Cisco Firepower Management Center

Cisco Firepower Management Center 用の IBM QRadar DSM は、 eStreamer API サービスを使用して Cisco Firepower Management Center イベントを収集します。

Cisco Firepower Management Center は、以前は Cisco FireSIGHT Management Center と呼ばれていました。

QRadar は、Cisco Firepower Management Center V 5.2 から V 7.1をサポートします。

構成の概要

QRadar を Cisco Firepower Management Center と統合するには、Firepower Management Center インターフェースで証明書を作成し、 eStreamer イベント・データを受信する QRadar アプライアンスにその証明書を追加する必要があります。

デプロイメントに複数の Cisco Firepower Management Center アプライアンスが含まれている場合は、 eStreamer イベントを QRadar Event Collector上の任意の一時的な場所に送信するアプライアンスごとに証明書をコピーする必要があります。 この証明書により、Cisco Firepower Management Center アプライアンスと QRadar Console または QRadar Event Collectors は、 eStreamer API を使用してイベントを収集することで通信できるようになります。

QRadar を Cisco Firepower Management Center と統合するには、以下の手順を実行します。
  1. Firepower Management Center アプライアンスで eStreamer 証明書を作成します。 eStreamer 証明書の作成について詳しくは、 Cisco Firepower Management Center 5.x、 6.x、および 7.x 証明書の作成を参照してください。
  2. Cisco Firepower Management Center 証明書を QRadarにインポートします。 証明書のインポートについて詳しくは、 QRadarでの Cisco Firepower Management Center 証明書のインポートを参照してください。
  3. QRadar Consoleで Cisco Firepower Management Center ログ・ソースを追加します。 Cisco Firepower Management Center ログ・ソース・パラメーターについて詳しくは、 Cisco Firepower Management Center ログ・ソース・パラメーターを参照してください。

サポートされるイベント・タイプ

QRadar は、Cisco Firepower Management Center からの以下のイベント・タイプをサポートします。
  • ディスカバリー・イベント
  • 相関およびホワイトリスト・イベント
  • 影響フラグ・アラート
  • ユーザー・アクティビティー
  • マルウェア・イベント
  • ファイル・イベント
  • 接続イベント
  • 侵入イベント
  • 侵入イベント・パケット・データ
  • 侵入イベント追加データ

    QRadar で Cisco Firepower Management Center DSM によってカテゴリー化された侵入イベントは、すべての侵入イベントが適切にカテゴリー化されるように、Snort DSM と同じ QRadar ID (QID) を使用します。

    1,000,000 から 2,000,000 の範囲の侵入イベントは、Cisco Firepower Management Center のユーザー定義ルールに分類されます。 イベントを生成するユーザー定義ルールは、 QRadar不明 イベントとして追加され、イベント・タイプを記述する追加情報が組み込まれます。 例えば、ユーザー定義イベントは、Cisco Firepower Management Center の「不明: バッファー・オーバーフロー (Unknown:Buffer Overflow)」として識別することができます。

Cisco Firepower Management Center DSM のサンプル・イベント・メッセージを次の表に示します。
表 1. Cisco Firepower Management Center デバイスによってサポートされる Cisco Firepower Management Center サンプル・メッセージ。
イベント名 下位カテゴリー サンプル・ログ・メッセージ
ユーザー・ログイン変更イベント (User Login Change Event) 変更されたコンピューター・アカウント (Computer Account Changed) 
DeviceType=Estreamer    DeviceAddress
=<IP_address>    CurrentTime=150774
0597988    netmapId=0    recordTyp
e=USER_LOGIN_CHANGE_EVENT    record
Length=142    timestamp=01 May 201
5 12:13:50    detectionEngineRef=
0    ipAddress=<IP_address>    MACAddres
s=<MAC_address>    hasIPv6=tru
e    eventSecond=1430491035    eve
ntMicroSecond=0    eventType=USER_
LOGIN_INFORMATION    fileNumber=00
000000    filePosition=00000000    
ipV6Address=<IPv6_address>    
userLoginInformation.timestamp=
1430491035    userLoginInformati
on.ipv4Address=<IP_address>    userLog
inInformation.userName=username
    userLoginInformation.userRef=0
    userLoginInformation.protocol
Ref=710    userLoginInformation.ema
il=    userLoginInformation.ipv6Ad
dress=<IP_address>    userLoginIn
formation.loginType=0    userLogi
nInformation.reportedBy=IPAddress"
ユーザー削除変更イベント (User Removed Change Event) 削除されたユーザー・アカウント (User Account Removed) 
DeviceType=Estreamer DeviceAddress
=<IP_address>    CurrentTime=15077
43344985    netmapId=0    recordTyp
e=USER_REMOVED_CHANGE_EVENT    reco
rdLength=191    timestamp=21 Sep 201
7 14:53:14    detectionEngineRef=
0    ipAddress=<IP_address>    MACAddress
=<MAC_address>    hasIPv6=tru
e    eventSecond=1506016392    event
MicroSecond=450775    eventType=DELE
TE_USER_IDENTITY    fileNumber=0000
0000    filePosition=00000000    ip
V6Address=<IPv6_address>    userIn
formation.id=1    userInformatio
n.userName=username    userInformat
ion.protocol=710    userInformation
.firstName=firstname    userInformation
.lastName=lastname    userInformation
.email=EmailAddress
    userInformation.department=R
esearch    userInformation.phone
=000-000-0000

侵入イベント追加データ・レコード (INTRUSION EVENT EXTRA DATA RECORD)

 情報 
DeviceType=Estreamer DeviceAddress
=<IP_address>    CurrentTime=150774
0690263    netmapId=0    recordType=
INTRUSION_EVENT_EXTRA_DATA_RECORD    r
ecordLength=49    timestamp=01 May 20
15 15:32:53    eventExtraData.eventId=
393275    eventExtraData.eventSecond=
1430505172    eventExtraData.managed
Device.managedDeviceId=6    eventExtr
aData.managedDevice.name=manageddevic
e.<Server>.example.com    eventExtraData
.extraDataType.eventExtraDataType.ty
pe=10    eventExtraData.extraDataTyp
e.eventExtraDataType.name=HTTP Hostn
ame    eventExtraData.extraDataType
.eventExtraDataType.encoding=String
    eventExtraData.extraData=
www.example.com
RUA ユーザー・レコード (RUA User record) 情報 
DeviceType=Estreamer DeviceAddress
=<IP_address>    CurrentTime=15077
40603372    netmapId=0    recordTyp
e=RUA_USER_RECORD    recordLength=
21    timestamp=11 Oct 2017 13:50:
02    userRef=2883    protocolRef=
710    userName=UserName