シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower: Intrusion EventのSNMPアラートの設定と確認


 

はじめに

FireSIGHTにて、任意 Intrusion Policy の SNMPアラートを設定できます。 設定後、何らかの Intrusion Event を検知した際、外部SNMPマネージャに  SNMPトラップを送付します。

SNMPトラップには、以下の情報が含まれます。

  ・ トラップを生成したサーバーの情報
  ・ アラートを検出したデバイスの情報
  ・ イベントデータ


本ドキュメントでは、SNMPv2の SNMPアラートの設定手順、及び、実際に FirePOWERにて攻撃を検知した時の Intrusion Event と SNMPトラップの出力例を紹介します。

本ドキュメントは、FireSIGHT/FirePOWER バージョン 5.4 を元に確認、作成しております。
 

tipTip:
SNMPアラートが有効である対象デバイス(FirePOWER)から SNMPマネージャ宛の経路において、SNMPトラップ(デフォルト=UDP 162)の通過が許可されている必要があります。

 



 

シスログアラートの設定手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Intrusion Policy から、設定対象の任意のポリシーをダブルクリック

   
   
Advanced Settings をクリックし、SNMP Alerting を Enabled に変更した後、Editをクリック

   
   
以下ページに遷移するので、トラップ送付先のSNMPサーバのパラメータを入力。 本例では Trap Typeに "as Binary"を選択

   
   
Policy Information をクリックし、Commit Changes を実行

   
   
Apply アイコンをクリックし適用

 

Note
 SNMPアラートの動作確認には、SNMPアラートを有効にしたIntrusion Policy を、Access Control の任意ルールに割当てている必要があります

 




 

カスタムルールの作成・適用と、イベント検知と SNMPトラップの出力例

試験構成

Telnetサーバ 1.0.0.2に、TCPポート23(=telnetのDefaultポート)の TCPコネクションを確立時に検知するカスタムルールを作成・適用し、イベント発生時にSNMPトラップを送信する


 

tipTip:
カスタムルールの作成については、TACサポート対象外となります。 カスタムルールの作成を検討時は、以下マニュアルや既存ルールなどを参考にし、作成、試験、導入を検討ください。
FS 5.3.1: 侵入ルールの概要と作成
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-Rule-Writing.html?bid=0900e4b18404e36b


 

動作確認手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Rule Editor から、Create Ruleボタンをクリック

   
   
任意カスタムルールを作成する。 以下の場合、送信元 Anyから  宛先1.0.0.2:23の TCPコネクションが確立時に検知するカスタムルール

   
   
ルールの適用のため、Policies > Intrusion > Intrusion Policyの、Policy Information > Rules に移動。 Filterで 適用対象ルールを検索し、対象のルールの矢印アイコンをクリック

    
    
Stateのプルダウンメニューから "Generate Events"を選択したのち、OKボタンをクリック

    
    
矢印アイコンが変わった事を確認したのち、SNMPアラート設定時と同様の手順で、Intrusion Policyの保存と適用を実施

    
    
試験端末(172.16.0.1)より、Telnetサーバ(1.0.0.2:23)に Telnetアクセス

    
    
Analysis > Intrusion > Events から、攻撃の検知を示す Intrusion Event を確認

    
     
なお、検知したIntrusion Eventの Messageをクリックする事で、以下のような、より詳細な情報の確認が可能

    
    
FirePOWERの管理IP(1.176.0.33)からSNMPマネージャへの SNMPトラップの到達を、SNMPマネージャでのパケットキャプチャから確認

     
     
以下は実際にSNMPマネージャが受信したトラップの出力

sysUpTimeInstance = Timeticks: (214831698) 24 days, 20:45:16.98
  TRAP種別 = OID: enterprises.14223.1.1.0.1
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0A 0A 34 29 07 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.9 = Hex-STRING: AC 10 00 01 
  enterprises.14223.1.1.10 = Hex-STRING: 01 00 00 02 
  enterprises.14223.1.1.7 = INTEGER: 1677
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

  TIP) enterprises.14223.1.1.9の値 "AC 10 00 01" は、10進数は 172.16.0.1の送信元IP

 


 

比較情報: Trap Typeに as Stringを指定時

以下は SNMPアラートのTrap Typeを "as String"に設定時の画面キャプチャ

    
    
以下は実際にSNMPマネージャが受信したトラップの出力。 IPアドレス情報の箇所が文字列となる

sysUpTimeInstance = Timeticks: (219954166) 25 days, 10:59:01.66
  TRAP種別 = OID: enterprises.14223.1.1.0.2
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0B 01 06 19 06 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.13 = STRING: "172.16.0.1"
  enterprises.14223.1.1.14 = STRING: "1.0.0.2"
  enterprises.14223.1.1.7 = INTEGER: 1690
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

    

   
   

参考情報

FS 5.4.1: Configuring External Alerting for Intrusion Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-External-Responses.html

FS 5.3.1: 侵入ルールの外部アラートの設定
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-External-Responses.html?bid=0900e4b18404e36b

FS 5.4.1: Limiting Intrusion Event Logging
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-Global-Threshold.html

Intrusion Eventのシスログアラートの設定と確認
https://supportforums.cisco.com/ja/document/12540321

386
閲覧回数
5
いいね!
0
コメント