トラフィック統計情報を取得するためにロギングを有効にする
モニタリング ダッシュボードおよびイベント ビューアを使用して、幅広いトラフィック統計をモニタできます。ただし、どの統計情報を収集すべきかシステムに知らせるためにロギングを有効にする必要があります。ロギングでは、システムを通過する接続に対して有用な情報を提供するさまざまな種類のイベントを生成します。
ここでは、イベントおよび提供される情報について、特に接続ロギングに重点を置いて詳しく説明します。
イベント タイプ
システムでは、以下のタイプのイベントが生成されます。監視ダッシュボードで関連する統計を表示するには、これらのイベントを生成する必要があります。
- 接続イベント
-
ユーザが生成するトラフィックがシステムを通過する場合、この接続に対してイベントを生成できます。これらのイベントを生成するには、アクセス ルールで接続ロギングを有効にします。また、セキュリティ インテリジェンス ポリシーおよび SSL 復号ルールでロギングを有効にすると、接続イベントを生成できます。
接続イベントには接続に関する幅広い種類の情報が含まれ、これには送信元と宛先の IP アドレスおよびポート、使用された URL およびアプリケーション、送信されたバイト数またはパケット数などがあります。この情報には、実行されたアクション(接続の許可またはブロックなど)、接続に適用されたポリシーも含まれます。
- 侵入イベント
-
システムは、ネットワークを通過するパケットを検査し、ホストとそのデータの可用性、整合性、および機密性に影響を与える可能性がある、悪意のあるアクティビティについて調べます。システムは潜在的な侵入を識別すると、侵入イベントを生成します。これには、エクスプロイトの日時とタイプ、攻撃とそのターゲットについての状況説明が記録されます。侵入イベントは、アクセス制御ルールのロギング設定に関係なく、ブロックまたはアラートするように設定された侵入ルールに対して生成されます。
- ファイル イベント
-
ファイル イベントは、作成したファイル ポリシーに基づき、ネットワーク トラフィック内でシステムによって検出(オプションとしてブロック)されたファイルを表します。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。
システムはファイル イベントを生成する場合、基になったアクセス コントロール ルールのロギング設定にかかわらず、関連する接続の終了についても記録します。
- マルウェア イベント
-
システムは、全体的なアクセス コントロール設定の一環として、ネットワーク トラフィックのマルウェアを検出できます。AMP for Firepower は、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキスト データを含むマルウェア イベントを生成できます。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。
ファイルの判定結果は、正常からマルウェア、マルウェアから正常などに変更できます。AMP for Firepower が AMP クラウドにファイルについて照会し、クエリから 1 週間以内に判定結果が変更されたことがクラウドに特定されると、システムはレトロスペクティブ マルウェア イベントを生成します。
- セキュリティ インテリジェンス イベント
-
セキュリティ インテリジェンス イベントは、ポリシーによってブラックリストに登録(ブロック)またはモニタされた各接続の、セキュリティ インテリジェンス ポリシーによって生成された接続イベントの一種です。すべてのセキュリティ インテリジェンス イベントには、自動入力された [セキュリティインテリジェンスカテゴリ(Security Intelligence Category)] フィールドがあります。
これらのイベントのそれぞれについて、対応する「通常」の接続イベントがあります。セキュリティ インテリジェンス ポリシーはアクセス コントロールなどのその他多数のセキュリティ ポリシーより前に評価されるため、セキュリティ インテリジェンスによって接続がブロックされると、その結果のイベントには、以降の評価から収集される情報(ユーザ アイデンティティなど)は含まれません。
設定可能な接続ロギング
組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。生成するイベントの数を抑え、パフォーマンスを向上させることが目標である場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワーク トラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。
システムは 1 つの接続をさまざまな理由でロギングすることがあるため、1 ヵ所でロギングを無効にしても、一致する接続がロギングされないとは限りません。
接続ロギングは次の場所で設定できます。
-
アクセス制御ルールおよびデフォルト アクション:接続終了時点のロギングは、接続に関するほとんどの情報を提供します。接続の開始も記録できますが、これらのイベントの情報は不完全です。接続ロギングはデフォルトで無効になっているため、追跡するトラフィックを対象とする各ルール(およびデフォルトのアクション)でこれを有効にする必要があります。
-
セキュリティ インテリジェンス ポリシー:ブラックリストに登録された接続ごとにセキュリティ インテリジェンス接続イベントを生成するようにロギングを有効にできます。セキュリティ インテリジェンスのフィルタリングの結果、システムが接続イベントをロギングすると、一致するセキュリティ インテリジェンス イベントもロギングされます。そのイベントは特殊なタイプの接続イベントで、個別に表示および分析できます。
-
SSL 復号ルールとデフォルトのアクション:接続の最後にロギングを設定できます。ブロックされた接続の場合、システムは即座にセッションを終了し、イベントを生成します。監視対象の接続やアクセス コントロール ルールに渡す接続の場合、システムはセッションが終了するとイベントを生成します。
自動接続ロギング
他のロギング設定に関係なく、次の接続終了イベントは自動的に保存されます。
-
システムは、接続がアクセス コントロール ポリシーのデフォルトのアクションで処理される限り、侵入イベントに関連付けられている接続を自動的に記録します。一致するトラフィックの侵入イベントを取得するには、デフォルト アクションでロギングを有効にする必要があります。
-
システムは、ファイル イベントとマルウェア イベントに関連付けられた接続を自動的にログに記録します。接続イベントのみ:必要に応じてファイルおよびマルウェア イベントの生成を無効にできます。
接続ロギングのためのヒント
ロギング設定および関連する統計情報の評価を検討する際は、次のヒントに注目してください。
-
アクセス コントロール ルールでトラフィックを許可すると、関連付けられた侵入ポリシーまたはファイル ポリシー(またはその両方)を使用して、トラフィックをさらに検査し、トラフィックが最終宛先に到達する前に、侵入、禁止されたファイル、およびマルウェアをブロックできます。ただし、暗号化されたペイロードに対するファイル インスペクションと侵入インスペクションはデフォルトで無効になっていることに注意してください。侵入またはファイル ポリシーが接続をブロックする理由を発見した場合、接続ログ設定を問わず、システムは接続終了イベントをただちにログに記録します。ロギングが許可された接続は、ネットワーク内のトラフィックのほとんどの統計情報を提供します。
-
信頼されている接続は、信頼アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって処理される接続です。ただし、信頼されている接続では、ディスカバリ データ、侵入、または禁止されたファイルやマルウェアがインスペクションされません。したがって、信頼されている接続の接続イベントには、限られた情報が含まれます。
-
トラフィックをブロックするアクセス コントロール ルールおよびアクセス コントロール ポリシーのデフォルト アクションの場合は、システムは接続開始イベントをロギングします。一致するトラフィックは、追加のインスペクションなしで拒否されます。
-
サービス妨害(DoS)攻撃の間にブロックされた TCP 接続をロギングすると、システム パフォーマンスに影響し、複数の同様のイベントによってデータベースが過負荷になる可能性があります。ブロック ルールにロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイス上のトラフィックをモニタするかどうかを検討します。
-
リモート アクセス VPN 接続プロファイルの設定時に、[復号されたトラフィックでアクセスコントロールポリシーをバイパスする(sysopt permit-vpn)(Bypass Access Control policy for decrypted traffic (sysopt permit-vpn))] オプションを選択した場合、または sysopt connection permit-vpn コマンドをイネーブルにした場合は、すべてのサイト間またはリモート アクセス VPN トラフィックがインスペクションとアクセス コントロール ポリシーをバイパスします。したがって、このトラフィックに対する接続イベントは発生せず、トラフィックは統計ダッシュボードには反映されません。
外部の Syslog サーバへのイベントの送信
イベントを格納する容量が限られている、Firepower Device Manager を通してイベントを表示する以外に、外部の syslog サーバにイベントを送信するルールとポリシーを設定することもできます。この機能と、選択した syslog サーバ プラットフォームの追加のストレージを使用して、イベント データを表示および分析できます。
外部の syslog サーバにイベントを送信するには、各ルール、デフォルトのアクション、または接続のログ記録を有効にするポリシーを編集し、ログ設定の syslog サーバ オブジェクトを選択します。syslog サーバに侵入イベントを送信するには、侵入ポリシー設定でサーバを設定する必要があります。Syslog サーバにファイル/マルウェアイベントを送信するには、 でサーバを設定します。
詳細については、各ルールとポリシーの種類に応じたヘルプおよび Syslog サーバの設定を参照してください。
Cisco Threat Response などの Cisco Cloud ベースのサービスを使用したイベントの評価
イベント ビューアと独自の syslog サーバを使用することに加えて、接続イベントおよび高プライオリティの侵入/ファイル/マルウェア関連イベントをシスコのクラウドベース サーバに送信できます。Cisco Threat Response などのシスコのクラウドベース サービスは、そのクラウド サーバからイベントをプルできます。ユーザはこれらのサービスを使用してイベントを評価できます。
これらのクラウドベースのサービスは FTD と FDM で別々になっています。これらのイベントをシスコのクラウドに送信する必要があるサービスを使用する場合は、 ページで接続を有効にする必要がありますCisco Cloud へのイベントの送信を参照してください。
米国地域では https://visibility.amp.cisco.com/ で、EU 地域では https://visibility.eu.amp.cisco.com で、Cisco Threat Response に接続できます。アプリケーションの使い方と利点についての動画は、YouTube でご視聴いただけます(http://cs.co/CTRvideos)。FTD での Cisco Threat Response の使い方の詳細については、『Firepower And CTR Integration Guide』を参照してください(https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html)。