Umbrella: 組織が発行した CA 証明書の使用について 1. はじめに2. Umbrella のルート証明書について3. 組織が発行した CA 証明書について ※ 2023 年 2 月 2 日現在の情報をもとに作成しています 1. はじめに 本記事では、Umbrella のルート証明書を使う代わりに、組織が発行した CA (Certificate Authorities) 証明書を Web ポリシーで使用する方法について紹介します。 2. Umbrella のルート証明書について 本題に入る前に、まずは Umbrella が用意...
Umbrella: Amazon S3 から aws コマンドでログのダウンロード 1. はじめに2. Amazon S3 連携3. aws コマンドの使用例4. ls オプションの制約 ※ 2023 年 1 月 30 日現在の情報をもとに作成しています 1. はじめに 本記事では、Amazon S3 との連携機能を有効にしている環境で、aws コマンドを使ったログのダウンロード方法について説明します。 How to: Downloading logs from Cisco Umbrella Log Management using the AWS CLI h...
[事象] SNA: Communication Timeoutが継続して発生する はじめに事象原因と機能への影響解決策・回避策 はじめに 本事象はSecure Network Analytics Manager (SMC) が Smart Licenseサーバ (CSSM) との通信時にCommunication Timeoutが発生してしまう事象についてご紹介します。 事象 SMCは定期的にSmart Licenseの認証を行なっており、認証時にCommunication Timeoutが発生することがあります。 原因と機能への影響 UTC 0時に多数...
SNA: Smart Licensing画面でCommunication Timeoutが発生した場合の対処法について はじめにSmart Licenseの認証ステータス確認方法Communication Timeout発生時の対処方法について はじめに 本ドキュメントではSecure Network Analytics Manager (SMC) が Smart Licenseサーバ (CSSM) との通信時にCommunication Timeoutが発生した場合の対処法について説明します。SNA はバージョン 7.4.1を利用して説明していますので、利用されているバージョンなどによって画面などが異なる...
SCA: Azure Activity Logs の取得方法について はじめに取得方法について確認方法についてWatchlistの設定について はじめに Secure Cloud Analytics (SCA)では Azureと連携することによってAzure上での操作等のイベントを確認することができます。 取得方法について 従来ではAzure上のBlobストレージにActivity Logをエクスポートするための設定が必要でしたが、現在はAzure APIを利用してActivity Logを取得しているためAzureとの連携のみでログを自動で取得可能...
DB バックアップの処理内容と失敗時のトラブルシューティング はじめにRemote File SystemDBバックアップ処理の流れトラブルシューティング はじめに 本ドキュメントはDB(Vertica)バックアップの処理内容とバックアップが失敗した場合のトラブルシューティング方法について説明します。SNAのバージョンは7.1を使用して確認しています。 Remote File System DBバックアップの前提として、バックアップ先である Remote File System が正しく設定されている必要があります。Remote File Sy...
SNA: Splunk Enterprise との連携方法 はじめにAudit Log を Syslog over TLS で Splunk に送信するAlarm を Syslog で Splunk に送信するWebhook で Alarm を Splunk に送信するCisco Secure Network Analytics App のインストール はじめに 本ドキュメントは Splunk 社の SIEM 製品である Splunk Enterprise と Secure Network Analytics (SNA) を連携してログやアラーム情報...
[ISE] Cisco Identity Services EngineのGUIを日本語に変更する手順 はじめに Cisco Identity Services Engineにおいて、GUIの管理者画面の表示言語を日本語にする方法についてご紹介します。 ※本記事はCisco ISE3.1での表示画面に基いていますが、ISE2.7やISE3.0においても、概ね同様の箇所と手順にて変更可能です。 変更手順 (1) 画面右上の歯車アイコンをクリックし、Account Settingsをクリックします。 (2) Account Settingsの画面のLanguageの箇所か...
事例: Cisco ISR シリーズにおいて、GRE over IPsec利用時のTCPコネクションの確立に断続的に失敗する はじめに Cisco ISRシリーズにおいてGRE over IPsecと"ip tcp adjust-mss"を利用している場合に、 TCPコネクションの確立に断続的に失敗するという事例をご紹介します。 事象 "ip tcp adjust-mss"とcrypto mapを用いたGRE over IPsecを利用しているルータをTCPのSYNフラグパケットが 通過する際にルータがTCPチェックサムを不整合な値に書き換える問題が報告されています。 TCPクライアント間でのMSSのネ...
ESA/CES ディレクトリ獲得攻撃防御(DHAP)機能について はじめに このドキュメントでは、ディレクトリ獲得攻撃(DHA)を防止するためのディレクトリ獲得攻撃防御(DHAP)機能についてご説明します。AsyncOS14.2.0-620の動作を基に記載しております。ESAのバージョンによって動作が異なる場合があります。 概要 DHAPはリスナーがリモート・ ホストから受け取る1時間あたりの無効な受信者の最大数を指しています。このしきい値はRAT、SMTP Call-AheadおよびLDAP受け入れクエリにより拒否された受信者数の合計です。 設定方...
WSA: HTTPSプロキシでHTTPS通信の復号化を行わない場合(Pass Through)のパターンとログ出力例について はじめに復号化ポリシーの設定を確認WSAがHTTPS通信の復号化を行わない場合(Pass Through)のパターンとその際のログの出力例Web Reputationによって復号化を行わないアクションが決定した場合URL Filteringによって復号化を行わないアクションが決定した場合Default Actionによって復号化を行わないアクションが決定した場合参考 はじめに WSAがHTTPS通信を復号化して通信の中身を検査するためにはHTTPSプロキシを有効にし必要な証明書周りの設定をする必...
Secure Network Analytics :セキュリティイベント "ICMP_Port_Unreach"を発報させる方法 はじめにシステム要件構成図と設定概要実機での確認 はじめに 本ドキュメントではCisco Secure Network AnalyticsのSMCにおいて、セキュリティイベントの"ICMP_Port_Unreach"を意図的に発生させる手順を紹介します。 システム要件 本ドキュメントでは Cisco Secure Network Analytics 7.4.1を使用して設定と動作を確認しています。バージョンにより設定方法や動作が異なる場合があります。ルータにはcsr1000vを使用し、...
Secure Network Analytics :Hardware ApplianceにおけるCIMCのfirmwareアップデート はじめにシステム要件アップデート手順の概要について実機での確認 はじめに 本ドキュメントではCisco Secure Network AnalyticsのHardware ApplianceにおけるCIMCのfirmwareアップデート手順を紹介します。 システム要件 本ドキュメントでは Flow Sensor 4210 を使用して設定と動作を確認しています。CIMCのfirmwareのバージョンを4.1.(3b)から4.2.(2a)までバージョンアップさせます。アプライアンスのバージ...
[WSA]GUIからサポート・トンネル有効化・無効化の手順 はじめに WSA製品のトラブルシューティングにあたって、Cisco TAC よりサポート・トンネルを経由して調査を行う場合があります。 ※サポート・トンネルの仕組みについて https://supportforums.cisco.com/t5/-/-/ta-p/3154745 その場合以下の手順でGUIからサポートトンネルを有効化にすることができます。 設定手順 対象機器のGUIへログインし、画面右上のHelp and Support をクリックし、「Remote Access」をクリックします...
Unified Event Viewer(UEV) のご紹介 FMC 7.0 以降にて Unified Event Viewer という機能が追加されています。従来の FMC では実現できなかった Connection Event や Intrusion Event などの数種類のイベントの同時確認や、リアルタイムに最新イベントを確認すること、イベントを CSV 形式で簡単にエクスポートすることが本機能にて実現できます。本記事ではこの Unified Event Viewer の使い方についてご案内します。 FMC GUI > Analysis > Un...
ISEでのDebug有効化によるPerformance影響に関して ISEではDebug Log ConfigurationやDebug Profile Configurationで特定のComponentのLog levelを変更してより詳しいLogを取得することが可能です。 これはあくまで特定の問題/障害の調査のために一時的に実施するものであり、具体的な調査目的無く有効のままにしておくことは推奨しておりません。もちろんいつ発生するかわからない事象の調査中は長時間有効にしておく必要がある場合も考えられます。 調査中の事象が発生したことが確認でき次第...
FTD: CLIによりReadiness Checkの実行とその結果の確認方法 はじめにバージョン6.7までのFTD HA構成でFMC GUIからReadiness CheckができないCLIでReadiness Checkの実行main_upgrade_script.logとその格納場所参考情報 はじめに 本ドキュメントでは、FTD Upgradeにおいて、CLIによりReadiness Checkを行う際に、その結果の確認方法を紹介します。 本ドキュメントで、FTDv(バージョン6.6)およびFirepower2130(バージョン6.6)を用いて確認、作...
[事象] ASA :%ASA-3-199015 Node-0: Error: CVMX_FPA_ECC_INTアラートが大量に出力される 主な問題: ASAにおいて、下記のエラーが数秒間隔でsyslogに大量に出力されます。 Dec 16 2022 18:40:45: %ASA-3-199015: Dec 16 18:40:46 octeon kernel: [66015871.653415] Node-0: Error: CVMX_FPA_ECC_INT[1280000000068][10] Dec 16 2022 18:40:45: %ASA-3-199015: Dec 16 18:40:46 octeon kernel...
aaa authentication pppコマンドを使用したchap認証について R1---------ISDN---------R2上記の構成でchap認証の動作がどうなるかを知りたいです。R1でaaa authentication ppp default noneコマンドを使用して、R1側では認証を行わないが、R2側では認証を行うといった仕組みをとることは可能でしょうか?以下関連するコンフィグです。■R1hostname R1!username Router2 password cisco2!aaa new-model!aaa authentication ppp def...
SecureX Threat Response: Umbrellaと連携して悪意のあるドメインをブロックする はじめに前提条件設定方法確認参考ドキュメント はじめに SecureX Threat ResponseとUmbrellaを連携することで、Threat Responseから簡単にUmbrellaでドメインのブロックを行うことができます。本ドキュメントでは、Threat ResponseからブロックするドメインをUmbrellaに設定する方法を説明します。 前提条件 SecureXとUmbrellaのインテグレーションの設定が完了し、Enforcement APIが利用できる状態であるも...