FireSIGHT システム インストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: FireSIGHT システム の概要
FireSIGHT システム の概要
Cisco FireSIGHT® システムは、検出されたアプリケーション、ユーザ、および URL に基づいてネットワークへのアクセスを制御する機能と、業界トップのネットワーク侵入防御システムのセキュリティを統合したものです。また、FireSIGHT システム アプライアンスを使用して、スイッチド、ルーテッド、またはハイブリッド(スイッチド兼ルーテッド)環境でサービスを提供したり、ネットワーク アドレス変換(NAT)を実行したり、FirePOWER 管理対象デバイスの仮想ルータ間でセキュアなバーチャル プライベート ネットワーク(VPN)トンネルを構築したりすることもできます。
シスコ 防御センター® は、FireSIGHT システム用の集中型管理コンソールとデータベース リポジトリを提供します。ネットワーク セグメントにインストールされている管理対象デバイスは、分析用のトラフィックを監視します。
パッシブな展開のデバイスは、ネットワークを流れるトラフィックを、スイッチ SPAN、仮想スイッチ、ミラー ポートなどを使用して監視します。パッシブ センシング インターフェイスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは再送信されません。
インライン展開のデバイスでは、ネットワーク上のホストの可用性、整合性、または機密性に影響を及ぼす可能性がある攻撃からネットワークを保護できます。インライン インターフェイスはすべてのトラフィックを無条件で受信し、展開環境での設定によって明示的に廃棄されている場合を除き、これらのインターフェイスで受信されたトラフィックは再送信されます。インライン デバイスは単純な侵入防御システムとして展開できます。インライン デバイスを設定して、アクセス制御を実行したり、他の方法でネットワーク トラフィックを管理したりすることができます。
このインストール ガイドは、FireSIGHT システム アプライアンス(デバイスおよび防御センター)の展開、設置、およびセットアップに関する情報を提供します。また、FireSIGHT システム アプライアンスのハードウェア仕様と安全性および規制に関する情報も含まれています。
ヒント 物理アプライアンスを管理可能な、または、物理アプライアンスで管理可能な仮想防御センターとデバイスをホストすることができます。ただし、仮想アプライアンスは、システムのハードウェア ベースの機能(冗長性、スイッチング、ルーティングなど)をサポートしません。詳細については、『FireSIGHT System Virtual Installation Guide』を参照してください。
以降のトピックでは、FireSIGHT システム を紹介し、その主要コンポーネントについて説明します。
FireSIGHT システム アプライアンス
FireSIGHT システム アプライアンス は、トラフィックを検知する管理対象 デバイス と管理元の 防御センター のいずれかです。
物理デバイスは、一定のスループットと機能の範囲内で利用可能な耐障害性のある専用のネットワーク アプライアンスです。防御センターは、これらのデバイスの中央管理点として機能し、デバイスが生成したイベントを自動的に集約して関連付けます。それぞれの物理アプライアンスのタイプには、いくつかの モデル があります。これらのモデルはさらに シリーズ と ファミリ に分類されます。FireSIGHT システム の多くの機能は、アプライアンスによって異なります。
防御センターは、FireSIGHT システム配置環境の集中管理ポイントとイベント データベースを提供します。防御センターは、侵入、ファイル、マルウェア、ディスカバリ、接続、およびパフォーマンスのデータを集約して相互に関連付け、特定のホストに対するイベントの影響を評価し、ホストに侵害の痕跡を付けます。これにより、デバイス間で交わされる情報の監視、ネットワーク上で発生するアクティビティ全体の評価や制御が可能になります。
•
表、グラフ、および図を使用したイベントとコンテキスト情報の表示
• リアルタイムに脅威に対処するための関連付け、侵害の痕跡、および修復機能
多くの物理防御センターでは、高可用性(冗長)機能により操作の継続性が保証されています。
組織内のネットワーク セグメントに配置されたデバイスは、分析のためにトラフィックを監視します。パッシブに展開されたデバイスは、ネットワーク トラフィックについて理解するうえで有用です。インラインで展開されている場合は、FirePOWER デバイスを使用し、複数の基準に基づいてトラフィックのフローに影響を及ぼすことができます。各デバイスには、モデルとライセンスに応じて次のような特徴があります。
• 組織のホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、および脆弱性に関する詳細情報を収集する
• ネットワークベースのさまざまな基準、およびアプリケーション、ユーザ、URL、IP アドレスの評価、および侵入やマルウェアの調査結果を含めた他の基準によって、ネットワーク トラフィックをブロックまたは許可する
• スイッチング、ルーティング、DHCP、NAT、および [VPN] 機能に加えて、設定可能バイパス インターフェイス、ファストパス ルール、および厳密な TCP 強制も備えています。
• クラスタリング(冗長性)により操作の継続性を保証する、スタッキングにより複数のデバイスのリソースを組み合わせることができる
FirePOWER デバイスは、防御センターで管理する 必要があります 。
FireSIGHT システムは、シスコが提供するフォールトトレラントな専用の 物理 ネットワーク アプライアンスで動作します。各防御センターと管理対象デバイスには複数の モデル があります。これらのモデルはさらに シリーズ および ファミリ に分けられます。
物理管理対象デバイスは、一定範囲のスループットと一定範囲の機能を備えています。物理的な防御センターは、デバイス管理、イベント保存、およびホスト/ユーザのモニタリングに関するさまざまな機能を備えています。
また、次のソフトウェアベースのアプライアンスを配置することもできます。
• VMware vSphere Hypervisor または vCloud Director 環境を使用する ESXi ホストとして、64 ビットの 仮想 防御センターおよび 仮想 管理対象デバイスを配置できます。
• Blue Coat X-Series 向け Cisco NGIPS を Blue Coat X-シリーズ プラットフォーム上に展開できます。これは管理対象デバイスとして機能します。
どちらのタイプ(物理または仮想)の防御センターも、任意のタイプ(物理、仮想、Cisco ASA with FirePOWER Services、および Blue Coat X-Series 向け Cisco NGIPS)のデバイスを管理できます。ただし、FireSIGHT システムの多くの機能がアプライアンスに依存することに注意してください。
FireSIGHT システム アプライアンスの詳細(サポートする特徴や機能を含む)については、次を参照してください。
• 「Blue Coat X-Series 向け Cisco NGIPS」
• 「Cisco ASA with FirePOWER Services」
シリーズ 2 アプライアンス
シリーズ 2 は、レガシー物理アプライアンスの 2 番目のシリーズです。リソースとアーキテクチャの制限により、シリーズ 2 デバイスは FireSIGHT システム 機能の一部しかサポートしません。
シスコは新しい シリーズ 2 アプライアンスを出荷しませんが、以前のバージョンのシステムを実行する シリーズ 2 デバイスおよび防御センターを バージョン 5.4.1 に更新または再イメージ化できます。イメージの再作成の結果、アプライアンス上のほとんど すべて の設定とイベント データは失われますので注意してください。詳細については、『FireSIGHT システム インストレーション ガイド』を参照してください。
ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.4.1 に更新できます。詳細については、バージョン 5.2 の『Cisco FireSIGHT System Migration Guide』を参照してください。
シリーズ 2 デバイスは、保護 ライセンスに関連する機能のほとんど(侵入検知と防御、ファイル制御、および基本的なアクセス制御)を自動的に保有します。ただし、シリーズ 2 デバイスはセキュリティ インテリジェンスのフィルタリング、高度なアクセス制御、および高度なマルウェア対策を実行できず、アーカイブ ファイルの内容も検査できません。また、シリーズ 2 デバイス上で他のライセンスが付与された機能を有効にすることはできません。高速パス ルール、スタッキング、およびタップ モードをサポートしている 3D9900 を除いて、シリーズ 2 のデバイスは、シリーズ 3 のデバイスに関連付けられているハードウェアベースの機能(スイッチング、ルーティング、NAT など)をサポートしていません。
バージョン 5.4.1、DC1000、および DC3000 シリーズ 2 防御センターは、FireSIGHT システム のすべての機能をサポートしていますが、DC500 には、制限された機能のみ付随しています。
シリーズ 3 アプライアンス
シリーズ 3 は、FirePOWER 物理アプライアンスの第 3 シリーズです。すべての 7000 シリーズ デバイスと 8000 シリーズ デバイスが シリーズ 3 アプライアンスです。8000 シリーズ デバイスは、より強力で、7000 シリーズ デバイスがサポートしていないいくつかの機能をサポートします。
仮想アプライアンス
VMware vSphere Hypervisor または VMware vCloud Director 環境を使用して ESXi ホストとして 64 ビット仮想防御センターおよび管理対象デバイスを展開できます。
インストールおよび適用されているライセンスに関係なく、仮想アプライアンスはシステムのハードウェアベースの機能(冗長性、リソース共有、スイッチング、ルーティングなど)をサポートしません。また、仮想デバイスには Web インターフェイスがありません。仮想アプライアンスの詳細については、『 FireSIGHT System Virtual Installation Guide 』を参照してください。
Blue Coat X-Series 向け Cisco NGIPS
Blue Coat X-Series 向け Cisco NGIPS を Blue Coat X-シリーズ プラットフォーム上にインストールすることができます。このソフトウェアベースのアプライアンスは、仮想管理対象デバイスと同様に機能します。インストールされ適用されているライセンスに関係なく、Blue Coat X-Series 向け Cisco NGIPS は次の機能をサポートしません。
• Blue Coat X-Series 向け Cisco NGIPS は、システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。
• Blue Coat X-Series 向け Cisco NGIPS を使用して、ネットワーク トラフィックをその発信元または宛先の国または大陸に基づいてフィルタリングすること(位置情報に基づくアクセス制御)はできません。
• 防御センターの Web インターフェイスを使用して Blue Coat X-Series 向け Cisco NGIPS のインターフェイスを設定することはできません。
• 防御センターを使用して Blue Coat X-Series 向け Cisco NGIPS のシャットダウン、再起動、その他の管理を行うことはできません。
• 防御センターを使用して、Blue Coat X-Series 向け Cisco NGIPS のバックアップを作成したり、バックアップからそれを復元したりすることはできません。
• Blue Coat X-Series 向け Cisco NGIPS にヘルス ポリシーまたはシステム ポリシーを適用することはできません。これには時間設定の管理が含まれます。
Blue Coat X-Series 向け Cisco NGIPS に Web インターフェイスはありません。ただし、X-シリーズ プラットフォームに固有のコマンド ライン インターフェイス(CLI)があります。この CLI を使用して、システムのインストールや、次のようなプラットフォーム固有の管理タスクを実行します。
• X-シリーズプラットフォームのロード バランシングと冗長性の利点(シスコの物理デバイス クラスタリングと同等)を活用できる Virtual Appliance Processor(VAP)グループの作成
• パッシブおよびインライン センシング インターフェイスの設定(インターフェイスの最大伝送単位(MTU)の設定を含む)
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services(ASA FirePOWER デバイス)は、管理対象デバイスと同様に機能します。この配置環境では、ASA デバイスは最も重要なシステム ポリシーを提供し、アクセス制御、侵入検知と防御、ディスカバリ、および高度なマルウェア対策のためにトラフィックを FireSIGHT システムに渡します。サポートされている ASA モデルのリストについては、 「バージョン 5.4.1 FireSIGHT システム のアプライアンス」 の表を参照してください。
インストールおよび適用されているライセンスに関係なく、ASA FirePOWER デバイスは FireSIGHT システムを介して次の機能をサポートしません。
• ASA FirePOWER デバイスは、FireSIGHT システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。ただし、これらの機能は ASA プラットフォームによって提供され、ASA CLI および ASDM を使用して設定できます。詳細については、ASA のマニュアルを参照してください。
• ASA FirePOWER デバイスは SSL 検査をサポートしません。
• 防御センターの Web インターフェイスを使用して ASA FirePOWER のインターフェイスを設定することはできません。
• 防御センターを使用して ASA FirePOWER のシャットダウン、再起動、その他の管理を行うことはできません。
• 防御センターを使用して、ASA FirePOWER デバイスのバックアップを作成したり、バックアップからそのデバイスを復元したりすることはできません。
• VLAN タグの条件を使用して、トラフィックを照合するためのアクセス コントロール ルールを記述することはできません。
ASA FirePOWER デバイスに FireSIGHT Web インターフェイスはありません。ただし、ASA プラットフォームに固有のソフトウェアとコマンド ライン インターフェイス(CLI)があります。ASA 専用のこれらのツールを使用して、システムのインストールおよびプラットフォーム固有のその他の管理タスクを実行します。詳細については、ASA FirePOWER モジュール のマニュアルを参照してください。
5506-X ASA デバイスをスタンドアロン デバイスまたは管理対象デバイスとして管理できます。スタンドアロンASA FirePOWER モジュールは ASDM で管理し、管理対象 ASA FirePOWER デバイスは防御センターで管理します。デバイスが防御センターに登録されている場合、ASA FirePOWER モジュールを ASDM で管理することはできません。
また、ASA FirePOWER モジュールには FirePOWER アプライアンス用の CLI も含まれています。CLI を使用して、FireSIGHT システムを表示、設定、およびトラブルシューティングすることができます。詳細については、『 FireSIGHT System User Guide 』を参照してください。
バージョン 5.4.1 に付属のアプライアンス
以下の表は、シスコ が FireSIGHT システム のバージョン 5.4.1 で配布するアプライアンスについて示しています。
|
|
|
|
|
|---|---|---|---|
| • |
|||
| • |
|||
シスコでは、今後新しいシリーズ 2 アプライアンスを出荷する予定はありませんが、旧バージョンのシステムを実行している以下の シリーズ 2 デバイスと防御センターをバージョン 5.4.1 に更新または再イメージングすることができます。
再イメージ化すると、アプライアンスに関する すべての 設定とイベント データが失われることに注意してください。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください。
ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.4.1 に更新できます。詳細については、バージョン 5.2 の『FireSIGHT System Migration Guide』を参照してください。
防御センターの各モデルでサポートされる機能
バージョン 5.4.1 を実行したときは、すべての防御センターが同様の機能を持っていますが、ごく一部にモデルベースの制限があります。次の表は、システムの主な機能と、これらの機能をサポートする防御センターを示しています(これらの機能をサポートするデバイスを管理しており、適切なライセンスがインストール/適用済みであることを想定しています)。
防御センターの各モデルは、この表に示した機能に加えて、監視できるデバイス数、保存できるイベント数、および監視できるホストとユーザの数も異なります。詳細については、 FireSIGHT System User Guide を参照してください。
また、バージョン 5.4.1 のシステムを実行する防御センターの任意のモデルを使用して、任意のバージョン 5.4.1 デバイスを管理できますが、多くのシステム機能はデバイスのモデルによって制限されることに留意してください。たとえば、シリーズ 3 防御センターを使用している場合でも、展開にシリーズ 3 デバイスが含まれていない場合は [VPN] を実装できません。詳細については、「管理対象デバイスの各モデルでサポートされる機能」を参照してください。
|
|
防御センター |
防御センター |
|
|---|---|---|---|
管理対象デバイスによって報告されるディスカバリ データ(ホスト、アプリケーション、およびユーザ)を収集し、組織のネットワーク マップを作成する |
|||
管理対象デバイスの各モデルでサポートされる機能
デバイスはネットワーク トラフィックを処理するアプライアンスです。そのため、FireSIGHT システムの機能の多くは、管理対象デバイスのモデルによって異なります。
次の表は、システムの主な機能と、これらの機能をサポートするデバイスを示しています(管理を行う防御センターから適切なライセンスがインストール/適用済みであることを想定しています)。
バージョン 5.4.1 のシステムを実行する防御センターの任意のモデルを使用して、任意のバージョン 5.4.1 デバイスを管理できますが、いくつかのシステム機能は防御センターのモデルによって制限されることに留意してください。たとえば、デバイスがセキュリティ インテリジェンスのフィルタリングをサポートしていても、シリーズ 2 の DC500 を使用してこの機能を実行するデバイスを管理することはできません。詳細については、「防御センターの各モデルでサポートされる機能」を参照してください。
|
|
デバイス |
デバイス |
|
デバイス |
|
|---|---|---|---|---|---|
シリーズ 3 デバイス シャーシの認定情報
ここでは、7000 シリーズ デバイス、8000 シリーズ デバイス、およびそれらのシャーシ ハードウェア コードを示します。シャーシ コードはシャーシの外側の規制ラベルに記載されており、ハードウェア認定および安全性のための正式な参照コードです。
7000 シリーズ シャーシの認定情報
次の表に、全世界で使用される 7000 シリーズ モデルのシャーシ指定を示します。
|
|
|
|---|---|
8000 シリーズ シャーシの認定情報
次の表に、全世界で使用される シリーズ 3 モデルのシャーシ指定を示します。
|
|
|
|---|---|
FireSIGHT システム のコンポーネント
ここでは、組織のセキュリティ、アクセプタブル ユース ポリシー、およびトラフィック管理戦略に役立つ FireSIGHT システム の主要な機能の一部について説明します。
ヒント FireSIGHT システム の機能の多くが、アプライアンス モデル、ライセンス、およびユーザ ロールによって異なります。必要に応じて、FireSIGHT システム のマニュアルに機能とタスクごとの要件が記載されています。
FireSIGHT システム の冗長性とリソース共有機能を使用すれば、運用継続性を保証し、複数の物理デバイスの処理リソースを統合することができます。
• 防御センターの高可用性を使用すれば、冗長構成の DC1000、DC1500、DC3000、DC3500、または DC4000 防御センターを指定してデバイスを管理できます。
• デバイスのスタッキングでは、1 つのスタック構成内で 2 ~ 4 個の物理デバイスを接続することにより、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。
• デバイス クラスタリングを使用すれば、複数の シリーズ 3 デバイスまたはスタック間のネットワーキング機能と設定データの冗長性を構築することができます。
防御センター、デバイス、またはその両方で 複数の管理インターフェイス を使用して、トラフィックを 2 つのトラフィック チャネルに分離することでパフォーマンスを改善できます。このうち 管理トラフィック チャネル はデバイス間通信を伝送し、 イベント トラフィック チャネル は、侵入イベントなどの大容量のイベント トラフィックを伝送します。両方のトラフィック チャネルを同じ管理インターフェイス上で伝送することも、2 つの管理インターフェイスに分割して各インターフェイスで 1 つずつトラフィック チャネルを伝送することもできます。
また、防御センター上の特定の管理インターフェイスから別のネットワークまでのルートを作成することにより、あるネットワーク上のデバイスからのトラフィックと別のネットワーク上のデバイスからのトラフィックを、防御センターで別々に管理することもできます。
追加の管理インターフェイスは、デフォルト管理インターフェイスと同じ多くの機能を備えています(防御センター間のハイ アベイラビリティの使用など)。ただし、次の例外があります。
• DHCP は、デフォルト( eth0 )管理インターフェイスにのみ設定できます。追加のインターフェイス(eth1 など)には、固有の静的 IP アドレスとホスト名が必要です。
• 防御センターと管理対象デバイスが NAT デバイスによって分離されている場合は、同じデフォルト以外の管理インターフェイスを使用するように両方のトラフィック チャネルを設定する必要があります。
• Lights-Out 管理は、デフォルトの管理インターフェイスでのみ使用できます。
• 70xx ファミリでは、トラフィックを 2 つのチャネルに分離して、防御センター上の 1 つ以上の管理インターフェイスにトラフィックを送信するようにそれらのチャネルを設定できます。ただし、70xx ファミリには 1 つの管理インターフェイスしかないため、デバイスは唯一の管理インターフェイス上で防御センターから送信されたトラフィックを受信します。
アプライアンスを設置した後、Web ブラウザを使用して複数の管理インターフェイスを設定します。詳細については、『FireSIGHT System User Guide』の「Multiple Management Interfaces」を参照してください。
FireSIGHT システム のネットワーク トラフィック管理機能を使用すれば、シリーズ 3 デバイスを組織のネットワーク インフラストラクチャの一部として機能させることができます。次の作業を実行できます。
• 複数のネットワーク セグメント間のパケット スイッチングを実行するようにレイヤ 2 展開を設定する
• 複数のインターフェイス間のトラフィックをルーティングするようにレイヤ 3 展開を設定する
• 管理対象デバイス上の仮想ルータからリモート デバイスまたはその他のサードパーティ製 [VPN] エンドポイントへのセキュアな [VPN] トンネルを構築する
FireSIGHT™ は、ネットワークの全体像を提供するためにホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、位置情報、および脆弱性に関する情報を収集するシスコのディスカバリおよび認識テクノロジーです。
防御センターの Web インターフェイスを使用して、FireSIGHT で収集したデータを表示および分析することができます。また、このデータを使用することで、アクセス コントロールを実施し、侵入ルールの状態を修正できます。また、ホストの相関イベント データに基づいて、ネットワーク上のホストの侵害の痕跡を生成し、追跡できます。
アクセス制御は、ネットワークを通過するトラフィックを指定、検査、および記録することが可能なポリシー ベースの機能です。アクセス制御の一部として、セキュリティ インテリジェンス機能を使用すれば、トラフィックをより詳細な分析にかける前に、特定の IP アドレスをブラックリストに追加(そのアドレスへのトラフックとそのアドレスからのトラフィックを拒否)することができます。
セキュリティ インテリジェンス フィルタリングの実行後は、対象のデバイスがどのトラフィックをどのように処理するか(単純な IP アドレスのマッチングから、異なるユーザ、アプリケーション、ポート、および URL が関与する複雑なシナリオまで)を定義することができます。トラフィックを信頼、監視、またはブロックすることも、次のように詳細な分析を実行することもできます。
• ファイル トラッキングとネットワーク ベースの高度マルウェア防御(AMP)
侵入検知および防御は、ネットワーク トラフィックのセキュリティ違反を監視したり、インライン展開で悪意のあるトラフィックをブロックまたは修正したりできるアクセス制御に統合されたポリシー ベースの機能です。侵入ポリシーは次のようなさまざまな要素で構成されます。
• プロトコル ヘッダー値、ペイロードの内容、および特定のパケット サイズの特性を検査するルール
• プリプロセッサやその他の検出およびパフォーマンス機能などの高度な設定
• 関連するプリプロセッサとプリプロセッサ オプション用のイベントを生成可能なプリプロセッサ ルール
ファイル トラッキング、制御、およびネットワーク ベースの高度なマルウェア防御(AMP)
マルウェアの影響を特定し、軽減することを容易にするために、FireSIGHT システム のファイル制御、ネットワーク ファイルのトラジェクトリ、および高度なマルウェア防御のコンポーネントはネットワーク トラフィック内のファイルの伝送を(マルウェア ファイルも含めて)検出、追跡、取得、分析、およびオプションでブロックすることができます。
ファイル制御は、管理対象デバイスでユーザによる特定のアプリケーション プロトコル経由の特定のタイプのファイルのアップロード(送信)またはダウンロード(受信)を検出してブロックすることが可能な、アクセス制御に統合されたポリシー ベースの機能です。
ネットワークベースの 高度なマルウェア対策 (AMP)によって、複数のファイル タイプのマルウェアに関してネットワーク トラフィックを検査できます。アプライアンスでは、検出されたファイルをさらに分析するためにハード ドライブまたは(一部のモデルで)マルウェア ストレージ パックに保存できます。
検出されたファイルを手元に保存するかどうかに関わらず、ファイルの SHA-256 ハッシュ値を使用して単純な既知ディスポジション ルックアップ用にシスコ クラウドにそれを送信することができます。また、脅威のスコアを生成する 動的分析 を行うためにファイルを送信することもできます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するようにシステムを設定できます。
FireAMP は シスコ のエンタープライズクラスの高度なマルウェア分析および防御ソリューションで、高度なマルウェアの発生、高度で継続的な脅威、および標的型攻撃を検出、認識、ブロックします。組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自身のコンピュータおよびモバイル デバイス(エンドポイントとも呼ばれる)に FireAMP Connector をインストールします。これらの軽量なエージェントは シスコ クラウドと通信し、これが防御センターと通信します。
防御センターをクラウドに接続するように設定した後で防御センターの Web インターフェイスを使用して、組織のエンドポイントでのスキャン、検出、および検疫の結果として生成されたエンドポイントベースのマルウェア イベントを表示することができます。また、防御センターは FireAMP のデータを使用して、ホストに対する侵害の痕跡を生成および追跡するとともに、ネットワーク ファイルのトラジェクトリを表示します。
ネットワーク ファイル トラジェクトリ機能を使用すれば、ネットワーク全体のファイルの伝送パスを追跡することができます。システムは SHA-256 ハッシュ値を使用してファイルを追跡します。各ファイルには、関連するトラジェクトリ マップが付随しており、これには、一定期間のファイルの転送を視覚的に表したものや、ファイルに関する追加情報が含まれています。
アプリケーション プログラミング インターフェース(API)を使用してシステムと対話する方法がいくつか用意されています。
• Event Streamer(eStreamer)を使用すれば、FireSIGHT システム アプライアンスからの数種類のイベント データをカスタム開発されたクライアント アプリケーションにストリーム配信できます。
• データベース アクセス機能を使用すれば、JDBC SSL 接続をサポートするサードパーティ製クライアントを使用して、防御センター上の複数のデータベース テーブルに対してクエリを実行することができます。
• ホスト入力機能では、スクリプトまたはコマンドライン ファイルを使用してサードパーティのソースからデータをインポートすることにより、ネットワーク マップの情報を増やすことができます。
• 修復は、ネットワーク上の特定の条件が満たされたときに防御センターが自動的に起動可能なプログラムです。これにより、ユーザが攻撃に即時に対処できない場合でも攻撃の影響を自動的に緩和でき、またシステムが組織のセキュリティ ポリシーに準拠し続けるようにすることができます。
FireSIGHT システム のライセンス
組織に対して FireSIGHT システム の最適な展開を実現するために、さまざまな機能についてライセンスを取得することができます。防御センターを使用して、それ自身と管理対象デバイスのライセンスを管理する必要があります。
シスコ は、防御センターの初期設定時に、購入したライセンスを追加することを推奨します。そうしない場合、初期設定時に登録するデバイスは、未ライセンスとして防御センターに追加されます。この場合、初期設定プロセスが終了した後で、各デバイスで個別にライセンスを有効化する必要があります。詳細については、「FireSIGHT システム アプライアンスの設定」を参照してください。
FireSIGHT ライセンスは、防御センターの各購入に含まれており、ホスト、アプリケーション、およびユーザ ディスカバリを実行するために必要です。また、防御センター上の FireSIGHT ライセンスは、防御センターとその管理対象デバイスを使って監視できる個別のホスト数とユーザ数、およびユーザ制御に使用できるユーザ数を決定します。次の表に示すように、 FireSIGHT のホスト ライセンスとユーザ ライセンスの制限はモデル固有です。
|
|
|
|---|---|
防御センターが以前バージョン 4.10.x を実行していた場合は、FireSIGHT ライセンスの代わりに、従来の RNA ホスト ライセンスと RUA ユーザ ライセンスを使用できる場合があります。詳細については、「従来の RNA ホスト ライセンスと RUA ユーザ ライセンスの使用」を参照してください。
モデル固有ライセンスを追加すれば、管理対象デバイスは、次のように、さまざまな機能を実行できます。
保護ライセンスでは、管理対象デバイスで侵入の検出および防御、ファイル制御、セキュリティ インテリジェンスのフィルタリングを実行することができます。
Controlライセンスでは、管理対象デバイスでユーザおよびアプリケーションの制御を実行することができます。また、デバイスがスイッチングおよびルーティング(DHCP リレーを含む)や NAT を実行したり、デバイスおよびスタックをクラスタ化したりできます。Controlライセンスには、保護ライセンスが必要です。
URL フィルタリング ライセンスでは、管理対象デバイスが定期的に更新されるクラウドベースのカテゴリおよびレピュテーション データを使用して、監視対象ホストが要求した URL に基づいて、ネットワークを通貨できるトラフィックを判別できます。URL フィルタリング ライセンスには保護ライセンスが必要です。
マルウェア ライセンスにより、管理対象デバイスはネットワークベースの高度なマルウェア防御(AMP)を実行できます。これはネットワーク上で転送されるファイルに含まれるマルウェアを検出し、ブロックする機能です。また、ネットワーク上で転送されるファイルを追跡するトラジェクトリを表示することもできます。マルウェア ライセンスには保護ライセンスが必要です。
[VPN] ライセンスを使用すると、シスコの管理対象デバイス上の仮想ルータ間、あるいは管理対象デバイスからリモート デバイスまたは他のサードパーティ製 [VPN] エンドポイントまでのセキュアな [VPN] トンネルを構築できます。[VPN] ライセンスには、保護ライセンスとControlライセンスが必要です。
アーキテクチャとリソースの制限により、すべての管理対象デバイスにすべてのライセンスが適用できるわけではありません。一般に、デバイスがサポートしていない機能のライセンスは付与できません。「管理対象デバイスの各モデルでサポートされる機能」を参照してください。
次の表に、防御センターに追加して、各デバイス モデルに適用可能なライセンスの概要を示します。防御センターの行(FireSIGHT を除くすべてのライセンス)は、防御センターがそれらのライセンスを使用してデバイスを管理できるかどうかを示します。たとえば、シリーズ 2 DC1000 では、シリーズ 3 デバイスを使用する [VPN] 展開を構築できますが、DC500 を使用して、カテゴリおよびレピュテーション ベースの URL フィルタリングを実行することはできません(管理するデバイスとは無関係)。なお、 n/a は、管理対象デバイスとは関係のない防御センター ベースのライセンスを示します。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
• シリーズ 2 デバイスには、セキュリティ インテリジェンス フィルタリングを除く、保護機能が自動的に組み込まれています。
• 仮想デバイス上のControlライセンスを有効にできますが、仮想デバイスはスイッチングやルーティングなどの、そのライセンスによって付与されるハードウェア ベースの機能をサポートしません。
• DC500 は、保護ライセンスとControlライセンスを使用してデバイスを管理できますが、セキュリティ インテリジェンス フィルタリングまたはユーザ制御は実行できません。
ライセンスの詳細については、『FireSIGHT System User Guide』の「Licensing the FireSIGHT システム」の章を参照してください。
従来の RNA ホスト ライセンスと RUA ユーザ ライセンスの使用
FireSIGHT システム のバージョン 4.10.x では、RNA ホスト機能と RUA ユーザ機能のライセンスによって、監視対象のホストとユーザの制限がそれぞれ決定されました。防御センターが以前バージョン 4.10.x を実行していた場合は、FireSIGHT ライセンスの代わりに、従来のホスト ライセンスとユーザ ライセンスを使用できる場合があります。
従来のライセンスを使用するバージョン 5.4.1 防御センターは、FireSIGHT ホスト制限として RNA ホスト制限を使用し、FireSIGHT ユーザとアクセス制御ユーザの両方の制限として RUA ユーザ制限を使用します。FireSIGHT ホスト ライセンス制限ヘルス モジュールはライセンス制限に適したアラートを発行します。
RNA ホスト制限と RUA ユーザ制限は累積的であることに注意してください。つまり、各タイプの複数のライセンスを防御センターに追加することにより、ライセンスによって許可されるホストまたはユーザの総数を監視できます。
後から FireSIGHT ライセンスを追加した場合は、防御センターがより高い制限を使用します。たとえば、DC1500 上の FireSIGHT ライセンスは、最大 50,000 のホストとユーザをサポートします。バージョン 4.10.x DC1500 の RNA Host 制限が 50,000 よりも大きい場合は、バージョン 5.4.1 が稼働する同じ 防御センターでレガシー ホスト ライセンスを使用すると、いずれか大きい方の制限が適用されます。便宜上、Web インターフェイスにはより高い制限を示すライセンスだけが表示されます。
(注) FireSIGHT ライセンス制限は防御センターのハードウェア機能に適合しているため、シスコ では、従来のライセンスを使用する場合はこの制限を超えないようにすることを推奨しています。ガイダンスについては、サポートまでご連絡ください。
バージョン 4.10.x からバージョン 5.4.1 への更新パスが存在しないため、ISO イメージを使用して防御センターに「復元する」必要があります。再イメージ化すると、アプライアンスに関する すべての 設定とイベント データが失われることに注意してください。再イメージ化後は、このデータをアプライアンスにインポート できなくなります 。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください 。
(注) アプライアンスの再イメージ化は、必ず保守期間中に行ってください。再イメージ化によって、インライン展開内のデバイスが非バイパス設定にリセットされ、バイパス モードが再設定されるまで、ネットワーク上のトラフィックが中断されます。詳細については、「復元プロセスにおけるトラフィック フロー」を参照してください。
復元プロセスで、ライセンスとネットワークの設定を削除するように促されます。これらの設定を誤って削除しても、後から追加し直すことができますが、そのままにしておいてください。バージョン 5.4.1 防御センターは、バージョン 4.10.x デバイスを管理できないことに注意してください。ただし、サポートされているバージョン 4.10.x デバイスを最新バージョンに復元して更新することができます。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください。
セキュリティ、インターネット アクセス、および通信ポート
防御センターを保護するには、保護された内部ネットワークにそれをインストールしてください。防御センターは必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで(または管理対象デバイスまで)決して到達できないようにする必要があります。
防御センターとその管理対象デバイスが同じネットワーク上に存在する場合は、デバイス上の管理インターフェイスを、防御センターと同じ保護された内部ネットワークに接続できます。これにより、防御センターからデバイスを安全に制御することができます。また、他のネットワーク上のデバイスからのトラフィックを防御センターで管理および分離できるように、複数の管理インターフェイスを設定することもできます。
アプライアンスの展開方法とは無関係に、アプライアンス間通信は暗号化されます。それでも、分散型サービス拒否(DDoS)や中間者攻撃などの手段でアプライアンス間の通信が中断、ブロック、または改ざんされないよう何らかの対策を講じる必要があります。
また、FireSIGHT システムの機能によってはインターネット接続が必要となることにも注意してください。デフォルトで、すべてのアプライアンスはインターネットに直接接続するよう設定されます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的は基本的なアプライアンス間通信、セキュアなアプライアンス アクセス、および特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にすることです。
ヒント Blue Coat X-Series 向け Cisco NGIPS と Cisco ASA with FirePOWER Services を除いて、FireSIGHT システム アプライアンスではプロキシ サーバを使用できます。詳細については、FireSIGHT System User Guide を参照してください。
インターネット アクセス要件
FireSIGHT システム アプライアンスは、デフォルトで開かれるポート 443/tcp(HTTPS)とポート 80/tcp(HTTP)を介して、インターネットに直接接続するよう設定されます(「通信ポートの要件」を参照)。ほとんどの FireSIGHT システム アプライアンスでプロキシ サーバを使用できることに注意してください(『FireSIGHT System User Guide』の「Configuring Network Settings」の章を参照してください)。プロキシ サーバは whois アクセスに使用できない点にも注意が必要です。
運用継続性を確保するために、高可用性ペアの両方の防御センターがインターネットにアクセスできる必要があります。特定の機能については、プライマリ防御センターがインターネットにアクセスし、同期プロセスでセカンダリと情報を共有します。そのため、『FireSIGHT System User Guide』の「デバイスの管理」の章に記載されているように、プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させる必要があります。
次の表に、FireSIGHT システムの特定の機能におけるインターネット アクセス要件を示します。
通信ポートの要件
FireSIGHT システム アプライアンスは、(デフォルトでポート 8305/tcp を使用する)双方向 SSL 暗号化通信チャネルを使って通信します。基本的なアプライアンス間通信用にこのポートを開いたままにする 必要があります 。他のオープン ポートの役割は次のとおりです。
• アプライアンスの Web インターフェイスにアクセスする
• 特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にする
一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。たとえば、防御センターをユーザ エージェントに接続するまでは、エージェント通信ポート(3306/tcp)は閉じたままになります。別の例として、LOM を有効にするまでは、シリーズ 3 アプライアンス上のポート 623/udp が閉じたままになります。
たとえば、管理デバイス上のポート 25/tcp(SMTP)アウトバウンドを閉じると、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります(『FireSIGHT System User Guide』を参照)。別の例として、ポート 443/tcp(HTTPS)を閉じることにより物理管理対象デバイスの Web インターフェイスへのアクセスを無効にできますが、それと同時に、動的分析のためにデバイスから疑わしいマルウェア ファイルをクラウドに送信できなくなります。
次のように、システムのいくつかの通信ポートを変更できることに注意してください。
• システムと認証サーバの間の接続を設定するときに、LDAP および RADIUS 認証用のカスタム ポートを指定できます(『FireSIGHT System User Guide』を参照)。
• 管理ポート(8305/tcp)を変更できます(『FireSIGHT System User Guide』を参照)。ただし、シスコでは、デフォルト設定を維持することを 強く 推奨しています。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。
• ポート 32137/tcp を使用して、アップグレード対象の防御センターと Collective Security Intelligence クラウドの通信を可能にすることができます。ただし、シスコでは、バージョン 5.4.1 以降の新規インストールのデフォルトであるポート 443 に切り替えることを推奨しています。詳細については、FireSIGHT System User Guide を参照してください。
次の表は、FireSIGHT システムの機能を最大限に活用できるように、各アプライアンス タイプで必要なオープン ポートを示しています。
アプライアンスの事前設定
あとで他のサイトに展開するために、1 つの場所で一元的に複数のアプライアンスと防御センターを事前設定することができます。アプライアンスを事前設定するときの考慮事項については、「FireSIGHT システム アプライアンスの事前設定」を参照してください。
フィードバック