Firepower Management Center バージョン 6.2.2 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.2.2 コンフィギュレーション ガイド

Chapter Title

Cisco Threat Intelligence Director(TID)

検索結果

Updated:
2018年5月30日

章のタイトル: Cisco Threat Intelligence Director(TID)

Cisco Threat Intelligence Director(TID)

この章のトピックでは、Firepower システムで TID を設定および使用する方法について説明します。

Cisco Threat Intelligence Director(TID) の概要

Cisco Threat Intelligence Director(TID) は脅威インテリジェンス データを操作可能にし、インテリジェンス データの集約、防衛アクションの設定、環境内の脅威の分析を支援します。TID をホスティング プラットフォームにインストールして設定すると、脅威インテリジェンス ソースからデータが取り込まれ、設定されたすべての要素にそのデータが公開されます。このリリースでサポートされているホスティング プラットフォームと要素の詳細については、プラットフォームおよび要素の要件 を参照してください。

ソースには、オブザーバブルを含むインジケータが含まれています。インジケータは、脅威に関連するすべての特性を伝達し、個々のオブザーバブルは、その脅威に関連付けられた個々の特性(例えば、SHA-256 値)を表します。単純なインジケータには単一のオブザーバブルが含まれ、複合インジケータには 2 つ以上のオブザーバブルが含まれます。

オブザーバブルとそれらの間の AND/OR 演算子は、次の例に示すように、インジケータのパターンを形成します。

図 1. 例:インジケータ パターン


要素に公開した後、システムがトラフィック内のオブザーバブルを識別すると、TIDオブザベーションを生成します。また、TID はオブザーバブルの親インジケータに関連付けられたインシデントを更新します。

インシデントは、インジケータのパターンが満たされたときに完全に実現されます。詳細については、監視とインシデント生成を参照してください。

次の図に、サンプルの Firepower システム構成におけるデータ フローを示します。

図 2. Firepower Management Center のデータ フロー


TID およびセキュリティ インテリジェンス

アクセス コントロール ポリシーの一部として、セキュリティ インテリジェンスではレピュテーション インテリジェンスを使用して、IP アドレス、URL、およびドメインとの間の接続をすばやくブロックします。セキュリティ インテリジェンスは、Cisco Talos Security Intelligence and Research Group(Talos)からの業界をリードする脅威インテリジェンスへのアクセスを一意に提供します。セキュリティ インテリジェンスの詳細については、セキュリティ インテリジェンスについてを参照してください。

TID は、サードパーティのソースからのセキュリティ インテリジェンスに基づいて接続をブロックするシステムの機能を次のように拡張します。

  • TID は、追加のトラフィック フィルタリング基準をサポート:セキュリティ インテリジェンスは、IP アドレス、URL、および(DNS ポリシーが有効な場合は)ドメイン名に基づいてトラフィックをフィルタリングできるようにします。TID でも、これらの基準によるフィルタリングをサポートし、SHA-256 ハッシュ値に基づくフィルタリングのサポートを追加します。

  • TID は、追加のインテリジェンス取り込み方法をサポート:セキュリティ インテリジェンスおよび TID の両方を使用して、フラット ファイルを手動でアップロードするか、サードパーティ ホストからフラット ファイルを取得するようにシステムを構成することで、システムに脅威インテリジェンスをインポートできます。TID は、これらのフラット ファイルの管理における柔軟性を向上させます。また、TID は Structured Threat Information eXpression(STIX™)形式で提供されるインテリジェンスを取得して取り込むことができます。

  • TID は、フィルタリング処理のきめ細かい制御を提供:セキュリティ インテリジェンスにより、ネットワーク、URL、または DNS オブジェクトによるフィルタリング基準を指定できます。セキュリティ インテリジェンス オブジェクト(特にリストおよびフィード)には、複数の IP アドレス、URL、DNS ドメイン名を含めることができますが、ブラックリストまたはホワイトリストに含めることができるのは、オブジェクトの個別のコンポーネント単位ではなく、オブジェクト単位です。TID を使用すると、個別の基準(つまり簡易インジケータまたは個別のオブザーバブル)に対するフィルタリング処理を構成できます。

  • TID 構成の変更には再展開は不要:アクセス コントロール ポリシーでセキュリティ インテリジェンス設定を変更したら、管理対象デバイスに変更された構成を再展開する必要があります。TID では、管理対象デバイスへのアクセス コントロール ポリシーの初期展開後に、ソース、インジケータ、およびオブザーバブルを再展開せずに構成でき、システムによって新しい TID データが要素に自動的に公開されます。


(注)  

アクセス コントロール ポリシーでセキュリティ インテリジェンスおよび TID の両方を有効にしている場合、システムではトラフィックをまずセキュリティ インテリジェンス基準でフィルタリングし、次に TID 基準でフィルタリングします。詳細については、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

取り込みと運用可能化の方法


(注)  

TID の設定や操作中に問題が発生した場合は、TID の一般的な問題のトラブルシューティングを参照してください。

次の手順を実行します。

手順

ステップ 1

TID で取り込むインテリジェンスのソースを設定します。詳細については、TID ソースを使用したフィード データの取り込みおよびソース要件を参照してください。

ステップ 2

TID がインテリジェンス データを取り込みます。これにより、統合ビューにデータを集約して分析できるようになります。このビューから、要素を通過するトラフィックに含まれるインジケータやオブザーバブルが検出されたときのシステムのアクションを絞り込むことができます。

ステップ 3

TID データを要素にパブリッシュするためのアクセス コントロール ポリシーを設定します。詳細については、アクセス制御を使用した TID データの公開とイベントの生成およびプラットフォームおよび要素の要件を参照してください。

ステップ 4

TID は、データを要素にパブリッシュすることにより、データを運用可能にします。

ステップ 5

要素はトラフィックをモニタリングし、 オブザベーションを Firepower Management Center にレポートします。

ステップ 6

Firepower Management Center は、すべての要素からオブザベーションを収集し、TID インジケータと対比してオブザベーションを評価し、インシデントを適切に生成または更新します。

ステップ 7

インシデント分析を実行します。詳細については、次を参照してください。 TID を使用したインシデントおよびオブザベーション データの分析

プラットフォームおよび要素の要件

TID は、次に示すホスティング プラットフォームと要素のタイプをサポートしています。

ホスティング プラットフォーム

次の物理および仮想 Firepower Management CenterTID をホスティングできます。

  • Firepower システムのバージョン 6.2.2 以降を実行している。

  • 最小 15 GB のメモリで構成されている。

  • REST API アクセスが有効な状態で構成されている。


(注)  

ハイ アベイラビリティ構成のアクティブな Firepower Management CenterTID をホスティングする場合、システムは TID 構成と TID データをスタンバイ Firepower Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Firepower Management CenterTID データの定期的なバックアップを実行することを推奨します。

詳細については、Firepower Management Center のアクセスとライセンスの要件およびFirepower Management Center および管理対象デバイスのパフォーマンスの影響を参照してください。

要素

デバイスが Firepower システムのバージョン 6.2.2 以降を実行している場合は、任意の Firepower Management Center 管理対象デバイスを TID 要素として使用できます。

Firepower Management Center のアクセスとライセンスの要件

アクセス(Access)

Firepower Management Center ユーザ アカウントを使用して、TID のメニューやページにアクセスすることができます。

  • [管理者(Admin)] または [Threat Intelligence Director ユーザ(Threat Intelligence Director User)] のユーザ ロールを持つアカウント。

  • [インテリジェンス(Intelligence)] 権限を含むカスタム ユーザ ロールを持つアカウント。

さらに、[管理者(Admin)]、[アクセス管理者(Access Admin)]、または [ネットワーク管理者(Network Admin)] のユーザ ロールを持つ Firepower Management Center ユーザ アカウントを使用して、アクセス コントロール ポリシーで TID を有効または無効にすることができます。

ユーザ アカウントの詳細については、Firepower システム ユーザ管理 を参照してください。

ライセンシング

Firepower システムでは、SHA-256 監視可能な公開のファイル ポリシーを設定する場合は、マルウェア ライセンス(クラシックまたはスマート)が必要です。

詳細については、アクセス制御を使用した TID データの公開とイベントの生成およびFirepower の機能ライセンスについてを参照してください。

Firepower Management Center および管理対象デバイスのパフォーマンスの影響

Firepower Management Center

いくつかのケースで、次のような場合があります。

  • 特に大きな STIX ソースを取り込んている間にシステムのパフォーマンスがわずかに低下することがあり、取り込みが完了するまでに時間がかかることがあります。

  • 新しいまたは変更された TID データを要素に公開するまでに、最大 15 分かかることがあります。

管理対象デバイス(Managed Device)

例外的なパフォーマンスの影響はありません。TID は、Firepower Management Center セキュリティ インテリジェンスの機能と同じようにパフォーマンスに影響します。

ソース要件

フィードは、TID でソースとして使用するには、次のタイプと配信要件を満たしている必要があります。

表 1. ソース タイプの要件

ソース タイプ(Source Type)

要件

STIX

ファイルは、STIX バージョン 1.0、1.1、1.1.1、または 1.2 であり、STIX ドキュメントのガイドライン(http://stixproject.github.io/documentation/suggested-practices/)に準拠していなければなりません。

フラット ファイル(Flat File)

ファイルは、1 行に 1 つのオブザーバブル値を持つ ASCII テキスト ファイルでなければなりません。

TID では、以下はサポートされません

  • オブザーバブル値を区切る区切り文字(たとえば、observable, は無効です)。

  • オブザーバブル値を囲む囲み文字(たとえば、"observable" は無効です)。

(注)   

TID がサポートするフラット ファイルのコンテンツ タイプについては、ソース設定フィールド を参照してください。

表 2. ソースの配信要件

配信方法

要件

アップロード(Upload)

ファイルは、最大で 500 MB をすることができます。

TID ソースを使用したフィード データの取り込み

後で分析するために TID で脅威インテリジェンス データを取り込む場合は、フィード データを取り込むように TID ソースを構成する必要があります。

ソース設定フィールド

次の表では、TID でソースを設定するために使用するフィールドを定義しています。[配信(Delivery)] および [タイプ(Type)] フィールドでの選択では、設定ページにソースに必要なフィールドが読み込まれます。

サポートされているソースの詳細については、ソース要件 を参照してください。トラブルシューティング情報については、TID の一般的な問題のトラブルシューティングを参照してください。

フィールド

説明

 次の配信の値を選択した場合に表示されます。

配信

TID がソースを取得するために使用する方法です。

タイプ(Type)

ソースのデータ形式([STIX] または [フラットファイル(Flat File)])。

STIX の取り込み中に、TID は STIX ファイルのコンテンツから単純または複雑なインジケータを作成します。

フラット ファイルの取り込み中に、TID はフラット ファイル内の各オブザーバブル値の簡易インジケータを作成します。

[URL]、[アップロード(Upload)]

目次

[タイプ(Type)] に [フラットファイル(Flat File)] を指定した場合に表示されます。フラット ファイル ソースに含まれるデータのタイプ。

  • [SHA-256]:ソースには、1 つ以上の SHA-256 ハッシュ値が含まれています。

  • [ドメイン(Domain)]:ソースには、RFC 1035 で定義されている有効なドメイン名が 1 つ以上含まれています。

  • [URL]:ソースには、RFC 1738 で定義されている 1 つ以上の有効な URL が含まれています。

    (注)   

    TID は、ポート、プロトコル、または認証情報を含む URL を正規化し、インジケータを検出するときに正規化されたバージョンを使用します。たとえば、TID は次の URL を正規化します。 

    http://google.com/index.htm
http://google.com:8080/index.htm
google.com:8080/index.htm
google.com/index.htm

    as:

    google.com/index.htm

    または、TID はたとえば次の URL を正規化します。 

    
http://abc@google.com:8080/index.htm

    これを次のように更新します。

    abc@google.com/index.htm/

  • [IPv4]:ソースには、RFC 791 で定義されている有効な IPv4 アドレスが 1 つ以上含まれています。

    (注)   

    TID は CIDR ブロックを受け入れません。

  • [IPv6]:ソースには、RFC 4291 で定義されている有効な IPv6 アドレスが 1 つ以上含まれています。

    (注)   

    TID はプレフィックス長を受け入れません。

システムは、この値を使用して、ソースに関連するオブザーバブルおよびオブザベーションのデータ タイプを識別します。

 [URL]、[アップロード(Upload)]
URL

ソースの場所を指定する URL。

  • ソースの [配信(Delivery)] が [TAXII] の場合、これは TAXII ディスカバリ サービスのディスカバリ URL です。

  • ソースの [配信(Delivery)] が [URL] の場合、これはテキスト ファイルがサーバ上のどこにあるかを指定する URL です。

    プロトコル、ドメイン名または IP アドレス、およびファイル名を指定する必要があります。サーバとの通信のためのポートの指定はオプションです。

(注)   

HTTP 接続は安全ではありません。

次に例を示します。

  • ソースの [配信(Delivery)] が [TAXII] の場合、次のように入力できます。

    https://domainname.com/find-a-taxii-service

  • ソースの [配信(Delivery)] が [URL] の場合、次のように入力できます。

    http://domainname.com:8080/filename.txt。ここでプロトコル(http)、ドメイン名(domainname.com)、ポート(8080)、およびファイル名(filename.txt)が指定されます。

[TAXII]、[URL]

[SSL 設定(SSL Settings)] > [自己署名証明書(Self-Signed Certificate)]

有効にすると、TID は自己署名されたサーバ証明書を使用して URL または TAXII サーバと通信します。

URL
[SSL 設定(SSL Settings)] > [SSL ホスト名検証(SSL Hostname Verification)]

[自己署名証明書(Self-Signed Certificate)] を有効にした場合に表示されます。TID で自己署名されたサーバ証明書に使用する SSL ホスト名の検証方法:

  • [厳格(Strict)]:TID では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要があります。

    ホスト名にワイルドカードが含まれる場合、TID は複数のサブドメインと一致することはできません。

  • [ブラウザ互換性あり(Browser Compatible)]:TID では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要があります。

    ホスト名にワイルドカードが含まれる場合、TID はすべてのサブドメインに一致します。

  • [すべて許可(Allow All)]:TID では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要はありません。

たとえば、subdomain1.subdomain2.cisco.com がソース URL で、*.cisco.com がサーバ証明書で指定されたホスト名である場合は、次のようになります。

  • [厳格(Strict)] ホスト名検証は失敗します。

  • [ブラウザ互換性あり(Browser Compatible)] ホスト名検証は成功します。

  • [すべて許可(Allow All)] ホスト名検証では、ホスト名の値は完全に無視されます。

URL

[SSL 設定(SSL Settings)] > [サーバ証明書(Server Certificate)]

[自己署名証明書(Self-Signed Certificate)] を有効にした場合に表示されます。自己署名されたサーバ証明書に必要な場合は、URL または TAXII サーバと通信するためのサーバの PEM エンコードされた証明書。

  • 自己署名されたサーバ証明書にアクセスできる場合は、テキスト エディタで証明書を開き、BEGIN CERTIFICATE および END CERTIFICATE 行を含むテキスト ブロック全体をコピーします。この文字列全体をフィールドに入力します。

  • 自己署名されたサーバ証明書にアクセスできない場合は、フィールドを空白のままにします。ソースを保存すると、TID はサーバから証明書を取得します。

証明書の有効期限を記録します。証明書の有効期限が切れた後、新しいサーバ証明書を入力するか、または既存のサーバ証明書を削除します。

URL

[SSL 設定(SSL Settings)] > [ユーザ証明書(User Certificate)]

サーバに必要な場合は、URL または TAXII サーバと通信するためのユーザの PEM エンコードされた証明書。

テキスト エディタで証明書を開いて、BEGIN CERTIFICATE の行と END CERTIFICATE の行を含むテキストのブロック全体をコピーします。この文字列全体をフィールドに入力します。

URL

[SSL 設定(SSL Settings)] > [ユーザ秘密キー(User Private Key)]

サーバに必要な場合は、URL または TAXII サーバと通信するためのユーザの PEM エンコードされた秘密キー。

テキスト エディタで秘密キー ファイルを開き、BEGIN RSA PRIVATE KEY および END RSA PRIVATE KEY 行を含むテキスト ブロック全体をコピーします。この文字列全体をフィールドに入力します。

URL

ユーザ名/パスワード(Username / Password)

必要に応じて、ファイルが保存されている TAXII サーバのディレクトリ サービスにアクセスするためのクレデンシャル。

(注)   

[URL] フィールドに http:// 値を指定した場合、TID は安全でない接続を介してユーザ名とパスワードを送信します。

TAXII

フィード

TID のソースとしてインポートする TAXII 配信サービスからの 1 つ以上のフィード。クリックすると、指定された TAXII 配信サービス URL からフィードが取得されます。

TID は、選択されたフィードごとに 1 つのソースを作成します。

TAXII

ファイル

TID にソースとしてインポートするローカル ファイル。

アップロード(Upload)

[名前(Name)]

ソースの一意の名前。

[URL]、[アップロード(Upload)]

説明

(オプション)ソースの説明。

[URL]、[アップロード(Upload)]

操作(Action)

このソース内に含まれるデータと一致するトラフィックで実行するアクション([ブロック(Block)] または [モニタ(Monitor)])。

(注)   

フラット ファイルは、ソース、インジケータ、および監視可能レベルでブロックできます。ソース レベルで STIX フィードをブロックすることはできません。ただし、インジケータまたは監視可能レベルで STIX フィードから簡易インジケータをブロックすることはできます。詳細については、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

任意

[更新間隔(分)(Update Every (minutes))] または [更新しない(Never Update)]

TID がソースを更新する頻度(分)(たとえば、1440)。

  • TIDURL ソースを更新すると、古いファイルが新しいファイルで上書きされます。

  • TIDTAXII ソースを更新すると、新しいファイルからの新しい情報または変更された情報で古いデータが更新されます。

[更新しない(Never Update)] チェックボックスをオンにすると、TID はソースを更新しません。

[TAXII]、[URL]

TTL(日)(TTL (days))

停滞しているインジケータおよびオブザーバブルのパケット存続時間(TTL)(日単位)(たとえば、90)。

[TTL] が経過すると、TID はインジケータが取り込まれた時以降に表示も更新もされていないすべてのソース インジケータを削除します。また、TID はオブザーバブルを参照している生存インジケータがない場合、インジケータに関連付けられたすべてのオブザーバブルを削除します。

任意

パブリッシュ

TID がソースから登録された要素にデータを公開するかどうかを指定します。このオプションを有効にすると、システムは自動的に初期ソース データとそれに続く以下を含む変更を公開します。

  • 定期的なソースの更新からの変更

  • システム アクションに起因する変更(TTL の有効期限など)

  • ユーザが開始した変更(インジケータやオブザーバブルの [アクション(Action)] 設定の変更など)

詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

任意

TID 設定における継承

TID はソースからインテリジェンス データを取り込むと、そのソースの子オブジェクトとしてインジケータとオブザーバブルを作成します。作成時に、これらの子オブジェクトは、親設定から [アクション(Action)] および [公開(Publish)] 設定を継承します。

インジケータは、親ソースからこれらの設定を継承します。インジケータは、親ソースを 1 つしか持てません。

オブザーバブルは、親インジケータからこれらの設定を継承します。オブザーバブルは、複数の親インジケータを持つことができます。

詳細については、以下を参照してください。

複数の親からの TID 設定の継承

オブザーバブルに複数の親インジケータがある場合、システムはすべての親から継承した設定を比較し、オブザーバブルに「最も強い」設定を割り当てます。継承された設定の相対的な強みは次のとおりです。

  • [アクション(Action)]:[ブロック(Block)] > [モニタ(Monitor)]

  • [公開(Publish)]:[オン(On)] > [オフ(Off)]

たとえば、SourceA は IndicatorA と関連する ObservableA に関与する可能性があります。

設定

SourceA

IndicatorA

ObservableA

操作(Action)

ブロック(Block)

ブロック(Block)

ブロック(Block)

パブリッシュ

オフ(Off)

オフ(Off)

オフ(Off)

SourceB が後で ObservableA を含む IndicatorB に関与する場合、システムは ObservableA を次のように変更します。

設定

SourceB

IndicatorB

ObservableA

操作(Action)

モニタ(Monitor)

モニタ(Monitor)

[ブロック(Block)](IndicatorA から継承)

パブリッシュ

オン

オン

[オン(On)](IndicatorB から継承)

この例では、ObservableA には 2 つの親があります。1 つは [アクション(Action)] 設定の親で、もう 1 つは [公開(Publish)] 設定の親です。オブザーバブルの設定を手動で編集してから設定を元に戻した場合、[アクション(Action)] 設定が IndicatorA 値に設定され、[公開(Publish)] 設定が IndicatorB 値に設定されます。

継承された TID 設定の上書き


(注)  

オブザーバブルをホワイトリストに追加する場合、オブザーバブルの設定が継承されるか上書き値であるかにかかわらず、ホワイトリストが常に [アクション(Action)] 設定より優先されます。

継承された設定を上書きするには、子レベルで設定を変更します。ソース、インジケータ、または監視可能レベルでの TID アクションの編集およびソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。継承された設定を上書きすると、親オブジェクトに変更にかかわらず、子オブジェクトではその設定が保持されます。

たとえば、上書きを設定せずに、次の元の設定で開始するとします。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オフ(Off)

オフ(Off)

オフ(Off)

IndicatorA の設定を上書きした場合、設定は次のようになります。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オン

オン

オン

この場合、SourceA の [公開(Publish)] 設定への変更は、IndicatorA に自動的にはカスケードされなくなります。ただし、オブザーバブルの設定は現在値を上書きするようには設定されていないため、IndicatorA から ObservableA1 および ObservableA2 への継承は続行されます。

後から ObservableA1 の設定を上書きする場合は、次のようになります。

設定

SourceA

IndicatorA

ObservableA1

ObservableA2

パブリッシュ

オフ(Off)

オン

オフ(Off)

オン

IndicatorA の [公開(Publish)] 設定への変更は、ObservableA1 に自動的にはカスケードされなくなります。ただし、ObservableA2 は上書き値には設定されていないため、これらの変更は引き続き ObservableA2 にカスケードされます。

オブザーバブル レベルでは、上書き設定から継承された設定に戻すことができ、システムは、親インジケータからそのオブザーバブルへの設定変更のカスケードを自動的に再開します。

ソースとして使用する TAXII フィードの取得

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

追加アイコン()をクリックします。

ステップ 3

ソースの [配信(Delivery)] 方法として [TAXII] を選択します。

ステップ 4

TAXII ディスカバリ サービスのディスカバリ URL を入力します。

ステップ 5

(オプション)必要に応じて、TAXII サーバのディレクトリ サービスにアクセスするためのクレデンシャルを持つユーザの [ユーザ名(Username)] と [パスワード(Password)] を入力します。

ステップ 6

(オプション)ホスト サーバで暗号化された接続が必要な場合は、TID ソースの SSL 設定の構成 の説明に従って SSL 設定を構成します。

ステップ 7

[フィード(Feeds)] をクリックして、TAXII サーバからのフィードをフィールドに入力します。

ステップ 8

TID でソースとしてインポートする [フィード(Feeds)] を 1 つ以上選択します。TID は、選択されたフィードごとに 1 つのソースを作成します。

ステップ 9

[タイプ(Type)] として [STIX] を持つソースの [アクション(Action)] が自動的に [モニタ(Monitor)] に設定されていることに注目してください。

ステップ 10

[更新間隔(Update Every)](分単位)を入力して、TID がソースを更新する頻度を指定します。TID でソースを更新しないようにするには、[更新しない(Never Update)] チェックボックスをオンにします。

ステップ 11

[TTL] 間隔(日単位)を入力して、停滞しているインジケータおよびオブザーバブルのパケット存続時間(TTL)を指定します。

ステップ 12

要素への公開をすぐに開始する場合は、[公開(Publish)] スライダ()が有効になっていることを確認します。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

ステップ 13

[Save] をクリックします。

ソースとして使用するホストされたファイルの取得

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

TID にホスト上のファイルから単一フィードを取得させる場合は、URL ソースを設定します。ソース設定フィールドの詳細については、ソース設定フィールド を参照してください。

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

追加アイコン()をクリックします。

ステップ 3

ソースの [配信(Delivery)] 方法として [URL] を選択します。

ステップ 4

ソースのデータ形式を示す [タイプ(Type)] を選択します。

ステップ 5

ソースがフラット ファイルの場合は、ソースに含まれるデータを記述する [コンテンツ(Content)] タイプを選択します。

ステップ 6

(オプション)ホスト サーバで暗号化された接続が必要な場合は、TID ソースの SSL 設定の構成 の説明に従って SSL 設定を構成します。

ステップ 7

ソースの一意の [名前(Name)] を入力します。

ステップ 8

(オプション)ソースの [説明(Description)] を入力します。

ステップ 9

ソースがフラット ファイルの場合は、[アクション(Action)] を選択します。ソースが STIX の場合、[アクション(Action)] は自動的に [モニタ(Monitor)] に設定されます。

ステップ 10

[更新間隔(Update Every)](分単位)を入力して、TID がソースを更新する頻度を指定します。TID でソースを更新しないようにするには、[更新しない(Never Update)] チェックボックスをオンにします。

ステップ 11

[TTL] 間隔(日単位)を入力して、停滞しているインジケータおよびオブザーバブルのパケット存続時間(TTL)を指定します。

ステップ 12

要素への公開をすぐに開始する場合は、[公開(Publish)] スライダ()が有効になっていることを確認します。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

ステップ 13

[Save] をクリックします。

ソースとして使用するローカル ファイルのアップロード

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

TID が単一のフィードを含むローカル ファイルを受信するようにする場合は、[アップロード(Upload)] ソースを設定します。ソース設定フィールドの詳細については、ソース設定フィールド を参照してください。

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

追加アイコン()をクリックします。

ステップ 3

ソースの [配信(Delivery)] 方法として [アップロード(Upload)] を選択します。

ステップ 4

ソースのデータ形式を示す [タイプ(Type)] を選択します。

ステップ 5

フラット ファイルをアップロードする場合は、ソース内に含まれるデータを記述する [コンテンツ(Content)] タイプを選択します。

ステップ 6

ファイルをアップロードするには、アップロード ボックスをクリックし、アップロードするファイルを参照するか、またはファイルをアップロード ボックスにドラッグ アンド ドロップします。
ステップ 7

ソースの一意の [名前(Name)] を入力します。

ステップ 8

(オプション)ソースの [説明(Description)] を入力します。

ステップ 9

フラット ファイルをアップロードする場合は、[アクション(Action)] を選択します。[タイプ(Type)] として [STIX] を持つソースの [アクション(Action)] が自動的に [モニタ(Monitor)] に設定されていることに注目してください。

ステップ 10

[TTL] 間隔(日単位)を入力して、停滞しているインジケータおよびオブザーバブルのパケット存続時間(TTL)を指定します。

ステップ 11

要素への公開をすぐに開始する場合は、[公開(Publish)] スライダ()が有効になっていることを確認します。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

ステップ 12

[Save] をクリックします。

TID ソースの SSL 設定の構成

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

ホスト サーバで暗号化された接続が必要な場合は、SSL 設定を構成します。ソース設定フィールドの詳細については、ソース設定フィールド を参照してください。

始める前に

手順

ステップ 1

[ソースの編集(Edit Source)] ダイアログで、[SSL 設定(SSL Settings)] セクションを展開します。

ステップ 2

(オプション)サーバ証明書に自己署名されている場合は、[自己署名証明書(Self-Signed Certificate)] を有効にします。されていない場合は、手順 5 に進みます。

ステップ 3

(オプション)[SSLホスト名検証(SSL Hostname Verification)] 方法を選択します。

ステップ 4

(オプション)自己署名されたサーバ証明書にアクセスできる場合は、[サーバ証明書(Server Certificate)] を入力します。自己署名されたサーバ証明書にアクセスできない場合は、[サーバ証明書(Server Certificate)] を空白のままにします。ソースを保存すると、TID はサーバから証明書を取得します。

ステップ 5

(オプション)サーバにユーザ証明書が必要な場合は、[ユーザ証明書(User Certificate)] と [ユーザ秘密キー(User Private Key)] を入力します。

次のタスク

  • ソースの設定を続けます。

ソースの表示と管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[ソース(Sources)] ページには、設定済みのすべてのソースに関する概要情報が表示されます(ソース サマリー情報を参照)。設定可能なソース フィールドの詳細については、ソース設定フィールドを参照してください。

始める前に

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

ソースを次のように表示します。

  • ページに表示されるソースをフィルタリングするには、[フィルタ(Filter)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのフィルタリングを参照してください。

  • ページに表示されるソースの順序をソートするには、任意の列の [ソート(Sort)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのソートを参照してください。

  • 詳細なステータス データを表示するには、[ステータス(Status)] 列のテキストの上にカーソルを移動します。詳細については、ソース ステータスの詳細を参照してください。

ステップ 3

ソースを次のように管理します。

  • [アクション(Action)] 設定を編集するには、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。固定されているアクションがある場合、ソースの [タイプ(Type)] には、そのアクションだけがサポートされます。

  • [公開(Publish)] 設定を編集するには、スライダ()をクリックします。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

  • 他のフィールドを表示または編集するには、編集アイコン()をクリックします。

  • TID によるソースの更新を一時停止または再開する場合は、[更新の一時停止(Pause Updates)] または [更新の再開(Resume Updates)] をクリックします。更新を一時停止すると、更新は中断されますが、既存のインジケータとオブザーバブルは TID 内に残ります。

  • ソースを削除するには、削除アイコン()をクリックします。ソースが現在処理中の場合、このアイコンはグレー表示になります。ソースを削除すると、そのソースに関連付けられているすべてのインジケータも削除されます。関連付けられているオブザーバブルも削除される可能性があります。ただし、システム内に残っているインジケータに関連付けられたオブザーバブルは保持されます。

ソース サマリー情報

[ソース(Sources)] ページには、設定されているすべてのソースの概要情報が表示されます。次の表で、概要表示に含まれるフィールドについて簡単に説明します。これらのフィールドのより詳細な情報については、ソース設定フィールドの説明を参照してください。

表 3. ソース サマリー情報

フィールド

説明

[名前(Name)]

ソース名。

タイプ(Type)

ソースのデータ形式([STIX] または [フラットファイル(Flat File)])。

配信

TID がソースを取得するのに使用する手法。

操作(Action)

このソースに含まれるデータと一致するトラフィックに対してシステムで実行するように設定されているアクション([ブロック(Block)] または [モニタ(Monitor)])。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

パブリッシュ

オンまたはオフ トグル。登録されている要素に TID がデータをパブリッシュするかどうかを指定します。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

最終更新日

TID が最後にソースを更新した日時。

ステータス

ソースの現在のステータス。

  • [新規(New)]:ソースは新規に作成されます。

  • [スケジュール済み(Scheduled)]:初回のダウンロードまたはその後の更新がスケジュールされていますが、まだ進行中ではありません。

  • [ダウンロード 中(Downloading)]TID が初回のダウンロードまたは更新を処理中です。

  • [解析中(Parsing)] または [処理中(Processing)]):TID がソースを取り込んでいます。

  • [完了(Completed)]):TID はソースの取り込みを終了しました。

  • [完了(エラーあり)(Completed with Errors)]):TID はソースの取り込みを終了しましたが、一部のオブザーバブルがサポートされていないか無効です。

  • [エラー(Error)]):TID による処理にエラーが発生しました。[更新間隔(Update Frequency)] が指定された TAXII ソースまたは URL ソースの場合、更新が一時停止でなければ、 TID はスケジュールされている次回の更新で再試行します。

このアイコンをクリックすると、ソースの設定を編集できます。

このアイコンをクリックすると、ソースが完全に削除されます。

ソース ステータスの詳細

ソースの概要ページに表示されるソースの [ステータス(Status)] 値にマウスオーバーすると、TID は次の詳細情報を表示します。

データ

説明

ステータス メッセージ(Status Message)

ソースの現在のステータスを簡単に説明します。

最終更新日(Last Updated)

TID が最後にソースを更新した日時を表示します。

次回更新日(Next Update)

TID が次にいつソースを更新するかを表示します。

インジケータ(Indicators)

インジケータ カウントを表示します。

  • [消費済み(Consumed)] :最近のソース更新中に TIDTID が処理したインジケータの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのインジケータを表します。

  • [破棄済み(Discarded)] :最近の更新でシステムが TID に追加しなかった無効なインジケータの数。

    (注)   

    TAXII ソースの場合、 TID は [最終更新(Last Update)] と [合計(Total)] とに分けてインジケータ数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソース タイプのインジケータの場合、これらのソースの更新では既存のデータ セットが完全に置換されるので、TID は [最終更新(Last Update)] の値のみを表示します。

    あるインジケータのオブザーバブルがすべて [無効(Invalid)] の場合、 TID はそのインジケータを破棄します。

オブザーバブル(Observables)

オブザーバブルの数を表示します。

  • [消費済み(Consumed)] :最近のソース更新中に TIDTID が処理したオブザーバブルの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのオブザーバブルを表します。

  • [サポート対象外(Unsupported)] :最近の更新でシステムが TID に追加しなかったサポートされないオブザーバブルの数。

    サポートされているオブザーバブルのタイプに関する詳細は、「ソース設定フィールド」の [コンテンツ(Content)] の説明を参照してください。

  • [無効(Invalid)] :最近の更新でシステムが TID に追加しなかった無効なオブザーバブルの数。

    オブザーバブルが正しく作成されていない場合は無効になります。たとえば、10.10.10.10.123 は有効な IPv4 アドレスではありません。

    (注)   

    TAXII ソースの場合、 TID は [最終更新(Last Update)] と [合計(Total)] とに分けてオブザーバブル数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソース タイプのオブザーバブルの場合、これらのソースの更新では既存のデータ セットが完全に置換されるので、TID は [最終更新(Last Update)] の値のみを表示します。

インジケータの表示と管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[インジケータ(Indicators)] ページには、設定済みソースのすべてのインジケータに関する要約情報が表示されます。詳細については、インジケータ サマリー情報を参照してください。

始める前に

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

[インジケータ(Indicators)] をクリックします。

ステップ 3

現在のインジケータを次のように表示します。

  • ページに表示されるインジケータをフィルタリングするには、[フィルタ(Filter)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのフィルタリングを参照してください。

  • ページに表示されるインジケータの順序をソートするには、任意の列の [ソート(Sort)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのソートを参照してください。

  • インジケータの詳細情報(関連付けられているオブザーバブルなど)を表示するには、インジケータ名をクリックします。詳細については、インジケータの詳細を参照してください。

  • インジケータに関連付けられているインシデントについての情報を表示するには、[インシデント(Incidents)] 列内の番号をクリックします。また、アイコンの上にカーソルを移動すると、インシデントが完全に実現されたか、部分的に実現されたかを確認できます。

  • ソースからのインジケータの調査が TID で完了したかどうかを判別するには、[ステータス(Status)] 列を確認します。

ステップ 4

現在のインジケータを次のように管理します。

インジケータ サマリー情報

[インジケータ(Indicators)] ページには、設定されたソースに関連付けられているすべてのインジケータの概要情報が表示されます。

表 4. インジケータ サマリー情報

フィールド

説明

タイプ(Type)

インジケータのタイプ。

  • [シンプル(Simple)]:単一のオブザーバブルが含まれています。

  • [複合(Complex)]:2 つ以上のオブザーバブルが含まれています。

[名前(Name)]

インジケータ名。

ソース(Source)

インジケータが含まれていたソース(親ソース)。

[インシデント(Incidents)]

インジケータに関連付けられたすべてのインシデントに関する情報。

  • インシデントが部分的に実現()されるか、完全に実現( )されるかを指定するアイコン。

  • インジケータに関連付けられたインシデント数。

操作(Action)

インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

パブリッシュ

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

最終更新日

TID が最後にインジケータを更新した日時。

ステータス

インジケータの現在のステータス。

  • [保留中(Pending)]):TID はインジケータのオブザーバブルを取り込み中です。

  • [完了(Completed)] ):TID はインジケータのオブザーバブルをすべて正常に取り込みました。

  • [完了(エラーあり)(Completed With Errors)]):TID はインジケータを取り込みましたが、一部のオブザーバブルがサポートされていないか無効です。

インジケータの詳細

[インジケーターの詳細(Indicator Details)] ページには、インシデントのインジケータとオブザーバブル(監視可能)データが表示されます。

表 5. インジケータの詳細情報

フィールド

説明

[名前(Name)]

インジケータ名。

説明

ソースから提供されたインジケータの説明。

ソース(Source)

このインジケータを含んでいたソース。

有効期限

ソースの [TTL] 値に基づく、インシデントが期限切れになる日時。

操作(Action)

インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

パブリッシュ

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

インジケータは親ソースから [パブリッシュ(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [パブリッシュ(Publish)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

インジケータのパターン(Indicator Pattern)

インジケーターのパターンを形成するオブザーバブルと演算子。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は [AND] 演算子で示されます。OR 関係は、[OR] 演算子で示されるか、いくつかのオブザーバブルの密接なグループ化により示されます。

必要に応じて、ホワイトリスト アイコン()を使用し、オブザーバブルをホワイトリストに入れます。詳細については、TID オブザーバブルのホワイトリスト化を参照してください。

オブザーバブルの表示と管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[オブザーバブル(Observables)] ページには、正常に取り込まれたすべてのオブザーバブルが表示されます(オブザーバブル サマリー情報を参照)。

始める前に

手順

ステップ 1

[インテリジェンス(Intelligence)] > [ソース(Sources)] の順に選択します。

ステップ 2

[オブザーバブル(Observables)] をクリックします。

ステップ 3

現在のオブザーバブルを次のように表示します。

  • ページに表示されるオブザーバブルをフィルタリングするには、[フィルタ(Filter)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのフィルタリングを参照してください。

  • ページに表示されるオブザーバブルの順序をソートするには、任意の列の [ソート(Sort)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのソートを参照してください。

  • 完全なオブザーバブル データを表示するには、[値(Value)] 列のテキストの上にカーソルを移動します。

  • そのオブザーバブルを含むインジケータを表示するには、[インジケータ(Indicators)] 列内の番号をクリックします。[インシデント(Incidents)] ページが開き、オブザーバブルの値がフィルタとして適用されます。詳細については、インジケータの表示と管理を参照してください。

ステップ 4

現在のオブザーバブルを次のように管理します。

オブザーバブル サマリー情報

[オブザーバブル(Observables)] ページには、取り込まれたすべてのオブザーバブルの概要情報が表示されます。

表 6. オブザーバブル サマリー情報

フィールド

説明

タイプ(Type)

オブザーバブル(監視可能)データのタイプ:SHA-256DomainURLIPv4、または IPv6

オブザーバブルを構成するデータ。

インジケータ(Indicators)

オブザーバブルを含む親インジケータの数。

操作(Action)

オブザーバブルに対して設定されている操作。詳細については、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。

インジケータは親ソースから [アクション(Action)] 設定を継承でき、オブザーバブルは親インジケータから [アクション(Action)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

パブリッシュ

オブザーバブルのパブリッシュ設定(ソース、インジケータ、または監視可能レベルでの TID データの公開を参照)。

インジケータは親ソースから [公開(Publish)] 設定を継承でき、オブザーバブルは親インジケータから [公開(Publish)] 設定を継承できます。詳細については、TID 設定における継承を参照してください。

更新時刻(Updated At)

TID が最後にオブザーバブルを更新した日時。

有効期限

親インジケータの [TTL] に基づいて、オブザーバブルが TID から自動的に消去される日付。

このアイコンをクリックすると、オブザーバブルがホワイトリストに入ります(TID オブザーバブルのホワイトリスト化を参照)。

アクセス制御を使用した TID データの公開とイベントの生成

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

Firepower Management Center から管理対象デバイス(要素)に TID データを公開するには、アクセス コントロール ポリシーを設定する必要があります。さらに、最大限のオブザベーションおよび Firepower Management Center イベント生成を行うためにアクセス コントロール ポリシーを設定することを推奨します。

TID 要素に展開された各アクセス コントロール ポリシーについて、次の手順を実行します。

手順

ステップ 1

アクセス コントロール ポリシーの [詳細設定(Advanced Settings)] タブで、[Threat Intelligence Director を有効にする(Enable Threat Intelligence Director)] チェックボックスがオンになっていることを確認します。このオプションは、デフォルトで有効です。詳細については、アクセス コントロール ポリシーの詳細設定を参照してください。

ステップ 2

ルールがまだない場合は、アクセス コントロール ポリシーにルールを追加します。TID では、アクセス コントロール ポリシーが少なくとも 1 つのルールを指定する必要があります。詳細については、基本的なアクセス コントロール ポリシーの作成を参照してください。

ステップ 3

アクセス コントロール ポリシーのデフォルト アクションとして [侵入防御(Intrusion Prevention)] を選択した場合は、SSL ポリシーをアクセス コントロール ポリシーに関連付けます(アクセス制御への他のポリシーの関連付け を参照)。

ステップ 4

SHA-256 オブザーバブルでオブザベーションと Firepower Management Center イベントを生成する場合は、1 つ以上の [マルウェア クラウド ルックアップ(Malware Cloud Lookup)] または [マルウェア ブロック(Block Malware)] ファイル ルールを作成し、ファイル ポリシーをアクセス コントロール ポリシーの 1 つ以上のルールに関連付けます。詳細については、ファイル制御および AMP を実行するアクセス コントロール ルールの設定を参照してください。

ステップ 5

[IPv4]、[IPv6]、[URL]、または [ドメイン名(Domain Name)] のオブザベーションで接続およびセキュリティ インテリジェンス イベントを生成する場合は、アクセス コントロール ポリシーで接続およびセキュリティ インテリジェンスのロギングを有効にします。

  • ファイル ポリシーを呼び出したアクセス コントロール ルールで、[接続の終了時にロギング(Log at End of Connection)] および [ファイル イベント:ログファイル(File Events: Log Files)] を有効にします(まだ有効になっていない場合)。詳細については、アクセス制御ルールによる接続のロギングを参照してください。

  • セキュリティ インテリジェンス設定でデフォルトのロギング([DNS ポリシー(DNS Policy)]、[ネットワーク(Networks)]、および [URL(URLs)])が有効になっていることを確認します。詳細については、セキュリティ インテリジェンスによる接続のロギングを参照してください。

ステップ 6

設定変更を展開します。設定変更の導入を参照してください。

TID を使用したインシデントおよびオブザベーション データの分析

TID 要素によって生成されたインシデントおよびオブザベーション データを分析する場合は、インシデント表およびインシデント詳細ページを使用する必要があります。

監視とインシデント生成

TID は、インジケータに対する最初のオブザーバブルがトラフィックに見られたときにインシデントを生成します。単一の監視後、簡易インジケータが完全に実現されます。複雑なインジケータは、1 つ以上の監視がそのパターンを実行するまで、部分的に実現されます。


(注)  

TID は、インジケータのパターンを評価するときに、サポートされていない、無効な、およびホワイトリストに登録されたオブザーバブルを無視します。

インシデントが完全に実現された後、その後の監視で新しいインシデントがトリガーされます。

図 3. 例:インジケータ パターン


TID が上記の例からのオブザーバブルを取り込み、オブザーバブルが順番に確認されると、インシデント生成は次のように進行します。

  1. システムがトラフィック中のオブザーバブル A を識別すると、TID は次のようになります。

    • インジケータ 1 に対して完全に実現されたインシデントを生成します。

    • インジケータ 2 とインジケータ 3 に対して、部分的に実現されたインシデントを生成します。

  2. システムがトラフィック中のオブザーバブル B を識別すると、TID は次のようになります。

    • インジケータ 2 については、パターンが達成されたのでインシデントを [完全に実現(fully-realized)] に更新します。

    • インジケータ 3 については、インシデントを [部分的に実現(partially-realized)] に更新します。

  3. システムがトラフィック中のオブザーバブル C を識別すると、TID は次のようになります。

    • インジケータ 3 については、パターンが達成されたのでインシデントを [完全に実現(fully-realized)] に更新します。

  4. システムがオブザーバブル A をもう一度識別すると、TID は次のようになります。

    • インジケータ 1 に対して新しい完全に実現されたインシデントを生成します。

    • インジケータ 2 とインジケータ 3 に対して、新しい部分的に実現されたインシデントを生成します。

インシデントの表示と管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[インシデント(Incidents)] ページには、TID インシデントに関する要約情報が表示されます。(インシデント サマリー情報を参照)。

始める前に

手順

ステップ 1

[インテリジェンス(Intelligence)] > [インシデント(Incidents)] の順に選択します。

ステップ 2

次のようにインシデントを確認します。

  • 1 つ以上のフィルタを追加するには、[フィルタ(Filter)] アイコン()をクリックします。デフォルトのフィルタは 6 時間です。詳細については、テーブル ビューでの TID データのフィルタリングを参照してください。

  • ページ上に表示されるインシデントの順序をソートするには、任意の列の [ソート(Sort)] アイコン()をクリックします。詳細については、テーブル ビューでの TID データのソートを参照してください。

  • TID でインシデントが最後に更新された日時を表示するには、[最終更新日(Last Updated)] 列内の値の上にカーソルを置きます。

  • インシデントに関連付けられているインジケータについての詳細を表示するには、[インジケータ名(Indicator Name)] 列内のテキストをクリックします(インジケータの表示と管理を参照)。

  • インシデントの詳細を表示するには、[インシデント ID(Incident ID)] 列内の名前をクリックします(インシデントの詳細を参照)。

ステップ 3

インシデントの [インシデント ID(Incident ID)] 値をクリックして、カスタム インシデント フィールドを管理します。

  • オプションのカスタム名をインシデントに割り当てるには、[名前(Name)] フィールド内でテキストを追加または編集します。

  • オプションのカスタム説明をインシデントに割り当てるには、[説明(Description)] フィールド内でテキストを追加または編集します。

  • インシデントの相対重要度を指定するには、[信頼度(Confidence)] フィールドで評価を割り当てます。

  • オプションのカスタム タグまたはキーワードをインシデントに割り当てるには、[カテゴリ(Category)] フィールド内でテキストを追加または編集します。

  • インシデントの調査ステータスを指定するには、[ステータス(Status)] フィールドのドロップダウン リストから値を選択します。

  • インジケータの詳細をすべて表示するには、ウィンドウの下部セクションに示されている [インジケータ(Indicator)] 見出しの直下にあるインジケータ リンクをクリックします。

  • インジケータ要約フィールドを展開するには、[インジケータ(Indicator)] 見出しの直下にあるインジケータ リンクの横の矢印をクリックします。

ステップ 4

インシデント内の TID 設定を管理します(インシデント内の TID 設定の管理を参照)。

インシデント サマリー情報

[インシデント(Incidents)] ページには、すべての TID インシデントのサマリー情報が表示されます。

表 7. ソース サマリー情報

フィールド

説明

最終更新日

システムまたはユーザが最後にインシデントを更新してからの日数。更新の日時を表示するには、この列の値にマウスオーバーします。

[インシデント ID(Incident ID)]

インシデントの固有識別子。この ID の形式は次のとおりです。

<type>-<date>-<number>

  • <type>:インシデントに関係するインジケータまたはオブザーバブルのタイプ。単純なインジケータの場合、この値はオブザーバブルのタイプ(IP(IPv4 または IPv6)、URL(URL)、DOM(ドメイン)、または SHA(SHA-256))を示します。複雑なインジケータの場合、この値は COM です。

  • <date>:インシデントが作成された日付(yyyymmdd)。

  • <number>:インシデント番号。これは、1 日に作成されたインシデントの中での順序を示す番号です。この順序は 0 で始まることに注意してください。たとえば、DOM-20170828-10 はその日に作成された 11 番目のインシデントです。

識別子の隣には、インシデントが部分的に実現された()か、完全に実現された()かを示すアイコンが表示されます。詳細については、監視とインシデント生成を参照してください。

[インジケータ名(Indicator Name)]

インシデントに関係するインジケータの名前。インジケータの追加情報を表示するには、この列の値をクリックします。インジケータの表示と管理を参照してください。

タイプ(Type)

インシデントに関係するインジケータのタイプ。詳細については、オブザーバブル サマリー情報を参照してください。

[実施アクション(Action Taken)]

インシデントに関してシステムが実行するアクション。詳細については、インシデントの詳細を参照してください。

ステータス

インシデントに関する調査のステータスです。詳細については、インシデントの詳細を参照してください。

このアイコンをクリックすると、インシデントが完全に削除されます。

インシデントの詳細

[インシデントの詳細(Incident Details)] ウィンドウには、単一の TID インシデントに関する情報が表示されます。このウィンドウは、2 つのセクションで構成されています。

インシデントの詳細:基本情報

[インシデントの詳細(Incident Details)] ウィンドウの上部セクションでは、次の情報が提供されます。

表 8. 基本的なインシデント情報フィールド

フィールド

説明

IncidentID または IncidentID

インシデントのステータス(部分的に実現または完全に実現)およびインシデントの一意の ID を示すアイコン。

(注)   

TID は、インシデントのステータスを決定するときに、サポートされていない、無効な、およびホワイトリストに登録されたオブザーバブルを無視します。

[既読(Opened)]

インシデントが最後に更新された日時。

[名前(Name)]

オプションのカスタム インシデント名。

説明

オプションのカスタム インシデントの説明。

[オブザベーション(Observations)]

インシデント内のオブザベーションの数。

信頼性(Confidence)

インシデントの相対的な重要度を示すオプションのカスタム値。

[実施アクション(Action Taken)]

システムによって実行されるアクション:[モニタ済み(Monitored)]、[ブロック済み(Blocked)]、または [部分的にブロック済み(Partially Blocked)]

[部分的にブロック済み(Partially Blocked)] は、インシデントに [モニタ済み(Monitored)] と [ブロック済み(Blocked)] の両方のオブザベーションが含まれていることを示します。

(注)   

[実施アクション(Action Taken)] は、システムによって実行されるアクションを示しますが、必ずしも TID で選択されているアクションではありません。詳細については、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

カテゴリ(Category)

インシデントに追加するオプションのカスタム タグまたはキーワード。

ステータス

インシデントの分析の現在の段階を示す値。すべてのインシデントは、[ステータス(Status)] を初めて変更するまでは [新規(New)] です。

このフィールドは任意です。組織のニーズに応じて、以下のステータス値を使用することを検討してください。

  • [新規(New)]:インシデントには調査が必要ですが、まだ調査を開始していません。

  • [オープン(Open)]:現在インシデントを調査しています。

  • [クローズ済み(Closed)]:インシデントを調査し、対処しました。

  • [却下(Rejected)]:インシデントを調査し、実行するアクションはないと判断しました。

このアイコンをクリックすると、このインシデントが完全に削除されます。
インシデントの詳細:インジケータとオブザベーション

[インシデントの詳細(Incident Details)] ウィンドウの下部セクションには、インジケータとオブザベーションの詳細情報が表示されます。この情報は、[インジケータ(Indicator)] フィールド、インジケータ パターン、および [オブザベーション(Observations)] フィールドとして編成されています。

[インジケータ(Indicator)] セクション

インジケータの詳細を初めて表示するときには、このセクションにはインジケータ名のみが表示されます。

[インジケータ(Indicator)] ページでインジケータを表示するには、インジケータ名をクリックします。

インジケータ名の隣にある下矢印をクリックすると、インシデントを閉じることなくインジケータの詳細を表示できます。詳細フィールドには、次のものがあります。

表 9. インジケータのフィールド

フィールド

説明

[説明(Description)]

ソースによって提供されるインジケータの説明。

[ソース(Source)]

インジケータが含まれていたソース。このリンクをクリックすると、完全なソースの詳細にアクセスできます。

[有効期限(Expires)]

ソースの TTL 値に基づく、インシデントが期限切れになる日時。

[操作(Action)]

インジケータに関連付けられているアクション。詳細については、ソース、インジケータ、または監視可能レベルでの TID アクションの編集を参照してください。

[パブリッシュ(Publish)]

インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

[STIX のダウンロード(Download STIX)]

ソース タイプが STIX の場合は、このボタンをクリックして STIX ファイルをダウンロードします。

[インジケータ パターン(Indicator Pattern)]

インジケータ パターンは、インジケータを構成するオブザーバブルおよび演算子のグラフィカル表示です。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は、AND 演算子によって示されます。OR 関係は、OR 演算子、または複数のオブザーバブルの緊密なグループ化によって示されます。

パターンのオブザーバブルがすでに観測されている場合、オブザーバブル ボックスは白色です。オブザーバブルがまだ観測されていない場合、オブザーバブル ボックスは灰色です。

インジケータ パターンで、次のようにします。

  • ホワイトリスト アイコン()をクリックして、オブザーバブルをホワイトリストに追加します。このアイコンは、白色と灰色の両方のオブザーバブル ボックスに表示されます。詳細については、TID オブザーバブルのホワイトリスト化を参照してください。

  • 白色のオブザーバブル ボックスにマウスオーバーすると、[オブザベーション(Observations)] セクションで関連するオブザベーションが強調表示されます。

  • 白色のオブザーバブル ボックスをクリックすると、[オブザベーション(Observations)] セクションで関連するオブザベーションが強調表示され、そのオブザベーションがスクロールされて表示され(複数のオブザベーションが存在する場合)、そのオブザベーションの詳細表示が展開されます。

  • インジケータ パターンで灰色のオブザーバブル ボックスをマウスオーバーまたはクリックした場合、[オブザベーション(Observations)] セクションに変化はありません。これは、オブザーバブルがまだ観測されていないため、表示するオブザベーションの詳細がないためです。

[オブザベーション(Observations)] セクション

デフォルトでは、[オブザベーション(Observations)] セクションには、次のような概要情報が表示されます。

  • オブザベーションをトリガーしたオブザーバブルのタイプ(たとえば、[ドメイン(Domain)]

  • オブザーバブルを構成するデータ

  • オブザベーションが最初のオブザベーションか、それ以降のオブザベーションか(たとえば、[最初の(1st)] または [3 つ目(3rd)]


    (注)  

    1 つのオブザーバブルが 3 回以上観測された場合、TID では最初と最後のオブザベーションの詳細を表示します。中間のオブザベーションの詳細は表示されません。

  • オブザベーションの日時

  • オブザーバブルに設定されているアクション

[オブザベーション(Observations)] セクションでオブザベーションにマウスオーバーすると、インジケータ パターンの関連するオブザーバブルが強調表示されます。

[オブザベーション(Observations)] セクションでオブザベーションをクリックした場合は、インジケータ パターンで関連するオブザーバブルが強調表示され、関連する最初のオブザーバブルがスクロールされて表示されます(複数のオブザーバブルが存在する場合)。また、オブザベーションをクリックすると、[オブザベーション(Observations)] セクションのオブザベーションの詳細が展開されます。

オブザベーションの詳細には、次のようなフィールドがあります。

表 10. オブザベーションの詳細のフィールド

フィールド

説明

[送信元(SOURCE)]

オブザベーションをトリガーしたトラフィックの送信元 IP アドレスおよびポート。

[宛先(DESTINATION)]

オブザベーションをトリガーしたトラフィックの宛先 IP アドレスおよびポート。

[その他の情報(ADDITIONAL INFORMATION)]

オブザベーションをトリガーしたトラフィックに関連する DNS および認証情報。

[イベント(Events)]

このクリッカブル リンクは、オブザベーションによって接続、セキュリティ インテリジェンス、ファイル、またはマルウェア イベントが生成された場合に表示されます。リンクをクリックして、Firepower Management Center イベント テーブルでイベントを表示します。接続イベントについてを参照してください。

インシデント内の TID 設定の管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[インシデントの詳細(Incident Details)] ウィンドウには、TID インシデントに関する情報が表示されます(インシデントの詳細を参照)。

手順

ステップ 1

[インテリジェンス(Intelligence)] > [インシデント(Incidents)] の順に選択します。

ステップ 2

[インシデントの詳細(Incident Details)] ウィンドウを表示するには、そのインシデントの [インシデント ID(Incident ID)] 値をクリックします。

ステップ 3

[インジケータ(Indicator)] 見出しの下で設定を管理します。

  • [すべてのインジケータの設定を設定(Configure all indicator settings)]:インジケータ設定の全体を編集するには、[インジケータ(Indicator)] 見出しのすぐ下にあるインジケータ リンクをクリックします(インジケータの表示と管理を参照)。

  • [すべてのソースの設定を設定(Configure all source settings)]:ソース設定の全体を編集するには、[インジケータ(Indicator)] 見出しの下にある [インジケータの概要(indicator summary)] フィールドを展開し、[ソース(Source)] リンクをクリックします(ソースの表示と管理を参照)。

  • [インジケータ パブリケーションを設定(Configure indicator publication)]:[インジケータの概要(indicator summary)] フィールドを展開し、そのインジケータの [パブリッシュ(Publish)] 設定を変更します。この設定の詳細については、ソース、インジケータ、または監視可能レベルでの TID データの公開を参照してください。

  • [STIX ファイルのダウンロード(Download STIX file)]:ソースが STIX ファイルの場合、元の STIX ファイルをダウンロードするには、[インジケータの概要(indicator summary)] フィールドを展開し、[STIX のダウンロード(Download STIX)] をクリックします。

  • [オブザーバブルのホワイトリスト(Whitelist an observable)]:インジケータのパターンからオブザーバブル ボックスを見つけ、そのボックスにあるホワイトリスト アイコン()をクリックします。詳細については、TID オブザーバブルのホワイトリスト化を参照してください。

一般的な TID タスク

ソース、インジケータ、または監視可能レベルでの TID データの公開

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

次のページのいずれかを使用して、ソース、インジケータ、またはオブザーバブルの TID データ公開を切り替えます。これらのページから公開を一時停止すると、システムは関連する TID オブザーバブルを要素に送信しなくなります。

(注)

  • 親のパブリケーションを一時停止すると、すべての子が一時停止します。ソース レベルで公開を一時停止すると、そのすべてのインジケータの公開が一時停止されます。インジケータ レベルで公開を一時停止すると、そのすべてのオブザーバブルの公開が一時停止されます。

  • 子のパブリケーションを一時停止すると、継承が中断されます。インジケータ レベルで公開を一時停止し、その後にソース レベルで公開すると、インジケータの個別設定を変更するまで、インジケータの公開は一時停止されたままになります。監視可能レベルで公開を一時停止し、その後にインジケータ レベルで公開すると、オブザーバブルの個別設定を変更するまで、オブザーバブルの公開は一時停止されたままになります。監視可能レベルでは、親インジケータの公開ステータスに自動的に復元できます。継承の詳細については、TID 設定における継承を参照してください。

  • フラット ファイルの Upload ソースの公開は、インジケータ レベルでのみ一時停止することができます。


(注)  

要素に格納されているすべての TID オブザーバブルを消去するには、機能レベルでの TID データの公開または消去 を参照してください。

手順

ステップ 1

次のいずれかを選択します。

  • [インテリジェンス(Intelligence)] > [ソース(Sources)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [オブザーバブル(Observables)]
ステップ 2

[公開(Publish)] スライダ()を検索して、要素への公開を切り替えるために使用します。

ステップ 3

(オブザーバブルのみ)親インジケータからパブリケーション設定を継承し直す場合は、オブザーバブルの [公開(Publish)] 設定の横にある復元アイコン()をクリックします。

次のタスク

監視可能なパブリケーション頻度の設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

デフォルトでは、監視可能データ(オブザーバブル)が TID 要素に 5 分ごとに公開されます。この間隔を別の値に設定するには、次の手順を実行します。

始める前に

手順

ステップ 1

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)]を選択します。

ステップ 2

[セキュリティ インテリジェンス(Security Intelligence)] > [ネットワーク フィードとリスト(Network Feeds and Lists)] を選択します。

ステップ 3

[Cisco-TID フィード(Cisco-TID-Feed)] の横にある編集アイコンをクリックします。

ステップ 4

[更新間隔:(Update Frequency)] ドロップダウンリストから値を選択します。

  • 監視可能なデータの要素への公開を停止するには、「[無効(Disable)] を選択します。
  • その他の値を選択して、監視可能なパブリケーションの間隔を設定します。
ステップ 5

[保存(Save)] をクリックします。

機能レベルでの TID データの公開または消去

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

[設定(Settings)] ページを使用して、機能全体の TID データ公開を切り替えます。

機能レベルで公開を一時停止すると、要素に保存されているすべての TID オブザーバブルが消去されます。TID データを要素に送信し、オブザベーションを生成する場合は、手動で公開を再開する必要があります。

TID データを消去せずに TID データ公開を切り替えるには、ソース、インジケータ、または監視可能レベルでの TID データの公開 を参照してください。

手順

ステップ 1

[インテリジェンス(Intelligence)] > [設定(Settings)] の順に選択します。

ステップ 2

[一時停止(Pause)] または [再開(Resume)] をクリックします。

ソース、インジケータ、または監視可能レベルでの TID アクションの編集

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

(注)

  • 親のアクションを編集すると、すべての子に対しアクションが設定されます。ソース レベルでアクションを編集すると、そのすべてのインジケータにアクションが設定されます。インジケータ レベルでアクションを編集すると、そのオブザーバブルのすべてに対してアクションが設定されます。

  • 子のアクションを編集すると、継承が中断されます。インジケータ レベルでアクションを編集し、続いてソース レベルで編集すると、個々のインジケータのアクションを編集するまで、インジケータのアクションが保持されます。監視可能レベルでアクションを編集し、続いてインジケータ レベルで編集すると、個々のオブザーバブルのアクションを編集するまで、オブザーバブルのアクションが保持されます。監視可能レベルでは、親インジケータのアクションに自動的に復元できます。継承の詳細については、TID 設定における継承を参照してください。

Firepower システムでのアクションの優先順位付けについては、TID-Firepower Management Center のアクションの優先順位付け を参照してください。

手順

ステップ 1

次のいずれかを選択します。

  • [インテリジェンス(Intelligence)] > [ソース(Sources)]

    (注)   

    TID は、ソース レベルでの TAXII ソースのブロックをサポートしていません。TAXII ソースに簡易インジケータが含まれている場合、インジケータ レベルまたは監視可能レベルでブロックすることができます。

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

    (注)   

    TID は、複雑なインジケータのブロックをサポートしていません。代わりに、複雑なインジケータ内で個々のオブザーバブルをブロックします。

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [オブザーバブル(Observables)]
ステップ 2

[アクション(Action)] ドロップダウンを使用して、[モニタ(Monitor)]()または [ブロック(Block)]()を選択します。

ステップ 3

(オブザーバブルのみ)親インジケータからアクション設定を継承し直すには、オブザーバブルの [アクション(Action)] 設定の横にある復元アイコン()をクリックします。

TID オブザーバブルのホワイトリスト化

指定された [アクション(Action)] から 1 つのオブザーバブルを除外する(モニタリング/ブロッキングなしでトラフィックを通過させる)には、オブザーバブルをホワイトリストに入れることができます。

ホワイトリスト アイコン()が、インジケータの詳細ページとオブザーバブルのページに表示されます。オブザーバブルをホワイトリストに入れるには、このアイコンをクリックします。

オブザーバブルをホワイトリストに入れると、TID は、部分的または完全に実現されるインシデントの評価を行う際に、そのオブザーバブルを無視します。たとえば、オブザーバブル 1 とオブザーバブル 2 が AND 演算子でリンクされている状況でオブザーバブル 1 をホワイトリストに入れると、TID はオブザーバブル 2 が認識されたときに完全実現インシデントを生成します。

テーブル ビューでの TID データのフィルタリング

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

手順

ステップ 1

次のいずれかの TID テーブル ビューを選択します。

  • [インテリジェンス(Intelligence)] > [インシデント(Incidents)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [オブザーバブル(Observables)]
ステップ 2

フィルタ アイコン()をクリックし、フィルタ属性を選択します。

ステップ 3

そのフィルタ属性の値を選択または入力します。
ステップ 4

(オプション)複数の属性でフィルタリングするには、フィルタ アイコン()をクリックし、手順 2 と手順 3 を繰り返します。

ステップ 5

前回フィルタを適用してから行った変更を取り消すには、[キャンセル(Cancel)] をクリックします。

ステップ 6

フィルタを適用してテーブルを更新するには、[適用(Apply)] をクリックします。

ステップ 7

フィルタ属性を個別に削除するには、フィルタ属性の横にある削除アイコン()をクリックし、[適用(Apply)] をクリックしてテーブルを更新します。

テーブル ビューでの TID データのソート

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

手順

ステップ 1

次のいずれかの TID テーブル ビューを選択します。

  • [インテリジェンス(Intelligence)] > [インシデント(Incidents)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [インジケータ(Indicators)]

  • [インテリジェンス(Intelligence)] > [ソース(Sources)] > [オブザーバブル(Observables)]
ステップ 2

列内のデータを基準にテーブルをソートするには、[ソート(Sort)] アイコン()をクリックします。ソート順序を反転させるには、このアイコンをもう一度クリックします。

要素の表示

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ
接続した要素を表示するには、[要素(Elements)] ページを使用します。

手順

ステップ 1

[インテリジェンス(Intelligence)] > [要素(Elements)] を選択します。

ステップ 2

設定した要素を確認します。

  • 要素に関する基本情報を確認する場合は、[名前(Name)]、[要素タイプ(Element Type)]、[登録先(Registered On)] の各列を調べます。

    [名前(Name)] の横にあるアイコンは、その要素が接続されて TID が有効になっているかどうかを示します。

  • TID が有効化されてこのデバイスに展開されたときのアクセス コントロール ポリシーを確認するには、[アクセス コントロール ポリシー(Access Control Policy)] 列を調べます。詳細については、アクセス制御を使用した TID データの公開とイベントの生成を参照してください。

一般的な Firepower Management Center タスク

TID データのバックアップと復元

Firepower Management Center を使用して、TID に必要なすべてのデータ(要素データ、セキュリティ インテリジェンス イベント、接続イベント、TID 構成、および TID データ)をバックアップおよび復元できます。

表 11. TID 関連のバックアップおよび復元ファイルの内容

TID 関連ファイルの内容

バックアップの選択

復元の選択

要素データ

バックアップ構成

設定データの復元(Restore Configuration Data)

Firepower Management Center イベント データ

イベントのバックアップ

イベント データの復元(Restore Event Data)

TID 構成および TID データ

Threat Intelligence Director のバックアップ

Threat Intelligense Director データの復元

詳細については、Firepower Management Center のバックアップおよびバックアップ ファイルからのアプライアンスの復元を参照してください。


(注)  

ハイ アベイラビリティ構成のアクティブな Firepower Management Center で TID をホスティングする場合、システムは TID 構成と TID データをスタンバイ Firepower Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Firepower Management Center で TID データの定期的なバックアップを実行することを推奨します。

TID オブザベーションの Firepower Management Center イベントの表示

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバル

管理/Threat Intelligence Director(TID)ユーザ

TID オブザベーションによって生成される Firepower Management Center イベントについて詳しくは、Firepower Management Center イベントでの TID オブザベーション を参照してください。

TID 関連のイベントについてログに記録されるシステム アクションは、TID の相互作用やその他の Firepower Management Center 機能によって異なります。アクションの優先順位付けについて詳しくは、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

始める前に

手順

ステップ 1

[インテリジェンス(Intelligence)] > [インシデント(Incidents)] の順に選択します。

ステップ 2

インシデントの [インシデント ID(Incident ID)] 値をクリックします。

ステップ 3

[インジケータ(Indicator)] セクションでオブザベーションをクリックして、オブザベーション ボックスを表示します。

ステップ 4

オブザベーション ボックスの左上隅にある矢印をクリックしてボックスを展開します。
ステップ 5

オブザベーション情報で [イベント(Events)] リンクをクリックします。セキュリティ インテリジェンスの表示内容について詳しくは、接続イベントについてを参照してください。

Firepower Management Center イベントでの TID オブザベーション

アクセス コントロール ポリシーを完全に制御する場合、TID オブザベーションによって、次の Firepower Management Center イベントが生成されます。

表 12. オブザベーションによって生成される Firepower Management Center イベント

オブザベーションの内容

接続イベントの表

セキュリティ インテリジェンス イベントの表

ファイル イベントの表

マルウェア イベントの表

SHA-256

[はい(Yes)]

[いいえ(No)]

○(判定結果がマルウェアまたはカスタム検出の場合)。

[ドメイン名(Domain Name)][URL]、または [IPv4/IPv6]

TID 関連の接続イベントは、TID 関連の [セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)] 値によって識別されます。

TID 関連のセキュリティ インテリジェンス イベントは、TID 関連の [セキュリティ インテリジェンス イベント(Security Intelligence Category)] 値により識別されます。

[いいえ(No)]

[いいえ(No)]

TID-Firepower Management Center のアクションの優先順位付け

TID の監視可能アクションが Firepower Management Center のポリシー アクションと競合する場合、システムは次のアクションに優先順位を付けます。

表 13. TID URL または IPv4/IPv6 監視可能アクション対セキュリティ インテリジェンス アクション

設定:セキュリティ インテリジェンス アクション

設定:TID URL または IPv4/IPv6 監視可能アクション

TID インシデント フィールド:実行されるアクション

セキュリティ インテリジェンス イベントのフィールド:

操作

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

理由(Reason)

WHITELIST

 [モニタ(Monitor)] または [ブロック(Block)] (インシデント生成なし)

許可(Allow)

(なし)

(なし)

ブロック(Block)

[モニタ(Monitor)] または [ブロック(Block)]

ブロック

ブロック(Block)

システム分析により決定(を参照) セキュリティ インテリジェンス オプション

[IP ブロック(IP Block)] または [URL ブロック(URL Block)]

モニタ(Monitor)

モニタ(Monitor)

監視対象

許可(Allow)

システム分析により決定(を参照) セキュリティ インテリジェンス オプション

[IP モニタ(IP Monitor)] または [URL モニタ(URL Monitor)]

ブロック(Block)

ブロック

 ブロック(Block)

[TID IP ブロック(TID IP Block)] または [TID URL ブロック(TID URL Block)]

[IP ブロック(IP Block)] または [URL ブロック(URL Block)]

表 14. TID ドメイン名の監視可能アクション対 DNS ポリシー アクション

設定:DNS ポリシー アクション

設定:TID ドメイン名の監視可能アクション

TIDインシデント フィールド:実行されるアクション

セキュリティ インテリジェンス イベントのフィールド:

操作

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

理由(Reason)

WHITELIST

[モニタ(Monitor)] または [ブロック(Block)]

監視対象

許可(Allow)

システム分析により決定(を参照) セキュリティ インテリジェンス オプション

DNS モニタ(DNS Monitor)

モニタ(Monitor)

モニタ(Monitor)

監視対象

許可(Allow)

システム分析により決定(を参照) セキュリティ インテリジェンス オプション

DNS モニタ(DNS Monitor)

ブロック(Block)

ブロック

ブロック(Block)

TID ドメイン名ブロック

DNS ブロック(DNS Block)

[ドロップ(Drop)]、[見つからないドメイン(Domain Not Found)]、[Sinkhole—ログ(Sinkhole—Log)]、または [Sinkhole—ブロックおよびログ(Sinkhole—Block and Log)]

モニタ(Monitor)

ブロック

ブロック(Block)

システム分析により決定(を参照) セキュリティ インテリジェンス オプション

DNS ブロック(DNS Block)

ブロック(Block)

TID ドメイン名ブロック
表 15. TID SHA-256 監視可能アクション対マルウェア クラウド ルックアップ ファイル ポリシー

ファイル傾向(File Disposition)

TID SHA-256 監視可能アクション

TID インシデントで行われるアクション

ファイル イベントでのアクション

マルウェア イベントでのアクション

クリーン(Clean)

[モニタ(Monitor)] または [ブロック(Block)]

監視対象

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

マルウェア

[モニタ(Monitor)] または [ブロック(Block)]

監視対象

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

カスタム(Custom)

[モニタ(Monitor)] または [ブロック(Block)]

監視対象

  • SHA-256 がカスタム検出リストにない場合は、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)]。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出(Custom Detection)]。

  • SHA-256 がカスタム検出リストにない場合は、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)]。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出(Custom Detection)]。

不明

[モニタ(Monitor)] または [ブロック(Block)]

監視対象

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外
表 16. TID SHA-256 監視可能アクション対マルウェア ブロック ファイル ポリシー

ファイル傾向(File Disposition)

TID SHA-256 監視可能アクション

TID インシデントで行われるアクション

ファイル イベントでのアクション

マルウェア イベントでのアクション

[正常(Clean)] または [不明(Unknown)]

モニタ(Monitor)

監視対象

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

適用対象外

ブロック(Block)

ブロック

  • SHA-256 がカスタム検出リストにない場合は、[TID ブロック(TID Block)]。

    変更されたファイル性質は [カスタム(Custom)] です。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック(Custom Detection Block)]。

TID ブロック(TID Block)

変更されたファイル性質は [カスタム(Custom)] です。

[マルウェア(Malware)] または [カスタム(Custom)]

モニタ(Monitor)

ブロック

マルウェア ブロック(Block Malware)

マルウェア ブロック(Block Malware)

ブロック(Block)

ブロック

  • SHA-256 がカスタム検出リストにない場合は、[TID ブロック(TID Block)]。

    変更されたファイル性質は [カスタム(Custom)] です。

  • SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック(Custom Detection Block)]。

TID ブロック(TID Block)

変更されたファイル性質は [カスタム(Custom)] です。

TID の一般的な問題のトラブルシューティング

以下のセクションでは、TID の一般的な問題について、可能な解決策と軽減策を説明します。

フラット ファイル ソースを取得またはアップロードするとエラーが発生する

システムがフラット ファイル ソースを取得またはアップロードできない場合は、フラット ファイルのデータがソース設定中に選択した [コンテンツ(Content)] タイプと一致することを確認してください。詳細については、ソース設定フィールドを参照してください。

TAXII または URL のソース アップデートでエラーが発生する

TAXII または URL のソース アップデートでソース ステータス エラーが発生した場合は、サーバ証明書の期限が切れていないことを確認してください。証明書の有効期限が切れている場合は、新しいサーバ証明書を入力するか、または既存のサーバ証明書を削除して、TID が新しい証明書を取得できるようにします。詳細については、ソース設定フィールドを参照してください。

TID テーブル ビューで「結果なし」と表示される

テーブル ビューには、[ソース(Sources)]、[インジケータ(Indicators)]、[オブザーバブル(Observables)]、および [インシデント(Incidents)] ページが含まれます。

いずれかの TID テーブル ビューにデータが表示されない場合:

  • テーブル フィルタを確認し、[最終更新日(Last Updated)] フィルタ属性の時間枠を拡大することを検討します(テーブル ビューでの TID データのフィルタリングを参照)。

  • ソースが正しく設定されていることを確認します(TID ソースを使用したフィード データの取り込みを参照)。

  • TID をサポートするのに必要なアクセス コントロール ポリシー、および関連するポリシーが設定されていることを確認します(アクセス制御を使用した TID データの公開とイベントの生成を参照)。たとえば、SHA 256 オブザーバブルがオブザベーションを生成していない場合、展開されているアクセス コントロール ポリシーに、[マルウェアクラウドルックアップ(Malware Cloud Lookup)] または [マルウェアブロック(Block Malware)] ファイル ポリシーを呼び出すアクセス制御ルールが 1 つ以上含まれていることを確認します。

  • TID をサポートするアクセス コントロール ポリシーおよび関連するポリシーが要素に展開されていることを確認します(設定変更の導入を参照)。

  • 機能レベルで TID データ パブリケーションを一時停止していないことを確認します(機能レベルでの TID データの公開または消去を参照)。

システムが低速またはパフォーマンス低下を起こしている

パフォーマンスの影響の詳細については、Firepower Management Center および管理対象デバイスのパフォーマンスの影響 を参照してください。

Firepower Management Center テーブル ビューに TID データが表示されない

オブザーバブルを要素に公開しても、接続、セキュリティ インテリジェンス、ファイル、またはマルウェア イベントのテーブルに TID データが表示されない場合は、要素に展開されたアクセス コントロール ポリシーとファイル ポリシーを確認してください。詳細については、アクセス制御を使用した TID データの公開とイベントの生成を参照してください。

1 つまたは複数の要素が TID データによって圧倒される

TID データが 1 つまたは複数のデバイスを圧倒している場合は、TID による要素に保存されているデータの公開と消去を一時停止することを検討してください。詳細については、機能レベルでの TID データの公開または消去を参照してください。

システムが TID ブロックの代わりにマルウェア クラウド ルックアップを実行している

これは設計によるものです。詳細については、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

システムが TID アクションではなく、セキュリティ インテリジェンスまたは DNS ポリシー アクションを実行している

これは設計によるものです。詳細については、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

REST API が無効化されている

Firepower Management Center の REST API アクセスを有効化します。詳細については、REST API アクセスの有効化を参照してください。

TID が無効化されている

アプライアンスにメモリを追加します。Threat Intelligence Director を使用するには、少なくとも 15 GB のメモリをアプライアンスに搭載する必要があります。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ