コンテンツにスキップ
MDR のサポート提供の詳細はこちら

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=Firepower

Cisco Firepower

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Firepower を Sophos Central と統合して、ソフォスでの解析用に監査データを送信するようにできます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。これらは、まとめてデータコレクタと呼ばれます。データコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

ログコレクタは、Sophos NDR VA や他のログコレクタを実行している既存の VM に追加できます。この統合から新しい VM を作成することもできます。

複数の Cisco Firepower ファイアウォールを同じデータコレクタに追加できます。

これを行うには、Cisco Firepower 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Cisco Firepower ファイアウォールを設定して、この同じソフォスのデータコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、VM で使用するイメージが設定されます。
  • イメージをダウンロードして VM に展開します。これがデータコレクタになります。
  • データを送信するように Firepower を設定します。実行する手順は、使用しているデバイスによって異なります。
  • Firepower を VM に接続します。

要件

データコレクタには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、データコレクタの要件を参照してください。

統合の追加

Sophos Central に Firepower を統合するには、次の手順を実行します。

  1. Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。

  2. Cisco Firepower」をクリックします。

    既に Firepower への接続を設定済みの場合は、ここに表示されます。

  3. 追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合手順」が表示されます。

VM の設定

統合のセットアップ手順」で は、Firepower からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

フォームに入力する必要がある情報の一部を取得するには、Firepower に移動する必要がある場合があります。

VM を構成するには、以下の手順に従います。

  1. 新しい統合の名前と説明を入力します。

  2. データコレクタの名前と説明を入力します。

    データコレクタの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7以降および Microsoft Hyper-V のみに対応しています。

    Hyper-V を使用するには、EAP に参加する必要があります。

  4. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  5. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをデータコレクタに送信するように Firepower を設定する際に必要になります。

  6. プロトコル」を選択します。

    データをデータコレクタに送信するように Firepower を設定する際には、同じプロトコルを使用する必要があります。

  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、データコレクタのポート番号が表示されます。これは、後で、それにデータを送信するように Firepower を設定する際に必要になります。

    VM イメージの準備が完了するまで、数分かかることがあります。

VM の展開

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を展開する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

VM イメージを使用して VM を展開します。これには、次の手順を実行します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に展開します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

Firepower の設定

次に、データコレクタにデータを送信するように Firepower を設定します。データコレクタは syslog サーバーとして機能するため、ファイアウォールの syslog サーバー機能を使用してデータを送信します。

実行する手順は、デバイスのファームウェアのバージョン、および使用している Cisco の管理方法によって異なります。

Firepower Threat Defense (FTD) バージョン 6.3 以降を実行しているファイアウォールの場合は、使用している管理方法に対応するタブをクリックします。Firepower Management Console (FMC) または Firepower Defence Manager (FDM) を使用できます。

Firepower Threat Defense (FTD) バージョン 6.3 以前を実行しているファイアウォールの場合は、クラシックデバイスのタブをクリックします。

ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のデータコレクタは、このような文字を区切り文字として扱うことができます。

Firepower Management Console を使用して、Firepower Threat Defense (FTD) バージョン 6.3 以降を実行しているファイアウォールをソフォスのデータコレクタに接続するには、次の手順を実行します。

syslog 設定の構成

  1. FMC で、「Devices > Platform Settings」をクリックします。
  2. データコレクタに接続するプラットフォームを選択し、編集アイコンをクリックします。
  3. Syslog」をクリックします。
  4. Syslog Servers > Add」をクリックします。

  5. ソフォスのデータコレクタの次の接続詳細を入力します。

    1. IP アドレス。これは、Sophos Central で設定した syslog IP アドレスです。
    2. プロトコルの種類。UDP を選択した場合は、EMBLEM 形式をオンにしないでください。
    3. ポート番号。

    統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。

  6. Enable secure syslog」を選択しないでください。

  7. Reachable By」に、ファイアウォールがソフォスのデータコレクタに接続できるようにするためのネットワークの詳細を入力します。

  8. OK」をクリックします。

    Cisco Firepower ファイアウォールの syslog サーバー設定の詳細は、Syslog サーバーの設定を参照してください。

  9. Syslog Settings」をクリックし、次のように設定値を構成します。

    1. Enable timestamp on Syslog Messages」をオンにします。
    2. Timestamp Format」で、「RFC 5424」を選択します。
    3. Enable Syslog Device ID」をオンにして、「Host Name」を選択します。
    4. NetFlow Equivalent Settings」をオンにしないでください。

  10. Save」をクリックします。

  11. Logging Setup」をクリックします。
  12. Enable Logging」を選択します。

  13. 次の項目は選択しないでください。

    1. Enable logging on the failover standby unit
    2. Send syslogs in EMBLEM format
    3. Send debug messages as syslogs

  14. VPN イベントをソフォスのデータコレクタに転送する場合は、次の手順を実行します。

    1. VPN Logging Settings」セクションで、「Enable Logging to Firewall Management Center」を選択します。
    2. Logging Level」として「Debug」を選択します。

  15. Specify FTP Server Information」または「Specify Flash Size」に情報を入力する必要はありません。

  16. Save」をクリックします。

アクセスコントロールのログ設定の構成

ファイルやマルウェアのログなど、アクセスコントロールポリシーのログ設定も構成する必要があります。

これには、次の手順を実行します。

  1. Policies > Access Control」をクリックします。
  2. 設定するアクセス コントロール ポリシーの編集アイコンをクリックします。
  3. Logging」をクリックします。
  4. Use the syslog settings configured in the FTD Platform Settings policy deployed on the device」を選択します。
  5. Syslog Severity」で、「ALERT」を選択します。
  6. Send Syslog messages for IPS events」をオンにします。
  7. Send Syslog messages for File and Malware events」をオンにします。
  8. Save」をクリックします。

セキュリティ インテリジェンス イベントのログをオンに設定する方法

  1. 同じアクセス コントロール ポリシーで、「Security Intelligence」をクリックします。
  2. DNS Policy」オプションアイコンをクリックします。

  3. DNS Block List Logging Options」で、次の項目をオンにします。

    • Log Connections
    • Firewall Management Center
    • Syslog Server

  4. OK」をクリックします。

  5. Block List」で、「Network」オプションアイコンをクリックします。

  6. Network Block List Logging Options」で、次の項目をオンにします。

    • Log Connections
    • Firewall Management Center
    • Syslog Server

  7. OK」をクリックします。

  8. Block List」を下にスクロールして、「URL」オプションアイコンを見つけます。

  9. URL Block List Logging Options」で、次の項目をオンにします。

    • Log Connections
    • Firewall Management Center
    • Syslog Server

  10. OK」をクリックします。

  11. Save」をクリックします。

各アクセス コントロール ルールの syslog ログをオンに設定する方法

アクセス コントロール ポリシーのすべてのルールで、syslog ログがオンになっていることを確認する必要があります。

これを行うには、ポリシー内のすべてのルールについて、次の手順を実行します。

  1. 同じアクセス コントロール ポリシーで、「Rules」タブをクリックします。
  2. 編集するルールをクリックします。
  3. Editing Rule」で、「Logging」をクリックします。

  4. 接続の開始と終了、またはその両方をログに記録するかどうかを選択します。

    ログの記録に接続すると、大量のデータが生成されます。開始と終了の両方をログに記録すると、約 2倍の量が生成されます。すべての接続が開始時と終了時の両方に記録されるわけではありません。詳細は、Cisco アカウントにログインし、Firepower Management Center 設定ガイド、バージョン 6.2 の「接続のログ」セクションを参照してください。詳細は、接続のログを参照してください。

  5. ファイルイベントをログに記録する場合は、「Log Files」を選択します。

  6. Syslog Server」をオンにします。
  7. Save」をクリックします。

侵入イベントのログをオンに設定する方法

アクセス コントロール ポリシーに関連付けられている侵入ポリシーで、イベントログをオンにする必要があります。

  1. Policies > Intrusion」をクリックします。
  2. アクセス コントロール ポリシーに関連付けられている侵入ポリシーを見つけ、「Snort 2 Version」をクリックします。
  3. Policy Information」で、「Advanced Settings」をクリックします。
  4. Advanced Settings」で、「Syslog Alerting」に移動します。
  5. Enabled」をクリックします。
  6. Back」をクリックします。
  7. Policy Information」で、「Commit Changes」をクリックします。
  8. 変更の説明を入力し、「OK」をクリックします。

ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のデータコレクタは、このような文字を区切り文字として扱うことができます。

FDM を使用して、Firepower デバイスをソフォスのデータコレクタに接続するには、次の手順を実行します。

ファイルイベントとマルウェアイベントのログをオンにする方法

ファイルイベントおよびマルウェアイベントのログをオンにし、ソフォスのデータコレクタの接続の詳細をファイアウォールに追加するには、次の手順を実行します。

  1. 設定するデバイスで FDM にサインインし、「Device:<name>」タブに移動します。
  2. System Settings」で、「Logging Settings」をクリックします。
  3. FILE/MALWARE LOGGING」をオンにします。
  4. Syslog Server」をクリックして、使用可能なサーバーを表示します。
  5. このデバイスに、ソフォスのデータコレクタを既に追加済みの場合は、それを選択します。そうでない場合は、「Create new Syslog Server」をクリックします。

  6. ソフォスのデータコレクタの次の接続詳細を入力します。

    1. IP アドレスこれは、Sophos Central で設定した Syslog IP アドレスです。
    2. プロトコルの種類。
    3. ポート番号。

    統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。

  7. 必要に応じて、ネットワーク環境に適した「Data Interface」または「Management Interface」を選択します。

  8. OK」をクリックします。
  9. 新しいサーバーが「Syslog Servers」に表示されます。クリックして選択します。
  10. Log at Severity Level」で、「Debug」を選択します。
  11. SAVE」をクリックします。

ポリシーの設定

各ポリシーで、ソフォスのデータコレクタに送信するアクティビティのログをオンにする必要があります。アクセスコントロールおよび侵入イベントをオンにできます。

これには、次の手順を実行します。

  1. ポリシー > アクセスコントロール」の順にクリックします。
  2. 設定するポリシーを見つけて、クリックします。
  3. ログ」をクリックします。
  4. SELECT LOG ACTION」で、接続の開始時と終了時のどちらでログに記録するか、または記録しないことを選択します。
  5. FILE EVENTS」で、「Log Files」をオンにします。
  6. 侵入イベントをログに記録する場合は、「Intrusion Policy」で、「INTRUSION POLICY」をオンにします。
  7. 適用する「Intrusion Policy」を選択します。

  8. ファイルイベントをログに記録する場合は、「File Policy」で、適用するファイルポリシーを選択します。次から選択します。

    • Block Malware All
    • Malware Cloud Lookup - No Block

  9. SEND CONNECTION EVENTS TO:」で、ソフォスのデータコレクタを選択します。

  10. OK」をクリックします。
  11. Intrusion」をクリックします。
  12. 設定するポリシーを見つけて、設定アイコンをクリックします。
  13. Edit Logging Settings」でプラスアイコンをクリックし、ソフォスのデータコレクタを選択します。
  14. OK」をクリックします。

ソフォスのデータコレクタにデータを送信するポリシーごとに、これらの手順を繰り返します。

変更内容の保存

変更内容は、展開するまでデバイス上で有効になりません。これには、次の手順を実行します。

  1. 「展開」アイコンをクリックします。

    展開していない変更内容がある場合、アイコンにドットが表示されます。

  2. Pending Changes」で、変更内容を確認します。

  3. DEPLOY NOW」をクリックします。

このプロセスの詳細については、Cisco のドキュメントを参照してください。詳細は、Syslog 警告の対応の作成を参照してください。

ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のデータコレクタは、このような文字を区切り文字として扱うことができます。

Firepower Classic デバイスをソフォスのデータコレクタに接続するには、次の手順を実行します。

syslog 設定の構成

  1. Firepower Management Center (FMC) サインインします。
  2. Policies > Actions > Alerts」をクリックします。
  3. Create Alert」で、「Create Syslog Alert」を選択します。
  4. たとえば、「SophosIntegration」など、MDM サーバーの名前を「Name」に入力します。
  5. ソフォスのデータコレクタの IP アドレスを 「Host」に入力します。
  6. ソフォスのデータコレクタに設定されているポートを「Port」に入力します。

  7. Facility」を選択します。

    ソフォスのデータコレクタは、任意のファシリティデータを受け入れます。データオプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表1.使用可能な Syslog のファシリティ

  8. Severity」レベルを選択します。

    ソフォスのデータコレクタは、選択された重要度レベルすべてを受け入れます。オプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表2.Syslog の重要度レベル

  9. Save」をクリックします。

Send Audit Log to Syslog」をオンにし、「Host」情報を入力すると、syslog メッセージはホストおよび監査ログに送信されます。これを変更する方法は、Cisco のドキュメントに記載されています。詳細は、監査ログから syslog をフィルタリングするを参照してください。

アクセスコントロールの syslog 設定の構成

  1. デバイスへサインインします。
  2. Policies > Access Control」をクリックします。
  3. 適用可能なアクセスコントロールポリシーを編集します。
  4. Logging」をクリックします。
  5. Send using specific syslog alert」を選択します。
  6. 上記で作成した syslog 警告を選択します。
  7. Save」をクリックします。

ファイルイベントとマルウェアイベントのログ記録をオンにする

  1. Send Syslog messages for File and Malware events」を選択します。
  2. Save」をクリックします。

侵入イベントのログをオンに設定する方法

  1. アクセスコントロールポリシーに関連付けられている侵入ポリシーに移動します。
  2. 侵入ポリシーで、「Advanced Settings > Syslog Alerting > Enabled」をクリックします。
  3. Back」をクリックします。
  4. Policy Information」で、「Commit Changes」をクリックします。
  5. 変更の説明を入力し、「OK」をクリックします。

検証後、Sophos Data Lake に Cisco Firepower 警告が表示されます。