ホストプロファイルの要件と前提条件
モデルのサポート
任意
サポートされるドメイン
任意
ユーザの役割
-
管理者
-
セキュリティ アナリスト(Security Analyst)
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、ホスト プロファイルの使用方法について説明します。
任意
任意
管理者
セキュリティ アナリスト(Security Analyst)
ホスト プロファイルは、システムが 1 つのホストについて収集したすべての情報の完全なビューを提供します。ホスト プロファイルにアクセスするには、以下のいずれかを実行します。
任意のネットワーク マップ ビューから選択します。
モニタ対象ネットワークでホストの IP アドレスを含む任意のイベント ビューから選択します。
ホスト プロファイルは、ホスト名や MAC アドレスなど、検出されたホストやデバイスに関する基本的な情報を提供します。ライセンスやシステム設定によっては、ホスト プロファイルは次の情報を提供することもできます。
ホスト上で実行中のオペレーティング システム
ホスト上で実行中のサーバ
ホスト上で実行中のクライアントと Web アプリケーション
ホスト上で実行中のプロトコル
ホスト上の侵害の兆候(IOC)タグ
ホスト上の VLAN タグ
ネットワーク上での過去 24 時間のユーザー アクティビティ
ホストに関連するコンプライアンスwhite違反
ホストの最新のマルウェア イベント
ホストに関連付けられている脆弱性
ホストの Nmap スキャン結果
プロファイルには、ホスト属性もリストされます。ホスト属性を使用して、ネットワーク環境にとって重要な方法でホストを分類することができます。例えば、以下を行うことができます。
ホストが存在する建物を示すホスト属性を割り当てる
ホストの重要度の属性を使用して、特定のホストのビジネス重要度を指定し、ホストの重要度に基づいて相関ポリシーとアラートを作成する
ホスト プロファイルで、そのホストに適用されている既存のホスト属性を表示し、そのホスト属性値を変更できます。
パッシブ侵入防御展開の一部としてアダプティブ プロファイルの更新を使用している場合、ホスト上のオペレーティング システム、およびホストが実行しているサーバとクライアントのタイプに最も適合するように、システムがトラフィックを処理する方法を調整することができます。
オプションで、ホスト プロファイルから Nmap スキャンを実行し、ホスト プロファイルのサーバ情報とオペレーティング システムの情報を増やすことができます。Nmap スキャナはホストをアクティブに調査し、ホストを実行しているオペレーティング システムおよびサーバの情報を取得します。スキャンの結果は、ホストのオペレーティング システムおよびサーバー アイデンティティのリストに追加されます。
ホスト プロファイルは、ネットワーク上のすべてのホストでは使用できない可能性があります。考えられる原因は次のとおりです。
タイムアウトしたため、ネットワーク マップからホストが削除された。
ホストの制限に達した。
ネットワーク検出ポリシーでモニタリングされないネットワーク セグメントに、ホストが存在している。
ホスト プロファイルに表示される情報は、ホストのタイプ、および利用可能なホストの情報によって異なる可能性があります。
次に例を示します。
非 IP ベースのプロトコル(STP、SNAP、IPX など)を使用してシステムでホストを検出した場合、そのホストは MAC ホストとしてネットワーク マップに追加され、IP ホストに比べて使用できる情報はかなり少なくなります。
システムは、エクスポートされた NetFlow レコードからネットワークマップにホストを追加できますが、これらのホストに使用できる情報は限られます(NetFlow データと管理対象デバイス データの違いを参照)。
次の 2 つの選択肢があります。
|
各ホスト プロファイルは、検出されたホストまたは他のデバイスに関する基本情報を提供します。
次に、基本的なホスト プロファイルのフィールドについて説明します。
ホストに関連付けられているドメイン。
ホストに関連付けられているすべての IP アドレス(IPv4 と IPv6 の両方)。システムは、ホストに関連付けられている IP アドレスを検出し、サポートされている場合は、同じホストで使用される複数の IP アドレスをグループ化します。多くの場合、IPv6 ホストには、少なくとも 2 つの IPv6 アドレス(ローカルのみでルーティング可能なものと、グローバルにルーティング可能なもの)があり、その他に IPv4 アドレスを持っていることがあります。IPv4 専用ホストは、複数の IPv4 アドレスを持っていることがあります。
ホスト プロファイルは、そのホストに関連付けられている、検出されたすべての IP アドレスを一覧で示します。可能な場合は、ルーティング可能なホスト IP アドレスに、フラグ アイコン、およびアドレスに関連付けられている地理情報データを表す国コードも含まれています。
デフォルトでは最初の 3 つのアドレスだけが表示されることに注意してください。[すべて表示(Show All)] をクリックすると、ホストのすべてのアドレスが表示されます。
ホストの完全修飾ドメイン名(わかる場合)。
ホストの NetBIOS 名(使用できる場合)。Microsoft Windows ホストだけでなく Macintosh、Linux、または NetBIOS を使用するように設定されたその他のプラットフォームに NetBIOS 名を指定できます。たとえば、Samba サーバとして設定されている Linux ホストに NetBIOS 名を指定します。
次のいずれかを行います。
ホストが存在しているネットワークに関するレポート作成デバイス(ネットワーク検出ポリシーで定義されている)、または
ホストをネットワーク マップへ追加する NetFlow データを処理したデバイス
デバイス名の後に、ホストを検出したデバイスとホスト自身の間のネットワーク ホップの数が丸括弧で囲まれて表示されます。複数のデバイスで対象のホストを参照できる場合は、報告元のデバイスが太字で表示されます。
このフィールドが空白の場合は、次のいずれかです。
ホストがデバイスによってネットワーク マップに追加されたが、このデバイスは、ホストが存在しているネットワークに対してネットワーク検出ポリシーに定義されているとおりに明示的に監視していない。または、
ホストの入力機能を使用してホストが追加されたが、Firepower システムによって検出されていない。
ホストについて検出された 1 つ以上の MAC アドレスおよび関連付けられている NIC ベンダー。NIC のハードウェア ベンダーと現在の存続可能時間(TTL)値が括弧で囲まれて表示されます。
複数のデバイスが同じホストを検出した場合、Firepower Management Center には、どのデバイスがホストを報告したかに関係なく、ホストに関連付けられているすべての MAC アドレスと TTL 値が表示されます。
MAC アドレスが太字で表示されている場合、その MAC アドレスは、ARP および DHCP トラフィックを通じた検出により、IP アドレスに明確に関連付けられた、ホストの実際の/該当する/プライマリの MAC アドレスです。
太字フォントで表示されない MAC アドレスはセカンダリ アドレスなので、ホストの IP アドレスに明確に関連付けることはできません。たとえば、Firepower デバイスは自身のネットワーク セグメント上のホストの MAC アドレスのみを取得できるため、トラフィックが Firepower デバイスが直接接続されていないネットワーク セグメントから発生している場合、監視されている MAC アドレス(ルータの MAC アドレス)は、ホストのセカンダリ MAC アドレスとして表示されます。
システムで検出されたデバイスのタイプ(ホスト、モバイル デバイス、ジェイルブレイクされたモバイル デバイス、ルータ、ブリッジ、NAT デバイス、またはロード バランサ)。
ネットワーク デバイスを区別するためにシステムでは次の方法を使用します。
Cisco Discovery Protocol(CDP)メッセージの分析。ネットワークのデバイスおよびそれらのタイプ(シスコ デバイスのみ)を特定できます。
スパニング ツリー プロトコル(STP)の検出。デバイスをスイッチまたはブリッジとして識別します。
同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。
クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロード バランサを識別します。
モバイル デバイスを区別するためにシステムでは次の方法を使用します。
モバイル デバイスのモバイル ブラウザからの HTTP トラフィックのユーザ エージェント文字列の分析
特定のモバイル アプリケーションの HTTP トラフィックのモニタリング
デバイスがネットワーク デバイスまたはモバイル デバイスとして識別されない場合は、ホストとして分類されます。
ホストのいずれかの IP アドレスが最後に検出された日時。
このホストに最後にログインしたユーザ。
既存の現在のユーザが権限のあるユーザでない場合、ホストにログインしている権限を持たないユーザは、現在のユーザとして登録されるだけであることに注意してください。
接続、検出、マルウェア、および侵入イベント データのビューへのリンク。このリンクは、そのイベント タイプのデフォルト ワークフローを使用し、ホストに関連するイベントを表示するように制限されています。可能な場合は、これらのイベントには、ホストに関連付けられているすべての IP アドレスが含まれます。
システムは、ホストで生成されたトラフィック内のネットワークおよびアプリケーション スタックを分析したり、User Agent でレポートされたホスト データを分析することによって、ホスト上で稼動しているオペレーティング システムのアイデンティティをパッシブに検出します。システムでは、他のソース(Nmap スキャナ、ホストの入力機能によりインポートされたアプリケーション データ)のオペレーティング システムの情報も照合します。どのアイデンティティを使用するかを判断する場合、システムは、各アイデンティティのソース(発生源)に割り当てられている優先度を考慮します。デフォルトでは、ユーザ入力が最も高い優先度を持ち、以降は高い順にアプリケーションまたはスキャナ ソース、検出されたアイデンティティ、となります。
システムでは、オペレーティング システムの具体的な定義ではなく、全般的な定義を提供することがあります。これは、トラフィックおよび他のアイデンティティ ソースで、対象のアイデンティティを詳しく調べるための十分な情報が提供されないためです。システムは、できるだけ詳しい定義を使用するために、ソースの情報を照合します。
オペレーティング システムは、ホストの脆弱性リスト、およびホストを対象とするイベントの影響の相関関係に影響するため、オペレーティング システムの特定の情報を手動で入力することもできます。また、オペレーティング システムに対して、サービス パックやアップデートなどの修正ファイルが適用されたことを示すことも、修正ファイルによって対処された脆弱性を無効にすることもできます。
たとえば、システムでホストのオペレーティング システムが Microsoft Windows 2003 であると特定されたが、実際にはホストが Microsoft Windows XP Professional および Service Pack 2 を実行していることがわかっている場合、オペレーティング システムのアイデンティティを実際のとおりに設定することができます。より具体的なオペレーティング システムのアイデンティティを設定すると、ホストの脆弱性のリストの精度が向上するため、対象のホストに対する影響の相関関係が、より限定的かつ正確になります。
システムでホストに対するオペレーティング システム情報が検出され、その情報が、アクティブなソースによって提供されている現行のオペレーティング システムのアイデンティティと競合している場合、アイデンティティの競合が発生します。実際にアイデンティティの競合が発生している場合、システムは脆弱性と影響の相関関係の両方のアイデンティティを使用します。
ネットワーク検出ポリシーを設定して、NetFlow エクスポータによってモニタされるホストのネットワーク マップに検出データを追加することができます。ただし、オペレーティング システムの ID を設定するためにホスト入力機能の使用を設定しない限り、これらのホストで使用可能なオペレーティング システム データはありません。
オペレーティングシステムを実行しているホストが、有効なネットワーク検出ポリシーのコンプライアンス white リストに違反している場合、Firepower Management Center はオペレーティングシステムの情報にwhite リストの違反のマークを付けます。また、ジェイルブレイクされたモバイルデバイスが有効なwhiteリストに違反している場合、そのデバイスのオペレーティングシステムの隣にアイコンが表示されます。
ホストのオペレーティング システムのアイデンティティに対して、カスタム表示文字列を設定できます。この表示文字列は、ホスト プロファイルで使用されます。
(注) |
あるホストについてオペレーティングシステムの情報を変更すると、ホストのコンプライアンス、およびコンプライアンスのwhiteリストが変わる可能性があります。 |
ネットワーク デバイスに対するホスト プロファイルでは、[オペレーティング システム(Operating Systems)] セクションのラベルが [システム(Systems)] に変わり、[ハードウェア(Hardware)] カラムが新しく表示されます。[システム(Systems)] の下にハードウェア プラットフォームの値が表示された場合、システムでは、ネットワーク デバイスの背後で検出された 1 つ以上のモバイル デバイスを示します。モバイル デバイスはハードウェア プラットフォームの情報を持っていることも、持っていないこともありますが、モバイル デバイスではないシステムではハードウェア プラットフォーム情報は検出されないことに注意してください。
次に、ホスト プロファイルで表示されるオペレーティング システムの情報フィールドについて説明します。
モバイル デバイスのハードウェア プラットフォーム。
オペレーティング システムのベンダー。
次の値のいずれかを指定します。
すべてのソースから収集されたアイデンティティ データに基づいて、実行されている可能性が最も高いと判断されたオペレーティング システム。
[Pending]:システムがオペレーティング システムをまだ識別しておらず、他に使用可能なアイデンティティ データがない場合。
[unknown]:システムがオペレーティング システムを識別できず、オペレーティング システムに関して他に使用可能なアイデンティティ データがない場合。
(注) |
ホストのオペレーティング システムをシステムで検出できない場合には、ホスト オペレーティング システムの識別を参照してください。 |
オペレーティング システムのバージョン。ホストがジェイルブレイクされたモバイル デバイスの場合、バージョンの後に括弧で囲まれて Jailbroken
と示されます。
次の値のいずれかを指定します。
[ユーザ(User)]:user_name
[アプリケーション(Application)]:app_name
[スキャナ(Scanner)]:scanner_type(Nmap またはその他のスキャナ)
Firepower
システムでは、オペレーティング システムのアイデンティティを判断するために、複数のソースのデータを統合することができます。
検出された、またはホストに追加された特定のオペレーティング システムのアイデンティティを表示することができます。システムはソースの優先度を使用して、ホストに対する現行のアイデンティティを判断します。アイデンティティのリストでは、現行のアイデンティティが太字で強調されます。
1 つのホストに対して複数のオペレーティングシステムのアイデンティティが存在している場合のみ、[表示(View)] が有効になっていることに注意してください。
ステップ 1 |
ホスト プロファイルの [オペレーティング システム(Operating System)] または [オペレーティング システムの競合(Operating System Conflicts)] セクションで [表示(View)] をクリックします。 |
||
ステップ 2 |
ホスト プロファイルのオペレーティング システムの説明に従って情報を入力します。 |
||
ステップ 3 |
必要に応じて、オペレーティングシステムのアイデンティティの横にあるをクリックします。 /firepower/fmc/fmc_config_guide/discovery-host-profiles/t_editing_server_identities.xml
|
Firepower システム Web インターフェイスを使用して、ホストに対する現行のオペレーティング システムのアイデンティティを設定できます。Web インターフェイスを介してアイデンティティを設定すると、他のすべてのアイデンティティ ソースが上書きされるため、このアイデンティティが、脆弱性の評価および影響の相関関係で使用されます。ただし、オペレーティング システムを編集した後で、ホストに対するオペレーティング システムのアイデンティティの競合がシステムで検出されると、オペレーティング システムの競合が発生します。競合が解決されるまで、両方のオペレーティング システムが現行のものであるとみなされます。
ステップ 1 |
ホスト プロファイルの [オペレーティング システム(Operating System)] セクションで [編集(Edit)] をクリックします。 |
ステップ 2 |
ここでは次のオプションがあります。
|
ステップ 3 |
必要に応じて、[カスタム表示文字列を使用する(Use Custom Display String)] を選択し、[ベンダー文字列(Vendor String)]、[製品文字列(Product String)]、および [バージョン文字列(Version String)] フィールドに表示するカスタム文字列を変更します。 |
ステップ 4 |
必要に応じて、別のベンダーからのオペレーティング システムに変更するには、[ベンダー(Vendor)] と [製品(Product)] のドロップダウンリストから選択します。 |
ステップ 5 |
必要に応じて、オペレーティング システムの製品リリース レベルを設定するには、[メジャー(Major)]、[マイナー(Minor)]、[リビジョン(Revision)]、[ビルド(Build)]、[パッチ(Patch)]、および [拡張(Extension)] ドロップダウン リストから選択します。 |
ステップ 6 |
必要に応じて、オペレーティング システムに対して修正ファイルが適用されたことを示す場合は、[修正の設定(Configure Fixes)] をクリックします。 |
ステップ 7 |
ドロップダウン リストから適用可能な修正を選択し、[追加(Add)] をクリックします。 |
ステップ 8 |
必要に応じて、[パッチ(Patch)] および [拡張(Extension)] ドロップダウン リストを使用して、対象のパッチと拡張機能を追加します。 |
ステップ 9 |
[終了(Finish)] をクリックします。 |
システムで検出された新しいアイデンティティと現行のアイデンティティが競合しており、そのアイデンティティが、スキャナやアプリケーション、ユーザなどのアクティブなソースによって提供されていた場合、オペレーティング システムのアイデンティティで競合が発生します。
ホスト プロファイルでは、競合状態のオペレーティング システムのアイデンティティのリストは太字で表示されます。
システムの Web インターフェイスを介して、アイデンティティの競合を解決し、ホストに対する現行のオペレーティング システムのアイデンティティを設定することができます。Web インターフェイスを介してアイデンティティを設定すると、他のすべてのアイデンティティ ソースが上書きされるため、このアイデンティティが、脆弱性の評価および影響の相関関係で使用されます。
ステップ 1 |
ホスト プロファイルの [オペレーティング システム(Operating System)] セクションに移動します。 |
ステップ 2 |
次の 2 つの選択肢があります。
|
ステップ 1 |
ホスト プロファイルの [オペレーティング システムの競合(Operating System Conflicts)] セクションにある [解決(Resolve)] をクリックします。 |
ステップ 2 |
次の選択肢があります。
|
ステップ 3 |
必要に応じて、[カスタム表示文字列の使用(Use Custom Display String)] を選択して、表示するカスタム文字列を [ベンダー文字列(Vendor String)]、[製品文字列(Product String)]、および [バージョン文字列(Version String)] フィールドに入力します。 |
ステップ 4 |
必要に応じて、別のベンダーからのオペレーティング システムに変更するには、[ベンダー(Vendor)] と [製品(Product)] のドロップダウンリストから選択します。 |
ステップ 5 |
必要に応じて、オペレーティング システムの製品リリース レベルを設定するには、[メジャー(Major)]、[マイナー(Minor)]、[リビジョン(Revision)]、[ビルド(Build)]、[パッチ(Patch)] および [拡張(Extension)] ドロップダウンリストから選択します。 |
ステップ 6 |
必要に応じて、オペレーティング システムに対して修正ファイルが適用されたことを示す場合は、[修正の設定(Configure Fixes)] をクリックします。 |
ステップ 7 |
適用した修正ファイルを、修正ファイル リストに追加します。 |
ステップ 8 |
[終了(Finish)] をクリックします。 |
ホスト プロファイルのサーバ セクションでは、監視対象ネットワーク上のホストで検出されるか、エクスポートされた NetFlow レコードから追加されるか、スキャナまたはホスト入力機能のようなアクティブなソースを介して追加されるサーバを列挙します。
リストは 1 つのホストにつき最大 100 台のサーバを表示します。100 個の制限に達すると、ホストからサーバを削除するか、またはサーバがタイムアウトになるまで、いずれかのソースの新しいサーバ情報は、アクティブであってもパッシブであっても廃棄されます。
Nmap を使用してホストをスキャンすると、オープンな TCP ポート上で稼動している、以前に検出されなかったサーバの結果が Nmap によって Servers リストに追加されます。Nmap スキャンを実行した場合、または Nmap の結果をインポートした場合、ホスト プロファイルに拡張可能な [スキャン結果(Scan Results)] セクションも表示され、Nmap スキャンによってホスト上で検出されたサーバ情報が示されます。さらに、ネットワーク マップからホストが削除されると、ホストのそのサーバーに対する Nmap スキャンの結果は廃棄されます。
(注) |
システムは、エクスポートされた NetFlow レコードからネットワークマップにホストを追加できますが、これらのホストに使用できる情報は限られます(NetFlow データと管理対象デバイス データの違いを参照)。 |
ホスト プロファイルでサーバーを使用するためのプロセスは、ユーザーがプロファイルにアクセスする方法によって異なります。
ネットワーク マップを介したドリル ダウンによりホスト プロファイルにアクセスする場合は、サーバーの名前が太字で強調されて、サーバーの詳細が表示されます。ホストの他のサーバーの詳細を表示する場合は、対象のサーバー名の隣にある表示( )をクリックします。
他の方法でホストプロファイルにアクセスする場合は、[サーバー(Servers)] セクションを展開し、詳細を表示するサーバーの隣にある表示( )をクリックします。
(注) |
ホストが、有効な相関ポリシーにおけるコンプライアンスのwhiteリストに違反しているサーバーを実行している場合、Firepower Management Center は非準拠サーバーに、whiteリストの [違反(Violation)] のマークを付けます。 |
次に、[Servers リスト(Servers list)] の列について説明します。
サーバが使用するプロトコルの名前。
サーバが実行されているポート。
次のいずれかになります。
アプリケーション プロトコルの名前
[保留中(pending)]:システムで、いずれかの理由のでアプリケーション プロトコルをポジティブまたはネガティブに識別できない場合
[未知(unknown)]:既知のアプリケーション プロトコルのフィンガープリントに基づいてシステムでアプリケーション プロトコルを識別できない場合、または(対応するサーバは追加せずに、ポート情報での脆弱性を追加することにより)ホストの入力を介してサーバが追加された場合
アプリケーション プロトコルの名前にマウスを重ねると、タグが表示されます。
Firepower システム、Nmap、または他のアクティブなソースで識別されたベンダーとバージョン、またはホストの入力機能を介して取得したベンダーとバージョン。有効なソースで識別が行われなかった場合、フィールドは空白になります。
Firepower Management Center は、1 つのサーバについてパッシブに検出されるアイデンティティを最大 16 個表示します。パッシブな検出ソースには、ネットワーク検出データおよび NetFlow レコードが含まれます。システムで、このサーバの複数のベンダーまたはバージョンを検出した場合、サーバは複数のパッシブなアイデンティティを持つことができます。たとえば、複数の Web サーバーで同じバージョンのサーバー ソフトウェアが実行されていない場合、管理対象デバイスと Web サーバー ファーム間にロード バランサがあると、システムでは HTTP について複数のパッシブ アイデンティティが識別されることがあります。Firepower Management Centerは、アクティブなソース(ユーザー入力、スキャナ、その他のアプリケーションなど)からのサーバー アイデンティティの数を制限することはありません。
Firepower Management Centerは現行のアイデンティティを太字で表示します。システムでは、さまざまな目的でサーバーの現行のアイデンティティが使用されます。このような目的には、1 つのホストに対する脆弱性の割り当て、影響の評価、ホストプロファイルの証明書およびコンプライアンスwhiteリストに対して記載された相関ルールの評価などがあります。
サーバーの詳細には、選択されたサーバーについて知られている、更新済みのサブサーバー情報が表示されることもあります。
サーバの詳細にサーバのバナーが表示されることもあります。これは、ホスト プロファイルからサーバを表示したときに、サーバの詳細の下に表示されます。サーバのバナーは、サーバを識別するのに役立つサーバに関する追加情報を提供します。攻撃者がサーバのバナー文字列を意図的に変更した場合、システムは誤ったアイデンティティが示されたサーバを識別または検出できません。サーバのバナーには、そのサーバについて検出された最初のパケットの最初の 256 文字が表示されます。この情報は、サーバがシステムによって最初に検出されたときに一度だけ収集されます。バナーの内容は 2 列で表示されます。左側の列は 16 進表記で示され、右側の列は対応する ASCII 表記で示されます。
(注) |
サーバーのバナーを表示するには、ネットワーク検出ポリシーで [バナーのキャプチャ(Capture Banners)] チェックボックスをオンにする必要があります。このオプションはデフォルトでは無効になっています。 |
ホスト プロファイルのサーバの詳細セクションには、次の情報が含まれています。
サーバが使用するプロトコルの名前。
サーバが実行されているポート。
Firepower システムの管理対象デバイスまたは Nmap スキャナによってサーバが検出された回数。ホストの入力によってインポートされたサーバについては、システムがそのサーバについてトラフィックを検出しない場合、検出回数は 0 になります。
サーバが最後に検出された日時。システムで対象のサーバについて新しいトラフィックを検出しない場合、ホスト入力のデータが最後に使用された時間は、データの最初のインポート時間を反映しています。ホストの入力機能を介してインポートされたスキャナおよびアプリケーションのデータは、Firepower Management Center の設定に応じてタイム アウトしますが、FMC の Web インターフェイスを介したユーザ入力の場合はタイム アウトしません。
サーバによって使用されるアプリケーション プロトコルの名前(既知の場合)。
サーバのベンダー。ベンダーがわからない場合、このフィールドは表示されません。
サーバのバージョン。バージョンがわからない場合、このフィールドは表示されません。
次の値のいずれかを指定します。
[ユーザ(User)]:user_name
[アプリケーション(Application)]:app_name
[スキャナ(Scanner)]:scanner_type(Nmap またはその他のスキャナ)
Firepower システムで検出されたアプリケーションの場合、Firepower、Firepower Port Match、または Firepower Pattern Match
NetFlow レコードからネットワーク マップに追加されたサーバの場合、NetFlow
システムでは、サーバーのアイデンティティを判断するために、複数のソースのデータを統合することができます。
ホストプロファイルの [サーバー(Servers)] セクションで、サーバーの横にある 表示( ) をクリックします。 |
ホスト上のサーバーのアイデンティティ設定を手動で更新し、修正ファイルによって対処された脆弱性を削除するために、ホストに適用した何らかの修正ファイルを設定することができます。サーバのアイデンティティを削除することもできます。
アイデンティティを削除した場合、削除したアイデンティティが唯一のアイデンティティであっても、サーバは削除されません。アイデンティティを削除すると、[サーバの詳細(Server Detail)] ポップアップ ウィンドウからアイデンティティが削除されます。可能な場合は、ホスト プロファイルでそのサーバの現行のアイデンティティを更新します。
シスコ管理対象デバイスによって追加されたサーバのアイデンティティは、編集または削除できません。
ステップ 1 |
ホスト プロファイルの [サーバ(Servers)] セクションに移動します。 |
ステップ 2 |
[表示(View)] をクリックし、[サーバーの詳細(Server Detail)] ポップアップ ウィンドウを開きます。 |
ステップ 3 |
サーバーのアイデンティティを削除するには、削除するサーバーアイデンティティの隣にあるをクリックします。 |
ステップ 4 |
サーバーのアイデンティティを変更するには、サーバーリストでサーバーの隣にあるをクリックします。 |
ステップ 5 |
次の 2 つの選択肢があります。
|
ステップ 6 |
オプションで対象のサーバー タイプのベンダーと製品のみを表示するには、[サーバー タイプで制限(Restrict by Server Type)] チェックボックスをオンにします。 |
ステップ 7 |
オプションでサーバの名前とバージョンをカスタマイズするには、[カスタム表示文字列の使用(Use Custom Display String)] を選択し、[ベンダー文字列(Vendor String)] と [バージョン文字列(Version String)] に入力します。 |
ステップ 8 |
[製品マッピング(Product Mappings)] セクションで、使用するオペレーティング システム、製品、およびバージョンを選択します。 例: |
ステップ 9 |
サーバの修正が適用されていることを示す場合は、[修正の設定(Configure Fixes)] をクリックして、そのサーバに適用するパッチを修正リストに追加します。 |
ステップ 10 |
[終了(Finish)] をクリックします。 |
アプリケーションやスキャナなどのアクティブなソースが、サーバーのアイデンティティ データをホストへ追加したときに、サーバー アイデンティティの競合が発生します。その後で、システムはサーバー アイデンティティの競合を示しているポートのトラフィックを検出します。
ステップ 1 |
ホスト プロファイルで、[サーバー(Servers)] セクションに移動します。 |
ステップ 2 |
サーバーの横にある解決をクリックします。 |
ステップ 3 |
[サーバー タイプの選択(Select Server Type)] ドロップダウン リストからサーバーのタイプを選択します。 |
ステップ 4 |
オプションで対象のサーバー タイプのベンダーと製品のみを表示するには、[サーバー タイプで制限(Restrict by Server Type)] チェックボックスをオンにします。 |
ステップ 5 |
必要に応じて、サーバの名前とバージョンをカスタマイズする場合は、[カスタム表示文字列の使用(Use Custom Display String)] を選択して、[ベンダー文字列(Vendor String)] と [バージョン文字列(Version String)] を入力します。 |
ステップ 6 |
[製品マッピング(Product Mappings)] セクションで、使用するオペレーティング システム、製品、およびバージョンを選択します。 例: |
ステップ 7 |
サーバの修正が適用されていることを示す場合は、[修正の設定(Configure Fixes)] をクリックして、そのサーバに適用するパッチを修正リストに追加します。 |
ステップ 8 |
[終了(Finish)] をクリックします。 |
ホスト プロファイルの [Web アプリケーション(Web Application)] セクションには、ネットワーク内のホスト上で動作していることをシステムが識別したクライアントと Web アプリケーションが表示されます。システムでは、パッシブ検出ソースとアクティブ検出ソースの両方から取得されるクライアントと Web アプリケーションの情報を識別できます。ただし、NetFlow レコードから追加されたホストに関する情報は一部しか取得することができません。
このセクションには、ホスト上で検出されたアプリケーションの製品とバージョン、使用できるクライアントまたは Web アプリケーションの情報、アプリケーションが最後に使用中であると検出された時間などの詳細情報が表示されます。
ホスト上で稼動している最大 16 個のクライアントが、このセクションに表示されます。16 個の制限に達すると、ユーザがホストからクライアント アプリケーションを削除するか、または非アクティブである(クライアントがタイムアウトしている)ためにシステムによってホスト プロファイルからクライアントが削除されるまで、新しいクライアント情報は、どのソースのものであるか、アクティブかパッシブかにかかわらず、廃棄されます。
また、検出されたそれぞれの Web ブラウザについては、アクセスされた最初の 100 個の Web アプリケーションが表示されます。この制限に達すると、ブラウザに関連付けられている新しい Web アプリケーションは、どのソースのものであるか、アクティブかパッシブかにかかわらず、次の条件を満たすまで廃棄されます。
Web ブラウザのクライアント アプリケーションがタイムアウトになる、または
ユーザーが、Web アプリケーションに関連付けられているアプリケーション情報をホスト プロファイルから削除する
ホストが、有効な相関ポリシーにおけるコンプライアンス white リストに違反しているアプリケーションを実行している場合、Firepower Management Center は非準拠サーバーに、whiteリストの違反 のマークを付けます。
ヒント |
ホスト上の特定のアプリケーションに関連付けられている接続イベントを分析するには、アプリケーションの隣にある ロギング ( ) をクリックします。接続イベントに対する優先ワークフローの最初のページが表示され、ホストの IP アドレスの他、アプリケーションのタイプ、製品、およびバージョンによって制限された接続イベントが示されます。接続イベントに対する優先ワークフローがない場合、ワークフローを選択する必要があります。 |
次に、ホスト プロファイルに表示されるアプリケーション情報について説明します。
アプリケーション(HTTP ブラウザ、DNS クライアントなど)で使用されるアプリケーション プロトコルを表示します。
ペイロードから派生したクライアント情報。この情報は、Firepower システムが識別するか、Nmap がキャプチャするか、またはホスト入力機能によって取得されます。有効なソースで識別が行われなかった場合、フィールドは空白になります。
クライアントのバージョンを表示します。
Web ブラウザの場合は、http トラフィックでシステムによって検出されたコンテンツ。Web アプリケーションの情報は、Firepower システムによって識別された、Nmap によってキャプチャされた、他のアクティブなソースによって取得された、またはホストの入力機能を介して取得された特定のタイプのコンテンツ(WMV や QuickTime など)を表します。有効なソースで識別が行われなかった場合、フィールドは空白になります。
ホスト上で稼働していないことが判明しているアプリケーションを削除するには、ホスト プロファイルからアプリケーションを削除します。ホストからアプリケーションを削除すると、そのホストにwhiteリストのコンプライアンスが適用されることがあります。
(注) |
システムでアプリケーションが再検出されると、アプリケーションはネットワーク マップおよびホスト プロファイルに再度追加されます。 |
ステップ 1 |
ホスト プロファイルで、[アプリケーション(Applications)] セクションに移動します。 |
ステップ 2 |
削除するアプリケーションの横にあるをクリックします。 |
各ホスト プロファイルには、ホストに関連付けられているネットワーク トラフィックで検出されたプロトコルに関する情報が含まれています。この情報には次のものが含まれます。
ホストが使用するプロトコルの名前。
プロトコルを実行しているネットワーク層(Network
またはTransport
)。
ホストプロファイルに表示されているプロトコルが、有効な相関ポリシーのコンプライアンス white リストに違反する場合、Firepower Management Center は非準拠プロトコルに、white リストの違反 のマークを付けます。
ホスト プロファイルに、ホスト上で実行していないことがわかっているプロトコルがリストされている場合は、これらのプロトコルを削除できます。ホストからプロトコルを削除すると、ホストがコンプライアンス white リストに準拠する可能性があります。
(注) |
システムでプロトコルが再検出されると、プロトコルはネットワーク マップおよびホスト プロファイルに再度追加されます。 |
ステップ 1 |
ホスト プロファイルの [プロトコル(Protocols)] セクションに移動します。 |
ステップ 2 |
Firepower System は、モニタリング対象のネットワーク上でホストが悪意のある手段によって侵害されている可能性があるかどうかを判断するために、ホストに関連付けられているさまざまなタイプのデータ(侵入イベント、Security Intelligence、接続イベント、ファイルまたはマルウェアイベント)との関連性を示します。イベント データの特定の組み合わせと頻度は、影響を受けたホストの侵害の痕跡(IOC)タグをトリガーとして使用します。
ホスト プロファイルの [侵害の兆候(Indications of Compromise)] セクションには、ホストのすべての侵害の兆候のタグが表示されます。
侵害の兆候にタグを付けるようにシステムを構成するには、侵害の兆候ルールの有効化を参照してください。
侵害の兆候についての作業の詳細については、侵害の兆候データとそのトピックのサブトピックを参照してください。
ホストが仮想 LAN(VLAN)のメンバである場合、ホスト プロファイルの [VLAN タグ(VLAN Tag)] セクションが表示されます。
物理ネットワーク機器は、多くの場合に VLAN を使用して、さまざまなネットワーク ブロックから論理ネットワーク セグメントを作成します。システムは 802.1q VLAN タグを検出し、それぞれに対して以下の情報を表示します。
[VLAN ID] は、ホストがメンバである VLAN を表します。これは、802.1q VLAN の場合、0 ~ 4095 の任意の整数となります。
[タイプ(Type)] は、VLAN タグが含まれている、カプセル化されたパケットを表します。値は Ethernet または Token Ring となります。
[優先順位(Priority)] は、VLAN タグの優先度を表します。これは 0 ~ 7 の任意の整数で、7 は最も高い優先度です。
VLAN タグがパケット内でネスト構造になっている場合、システムは最も内側の VLAN タグを処理し、Firepower Management Center は最も内側の VLAN タグを表示します。システムは、ARP および DHCP トラフィックを通じて識別される MAC アドレスのみの VLAN タグ情報を収集し、これらのタグを表示します。
たとえば全体がプリンタで構成されている VLAN があり、システムがこの VLAN で Microsoft Windows 2000 のオペレーティング システムを検出した場合などは、VLAN タグ情報が有用です。VLAN 情報により、システムは正確性の高いネットワーク マップを生成できるようになります。
ホスト プロファイルのユーザ履歴の部分には、過去 24 時間のユーザ アクティビティがグラフィック表示されます。一般的なユーザーは夕方にログオフし、また他のユーザーとホストのリソースを共有することがあります。電子メールのチェックなどの目的で行われる定期的なログインの要求は、短い標準の棒で示されます。ユーザーのアイデンティティ リストは棒グラフで提示され、ユーザー ログインが検出されたタイミングを示します。権限のないログインの場合は、棒グラフがグレーになっていることに注意してください。
システムは、ホストに対する権限のないユーザー ログインを、そのホストの IP アドレスに関連付けるため、そのユーザーはそのホストのユーザー履歴に表示されます。ただし、権限のあるユーザ ログインが同じホストで検出された場合、その権限のあるユーザ ログインに関連付けられているユーザが、そのホストの IP アドレスとの関連付けを引き継ぐため、新しい権限のないユーザ ログインがそのホストの IP アドレスとのそのユーザの関連付けを壊すことはありません。ネットワーク検出ポリシーで、失敗したログインのキャプチャを設定した場合、リストにはこのホストへのログインに失敗したユーザーが含まれます。
ホスト属性を使用して、ネットワーク環境にとって重要な方法でホストを分類することができます。Firepower システムには以下の 3 つのタイプの属性があります。
定義済みホスト属性
コンプライアンスの white リストのホスト属性
ユーザー定義ホスト属性
定義済みホスト属性を設定後、またはユーザ定義ホスト属性を作成後は、ホスト属性の値を割り当てる必要があります。
(注) |
ホスト属性は、どのドメイン レベルでも定義できます。現在のドメインと先祖ドメインで作成されたホスト属性を割り当てることができます。 |
Firepower Management Center には、2 つの定義済みホスト変数が用意されています。
特定のホストの業務の重要性を指定し、ホストの重要性に応じて相関ポリシーの応答を調整するには、この属性を使用します。たとえば、業務にとって組織のメール サーバが一般的なユーザ ワークステーションよりも重要であるとみなしている場合は、メール サーバと業務に重要なその他のデバイスに [高(High)] の値を割り当て、他のホストには [中(Medium)] または [低(Low)] の値を割り当てることができます。その上で、影響を受けるホストの重要度に基づいて異なるアラートを起動する相関ポリシーを作成できます。
他のアナリストに確認してもらいたいホストに関する情報を記録するには、このホスト固有の属性を使用します。たとえば、ネットワーク上のコンピュータに、パッチが適用されていない古いバージョンのテスト用オペレーティング システムが搭載されている場合、[注記(Notes)] 属性を使用して、システムは意図的にパッチを適用していないことを明示できます。
ユーザーが作成するコンプライアンス white リストごとに、各whiteリストと同じ名前でホスト属性が自動的に作成されます。whiteリストのホスト属性に設定可能な値は、次のとおりです。
準拠(Compliant):whiteリストに準拠しているホストを識別します。
非準拠(Non-Compliant):whiteリストに違反しているホストを識別します。
未評価(Not Evaluated):whiteリストの有効な対象ではないホスト、または何らかの理由で評価されていないホストを識別します。
whiteリストのホスト属性の値を編集したり、whiteリストのホスト属性を削除したりすることはできません。
定義済みのホスト属性またはコンプライアンス white リストのホスト属性で使用されている基準と異なる基準を使用してホストを識別する場合、ユーザー定義のホスト属性を作成することができます。例えば、以下を行うことができます。
ホストに対してファシリティ コード、市町村、部屋番号などの物理的なロケーション ID を割り当てます。
特定のホストを担当するシステム管理者を示す担当者 ID を割り当てます。ホストに関連する問題が検出された場合、相関ルールとポリシーを作成して、適切なシステム管理者にアラートを送信することができます。
ホストの IP アドレスに基づいて、事前定義されたリストからホストへ自動的に値を割り当てます。この機能は、ネットワーク上にホストが初めて表示されたときに、その新しいホストへ値を割り当てるために役立ちます。
ユーザ定義のホスト属性は、ホスト プロファイルのページに表示されます。ここでホストごとに値を割り当てることができます。次のことも実行できます。
相関ポリシーと検索でホスト属性を使用します。
イベントのホスト属性テーブル ビューで属性を表示して、それに基づいてレポートを生成します。
ユーザ定義のホスト属性として、次のタイプのいずれか 1 つを使用できます。
ホストに対してテキスト文字列を手動で割り当てることができます。
正の整数の範囲の最初の数と最後の数を指定してから、ホストに対してこれらの数の 1 つを手動で割り当てることができます。
文字列値のリストを作成してから、ホストに対してこの値のいずれかを割り当てることができます。また、ホストの IP アドレスに基づいて、ホストに対して値を自動的に割り当てることもできます。
複数の IP アドレスを持つホストの 1 つの IP アドレスに基づいて値を自動的に割り当てると、これらの値は、ホストに関連付けられているすべてのアドレスに適用されます。[ホスト属性(Host Attributes)] テーブルを表示する場合は、このことに留意してください。
リストの値を自動的に割り当てる場合は、リテラルの IP アドレスではなくネットワーク オブジェクトの使用を検討してください。このアプローチによって保守容易性を向上でき、特にマルチドメイン展開で有効です。これは、マルチドメイン展開でオーバーライドが有効になったオブジェクトを使用すると、子孫ドメインの管理者が先祖ドメインの設定を自分のローカル環境に合わせて調整できるためです。マルチドメイン展開では、子孫ドメインで重複した IP アドレスを使用している場合に意図しないホストに一致するのを避けるために、先祖ドメイン レベルで自動割り当てリストを定義する場合は注意してください。
ホストに対して手動で URL の値を割り当てることができます。
ユーザー定義のホスト属性を削除すると、その属性が使用されているすべてのホスト プロファイルから削除されます。
ステップ 1 |
を選択します。 |
ステップ 2 |
[ホスト属性管理(Host Attribute Management)] をクリックします。 |
ステップ 3 |
[属性の作成(Create Attribute)] をクリックします。 |
ステップ 4 |
名前を入力します。 |
ステップ 5 |
ユーザ定義のホスト属性 の説明に従って作成する属性の [タイプ(Type)] を選択します。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
整数ベースのホスト属性を定義する場合は、その属性が受け入れる数値の範囲を指定する必要があります。
ステップ 1 |
を選択します。 |
ステップ 2 |
[ホスト属性管理(Host Attribute Management)] をクリックします。 |
ステップ 3 |
[属性の作成(Create Attribute)] をクリックします。 |
ステップ 4 |
名前を入力します。 |
ステップ 5 |
ユーザ定義のホスト属性の説明に従って、作成する属性の [タイプ(Type)] を選択します。 |
ステップ 6 |
[最小(Min)] フィールドに、ホストに対して割り当てることができる範囲の最小の整数値を入力します。 |
ステップ 7 |
[最大値(Max)] フィールドに、ホストに対して割り当てることができる範囲の最大の整数値を入力します。 |
ステップ 8 |
[保存(Save)] をクリックします。 |
リストベースのホストの属性を定義する場合は、リストに対してそれぞれの値を提供する必要があります。これらの値には、英数字、スペース、および記号を含めることができます。
ステップ 1 |
を選択します。 |
ステップ 2 |
[ホスト属性管理(Host Attribute Management)] をクリックします。 |
ステップ 3 |
[属性の作成(Create Attribute)] をクリックします。 |
ステップ 4 |
名前を入力します。 |
ステップ 5 |
ユーザ定義のホスト属性の説明に従って、作成する属性の [タイプ(Type)] を選択します。 |
ステップ 6 |
リストに値を追加するには、[値の追加(Add Value)] をクリックします。 |
ステップ 7 |
[名前(Name)] フィールドに、追加する最初の値を入力します。 |
ステップ 8 |
オプションで、ホストに追加した属性値を自動で割り当てるには、[ネットワークを追加(Add Networks)] をクリックします。 |
ステップ 9 |
[値(Value)] ドロップダウン リストから、追加した値を選択します。 |
ステップ 10 |
[IP アドレス(IP Address)] および [ネットマスク(Netmask)] フィールドに、この値を自動的に割り当てる IP アドレスのブロックを表す IP アドレスとネットワーク マスク(IPv4)を入力します。 |
ステップ 11 |
リストにさらに値を追加して、IP アドレス ブロックの範囲内の新しいホストにこれらの値を自動的に割り当てるには、手順 6 ~ 10 を繰り返します。 |
ステップ 12 |
[保存(Save)] をクリックします。 |
事前定義またはユーザ定義のホスト属性に値を設定できます。システムによって生成されたコンプライアンス white リストのホスト属性値は設定できません。
ステップ 1 |
変更するホスト プロファイルを開きます。 |
ステップ 2 |
[属性(Attributes)] セクションで、[属性の編集(Edit Attributes)] をクリックします。 |
ステップ 3 |
必要に応じて、属性を更新します。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
コンプライアンスwhiteリスト(またはwhiteリスト)は一連の基準で、ユーザーはこれを使用して、特定のサブネット上での実行が許可されるオペレーティングシステム、アプリケーションプロトコル、クライアント、Web アプリケーション、およびプロトコルを指定することができます。
アクティブな相関ポリシーにwhiteリストを追加した場合に、システムでwhiteリストに違反しているホストがあることが検出されると、Firepower Management Center はwhiteリストのイベント(相関イベントの特別な種類)をデータベースに記録します。これらのwhiteリストイベントはそれぞれwhiteリスト違反に関連付けられます。これには、特定のホストがどのようにwhiteリストに違反しているか、および違反している理由が含まれています。あるホストが 1 つ以上のwhiteリストに違反している場合、ホストプロファイルにおいて、2 つの方法でこれらの違反を参照することができます。
ホストプロファイルには最初に、ホストに関連付けられている個々のwhiteリストの違反がすべて一覧表示されます。
次に、ホストプロファイルにおけるwhiteリスト違反の説明が続きます。
違反のタイプ(つまり、違反がオペレーティング システム、アプリケーション、サーバ、またはプロトコルの非準拠の結果として生じたかどうか)。
違反についての特別な理由。たとえば、Microsoft Windows のホストのみを許可するwhiteリストがある場合、ホストプロファイルには、ホストで稼働している現行のオペレーティングシステム(Linux Linux 2.4、2.6
など)が表示されます。
違反に関連付けられているwhiteリストの名前。
(注) |
ホストのプロファイルを使用すると、コンプライアンスwhiteリストの共有ホストプロファイルを作成することができます。 |
コンプライアンスwhiteリストの共有ホストプロファイルは、複数のwhiteリストで、ターゲットホスト上で実行を許可されるオペレーティングシステム、アプリケーションプロトコル、クライアント、Web アプリケーション、およびプロトコルを指定します。つまり、複数のwhiteリストを作成するが、同じホストプロファイルを使用して複数のwhiteリストで特定のオペレーティングシステムを実行するホストを評価する場合は、共有ホストプロファイルを使用します。
既知の IP アドレスが割り当てられている任意のホストのホストプロファイルを使用して、コンプライアンスwhiteリストで使用できる共有ホストプロファイルを作成することができます。ただし、システムでホストのオペレーティング システムをまだ特定していない場合は、個々のホストのホスト プロファイルに基づいて共有ホスト プロファイルを作成することはできないことに注意してください。
ステップ 1 |
ホストプロファイルで、[[ホワイトリスト(White List)]プロファイルの生成(Generate White List Profile)] をクリックします。 |
ステップ 2 |
特別なニーズに応じて、共有ホスト プロファイルを変更し、保存します。 |
[最後に検出されたマルウェア(Most Recent Malware Detections)] セクションには、ホストがマルウェア ファイルを送信または受信した、最近のマルウェア イベントが最大 100 個表示されます。ホスト プロファイルには、ネットワークベースのマルウェア イベント(ネットワーク向け AMP によって生成されたもの)とエンドポイントベースのマルウェア イベント(エンドポイント向け AMP によって生成されたもの)の両方のリストが示されます。
ファイルが遡ってマルウェアと識別されたファイル イベントにホストが関係している場合、ファイルが送信された元のイベントは、マルウェアの特定が行われた後で、マルウェアの検出リストに表示されます。マルウェアとして識別されたファイルが、マルウェアではないと遡って判断された場合、そのファイルに関連するマルウェア
イベントはリストには表示されなくなります。たとえば、ファイルの性質が Malware
であり、これが Clean
に変わった場合、そのファイルのイベントは、ホスト プロファイル上のマルウェア検出リストから削除されます。
ホストプロファイルでマルウェアの検出を確認する際には、[マルウェア(Malware)] をクリックして、そのホストのマルウェアイベントを確認できます。
次に、ホスト プロファイルの [最新のマルウェア検出(Most Recent Malware Detections)] セクションの列について説明します。
イベントが生成された日時。
ファイルがマルウェアであると遡って特定されたイベントでは、これはマルウェアが特定された時刻ではなく、元のイベントの時刻であることに注意してください。
検出されたマルウェアの伝送におけるホストのロール(送信側または受信側)。エンドポイント向け AMP によって生成されたマルウェア イベント(「エンドポイントベースのマルウェア イベント」)の場合、ホストは常に受信者になります。
検出されたマルウェアの名前。
マルウェア ファイルの名前。
ファイルのタイプ(PDF
や MSEXE
など)。
ホスト プロファイルの [脆弱性(Vulnerabilities)] セクションには、ホストに影響を与える脆弱性が示されます。これらの脆弱性は、システムがホスト上で検出したオペレーティング システム、サーバ、およびアプリケーションに基づきます。
ホストのオペレーティング システムのアイデンティティ、またはホスト上のアプリケーション プロトコルのアイデンティティのいずれかで、アイデンティティの競合が発生している場合、システムは、競合が解決するまで両方のアイデンティティに対して脆弱性を表示します。
NetFlow データからネットワークマップに追加されたホストに使用可能なオペレーティングシステムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な(インパクト レベル 1:赤)インパクトレベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティングシステム ID を手動で設定します。
サーバーのベンダーおよびバージョンの情報は、ほとんどの場合はトラフィックに含まれていません。デフォルトでは、システムはこのようなトラフィックの送信側および受信側に対して、関連付けられている脆弱性をマップしません。ただし、ベンダーまたはバージョンの情報を持たない特定のアプリケーション プロトコルに対して脆弱性をマップするよう、システムを設定することができます。
ホストの入力機能を使用して、ネットワーク上のホストにサードパーティの脆弱性情報を追加すると、追加の [脆弱性(Vulnerabilities)] セクションが表示されます。たとえば QualysGuard Scanner から脆弱性をインポートすると、ホスト プロファイルには [QualysGuard 脆弱性(QualysGuard Vulnerabilities)] セクションが含まれます。サードパーティの脆弱性の場合は、ホスト プロファイルの対応する [脆弱性(Vulnerabilities)] セクションの情報は、ホストの入力機能を使用して脆弱性データをインポートしたときに提供した情報に制限されます。
サードパーティの脆弱性をオペレーティング システムおよびアプリケーション プロトコルと関連付けることはできますが、クライアントに関連付けることはできません。サードパーティの脆弱性のインポートについては、『Firepower System Host Input API Guide』を参照してください。
次に、ホスト プロファイルの [脆弱性(Vulnerabilities)] セクションのカラムについて説明します。
脆弱性の名前。
脆弱性がリモートで不正利用される可能性があるかどうかを示します。この列が空白の場合、脆弱性の定義にはこの情報は含まれていません。
脆弱性に関連付けられているオペレーティング システム、アプリケーション プロトコル、またはクライアントの名前。
ポート番号(脆弱性が、特定のポート上で実行されているアプリケーション プロトコルに関連付けられている場合)。
ネットワーク上のホストで検出された脆弱性を軽減するためのパッチをダウンロードできます。
ステップ 1 |
パッチをダウンロードするホストのホスト プロファイルにアクセスします。 |
ステップ 2 |
[脆弱性(Vulnerabilities)] セクションを展開します。 |
ステップ 3 |
パッチを適用する脆弱性の名前をクリックします。 |
ステップ 4 |
[修正(Fixes)] セクションを展開して、脆弱性に対するパッチの一覧を表示します。 |
ステップ 5 |
ダウンロードするパッチの隣の [ダウンロード(Download)] をクリックします。 |
ステップ 6 |
パッチをダウンロードして、影響を受けるシステムに適用します。 |
ホストの脆弱性エディタを使用して、ホストごとに脆弱性を非アクティブにすることができます。ホストの脆弱性を非アクティブにしても、そのホストの影響の相関に対して脆弱性は使用されますが、影響レベルは自動的に 1 レベル減少します。
ステップ 1 |
ホスト プロファイルの [脆弱性(Vulnerabilities)] セクションに移動します。 |
||
ステップ 2 |
[脆弱性の編集(Edit Vulnerabilities)] をクリックします。 |
||
ステップ 3 |
[有効な脆弱性(Valid Vulnerabilities)] リストから脆弱性を選択し、下矢印をクリックして [無効な脆弱性(Invalid Vulnerabilities)] リストに移動します。
|
||
ステップ 4 |
[保存(Save)] をクリックします。 |
必要に応じて、ホストの脆弱性を [無効な脆弱性(Invalid Vulnerabilities)] リストから [有効な脆弱性(Valid Vulnerabilities)] リストに移動して、脆弱性をアクティブ化します。
ホスト プロファイルで脆弱性を非アクティブ化すると、ネットワーク マップにあるすべてのホストに対して脆弱性が非アクティブ化されます。ただし、いつでもその脆弱性を再アクティブ化することができます。
マルチドメイン展開では、先祖ドメインの脆弱性を非アクティブ化すると、すべての子孫ドメインでその脆弱性が非アクティブ化されます。リーフ ドメインでは、脆弱性が先祖ドメインでアクティブ化された場合、リーフ ドメインのデバイスの脆弱性をアクティブ化または非アクティブ化できます。
ステップ 1 |
次のようにして、脆弱性の詳細にアクセスします。
|
ステップ 2 |
[影響を受ける条件(Impact Qualification)] ドロップダウン リストから [無効(Disabled)] を選択します。 コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
ステップ 3 |
ネットワーク マップ上のすべてのホストに対して、[影響を受ける条件(Impact Qualification)] の値を変更することを確認します。 |
ステップ 4 |
[完了(Done)] をクリックします。 |
オプションで、上記の手順を実行中に、[影響を受ける条件(Impact Qualification)] ドロップダウン リストから [有効(Enabled)] を選択することによって、脆弱性をアクティブにします。
Nmap を使用してホストをスキャンする場合、または Nmap のスキャンから結果をインポートする場合、これらの結果は、スキャンに含まれているすべてのホストのホスト プロファイルに表示されます。
Nmap が、ホストのオペレーティング システムについて、およびオープンでフィルタリングされていないポート上で稼動している任意のサーバーについて収集した情報が、ホスト プロファイルの [オペレーティング システム(Operating System)] と [サーバー(Servers)] セクションにそれぞれ追加されます。また、Nmap は、そのホストのスキャン結果のリストを [スキャン結果(Scan Results)] セクションに追加します。プロファイルに [スキャン結果(Scan Results)] セクションが表示されるのは、スキャンでホスト上のオープン ポートが検出された場合のみであることに注意してください。
各結果には、情報のソース、スキャンしたポートの番号とタイプ、ポート上で稼動しているサーバの名前、Nmap で検出された任意の追加情報(ポートの状態やサーバのベンダー名など)が示されます。UDP ポートをスキャンする場合、そのポートで検出されたサーバーは [スキャン結果(Scan Results)] セクションにのみ表示されます。
ホスト プロファイルから Nmap スキャンを実行できることに注意してください。
ホスト プロファイルから、ホストに対して Nmap スキャンを実行できます。スキャンが完了すると、ホスト プロファイルでそのホストのサーバーおよびオペレーティング システムの情報が更新されます。追加のスキャン結果は、すべてホスト プロファイルの [スキャン結果(Scan Results)] セクションに追加されます。
注意 |
Nmap 提供のサーバおよびオペレーティング システムのデータは、別の Nmap スキャンを実行するか、より優先度の高いホスト入力で上書きするまでスタティックなままになります。Nmap を使用したホストのスキャンを計画している場合は、定期的にスキャンをスケジュールします。 |
Nmap スキャン インスタンスを追加します。Nmap スキャン インスタンスの追加を参照してください。
ステップ 1 |
ホスト プロファイルで、[ホストのスキャン(Scan Host)] をクリックします。 |
ステップ 2 |
ホストのスキャンに使用するスキャン修復の横にある [スキャン(Scan)] をクリックします。 システムによってホストがスキャンされ、ホスト プロファイルに結果が追加されます。 |