Cisco Secure Firewall

Docs > インテグレーション > Cisco Secure Firewall

Supported OS Linux Windows Mac OS

インテグレーションバージョン1.0.0

Cisco Secure Firewall - アプリケーション＆アイデンティティベースファイアウォール

Cisco Secure Firewall - トランスペアレントファイアウォール

Cisco Secure Firewall - SNMP

Cisco Secure Firewall - アプリケーション＆アイデンティティベースファイアウォール

Cisco Secure Firewall - フェイルオーバー

Cisco Secure Firewall - 侵入防御システム

Cisco Secure Firewall - IP スタック

Cisco Secure Firewall - 脅威検出

Cisco Secure Firewall - トランスペアレントファイアウォール

Cisco Secure Firewall - ユーザー認証

概要

Cisco Secure Firewall Threat Defense (FTD) は、統合管理を備えた脅威特化型の次世代ファイアウォール (NGFW) です。攻撃の前、最中、そして後に高度な脅威防御を提供します。Cisco Secure Firewall Management Center (FMC) は、オンプレミスおよび仮想環境で Cisco Secure Firewall Threat Defense (FTD) のイベントとポリシーを一元管理するプラットフォームです。

このインテグレーションは、Cisco Secure FMC を使用して Cisco Secure FTD から次のログを取り込み、情報を付加します:

ユーザー認証ログ
SNMP ログ
フェイルオーバーログ
トランスペアレントファイアウォールログ
脅威検出ログ
セキュリティイベント
IP スタックログ
アプリケーションファイアウォールログ
アイデンティティベースファイアウォールログ
コマンドインターフェイスログ
OSPF ルーティングログ
RIP ルーティングログ
リソースマネージャーログ
VPN フェイルオーバーログ
侵入防御システムログ
ダイナミックアクセスポリシー
IP アドレス割り当て

SNMP リクエスト、アイデンティティベースファイアウォールログ、リアルタイム脅威分析、セキュリティ検出と監視、そしてコンプライアンス監視を、すぐに利用できるダッシュボードで詳細に可視化できます。

セットアップ

インストール

Cisco Secure Firewall インテグレーションをインストールするには、以下の Agent インストールコマンドを実行し、その後の手順に従ってください。詳細はインテグレーション管理ドキュメントを参照してください。

注: Agent バージョン >= 7.52.0 の場合、この手順は不要です。

Linux コマンド:

sudo -u dd-agent -- datadog-agent integration install datadog-cisco_secure_firewall==1.0.0

コンフィギュレーション

Cisco Secure Firewall

Datadog Agent ではデフォルトでログ収集が無効化されています。datadog.yaml で有効化してください:
```
logs_enabled: true
```
Cisco Secure Firewall のログ収集を開始するには、次のコンフィギュレーションブロックを cisco_secure_firewall.d/conf.yaml に追加します。
利用可能な設定オプションは、サンプル cisco_secure_firewall.d/conf.yaml を参照してください。
```
logs:
 - type: tcp/udp
   port: <PORT>
   service: cisco-secure-firewall
   source: cisco-secure-firewall
```
Agent を再起動します。
Cisco Secure Firewall Management Center での Syslog メッセージ転送設定:
1. Devices > Platform Settings を選択し、FTD ポリシーを作成または編集します。
2. Syslog > Logging Setup を選択します。
  - Enable Logging: Firepower Threat Defense デバイスのデータプレーンシステムログを有効化します。
  - Enable Logging on the failover standby unit: スタンバイ Firepower Threat Defense デバイスのログを有効化します (利用可能な場合)。
  - Save をクリックします。
3. Syslog > Syslog Settings を選択します。
  - Facility ドロップダウンから LOCAL7(20) を選択します。
  - Syslog メッセージにメッセージ生成日時を含めるには、Enable Timestamp on Syslog Messages チェックボックスをオンにします。
  - Timestamp Format ドロップダウンリストで RFC 5424 (yyyy-MM-ddTHH:mm:ssZ) を選択します。
  - Syslog メッセージの冒頭にデバイス識別子を付加したい場合は、Enable Syslog Device ID チェックボックスをオンにし、識別子の種類を選択してください。
    - Interface: メッセージ送信インターフェイスに関係なく、選択したインターフェイスの IP アドレスを使用します。セキュリティゾーンを選択してください (ゾーンは単一インターフェイスにマップされる必要があります)。
    - User Defined ID: 任意の文字列 (最大 16 文字) を使用します。
    - Host Name: デバイスのホスト名を使用します。
  - Save をクリックします。
4. Syslog > Syslog Server を選択します。
  - Allow user traffic to pass when TCP syslog server is down をチェックし、TCP プロトコル使用時に syslog サーバーがダウンしてもトラフィックを許可します。
  - Add をクリックし、新しい syslog サーバーを追加します。
    - IP Address ドロップダウンで、syslog サーバーの IP アドレスを含むネットワークホストオブジェクトを選択します。
    - プロトコル (TCP または UDP) を選択し、Firepower Threat Defense デバイスと syslog サーバー間の通信ポート番号を入力します。
    - Syslog サーバーとの通信に使用する Device Management Interface、Security Zones、または Named Interfaces を選択します。
      - Security Zones または Named Interfaces: 利用可能なゾーン一覧からインターフェイスを選択し Add をクリックします。
    - OK をクリックします。
  - Save をクリックします。
5. Deploy > Deployment に進み、ポリシーを割り当て済みデバイスへデプロイします。デプロイが完了するまで変更は適用されません。

検証

Agent のステータスサブコマンドを実行し、Checks セクションで cisco_secure_firewall を探してください。

収集されるデータ

ログ

Cisco Secure Firewall インテグレーションは、ユーザー認証、SNMP、フェイルオーバー、トランスペアレントファイアウォール、IP スタック、アプリケーションファイアウォール、アイデンティティベースファイアウォール、脅威検出、コマンドインターフェイス、セキュリティイベント、OSPF ルーティング、RIP ルーティング、リソースマネージャー、VPN フェイルオーバー、侵入防御システムの各ログを収集します。

メトリクス

Cisco Secure Firewall インテグレーションにはメトリクスは含まれていません。

イベント

Cisco Secure Firewall インテグレーションにはイベントは含まれていません。

サービスチェック

Cisco Secure Firewall インテグレーションにはサービスチェックは含まれていません。

トラブルシューティング