Cisco ASA インテグレーションガイド🔗
Secureworks® Taegis™ XDRは、Taegis™ XDR Collectorを使用してCisco ASA Firewallからのデータを受信するように設定できます。以下の手順に従ってASAのログ設定を行ってください。syslog_IPはXDR CollectorのIPアドレスである場合があります。さらに、以下の手順はSecureworksによる監視を提供します。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco ASA Firewall | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Cisco ASA インテグレーションの追加🔗
XDRで直接インテグレーションをセットアップするには、以下の手順を実施してください。
-
On-Premises Data Collectorに記載されているOn-Premises Data Collectorの設定手順に従ってください。お客様の環境でOn-Premises Data Collectorを使用し、Cisco ASA FirewallからXDRへデータを収集・転送できます。すでにXDR Collectorがセットアップされている場合は、それをCiscoインテグレーションに利用できますし、新たにセットアップすることも可能です。
-
XDR Collectorのセットアップが完了したら、Cisco ASA FirewallのログをXDRへ転送するように設定する必要があります。詳細は下記のログ転送をご参照ください。
ログ転送🔗
このセクションでは、Ciscoファイアウォールでのログ転送設定に必要なアクションと手順を説明します。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Firewall_*interface | XDR Collector |
UDP/514 |
*ログメッセージの送信元インターフェースは、XDR Collectorに隣接するインターフェースです。XDR CollectorがDMZにある場合は、DMZインターフェースとなる場合があります。
Names機能の無効化🔗
Cisco ASAのnames機能は、syslogデータをXDRへ転送する場合は無効化してください。names機能は、ASA上でIPアドレスに共通名(エイリアス)を割り当てることができます。この機能を使用すると、ログメッセージ内でIPアドレスの代わりにエイリアスが表示されます。この機能は、XDRによるファイアウォールの効果的な監視に悪影響を及ぼすため、無効化する必要があります。以下の例では、names機能を無効化しています。
この機能が現在お使いのCisco ASA Firewallで有効になっている場合は、no namesコマンドを実行して無効化できます。
ファイアウォールのホスト名をログに記録🔗
syslogメッセージには発信元ファイアウォールのホスト名やIPアドレスが含まれていないため、logging device-id hostnameコマンドを実行し、どのASAログがどのファイアウォールに属するかを識別できるようにしてください。
スタンドアロンまたはアクティブ/スタンバイ構成でのログ設定🔗
以下のテンプレートは、スタンドアロンまたはアクティブ/スタンバイペアのファイアウォールでログを有効化するためのコマンド例です。Cisco ASAが複数コンテキストで動作している場合は、複数コンテキストでのログ設定をご参照ください。
設定に関する注意事項🔗
no logging hide usernameコマンドはASAバージョン9.3(3)以降の新機能ですが、9.4(1)では利用できません。-
logging standbyコマンドはオプション設定であり、アクティブ/スタンバイHAペアの場合のみ適用されます。この機能は、スタンバイデバイスでの無効なログイン試行のログを提供し、フェイルオーバー時のログ損失の可能性を低減します。ただし、プライマリからスタンバイへログが複製されるため、ファイアウォールペアで受信するログの数がほぼ2倍になる点にご注意ください。 -
ログメッセージID 302015および302013は無効化してはいけません。これらのログメッセージは、XDRによるnetflowデータの正しい生成に影響を与える可能性があります。以下の例では、これらのログメッセージIDが手動で無効化されています。
これらのログメッセージが手動で無効化されている場合は、logging message 302015およびlogging message 302013コマンドを実行して再度有効化してください。例:
```shell
ciscoasa(config)# logging message 302015
ciscoasa(config)# logging message 302013
```
複数コンテキストでのログ設定🔗
以下のテンプレートは、複数コンテキスト構成でログを有効化するためのコマンド例です。
```shell
ciscoasa(config)# logging enable
ciscoasa(config)# no logging console
ciscoasa(config)# no logging hide username
ciscoasa(config)# logging host <interface> <XDR Collector IP>
ciscoasa(config)# logging buffered informational
ciscoasa(config)# logging trap informational
ciscoasa(config)# logging standby
```
設定に関する注意事項🔗
- 各セキュリティコンテキストは独自のログ設定を持ち、独自のメッセージを生成します。監視したい各コンテキストでログを有効化してください。
- システム実行空間で生成されたsyslogメッセージ(フェイルオーバーメッセージなど)は、adminコンテキスト内で、adminコンテキストで生成されたメッセージとともに表示されます。システム実行空間でログ設定やログ情報の表示はできません。
no logging hide usernameコマンドはASAバージョン9.3(3)以降の新機能ですが、9.4(1)では利用できません。logging standbyコマンドはオプション設定であり、アクティブ/スタンバイHAペアの場合のみ適用されます。この機能は、スタンバイデバイスでの無効なログイン試行のログを提供し、フェイルオーバー時のログ損失の可能性を低減します。ただし、プライマリからスタンバイへログが複製されるため、ファイアウォールペアで受信するログの数がほぼ2倍になる点にご注意ください。-
ログメッセージID 302015および302013は無効化してはいけません。これらのログメッセージは、XDRによるnetflowデータの正しい生成に影響を与える可能性があります。以下の例では、これらのログメッセージIDが手動で無効化されています。
-
ASAは各メッセージにコンテキスト名を含めるよう設定でき、単一のsyslogサーバーに送信されるコンテキストメッセージの識別に役立ちます。この機能により、adminコンテキストからのメッセージとsystemからのメッセージの判別も容易になります。system実行空間から発信されたメッセージはdevice IDがsystemとなり、adminコンテキストから発信されたメッセージはadminコンテキスト名がdevice IDとなります。
詳細情報🔗
Cisco ASAソフトウェアおよびハードウェアの互換性については、Cisco ASA Compatibility Matricesをご参照ください。