Cisco Firepower 統合の概要

Cisco Firepower は、リアルタイムのコンテキスト認識を利用して、高度な脅威防御、侵入防御、次世代ファイアウォールを 1つの統合プラットフォームに統合するファイアウォール ソリューションです。

ソフォス製品ドキュメント

Cisco Firepower の統合

取り込まれる内容

ソフォスで表示される警告の例：

• INDICATOR-COMPROMISE
• MALWARE-CNC Win.Trojan.Njrat variant outbound connection
• INDICATOR-SCAN SSH brute force login attempt
• PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
• SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
• FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
• SQL generic convert injection attempt - GET parameter
• Executable Code was Detected
• APP-DETECT Steam game URI handler
• SERVER-APACHE Apache Struts remote code execution attempt
• W32.975C0D48C4.RET.SBX.TG

完全に取り込まれる警告

ソフォスはセキュリティ警告を取り込みます。syslog には Message: または ThreatName: が含まれている必要があります。

これらの警告は、Mitre Framework のバージョン 8 にマッピングされます。

フィルタリング

セキュリティイベントに関連する警告のみを取り込みます。syslog には Message: または ThreatName: フィールドが含まれている必要があります。

Cisco Secure Firewall Threat Defense: Security Event Syslog Messagesを参照してください。

脅威マッピングの例

警告の種類は、 次のようにしてフィールドによって定義します。

message フィールドが存在する場合、それを無害化して使用します。それ以外の場合、ThreatName フィールドを使用します。

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}

ベンダーのドキュメント

• Secure Firewall Management Center Configuration Guides
• Firepower Management Center Configuration Guide, Version 6.2: Connection logging
• Cisco Secure Firewall Threat Defense: Security Event Syslog Messages