Question & Answer
Question
2020 年 6 月 10 日、 IBM は syslog イベント・データのログ・ソース自動検出を無効にするため、 Cisco Firepower Management Center DSM を使用するすべてのユーザーに対して自動更新リリースを行い、同じ週次の更新で、 QRadar の統合チームは Cisco Firepower Threat Defense DSM を新たにリリースしました。この技術文書は、管理者へ RPM ファイルの変更についてのご案内および Cisco Firepower Management Center アプライアンスからの syslog データが syslog イベントからログ・ソースの作成と検出を行わなくなったことを通知するといった内容をご案内することを目的としています。
Cause
IBM は DSM のコンテンツを更新しており、 syslog イベント・データを自動検出できる新しい Cisco Firepower Threat Defense DSM を公開しています。管理者は、 Cisco Firepower Management Center DSM のログ・ソース自動検出で変更のアラートを受けます。
Answer
Cisco Firepower Management Center DSM は、 eStreamer プロトコル、 API 、および Syslog プロトコルを使用して、セキュリティー・イベントの収集と解析を行います。 QRadar 統合チームは、 Firepower Management Center イベントのログ・ソース自動検出を無効にしています。管理者は、現時点で Firepower Management Center DSM に置かれている syslog ログ・ソースを新しい Firepower Threat Defense DSM へ移動することが将来的に必要となります。管理者は変更を行う前に、 Firepower Management Center のログ・ソース・データを使用するルール、検索、またはレポートについて、対象のユーザーへ連絡することを推奨します。しして管理者が Cisco Firepower Threat Defense DSM へ移行を行う時は、ログ・ソース・グループを更新することをおすすめします。
管理者のアクション
- 管理者は既存の Firepower Management Center のログ・ソースを引き続き使用できますが、将来的には Cisco Firepower Threat Defense DSM にマイグレーションする必要があります。 Syslog 解析機能は、将来のリリースで Cisco Firepower Management Center DSM から削除される可能性があります。
- Firepower Management Center のログ・ソースは引き続き syslog イベント・データを作成できますが、各新規ログ・ソースを手動で作成する必要があります。
- Firepower Threat Defense DSM を使用するために Firepower Management Center ログ・ソースをマイグレーションする時、管理者はこの変更でユーザーのルール、検索、またはレポートに与える影響を検討する必要があります。レポート作成中の中断を回避するため、管理者は Cisco Firepower Threat Defense DSM へ移行する前に、現在の Cisco Firepower Management Center イベントの検索またはレポートを所有しているチームに QRadar ユーザー・ベースで連絡することができます。
- 管理者は QRadar の自動更新によって、 2020 年 6 月 10 日に RPM の更新を通知されます。 QRadar コンソールは、新しい Firepower Threat Defense DSM で更新されます。新規アラートを構成または新規アプライアンスをセットアップすると、 Cisco Firepower Threat Defense として syslog イベントの自動検出を表示します。
- 手動で DSM を更新する管理者は、最新バージョンの Cisco Firepower Management Center DSMs と Cisco Firepower Threat Defect DSMs をダウンロードすることができます。管理者は構文解析の問題を回避するため、両方の DSMs を更新することが重要です。
Fix Central リンク
QRadar® 7.3.x 管理者向け :
- 7.3.0-QRADAR-DSM-CiscoFirepowerManagementCenter-7.3-20200516020801.noarch.rpm
- 7.3.0-QRADAR-DSM-CiscoFirepowerThreatDefense-7.3-20200522003635.noarch.rpm
QRadar® 7.4.x 管理者向け :
- 7.4.0-QRADAR-DSM-CiscoFirepowerManagementCenter-7.4-20200516020841.noarch.rpm
- 7.4.0-QRADAR-DSM-CiscoFirepowerThreatDefense-7.4-20200516020841.noarch.rpm
重要 : 管理者は構文解析の問題または競合が発生しないようにするため、 Cisco Firepower Management Center DSM と Cisco Firepower Threat Defense DSM 更新ファイルの両方をインストールする必要があります。 QRadar 7.2.x の製品は IBM でサポート終了と見なされるため、 QRadar 7.2.x アプライアンスには適用されません。
資料のリンク
- Cisco Firepower Threat Defense DSM 構成ガイド
- Cisco Firepower Management Center DSM 構成ガイド
QRadar® 7.3.x 管理者向け :
- 7.3.0-QRADAR-DSM-CiscoFirepowerManagementCenter-7.3-20200516020801.noarch.rpm
- 7.3.0-QRADAR-DSM-CiscoFirepowerThreatDefense-7.3-20200522003635.noarch.rpm
QRadar® 7.4.x 管理者向け :
- 7.4.0-QRADAR-DSM-CiscoFirepowerManagementCenter-7.4-20200516020841.noarch.rpm
- 7.4.0-QRADAR-DSM-CiscoFirepowerThreatDefense-7.4-20200516020841.noarch.rpm
重要 : 管理者は構文解析の問題または競合が発生しないようにするため、 Cisco Firepower Management Center DSM と Cisco Firepower Threat Defense DSM 更新ファイルの両方をインストールする必要があります。 QRadar 7.2.x の製品は IBM でサポート終了と見なされるため、 QRadar 7.2.x アプライアンスには適用されません。
資料のリンク
- Cisco Firepower Threat Defense DSM 構成ガイド
- Cisco Firepower Management Center DSM 構成ガイド
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000GnfdAAC","label":"QRadar->Events->Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.3.0;7.3.1;7.3.2;7.3.3;7.4.0","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
30 November 2020
UID
ibm16351789