Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: 侵入イベントに関する外部アラート
侵入イベントに関する外部アラート
次のトピックでは、侵入イベントに関する外部アラートを設定する方法について説明します。
侵入イベントの外部アラートについて
外部侵入イベント通知は、クリティカルなシステム モニタリングに役立ちます。
-
SNMP:侵入ポリシーごとに設定し、管理対象デバイスが送信します。SMNP アラートは侵入ルールごとに有効にすることができます。
-
syslog:侵入ポリシーごとに設定し、管理対象デバイスが送信します。1 つの侵入ポリシーの syslog アラートを有効にすると、ポリシーに含まれるすべてのルールに適用されます。
-
電子メール:すべての侵入ポリシーに設定され、Firepower Management Center が送信します。電子メール アラートは侵入ルールごとに有効にすることができ、長さと頻度を制限することもできます。
侵入イベントの抑制やしきい値を設定すると、システムは、ルールがトリガーされるたびに侵入イベントを生成しなくなる(したがってアラートを送信しなくなる)場合があるのでご注意ください。
マルチドメイン導入環境では、どのドメインでも外部アラートを設定できます。先祖ドメインでは、システムは子孫ドメインの侵入イベントの通知を生成します。
 (注) | Firepower Management Center も SNMP、syslog、および電子メール アラート応答を使って種々の外部アラートを送信します。Firepower Management Center アラート応答を参照してください。システムは、個々の侵入イベントに対するアラートを送信するためにアラート応答を使用しません。 |
侵入イベントの SNMP アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
侵入ポリシーで外部 SNMP アラートを有効にした後、トリガー時に SNMP アラートを送信する個々のルールを設定できます。これらのアラートは管理対象デバイスから送信されます。
| ステップ 1 | 侵入ポリシー エディタのナビゲーション ウィンドウで、[詳細設定(Advanced Settings)] をクリックします。 |
| ステップ 2 | [SNMP アラート(SNMP Alerting)] が有効になっていることを確認し、[編集(Edit)] をクリックします。 ページ下部のメッセージは、設定を含む侵入ポリシー階層を示します。 |
| ステップ 3 | SNMP バージョンを選択し、侵入 SNMP アラートのオプションの説明に従って構成オプションを指定します。 |
| ステップ 4 | ナビゲーション ウィンドウで [ルール(Rules)] をクリックします。 |
| ステップ 5 | [ルール(rules)] ペインで、SNMP アラートを設定するルールを選択し、 を選択します。 |
| ステップ 6 | 最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] を選択して、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
侵入 SNMP アラートのオプション
ネットワーク管理システムで Management Information Base(MIB)ファイルが必要な場合は、Firepower Management Center の /etc/sf/DCEALERT.MIB から取得できます。
SNMP v2 オプション
|
アラートに表示される IP アドレスに使用するトラップ タイプ。 ネットワーク管理システムによって INET_IPV4 アドレス タイプが正常にレンダリングされた場合は、[バイナリとして(as Binary)] を選択します。それ以外の場合は、[文字列として(as String)] を選択します。たとえば、HP OpenView では [文字列として(as String)] が必要になります。 |
|
SNMP v3 オプション
管理対象デバイスは、エンジン ID の値を使用して SNMPv3 アラートをエンコードします。アラートをデコードするには、SNMP サーバにこの値が必要です。この値は、送信デバイスの管理インターフェイスの IP アドレスの 16 進数のバージョンで、「01」が付加されています。
たとえば、SNMP アラートを送信するデバイスの管理インターフェイスの IP アドレスが 172.16.1.50 である場合、エンジン ID の値は 0xAC10013201 です。
侵入イベントの Syslog アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
侵入ポリシーで syslog アラートを有効にすると、管理対象デバイス自体または外部ホスト上の syslog にすべての侵入イベントが送信されます。外部ホストを指定した場合、syslog アラートは管理対象デバイスから送信されます。
| ステップ 1 | 侵入ポリシー エディタのナビゲーション ウィンドウで、[詳細設定(Advanced Settings)] をクリックします。 |
| ステップ 2 | [Syslog アラート(Syslog Alerting)] が有効になっていることを確認し、[編集(Edit)] をクリックします。 ページ下部のメッセージは、設定を含む侵入ポリシー階層を示します。 |
| ステップ 3 | syslog アラートを送信するロギング ホストの IP アドレスを入力します。
このフィールドを空のままにすると、管理対象デバイスは、独自の syslog 機能を使用して侵入イベントをログに記録します。 システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。 |
| ステップ 4 | 侵入 syslog アラートのファシリティとプライオリティの説明に従って、ファシリティと優先度レベルを選択します。 |
| ステップ 5 | 最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] を選択して、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
侵入 syslog アラートのファシリティとプライオリティ
管理対象デバイスは、特定のファシリティとプライオリティを使用して、侵入イベントを syslog アラートとして送信できるため、ロギング ホストがアラートを分類できます。ファシリティには、それを生成したサブシステムを指定します。プライオリティには、その重大度を指定します。これらのファシリティとプライオリティの値は、実際の syslog メッセージには表示されません。
ご使用の環境に基づいて意味のある値を選択します。ローカル設定ファイル(UNIX ベースのロギング ホストの syslog.conf など)では、どのログ ファイルにどのファシリティを保存するかを示すことができます。
Syslog アラート ファシリティ
|
セキュリティと承認に関連する制限付きアクセス メッセージ。多くのシステムで、これらのメッセージはセキュア ファイルに転送されます。 |
|
|
カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージは表示されるときにコンソールに出力されます。 |
|
Syslog アラートのプライオリティ
侵入イベントに対する電子メール アラートの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
侵入の電子メール アラートを有効にした場合、どの管理対象デバイスまたは侵入ポリシーが侵入を検出したかに関係なく、システムは侵入イベントの生成時に電子メールを送信できます。これらのアラートは Firepower Management Center から送信されます。
-
電子メール アラートを受信するようにメール ホストを設定します。メール リレー ホストおよび通知アドレスの設定を参照してください。
| ステップ 1 | を選択します。 |
| ステップ 2 | [侵入電子メール(Intrusion Email)] タブをクリックします。 |
| ステップ 3 | 侵入電子メール アラートのオプションの説明に従って、アラートを生成する侵入ルールや侵入グループを含むアラート オプションを選択します。 |
| ステップ 4 | [保存(Save)] をクリックします。 |
侵入電子メール アラートのオプション
On/Off
アドレス送信元/宛先(From/To Addresses)
最大アラート数と頻度(Max Alerts and Frequency)
Firepower Management Center が時間間隔([頻度(Frequency)])ごとに送信する電子メール アラートの最大数([最大アラート数(Max Alerts)])。
合同アラート(Coalesce Alerts)
サマリー出力(Summary Output)
テキスト制限されたデバイスに適した短いアラートを有効にします。短いアラートには、以下の情報が含まれています。
例:2011-05-18 10:35:10 10.1.1.100 icmp 10.10.10.1:8 -> 10.2.1.3:0 snort_decoder: Unknown Datagram decoding problem! (116:108)
[サマリー出力(Summary Output)] を有効にする場合は、[合同アラート(Coalesce Alerts)] も有効にすることを検討してください。テキストメッセージの制限を超えないように、[最大アラート数(Max Alerts)] を下げることもできます。
タイム ゾーン
アラート タイムスタンプのタイム ゾーン。
フィードバック