- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: SCADA の前処理の設定
SCADA の前処理の設定
ネットワーク分析ポリシーに Supervisory Control and Data Acquisition(SCADA)プリプロセッサを設定します。これによりトラフィックに対して、侵入ポリシーで有効になっているルールを使用した検査を実行できるようになります。詳細については、ネットワーク分析ポリシーおよび侵入ポリシーについてを参照してください。
SCADA プロトコルは、製造、水処理、配電、空港、輸送システムなど、工業プロセス、インフラストラクチャ プロセス、および設備プロセスからのデータをモニタ、制御、取得します。FireSIGHT システムは、ネットワーク分析ポリシーの一部として設定できる Modbus および DNP3 SCADA プロトコル用のプリプロセッサを提供します。
カスタム ユーザ ロールを持つ一部のユーザは、標準メニュー パス([ポリシー(Policies)]
> [アクセス制御(Access Control)] > [ネットワーク分析ポリシー(Network Analysis Policy)])からネットワーク分析ポリシーにアクセスできません。これらのユーザは、侵入ポリシーを介してネットワーク分析ポリシーにアクセスできます([ポリシー(Policies)]
> [侵入(Intrusion)] > [侵入ポリシー(Intrusion Policy)] > [ネットワーク分析ポリシー(Network Analysis Policy)])。カスタム ユーザ ロールの詳細については、
カスタム ユーザ ロールの管理を参照してください。
対応する侵入ポリシーで Modbus または DNP3 キーワードを含むルールを有効にすると、Modbus または DNP3 プロセッサがその現在の設定で自動的に使用されます。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。詳細については、Modbus キーワードおよび DNP3 キーワードを参照してください。
Modbus プリプロセッサの設定
Modbus プロトコルは 1979 年に Modicon が初めて発表した、広く利用されている SCADA プロトコルです。Modbus プリプロセッサは、Modbus トラフィックの異常を検出し、ルール エンジンによる処理のために Modbus プロトコルをデコードします。ルール エンジンは Modbus キーワードを使用して特定のプロトコル フィールドにアクセスします。詳細については、Modbus キーワードを参照してください。
1 つの構成オプションで、プリプロセッサが Modbus トラフィックを検査するポートのデフォルト設定を変更できます。
イベントを生成するには、次の表に示す Modbus プリプロセッサ ルールを有効にする必要があります。ルールの有効化については、ルール状態の設定を参照してください。
Modbus プリプロセッサの使用について、ネットワークに Modbus 対応デバイスが含まれていない場合は、トラフィックに適用するネットワーク分析ポリシーでこのプリプロセッサを有効にしないでください。
Modbus プリプロセッサがモニタするポートを変更するには、次の手順を用いることができます。
Modbus プリプロセッサを設定するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 編集するポリシーの横にある編集アイコン(
)をクリックします。
別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ポリシー情報(Policy Information)] ページが表示されます。
手順 3 左側のナビゲーション パネルで [設定(Settings)] をクリックします。
手順 4 [SCADA プリプロセッサ(SCADA Preprocessors)] の [Modbus の設定(Modbus Configuration)] が有効になっているかどうかに応じて、以下の 2 つの選択肢があります。
[Modbus の設定(Modbus Configuration)] ページが表示されます。ページ下部のメッセージには、設定を含むネットワーク分析ポリシー層が示されます。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用を参照してください。
手順 5 オプションで、プリプロセッサが Modbus トラフィックを検査するポートを変更します。0 ~ 65535 の整数を指定できます。複数のポートを指定する場合はカンマで区切ります。
手順 6 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了する、のいずれかを行います。詳細については、競合の解決とポリシー変更の確定を参照してください。
DNP3 プリプロセッサの設定
Distributed Network Protocol(DNP3)は、当初は発電所間で一貫性のある通信を実現する目的で開発された SCADA プロトコルです。DNP3 も、水処理、廃棄物処理、輸送などさまざまな産業分野で幅広く利用されるようになっています。
DNP3 プリプロセッサは、DNP3 トラフィックの異常を検出し、ルール エンジンによる処理のために DNP3 プロトコルをデコードします。ルール エンジンは、DNP3 キーワードを使用して特定のプロトコル フィールドにアクセスします。詳細については、DNP3 キーワードを参照してください。
イベントを生成するには、次の表に示す DNP3 プリプロセッサ ルールを有効にする必要があります。ルールの有効化については、ルール状態の設定を参照してください。
DNP3 プリプロセッサの使用について、ネットワークに DNP3 対応デバイスが含まれていない場合は、トラフィックに適用するネットワーク分析ポリシーでこのプリプロセッサを有効にしないでください。詳細については、TCP ストリームの前処理の設定を参照してください。
設定できる DNP3 プリプロセッサ オプションを以下に説明します。
指定された各ポートでの DNP3 トラフィックのインスペクションを有効にします。1 つのポートを指定するか、複数のポートをカンマで区切ったリストを指定できます。各ポートに 0 ~ 65535 の値を指定できます。
有効である場合、DNP3 リンク層フレームに含まれているチェックサムが検証されます。無効なチェックサムを含むフレームは無視されます。
無効なチェックサムが検出されたときにイベントを生成するには、ルール 145:1 を有効にします。
DNP3 プリプロセッサを設定するには、以下の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 編集するポリシーの横にある編集アイコン( )をクリックします。
別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ポリシー情報(Policy Information)] ページが表示されます。
手順 3 左側のナビゲーション パネルで [設定(Settings)] をクリックします。
手順 4 [SCADA プリプロセッサ(SCADA Preprocessors)] の下の [DNP3 の設定(DNP3 Configuration)] を有効にしているかどうかに応じて、次の 2 つの選択肢があります。
[DNP3 の設定(DNP3 Configuration)] ページが表示されます。ページ下部のメッセージには、設定を含むネットワーク分析ポリシー層が示されます。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用を参照してください。
手順 5 オプションで、プリプロセッサが DNP3 トラフィックを検査するポートを変更します。0 ~ 65535 の整数を指定できます。複数のポートを指定する場合はカンマで区切ります。
手順 6 オプションで、[無効な CRC を記録(Log bad CRCs)] チェック ボックスをオンまたはオフにして、DNP3 リンク層フレームに含まれているチェックサムを検証し、無効なチェックサムのフレームを無視するかどうかを指定します。
手順 7 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了する、のいずれかを行います。詳細については、 ネットワーク分析ポリシーの編集操作 の表を参照してください。
CIP プリプロセッサの設定
Common Industrial Protocol(CIP)は、産業自動化アプリケーションをサポートするために広く使用されているアプリケーション プロトコルです。EtherNet/IP は、イーサネット ベースのネットワークで使用される CIP の実装です。
CIP プリプロセッサは、TCP または UDP で実行される CIP および ENIP トラフィックを検出し、それを侵入ルール エンジンに送信します。カスタム侵入ルールで CIP および ENIP のキーワードを使用すると、CIP および ENIP トラフィックで攻撃を検出できます。CIP および ENIP のキーワードを参照してください。さらに、アクセス コントロール ルールで CIP および ENIP アプリケーションの条件を指定することによって、トラフィックを制御できます。アプリケーション トラフィックの制御を参照してください。
- CIP および ENIP アプリケーションを検出し、それらをアクセス コントロール ルールや侵入ルールなどで使用するには、対応するネットワーク分析ポリシーで CIP プリプロセッサを手動で有効にする必要があります。アクセス コントロールのデフォルト ネットワーク分析ポリシーの設定およびネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
- CIP のプリプロセッサ ルールおよび CIP 侵入ルールをトリガーするトラフィックをドロップするには、対応する侵入ポリシーの [インラインの場合ドロップする(Drop when Inline)] オプションが有効になっていることを確認します。インライン展開でのドロップ動作の設定を参照してください。
- アクセス コントロール ルールを使用して CIP または ENIP アプリケーション トラフィックをブロックするには、対応するネットワーク分析ポリシーでインライン正規化プリプロセッサおよびその [インライン モード(Inline Mode)] オプションが有効になっていることを確認してください。インライン トラフィックの正規化およびインライン展開でプリプロセッサがトラフィックに影響を与えることを許可するを参照してください。
- リストするデフォルトの CIP 検出ポート 44818 およびその他のポートを、TCP ストリームのリスト [ストリームの再構成をどちらのポートでも実行する(Perform Stream Reassembly on Both Ports)] に追加します。ストリーム再構成のオプションの選択を参照してください。
- イベント ビューアには、CIP アプリケーションに対する特別な処理が用意されています。CIP イベントについてを参照してください。
イベントを生成するには、次の表に示す CIP プリプロセッサ ルールを有効にする必要があります。ルールの有効化については、ルール状態の設定を参照してください。
|
|
|
|---|---|
次のリストで、変更できる CIP プリプロセッサ オプションについて説明します。
CIP および ENIP トラフィックを検査するポートを指定します。0 ~ 65535 の整数を指定できます。ポート番号が複数ある場合は、カンマで区切ります。
(注) リストするデフォルトの CIP 検出ポート 44818 およびその他のポートを、TCP ストリームのリスト [ストリームの再構成をどちらのポートでも実行する(Perform Stream Reassembly on Both Ports)] に追加する必要があります。ストリーム再構成のオプションの選択を参照してください。
CIP 要求メッセージにプロトコル固有のタイムアウト値が含まれておらず、[TCP 接続あたりの未接続な同時要求の最大数(Maximum number of concurrent unconnected requests per TCP connection)] に達した場合は、このオプションで指定した秒数の間、システムがメッセージの時間を測定します。タイマーが満了すると、他の要求用のスペースを確保するために、メッセージが削除されます。0 ~ 360 の整数を指定できます。0 を指定すると、プロトコル固有のタイムアウト値を持たないすべてのトラフィックは、最初にタイムアウトになります。
TCP 接続あたりの未接続な同時要求の最大数(Maximum number of concurrent unconnected requests per TCP connection)
システムが接続を閉じるまで無応答のままにすることができる同時要求の数。1 ~ 10000 の整数を指定できます。
TCP 接続あたりの CIP 接続の最大数(Maximum number of CIP connections per TCP connection)
システムが TCP 接続ごとに許可する同時 CIP 接続の最大数。1 ~ 10000 の整数を指定できます。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 編集するポリシーの横にある編集アイコン(
)をクリックします。
別のポリシーに未保存の変更がある場合に変更を破棄し、操作を続行するには、[OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ポリシー情報(Policy Information)] ページが表示されます。
手順 3 左側のナビゲーション パネルで [設定(Settings)] をクリックします。
手順 4 [SCADA プリプロセッサ(SCADA Preprocessors)] の [CIP の設定(CIP Configuration)] が有効になっているかどうかに応じて、以下の 2 つの選択肢があります。
[CIP の設定(CIP Configuration)] ページが表示されます。ページ下部のメッセージには、設定を含むネットワーク分析ポリシー層が示されます。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用を参照してください。
手順 6 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了する、のいずれかを行います。詳細については、競合の解決とポリシー変更の確定を参照してください。
CIP イベントについて
設計上、セッションごとに 1 回ずつ、同じアプリケーションがアプリケーション ディテクタで検出されてイベント ビューアに表示されます。1 つの CIP セッションでは複数のアプリケーションを別々のパケットに含めることができ、単一の CIP パケットに複数のアプリケーションを格納できます。CIP プリプロセッサは、対応するルールに従ってすべての CIP および ENIP トラフィックを処理し、CIP イベントの表示を次のように制御します。
– トラフィックを許可またはモニタするルールの場合:セッションで検出された最後のアプリケーション プロトコル。
接続をログに記録するよう設定されたアクセス コントロール ルールが、指定された CIP アプリケーションのイベントを生成しないことがあります。一方、接続をログに記録するよう設定されていないアクセス コントロール ルールが、CIP アプリケーションのイベントを生成することがあります。
– トラフィックをブロックするルールの場合:ブロックをトリガーしたアプリケーション プロトコル。
アクセス コントロール ルールが CIP アプリケーションのリストをブロックすると、イベント ビューアに、検出された最初のアプリケーションが表示されます。
- アクセス コントロール ポリシーのデフォルト アクションである [侵入防御(Intrusion Prevention)] を使用することを推奨します。
- CIP プリプロセッサは、アクセス コントロール ポリシーのデフォルト アクション [アクセス制御:すべてのトラフィックを信頼(Access Control: Trust All Traffic)] をサポートしていません。このアクションを実行すると、侵入ルールとアクセス コントロール ルールで指定された CIP アプリケーションによりトリガーされたトラフィックがドロップされないなど、望ましくない動作が生じる可能性があるためです。
- CIP プリプロセッサは、アクセス コントロール ポリシーのデフォルト アクション [アクセス制御:すべてのトラフィックをブロック(Access Control: Block All Traffic)] をサポートしていません。このアクションを実行すると、ブロックされると想定されない CIP アプリケーションがブロックされるなど、望ましくない動作が生じる可能性があるためです。
- CIP プリプロセッサは、CIP アプリケーションのアプリケーション可視性(ネットワーク検出を含む)をサポートしていません。
詳細については、接続およびセキュリティ インテリジェンスのデータ フィールドについてを参照してください。
フィードバック