Cisco Threat レスポンス (CTR) / SecureX
- English
- 日本語
重要 :このガイドは、Next-Gen WAF コンソールにアクセスできる Next-Gen WAF のお客様のみが対象です。
Cisco Threat Response (CTR) は、インシデントレスポンダーが使用するツールで、AMP for Endpoints、Firewall、Umbrella、Email Security、Stealthwatch などのさまざまな Cisco のセキュリティプロダクトのデータや、Next-Gen WAF などの特定のサードパーティプロダクトのデータを集約します。CTR 内で、調査担当者はいくつかのオブジェクト (ファイルハッシュ、URL、IP アドレス) に対する検索を実行でき、CTR は、統合されているすべてのプロダクトから、セキュリティ侵害インジケーターや関連するメタデータなどのデータを取得します。
ヒント : CDN または Compute サービスのアラートを設定する場合は、オブザーバビリティガイドをご覧ください。
インストール
CTR 統合は、SecureX コンソールで利用可能なネイティブ統合です。
重要 : CTR 統合を設定するユーザーには、API アクセストークンを作成する権限が必要です。
- Next-Gen WAF コンソールにログインします。
- Sites メニューから、複数のサイトがある場合はサイトを選択します。
ユーザーに関連するメールアドレス、コロン、そして生成した API アクセストークンからなる文字列を base64 でエンコードして、この API アクセストークンから、認証ベアラートークンを生成します。これは JavaScript では以下のようになります。
btoa("user@example.com:api-access-token") = "YW5keUBleGFtcGxlY29ycC5jb206ZXhhbXBsZXRva2Vu"SecureXコンソールにログインしてください。
Integrations をクリックします。
左側のナビゲーションバーにある Integrations メニューから、Available Integrations を選択します。
利用可能なモジュールのリストで Signal Sciences Next-Gen WAF を探し、Add New Module をクリックします。
Module Name フィールドでは、デフォルト名のままにするかカスタム名を入力します。カスタム名は、複数のクラウドインスタンスに対して複数の統合を行う計画がある場合に便利です。
URL フィールドに
https://dashboard.signalsciences.net/api.v0/corps/<corpname>/ctrと入力します。あなたの
<corpname>は、Next-Gen WAF コンソールのアドレス (https://dashboard.signalsciences.net/corps/<corpname>/overviewなど) に存在します。あなたの
<corpname>は、List Corps API エンドポイントからも取得可能です。あなたの企業名は、Next-Gen WAF コンソールにログインした後に表示される URL の文字列です。
Authorization Bearer Token フィールドに、手順3.で生成して Base64 でエンコードされたトークンを入力します。
Save をクリックします。
Cisco Threat Response 統合を使用する
統合がインストールされると、SigSci によってフラグが付けられた IP アドレスを含む CTR 内の検索で、Sightings および Indicators の下の Observables ウィジェットにイベントのレコードが返されます。
Sightings には、IP アドレスがフラグされた日時、ターゲットにされた URL、およびNext-Gen WAF コンソール内のフラグされた IP アドレスイベントへのリンクが表示されます。インジケーターは、フラグされた IP アドレス (XSS など) に関連付けられた攻撃シグナルを記述します。
