アプライアンスと Cisco SecureX または Cisco Threat Response の統合
Cisco SecureX は、すべてのシスコセキュリティ製品に組み込まれたセキュリティプラットフォームです。これは新しいテクノロジーを導入する必要のないクラウドネイティブです。Cisco SecureX は、可視性を統合し、自動化を可能にして、ネットワーク、エンドポイント、クラウド、およびアプリケーション全体のセキュリティを強化するプラットフォームを提供することで、脅威からの保護の要求を簡素化します。統合プラットフォームで技術を連携することで、Cisco SecureX は測定可能な分析情報、望ましい成果、比類のないチーム間のコラボレーションを実現します。Cisco SecureX では、セキュリティ インフラストラクチャを連携させて機能を拡張できます。
Cisco Threat Response は、複数のシスコセキュリティ製品の統合をサポートして自動化する、脅威インシデント対応のオーケストレーションハブです。Threat Response は、シスコの統合セキュリティアーキテクチャの主要な柱として、主要なセキュリティ運用機能(検出、調査、修復)を加速します。
アプライアンスへの Cisco SecureX または Cisco Threat Response の統合には、次の項があります。
アプライアンスを Cisco SecureX または Cisco Threat Response と統合し、Cisco SecureX または Cisco Threat Response で以下のアクションを実行できます。
-
組織内の複数のアプライアンスから電子メールデータを表示および送信します。
-
電子メールレポート、送信者とターゲットの関係、複数の電子メールアドレスと件名行の検索、およびメッセージトラッキングで確認された脅威を特定、調査、修復します。
-
侵害されたユーザまたは発信電子メールポリシーに違反するユーザをブロックします。
-
特定した脅威を迅速に解決し、特定した脅威に対して推奨されるアクションを実行します。
-
脅威をドキュメント化して調査内容を保存し、他のデバイスと情報を共有します。
-
悪意のあるドメインのブロック、不審な観測対象の追跡、承認ワークフローの開始、または電子メールポリシーを更新するための IT チケットの作成を行います。
Cisco SecureX には、次の URL を使用してアクセスできます。
https://securex.us.security.cisco.com/login
Cisco® コンテンツセキュリティ管理アプライアンス(SMA)によって、複数の シスコ E メール セキュリティ アプライアンスの管理機能やレポート機能を一括して行うことができます。SMA E メールモジュールで強化できる観測対象の詳細については、https://securex.us.security.cisco.com/settings/modules/availableに移動し、Cisco SecureX と統合するモジュールに移動して、[詳細情報(Learn More)] をクリックしてください。
アプライアンスと Cisco SecureX または Cisco Threat Response の統合方法
操作内容 |
詳細 |
|
---|---|---|
ステップ 1 |
前提条件を確認します。 |
|
ステップ 2 |
セキュリティ管理アプライアンスで、Cisco SecureX または Cisco Threat Response の統合を有効にします。 |
|
ステップ 3 |
Cisco SecureX で、アプライアンスをデバイスとして追加し、登録して、登録トークンを生成します。 |
詳細については、次を参照してください。 https://securex.us.security.cisco.com/help/settings-devices |
ステップ 4 |
セキュリティ管理アプライアンスで、Cisco SecureX または Cisco Threat Response の登録を完了します。 |
|
ステップ 5 |
登録が成功したかどうかを確認します。 |
|
ステップ 6 |
Cisco SecureX で、E メールモジュールを追加します。 |
詳細については、 https://securex.us.security.cisco.com/settings/modules/available に移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。 |
前提条件
(注) |
すでに Cisco Threat Response ユーザアカウントを持っている場合は、Cisco SecureX ユーザアカウントを作成する必要はありません。Cisco Threat Response ユーザアカウントのクレデンシャルを使用して Cisco SecureX にログインできます。 |
-
管理者アクセス権を使用して、Cisco SecureX でユーザアカウントを作成していることを確認します。新しいユーザアカウントを作成するには、URL(https://securex.us.security.cisco.com/login)を使用して Cisco SecureX のログインページに移動し、ログインページで [SecureXサインオンアカウントの作成(Create a SecureX Sign-on Account)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。
-
(プロキシサーバを使用していない場合のみ)アプライアンスを Cisco Threat Response に登録する場合、ファイアウォールで HTTPS(インおよびアウト)443 ポートが次の FQDN に対してオープンになっていることを確認してください。
-
api-sse.cisco.com(NAM ユーザのみに対応)
-
api.eu.sse.itd.cisco.com(欧州連合(EU)のユーザのみに対応)
-
api.apj.sse.itd.cisco.com(APJC ユーザのみに対応)
-
est.sco.cisco.com(APJC、EU、および NAM ユーザに対応)
詳細については「Firewall Information」 を参照してください。
-
セキュリティ管理アプライアンスでの Cisco SecureX 統合の有効化
手順
ステップ 1 |
アプライアンスにログインします。 |
ステップ 2 |
[ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] を選択します。 |
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 4 |
[有効(Enable)] チェックボックスをオンにします。 |
ステップ 5 |
アプライアンスを Cisco SecureX または Cisco Threat Response に接続するために必要な Cisco SecureX または Cisco Threat Response サーバを選択します。 |
ステップ 6 |
変更を送信し、保存します。 |
ステップ 7 |
数分待ってから、[登録(Register)] ボタンがアプライアンスに表示されるかどうかを確認します。 |
(注) |
クラスタ化された設定では、ログイン中のアプライアンスはマシンモードの Cisco SecureX または Cisco Threat Response にのみ登録できます。アプライアンスを Cisco SecureX または Cisco Threat Response にスタンドアロンモードですでに登録している場合は、アプライアンスをクラスタに参加させる前に手動で登録を解除してください。 |
(注) |
CLI を使用してこの統合を有効にするには、 threatresponseconfig コマンドを使用します。
|
次のタスク
アプライアンスを Cisco SecureX または Cisco Threat Response に登録します。詳細については、 https://securex.us.security.cisco.com/settings/modules/available に移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。
セキュリティ管理アプライアンスでの Cisco SecureX または Cisco Threat Response の登録
手順
ステップ 1 |
[ネットワーク(Network)] > [クラウドサービス設定(Cloud Service Settings)] に移動します。 |
ステップ 2 |
[クラウドサービス設定(Cloud Services Settings)] に、登録トークンを入力し、[登録(Register)] をクリックします。 |
(注) |
CLI を使用して Cisco SecureX または Cisco Threat Response を登録するには、 cloudserviceconfig コマンドを使用します。
|
次のタスク
登録が成功したかどうかの確認
-
Security Services Exchange で、Security Services Exchange のステータスを確認して、正常に登録されたことを確認します。
-
Cisco SecureX で、[デバイス(Devices)] ページに移動し、Security Services Exchange に登録されている SMA を表示します。
(注) |
別の Cisco SecureX サーバまたは Cisco Threat Response サーバ(欧州用の「api.eu.sse.itd.cisco.com」など)に切り替える場合は、最初に Cisco SecureX または Cisco Threat Response からアプライアンスの登録を解除して、「アプライアンスと Cisco SecureX または Cisco Threat Response の統合方法」のステップを実行する必要があります。 Cisco SecureX または Cisco Threat Response にアプライアンスを統合した後は、電子メールと Web のレポート機能が集中管理されるため、電子メール セキュリティ アプライアンスを Cisco SecureX または Cisco Threat Response に統合する必要はありません。 Security Services Excange にアプライアンスが正常に登録されたら、Cisco SecureX に SMA 電子メールモジュールを追加します。詳細については、 https://securex.us.security.cisco.com/settings/modules/available に移動して、Cisco SecureX と統合するモジュールを選択し、[新しいモジュールの追加(Add New Module)] をクリックしてページに記載されている手順を参照してください。 |
Cisco SecureX Ribbon を使用した攻撃分析の実行
(注) |
セキュリティ管理アプライアンス 13.6.1 以前のバージョンからアップグレードする場合、ケースブックは Cisco SecureX Ribbon の一部となります。 |
Cisco SecureX は、可視性の統合、自動化の実現、インシデント対応ワークフローの迅速化、脅威ハンティングの改善を行う一連の分散型機能をサポートします。Cisco SecureX の分散機能は、SecureX Ribbon でアプリケーションおよびツールの形式で利用できます。
この章で説明する内容は、次のとおりです。
Cisco SecureX Ribbon はページの下部ペインにあり、ダッシュボードと環境内の他のセキュリティ製品間を移動しても保持されます。Cisco SecureX Ribbon は、次のアイコンと要素で構成されています。
-
リボンの展開/縮小
-
Home
-
ケースブックアプリ
-
インシデントアプリ
-
Orbital アプリ
-
[エンリッチメント(Enrichment)] 検索ボックス
-
観測対象の検索
-
設定
Cisco SecureX Ribbon の詳細については、https://securex.us.security.cisco.com/help/ribbon を参照してください。
Cisco SecureX Ribbon へのアクセス
始める前に
(注) |
セキュリティ管理アプライアンス 13.6.1 以前のバージョンの [ケースブック(Casebook)] をすでに設定している場合、次の手順で説明するように、追加のスコープを使用して Cisco SecureX API クライアントで [クライアントID(Client ID)] と [クライアントのシークレット(Client Secret)] を作成する必要があります。 |
ボタンを使用して、ページの下部ペインにある Cisco SecureX リボンを右からドラッグできます。
手順
ステップ 1 |
アプライアンスの新しい Web インターフェイスにログインします。詳細については、「Web インターフェイスへのアクセス」を参照してください。https://www.cisco.com/c/en/us/td/docs/security/security_management/sma/sma13-6-1/User-Guide/b_SMA_Admin_Guide_13_6_1/b_NGSMA_Admin_Guide_chapter_01.html#task_1280297 |
||
ステップ 2 |
[Cisco SecureX Ribbon] をクリックします。 |
||
ステップ 3 |
SecureX API クライアントで [クライアントID(Client ID)] と [クライアントのシークレット(Client Secret)] を作成します。API クライアントのクレデンシャルを生成する方法の詳細については、「Creating an API Client」を参照してください。 クライアント ID とクライアントパスワードの作成時には、次の範囲を選択してください。
|
||
ステップ 4 |
アプライアンスの [SecureXリボンを使用するにはログインしてください(Login to use SecureX Ribbon)] ダイアログボックスのステップ 3 で取得したクライアント ID とクライアントパスワードを入力します。 |
||
ステップ 5 |
[SecureXリボンを使用するにはログインしてください(Login to use SecureX Ribbon)] ダイアログボックスで必要な Cisco SecureX サーバを選択します。 |
||
ステップ 6 |
[認証(Authenticate)] をクリックします。
|
次のタスク
Cisco SecureX Ribbon およびピボットメニューを使用した攻撃分析のためのケースブックへの観察対象の追加
Cisco SecureX Ribbon およびピボットメニューを使用した攻撃分析のためのケースブックへの観察対象の追加
始める前に
アプライアンスの Cisco SecureX Ribbon とピボット メニュー ウィジェットにアクセスするには、クライアント ID とクライアント パスワードを取得します。詳細については、「Cisco SecureX Ribbon へのアクセス」を参照してください。Cisco SecureX Ribbon へのアクセス
手順
ステップ 1 |
アプライアンスの新しい Web インターフェイスにログインします。詳細については、「Web インターフェイスへのアクセス」を参照してください。https://www.cisco.com/c/en/us/td/docs/security/security_management/sma/sma13-6-1/User-Guide/b_SMA_Admin_Guide_13_6_1/b_NGSMA_Admin_Guide_chapter_01.html#task_1280297 |
||
ステップ 2 |
[メールレポート(Email Reporting)] ページまたは [Webレポート(Web Reporting)] へ移動して、該当する観測対象(bit.ly など)の横にあるピボットメニュー ボタンをクリックします。 次の手順を実行します。
|
||
ステップ 3 |
アイコンにカーソルを合わせ、 ボタンをクリックしてケースブックを開きます。観測対象が新しいまたは既存のケースに追加されたかを確認します。 |
||
ステップ 4 |
(オプション) ボタンをクリックして、タイトル、説明、またはメモをケースブックに追加します。 |
(注) |
攻撃分析の観測対象を検索するには、次の 2 つの方法があります。 |
-
Cisco SecureX の[エンリッチメント(Enrichment)] 検索ボックスをクリックし、観測対象を検索します。
-
Cisco SecureX Ribbon 内の [ケースブック(Casebook)] アイコンをクリックし、 フィールドで観測対象を検索します。
Cisco SecureX Ribbon の詳細については、https://securex.us.security.cisco.com/help/ribbon を参照してください。