Cisco ASA インテグレーションガイド🔗
Secureworks® Taegis™ XDR は、Taegis™ XDR Collector を使用して Cisco ASA Firewall からのデータを受信するように構成できます。以下の手順に従って ASA のロギングを設定してください。syslog_IP は XDR Collector の IP アドレスである場合があります。さらに、以下の手順は Secureworks による監視を提供します。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco ASA Firewall | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Cisco ASA インテグレーションの追加🔗
XDR でインテグレーションを直接セットアップするには、以下の手順を実行してください。
-
On-Premises Data Collector に記載されている On-Premises Data Collector の構成手順に従ってください。お客様の環境で On-Premises Data Collector を使用して、Cisco ASA Firewall から XDR へデータを収集・転送できます。すでに XDR Collector をセットアップ済みの場合は、Cisco インテグレーションにも利用できますし、新たにセットアップすることも可能です。
-
XDR Collector のセットアップが完了したら、Cisco ASA Firewall のログを XDR へ転送するように構成する必要があります。詳細は、下記のログ転送をご参照ください。
ログ転送🔗
このセクションでは、Cisco ファイアウォールでログ転送を構成するために必要なアクションと手順を説明します。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Firewall_*interface | XDR Collector |
UDP/514 |
*ログメッセージの送信元インターフェースは、XDR Collector に隣接するインターフェースです。XDR Collector が DMZ にある場合は、DMZ インターフェースとなる場合があります。
Names 機能の無効化🔗
Cisco ASA の names 機能は、syslog データを XDR へ転送する場合は無効にする必要があります。names 機能は、ASA 上で IP アドレスに共通名(エイリアス)を割り当てることができます。この機能を使用すると、ログメッセージ内で IP アドレスの代わりにエイリアスが表示されます。この機能は XDR のファイアウォール監視能力に悪影響を及ぼすため、無効化してください。以下の例では、names 機能を無効化しています。
この機能が現在 Cisco ASA Firewall で有効になっている場合は、no names コマンドを実行して無効化できます。
ファイアウォールのホスト名をログに記録🔗
syslog メッセージには発信元ファイアウォールのホスト名や IP アドレスが含まれていないため、logging device-id hostname コマンドを実行して、どの ASA ログがどのファイアウォールに属するかを識別できるようにしてください。
スタンドアロンまたはアクティブ/スタンバイでのロギング構成🔗
以下のテンプレートは、スタンドアロンまたはアクティブ/スタンバイペアのファイアウォールでロギングを有効にするコマンド例です。Cisco ASA で複数コンテキストを実行している場合は、複数コンテキストでのロギング構成 をご参照ください。
構成に関する注意事項🔗
no logging hide usernameコマンドは ASA バージョン 9.3(3) 以降の新機能ですが、9.4(1) では利用できません。-
logging standbyコマンドはオプション設定であり、アクティブ/スタンバイ HA ペアの場合のみ適用されます。この機能は、スタンバイデバイスでの無効なログイン試行のログを提供し、フェイルオーバー時のログ損失の可能性を低減します。ただし、プライマリからスタンバイへのログが複製されるため、ファイアウォールペアで受信するログの数がほぼ2倍になる点にご注意ください。 -
ログメッセージID 302015 および 302013 は無効化してはいけません。これらのログメッセージは、XDR で netflow データを正しく生成する能力に影響を与える可能性があります。以下の例では、これらのログメッセージIDが手動で無効化されています。
これらのログメッセージが手動で無効化されている場合は、logging message 302015 および logging message 302013 コマンドを実行して再度有効化してください。例:
```shell
ciscoasa(config)# logging message 302015
ciscoasa(config)# logging message 302013
```
複数コンテキストでのロギング構成🔗
以下のテンプレートは、複数コンテキスト実装でロギングを有効にするコマンド例です。
```shell
ciscoasa(config)# logging enable
ciscoasa(config)# no logging console
ciscoasa(config)# no logging hide username
ciscoasa(config)# logging host <interface> <XDR Collector IP>
ciscoasa(config)# logging buffered informational
ciscoasa(config)# logging trap informational
ciscoasa(config)# logging standby
```
構成に関する注意事項🔗
- 各セキュリティコンテキストは独自のロギング構成を持ち、独自のメッセージを生成します。監視したい各コンテキストでロギングを有効にしてください。
- システム実行空間で生成された syslog メッセージ(フェイルオーバーメッセージを含む)は、admin コンテキストで生成されたメッセージとともに admin コンテキストで表示されます。システム実行空間でロギングを構成したり、ロギング情報を表示したりすることはできません。
no logging hide usernameコマンドは ASA バージョン 9.3(3) 以降の新機能ですが、9.4(1) では利用できません。logging standbyコマンドはオプション設定であり、アクティブ/スタンバイ HA ペアの場合のみ適用されます。この機能は、スタンバイデバイスでの無効なログイン試行のログを提供し、フェイルオーバー時のログ損失の可能性を低減します。ただし、プライマリからスタンバイへのログが複製されるため、ファイアウォールペアで受信するログの数がほぼ2倍になる点にご注意ください。-
ログメッセージID 302015 および 302013 は無効化してはいけません。これらのログメッセージは、XDR で netflow データを正しく生成する能力に影響を与える可能性があります。以下の例では、これらのログメッセージIDが手動で無効化されています。
-
ASA で各メッセージにコンテキスト名を含めるように構成できます。これにより、単一の syslog サーバーに送信されるコンテキストメッセージを区別しやすくなります。また、どのメッセージが admin コンテキストから、どのメッセージがシステムから送信されたかを判別するのにも役立ちます。システム実行空間から発信されたメッセージは device ID として system を使用し、admin コンテキストから発信されたメッセージは admin コンテキストの名前を device ID として使用します。
詳細情報🔗
Cisco ASA ソフトウェアおよびハードウェアの互換性については、Cisco ASA Compatibility Matrices をご参照ください。