- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: はじめに
はじめに
シスコ FireSIGHT® システムは、検出されたアプリケーション、ユーザ、および URL に基づいてネットワークへのアクセスを制御する機能と、業界トップのネットワーク侵入防御システムのセキュリティを統合したものです。FirePOWER アプライアンスを使用して、スイッチド、ルーテッド、またはハイブリッド(スイッチドとルーテッド)環境でのサービス提供、ネットワーク アドレス変換(NAT)の実行、および FirePOWER 管理対象デバイスの仮想ルータ間でのセキュアなバーチャル プライベート ネットワーク(VPN)トンネルの構築を行うことができます。
FireSIGHT 防御センター® は、FireSIGHT システム用の集中管理コンソールとデータベース リポジトリを提供します。ネットワーク セグメントにインストールされている管理対象デバイスは、分析のためにトラフィックを監視します。
パッシブ配置のデバイスは、スイッチ SPAN、仮想スイッチ、ミラー ポートなどを使用してネットワーク間を流れるトラフィックを監視します。パッシブ センシング インターフェイスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは再送信されません。
インライン配置のデバイスによって、ネットワーク上のホストの可用性、整合性、または機密性に影響を及ぼす可能性がある攻撃からネットワークを保護できます。インライン インターフェイスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは、配置環境の設定によって明示的にドロップされないかぎり再送信されます。インライン デバイスは、単純な侵入防御システムとして配置できます。アクセス制御の実行に加えて、他の方法でネットワーク トラフィックを管理するようにインライン デバイスを設定することもできます。
防御センターと管理対象デバイスは、シスコが提供する専用のネットワーク アプライアンスとして配置できます。また、ソフトウェアベースのアプライアンスを配置することもできます。
このガイドでは、FireSIGHT システムの特徴と機能について説明します。各章の説明テキスト、グラフィック、および手順によって、ユーザ インターフェイスの操作、システム パフォーマンスの最大化、および複雑な問題のトラブルシューティングに役立つ詳細情報を提供します。
以降のトピックでは、FireSIGHT システムの概要、主要なコンポーネント、およびこのマニュアルの使用方法について説明します。
•
「表記法」
FireSIGHT システム アプライアンス
FireSIGHT システム アプライアンス は、トラフィックを検知する管理対象 デバイス 、または管理を行う 防御センター のいずれかです。防御センターと管理対象デバイスは、シスコが提供する専用のネットワーク アプライアンスとして配置できます。また、ソフトウェアベースのアプライアンスを配置することもできます。
防御センターは、FireSIGHT システム配置環境の集中管理ポイントとイベント データベースを提供します。防御センターは、侵入、ファイル、マルウェア、ディスカバリ、接続、およびパフォーマンスのデータを集約して相互に関連付け、特定のホストに対するイベントの影響を評価し、ホストに侵害の痕跡を付けます。これにより、各デバイスが他のデバイスに関して報告する情報を監視し、ネットワーク上で発生するアクティビティ全体を評価して制御できます。
• テーブル、グラフ、チャートに表示されるイベント情報と状況情報
• 脅威にリアルタイムで対応するための関連付け、侵害の痕跡、および修復の機能
多くの物理防御センターでは、ハイ アベイラビリティ(冗長性)機能が運用の継続性を確保するのに役立ちます。
組織内のネットワーク セグメントに配置されたデバイスは、分析のためにトラフィックを監視します。パッシブに配置したデバイスは、ネットワーク トラフィックを把握するのに役立ちます。インラインで配置した FirePOWER デバイスは、複数の基準に基づいてトラフィックのフローに影響を与えるために使用できます。各デバイスには、モデルとライセンスに応じて次のような特徴があります。
• 組織のホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、および脆弱性に関する詳細情報を収集します。
• さまざまなネットワークベースの基準およびその他の基準(アプリケーション、ユーザ、URL、IP アドレスのレピュテーション、侵入またはマルウェア インスペクションの結果など)に基づいて、ネットワーク トラフィックをブロックまたは許可します。
• スイッチング、ルーティング、DHCP、NAT、VPN のほか、設定可能なバイパス インターフェイス、Fast-Path ルール、および厳密な TCP 適用の各機能を備えています。
• 運用の継続性を確保するのに役立つクラスタリング(冗長性)機能と、複数のデバイスのリソースを統合するスタッキング機能を備えています。
FirePOWER デバイスは、防御センターで管理する 必要があります 。
FireSIGHT システムは、シスコが提供するフォールトトレラントな専用の 物理 ネットワーク アプライアンスで動作します。各防御センターと管理対象デバイスには複数の モデル があります。これらのモデルはさらに シリーズ および ファミリ に分けられます。
物理管理対象デバイスは、一定範囲のスループットと一定範囲の機能を備えています。物理防御センターも、一定範囲のデバイス管理、イベント保管、およびホストとユーザのモニタリング機能を備えています。
また、次のソフトウェアベースのアプライアンスを配置することもできます。
• VMware vSphere Hypervisor または vCloud Director 環境を使用する ESXi ホストとして、64 ビットの 仮想 防御センターおよび 仮想 管理対象デバイスを配置できます。
• Blue Coat X-Series プラットフォーム上に Sourcefire Software for X-Series を配置できます。これは、管理対象デバイスとして機能します。
どちらのタイプ(物理または仮想)の防御センターも、任意のタイプ(物理、仮想、Cisco ASA with FirePOWER Services、およびSourcefire Software for X-Series)のデバイスを管理できます。ただし、FireSIGHT システムの多くの機能がアプライアンスに依存することに注意してください。
FireSIGHT システム アプライアンスの詳細(サポートする特徴や機能を含む)については、次を参照してください。
• 「Sourcefire Software for X-Series」
• 「Cisco ASA with FirePOWER Services」
シリーズ 2 アプライアンス
シリーズ 2 は、レガシー物理アプライアンスの 2 番目のシリーズです。リソースとアーキテクチャの制限により、シリーズ 2 デバイスがサポートする FireSIGHT システムの機能は制限されています。
シスコは新しい シリーズ 2 アプライアンスを出荷しませんが、以前のバージョンのシステムを実行する シリーズ 2 の防御センターをバージョン 5.3.1 に更新または再イメージ化できます。シリーズ 2 デバイスをバージョン 5.3.1 に更新または再イメージ化することはできませんが、5.3.1 の 防御センターは 5.2 または 5.3 のデバイスを管理できます。再イメージ化によって、アプライアンスのほとんど すべて の設定とイベント データが消失することに注意してください。詳細については、『 FireSIGHT System Installation Guide 』を参照してください。
ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.3.1 に更新できます。詳細については、バージョン 5.2 の『FireSIGHT System Migration Guide』を参照してください。
シリーズ 2 デバイスは、Protection ライセンスに関連する機能のほとんど(侵入検知と防御、ファイル制御、および基本的なアクセス制御)を自動的に保有します。ただし、シリーズ 2 デバイスはセキュリティ インテリジェンスのフィルタリング、高度なアクセス制御、および高度なマルウェア対策を実行できません。また、シリーズ 2 デバイスの他のライセンス機能を有効にすることもできません。Fast-Path ルール、スタッキング、およびタップ モードをサポートする 3D9900 を除き、シリーズ 2 デバイスは シリーズ 3 デバイスに関連付けられているハードウェアベースの機能(スイッチング、ルーティング、NAT など)をサポートしません。
バージョン 5.3.1 の実行時に、DC1000 および DC3000 の シリーズ 2 防御センターは FireSIGHT システムのすべての機能をサポートしますが、DC500 の機能はより制限されています。
シリーズ 3 アプライアンス
シリーズ 3 は、シスコ FirePOWER 物理アプライアンスの 3 番目のシリーズです。すべての 7000 シリーズおよび 8000 シリーズ デバイスは、シリーズ 3 アプライアンスです。8000 シリーズ デバイスはさらに強力で、7000 シリーズ デバイスがサポートしていない機能をいくつかサポートしています。
仮想アプライアンス
VMware vSphere Hypervisor または vCloud Director 環境を使用する ESXi ホストとして、64 ビットの仮想防御センターおよび管理対象デバイスを配置できます。
インストールされ適用されているライセンスに関係なく、仮想アプライアンスはシステムのハードウェアベースの機能(冗長性とリソース共有、スイッチング、ルーティングなど)をサポートしません。また、仮想デバイスに Web インターフェイスはありません。
Sourcefire Software for X-Series
Sourcefire Software for X-Series を Blue Coat X-Seriesプラットフォームにインストールできます。このソフトウェアベースのアプライアンスは、仮想管理対象デバイスと同様に機能します。インストールされ適用されているライセンスに関係なく、Sourcefire Software for X-Series は次の機能をサポートしません。
• Sourcefire Software for X-Series は、システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。
• Sourcefire Software for X-Series を使用して、ネットワーク トラフィックをその発信元または宛先の国または大陸に基づいてフィルタリングすること(位置情報に基づくアクセス制御)はできません。
• 防御センターの Web インターフェイスを使用して Sourcefire Software for X-Series のインターフェイスを設定することはできません。
• 防御センターを使用して Sourcefire Software for X-Series のシャットダウン、再起動、その他の管理を行うことはできません。
• 防御センターを使用して、Sourcefire Software for X-Series のバックアップを作成したり、バックアップからそれを復元したりすることはできません。
• Sourcefire Software for X-Series にヘルス ポリシーまたはシステム ポリシーを適用することはできません。これには時間設定の管理が含まれます。
Sourcefire Software for X-Series に Web インターフェイスはありません。ただし、X-Series プラットフォームに固有のコマンド ライン インターフェイス(CLI)があります。この CLI を使用して、システムのインストールや、次のようなプラットフォーム固有の管理タスクを実行します。
• X-Seriesプラットフォームのロード バランシングと冗長性の利点(シスコの物理デバイス クラスタリングと同等)を活用できる Virtual Appliance Processor(VAP)グループの作成
• パッシブおよびインライン センシング インターフェイスの設定(インターフェイスの最大伝送単位(MTU)の設定を含む)
Cisco ASA with FirePOWER Services
防御センターを使用して Cisco ASA with FirePOWER Services(ASA FirePOWER)デバイスを管理できます。この配置環境では、ASA デバイスは最も重要なシステム ポリシーを提供し、アクセス制御、侵入検知と防御、ディスカバリ、および高度なマルウェア対策のためにトラフィックを FireSIGHT システムに渡します。
インストールされ適用されているライセンスに関係なく、ASA FirePOWER デバイスは FireSIGHT システムで次の機能をサポートしません。
• ASA FirePOWER デバイスは、FireSIGHT システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。ただし、これらの機能は ASA プラットフォームによって提供され、ASA CLI および ASDM を使用して設定できます。詳細については、ASA のマニュアルを参照してください。
• 防御センターの Web インターフェイスを使用して ASA FirePOWER のインターフェイスを設定することはできません。
• 防御センターを使用して ASA FirePOWER のシャットダウン、再起動、その他の管理を行うことはできません。
• 防御センターを使用して、ASA FirePOWER デバイスのバックアップを作成したり、バックアップからそのデバイスを復元したりすることはできません。
• VLAN タグの条件を使用してトラフィックを照合するアクセス制御ルールを作成することはできません。
ASA FirePOWER デバイスに FireSIGHT Web インターフェイスはありません。ただし、ASA プラットフォームに固有のソフトウェア(およびコマンド ライン インターフェイス(CLI))があります。これらの ASA 固有のツールを使用して、システムのインストールや、次のようなプラットフォーム固有の管理タスクを実行します。詳細については、ASA FirePOWER モジュール のマニュアルを参照してください。
注 防御センターでは、ASA FirePOWER デバイスが SPAN ポート モードで展開されている場合、ASA インターフェイスを表示しません。
バージョン 5.3.1 で提供されるアプライアンス
次の表に、FireSIGHT システムのバージョン 5.3.1 でシスコが提供するアプライアンスを示します。 シリーズ 2、シリーズ 3、仮想、または X-Series デバイスをバージョン 5.3.1 に更新または再イメージ化することはできませんが、5.3.1 の防御センターは 5.3 のデバイスを管理できます。
|
|
|
|
|
|---|---|---|---|
| • |
|||
シスコは新しい シリーズ 2 アプライアンスを出荷しませんが、以前のバージョンのシステムを実行する シリーズ 2 の防御センターをバージョン 5.3.1 に更新または再イメージ化できます。シリーズ 2 デバイスをバージョン 5.3.1 に更新または再イメージ化することはできませんが、5.3.1 の 防御センターは 5.2 または 5.3 のデバイスを管理できます。再イメージ化によって、アプライアンスのほとんど すべて の設定とイベント データが消失することに注意してください。詳細については、『 FireSIGHT System Installation Guide 』を参照してください。
ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.3.1 に更新できます。詳細については、バージョン 5.2 の『FireSIGHT System Migration Guide』を参照してください。
防御センターの各モデルでサポートされる機能
バージョン 5.3.1 を実行したときは、すべての防御センターが同様の機能を持っていますが、ごく一部にモデルベースの制限があります。 「防御センターの各モデルでサポートされる機能」 の表は、システムの主要機能とそれらの機能をサポートする防御センターを照合したものです。ここでは、ユーザがこれらの機能をサポートするデバイスを管理していて、適切なライセンスがインストールおよび適用されているものと仮定します。
防御センターの各モデルは、この表に示した機能に加えて、監視できるデバイス数、保存できるイベント数、および監視できるホストとユーザの数も異なります。詳細については、以下を参照してください。
• 「FireSIGHTホストおよびユーザ ライセンスの制限について」
また、システムのバージョン 5.3.1 を実行する防御センターの任意のモデルを使用して、バージョン 5.3 またはバージョン 5.3.1 のデバイスを管理できますが、多くのシステム機能はデバイスのモデルによって制限されることに留意してください。たとえば、シリーズ 3 の防御センターがあっても、配置環境にシリーズ 3 デバイスが含まれていないかぎり、VPN を実装できません。詳細については、「管理対象デバイスの各モデルでサポートされる機能」を参照してください。
|
|
防御センター |
防御センター |
防御センター |
|---|---|---|---|
管理対象デバイスによって報告されるディスカバリ データ(ホスト、アプリケーション、およびユーザ)を収集し、組織のネットワーク マップを作成する |
|||
管理対象デバイスの各モデルでサポートされる機能
デバイスはネットワーク トラフィックを処理するアプライアンスです。したがって、FireSIGHT システムの多くの機能は管理対象デバイスのモデルによって異なります。
次の表は、システムの主要機能とそれらの機能をサポートするデバイスを照合したものです。ここでは、管理を行う防御センターから適切なライセンスがインストールおよび適用されているものと仮定します。
システムのバージョン 5.3.1 を実行する防御センターの任意のモデルを使用してバージョン 5.3 またはバージョン 5.3.1 のデバイスを管理できますが、いくつかのシステム機能は防御センターのモデルによって制限されることに留意してください。たとえば、デバイスがセキュリティ インテリジェンスのフィルタリングをサポートしていても、シリーズ 2 の DC500 を使用してこの機能を実行するデバイスを管理することはできません。詳細については、 「防御センターの各モデルでサポートされる機能」 の表を参照してください。
|
|
デバイス |
デバイス |
|
デバイス |
|
|---|---|---|---|---|---|
FireSIGHT システムのコンポーネント
以下のトピックでは、組織のセキュリティ、アクセプタブル ユース ポリシー、およびトラフィック管理戦略に役立つ FireSIGHT システムの主要機能の一部について説明します。
• 「アクセス制御」
ヒント FireSIGHT システムの多くの機能は、アプライアンス モデル、ライセンス、およびユーザ ロールに依存します。このマニュアルには、各機能に必要な FireSIGHT システムのライセンスとデバイス、および各手順を実行する権限を持つユーザ ロールに関する情報が含まれています。詳細については、「表記法」を参照してください。
冗長性とリソース共有
FireSIGHT システムの冗長性とリソース共有の機能によって、運用の継続性を確保し、複数の物理デバイスの処理リソースを統合することができます。
運用の継続性を確保するため、防御センターの ハイ アベイラビリティ 機能によって、冗長なDC1000、DC1500、DC3000、またはDC3500 防御センターを指定してデバイスを管理できます。イベント データは管理対象デバイスから両方の防御センターに流れます。両方の防御センターで特定の設定要素が管理されます。一方の防御センターで障害が発生しても、もう一方の防御センターを使用してネットワークの監視を中断せずに続行できます。
デバイス スタッキング によって、2 ~ 4 台の物理デバイスをスタック構成で接続し、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。スタック構成を確立すると、スタックに含まれる各デバイスのリソースが単一の共有設定に結合されることになります。
デバイス クラスタリング (デバイスのハイ アベイラビリティとも呼ばれる)によって、2 台以上のシリーズ 3 デバイスまたはスタック間のネットワーキング機能と設定データの冗長性を確立できます。2 台以上のピア デバイスまたはスタックをクラスタ化すると、ポリシー適用、システム更新、および登録の対象となる単一の論理システムが生成されます。デバイス クラスタリングでは、システムを手動または自動でフェイルオーバーできます。
ほとんどの場合、デバイスをクラスタ化せずに を使用してレイヤ 3 の冗長性を実現できます。SFRP を使用すると、デバイスは指定された IP アドレスに対する冗長ゲートウェイとして機能することが可能になります。ネットワークの冗長性によって、同じネットワーク接続を提供するように 2 台以上のデバイスまたはスタックを設定することで、ネットワーク上の他のホストに対する接続を確保できます。
Sourcefire Software for X-Series によるロード バランシング
X-Series プラットフォーム上で複数のメンバからなる VAP グループ内の個々の VAP として Sourcefire Software for X-Seriesを配置することで、X-Series プラットフォームのロード バランシングと冗長性の利点(シスコの物理デバイス クラスタリングと同等)を活用できます。その場合は、防御センターを使用してそれらの VAP グループを管理します。詳細については、『 Sourcefire Software for X-Series Installation and Configuration Guide 』を参照してください。
ネットワーク トラフィック管理
FireSIGHT システムのネットワーク トラフィック管理機能によって、管理対象デバイスを組織のネットワーク インフラストラクチャの一部として機能させることができます。シリーズ 3デバイスを設定して、スイッチド、ルーテッド、またはハイブリッド(スイッチドおよびルーテッド)環境でのサービス提供、ネットワーク アドレス変換(NAT)の実行、およびセキュアなバーチャル プライベート ネットワーク(VPN)トンネルの構築を行うことができます。
レイヤ 2 配置では、2 つ以上のネットワーク セグメント間でパケット スイッチングを提供するように FireSIGHT システムを設定できます。レイヤ 2 配置では、スタンドアロン ブロードキャスト ドメインとして動作するようにスイッチド インターフェイスと管理対象デバイスの仮想スイッチを設定します。仮想スイッチは、ホストの MAC アドレスを使用してパケットの送信先を決定します。
レイヤ 3 配置では、2 つ以上のインターフェイス間でトラフィックをルーティングするように FireSIGHT システムを設定できます。レイヤ 3 配置では、トラフィックを受信して転送するようにルーテッド インターフェイスと管理対象デバイスの仮想ルータを設定します。システムは、宛先 IP アドレスに基づいてパケットの転送先を決定することで、パケットをルーティングします。ルータは転送基準に基づいて発信インターフェイスから宛先を取得し、適用するセキュリティ ポリシーはアクセス制御ルールによって指定されます。
仮想ルータを設定するときは、スタティック ルートを定義できます。さらに、ダイナミック ルーティング プロトコルとして Routing Information Protocol(RIP)および Open Shortest Path First(OSPF)を設定できます。スタティック ルートと RIP、またはスタティック ルートと OSPF を組み合わせて設定することもできます。ユーザが設定した仮想ルータごとに、DHCP リレーを設定できます。
シスコアプライアンスの設定で仮想スイッチと仮想ルータの両方を使用する場合は、それらの間のトラフィックをブリッジングするために関連するハイブリッド インターフェイスを設定できます。これらのユーティリティはトラフィックを分析して、トラフィックのタイプと適切な応答(ルーティング、スイッチング、その他)を特定します。
レイヤ 3 配置では、ネットワーク アドレス変換(NAT)を設定できます。内部サーバを外部ネットワークに公開したり、内部ホストまたはサーバを外部アプリケーションに接続したりできます。また、IP アドレスのブロックを使用するか、または IP アドレスの制限付きブロックとポート変換を使用して、プライベート ネットワーク アドレスを外部ネットワークから隠蔽するように NAT を設定することもできます。
バーチャル プライベート ネットワーク(VPN)は、公開ソース(インターネットやその他のネットワーク)を介してエンドポイント間のセキュアなトンネルを確立するネットワーク接続です。シリーズ 3 デバイスの仮想ルータ間にセキュアな VPN トンネルを構築するように FireSIGHT システムを設定できます。
FireSIGHT
FireSIGHT ™ は、ネットワークの全体像を提供するためにホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、位置情報、および脆弱性に関する情報を収集するシスコのディスカバリおよび認識テクノロジーです。
FireSIGHT によって収集されたデータは、防御センターの Web インターフェイスを使用して表示および分析できます。また、このデータを使用することで、アクセス制御を実行し、侵入ルールの状態を修正できます。さらに、ホストの相関イベント データに基づいてネットワーク上のホストに対する侵害の痕跡を生成し、追跡できます。
アクセス制御
アクセス制御 は、ネットワークを通過するトラフィックの指定、検査、記録を可能にするポリシーベースの機能です。 アクセス制御ポリシー は、システムがネットワーク上のトラフィックを処理する方法を決定します。 アクセス制御ルール を含まないポリシーを使用すると、いわゆる デフォルト アクション によって次のいずれかの方法でトラフィックが処理されます。
• ネットワークに入ってくるすべてのトラフィックをブロックする
• ネットワークに入ってくるすべてのトラフィックを信頼し、それ以上のインスペクションを実行しない
• ネットワークに入ってくるすべてのトラフィックを許可し、ネットワーク検出ポリシーのみを使用してトラフィックを検査する
• ネットワークに入ってくるすべてのトラフィックを許可し、侵入およびネットワーク検出ポリシーを使用してトラフィックを検査する
アクセス制御ポリシーにアクセス制御ルールを含めることで、ターゲット デバイスによるトラフィックの処理方法を詳細に定義できます。これには、単純な IP アドレスの照合から、さまざまなユーザ、アプリケーション、ポート、および URL が関与する複雑なシナリオまでが含まれます。各ルールでは、ルール アクション (つまり、侵入ポリシーまたはファイルポリシーを使用して、一致したトラフィックを信頼、監視、ブロック、または検査するかどうか)を指定します。
アクセス制御ポリシーごとに、システムが HTTP 要求をブロックしたときにユーザに表示されるカスタム HTML ページを作成できます。オプションで、ユーザに警告するものの、ユーザがボタンをクリックして最初に要求されたサイトに進むこともできるページを表示できます。
アクセス制御の一部であるセキュリティ インテリジェンス機能によって、トラフィックをアクセス制御ルールで分析する前に、特定の IP アドレスをブラックリスト化(そのアドレスに対する送受信トラフィックを拒否)できます。システムが位置情報をサポートする場合は、検出された送信元および宛先の国と大陸に基づいてトラフィックをフィルタリングすることもできます。
アクセス制御には、侵入検知と防御、ファイル制御、および高度なマルウェア対策が含まれます。詳細については、以降の項を参照してください。
侵入検知と防御
侵入検知と防御によって、ネットワーク トラフィックのセキュリティ違反を監視し、(インライン配置では)悪意のあるトラフィックをブロックまたは変更することができます。
侵入防御はアクセス制御に統合されており、侵入ポリシーを特定のアクセス制御ルールに関連付けることができます。ネットワーク トラフィックがルールの条件を満たした場合は、侵入ポリシーを使用して一致したトラフィックを分析できます。侵入ポリシーをアクセス制御ポリシーのデフォルト アクションに関連付けることもできます。
侵入ポリシーには、次のようにさまざまなコンポーネントが含まれています。
• プロトコル 見出しの値、ペイロードの内容、および特定のパケット サイズの特性を検査するルール
ファイルの追跡、制御、およびマルウェア対策
マルウェアの影響を特定して軽減しやすくするため、FireSIGHT システムのファイル制御、ネットワーク ファイル トラジェクトリ、および高度なマルウェア対策の各コンポーネントによって、ネットワーク トラフィック内のファイル(マルウェア ファイルを含む)の伝送を検出、追跡、キャプチャ、分析、および(必要に応じて)ブロックできます。
ファイル制御 によって、管理対象デバイスはユーザが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出してブロックできます。ファイル制御は、全体的なアクセス制御設定の一部として設定します。アクセス制御ルールに関連付けられたファイル ポリシーによって、ルールの条件を満たすネットワーク トラフィックが検査されます。
ネットワークベースの 高度なマルウェア対策 (AMP)によって、複数のファイル タイプのマルウェアに関してネットワーク トラフィックを検査できます。アプライアンスでは、検出されたファイルをさらに分析するためにハード ドライブまたは(一部のモデルで)マルウェア ストレージ パックに保存できます。
検出されたファイルは、保存済みかどうかに関係なく、ファイルの SHA-256 ハッシュ値を使用して単純な既知の性質の検索を行うために Collective Security Intelligence クラウド に送信できます。また、脅威のスコアを生成する 動的分析 を行うためにファイルを送信することもできます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するようにシステムを設定できます。
マルウェア対策は、全体的なアクセス制御設定の一部として設定します。アクセス制御ルールに関連付けられたファイル ポリシーによって、ルールの条件を満たすネットワーク トラフィックが検査されます。
FireAMP は、高度なマルウェア感染、Advanced Persistent Threat、および標的型攻撃を検出、把握、およびブロックするシスコのエンタープライズ クラスの高度なマルウェア分析および防御ソリューションです。
組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自分のコンピュータやモバイル デバイス( エンドポイント とも呼ばれる)に FireAMP コネクタ をインストールします。これらの軽量エージェントはシスコのクラウドと通信し、続いてクラウドが防御センターと通信します。
クラウドに接続するように防御センターを設定した後は、防御センター Web インターフェイスを使用して、組織内のエンドポイントに対するスキャン、検出、および検疫の結果として生成されたエンドポイントベースのマルウェア イベントを表示できます。また、防御センターは FireAMP のデータを使用して、ホストに対する侵害の痕跡を生成および追跡するとともに、ネットワーク ファイルのトラジェクトリを表示します。
FireAMP の配置を設定するには、 FireAMP ポータル (http://amp.sourcefire.com/)を使用します。このポータルは、マルウェアをすばやく識別して検疫するのに役立ちます。感染を発生した時点で識別し、そのトラジェクトリを追跡し、その影響を把握し、適切な回復方法を習得できます。FireAMP を使用して、カスタム対策を作成したり、グループ ポリシーに基づいて特定のアプリケーションの実行をブロックしたり、カスタム ホワイトリストを作成したりすることもできます。
ネットワーク ファイル トラジェクトリ機能によって、ネットワーク内のファイルの伝送パスを追跡できます。システムは SHA-256 ハッシュ値を使用してファイルを追跡します。このため、システムはファイルを追跡するために次のいずれかの処理を行う必要があります。
• ファイルの SHA-256 ハッシュ値を計算し、その値を使用してマルウェアのクラウド検索を実行する
• 防御センターと組織の FireAMP サブスクリプションの統合を使用して、そのファイルに関するエンドポイントベースの脅威および検疫データを受信する
各ファイルには、ファイルの転送経過の視覚的表示とファイルに関する追加情報を含むトラジェクトリ マップが関連付けられています。
アプリケーション プログラミング インターフェイス
アプリケーション プログラミング インターフェイス(API)を使用してシステムとやりとりするには、いくつかの方法があります。詳細については、次のいずれかのサポート サイトから追加資料をダウンロードできます。
• Sourcefire:(https://support.sourcefire.com/)
• シスコ:(http://www.cisco.com/cisco/web/support/index.html)
Event Streamer(eStreamer)によって、シスコのアプライアンスからカスタム開発されたクライアント アプリケーションに複数の種類のイベント データをストリーミングできます。クライアント アプリケーションを作成したら、それをeStreamer サーバ(防御センターまたは物理管理対象デバイス)に接続し、eStreamer サービスを起動してデータ交換を開始します。
eStreamer の統合では、カスタム プログラミングが必要になりますが、アプライアンスから特定のデータを要求することができます。たとえば、いずれかのネットワーク管理アプリケーション内でネットワーク ホストのデータを表示する場合は、防御センターからホストの重要度または脆弱性データを取得し、その情報を表示に追加するプログラムを作成できます。
データベース アクセス機能によって、JDBC SSL 接続をサポートするサードパーティ製クライアントを使用して防御センター上の複数のデータベース テーブルを照会できます。
Crystal Reports、Actuate BIRT、JasperSoft iReport などの業界標準のレポート ツールを使用してクエリーを設計および送信できます。または、シスコのデータを照会するように独自のカスタム アプリケーションを設定できます。たとえば、侵入とディスカバリのイベント データを定期的に報告するサーブレットや、アラート ダッシュボードを更新するサーブレットを構築できます。
ホスト入力機能によって、スクリプトやコマンドライン ファイルを使用してサードパーティのソースからデータをインポートすることにより、ネットワーク マップ内の情報を増やすことができます。
Web インターフェイスにもホスト入力機能があります。オペレーティング システムやアプリケーション プロトコルの ID の変更、脆弱性の有効化や無効化、およびネットワーク マップからの各種項目(クライアントとサーバ ポートを含む)の削除を行うことができます。
システムには、ネットワークの状況が関連する相関ポリシーやコンプライアンスのホワイトリストに違反したときに防御センターが自動的に起動する 修復 を作成できる API が含まれています。これにより、ユーザが攻撃をただちに解決できないときに自動的に攻撃を軽減できるだけでなく、システムが組織のセキュリティ ポリシーに準拠し続けていることを確認することもできます。ユーザが作成した修復に加えて、防御センターには複数の事前定義された修復モジュールが付属しています。
マニュアル リソース
FireSIGHT システムのマニュアル セットには、オンライン ヘルプと PDF ファイルが含まれています。オンライン ヘルプには、Web インターフェイスから次のようにしてアクセスできます。
オンライン ヘルプには、防御センターまたはデバイスの Web インターフェイスを使用して実行できるタスク(システム管理、ポリシー管理、イベント分析を含む)に関する情報が含まれています。
PDF ドキュメントの最新バージョンには、次のいずれかのサポート サイトからアクセスできます。
• Sourcefire:(https://support.sourcefire.com/)
• シスコ:(http://www.cisco.com/cisco/web/support/index.html)
• オンライン ヘルプと同じ内容を印刷に適した形式で提供する『 FireSIGHT システム ユーザ ガイド 』
• シスコ アプライアンスのインストールに関する情報、およびハードウェア仕様と安全上の注意事項を含む『 FireSIGHT System Installation Guide 』
• 仮想デバイスと仮想防御センターのインストール、管理、およびトラブルシューティングに関する情報を含む『 FireSIGHT System Virtual Installation Guide 』
• Sourcefire Software for X-Series のインストール、管理、およびトラブルシューティングに関する情報を含む『 Sourcefire Software for X-Series Installation and Configuration Guide 』
表記法
このマニュアルには、各機能に必要な FireSIGHT システムのライセンスとアプライアンス モデル、および各手順を実行する権限を持つユーザ ロールに関する情報が含まれています。詳細については、次の項を参照してください。
ライセンスの表記法
各項の最初にあるライセンスに関する記述は、その項で説明されている機能を使用するために必要なライセンスを示しています。
FireSIGHT ライセンスは、防御センターに含まれており、ホスト、アプリケーション、およびユーザのディスカバリを実行するために必要です。防御センターの FireSIGHT ライセンスによって、防御センターおよびその管理対象デバイスで監視できるホストとユーザの数、およびユーザ制御を実行するために使用できるユーザの数が決まります。
防御センターで以前にバージョン 4.10.x が実行されていた場合は、FireSIGHT ライセンスの代わりにレガシー RNA ホストと RUA ユーザのライセンスを使用できる可能性があります。
Protection ライセンスは、管理対象デバイスが侵入検知と防御、ファイル制御、およびセキュリティ インテリジェンスのフィルタリングを実行するために必要です。
Control ライセンスは、管理対象デバイスがユーザ制御とアプリケーション制御を実行するために必要です。これは、各デバイスがスイッチングとルーティング(DHCP リレーを含む)、NAT、およびデバイスとスタックのクラスタリングを実行するためにも必要です。Control ライセンスには、Protection ライセンスが必要です。
URL Filtering ライセンスは、管理対象デバイスが定期的に更新されるクラウドベースのカテゴリおよびレピュテーション データを使用して、監視対象のホストが要求した URL に基づいて、どのトラフィックがネットワークを通過できるかを判定するために必要です。URL Filtering ライセンスには、Protection ライセンスが必要です。
Malware ライセンスは、管理対象デバイスがネットワークベースの高度なマルウェア対策(AMP)を実行する(つまり、ネットワークを介して送信されるファイル内のマルウェアを検出、キャプチャ、およびブロックし、それらのファイルを動的分析のために送信する)ために必要です。これは、ネットワークを介して送信されたファイルを追跡するトラジェクトリを表示するためにも必要です。Malware ライセンスには、Protection ライセンスが必要です。
VPN ライセンスは、シスコの管理対象デバイスの仮想ルータ間にセキュアな VPN トンネルを構築するために必要です。VPN ライセンスには、Protection および Control ライセンスが必要です。
ライセンス機能は頻繁に追加されるため、このマニュアルでは、各機能に必要とされる最上位のライセンスのみを示します。たとえば、ある機能に FireSIGHT、Protection、およびControl ライセンスが必要な場合は、Control のみを示します。
ライセンスの記述に含まれる「または」という表現は、その項で説明されている機能を使用するために特定のライセンスが必要だが、追加のライセンスによって機能を追加できることを示します。たとえば、ファイル ポリシー内のファイル ルール アクションには、Protection ライセンスを必要とするものと、Malware ライセンスを必要とするものがあります。したがって、ファイル ルールに関するマニュアルのライセンス の記述は「Protection または Malware」となります。
アーキテクチャとリソースの制限のため、すべてのライセンスをすべての管理対象デバイスに適用できるわけではないことに注意してください。一般に、デバイスがサポートしていない機能のライセンスは取得できません。「管理対象デバイスの各モデルでサポートされる機能」を参照してください。ライセンスが使用可能な機能に与える影響の詳細(レガシー RNA ホストと RUA ユーザのライセンスの使用に関する情報を含む)については、「ライセンスについて」を参照してください。
サポート対象デバイスと防御センターの表記法
各項の最初にあるサポート対象デバイスについての記述は、指定されたデバイス シリーズ、ファミリ、またはモデルでのみ機能がサポートされることを示しています。たとえば、スタッキングはシリーズ 3 デバイスでのみサポートされます。項でサポート対象デバイスの記述がない場合は、すべてのデバイスで機能がサポートされているか、またはその項の内容が管理対象デバイスに適用されません。
このリリースでサポートされているプラットフォームの詳細については、「FireSIGHT システム アプライアンス」を参照してください。
アクセスの表記法
このマニュアルの各手順の最初にあるアクセス ステートメントは、その手順を実行するために必要な事前定義済みのユーザ ロールを示しています。ロールを区切るスラッシュは、指定されたいずれかのロールがあれば、その手順を実行できることを示しています。次の表に、アクセス ステートメントに示される共通の用語を定義します。
|
|
|
|---|---|
ユーザは任意のロールを持つことができるが、Administrator ロールのみが無制限のアクセス権(非公開として保存された他のユーザのデータを表示する機能など)を持つ |
|
ユーザは Security Analyst または Security Analyst (Read Only) ロールを持つことができる |
|
カスタム ロールを持つユーザは、事前定義されたロールとは異なる権限セットを持つことができます。事前定義されたロールを使用して手順のアクセス要件が示されている場合は、同様の権限を持つカスタム ロールにもアクセス権があります。カスタム ユーザ ロールの詳細については、「カスタム ユーザ ロールの管理」を参照してください。
IP アドレスの表記法
IPv4 Classless Inter-Domain Routing(CIDR)表記および同様の IPv6 プレフィクス長表記を使用して、FireSIGHT システムの多くの場所でアドレス ブロックを定義できます。
CIDR 表記では、ネットワーク IP アドレスとビット マスクの組み合わせを使用して、指定したアドレス ブロック内の IP アドレスを定義します。たとえば、次の表に CIDR 表記のプライベート IPv4 アドレス空間を示します。
|
|
IP アドレス |
|
|
|---|---|---|---|
同様に、IPv6 ではネットワーク IP アドレスとプレフィクス長の組み合わせを使用して、指定したブロック内の IP アドレスを定義します。たとえば、2001:db8::/32 は 32 ビットのプレフィクス長を持つ 2001:db8:: ネットワーク内の IPv6 アドレス(つまり、2001:db8:: から 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff まで)を指定します。
FireSIGHT システムでは、ユーザが CIDR またはプレフィクス長表記を使用して IP アドレスのブロックを指定すると、マスクまたはプレフィクス長によって指定されたネットワーク IP アドレス部分 のみ が使用されます。たとえば、10.1.2.3/8 と入力した場合、FireSIGHT システムでは 10.0.0.0/8 が使用されます。
つまり、シスコでは CIDR またはプレフィクス長表記を使用するときにビット境界のネットワーク IP アドレスを使用する標準的な方法を推奨していますが、FireSIGHT システムではその必要はありません。
フィードバック