キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1621
閲覧回数
10
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee


 

はじめに

FireSIGHTにて、任意 Intrusion Policy の SNMPアラートを設定できます。 設定後、何らかの Intrusion Event を検知した際、外部SNMPマネージャに  SNMPトラップを送付します。

SNMPトラップには、以下の情報が含まれます。

  ・ トラップを生成したサーバーの情報
  ・ アラートを検出したデバイスの情報
  ・ イベントデータ


本ドキュメントでは、SNMPv2の SNMPアラートの設定手順、及び、実際に FirePOWERにて攻撃を検知した時の Intrusion Event と SNMPトラップの出力例を紹介します。

本ドキュメントは、FireSIGHT/FirePOWER バージョン 5.4 を元に確認、作成しております。
 

tipTip:
SNMPアラートが有効である対象デバイス(FirePOWER)から SNMPマネージャ宛の経路において、SNMPトラップ(デフォルト=UDP 162)の通過が許可されている必要があります。

 



 

SNMPアラートの設定手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Intrusion Policy から、設定対象の任意のポリシーをダブルクリック

   
   
Advanced Settings をクリックし、SNMP Alerting を Enabled に変更した後、Editをクリック

   
   
以下ページに遷移するので、トラップ送付先のSNMPサーバのパラメータを入力。 本例では Trap Typeに "as Binary"を選択

   
   
Policy Information をクリックし、Commit Changes を実行

   
   
Apply アイコンをクリックし適用

 

Note
 SNMPアラートの動作確認には、SNMPアラートを有効にしたIntrusion Policy を、Access Control の任意ルールに割当てている必要があります

 




 

カスタムルールの作成・適用と、イベント検知と SNMPトラップの出力例

試験構成

Telnetサーバ 1.0.0.2に、TCPポート23(=telnetのDefaultポート)の TCPコネクションを確立時に検知するカスタムルールを作成・適用し、イベント発生時にSNMPトラップを送信する


 

tipTip:
カスタムルールの作成については、TACサポート対象外となります。 カスタムルールの作成を検討時は、以下マニュアルや既存ルールなどを参考にし、作成、試験、導入を検討ください。
FS 5.3.1: 侵入ルールの概要と作成
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-Rule-Writing.html?bid=0900e4b18404e36b


 

動作確認手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Rule Editor から、Create Ruleボタンをクリック

   
   
任意カスタムルールを作成する。 以下の場合、送信元 Anyから  宛先1.0.0.2:23の TCPコネクションが確立時に検知するカスタムルール

   
   
ルールの適用のため、Policies > Intrusion > Intrusion Policyの、Policy Information > Rules に移動。 Filterで 適用対象ルールを検索し、対象のルールの矢印アイコンをクリック

    
    
Stateのプルダウンメニューから "Generate Events"を選択したのち、OKボタンをクリック

    
    
矢印アイコンが変わった事を確認したのち、SNMPアラート設定時と同様の手順で、Intrusion Policyの保存と適用を実施

    
    
試験端末(172.16.0.1)より、Telnetサーバ(1.0.0.2:23)に Telnetアクセス

    
    
Analysis > Intrusion > Events から、攻撃の検知を示す Intrusion Event を確認

    
     
なお、検知したIntrusion Eventの Messageをクリックする事で、以下のような、より詳細な情報の確認が可能

    
    
FirePOWERの管理IP(1.176.0.33)からSNMPマネージャへの SNMPトラップの到達を、SNMPマネージャでのパケットキャプチャから確認

     
     
以下は実際にSNMPマネージャが受信したトラップの出力

sysUpTimeInstance = Timeticks: (214831698) 24 days, 20:45:16.98
  TRAP種別 = OID: enterprises.14223.1.1.0.1
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0A 0A 34 29 07 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.9 = Hex-STRING: AC 10 00 01 
  enterprises.14223.1.1.10 = Hex-STRING: 01 00 00 02 
  enterprises.14223.1.1.7 = INTEGER: 1677
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

  TIP) enterprises.14223.1.1.9の値 "AC 10 00 01" は、10進数は 172.16.0.1の送信元IP

 


 

比較情報: Trap Typeに as Stringを指定時

以下は SNMPアラートのTrap Typeを "as String"に設定時の画面キャプチャ

    
    
以下は実際にSNMPマネージャが受信したトラップの出力。 IPアドレス情報の箇所が文字列となる

sysUpTimeInstance = Timeticks: (219954166) 25 days, 10:59:01.66
  TRAP種別 = OID: enterprises.14223.1.1.0.2
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0B 01 06 19 06 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.13 = STRING: "172.16.0.1"
  enterprises.14223.1.1.14 = STRING: "1.0.0.2"
  enterprises.14223.1.1.7 = INTEGER: 1690
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

    

補足情報 (FMC 6.0以降利用時)   

Firepower Manager System (FMC) バージョン 6.0以降を利用時は、SNMPアラートを有効化したい個別ルールを選択し、Alerting > Add SNMP Alert で そのルールを SNMP アラート対象に加える手順が追加で必要です。

Add SNMP Alert.JPG

  

 

参考情報

FS 5.4.1: Configuring External Alerting for Intrusion Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-External-Responses.html

FS 5.3.1: 侵入ルールの外部アラートの設定
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-External-Responses.html?bid=0900e4b18404e36b

FS 5.4.1: Limiting Intrusion Event Logging
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-Global-Threshold.html

Intrusion Eventのシスログアラートの設定と確認
https://supportforums.cisco.com/ja/document/12540321

Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします