Cisco Firepower

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Firepower を Sophos Central と統合して、ソフォスでの解析用に監査データを送信することができます。

この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

注

複数の Cisco Firepower ファイアウォールを同じログコレクタに追加できます。

これを行うには、Cisco Firepower 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Cisco Firepower ファイアウォールを設定して、この同じソフォスのログコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
データを送信するように Firepower を設定します。実行する手順は、使用しているデバイスによって異なります。
Firepower を VM に接続します。

統合の追加

Sophos Central に Firepower を統合するには、次の手順を実行します。

Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
「Cisco Firepower」をクリックします。

既に Firepower への接続を設定済みの場合は、ここに表示されます。
「統合の追加」をクリックします。

注

これが統合追加の初回である場合は、内部ドメインと IP の詳細を聞かれます。詳細は、ドメインと IP アドレスを参照してください。

「統合手順」が表示されます。

VM の設定

「統合手順」では、Firepower からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

フォームに入力する必要がある情報の一部を取得するには、Firepower に移動する必要がある場合があります。

VM を構成するには、以下の手順に従います。

新しい統合の名前と説明を入力します。
VM の名前と説明を入力します。
仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
インターネットに接続するネットワークポートを指定します。
- IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
  
  注
  
  DHCP を選択した場合は、IP アドレスを予約する必要があります。
- ネットワーク設定を指定するには、「手動」を選択します。
データを送信するように Firepower を設定する場合は、後で VM のアドレスが必要になります。
「プロトコル」を選択します。
「Syslog フォーマット」を選択します。
残りのフィールドに入力します。
「保存」をクリックします。

統合が作成され、リストに表示されます。QVA ファイルのダウンロードが開始できるまで、数分かかることがあります。

VM の導入

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。

新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。

統合のリストの、「アクション」で「OVAのダウンロード」をクリックします。
OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

Firepower の設定

次に、ログコレクタにデータを送信するように Firepower を設定します。

実行する手順は、設定しているデバイスの種類によって異なります。使用している Firepower バージョンをクリックします。

FTDクラシックデバイス

Firepower Threat Defense バージョン 6.3 以降をソフォスのログコレクタに接続するには、次の手順を実行します。

注

ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のログコレクタは、文字を区切り文字として扱うことができます。

syslog 設定の構成

「デバイス > プラットフォーム設定」をクリックします。
左側のメニューで、「Syslog」をクリックします。
「Syslog サーバー」をクリックして「追加」をクリックします。
ソフォスのログコレクタのサーバー、プロトコル、インターフェース、および関連情報を入力します。

詳細については、Syslog サーバーの設定を参照してください。
「Syslog 設定」をクリックし、次のように設定値を構成します。
1. 「Syslog メッセージ」の「タイムスタンプ」をオンにします。
2. 「タイムスタンプの形式」を入力します。
3. 「Syslog デバイス ID」をオンにします。
詳細は、セキュリティイベントの Syslog メッセージに適用される FTD プラットフォーム設定を参照してください。
「ログ記録設定」をクリックします。
EMBLEM 形式で syslog を送信するかどうかを選択します。
「保存」をクリックします。

アクセスコントロールのログ記録設定の構成

ファイルやマルウェアのログなど、アクセスコントロールポリシーのロギング設定は構成する必要があります。

「ポリシー > アクセスコントロール」の順にクリックします。
適用可能なアクセスコントロールポリシーを編集します。
「ログ」をクリックします。
「FTD 6.3 以降」を選択します。デバイスに導入されている FTD プラットフォーム設定ポリシーで構成されている syslog 設定を使用します。
(任意)「Syslog 重要度」を選択します。
ファイルやマルウェアイベントを送信する場合は、「ファイルおよびマルウェアイベントの Syslog メッセージを送信する」を選択します。
「保存」をクリックします。

セキュリティインテリジェンスイベントのログ記録を有効化する

同じアクセスコントロールポリシーで、「セキュリティインテリジェンス」タブをクリックします。
次の各場所で、「ログ」をクリックします。Syslog サーバー、および接続の開始と終了を有効化します。
1. 「DNS ポリシー」の横に表示されます。
2. 「ブロックリスト」ボックスで、「ネットワーク」および「URL」を選択します。
「保存」をクリックします。

各アクセスコントロールルールの syslog ログ記録を有効化する

同じアクセスコントロールポリシーで、「ルール」タブをクリックします。
編集するルールをクリックします。
ルールの「ログ記録」タブをクリックします。
接続の開始と終了、またはその両方をログに記録するかどうかを選択します。

ログの記録に接続すると、大量のデータが生成されます。開始と終了の両方をログに記録すると、約 2 倍の量が生成されます。すべての接続が開始時と終了時の両方に記録されるわけではありません。
ファイルイベントをログに記録する場合は、「ファイルのログ」を選択します。
「Syslog サーバー」を有効化します。
ルールが、アクセスコントロールログ記録でデフォルトの syslog 設定を使用することを確認します。
「追加」をクリックします。
ポリシー内の各ルールについて、手順を繰り返します。

侵入イベントのログ記録をイネーブルにします

アクセスコントロールポリシーに関連付けられている侵入ポリシーに移動します。
侵入ポリシーで、「詳細設定 > Syslog アラート > 有効化」をクリックします。
必要に応じて、「編集」をクリックします。
次のようにオプションを入力します。
- ログ記録ホスト
  
  他の syslog メッセージを送信する syslog サーバーとは別の syslog サーバーに侵入イベント syslog メッセージを送信する場合を除き、このフィールドは空白のままにしておきます。上記で設定した設定が使用されます。
- ファシリティ
  
  この設定は、このページでログ記録ホストを指定した場合にのみ適用されます。
  
  詳細については、Syslog アラートファシリティを参照してください。
- 危険度
  
  この設定は、このページでログ記録ホストを指定した場合にのみ適用されます。
  
  詳細については、Syslog 重要度レベルを参照してください。
「戻る」をクリックします。
左側のメニューで、「ポリシー情報」をクリックします。
「変更の確定」をクリックします。

このプロセスの詳細については、シスコのマニュアルを参照してください。詳細は、Syslog アラート応答の作成を参照してください。

注

ポリシー名やルール名などのオブジェクト名には、カンマなどの特殊文字は使用しないでください。VM のログコレクタは、文字を区切り文字として扱うことができます。

Firepower Classic デバイスをソフォスのログコレクタに接続するには、次の手順を実行します。

syslog 設定の構成

Firepower Management Center (FMC) サインインします。
「Policies > Actions > Alerts」をクリックします。
「Create Alert」で、「Create Syslog Alert」を選択します。
たとえば、「SophosIntegration」など、MDM サーバーの名前を「Name」に入力します。
ソフォスのログコレクタの IP アドレスを「Host」に入力します。
ソフォスのデータコレクタに設定されているポートを「Port」に入力します。
「Facility」を選択します。

ソフォスのログコレクタは、任意のファシリティデータを受け入れます。データオプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表1.使用可能な Syslog のファシリティ。
「Severity」レベルを選択します。

ソフォスのログコレクタは、選択された重要度レベルすべてを受け入れます。オプションのリストは、Cisco のドキュメントに記載されています。詳細は、次を参照してください。表2.Syslog の重要度レベル。
「保存」をクリックします。

「Send Audit Log to Syslog」をオンにし、「Host」情報を入力すると、syslog メッセージはホストおよび監査ログに送信されます。これを変更する方法は、Cisco のドキュメントに記載されています。詳細は、監査ログから syslog をフィルタリングするを参照してください。

アクセスコントロールの syslog 設定を構成する

デバイスへサインインします。
「ポリシー」 > 「アクセスコントロール」の順にクリックします。
適用可能なアクセスコントロールポリシーを編集します。
「ログ」をクリックします。
「特定の syslog アラートを使用して送信」を選択します。
上記で作成した syslog アラートを選択します。
「保存」をクリックします。

ファイルイベントとマルウェアイベントのログ記録をオンにする

「ファイルおよびマルウェアイベントの Syslog メッセージを送信する」を選択します。
「保存」をクリックします。

侵入イベントのログ記録をオンにする

アクセスコントロールポリシーに関連付けられている侵入ポリシーに移動します。
侵入ポリシーで、「詳細設定 > Syslog アラート > 有効化」をクリックします。
必要に応じて、「編集」をクリックします。
次のオプションを入力します。
- ログ記録ホスト
  
  他の syslog メッセージを送信する syslog サーバーとは別の syslog サーバーに侵入イベント syslog メッセージを送信する場合を除き、このフィールドは空白のままにしておきます。上記で設定した設定が使用されます。
- ファシリティ
  
  この設定は、このページでログ記録ホストを指定した場合にのみ適用されます。
  
  詳細は、Syslog アラートファシリティを参照してください。
- 危険度
  
  この設定は、このページでログ記録ホストを指定した場合にのみ適用されます。
  
  詳細は、Syslog の重要度レベルを参照してください。
「戻る」をクリックします。
左側のメニューで、「ポリシー情報」をクリックします。
「変更の確定」をクリックします。