FireSIGHT 仮想インストレーション ガイド

仮想防御センター

防御センターは、FireSIGHT システム配置環境の集中管理ポイントとイベント データベースを提供します。仮想防御センターは、侵入、ファイル、マルウェア、検出、接続、およびパフォーマンス データを集約し、相互に関連付けます。これには、特定のホストにおけるイベントの影響を評価し、ホストにセキュリティ侵害をマークするタグ付けをすることが含まれます。これにより、デバイス間で交わされる情報の監視、ネットワーク上で発生するアクティビティ全体の評価や制御が可能になります。

仮想防御センターの主な機能は次のとおりです。

• デバイス、ライセンス、およびポリシーの管理

• 表、グラフ、図に表示されるイベント情報と状況情報

• ヘルスとパフォーマンスのモニタリング

• 外部通知とアラート

• リアルタイムに脅威に対処するための関連付け、侵害の痕跡、および修復機能

• カスタムもしくはテンプレートベースのレポート作成

仮想管理対象デバイス

組織内のネットワーク セグメントに展開されたバーチャル デバイスは、分析用にトラフィックをモニタします。パッシブに展開されたバーチャル デバイスは、ネットワーク トラフィック情報を把握するのに役立ちます。インライン展開の場合、仮想デバイスを使用して、複数の基準に基づいてトラフィック フローに影響を与えることができます。各デバイスには、モデルとライセンスに応じて次のような特徴があります。

• 組織のホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、および脆弱性に関する詳細情報を収集する

• ネットワークベースのさまざまな基準、およびアプリケーション、ユーザ、URL、IP アドレスの評価、および侵入やマルウェアの調査結果を含めた他の基準によって、ネットワーク トラフィックをブロックまたは許可する

仮想デバイスには Web インターフェイスが ありません 。仮想デバイスはコンソールとコマンド ラインを使用して設定し、防御センターで管理する必要があります。

仮想防御センターの機能について

「仮想防御センターでサポートされる機能」に、システムの主要な機能と仮想防御センターの比較を示します。ここでは、ユーザがそれらの機能をサポートするデバイスを管理し、適切なライセンスがインストールされ適用されていることを想定しています。

仮想アプライアンスでサポートされる機能およびライセンスの要約については、「FireSIGHT システム のコンポーネント」および「仮想アプライアンスのライセンス」を参照してください。

仮想防御センターは、シリーズ 2、シリーズ 3、ASA FirePOWER、およびX-シリーズ デバイスを管理できることに留意しておいてください。同様に、シリーズ 2 およびシリーズ 3 の防御センターは仮想デバイスを管理できます。デバイス ベース機能（スタック構成、スイッチング、ルーティングなど）に関する防御センターの列は、仮想防御センターがそれらの機能を実行するためにデバイスを管理および設定できるかどうかを示します。たとえば、仮想デバイスで VPN の設定はできませんが、仮想防御センターを使用すれば VPN 展開でシリーズ 3 デバイスを管理できます。

仮想管理対象デバイスの機能について

「仮想管理対象デバイスでサポートされる機能」に、システムの主要な機能と管理対象デバイスの比較を示します。ここでは、管理防御センターから適切なライセンスがインストールされ適用されていることを想定しています。

バージョン 5.4.1 のシステムを実行する防御センターの任意のモデルを使用してバージョン 5.4.1 の仮想デバイスを管理できますが、いくつかのシステム機能は防御センターのモデルによって制限されることに留意してください。たとえば、仮想管理対象デバイスがセキュリティ インテリジェンス フィルタリング機能をサポートしている場合でも、シリーズ 2 DC500 を使用してその機能を実行する仮想管理対象デバイスを管理することはできません。詳細については、「仮想防御センターの機能について」を参照してください。

動作環境の前提条件

次のホスティング環境で 64 ビットの仮想アプライアンスをホストできます。

• VMware ESXi 5.5（vSphere 5.5）

• VMware ESXi 5.1（vSphere 5.1）

• VMware vCloud Director 5.1

サポート対象のすべての ESXi バージョンで VMware Tools を有効化できます。VMware Tools のすべての機能については、VMware の Web サイト（ http://www.vmware.com/ ）を参照してください。ホスティング環境の作成については、VMware vCloud Director および VMware vCenter を含む VMwareESXi のマニュアルを参照してください。

仮想アプライアンスは Open Virtual Format（OVF）パッケージを使用します。VMware Workstation、Player、Server、および Fusion は OVF パッケージを認識しないため、サポートされません。また、仮想アプライアンスは、仮想ハードウェアのバージョン 7 の仮想マシンとしてパッケージ化されます。

ESXi ホストとして動作するコンピュータは、次の要件を満たす必要があります。

• 仮想化サポートとして、Intel® Virtualization Technology（VT）または AMD Virtualization™（AMD-V™)テクノロジのいずれかを実現する 64 ビット CPU が必要

• 仮想化は、BIOS 設定で有効化する必要がある

• 仮想デバイスをホストするために、コンピュータには Intel e1000 ドライバと互換性があるネットワーク インターフェイスが必要（PRO 1000MT デュアル ポート サーバ アダプタまたは PRO 1000GT デスクトップ アダプタなど）

詳細については、VMware の Web サイト http://www.vmware.com/resources/guides.html を参照してください。

作成する各仮想アプライアンスでは、ESXi ホストに一定量のメモリ、CPU、およびハードディスク スペースが必要です。デフォルトの設定は、システム ソフトウェアの実行の最小要件であるため、 減らさない でください。ただし、使用可能なリソースによっては、パフォーマンスを向上させるために仮想アプライアンスのメモリと CPU の数を増やすことができます。次の表に、デフォルトのアプライアンス設定を示します。

仮想アプライアンスのパフォーマンス

仮想アプライアンスのスループットおよび処理能力を正確に予測することは不可能です。次のように、多数の要因がパフォーマンスに大きく影響します。

• ESXi ホストのメモリと CPU の容量

• ESXi ホストで実行されている仮想マシンの総数

• センシング インターフェイスの数、ネットワーク パフォーマンス、およびインターフェイス速度

• 各仮想アプライアンスに割り当てられたリソースの量

• ホストを共有する他の仮想アプライアンスのアクティビティのレベル

• 仮想デバイスに適用されるポリシーの複雑さ

ヒント VMware は複数のパフォーマンス測定ツールとリソース割り当てツールを備えています。仮想アプライアンスを実行しながら、ESXi ホストでこれらのツールを使用し、トラフィックの監視とスループットの測定を行います。スループットに満足できない場合は、ESXi ホストを共有する仮想アプライアンスに割り当てられたリソースを調整します。

また、仮想アプライアンスのパフォーマンスと管理を向上させるために VMware ツールを有効にできます。あるいは、ホスト上、または仮想パフォーマンスを調べる ESXi ホストの仮想化管理レイヤ（ゲスト レイヤではなく）に、ツール（ esxtop または VMware/サードパーティのアドオンなど）をインストールできます。VMware ツールを有効にする方法については、『 FireSIGHT System User Guide 』を参照してください。

FireSIGHT

FireSIGHT ™ は、ネットワークの全体像を提供するためにホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、位置情報、および脆弱性に関する情報を収集するシスコのディスカバリおよび認識テクノロジーです。

防御センターの Web インターフェイスを使用して、FireSIGHT で収集したデータを表示および分析することができます。また、このデータを使用することで、アクセス コントロールを実施し、侵入ルールの状態を修正できます。また、ホストの相関イベント データに基づいて、ネットワーク上のホストの侵害の痕跡を生成し、追跡できます。

アクセス コントロール

アクセス制御 はポリシーベースの機能で、ユーザはこれを使用してネットワークを横断できるトラフィックを指定、検査、および記録することが可能です。 アクセス制御ポリシー は、ネットワーク上のトラフィックをシステムがどのように処理するかを決定します。 アクセス制御ルール が含まれていないポリシーを使用して、 デフォルト アクション と呼ばれる以下のいずれかの方法でトラフィックを処理することができます。

• すべてのトラフィックをブロックして、ネットワークに入れない

• すべてのトラフィックを信頼してネットワークに入ることを許可し、検査は行わない

• すべてのトラフィックがネットワークに入ることを許可し、ネットワーク ディスカバリ ポリシーのみを使用してトラフィックを検査する

• すべてのトラフィックがネットワークに入ることを許可し、侵入ポリシーとネットワーク ディスカバリ ポリシーを使用してトラフィックを検査する

アクセス制御ポリシーにアクセス制御ルールを含めて、対象のデバイスがトラフィックをどのように処理するか（簡単な IP アドレスのマッチングから、異なるユーザ、アプリケーション、ポート、および URL が関与する複雑なシナリオまで）、より詳しく定義することができます。それぞれのルールについて、ユーザはルールの アクション 、つまり侵入またはファイル ポリシーと一致するトラフィックを信頼、監視、ブロック、または検査するかどうかを指定します。

それぞれのアクセス制御ポリシーについてカスタム HTML ページを作成することができます。このページは、システムが HTTP 要求をブロックするときに表示されます。オプションで、ユーザに警告するページを表示することができますが、ユーザはボタンをクリックして最初に要求されたサイトの表示を継続できるようにすることも可能です。

アクセス制御の一部として、セキュリティ インテリジェンス機能により、トラフィックがアクセス制御ルールによって分析される前に特定の IP アドレスをブラックリストに登録（トラフィックの入出を拒否）することができます。システムで地理情報をサポートしている場合は、検出された送信元および宛先の国および大陸に基づいて、トラフィックをフィルタすることもできます。

アクセス制御には、侵入の検知および防御、ファイル コントロール、および高度なマルウェア防御が含まれています。詳細については、次の項を参照してください。

侵入検知と侵入防御

侵入検知および防御により、ユーザはセキュリティ違反のネットワーク トラフィックを監視し、インラインの展開で、悪意のあるトラフィックをブロックまたは改正することができます。

侵入防御はアクセス制御に組み込まれており、ユーザは侵入ポリシーと特定のアクセス制御ルールを関連付けることができます。ネットワーク トラフィックがルールの条件と一致する場合、一致するトラフィックを、侵入ポリシーを使用して分析できます。また、侵入ポリシーをアクセス制御ポリシーのデフォルト アクションに関連付けることもできます。

侵入ポリシーは次のようなさまざまな要素で構成されます。

• プロトコル ヘッダー値、ペイロードの内容、および特定のパケット サイズの特性を検査するルール

• FireSIGHT の推奨事項に基づくルール状態設定

• プリプロセッサやその他の検出およびパフォーマンス機能などの高度な設定

• 関連するプリプロセッサとプリプロセッサ オプション用のイベントを生成可能なプリプロセッサ ルール

ファイルの追跡、コントロール、マルウェア防御

マルウェアの影響を特定し、軽減することを容易にするために、FireSIGHT システム のファイル制御、ネットワーク ファイルのトラジェクトリ、および高度なマルウェア防御のコンポーネントはネットワーク トラフィック内のファイルの伝送を（マルウェア ファイルも含めて）検出、追跡、取得、分析、およびオプションでブロックすることができます。

ファイル制御

ファイル制御 により、管理対象デバイスは、ユーザが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード（送信）またはダウンロード（受信）するのを検出およびブロックすることができます。ファイル制御は、全体的なアクセス制御設定の一部として設定します。アクセス制御ルールに関連付けられたファイル ポリシーによって、ルールの条件を満たすネットワーク トラフィックが検査されます。

ネットワークベースの高度なマルウェア防御（AMP）

ネットワークベースの 高度なマルウェア対策 （AMP）によって、複数のファイル タイプのマルウェアに関してネットワーク トラフィックを検査できます。バーチャル デバイスは、詳細な分析を行うために、検出されたファイルをハード ドライブに保存できます。

検出されたファイルは、保存済みかどうかに関係なく、ファイルの SHA-256 ハッシュ値を使用して単純な既知の性質の検索を行うために Collective Security Intelligence クラウド に送信できます。また、脅威のスコアを生成する 動的分析 を行うためにファイルを送信することもできます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するようにシステムを設定できます。

マルウェア防御をアクセス制御設定全体の一部として設定することができます。アクセス制御ルールに関連付けられているファイル ポリシーは、ルールの条件に一致するネットワーク トラフィックを検査します。

FireAMP の統合

FireAMP はシスコのエンタープライズクラスの高度なマルウェア分析および防御ソリューションで、高度なマルウェアの発生、高度で継続的な脅威、および標的型攻撃を検出、認識、ブロックします。

組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自分のコンピュータやモバイル デバイス（ エンドポイント とも呼ばれる）に FireAMP コネクタ をインストールします。これらの軽量エージェントが Collective Security Intelligence クラウドと通信し、次に Collective Security Intelligence クラウドが防御センターと通信します。

防御センターをクラウドに接続するように設定した後で防御センターの Web インターフェイスを使用して、組織のエンドポイントでのスキャン、検出、および検疫の結果として生成されたエンドポイントベースのマルウェア イベントを表示することができます。また、防御センターは FireAMP のデータを使用して、ホストに対する侵害の痕跡を生成および追跡するとともに、ネットワーク ファイルのトラジェクトリを表示します。

FireAMP 展開を構成するには、 FireAMP ポータルを使用します。ポータルは、マルウェアをすばやく特定および検疫するうえで有用です。ユーザはマルウェアを発生時に特定し、それらのトラジェクトリを追跡して影響を把握し、正常にリカバリする方法を学習することができます。FireAMP を使用してカスタム保護を作成する、グループ ポリシーに基づいて特定のアプリケーションの実行をブロックする、カスタム ホワイトリストを作成する、といったことも可能です。

詳細については、 http://amp.sourcefire.com/ を参照してください。

ネットワーク ファイルのトラジェクトリ

ネットワーク ファイル トラジェクトリ機能を使用すれば、ネットワーク全体のファイルの伝送パスを追跡することができます。システムは SHA-256 ハッシュ値を使用してファイルを追跡するため、ファイルを追跡するには、システムで以下のいずれかの処理を行う必要があります。

– ファイルの SHA-256 ハッシュ値を計算し、その値を使用してマルウェアのクラウド ルックアップを実行する

– 防御センターと組織の FireAMP サブスクリプションとの統合を使用して、ファイルについてエンドポイントベースの脅威および検疫データを受け取る

各ファイルには、関連するトラジェクトリ マップが付随しており、これには、一定期間のファイルの転送を視覚的に表したものや、ファイルに関する追加情報が含まれています。

アプリケーション プログラミング インターフェイス

アプリケーション プログラミング インターフェイス（API）を使用してシステムと対話する方法がいくつかあります。詳細については、サポート サイトから追加のドキュメントをダウンロードできます。

eStreamer

Event Streamer（eStreamer）を使用すれば、シスコ アプライアンスからの数種類のイベント データをカスタム開発されたクライアント アプリケーションにストリーム配信できます。クライアント アプリケーションを作成したら、ユーザはそれを eStreamer サーバ（防御センターまたは管理対象デバイス）に接続し、eStreamer サービスを開始して、データのやりとりを始めることができます。

eStreamer の統合ではカスタム プログラミングが必要ですが、これによりユーザはアプライアンスの特定のデータを要求することができます。たとえば、ネットワーク管理アプリケーションの 1 つにネットワーク ホスト データを表示する場合、防御センターからホストの重要度または脆弱性のデータを取得し、その情報を表示に追加するためのプログラムを記述することができます。

外部データベースのアクセス

データベース アクセス機能によって、JDBC SSL 接続をサポートするサードパーティ製クライアントを使用して防御センター上の複数のデータベース テーブルを照会できます。

Crystal Reports、Actuate BIRT、JasperSoft iReport などの業界標準のレポート作成ツールを使用してクエリを作成し、送信することができます。また、独自のカスタム アプリケーションを設定して シスコ データをクエリすることもできます。たとえば、侵入およびディスカバリ イベント データについて定期的にレポートしたり、アラート ダッシュボードをリフレッシュしたりするサーブレットを構築することが可能です。

ホスト入力

ホスト入力機能では、スクリプトまたはコマンドライン ファイルを使用してサードパーティのソースからデータをインポートすることにより、ネットワーク マップの情報を増やすことができます。

Web インターフェイスにもいくつかのホスト入力機能があります。これらの機能では、オペレーティング システムまたはアプリケーション プロトコルの識別情報を変更し、脆弱性を有効化または無効化し、ネットワーク マップからさまざまな項目（クライアントやサーバ ポーとなど）を削除することができます。

修復

システムには、ネットワークの状況が関連する相関ポリシーやコンプライアンス ホワイト リストに違反したときに、防御センターが自動的に起動できる修復の作成を可能にする API が含まれます。これにより、ユーザが攻撃に即時に対処できない場合でも攻撃の影響を自動的に緩和でき、またシステムが組織のセキュリティ ポリシーに準拠し続けるようにすることができます。お客様が作成する修復のほかに、防御センターにはいくつかの事前定義された修復モジュールが付属しています。

複数の管理インターフェイス

シリーズ 3 アプライアンスおよび仮想防御センターで 複数の管理インターフェイス を使用して、2 つのトラフィック チャネル（デバイス間通信を行う 管理トラフィック チャネル および Web アクセスなどの外部トラフィックを伝送する イベント トラフィック チャネル ）にトラフィックを分離することによって、パフォーマンスを向上できます。両方のトラフィック チャネルを同じ管理インターフェイス上で伝送することも、2 つの管理インターフェイスに分割して各インターフェイスで 1 つずつトラフィック チャネルを伝送することもできます。

防御センター上の特定の管理インターフェイスから別のネットワークまでのルートを作成することにより、あるネットワーク上のデバイスからのトラフィックと別のネットワーク上のデバイスからのトラフィックを、防御センターで別々に管理することができます。

追加の管理インターフェイスは、次の例外を除いて、デフォルトの管理インターフェイスと同じように機能（防御センター間でのハイ アベイラビリティを使用など）します。

• DHCP は、デフォルト（ eth0 ）管理インターフェイスにのみ設定できます。追加のインターフェイス（ eth1 など）には、固有の静的 IP アドレスとホスト名が必要です。

• デフォルト以外の管理インターフェイスを使用して防御センターと管理対象デバイスを接続する場合、それらのアプライアンスが NAT デバイスによって分離されているならば、同じ管理インタフェースを使用するよう両方のトラフィック チャネルを設定する必要があります。

• 70xx ファミリでは、2 つのチャネルにトラフィックを分離し、それらのチャネルが仮想防御センターの 1 つ以上の管理インターフェイスにトラフィックを送信するように設定できます。ただし、70xx ファミリには 1 つの管理インターフェイスしかないため、デバイスは唯一の管理インターフェイス上で防御センターから送信されたトラフィックを受信します。

アプライアンスを設置した後、Web ブラウザを使用して複数の管理インターフェイスを設定します。管理インターフェイスを仮想防御センターに追加する方法については、「インターフェイスの追加と構成」を参照してください。詳細については、『 FireSIGHT System User Guide 』の「Multiple Management Interfaces」を参照してください。

インターネット アクセス要件

仮想防御センターは、デフォルトでオープンしているポート 443/tcp（HTTPS）および 80/tcp（HTTP）でインターネットに直接接続するように設定されます。バーチャル デバイスでは、マルウェア ライセンスを有効にしている場合のみ、ポート 443 がオープンします。このポートがオープンしていると、デバイスは動的分析のためにファイルを送信できます。詳細については、「通信ポートの要件」を参照してください。FireSIGHT 仮想アプライアンスはプロキシ サーバの使用をサポートしています。詳細については、『 FireSIGHT System User Guide 』を参照してください。プロキシ サーバは whois アクセスに使用できない点にも注意が必要です。

次の表に、FireSIGHT システムの特定の機能におけるインターネット アクセス要件を示します。

通信ポートの要件

FireSIGHT システム アプライアンスは、（デフォルトでポート 8305/tcp を使用する）双方向 SSL 暗号化通信チャネルを使って通信します。基本的なアプライアンス間通信用にこのポートを開いたままにする 必要があります 。他のオープン ポートの役割は次のとおりです。

• アプライアンスの Web インターフェイスにアクセスする

• アプライアンスへのリモート接続を保護する

• 特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にする

一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。たとえば、ユーザ エージェントに防御センターを接続するまで、エージェントの通信ポート（3306/tcp）は閉じられたままです。別の例としては、LOM を有効にするまで、シリーズ 3 アプライアンスのポート 623/udp は閉じられたままです。

たとえば、管理デバイスのポート 25/tcp（SMTP）アウトバウンドを閉じると、デバイスによる個々の侵入イベントに関する電子メール通知の送信がブロックされます（『 FireSIGHT System User Guide 』を参照）。別の例としては、ポート 443/tcp（HTTPS）を閉じることによって、物理管理対象デバイスの Web インターフェイスへのアクセスを無効にできますが、これにより、デバイスはマルウェアと疑われるファイルを動的分析のために Collective Security Intelligence クラウドに送信することもできなくなります。

次のように、システムのいくつかの通信ポートを変更できることに注意してください。

• システムと認証サーバの間の接続を設定する場合に、LDAP および RADIUS 認証用にカスタム ポートを指定できます。『 FireSIGHT System User Guide 』を参照してください。

• 管理ポート（8305/tcp）は変更できます。『 FireSIGHT System User Guide 』を参照してください。ただし、シスコでは、デフォルト設定を維持することを 強く 推奨しています。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。

• アップグレードした防御センターが Collective Security Intelligence クラウドと通信できるようにするため、ポート 32137/tcp を使用できます。ただし、シスコでは、バージョン 5.3 以降の新規インストールのデフォルトであるポート 443 に切り替えることを推奨しています。詳細については、『 FireSIGHT System User Guide 』を参照してください。

次の表は、FireSIGHT システムの機能を最大限に活用できるように、各アプライアンス タイプで必要なオープン ポートを示しています。