Cisco Threat Response および Firepower を統合 目次

はじめに前提条件要件使用するコンポーネント背景説明機能説明配備アーキテクチャ設定FMC によって管理される FTD -直接 CTR 統合確認FMC によって管理される FTD -直接 CTR 統合トラブルシューティングDNS 解決による接続に関する問題登録における問題FTD - 直接 CTR 統合ログ ファイルa. イベント ハンドラ:b. SSE コネクタ:

Firepower Cisco Threat Response CTR

著者：Cisco TAC エンジニア。

Firepower Management CenterFMC●

●

Firepower Threat Defense FTD - 6.3 ●

Firepower Management Center FMC - 6.3 ●

SSE●

Cisco Threat Response CTR●

Firepower Management Center FMC Firepower Threat Defense FTD Cisco Cloud

FMC FDM FTD

IPS6.3 Syslog

6.4

6.3 Syslog

6.4

6.5 Firepower 6.5

:

  

   malware

  

6.5

malware 6.5 6.5

Cisco Threat Response CTR Cisco CTR CTR Cisco: E AMP for Endpoints Umbrella E

CTR CiscoEventing Cisco Eventing Eventing CTR Cisco Talos

CSSP Cisco Exchange SSE Cisco Defense Orchestrator CDO Cisco Threat Response CTRCisco

いくつかのシスコ製品が SSE にネイティブでアップロードする機能が含まれている間、CSSP はできないいくつかのそれらの製品のためにブリッジとして使用することができます。 FTD 6.4 およびより高いバージョンから、イベントは CSSP の必要なしで Cisco Cloud に直接送ることができます。 ただし、以前の FTD バージョンのためにクラウドにイベントを送るために、CSSP が必要となります。

Firepower リリース 6.4 か以降を使うと、FTD デバイスからの Cisco クラウドにサポートされたイベントを直接送るために Firepower システムを設定できます。

注: FTDs だけ、ない NGIPS サポートされます。

具体的には、Firepower デバイスはセキュリティ サービス Exchange （SSE）に、からの CiscoThreat Response （CTR）に現われる事件に自動または手動で促進することができる組み込みSSE コネクタを使用して、イベントを送ります。

設定

設定を完了するためにこれらのセクションを考慮に入れて下さい:

useCisco 脅威 Responseand はツールを、地方のクラウドの次のアカウントの 1 つを持たなければなりません関連付けました:

Ciscoセキュリティ アカウント●

AMP for Endpoints アカウント●

Cisco 脅威 グリッド アカウント●

FMC によって管理される FTD -直接 CTR 統合

要件型 Requirement

Firepower デバイス

Firepower 脅威 Defensedevices管理された byFirepower 管理 センター●

Firepower デバイス マネージャによって管理される●

Firepower バージョン

6.4 または以降地方のクラウドのためのサポートは Firepower バージョン 6.5 で導入されました。

Cisco 脅威Responsecloud

北アメリカ クラウドヨーロッパ クラウドは、https://visibility.eu.amp.cisco.com、Firepower バージョン 6.5 および それ 以降でサポートされます。

ライセンス

スマートな認可はすべてのデバイスで正常に動作しています。●

この機能は評価ライセンスの下でサポートされません。●

環境は Cisco スマートなソフトウェア衛星サーバを使用するか、またはエアー ギャップを作られた環境で展開することができません。

●

アカウント

接続FMC およびマネージ デバイスは Cisco クラウドに送信を接続できる必要があります:北アメリカ クラウド: api-sse.cisco.com、ポート 443EU クラウド: api.eu.sse.itd.cisco.com、ポート 443

一般 Firepower システムはイベントを予想通り生成します。

ステップ 1.システム > ライセンスに > スマートな認可ナビゲートし、イメージに示すようにFMC を、登録して下さい。

ステップ 2.統合 > Cloud サービスにナビゲートし、Cisco Cloud イベント 設定を有効に し、クラウドに送りたいと思うイベントを選択して下さい:

高優先順位 接続イベント（6.5+）:  安全保障局接続イベントファイルおよび malware イベントに関する接続イベント不正侵入 イベントに関する接続イベント

●

ファイル及び Malware イベント（6.5+）●

不正侵入 イベント（6.3+） Syslog によって 6.3直接接続によって 6.4●

SSE Webページにリダイレクトされるために、Cisco Cloud 設定を表示するために『ClickHere』 を選択 する必要があります。

SSE アカウントにログオンするとき、SSE アカウントにスマートなアカウントをリンクしなければなりませんなぜならアイコンを『Tools』 をクリック し、リンク アカウントを選択する必要があるそれ。

バーチャル アカウントAdmin にかスマートなアカウントAdmin だけスマートなアカウント役割を検証するために SSE アカウントとスマートなアカウントを、リンクするありましたりsoftware.cisco.com におよび管理 メニューの下で特権が、『Manage』 を選択 しますスマートなアカウントをナビゲートします。

ユーザの役割を検証するために、ユーザにナビゲートし、バーチャル アカウント 管理者があるためにアカウントは設定 されるロールの下でイメージに示すようにそれを検証して下さい。

バーチャル アカウントことを確かめて下さい含まれていない安全 装置のためのライセンスがアカウントが SSE でリンクするために選択される SSE でセキュリティ ライセンス リンクされたら、安全 装置含まれ、イベントが SSE ポータルで現われない。

スマートなアカウントが SSE にリンクされれば、デバイスの下でイメージに示すように登録されていたステータスの FMC および FTD を、見るはずです。

両方とも、Cisco Threat Response および Eventing が有効に なることを確かめて下さい。

この場合、CTR への移動は FMC から、『Click Here』 を選択 します Cisco 使用例応答のイベントを表示するために説明します。

Firepower モジュールがインストールされていることを Firepower の統合を完了するためにモジュールの下で確認して下さい。

Firepower モジュールがインストールされていなければインストールに進みます。

Devices タブで FMC および FTDs はイメージに示すように登録されて、ようです。

確認

ここでは、設定が正常に動作していることを確認します。

FMC によって管理される FTD -直接 CTR 統合

FMC の malware イベントがあるように確認して下さい。

FMC の不正侵入 イベントがあるように確認して下さい。

イベントを受け取ったことを SSE で確認して下さい。

1 つのイベントを詳細については選択できます。

SSE からのイベントが受け取られることを CTR で確認して下さい。

イメージに示すように詳細で、得るために 1 つのイベントを選択できます。

トラブルシューティング

DNS 解決による接続に関する問題

ステップ 1： 接続がきちんとはたらくことを確認して下さい。

root@ftd01:~# curl -v -k https://api-sse.cisco.com

* Rebuilt URL to: https://api-sse.cisco.com/

* getaddrinfo(3) failed for api-sse.cisco.com:443

* Couldn't resolve host 'api-sse.cisco.com'

* Closing connection 0

curl: (6) Couldn't resolve host 'api-sse.cisco.com'

上記の出力はデバイスがエキスパート CLI からの nslookup で URL https://api-sse.cisco.com を、この場合解決することが、私達適切な DNS サーバが設定されること検証する必要がある、それ検証することができるできないことを示したものです:

root@ftd01:~# nslookup https://api-sse.cisco.com

;; connection timed out; no servers could be reached

上記の出力は設定される DNS が達しない DNS 設定を確認するためにことを、使用します shownetwork コマンドを示したものです:

> show network

===============[ System Information ]===============

Hostname : ftd01

DNS Servers : 10.10.10.10

Management port : 8305

IPv4 Default route

Gateway : 10.10.10.1

======================[ eth0 ]======================

State : Enabled

Link : Up

Channels : Management & Events

Mode : Non-Autonegotiation

MDI/MDIX : Auto/MDIX

MTU : 1500

MAC Address : 00:50:56:94:9D:A5

----------------------[ IPv4 ]----------------------

Configuration : Manual

Address : 10.10.10.27

Netmask : 255.255.255.0

Broadcast : 10.10.10.255

----------------------[ IPv6 ]----------------------

Configuration : Disabled

===============[ Proxy Information ]================

State : Disabled

Authentication : Disabled

間違った DNS サーバが、使用されたこの例でこのコマンドの実行によって DNS 設定を変更できます:

> configure network dns 10.10.10.11

この接続がおよび今回再度テストすることができた後、接続は正常です。

root@ftd01:~# curl -v -k https://api-sse.cisco.com

* Rebuilt URL to: https://api-sse.cisco.com/

* Trying 52.4.85.66...

* Connected to api-sse.cisco.com (52.4.85.66) port 443 (#0)

* ALPN, offering http/1.1

* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH

* successfully set certificate verify locations:

* CAfile: none

CApath: /etc/ssl/certs

* TLSv1.2 (OUT), TLS header, Certificate Status (22):

* TLSv1.2 (OUT), TLS handshake, Client hello (1):

* TLSv1.2 (IN), TLS handshake, Server hello (2):

* TLSv1.2 (IN), TLS handshake, Certificate (11):

* TLSv1.2 (IN), TLS handshake, Server key exchange (12):

* TLSv1.2 (IN), TLS handshake, Request CERT (13):

* TLSv1.2 (IN), TLS handshake, Server finished (14):

* TLSv1.2 (OUT), TLS handshake, Certificate (11):

* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):

* TLSv1.2 (OUT), TLS change cipher, Client hello (1):

* TLSv1.2 (OUT), TLS handshake, Finished (20):

* TLSv1.2 (IN), TLS change cipher, Client hello (1):

* TLSv1.2 (IN), TLS handshake, Finished (20):

* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256

* ALPN, server accepted to use http/1.1

* Server certificate:

* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api -sse.cisco.com

* start date: 2019-12-03 20:57:56 GMT

* expire date: 2021-12-03 21:07:00 GMT

* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID S SL ICA G2

* SSL certificate verify result: self signed certificate in certificate c hain (19), continuing

anyway.

>GET / HTTP/1.1

>Host: api-sse.cisco.com

>User-Agent: curl/7.44.0

>Accept: */*

>

<HTTP/1.1 403 Forbidden

<Date: Wed, 08 Apr 2020 01:27:55 GMT

<Content-Type: text/plain; charset=utf-8

<Content-Length: 9

<Connection: keep-alive

<Keep-Alive: timeout=5

<ETag: "5e17b3f8-9"

<Cache-Control: no-store

<Pragma: no-cache

<Content-Security-Policy: default-src 'self'

<X-Content-Type-Options: nosniff

<X-XSS-Protection: 1; mode=block

<Strict-Transport-Security: max-age=31536000; includeSubdomains;

注: パラメータが形式をテスト送信 したので 403 禁止されたメッセージは SSE 期待するが、これ接続を検証するには証明します十分をものがではないです。

登録における問題

ステップ 1： 設定をチェックして下さい。

FMC の SSE コネクタが後部でどのように設定されるかチェックするために、次のファイルを開いて下さい:

admin@firepower:~$ cat /etc/sf/connector.properties:

registration_interval=180

connector_port=8989

region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions

connector_fqdn=api-sse.cisco.com

呼び出します。 SSE サーバへの接続が確立することができるかどうか確認して下さい。

SSE への接続は設定で使用されるクラウドへの FMC または FTD の次のカールとそれぞれチェックすることができます:

admin@firepower:~$ curl -s https://api-sse.cisco.com/providers/sse/api/v1/regions -x

proxy.prod.wudip.com:8080 | python -m json.tool [ { "description": "US Region", "domain": "api-

sse.cisco.com", "region": "us-east-1" }, { "description": "EU Region", "domain":

"api.eu.sse.itd.cisco.com", "region": "eu-central-1" } ]

ステップ 3. DeviceID が一致するかどうか確認して下さい。 

DeviceID は SSE ポータルのものと同じである必要があります。

admin@firepower:~$ curl -s http://localhost:8989/v1/contexts/default | grep deviceId

出力例。

"deviceId": "c2e228d6-d17d-432e-9c71-e3107875cc3b",

ステップ 4 何かが消えている場合ログをチェックして下さい。

登録における問題は次のコマンドでコネクタの FMC で見つけることができます:

admin@firepower:~$ zgrep -i "registration:"  /var/log/connector/connector.log*

FTD でパスはわずかに異なります。

admin@firepower:~$ zgrep -i "registration:"  /ngfw/var/log/connector/connector.log*

出力例。 

/var/log/connector/connector.log:time="2019-11-06T14:58:10.511829319Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][sm.go:294 registration:NewDevice] New device created."

/var/log/connector/connector.log:time="2019-11-06T14:58:10.511926615Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][methods.go:71 registration:(*device).register] Registration request

received for Device"

/var/log/connector/connector.log:time="2019-11-06T14:58:10.511977085Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][sm.go:482 registration:(*device).updateStatus] Changing device

status: INIT to REGISTERING"

/var/log/connector/connector.log:time="2019-11-06T14:58:11.200785143Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][reg.go:124 registration:(*device).sendRegRequest] Registration

request completed with status code: 201; FlowID: 9d219408-b527-4c91-aa78-c967f8f86e70"

/var/log/connector/connector.log:time="2019-11-06T14:58:11.201142252Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][methods.go:84 registration:(*device).register] Registration success.

Device UUID: c2e228d6-d17d-432e-9c71-e3107875cc3b"

/var/log/connector/connector.log:time="2019-11-06T14:58:11.201184566Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][sm.go:482 registration:(*device).updateStatus] Changing device

status: REGISTERING to REGISTERED"

/var/log/connector/connector.log:time="2019-11-06T14:58:12.969957209Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][methods.go:115 registration:(*device).register] JWT Enrollment

complete for Device with UUID: c2e228d6-d17d-432e-9c71-e3107875cc3b"

/var/log/connector/connector.log:time="2019-11-06T14:58:12.970006791Z" level=info msg="[ips-

mgmt-ch1-01.wuintranet.net][sm.go:482 registration:(*device).updateStatus] Changing device

status: REGISTERED to ENROLLED"

ステップ 5 すべてのステップが不十分 FMC が保存するデータをチェックして下さい。

SSE コネクタについての詳細は下記のようにコマンドで見つけることができます:

admin@firepower:~$ curl -s http://localhost:8989/v1/contexts/default

{

"clientInfo": {

"version": "6.4.0.6",

"description": "10.46.194.70 ips-mgmt-ch1-01.wuintranet.net",

"name": "ips-mgmt-ch1-01.wuintranet.net",

"guid": "0f0fdba0-dc00-11e6-8431-d83b778ca293",

"type": "Cisco Firepower Management Center 3500",

"ip": "10.46.194.70"

},(...)

FTD - 直接 CTR 統合ログ ファイル

a. イベント ハンドラ:

統計ファイル:●

/ngfw/var/log/EventHandlerStats。<date>    （日曜日に開始する 1 週あたりの 1 つの統計ファイル）ログ ファイル: ●

/ngfw/var/log/messages

EventHandler を探して下さい: entries    例えば: 「EventHandler : 」完全な E ventHandler [INFO]コンシューマ SSEConnector 初期化システム 構成 ファイル:●

/ngfw/var/sf/detection_engines/ <UUID>/ids_alert.conf

/ngfw/var/sf/detection_engines/ <UUID>/threshold.conb. SSE コネクタ:

ログ ファイル:●

/ngfw/var/log/connector/connector.log

コネクタが SSE クラウドが付いている接続を確立したかどうか確認して下さい●

root@firepower:~# lsof -i | grep conn

connector  3701   www    9u  IPv4    20899      0t0  TCP localhost:8989 (LISTEN) connector  3701

  www   10u  IPv4    24751      0t0  TCP firepower:59707->ec2-100-25-93-234.compute-

1.amazonaws.com:https (ESTABLISHED)

SSE コネクタがクラウドにイベントを送るかどうか確認するために上で強調表示されるポートのために tcpdump を使用して下さい

●

イベント サービスをチェックして下さい●

root@firepower:~# curl http://localhost:8989/v1/contexts/default

{

"clientInfo": {

"version": "6.5.0",

"description": "10.5.0.50 firepower (FMC managed)",

"name": "firepower",

"guid": "e6e8d1cc-e633-11e9-9851-d7d99b327fc4",

"type": "Cisco Firepower Threat Defense for AWS",

"ip": "10.5.0.50"

},

{

"type": "Events",

"status": "Success",

"name": "",

"description": "Events service module started"

}