FireSIGHT システムの初期設定手順
内容
概要
FireSIGHT Management Center または FirePOWER デバイスのイメージ変更が完了したら、システムが完全に機能し、侵入イベントのアラートを生成できるようにするための手順を実行する必要があります(ライセンスのインストール、アプライアンスの登録、正常性ポリシー、システム ポリシー、アクセス コントロール ポリシー、侵入ポリシーの適用など)。このドキュメントは、FireSIGHT システムのインストール ガイド ガイドの補足です。
前提条件
このドキュメントは、FireSIGHT システムのインストール ガイドを読んでいることを前提としています。
コンフィギュレーション
ステップ 1:初期設定
FireSIGHT Management Center で Web インターフェイスにログインし、次に示すセットアップ ページで初期設定オプションを指定して、セットアップ プロセスを完了する必要があります。このページで、管理者パスワードを変更する必要があります。また、ドメインや DNS サーバなどのネットワーク設定や時刻設定を指定することもできます。
任意で、繰り返しルール、位置情報更新、および自動バックアップを設定できます。機能ライセンスもこの時点でインストールできます。
このページでは、デバイスを FireSIGHT Management Center に登録し、検出モードを指定することもできます。登録中に選択された検出モードとその他のオプションによって、システムで作成されるデフォルト インターフェイス、インライン セット、およびゾーンだけでなく、管理対象デバイスに最初に適用されるポリシーも決定されます。
ステップ 2:ライセンスのインストール
初期設定のページでライセンスをインストールしていない場合は、次の手順に従ってこの作業を実行できます。
- 次のページに移動します:[System] .> [Licenses]
- [Add New License] をクリックします。
ライセンスを受け取っていない場合は、お客様のアカウント担当のセールス担当者にお問い合わせください。
ステップ 3:システム ポリシーの適用
システム ポリシーは、FireSIGHT Management Center および管理対象デバイス間の時刻同期と認証プロファイルの設定を指定します。 システム ポリシーを設定または適用するには、[System] > [Local] > [System Policy] に移動します。 デフォルトのシステム ポリシーが提供されますが、このデフォルト ポリシーをすべての管理対象デバイスに適用する必要があります。
ステップ 4:正常性ポリシーの適用
正常性ポリシーは、管理対象デバイスが各自のヘルス ステータスを FireSIGHT Management Center に報告する方法を設定するのに使用されます。 正常性ポリシーを設定または適用するには、[Health Policy] に移動します。 デフォルトの正常性ポリシーが提供されますが、このデフォルト ポリシーをすべての管理対象デバイスに適用する必要があります。
ステップ 5:管理対象デバイスの登録
初期設定ページでデバイスを登録しなかった場合は、このドキュメントを読み、FireSIGHT Management Center へのデバイスの登録手順を確認してください。
ステップ 6:インストールされているライセンスの有効化
アプライアンスで機能ライセンスを使用するには、各管理対象デバイスで機能ライセンスを有効にしておく必要があります。
- 次のページに移動します:[Devices] > [Device Management]
- ライセンスを有効にするデバイスをクリックし、[Device] タブを表示します。
- [License] の横の [Edit](鉛筆 アイコン)をクリックします。
このデバイスに必要なライセンスを有効にし、[Save] をクリックします。
右上隅に「You have unapplied changes」というメッセージが表示されます。この警告は、デバイス管理ページから移動した後でも、[Apply Changes] ボタンをクリックするまではアクティブなままになります。
手順 7:検知インターフェイスの設定
- [Devices] > [Device Management] ページに移動します。
- 該当するセンサの [Edit] (鉛筆)アイコンをクリックします。
- [Interfaces] タブで、該当するインターフェイスの [Edit] アイコンをクリックします。
パッシブ インターフェイス設定またはインライン インターフェイス設定を選択します。スイッチド インターフェイスおよびルーテッド インターフェイスは、この記事では扱いません。
ステップ 8:侵入ポリシーの設定
- [Policies] > [Intrusion] > [Intrusion Policy]の順に選択します。
- [Create Policy] をクリックします。次のダイアログボックスが表示されます。
名前を割り当て、使用するベース ポリシーを定義します。導入環境によっては、[Drop when Inline] オプションを有効にできます。誤検出を削減し、システムのパフォーマンスを改善するために保護するネットワークを定義します。
[ポリシーの作成]をクリックすると、設定が保存され、IPSポリシーが作成されます。侵入ポリシーを変更する場合は、代わりに[ポリシーの作成と編集]を選択できます。
手順 9:アクセス コントロール ポリシーの設定と適用
1.[Policies] > [Access Control] に移動します。
2. [New Policy]をクリックします。
3.ポリシーの名前と説明を指定します。
4.アクセスコントロールポリシーの[Default Action]として[Intrusion Prevention]を選択します。
5.最後に、アクセス制御ポリシーを適用するターゲット・デバイスを選択し、[Save]をクリックします。
6.デフォルトアクションの侵入ポリシーを選択します。
7.接続イベントを生成するには、接続ロギングを有効にする必要があります。[Default Action] の右側にあるドロップダウン メニューをクリックします。
8.接続の最初または最後に接続を記録することを選択します。イベントは FireSIGHT Management Center または Syslog ロケーションでログに記録されるか、または SNMP 経由でログに記録されます。
9. 「OK」をクリックします。ロギング アイコンの色が変化することに注意してください。
10.この時点でアクセス制御規則を追加できます。使用できるオプションは、インストールされているライセンスの種類に応じて異なります。
11.変更が完了したら、[Save and Apply] ボタンをクリックします。 このボタンをクリックするまで、ポリシーの変更が未保存であることを示すメッセージが右上隅に表示されています。
変更を保存するか、保存して適用するのみを選択できます。次のウィンドウが表示され、保存して適用をクリックします。
12. [すべてを適用]は、アクセスコントロールポリシーおよび関連するすべての侵入ポリシーをターゲットデバイスに適用します。
13.タスクのステータスを監視するには、ページ上部に表示される通知の「タスクのステータス」リンクをクリックします。または、次の場所に移動します。[System] > [Monitoring] > [Task Status] に移動します。
14. [Task Status]リンクをクリックして、アクセスコントロールポリシーの適用の進行状況を監視します。
手順 10:FireSIGHT Management Center がイベントを受信するかどうかの検証
アクセス コントロール ポリシーの適用が完了すると、接続イベントが表示され、トラフィック侵入イベントを利用できるようになります。
その他の推奨事項
システムでは次の追加機能も設定できます。実装の詳細については、ユーザ ガイドを参照してください。
- スケジュール バックアップ
- 自動ソフトウェア アップデート、SRU、VDB、および GeoLocation ダウンロード/インストール。
- LDAP または RADIUS を使用した外部認証
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
09-Oct-2014 |
初版 |
フィードバック