CS-MARS:レポートデバイスとしてのIPSセンサーの追加と設定

ダウンロード オプション

  • PDF     (393.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (558.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (704.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2010 年 2 月 18 日
Document ID:111737

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Cisco Secure Intrusion Prevention System(IPS)デバイスと、Cisco Security Monitoring, Analysis, and Response System(CS-MARS)のレポーティングデバイスとして機能するように設定された仮想センサーを準備する方法について説明します。

前提条件

要件

Cisco IPS 5.x、6.x、および7.xデバイスの場合、MARSはSDEE over SSLを使用してログを取得します。そのため、MARS からセンサーに対して HTTPS アクセスできる必要があります。センサーを準備するには、センサーでHTTPサーバを有効にし、TLSを有効にしてHTTPSアクセスを許可し、MARSのIPアドレスがセンサーにアクセスしてイベントをプルできる許可ホストとして定義されていることを確認します。センサーがネットワーク上の制限されたホストまたはサブネットからのアクセスを許可するように設定されている場合は、access-list ip_address/netmaskコマンドを使用してこのアクセスを有効にできます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • ソフトウェアバージョン4.2.x以降が稼働するCisco Secure MARSデバイス

  • ソフトウェア バージョン 6.0 およびそれ以降が実行されている Cisco 4200 シリーズ IPS デバイス

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のセンサーにも使用できます。

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、Cisco Secure Intrusion Prevention System(IPS)センサーをCisco Security Monitoring, Analysis, and Response System(CS-MARS)デバイスに追加して設定する方法について説明します。

MARSでのCisco IPS 6.xまたは7.xデバイスの追加と設定

MARSでCisco IPS 6.xまたは7.xデバイスを定義すると、デバイスに設定されている仮想センサーを検出できます。これらの仮想センサーを検出すると、MARSは報告されたイベントを仮想センサーで分離できます。また、監視対象ネットワークのリストを各仮想センサーに調整できるため、目的のレポートの精度が向上します。

MARSでCisco IPS 6.xまたは7.xデバイスを追加して設定するには、次の手順を実行します。

  1. [Admin] > [System Setup] > [Security and Monitor Devices]を選択します。次に、[Add]をクリックします

  2. [Device Type]リストから[Cisco IPS 6.x]または[Cisco IPS 7.x]を選択します。次に、センサーのホスト名を次に示すように[Device Name]フィールドに入力します。IPS1は、この例で使用されているデバイス名です。[デバイス名(Device Name)]の値は、設定済みのセンサー名と同じである必要があります。

    Adding-IPS-to-CS-MARS-01.gif

    次に、[Reporting IP]フィールドに管理IPアドレスを入力します。レポートIPアドレスは、管理IPアドレスと同じアドレスです。

  3. [Login]フィールドに、レポーティングデバイスへのアクセスに使用される管理アカウントに関連付けられたユーザ名を入力します。次に、[パスワード]フィールドに、[ログイン]フィールドで指定したユーザ名に関連付けられたパスワードを入力します。この例では、ユーザcisco、使用されるパスワードはcisco123です。また、センサーで実行されているWebサーバがリッスンするTCPポート番号を[ポート]フィールドに入力します。デフォルトのHTTPSポートは443です。

    Adding-IPS-to-CS-MARS-02.gif

    注:HTTPのみを設定できますが、MARSにはHTTPSが必要です。

  4. 次に、[リソースの使用状況の監視]リストで[NO]が選択されていることを確認します。このページには[Monitor Resource Usage]オプションが表示されていますが、Cisco IPSでは機能しません。

    Adding-IPS-to-CS-MARS-03.gif

  5. センサーからIPログを取得するには、[Pull IP Logs]リストから[Yes]を選択します。これはオプションの機能で、必要に応じて使用できます。

    Adding-IPS-to-CS-MARS-04.gif

    この設定は、バーチャルセンサーアラート用に生成されたログを含むセンサー全体に適用されます。

  6. [Test Connectivity] をクリックして設定を確認し、仮想センサーの検出を有効にします。

    Adding-IPS-to-CS-MARS-05.gif

  7. [Discover]をクリックして、定義されている仮想センサーを検出します。

    Adding-IPS-to-CS-MARS-06.gif

    注:MARSはセンサに加えられた変更を認識しません。バーチャルセンサーの設定を変更する場合は、MARSのバーチャルセンサーの詳細を更新するために、そのセンサーの設定ページで[Discover]をクリックする必要があります。

  8. [Virtual Sensor Name]の横にあるチェックボックスをオンにし、[Edit]をクリックして、各仮想センサーの監視対象ネットワークを定義します。これで、次に示すように[IPS Module]ページが表示されます。

    Adding-IPS-to-CS-MARS-07.gif

  9. 攻撃パスの計算と緩和を行うには、センサーでモニタするネットワークを指定します。ネットワークを手動で定義するには、[Define a Network]オプションボタンを選択します。次に、次の手順を実行してネットワークを定義します。

    1. [ネットワークIP]フィールドにネットワークアドレスを入力します。

    2. [Mask]フィールドに対応するネットワークマスク値を入力します。

    3. [Add] をクリックして、指定したネットワークを[Monitored Networks]フィールドに移動します。

    4. ネットワークをさらに定義する必要がある場合は、前の手順を繰り返します。

      Adding-IPS-to-CS-MARS-08.gif

      注:この機能はオプションで使用できます。不要な場合はスキップできます。

  10. [Select a Network]ラジオボタンをクリックして、デバイスに接続されているネットワークを選択します。次に、ネットワークを選択するために次の手順を実行します。

    1. 「ネットワークの選択」リストからネットワークを選択します。

    2. [Add] をクリックして、指定したネットワークを[Monitored Networks]フィールドに移動します。

    3. ネットワークをさらに選択する必要がある場合は、前の手順を繰り返します。

      Adding-IPS-to-CS-MARS-09.gif

      注:この機能はオプションで使用できます。不要な場合はスキップできます。

  11. 各仮想センサに対して手8手順10を繰り返します。

  12. [Submit]をクリックして、変更を保存します。[Security and Monitoring Information]リストにデバイス名が表示されます。送信操作では、データベーステーブルの変更が記録されます。ただし、MARSアプライアンスの作業メモリには変更がロードされません。アクティブ化操作は、送信された変更を作業メモリにロードします。

  13. MARSがこのデバイスからイベントのセッションを開始できるようにするには、[Activate]をクリックします。

    MARSは、このモジュールによって生成されたイベントのセッション化を開始し、定義されたインスペクションおよびドロップルールを使用してこれらのイベントを評価します。デバイスがアクティベーション前にMARSにパブリッシュしたイベントは、照合基準としてデバイスのレポートIPアドレスを使用して照会できます。「レポーティングデバイスと軽減措置デバイスのアクティブ化」を参照してください。を参照してください。

MARSがCisco IPSデバイスからイベントを取得することの確認

データフローを確認するために、ネットワークで良性イベントを作成するのが一般的です。Cisco IPSデバイスとMARS間のデータフローを確認するには、次の手順を実行します。

  1. Cisco IPSデバイスで、シグニチャ2000および2004を有効にしてアラートします。シグニチャはICMPメッセージ(ping)をモニタします。

  2. Cisco IPSデバイスがリッスンしているサブネット上のデバイスにpingを実行します。イベントはMARSによって生成およびプルされます。

  3. MARS Webインターフェイスにイベントが表示されることを確認します。Cisco IPSデバイスでクエリーを実行できます。

  4. データフローが確認されたら、Cisco IPSデバイスで2000および2004シグニチャを無効にできます。

    注:MARS WebインターフェイスでのCisco IPSデバイスの設定中に[Test Connectivity]操作が失敗しない場合は、通信が有効になります。このタスクを使用すると、アラートが生成され、正しくプルされたことを確認できます。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

更新履歴

改定 発行日 コメント
1.0
01-Dec-2013
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています