シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FMC: Intrusion Eventや Malware Eventを元に Eメール通知の設定方法 - Correlation Policy

 

はじめに

本ドキュメントでは、指定デバイスでIntrusion Eventが発生した際、Eメールで管理者に通知する設定方法について紹介します。 当ドキュメントの手順は、Malware Eventや Connection Eventの検知にも流用できます。

当機能の実現には、Correlation Policyを用いるため、FMC (旧名:FireSIGHT)が必要です。

本ドキュメントは、FMCバージョン 6.0.1で確認、作成しております。

  

  

Correlation Policyの設定例

Intrusion Eventや Malware Eventを検知時、Email通知するには、以下の各設定が必要です。

1. Email Notification 設定 ・・・ メールリレーホストとの接続設定
2. Email Alert 設定 ・・・ 送信元と宛先のメールアドレス設定
3. Correlation Rule 設定 ・・・ トリガーとなるイベントやその条件を定義
4. Correlation Policy 設定 ・・・ Email Alert設定と Correlation Rule設定を紐付け

    
上記1~4の 全体の設定例は、以下ドキュメントを確認してください。 なお、GUIや設定箇所は FMCバージョン毎に若干異なることがあります。 詳しくは、ご利用バージョン毎のConfiguration Guideを参考にしてください。

イベント検知時に Email 通知させる設定例
https://supportforums.cisco.com/ja/document/12475696

 

なお、定義したい検知条件により、3. Correlation Ruleのチューニングが必要となります。 

例えば、特定デバイスからのIntrusion Eventをトリガー条件にするには、Policies > Correlation > Rule Managementの Select the type of event for this ruleにて、If "an intrusion event occurs" を選択し、"Device" "is" から 指定のFirepowerデバイスを選択します。

なお、当設定画面の、If から Malware Eventも選択可能です。 設定可能なSyntax 一覧は コチラを参照ください。 

    
   
Correlation Policyにて、Correlation Rule設定と 事前設定したEmail Alert設定を紐付けます。

   
   
定義後は、指定Correlation Policy名の Activateボタン(青色背景のチェックマーク)が有効である事を確認してください。

   

  
トリガーとなるイベントを検知すると、以下のようなメールが受信可能になります。 以下は、Intrusion Eventによりトリガーされた、Eメールアラートの実メールです。

Received: from 10.71.xx.xx ([10.71.xx.xx]) by localhost with SMTP id bjd.00636214008711783879.147 for <xxxxx@mx01.nakamurata.com>; Mon, 30 Jan 2017 19:21:11 +0900
Subject: **Auto Generated Email** -- Correlation Event: Email-All-Intrusion-Event/EMAIL-TEST at Mon Jan 30 10:21:10 2017 UTC
From: <FMC@cisco.com>
Date: Mon, 30 Jan 2017 10:21:10 -0000
To: <xxxxx@mx01.nakamurata.com>
Message-ID: <0f9f348d-7b27-4df0-be0e-5f2d7e18b17c@cisco.com>
X-UIDL: bjd.00636214008711783879.147

[120:8:3] http_inspect: MESSAGE WITH INVALID CONTENT-LENGTH OR CHUNK SIZE [Impact: Potentially Vulnerable] From "ASA5555-Core" at Mon Jan 30 10:21:08 2017 UTC [Classification: Unknown Traffic] [Priority: 3] {tcp} 173.36.xx.xx:80 (united states)->1.150.xx.xx:57275 (australia)

  

Received: from 10.71.xx.xx ([10.71.xx.xx]) by localhost with SMTP id bjd.00636213995675760407.022 for <xxxxx@mx01.nakamurata.com>; Mon, 30 Jan 2017 18:59:27 +0900
Subject: **Auto Generated Email** -- Correlation Event: Email-All-Intrusion-Event/EMAIL-TEST at Mon Jan 30 09:59:09 2017 UTC
From: <FMC@cisco.com>
Date: Mon, 30 Jan 2017 09:59:11 -0000
To: <xxxxx@mx01.nakamurata.com>
Message-ID: <01cfc867-b865-4642-bd14-563f707bd5c2@cisco.com>
X-UIDL: bjd.00636213995675760407.022

[1:39320:2] "INDICATOR-OBFUSCATION HTTP header invalid entry evasion attempt" [Impact: Potentially Vulnerable] From "ASA5555-Core" at Mon Jan 30 09:59:23 2017 UTC [Classification: Detection of a Non-Standard Protocol or Event] [Priority: 2] {tcp} 173.36.xx.xx:80 (united states)->1.150.xx.xx:57022 (australia)

 

     

 

Correlation Ruleのチューニングについて

Correlation Ruleは、適宜チューニングしメンテナンスする事が重要です。 検知条件が緩すぎる、もしくは 厳しすぎないか、運用しながら確かめ、適宜チューニングを繰り返し、運用しやすい設定を見つけてください。もしくは、これら分析やチューニングは高度なノウハウが必要となるため、専任の機関である、Security Operation Center (SOC)に ご相談、もしくは そのサービスのご利用も検討してください。

 
Correlation Rule
は柔軟なカスタマイズが可能です。 例えば、以下のように、複数条件を ANDでつなげることで、より検知条件の厳しくする事も可能です。

 
上記例では、Device "ASA5555-Core"、かつ(=AND)、Priority "High"の Intrusion Eventが発生時に動作させる場合の設定例です。 Priorityとは、シスコのセキュリティリサーチチームであるTalosが決定しており、"High" "Medium" "Low"の3段階に分かれてます。 Priorityは、イベントの重大度を簡単に把握するための指標として便利です。

 
他、Intrusion Eventの重大度を把握する指標として、Impact Flagの監視も重要です。 Impact Flagのレベルは、侵入検知情報やホスト情報、脆弱性情報を元にし、0から4までの5段階で評価されます。 Impact Flagが "1(red - Vulnerable)"の場合、脆弱性を突く攻撃がされている、もしくは マルウェア感染の疑いがあります。 Impact Flagについて詳しくは、Configuration Guideなどを参考にしてください。

   

  

参考情報

Firepower Management Center Configuration Guide, Version 6.0
   - Chapter: Correlation Policies
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/configuration/guide/fpmc-config-guide-v60/Correlation_Policies.html

イベント検知時に Email 通知させる設定例
https://supportforums.cisco.com/ja/document/12475696

Correlation 機能を利用し特定の IPS イベントを syslog 送信する方法
https://supportforums.cisco.com/ja/document/12543186

219
閲覧回数
5
いいね!
0
コメント