Secure Firewall Management Center Event Streamer バージョン 7.2.0 統合ガイド

eStreamer イベント タイプの設定

ライセンス： 任意（Any）

eStreamer サーバーはどのタイプのイベントを要求するクライアント アプリケーションに送信できるかを制御できます。

管理対象デバイスまたは Management Center で使用可能なイベント タイプは、以下のとおりです。

• 侵入イベント
• 侵入イベント パケット データ
• 侵入イベント追加データ

次のものを含む Management Center で使用可能なイベントのタイプ：

• 検出イベント（これも、接続イベントを有効にします）
• 相関イベントと許可リストイベント
• 影響フラグ アラート
• ユーザー アクティビティ イベント
• マルウェア イベント
• ファイル イベント

スタック構成 3D9900 ペアのプライマリとセカンダリは、それらが別の管理対象デバイスであるかのように、Management Center に侵入イベントを報告することに注意してください。3D9900 スタックのプライマリで eStreamer クライアントとの通信を設定する場合は、セカンダリでもクライアントを設定する必要があります。クライアント設定は複製されません。同様に、クライアントを削除する場合は、両方で削除します。スタック構成で 3D9900 を管理する Management Center に eStreamer クライアントを設定する場合は、同じイベントが両方によって報告されても、両方の管理対象デバイスから受信するすべてのイベントは Management Center が報告することに注意してください。

高可用性の構成の Management Center で eStreamer クライアントを設定する場合は、クライアントの設定は、プライマリの Management Center からセカンダリの Management Center に複製されません。

eStreamer によってキャプチャされるイベントのタイプを設定する方法：

アクセス： 管理

ステップ 1 [システム（System）] > [統合（Integration）] > [eStreamer（eStreamer）] を選択します。

ステップ 2 eStreamer をクリックします。

[] ページには、[イベント設定（eStreamer Event Configuration）] メニューが表示されます。eStreamer

ステップ 3 eStreamer でキャプチャし、要求するクライアントに転送するイベントのタイプの横にあるチェックボックスを選択します。チェックボックスが現在オフにされている場合は、データはキャプチャされていないことに注意してください。チェックボックスをオフにしても、すでにキャプチャされたデータは削除されません。

Management Center または管理対象デバイスで、次のいずれかまたはすべてを選択できます。

• [侵入イベント（Intrusion Events）]：管理対象デバイスによって生成された侵入イベントを送信します。
• [侵入イベント パケット データ（Intrusion Event Packet Data）]：侵入イベントに関連付けられたパケットを送信します。
• [侵入イベント追加データ（Intrusion Event Extra Data）]：HTTP プロキシまたはロード バランサ経由で Web サーバーに接続しているクライアントの発信元 IP アドレスに関連付けられている URL など、侵入イベントに関連付けられた追加データを送信します。

Management Center で、次のいずれかまたはすべてを選択できます。

• [検出イベント（Discovery Events）]：ホスト検出イベントを送信します。
• [相関イベント（Correlation Events）]：相関イベントおよび許可リストイベントを送信します。
• [影響フラグ アラート（Impact Flag Alerts）]：Management Center によって生成される影響アラートを送信します。
• [ユーザー アクティビティ イベント（User Activity Events）]：ユーザー イベントを送信します。
• [侵入イベント追加データ（Intrusion Event Extra Data）]：HTTP プロキシまたはロード バランサ経由で Web サーバーに接続しているクライアントの発信元 IP アドレスに関連付けられている URL など、侵入イベントの追加データを送信します。

（注） これは、eStreamer サーバーが送信できるイベントを制御することに注意してください。クライアント アプリケーションは、ユーザーが受信する必要のあるイベントのタイプを明確に要求する必要があります。詳細については、要求フラグを参照してください。

ステップ 4 [保存（Save）] をクリックします。

設定が保存され、選択したイベントが、要求時に、eStreamer クライアントに転送されます。

eStreamer クライアントの認証の追加

ライセンス： 任意（Any）

eStreamer がクライアントにイベントを送信する前に、eStreamer サーバーのピア データベースにクライアントを追加しておく必要があります。また、eStreamer サーバーによって生成された認証証明書をクライアントにコピーする必要もあります。

eStreamer クライアントを追加する方法：

アクセス： 管理

ステップ 1 [システム（System）] > [統合（Integration）] > [eStreamer（eStreamer）] を選択します。

[eStreamer] ページが表示されます。

ステップ 2 [クライアントの作成（Create Client）] をクリックします。

[クライアントの作成（Create Client）] ページが表示されます。

ステップ 3 [ホスト名（Hostname）] フィールドに、eStreamer クライアントを実行しているホストのホスト名または IP アドレスを入力します。

（注） ホスト名を使用する場合は、ホスト入力サーバーはホストを IP アドレスに解決できる必要があります。DNS 解決を設定していない場合、最初に設定するか、IP アドレスを使用する必要があります。

ステップ 4 証明書ファイルを暗号化するには、[パスワード（Password）] フィールドにパスワードを入力します。

ステップ 5 [Save] をクリックします。

eStreamer サーバーはクライアント コンピュータから Management Center 上のポート 8302 へのアクセスを許可し、クライアント/サーバー認証時に使用する認証証明書を作成します。新しいクライアントが [クライアント（eStreamer Client）] の下に表示された状態で、[クライアント（eStreamer Client）] ページが再表示されます。Management Center

ステップ 6 証明書ファイルの横にあるダウンロード アイコン（ ）をクリックします。

ステップ 7 SSL 認証のためにクライアント コンピュータが使用するディレクトリに証明書ファイルを保存します。

これで、クライアントは Management Center に接続できるようになりました。

ヒント クライアントのアクセスを取り消すには、削除するホストの横にある削除アイコン（）をクリックします。Management Center でホスト入力サービスを再開する必要はありません。アクセスはただちに取り消されます。

eStreamer サービスの開始および停止

ライセンス： 任意（Any）

eStreamer サービスは、サービスを開始、停止、リロード、および再開できる manage_estreamer.pl スクリプトを使用して管理できます。

ヒント また、eStreamer の初期化スクリプトにコマンド ライン オプションを追加することもできます。詳細については、eStreamer サービスのオプションを参照してください。

次の表で、Management Center または管理対象デバイスで使用可能な manage_estreamer.pl スクリプトのオプションについて説明します。

eStreamer サービスのオプション

ライセンス： 任意（Any）

eStreamer には、サービスをトラブルシューティングすることを可能にする多くのサービス オプションが含まれています。次の表に記載されているオプションは、eStreamer サービスとともに使用できます。

表 6-2 eStreamer サービスのオプション

オプション	説明
--debug	デバッグ レベル ロギングで eStreamer を実行します。エラーは syslog に保存され（ --nodaemon とともに使用される際）、画面に表示されます。
--nodaemon	フォアグラウンド プロセスとして eStreamer を実行します。エラーは画面上に表示されます。
--nohostcheck	ホスト名の確認を無効化して eStreamer を実行します。つまり、クライアント ホスト名がクライアント証明書の subjectAltName:dNSName エントリに含まれているホスト名と一致しない場合も、アクセスは依然として許可されます。 nohostcheck オプションは、ネットワーク DNS および NAT の設定が、正常なホスト名の確認を防げる場合に役立ちます。その他のセキュリティの確認はすべて実行されることに注意してください。 注意 このオプションを有効にすると、システムのセキュリティにマイナスに影響する可能性があります。

最初に eStreamer サービスを停止し、次に必要なオプションでサービスを実行し、最後にサービスを再開して、上記のオプションを使用します。たとえば、eStreamer の機能をデバッグするには、デバッグ モードでの eStreamer サービスの実行に記載されている手順に従うことができます。

デバッグ モードでの eStreamer サービスの実行

ライセンス： 任意（Any）

デバッグ モードで eStreamer サービスを実行すると、サービスによって生成される各ステータス メッセージを端末画面に表示できます。デバッグを実行するには、次の手順を使用します。

デバッグ モードでの eStreamer サービスの実行：

アクセス： 管理

ステップ 1 Management Center または管理対象デバイスに SSH を使用してログインします。

ステップ 2 manage_estreamer.pl を使用して、オプション 2 を選択し、eStreamer サービスを停止します。

ステップ 3 ./usr/local/sf/bin/sfestreamer --nodaemon --debug を使用して、デバッグ モードで eStreamer サービスを再開します。

サービスのステータス メッセージが端末画面に表示されます。

ステップ 4 デバッグを終了したら、 manage_estreamer.pl を使用し、オプション 4 を選択して通常モードでサービスを再開します。

eStreamer 参照クライアントの設定

eStreamer 参照クライアントを使用するには、まず環境と要件に合わせてサンプルスクリプトを設定する必要があります。

詳細については、次の項を参照してください。

• eStreamer 参照クライアントのダウンロード
• eStreamer 参照クライアントの通信の設定
• Perl 参照クライアントのための一般的な前提条件のロード
• Perl SNMP 参照クライアントのための前提条件のロード
• Perl テストスクリプトで要求されるデータについて
• Perl テストスクリプトで要求されるデータタイプの変更
• 参照クライアントの証明書の作成

eStreamer 参照クライアントのダウンロード

eStreamer 参照クライアントファイルを含む eStreamerSDK.zip パッケージは、 Cisco サポートサイト からダウンロードできます。 eStreamerSDK.zip パッケージには次のファイルが含まれています。

• SF_CUSTOM_ALERT.MIB

この MIB ファイルは、SNMP トラップを設定するために snmp.pm ファイルによって使用されます。

• SFRecords.pm

この Perl モジュールには、検出メッセージのレコード ブロックの定義が含まれています。

• SFStreamer.pm

この Perl モジュールには、Perl クライアントが呼び出す関数が含まれています。

• SFPkcs12.pm

この Perl モジュールはクライアント証明書を解析し、クライアントが eStreamer サーバーに接続できるようにします。

• SFRNABlocks.pm

この Perl モジュールには、検出データのブロックの定義が含まれています。

• ssl_test.pl

この Perl スクリプトは、SSL 接続を介した侵入イベント要求をテストするために使用できます。

• OutputPlugins/csv.pm

この Perl モジュールは、侵入イベントをカンマ区切り値の（CSV）の形式に出力します。

• OutputPlugins/print.pm

この Perl モジュールは、人間が解読可能な形式でイベントを出力します。

• OutputPlugins/snmp.pm

この Perl モジュールは、特定の SNMP サーバーにイベントを送信します。

• OutputPlugins/pcap.pm

この Perl モジュールは、パケット キャプチャを pcap ファイルとして保存します。

• python_client/estreamer_client.py

この Python スクリプトを使用して、SSL 接続を介した侵入イベント要求をテストできます。

• python_client/estreamer_connection.py

この Python スクリプトは、eStreamer サーバーに接続します。 estreamer_client.py に必要なスクリプトです。

eStreamer 参照クライアントの通信の設定

参照クライアントは、データ通信にセキュア ソケット レイヤ（SSL）を使用します。クライアントとして使用する予定のコンピュータに OpenSSL をインストールし、環境に合わせて適切に設定する必要があります。

（注） Linux のオペレーティング システムの初期インストールの場合は、このダウンロードの一部として libssl-dev コンポーネントをインストールする必要があります。

クライアントでの SSL の設定：

ステップ 1 OpenSSL を http://openssl.org/source/ からダウンロードします。

ステップ 2 /Usr/local/src にソースを展開します。

ステップ 3 Configure スクリプトを実行して、ソースを設定します。

ステップ 4 コンパイル対象のソースに Make を実行し、インストールします。

参照クライアントの証明書の作成

ライセンス： 任意（Any）

参照クライアントを使用する前に、クライアントを実行するコンピュータ用の証明書を Management Center または管理対象デバイスで作成する必要があります。次に、証明書ファイルをクライアント コンピュータにダウンロードし、それを使用して証明書（ server.crt ）および RSA キー ファイル（ server.key ）を作成します。

参照クライアントの証明書を作成するには、次の手順を実行します。

アクセス： 管理

ステップ 1 [システム（System）] > [統合（Integration）] > [eStreamer（eStreamer）] を選択します。

[] ページが表示されます。 アクセス：

ステップ 2 [クライアントの作成（Create Client）] をクリックします。

[クライアントの作成（Create Client）] ページが表示されます。

ステップ 3 [ホスト名（Hostname）] フィールドに、eStreamer クライアントを実行しているホストのホスト名または IP アドレスを入力します。

（注） ホスト名を使用する場合は、ホスト入力サーバーはホストを IP アドレスに解決できる必要があります。DNS 解決を設定していない場合、最初に設定するか、IP アドレスを使用する必要があります。

ステップ 4 証明書ファイルを暗号化するには、[パスワード（Password）] フィールドにパスワードを入力します。

ステップ 5 [Save] をクリックします。

eStreamer サーバーはクライアント コンピュータから Management Center 上のポート 8302 へのアクセスを許可し、クライアント/サーバー認証時に使用する認証証明書を作成します。新しいクライアントが [クライアント（eStreamer Client）] の下に表示された状態で、[クライアント（eStreamer Client）] ページが再表示されます。Management Center

ステップ 6 証明書ファイルの横にあるダウンロード アイコン（ ）をクリックします。

ステップ 7 SSL 認証のためにクライアント コンピュータが使用するディレクトリに証明書ファイルを保存します。

これで、クライアントは Management Center に接続できるようになりました。

ヒント クライアントのアクセスを取り消すには、削除するホストの横にある削除アイコン（）をクリックします。Management Center でホスト入力サービスを再開する必要はありません。アクセスはただちに取り消されます。

Python 参照クライアントの一般的な前提条件のロード

eStreamer Python 参照クライアントを実行する前に、次の手順を実行する必要があります。

Perl 参照クライアントのための一般的な前提条件のロード

eStreamer Perl 参照クライアントを実行する前に、クライアント コンピュータに IO::Socket::SSL Perl モジュールをインストールする必要があります。モジュールは手動でインストールすることも、 cpan を使用してインストールすることもできます。

（注） クライアント コンピュータに Net::SSLeay モジュールがインストールされていない場合は、そのモジュールも同様にインストールします。Net::SSLeay は OpenSSL との通信に必要です。

eStreamer サーバーへの SSL 接続をサポートするためには、OpenSSL もインストールし、設定する必要があります。詳細については、eStreamer 参照クライアントの通信の設定を参照してください。

Perl SNMP 参照クライアントのための前提条件のロード

Perl 参照クライアントの eStreamer SNMP モジュールを実行する前に、クライアント コンピュータのクライアント オペレーティング システムで使用可能な最新の net-snmp Perl モジュールをインストールする必要があります。

参照クライアントのダウンロードと解凍

eStreamer 参照クライアントを含む EventStreamerSDK.zip ファイルは、 Cisco サポートサイト からダウンロードできます。

クライアントを実行する予定の Linux オペレーティング システムを実行しているコンピュータで zip ファイルを展開します。

Perl テストスクリプトで要求されるデータについて

デフォルトで、参照クライアントで ssl_test -o 設定を使用する際は、次の表に示すようにデータを要求します。

Perl テストスクリプトで要求されるデータタイプの変更

SFStreamer.pm Perl モジュールは、データを要求する際に、サンプル スクリプトで使用できる複数の要求フラグの変数を定義します。次の表では、イベント ストリーム要求メッセージで、各要求フラグを設定するために呼び出す要求フラグの変数を示しています。出力モジュールのいずれかを使用してさまざまなデータを要求する場合は、モジュールの $FLAG の設定を編集できます。

要求フラグ、お客様が要求するデータ、各フラグに対応する製品バージョンの詳細については、要求フラグを参照してください。

注意 バージョン 5.x より前は、すべてのイベント タイプでは、参照クライアントは detection engine ID フィールドを sensor ID としてラベル付けしています。

---

eStreamer Perl 参照クライアントの実行

eStreamer Perl 参照クライアント スクリプトは、Linux カーネルを備えた 64 ビットのオペレーティング システムで使用するように設計されていますが、クライアント マシンがeStreamer 参照クライアントの設定で定義されている前提条件を満たしていれば、任意の POSIX ベースの 64 ビットのオペレーティング システムでも機能します。

詳細については、次の項を参照してください。

• ホストの要求を使用した SSL 上のクライアント接続のテスト
• 参照クライアントを使用した PCAP のキャプチャ
• 参照クライアントを使用した CSV レコードのキャプチャ
• 参照のクライアントを使用した SNMP サーバーへのレコードの送信
• 参照クライアントを使用した Syslog へのイベントのロギング
• IPv6 アドレスへの接続

ホストの要求を使用した SSL 上のクライアント接続のテスト

Ssl_test.pl スクリプトを使用すると、eStreamer サーバーおよび eStreamer クライアント間で接続をテストできます。 ssl_test.pl スクリプトはどのレコード タイプも処理し、STDOUT または指定する出力プラグインにこれを出力します。出力オプションを使用せずに -h オプションを使用すると、指定したホストのホスト データが端末にストリームされます。

（注） STDOUT へ raw パケット データを出力すると端末を干渉するため、出力プラグインへの方向付けをせずに、このスクリプトを使用してパケット データをストリームすることはできません。

次の構文と、 ssl_test.pl スクリプトを使用して、標準的な出力にホスト データを送信します。

たとえば、10.10.0.4 の IP アドレスの eStreamer サーバーへの接続を介した 10.0.0.0/8 サブネット上のホストのホスト データの受信をテストするには、次の構文を使用します。

参照クライアントを使用した PCAP のキャプチャ

ストリームされたパケット データを PCAP ファイルでキャプチャし、クライアントが受信するデータの構造を確認する場合に、参照クライアントを使用できます。 -o pcap 出力オプションを使用する際は、 -f を使用してターゲット ファイルを指定する必要があることに注意してください。

ssl_test.pl スクリプトを使用して、ストリームされたパケット データを PCAP ファイルでキャプチャするには、次の構文を使用します。

たとえば、10.10.0.4 の IP アドレスの eStreamer サーバーからストリームされたイベントを使用して、 test.pcap という名前の PCAP ファイルを作成するには、次の構文を使用します。

参照クライアントを使用した CSV レコードのキャプチャ

ストリームされた侵入イベント データを CSV ファイルでキャプチャし、クライアントが受信するデータの構造を確認する場合も、参照クライアントを使用できます。

次の構文を使用して streamer_csv.pl スクリプトを実行します。

./ssl_test.pl eStreamerServerIPAddress -o csv -f ResultingCSVFile

たとえば、10.10.0.4 の IP アドレスの eStreamer サーバーからストリームされたイベントを使用して、 test.csv という名前の CSV ファイルを作成するには、次の構文を使用します。

参照のクライアントを使用した SNMP サーバーへのレコードの送信

侵入イベント データを SNMP サーバーにストリームする場合も、参照クライアントを使用できます。 -f オプションを使用して、イベントを受信する SNMP トラップ サーバーの名前を示します。この出力方法では、パスに snmptrapd という名前のバイナリが必用であるため、UNIX のようなシステムでのみ機能することに注意してください。

SNMP サーバーに侵入イベントを送信するには、次の構文を使用します。

たとえば、10.10.0.4 の IP アドレスの eStreamer サーバーからストリームされたイベントを使用して、10.10.0.3 で SNMP サーバーにイベントを送信するには、次の構文を使用します。

参照クライアントを使用した Syslog へのイベントのロギング

クライアントのローカル syslog サーバーに侵入イベントをストリームする場合も、参照クライアントを使用できます。

Syslog にイベントを送信するには、次の構文を使用します。

たとえば、10.10.0.4 の IP アドレスの eStreamer サーバーからストリームされたイベントを記録するには、次の構文を使用します。

IPv6 アドレスへの接続

プライマリ管理インターフェイスを介して IPv6 アドレスの Management Center に接続する場合も、参照クライアントを使用できます。クライアントのマシンには Socket6 および IO::Socket::INET6 Perl モジュールがインストールしてある必要があり、 -ipv6 オプションまたは短縮形式の -i を使用します。

ssl_test.pl スクリプトを使用して IPv6 アドレスを指定するには、次の構文を使用します。

または

たとえば、IPv6 アドレス 2001:470:e09c:20:7c1e:5248:1bf7:2ea0 を使用して Management Center に接続するには、次の構文を使用します。

eStreamer Python 参照クライアントの実行

eStreamer Python 参照クライアントスクリプトは、Cisco Secure Firewall システム Management Center eStreamer サービスからイベントデータを取得するための非常にシンプルな新しいメカニズムです。イベント情報をバイナリデータで返す代わりに、イベントは JSON や CSV などの形式の完全修飾テキストとして返されます。

この API は、接続イベント、侵入イベント、およびファイルイベントの 3 つのイベントタイプに関する情報の要求のみをサポートしています。他のすべてのイベントについては別のクライアントを使用する必要があります。eStreamer 統合ガイドに記載されている通常の方法を参照してください。

Python コードでは、新しいメカニズムを使用する簡単なサンプルクライアントが提供されます。Perl サンプルクライアントコードも変更され、オプションでこの新しいメカニズム（ json=<filename> コマンドライン引数を使用）を使用できるようになりましたが、Python のサンプルは新しいメカニズムのみサポートしているため、はるかに簡単です。

使用例：