このドキュメントでは、Cisco Secure Intrusion Prevention System(IPS)デバイスと、Cisco Security Monitoring, Analysis, and Response System(CS-MARS)のレポーティングデバイスとして機能するように設定された仮想センサーを準備する方法について説明します。
Cisco IPS 5.x、6.x、および7.xデバイスの場合、MARSはSDEE over SSLを使用してログを取得します。そのため、MARS からセンサーに対して HTTPS アクセスできる必要があります。センサーを準備するには、センサーでHTTPサーバを有効にし、TLSを有効にしてHTTPSアクセスを許可し、MARSのIPアドレスがセンサーにアクセスしてイベントをプルできる許可ホストとして定義されていることを確認します。センサーがネットワーク上の制限されたホストまたはサブネットからのアクセスを許可するように設定されている場合は、access-list ip_address/netmaskコマンドを使用してこのアクセスを有効にできます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェアバージョン4.2.x以降が稼働するCisco Secure MARSデバイス
ソフトウェア バージョン 6.0 およびそれ以降が実行されている Cisco 4200 シリーズ IPS デバイス
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この設定は、次のセンサーにも使用できます。
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、Cisco Secure Intrusion Prevention System(IPS)センサーをCisco Security Monitoring, Analysis, and Response System(CS-MARS)デバイスに追加して設定する方法について説明します。
MARSでCisco IPS 6.xまたは7.xデバイスを定義すると、デバイスに設定されている仮想センサーを検出できます。これらの仮想センサーを検出すると、MARSは報告されたイベントを仮想センサーで分離できます。また、監視対象ネットワークのリストを各仮想センサーに調整できるため、目的のレポートの精度が向上します。
MARSでCisco IPS 6.xまたは7.xデバイスを追加して設定するには、次の手順を実行します。
[Admin] > [System Setup] > [Security and Monitor Devices]を選択します。次に、[Add]をクリックします。
[Device Type]リストから[Cisco IPS 6.x]または[Cisco IPS 7.x]を選択します。次に、センサーのホスト名を次に示すように[Device Name]フィールドに入力します。IPS1は、この例で使用されているデバイス名です。[デバイス名(Device Name)]の値は、設定済みのセンサー名と同じである必要があります。
次に、[Reporting IP]フィールドに管理IPアドレスを入力します。レポートIPアドレスは、管理IPアドレスと同じアドレスです。
[Login]フィールドに、レポーティングデバイスへのアクセスに使用される管理アカウントに関連付けられたユーザ名を入力します。次に、[パスワード]フィールドに、[ログイン]フィールドで指定したユーザ名に関連付けられたパスワードを入力します。この例では、ユーザ名はcisco、使用されるパスワードはcisco123です。また、センサーで実行されているWebサーバがリッスンするTCPポート番号を[ポート]フィールドに入力します。デフォルトのHTTPSポートは443です。
注:HTTPのみを設定できますが、MARSにはHTTPSが必要です。
次に、[リソースの使用状況の監視]リストで[NO]が選択されていることを確認します。このページには[Monitor Resource Usage]オプションが表示されていますが、Cisco IPSでは機能しません。
センサーからIPログを取得するには、[Pull IP Logs]リストから[Yes]を選択します。これはオプションの機能で、必要に応じて使用できます。
この設定は、バーチャルセンサーアラート用に生成されたログを含むセンサー全体に適用されます。
[Test Connectivity] をクリックして設定を確認し、仮想センサーの検出を有効にします。
[Discover]をクリックして、定義されている仮想センサーを検出します。
注:MARSはセンサに加えられた変更を認識しません。バーチャルセンサーの設定を変更する場合は、MARSのバーチャルセンサーの詳細を更新するために、そのセンサーの設定ページで[Discover]をクリックする必要があります。
[Virtual Sensor Name]の横にあるチェックボックスをオンにし、[Edit]をクリックして、各仮想センサーの監視対象ネットワークを定義します。これで、次に示すように[IPS Module]ページが表示されます。
攻撃パスの計算と緩和を行うには、センサーでモニタするネットワークを指定します。ネットワークを手動で定義するには、[Define a Network]オプションボタンを選択します。次に、次の手順を実行してネットワークを定義します。
[ネットワークIP]フィールドにネットワークアドレスを入力します。
[Mask]フィールドに対応するネットワークマスク値を入力します。
[Add] をクリックして、指定したネットワークを[Monitored Networks]フィールドに移動します。
ネットワークをさらに定義する必要がある場合は、前の手順を繰り返します。
注:この機能はオプションで使用できます。不要な場合はスキップできます。
[Select a Network]ラジオボタンをクリックして、デバイスに接続されているネットワークを選択します。次に、ネットワークを選択するために次の手順を実行します。
「ネットワークの選択」リストからネットワークを選択します。
[Add] をクリックして、指定したネットワークを[Monitored Networks]フィールドに移動します。
ネットワークをさらに選択する必要がある場合は、前の手順を繰り返します。
注:この機能はオプションで使用できます。不要な場合はスキップできます。
各仮想センサに対して手順8~手順10を繰り返します。
[Submit]をクリックして、変更を保存します。[Security and Monitoring Information]リストにデバイス名が表示されます。送信操作では、データベーステーブルの変更が記録されます。ただし、MARSアプライアンスの作業メモリには変更がロードされません。アクティブ化操作は、送信された変更を作業メモリにロードします。
MARSがこのデバイスからイベントのセッションを開始できるようにするには、[Activate]をクリックします。
MARSは、このモジュールによって生成されたイベントのセッション化を開始し、定義されたインスペクションおよびドロップルールを使用してこれらのイベントを評価します。デバイスがアクティベーション前にMARSにパブリッシュしたイベントは、照合基準としてデバイスのレポートIPアドレスを使用して照会できます。「レポーティングデバイスと軽減措置デバイスのアクティブ化」を参照してください。を参照してください。
データフローを確認するために、ネットワークで良性イベントを作成するのが一般的です。Cisco IPSデバイスとMARS間のデータフローを確認するには、次の手順を実行します。
Cisco IPSデバイスで、シグニチャ2000および2004を有効にしてアラートします。シグニチャはICMPメッセージ(ping)をモニタします。
Cisco IPSデバイスがリッスンしているサブネット上のデバイスにpingを実行します。イベントはMARSによって生成およびプルされます。
MARS Webインターフェイスにイベントが表示されることを確認します。Cisco IPSデバイスでクエリーを実行できます。
データフローが確認されたら、Cisco IPSデバイスで2000および2004シグニチャを無効にできます。
注:MARS WebインターフェイスでのCisco IPSデバイスの設定中に[Test Connectivity]操作が失敗しない場合は、通信が有効になります。このタスクを使用すると、アラートが生成され、正しくプルされたことを確認できます。
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
01-Dec-2013 |
初版 |