• はじめに
• 設定例
• 参考情報

はじめに

FirePOWER/FireSIGHT にて生成されるイベントログは様々な方法にて外部サーバへ送信することが可能です。本 Topic では Correlation 機能を使用し、Priority が low の Intrusion Event のみを syslog サーバへ送信する設定例についてご案内させていただきます。

本 Topic は FireSIGHT 5.4.1-59 で動作確認をしております。

設定例

1. まず、syslog サーバの設定をします。Policies > Actions > Alerts より Create Syslog Alert を選択します。

2. FireSIGHT 上で管理するための名前、及び syslog サーバの IP アドレス等を設定します。

3. "2-2" の設定が正しく反映されていることを確認します。最初から Enabled になっています。

4. 次に Correlation の設定をします。Policies > Correlation > Rule Management タブに進み Create Rule を選択します。

5. FireSIGHT 上で管理するための Rule の名前、及びイベントの発生条件を設定します。

6. Policy Management タブに進み Create Policy を選択します。

7. FireSIGHT 上で管理するための Policy の名前を設定し Add Rules を選択します。

8. "2-5" で作成した Rule を選択します。

9. 赤枠のアイコンを選択します。

10. "2-2" で作成したレスポンスを Assigned Responses に移動させます。

11. Save を選択し保存します。

12. デフォルトは Disable になっているため赤枠のアイコンを選択し Enabled にします。

13. Priority が low の IPS event を発生させます。

14. 以下のように FireSIGHT から syslog サーバに syslog が飛んでいることが確認できます。

実際に syslog サーバが受信した syslog メッセージ

Jun 25 17:58:54 FS-540-763 SFIMS: Correlation Event: IPS event - priority low/IPS low event - syslog at Thu Jun 25 17:58:54 2015 UTC: [1:384:8] "PROTOCOL-ICMP PING" [Impact: Unknown Target] From "1.155.100.X" at Thu Ju

参考情報

• Intrusion Eventのシスログアラートの設定と確認
• [FireSight] イベント検知時に Email 通知させる設定例
• Firepower System and FTDトラブルシューティング 
• Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト