Embed Size (px)
Citation preview
Cisco Security MARS リリ
OL-16778-01-J
C H A P T E R 10
IBM Proventia Management/ISS SiteProtector 2.0この章は、次の内容で構成されています。
• 「グローバル イベント ポリシーを定義する IBM Proventia Management/ISS SiteProtector」(P.10-1)
• 「レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0」(P.10-5)
グローバル イベント ポリシーを定義する IBM Proventia Management/ISS SiteProtector
レポート デバイスとして SiteProtector を定義するには、「レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0」(P.10-5)を参照してください。
(注) ここでは、SiteProtector を使用して ISS NIDS および HIDS を設定する方法について説明します。
SiteProtector は、MARS の観点から、ISS イベント データの集約ポイントとして監視および使用でき
るデバイス タイプではありません。4.3.1 および 5.3.1 よりも前は、各イベント タイプにカスタム イベ
ント パーサーを開発しない限り、SiteProtector のイベント データを MARS で解析できませんでした。
MARS は、SNMP 経由の ISS NIDS および HIDS イベントの取得をサポートしています。ただし、ISS RealSecure センサー(NIDS)およびホスト(HIDS)を設定する場合、各アクティブ シグニチャを設
定して、アラートを MARS Appliance に送信する必要があります。このタスクはリダイレクト設定を
リセットし、センサーごと、および各シグニチャのアップグレード後に実行する必要があるため、面倒
なことがあります。このタスクを単純化する 1 つの方法は、SiteProtector 管理コンソールを使用して、
その変更をグローバルに定義し、各センサーに適用することです。
SiteProtector 2.0 を使用すると、グループ ポリシーについて、MARS Appliance など、SNMP アラー
トの宛先を中央管理できます。これらのグループ ポリシーは、必要なホストおよびネットワーク セン
サーすべてにプッシュできます。ISS シグニチャの更新ごとに、SNMP アラートの宛先として MARS Appliance を指定してから、ダウンロード済みシグニチャを SiteProtector を使用してセンサーに適用す
る必要があります。
(注) デフォルトで、グループ ポリシーの応答設定は、Proventia G400 および G2000 モデルでだけサポート
されます。前述の G100 など、その他のすべてのモデルでは、ファームウェアのアップグレードが必要
です。詳細については SiteProtector に付属するマニュアルを参照してください。
10-1ース 6.x デバイス コンフィギュレーション ガイド
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0グローバル イベント ポリシーを定義する IBM Proventia Management/ISS SiteProtector
SiteProtector を使用して、センサーによって生成された SNMP アラートを MARS Appliance に転送す
るために必要な、主な設定手順を実行するには、次の手順を実行します。
ステップ 1 [Add Sensor Wizard] を使用して、[SiteProtector Console] にセンサーを登録します。
SiteProtector にセンサーを登録するために、他の方法があります。ウィザードとその他の方式の使用方
法の詳細については、次の URL の「Chapter 9, Registering Software Managed by SiteProtector」(105 ページ)を参照してください。
http://documents.iss.net/literature/SiteProtector/SPUserGuideforSecurityManagers20SP52.pdf
ステップ 2 編集するセンサーを右クリックし、ショートカット メニューの [Edit Settings] をクリックします。
[Edit Settings] ダイアログが表示されます。
10-2Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0グローバル イベント ポリシーを定義する IBM Proventia Management/ISS SiteProtector
ステップ 3 MARS Appliance の IP アドレスに対してメッセージを送信する新しい SNMP 応答を作成します。
a. 設定ツリーから [Response Objects] を選択します。
b. [SNMP] タブをクリックします。
c. [Add] をクリックし、MARS Appliance の IP アドレスを使用して新しい SNMP 応答オブジェクト
を作成します。
10-3Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0グローバル イベント ポリシーを定義する IBM Proventia Management/ISS SiteProtector
ステップ 4 新しい SNMP の送信先を設定するために [Security Events] を選択します。
a. センサー フォルダで [Security Events] を選択します。
b. [Security Events] タブから必要なセキュリティ イベントを選択します。
[Group By] をクリックすると、任意の数のパラメータを使用してポリシーをグループ化できます。
(注) また、グループ レベルでポリシーの選択と編集を行うこともできます。
c. [Edit] をクリックして、すべての選択したポリシーの SNMP 応答を設定します。
10-4Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
ステップ 5 [SNMP] タブで [MARS Appliance] を選択します。
a. [Edit Security Events] ダイアログ ボックスの一番上にある [Enabled] チェックボックスを選択する
ことで、すべてのセキュリティ イベントをイネーブルにします。
b. [Responses] の [SNMP] タブを選択し、ステップ 3で作成した MARS Appliance 名の横にある [Enabled] を選択します。
c. [OK] をクリックします。
セキュリティ イベントと更新された応答ターゲットは、次の同期中に選択したセンサーに適用さ
れます。
レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
MARS は、SNMP 経由の ISS NIDS および HIDS イベントの取得をサポートしています。ただし、ISS RealSecure センサー(NIDS)およびホスト(HIDS)を設定する場合、各アクティブ シグニチャを設
定して、アラートを MARS Appliance に送信する必要があります。このタスクはリダイレクト設定を
リセットし、センサーごと、および各シグニチャのアップグレード後に実行する必要があるため、面倒
なことがあります。このタスクを簡素化する 2 つの方法があります。
10-5Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
• SiteProtector 管理コンソールを使用して、これらの変更をグローバルに定義し、それを各セン
サーに適用します。この場合、管理対象の ISS NIDS および HIDS デバイスの SNMP イベント データを、MARS で解析します。
SiteProtector 2.0 を使用すると、グループ ポリシーについて、MARS Appliance など、SNMP アラートの宛先を中央管理できます。これらのグループ ポリシーは、必要なホストおよびネット
ワーク センサーすべてにプッシュできます。ISS シグニチャの更新ごとに、SNMP アラートの宛
先として MARS Appliance を指定してから、ダウンロード済みシグニチャを SiteProtector を使用
してセンサーに適用する必要があります。
デフォルトで、グループ ポリシーの応答設定は、Proventia G400 および G2000 モデルでだけサ
ポートされます。前述の G100 など、その他のすべてのモデルでは、ファームウェアのアップグ
レードが必要です。詳細については SiteProtector に付属するマニュアルを参照してください。
• レポート デバイスとして SiteProtector を定義します。これは ISS NIDS および HIDS データの集
約ポイントとして動作します。この場合、MARS は SiteProtector からの SNMP イベント データ
を解析します。
ここでは、SiteProtector をレポート デバイスとして設定および定義する方法について説明します。
MARS で SiteProtector をレポート デバイスとしてイネーブルにするには、SiteProtector コンソールを
レポート デバイスとして定義します。SiteProtector は、監視する ISS エージェントからアラートを受
信し、そのアラートを SNMP 通知として MARS に転送します。
MARS が SNMP 通知を受信するとき、通知の発信元 IP アドレスは、転送した SiteProtector ではなく、
元々そのイベントをトリガーした ISS エージェントの IP アドレスです。そのため、MARS には、イベ
ントをトリガーする可能性がある各 ISS エージェントのホスト定義が必要です。これらの定義は、
SiteProtector コンソールのデバイス定義にサブコンポーネントとして追加されます。
MARS は、アラートを生成するときに ISS エージェントを検出するため、手動で定義する必要があり
ません。MARS はアラートを解析して ISS エージェントのホスト名を特定し、ホストのオペレーティ
ング システム(OS)を検出します。MARS はこの情報を使用し、Generic Windows(すべての Windows)または Generic(Unix または Linux)オペレーティング システム値を持つホストである SiteProtector の子として、未定義のエージェントを追加します。さらに、SiteProtector を定義する必要
があります。ただし、各エージェントを定義する必要はありません。検出された ISS エージェントのデ
フォルトのトポロジ プレゼンテーションは、クラウド内です。
不明な ISS エージェントからの最初の SNMP 通知は、SiteProtector から送信されたように見えます。
MARS は、この通知を解析し、検出された設定を使用して SiteProtector の子を定義します。エージェ
ントを定義した以降は、すべてのメッセージが ISS エージェントが送信されたように見えます。
ここでは、次の内容について説明します。
• 「SNMP 通知を MARS に転送するための SiteProtector の設定」(P.10-6)
• 「MARS での SiteProtector デバイスの追加および設定」(P.10-10)
SNMP 通知を MARS に転送するための SiteProtector の設定
唯一の必要な設定は、エージェントから受信した SNMP 通知を SiteProtector から MARS に転送する
ようにすることです。これらの通知から、MARS はエージェントとそれに関連する設定を検出できま
す。また、これらのイベントから、ネットワークで発生するホストレベルのアクティビティを認識でき
ます。
すべての通知を MARS Appliance に転送するには、次の手順を実行します。
ステップ 1 SiteProtector コンソールにログインします。
ステップ 2 [Grouping] > [Site Management] > [Central Responses] > [Edit settings] をクリックします。
10-6Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
[Edit Central response Settings Window] が表示されます。
ステップ 3 [Response Objects] > [SNMP] > [Add] をクリックして、イベントを転送する先の MARS Appliance を示す新しい応答オブジェクトを追加します。
[Add SNMP] ダイアログボックスが表示されます。
10-7Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
ステップ 4 MARS Appliance に対応する次のフィールドの値を入力します。
• [Name]:(ホスト名 )
• [Manager]:(IP アドレス)
• [Community]:(パブリック)
ステップ 5 [OK] をクリックします。
MARS Appliance は応答オブジェクトとして表示されます。これで、SNMP トラップをこのオブジェ
クトに転送する応答規則を定義できるようになりました。デフォルトの SNMP ポートは 612 です。1 つまたは複数の応答オブジェクトが各応答規則に関連付けられます。そのため、イネーブルにされた応
答規則と関連付けられるまで、応答オブジェクトは使用されません。
ステップ 6 応答規則を追加するには、[Response Rules] > [Add] をクリックします。
[Add Response Rules] ダイアログが表示されます。
10-8Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
ステップ 7 次の値を指定します。
• [Enable]:選択すると、応答規則がイネーブルになります。
• [Name]:応答規則の名前を指定します。
• [Comments]:応答規則の説明を指定します。
ステップ 8 [SNMP] タブをクリックし、[Enabled] カラムで、ステップ 4に定義されている応答オブジェクトの横
にあるチェックボックスを選択します。
(注) 応答規則ごとに複数の応答オブジェクトをイネーブルにできます。
ステップ 9 [OK] をクリックすると、規則が保存され、イネーブルになり、MARS Appliance を示す応答オブジェ
クトもイネーブルになります。
ステップ 10 (任意)デフォルトで、規則は任意の発信元または発信先 IP アドレスと一致します。特定の発信元 IP アドレスと一致するように規則を改善するには、規則を変更し、[Source] タブを選択します。
10-9Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
次の値を指定します。
• [Use specific source addresses]:発信元の IP アドレスに基づいて規則を制限するには、このオプ
ションを選択します。
• [Mode]:その IP アドレスからか、そうではないかの規則を指定します。
• [Click Add]:規則の範囲を絞り込むために、1 つまたは複数の IP アドレスを定義します。
同様に、発信先 IP アドレスに基づいて規則を変更できます。
ステップ 11 プログラムを終了します。
MARS での SiteProtector デバイスの追加および設定
エージェントを特定する前に、SiteProtector を MARS に追加する必要があります。すべての ISS エー
ジェントは通知を SiteProtector に転送し、SiteProtector は SNMP 通知を MARS に転送します。
SiteProtector を定義し終わったら、デバイスをアクティブにします。MARS は、その SiteProtector に管
理されているエージェントを検出できます。ただし、エージェントは手動で追加することもできます。
SiteProtector を MARS に追加するには、次の手順を実行します。
ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。
10-10Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。
ステップ 3 新しいホストを追加する場合、[Device Name] および [IP addresses] を入力します。
ステップ 4 [Apply] をクリックします。
ステップ 5 [Reporting Applications] タブをクリックします。
ステップ 6 [Select Application] リストから、[ISS SiteProtector 2.x] を選択します。
ステップ 7 [Add] をクリックします。
[Management Console] ページが表示されます。
ステップ 8 次のいずれかを実行します。
• 変更内容を保存し、ISS エージェントを自動的に検出できるようにするには、[Submit] をクリック
し、[Done] をクリックします。
(注) バージョン情報が SNMP イベントに含まれないため、検出されるエージェントは名前
付き Generic Real Secure エージェントです。
• 単一の ISS RealSecure NIDS または ISS RealSecure HIDS エージェントを手動で追加するには、
「手動による ISS エージェントの追加」(P.10-11)の手順に進みます。
手動による ISS エージェントの追加
MARS は、ISS エージェントからイベントを受信したときに、そのエージェントを自動的に検出しま
す。バージョン情報が SNMP イベントに含まれないため、検出されるエージェントは名前付き Generic Real Secure エージェントです。ただし、ISS エージェント(ISS RealSecure NIDS または ISS RealSecure HIDS デバイス)を SiteProtector デバイスの子として手動で追加することもできます。こ
の機能を使用すると、通知が生成されていない場合でも、エージェントのすべてを表現できます。その
ため、この定義によって、結果をレポートしていないデバイスを特定できます。
注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ
(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されませ
ん。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。
ISS エージェントを手動で追加するには、次の手順を実行します。
ステップ 1 [Admin] > [Security and Monitoring Devices] をクリックします。
ステップ 2 デバイスのリストから、SiteProtector を実行しているホストを選択し、[Edit] をクリックします。
ステップ 3 [Reporting Applications] タブをクリックし、[Device Type] リストの [ISS SiteProtector] を選択し、
[Edit] をクリックします。
ステップ 4 [Add Agent] をクリックします。
ステップ 5 次のいずれかを実行します。
• 既存のデバイスを選択し、[Edit Existing] をクリックし、ステップ 8の手順に進みます。
10-11Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
ホスト名、レポート IP アドレス、および 1 つ以上のインターフェイスの値が設定されたページが
表示されます。
• [Add New] をクリックし、ステップ 6の手順に進みます。
ステップ 6 [Device Name] フィールドに、この ISS エージェントが存在するホスト名を入力します。
この値には、このデバイスの DNS エントリを反映する必要があります。
ステップ 7 [Reporting IP] フィールドに、SiteProtector にログを送信するためにエージェントが使用する IP アドレ
スを入力します。
ステップ 8 インターフェイス名、IP アドレス、およびネットワーク マスクを指定して、このホストに設定する各
インターフェイスを定義します。新しいインターフェイスを追加するには、[Add Interface] をクリック
します。
インターフェイス設定は、攻撃パスの算出に使用されます。各インターフェイスを定義して、デュアル
ホーム接続されているホストを特定することは重要です。
ステップ 9 [Device Application] フィールドで、次の値のいずれかを選択します。
• ISS RealSecure 6.5
• ISS RealSecure 7.0
ステップ 10 [NIDS] または [HIDS] オプションを選択します。
[HIDS] を選択すると、[Monitored Networks] フィールドは非表示になります。
ステップ 11 [NIDS] を選択する場合、ステップ 12 の手順に進みます。それ以外の場合、ステップ 14 の手順に進み
ます。
ステップ 12 攻撃パスの算出および軽減のために、センサーの監視対象のネットワークを指定します。次のいずれか
を実行します。
• ネットワークを手動で定義するには、[Define a Network] オプション ボタンを選択します。
10-12Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
a. ネットワーク アドレスを [Network IP] フィールドに入力します。
b. 対応するネットワーク マスク値を [Mask] フィールドに入力します。
c. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動しま
す。
d. 必要に応じて繰り返します。
• デバイスに接続するネットワークを選択するには、[Select a Network] オプション ボタンをクリッ
クします。
a. [Select a Network] リストからネットワークを選択します。
b. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動しま
す。
c. 必要に応じて繰り返します。
ステップ 13 ステップ 16 の手順に進みます。
ステップ 14 複数のインターフェイスの場合、[Add Inerfaces] をクリックし、新しいインターフェイス名、IP アド
レス、およびネットワーク マスクを指定します。
図 10-1 複数インターフェイスの追加
ステップ 15 [Apply] をクリックします。
ステップ 16 [Submit] をクリックし、[Done] をクリックします。
ステップ 17 このデバイスをアクティブにするには、[Activate] をクリックします。
10-13Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
第 10 章 IBM Proventia Management/ISS SiteProtector 2.0レポート デバイスとしての IBM Proventia Management/ISS SiteProtector 2.0
10-14Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
OL-16778-01-J
