- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: 外部アラートの設定
外部アラートの設定
FireSIGHT システムではイベントのさまざまなビューを Web インターフェイス内で提供しますが、重要なシステムの継続的なモニタリングを容易にするために外部イベント通知を設定することもできます。次のいずれかが発生したときに、電子メール、SNMP トラップ、または syslog で通知するアラートを生成するように FireSIGHT システムを設定できます。
•
ネットワークベースのマルウェア イベントまたはレトロスペクティブ マルウェア イベント
• 特定の相関ポリシー違反によってトリガーとして使用される相関イベント
• 特定のアクセス コントロール ルールによってトリガーとして使用される接続イベント
• 正常性ポリシー内のモジュールに対する特定のステータス変更
システムでこれらのアラートが送信されるようにするには、まず アラート応答 を作成する必要があります。アラート応答は、アラート送信を計画している外部システムと FireSIGHT システム が連携できるようにする一連の設定です。それらの設定では、たとえば、電子メール リレー ホスト、SNMP アラート パラメータ、または syslog ファシリティおよびプライオリティを指定する場合があります。
アラート応答を作成した後、アラートをトリガーとして使用するために使用するイベントに関連付けます。アラート応答とイベントを関連付けるための処理は、次のように、イベントのタイプによって異なることに注意してください。
• アラート応答を影響フラグ、検出イベント、およびマルウェア イベントと関連付ける場合は、独自の設定ページを使用します。
• 相関イベントを相関ポリシー内でアラート応答(および修復応答)と関連付けます(修復応答については、「修復の作成」を参照してください)。
• SNMP および syslog アラート応答を接続のログ記録と関連付ける場合は、アクセス コントロール ルールとポリシーを使用します。電子メール アラートは接続のログ記録ではサポートされません。
• アラート応答をヘルス モジュールのステータス変更と関連付ける場合は、ヘルス モニタを使用します。
FireSIGHT システムには、実行可能なもう 1 つのタイプのアラートがあります。この場合は、影響フラグに関係なく個々の侵入イベントに対して、電子メール、SNMP、および syslog による侵入イベント通知を設定します。これらの通知は侵入ポリシーで設定します。「侵入ルールの外部アラートの設定」および「アラートの追加」を参照してください。次の表では、アラート生成に必要なライセンスについて説明します。
|
|
|
|---|---|
アラート応答の使用
外部アラートを設定する際の最初の手順はまずアラート応答を作成することです。アラート応答は、アラート送信を計画している外部システムと FireSIGHT システム が連携できるようにする一連の設定です。アラート応答を作成して、電子メール、Simple Network Management Protocol(SNMP)トラップ、またはシステム ログ(syslog)によりアラートを送信できます。
アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。たとえば、影響フラグのアラートには、タイムスタンプ、侵入ルール、影響フラグ、およびイベントの説明情報が含まれます。別の例として、検出イベントのアラートも、タイムスタンプと説明情報のほか、検出イベント タイプの情報が含まれます。
相関ポリシーでアラート応答を使用する場合、アラート情報は、相関ポリシー違反をトリガーしたイベントのタイプによって異なります。
注 接続トラッカーを含む相関ルールに対する応答としてアラートを設定した場合、相関ルール自体が異なる種類のイベントに基づいていても、受け取るアラート情報はトラフィック プロファイル変更のアラートの場合と同じです。
作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。
アラート応答は [Alerts] ページ([Policies] > [Actions] > [Alerts])で管理します。各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。
電子メール アラート応答の作成
電子メール アラートはアクセス コントロール ポリシーの接続のログ記録に対して実行 できない ことに注意してください。
電子メール アラート応答を作成する前に、防御センターが自身の IP アドレスを逆引き解決できることを確認する必要があります。また、「メール リレー ホストおよび通知アドレスの設定」で説明しているように、メール リレー ホストを設定する必要があります。
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
ステップ 2 [Create Alert] ドロップダウン メニューから、[Create Email Alert] を選択します。
[Create Email Alert Configuration] ポップアップ ウィンドウが表示されます。
ステップ 3 [Name] フィールドに、アラート応答を識別するために使用する名前を入力します。
ステップ 4 [To] フィールドに、アラートを送信する電子メール アドレスを入力します。
ステップ 5 [From] フィールドに、アラートの送信者として表示する電子メール アドレスを入力します。
ステップ 6 [Relay Host] の横に表示されるメール サーバが、アラートの送信に使用するサーバであることを確認します。
サーバを変更する場合、またはリレー ホストをまだ設定していない場合は、編集アイコン(
)をクリックしてポップアップ ウィンドウに [System Policy] ページを表示し、「メール リレー ホストおよび通知アドレスの設定」の指示に従います。変更内容を有効にするために、編集後にシステム ポリシーを適用する必要があります。
SNMP アラート応答の作成
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。
注 SNMP で 64 ビット値を監視する場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。
ネットワーク管理システムで防御センターの管理情報ベース(MIB)ファイルが必要な場合は、 /etc/sf/ DC EALERT.MIB で取得できます。
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
ステップ 2 [Create Alert] ドロップダウン メニューから、[Create SNMP Alert] を選択します。
[Create SNMP Alert Configuration] ポップアップ ウィンドウが表示されます。
ステップ 3 [Name] フィールドに、SNMP 応答を識別するために使用する名前を入力します。
ステップ 4 [Trap Server] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
ステップ 5 [Version] ドロップダウン リストから、使用する SNMP バージョンを選択します。
SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。
ステップ 6 どのバージョンの SNMP を選択したかに応じて、以下のようにします。
• SNMP v1 または SNMP v2 の場合、英数字または特殊文字( * または $ )を使用して、[Community String] フィールドに SNMP コミュニティの名前を入力し、ステップ 12 に進みます。
• SNMP v3 の場合、[User Name] フィールドに SNMP サーバで認証するユーザの名前を入力し、次のステップに進みます。
ステップ 7 [Authentication Protocol] ドロップダウン リストから、認証に使用するプロトコルを選択します。
ステップ 8 [Authentication Password] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。
ステップ 9 [Privacy Protocol] リストから、[None] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。
ステップ 10 [Privacy Password] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。
ステップ 11 [Engine ID] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。
SNMPv3 を使用する場合、メッセージの符号化には Engine ID 値が使用されます。SNMP サーバでは、メッセージを復号化するためにこの値が必要です。
シスコは、防御センターの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、防御センターの IP アドレスが 10.1.1.77 である場合、 0a01014D0 を使用します。
Syslog アラート応答の作成
syslog アラート応答を設定する際、syslog サーバで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。
ヒント syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、 syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
次の表に、選択可能な syslog ファシリティを示します。
|
|
|
|---|---|
syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
[Alerts] ページが表示されます。[Create Alert] ドロップダウン メニューから、[Create Syslog Alert] を選択します。
[Create Syslog Alert Configuration] ポップアップ ウィンドウが表示されます。
ステップ 2 [Name] フィールドに、保存される応答を識別するために使用する名前を入力します。
ステップ 3 [Host] フィールドに、syslogサーバのホスト名またはIPアドレスを入力します。
このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告が ない ことに注意してください。無効なアドレスはホスト名として扱われます。
ステップ 4 [Port] フィールドに、サーバが syslog メッセージに使用するポートを入力します。
ステップ 5 [Facility] リストから、ファシリティを選択します。
使用可能なファシリティの一覧については、 「使用可能な syslog ファシリティ」 の表を参照してください。
ステップ 6 [Severity] リストから、重大度を選択します。
使用可能な重大度の一覧については、 「syslog 重大度レベル」 の表を参照してください。
ステップ 7 [Tag] フィールドに、syslog メッセージとともに表示するタグ名を入力します。
タグ名には英数字のみを使用します。スペースまたは下線は使用 できません 。
例として、syslog に送信されるすべてのメッセージの前に From DC を付ける場合、フィールドに From DC と入力します。
アラート応答の変更
ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
ステップ 2 編集するアラート応答の横にある編集アイコン( )をクリックします。
そのアラート応答の設定ポップアップ ウィンドウが表示されます。
アラート応答の削除
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
ステップ 2 削除するアラート応答の横にある削除アイコン(
)をクリックします。
アラート応答の有効化と無効化
有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。
ステップ 1 [Policies] > [Actions] > [Alerts] の順に選択します。
ステップ 2 有効または無効にするアラート応答の横の有効または無効のスライダをクリックします。
アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。
影響フラグ アラートの設定
特定の影響フラグを持つ侵入イベントが発生するたびにアラートが生成されるようにシステムを設定できます。影響フラグは、侵入データ、ネットワーク検出データ、および脆弱性情報を関連付けることにより、侵入がネットワークに与える影響を評価するのに役立ちます。詳細については、「影響レベルを使用してイベントを評価する」を参照してください。
ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Impact Flag Alerts] タブを選択します。
[Impact Flag Alerts] ページが表示されます。
ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。
ステップ 3 [Impact Configuration] セクションで、各影響フラグに対して、受信するアラートに対応するチェック ボックスを選択します。
検出イベント アラートの設定
特定のタイプの検出イベントが発生するたびにアラートが生成されるようにシステムを設定できます。さまざまなイベント タイプについては、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。
検出イベント タイプに基づいてアラートを生成するには、そのイベント タイプをログに記録するようにネットワーク検出ポリシーを設定する必要があることに注意してください(「検出イベント ロギングの設定」を参照してください)。デフォルトでは、すべてのイベント タイプに対してロギングは有効です。
ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Discovery Event Alerts] タブを選択します。
[Discovery Event Alerts] ページが表示されます。
ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。
ステップ 3 [Events Configuration] セクションで、各検出イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。
高度なマルウェア対策アラートの設定
ネットワークベースのマルウェア イベント(レトロスペクティブ イベントを含む)が発生するたびにアラートが生成されるようにシステムを設定できます。ただし、エンドポイント ベースの(FireAMP)マルウェア イベントではアラートを生成できません。マルウェア イベントの詳細については、「マルウェア イベントの操作」を参照してください。
マルウェア イベントに基づいてアラートを生成するには、マルウェア クラウド検索を実行するファイル ポリシーを作成した後、そのポリシーをアクセス コントロール ルールに関連付ける必要があります。詳細については、「ファイル ポリシーの概要と作成」および「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。
ステップ 1 [Policies] > [Actions] > [Alerts] を選択した後、[Advanced Malware Protections Alerts] タブを選択します。
[Advanced Malware Protection Alerts] ページが表示されます。
ステップ 2 [Alerts] セクションで、各アラート タイプで使用するアラート応答を選択します。
新しいアラート応答を作成するには、任意のドロップダウン リストから [New] を選択します。詳細については、「アラート応答の使用」を参照してください。
ステップ 3 [Event Configuration] セクションで、各マルウェア イベント タイプに対して、受信するアラートに対応するチェック ボックスを選択します。
[All network-based malware events] には [Retrospective Events] が含まれることに注意してください。
フィードバック