- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2015年6月4日
章のタイトル: バックアップと復元の使用
バックアップと復元の使用
バックアップ/復元は、システム保守プランの重要な部分です。各組織のバックアップ計画は高度に個別化されていますが、FireSIGHT システムには、障害発生時に防御センターや管理対象デバイスを復元できるようにデータをアーカイブするためのメカニズムが備わっています。バックアップはそれを作成した製品バージョンでのみ有効であり、仮想管理対象デバイスや Sourcefire Software for X-Series では、バックアップ ファイルを作成または復元できないことに注意してください。
代替のアプライアンスにバックアップを復元できるのは、2 台のアプライアンスが同じモデルで、同じバージョンの FireSIGHT システム ソフトウェアを実行している場合です。
デフォルトでは、システム コンフィギュレーション ファイルはバックアップ ファイルに保存されます。また、イベント データをバックアップすることも選択できます。アプライアンスに保存されているキャプチャされたファイルは、バックアップできません。
アプライアンスまたはローカル コンピュータにバックアップ ファイルを保存できます。さらに、防御センターを使用している場合は、「リモート ストレージの管理」で詳述されているように、リモート ストレージを使用できます。
•
アプライアンスのファイルをバックアップする方法について詳しくは、「バックアップ ファイルの作成」 を参照してください。
• バックアップ作成のテンプレートとして後で使用できるバックアップ プロファイルを作成する方法について詳しくは、「バックアップ プロファイルの作成」を参照してください。
• 防御センターを使用して管理対象デバイスをバックアップする方法について詳しくは、「防御センターによる管理対象デバイスのバックアップ」を参照してください。
• ローカル ホストからバックアップ ファイルをアップロードする方法について詳しくは、「ローカル ホストからのバックアップのアップロード」を参照してください。
• アプライアンスにバックアップ ファイルを復元する方法について詳しくは、「バックアップ ファイルからのアプライアンスの復元」を参照してください。
バックアップ ファイルの作成
既存のシステム バックアップを表示して使用するには、[Backup Management] ページに移動します。イベントやパケット データに加えて、アプライアンスの復元に必要なすべてのコンフィギュレーション ファイルを含むバックアップ ファイルを定期的に保存する必要があります。設定の変更をテストする際にも、システムをバックアップして、必要に応じて保存されている設定に戻せるようにすることができます。バックアップ ファイルに、キャプチャされたファイルを含めることはできないことに注意してください。バックアップ ファイルを、アプライアンスに保存するか、ローカル コンピュータに保存するかを選択できます。
あるいは、バックアップ ファイルが 4GB を超える場合は、SCP 経由でリモート ホストにコピーします。4 GB よりも大きなファイルのアップロードは、Web ブラウザでサポートされていないため、バックアップ ファイルがそのように大きい場合には、ローカル コンピュータからのバックアップのアップロードはできません。防御センターでは、バックアップ ファイルをリモート ロケーションに保存できます。詳しくは、「リモート ストレージの管理」を参照してください。
注 バックアップ タスクがディスカバリ イベントを収集してるとき、データの関連付けは一時的に停止されます。
バックアップを実行してから確認済みの侵入イベントを削除した場合、そのバックアップによって、削除された侵入イベントは復元されますが確認済みのステータスは復元されません。復元されたそれらの侵入イベントは、[Reviewed Events] の下ではなく [Intrusion Events] の下に表示されます。「侵入イベントについて」を参照してください。
侵入イベントのデータを含むバックアップを、そのデータがすでに含まれているアプライアンスに復元すると、重複したイベントが作成されることになります。これを回避するため、以前の侵入イベント データが含まれていないアプライアンスにのみ、侵入イベント バックアップを復元します。
管理対象デバイスをデバイス自体からバックアップするときは、設定のみをバックアップします。完全なバックアップを実行するには、物理デバイスを管理する防御センターを使用します。
ステップ 1 [System] > [Tools] > [Backup]/[Restore] を選択します。
[Backup Management] ページが表示されます。
ステップ 2 [Managed Device Backup] または [ 防御センター Backup] をクリックします。
ステップ 3 [Name] フィールドに、バックアップ ファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
ステップ 4 防御センターには、さらに以下の 2 つのオプションがあります。
• 設定をアーカイブするには、[Back Up Configuration] を選択します。
• イベント データベース全体をアーカイブするには、[Back Up Events] を選択します。
ステップ 5 オプションで、バックアップの完了時に通知を受けるためには、[Email when complete] チェック ボックスをオンにして、用意されているテキスト ボックスに電子メール アドレスを入力します。
注 電子メール通知を受信するには、「メール リレー ホストおよび通知アドレスの設定」で説明されているように、リレー ホストを設定する必要があります。
ステップ 6 オプションで、防御センターで、セキュアなコピー( SCP )を使用してバックアップ アーカイブを異なるマシンにコピーするには、[Copy when complete] チェック ボックスをオンにしてから、用意されているテキスト ボックスに以下の情報を入力します。
• [Host] フィールドに、バックアップのコピー先となるマシンのホスト名または IP アドレス
• [Path] フィールドに、バックアップのコピー先となるディレクトリへのパス
• [User] フィールドに、リモート マシンへのログインに使用するユーザ名
• [Password] フィールドに、そのユーザ名のパスワード
パスワードの代わりに SSH 公開キーを使用してリモート マシンにアクセスする場合は、[SSH Public Key] フィールドの内容を、そのマシンの指定ユーザの authorized_keys ファイルにコピーします。
このオプションをオフにする場合、バックアップ中に使用された一時ファイルがシステムによってリモート サーバに保存されます。このオプションをオンにする場合は、一時ファイルはリモート サーバに保存されません。
ヒント シスコは、システム障害が発生した場合にアプライアンスを復元できるように、バックアップをリモート ロケーションに定期的に保存することを推奨します。
• バックアップ ファイルをアプライアンスに保存するには、[Start Backup] をクリックします。
バックアップ ファイルは /var/sf/backup ディレクトリに保存されます。防御センターでは、リモート ロケーションをバックアップ ファイルの場所として指定できます。「リモート ストレージの管理」を参照してください。
バックアップ プロセスが完了すると、[Restoration Database] ページでファイルを参照できます。バックアップ ファイルを復元する方法について詳しくは、「バックアップ ファイルからのアプライアンスの復元」を参照してください。
• この設定を後で使用できるバックアップ プロファイルとして保存するには、[Save as New] をクリックします。
[System] > [Tools] > [Backup]/[Restore] を選択してから [Backup Profiles] をクリックすることにより、バックアップ プロファイルを変更または削除できます。詳細については、「バックアップ プロファイルの作成」を参照してください。
バックアップ プロファイルの作成
[Backup Profiles] ページを使用して、さまざまな種類のバックアップに使用する設定値を含むバックアップ プロファイルを作成できます。後にアプライアンスのファイルをバックアップするときに、これらのプロファイルの 1 つを選択できます。
ヒント 「バックアップ ファイルの作成」で説明されているようにバックアップ ファイルを作成すると、バックアップ プロファイルが自動的に作成されます。
ステップ 1 [System] > [Tools] > [Backup]/[Restore] を選択します。
[Backup Management] ページが表示されます。
ステップ 2 [Backup Profiles] タブをクリックします。
[Backup Profiles] ページが表示されて、既存のバックアップ プロファイルのリストが示されます。
ヒント 編集アイコン(
)をクリックして既存のプロファイルを変更するか、または削除アイコン()をクリックしてリストからプロファイルを削除することができます。
ステップ 3 [Create Profile] をクリックします。
ステップ 4 バックアップ プロファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
ステップ 5 バックアップ プロファイルを必要に合わせて設定します。
このページのオプションについて詳しくは、「バックアップ ファイルの作成」を参照してください。
ステップ 6 バックアップ プロファイルを保存するには、[Save as New] をクリックします。
[Backup Profiles] ページが表示されて、新しいプロファイルがリストに示されます。
防御センターによる管理対象デバイスのバックアップ
防御センターを使用して管理対象デバイス上のデータをバックアップできます。バックアップ ファイルのデフォルト名には、管理対象デバイスの名前が使用されます。
ヒント 使用するバックアップ ファイル名にスペースや句読文字が含まれる場合、それらは下線に変更されます。
Sourcefire Software for X-Series のデータを管理するために、リモート バックアップと復元を実行することは できません 。
防御センターから管理対象デバイスをバックアップするには、次のようにします。
ステップ 1 [System] > [Tools] > [Backup]/[Restore] を選択します。
[Backup Management] ページが表示されます。
ステップ 2 [Managed Device Backup] をクリックします。
[Managed Device Backup] ページが表示されます。
ステップ 3 [Managed Devices] フィールドで、バックアップする管理対象デバイスを選択します。
ステップ 4 設定データと共にイベント データも含めるには、[Include All Unified Files] チェック ボックスをオンにします。統合ファイルは、FireSIGHT システムがイベント データをログに記録するために使用するバイナリ ファイルであることに注意してください。
ステップ 5 バックアップ ファイルを防御センターに保存するには、[Retrieve to Defense Center ] チェック ボックスをオンにします。各デバイスのバックアップ ファイルをそのデバイス自体に保存するには、このチェック ボックスをオフにしておいてください。
注 [Retrieve to Defense Center] を選択した場合、防御センターがバックアップのリモート ストレージ用に設定されていれば、デバイスのバックアップ ファイルは防御センター自体ではなく設定されたリモート ロケーションに保存されます。
ステップ 6 [Start Backup] をクリックします。
成功を示すメッセージが表示されて、バックアップ タスクが作成されます。
バックアップの完了までに数分かかる場合があります。その進行状況は、[Task Status] ページ([System] > [Monitoring] > [Task Status])で監視できます。バックアップが完了すると、[Backup Management] ページにバックアップ ファイルが表示されます。
ローカル ホストからのバックアップのアップロード
「バックアップ管理」 の表で説明されているダウンロード機能を使用してローカル ホストにバックアップ ファイルをダウンロードした場合、それを防御センターにアップロードできます。
ヒント 4 GB よりも大きなファイルのアップロードは Web ブラウザでサポートされていないため、そのように大きなサイズのバックアップをローカル コンピュータからアップロードすることはできません。代わりに、バックアップを SCP 経由でリモート ホストにコピーし、そこから取得することができます。防御センターでは、バックアップ ファイルをリモート ロケーションに保存し、そこから取得できます。「リモート ストレージの管理」を参照してください。
ステップ 1 [System] > [Tools] > [Backup]/[Restore] を選択します。
[Backup Management] ページが表示されます。
ステップ 2 [Upload Backup] をクリックします。
ステップ 3 [Browse] をクリックして、アップロードするバックアップ ファイルに移動します。
アップロードするファイルを選択した後に、[Upload Backup] をクリックします。
ステップ 4 [Backup Management] をクリックして、[Backup Management] ページに戻ります。
バックアップ ファイルがアップロードされ、バックアップ リストに表示されます。防御センター アプライアンスによってファイルの整合性が検証された後に、[Backup Management] ページを更新して、詳細なファイル システム情報を確認します。
バックアップ ファイルからのアプライアンスの復元
[Backup Management] ページを使用して、バックアップ ファイルからアプライアンスを復元できます。バックアップを復元するには、バックアップ ファイル内の VDB のバージョンが、アプライアンスの現在の VDB のバージョンと一致している必要があります。復元プロセスが完了した後、最新のシスコ ルール アップデートを適用する 必要があります 。
ローカル ストレージを使用する場合、バックアップ ファイルは /var/sf/backup に保存されて、 /var パーティションで使用されているディスク領域量と共に [Backup Management] ページの下部にリストされます。防御センターで、[Backup Management] ページの上部にある [Remote Storage] を選択して、リモート ストレージ オプションを設定します。その後、リモート ストレージを有効にするために、[Backup Management] ページの [Enable Remote Storage for Backups] チェック ボックスをオンします。リモート ストレージを使用している場合は、プロトコル、バックアップ システム、およびバックアップ ディレクトリがページの下部に表示されます。
注 バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。
次の表では、[Backup Management] ページの各列とアイコンについて説明します。
ステップ 1 [System] > [Tools] > [Backup]/[Restore] を選択します。
[Backup Management] ページが表示されます。
ステップ 2 バック アップ ファイルの内容を確認するには、ファイルの名前をクリックします。
マニフェストが表示され、各ファイルの名前、所有者と権限、およびファイル サイズと日付がリストされます。
ステップ 3 [Backup Management] をクリックして、[Backup Management] ページに戻ります。
ステップ 4 復元するバックアップ ファイルを選択して、[Restore] クリックします。
バックアップの VDB バージョンがアプライアンスに現在インストールされている VDB のバージョンと一致しない場合、[Restore] ボタンはグレー表示されることに注意してください。
ステップ 5 ファイルを復元するには、次のいずれかまたは両方を選択します。
注 管理対象デバイスの設定をバックアップ ファイルから復元すると、デバイスの管理用の防御センターから行われたデバイス設定の変更も復元されることに注意してください。復元される変更には、そのバックアップ ファイルを作成した後に行った変更も含まれます。
ステップ 6 [Restore] クリックして、復元を開始します。
アプライアンスが、指定したバックアップ ファイルを使用して復元されます。
ステップ 8 最新のシスコ ルール アップデートを適用して、ルールのアップデートを再適用します。
ステップ 9 復元されたシステムにアクセス コントロール ポリシー、侵入ポリシー、ネットワーク検出ポリシー、ヘルス ポリシー、システム ポリシーを再適用します。
フィードバック