Last Updated: May 31, 2022

Cisco Secure Firewall Management Center および SecureX 統合ガイド

このガイドでは、Secure Firewall Management CenterManagement Center)と SecureX の統合の手順について説明します。

このガイドの対象読者

このガイドは、SecureX プラットフォームを初めて使用する既存の Firepower ユーザーを対象としています。このガイドは、Management Center 管理対象 Secure Firewall Threat DefenseThreat Defense )デバイス(バージョン 6.6.1)と SecureX プラットフォームの直接統合を実行する場合にのみ使用してください。

統合シナリオの詳細については、https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/SecureX/firepower-and-securex-integration-guide.html で 『Cisco Firepower and SecureX Integration Guide』を参照してください。

Secure Firewall Management CenterSecureX について

SecureX は、シスコの統合セキュリティポートフォリオを既存のインフラストラクチャに接続する、シンプルなプラットフォーム エクスペリエンスです。可視性の統合、自動化の実現、ネットワーク、エンドポイント、クラウド、アプリケーションのセキュリティ強化に役立ちます。

SecureX は、シスコのセキュリティ製品の購入に含まれており、SecureX ですべての Threat Defense デバイスのデータを表示できます。

SecureX の詳細については、https://www.cisco.com/c/en/us/products/security/securex/index.htmlを参照してください。

Secure Firewall Management CenterSecureX の直接統合について

管理対象 Threat Defense デバイスが、サポートされているイベントを Cisco Cloud 内の Security Services ExchangeSSE)に直接送信できるように Management Center を設定できます。SSE を使用して、インシデントとして SecureX に表示されるように自動または手動でイベントを昇格できます。

デバイスが現在のソフトウェアバージョンを実行しているかどうかなど、システムのステータスも表示できます。

直接統合では、次のイベントタイプがサポートされます。

  • 侵入イベント

  • セキュリティ インテリジェンスの接続イベント

  • ファイルおよびマルウェアのイベント

動作の仕組み

次の図は、直接統合の動作の仕組みを示しています。

Management Center 管理対象デバイスがイベントを生成します。

Threat Defense デバイスは、サポートされているイベントを SSE に送信します。

SecureX は、調査対象の IP アドレスに関する検出情報を SSE に照会し、SOC アナリストに追加のコンテキストを提供します。イベントは、SecureX に表示されるインシデントに自動的または手動で昇格されます。

この統合の主要コンポーネント

コンポーネント

説明

SecureX

シスコの統合セキュリティポートフォリオを既存のインフラストラクチャに接続する、シンプルなプラットフォーム エクスペリエンス。可視性の統合、自動化の実現、ネットワーク、エンドポイント、クラウド、アプリケーションのセキュリティ強化に役立ちます。

Security Services ExchangeSSE

シスコのクラウドセキュリティ製品で使用される、クラウド間およびオンプレミスとクラウドの間での識別、認証、およびデータストレージを処理するセキュアな中間クラウドサービス。

SecureX サインオン

1 つのログイン情報で任意のデバイスからシスコのあらゆるセキュリティ製品に簡単にアクセスできるセキュアログインページ。

Cisco Success Network(CSN)

 ASA の使用率情報と統計情報をストリーミングする Security Service Exchange(SSE)クラウドとのセキュアな接続を確立する、ユーザーによって有効にされるクラウドサービス。
Cisco SecureX Threat Response 複数の製品やソースから集約されたデータを使用して、脅威を検出、調査、分析、対応するために役立つクラウドプラットフォーム。

前提条件

前提条件タイプ

要件

Firepower デバイス

 Management Center によって管理される Threat Defense デバイス

FirePOWER のバージョン

6.6.1(Management Center とその管理対象デバイスの両方)

ライセンシング

Cisco Smart Software ManagerManagement Center を登録します。

Management Center Web インターフェイスで、[System]()> [Smart Licenses] をクリックして、次のことを確認します。

  • [Usage Authorization] ステータスが [Authorized] になっている。

  • [Product Registration] ステータスが [Registered] になっている。

Management CenterCisco Smart Software Manager に登録する手順については、https://www.cisco.com/c/en/us/td/docs/security/firepower/660/configuration/guide/fpmc-config-guide-v66/licensing_the_firepower_system.html を参照してください。

次の点を考慮してください。

  • この統合は Firepower 評価ライセンスではサポートされていません。

  • お使いの環境では Cisco Smart Software Manager オンプレミスサーバー(旧 Smart Software Satellite Server)を使用できないか、またはエアギャップ環境に導入できません。

アカウント

  • Firepower 製品のライセンスを取得する Cisco スマートアカウントの管理者権限が必要です。

    スマートアカウントのユーザーロールを決定するには、次の手順を実行します。

    1. https://software.cisco.com にアクセスします。

    2. [Manage Smart Account] をクリックします。

    3. ページの右上の領域([Help] リンクの上)でスマートアカウントを選択します。

    4. [ユーザー(Users)] タブをクリックします。

    5. 自分のユーザー ID を検索します。

  • Firepower アカウントには次のユーザー ロールのいずれかが必要です。

    • 管理者

    • アクセス管理者

    • ネットワーク管理者

    • セキュリティ承認者

    Firepower ユーザーロールを決定するには、Management Center Web インターフェイスで [System]()> [Users] をクリックします。

接続性

Management Center および管理対象デバイスは、ポート 443 で次のアドレスの Cisco Cloud に対してアウトバウンド方向に接続できる必要があります。

デバイスステータスを表示する SecureX タイルの場合

デバイスが最適なバージョンを実行しているかどうかなどのシステム情報を示す SecureX タイルを表示するには、Management Center Web インターフェイスで Cisco Success Network(CSN)を有効にします。

この設定を確認したり有効にしたりするには、Management Center Web インターフェイスの [システム(System)()] > [スマートライセンス(Smart Licenses)] ページに移動します。詳細については、Management Center オンラインヘルプで「Cisco Success Network」を検索してください。

CSN を有効にした後、デバイスのステータスタイルが更新されるまでに最大 24 時間かかります。

Secure Firewall Management CenterSecureX の統合

Management Center と管理対象 Threat Defense デバイスを SecureX と統合するには、次のタスクを実行します。

ワークスペース

手順

Secure Firewall Management Center

イベントを Security Services Exchange に送信するための Secure Firewall Management Center の設定

SecureX サインオン

新しい SecureX サインオンアカウントの設定:新しい SecureX サインオンアカウントを作成します。

SecureX

新しい SecureX サインオンアカウントの設定:新しい組織を作成します。

SecureX

SecureX サインオンアカウントの有効化:Firepower デバイスを接続します。

Security Services Exchange

SecureX サインオンアカウントの有効化:スマート/バーチャルアカウントをリンクします。

Security Services Exchange

SecureX サインオンアカウントの有効化:クラウドサービスを設定します。

SecureX

SecureX サインオンアカウントの有効化:Firepower デバイスが接続されていることを確認します。

SecureX

SecureX での Firepowerモジュールとタイルの設定

イベントを Security Services Exchange に送信するための Secure Firewall Management Center の設定

管理対象 Threat Defense デバイスにイベントを直接 SSE に送信させるように Management Center を設定します。

始める前に

Management Center で、次の手順を実行します。

  • [システム(System)]()> [設定(Configuration)] の順にクリックし、クラウドの [デバイス(Devices)] リストで明確に識別される一意の名前を Management Center に付けます。

  • Threat Defense デバイスを Management Center に追加し、それらにライセンスを割り当て、システムが正常に動作していることを確認します(つまり、必要なポリシーが作成され、イベントが生成されて [分析(Analysis)] タブの Management Center Web インターフェイスに想定どおりに表示されているかどうか)。

手順

ステップ 1

Management Center Web インターフェイスで、[システム(System)]()> [統合(Integration)] の順にクリックします。

ステップ 2

[Cisco Cloudリージョン(Cisco Cloud Region)] ウィジェットで、[地域(Region)] ドロップダウンリストから地域クラウドを選択し、[保存(Save)] をクリックします。

地域クラウドを選択する前に、次の重要な点を考慮してください。

  • 可能な場合は、Firepower の導入環境に最も近い地域クラウドを使用してください。

  • 異なるクラウド内のデータを集約またはマージすることはできません。

  • 複数の地域からデータを集約する必要がある場合は、すべての地域のデバイスが同じ地域のクラウドにデータを送信する必要があります。

  • 各地域のクラウド上にアカウントを作成できます。各クラウドのデータは区分されます。

(注)   

すでに Management Center が選択した地域クラウドに登録されている場合、[保存(Save)] ボタンは非アクティブになります。

この手順で選択した地域は、Cisco Support Diagnostics およびシスコ サポートネットワーク機能にも使用されます(該当し有効にしている場合)。これらの機能の詳細については、ご使用の Firepower 製品のオンラインヘルプを参照してください。
ステップ 3

[Cisco Cloudイベントの設定(Cisco Cloud Event Configuration)] ウィジェットで、イベントを SSE に送信するように Management Center を設定します。

  1. [Cisco Cloudイベントの設定(Cisco Cloud Event Configuration)] スライダ()をクリックして、設定を有効にします。

  2. SSE に送信するイベントのタイプを有効または無効にします。

  3. [保存(Save)] をクリックします。

(注)   

接続イベントを有効にすると、セキュリティインテリジェンス接続イベントのみが Cisco Cloud に送信されます。

新しい SecureX サインオンアカウントの設定

SecureX サインオンアカウントを使用すると、1 つのログイン情報で任意のデバイスからシスコのあらゆるセキュリティ製品に簡単にアクセスできます。

Management CenterSecureX を統合する新しい SecureX サインオンアカウントを作成します。

始める前に

  • 使用する予定の地域クラウドに組織のアカウントがすでに存在するかどうかを確認します。存在する場合は、既存のアカウントを使用し、新しいアカウントの作成プロセスをスキップします。

  • 自分または組織がすでに Cisco SecureX Threat Response のアカウントを持っているかどうかを確認します。存在する場合は、既存の(シスコ セキュリティ アカウントまたは Threat Grid)アカウントを使用して SecureX にログインし、新しいアカウントの作成プロセスをスキップします。

    詳細については、https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/SecureX/firepower-and-securex-integration-guide.html で 『Cisco Firepower and SecureX Integration Guide』を参照してください。

  • 組織内の他のユーザーがすでに地域クラウドのアカウントを持っている場合は、そのアカウントの管理者にお客様のアカウントの追加を依頼します。詳細については、https://www.cisco.com/c/en/us/support/security/securex/products-installation-and-configuration-guides-list.html で『Cisco SecureX Getting Started Guide』を参照してください。

手順

ステップ 1

SecureX サインオン:新しい SecureX サインオンアカウントにサインアップします。

  1. https://sign-on.security.cisco.com にアクセスします。

  2. [SecureXサインオンの作成(Create a SecureX Sign-On)] をクリックします。

  3. フォームに入力して、[登録(Register)] をクリックします。

  4. 「アカウントを有効化(Activate Account)」という件名の電子メールを検索し、[アカウントを有効化(Activate Account)] をクリックします。

ステップ 2

SecureX サインオン:Duo Security を設定して多要素認証(MFA)を設定します。

  1. [多要素認証の設定(Set up multi-factor authentication)] 画面で、[設定(Configure)] をクリックします。

  2. [設定の開始(Start setup)] をクリックし、プロンプトに従ってデバイスを選択して、選択したデバイスとアカウントのペアリングを確認します。

    詳細については、『Duo Guide to MFA and Device Enrollment』を参照してください。デバイスに Duo アプリケーションがすでにインストールされている場合は、このアカウントのアクティベーションコードが送信されます。Duo は 1 台のデバイスで複数のアカウントをサポートします。

    (注)   

    セキュリティを強化するため、異なるデバイスを 2 台以上登録しておくことを推奨します。[デバイスの追加(+ Add another device)] をクリックし、プロンプトに従って別のデバイスを登録します。詳細については、『Duo Guide to MFA and Device Management』を参照してください。

  3. ウィザードの最後に、[ログインを続行する(Continue to Login)] をクリックします。

  4. 二要素認証を使用して SecureX サインオンにサインインします。

  5. デバイスがアカウントとペアリングされたら、[完了(Finish)] をクリックします。

    必要に応じて、MFA に Google Authenticator を使用している既存のユーザは、[Google Authenticatorの設定(Setup Google Authenticator)] をクリックしてプロンプトに従うことで、バックアップ要素としてここに追加できます。
ステップ 3

SecureX サインオンSecureX サインオンアカウントのアカウントリカバリのオプションを設定します。

  1. (オプション)SMS を使用してパスワードをリセットしたり、アカウントのロックを解除したりするための電話番号を追加します。

  2. セキュリティイメージを選択します。

  3. [マイアカウントの作成(Create My Account)] をクリックします。

(注)   

アカウントリカバリのオプションを設定する前に現在のセッションがタイムアウトした場合、SecureX サインオンは次回のログイン時にオプションを設定するように求めます。

ステップ 4

SecureXSecureX で新しい組織を作成します。

  1. SecureX を起動する地域を選択します。

  2. プロンプトが表示されたら、SecureX サインオンアカウントを使用して認証します。

  3. フォームに入力し、[組織の作成(Create Organization)] をクリックします。

ステップ 5

SecureXSecureX で新しいアカウントの詳細を確認します。

  1. [アカウントの有効化(Account Activation)] ページの右上隅にある自分の名前をクリックします。

  2. 組織の名前をクリックします。

  3. アカウントの詳細を確認します。

SecureX サインオンアカウントの有効化

SecureX の使用を開始するには、少なくとも 1 台の Firepower デバイスを SecureX に接続して、SecureX サインオンアカウントを有効にする必要があります。

始める前に

  • ライセンス管理アカウントをリンクするには、(Firepower 製品のライセンスを取得する)すべてのライセンス管理アカウントと SecureX へのアクセスに使用するアカウントに、管理者レベルのスマートアカウントまたはバーチャルアカウント権限が必要です。

  • Cisco SecureX Threat Response で使用するためにすでにリンクされたアカウントがある場合は、SecureX のためにそれらのアカウントを再度リンクする必要はなく、その逆も同様です。

  • この手順を実行するには、Cisco.com のログイン情報が必要になります。

手順

ステップ 1

SecureX サインオンSecureX にアクセスします。

  1. https://sign-on.security.cisco.com/に進みます。

  2. SecureX サインオンアカウントを使用してサインインします。

  3. プロンプトが表示されたら、Duo Security を使用して認証します。

  4. SecureX を起動する地域を選択します。

ステップ 2

SecureXSecureX アカウントの有効化プロセスを開始します。

  1. [アカウントの有効化(Account Activation)] ページで、[接続(Connect)] をクリックします。

  2. [デバイスの接続(Connect Device)] ページで、[アカウントのリンク(Link Account)] をクリックします。

    Web ブラウザの新しいタブで SSE が開きます。

    (注)   

    SecureX タブを閉じないでください。

ステップ 3

Security Services Exchange:異なるライセンス管理スマートアカウント(またはバーチャルアカウント)に登録されている製品をクラウド内の単一のビューに統合するには、それらのライセンス管理アカウントを SecureX へのアクセスに使用するアカウントにリンクする必要があります。

  1. SecureX サインオンアカウントを使用して SSE にサインインします。

  2. 右上隅にある [ツール(Tools)] ボタン()をクリックし、[スマート/バーチャルアカウントのリンク(Link Smart/Virtual Accounts)] を選択します。

  3. [Link More Accounts] をクリックします。

  4. サインインを要求されたら、Cisco.com のログイン情報を使用してサインインします。

  5. このクラウド アカウントと統合するアカウントを選択します。

  6. [スマート/バーチャルアカウントのリンク(Link Smart/Virtual Accounts)] をクリックします。

  7. [OK] をクリックして、先へ進みます。

  8. Management Center とその管理対象デバイスが [デバイス(Devices)] タブに表示されていることを確認します。

    このリストにデバイスが表示されない場合は、直接統合のトラブルシューティング を参照してください。

  9. [イベント(Events)] タブにイベントが表示されていることを確認します。

    このリストに想定されるイベントが表示されない場合は、直接統合のトラブルシューティング を参照してください。

ステップ 4

Security Services ExchangeSSE のクラウドサービスを設定します。

  1. [クラウドサービス(Cloud Services)] タブをクリックします。

  2. Cisco SecureX Threat Response とイベントサービスが有効になっていることを確認します。

  3. マルウェアおよびセキュリティ インテリジェンス イベントを SecureX のインシデントとして昇格するには、[イベント(Eventing)] パネルの をクリックし、[イベントの自動昇格(Auto-Promote Events)] タブで必要なイベントタイプを選択してから、[保存(Save)] をクリックします。

ステップ 5

SecureXSecureX アカウントの有効化プロセスを完了します。

  1. SecureX タブ([デバイスの接続(Connect Device)] )ページに戻り、[デバイスが接続されていることを確認する(Confirm Device is Connected)] をクリックします。

  2. [SecureXを使用して開始(Start using SecureX)] をクリックします。

  3. [管理(Administration)] > [デバイス(Devices)] に移動し、Management Center とその管理対象デバイスがこのページに表示されることを確認します。

    このリストにデバイスが表示されない場合は、直接統合のトラブルシューティング を参照してください。

SecureX での Firepowerモジュールとタイルの設定

Cisco SecureX は、シスコのセキュリティ製品およびサードパーティ ソリューション用の統合モジュールを提供しています。SecureX でデータと応答措置を使用できるように Firepower モジュールを設定する必要があります。

セキュリティ環境全体を可視化し、脅威への対応を促進するため、SecureX タイルには Firepower 製品のメトリックとデータが表示されます。SecureX に Firepower 統合モジュールを追加すると、Firepower タイルをダッシュボードに追加できるようになります。

始める前に

デバイスが最適なバージョンを実行しているかどうかなどのシステム情報を示す SecureX タイルを表示するには、Management Center で Cisco Success Network(CSN)を有効にします。

この設定を確認したり有効にしたりするには、Management Center Web インターフェイスの [システム(System)()] > [スマートライセンス(Smart Licenses)] ページに移動します。詳細については、Management Center オンラインヘルプで「Cisco Success Network」を検索してください。

CSN を有効にした後、デバイスのステータスタイルが更新されるまでに最大 24 時間かかります。

手順

ステップ 1

SecureX サインオンSecureX にアクセスします。

  1. https://sign-on.security.cisco.com/に進みます。

  2. SecureX サインオンアカウントを使用してサインインします。

  3. プロンプトが表示されたら、Duo Security を使用して認証します。

  4. SecureX を起動する地域を選択します。

ステップ 2

SecureX:新しい Firepower 統合モジュールを追加します。

  1. [統合モジュール(Integration Modules)] タブをクリックします。

  2. [新しい統合モジュールを追加(Add New Integration Module)] をクリックします。

  3. Firepower 統合モジュールに移動し、[+新しいモジュール(+ New Module)] をクリックします。

  4. Firepower 統合モジュールの名前を入力し、[保存(Save)] をクリックします。

    モジュールが正常に設定されたかどうかを判断するために、正常性チェックが実行されます。このプロセスが完了すると、設定に問題がないこと、またはエラーが検出されたことを示すメッセージが表示されます。

    新しく追加されたモジュールは、[使用中の統合モジュール(My Integration Modules)] ページ([統合モジュール(Integration Modules)] タブ)に表示されます。

ステップ 3

SecureX:Firepower タイルを追加します。

  1. [ダッシュボード(Dashboard)] タブをクリックします。

  2. [タイルの追加(Add Tiles)] をクリックします。

  3. 新しいダッシュボードを作成するには、[ダッシュボードの作成(Create Dashboard)] をクリックします。

    または、既存のダッシュボードを使用できます。

  4. ダッシュボードの名前を入力し、必要な Firepower タイルを選択して、[保存(Save)] をクリックします。

    タイルを追加した後、サイズを変更して、SecureX ダッシュボード上の目的の位置に移動することができます。

次のタスク

お客様が SecureX の管理者ユーザーの場合、

  • SecureX 経由で組織に参加するようにユーザーを招待します。

  • Firepower ダッシュボードを組織内の他のユーザーと共有します。

手順については、SecureX オンラインヘルプを参照してください。

直接統合のトラブルシューティング

クラウドへのアクセスに関する問題

  • この統合の設定を試みる直前にクラウドアカウントをアクティブ化し、この統合の実装中に問題が発生した場合は、1 ~ 2 時間待ってから、クラウドアカウントへのログインを試します。

  • アカウントに関連付けられている地域クラウドの正しい URL にアクセスしていることを確認してください。

デバイスインターフェイスには統合が有効と表示されているが、[デバイス(Devices)] ページにはデバイスが表示されない

  • クラウド アカウントにリンクされていないスマート アカウントか、または仮想アカウントを使用してデバイスのライセンスが取得されている可能性があります。次のいずれかを実行します。

    • SSE で、デバイスのライセンスを取得したアカウントにリンクします。

    • リンクされているアカウントからデバイスのライセンスを取得するには、次を実行します。

      Management Center での統合を無効にし、デバイスから現在のライセンスの登録を解除し、リンクされているアカウントからデバイスのライセンスを再取得してから、Management Center で統合を再度有効にします。

  • Firepower の設定で選択したのと同じ地域のクラウドを参照していることを確認します。クラウドへのイベントの送信開始時に地域を選択しなかった場合は、まず北米のクラウドを試してください。

Management Center によって管理されるデバイスが [SSEデバイス(SSE Devices)] ページに正しく表示されない

デバイス名は、SSE への初期登録時にのみ Management Center から SSE に送信され、デバイス名が FMC で変更されても SSE で更新されません。

SSE の [デバイス(Devices)] ページで、以前に登録されたデバイスが予期せず未登録として表示される

これらのデバイスが Device Manager によって管理されている Threat Defense デバイスであり、SecureX との統合のためにデバイスを SSE に登録した後に CDO との統合を有効にし、まだアカウントをマージしていない場合は、『Cisco Firepower および SecureX 統合ガイド』(https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/SecureX/firepower-and-securex-integration-guide.html)の「CDO アカウントと SecureX アカウントのマージ」の手順を実行してください。

予期していたイベントが [SSEイベント(SSE Events)] リストにない

  • 正しい地域クラウドとアカウントを使用していることを確認します。

  • デバイスがクラウドに到達できること、および必要なすべてのアドレスへのファイアウォールを介したトラフィックが許可されていることを確認します。

  • [イベント(Events)] ページの [更新(Refresh)] ボタンをクリックしてリストを更新します。

  • 予期していたイベントが Firepower に表示されることを確認します。

  • SSE の [Cloud Services] ページの [Eventing] の設定で、自動削除(イベントのフィルタアウト処理)の設定を確認します。

  • その他のトラブルシューティングのヒントについては、SSE のオンライン ヘルプを参照してください。

一部のイベントが欠落している

  • 接続イベントを送信すると、セキュリティ インテリジェンス接続イベントのみが使用されます。他の接続イベントはすべて無視されます。

  • Management Center で、グローバルブロックリストや許可リストおよび Secure Firewall Threat Intelligence Director などのカスタム セキュリティ インテリジェンス オブジェクトを使用している場合は、それらのオブジェクトを使用して処理されるイベントを自動昇格するように SSE を設定する必要があります。イベントのインシデントへの昇格については、SSE オンラインヘルプの情報を参照してください。