- シスコASA FirePOWER モジュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラフィックの制御
- レピュテーション ベースのルールによるトラフィックの制御
- アクセス コントロール ルール:レルムとユーザ
- アクセス コントロール ルール:カスタム セキュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御
- インテリジェント アプリケーション バイパス
- コンテンツ制限を使用したアクセス コントロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ポリシーの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリシーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブロッキング
- ネットワーク トラフィックの接続のロギング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードの ASA FirePOWER 使用
- ASA FirePOWER レポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWER モジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月19日
章のタイトル: 外部アラートの設定
外部アラートの設定
ASA FirePOWER モジュールでは、モジュール インターフェイス内でイベントのさまざまなビューを提供していますが、重要なシステムの常時モニタリングを容易にするため、外部イベント通知の設定が求められる場合があります。次のいずれかが発生した場合にアラートを生成して、電子メール、SNMP トラップまたは syslog により通知するように、モジュールを設定できます。
ASA FirePOWER モジュールでこれらのアラートが送信されるようにするには、まず アラート応答 を作成する必要があります。アラート応答とは、アラートの送信先とする予定の外部システムとモジュールが連携できるようにするための一連の設定です。それらの設定では、たとえば、SNMP アラート パラメータ、または syslog ファシリティおよびプライオリティを指定する場合があります。
アラート応答を作成した後、アラートをトリガーとして使用するために使用するイベントに関連付けます。アラート応答とイベントを関連付けるための処理は、次のように、イベントのタイプによって異なることに注意してください。
- アラート応答をマルウェア イベントと関連付ける場合は、それぞれの設定ページを使用します。
- SNMP および syslog アラート応答を接続のログ記録と関連付ける場合は、アクセス コントロール ルールとポリシーを使用します。
ASA FirePOWER モジュールには、実行可能なもう 1 つのタイプのアラートがあります。この場合は、個々の侵入イベントに対して、SNMP および syslog による侵入イベント通知を設定します。これらの通知は侵入ポリシーで設定します。侵入ルールの外部アラートの設定および SNMP アラートの追加を参照してください。次の表では、アラート生成に必要なライセンスについて説明します。
|
|
|
|---|---|
アラート応答の使用
外部アラートを設定する際の最初の手順は、アラート応答を作成することです。アラート応答とは、アラートの送信先とする予定の外部システムとASA FirePOWER モジュールが連携できるようにするための一連の設定です。アラート応答を作成して、電子メール、Simple Network Management Protocol(SNMP)トラップ、またはシステム ログ(syslog)によりアラートを送信できます。
アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。
作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。
アラート応答の管理は、[アラート(Alerts)] ページ([ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)])で行います。各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。
SNMP アラート応答の作成
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。
(注
) SNMP で 64 ビット値をモニタする場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
手順 2 [アラートの作成(Create Alert)] ドロップダウン メニューから、[SNMP アラートの作成(Create SNMP Alert)] を選択します。
[SNMP アラート作成の設定(Create SNMP Alert Configuration)] ポップアップ ウィンドウが表示されます。
手順 3 [名前(Name)] フィールドに、SNMP 応答を識別するために使用する名前を入力します。
手順 4 [トラップサーバ(Trap Server)] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
手順 5 [バージョン(Version)] ドロップダウンリストから、使用する SNMP バージョンを選択します。
SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。
手順 6 どのバージョンの SNMP を選択したかに応じて、以下のようにします。
手順 7 [認証プロトコル(Authentication Protocol)] ドロップダウンリストから、認証に使用するプロトコルを選択します。
手順 8 [認証パスワード(Authentication Password)] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。
手順 9 [プライバシー プロトコル(Privacy Protocol)] リストから、[なし(None)] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。
手順 10 [プライバシー パスワード(Privacy Password)] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。
手順 11 [エンジン ID(Engine ID)] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。
SNMPv3 を使用する場合、メッセージの符号化には エンジン ID 値が使用されます。SNMP サーバでは、メッセージをデコードするためにこの値が必要です。
Cisco は、ASA FirePOWER モジュールの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、ASA FirePOWER モジュールの IP アドレスが 10.1.1.77 である場合、 0a01014D0 を使用します。
手順 12 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
Syslog アラート応答の作成
syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。
ヒント syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、 syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
次の表に、選択可能な syslog ファシリティを示します。
|
|
|
|---|---|
syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
[アラート(Alerts)] ページが表示されます。[アラートの作成(Create Alert)] ドロップダウン メニューから、[Syslog アラートの作成(Create Syslog Alert)] を選択します。
[Syslog アラート作成の設定(Create Syslog Alert Configuration)] ポップアップ ウィンドウが表示されます。
手順 2 [名前(Name)] フィールドに、保存される応答を識別するために使用する名前を入力します。
手順 3 [ホスト(Host)] フィールドに、syslog サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
手順 4 [ポート(Port)] フィールドに、サーバが syslog メッセージに使用するポートを入力します。
手順 5 [ファシリティ(Facility)] リストから、ファシリティを選択します。
使用可能なファシリティの一覧については、 使用可能な syslog ファシリティ の表を参照してください。
手順 6 [重大度(Severity)] リストから、重大度を選択します。
使用可能な重大度の一覧については、 syslog 重大度レベル の表を参照してください。
手順 7 [タグ(Tag)] フィールドに、syslog メッセージとともに表示するタグ名を入力します。
タグ名には英数字のみを使用します。スペースまたは下線は使用 できません 。
例として、syslog に送信されるすべてのメッセージの前に From MC を付ける場合、フィールドに From MC と入力します。
手順 8 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
アラート応答の変更
ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
手順 2 編集するアラート応答の横にある編集アイコン(
)をクリックします。
そのアラート応答の設定ポップアップ ウィンドウが表示されます。
手順 4 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
アラート応答の削除
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
手順 2 削除するアラート応答の横にある削除アイコン(
)をクリックします。
アラート応答の有効化と無効化
有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [アクション アラート(Actions Alerts)] の順に選択します。
手順 2 有効または無効にするアラート応答の横の有効または無効のスライダをクリックします。
アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。
フィードバック