- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: システム ポリシーの管理
システム ポリシーの管理
システム ポリシーを使用して FireSIGHT システムアプライアンスで以下を管理できます。
- アクセス コントロールの設定
- アプライアンスのアクセス リスト
- 監査ログ設定
- 外部認証
- ダッシュボードの設定
- データベース イベント制限
- DNS キャッシュのプロパティ
- メール リレー ホストおよび通知アドレス
- 侵入ポリシーおよびネットワーク分析ポリシーの変更の追跡
- 別の言語の指定
- カスタム ログイン バナー
- SNMP ポーリング設定
- 時間の同期
- STIG コンプライアンス
- Defense Center からの時間の提供
- ユーザ インターフェイスとコマンド ライン インターフェイスのタイムアウト設定
- サーバのマッピングの脆弱性
システム ポリシーを使用して、展開内の他のアプライアンスでも同様であると推測される Defense Center の側面を制御できます。たとえば、組織のセキュリティ ポリシーによっては、ユーザのログイン時にアプライアンスでの「No Unauthorized Use」メッセージの表示が必要になることがあります。システム ポリシーを使用すると、Defense Center のシステム ポリシーでログイン バナーを一度設定するだけで、管理対象のすべてのデバイスにそのポリシーを適用できます。
また、Defense Center で複数のシステム ポリシーを活用することもできます。たとえば、さまざまな状況で別々のメール リレー ホストを使用する場合や、さまざまなデータベース制限をテストする場合は、単一のポリシーを編集するのではなく、いくつかのシステム ポリシーを作成し、それらを切り替えることができます。
展開全体で同じであると推測されるアプライアンスの側面を制御するシステム ポリシーを、単一のアプライアンスに固有であると推測されるシステム設定と比較します。詳細については、アプライアンス設定の構成を参照してください。
システム ポリシーの作成
システム ポリシーを作成したら、それに名前と説明を割り当てます。次に、ポリシーのさまざまな側面(それぞれの項の説明を参照)を設定します。
新しいポリシーを作成する代わりに、別のアプライアンスからシステム ポリシーをエクスポートし、アプライアンスにインポートすることができます。ニーズに合わせて、インポートされたポリシーを編集してから適用することができます。詳細については、設定のインポートおよびエクスポートを参照してください。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
[ポリシー名(Policy Name)] 列には、システム ポリシーの説明が含まれています。[適用先(Applied to)] 列は、そのポリシーが適用されているアプライアンスの数と、以前に適用されたポリシーが変更されたので、再適用が必要な out-of-date アプライアンスの数を示します。
手順 2 [ポリシーの作成(Create Policy)] をクリックします。
[ポリシーの作成(Create Policy)] ページが表示されます。
手順 3 ドロップダウン リストから、新しいシステム ポリシーのテンプレートとして使用する既存のポリシーを選択します。
手順 4 新規ポリシーの名前を [新しいポリシー名(New Policy Name)] フィールドに入力します。
手順 5 新規ポリシーの説明を [新しいポリシーの説明(New Policy Description)] フィールドに入力します。
システム ポリシーが保存され、[システム ポリシーの編集(Edit System Policy)] ページが表示されます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
システム ポリシーの編集
既存のシステム ポリシーを編集できます。アプライアンスに現在適用されているシステム ポリシーを編集する場合、変更を保存した後にポリシーを再適用してください。詳細については、システム ポリシーの適用を参照してください。
既存のシステム ポリシーを編集するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
既存のシステム ポリシーのリストを含む、[システム ポリシー(System Policy)] ページが表示されます。
手順 2 編集するシステム ポリシーの横にある編集アイコン(
)をクリックします。
[ポリシーの編集(Edit Policy)] ページが表示されます。ポリシー名とポリシーの説明を変更できます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
(注
) アプライアンスに適用されているシステム ポリシーを編集する場合、編集が完了したら、更新されたポリシーを再適用してください。システム ポリシーの適用を参照してください。
手順 3 [ポリシーを保存して終了(Save Policy and Exit)] をクリックして変更を保存します。変更が保存され、[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの適用
アプライアンスにシステム ポリシーを適用できます。システム ポリシーがすでに適用されている場合、再適用するまで、ポリシーに加えた変更は有効になりません。
(注) システム ポリシーは Blue Coat X-Series 向け Cisco NGIPS には適用できません。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 適用するシステム ポリシーの横にある適用アイコン(
)をクリックします。
手順 3 システム ポリシーを適用するアプライアンスを選択します。
ヒント グループ、モデル、ヘルス ポリシー、または適用済みのシステム ポリシーごとにアプライアンスをソートできます。個々のアプライアンスまたはグループ全体を選択できます。
[システム ポリシー(System Policy)] ページが表示されます。メッセージはシステム ポリシーの適用のステータスを示します。
システム ポリシーの比較
ユーザがアクセスできるシステム ポリシーに応じて、2 つのシステム ポリシーまたは同じシステム ポリシーの 2 つのリビジョンを比較できます。これにより、組織の規格のコンプライアンスや、システム パフォーマンスの最適化を目的として、ポリシー変更を確認することができます。アクティブなシステム ポリシーを別のポリシーと素早く比較する場合は、[実行コンフィギュレーション(Running Configuration)] オプションを選択できます。比較後に PDF レポートを生成して、システム ポリシー間またはシステム ポリシーのリビジョン間の相違点を記録することもできます。
システム ポリシーまたはシステム ポリシーのリビジョンを比較するために使用できる 2 つのツールがあります。
- 比較ビューには、2 つのシステム ポリシー間またはシステム ポリシーのリビジョン間の相違点が横並び形式で表示されます。各ポリシーまたはポリシー リビジョンの名前は、比較ビューの左右のタイトル バーに表示されます。
これを使用して、Web インターフェイスで相違点を強調表示したまま、両方のポリシーのリビジョンを表示し移動することができます。
システム ポリシーの比較ビューの使用
比較ビューは、両方のポリシーまたはポリシー リビジョンを横並び形式で表示します。各ポリシーまたはポリシー リビジョンは、比較ビューの左右のタイトル バーに表示される名前で見分けます。すべてのリビジョンについては、システム ポリシーの比較ビューのポリシー名の右側に、最後に修正が行われた時間と最後のユーザが表示されます。
2 つのシステム ポリシーまたはシステム ポリシーのリビジョンの相違点は次のように強調表示されます。
- 青色は強調表示された設定が 2 つのポリシーまたはポリシー リビジョンで違うことを意味します。違いは赤色のテキストで表示されます。
- 緑色は強調表示された設定が一方のポリシーまたはポリシー リビジョンだけにあるが、他方にないことを意味します。
|
|
|
|---|---|
タイトル バーの上の [前へ(Previous)] または [次へ(Next)] を選択します。 左側と右側の間にある二重矢印アイコン( |
|
[新しい比較(New Comparison)] を選択します。 [比較の選択(Select Comparison)] ウィンドウが表示されます。詳細については、システム ポリシーの比較レポートの使用を参照してください。 |
|
)が移動し、表示している違いを示す [差異(Difference)] 番号が変わります。システム ポリシーの比較レポートの使用
システム ポリシーの比較レポートは、システム ポリシーの比較ビューで特定された、2 つのシステム ポリシー間または同じシステム ポリシーの 2 つのリビジョン間の相違点をすべて記録したものであり、PDF 形式で提供されます。このレポートを使用して、2 つのシステム ポリシーの設定の間の相違点をさらに調べ、その結果を保存して配信することができます。
システム ポリシーの比較レポートは、ユーザがアクセスできる任意のシステム ポリシーの比較ビューから生成できます。ユーザがシステム ポリシーに加えた変更は、変更を保存するまではシステム ポリシーの比較レポートに表示されません。
設定によっては、システム ポリシーの比較レポートに 1 つ以上のセクションを含めることができます。それぞれのセクションで、同じ形式が使用され、同じレベルの詳細が提供されます。[値 A(Value A)] 列と [値 B(Value B)] 列は、比較ビューで設定したポリシーまたはポリシーのリビジョンであることに注意してください。
ヒント 同様の手順を使用して、SSL ポリシー、ネットワーク解析ポリシー、侵入ポリシー、ファイル ポリシー、アクセス コントロール ポリシー、またはヘルス ポリシーを比較できます。
2 つのシステム ポリシーまたは同じポリシーの 2 つのリビジョンを比較するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 [ポリシーの比較(Compare Policies)] をクリックします。
[比較の選択(Select Comparison)] ポップアップ ウィンドウが表示されます。
手順 3 [比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。
手順 4 選択した比較タイプに応じて、次のような選択肢があります。
- 2 つの異なるポリシーを比較する場合は、[ポリシー A(Policy A)] と [ポリシー B(Policy B)] ドロップダウンリストから比較するポリシーを選択します。
- 同じポリシーの 2 つのリビジョンを比較する場合は、[ポリシー(Policy)] ドロップダウンリストからポリシーを選択してから、[リビジョン A(Revision A)] と [リビジョン B(Revision B)] ドロップダウンリストから比較するリビジョンを選択します。
- 実行コンフィギュレーションを別のポリシーと比較する場合は、[ターゲット/実行コンフィギュレーション A(Target/Running Configuration A)] ドロップダウン リストから実行コンフィギュレーションを選択し、[ポリシー B(Policy B)] ドロップダウン リストから他のポリシーを選択します。
手順 5 システム ポリシーの比較ビューを表示するには、[OK] をクリックします。
手順 6 システム ポリシーの比較レポートを生成するには、[比較レポート(Comparison Report)] をクリックします。
システム ポリシーの比較レポートが表示されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウで表示されるか、コンピュータにレポートを保存するようにプロンプトが出されることがあります。
システム ポリシーの削除
システム ポリシーは、使用中でも削除できます。使用中の場合は、新しいポリシーが適用されるまで現在のポリシーが使用されます。デフォルトのシステム ポリシーは削除できません。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 削除するシステム ポリシーの横にある削除アイコン(
)をクリックします。ポリシーを削除するには、[OK] をクリックします。
[システム ポリシー(System Policy)] ページが表示されます。ポリシーの削除について確認を求めるポップアップ メッセージが表示されます。
システム ポリシーの設定
さまざまなシステム ポリシーの設定を行うことができます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
アクセス コントロール ポリシー設定の構成
ユーザがアクセス コントロール ポリシーでルールを追加または変更する場合、ルールのコメントの入力を要求するようにシステムを設定できます。これを使用して、ユーザのポリシーの変更の理由を追跡できます。アクセス コントロール ルールの変更に関するコメントを有効にした場合、ルールのコメントをオプションまたは必須に設定できます。システムは、ルールに対する新しい変更が保存されるたびに、ユーザにコメントを入力するよう要求します。
ユーザがルールを保存したときに、システムはルールのコメントの履歴にコメントを追加します。詳細については、ルールへのコメントの追加を参照してください。
アクセス コントロール ポリシーのルール コメントの設定を構成するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [アクセス コントロールの設定(Access Control Preferences)] をクリックします。
[アクセス コントロールの設定(Access Control Preferences)] ページが表示されます。
- ドロップダウン リストから [無効(Disabled)] を選択すると、ユーザはコメントを入力せずにアクセス コントロール ポリシーのルールを追加または変更できます。
- ドロップダウン リストから [任意(Optional)] を選択すると、アクセス コントロール ポリシーのルールに対する変更を保存するときに [変更の説明(任意)(Description of Changes (Optional))] ウィンドウが表示されます。これにより、ユーザはコメントの変更について記述することができます。
- ドロップダウン リストから [必須(Required)] を選択すると、アクセス コントロール ポリシーのルールに対する変更を保存するときに [変更の説明(必須)(Description of Changes (Required))] ウィンドウが表示されます。この場合、ユーザは変更を保存する前にコメントの変更について記述する必要があります。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
アプライアンスのアクセス リストの設定
[アクセスリスト(Access List)] ページを使用して、特定ポートのアプライアンスにどのコンピュータがアクセス可能かを制御できます。デフォルトでは、Web インターフェイスへのアクセスに使用されるポート 443(Hypertext Transfer Protocol Secure(HTTPS))と、コマンド ラインへのアクセスに使用されるポート 22(Secure Shell(SSH))は、あらゆる IP アドレスに対して有効です。ポート 161 を介した SNMP アクセスを追加することもできます。SNMP 情報をポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があることに注意してください。
デフォルトでは、アプライアンスへのアクセスは制限
されません。よりセキュアな環境でアプライアンスを稼動させるために、特定の IP アドレスに対してアプライアンスへのアクセスを追加してから、デフォルトの
任意のオプションを削除することを検討してください。
アクセス リストは、システム ポリシーの一部です。新しいシステム ポリシーを作成するか、既存のシステム ポリシーを編集することによって、アクセス リストを指定できます。いずれの場合も、システム ポリシーを適用するまでアクセス リストは有効になりません。
このアクセス リストは、外部データベース アクセスを制御しないので注意してください。外部データベースのアクセス リストの詳細については、データベースへのアクセスの有効化を参照してください。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 現在の設定の 1 つを削除するために、削除アイコン( )をクリックすることもできます。
アプライアンスのインターフェイスへの接続に現在使用されている IP アドレスへのアクセスを削除し、「
IP=any port=443」のエントリが存在しない場合、ポリシーを適用した時点でシステムへのアクセスは失われます。
手順 4 1 つ以上の IP アドレスへのアクセスを追加するために、[ルールの追加(Add Rules)] をクリックすることもできます。
[IP アドレスの追加(Add IP Address)] ページが表示されます。
手順 5 [IP アドレス(IP Address)] フィールドでは、追加する IP アドレスに応じて次のオプションがあります。
FireSIGHT システム での CIDR の使用方法については、IP アドレスの表記規則を参照してください。
手順 6 [SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。
[アクセスリスト(Access List)] ページが再度表示され、ユーザが行った変更が反映されます。
手順 8 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
監査ログの設定
アプライアンスが外部ホストに監査ログをストリーミングするように、システム ポリシーを設定できます。
(注) 外部ホストが機能しており、監査ログを送信するアプライアンスからアクセスできることを確認する必要があります。
送信元ホスト名は送信される情報の一部です。ファシリティ、重大度、およびオプションのタグを使用して監査ログ ストリームをより詳細に識別できます。アプライアンスは、システム ポリシーが適用されるまで監査ログを送信しません。
この機能を有効にしてポリシーを適用し、監査ログを受け入れるように宛先ホストを設定した後で、syslog メッセージが送信されます。次に、出力構造の例を示します。
Date Time Host [ Tag ] Sender: [ User_Name ]@[ User_IP ], [ Subsystem ], [ Action ]
現地の日付、時刻、およびホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
Mar 01 14:45:24 localhost [ TAG ] Dev-DC3000: admin@10.1.1.2, Operations > Monitoring, Page View
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [監査ログ設定(Audit Log Settings)] をクリックします。
[監査ログ設定(Audit Log Settings)] ページが表示されます。
手順 4 [監査ログを Syslog に送信(Send Audit Log to Syslog)] ドロップダウン メニューから、[有効(Enabled)] を選択します。(デフォルト設定では [無効(Disabled)] になっています。)
手順 5 [ホスト(Host)] フィールドにあるホストの IP アドレスまたは完全修飾名を使用して、監査情報の宛先ホストを指定します。デフォルト ポート(514)が使用されます。
監査ログを受け入れるように設定しているコンピュータが、リモート メッセージを受け入れるようにセットアップされていない場合、ホストは監査ログを受け入れません。
手順 6 [ファシリティ(Facility)] フィールドから syslog ファシリティを選択します。
手順 7 [重大度(Severity)] フィールドから重大度を選択します。
手順 8 必要に応じて、[タグ(オプション)(Tag (optional))] フィールドで参照タグを挿入します。
手順 9 定期的な監査ログの更新を外部 HTTP サーバに送信するには、[監査ログを HTTP サーバに送信(Send Audit Log to HTTP Server)] ドロップダウン リストから [有効(Enabled)] を選択します。デフォルト設定では [無効(Disabled)] になっています。
手順 10 [監査情報を送信する URL(URL to Post Audit)] フィールドに、監査情報の送信先 URL を指定します。次にリストされている HTTP POST 変数を要求するリスナー プログラムに対応する URL を入力する必要があります。
暗号化されたポストを許可するには、HTTPS URL を使用する必要があります。外部 URL に監査情報を送信すると、システム パフォーマンスに影響を与える場合があるので注意してください。
手順 11 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを Defense Center とその管理対象デバイスに適用するまでは反映されません。詳細については、システム ポリシーの適用を参照してください。
外部認証の有効化
通常、ユーザがアプライアンスにログインする際に、アプライアンスは、アプライアンスのローカル データベースに保存されているユーザ アカウントとユーザの資格情報を比較することによって、資格情報を検証します。ただし、外部認証サーバを参照する認証オブジェクトを作成する場合、システム ポリシーで外部認証を有効化することにより、ローカル データベースを使用せずに、Defense Center または管理対象デバイスにログインしているユーザをそのサーバに認証させることができます。
外部認証が有効になっているシステム ポリシーをアプライアンスに適用した場合、アプライアンスはユーザ資格情報を LDAP または RADIUS サーバ上のユーザに対して検証します。さらに、ユーザがローカルの内部認証を有効にしており、ユーザ資格情報が内部データベースにない場合、アプライアンスは一致する資格情報のセットがないか外部サーバを検査します。ユーザが複数のシステムで同じユーザ名を持っている場合、すべてのサーバですべてのパスワードが動作します。ただし、使用可能な外部認証サーバで認証が失敗した場合、アプライアンスはローカル データベースの検査に戻らないので注意してください。
外部認証を有効にすると、アカウントが外部で認証されている任意のユーザのデフォルトのユーザ ロールを設定できます。これらのロールを組み合わせることができる場合は、複数のロールを選択できます。たとえば、自社の [ネットワーク セキュリティ(Network Security)] グループのユーザのみを取得する外部認証を有効化した場合、デフォルトのユーザ ロールを設定して [セキュリティ アナリスト(Security Analyst)] ロールを組み込み、ユーザが自分で追加のユーザ設定を行わなくても収集されたイベント データにアクセスできるようにすることが可能です。ただし、外部認証がセキュリティ グループに加えて他のユーザのレコードを取得する場合、デフォルトのロールを未選択のままにしておきたい場合もあります。使用可能なユーザ ロールの詳細については、ユーザ特権についてを参照してください。
アクセス ロールが選択されていない場合、ユーザはログインできますが、どの機能にもアクセスできません。ユーザがログインを試行すると、アカウントが [ユーザ管理(User Management)] ページに表示されます。ここで、追加の権限を付与するアカウント設定を編集できます。ユーザ アカウントの変更の詳細については、ユーザ特権とオプションの変更を参照してください。
ヒント 1 つのユーザ ロールを使用するようにシステム ポリシーを設定してそのポリシーを適用し、後でポリシーを変更して別のデフォルトのユーザ ロールを使用し再適用する場合、アカウントを変更するか、削除して再作成するまで、変更前に作成されたユーザ アカウントはすべて、最初のユーザ ロールを保持します。
シェル アクセス用に LDAP サーバに対して正常に認証できるユーザのセットを指定する場合、システム ポリシーで外部認証を有効にする前に、LDAP 認証オブジェクト内でシェル アクセス属性および他の設定を行う必要があります。詳細については、LDAP 固有パラメータの設定およびシェル アクセスについてを参照してください。
CAC 認証および認可用に LDAP サーバに対して正常に認証できるユーザのセットを指定する場合、システム ポリシーで外部認証を有効にする前に、LDAP 認証オブジェクト内で UI アクセス属性、ユーザ名テンプレート、および他の設定を行う必要があります。詳細については、LDAP 固有パラメータの設定および CAC を使用した LDAP 認証についてを参照してください。
(注) シェル アクセスと CAC 認証の両方をアプライアンスで有効にする場合は、個別の認証オブジェクトを作成し、それらをシステム ポリシーで別々に有効にする必要があります。
認証オブジェクトのカスタマイズが完了したら、ユーザは外部認証を Defense Center のシステム ポリシーで有効にしてから、そのポリシーを管理対象デバイスにプッシュする必要があります。デバイスにポリシーを適用した後、外部で認証された対象ユーザはそのデバイスにログインできます。外部認証の設定を変更するには、Defense Center でシステム ポリシーを変更してから、そのポリシーをデバイスに再度適用する必要があります。管理対象デバイスでの認証を無効にするには、Defense Center のシステム ポリシーでそれを無効にし、デバイスにプッシュすることができます。
外部認証を有効にできるのは、物理および仮想 Defense Center および管理対象デバイスのみであることに注意してください。システム ポリシーの適用による外部認証の有効化は、Blue Coat X-Series 向け Cisco NGIPS ではサポートされません。
内部認証によってユーザがログインしようとすると、アプライアンスは最初にそのユーザがローカル ユーザ データベースに存在するかどうか検査します。ユーザが存在する場合、アプライアンスは次にユーザ名とパスワードをローカル データベースに対して検査します。一致が検出されると、ユーザは正常にログインします。ただし、ログインが失敗し、外部認証が有効になっている場合、アプライアンスはそれぞれの外部認証サーバに対して、ユーザをシステム ポリシーに表示される認証順序で検査します。ユーザ名およびパスワードが外部サーバからの結果と一致した場合、アプライアンスはユーザを、その認証オブジェクトに対してデフォルトの権限を持つ外部ユーザに変更します。
外部ユーザがログインしようとすると、アプライアンスは外部認証サーバに対してユーザ名およびパスワードを検査します。一致が検出されると、ユーザは正常にログインします。ログインが失敗した場合、ユーザのログイン試行は拒否されます。外部ユーザは、ローカル データベース内のユーザ リストに対して認証できません。ユーザが新しい外部ユーザの場合、外部認証オブジェクトのデフォルト権限を持つ外部ユーザ アカウントがローカル データベースに作成されます。
外部サーバでのユーザ認証を有効にするには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [外部認証(External Authentication)] をクリックします。
[外部認証(External Authentication)] ページが表示されます。
手順 4 [ステータス(Status)] ドロップダウン リストから [有効(Enabled)] を選択します。
手順 5 [デフォルトのユーザ ロール(Default User Role)] ドロップダウン リストから、ユーザ ロールを選択して、外部認証済みユーザに付与するデフォルト権限を定義します。
ヒント ロールを選択する前に Ctrl キーを押すと、複数のデフォルト ユーザ ロールを選択できます。[セキュリティ アナリスト(Security Analyst)] ロールと対応する [セキュリティ アナリスト(読み取り専用)(Security Analyst(Read Only))] ロールの両方を選択した場合でも、適用されるのは [セキュリティ アナリスト(Security Analyst)] ロールだけであることに注意してください。
手順 6 外部サーバを使用してシェル アクセス アカウントも認証する場合、[シェル認証(Shell Authentication)] ドロップダウン リストから [有効(Enabled)] を選択します。
手順 7 CAC 認証および認可を有効にする場合は、[CAC 認証(CAC Authentication)] ドロップダウン リストから使用可能な CAC 認証オブジェクトを選択します。
CAC 認証および認可を設定するための完全な手順については、CAC を使用した LDAP 認証についてを参照してください。
手順 8 事前設定された認証オブジェクトの使用を有効にするには、オブジェクトの横にあるチェックボックスを選択します。外部認証を有効にするには、少なくとも 1 つの認証オブジェクトを選択する 必要があります 。
ヒント ステップ 6 でシェル認証を有効にした場合、シェル アクセスを許可するよう設定された認証オブジェクトを選択する必要があります。同じシステム ポリシーでシェル アクセスと CAC 認証を管理するには、別の認証オブジェクトを使用する必要があることに注意してください。詳細については、シェル アクセスについておよび CAC を使用した LDAP 認証についてを参照してください。
手順 9 必要に応じて、上矢印および下矢印を使用して、認証要求が行われたときに認証サーバがアクセスされる順序を変更できます。
(注) シェル アクセスのユーザは、認証オブジェクトがプロファイルの順序で最も高いサーバに対してのみ認証できることに注意してください。
手順 10 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを Defense Center とその管理対象デバイスに適用するまでは反映されません。詳細については、システム ポリシーの適用を参照してください。
ダッシュボードの設定
[カスタム分析(Custom Analysis)] ウィジェットがダッシュボードで有効になるように、システム ポリシーを設定できます。ダッシュボードでは、ウィジェットを使用することにより、現在のシステム ステータスが一目でわかります。ウィジェットは小さな自己完結型コンポーネントであり、FireSIGHT システムのさまざまな側面に関するインサイトを提供します。
[カスタム分析(Custom Analysis)] ウィジェットを使用して、柔軟でユーザが設定可能なイベントのクエリに基づいて、アプライアンスのデータベースにイベントを視覚的に作成することができます。カスタム ウィジェットの使用方法の詳細については、Custom Analysis ウィジェットについてを参照してください。
[カスタム分析(Custom Analysis)] ウィジェットを有効にするには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
- 新しいシステム ポリシーの一部としてダッシュボードの設定を行うには、[ポリシーの作成(Create Policy)] をクリックします。システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [ダッシュボード(Dashboard)] をクリックします。
[ダッシュボードの設定(Dashboard Settings)] ページが表示されます。
手順 4 ユーザが [カスタム分析(Custom Analysis)] ウィジェットをダッシュボードに追加できるようにするには、[カスタム分析ウィジェットを有効にする(Enable Custom Analysis Widgets)] チェックボックスを選択します。ユーザがこれらのウィジェットを使用できないようにする場合は、このチェックボックスをオフにします。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
データベース イベント制限の設定
[データベース(Database)] ページを使用して、Defense Center が保存できる各イベント タイプの最大数を指定します。監査レコードの設定は、管理対象デバイスにも適用されることに注意してください。パフォーマンスを向上させるには、定期的に処理するイベント数に合わせてイベント制限を調整する必要があります。一部のイベント タイプでは、ストレージを無効にすることができます。次の表は、各イベント タイプを保存できる最小および最大レコード数を示しています。
侵入イベント データベース内のイベント数が最大数を超えると、最も古いイベントおよびパケット ファイルが、データベースがイベント制限内に戻るまでプルーニングされます。イベントが自動的にプルーニングされたときに自動電子メール通知を生成する方法については、メール リレー ホストおよび通知アドレスの設定を参照してください。
検出およびユーザ データベースを手動でプルーニングする方法の詳細については、データベースからの検出データの消去を参照してください。
さらに、侵入イベントおよび監査レコードがデータベースからプルーニングされたときに通知を受け取る電子メール アドレスを設定できます。
データベース内のレコードの最大数を設定するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセス コントロールの設定(Access Control Preferences)] ページが表示されます。
手順 3 [データベース(Database)] をクリックします。
[データベース(Database)] ページが表示されます。
手順 4 各データベースについて、保存するレコードの数を入力します。
各データベースが保持できるレコード数の詳細については、 データベース イベントの制限 を参照してください。
手順 5 必要に応じて、[データプルーニング通知アドレス(Data Pruning Notification Address)] フィールドで、侵入イベント、検出イベント、監査レコード、セキュリティ インテリジェンス データ、または URL フィルタリング データがアプライアンスのデータベースからプルーニングされたときに通知を受け取る電子メール アドレスを入力します。
また、電子メール サーバを設定する必要があることにも注意してください。詳細については、メール リレー ホストおよび通知アドレスの設定を参照してください。
手順 6 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
DNS キャッシュ プロパティの設定
DNS サーバが [ネットワーク(Network)] ページで設定されている場合、イベント ビュー ページで IP アドレスを自動的に解決するようにアプライアンスを設定できます。[管理者(Administrator)] ロールが割り当てられたユーザは、アプライアンスによって実行される DNS キャッシングの基本プロパティも設定できます。DNS キャッシングを設定すると、追加のルックアップを実行せずに、以前に解決した IP アドレスを識別できます。これにより、IP アドレスの解決が有効になっている場合に、ネットワーク上のトラフィックの量を減らし、イベント ページの表示速度を速めることができます。
DNS キャッシュ プロパティを構成するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [DNS キャッシュ(DNS Cache)] をクリックします。
[DNS キャッシュ(DNS Cache)] ページが表示されます。
手順 4 キャッシングを有効にするには、[DNS 解決のキャッシング(DNS Resolution Caching)] ドロップダウン リストから [有効(Enabled)] を選択します。これを無効にするには、[無効(Disabled)] を選択します。
(注) DNS 解決のキャッシングは、以前に解決された DNS ルックアップのキャッシングを許可するシステム全体の設定です。ユーザ アカウントごとに IP アドレス解決を設定するには、ユーザは [ユーザのプリファレンス(User Preferences)] メニューから [イベントビューの設定(Event View Settings)] も選択し、[IP アドレス解決(Resolve IP Addresses)] を有効にしてから [保存(Save)] をクリックする必要があります。DNS サーバの設定の詳細については、管理インターフェイスの構成を参照してください。イベント ビューの設定については、イベント ビュー設定の設定を参照してください。
手順 5 [DNS キャッシュのタイムアウト(分)(DNS Cache Timeout(in minutes))] フィールドで、非アクティブのために削除されるまで DNS エントリがメモリ内にキャッシュされる時間(分単位)を入力します。
手順 6 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
DNS キャッシングがアプライアンスで有効になっている場合でも、[ユーザのプリファレンス(User Preferences)] メニューからアクセスできる [イベント(Events)] ページで設定されていなければ、ユーザごとの IP アドレス解決は有効になりません。
メール リレー ホストおよび通知アドレスの設定
次の処理を行う場合、メール ホストを設定する必要があります。
- イベント ベースのレポートの電子メール送信
- スケジュールされたタスクのステータス レポートの電子メール送信
- 変更調整レポートの電子メール送信
- データ切り捨て通知の電子メール送信
- ディスカバリ イベント、影響フラグ、および相関イベント アラートについての電子メールの使用
- 侵入イベント アラートについての電子メールの使用
- ヘルス イベント アラートについての電子メールの使用
アプライアンスとメール リレー ホスト間の通信に使用する暗号化方式を選択し、必要に応じて、メール サーバの認証資格情報を指定できます。設定を行った後、指定された設定を使用してアプライアンスとメール サーバとの間の接続をテストできます。
メール リレー ホストを設定するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [電子メール通知(Email Notification)] をクリックします。
[電子メール通知の設定(Configure Email Notification)] ページが表示されます。
手順 4 [メール リレー ホスト(Mail Relay Host)] フィールドで、使用するメール サーバのホスト名または IP アドレスを入力します。
(注) 入力したメール ホストはアプライアンスからのアクセスを許可している必要があります。
手順 5 [ポート番号(Port Number)] フィールドに、電子メール サーバで使用するポート番号を入力します。ポートは通常、暗号化を使用しない場合は 25、SSLv3 を使用する場合は 465、TLS を使用する場合は 587 です。
手順 6 暗号化方式を選択するには、次のオプションがあります。
- Transport Layer Security を使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [TLS] を選択します。
- セキュア ソケット レイヤを使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [SSLv3] を選択します。
- アプライアンスとメール サーバ間の非暗号化通信を許可するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [なし(None)] を選択します。
アプライアンスとメール サーバとの間の暗号化された通信では、証明書の検証は不要であることに注意してください。
手順 7 アプライアンスによって送信されるメッセージの送信元の電子メール アドレスとして使用する有効な電子メール アドレスを、[送信元アドレス(From Address)] フィールドに入力します。
手順 8 必要に応じて、メール サーバに接続する際にユーザ名とパスワードを指定するには、[認証を使用(Use Authentication)] を選択します。[ユーザ名(Username)] フィールドにユーザ名を入力します。パスワードを [パスワード(Password)] フィールドに入力します。
手順 9 設定したメール サーバを使用してテスト メールを送信するには、[テスト メールのサーバ設定(Test Mail Server Settings)] をクリックします。
テストの成功または失敗を示すメッセージがボタンの横に表示されます。
手順 10 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
ネットワーク解析ポリシーの設定の構成
ネットワーク解析ポリシーを変更する場合に、コメントの入力を要求するようシステムを設定できます。これを使用して、ユーザのポリシーの変更の理由を追跡できます。ネットワーク解析ポリシーの変更に関するコメントを有効にした場合、コメントをオプションまたは必須に設定できます。変更に関する説明が監査ログに書き込まれます。
ネットワーク解析ポリシーのすべての変更を監査ログに書き込むこともできます。監査ログの詳細については、監査レコードの管理を参照してください。
ネットワーク解析ポリシーのコメントの設定を行うには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [ネットワーク解析ポリシーの設定(Network Analysis Policy Preferences)] をクリックします。
[ネットワーク解析ポリシーの設定(Network Analysis Policy Preferences)] ページが表示されます。
手順 4 [ポリシー変更のコメント(Comments on policy change)] ドロップダウン リストには、次のオプションがあります。
- [無効(Disabled)] を選択すると、変更に関する説明を入力せずにネットワーク解析ポリシーを変更できます。
- [任意(Optional)] を選択すると、ネットワーク解析ポリシーに対する変更を保存するときにユーザに対して [変更の説明(Description of Changes)] ウィンドウが表示されます。これにより、ユーザはコメントの変更について記述することができます。
- [必須(Required)] を選択すると、ネットワーク解析ポリシーに対する変更を保存するときにユーザに対して [変更の説明(Description of Changes)] ウィンドウが表示されます。この場合、ユーザは変更を保存する前にコメントの変更について記述する必要があります。
手順 5 必要に応じて、ネットワーク解析ポリシーのすべての変更を監査ログに書き込むには、[ネットワーク分析ポリシーの変更を監査ログに記録(Write changes in Network Analysis Policy to audit log)] を選択します。
手順 6 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
侵入ポリシー設定の構成
侵入ポリシーを変更する場合に、コメントの入力を要求するようシステムを設定できます。これを使用して、ユーザのポリシーの変更の理由を追跡できます。侵入ポリシーの変更に関するコメントを有効にした場合、コメントをオプションまたは必須に設定できます。変更に関する説明が監査ログに書き込まれます。
侵入ポリシーのすべての変更を監査ログに書き込むこともできます。監査ログの詳細については、監査レコードの管理を参照してください。
侵入ポリシーのコメントの設定を行うには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [侵入ポリシー設定(Intrusion Policy Preferences)] をクリックします。
[侵入ポリシー設定(Intrusion Policy Preferences)] ページが表示されます。
手順 4 [ポリシー変更のコメント(Comments on policy change)] ドロップダウン リストには、次のオプションがあります。
- [無効(Disabled)] を選択すると、変更に関する説明を入力せずに侵入ポリシーを変更できます。
- [任意(Optional)] を選択すると、侵入ポリシーに対する変更を保存するときにユーザに対して [変更の説明(Description of Changes)] ウィンドウが表示されます。これにより、ユーザはコメントの変更について記述することができます。
- [必須(Required)] を選択すると、侵入ポリシーに対する変更を保存するときにユーザに対して [変更の説明(Description of Changes)] ウィンドウが表示されます。この場合、ユーザは変更を保存する前にコメントの変更について記述する必要があります。
手順 5 必要に応じて、侵入ポリシーのすべての変更を監査ログに書き込むには、[侵入ポリシーの変更を監査ログに記録(Write changes in Intrusion Policy to audit log)] を選択します。
手順 6 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
別の言語の指定
[言語(Language)] ページを使用して、Web インターフェイス用に異なる言語を指定できます。
ここで選択した言語は、アプライアンスにログインしたすべてのユーザの Web インターフェイスに使用されます。
ユーザ インターフェイスに異なる言語を選択するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
カスタム ログイン バナーの追加
SSH を使用してアプライアンスにログインしたときに、ユーザは Web インターフェイスのログイン ページに表示されるカスタム ログイン バナーを作成できます。バナーには、小なり記号(<)および大なり記号(>)以外の出力可能な文字を含めることができます。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [ログインバナー(Login Banner)] をクリックします。
[ログインバナー(Login Banner)] ページが表示されます。
手順 4 [カスタムログインバナー(Custom Login Banner)] フィールドに、このシステム ポリシーで使用するログイン バナーを入力します。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
SNMP ポーリングの設定
システム ポリシーを使用して、アプライアンスの Simple Network Management Protocol(SNMP)ポーリングを有効化できます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、および 3 をサポートします。
- アプライアンスの標準 Management Information Base(MIB)。これには、連絡先、管理、場所、サービス情報、IP アドレッシングやルーティングの情報、およびトランスミッション プロトコルの使用状況の統計などのシステムの詳細が含まれます。
- 管理対象デバイスの追加の MIB。これには、物理インターフェイス、論理インターフェイス、仮想インターフェイス、ARP、NDP、仮想ブリッジ、および仮想ルータを通して渡されるトラフィックの統計が含まれます。
システム ポリシー SNMP 機能を有効にすると、アプライアンスで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になることに注意してください。
(注) アプライアンスをポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があります。詳細については、アプライアンスのアクセス リストの設定を参照してください。SNMP MIB にはアプライアンスの攻撃に使用される可能性がある情報も含まれているので注意してください。シスコ では、SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することを推奨しています。シスコ では、SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨しています。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[作成(Create)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 アプライアンスのポーリングに使用する各コンピュータに SNMP アクセスを追加していない場合は、ここで追加してください。詳細については、アプライアンスのアクセス リストの設定を参照してください。
手順 5 [SNMP バージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。
- [バージョン 1(Version 1)] または [バージョン 2(Version 2)] を選択した場合は、[コミュニティ ストリング(Community String)] フィールドに SNMP コミュニティ名を入力します。ステップ 15 に進みます。
(注) SNMPv2 は、読み込み専用コミュニティのみをサポートしています。
(注) SNMPv3 は、読み込み専用ユーザのみをサポートしています。SNMPv3 は、AES128 による暗号化もサポートしています。
手順 7 [ユーザ名(Username)] フィールドにユーザ名を入力します。
手順 8 [認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。
手順 9 [認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。
手順 10 [認証パスワード(Authentication Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドに認証パスワードを再入力します。
手順 11 使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。
手順 12 [プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。
手順 13 [プライバシー パスワード(Privacy Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドにプライバシー パスワードを再入力します。
ユーザが追加されます。ステップ 6 ~ 13 までを繰り返して、さらにユーザを追加できます。ユーザを削除するには、削除アイコン(
)をクリックします。
手順 15 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスの有効化
米国連邦政府内の組織は、Security Technical Implementation Guides(STIG)に示されている一連のセキュリティ チェックリストに準拠しなければならない場合があります。STIG コンプライアンス オプションは、米国国防総省によって定められた特定の要件に準拠することを目的とした設定を有効にします。
展開内の任意のアプライアンスで STIG コンプライアンスを有効にする場合は、それをすべてのアプライアンスで有効にする必要があります。非準拠の管理対象デバイスを STIG 準拠の Defense Center に登録したり、STIG 準拠デバイスを非準拠の Defense Center に登録したりすることはできません。
STIG コンプライアンスを有効にした場合、適用可能なすべての STIG に厳格なコンプライアンスが保証されるわけではありません。製品のこのバージョンでこのモードを使用する場合、FireSIGHT システムSTIG コンプライアンスの詳細については、サポートに問い合わせて、バージョン 5.4.1用の FireSIGHT システムSTIG リリース ノートのコピーを入手してください。
STIG コンプライアンスを有効にすると、ローカル シェル アクセス アカウントのパスワードの複雑さや維持に関するルールが変わります。これらの設定の詳細については、バージョン 5.4.1用の FireSIGHT システム STIG リリース ノートを参照してください。さらに、STIG コンプライアンス モードでは、 ssh のリモート ストレージを使用できません。
STIG コンプライアンスが有効なシステム ポリシーを適用すると、アプライアンスが強制的に再起動されるので注意してください。すでに STIG が有効になっているアプライアンスに STIG が有効なシステム ポリシーを適用した場合、アプライアンスは再起動しません。STIG が無効なシステム ポリシーを STIG が有効になっているアプライアンスに適用した場合、STIG は引き続き有効であり、アプライアンスはリブートしません。
バージョン 5.2.0 よりも前のバージョンからアップグレードしたアプライアンスの場合、コンプライアンスを有効にしたままポリシーを適用してもアプライアンス証明書が再生成されるため、すでに登録されている管理対象デバイスまたはピアを再登録する必要があります。
サポートからの支援なしでこの設定を無効にすることはできません。また、この設定はシステムのパフォーマンスに大きく影響する可能性があります。シスコ では、米国国防総省のセキュリティ要件に準拠する以外の目的で、STIG コンプライアンスを有効化することを推奨しません。
STIG コンプライアンスを有効にするには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [STIG コンプライアンス(STIG Compliance)] をクリックします。
[STIG コンプライアンス(STIG Compliance)] ページが表示されます。
手順 4 STIG コンプライアンスをアプライアンスで 永続的に 有効にする場合は、[STIG コンプライアンスを有効化(Enable STIG Compliance)] を選択します。
STIG コンプライアンスが有効なポリシーを適用した後、アプライアンスで STIG コンプライアンスを無効にすることはできません。コンプライアンスを無効にする必要がある場合は、サポートに連絡してください。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスを有効にするシステム ポリシーをアプライアンスに適用すると、アプライアンスが再起動するので注意してください。STIG が有効なシステム ポリシーをすでに STIG が有効になっているアプライアンスに適用した場合は、アプライアンスはリブートしないことに注意してください。
また、デバイスがバージョン 5.2.0 よりも前のバージョンからアップグレードされた場合、STIG コンプライアンスを有効にした後でデバイスを再登録する必要があります。
時間の同期
[時刻の同期(Time Synchronization)] ページを使用して、アプライアンスで時刻の同期を管理できます。時刻を同期する場合、以下の方法を選択できます。
時刻の設定は、システム ポリシーの一部です。新しいシステム ポリシーを作成するか、既存のポリシーを編集することによって、時刻の設定を指定できます。いずれの場合も、システム ポリシーを適用するまで時刻の設定は使用されません。
アプライアンスの大半のページでは、時刻の設定は [タイムゾーン(Time Zone)] ページ(デフォルトでは米国/ニューヨーク)で設定したタイム ゾーンを使用してローカル時刻で表示されますが、アプライアンス自体には UTC 時間を使用して保存されることに注意してください。さらに、現在の時刻は [時刻の同期(Time Synchronization)] ページの上部に UTC で表示されます(ローカル時刻は手動時計設定オプションで表示されます(有効になっている場合))。
Blue Coat X-Series 向け Cisco NGIPS の時間設定を管理するには、コマンドライン インターフェイスやオペレーティング システム インターフェイスなどのネイティブ アプリケーションを使用する必要があります。Blue Coat X-Series 向け Cisco NGIPS とそれが管理する Defense Center の時刻は、同じ物理アプライアンスまたは NTP サーバから同期します。詳細については、 『シスコ Software for X-Series Installation Guide』 を参照してください。
アプライアンスの時刻は、外部タイム サーバと同期できます。リモート NTP サーバを指定した場合、アプライアンスはそれに対するネットワーク アクセス権限を持っている必要があります。信頼できない NTP サーバを指定しないでください。NTP サーバへの接続では、構成されたプロキシ設定は使用されません。NTP サーバとして Defense Center を使用するには、Defense Center からの時間の提供を参照してください。
シスコ では、仮想アプライアンスを物理 NTP サーバに同期することを推奨しています。(仮想または物理)管理対象デバイスを仮想 Defense Center と同期しないでください。
(注) 時刻の同期後に、Defense Center と管理対象デバイスの時刻が一致していることを確認します。そうしないと、管理対象デバイスが Defense Center と通信する場合に意図しない結果が発生することがあります。
時刻を同期する手順は、Defense Center か管理対象デバイスのどちらの Web インターフェイスを使用するかによって若干異なります。各手順については後で個別に説明します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [時刻の同期(Time Synchronization)] をクリックします。
[時刻の同期(Time Synchronization)] ページが表示されます。
手順 4 Defense Center から管理対象デバイスに時刻を提供する場合は、[NTP から時刻を取得(Serve time via NTP)] ドロップダウン リストで [有効(Enabled)] を選択します。
手順 5 Defense Center で時刻を同期する方法を指定するには、次のオプションがあります。
- 時刻を手動で設定するには、[手動のローカル設定(Manually in Local Configuration)] を選択します。システム ポリシーを適用した後の時刻の設定については、手動による時刻の設定を参照してください。
- NTP を介して別のサーバから時刻を受信するには、[NTP 取得元(Via NTP from)] を選択し、使用する NTP サーバの IP アドレスのカンマ区切りリストをテキスト ボックスに入力するか、DNS が有効になっている場合は、完全修飾ホストおよびドメインの名前を入力します。
アプライアンスがリブートされ、ここで指定したものとは異なる NTP サーバ レコードを DHCP サーバが設定した場合、DHCP 提供の NTP サーバが代わりに使用されます。この状況を回避するには、同じ NTP サーバを設定するように DHCP サーバを設定します。
手順 6 任意の管理対象デバイスで時刻を同期する方法を指定するには、次のオプションがあります。
- 時刻を手動で設定するには、[手動のローカル設定(Manually in Local Configuration)] を選択します。システム ポリシーを適用した後の時刻の設定については、手動による時刻の設定を参照してください。
- NTP を介して Defense Center から時刻を受信するには、[NTP 取得元(Via NTP from)] [ Defense Center ] を選択します。詳細については、Defense Center からの時間の提供を参照してください。
- NTP を介して別のサーバから時刻を受信するには、[NTP 取得元(Via NTP from)] を選択します。テキスト ボックスで、NTP サーバの IP アドレスのカンマ区切りリストを入力するか、DNS が有効になっている場合は、完全修飾ホストおよびドメインの名前を入力します。
(注) 管理対象デバイスを設定された NTP サーバと同期するには、数分かかる場合があります。さらに、管理対象デバイスを NTP サーバとして設定されている Defense Center と同期する場合、Defense Center 自体が NTP サーバを使用するように設定されていると、時刻を同期するのにいくらか時間がかかることがあります。これは、管理対象デバイスに時刻を提供するために、Defense Center は設定された NTP サーバとまず同期する必要があるためです。
手順 7 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
Defense Center からの時間の提供
NTP を使用して Defense Center をタイム サーバとして設定してから、それを使用して Defense Center と管理対象デバイスの間で時刻を同期することができます。
NTP を使用して時刻を提供するように Defense Center を設定した後は、時刻を手動で設定できないことに注意してください。時刻を手動で変更する必要がある場合は、NTP を使用して時刻を提供するよう Defense Center を設定する 前に 、その変更を行う必要があります。Defense Center を NTP サーバとして設定した 後に 、時刻を手動で変更する必要がある場合は、[NTP 使用(Via NTP)] オプションを無効にして [保存(Save)] をクリックし、時刻を手動で変更して [保存(Save)] をクリックしてから、[NTP 使用(Via NTP)] を有効にして [保存(Save)] をクリックします。
(注) NTP を使用して時刻を提供するよう Defense Center を設定してから、後でそれを無効にした場合、管理対象デバイスの NTP サービスは引き続き Defense Center と時刻を同期しようとします。同期の試行を停止するには、NTP を管理対象デバイスの Web インターフェイスから無効にする必要があります。
NTP サーバとして Defense Center を設定するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [時刻の同期(Time Synchronization)] をクリックします。
[時刻の同期(Time Synchronization)] ページが表示されます。
手順 4 [NTP から時刻を取得(Serve time via NTP)] ドロップダウン リストから [有効(Enabled)] を選択します。
手順 5 管理対象デバイスの [時計の設定(Set My Clock)] オプションで、[NTP 取得元(Via NTP from)] Defense Center を選択します。
手順 6 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを Defense Center とその管理対象デバイスに適用するまでは反映されません。詳細については、システム ポリシーの適用を参照してください。
(注) Defense Center を管理対象デバイスと同期するには、数分かかる場合があります。
ユーザ インターフェイスの設定
FireSIGHT システムの Web インターフェイスまたはコマンドライン インターフェイスの無人ログイン セッションは、セキュリティ上のリスクを生じさせる場合があります。非アクティブが原因でユーザのログイン セッションがタイムアウトになるまでのアイドル時間を分単位で設定できます。シェル(コマンドライン)セッションでも同様のタイムアウトを設定できます。
長期にわたり Web インターフェイスに対してセキュアにパッシブな監視を行う予定のユーザが、展開内に存在する可能性があります。ユーザ設定オプションで Web インターフェイスのセッション タイムアウトからユーザを除外することができます。(メニュー オプションへの完全なアクセス権がある [管理人(Administrator)] ロールのユーザは、侵害が生じる場合、余分のリスクを生じさせますが、セッション タイムアウトから除外することはできません)。詳細については、ユーザ ログイン設定の管理を参照してください。
システムへのシェル アクセスを制限する必要がある場合、3 番目のオプションによってコマンドラインの expert コマンドを永続的に無効にすることができます。アプライアンスでエキスパート モードを無効にすると、設定シェル アクセスを持つユーザでも、シェルのエキスパート モードに入ることができなくなります。ユーザがコマンドラインのエキスパート モードに入ると、ユーザはシェルに応じた任意の Linux コマンドを実行できます。エキスパート モードに入っていない場合は、コマンド ライン ユーザはコマンドライン インターフェイスが提供するコマンドだけを実行できます。コマンドライン インターフェイスはシリーズ 2アプライアンスではサポートされていないことに注意してください。
コマンドライン インターフェイス コマンドの詳細については、コマンドライン リファレンスを参照してください。コマンドライン アクセス用にユーザを設定する方法の詳細についてはコマンド ライン アクセスの管理およびコマンドライン リファレンス(仮想デバイスの CLI ユーザ管理用)を参照してください。
ユーザ インターフェイスの設定を行うには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [ユーザインターフェイス(User Interface)] をクリックします。
[ユーザインターフェイス(User Interface)] ページが表示されます。
このセッション タイムアウトからユーザを除外する方法については、ユーザ ログイン設定の管理を参照してください。
エキスパート モードが無効になった状態でシステム ポリシーをアプライアンスに適用した場合、Web インターフェイスまたはコマンドラインを介してエキスパート モードにアクセスする機能を復元することはできません。エキスパート モード機能を復元するには、サポートに問い合わせる必要があります。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを Defense Center とその管理対象デバイスに適用するまでは反映されません。セッション タイムアウト間隔の変更は、次回のログイン セッションまでは有効になりません。
サーバの脆弱性のマッピング
サーバのディスカバリ イベント データベースにアプリケーション ID が含まれており、トラフィックのパケット ヘッダーにベンダーおよびバージョンが含まれる場合、FireSIGHT システムは、そのアドレスから送受信されるすべてのアプリケーション プロトコル トラフィックについて、脆弱性をホスト IP アドレスに自動的にマップします。
ただし、多くのサーバには、ベンダーとバージョンの情報が含まれていません。システム ポリシーにリストされているサーバの場合、システムが脆弱性をベンダーとバージョンがないサーバのサーバ トラフィックに関連付けるかどうかを設定できます。
たとえば、ホストがヘッダーにベンダーまたはバージョンが含まれていない SMTP トラフィックを提供するとします。システム ポリシーの [脆弱性マッピング(Vulnerability Mapping)] ページで SMTP サーバを有効にしてから、トラフィックを検出するデバイスを管理するDefense Centerにそのポリシーを適用した場合、SMTP サーバと関連付けられたすべての脆弱性がホストのホスト プロファイルに追加されます。
ディテクタがサーバ情報を収集し、それをホスト プロファイルに追加した場合、アプリケーション プロトコル ディテクタは脆弱性のマッピングに使用されません。これは、カスタム アプリケーション プロトコル ディテクタのベンダーまたはバージョンを指定できず、システム ポリシーで脆弱性のマッピングのためにサーバを選択できないためです。
サーバの脆弱性のマッピングを設定するには、次の手順を実行します。
手順 1 [システム(System)] > [ローカル(Local)] > [システムポリシー(System Policy)] を選択します。
[システム ポリシー(System Policy)] ページが表示されます。
)をクリックします。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
手順 3 [脆弱性マッピング(Vulnerability Mapping)] をクリックします。
[脆弱性マッピング(Vulnerability Mapping)] ページが表示されます。
ヒント [有効(Enabled)] の横にあるチェックボックスを使用して、一度にすべてのチェックボックスをオンまたはオフにすることができます。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを Defense Center とその管理対象デバイスに適用するまでは反映されません。詳細については、システム ポリシーの適用を参照してください。
フィードバック