はじめに
Cisco SecureX は、Secure Firewall や Secure Endpoint、Threat Response、Umbrella といったシスコ セキュリティ製品のみならず、他社セキュリティ製品も統合し、包括的なセキュリティの監視や脅威対応、及び その自動化を可能とする XDR プラットフォーム です。素早い脅威対応や、運用の効率化に、SecureXは欠かすことができません。SecureXは無償です。
なお、FMCバージョン 7.0.2 もしくは 7.2 以降で、Firewall Management Center (FMC) と SecureX の統合が非常に簡単になりました。慣れますと 10分以内に統合が可能です。本ドキュメントでは、FMC と SecureXの統合方法について紹介します。
本ドキュメントでは、FMC バージョン 7.2.0 と Firewall Threat Defense (FTD) バージョン 7.2.0、Google Chrome バージョン 107.0.5304.107 を用いて確認、作成しております。
事前準備
- 運用しているFTDが FMCによって管理されていること
- FMCのバージョンが 7.0.2 もしくは 7.2 以降であること。なお、最新パッチ適用を推奨
- SecureXのアカウントを既に持っていること
FMC と SecureX の統合方法
FMCにアクセスし、Integration > SecureX をクリック
Regionは「APJ Region」を選択した後、「Enable SecureX」ボタンをクリック
SecureXのログインページにリダイレクトされるためログイン
FMCからのアクセスを許可するか画面が表示されるため、FMC側と同じ Verify Code であることを確認し、「Authorize FMC」をクリック
以下はFMC側のポップアップの表示例。SecureX側とCodeが一致することを確認
認可されると以下のポップアップが表示されるため、「Go Back to SecureX」をクリック
FMC側に戻り「You will need to save tour configuration」と警告表示が出るため、画面右下の「Save」ボタンをクリック
②において「SecureX is enabled for APJ Region」と表示されたら、SecureXとFMC間の統合が完了。③ Event ConfigurationでSecureXに送付したい任意イベントを選択、及び、仮にオーケストレーション(ワークフローによる自動化)を使いたい場合は ④ Orchestration の「Enable SecureX Orchestration」をチェックしてから、再度 Saveで保存
③ Event Configuration 内の「Cisco Cloud configuration」をクリックすると、イベントを中継する「Security Services Engine (SSE)」にアクセスが可能
SSEの「Devices」タブから、FMCと登録デバイスが接続され「Registered」であることを確認
Note: デバイスが想定通りに表示や登録されない場合は、よくある質問の「SSEに登録デバイスが正しく表示されません」を参照してください
SSEの「Cloud Services」タブから、「Cisco SecureX threat response」と「Eventing」をそれぞれ有効化し、イベントの中継を許可する
統合完了後、FMCの画面左下にSecureXリボンが追加され、クリックすると拡大が可能。初回利用の場合は「Configure a Module」ボタンをクリック
SecureXのページに移動するため、「Secure Firewall」の Enable ボタンをクリックし有効化
以下のような画面に遷移するため、想定されたデバイスが表示されていることを確認した後、「Save」をクリックし有効化
SecureX側で Secure Firewallの統合が有効化(Enabled)されたことを確認
SecureXでタイルを追加したい場合、「Add Tiles」ボタンから 任意のDashboard名を設定し、「Available Tiles」から任意のタイルを選択
以下は「Secure Firewall」のタイル追加後の表示例
以下は「Secure Firewall」で Intrusion Event 発生時の SecureX側での表示例
FMC側でSecureX リボンを開くとメニューが表示されることを確認
以上で、FMC と SecureX の統合は完了です。
よくある質問
SSEに登録デバイスが正しく表示されません
以下4点をお試しください
・SSEの「Link Smart/Virtual Accounts」をクリックし、FMCで利用しているスマートアカウント・VAに紐づけてください。FMCとSSEはスマートアカウント・VA情報を用いて紐づけを行うためです
・SecureXの Cloud Regionを「APJ Region」のかわりに「US Region」を選択し、SecureXを有効化してください
・FMCのスマートライセンスの無効化・再有効化を試してください
・FMCのパッチバージョンを最新にしてください
SecureX のシングルサインオン方法がわかりません
SecureX Sign-onの初期セットアップ(Duoインストール版)もしくは SecureX Sign-onの初期セットアップ(Duoインストールなし版) のドキュメントを参照してください。
参考情報
Cisco Secure Firewall Management Center (7.0.2 and 7.2) and SecureX Integration Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/SecureX/secure_firewall_management_center_and_securex_integration_guide.html