Firepower: Intrusion EventのSNMPアラートの設定と確認

Taisuke Nakamura · ‎2015-08-10

はじめに
SNMPアラートの設定手順
カスタムルールの作成・適用と、イベント検知と SNMPトラップの出力例
比較情報： Trap Typeにas Stringを指定時
補足情報 (FMC 6.0以降利用時) 　　
参考情報

はじめに

FireSIGHTにて、任意 Intrusion Policy の SNMPアラートを設定できます。設定後、何らかの Intrusion Event を検知した際、外部SNMPマネージャに SNMPトラップを送付します。

SNMPトラップには、以下の情報が含まれます。

・トラップを生成したサーバーの情報
・アラートを検出したデバイスの情報
・イベントデータ

本ドキュメントでは、SNMPv2の SNMPアラートの設定手順、及び、実際に FirePOWERにて攻撃を検知した時の Intrusion Event と SNMPトラップの出力例を紹介します。

本ドキュメントは、FireSIGHT/FirePOWER バージョン 5.4 を元に確認、作成しております。

tip Tip:
SNMPアラートが有効である対象デバイス(FirePOWER)から SNMPマネージャ宛の経路において、SNMPトラップ(デフォルト=UDP 162)の通過が許可されている必要があります。

SNMPアラートの設定手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Intrusion Policy から、設定対象の任意のポリシーをダブルクリック

　　　
　　　
Advanced Settings をクリックし、SNMP Alerting を Enabled に変更した後、Editをクリック

　　　
　　　
以下ページに遷移するので、トラップ送付先のSNMPサーバのパラメータを入力。本例では Trap Typeに "as Binary"を選択

　　　
　　　
Policy Information をクリックし、Commit Changes を実行

　　　
　　　
Apply アイコンをクリックし適用

Note
SNMPアラートの動作確認には、SNMPアラートを有効にしたIntrusion Policy を、Access Control の任意ルールに割当てている必要があります

カスタムルールの作成・適用と、イベント検知と SNMPトラップの出力例

試験構成

Telnetサーバ 1.0.0.2に、TCPポート23(=telnetのDefaultポート)の TCPコネクションを確立時に検知するカスタムルールを作成・適用し、イベント発生時にSNMPトラップを送信する

tip Tip:
カスタムルールの作成については、TACサポート対象外となります。カスタムルールの作成を検討時は、以下マニュアルや既存ルールなどを参考にし、作成、試験、導入を検討ください。
FS 5.3.1: 侵入ルールの概要と作成
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-Rule-Writing.html?bid=0900e4b18404e36b

動作確認手順

FireSIGHTのWebUI にアクセスし、Policies > Intrusion > Rule Editor から、Create Ruleボタンをクリック

　　　
　　　
任意カスタムルールを作成する。以下の場合、送信元 Anyから宛先1.0.0.2:23の TCPコネクションが確立時に検知するカスタムルール

　　　
　　　
ルールの適用のため、Policies > Intrusion > Intrusion Policyの、Policy Information > Rules に移動。 Filterで適用対象ルールを検索し、対象のルールの矢印アイコンをクリック

　　　　
　　　　
Stateのプルダウンメニューから "Generate Events"を選択したのち、OKボタンをクリック

　　　　
　　　　
矢印アイコンが変わった事を確認したのち、SNMPアラート設定時と同様の手順で、Intrusion Policyの保存と適用を実施

　　　　
　　　　
試験端末(172.16.0.1)より、Telnetサーバ(1.0.0.2:23)に Telnetアクセス

　　　　
　　　　
Analysis > Intrusion > Events から、攻撃の検知を示す Intrusion Event を確認

　　　　
　　　　　
なお、検知したIntrusion Eventの Messageをクリックする事で、以下のような、より詳細な情報の確認が可能

　　　　
　　　　
FirePOWERの管理IP(1.176.0.33)からSNMPマネージャへの SNMPトラップの到達を、SNMPマネージャでのパケットキャプチャから確認

　　　　
　　　　　
以下は実際にSNMPマネージャが受信したトラップの出力

sysUpTimeInstance = Timeticks: (214831698) 24 days, 20:45:16.98
  TRAP種別 = OID: enterprises.14223.1.1.0.1
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0A 0A 34 29 07 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.9 = Hex-STRING: AC 10 00 01 
  enterprises.14223.1.1.10 = Hex-STRING: 01 00 00 02 
  enterprises.14223.1.1.7 = INTEGER: 1677
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

TIP) enterprises.14223.1.1.9の値 "AC 10 00 01" は、10進数は 172.16.0.1の送信元IP

比較情報： Trap Typeに as Stringを指定時

以下は SNMPアラートのTrap Typeを "as String"に設定時の画面キャプチャ

　　　　
　　　　
以下は実際にSNMPマネージャが受信したトラップの出力。 IPアドレス情報の箇所が文字列となる

sysUpTimeInstance = Timeticks: (219954166) 25 days, 10:59:01.66
  TRAP種別 = OID: enterprises.14223.1.1.0.2
  enterprises.14223.1.1.1 = Hex-STRING: 07 DF 08 0B 01 06 19 06 
  enterprises.14223.1.1.2 = Gauge32: 1
  enterprises.14223.1.1.3 = Gauge32: 1000002
  enterprises.14223.1.1.4 = Gauge32: 2
  enterprises.14223.1.1.6 = STRING: "\"TELNET-to-1.0.0.2-attempt\""
  enterprises.14223.1.1.5 = INTEGER: 6
  enterprises.14223.1.1.13 = STRING: "172.16.0.1"
  enterprises.14223.1.1.14 = STRING: "1.0.0.2"
  enterprises.14223.1.1.7 = INTEGER: 1690
  enterprises.14223.1.1.8 = INTEGER: 23
  enterprises.14223.1.1.62 = STRING: "Unknown Policy"
  enterprises.14223.1.1.63 = STRING: "permit-ANY-with-TRUST"
  enterprises.14223.1.1.58 = STRING: "inside"
  enterprises.14223.1.1.59 = STRING: "outside"
enterprises.14223.1.1.53 = STRING: "ASA5515_Intrusion_Policy"

補足情報 (FMC 6.0以降利用時) 　　

Firepower Manager System (FMC) バージョン 6.0以降を利用時は、SNMPアラートを有効化したい個別ルールを選択し、Alerting > Add SNMP Alert でそのルールを SNMP アラート対象に加える手順が追加で必要です。

Add SNMP Alert.JPG

参考情報

FS 5.4.1: Configuring External Alerting for Intrusion Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-External-Responses.html

FS 5.3.1: 侵入ルールの外部アラートの設定
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Intrusion-External-Responses.html?bid=0900e4b18404e36b

FS 5.4.1: Limiting Intrusion Event Logging
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Intrusion-Global-Threshold.html

Intrusion Eventのシスログアラートの設定と確認
https://supportforums.cisco.com/ja/document/12540321

Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733