Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: アラート応答による外部アラート
アラート応答による外部アラート
次のトピックでは、アラート応答を使用して Firepower Management Center から外部イベント アラートを送信する方法を示します。
- Firepower Management Center アラート応答
- SNMP アラート応答の作成
- Syslog アラート応答の作成
- 電子メール アラート応答の作成
- 影響フラグ アラートの設定
- 検出イベント アラートの設定
- AMP for Firepower アラートの設定
Firepower Management Center アラート応答
SNMP、syslog、または電子メールでの外部イベント通知はクリティカルなシステムのモニタリングに役立ちます。Firepower Management Center はアラート応答を構成して外部サーバと対話します。これらのアラート応答はさまざまなログインやアラートの設定で使用し、イベントのロギングに加えて、あるいはその代わりに外部アラートを Firepower システム データベースに送信します。
 (注) | アラート応答を使用するアラートは、Firepower Management Center によって送信されます。アラート応答を使用しない侵入の電子メール アラートも、Firepower Management Center によって送信されます。対照的に、個別の侵入ルールのトリガーに基づく SNMP および syslog アラートは管理対象デバイスから直接送信されます。詳細については、侵入イベントに関する外部アラートを参照してください。 |
ほとんどの場合、外部アラートに含まれる情報はデータベースにロギングされたいずれかの関連イベントに含まれる情報と同じです。ただし、相関ルールに接続トラッカーが含まれる相関イベント アラートについては、受信する情報はベースのイベントの種類に関係なく、トラフィック プロファイル変更のアラート情報と同じです。
アラート応答の作成や管理は [アラート(Alerts)] ページ()で行います。新しいアラート応答は自動的に有効になります。アラート応答を削除するのではなく無効にすることで、アラートの生成を一時的に止めることができます。
アラート応答を使って SNMP トラップまたは syslog サーバに接続ログを送信している場合(外部電子メール アラートは接続イベントではサポートされていません)、これらのアラート応答を編集したあとに設定の変更を展開する必要があります。そうしないと、アラート応答への変更はただちに反映されます。
マルチドメイン展開では、アラート応答を作成すると、作成された応答は現在のドメインに属します。このアラート応答は子孫ドメインでも使用できます。
アラート応答のサポート設定
アラート応答を作成した後、それを使用して、次のような外部アラートを Firepower Management Center から送信できます。
|
アラート/イベントのタイプ |
詳細情報 |
|---|---|
|
侵入イベント(インパクト フラグ別) |
|
|
検出イベント(タイプ別) |
|
|
ネットワークベースのマルウェアとレトロスペクティブ マルウェアのイベント |
|
|
相関イベント(相関ポリシー違反ごと) |
|
|
相関イベント(ログ ルールまたはデフォルト アクション別)(電子メール アラートのサポートなし) |
|
|
ヘルス イベント(ヘルス モジュールおよび重大度レベル別) |
SNMP アラート応答の作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。
(注) | SNMP プロトコルの SNMP バージョンを選択する場合、SNMPv2 では読み取り専用コミュニティのみがサポートされ、SNMPv3 では読取り専用ユーザのみがサポートされることに注意してください。SNMPv3 は、AES128 での暗号化をサポートします。 |
SNMP で 64 ビット値をモニタする場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。
Syslog アラート応答の作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。
 ヒント | syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。 |
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [アラートの作成(Create Alert)] ドロップダウン メニューから、[Syslog アラートの作成(Create Syslog Alert)] を選択します。 | ||
| ステップ 3 | [名前(Name)] にアラートの名前を入力します。 | ||
| ステップ 4 | [ホスト(Host)] フィールドに、syslog サーバのホスト名または IP アドレスを入力します。
| ||
| ステップ 5 | [ポート(Port)] フィールドに、サーバが syslog メッセージに使用するポートを入力します。この値はデフォルトで 514 です。 | ||
| ステップ 6 | Syslog アラート ファシリティで説明されているとおりに、[ファシリティ(Facility)] リストからファシリティを選択します。 | ||
| ステップ 7 | syslog 重大度レベルで説明されているとおりに、[重大度(Severity)] リストから重大度を選択します。 | ||
| ステップ 8 | [タグ(Tag)] フィールドに、syslog メッセージとともに表示するタグ名を入力します。
たとえば、syslog に送信されるすべてのメッセージの前に FromMC を付ける場合、このフィールドに FromMC と入力します。 | ||
| ステップ 9 | [保存(Save)] をクリックします。 |
Syslog アラート ファシリティ
次の表に、選択可能な syslog ファシリティを示します。
|
セキュリティと承認に関連する制限付きアクセス メッセージ。多くのシステムで、これらのメッセージはセキュア ファイルに転送されます。 |
|
|
Windows オペレーティング システムを実行している syslog サーバは CLOCK ファシリティを使用することに注意してください。 |
|
|
Linux オペレーティング システムを実行している syslog サーバは CRON ファシリティを使用することに注意してください。 |
|
|
カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージは表示されるときにコンソールに出力されます。 |
|
syslog 重大度レベル
次の表に、選択可能な標準の syslog 重大度レベルを示します。
電子メール アラート応答の作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
-
メール リレー ホストおよび通知アドレスの設定の説明に従って、メール リレー ホストを設定します。
(注)
電子メール アラートを使用して、接続をログに記録することはできません。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [アラートの作成(Create Alert)] ドロップダウン メニューから、[電子メール アラートの作成(Create Email Alert)] を選択します。 | ||
| ステップ 3 | [名前(Name)] にアラート応答の名前を入力します。 | ||
| ステップ 4 | [宛先(To)] フィールドに、アラートを送信する電子メール アドレスをカンマで区切って入力します。 | ||
| ステップ 5 | [送信元(From)] フィールドに、アラートの送信者として表示する電子メール アドレスを入力します。 | ||
| ステップ 6 | [リレー ホスト(Relay Host)] の横に表示されるメール サーバが、アラートの送信に使用するサーバであることを確認します。
| ||
| ステップ 7 | [保存(Save)] をクリックします。 |
)をクリックします。影響フラグ アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin |
特定のインパクト フラグを持つ侵入イベントが発生するたびにアラートが生成されるようにシステムを設定できます。インパクト フラグは、侵入データ、ネットワーク検出データ、および脆弱性情報を関連付けることにより、侵入がネットワークに与える影響を評価するのに役立ちます。
検出イベント アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
-
ネットワーク検出イベント ロギングの設定の説明に従って、アラートを設定する検出イベント タイプを記録するようにネットワーク検出ポリシーを設定します。
AMP for Firepower アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
任意(Any) |
任意(Any) |
Admin |
ネットワークベースのマルウェア イベント(レトロスペクティブ イベントを含む)が発生するたびにアラートが生成されるようにシステムを設定できます。ただし、エンドポイント ベースの(AMP for Endpoints)マルウェア イベントではアラートを生成できません。
-
マルウェア クラウド ルックアップを実行するファイル ポリシーを設定し、侵入ポリシーとファイル ポリシーを使用したアクセス制御の説明に従って、そのポリシーをアクセス コントロール ルールに関連付けます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [高度なマルウェア保護アラート(Advanced Malware Protections Alerts)] タブをクリックします。 | ||
| ステップ 3 | [アラート(Alerts)] セクションで、各アラート タイプで使用するアラート応答を選択します。
| ||
| ステップ 4 | [イベント設定(Event Configuration)] セクションで、各マルウェア イベント タイプに対して、受信するアラートに対応するチェックボックスを選択します。
[すべてのネットワークベースのマルウェア イベント(All network-based malware events)] には [レトロスペクティブ イベント(Retrospective Events)] が含まれることに注意してください。 | ||
| ステップ 5 | [保存(Save)] をクリックします。 |
フィードバック