Sourcefire 3D システム仮想インストールガイドバージョン 5.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: Sourcefire 3D System の概要
Sourcefire 3D System の概要
Sourcefire 3D® システムは、業界トップ レベルのネットワーク侵入防御システムのセキュリティに、検出されたアプリケーション、ユーザ、および URL に基づいてネットワークへのアクセスを制御する機能を組み合わせたものです。ユーザは Sourcefire のアプライアンスを、スイッチド、ルーテッド、または(この両者を組み合わせた)ハイブリッドの環境内で使用することで、ネットワーク アドレス変換(NAT)を実行することができます。また、管理対象デバイスの Sourcefire の仮想ルータ間で安全な仮想プライベート ネットワーク(VPN)トンネルを構築することができます。
Sourcefire 防御センター ® は、Sourcefire 3D System に集中管理コンソールとデータベース リポジトリを提供します。ネットワーク セグメントにインストールされている管理対象デバイスは、分析用のトラフィックを監視します。
パッシブな展開のデバイスは、ネットワークを流れるトラフィックを、スイッチ SPAN、仮想スイッチ、ミラー ポートなどを使用して監視します。パッシブ センシング インターフェイスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは再送信されません。
インライン展開のデバイスでは、ネットワーク上のホストの可用性、整合性、または機密性に影響を及ぼす可能性がある攻撃からネットワークを保護できます。インライン インターフェイスはすべてのトラフィックを無条件で受信し、展開環境での設定によって明示的に廃棄されている場合を除き、これらのインターフェイスで受信されたトラフィックは再送信されます。インライン デバイスは単純な侵入防御システムとして展開できます。インライン デバイスを設定して、アクセス制御を実行したり、他の方法でネットワーク トラフィックを管理したりすることができます。
物理アプライアンスのほかに、ソフトウェア ベースの以下の Sourcefire アプライアンスを展開することができます。
64 ビット仮想防御センター ® (VMware ESXi および VMware VMware vCloud Director ホスティング環境用)
このガイドでは、Sourcefire 3D System の機能に関する情報を提供します。各章の説明、図、および手順には、ユーザ インターフェイスをナビゲートする、システム パフォーマンスを最大にする、問題をトラブルシューティングする、といったことに役に立つ詳細な情報が記載されています。
以下のトピックでは Sourcefire 3D System の概要、主なコンポーネント、Sourcefire アプライアンスに対するログインとログアウトの方法について説明します。また、システムの Web インターフェイスの使用に関する基本的な情報が含まれており、このガイドの使用法について理解するうえで有用です。
Sourcefire 3D System のアプライアンス
Sourcefire アプライアンス は、トラフィック検知の管理対象の デバイス または管理を実行する 防御センター のいずれかです。
物理的なデバイスはフォールトトレラントで、特定の目的に特化したネットワークアプライアンスであり、ある範囲のスループットおよび機能で使用することができます。防御センターはこれらのデバイスの集中管理ポイントとして機能し、生成されたイベントを自動的に集約し、関連付けます。それぞれの物理アプライアンスのタイプには、いくつかの モデル があります。これらのモデルはさらに シリーズ と ファミリ に分類されます。
また、64 ビットの仮想防御センターとデバイスを、VMware ESXi および VMware vCloud Director ホスティング環境でホストすることもできます。仮想防御センターは物理デバイスを管理することが可能で、物理防御センターは仮想デバイスを管理することが可能です。また、X-シリーズの Sourcefire ソフトウェア を Crossbeam プラットフォームでホストすることができます。
Sourcefire 3D System の多くの機能は、アプライアンスによって異なります。詳細については、次の項を参照してください。
防御センター
防御センターは Sourcefire 3D System 展開環境に集中管理ポイントとイベント データベースを提供します。(物理および仮想両方の) 防御センターは侵入、ファイル、マルウェア、ディスカバリ、接続、およびパフォーマンスのデータを集約して関連付け、特定のホストにおけるイベントの影響を評価し、ホストに侵害の痕跡のタグを付けます。これにより、デバイス間で交わされる情報の監視、ネットワーク上で発生するアクティビティ全体の評価や制御が可能になります。
管理対象デバイス
物理 Sourcefire デバイスはフォールトトレラントで、特定の目的に特化したネットワークアプライアンスであり、ある範囲のスループットで使用することができます。仮想デバイスまたは X-シリーズの Sourcefire ソフトウェア をホストすることもできます。パッシブに展開されたデバイスは、ネットワーク トラフィックについて理解するうえで有用です。インラインで展開されている場合は、Sourcefire デバイスを使用し、複数の基準に基づいてトラフィックのフローに影響を及ぼすことができます。防御センターを使用して Sourcefire デバイスを管理する必要があります。
アプライアンスのシリーズ、モデル、および機能について
Sourcefire 3D System のバージョン 5.3 は、物理アプライアンスの 2 つのシリーズ、および仮想アプライアンスと X-シリーズの Sourcefire ソフトウェア で使用することができます。Sourcefire 3D System の多くの機能は、アプライアンスによって異なります。詳細については、以下を参照してください。
シリーズ 2 のアプライアンス
シリーズ 2 は Sourcefire の物理アプライアンスの 2 番目のシリーズです。リソースとアーキテクチャの制限により、シリーズ 2 のデバイスは、Sourcefire 3D System の一部の機能セットしかサポートしていません。
Sourcefire では新しい シリーズ 2 のアプライアンスを出荷していませんが、シリーズ 2 デバイスおよび防御センターをバージョン 5.3 に再イメージングすることができます。再イメージングを実行すると、アプライアンス上の すべての 設定およびイベント データが失われます。詳細については、『 Sourcefire 3D System Installation Guide 』を参照してください。
バージョン 5.3 を実行している場合、シリーズ 2 のデバイスは 保護ライセンスに関連付けられているほとんどの機能(侵入検知および防御、ファイル制御、基本的なアクセス制御など)を自動的に備えています。ただし、シリーズ 2 のデバイスはセキュリティ インテリジェンス フィルタリング、高度なアクセス制御、または高度なマルウェア対策は実行できません。また、シリーズ 2 のデバイスでライセンスを取得した他の機能を有効にすることもできません。高速パス ルール、スタッキング、およびタップ モードをサポートしている 3D9900 を除いて、シリーズ 2 のデバイスは、シリーズ 3 のデバイスに関連付けられているハードウェアベースの機能(スイッチング、ルーティング、NAT など)をサポートしていません。
バージョン 5.3、DC1000、および DC3000 シリーズ 2 防御センターは、Sourcefire 3D System のすべての機能をサポートしていますが、DC500 には、制限された機能のみ付随しています。
シリーズ 3 のアプライアンス
シリーズ 3 はSourcefire の物理アプライアンスの 3 番目のシリーズです。すべての 7000 シリーズ および8000 シリーズ のデバイスはシリーズ 3 のアプライアンスです。8000 シリーズ のデバイスはより強力で、7000 シリーズ のデバイスがサポートしていない機能をサポートしています。
仮想アプライアンス
64 ビットの仮想防御センターとデバイスを、VMware ESXi および VMware vCloud Director ホスティング環境でホストすることができます。仮想防御センターは最大 25 個の物理または仮想デバイスを管理することが可能で、物理防御センターは仮想デバイスを管理することが可能です。
インストールおよび適用されているライセンスに関係なく、仮想アプライアンスはシステムのハードウェアベースの機能(冗長性、リソース共有、スイッチング、ルーティングなど)をサポートしません。また、仮想デバイスには Web インターフェイスがありません。
X-シリーズの Sourcefire ソフトウェア
Crossbeam プラットフォーム上でソフトウェアベースの X-シリーズの Sourcefire ソフトウェア をホストすることができます。これは仮想デバイスと類似の機能を備えています。仮想デバイスと同様に、X-シリーズの Sourcefire ソフトウェア には Web インターフェイスがありません。
インストールおよび適用されているライセンスに関係なく、X-シリーズの Sourcefire ソフトウェア はハードウェアベースの機能(冗長性、リソースの共有、スタッキング、クラスタリング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。
Sourcefire 3D System を使用して冗長性を設定することはできませんが、X-シリーズの Sourcefire ソフトウェアのパッケージをインストールするときに冗長性を設定することができます。詳細については、『 Sourcefire Software for X-Series Installation Guide 』を参照してください。
Sourcefire では新しい シリーズ 2 のアプライアンスを出荷していませんが、シリーズ 2 デバイスおよび防御センターをバージョン 5.3 に再イメージングすることができます。再イメージングを実行すると、アプライアンス上の すべての 設定およびイベント データが失われます。詳細については、『 Sourcefire 3D System Installation Guide 』を参照してください。
防御センター バージョン 4.10.3 または 3D Sensor の特定の設定とイベント データを、防御センター バージョン 5.2 へ移行し、その後でバージョン 5.3 にアップグレードすることができます。詳細については、『 Sourcefire 3D System Migration Guide 』でバージョン 5.2 を参照してください。ガイドおよび移行スクリプトの入手については、Sourcefire のサポートへお問い合わせください。
Sourcefire 3D System のコンポーネント
以下のトピックでは、組織のセキュリティ、適用可能な使用ポリシー、およびトラフィック管理の戦略に対して有用な Sourcefire 3D System の主な機能について説明します。
アプリケーション プログラミング インターフェース
ヒント! Sourcefire 3D System の多くの機能はアプライアンス モデル、ライセンス、およびユーザ ロールによって異なります。このドキュメントには、各機能に対して Sourcefire 3D System のどのライセンスとデバイスが必要か、各手順を完了するための権限を持っているのはどのユーザ ロールかについての情報が含まれています。詳細については、 ドキュメントの表記規則を参照してください。
冗長性およびリソース共有
Sourcefire 3D System の冗長性およびリソース共有の機能により、操作の継続性が保証され、複数の物理デバイスのリソースの処理を組み合わせることが可能になります。
防御センター高可用性
操作の継続性を確保するために、防御センターの 高可用性 機能を使用して、冗長な DC1000、DC1500、DC3000、または DC3500 の防御センターでデバイスを管理するよう指定することができます。イベント データは、管理対象デバイスから両方の防御センターへストリームされます。いくつかの設定要素は、両方の防御センターで保持されます。一方の防御センターで障害が発生した場合、他方の防御センターの使用を中断せずにネットワークを監視することができます。
デバイスのスタッキング
デバイスのスタッキング では、1 つのスタック構成内で 2 ~ 4 個の物理デバイスを接続することにより、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。スタック型の構成を確立する場合は、スタックされている各デバイスのリソースを、共有している 1 つの構成に統合します。
デバイスのクラスタリング
デバイスのクラスタリング (デバイスの高可用性とも呼ばれる)では、2 つ以上の シリーズ 3 デバイスまたはスタック間でのネットワーキング機能および設定データの冗長性を確立することができます。2 つ以上のピア デバイスまたはスタックをクラスタリングすると、ポリシーの適用、システムの更新、および登録について 1 つの論理システムが生成されます。デバイスのクラスタリングを使用して、システムは手動または自動でフェイルオーバーを実現することが可能です。
ほとんどの場合には、Sourcefire Redundancy Protocol(SFRP)を使用することによって、デバイスをクラスタリングせずにレイヤ 3 の冗長性を実現できます。SFRP では、指定した IP アドレスに対する冗長なゲートウェイとしてデバイスを機能させることができます。ネットワークの冗長性では、2 つ以上のデバイスまたはスタックが同じネットワーク接続を提供し、ネットワーク上の他のホストに対する接続性を保証するよう設定することができます。
ネットワーク トラフィックの管理
Sourcefire 3D System のネットワーク トラフィック管理機能では、管理対象デバイスを組織のネットワーク インフラストラクチャの一部として機能させることができます。ユーザは、スイッチド、ルーテッド、または(この両者を組み合わせた)ハイブリッドの環境内で機能するよう シリーズ 3 のデバイスを設定し、ネットワーク アドレス変換(NAT)を実行することができます。また、安全な仮想プライベート ネットワーク(VPN)トンネルを構築することができます。
スイッチング
複数のネットワーク セグメントの間でパケットのスイッチングが可能になるように、レイヤ 2 の展開で Sourcefire 3D System を設定することができます。レイヤ 2 の展開では、スタンドアロンのブロードキャスト ドメインとして動作するよう、管理対象デバイス上でスイッチド インターフェイスおよび仮想スイッチを設定します。仮想スイッチは、ホストの MAC アドレスを使用してパケットの送信先を決定します。
ルーティング
複数のインターフェイス間でトラフィックをルーティングするように、レイヤ 3 の展開で、Sourcefire 3D System を設定することができます。レイヤ 3 の展開では、トラフィックを受信および転送するように、管理対象デバイス上でルーテッド インターフェイスと仮想ルータを設定します。システムは宛先の IP アドレスに従ってパケットの転送を判断することによって、パケットをルーティングします。ルータは転送基準に基づいて発信インターフェイスから宛先を取得し、アクセス コントロール ルールは、適用するセキュリティ ポリシーを指定します。
仮想ルータを設定するときに、スタティック ルートを定義できます。また、Routing Information Protocol(RIP)およびOpen Shortest Path First(OSPF)のダイナミック ルーティング プロトコルを設定することができます。スタティック ルートと RIP、またはスタティック ルートと OSPF の組み合わせを設定することもできます。ユーザは、設定するそれぞれの仮想ルータに対して DHCP リレーを設定できます。
Sourcefire アプライアンスの設定で仮想スイッチと仮想ルータの両方を使用する場合は、それらの 2 つの間でトラフィックをブリッジするように関連付けられているハイブリッド インターフェイスを設定できます。これらのユーティリティはトラフィックを分析し、そのタイプと適切な応答(ルート、スイッチ、またはそれ以外)を判断します。
FireSIGHT
FireSIGHT™ は Sourcefire のディスカバリおよび認識テクノロジーで、ユーザがネットワークの全容を理解できるようにするために、ホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、地理情報、および脆弱性に関する情報を収集します。
防御センターの Web インターフェイスを使用して、FireSIGHT で収集したデータを表示および分析することができます。また、このデータを使用することで、アクセス制御を実行し、侵入ルールの状態を修正できます。また、ホストの相関イベント データに基づいて、ネットワーク上のホストの侵害の痕跡を生成し、追跡できます。
アクセス制御
アクセス制御 はポリシーベースの機能で、ユーザはこれを使用してネットワークを横断できるトラフィックを指定、検査、および記録することが可能です。 アクセス制御ポリシー は、ネットワーク上のトラフィックをシステムがどのように処理するかを決定します。 アクセス制御ルール が含まれていないポリシーを使用して、 デフォルト アクション と呼ばれる以下のいずれかの方法でトラフィックを処理することができます。
すべてのトラフィックがネットワークに入ることを許可し、侵入およびネットワーク ディスカバリ ポリシーを使用してトラフィックを検査する
アクセス制御ポリシーにアクセス制御ルールを含めて、対象のデバイスがトラフィックをどのように処理するか(簡単な IP アドレスのマッチングから、異なるユーザ、アプリケーション、ポート、および URL が関与する複雑なシナリオまで)、より詳しく定義することができます。それぞれのルールについて、ユーザはルールの アクション 、つまり侵入またはファイル ポリシーと一致するトラフィックを信頼、監視、ブロック、または検査するかどうかを指定します。
それぞれのアクセス制御ポリシーについてカスタム HTML ページを作成することができます。このページは、システムが HTTP 要求をブロックするときに表示されます。オプションで、ユーザに警告するページを表示することができますが、ユーザはボタンをクリックして最初に要求されたサイトの表示を継続できるようにすることも可能です。
アクセス制御の一部として、セキュリティ インテリジェンス機能により、トラフィックがアクセス制御ルールによって分析される前に特定の IP アドレスをブラックリストに登録(トラフィックの入出を拒否)することができます。システムで地理情報をサポートしている場合は、検出された送信元および宛先の国および大陸に基づいて、トラフィックをフィルタすることもできます。
アクセス制御には、侵入の検知および防御、ファイル コントロール、および高度なマルウェア防御が含まれています。詳細については、次の項を参照してください。
侵入検知と侵入防御
侵入検知および防御により、ユーザはセキュリティ違反のネットワーク トラフィックを監視し、インラインの展開で、悪意のあるトラフィックをブロックまたは改正することができます。
侵入防御はアクセス制御に組み込まれており、ユーザは侵入ポリシーと特定のアクセス制御ルールを関連付けることができます。ネットワーク トラフィックがルールの条件と一致する場合、一致するトラフィックを、侵入ポリシーを使用して分析できます。また、侵入ポリシーをアクセス制御ポリシーのデフォルト アクションに関連付けることもできます。
ファイルの追跡、コントロール、マルウェア防御
マルウェアの影響を特定し、軽減することを容易にするために、Sourcefire 3D System のファイル制御、ネットワーク ファイルのトラジェクトリ、および高度なマルウェア防御のコンポーネントはネットワーク トラフィック内のファイルの伝送を(マルウェア ファイルも含めて)検出、追跡、取得、分析、およびオプションでブロックすることができます。
ファイル制御
ファイル制御 により、管理対象デバイスは、ユーザが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出およびブロックすることができます。ファイル制御をアクセス制御設定全体の一部として設定することができます。アクセス制御ルールに関連付けられているファイル ポリシーは、ルールの条件に一致するネットワーク トラフィックを検査します。
ネットワークベースの高度なマルウェア防御(AMP)
ネットワークベースの 高度なマルウェア防御 (AMP)を使用して、システムはネットワーク トラフィックでいくつかのファイル タイプ(PDF、Microsoft Office の多数のドキュメント、その他のタイプなど)でマルウェアを検査することができます。マルウェアが検出されると、管理対象デバイスはこれらのファイルを手動で分析するためにハード ドライブまたはマルウェアのストレージ パックに保存することができます。デバイスがファイルを保存するかどうかに関係なく、デバイスは 動的分析 のためにファイルを Sourcefire のクラウドへ送信することが可能です。また、防御センターは以下の結果に基づいて、ファイルの性質を割り当てます。
FireAMP の統合
FireAMP は Sourcefire のエンタープライズクラスの高度なマルウェア分析および防御ソリューションで、高度なマルウェアの発生、高度で継続的な脅威、および標的型攻撃を検出、認識、ブロックします。
組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自身のコンピュータおよびモバイル デバイス( エンドポイント とも呼ばれる)に FireAMP Connector をインストールします。これらの軽量なエージェントは Sourcefire クラウドと通信し、これが防御センターと通信します。防御センターをクラウドに接続するように設定した後で防御センターの Web インターフェイスを使用して、組織のエンドポイントでのスキャン、検出、および検疫の結果として生成されたエンドポイントベースのマルウェア イベントを表示することができます。
FireAMP ポータル ( http://amp.sourcefire.com/ )を使用して、FireAMP の展開を設定します。ポータルは、マルウェアをすばやく特定および検疫するうえで有用です。ユーザはマルウェアを発生時に特定し、それらのトラジェクトリを追跡して影響を把握し、正常にリカバリする方法を学習することができます。FireAMP を使用してカスタム保護を作成する、グループ ポリシーに基づいて特定のアプリケーションの実行をブロックする、カスタム ホワイトリストを作成する、といったことも可能です。
アプリケーション プログラミング インターフェース
アプリケーション プログラミング インターフェイス(API)を使用してシステムと対話する方法がいくつかあります。詳細については、サポート サイトから追加のドキュメントをダウンロードできます。
eStreamer
Event Streamer(eStreamer)では、Sourcefire のアプライアンスからカスタム開発のクライアント アプリケーションへ、いくつかの種類のイベント データをストリームすることができます。クライアント アプリケーションを作成したら、ユーザはそれを eStreamer サーバ(防御センターまたは管理対象デバイス)に接続し、eStreamer サービスを開始して、データのやりとりを始めることができます。
eStreamer の統合ではカスタム プログラミングが必要ですが、これによりユーザはアプライアンスの特定のデータを要求することができます。たとえば、ネットワーク管理アプリケーションの 1 つにネットワーク ホスト データを表示する場合、防御センターからホストの重要度または脆弱性のデータを取得し、その情報を表示に追加するためのプログラムを記述することができます。
外部データベースのアクセス
データベース アクセス機能により、JDBC SSL 接続をサポートしているサードパーティのクライアントを使用して、Sourcefire 防御センターのいくつかのデータベース テーブルに対しクエリを実行することができます。
Crystal Reports、Actuate BIRT、JasperSoft iReport などの業界標準のレポート作成ツールを使用してクエリを作成し、送信することができます。また、独自のカスタム アプリケーションを設定して Sourcefire データをクエリすることもできます。たとえば、侵入およびディスカバリ イベント データについて定期的にレポートしたり、アラート ダッシュボードをリフレッシュしたりするサーブレットを構築することが可能です。
セキュリティ、インターネット アクセス、および通信ポート
防御センターを保護するためには、保護された内部ネットワークに防御センターをインストールする必要があります。防御センターは、使用可能なサービスとポートのうち必要なもののみを持つように設定されていますが、攻撃がファイアウォールの外から侵入して、ここまで到達できないことを確認する必要があります。
防御センターと管理対象デバイスが同じネットワーク上に存在している場合は、デバイス上の管理インターフェイスを、防御センターと同じ保護された内部ネットワークに接続することができます。これにより、ユーザは防御センターからデバイスを安全に制御し、管理対象デバイスのネットワーク セグメント上で生成されたイベント データを集約することができます。防御センターのフィルタリング機能を使用して、ネットワーク全体で攻撃のデータを分析して相関付け、セキュリティ ポリシーが適切に実装されているかを評価することができます。
ただし、Sourcefire のアプライアンスはインターネットに直接接続するように設定されていることに注意してください。Sourcefire 3D System の機能には、この直接接続が必要なものと、プロキシ サーバの使用をサポートするものとがあります。またシステムでは、アプライアンスの Web インターフェイスにアクセスできるようにするため、および基本的なアプライアンス内通信のために、特定のポートをオープンなままにしておく必要があります。デフォルトでは、システムが追加の機能を利用できるようにするために、他のいくつかのポートがオープンになっています。
インターネット アクセスの要件
デフォルトでは、Sourcefire のアプライアンスは、インターネットに直接接続するように設定されています。Sourcefire 3D System の一部の機能では、この直接接続が必要です。ただし、このような機能はすべてプロキシ サーバの使用をサポートしています。『 Sourcefire 3D SystemUser Guide 』の「Configuring Network Setting」を参照してください。
ヒント! ユーザは、システム ソフトウェア、侵入ルール、GeoDB、VDB の更新をアプライアンスへ手動でアップロードすることができます。
操作の継続性を確保するために、高可用性ペアの両方の防御センターがインターネットにアクセスできる必要があります。特定の機能については、プライマリ防御センターがインターネットにアクセスし、同期プロセスでセカンダリと情報を共有します。このためプライマリで障害が発生した場合は、『 Sourcefire 3D System User Guide 』の「Monitoring and Changing High Availability Status」に記載されているように、セカンダリをプライマリにプロモートする必要があります。
次の表では、Sourcefire 3D System のインターネット アクセスの要件について説明します。
オープンな通信ポートの要件
Sourcefire 3D System では、ユーザがアプライアンスの Web インターフェイスへアクセスできるようにするため、および基本的なアプライアンス内通信のためにポート 443(受信)および 8305(受信および送信)をオープンにしておく必要があります。
デフォルトでは、システムが追加の機能を利用できるようにするために、他のいくつかのポートがオープンになっています。次の表に、これらのポートを示します。ポート 67 と 68 では DHCP がデフォルトで無効になっていることに注意してください。
ドキュメント リソース
Sourcefire 3D System のドキュメント セットには、オンライン ヘルプと PDF ファイルが含まれています。ユーザは次の 2 つの方法でオンライン ヘルプを使用できます。
[Help] > [Online] を選択する
オンライン ヘルプには、Web インターフェイスで完了できるタスクに関する情報(ユーザ管理、システム管理、イベント分析の手順や概念的な情報など)が含まれています。
Sourcefire 3D System User Guide (オンライン ヘルプと同じ内容が含まれていますが、印刷が簡単な形式)
- Sourcefire 3D System Installation Guide (Sourcefire のアプライアンスをインストールするための情報、およびハードウェア仕様特有の情報と安全に関する情報が含まれる)
- Sourcefire 3D システム仮想インストール ガイド(仮想デバイスおよび仮想防御センターのインストール、管理、およびトラブルシューティングに関する情報が含まれる)
- Sourcefire Software for X-Series Installation Guide(X-シリーズの Sourcefire ソフトウェア のインストール、管理、およびトラブルシューティングに関する情報が含まれる)
各種の API ガイドおよび補足資料
Sourcefire のサポート サイト( https://support.sourcefire.com/ )で PDF ドキュメントマニュアルの最新バージョンを入手できます。
ドキュメントの表記規則
このドキュメントには、各機能に対して Sourcefire 3D System のどのライセンスとアプライアンス モデルが必要か、各手順を完了するための権限を持っているのはどのユーザ ロールかについての情報が含まれています。詳細については、次の項を参照してください。
ライセンスの表記規則
項の先頭に記載されているライセンス文は、この項に記載されている機能を使用するのに必要なライセンスを示しています。具体的なライセンスは次のとおりです。
FireSIGHT
FireSIGHT ライセンスは防御センターに含まれており、ホスト、アプリケーション、およびユーザ ディスカバリの実行に必要です。防御センターでのFireSIGHT ライセンスは、防御センターとその管理対象デバイスで監視可能なホストおよびユーザの数、ユーザ制御を実行ために使用可能なユーザの数を決定します。
防御センターが以前にバージョン 4.10.x を実行していた場合は、FireSIGHT ライセンスの代わりに古い RNA Host および RUA User ライセンスを使用できる可能性があります。
制御
制御ライセンスでは、管理対象デバイスでユーザおよびアプリケーションの制御を実行することができます。また、デバイスがスイッチングおよびルーティング(DHCP リレーを含む)や NAT を実行したり、デバイスおよびスタックをクラスタ化したりできます。制御ライセンスには保護ライセンスが必要です。
URL フィルタリング
URL フィルタリング ライセンスでは、管理対象デバイスが定期的に更新されるクラウドベースのカテゴリおよびレピュテーション データを使用して、監視対象ホストが要求した URL に基づいて、ネットワークを通貨できるトラフィックを判別できます。URL フィルタリング ライセンスには保護ライセンスが必要です。
マルウェア
マルウェア ライセンスでは、管理対象デバイスがネットワークベースの高度なマルウェア防御(AMP)を実行できます。これは、ネットワーク上で転送されるファイルに含まれるマルウェアを検出、取得、およびブロックし、動的な分析のためにこれらのファイルを送信することができる機能です。また、ネットワーク上で転送されるファイルを追跡するトラジェクトリを表示することもできます。マルウェア ライセンスには保護ライセンスが必要です。
VPN
VPN ライセンスでは、Sourcefire の管理対象デバイスの仮想ルータ間で安全な VPN トンネルを構築することができます。VPN ライセンスには保護および制御ライセンスが必要です。
ライセンス付きの機能の多くは追加機能であるため、このドキュメントでは、各機能で最も必要なライセンスについてのみ記載しています。たとえば、ある機能で FireSIGHT、保護、および制御のライセンスが必要な場合、制御のみが記載されています。
ライセンス文の "または" という語は、この項に記載されている機能を使用するには特定のライセンスが必要であるが、追加のライセンスで機能を追加することができることを示しています。たとえば、あるファイル ポリシーで、一部のファイル ルール アクションには保護ライセンスが必要であり、その他のファイル ルール アクションではマルウェア ライセンスが必要であるとします。この場合、そのファイル ルールの説明のライセンス文には、"保護またはマルウェア" と示されます。
アーキテクチャとリソースの制限により、すべての管理対象デバイスにすべてのライセンスが適用できるわけではないことに注意してください。一般に、デバイスがサポートしていない機能のライセンスは付与できません。 アプライアンスのモデル別のサポートされる機能を参照してください。ユーザが使用できる機能に対してライセンスがどのような影響を与えるかについて、および古い RNA Host および RUA User ライセンスの使用についての詳細は、『 Sourcefire 3D System User Guide 』の「Understanding Licensing」を参照してください。
サポートされるデバイスと防御センターの表記規則
項の先頭に記載されているサポートされるデバイス文は、ある機能が特定のデバイス シリーズ、ファミリ、またはモデルでのみサポートされていることを示しています。たとえば、スタッキングは シリーズ 3 のデバイスでのみサポートされています。項にサポートされるデバイス文が記載されていない場合は、機能がすべてのデバイスでサポートされているか、またはその項が管理対象デバイスに適用されないことを表しています。
このリリースでサポートされているプラットフォームの詳細については、 アプライアンスのシリーズ、モデル、および機能についてを参照してください。
アクセスの表記規則
このドキュメントの各手順の先頭に記載されているアクセス文は、手順の実行に必要な事前定義のユーザ ロールを示しています。複数のロールを区切るスラッシュは、記載されているどのロールでも手順を実行できることを示しています。次の表は、アクセス文で使用される共通の用語について定義しています。
ユーザはいずれのロールを持っていてもよいが、Administrator ロールのみが無制限のアクセス権を持つ(プライベートとして保存された他のユーザのデータを参照できるなど) |
|
ユーザは、Security Analyst または Security Analyst(読み取り専用)のロールのいずれかを持つことができる |
|
カスタム ロールを持っているユーザは、事前定義されたロールとは異なる権限セットを持つことができます。事前定義のロールを使用して、ある手順に対するアクセス要件を示す場合は、類似の権限を持つカスタム ロールもアクセス権限を持っています。カスタム ユーザ ロールの詳細については、『 Sourcefire 3D System User Guide 』の「Managing Custom User roles」を参照してください。
IP アドレスの表記規則
IPv4 Classless Inter-Domain Routing(CIDR)の表記、および IPv6 の類似のプレフィックス長の表記を使用して、Sourcefire 3D System の多数の個所におけるアドレス ブロックを定義することができます。
CIDR 表記は、ネットワーク IP アドレスとビット マスクを組み合わせて使用し、指定されたアドレス ブロック内の IP アドレスを定義します。たとえば次の表に、プライベート IPv4 アドレス空間を CIDR 表記で示します。
同様に、IPv6 はネットワーク IP アドレスとプレフィックス長を組み合わせて使用し、指定されたブロック内の IP アドレスを定義します。たとえば 2001:db8::/32 は、プレフィックス長が 32 ビットの 2001:db8:: ネットワーク内の IPv6 アドレスを表します。つまり、2001:db8:: ~ 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff を表します。
CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、Sourcefire 3D System は、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分 のみ を使用します。たとえば、10.1.2.3/8 と入力した場合、Sourcefire 3D System では 10.0.0.0/8 が使用されます。
つまり Sourcefire は、CIDR またはプレフィックス長の表記を使用する場合に、ビット境界上でネットワーク IP アドレスを使用する標準の方法を推奨していますが、Sourcefire 3D System ではこれは必要ありません。
アプライアンスへのログイン
任意
防御センターには Web ベースのインターフェイスが用意されており、これを使用して管理および分析のタスクを実行することができます。物理管理対象デバイスは Web ベースの制限されたインターフェイスを備えており、これによって、初期設定および基本的な分析と設定のタスクを実行できます。仮想管理対象デバイスおよび X-シリーズの Sourcefire ソフトウェア には Web インターフェイスがありません。ユーザは Web ブラウザを使用してアプライアンスにログインして、Web インターフェイスにアクセスすることができます。ブラウザ要件の詳細については、リリース ノートで Sourcefire 3D System のこのバージョンについて参照してください。
インストール後にアプライアンスに最初にログインするユーザは、管理ユーザ アカウント( admin )を使用してログインし、初期設定プロセスを完了する必要があります。これについては、『 Sourcefire 3D System Installation Guide 』に記載されています。『 Sourcefire 3D System User Guide 』の「Adding New User Accounts」に記載されているとおりに他のユーザ アカウントを作成した後は、自分自身と他のユーザはこれらのアカウントを使用して Web インターフェイスにログインする必要があります。
重要! Sourcefire のアプライアンスはユーザ アカウントに基づいてユーザ アクティビティを監査するため、ユーザが正しいアカウントでシステムにログインしていることが保証されます。
アプライアンスにログインすると、ユーザがアクセスできる機能は、対象のユーザ アカウントに付与されている権限によって制御されます。ただし、アプライアンスに対するログインおよびログアウトの手順は変わりません。ログイン時に組織で SecurID ® トークンを使用している場合は、SecurID PIN にトークンが付加され、ログインするためのパスワードとして使用されます。たとえば、PIN が 1111 で SecurID トークンが 222222 の場合は、 1111222222 と入力します。
Web セッションでアプライアンスのホーム ページに初めてアクセスするユーザは、そのアプライアンスの最後のログイン セッション情報を表示することができます。最後のログインについて、次の情報を表示できます。
アプライアンスにアクセスするために最後に使用されたホストとドメイン名
デフォルトでは、ユーザがセッションからタイムアウトされないと設定されていない限り、非活動の状態が 1 時間経過した後で、自動的にセッションからユーザがログアウトされます。Administrator ロールを持つユーザは、システム ポリシーでセッションのタイムアウト間隔を変更できます。詳細については、『 Sourcefire 3D System User Guide 』の「Managing User Login Settings and Configuring User Interface Settings」を参照してください。
プロセスの中には長時間かかるものがあります。このため、Web ブラウザで、スクリプトが応答しなくなっていることを示すメッセージが表示されることがあります。このような場合は、プロセスが完了してからスクリプトを続行するようにしてください。
Web インターフェイスを使用してアプライアンスにログインするには:
Any
[Username] および [Password] フィールドで、ユーザ名とパスワードを入力します。ユーザ名では、大文字と小文字が区別されます。
企業で SecurID を使用している場合、SecurID トークンが SecurID PIN の末尾に付加され、ログイン時にパスワードとして使用されます。Sourcefire 3D System にログインする前に、自身の SecurID PIN を生成しておく必要があります。
[Login] をクリックします。
デフォルトの開始ページが表示されます。ユーザ アカウントに対して新しいホーム ページを選択した場合は、代わりにそのページが表示されます。詳細については、『 Sourcefire 3D System User Guide 』の「Specifying Your Home Page」を参照してください。
ページの上部に表示されるメニューおよびメニュー オプションは、ユーザ アカウントの権限によって異なります。ただし、デフォルト ホームページのリンクには、ユーザ アカウントの権限の範囲に対応するオプションが含まれています。アカウントに付与されている権限とは異なる権限が必要なリンクをクリックすると、次の警告メッセージが表示されます。
アプライアンスにログインしてアカウントを設定する
Any
ユーザ アカウントの中には、外部の認証サーバを介して認証されるものもあります。LDAP または RADIUS 資格情報を使用して Sourcefire 3D System にログオンすることを組織で許可している場合、外部のユーザ資格情報を使用してアプライアンスに初めてログインすると、アプライアンスではローカル ユーザ レコードを作成し、これらの資格情報を権限セットに関連付けます。ローカル ユーザ レコードの権限は、以下のようにグループまたはリストのメンバーシップ全体に付与されている場合を除いて、変更することができます。
外部認証されているユーザ アカウントのデフォルト ロールが特定のアクセス ロールに設定されている場合、ユーザは(システム管理者による追加の設定なしで)外部のアカウント資格情報を使用してアプライアンスにログインすることができます。
アカウントが外部で認証されており、デフォルトではアクセス権が付与されない場合、ログインはできますが機能にはアクセスできません。ユーザ(またはシステム管理者)は、ユーザ機能へ適切なアクセス権を付与する権限を変更することができます。
シェル アクセス ユーザの場合、システムはアプライアンス上にローカル ユーザ アカウントを作成しません。シェル アクセスは、シェル アクセス フィルタ、または LDAP サーバに設定されている PAM ログイン属性、あるいは RADIUS サーバ上のシェル アクセスリストによってすべて制御されます。
シェル ユーザは、小文字、大文字、または小文字と大文字が混在するユーザ名を使用してログインすることができます。シェルのログイン認証では大文字と小文字が区別されます。LDAP ユーザ名には、下線( _ )、ピリオド( . )、ハイフン( - )を使用することができますが、それ以外では英数字しかサポートされていません。
ログイン時に組織で SecurID トークンを使用している場合は、SecurID PIN にトークンが付加され、ログインするためのパスワードとして使用されます。たとえば、PIN が 1111 で SecurID トークンが 222222 の場合は、 1111222222 と入力します。
重要! Web インターフェイスにアクセスする権限を持っていない場合は、システム管理者に連絡してアカウントの権限を変更してもらうか、Administrator のアクセス権を持つユーザとしてログインし、対象のアカウントの権限を変更します。詳細については、『Sourcefire 3D System User Guide』の「Modifying User Privileges and Options」を参照してください。
外部で認証されたアカウントをアプライアンスに作成するには:
Any
[Username] と [Password] のフィールドに値を入力します。
[Login] をクリックします。
表示されるページは、外部認証のデフォルト アクセス ロールによって異なります。
- 認証オブジェクトまたはシステム ポリシーでデフォルトのアクセス ロールを選択した場合は、デフォルトの開始ページが表示されます。ユーザ アカウントに対して新しいホーム ページを選択した場合は、代わりにそのページが表示されます。詳細については、『 Sourcefire 3D System User Guide 』の「Specifying Your Home Page」を参照してください。
ページの上部に表示される使用可能なメニューおよびメニュー オプションは、ユーザ アカウントの権限によって異なります。ただし、デフォルト ホームページのリンクには、ユーザ アカウントの権限の範囲に対応するオプションが含まれています。アカウントに付与されている権限とは異なる権限が必要なリンクをクリックすると、次の警告メッセージが表示されます。
You are attempting to view an unauthorized page. This activity has been logged.
提供されるメニューから別のオプションを選択するか、またはブラウザ ウィンドウで [Back] をクリックします。
Unable to authorize access. If you continue to have difficulty accessing this device, please contact the system administrator.
認証方法として、属性の一致を使用する RADIUS サーバを使用する場合、ユーザ アカウントが作成されているため、最初のログインは拒否されます。もう一度ログインする必要があります。
アプライアンスからのログアウト
Any
Web インターフェイスをアクティブに使用しなくなった場合、Sourcefire では、少しの間 Web ブラウザから離れるだけであっても、ログアウトすることを推奨しています。ログアウトによって Web セッションが終了し、自分の資格情報を使用して他のユーザがアプライアンスを使用できないようになります。
デフォルトでは、ユーザがセッションからタイムアウトされないと設定されていない限り、非活動の状態が 1 時間経過した後で、自動的にセッションからユーザがログアウトされます。Administrator ロールを持つユーザは、システム ポリシーでセッションのタイムアウト間隔を変更できます。詳細については、『 Sourcefire 3D System User Guide 』の「Managing User Login Settings and Configuring User Interface Settings」を参照してください。
コンテキスト メニューの使用
機能によって異なる
操作の利便性を高めるため、Web インターフェイスのいくつかのページではポップアップ コンテキスト メニューをサポートしています。これを使用して、Sourcefire 3D System の他の機能へショートカットでアクセスすることができます。メニューの内容は ホットスポット によって異なり、ユーザはページだけでなく特定のデータにアクセスすることもできます。
たとえば、イベント ビューの IP アドレス ホットスポット 、侵入イベントのパケット ビュー、ダッシュボード、および Context Explorer には追加のオプションがあります。アドレスに関連付けられているホストの詳細(使用可能な whois やホスト プロファイルの情報など)を知るには、ホットスポットを右クリックして [IP address] コンテキスト メニューを使用します。(セキュリティ インテリジェンスのフィルタリングをサポートしていない)DC500 防御センターを除いては、セキュリティ インテリジェンスのグローバル ホワイトリストまたはブラックリストに個別の IP アドレスを追加することもできます。
別の例として、イベント ビューおよびダッシュボードの SHA-256 値のホットスポット では、ファイルの SHA-256 ハッシュ値をクリーン リストまたはカスタム検出リストに追加したり、コピーするためにハッシュ値全体を表示したりできます。この機能は、DC500 防御センターではサポートされていないことに注意してください。
次の一覧では、Web インターフェイスのさまざまなページのコンテキスト メニューで使用できるオプションについて説明しています。Sourcefire コンテキスト メニューがサポートされていないページまたは場所では、ブラウザの標準のコンテキスト メニューが表示されます。
アクセス制御ポリシー エディタ
アクセス制御ポリシー エディタには、各アクセス制御ルールのホットスポットが含まれます。コンテキスト メニューを使用して、新しいルールとカテゴリの挿入、ルールのカット、コピー、および貼り付け、ルール状態の設定、およびルールの編集を行うことができます。
NAT ポリシー エディタ
NAT ポリシー エディタには、各 NAT ルールのホットスポットが含まれます。コンテキスト メニューを使用して、新しいルールの挿入、ルールのカット、コピー、および貼り付け、ルール状態の設定、およびルールの編集を行うことができます。
侵入ルール エディタ
侵入ルール エディタには、各侵入ルールのホットスポットが含まれます。コンテキスト メニューを使用して、ルールの編集、ルール状態の設定(ルールの無効化を含む)、しきい値と抑制のオプションの設定、およびルールのドキュメントの表示を行うことができます。
イベント ビューア
イベント ページ(ドリルダウン ページとテーブル ビュー)には、各イベント、IP アドレス、および特定の検出ファイルの SHA-256 ハッシュ値のホットスポットが含まれます。ほとんどのイベント タイプでは、コンテキスト メニューを使用して、Context Explorer で関連情報を表示したり、イベントの情報について新しいウィンドウでドリルダウンしたりできます。ファイルの SHA-256 ハッシュ値、脆弱性の説明、URL などの、イベント フィールドに含まれているテキストが長すぎて、イベント ビューですべて表示できない場合、コンテキスト メニューを使用してテキスト全体を表示することができます。
取得されたファイル、ファイル イベント、およびマルウェア イベントに対して、コンテキスト メニューを使用してファイルをクリーン リストまたはカスタム検出リストに追加する、クリーン リストまたはカスタム検出リストからファイルを削除する、ファイルのコピーをダウンロードする、動的分析のためにファイルをクラウドへ送信する、などの処理を実行できます。
侵入イベントに対しても、コンテキスト メニューを使用して、侵入ルール エディタまたは侵入ポリシーで実行できるものと類似のタスクを実行できます。これには、ルール状態を設定する(ルールの無効化を含む)、しきい値と抑制のオプションを設定する、ルールのドキュメントを表示するなどのタスクがあります。
パケット ビュー
侵入イベントのパケット ビューには、IP アドレスのホットスポットが含まれます。パケット ビューでは、右クリック メニューではなく、左クリックのコンテキスト メニューを使用することに注意してください。
ダッシュボード
多くのダッシュボード ウィジェットには、関連する情報を Context Explorer で表示するためのホットスポットが含まれます。ダッシュボード ウィジェットには、IP アドレスと SHA-256 の値のホットスポットを含めることができます。
Context Explorer
Context Explorer には、図、表、およびグラフのホットスポットが含まれます。Context Explorer よりも詳細なグラフまたはリストのデータを調べたい場合は、関連するデータのテーブル ビューにドリルダウンすることができます。また、関連するホスト、ユーザ、アプリケーション、ファイル、および侵入ルールの情報を表示できます。
Context Explorer でも左クリックのコンテキスト メニューを使用することに注意してください。これには、Context Explorer に特有のフィルタリングおよび他のオプションも含まれています。詳細については、『 Sourcefire 3D System User Guide 』の「Drilling Down on Context Explorer Data」を参照してください。
フィードバック