Cisco Secure Firewall Threat Defense インテグレーションガイド🔗
以下は、Cisco Secure Firewall Threat Defense (FTD) を Cisco Secure Firewall Device Manager (FDM) または Cisco Secure Firewall Management Center (FMC) を使用して、syslog 経由で Taegis™ XDR Collector にログを送信するための設定ガイドです。デバイスからすべてのセキュリティイベントログを取得するための eStreamer 証明書の作成手順も含まれています。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル | 理由 |
|---|---|---|---|
| XDR Collector (mgmt IP) | FMC 管理インターフェース | TCP/8302 | eStreamer 経由の侵入、フローおよびファイルイベントデータ |
| FMC 管理インターフェース FTD 論理デバイス管理インターフェース FXOS シャーシ |
XDR Collector (mgmt IP) | UDP/514 | Syslog 経由の監査およびファイアウォールログ |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco FTD Firewall(Syslogのみ、NIDSについてはeNCore経由のeStreamerを参照) | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
FMC または FDM からの Syslog 設定🔗
FTD から XDR Collector へデータを送信するように設定します。
注意
これらの手順は、FTD 論理デバイスのプラットフォーム設定ポリシーに既存の syslog 設定がないことを前提としています。既に設定されている場合は、一部の設定や有効化が完了している可能性があり、リモート syslog サーバーの追加のみが必要な場合もあります。
実施する手順は、FMC または FDM のバージョンおよび Cisco 管理方法によって異なります。
Firepower Threat Defense (FTD) バージョン 6.4 以降を実行しているファイアウォールの場合、ご利用の管理方法に応じてタブをクリックしてください。FMC または FDM のいずれかを使用できます。
Cisco ドキュメント の手順に従い、FMC から syslog を設定してください。
- IP アドレス — XDR Collector の IP アドレスを入力
- プロトコル — UDP を選択
- ポート — 514 を入力
Cisco ドキュメント の手順に従い、FDM から syslog を設定してください。
- IP アドレス — XDR Collector の IP アドレスを入力
- プロトコル — UDP を選択
- ポート — 514 を入力
eStreamer の設定(オプション)🔗
デバイスからすべてのセキュリティイベントログを取得するための eStreamer 証明書を作成する手順です。
XDR Collector 用 eStreamer 証明書の作成(セキュリティイベント)🔗
eStreamer は、FMC から XDR Collector へすべてのセキュリティイベントおよびログを取得するために使用される API です。接続を保護するため、XDR Collector にインストールする証明書が必要です。詳細は eStreamer アプリの追加 を参照してください。
注意
デバイスが HA ペアの一部である場合は、2 台目の XDR Collector を用意し、両方の FMC でこれらの手順を繰り返し、2 台目の XDR Collector に個別の eStreamer アプリインスタンスを追加するためにセカンダリ eStreamer 証明書を使用してください。
-
Cisco ドキュメント の手順に従い、eStreamer を設定してください。
- ホスト名 — この eStreamer 証明書をインポートする XDR Collector の IP アドレスを入力
- eStreamer イベント設定 — 必要なイベントタイプをすべてリストから選択
注意
Discovery Events および Connection Events は大量のイベントを生成します。
-
eStreamer 証明書を使用して、eStreamer アプリを XDR Collector に追加します。詳細は eStreamer アプリの追加 を参照してください。