- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: 外部アラートの設定
外部アラートの設定
FireSIGHT システムではイベントのさまざまなビューを Web インターフェイス内で提供しますが、重要なシステムの継続的なモニタリングを容易にするために外部イベント通知を設定することもできます。次のいずれかが発生したときに、電子メール、SNMP トラップ、または syslog で通知するアラートを生成するように FireSIGHT システムを設定できます。
- 特定の影響フラグを持つ侵入イベント
- 特定のタイプの検出イベント
- ネットワークベースのマルウェア イベントまたはレトロスペクティブ マルウェア イベント
- 特定の相関ポリシー違反によってトリガーとして使用される相関イベント
- 特定のアクセス コントロール ルールによってトリガーとして使用される接続イベント
- 正常性ポリシー内のモジュールに対する特定のステータス変更
システムでこれらのアラートが送信されるようにするには、まず アラート応答 を作成する必要があります。アラート応答は、アラート送信を計画している外部システムと FireSIGHT システムが連携できるようにする一連の設定です。それらの設定では、たとえば、電子メール リレー ホスト、SNMP アラート パラメータ、または syslog ファシリティおよびプライオリティを指定する場合があります。
アラート応答を作成した後、アラートをトリガーとして使用するために使用するイベントに関連付けます。アラート応答とイベントを関連付けるための処理は、次のように、イベントのタイプによって異なることに注意してください。
- アラート応答を影響フラグ、ディスカバリ(検出)イベント、およびマルウェア イベントと関連付ける場合は、独自の設定ページを使用します。
- 相関イベントを相関ポリシー内でアラート応答(および修復応答)と関連付けます(修復応答については、修復の作成を参照してください)。
- SNMP および syslog アラート応答を接続のログ記録と関連付ける場合は、アクセス コントロール ルールとポリシーを使用します。電子メール アラートは接続のログ記録ではサポートされません。
- アラート応答をヘルス モジュールのステータス変更と関連付ける場合は、ヘルス モニタを使用します。
FireSIGHT システムには、実行可能なもう 1 つのタイプのアラートがあります。この場合は、影響フラグに関係なく個々の侵入イベントに対して、電子メール、SNMP、および syslog による侵入イベント通知を設定します。これらの通知は侵入ポリシーで設定します。侵入ルールの外部アラートの設定および SNMP アラートの追加を参照してください。次の表では、アラート生成に必要なライセンスについて説明します。
|
|
|
|---|---|
アラート応答の使用
外部アラートを設定する際の最初の手順は、アラート応答を作成することです。アラート応答とは、アラートの送信先とする予定の外部システムと FireSIGHT システム が連携できるようにするための一連の設定です。アラート応答を作成して、電子メール、Simple Network Management Protocol(SNMP)トラップ、またはシステム ログ(syslog)によりアラートを送信できます。
アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。たとえば、影響フラグのアラートには、タイムスタンプ、侵入ルール、影響フラグ、およびイベントの説明情報が含まれます。別の例として、検出イベントのアラートも、タイムスタンプと説明情報のほか、検出イベント タイプの情報が含まれます。
相関ポリシーでアラート応答を使用する場合、アラート情報は、相関ポリシー違反をトリガーしたイベントのタイプによって異なります。
(注
) 接続トラッカーを含む相関ルールに対する応答としてアラートを設定した場合、相関ルール自体が異なる種類のイベントに基づいていても、受け取るアラート情報はトラフィック プロファイル変更のアラートの場合と同じです。
作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。
アラート応答は [アラート(Alerts)] ページ([ポリシー(Policies)] > [アクション(Action)] > [アラート(Alerts)])で管理します。各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。
電子メール アラート応答の作成
電子メール アラートを、アクセス コントロール ポリシーの接続のログ記録に対して実行 できない ことに注意してください。
電子メール アラート応答を作成する前に、防御センター が自身の IP アドレスを逆引き解決できることを確認する必要があります。また、メール リレー ホストおよび通知アドレスの設定で説明しているように、メール リレー ホストを設定する必要があります。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
手順 2 [アラートの作成(Create Alert)] ドロップダウン メニューから、[電子メール アラートの作成(Create Email Alert)] を選択します。
[電子メール アラート設定の作成(Create Email Alert Configuration)] ポップアップ ウィンドウが表示されます。
手順 3 [名前(Name)] フィールドに、アラート応答を識別するために使用する名前を入力します。
手順 4 [送信先(To)] フィールドに、アラートを送信する電子メール アドレスを入力します。
手順 5 [送信者(From)] フィールドに、アラートの送信者として表示する電子メール アドレスを入力します。
手順 6 [リレー ホスト(Relay Host)] の横に表示されるメール サーバが、アラートの送信に使用するサーバであることを確認します。
サーバを変更する場合、またはリレー ホストをまだ設定していない場合は、編集アイコン(
)をクリックしてポップアップ ウィンドウに [システム・ポリシー(System Policy)] ページを表示し、メール リレー ホストおよび通知アドレスの設定の指示に従います。変更内容を有効にするために、編集後にシステム ポリシーを適用する必要があります。
SNMP アラート応答の作成
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。
(注) SNMP プロトコル用に SNMP バージョンを選択するときには、SNMPv2 が読み取り専用コミュニティのみをサポートし、SNMPv3 は読み取り専用ユーザのみをサポートすることに注意してください。SNMPv3 は、AES128 による暗号化もサポートしています。
(注) SNMP で 64 ビット値をモニタする場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。
ネットワーク管理システムで防御センターの管理情報ベース(MIB)ファイルが必要な場合は、 /etc/sf/ DC EALERT.MIB で取得できます。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
手順 2 [アラートの作成(Create Alert)] ドロップダウン メニューから、[SNMP アラートの作成(Create SNMP Alert)] を選択します。
[SNMP アラート作成の設定(Create SNMP Alert Configuration)] ポップアップ ウィンドウが表示されます。
手順 3 [名前(Name)] フィールドに、SNMP 応答を識別するために使用する名前を入力します。
手順 4 [トラップサーバ(Trap Server)] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
手順 5 [バージョン(Version)] ドロップダウンリストから、使用する SNMP バージョンを選択します。
SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。
手順 6 どのバージョンの SNMP を選択したかに応じて、以下のようにします。
- SNMP v1 または SNMP v2 の場合、英数字または特殊文字(
*または$)を使用して、[コミュニティ文字列(Community String)] フィールドに SNMP コミュニティの名前を入力し、手順 12 に進みます。
(注) SNMPv2 は、読み込み専用コミュニティのみをサポートしています。
(注) SNMPv3 は、読み込み専用ユーザのみをサポートしています。SNMPv3 は、AES128 による暗号化もサポートしています。
手順 7 [認証プロトコル(Authentication Protocol)] ドロップダウンリストから、認証に使用するプロトコルを選択します。
手順 8 [認証パスワード(Authentication Password)] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。
手順 9 [プライバシー プロトコル(Privacy Protocol)] リストから、[なし(None)] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。
手順 10 [プライバシー パスワード(Privacy Password)] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。
手順 11 [エンジン ID(Engine ID)] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。
SNMPv3 を使用する場合、メッセージの符号化には エンジン ID 値が使用されます。SNMP サーバでは、メッセージをデコードするためにこの値が必要です。
Ciscoは、防御センターの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、防御センターの IP アドレスが 10.1.1.77 である場合、 0a01014D0 を使用します。
Syslog アラート応答の作成
syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。
ヒント syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、 syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
次の表に、選択可能な syslog ファシリティを示します。
|
|
|
|---|---|
syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
[アラート(Alerts)] ページが表示されます。[アラートの作成(Create Alert)] ドロップダウン メニューから、[Syslog アラートの作成(Create Syslog Alert)] を選択します。
[Syslog アラート作成の設定(Create Syslog Alert Configuration)] ポップアップ ウィンドウが表示されます。
手順 2 [名前(Name)] フィールドに、保存される応答を識別するために使用する名前を入力します。
手順 3 [ホスト(Host)] フィールドに、syslog サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
手順 4 [ポート(Port)] フィールドに、サーバが syslog メッセージに使用するポートを入力します。
手順 5 [ファシリティ(Facility)] リストから、ファシリティを選択します。
使用可能なファシリティの一覧については、 使用可能な syslog ファシリティ の表を参照してください。
手順 6 [重大度(Severity)] リストから、重大度を選択します。
使用可能な重大度の一覧については、 syslog 重大度レベル の表を参照してください。
手順 7 [タグ(Tag)] フィールドに、syslog メッセージとともに表示するタグ名を入力します。
タグ名には英数字のみを使用します。スペースまたは下線は使用 できません 。
例として、syslog に送信されるすべてのメッセージの前に From DC を付ける場合、フィールドに From DC と入力します。
アラート応答の変更
ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
手順 2 編集するアラート応答の横にある編集アイコン( )をクリックします。
そのアラート応答の設定ポップアップ ウィンドウが表示されます。
アラート応答の削除
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
手順 2 削除するアラート応答の横にある削除アイコン(
)をクリックします。
アラート応答の有効化と無効化
有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] の順に選択します。
手順 2 有効または無効にするアラート応答の横の有効または無効のスライダをクリックします。
アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。
影響フラグ アラートの設定
特定の影響フラグを持つ侵入イベントが発生するたびにアラートが生成されるようにシステムを設定できます。影響フラグは、侵入データ、ネットワーク検出データ、および脆弱性情報を関連付けることにより、侵入がネットワークに与える影響を評価するのに役立ちます。詳細については、影響レベルを使用してイベントを評価するを参照してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] を選択した後、[影響フラグ アラート(Impact Flag Alerts)] タブを選択します。
[影響フラグ アラート(Impact Flag Alerts)] ページが表示されます。
手順 2 [アラート(Alerts)] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウンリストから [新規作成(New)] を選択します。詳細については、アラート応答の使用を参照してください。
手順 3 [影響の構成(Impact Configuration)] セクションで、各影響フラグに対して、受信するアラートに対応するチェック ボックスを選択します。
ディスカバ イベント アラートの設定
特定のタイプのディスカバリ(検出)イベントが発生するたびにアラートが生成されるようにシステムを設定できます。さまざまなイベント タイプについては、ディスカバリ イベントのタイプについておよびホスト入力イベントのタイプについてを参照してください。
ディスカバリ イベント タイプに基づいてアラートを生成するには、そのイベント タイプをログに記録するようにネットワーク検出ポリシーを設定する必要があることに注意してください(検出(ディスカバリ)イベント ロギングの設定を参照してください)。デフォルトでは、すべてのイベント タイプのロギングが有効です。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] を選択した後、[ディスカバリ イベント アラート(Discovery Event Alerts)] タブを選択します。
[ディスカバリ イベント アラート(Discovery Event Alerts)] ページが表示されます。
手順 2 [アラート(Alerts)] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウンリストから [新規作成(New)] を選択します。詳細については、アラート応答の使用を参照してください。
手順 3 [イベント設定(Events Configuration)] セクションで、各検出イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。
高度なマルウェア対策アラートの設定
レトロスペクティブ イベントを含む、ネットワークベースのマルウェア イベントが発生するたびにアラートが生成されるようにシステムを設定できます。ただし、エンドポイント ベースの(FireAMP)マルウェア イベントではアラートを生成できません。マルウェア イベントの詳細については、マルウェア イベントの操作を参照してください。
マルウェア イベントに基づいてアラートを生成するには、マルウェア クラウド検索を実行するファイル ポリシーを作成した後、そのポリシーをアクセス コントロール ルールに関連付ける必要があります。詳細については、侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御を参照してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] を選択した後、[高度なマルウェア防御アラート(Advanced Malware Protections Alerts)] タブを選択します。
[高度なマルウェア防御アラート(Advanced Malware Protection Alerts)] ページが表示されます。
手順 2 [アラート(Alerts)] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウンリストから [新規作成(New)] を選択します。詳細については、アラート応答の使用を参照してください。
手順 3 [イベント設定(Event Configuration)] セクションで、各マルウェア イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。
[ネットワークベースのすべてのマルウェア イベント(All network-based malware events)] には [レトロスペクティブ イベント(Retrospective Events)] が含まれることに注意してください。
フィードバック