직접 통합 관련 정보
Firepower 릴리스 6.4부터는 지원되는 이벤트를 Firepower Threat Defense(FTD) 디바이스에서 Cisco Cloud로 바로 전송하도록 Firepower 시스템을 구성할 수 있습니다.
특히 Firepower 디바이스는 이벤트를 보안 서비스 익스체인지(SSE)로 전송하는 데, 여기서는 이벤트를 SecureX에 표시되는 인시던트로 자동 또는 수동으로 승격할 수 있습니다.
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
Firepower 릴리스 6.4부터는 지원되는 이벤트를 Firepower Threat Defense(FTD) 디바이스에서 Cisco Cloud로 바로 전송하도록 Firepower 시스템을 구성할 수 있습니다.
특히 Firepower 디바이스는 이벤트를 보안 서비스 익스체인지(SSE)로 전송하는 데, 여기서는 이벤트를 SecureX에 표시되는 인시던트로 자동 또는 수동으로 승격할 수 있습니다.
요구 사항 유형 |
요건 |
---|---|
Firepower 디바이스 |
Firepower Threat Defense 디바이스
|
Firepower 버전 |
US 클라우드: 6.4 이상 EU 클라우드: 6.5 이상 APJC 클라우드: 6.5 이상 버전 요구 사항은 디바이스 및 FMC에 모두 적용됩니다(해당되는 경우). |
라이선싱 |
이 통합에는 특별한 라이선스가 필요하지 않습니다. 하지만 다음 경우를 고려하십시오.
|
계정 |
직접 통합을 위한 계정 요구 사항의 내용을 참조하십시오. FDM을 CDO와 함께 사용하는 경우 (FDM에서 관리하는 FTD 전용) CDO 및 SecureX 계정 병합도 참조하십시오. |
연결성 |
FMC 및 매니지드 디바이스는 다음 주소의 Cisco Cloud로의 아웃바운드 연결을 포트 443에서 지원해야 합니다.
|
일반 |
Firepower 시스템이 이벤트를 예상대로 생성하고 있습니다. |
Firepower 이벤트 데이터를 전송할 지역 클라우드에 대한 계정이 있어야 합니다.
지원되는 계정 유형에 대해서는 SecureX 액세스에 필요한 필수 계정의 내용을 참조하십시오.
사용할 지역 클라우드에서 사용자가 사용자의 조직이 이미 계정을 만들었다면, 새 계정을 만들지 마십시오. 다른 계정의 데이터를 집계하거나 병합할 수 없습니다.
계정을 얻으려면 액세스할 계정 받기 SecureX의 내용을 참조하십시오.
클라우드 계정에는 관리자 레벨 권한이 있어야 합니다.
제품을 라이선싱하는 Cisco 스마트 계정에 대한 관리자 권한이 있어야 합니다.
Smart 계정 관리자 역할을 결정하려면 https://software.cisco.com(으)로 이동해 Manage Smart Account(스마트 계정 관리)를 클릭하고, 페이지 오른쪽 상단에서 Smart Account(스마트 계정)을 선택하고, Users(사용자) 탭을 클릭한 다음 사용자 ID를 검색해야 합니다.
라이선싱 스마트 계정과 클라우드에 액세스하는 데 사용할 계정은 같은 Cisco CCO 계정에 연결돼 있어야 합니다.
Firepower 계정에는 다음 사용자 역할 중 하나가 있어야 합니다.
Admin(관리자)
액세스 관리자
Network Admin(네트워크 관리자)
보안 승인자
참고 |
디바이스가 이미 클라우드에 이벤트를 전송 중인 경우, 다시 전송하도록 구성할 필요가 없습니다. SecureX 및 Cisco SecureX Threat Response (이전에는 Cisco Threat Response)는 동일한 이벤트 데이터 집합을 사용합니다. |
수행해야 할 작업 |
추가 정보 |
|||
---|---|---|---|---|
단계 | 전송할 이벤트, 해당 이벤트를 전송하는 방법, 사용할 지역 클라우드 등에 대해 결정합니다. | 다음 항목을 참조하십시오. Firepower 및 통합에 대한 중요 정보 SecureX | ||
단계 |
요구 사항 |
직접 통합 요구사항 및 하위 항목을 충족합니다. |
||
단계 |
브라우저에서, 디바이스 및 이벤트 필터링을 관리하는 데 사용할 SecureX용 클라우드 포털인 보안 서비스 익스체인지에 액세스합니다. |
Access(액세스) 보안 서비스 익스체인지 의 내용을 참조하십시오. |
||
단계 |
(FDM 전용) CDO를 사용하여 FTD 디바이스의 설정을 관리하는 경우 CDO 계정을 이 문서에 설명된 서비스에 사용하는 계정과 병합해야 합니다. |
(FDM에서 관리하는 FTD 전용) CDO 및 SecureX 계정 병합의 내용을 참조하십시오. |
||
단계 |
보안 서비스 익스체인지에서 라이선싱 계정을 연결해, 조직 내 다양한 계정에 등록한 디바이스가 제공하는 이벤트 데이터를 보고 처리할 수 있게 합니다. |
Link Smart 라이선스 계정의 내용을 참조하십시오. |
||
단계 |
보안 서비스 익스체인지에서 이벤팅 서비스를 활성화합니다. |
Cloud Services(클라우드 서비스)를 클릭하고 다음 옵션을 활성화합니다.
|
||
단계 |
Firepower 제품에서 Cisco Cloud와의 통합을 활성화합니다. |
팁: 이 항목에 있는 전제 조건을 건너뛰지 마십시오.
|
||
단계 |
Firepower 시스템에서 이벤트를 생성할 때까지 기다립니다. |
-- |
||
단계 |
통합이 올바르게 설정되었는지 확인합니다. 필요하다면 문제를 해결합니다. |
참조: |
||
단계 |
보안 서비스 익스체인지에서 중요한 이벤트를 자동으로 승격하도록 시스템을 구성합니다. |
이벤트 승격에 관한 정보는 보안 서비스 익스체인지에서 온라인 도움말의 정보를 참조하십시오. SSE에 액세스하는 방법은 Access(액세스) 보안 서비스 익스체인지의 내용을 참조하십시오. |
||
단계 |
(선택 사항) 보안 서비스 익스체인지에서 중요하지 않은 특정 이벤트의 자동 삭제를 구성합니다. |
이벤트 필터링에 관한 정보는 보안 서비스 익스체인지에서 온라인 도움말의 정보를 참조하십시오. SSE에 액세스하는 방법은 Access(액세스) 보안 서비스 익스체인지의 내용을 참조하십시오. |
||
단계 |
SecureX에서 Firepower 모듈을 추가합니다. |
SecureX에서 Integration Modules(통합 모듈) > Available Integration Modules(사용 가능한 통합 모듈)로 이동하여 Firepower 모듈을 추가합니다. 이 모듈에 관한 자세한 내용은 SecureX의 온라인 도움말을 참조하십시오. |
브라우저에서 팝업 차단을 비활성화합니다.
단계 1 |
브라우저 창에서 사용자의SecureX 클라우드로 이동합니다.
|
단계 2 |
SecureX, AMP for Endpoints, Cisco Threat Grid 또는 Cisco Security 계정 관련 자격 증명을 사용하여 로그인합니다. 계정 자격 증명은 지역 클라우드마다 다릅니다. |
단계 3 |
보안 서비스 익스체인지(으)로 이동합니다. Integrations(통합) > Devices(디바이스) > Manage Devices(디바이스 관리)를 선택합니다. 보안 서비스 익스체인지 가 새 브라우저 창에서 열립니다. |
이 작업을 수행해야 할 수도 있고 필요하지 않을 수도 있습니다.
FDM 관리Firepower Threat Defense(FTD) 디바이스를 Cisco Defense Orchestrator(CDO) 또는 Cisco Security Analytics and Logging(SaaS) 및 SecureX 또는 Cisco SecureX Threat Response와 함께 사용할 경우 CDO 계정을 SecureX 또는 Cisco SecureX Threat Response에 대한 디바이스와 연결된 계정과 병합해야 합니다. (이전에는 Cisco SecureX Threat Response가 Cisco Threat Response 또는 CTR로 알려짐)
하나의 CDO 테넌트만 하나의 SecureX/Cisco SecureX Threat Response 계정과 병합할 수 있습니다.
둘 이상의 지역 클라우드에 계정이 있는 경우 각 지역 클라우드에 대해 별도로 계정을 병합해야 합니다.
SecureX 클라우드의 계정을 병합하는 경우 동일한 클라우드의 Cisco SecureX Threat Response에 대해 다시 수행할 필요가 없으며 그 반대도 마찬가지입니다.
이 작업은 되돌릴 수 없습니다.
병합해야 하는 계정의 인증서를 사용하여 CDO 및 해당 지역 SecureX 또는 Cisco SecureX Threat Response 클라우드에 로그인할 수 있어야 합니다.
CDO 사용자 계정에는 관리자 또는 슈퍼 관리자 권한이 있어야 합니다.
사용자 SecureX 또는 Cisco SecureX Threat Response 계정에 관리자 권한이 있어야 합니다.
단계 1 |
병합할 계정의 인증서를 사용하여 적절한 지역 CDO 사이트에 로그인합니다. 예를 들어 미국 클라우드는 https://defenseorchestrator.com이고 EU 클라우드는 https://defenseorchestrator.eu입니다. |
단계 2 |
병합할 테넌트 계정을 선택합니다. |
단계 3 |
CDO에서 계정에 대한 새 API 토큰을 생성합니다.
API 토큰에 대한 자세한 내용은 CDO의 온라인 도움말을 참조하십시오. https://docs.defenseorchestrator.com/Configuration_Guides/Devices_and_Services/API_Tokens |
단계 4 |
보안 서비스 익스체인지(SSE)를 아직 보고 있지 않은 경우: |
단계 5 |
SSE에서 페이지 오른쪽 상단의 > Link CDO Account(CDO 계정 연결)를 클릭합니다. |
단계 6 |
CDO에서 복사한 토큰을 붙여 넣습니다. |
단계 7 |
연결하려는 계정을 연결하고 있는지 확인합니다. |
단계 8 |
Link CDO Accounts(CDO 계정 연결)를 클릭합니다. |
이 절차를 수행해도 계정 인증서는 변경되지 않습니다. 병합 후에는 계정 병합 전에 사용했던 각 제품(CDO, Cisco Security Analytics and Logging(SaaS) , SecureX, CTR 등)에 계속해서 동일한 인증서를 사용합니다.
SSE에 디바이스를 등록하기 전에 이 절차를 완료한 경우:
Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 단계를 계속 진행합니다.
CDO 및 SecureX 또는 Cisco SecureX Threat Response 통합을 위해 디바이스를 등록한 후 이 절차를 수행한 경우 SSE의 디바이스 페이지에 디바이스 인스턴스가 중복될 수 있습니다.
이 경우 이전에 CDO 등록과 연결되었던 디바이스의 인스턴스가 이제 SecureX 또는 Cisco SecureX Threat Response 통합에 사용된 계정과 연결됩니다.
병합 전에 디바이스에서 생성된 이벤트는 병합 후 동일한 디바이스에서 생성한 이벤트와 다른 디바이스 ID를 갖습니다.
이벤트를 생성한 디바이스에 이벤트를 매핑할 필요가 없는 경우 이제 병합된 계정과 연결된 디바이스에 대해 "등록되지 않음" 디바이스 항목을 삭제할 수 있습니다.
다른 라이선싱 스마트 계정(또는 가상 계정)으로 등록한 제품을 클라우드의 단일 보기로 통합하려면, 관련 라이선싱 계정을 SecureX 및 Cisco SecureX Threat Response에 액세스하는 데 사용할 계정에 연결해야 합니다.
라이선싱 계정을 연결하려면 모든 라이선싱 계정 및 SecureX 또는 Cisco SecureX Threat Response에 액세스하는 데 사용하는 계정에 대해 관리자 레벨의 스마트 계정 또는 가상 계정 권한이 있어야 합니다. (후자는 Cisco Threat Response 또는 CTR로 알려져 있습니다.)
연결된 계정 보기는 사용자 레벨 계정에서도 가능합니다.
이미 Cisco SecureX Threat Response에 사용하기 위해 어카운트를 연결한 경우, SecureX에 대해 어카운트를 다시 연결할 필요가 없으며, 그 반대의 경우도 마찬가지입니다.
이 절차를 완료하려면 Cisco.com(CCO) 자격 증명이 필요합니다.
단계 1 |
보안 서비스 익스체인지의 아무 페이지 오른쪽 상단에서 Tools 버튼() Link Smart/Virtual Accounts(스마트/가상 계정 연결)를 선택합니다. |
단계 2 |
Link more account(추가 계정 연결)를 클릭합니다. |
단계 3 |
메시지가 나타나면 Cisco.com(CCO) 자격 증명을 사용하여 로그인합니다. |
단계 4 |
이 클라우드 계정과 통합할 계정을 선택합니다. |
단계 5 |
Link Accounts(계정 연결)를 클릭합니다. |
현재 연결된 스마트 라이선싱 계정의 연결을 해제해야 하는 경우 보안 서비스 익스체인지(SSE)의 온라인 도움말에 있는 지침을 참조하십시오.
참고 |
사용 가능한 옵션은 FDM 버전에 따라 다릅니다. 사용 중인 버전에 해당하지 않는 단계는 건너 뜁니다. 예를 들어 지역 및 이벤트 유형을 선택하는 기능은 버전에 따라 다릅니다. |
Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 지금까지의 단계를 수행합니다.
CDO를 사용하는 경우 이 절차를 시작하기 전에 계정을 병합해야 합니다. (FDM에서 관리하는 FTD 전용) CDO 및 SecureX 계정 병합의 내용을 참조하십시오.
FDM에서 디바이스의 이름이 고유한지 확인합니다. 그렇지 않다면 Device(디바이스) > System Settings(시스템 설정) > Hostname(호스트 이름)에서 고유한 이름을 할당합니다.
FDM에서 하나 이상의 액세스 제어 규칙에 침입 및 기타 적용 가능한 정책을 적용하고 디바이스가 이벤트를 제대로 생성하는지 확인합니다.
클라우드 인증서가 있는지 확인하고 계정이 생성된 SecureX 지역 클라우드에 로그인할 수 있는지 확인합니다.
URL은 SecureX 지역 클라우드의 내용을 참조하십시오.
브라우저에서 다음을 수행합니다.
팝업 차단 비활성화
타사 쿠키 허용
단계 1 |
Firepower Device Manager에서 Device(디바이스)를 클릭하고 링크를 클릭합니다. System Settings(시스템 설정) 페이지가 이미 열려 있는 경우 목차에서 Cloud Services(클라우드 서비스)를 클릭하면 됩니다. |
단계 2 |
아직 지역 클라우드를 선택하지 않았다면 지역을 선택합니다. |
단계 3 |
클라우드로 전송할 이벤트 유형을 선택합니다. 연결 이벤트를 전송하도록 선택하면 이 통합에서 보안 인텔리전스 연결 이벤트만 사용됩니다. 다른 모든 연결 이벤트는 이 통합에서 사용되지 않습니다. |
단계 4 |
Cisco Threat Response 기능의 제어 Enable(활성화)을 클릭합니다. 메시지가 표시된다면, 공개된 내용을 읽고 Accept(수락)를 클릭합니다. |
단계 5 |
디바이스가 보안 서비스 익스체인지에 등록되었는지 확인합니다. |
고가용성 구성을 구축한다면, FDM의 온라인 도움말에서 추가 지침을 확인하십시오.
Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 남은 단계를 계속 진행합니다.
중요사항 |
이를 구성한 후 Cisco Defense Orchestrator와의 통합을 활성화하면 디바이스가 SSE에서 등록 취소될 수 있습니다. SSE의 Devices(디바이스) 탭에 이 문제가 표시되면 (FDM에서 관리하는 FTD 전용) CDO 및 SecureX 계정 병합의 내용을 참조하십시오. |
관리되는 Firepower Threat Defense 디바이스가 이벤트를 클라우드로 직접 전송하도록 Firepower Management Center을(를) 구성합니다.
참고 |
사용 가능한 옵션은 FMC 버전에 따라 다릅니다. 사용 중인 버전에 적용되지 않는 단계는 건너뜁니다. |
Firepower Management Center에서 다음을 수행합니다.
System(시스템) > Configuration(구성) 페이지로 이동한 다음, 클라우드의 디바이스 목록에서 명확하게 확인할 수 있도록 FMC에 고유한 이름을 지정합니다.
FMC에 FTD 디바이스를 추가하고, 디바이스에 라이선스를 할당하고, 시스템이 올바르게 작동하는지 확인합니다. (필요한 정책을 생성했고, 이벤트가 생성되어 Analysis(분석) 탭의 Firepower Management Center 웹 인터페이스에 정상적으로 표시된다는 뜻입니다.)
Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 지금까지의 단계를 수행합니다.
클라우드 인증서가 있는지 확인하고 계정이 생성된 SecureX 지역 클라우드에 로그인할 수 있는지 확인합니다.
URL은 SecureX 지역 클라우드의 내용을 참조하십시오.
현재 시스템 로그를 사용하여 클라우드로 이벤트를 전송하는 경우 중복을 방지하기 위해 이러한 전송을 비활성화합니다.
단계 1 |
Firepower Management Center에서 System(시스템) > Integration(통합)을 선택합니다. |
단계 2 |
Cloud Services(클라우드 서비스)를 클릭합니다. |
단계 3 |
Cisco Cloud Event Configuration(Cisco Cloud 이벤트 설정) 또는 Cisco Cloud(사용 중인 FMC 버전에 따라 다름)에 대한 슬라이더를 활성화합니다. |
단계 4 |
아직 수행하지 않았고 FMC에서 Cisco Cloud Region(Cisco 클라우드 영역) 옵션을 제공하는 경우 계정을 생성 한 Cisco Cloud Region(Cisco 클라우드 영역)을 선택합니다. |
단계 5 |
클라우드로 전송할 이벤트 유형을 활성화합니다. 연결 이벤트를 전송하는 경우 이 통합에서 보안 인텔리전스 연결 이벤트만 사용됩니다. 다른 모든 연결 이벤트는 이 통합에서 사용되지 않습니다. |
단계 6 |
Save(저장)를 클릭합니다. Save(저장) 버튼을 누를 수 없다면, 선택된 지역 클라우드에 FMC가 이미 등록되어 있다는 뜻입니다. |
단계 7 |
기능이 올바르게 활성화되어 있는지 확인합니다. |
Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 남은 단계를 계속 진행합니다.
예상한 이벤트가 Firepower에 정상적으로 표시되는지 확인합니다.
단계 1 |
보안 서비스 익스체인지에서 작업하고 있지 않다면 Access(액세스) 보안 서비스 익스체인지이(가) 됩니다. |
단계 2 |
Events(이벤트)를 클릭합니다. |
단계 3 |
디바이스에서 이벤트를 찾습니다. 예상한 이벤트가 표시되지 않는다면 직접 통합 문제 해결의 팁을 참조하고 Cisco Cloud에 이벤트를 직접 전송하고 SecureX와 통합하는 방법에서 다시 확인해 보십시오. |
클라우드 계정을 활성화한 직후 이 통합 구성을 시도했는데 통합 구현에서 문제가 발생했다면, 1~2시간 기다린 다음 클라우드 계정에 로그인하십시오.
계정에 연결된 지역 클라우드의 URL에 액세스하는지 확인합니다.
클라우드 계정에 연결되지 않은 스마트 계정이나 가상 계정으로 디바이스에 라이선스를 부여했을 것입니다. 다음 중 하나를 수행합니다.
SSE에서 디바이스가 라이선스를 받은 계정을 링크합니다.
Link Smart 라이선스 계정의 내용을 참조하십시오.
연결된 계정에서 디바이스에 라이선스를 부여합니다.
FMC 또는 FDM에서 통합을 비활성화하고, 현재 라이선스를 디바이스에서 등록 최소하고, 연결된 계정에서 디바이스에 다시 라이선스를 부여한 다음 FDM 또는 FMC에서 통합을 재활성화합니다.
Firepower 설정에서 선택한 지역과 동일한 지역 클라우드가 표시되는지 확인합니다. 클라우드에 이벤트를 전송하기 시작할 때 지역을 선택하지 않았다면, 먼저 북미 클라우드를 사용해보십시오.
(6.4.0.4 이전 릴리스) 수동으로 디바이스에 고유한 이름을 지정 합니다. Devices(디바이스) 목록에서 각 행에 대 한 연필 아이콘을 클릭 합니다. 추천: 설명에 있는 IP 주소를 복사하십시오.
이 변경사항은 Devices(디바이스) 목록에서만 유효합니다. Firepower 구축의 다른 곳에서는 표시되지 않습니다.
(6.4.0.4 ~ 6.6 릴리스) 디바이스 이름은 FMC에서 SSE로 처음 등록될 때만 SSE로 전송되며, FMC에서 디바이스 이름이 변경되면 SSE에서 업데이트되지 않습니다.
이러한 디바이스가 FDM에서 관리되는 FTD 디바이스이고 SecureX 또는 와의 통합을 위해 SSE에 디바이스를 등록한 후 CDO와의 통합을 활성화했고 아직 계정을 병합하지 않은 경우, (FDM에서 관리하는 FTD 전용) CDO 및 SecureX 계정 병합의 절차를 완료합니다.
올바른 지역 클라우드 및 계정을 확인하십시오.
디바이스가 클라우드에 도달할 수 있고 방화벽을 통과하는 모든 필수 주소로의 트래픽을 허용했는지 확인합니다.
Events(이벤트) 페이지에서 Refresh(새로고침) 버튼을 눌러 목록을 새로고칩니다.
예상한 이벤트가 Firepower에 표시되는지 확인합니다.
FDM을 사용한다면 액세스 규칙 로깅 설정을 확인하십시오.
SSE의 Cloud Services(클라우드 서비스) 페이지에 있는 Eventing(이벤팅) 설정에서 자동 삭제(필터링을 통한 이벤트 제거) 구성을 확인합니다.
다른 문제 해결 팁은 SSE의 온라인 도움말에서 확인할 수 있습니다.
연결 이벤트를 전송하는 경우 보안 인텔리전스 연결 이벤트만 사용됩니다. 다른 모든 연결 이벤트는 무시됩니다.
전역 차단 또는 허용 목록 및 Cisco Threat Intelligence Director(TID)을 포함하여 FMC에서 맞춤형 보안 인텔리전스 개체를 사용하는 경우 해당 개체를 사용하여 처리되는 이벤트를 자동으로 승격하도록 SSE를 구성해야 합니다. 이벤트를 인시던트로 승격하는 정보는 SSE의 온라인 도움말을 참조하십시오. .