Cisco Cloud Web セキュリティー

Cisco Cloud Web Security (CWS) 用の IBM QRadar DSM は、 Amazon S3 互換 API を使用して、Cisco Cloud Web Security (CWS) ストレージから Web 使用状況ログを収集します。

以下の表は、Cisco Cloud Web セキュリティー DSM の仕様を示しています。
表 1. Cisco Cloud Web セキュリティー DSM の仕様
仕様
製造元 Cisco
DSM 名 Cisco Cloud Web セキュリティー
RPM ファイル名 DSM-CiscoCloudWebSecurity-QRadar_version-build_number.noarch.rpm
サポートされるバージョン N/A
プロトコル Amazon AWS S3 REST API
イベント・フォーマット W3C
記録されるイベント・タイプ すべての Web 使用状況ログ
自動的に検出? いいえ
ID を含む? いいえ
カスタム・プロパティーを含む? いいえ
詳細情報 Cisco CWS 製品情報 (https://www.cisco.com/go/cws)
Cisco Cloud Web Security を QRadarに統合するには、以下の手順を実行します。
  1. 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンを QRadar Console にリストされている順にダウンロードしてインストールしてください:
    • プロトコル共通 RPM
    • Amazon AWS REST API プロトコル RPM
    • DSMCommon RPM
    • Cisco Cloud Web セキュリティー DSM RPM
  2. Cisco ScanCenter (管理ポータル) 内のログ抽出を有効にします。
  3. QRadar Consoleで Cisco Cloud Web セキュリティー・ログ・ソースを追加します。 以下の表は、Cisco Cloud Web セキュリティー・イベントの収集用に固有の値を必要とするパラメーターを示しています。
    表 2. Cisco Cloud Web セキュリティー・ログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ Cisco Cloud Web セキュリティー
    プロトコル構成 Amazon AWS S3 REST API
    ログ・ソース ID

    「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の Cisco CWS ログ・ソースを構成した場合は、最初のログ・ソースを ciscocws1、2 番目のログ・ソースを ciscocws2、3 番目のログ・ソースを ciscocws13 として識別できます。

    シグニチャー・バージョン

    シグニチャー・バージョン 2」を選択します。

    Cisco CWS API が「シグニチャー・バージョン 4 (Signature Version 4)」を使用している場合は、システム管理者にお問い合わせください。

    リージョン名 (シグネチャー V4 のみ) Amazon S3 バケットに関連付けられたリージョン。
    サービス名 (シグネチャー V4 のみ) s3と入力します。 Amazon Web Service の名前。
    バケット名 ログ・ファイルが格納されている Cisco CWS バケットの名前。
    エンドポイントURL https://vault.scansafe.com/
    公開キー Cisco CWS バケットからのログ抽出を有効にするためのアクセス・キー。
    アクセス・キー Cisco CWS バケットからのログ抽出を有効にするための秘密鍵。
    ディレクトリー接頭部 (Directory Prefix) Cisco CWS ログの取得元である Cisco CWS ストレージ・バケット上のルート・ディレクトリーの場所。 例えば、ルート・ディレクトリーの場所は cws-logs/ である可能性があります。
    ファイル・パターン .*?\.txt\.gz
    イベント・フォーマット W3C. ログ・ソースは W3C テキスト形式のイベントを取得します。
    プロキシーの使用 (Use Proxy)

    プロキシーが構成されている場合、 QRadar が Amazon AWS S3 バケットにアクセスできるように、ログ・ソースのすべてのトラフィックがプロキシーを経由します。

    「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままにします。

    サーバー証明書を自動的に獲得 (Automatically Acquire Server Certificate(s))

    「はい」を選択すると、 QRadar は証明書をダウンロードし、ターゲット・サーバーを信頼して使用し始めます。

    繰り返し (Recurrence)

    Amazon AWS S3 REST API プロトコルが、新規ファイルの有無を確認して、(存在する場合は) 取得するために Cisco CWS API に接続する頻度を指定します。 フォーマットは、分/時/日を表す M/H/D です。 デフォルトは 5 M です。

    AWS S3 バケットにアクセスするたびに、バケットを所有するアカウントに対して金銭的コストが発生します。 このため、繰り返しの値を小さくするとコストが上昇します。

以下の表は、Cisco Cloud Web Security からのサンプル・イベント・メッセージをリストしています。
表 3. Cisco Cloud Web セキュリティー・サンプル・メッセージ
イベント名 下位カテゴリー サンプル・ログ・メッセージ
c:comp - block アクセスが拒否されました

2016-08-22 18:22:34 GMT    <IP_address1>        <IP_address1>    GET    http    www.example.com    80    /        Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0    -    0    0    0        <IP_address2>    c:comp    Block all    block    category    Computers and Internet    <IP_address1>        0    Unknown