Firepower eStreamer 統合ガイド バージョン 6.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年7月28日
章のタイトル: はじめに
はじめに
シスコ Event Streamer (eStreamer とも称されます)により、外部のクライアント アプリケーションに Firepower システムイベントをストリーミングできます。Management Center からのホスト データ、検出データ、相関データ、コンプライアンスのホワイト リスト データ、侵入データ、ユーザ アクティビティ データ、ファイル データ、マルウェア データ、接続データをストリーミングでき、また、7000 および 8000 シリーズのデバイスからの侵入データをストリーミングできます。
eStreamer は、NGIPSv、Firepower Services、Firepower Threat Defense Virtual、Firepower Threat Defense には対応していない点にご注意ください。これらのデバイスからのイベントをストリーミングするには、そのデバイスが報告する Management Center 上で eStreamer を設定できます。
eStreamer では、カスタム アプリケーション層プロトコルを使用して接続されたクライアント アプリケーションとの通信を行います。eStreamer の目的は、単にクライアントが要求されたデータを戻すことであるため、このガイドは、主に、リクエストされたデータの eStreamer 形式について記述しています。
eStreamer クライアントを作成し、Firepower システムと統合するには 3 つの主要な手順があります:
1.
eStreamer アプリケーション プロトコルを使用してメッセージをManagement Center または管理対象デバイスと交換するクライアント アプリケーションを作成します。eStreamer SDK には、参照クライアント アプリケーションが含まれます。
2. クライアント アプリケーションに必要なイベントのタイプを送信するために Management Center またはデバイスを設定します。
3. クライアント アプリケーションを Management Center またはデバイスに接続し、データの交換を開始します。
このガイドでは、eStreamer バージョン 6.1 クライアント アプリケーションを正常に作成し、実行するのに必要な情報を提供します。
eStreamer バージョン 6.1 の主要な変更点
Firepower システム展開を バージョン 6.1 にアップグレードする場合、次に示す変更に注意してください。これらの変更の一部では、eStreamer クライアントを更新する必要があります。
– ポリシー UUID をセンサー名およびポリシー名にマッピングするために、アクセス コントロール ポリシー メタデータ ブロック 6.0+が追加されました。
– 接続統計データ ブロック 6.0.xを接続統計データ ブロック 6.1+に置き換えてプレフィルター フィールドおよびトンネル フィールドを追加しました。
– 接続チャンク データ ブロック 5.1.1 ~ 6.0.xを6.1+ の接続チャンク データ ブロックに置き換えて、元のクライアント IP フィールドを追加しました。
– ユーザ ログイン情報データ ブロック 6.0.xをユーザ ログイン情報データ ブロック 6.1+に置き換えて、ポート フィールドとトンネリング フィールドを追加しました。
このガイドの使用方法
eStreamer サービスは、最高レベルで Firepower システムから要求元のクライアントにデータをストリーミングするメカニズムです。このサービスでは、次のデータ カテゴリをストリーミングできます:
- 侵入イベント データおよび追加のイベント データ
- 相関(コンプライアンス)イベント データ
- 検出イベント データ
- ユーザ イベント データ
- イベントのメタデータ
- ホスト情報
- マルウェア イベント データ
本書では、主に、eStreamer から戻されるデータ構造について説明します。本書の各章は、次のとおりです:
- eStreamer アプリケーション プロトコルについて。この章では、eStreamer 通信の概要、eStreamer クライアント アプリケーションの作成に関する要件の詳細を記述し、eStreamer サービスとのコマンドの送受信に使用される 4 種類のメッセージについて説明します。
- 侵入および相関データ構造の概要。この章では、侵入検出コンポーネントと相関コンポーネントによって作成されたイベント データを戻すのに使用されるデータ形式および侵入イベントや関連付けイベントを表すのに使用されるデータ形式について説明します。
- 検出と接続データ構造の概要。この章では、検出データ、ユーザ データ、接続イベント データを戻すために使用されるデータ形式について説明します。
- ホスト データ構造の概要。この章では、ホスト情報要求メッセージを受信すると完全なホスト情報データを戻すために eStreamer が使用するデータ形式について説明します。
- eStreamer の設定。この章では、Management Center または管理対象デバイスでのeStreamer の設定方法について説明します。この章では、eStreamer コマンド ライン スイッチについても説明し、手動で eStreamer サービスを開始し、停止する方法、および eStreamer を自動的に開始させるために Management Center または管理対象デバイスを設定する方法を提示します。
- データ構造の例。この章では、2 進数形式の eStreamer メッセージ パケットの例を示します。
- レガシー データ構造の概要。この章では、現在出荷されている製品では使用されていませんが、旧クライアントが使用する可能性があるレガシー データ構造の構造について説明します。
前提条件
本ガイドの情報を理解するには、一般に Firepower システムの機能と名称、およびコンポーネントの機能、特に、これらのコンポーネントが生成するさまざまなタイプのイベント データに精通している必要があります。精通していない製品またはその製品固有の用語は、ほとんどが Firepower eStreamer 統合ガイド に記述されています。
Firepower システムリリース向け製品バージョン
本ガイドでは、バージョン番号を使用してManagement Center および管理対象デバイスによって生成されるイベントのデータ形式を説明します。 Firepower システム製品バージョン 表には、主要なリリースごとの各製品バージョンを示します。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
表記法
eStreamer メッセージ データ タイプの表記法 表には、eStreamer メッセージで使用されるさまざまなデータ フィールド形式を説明するために、本書で使用する名前を示します。eStreamer サービスで使用する数値定数は通常、符号なし整数値です。別途注記のない限り、ビット フィールドには下位ビットを使用します。たとえば、フラグ データの 5 ビットを含む 1 バイト フィールドでは、下位 5 ビットにデータが含まれています。
|
|
|
|---|---|
IP アドレス
シスコデータベースは、2 進数形式の同じフィールドに IPv4 アドレスと IPv6 アドレスを保存します。IPv6 アドレスを取得するには、16 進表記に変換します。例: 20010db8000000000000000000004321 データベースでは、RFC に準拠して 80 ~ 95 ビットに 1 を取り込むことによって IPv4 アドレスを保存し、これによって無効な IPv6 アドレスが生成されます。たとえば IPv4 アドレス 10.5.15.1 は 00000000000000000000FFFF0A050F01 として保存されます。
フィードバック