アラートの応答を使用した外部アラート

次のトピックでは、アラート応答を使用して Secure Firewall Management Center から外部イベントアラートを送信する方法を示します。

Secure Firewall Management Center アラート応答

SNMP、syslog、または電子メールでの外部イベント通知はクリティカルなシステムのモニタリングに役立ちます。Secure Firewall Management Center はアラート応答を構成して外部サーバーと対話します。アラート応答は、電子メール、SNMP、syslog サーバへの接続を表す構成です。これが応答と呼ばれるのは、これを使用して Firepower により検出されたイベントに応答してアラートを送信できるためです。異なるタイプのアラートを異なるモニタリングサーバーまたはユーザー（あるいはその両方）に送信するための複数のアラート応答を構成できます。

（注）

デバイスおよび Firepower のバージョンによっては、アラート応答は syslog メッセージを送信する最適な方法ではない可能性があります。『Cisco Secure Firewall Management Center デバイス構成ガイド』の「About Syslog」の章およびセキュリティイベント syslog メッセージングを設定するためのベストプラクティスを参照してください。。

（注）

アラート応答を使用するアラートは、Secure Firewall Management Center によって送信されます。アラート応答を使用しない侵入の電子メールアラートも、Secure Firewall Management Center によって送信されます。対照的に、個別の侵入ルールのトリガーに基づく SNMP および syslog アラートは管理対象デバイスから直接送信されます。詳細については、侵入イベントの外部アラートを参照してください。

ほとんどの場合、外部アラートに含まれる情報はデータベースにロギングされたいずれかの関連イベントに含まれる情報と同じです。ただし、相関ルールに接続トラッカーが含まれる相関イベントアラートについては、受信する情報はベースのイベントの種類に関係なく、トラフィックプロファイル変更のアラート情報と同じです。

アラート応答の作成や管理は [アラート（Alerts）] ページ（[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]）で行います。新しいアラート応答は自動的に有効になります。アラート応答を削除するのではなく無効にすることで、アラートの生成を一時的に止めることができます。

アラート応答への変更は、接続ログを SNMP トラップまたは syslog サーバーに送信する場合を除き、ただちに有効になります。

アラート応答のサポート設定

アラート応答を作成後、その応答を使用して、次の外部アラートを Secure Firewall Management Center から送信できます。


アラート/イベントのタイプ	詳細情報
侵入イベント（インパクトフラグ別）	影響フラグアラートの設定
検出イベント（タイプ別）	検出イベントアラートの設定
マルウェア防御（「ネットワークベース」）によって検出されたマルウェアとレトロスペクティブマルウェアイベント	マルウェア防御アラートの設定
相関イベント（相関ポリシー違反ごと）	ルールと許可（Allow）リストに応答を追加する
相関イベント（ログルールまたはデフォルトアクション別）（電子メールアラートのサポートなし）	ログ可能なその他の接続
ヘルスイベント（ヘルスモジュールおよび重大度レベル別）	ヘルスモニターアラートの作成

アラート応答の要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

管理者

SNMP アラート応答の作成

Threat Defense を除くデバイスタイプでは、SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。

（注）

SNMP プロトコルの SNMP バージョンを選択する場合、SNMPv2 では読み取り専用コミュニティのみがサポートされ、SNMPv3 では読取り専用ユーザーのみがサポートされることに注意してください。SNMPv3 は、AES128 での暗号化をサポートします。

SNMP で 64 ビット値をモニターする場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。

始める前に

ネットワーク管理システムで Secure Firewall Management Center の管理情報ベース（MIB）ファイルが必要な場合は、/etc/sf/DCEALERT.MIB で取得できます。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[アラートの作成（Create Alert）] ドロップダウンメニューから、[SNMP アラートの作成（Create SNMP Alert）] を選択します。

ステップ 3

SNMP アラートの設定フィールドを編集します。

[名前（Name）]：SNMP 応答を識別する名前を入力します。

[トラップサーバー（Trap Server）]：SNMP トラップサーバーのホスト名または IP アドレスを入力します。

（注）

このフィールドに無効な IPv4 アドレス（192.169.1.456 など）を入力した場合でも、システムは警告を表示しません。無効なアドレスはホスト名として扱われます。

[バージョン（Version）]：ドロップダウンリストから、使用する SNMP バージョンを選択します。SNMPv3 がデフォルトです。

次から選択します。

[SNMPv1] または [SNMPv2]：[コミュニティストリング（Community String）] フィールドに読み取り専用の SNMP コミュニティ名を入力してから、手順の最後までスキップします。

（注）

SNMP コミュニティストリング名には、特殊文字（< > / % # & ? ', etc.）を使用できません。

[SNMPv3] の場合：[ユーザー名（User Name）] フィールドに SNMP サーバーで認証するユーザーの名前を入力し、次の手順に進みます。

[認証プロトコル（Authentication Protocol）]：ドロップダウンリストから、認証の暗号化に使用するプロトコルを選択します。
次から選択します。
- [MD5]：Message Digest 5（MD5）のハッシュ関数。
- [SHA]：セキュアハッシュアルゴリズム（SHA）のハッシュ関数。
[認証パスワード（Authentication Password）]：認証を有効にするためのパスワードを入力します。
[プライバシープロトコル（Privacy Protocol）]：ドロップダウンリストから、プライベートパスワードの暗号化に使用するプロトコルを選択します。
次から選択します。
- [DES]：対称秘密鍵ブロックアルゴリズムで 56 ビットキーを使用する Data Encryption Standard（DES）。
- [AES]：対称暗号アルゴリズムで 56 ビットキーを使用する Advanced Encryption Standard（AES）。
- [AES128]：対称暗号アルゴリズムで 128 ビットキーを使用する AES。キーが長いほど安全になりますが、パフォーマンスは低下します。
[プライバシーパスワード（Privacy Password）]：SNMP サーバーに必要なプライバシーパスワードを入力します。プライベートパスワードを指定すると、プライバシーが有効になり、認証パスワードも指定する必要があります。
[エンジンID（Engine ID）]：SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。

SNMPv3 を使用する場合、メッセージの符号化にはエンジン ID 値が使用されます。SNMP サーバーでは、メッセージをデコードするためにこの値が必要です。

Secure Firewall Management Center の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、Secure Firewall Management Center の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。

ステップ 4

[保存（Save）] をクリックします。

次のタスク

変更内容は、次の場合を除き、ただちに有効になります。

アラート応答を使って接続ログを送信している場合、これらのアラート応答を編集したあとに設定の変更を展開する必要があります。

Syslog アラート応答の作成

syslog アラート応答を設定する際、syslog サーバーで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、シビラティ（重大度）はメッセージのシビラティ（重大度）を定義します。ファシリティとシビラティ（重大度）は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。

ヒント

syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。

syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、syslog.conf ファイルで、どのファシリティがサーバ上のどのログファイルに保存されるかを示す必要があります。

始める前に

この手順は、多くの場合、syslog メッセージを送信するための推奨される方法ではありません。
syslog サーバーがリモートメッセージを受け入れられることを確認します。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[アラートの作成（Create Alert）] ドロップダウンメニューから、[Syslog アラートの作成（Create Syslog Alert）] を選択します。

ステップ 3

[名前（Name）] にアラートの名前を入力します。

ステップ 4

[ホスト（Host）] フィールドに、syslog サーバのホスト名または IP アドレスを入力します。

（注）

このフィールドに無効な IPv4 アドレス（192.168.1.456 など）を入力した場合でも、システムは警告を表示しません。無効なアドレスはホスト名として扱われます。

ステップ 5

[ポート（Port）] フィールドに、サーバが syslog メッセージに使用するポートを入力します。この値はデフォルトで 514 です。

ステップ 6

Syslog アラートファシリティで説明されているとおりに、[ファシリティ（Facility）] リストからファシリティを選択します。

ステップ 7

syslog 重大度レベルで説明されているとおりに、[シビラティ（重大度）（Severity）] リストからシビラティ（重大度）を選択します。

ステップ 8

[タグ（Tag）] フィールドに、syslog メッセージとともに表示するタグ名を入力します。

たとえば、syslog に送信されるすべてのメッセージの前に FromMC を付ける場合、このフィールドに FromMC と入力します。

ステップ 9

[保存（Save）] をクリックします。

次のタスク

変更内容は、次の場合を除き、ただちに有効になります。

アラート応答を使って syslog サーバーに接続ログを送信している場合、これらのアラート応答を編集したあとに設定の変更を展開する必要があります。

セキュリティイベントに対するこのアラート応答を使用する場合は、ポリシーにアラート応答を指定する必要があります。セキュリティイベントの syslog の設定場所を参照してください。

Syslog アラートファシリティ

次の表に、選択可能な syslog ファシリティを示します。

表 1. 使用可能な syslog ファシリティ
ファシリティ	説明
AUTH	セキュリティと承認に関連するメッセージ。
AUTHPRIV	セキュリティと承認に関連する制限付きアクセスメッセージ。多くのシステムで、これらのメッセージはセキュアファイルに転送されます。
CONSOLE	アラートメッセージ。
CRON	クロックデーモンによって生成されるメッセージ。 Linux オペレーティングシステムを実行している syslog サーバは `CRON` ファシリティを使用することに注意してください。
DAEMON	システムデーモンによって生成されるメッセージ。
FTP	FTP デーモンによって生成されるメッセージ。
KERN	カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージは表示されるときにコンソールに出力されます。
LOCAL0-LOCAL7	内部プロセスによって生成されるメッセージ。
LPR	印刷サブシステムによって生成されるメッセージ。
MAIL	メールシステムで生成されるメッセージ。
NEWS	ネットワークニュースサブシステムによって生成されるメッセージ。
NTP	NTP デーモンによって生成されるメッセージ。
SECURITY	監査サブシステムによって生成されるメッセージ。
SYSLOG	syslog デーモンによって生成されるメッセージ。
SOLARIS-CRON	クロックデーモンによって生成されるメッセージ。 Windows オペレーティングシステムを実行している syslog サーバは `CLOCK` ファシリティを使用することに注意してください。
USER	ユーザーレベルのプロセスによって生成されるメッセージ。
UUCP	UUCP サブシステムによって生成されるメッセージ。

syslog 重大度レベル

次の表に、選択可能な標準の syslog シビラティ（重大度）レベルを示します。

表 2. syslog シビラティ（重大度）レベル
レベル	説明
ALERT	ただちに修正する必要がある状態。
CRIT	クリティカルな状態。
DEBUG	デバッグ情報を含むメッセージ。
EMERG	すべてのユーザに配信されるパニック状態。
ERR	エラー状態。
INFO	情報メッセージ。
NOTICE	エラー状態ではないが、注意が必要な状態。
WARNING	警告メッセージ。

電子メールアラート応答の作成

始める前に

Secure Firewall Management Center で、自身の IP アドレスを逆解決できることを確認します。

メールリレーホストおよび通知アドレスの設定の説明に従って、メールリレーホストを設定します。

（注）

電子メールアラートを使用して、接続をログに記録することはできません。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[アラートの作成（Create Alert）] ドロップダウンメニューから、[電子メールアラートの作成（Create Email Alert）] を選択します。

ステップ 3

[名前（Name）] にアラート応答の名前を入力します。

ステップ 4

[宛先（To）] フィールドに、アラートを送信する電子メールアドレスをカンマで区切って入力します。

ステップ 5

[送信元（From）] フィールドに、アラートの送信者として表示する電子メールアドレスを入力します。

ステップ 6

[リレーホスト（Relay Host）] の横に表示されるメールサーバーが、アラートの送信に使用するサーバーであることを確認します。

ヒント

電子メールサーバーを変更するには、[編集（Edit）] （ [編集（edit）] アイコン）をクリックします。

ステップ 7

[保存（Save）] をクリックします。

影響フラグアラートの設定

特定のインパクトフラグを持つ侵入イベントが発生するたびにアラートが生成されるようにシステムを設定できます。インパクトフラグは、侵入データ、ネットワーク検出データ、および脆弱性情報を関連付けることにより、侵入がネットワークに与える影響を評価するのに役立ちます。

これらのアラートを設定するには、IPS スマートライセンスまたは保護クラシックライセンスが必要です。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[インパクトフラグアラート（Impact Flag Alerts）] をクリックします。

ステップ 3

[アラート（Alerts）] セクションで、各アラートタイプで使用するアラート応答を選択します。

ヒント

新しいアラート応答を作成するには、任意のドロップダウンリストから [新規（New）] を選択します。

ステップ 4

[インパクト設定（Impact Configuration）] セクションで、該当するチェックボックスをオンにして、各インパクトフラグに対して受信するアラートを指定します。

インパクトフラグの定義については、侵入イベント影響レベルを参照してください。

ステップ 5

[保存（Save）] をクリックします。

検出イベントアラートの設定

特定のタイプの検出イベントが発生するたびにアラートが生成されるようにシステムを設定できます。

始める前に

Cisco Secure Firewall Management Center デバイス構成ガイドの「Network Discovery Policies」の章の説明に従って、アラートを設定する検出イベントタイプを記録するようにネットワーク検出ポリシーを設定します。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[ディスカバリイベントアラート（Discovery Event Alerts）] をクリックします。

ステップ 3

[アラート（Alerts）] セクションで、各アラートタイプで使用するアラート応答を選択します。

ヒント

新しいアラート応答を作成するには、任意のドロップダウンリストから [新規（New）] を選択します。

ステップ 4

[イベント設定（Events Configuration）] セクションで、各検出イベントタイプに対して、受信するアラートに対応するチェックボックスを選択します。

ステップ 5

[保存（Save）] をクリックします。

マルウェア防御アラートの設定

レトロスペクティブイベントなどのマルウェアイベントがマルウェア防御によって生成された（つまり、「ネットワークベースのマルウェアイベント」が生成された）場合は常に通知するようにシステムを設定できます。エンドポイント向け AMP によって生成されたマルウェアイベント（「エンドポイントベースのマルウェアイベント」）にはアラートを生成できません。

始める前に

マルウェアクラウドルックアップを実行するファイルポリシーを設定し、そのポリシーをアクセスコントロールルールに関連付けます。詳細については、『Cisco Secure Firewall Management Center デバイス構成ガイド』の「Access Control Overview」を参照してください。
これらのアラートを設定するには、マルウェア防御ライセンスが必要です。

手順

ステップ 1

[ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）]を選択します。

ステップ 2

[高度なマルウェア保護アラート（Advanced Malware Protections Alerts）] をクリックします。

ステップ 3

[アラート（Alerts）] セクションで、各アラートタイプで使用するアラート応答を選択します。

ヒント

新しいアラート応答を作成するには、任意のドロップダウンリストから [新規（New）] を選択します。

ステップ 4

[イベント設定（Event Configuration）] セクションで、各マルウェアイベントタイプに対して、受信するアラートに対応するチェックボックスを選択します。

[すべてのネットワークベースのマルウェアイベント（All network-based malware events）] には [レトロスペクティブイベント（Retrospective Events）] が含まれることに注意してください。

（定義により、ネットワークベースのマルウェアイベントにはエンドポイント向け AMP によって生成されたイベントは含まれません。）

ステップ 5

[保存（Save）] をクリックします。

Cisco Secure Firewall Management Center 7.4 管理ガイド

偏向のない言語

翻訳について

Book Title

Cisco Secure Firewall Management Center 7.4 管理ガイド

Chapter Title

アラートの応答を使用した外部アラート

検索結果

章のタイトル：アラートの応答を使用した外部アラート

アラートの応答を使用した外部アラート