Cisco Firepower
この機能を使用するには、「Firewall」統合ライセンスパックが必要です。
Firepower を Sophos Central と統合して、ソフォスでの解析用に監査データを送信するようにできます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。
ログコレクタは、Sophos NDR VA や他のログコレクタを実行している既存の VM に追加できます。この統合から新しい VM を作成することもできます。
注
複数の Cisco Firepower ファイアウォールを同じアプライアンスに追加できます。
これを行うには、Cisco Firepower 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Cisco Firepower ファイアウォールを設定して、この同じソフォスのアプライアンスにログが送信されるようにします。
Sophos Central での設定ステップを繰り返す必要はありません。
主なステップは次のとおりです。
- この製品の統合を設定します。これにより、VM で使用するイメージが設定されます。
- イメージをダウンロードして VM に展開します。これがアプライアンスになります。
- データを送信するように Firepower を設定します。実行する手順は、使用しているデバイスによって異なります。
- Firepower を VM に接続します。
要件
アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。
統合の設定
Sophos Central に Firepower を統合するには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「Cisco Firepower」をクリックします。
「Cisco Firepower」ページが開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。
-
「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。
「統合のセットアップ手順」が表示されます。
VM の設定
「統合のセットアップ手順」で は、Firepower からデータを受信するように VM をアプライアンスとして設定します。既存の VM を使用することも、新しい VM を作成することもできます。
フォームに入力する必要がある情報の一部を取得するには、Firepower に移動する必要がある場合があります。
VM を構成するには、以下の手順に従います。
- 新しい統合の名前と説明を入力します。
-
アプライアンスの名前と説明を入力します。
ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。
-
仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。
-
「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。
この syslog IP アドレスは、後で、データをアプライアンスに送信するように Firepower を設定する際に必要になります。
-
「プロトコル」を選択します。
データをアプライアンスに送信するように Firepower を設定する際には、同じプロトコルを使用する必要があります。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。
統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように Firepower を設定する際に必要になります。
VM イメージの準備が完了するまで、数分かかることがあります。
VM の展開
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
VM ファイルを使用して VM を導入します。これには、次の手順を実行します。
- 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
- イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。
Firepower の設定
次に、アプライアンスにデータを送信するように Firepower を設定します。アプライアンスは syslog サーバーとして機能するため、ファイアウォールの syslog サーバー機能を使用してデータを送信します。
実行する手順は、デバイスのファームウェアのバージョン、および使用している Cisco の管理方法によって異なります。
Firepower Threat Defense (FTD) バージョン 6.3 以降を実行しているファイアウォールの場合は、使用している管理方法に対応するタブをクリックします。Firepower Management Console (FMC) または Firepower Defence Manager (FDM) を使用できます。
Firepower Threat Defense (FTD) バージョン 6.3 以前を実行しているファイアウォールの場合は、クラシックデバイスのタブをクリックします。
注
ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のアプライアンスは、このような文字を区切り文字として扱うことができます。
Firepower Management Console を使用して、Firepower Threat Defense (FTD) バージョン 6.3 以降を実行しているファイアウォールをソフォスのアプライアンスに接続するには、次の手順を実行します。
syslog 設定の構成
- FMC で、「Devices > Platform Settings」をクリックします。
- アプライアンスに接続するプラットフォームを選択し、編集アイコンをクリックします。
- 「Syslog」をクリックします。
- 「Syslog Servers > Add」をクリックします。
-
ソフォスのアプライアンスの次の接続詳細を入力します。
- IP アドレス。これは、Sophos Central で設定した syslog IP アドレスです。
- プロトコルの種類。UDP を選択した場合は、EMBLEM 形式をオンにしないでください。
- ポート番号。
統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。
-
「Enable secure syslog」を選択しないでください。
-
「Reachable By」に、ファイアウォールがソフォスのアプライアンスに接続できるようにするためのネットワークの詳細を入力します。
-
「OK」をクリックします。
Cisco Firepower ファイアウォールの syslog サーバー設定の詳細は、Syslog サーバーの設定を参照してください。
-
「Syslog Settings」をクリックし、次のように設定値を構成します。
- 「Enable timestamp on Syslog Messages」をオンにします。
- 「Timestamp Format」で、「RFC 5424」を選択します。
- 「Enable Syslog Device ID」をオンにして、「Host Name」を選択します。
- 「NetFlow Equivalent Settings」をオンにしないでください。
-
「Save」をクリックします。
- 「Logging Setup」をクリックします。
- 「Enable Logging」を選択します。
-
次の項目は選択しないでください。
- Enable logging on the failover standby unit
- Send syslogs in EMBLEM format
- Send debug messages as syslogs
-
VPN イベントをソフォスのアプライアンスに転送する場合は、次の手順を実行します。
- 「VPN Logging Settings」セクションで、「Enable Logging to Firewall Management Center」を選択します。
- 「Logging Level」として「Debug」を選択します。
-
「Specify FTP Server Information」または「Specify Flash Size」に情報を入力する必要はありません。
- 「Save」をクリックします。
アクセスコントロールのログ設定の構成
ファイルやマルウェアのログなど、アクセスコントロールポリシーのログ設定も構成する必要があります。
これには、次の手順を実行します。
- 「Policies > Access Control」をクリックします。
- 設定するアクセス コントロール ポリシーの編集アイコンをクリックします。
- 「Logging」をクリックします。
- 「Use the syslog settings configured in the FTD Platform Settings policy deployed on the device」を選択します。
- 「Syslog Severity」で、「ALERT」を選択します。
- 「Send Syslog messages for IPS events」をオンにします。
- 「Send Syslog messages for File and Malware events」をオンにします。
- 「Save」をクリックします。
セキュリティ インテリジェンス イベントのログをオンに設定する方法
- 同じアクセス コントロール ポリシーで、「Security Intelligence」をクリックします。
- 「DNS Policy」オプションアイコンをクリックします。
-
「DNS Blacklist Logging Options」で、次の項目をオンにします。
- Log Connections。
- Firewall Management Center
- Syslog Server。
-
「OK」をクリックします。
-
「Blacklist」で、「Network」オプションアイコンをクリックします。
-
「Network Blacklist Logging Options」で、次の項目をオンにします。
- Log Connections
- Firewall Management Center
- Syslog Server
-
「OK」をクリックします。
-
「Blacklist」を下にスクロールして、「URL」オプションアイコンを見つけます。
-
「URL Blacklist Logging Options」で、次の項目をオンにします。
- Log Connections
- Firewall Management Center
- Syslog Server
-
「OK」をクリックします。
- 「Save」をクリックします。
各アクセス コントロール ルールの syslog ログをオンに設定する方法
アクセス コントロール ポリシーのすべてのルールで、syslog ログがオンになっていることを確認する必要があります。
これを行うには、ポリシー内のすべてのルールについて、次の手順を実行します。
- 同じアクセス コントロール ポリシーで、「Rules」タブをクリックします。
- 編集するルールをクリックします。
- 「Editing Rule」で、「Logging」をクリックします。
-
接続の開始と終了、またはその両方をログに記録するかどうかを選択します。
ログの記録に接続すると、大量のデータが生成されます。開始と終了の両方をログに記録すると、約 2倍の量が生成されます。すべての接続が開始時と終了時の両方に記録されるわけではありません。詳細は、Cisco アカウントにログインし、Firepower Management Center 設定ガイド、バージョン 6.2 の「接続のログ」セクションを参照してください。詳細は、接続のログを参照してください。
-
ファイルイベントをログに記録する場合は、「Log Files」を選択します。
- 「Syslog Server」をオンにします。
- 「Save」をクリックします。
侵入イベントのログをオンに設定する方法
アクセス コントロール ポリシーに関連付けられている侵入ポリシーで、イベントログをオンにする必要があります。
- 「Policies > Intrusion」をクリックします。
- アクセス コントロール ポリシーに関連付けられている侵入ポリシーを見つけ、「Snort 2 Version」をクリックします。
- 「Policy Information」で、「Advanced Settings」をクリックします。
- 「Advanced Settings」で、「Syslog Alerting」に移動します。
- 「Enabled」をクリックします。
- 「Back」をクリックします。
- 「Policy Information」で、「Commit Changes」をクリックします。
- 変更の説明を入力し、「OK」をクリックします。
注
ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のアプライアンスは、このような文字を区切り文字として扱うことができます。
FDM を使用して、Firepower デバイスをソフォスのアプライアンスに接続するには、次の手順を実行します。
ファイルイベントとマルウェアイベントのログをオンにする方法
ファイルイベントおよびマルウェアイベントのログをオンにし、ソフォスのアプライアンスの接続の詳細をファイアウォールに追加するには、次の手順を実行します。
- 設定するデバイスで FDM にサインインし、「Device:<name>」タブに移動します。
- 「System Settings」で、「Logging Settings」をクリックします。
- 「FILE/MALWARE LOGGING」をオンにします。
- 「Syslog Server」をクリックして、使用可能なサーバーを表示します。
- このデバイスに、ソフォスのアプライアンスを既に追加済みの場合は、それを選択します。そうでない場合は、「Create new Syslog Server」をクリックします。
-
ソフォスのアプライアンスの次の接続詳細を入力します。
- IP アドレス。これは、Sophos Central で設定した Syslog IP アドレスです。
- プロトコルの種類。
- ポート番号。
統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。
-
必要に応じて、ネットワーク環境に適した「Data Interface」または「Management Interface」を選択します。
- 「OK」をクリックします。
- 新しいサーバーが「Syslog Servers」に表示されます。クリックして選択します。
- 「Log at Severity Level」で、「Debug」を選択します。
- 「SAVE」をクリックします。
ポリシーの設定
各ポリシーで、ソフォスのアプライアンスに送信するアクティビティのログをオンにする必要があります。アクセスコントロールおよび侵入イベントをオンにできます。
これには、次の手順を実行します。
- 「ポリシー > アクセスコントロール」の順にクリックします。
- 設定するポリシーを見つけて、クリックします。
- 「ログ」をクリックします。
- 「SELECT LOG ACTION」で、接続の開始時と終了時のどちらでログに記録するか、または記録しないことを選択します。
- 「FILE EVENTS」で、「Log Files」をオンにします。
- 侵入イベントをログに記録する場合は、「Intrusion Policy」で、「INTRUSION POLICY」をオンにします。
- 適用する「Intrusion Policy」を選択します。
-
ファイルイベントをログに記録する場合は、「File Policy」で、適用するファイルポリシーを選択します。次から選択します。
- Block Malware All
- Malware Cloud Lookup - No Block
-
「SEND CONNECTION EVENTS TO:」で、ソフォスのアプライアンスを選択します。
- 「OK」をクリックします。
- 「Intrusion」をクリックします。
- 設定するポリシーを見つけて、設定アイコンをクリックします。
- 「Edit Logging Settings」でプラスアイコンをクリックし、ソフォスのアプライアンスを選択します。
- 「OK」をクリックします。
ソフォスのアプライアンスにデータを送信するポリシーごとに、これらの手順を繰り返します。
変更内容の保存
変更内容は、展開するまでデバイス上で有効になりません。これには、次の手順を実行します。
-
「展開」アイコンをクリックします。
展開していない変更内容がある場合、アイコンにドットが表示されます。
-
「Pending Changes」で、変更内容を確認します。
- 「DEPLOY NOW」をクリックします。
このプロセスの詳細については、Cisco のドキュメントを参照してください。詳細は、Syslog 警告の対応の作成を参照してください。
注
ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のアプライアンスは、このような文字を区切り文字として扱うことができます。
Firepower Classic デバイスをソフォスのアプライアンスに接続するには、次の手順を実行します。
syslog 設定の構成
- Firepower Management Center (FMC) サインインします。
- 「Policies > Actions > Alerts」をクリックします。
- 「Create Alert」で、「Create Syslog Alert」を選択します。
- たとえば、「SophosIntegration」など、MDM サーバーの名前を「Name」に入力します。
- ソフォスのアプライアンスの IP アドレスを 「Host」に入力します。
- ソフォスのアプライアンスに設定されているポートを「Port」に入力します。
-
「Facility」を選択します。
ソフォスのアプライアンスは、任意のファシリティデータを受け入れます。データオプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表1.使用可能な Syslog のファシリティ。
-
「Severity」レベルを選択します。
ソフォスのアプライアンスは、選択された重要度レベルすべてを受け入れます。オプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表2.Syslog の重要度レベル。
-
「Save」をクリックします。
「Send Audit Log to Syslog」をオンにし、「Host」情報を入力すると、syslog メッセージはホストおよび監査ログに送信されます。これを変更する方法は、Cisco のドキュメントに記載されています。詳細は、監査ログから syslog をフィルタリングするを参照してください。
アクセスコントロールの syslog 設定の構成
- デバイスへサインインします。
- 「Policies > Access Control」をクリックします。
- 適用可能なアクセスコントロールポリシーを編集します。
- 「Logging」をクリックします。
- 「Send using specific syslog alert」を選択します。
- 上記で作成した syslog 警告を選択します。
- 「Save」をクリックします。
ファイルイベントとマルウェアイベントのログ記録をオンにする
- 「Send Syslog messages for File and Malware events」を選択します。
- 「Save」をクリックします。
侵入イベントのログをオンに設定する方法
- アクセスコントロールポリシーに関連付けられている侵入ポリシーに移動します。
- 侵入ポリシーで、「Advanced Settings > Syslog Alerting > Enabled」をクリックします。
- 「Back」をクリックします。
- 「Policy Information」で、「Commit Changes」をクリックします。
- 変更の説明を入力し、「OK」をクリックします。
検証後、Sophos Data Lake に Cisco Firepower 警告が表示されます。