シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

Correlation 機能を利用し特定の Intrusion Event を syslog 送信させる方法

 

 

1. はじめに

FirePOWER/FireSIGHT にて生成されるイベントログは様々な方法にて外部サーバへ送信することが可能です。本 Topic では Correlation 機能を使用し、Priority が low の Intrusion Event のみを syslog サーバへ送信する設定例についてご案内させていただきます。

本 Topic は FireSIGHT 5.4.1-59 で動作確認をしております。

 

2. 設定例

2-1. まず、syslog サーバの設定をします。Policies > Actions > Alerts より Create Syslog Alert を選択します。

 

2-2. FireSIGHT 上で管理するための名前、及び syslog サーバの IP アドレス等を設定します。

 

2-3. "2-2" の設定が正しく反映されていることを確認します。最初から Enabled になっています。

 

2-4. 次に Correlation の設定をします。Policies > Correlation > Rule Management タブに進み Create Rule を選択します。

 

2-5. FireSIGHT 上で管理するための Rule の名前、及びイベントの発生条件を設定します。

 

2-6. Policy Management タブに進み Create Policy を選択します。

 

2-7. FireSIGHT 上で管理するための Policy の名前を設定し Add Rules を選択します。

 

2-8. "2-5" で作成した Rule を選択します。

 

2-9. 赤枠のアイコンを選択します。

 

2-10. "2-2" で作成したレスポンスを Assigned Responses に移動させます。

 

2-11. Save を選択し保存します。

 

2-12. デフォルトは Disable になっているため赤枠のアイコンを選択し Enabled にします。

 

2-13. Priority が low の IPS event を発生させます。

 

2-14. 以下のように FireSIGHT から syslog サーバに syslog が飛んでいることが確認できます。

 

実際に syslog サーバが受信した syslog メッセージ

Jun 25 17:58:54 FS-540-763 SFIMS: Correlation Event: IPS event - priority low/IPS low event - syslog at Thu Jun 25 17:58:54 2015 UTC: [1:384:8] "PROTOCOL-ICMP PING" [Impact: Unknown Target] From "1.155.100.X" at Thu Ju

 

3. 参考情報

以下の記事も参考にして頂ければと思います。

 

Last reviewed on Dec 31, 2017 by toishika 

305
閲覧回数
5
いいね!
0
コメント