケースブックへの観察対象の追加

Cisco SecureX Ribbon およびピボットメニューを使用した攻撃分析のためのケースブックへの観察対象の追加

始める前に

アプライアンスの Cisco SecureX Ribbon とピボット メニュー ウィジェットにアクセスするには、クライアント ID とクライアントパスワードを取得します。詳細については、Cisco SecureX Ribbon へのアクセスを参照してください。

手順


ステップ 1

アプライアンスの新しい Web インターフェイスにログインします。詳細については、新しい Web インターフェイスの Web レポート ページの概要を参照してください。

ステップ 2

[Web レポート(Web Reporting)] ページへ移動して、該当する観測対象(bit.ly など)の横にあるピボットメニュー ボタンをクリックします。

次の手順を実行します。

  • アクティブなケースに観測対象を追加するには、 ボタンをクリックします。

  • 新しいケースに観測対象を追加するには、 ボタンをクリックします。

(注)  

 
ピボットメニュー ボタンを使用して、ポータルに登録された他のデバイスの観測対象(セキュアエンドポイント など)をピボットし、攻撃分析の調査を実行します。

ステップ 3

アイコンにカーソルを合わせ、 ボタンをクリックしてケースブックを開きます。観測対象が新しいまたは既存のケースに追加されたかどうかを確認します。

ステップ 4

(オプション) ボタンをクリックして、タイトル、説明、またはメモをケースブックに追加します。



(注)  


脅威分析の観測対象を検索するには、次の 2 つの方法があります。
  • Cisco SecureX の[エンリッチメント(Enrichment)] 検索ボックスをクリックし、観測対象を検索します。

  • Cisco SecureX Ribbon 内の [ケースブック(Casebook)] アイコンをクリックし、 フィールドで観測対象を検索します。

Cisco SecureX Ribbon の詳細については、https://securex.us.security.cisco.com/help/ribbon を参照してください。