- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: ホスト プロファイルの使用
- ホスト プロファイルの表示
- ホスト プロファイルの基本的なホスト情報の使用
- ホスト プロファイルの IP アドレスの使用
- ホスト プロファイルでの侵害の痕跡の使用
- ホスト プロファイルでのオペレーティング システムの使用
- ホスト プロファイルでのサーバの使用
- ホスト プロファイルでのアプリケーションの使用
- ホスト プロファイルでの VLAN タグの使用
- ホスト プロファイルでのユーザ履歴の使用
- ホスト プロファイルでのホスト属性の使用
- ホスト プロファイルでのホスト プロトコルの使用
- ホスト プロファイルにおけるホワイト リスト違反の使用
- ホスト プロファイルでのマルウェア検出の使用
- ホスト プロファイルでの脆弱性の使用
- 事前定義のホスト属性の使用
- ユーザ定義のホスト属性の使用
- ホスト プロファイルでのスキャン結果の使用
ホスト プロファイルの使用
ホスト プロファイルは、システムが 1 つのホストについて収集したすべての情報の完全なビューを提供します。ユーザは、プロファイルを通じてホスト名やオペレーティング システムなど、ホストの全般的な情報にアクセスできます。たとえば、ホストの MAC アドレスをすぐに見つける必要がある場合は、ホスト プロファイルを見ればわかります。
プロファイルには、 ホストの属性 も示されています。ホストの属性は、ホストに適用することができる、ユーザ定義の説明です。たとえば、ホストが存在するビルディングを示すようなホストの属性を割り当てることがあります。ホスト プロファイルから、そのホストに適用された既存のホスト属性を表示し、そのホスト属性の値を変更することができます。別の例として、 ホストの重要度 の属性を使用して、特定のホストのビジネス重要度を特定し、ホストの重要度に基づいて相関ポリシーとアラートを調整できます。
またホスト プロファイルは、特定のホスト上で稼動しているサーバ、クライアント、およびホスト プロトコルに関する情報を、コンプライアンスのホワイト リストに準拠しているかどうかも含めて提供します。サーバ リストからサーバを削除することも、サーバの詳細を表示することも可能です。サーバの 接続イベント 、サーバのトラフィックが検出されたセッションのログ情報も表示できます。また、クライアントの詳細および接続イベントを表示したり、ホスト プロファイルからサーバ、クライアント、またはホスト プロトコルを削除したりできます。
FireSIGHT システムの展開に FireSIGHT のライセンスが含まれている場合は、ホスト プロファイルにおける 侵害の痕跡 (IOC)を表示できます。これらの痕跡は、モニタリング対象のネットワーク上でホストが悪意のある手段によって侵害される可能性があるどうかを判断するために、ホストに関連付けられているさまざまなタイプのデータ(侵入イベント、Security Intelligence、接続イベント、ファイルまたはマルウェア イベント)との関連性を示しています。ホスト プロファイルから、ホストの IOC タグの概要を確認する、IOC に関連付けられているイベントを表示する、IOC タグに解決済みのマークを付ける、ディスカバリ ポリシーで IOC ルール ステートを編集する、といったことができます。
展開に Protection のライセンスが含まれている場合は、ホスト上のオペレーティング システム、およびホストが実行しているサーバとクライアントのタイプに最も適合するように、システムがトラフィックを処理する方法を調整することができます。詳細については、「適応型プロファイルの使用」を参照してください。
履歴情報を追跡するようシステムを設定している場合は、ホスト上のユーザの履歴情報を表示することもできます。今から 24 時間前までのユーザ アクティビティについて、グラフィックで表示できます。
ホスト プロファイルから、ホストの脆弱性のリストを変更できます。この機能を使用して、ホストに対してどの脆弱性が対処されたかを追跡できます。脆弱性に対して修正ファイルを適用することもできます。このようにすると、修正ファイルで対処されたすべての脆弱性が自動的に無効とマークされることになります。
シスコ システムで生成された脆弱性の情報を使用することも可能です。また、サードパーティのスキャナで検出された脆弱性の情報を、ホストの入力機能によって防御センターにインポートして使用することもできます。
オプションで、ホスト プロファイルから Nmap スキャンを実行し、ホスト プロファイルのサーバ情報とオペレーティング システムの情報を増やすことができます。Nmap スキャナはホストをアクティブに調査し、ホストを実行しているオペレーティング システムおよびサーバの情報を取得します。スキャンの結果は、ホストのオペレーティング システムおよびサーバ アイデンティティのリストに追加されます。
ホスト プロファイルは、ネットワーク上のすべてのホストでは使用できない可能性があることに注意してください。考えられる原因は次のとおりです。
•
タイムアウトしたため、ネットワーク マップからホストが削除された
• ネットワーク検出ポリシーでモニタリングされないネットワーク セグメントに、ホストが存在している
ホスト プロファイルに表示される情報は、ホストのタイプ、および利用可能なホストの情報によって異なる可能性があることに注意してください。たとえば、非 IP ベースのプロトコル(STP、SNAP、IPX など)を使用してシステムでホストを検出した場合、そのホストは MAC ホストとしてネットワーク マップに追加され、IP ホストに比べて使用できる情報はかなり少なくなります。
別の例として、NetFlow 対応のデバイスによってエクスポートされたデータに基づいて、ホスト、サーバ、およびクライアントをネットワーク マップに追加するようネットワーク検出ポリシーを設定することができますが、これらのホスト、サーバ、およびクライアントについて利用できる情報は制限されます。たとえば、スキャナやホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、ホストではこれらのデータを使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
次の図は、MAC のホストのホスト プロファイルの例を示しています。
ホスト プロファイルの各セクションの詳細については、以下を参照してください。
• 「ホスト プロファイルの表示」 では、ホスト プロファイルへのアクセス方法について説明します。
• 「ホスト プロファイルの基本的なホスト情報の使用」 では、ホスト プロファイルの [Host] セクションで提供される情報について説明します。
• 「ホスト プロファイルの IP アドレスの使用」 では、ホスト プロファイルの [IP Addresses] セクションで提供される情報について説明します。
• 「ホスト プロファイルでの侵害の痕跡の使用」 では、ホスト プロファイルの [Indications of Compromise] セクションで提供される情報について説明します。
• 「ホスト プロファイルでのオペレーティング システムの使用」 では、ホスト プロファイルの [Operating System] セクションまたは [Operating System Conflicts] セクションで提供される情報について、およびオペレーティング システムの編集方法、オペレーティング システムの競合の解決方法について説明します。
• 「ホスト プロファイルでのサーバの使用」 では、ホスト プロファイルの [Servers] セクション、[Server Detail] セクション、および [Server Banner] セクションで提供される情報について説明します。
• 「ホスト プロファイルでのアプリケーションの使用」 では、ホスト プロファイルの [Clients] セクションで提供される情報について説明します。
• 「ホスト プロファイルでの VLAN タグの使用」 では、ホスト プロファイルの [VLAN Tag] セクションで提供される情報について説明します。
• 「ホスト プロファイルでのユーザ履歴の使用」 では、ホスト プロファイルの [User History] セクションで提供される情報について説明します。
• 「ホスト プロファイルでのホスト属性の使用」 では、ホスト プロファイルの [Attributes] セクションで提供される情報について説明します。
• 「事前定義のホスト属性の使用」 では、ホストの重要度の属性を設定する方法、およびホスト プロファイルにメモを追加する方法について説明します。
• 「ユーザ定義のホスト属性の使用」 は、ユーザー定義のホスト属性の作成および使用に関する情報を提供します。
• 「ホスト プロファイルでのホスト プロトコルの使用」 では、ホスト プロファイルの [Host Protocols] セクションで提供される情報について説明します。
• 「ホスト プロファイルにおけるホワイト リスト違反の使用」 では、ホスト プロファイルの [White List Violations] セクションで提供される情報について説明します。
• 「ホスト プロファイルでのマルウェア検出の使用」 では、ホスト プロファイルの [Most Recent Malware Detections] セクションで提供される情報について説明します。
• 「ホスト プロファイルでの脆弱性の使用」 では、ホスト プロファイルの [Vulnerabilities] セクション、および [Vulnerability Detail] セクションで提供される情報について説明します。
ホスト プロファイルの表示
モニタリング対象のネットワーク上のホストの IP アドレスを含む任意のネットワーク マップまたはイベント ビューから、ホスト プロファイルにアクセスできます。たとえば、検出イベントのテーブル ビューには、[IP Address] カラムのすべてのエントリの隣に、ホスト プロファイルへのリンクが含まれています。侵害の痕跡(IOC)ルールで有効になっているものがある場合は、侵害される可能性のあるホストが、異なるホスト プロファイル アイコンで示されます。
アクセス:Admin/Any Security Analyst
ステップ 1 任意のイベント ビューで、ホスト プロファイル アイコン(
)をクリックするか、またはプロファイルを表示するホストの IP アドレスの隣にある、侵害されたホスト アイコン(
)をクリックします。
ポップアップ ウィンドウにホスト プロファイルが表示されます。
アクセス:Admin/Any Security Analyst
ステップ 1 ネットワーク マップで、プロファイルを表示するホストの IP アドレスをドリルダウンします。
ホスト プロファイルが表示されます。ネットワーク マップからホスト プロファイルにアクセスする方法の例については、「ホストのネットワーク マップの使用」を参照してください。
ホスト プロファイルの基本的なホスト情報の使用
各ホスト プロファイルは、検出されたホストまたは他のデバイスに関する基本情報を提供します。
次に、基本的なホスト プロファイルのフィールドについて説明します。
ホストに関連付けられているすべての IP アドレス(IPv4 と IPv6 の両方)。多くの場合 IPv6 ホストでは、少なくとも 2 つの IPv6 アドレス(ローカルのみでルーティング可能なものと、グローバルにルーティング可能なもの)の他に、IPv4 アドレスを持っていることがあります。IPv4 専用ホストは、複数の IPv4 アドレスを持っていることがあります。可能な場合は、ルーティング可能なホスト IP アドレスに、フラグ アイコン、およびアドレスに関連付けられている地理情報データを表す国コードも含まれています。この機能、および他の地理情報機能の詳細については、「地理情報の使用」を参照してください。
ホストの NetBIOS 名(使用できる場合)。Microsoft Windows ホストだけでなく Macintosh、Linux、または NetBIOS を使用するように設定されたその他のプラットフォームに NetBIOS 名を指定できます。たとえば、Samba サーバとして設定された Linux ホストに NetBIOS 名を指定します。
–ホストが存在しているネットワークに関するレポート作成のデバイス(ネットワーク検出ポリシーで定義されている)、または
–ホストをネットワーク マップへ追加する NetFlow データを処理したデバイス
–デバイス名の後に、デバイス、およびホストを検出したデバイスとホスト自身の間のネットワーク ホップの数が丸括弧で囲まれて示されます。複数のデバイスで対象のホストを参照できる場合は、レポート作成のデバイスが太字で示されます。
–ホストがデバイスによってネットワーク マップに追加されたが、このデバイスは、ホストが存在しているネットワークに対してネットワーク検出ポリシーに定義されているとおりに明示的にモニタリングしていない。または、
–ホストの入力機能を使用してホストが追加されたが、FireSIGHT システムによって検出されていない
ホストの検出された 1 つ以上の MAC アドレスおよび関連付けられている NIC ベンダー。NIC のハードウェア ベンダーおよび現在の存続可能時間(TTL)値が丸括弧で囲まれて示されます。MAC アドレスが太字で示されている場合、この MAC アドレスは、ARP および DHCP トラフィックでシステムによって検出されたホストの実際の MAC アドレスです。複数のデバイスが同じホストを検出した場合、防御センターにはどのデバイスがホストをレポートしたかに関係なく、ホストに関連付けられているすべての MAC アドレスおよび TTL 値が表示されます。
MAC アドレスをクリックして、同じ MAC アドレスを持つホストのリストを表示できます。ルータのホスト プロファイルは通常、このリスト内でルーティングしているネットワーク セグメント内のホスト(IP アドレス)を示します。モニタリング対象のルータの IP アドレスは多くの場合、モニタリングされるワークステーションとサーバのリストに表示されます。MAC アドレスの実際の IP アドレスは太字で表示されます。
システムが検出したデバイスのタイプ(ホスト、モバイル デバイス、ジェイルブレイクされたモバイル デバイス、ルータ、ブリッジ、NAT デバイス、またはロード バランサ)。
ネットワーク デバイスを区別するためにシステムでは次の方法を使用します。
–Cisco Discovery Protocol(CDP)メッセージの分析。ネットワークのデバイスおよびそれらのタイプ(Cisco デバイスのみ)を特定できます。
–スパニング ツリー プロトコル(STP)の検出。デバイスをスイッチまたはブリッジとして識別します。
–同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。
–クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロード バランサを識別します。
–モバイル デバイスを区別するためにシステムでは次の方法を使用します。
–モバイル デバイスのモバイル ブラウザからの HTTP トラフィックのユーザ エージェント ストリングの分析
–特定のモバイル アプリケーションの HTTP トラフィックのモニタリング
デバイスがネットワーク デバイスまたはモバイル デバイスとして識別されない場合は、ホストとして分類されます。
既存の現行ユーザが権限のあるユーザでない場合、ホストにログインしている権限を持たないユーザは、現行ユーザとして登録されるだけであることに注意してください。詳細については、「ユーザ データベース」を参照してください。
イベント データのビューへのリンク。このリンクは、そのイベント タイプのデフォルト ワークフローを使用し、ホストに関連するイベントを表示するように制限されています。可能な場合は、これらのイベントには、ホストに関連付けられているすべての IP アドレスが含まれます。詳細については、次の項を参照してください。
–Content Explorer:詳細については、「Context Explorer の使用法」を参照してください。
–Connection Events:詳細については、「接続データについて」を参照してください。
–Discovery Events:詳細については、「ディスカバリ イベントの使用」を参照してください。
–Malware Events:詳細については、「マルウェア イベントの操作」を参照してください。
–Intrusion Events by Source:詳細については、「侵入イベントの操作」を参照してください。
–Intrusion Events by Destination:詳細については、「侵入イベントの操作」を参照してください。
ホスト プロファイルの IP アドレスの使用
システムは、ホストに関連付けられている IP アドレスを検出し、サポートされている場合は、同じホストで使用される複数の IP アドレスをグループ化します。IPv6 ホストには通常、少なくとも 2 つの IPv6 アドレス(ローカルのみのものと、グローバルにルーティング可能なもの)があります。また、割り当てられた 1 つ以上の IPv4 アドレスを持っていることがあります。IPv4 専用ホストは、複数の IPv4 アドレスを持っていることがあります。
ホスト プロファイルは、そのホストに関連付けられている、検出されたすべての IP アドレスを一覧で示します。可能な場合、IP アドレスには小さいフラグ アイコン、および関連付けられている国を示す ISO の国コードも示されます。フラグ アイコンまたは国コードをクリックすると、地理情報の詳細を表示できます。詳細については、「地理情報の使用」を参照してください。
デフォルトでは、最初の 3 つのアドレスだけが示されることに注意してください。ホストのすべてのアドレスを表示するには、[Show All] をクリックします。
ホスト プロファイルでの侵害の痕跡の使用
FireSIGHT システムは、モニタリング対象のネットワーク上でホストが悪意のある手段によって侵害される可能性があるかどうかを判断するために、ホストに関連付けられているさまざまなタイプのデータ(侵入イベント、Security Intelligence、接続イベント、ファイルまたはマルウェア イベント)との関連性を示すことができます。イベント データの特定の組み合わせと頻度は、影響を受けたホストの侵害の痕跡(IOC)タグをトリガーとして使用します。ホスト プロファイルの [Indications of Compromise] セクションには、ホストのすべての IOC タグが表示されます。このセクションでは、対象ではなくなった IOC タグを解決済みにするだけでなく、ホストが直面している脅威の詳細を表示する、IOC タグをトリガーとして使用したイベントに移動する、IOC ルールの状態を編集する、といったことが可能です。
IOC の機能を使用するには、機能、およびディスカバリ ポリシー内の少なくとも 1 つの IOC ルールを有効にする必要があります。対象ホストのホスト プロファイル ページから、個々のホストの IOC ルール状態を編集することもできます。各 IOC ルールは、IOC タグの 1 つのタイプに対応しています。組織のニーズに応じていずれかのルールまたはすべてのルールを有効にできます。ディスカバリ ポリシーおよび全般的な IOC に関する詳細は、「侵害の兆候について」を参照してください。
IOC はホスト プロファイル内に存在しているだけではなく、イベント ビューアで IOC データを分析することもできます。詳細については、「侵害の痕跡の使用」を参照してください。
次に、ホスト プロファイルで表示される IOC 情報のフィールドについて説明します。
IOC をトリガーとして使用したホストに関連付けられている IP アドレス。
Malware Executed や Impact 1 Attack など、示された侵害のタイプの簡単な説明。
特定の侵害の痕跡(IOC)に関連付けられている識別子で、トリガーとして使用したイベントを参照します。
侵害される可能性のあるホストの脅威の原因についての説明( This host may be under remote control や Malware has been executed on this host など)。
ホストの IOC をトリガーとして使用したイベントが発生した最初(または最新)の日付と時刻。
ホスト プロファイルにおける IOC データの使用の詳細については、次の項を参照してください。
単一ホストにおける侵害の痕跡のルール状態の編集
システムで侵害の痕跡(IOC)を検出してタグを付けるには、最初にディスカバリ ポリシーの IOC 機能を有効にして、少なくとも 1 つの IOC ルールを(ポリシー全体または個別のホストに対して)有効にする必要があります。ホスト プロファイルから、個別のホストに適用される IOC ルールの状態を設定することができます。ディスカバリ ポリシーでの IOC の設定、およびポリシー全体での IOC ルール状態の設定の詳細については、「侵害の兆候ルールの設定」を参照してください。
ホスト プロファイルから [Indications of Compromise] セクションの [Edit Rule States] リンクを使用して IOC ルールのリストにアクセスし、編集することができます。ネットワークや組織のニーズに合わせて、一部またはすべてのルールを有効にすることができます。たとえば、Microsoft Excel などのソフトウェアを使用しているホストが絶対に監視対象ネットワーク上に出現しない場合は、Excel ベースの脅威に関係する IOC タグを有効にしないようにできます。
すべての IOC ルールはシスコで事前に定義されています。ユーザはオリジナルのルールを作成することはできませんが、トリガーされた IOC タグについてコンプライアンス ルールを作成できます。詳細については、「相関ポリシーおよび相関ルールの設定」を参照してください。各 IOC ルールはイベントの 1 つのタイプのみ(マルウェアや侵害など)でトリガーされ、特定の IOC タグに対応します。ルールとタグは簡単に対応できるよう、同じ Category、Event Type、および Description のデータを持っています。IOC ルール状態の [Edit] ページには、ルールをトリガーとして使用するために必要なシステム機能を明確にするために、各ルールの Source イベント データも表示されます。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Indications of Compromise] セクションで [Edit Rule States] をクリックします。
新しいウィンドウに [Edit Indication of Compromise Rule States] ページが表示されます。
ステップ 2 ルールの [Enabled] カラムで、スライダーをクリックして有効と無効を切り替えます。
侵害の痕跡に対するソース イベントの表示
[Indications of Compromise] セクションを使用して、ホスト上で IOC タグをトリガーとして使用したイベントへすばやくナビゲートすることができます。これらのイベントを分析すると、侵害される可能性があるホストへの脅威に対処するのに必要なアクション、およびアクションが必要かどうかを判断するための情報が提供されます。
IOC タグのタイムスタンプの隣の表示アイコン(
)をクリックすると、関連するイベント タイプのイベントのテーブル ビューにナビゲートします。ここでは、IOC タグをトリガーとして使用したイベントのみが表示されます。
IOC タグをトリガーとして使用するイベントのタイプと機能の詳細については、以下を参照してください。
• 「接続およびセキュリティ インテリジェンス のデータの使用」
[Indications of Compromise] タグのソース イベントを表示する方法
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Indications of Compromise] セクションで、調べる IOC タグの [First Seen] または [Last Seen] カラムの表示アイコン( )をクリックします。
IOC をトリガーとして使用した対象のイベントについて、イベントのテーブル ビューが表示されます。ここでは、トリガーとして使用したイベントのみが表示されます。ホスト プロファイル ページを別のウィンドウで表示している場合は、メイン ウィンドウにイベント ビューが表示されます。
侵害の痕跡を解決済みにする
IOC タグで示された脅威が分析および対処された後、または IOC タグが誤検出を示していると判断した場合、このタグを解決済みとしてマークすることができます。IOC タグを解決済みとしてマークすると、このタグがホスト プロファイルから削除されます。ホスト上でアクティブなすべての IOC タグが解決済みになると、ホストでは、侵害されたホスト アイコン( )が表示されなくなります。解決した IOC について、IOC のトリガー元であるイベントはまだ表示できることに注意してください。
イベントがホストの IOC タグを再度トリガーとして使用すると、タグがもう一度設定されます。ホスト上の個別の IOC タグを解決することも、ホスト上のすべてのタグに解決済みとマークすることもできます。
Indications of Compromise タグを解決済みにする方法
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Indications of Compromise] セクションで、次の 2 つの方法のいずれかを実行します。
• 個別の IOC タグに解決済みとマークするには、解決するタグの右にある解決のアイコン(
)をクリックします。
• ホスト上のすべての IOC タグを解決済みとマークするには、[Mark All Resolved] をクリックします。
ホスト プロファイルでのオペレーティング システムの使用
システムは、ホストで生成されたトラフィック内のネットワークおよびアプリケーション スタックを分析したり、User Agent でレポートされたホスト データを分析することによって、ホスト上で稼動しているオペレーティング システムのアイデンティティをパッシブに検出します。システムでは、他のソース(Nmap スキャナ、ホストの入力機能によりインポートされたアプリケーション データ)のオペレーティング システムの情報も照合します。どのアイデンティティを使用するかを判断する場合、システムは、各アイデンティティのソース(発生源)に割り当てられている優先度を考慮します。デフォルトでは、ユーザ入力が最も高い優先度を持ち、以降は高い順にアプリケーションまたはスキャナ ソース、シスコにより検出されたアイデンティティ、となります。
システムでは、オペレーティング システムの具体的な定義ではなく、全般的な定義を提供することがあります。これは、トラフィックおよび他のアイデンティティ ソースで、対象のアイデンティティを詳しく調べるための十分な情報が提供されないためです。システムは、できるだけ詳しい定義を使用するために、ソースの情報を照合します。
次に、ホスト プロファイルで表示されるオペレーティング システムの情報フィールドについて説明します。
すべてのソースから収集されたアイデンティティ データに基づいて、実行されている可能性が最も高いと判断されたオペレーティング システム。
オペレーティング システムが [Pending] の場合、システムはオペレーティング システムをまだ識別しておらず、他に使用可能なアイデンティティ データはありません。オペレーティング システムが [unknown] の場合、システムはオペレーティング システムを識別できず、オペレーティング システムに関して他に使用可能なアイデンティティ データはありません。
ホストのオペレーティング システムがシステムで検出可能なものでなかった場合、以下の方針のいずれかを使用できます。
–「カスタム フィンガープリントの使用」に記載されているとおりに、ホストのカスタム フィンガープリントを作成する
–「ホスト プロファイルからのホストのスキャン」に記載されているとおりに、ホストに対して Nmap スキャンを実行する
–データをネットワーク マップへインポートする(以下に記載されているホスト入力機能を使用する) FireSIGHT System Host Input API Guide
–「ホスト プロファイルでのオペレーティング システムの使用」に記載されているとおりに、オペレーティング システムの情報を手動で入力する
オペレーティング システムのバージョン。ホストがジェイルブレイクされたモバイル デバイスの場合、バージョンの後に括弧で囲まれて Jailbroken と示されます。
–Scanner: scanner_type (Nmap、またはシステム ポリシーによって追加されたスキャナ)
システムでは、オペレーティング システムのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。
ホストの脆弱性リスト、およびホストを対象とするイベントの影響の相関関係はオペレーティング システムによって異なるため、オペレーティング システムの特定の情報を手動で入力することもできます。また、オペレーティング システムに対して、サービス パックやアップデートなどの修正ファイルが適用されたことを示すことも、修正ファイルによって対処された脆弱性を無効にすることもできます。
たとえば、システムでホストのオペレーティング システムが Microsoft Windows 2003 であると特定されたが、実際にはホストが Microsoft Windows XP Professional および Service Pack 2 を実行していることがわかっている場合、オペレーティング システムのアイデンティティを実際のとおりに設定することができます。より具体的なオペレーティング システムのアイデンティティを設定すると、ホストの脆弱性のリストの精度が向上するため、対象のホストに対する影響の相関関係が、より限定的かつ正確になります。
システムでホストに対するオペレーティング システム情報が検出され、その情報が、アクティブなソースによって提供されている現行のオペレーティング システムのアイデンティティと競合している場合、アイデンティティの競合が発生します。実際にアイデンティティの競合が発生している場合、システムは脆弱性と影響の相関関係の両方のアイデンティティを使用します。
ネットワーク検出ポリシーを、NetFlow 対応のデバイスによってエクスポートされたデータに基づいて、ネットワーク マップに対してホストを追加するように設定できますが、オペレーティング システムのアイデンティティを設定していない場合は、これらのホストで使用できるオペレーティング システムのデータがありません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
オペレーティング システムを実行しているホストが、有効なネットワーク検出ポリシーのコンプライアンスのホワイト リストに違反している場合、防御センターはオペレーティング システムの情報にホワイト リストの違反アイコン(
)のマークを付けます。また、ジェイルブレイクされたモバイル デバイスが有効なホワイト リストに違反している場合、そのデバイスのオペレーティング システムの隣にアイコンが表示されます。
ホストのオペレーティング システムのアイデンティティに対して、カスタム表示文字列を設定できます。この表示文字列は、ホスト プロファイルで使用されます。
注 あるホストについてオペレーティング システムの情報を変更すると、ホストのコンプライアンス、およびコンプライアンスのホワイト リストが変わる可能性があることに注意してください。
ネットワーク デバイスに対するホスト プロファイルでは、[Operating Systems] セクションのラベルが [Systems] に変わり、[Hardware] カラムが新しく表示されます。[Systems] の下にハードウェア プラットフォームの値が表示され場合、システムは、ネットワーク デバイスの背後で 1 つ以上のモバイル デバイスが検出されたことを示しています。モバイル デバイスはハードウェア プラットフォームの情報を持っていることも、持っていないこともありますが、モバイル デバイスではないシステムではハードウェア プラットフォーム情報は検出されないことに注意してください。
オペレーティング システムのアイデンティティの表示
検出された、またはホストに追加された特定のオペレーティング システムのアイデンティティを表示することができます。システムはソースの優先度を使用して、ホストに対する現行のアイデンティティを判断します。アイデンティティのリストでは、現行のアイデンティティが太字で強調されます。
各オペレーティング システムのアイデンティティでは、ホスト プロファイルに、「ホスト プロファイルでのオペレーティング システムの使用」に記載されている情報が含まれていることがあります。
1 つのホストに対して複数のオペレーティング システムのアイデンティティが存在している場合のみ、[View] ボタンが有効になっていることに注意してください。
ホストに対するオペレーティング システムのアイデンティティ リストを表示する方法
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Operating System] または [Operating System Conflicts] セクションで [View] をクリックします。
[Operating System Identity Information] ポップアップ ウィンドウが表示されます。
ヒント いずれかのオペレーティング システムのアイデンティティの隣にある削除アイコン(
)をクリックして、[Operating System Identity Information] ポップアップ ウィンドウからアイデンティティを削除するか、または可能な場合は、ホスト プロファイルのオペレーティング システムについて現行のアイデンティティを更新します。シスコが検出したオペレーティング システムのアイデンティティは、削除できないことに注意してください。
オペレーティング システムの編集
FireSIGHT システム Web インターフェイスを使用して、ホストに対する現行のオペレーティング システムのアイデンティティを設定できます。Web インターフェイスを介してアイデンティティを設定すると、他のすべてのアイデンティティ ソースが上書きされるため、このアイデンティティが、脆弱性の評価および影響の相関関係で使用されます。ただし、オペレーティング システムを編集した後で、ホストに対するオペレーティング システムのアイデンティティの競合がシステムで検出された場合、オペレーティング システムの競合が発生することに注意してください。
競合が解決されるまで、両方のオペレーティング システムが現行のものであるとみなされます。詳細については、「オペレーティング システムのアイデンティティの競合を解決する」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Operating System] セクションで [Edit] をクリックします。
ポップアップ ウィンドウが表示され、ここでオペレーティング システムのアイデンティティを設定することができます。
• [OS Definition] ドロップダウン リストから [Current Definition] を選択し、ホスト入力による現行のオペレーティング システムのアイデンティティを確認して、 6 の手順へ進む。
• [OS Definition] ドロップダウン リストから現行のオペレーティング システムのアイデンティティのバリエーションを選択し、 6 の手順へ進む。
• [OS Definition] ドロップダウン リストから [User-Defined] を選択し、続いて 3 の手順を行う。
ステップ 3 オプションとして、[Use Custom Display String] を選択し、[Vendor String]、[Product String]、および [Version String] フィールドで表示するカスタム文字列を修正します。
ステップ 4 オプションで別のベンダーからオペレーティング システムを変更するには、[Vendor] および [Product] ドロップダウン リストから、ベンダーおよび他のオペレーティング システムの詳細を選択します。
ステップ 5 オプションでオペレーティング システムの製品リリース レベルを設定するには、[Major]、[Minor]、[Revision]、[Build]、[Patch] および [Extension] ドロップダウン リストから対象のアイテムを選択します。
ステップ 6 オプションで、オペレーティング システムに対して修正ファイルが適用されたことを示す場合は、[Configure Fixes] をクリックします。
ステップ 7 ドロップダウン リストから適用可能な修正を選択し、[Add] をクリックします。
ステップ 8 オプションで、[Patch] および [Extension] ドロップダウン リストを使用して、対象のパッチおよび拡張機能を追加します。
ステップ 9 [Finish] をクリックして、オペレーティング システムのアイデンティティの設定を完了します。
オペレーティング システムのアイデンティティの競合を解決する
システムで検出された新しいアイデンティティと現行のアイデンティティが競合しており、そのアイデンティティが、スキャナやアプリケーション、ユーザなどのアクティブなソースによって提供されていた場合、オペレーティング システムのアイデンティティで競合が発生します。
ホスト プロファイルでは、競合状態のオペレーティング システムのアイデンティティのリストは太字で表示されます。
システムの Web インターフェイスを介して、アイデンティティの競合を解決し、ホストに対する現行のオペレーティング システムのアイデンティティを設定することができます。Web インターフェイスを介してアイデンティティを設定すると、他のすべてのアイデンティティ ソースが上書きされるため、このアイデンティティが、脆弱性の評価および影響の相関関係で使用されます。
競合しているアイデンティティのいずれかを現行のアイデンティティにする方法
アクセス:Admin/Any Security Analyst
• ホストのオペレーティング システムとして設定するオペレーティング システムのアイデンティティの隣にある、[Make Current] をクリックします。
• アクティブなソースで、現行のアイデンティティとして使用 しない アイデンティティが表示された場合は、使用しないアイデンティティを削除します。
オペレーティング システムのアイデンティティの競合を解決する方法
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Operating System Conflicts] セクションで [Resolve] をクリックします。
ポップアップ ウィンドウが表示され、ここで現行のオペレーティング システムのアイデンティティを設定することができます。
• [OS Definition] ドロップダウン リストから [Current Definition] を選択し、ホスト入力による現行のオペレーティング システムのアイデンティティを確認して、 6 の手順へ進む。
• [OS Definition] ドロップダウン リストから、競合しているオペレーティング システムのアイデンティティのいずれかのバリエーションを選択し、 6 の手順へ進む。
• [OS Definition] ドロップダウン リストから [User-Defined] を選択し、続いて 3 の手順を行う。
ステップ 3 オプションとして、[Use Custom Display String] を選択し、[Vendor String]、[Product String]、および [Version String] フィールドで表示するカスタム文字列を入力します。
ステップ 4 オプションで別のベンダーからオペレーティング システムを変更するには、ベンダーおよび他のオペレーティング システムの詳細を選択します。
ステップ 5 オプションでオペレーティング システムの製品リリース レベルを設定するには、[Major]、[Minor]、[Revision]、[Build]、[Patch] および [Extension] ドロップダウン リストから対象のアイテムを選択します。
ステップ 6 オプションで、オペレーティング システムに対して修正ファイルが適用されたことを示す場合は、[Configure Fixes] をクリックします。
ステップ 7 適用した修正ファイルを、修正ファイル リストに追加します。
ステップ 8 [Finish] をクリックして、オペレーティング システムのアイデンティティの設定を終了し、ホスト プロファイルに戻ります。
ホスト プロファイルでのサーバの使用
システムが、モニタリング対象のネットワーク上のホストで稼動しているサーバを検出した場合、またはホストの入力機能、スキャナ、他の有効なソースを介してサーバが追加された場合は、防御センターは、ホスト プロファイルの [Servers] セクションにこれらのサーバを表示します。
防御センターは 1 つのホストにつき最大 100 台のサーバを表示します。100 個の制限に達すると、ホストからサーバを削除するか、またはサーバがタイム アウトになるまで、いずれかのソースの新しいサーバ情報は、アクティブであってもパッシブであっても廃棄されます。詳細については、「ホスト制限と検出イベント ロギング」を参照してください。
Nmap を使用してホストをスキャンすると、オープンな TCP ポート上で稼動している、検出されなかったサーバの結果が Nmap によって Servers リストに追加されます。ホストで Nmap スキャンを実行した場合、または Nmap の結果をインポートした場合、ホスト プロファイルに拡張可能な [Scan Results] セクションも表示され、Nmap スキャンによってホスト上で検出されたサーバ情報が示されます。詳細については、「ホスト プロファイルでのスキャン結果の使用」および「Nmap スキャンのセットアップ」を参照してください。ネットワーク マップからホストが削除されると、ホストのそのサーバに対する Nmap スキャンの結果は廃棄されることに注意してください。
注 NetFlow 対応のデバイスによってエクスポートされたデータに基づいて、サーバとクライアントをネットワーク マップに追加するようネットワーク検出ポリシーを設定することができますが、これらのアプリケーションについて利用できる情報は限定的です。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
ホスト プロファイルでサーバを使用するためのプロセスは、ユーザがプロファイルにアクセスした方法によって異なります。
• Servers ネットワーク マップを介したドリル ダウンによりホスト プロファイルにアクセスした場合は、サーバの名前が太字で強調されて、サーバの詳細が表示されます。ホストの他のサーバについて詳細を表示する場合は、対象のサーバ名の隣にある表示アイコン( )をクリックします。
• 他の方法でホスト プロファイルにアクセスした場合は、[Servers] セクションを展開し、詳細を表示するサーバの隣にある表示アイコン( )をクリックします。
• ホスト上の特定のサーバに関連付けられている接続イベントを分析するには、サーバの隣にあるイベント アイコンをクリックします。
接続イベントに対する優先ワークフロー最初のページが表示され、ホストの IP アドレスの他、サーバのポートおよびプロトコルで制約されて接続イベントが示されます。接続イベントに対する優先ワークフローがない場合、ワークフローを選択する必要があります。接続データの詳細については、「接続およびセキュリティ インテリジェンス のデータの使用」を参照してください。
• ホスト プロファイルからサーバを削除するには、サーバの隣にある削除アイコン( )をクリックします。
サーバはホスト プロファイルから削除されますが、システムがサーバからトラフィックを再度検出すると、そのサーバがもう一度表示されます。ホストからサーバを削除すると、そのホストにホワイト リストのコンプライアンスが適用されることがあります。
• サーバのアイデンティティの競合を解決するには、サーバの隣にある解決のアイコンをクリックします。
競合しているアイデンティティのいずれかを選択して、これらのアイデンティティのいずれか 1 つのバリエーションを選択するか、またはユーザ定義の新しいアイデンティティを設定することができます。
• サーバのアイデンティティを編集するには、サーバの隣にある編集アイコン(
)をクリックします。
現行のアイデンティティ、またはアイデンティティのバリエーションを選択することも、ユーザ定義の新しいアイデンティティを設定することもできます。
次に、[Servers list] の列について説明します。
–[pending]:システムで、いずれかの理由のでアプリケーション プロトコルをポジティブまたはネガティブに識別できない場合
–[unknown]:既知のアプリケーション プロトコルのフィンガープリントに基づいてシステムでアプリケーション プロトコルを識別できない場合、または(対応するサーバは追加せずに、ポート情報での脆弱性を追加することにより)ホストの入力を介してサーバが追加された場合
アプリケーション プロトコルの名前にマウスを重ねると、タグが表示されます。タグの詳細については、「アプリケーション検出について」を参照してください。
FireSIGHT システム、Nmap、または他のアクティブなソースで識別されたベンダーとバージョン、またはホストの入力機能を介して取得したベンダーとバージョン。有効なソースで識別が行われなかった場合、フィールドは空白になります。
ホストが、有効な相関ポリシーにおけるコンプライアンスのホワイト リストに違反しているサーバを実行している場合、防御センターは非準拠サーバに、ホワイト リストの違反アイコン( )のマークを付けます。
• 「サーバの詳細」
サーバの詳細
防御センターは、1 つのサーバについてパッシブに検出される(シスコまたは NetFlow で検出される)アイデンティティを最大 16 個表示します。システムで、このサーバの複数のベンダーまたはバージョンを検出した場合、サーバは複数のパッシブなアイデンティティを持つことができます。たとえば、Web サーバが、サーバ ソフトウェアと同じバージョンを実行していない場合、管理対象デバイスと Web サーバ ファーム間にロード バランサがあると、HTTP に対してシステムが複数のパッシブ アイデンティティを識別することがあります。防御センターは、ユーザ入力、スキャナ、その他のアプリケーションなど、アクティブなソースからのサーバ アイデンティティの数を制限することはありません。
防御センターは現行のアイデンティティを太字で表示します。システムでは、1 つのホストに対する脆弱性の割り当て、影響の評価、ホスト プロファイルの証明書およびコンプライアンス ホワイト リストに対して記載された相関ルールの評価など、いくつかの目的のためにサーバの現行のアイデンティティを使用します。
ヒント サーバの詳細からのサーバ アイデンティティの変更、およびアイデンティティの競合の解決については、「サーバのアイデンティティの編集」および「サーバ アイデンティティの競合の解決」を参照してください。
サーバの詳細には、選択されたサーバについて知られている、更新済みのサブサーバ情報が表示されることがあります。最後に、サーバの詳細にサーバのバナーが表示されることがあります。これは、ホスト プロファイルからサーバを表示したときに、サーバの詳細の下に表示されます。
サーバのバナーは、サーバを識別するのに役立つサーバに関する追加情報を提供します。攻撃者がサーバのバナー文字列を意図的に変更した場合、システムは誤ったアイデンティティが示されたサーバを識別または検出できません。サーバのバナーには、そのサーバについて検出された最初のパケットの最初の 256 文字が表示されます。この情報は、サーバがシステムによって最初に検出されたときに一度だけ収集されます。バナーの内容は 2 列で表示されます。左側の列は 16 進表記で示され、右側の列は対応する ASCII 表記で示されます。
注 サーバのバナーを表示するには、ネットワーク検出ポリシーで [Capture Banners] チェック ボックスを有効にする必要があります。このオプションは、デフォルトで無効です。
シスコの管理対象デバイスまたは Nmap によってサーバが検出された回数。ホストの入力によってインポートされたサーバについては、システムがそのサーバについてトラフィックを検出しない場合、検出回数は 0 になることに注意してください。
サーバが最後に検出された日時。システムで対象のサーバについて新しいトラフィックを検出しない場合、ホスト入力のデータが最後に使用された時間は、データの最初のインポート時間を反映していることに注意してください。また、ホストの入力機能を介してインポートされたスキャナおよびアプリケーションのデータは、システム ポリシーの設定に従ってタイムアウトになりますが、防御センターの Web インターフェイスを介したユーザ入力はタイムアウトにならないことに注意してください。
サーバによって使用されるアプリケーション プロトコルの名前(既知の場合)。
サーバのベンダー。ベンダーがわからない場合、このフィールドは表示されません。
サーバのバージョン。バージョンがわからない場合、このフィールドは表示されません。
–Scanner: scanner_type (Nmap、またはシステム ポリシーによって追加されたスキャナ)
– FireSIGHT 、 FireSIGHTPort Match 、または FireSIGHT Pattern Match (シスコが検出したアプリケーションの場合)
– NetFlow (NetFlow データに基づいてネットワーク マップに追加されたサーバの場合)
システムでは、サーバのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Servers] セクションで、サーバの隣にある表示アイコン( )をクリックします。
[Server Detail] ポップアップ ウィンドウが表示されます。
サーバのアイデンティティの編集
ホスト上のサーバのアイデンティティ設定を手動で更新し、修正ファイルによって対処された脆弱性を削除するために、ホストに適用した何らかの修正ファイルを設定することができます。サーバのアイデンティティを削除することもできます。
アイデンティティを削除しても、(アイデンティティが 1 つしかない場合でも)サーバは削除されないことに注意してください。アイデンティティを削除すると、[Server Detail] ポップアップ ウィンドウからアイデンティティが削除されます。可能な場合は、ホスト プロファイルでそのサーバの現行のアイデンティティを更新します。
シスコの管理対象デバイスによって追加されたサーバのアイデンティティは、編集または削除できません。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Servers] セクションで、[View] をクリックして [Server Detail] ポップアップ ウィンドウを表示します。
• サーバのアイデンティティを削除するには、削除するサーバ アイデンティティの隣にある削除アイコン( )をクリックします。
• サーバのアイデンティティを変更するには、サーバ リストでサーバの隣にある編集アイコン(
)をクリックします。
[Server Identity] ポップアップ ウィンドウが表示されます。
• [Select Server Type] ドロップダウン リストから現行の定義を選択します。
• [Select Server Type] ドロップダウン リストからサーバのタイプを選択します。
ステップ 4 オプションで対象のサーバ タイプのベンダーと製品のみを表示するには、[Restrict by Server Type] チェック ボックスをオンにします。
ステップ 5 オプションでサーバの名前とバージョンをカスタマイズするには、[Use Custom Display String] を選択し、[Vendor String] と [Version String] に入力します。
ステップ 6 [Product Mappings] セクションで、使用するオペレーティング システム、製品、およびバージョンを選択します。
たとえば、サーバを Red Hat Linux 9 へマップする場合は、ベンダーとして [Redhat, Inc.] を、製品として [Redhat Linux] を選択し、バージョンとして [9] を選択します。
ステップ 7 サーバに対して修正ファイルが適用されていることを示す場合は、[Configure Fixes] をクリックします。それ以外の場合は、 9 の手順に進みます。
[Available Package Fixes] ページが表示されます。
ステップ 8 サーバに適用するパッチを、修正ファイル リストに追加します。
ステップ 9 [Finish] をクリックしてサーバ アイデンティティの設定を完了します。
サーバ アイデンティティの競合の解決
アプリケーションやスキャナなどのアクティブなソースが、サーバのアイデンティティ データをホストへ追加したときに、サーバ アイデンティティの競合が発生した場合、システムは競合しているサーバ アイデンティティを示しているポートのトラフィックを検出します。
アクセス:Admin/Any Security Analyst
ステップ 1 [Server] リストで、サーバの隣にある解決のアイコンをクリックします。
[Server Identity] ポップアップ ウィンドウが表示されます。
ステップ 2 [Select Server Type] ドロップダウン リストからサーバのタイプを選択します。
ステップ 3 オプションで対象のサーバ タイプのベンダーと製品のみを表示するには、[Restrict by Server Type] チェック ボックスをオンにします。
ステップ 4 オプションでサーバの名前とバージョンをカスタマイズするには、[Use Custom Display String] を選択し、[Vendor String] と [Version String] に入力します。
ステップ 5 [Product Mappings] セクションで、使用するオペレーティング システム、製品、およびバージョンを選択します。
たとえば、サーバを Red Hat Linux 9 へマップする場合は、ベンダーとして [Redhat, Inc.] を、製品として [Redhat Linux] を選択し、バージョンとして [9] を選択します。
ステップ 6 サーバに対して修正ファイルが適用されていることを示す場合は、[Configure Fixes] をクリックします。それ以外の場合は、 9 の手順に進みます。
[Available Package Fixes] ページが表示されます。
ステップ 7 サーバに適用するパッチを、修正ファイル リストに追加します。
ステップ 8 [Finish] をクリックしてサーバ アイデンティティの設定を完了し、ホスト プロファイルへ戻ります。
ホスト プロファイルでのアプリケーションの使用
ホスト プロファイルで、ホスト上で稼動しているアプリケーションを表示することができます。ホスト プロファイルからアプリケーションを削除する場合は、そのアプリケーションを削除します。
ホスト プロファイルでのアプリケーションの管理については、以下を参照してください。
ホスト プロファイルでのアプリケーションの表示
システムは、ネットワーク上のホストで稼動しているさまざまなクライアントと Web アプリケーションを検出できます。
注 モニタリング対象のネットワーク内のホストでアプリケーションを検出するには、システムのネットワーク検出ポリシー内の NetFlow デバイスに対するディスカバリ ルールで、[Applications] チェック ボックスをオンにする必要があります。このオプションは、NetFlow ルールではデフォルトで有効になっており、管理対象デバイスを介した検出で使用されるルールに対しては無効にすることはできません。
ホスト プロファイルは、ホスト上で検出されたアプリケーションの製品とバージョン、使用できるクライアントまたは Web アプリケーションの情報、およびアプリケーションが最後に使用中であると検出された時間を表示します。
防御センターは、ホスト上で稼動している最大 16 個のクライアントを表示します。16 個の制限に達すると、ユーザがホストからクライアント アプリケーションを削除するか、または非アクティブである(クライアントがタイムアウトしている)ためにシステムによってホスト プロファイルからクライアントが削除されるまで、新しいクライアント情報は、どのソースのものであるか、アクティブかパッシブかにかかわらず、廃棄されます。
また、検出されたそれぞれの Web ブラウザについてホスト プロファイルは、アクセスされた最初の 100 個の Web アプリケーションを表示します。この制限に達すると、ブラウザに関連付けられている新しい Web アプリケーションは、どのソースのものであるか、アクティブかパッシブかにかかわらず、次の条件を満たすまで廃棄されます。
• Web ブラウザのクライアント アプリケーションがタイムアウトになる、または
• ユーザが、Web アプリケーションに関連付けられているアプリケーション情報をホスト プロファイルから削除する
次に、ホスト プロファイルに表示されるアプリケーション情報について説明します。
アプリケーション(HTTP ブラウザ、DNS クライアントなど)で使用されるアプリケーション プロトコルを表示します。
FireSIGHT システムで識別された場合、Nmap または他のアクティブなソースで取得された場合、あるいはホストの入力機能を介して取得された場合に、ペイロードから派生したクライアント情報。有効なソースで識別が行われなかった場合、フィールドは空白になります。
Web ブラウザ の場合は、http トラフィックでシステムによって検出されたコンテンツ。Web アプリケーションの情報は、FireSIGHT システムによって識別された、Nmap によって取得された、他のアクティブなソースによって取得された、またはホストの入力機能を介して取得された特定のタイプのコンテンツ(WMV や QuickTime など)を表します。有効なソースで識別が行われなかった場合、フィールドは空白になります。
ホストが、有効な相関ポリシーにおけるコンプライアンスのホワイト リストに違反しているアプリケーションを実行している場合、防御センターは非準拠アプリケーションに、ホワイト リストの違反アイコン( )のマークを付けます。
ホスト上の特定のアプリケーションに関連付けられている接続イベントを分析するには、アプリケーションの隣にあるイベント アイコン()
)をクリックします。接続イベントに対する優先ワークフロー最初のページが表示され、ホストの IP アドレスの他、アプリケーションのタイプ、プロトコル、およびバージョンで制約されて接続イベントが示されます。接続イベントに対する優先ワークフローがない場合、ワークフローを選択する必要があります。接続データの詳細については、「接続およびセキュリティ インテリジェンス のデータの使用」を参照してください。
ホスト プロファイルからのアプリケーションの削除
ホスト プロファイルからアプリケーションを削除して、ホスト上で稼動していないことがわかっているアプリケーションを削除することができます。ホストからアプリケーションを削除すると、そのホストにホワイト リストのコンプライアンスが適用されることがあります。
注 システムでアプリケーションが再検出されると、アプリケーションはネットワーク マップおよびホスト プロファイルに再度追加されます。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Applications] セクションで、削除するアプリケーションの隣にある削除アイコン( )をクリックします。
ホスト プロファイルでの VLAN タグの使用
ホストが仮想 LAN(VLAN)のメンバである場合、ホスト プロファイルの [VLAN Tag] セクションが表示されます。
物理ネットワーク機器は、多くの場合に VLAN を使用して、さまざまなネットワーク ブロックから論理ネットワーク セグメントを作成します。システムは 802.1q VLAN タグを検出し、それぞれに対して以下の情報を表示します。
• [VLAN ID] は、ホストがメンバである VLAN を表します。これは、802.1q VLAN の場合、0~4095の任意の整数となります。
• [Type] は、VLAN タグが含まれている、カプセル化されたパケットを表します。値は Ethernet または Token Ring となります。
• [Priority] は、VLAN タグの優先度を表します。これは 0~7 の任意の整数で、7 は最も高い優先度です。
VLAN タグがパケット内でネスト構造になっている場合、システムは最も内側の VLAN タグを処理し、防御センターは最も内側の VLAN タグを表示します。システムは、ARP および DHCP トラフィックを通じて識別される MAC アドレスのみの VLAN タグ情報を収集し、防御センターはこれらのタグを表示します。
たとえば全体がプリンタで構成されている VLAN があり、システムがこの VLAN で Microsoft Windows 2000 のオペレーティング システムを検出した場合などは、VLAN タグ情報が有用です。VLAN 情報により、システムはより正確なネットワーク マップを生成できるようになります。
ホスト プロファイルでのユーザ履歴の使用
ホスト プロファイルのユーザ履歴の部分は、最後の 24 時間に行われたユーザ アクティビティをグラフィックで表示します。一般的なユーザは夜間にログオフし、他のユーザとホストのリソースを共有します。電子メールのチェックなどの目的で行われる定期的なログインの要求は、短い標準の棒で示されます。ユーザのアイデンティティ リストは棒グラフで提示され、ユーザのログインが検出されたタイミングを示します。権限のないログインの場合は、棒グラフがグレーになっていることに注意してください。
システムは、ホストに対する権限を持たないユーザのログインを、そのホストの IP アドレスに関連付けて、ホストのユーザ履歴にユーザが表示されるようにします。ただし、同じホストに対して権限を持つユーザのログインが検出されると、権限を持つユーザのログインに関連付けられているユーザは、ホスト IP アドレスとの関連を引き継ぎます。権限を持たない別のユーザがログインしても、ホスト IP アドレスとユーザとの関係付けは解消されません。ユーザのタイプの詳細については、「ユーザ データベース」を参照してください。ネットワーク検出ポリシーで、失敗したログインのキャプチャを設定した場合、リストには、ホストへのログインに失敗したユーザが含まれます。
ホスト プロファイルでのホスト属性の使用
ホスト属性 を使用して、ネットワーク環境にとって重要な方法でホストを分類することができます。ホスト属性の値として、正の整数、文字列、または URL を使用できます。また、文字列の値のリストを作成し、ホスト IP アドレスに基づいて、それらを自動的に割り当てることができます。ユーザ定義のホスト属性の作成および管理の詳細については、「ユーザ定義のホスト属性の使用」を参照してください。
FireSIGHT システムには、Host Criticality と Notes の 2 つの定義済みのホスト属性が含まれています。これらの定義済みホスト属性の使用については、「事前定義のホスト属性の使用」を参照してください。
また、ユーザがコンプライアンス ホワイト リストを作成すると、ホワイト リストと同じ名前のホスト属性が自動的に作成されます。使用できる値は、Compliant(ホワイト リストに準拠しているホストの場合)、Non-Compliant(ホワイト リストに違反しているホストの場合)、または Not Evaluated(ホワイト リストの正当な対象ではないホスト、または何らかの理由で評価されないホストの場合)です。ホワイト リストのホスト属性の値は、手動で変更 できません 。ホワイト リストの詳細については、「FireSIGHT システムのコンプライアンス ツールとしての使用」を参照してください。
ホスト属性の値の割り当て
既存のホスト属性の値として、正の整数、文字列、または URL を指定できます。
ヒント ホスト プロファイルのページの [Attributes] セクションの [Edit] リンクをクリックして、ホストのホスト属性を簡単に割り当てることができます。これにより、すべてのホスト属性のフィールドが含まれているポップアップ ウィンドウが起動されます。
アクセス:Admin/Any Security Analyst
ステップ 2 [Attributes] の下で、値を割り当てるホスト属性の名前をクリックします。
ステップ 3 属性の値を入力するか、またはドロップダウン リストから値を選択します。
ホスト プロファイルでのホスト プロトコルの使用
ホスト プロファイルで、ホスト上で稼動しているプロトコルを表示することができます。必要に応じて、特定のホストに対するホスト プロトコルをプロファイルから削除することもできます。
各ホスト プロファイルには、ホストに関連付けられているネットワーク トラフィックで検出されたプロトコルに関する情報が含まれています。
次に、プロトコルとネットワークのレイヤ情報について説明します。
プロトコルを実行しているネットワーク層( ネットワーク または トランスポート )。
ホストが、有効な相関ポリシーにおけるコンプライアンスのホワイト リストに違反しているプロトコルを実行している場合、防御センターは非準拠プロトコルに、ホワイト リストの違反アイコン(防御センター)のマークを付けます。防御センター
ホスト プロファイルからプロトコルを削除して、ホスト上で稼動していないことがわかっているプロトコルを削除することができます。ホストからプロトコルを削除すると、そのホストにホワイト リストのコンプライアンスが適用されることがあります。
注 システムでプロトコルが再検出されると、プロトコルはネットワーク マップおよびホスト プロファイルに再度追加されます。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト プロファイルの [Protocols] セクションで、削除するプロトコルの隣にある削除アイコン( )をクリックします。
ホスト プロファイルにおけるホワイト リスト違反の使用
コンプライアンス ホワイト リスト (または ホワイト リスト )は一連の基準で、ユーザはこれを使用して、特定のサブネット上での実行が許可されるオペレーティング システム、アプリケーション プロトコル、クライアント、Web アプリケーション、およびプロトコルを指定することができます。
アクティブな相関ポリシーにホワイト リストを追加した場合に、システムでホワイト リストに違反しているホストが検出されると、防御センターはホワイト リストのイベント(相関イベントの特別な種類)をデータベースに記録します。これらのホワイト リスト イベントはそれぞれ ホワイト リスト違反 に関連付けられます。これには、特定のホストがどのようにホワイト リストに違反しているか、および違反している理由が含まれています。あるホストが 1 つ以上のホワイト リストに違反している場合、ホスト プロファイルにおいて、2 つの方法でこれらの違反を参照することができます。
最初に、ホスト プロファイルに、ホストに関連付けられている個々のホワイト リストの違反がすべて一覧表示されます。
次に、ホスト プロファイルにおけるホワイト リスト違反の情報について説明します。
違反のタイプ(つまり、違反がオペレーティング システム、アプリケーション、サーバ、またはプロトコルの非準拠の結果として生じたかどうか)。
違反についての特別な理由。たとえば、Microsoft Windows のホストのみを許可するホワイト リストがある場合、ホスト プロファイルには、ホストで稼動している現行のオペレーティング システム( Linux Linux 2.4、2.6 など)が表示されます。
次に、オペレーティング システム、アプリケーション、プロトコル、およびサーバに関連付けられているセクションで、防御センターは、非準拠の要素にホワイト リスト違反のアイコン(
)のマークを付けます。たとえば、Microsoft Windows ホストのみを許可するようなホワイト リストでは、ホスト プロファイルは、ホストのオペレーティング システム情報の隣にホワイト リスト違反のアイコンを表示します。
ホストのプロファイルを使用して、コンプライアンス ホワイト リストに対して共有のホスト プロファイルを作成できることに注意してください。詳細は、次の項、 ホスト プロファイルからのホワイト リスト ホスト プロファイルの作成を参照してください。
ホスト プロファイルからのホワイト リスト ホスト プロファイルの作成
コンプライアンス ホワイト リストに対する共有ホスト プロファイルは、複数のホワイト リストをまたがるターゲット ホスト上で実行を許可されるオペレーティング システム、アプリケーション プロトコル、クライアント、Web アプリケーション、およびプロトコルを指定します。つまり、複数のホワイト リストを作成するが、同じホスト プロファイルを使用して複数のホワイト リストで特定のオペレーティング システムを実行するホストを評価する場合は、共有のホスト プロファイルを使用します。
既知の IP アドレスを持つ任意のホストのホスト プロファイルを使用して、コンプライアンス ホワイト リストで使用できる共有ホスト プロファイルを作成することができます。ただし、システムでホストのオペレーティング システムをまだ特定していない場合は、個々のホストのホスト プロファイルに基づいて共有ホスト プロファイルを作成することはできないことに注意してください。
ホスト プロファイルに基づいてコンプライアンス ホワイト リストに対する共有ホスト プロファイルを作成する方法
ステップ 1 任意のネットワーク マップまたはイベント ビューからホスト プロファイルにアクセスします。
詳細については、「ホスト プロファイルの表示」を参照してください。
ステップ 2 [Generate White List Profile] をクリックします。
[Edit Shared Profiles] ページが表示されます。ページのフィールドには、アクセスしたホスト プロファイルの情報に基づいて値が挿入されています。
ステップ 3 特別なニーズに応じて、共有ホスト プロファイルを変更し、保存します。
コンプライアンス ホワイト リストに対する共有ホスト プロファイルの作成については、「共有ホスト プロファイルの操作」を参照してください。
ホスト プロファイルでのマルウェア検出の使用
[Most Recent Malware Detections] セクションには、ホストがマルウェア ファイルを送信または受信した、最近のマルウェア イベントが最大 100 個表示されます。ホスト プロファイルは、ネットワークベースのマルウェア イベントとエンドポイントベースのマルウェア イベントの両方を表示します。
ファイルが遡ってマルウェアと識別されたファイル イベントにホストが関係している場合、ファイルが送信された元のイベントは、マルウェアの特定が行われた後で、マルウェアの検出リストに表示されます。マルウェアとして識別されたファイルが、マルウェアではないと遡って判断された場合、そのファイルに関連するマルウェア イベントはリストには表示されなくなります。たとえば、ファイルに Malware の処理が含まれており、その処理が Clean に変わった場合、そのファイルのイベントは、ホスト プロファイル上のマルウェア検出リストから削除されます。マルウェア イベントの詳細については、「マルウェア イベントの操作」を参照してください。
次に、ホスト プロファイルの [Most Recent Malware Detections] セクションのカラムについて説明します。
ファイルがマルウェアであると遡って特定されたイベントでは、これはマルウェアが特定された時刻ではなく、元のイベントの時刻であることに注意してください。
検出されたマルウェアの伝送におけるホストの役割(送信者または受信者)。エンドポイントベースのマルウェア イベントの場合は、ホストは常に受信者であることに注意してください。
ホスト プロファイルでマルウェアの検出を表示する場合は、イベント ビューアで、そのホストのマルウェア イベントを表示できます。イベントを表示するには、マルウェアのアイコン(
)をクリックします。
ホスト プロファイルでの脆弱性の使用
ホスト プロファイルの [Vulnerabilities] セクションには、ホストに影響を与える脆弱性が示されます。
[Sourcefire Vulnerabilities] セクションには、システムがホスト上で検出したオペレーティング システム、サーバ、およびアプリケーションに基づいた脆弱性が示されます。
ホストのオペレーティング システムのアイデンティティ、またはホスト上のアプリケーション プロトコルのアイデンティティのいずれかで、アイデンティティの競合が発生している場合、システムは、競合が解決するまで両方のアイデンティティに対して脆弱性を表示します。
NetFlow データに基づいてネットワーク マップに追加されたホストで使用できるオペレーティング システムの情報がないため、ホストの入力機能を使用してホストのオペレーティング システムのアイデンティティを手動で設定しない限り、防御センターはどの脆弱性がホストに影響を与えるかを判断できません。
サーバのベンダーおよびバージョンの情報は、ほとんどの場合はトラフィックに含まれていません。デフォルトでは、システムはこのようなトラフィックの送信側および受信側に対して、関連付けられている脆弱性をマップしません。ただし、システム ポリシーを使用して、ベンダーまたはバージョンの情報を持たない特定のアプリケーション プロトコルに対して脆弱性をマップするよう、システムを設定することができます。詳細については、「サーバの脆弱性のマッピング」を参照してください。
ホストの入力機能を使用して、ネットワーク上のホストにサードパーティの脆弱性情報を追加すると、追加の [Vulnerabilities] セクションが表示されます。たとえば QualysGuard Scanner から脆弱性をインポートすると、ホスト プロファイルには [QualysGuard Vulnerabilities] セクションが含まれます。
サードパーティの脆弱性をオペレーティング システムおよびアプリケーション プロトコルと関連付けることはできますが、クライアントに関連付けることはできません。サードパーティの脆弱性のインポートについては、『 FireSIGHT System Host Input API Guide 』を参照してください。
次に、ホスト プロファイルの [Vulnerabilities] セクションのカラムについて説明します。
脆弱性がリモートで不正利用される可能性があるかどうかを示します。この列が空白の場合、脆弱性の定義にはこの情報は含まれていません。
脆弱性に関連付けられているオペレーティング システム、アプリケーション プロトコル、またはクライアントの名前。
ポート番号(脆弱性が、特定のポート上で実行されているアプリケーション プロトコルに関連付けられている場合)。
サードパーティの脆弱性の場合は、ホスト プロファイルの対応する [Vulnerabilities] セクションの情報は、ホストの入力機能を使用して脆弱性データをインポートしたときに提供した情報に制限されます。
ホスト プロファイルで脆弱性を表示する場合には、次のことが可能です。
• 列見出しをクリックして、[Vulnerabilities] セクションの列をソートする。ソートを元に戻すには、もう一度クリックします。
• 脆弱性の名前をクリックして、脆弱性に関する技術的な詳細(既知の解決方法など)を表示する。詳細については、「脆弱性の詳細の表示」を参照してください。脆弱性のイベント ビュー、または Vulnerabilities ネットワーク マップから、脆弱性の詳細にアクセスできることに注意してください。
• 脆弱性が、影響の相関関係を評価するために使用されないようにする。詳細については、「脆弱性の Impact Qualification の設定」を参照してください。
• ネットワーク上のホストで検出された脆弱性を軽減するためのパッチをダウンロードする。詳細については、「脆弱性に対するパッチのダウンロード」を参照してください。
• ホストにパッチが適用されたことがわかっている場合は、個々の脆弱性について脆弱ではないとホストをマークする。詳細については、「個々のホストに対する脆弱性の設定」を参照してください。
脆弱性の詳細の表示
脆弱性の詳細には、脆弱性および既知の解決方法に関する技術的な説明が含まれています。
特定の脆弱性について脆弱性の詳細にアクセスするには、[Analysis] > [Vulnerabilities]、または [Analysis] > [Third-Party Vulnerabilities] を選択し、SVID の隣の表示アイコン( )をクリックします。ネットワーク マップおよびホスト プロファイルから脆弱性の詳細にアクセスすることもできます。
次に、[Vulnerability Detail] ページのフィールドについて説明します。
脆弱性を追跡するためにシステムで使用する識別番号(SVID)。
Snort ID(SID)データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できる場合、その脆弱性は侵入ルールの SID に関連付けられます。
脆弱性は複数の SID に関連付けることが可能(または SID に関連付けないことも可能)であることに注意してください。脆弱性に関連付けられている SID がない場合は、このフィールドは表示されません。
Bugtraq データベースにおいて脆弱性に関連付けられている識別番号(http://www.securityfocus.com/bid)。
MITRE の Common Vulnerabilities および Exposures(CVE)データベースにおいて、脆弱性に関連付けられている識別番号(http://www.cve.mitre.org/)。
ドロップダウン リストを使用して、脆弱性を有効または無効にします。防御センターは、影響の相関関係において、無効な脆弱性を無視します。
ユーザがここで指定する設定によって、システム全体で脆弱性がどのように処理されるか、およびユーザが値を選択するホスト プロファイルに脆弱性が限定されないかが決まります。この機能を使用して脆弱性を有効および無効にするための情報については、「脆弱性の Impact Qualification の設定」を参照してください。
Bugtraq データベースにおいて脆弱性に割り当てられている重大度。1~10の値で、10 は最も重大であることを示します。脆弱性の影響は、Bugtraq エントリの作成者によって決定されます。この作成者は、SANS Critical Vulnerability Analysis(CVA)の基準に従い、自身の判断に基づいて脆弱性の影響レベルを決定します。
既知の不正利用や可用性、不正利用のシナリオ、脆弱性を軽減する方針など、脆弱性に関する追加情報を(利用可能な場合に)表示するには、矢印をクリックします。
選択した脆弱性に対して、ダウンロード可能なパッチへのリンクを提供します。
ヒント 修正ファイルまたはパッチのダウンロードに対する直接リンクが表示されている場合は、リンクを右クリックして、自分のローカル コンピュータへ保存します。
脆弱性の Impact Qualification の設定
システムが、ネットワークに対して適用されない脆弱性を報告した場合は、影響フラグの相関を評価するのに脆弱性が使用されないようにすることができます。ホスト プロファイルで脆弱性を非アクティブにした場合、ネットワーク上のすべてのホストに対して脆弱性が非アクティブになることに注意してください。ただし、脆弱性は随時に再アクティブ化できます。
ホストのオペレーティング システム、またはホスト上のいずれかのアプリケーションのアイデンティティについて競合が存在する場合、システムは、競合が解決されるまで、競合している両方のアイデンティティに対して脆弱性を示します。詳細については、「ID の競合について」および「オペレーティング システムのアイデンティティの競合を解決する」を参照してください。
システムは、Impact Qualification 機能を使用して無効にする脆弱性に基づいて、侵入ルールのルール状態を推奨しないことにも注意してください。詳細については、「FireSIGHT ルール状態推奨の管理」を参照してください。
ヒント ネットワーク マップおよび脆弱性のイベント ビューから脆弱性を非アクティブにすることもできます。詳細については、「脆弱性のネットワーク マップの使用」および「脆弱性の非アクティブ化」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 非アクティブにする脆弱性によって影響されるホストのホスト プロファイルにアクセスします。
ステップ 2 [Vulnerabilities] セクションを展開します。
ステップ 3 有効または無効にする脆弱性の名前をクリックします。
ポップアップ ウィンドウが表示され、脆弱性の詳細が示されます。詳細については、「脆弱性の詳細の表示」を参照してください。
ステップ 4 [Impact Qualification] ドロップダウン リストから [Disabled] または [Enabled] を選択して、脆弱性がどのように使用されるかを指定します。
ステップ 5 ネットワーク マップ上のすべてのホストに対して、Impact Qualification を変更することを確認します。
ステップ 6 [Done] をクリックして、脆弱性の詳細のポップアップ ウィンドウを閉じます。
脆弱性に対するパッチのダウンロード
利用可能な場合、ネットワーク上のホストで検出された脆弱性を軽減するためのパッチをダウンロードすることができます。
アクセス:Admin/Any Security Analyst
ステップ 1 パッチをダウンロードするホストのホスト プロファイルにアクセスします。
ステップ 2 [Vulnerabilities] セクションを展開します。
ステップ 3 パッチを適用する脆弱性の名前をクリックします。
[Vulnerability Detail] ページが表示されます。
脆弱性に対してダウンロード可能なパッチの一覧が表示されます。
ステップ 5 ダウンロードするパッチの隣の [Download] をクリックします。
ステップ 6 パッチをダウンロードして、影響を受けるシステムに適用します。
個々のホストに対する脆弱性の設定
ホストの脆弱性エディタを使用して、ホストごとに脆弱性をアクティブまたは非アクティブにすることができます。ホストの脆弱性を非アクティブにしても、そのホストの影響の相関に対して脆弱性は使用されますが、影響レベルは自動的に 1 レベル減少します。
1 つのホストに対して脆弱性をアクティブまたは非アクティブにする方法
ステップ 2 [Vulnerabilities] の隣で [Edit] をクリックします。
[Host Vulnerabilities editor] ページが表示されます。
ヒント 脆弱性に関する詳細を表示するには、[View] をクリックします。詳細については、「脆弱性の詳細の表示」を参照してください。
• 脆弱性を非アクティブにするには、[Valid Vulnerabilities] リストから脆弱性を選択し、下向きの矢印をクリックします。
• 脆弱性をアクティブにするには、[Invalid Vulnerabilities] リストから脆弱性を選択し、上向きの矢印をクリックします。
ヒント 複数の脆弱性を選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。隣接している複数の脆弱性を選択するには、クリックおよびドラッグを使用します。脆弱性をダブルクリックして、リスト間を移動することもできます。
事前定義のホスト属性の使用
各ホストに割り当てることができる事前定義のホスト属性として、ホストの重要度とホスト特有のメモの 2 つの属性があります。ホストの重要度の属性を使用して、特定のホストのビジネス重要度を指定し、ホストの重要度に基づいて相関ポリシーとアラートを作成できます。たとえば業務にとって、組織のメール サーバは一般的なユーザ ワークステーションよりも重要であるとみなしている場合は、メール サーバ、および業務にとって重要なその他のデバイスに High の値を割り当てて、他のホストに Medium または Low の値を割り当てることができます。次に相関ポリシーを作成できます。これは、影響を受けるホストの重要度に基づいてさまざまなアラートを起動します。
メモ機能を使用して、他の分析を表示するホストの情報を記録します。たとえば、ネットワーク上のコンピュータに、パッチが適用されていない古いバージョンの、テスト用オペレーティング システムが搭載されている場合、メモ機能を使用して、システムは意図的にパッチが適用されていないと示すことができます。
ステップ 1 ビジネスの重要度を設定するホストのホスト プロファイルを開きます。
ステップ 2 [Attributes] の隣の鉛筆型のアイコン( )をクリックします。
[Host Attributes] ポップアップ ウィンドウが表示されます。
ステップ 3 [Host Criticality] ドロップダウン リストから、適用する値として [None]、[Low]、[Medium]、または [High] を選択します。
ユーザ定義のホスト属性の使用
FireSIGHT システムには、ホストの重要度とホスト メモの 2 つの事前定義のホスト属性があります。これらの属性を使用して、ネットワーク上のホストのビジネスでの重要度を示すことができます。ホストを識別するための他の基準がある場合は、ユーザ定義のホスト属性を作成できます。
ユーザ定義のホスト属性は、ホスト プロファイルのページに表示されます。ここでホストごとに値を割り当てることができます。相関ポリシーまたは検索でこれらの属性を使用することができます。また、イベントのホスト属性テーブル ビューで属性を表示して、それに基づいてレポートを生成することもできます。
注 ホスト属性は、ポリシーごとではなくグローバルに定義されます。作成したホスト属性は、適用されるポリシーに関係なく使用できます。
• ホストに対する、ファシリティ コード、市町村、部屋番号などの物理的なロケーション ID の割り当て。
• 特定のホストに対して、どのシステム管理者が責任を持っているのかを示すための Responsible Party Identifier の割り当て。ホストに関連する問題が検出された場合、相関ルールとポリシーを作成して、適切なシステム管理者にアラートを送信することができます。
ホスト属性として、テキスト文字列、テキストの事前定義されたリストから選択した値、または数字の範囲を使用できます。ホストの IP アドレスに基づいて、事前定義されたリストからホストへ自動的に値を割り当てることもできます。この機能を使用すると、ネットワーク上にホストが初めて表示されたときに、新しいホストへ値を自動的に割り当てることができます。
ホスト属性として、次のタイプのいずれか 1 つを使用できます。
ホストに対して最大 255 文字のテキスト文字列を手動で割り当てることができます。
正の整数の番号範囲の最初の数と最後の数を指定し、ホストに対してこれらの番号を手動で割り当てることができます。
文字列値のリストを作成し、ホストに対してこの値のいずれかを割り当てることができます。また、ホストの IP アドレスに基づいて、ホストに対して値を自動的に割り当てることもできます。
注 複数の IP アドレスを持つホストの 1 つの IP アドレスに基づいて値を自動的に割り当てると、これらの値は、ホストに関連付けられているすべてのアドレスに適用されます。Host Attributes テーブルを参照する場合は、このことに注意してください。
ホストに対して手動で URL の値を割り当てることができます。
ユーザがコンプライアンス ホワイト リストを作成すると、ホワイト リストと同じ名前のホスト属性が自動的に作成されることに注意してください。使用できる値は、 Compliant (ホワイト リストに準拠しているホストの場合)、 Non-Compliant (ホワイト リストに違反しているホストの場合)、および Not Evaluated (ホワイト リストの正当な対象ではないホスト、または何らかの理由で評価されないホストの場合)です。ホワイト リストのホスト属性の値は、手動で変更 できません 。ホワイト リストの詳細については、「FireSIGHT システムのコンプライアンス ツールとしての使用」を参照してください。
ユーザ定義のホスト属性の作成
次の手順では、ユーザ定義のホスト属性の作成方法について説明します。
注 ホスト属性は、ポリシーごとではなくグローバルに定義されます。作成したホスト属性は、適用されるポリシーに関係なく使用できます。
ステップ 1 [Analysis] > [Hosts] > [Host Attributes] を選択します。
ステップ 2 [Host Attribute Management] をクリックします。
[Host Attribute Management] ページが表示されます。
ステップ 3 [Create Attribute] をクリックします。
[Create Attribute] ページが表示されます。
ステップ 4 [Name] フィールドに、英数字および空白を使用してホスト属性の名前を入力します。
ステップ 5 「ホスト プロファイルでのホスト属性の使用」に記載されているとおりに、[Type] ドロップダウン リストから、作成する属性のタイプを選択します。:
• [Text] または [URL] ホスト属性を作成する場合は、続いて 6 の手順を実行します。
• [Integer] ホスト属性を作成する場合は、「整数ホスト属性の作成」を参照してください。
• [List] ホスト属性を作成する場合は、「リスト ホスト属性の作成」を参照してください。
整数ホスト属性の作成
整数ベースのホスト属性を定義する場合は、その属性が承認する数字の範囲を指定する必要があります。
ステップ 1 [Min] フィールドに、ホストに対して割り当てることができる範囲の最小の整数値を入力します。
ステップ 2 [Max] フィールドに、ホストに対して割り当てることができる範囲の最大の整数値を入力します。
リスト ホスト属性の作成
リストベースのホストの属性を定義する場合は、リストに対してそれぞれの値を提供する必要があります。これらの値には、英数字、スペース、および記号を含めることができます。
ホスト属性に対して値を作成する場合は、IP アドレスのブロックに値を自動的に割り当てて、新しいホストが検出されたときに、ホスト属性の値が自動的に割り当てられるようにすることもできます。
ステップ 1 リストに値を追加するには、[Add Value] をクリックします。
ステップ 2 [Name] フィールドに、英数字、記号、およびスペースを使用して、追加する最初の値を入力します。
ステップ 3 オプションで、ホストに追加した属性値を自動で割り当てるには、[Add Networks] をクリックします。
[Auto-Assign Networks] セクションが展開されます。
ステップ 4 [Value] ドロップダウン リストから、追加した値を選択します。
ステップ 5 [IP Address] および [Netmask] フィールドに、IP アドレス、およびこの値を自動割り当てする IP アドレスのブロックを表すネットワーク マスクを(CIDR 表記で)入力します。
FireSIGHT システムでの CIDR 表記の使用の詳細については、「IP アドレスの表記法」を参照してください。
ステップ 6 リストに値を追加し、IP アドレス ブロックの範囲内である新しいホストに対してこれらの値を自動的に割り当てるには、手順 1 から 5 を繰り返します。
ヒント 特定の IP ブロック内のホストに対してリストの値を自動割り当てしない場合は、「事前定義のホスト属性の使用」の説明に従って手動で割り当てることができます。
ユーザ定義ホスト属性の編集
ユーザ定義の既存のホスト属性を変更する場合、値の定義は変更できますが、属性のタイプ(テキスト、リスト、整数、URL)は変更できません。また、コンプライアンス ホワイト リストのホスト属性を変更することは できません 。
ステップ 1 [Analysis] > [Hosts] > [Host Attributes] を選択します。
ステップ 2 [Host Attribute Management] をクリックします。
[Host Attribute Management] ページが表示されます。
ステップ 3 編集するホストの属性の隣にある編集アイコン( )をクリックします。
ホスト属性のページは、選択した属性の設定とともに表示されます。
ステップ 4 必要に応じて設定を変更し、[Save] をクリックします。
編集可能な属性タイプについて、およびそれらの属性に含まれる値については、「ユーザ定義のホスト属性の作成」を参照してください。
ユーザ定義ホスト属性の削除
ユーザ定義のホスト属性を削除して、その属性が使用されたすべてのホスト プロファイルから削除します。コンプライアンス ホワイト リストのホスト属性を削除することは できません 。
ステップ 1 [Analysis] > [Hosts] > [Host Attributes] を選択します。
ステップ 2 [Host Attribute Management] をクリックします。
[Host Attribute Management] ページが表示されます。
ステップ 3 削除するホスト属性の隣にある削除アイコン( )をクリックします。
ホスト プロファイルでのスキャン結果の使用
Nmap を使用してホストをスキャンする場合、または Nmap のスキャンから結果をインポートする場合、これらの結果は、スキャンに含まれているすべてのホストのホスト プロファイルに表示されます。
Nmap が、ホストのオペレーティング システムについて、およびオープンでフィルタリングされていないポート上で稼動している任意のサーバについて収集した情報が、ホスト プロファイルの [Operating System] と [Servers] セクションにそれぞれ追加されます。また、Nmap は、そのホストのスキャン結果のリストを [Scan Results] セクションに追加します。
各結果には、情報のソース、スキャンしたポートの番号とタイプ、ポート上で稼動しているサーバの名前、Nmap で検出された任意の追加情報(ポートの状態やサーバのベンダー名など)が示されます。UDP ポートをスキャンする場合、そのポートで検出されたサーバは [Scan Results] セクションにのみ表示されます。
ホスト プロファイルから Nmap スキャンを実行できることに注意してください。詳細は、次の項、 ホスト プロファイルからのホストのスキャンを参照してください。
ホスト プロファイルからのホストのスキャン
ホスト プロファイルから、ホストに対して Nmap スキャンを実行できます。スキャンが完了すると、そのホストのサーバおよびオペレーティング システムの情報は、ホスト プロファイルで更新されます。追加のスキャン結果は、すべてホスト プロファイルの [Scan Results] セクションに追加されます。
ステップ 1 ホスト プロファイルで [Scan Host] をクリックします。
[Scan Host] ポップアップ ウィンドウが表示されます。
ステップ 2 ホストのスキャンで使用するスキャン修復の隣にある [Scan] をクリックします。
ホストがスキャンされ、結果がホスト プロファイルに追加されます。
フィードバック