Cisco Secure Firewall Threat Defense インテグレーションガイド🔗
以下は、Cisco Secure Firewall Threat Defense (FTD) を Cisco Secure Firewall Device Manager (FDM) または Cisco Secure Firewall Management Center (FMC) を使用して、syslog経由で Taegis™ XDR Collector にログを送信するためのガイドです。デバイスからすべてのセキュリティイベントログを取得するためのeStreamer証明書の作成手順も含まれています。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル | 理由 |
|---|---|---|---|
| XDR Collector (mgmt IP) | FMC管理インターフェース | TCP/8302 | eStreamer経由の侵入、フローおよびファイルイベントデータ |
| FMC管理インターフェース FTD論理デバイス管理インターフェース FXOSシャーシ |
XDR Collector (mgmt IP) | UDP/514 | Syslog経由の監査およびファイアウォールログ |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco FTD Firewall (Syslogのみ、NIDSについてはeStreamer経由のeNCoreを参照) | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
FMCまたはFDMからのSyslog設定🔗
FTDがデータをXDR Collectorに送信するように設定します。
注意
これらの手順は、FTD論理デバイスのプラットフォーム設定ポリシーに既存のsyslog設定がないことを前提としています。既に設定されている場合は、一部の設定がすでに構成または有効化されている可能性があり、リモートsyslogサーバーの追加のみが必要な場合もあります。
実施する手順は、FMCまたはFDMのバージョンおよびCiscoの管理方法によって異なります。
Firepower Threat Defense (FTD) バージョン6.4以降を実行しているファイアウォールの場合、ご利用の管理方法に応じてタブをクリックしてください。FMCまたはFDMのいずれかを使用できます。
Ciscoのドキュメント の手順に従い、FMCからsyslogを設定してください。
- IPアドレス — XDR Collector のIPアドレスを入力
- プロトコル — UDP を選択
- ポート — 514 を入力
Ciscoのドキュメント の手順に従い、FDMからsyslogを設定してください。
- IPアドレス — XDR Collector のIPアドレスを入力
- プロトコル — UDP を選択
- ポート — 514 を入力
eStreamerの設定(オプション)🔗
デバイスからすべてのセキュリティイベントログを取得するためのeStreamer証明書を作成する手順です。
XDR Collector用eStreamer証明書の作成(セキュリティイベント)🔗
eStreamerは、FMCからXDR Collectorへすべてのセキュリティイベントおよびログを取得するために使用されるAPIです。接続を保護するため、XDR Collectorにインストールする証明書が必要です。詳細はAdd the eStreamer Appを参照してください。
注意
デバイスがHAペアの一部である場合は、2台目のXDR Collectorを用意し、両方のFMCでこれらの手順を繰り返し、2台目のXDR Collectorに個別のeStreamerアプリインスタンスを追加するためにセカンダリeStreamer証明書を使用してください。
-
Ciscoのドキュメント の手順に従い、eStreamerを設定してください。
- ホスト名 — このeStreamer証明書をインポートするXDR CollectorのIPアドレスを入力
- eStreamerイベント設定 — リストから必要なイベントタイプをすべて選択
注意
Discovery EventsおよびConnection Eventsは大量のイベントを生成します。
-
eStreamer証明書を使用して、eStreamerアプリをXDR Collectorに追加します。詳細はAdd the eStreamer Appを参照してください。