- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: システムのモニタリング
システムのモニタリング
FireSIGHT システムは、日常のシステム管理をサポートする多くの便利なモニタリング機能を、単一のページ上で提供します。たとえば、[ホスト統計(Host Statistics)] ページでは、基本的なホスト統計情報および侵入イベント情報に加え、当日の [データ コリレータ(Data Correlator)] やネットワーク検出プロセスを監視できます。また、Defense Center または管理対象デバイスで現在実行されているすべてのプロセスの、概要と詳細情報のどちらもモニタできます。次の各項では、システムに備わっているモニタリング機能について詳しく説明します。
- ホスト統計情報の表示では、次のようなホスト情報の表示方法について説明します。
- Defense Center で、ヘルス モニタを使用して、ディスク使用状況を監視し、ディスク容量不足の状態をアラートすることもできます。詳細については、ヘルス モニタリングについてを参照してください。
- システム ステータスとディスク領域使用率のモニタでは、基本的なイベントおよびディスク パーティションの情報を表示する方法について説明します。
- システム プロセス ステータスの表示では、基本プロセスのステータスを表示する方法について説明します。
- 実行中のプロセスについてでは、アプライアンスで実行する基本システム プロセスについて説明します。
[概要(Overview)] > [サマリ(Summary)] にあるオプションを使用して、侵入イベントおよび検出イベントの統計情報を表示およびグラフ化することができます。詳細については、以下を参照してください。
ホスト統計情報の表示
[統計情報(Statistics)] ページには、次の内容の現在のステータスが表示されます。
- 一般的なホスト統計情報。詳細については、 ホスト統計情報 の表を参照してください
- データ コリレータの統計情報(Defense Center のみ FireSIGHT が必要)。詳細については データ コリレータ プロセスの統計情報 の表を参照してください
- 侵入イベント情報(Protection が必要)。詳細については、 侵入イベント情報 の表を参照してください
次の表に、[統計情報(Statistics)] ページにリストされるホスト統計情報を示します。
|
|
|
|---|---|
使用中のディスクの割合。詳細なホスト統計情報を表示するには、矢印をクリックします。詳細については、システム ステータスとディスク領域使用率のモニタを参照してください。 |
|
システムで実行されているプロセスの概要。詳細については、システム プロセス ステータスの表示を参照してください。 |
FireSIGHT システムの展開に FireSIGHT のライセンスを使用した Defense Center が含まれる場合、当日のデータ コリレータやネットワーク検出プロセスも表示できます。管理対象デバイスがデータの取得、復号化、および分析を実行する際に、ネットワーク検出プロセスはデータをフィンガープリントおよび脆弱性データベースと関連付けてから、Defense Center で実行中のデータ コリレータで処理されるバイナリ ファイルを生成します。データ コリレータはバイナリ ファイルの情報を分析し、イベントを生成し、検出ネットワーク マップを作成します。
ネットワーク検出とデータ コリレータに表示される統計情報は、デバイスごとに 0:00 から 23:59 までの間に収集された統計情報を使用した、当日の平均です。
次の表に、データ コリレータ プロセスに表示される統計情報を示します。
|
|
|
|---|---|
管理対象デバイスおよびデバイスを管理する Defense Center では、前回の侵入イベントの日時、過去 1 時間および過去 1 日に発生したイベントの合計数、およびデータベース内のイベントの合計数を表示することもできます。
(注
) [統計(Statistics)] ページの [侵入イベント情報(Intrusion Event Information)] セクションにある情報は、Defense Center に送信された侵入イベントではなく、管理対象デバイスに保存されている侵入イベントに基づいています。侵入イベントがローカルで保存されないようにデバイスを管理する場合、このページには侵入イベントの情報は表示されません。これは、イベントをローカルで保存できない管理対象デバイスについても同様です。
次の表に、[統計(Statistics)] ページの [侵入イベント情報(Intrusion Event Information)] セクションに表示される統計情報を示します。
|
|
|
|---|---|
[統計情報(Statistics)] ページを表示するには、次の手順を実行します。
手順 1 [システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)] を選択します。
[統計情報(Statistics)] ページが表示されます。
手順 2 Defense Center で、管理対象デバイスの統計情報をリストすることもできます。[デバイスの選択(Select Device(s))] ボックスから、[デバイスの選択(Select Devices)] をクリックします。Shift キーおよび Ctrl キーを使用して、複数のデバイスを同時に選択することができます。
[統計(Statistics)] ページは、選択したデバイスの統計情報で更新されます。
システム ステータスとディスク領域使用率のモニタ
[統計情報(Statistics)] ページの [ディスク使用率(Disk Usage)] セクションは、カテゴリ別およびパーティション ステータス別に、ディスク使用量のクイック概要を示します。マルウェア ストレージ パックがデバイスにインストールされている場合、そのパーティション ステータスも確認できます。このページを定期的にモニタして、システム プロセスおよびデータベースで十分なディスク領域が使用可能であることを確認できます。
ヒント Defense Center で、ヘルス モニタを使用して、ディスク使用状況を監視し、ディスク容量不足の状態をアラートすることもできます。詳細については、ヘルス モニタリングについてを参照してください。
手順 1 [システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)] を選択します。
[統計情報(Statistics)] ページが表示されます。
手順 2 [カテゴリ別(By Category)] 積み上げ棒グラフで、ディスク使用率カテゴリの上にポインタを移動すると、以下が(順番に)表示されます。
ディスク使用量カテゴリの詳細については、Disk Usage ウィジェットについてを参照してください。
手順 3 展開するには、[合計(Total)] の横にある下矢印をクリックします。
[ディスク使用率(Disk Usage)] セクションが展開され、パーティションの使用状況が表示されます。マルウェア ストレージ パックがインストールされている場合は、 /var/storage パーティションの使用状況も表示されます。
複数の管理対象デバイスが展開に含まれる場合、特定のデバイスによってディスク使用量のデータを制約することもできます。
Defense Center で、特定のデバイスのディスク使用状況の情報を表示するには、次の手順に従います。
手順 1 [デバイスの選択(Select Device(s))] ボックスからデバイス名を選択し、[デバイスの選択(Select Devices)] をクリックします。
ページがリロードされ、選択した各デバイスのホスト統計情報が表示されます。
手順 2 展開するには、[ディスク使用状況(Disk Usage)] の横にある下矢印をクリックします。
[ディスク使用状況(Disk Usage)] セクションが展開されます。
システム プロセス ステータスの表示
[ホスト統計情報(Host Statistics)] ページの [プロセス(Processes)] セクションでは、アプライアンスで現在実行中のプロセスを表示できます。これは、一般的なプロセス情報と、実行中の各プロセスに固有の情報を提供します。Defense Center でデバイスを管理している場合、Defense Centerの Web インターフェイスを使用して、管理対象デバイスのプロセス ステータスを表示することができます。
|
|
|
|---|---|
nice 値。プロセスのスケジューリング優先度を示す値です。値は 20(最も高い優先度)から 19(最も低い優先度)までの範囲になります |
|
手順 1 [システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)] を選択します。
[統計情報(Statistics)] ページが表示されます。
手順 2 Defense Center で、プロセス統計を表示するデバイスを [デバイスの選択(Select Device(s))] ボックスから選択し、[デバイスの選択(Select Devices)] をクリックします。
手順 3 [プロセス(Processes)] の横にある下矢印をクリックします。
プロセス リストが展開され、実行中のタスクの数やタイプ、現在の時刻、現在のシステム稼働時間、システムの負荷平均、CPU、メモリ、およびスワップ情報などの、一般的なプロセス ステータス情報と、実行中の各プロセスに関する固有の情報がリストされます。
[CPU(Cpu(s))] には、以下の CPU 使用状況情報がリストされます。
nice 値は、システム プロセスのスケジュールされた優先度を示しており、20(最も高い優先度)から 19(最も低い優先度)の範囲の値になります。
[メモリ(Mem)] には、以下のメモリ使用状況情報がリストされます。
[スワップ(Swap)] には、以下のスワップ使用状況情報がリストされます。
(注) アプライアンスで実行されるプロセスのタイプの詳細については、実行中のプロセスについてを参照してください。
手順 1 [プロセス(Processes)] の横にある上矢印をクリックします。
実行中のプロセスについて
アプライアンスで実行されるプロセスには、デーモンと実行可能ファイルの 2 種類があります。デーモンは常に実行され、実行可能ファイルは必要に応じて実行されます。
システム デーモンについて
デーモンは、アプライアンスで継続的に実行されます。これにより、サービスが使用可能になり、必要に応じてプロセスが生成されるようになります。次の表では、[プロセスのステータス(Process Status)] ページに表示されるデーモンをリストし、その機能について簡単に説明しています。
(注) 次の表は、アプライアンスで実行される可能性があるすべてのプロセスの包括的なリストではありません。
実行可能ファイルおよびシステム ユーティリティについて
システム上には、他のプロセスまたはユーザ操作によって実行される実行可能ファイルが数多く存在します。次の表に、[プロセス ステータス(Process Status)] ページで表示される実行可能ファイルについて説明します。
|
|
|
|---|---|
FireSIGHT で作成されるバイナリ ファイルを分析し、イベント、接続データ、およびネットワーク マップを生成します。 |
|
指定された入力を、ファイルおよびフォルダで検索するユーティリティ。標準 grep でサポートされていない正規表現の拡張セットをサポートします |
|
[アクセス権の設定(Access Configuration)] ページに加えられた変更に基づいてアクセス制限を処理します。アクセス権の設定の詳細については、アプライアンスのアクセス リストの設定を参照してください。 |
|
アプライアンスがアクティブであることを示す、ハートビート ブロードキャストを識別します。ハートビートはデバイスと Defense Center の間の接続を維持するのに使用されます |
|
フィードバック