セキュリティ : Cisco Security Manager

CSM 3.x: Security Manager インベントリに IDS Sensor とモジュールを追加する

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Security Manager(CSM)に侵入検知システム(IDS)のセンサーとモジュール(Catalyst 6500 スイッチの IDSM、ルータの NM-CIDS、および ASA の AIP-SSM を含む)追加する方法について説明します。

注: CSM 3.2 は IPS 6.2 をサポートしません。 それは CSM 3.3 でサポートされます。

前提条件

要件

この資料は CSM および IDS デバイスがきちんとインストールされ、はたらくと仮定します。

使用するコンポーネント

この文書に記載されている情報は CSM 3.0.1 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Security Manager コンポーネントにデバイスを追加して下さい

Security Manager にデバイスを追加するとき、DNS名および IP アドレスのようなデバイスのための情報の、識別の範囲を持って来ます。 デバイスを追加した後、Security Manager デバイス目録に現われます。 コンポーネントにそれを追加する後やっと Security Manager のデバイスを管理できます。

これらのメソッドの Security Manager コンポーネントにデバイスを追加できます:

  • ネットワークからデバイスを追加して下さい。

  • ネットワークにまだない新しいデバイスを追加して下さい

  • デバイスおよび資格情報 リポジトリ(DCR)から 1つ以上のデバイスを追加して下さい。

  • コンフィギュレーション ファイルから 1つ以上のデバイスを追加して下さい。

注: この資料は方式に焦点を合わせます: ネットワークにまだない新しいデバイスを追加して下さい。

IDS センサおよびモジュールを追加するステップ

Security Manager コンポーネントに単一 の デバイスを追加するために追加新しいデバイス オプションを使用して下さい。 事前に提供のためにこのオプションを使用できます。 デバイス ハードウェアを受け取る前にシステムのデバイスを作成し、デバイスにポリシーを割り当て、コンフィギュレーション ファイルを生成できます。

デバイス ハードウェアを受け取るとき、デバイスを Security Manager によって管理されるために準備して下さい。 Security Manager のデバイスを詳細については管理するために準備をすることを参照して下さい。

このプロシージャは新しい IDS センサおよびモジュールを追加する方法を示します:

  1. ツールバーのデバイス ビュー ボタンをクリックして下さい。

    Devices ページは現われます。

  2. デバイス セレクタの Add ボタンをクリックして下さい。

    新しいデバイス-方式 ページを現われます 4 つのオプションと選択して下さい。

  3. デバイスを『Add New』 を選択 し、そして『Next』 をクリック して下さい。

    新しいデバイス-デバイス情報 ページは提示されます。

  4. 適切なフィールドでデバイス情報を入力して下さい。

    参照して下さい提供デバイス情報—詳細については新しい Devices セクション

  5. [Finish] をクリックします。

    システムはデバイス 検証タスクを行います:

    • データが不正確である場合、システムはエラーメッセージを生成し、エラーがそれに対応するレッド Error アイコンと発生するページを表示する。

    • データが正しい場合、デバイスはコンポーネントに追加され、デバイス セレクタに現われます。

デバイス情報提供します—新しいデバイス

次の手順を実行します。

  1. 新しいデバイスにデバイスの種類を選択して下さい:

    1. サポートされているデバイス ファミリーを表示するためにトップレベル デバイスの種類 フォルダを選択して下さい。

    2. サポートされているデバイス型を表示するためにデバイスファミリー フォルダを選択して下さい。

      1. インターフェイスおよびモジュール > Ciscoネットワークモジュールを Cisco IDS アクセス ルータ ネットワーク モジュールを追加するために『Cisco』 を選択 して下さい。 同様に、インターフェイスおよびモジュール > Cisco サービス モジュールを示されている AIP-SSM および IDSM モジュールを追加するために『Cisco』 を選択 して下さい。

      2. VPN > Cisco IPS 4200 シリーズ センサー Cisco IDS 4210 センサーを CSM コンポーネントに追加するために『Security』 を選択 すれば。

        /image/gif/paws/91671/csm-ids-smi1.gif

    3. デバイスの種類を選択して下さい。

      注: デバイスを追加した後、デバイスの種類を変更できません。

      そのデバイスの種類のためのシステム オブジェクト ID は SysObjectId フィールドで表示する。 最初のシステム オブジェクト ID はデフォルトで選択されます。 もう 1 つを選択できますもし必要なら。

  2. IP 型(スタティックまたはダイナミック)、ホスト名、ドメイン名、IP アドレスおよび表示名のようなデバイス ID情報を、入力して下さい。

  3. OS 型、イメージ名、ターゲット OS バージョン、コンテキストおよびオペレーショナル モードのようなデバイス オペレーティング システム情報を、入力して下さい。

  4. 選択するデバイスの種類によって決まるオート アップデートか CNS 設定 Engine フィールドは現われます、:

    • オート アップデート— PIXファイアウォールおよび ASA デバイスのために表示する。

    • CNS 設定 エンジン— Cisco IOS のために表示するか。 を追加します。

    注: このフィールドは Catalyst 6500/7600 および FWSM デバイスのために非アクティブです。

  5. 次の手順を実行します。

    • オート アップデート—サーバのリストを表示するために矢印をクリックして下さい。 サーバを選択して下さいデバイスを管理している。 サーバがリストに現われない場合、これらのステップを完了して下さい:

      1. 矢印をクリックし、そして『+』 を選択 して下さい追加しますサーバを… サーバ特性 ダイアログボックスは現われます。

      2. 必要フィールドで情報を入力して下さい。

      3. [OK] をクリックします。 新しいサーバは利用可能 なサーバのリストに追加されます。

    • CNS 設定 エンジン—スタティックか動的IP 型を選択するかどうかに左右される異なる情報は表示する、:

      static — 設定エンジンのリストを表示するために矢印をクリックして下さい。 設定 エンジンを選択して下さいデバイスを管理している。 設定 エンジンがリストに現われない場合、これらのステップを完了して下さい:

      1. 矢印をクリックし、そして『+』 を選択 して下さい追加します設定 エンジンを… 設定 エンジン Properties ダイアログボックスは現われます。

      2. 必要フィールドで情報を入力して下さい。

      3. [OK] をクリックします。 新しい設定 エンジンは利用可能 な 設定エンジンのリストに追加されます。

    • dynamic —サーバのリストを表示するために矢印をクリックして下さい。 サーバを選択して下さいデバイスを管理している。 サーバがリストに現われない場合、これらのステップを完了して下さい:

      1. 矢印をクリックし、そして『+』 を選択 して下さい追加しますサーバを… サーバ特性 ダイアログボックスは現われます。

      2. 必要フィールドで情報を入力して下さい。

      3. [OK] をクリックします。 新しいサーバは利用可能 なサーバのリストに追加されます。

  6. 次の手順を実行します。

    • Security Manager のデバイスを管理するために、Cisco Security Manager チェックボックスの管理をチェックして下さい。 これはデフォルトです。

    • 追加しているデバイスの唯一の機能がチェックを外せば Cisco Security Manager チェックボックスの管理の VPN エンドポイントとして動作することなら。

      Security Manager はコンフィギュレーションを管理しませんし、このデバイスのコンフィギュレーションをアップロードしませんでしたりダウンロードしません。

  7. 親デバイス(PIXファイアウォール、ASA、または FWSM)を Security Manager によって管理されないセキュリティ コンテキストを管理するために管理対象外の Device チェックボックスのセキュリティ コンテキストをチェックして下さい。

    複数のセキュリティファイアウォール、別名セキュリティ コンテキストに配分しました PIXファイアウォール、ASA、または FWSM をできます。 各コンテキストは自身の設定およびポリシーの独立 システム、です。 親(PIXファイアウォール、ASA、または FWSM)が Security Manager によって管理されないのに Security Manager のこれらのスタンドアロン コンテキストを管理できます。

    注: このフィールドはデバイス セレクタで選択したデバイスがファイアウォール デバイス、PIXファイアウォール、セキュリティ コンテキストをサポートする ASA、または FWSM のようなであるときだけアクティブです。

  8. IPS マネージャの Cisco IOS ルータを管理するために IPS マネージャ チェックボックスの管理をチェックして下さい。

    このフィールドはデバイス セレクタから Cisco IOS ルータを選択したときだけアクティブです。

    注: IPS 機能がある IPS マネージャは Cisco IOS ルータのだけ IPS 機能を管理できます。 詳細については、IPS ドキュメントを参照して下さい。

    IPS マネージャ チェックボックスの管理をチェックする場合、Cisco Security Manager チェックボックスの管理をまたチェックして下さい。

    選択されたデバイスが IDS である場合、このフィールドは非アクティブです。 ただし、チェックボックスは IPS マネージャが IDS センサを管理するのでチェックされます。

    選択されたデバイスが PIXファイアウォール、ASA、または FWSM なら、このフィールドは IPS マネージャがこれらのデバイスの種類を管理しないので非アクティブです。

  9. [Finish] をクリックします。

    システムはデバイス 検証タスクを行います:

    • である不正確入力したデータ、システムはエラーメッセージを生成し、エラーが発生するページを表示する。

    • 正しい入力したデータ、デバイスはコンポーネントに追加され、デバイス セレクタに現われます。

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

エラー メッセージ

IPS に CSM を追加する時、無効 な デバイス: 現われますプラットフォーム タイプ エラーメッセージのための SysObjId を推論できませんでした

解決策

このエラーメッセージを解決するためにこれらのステップを完了して下さい。

  1. VMSSysObjID.xml を見つけることができるところで、Windows の CSM デーモン サービスを停止し、次に > CSCOpx > MDC > アテーナー > 構成 > ディレクトリ 『Program Files』 を選択 して下さい

  2. CSM システムで、C:\Program Files\CSCOpx\MDC\athena\config\directory にデフォルトである最新の VMSSysObjID.xml ファイルとオリジナル VMSSysObjID.xml ファイルを置き換えて下さい

  3. CSM デーモン 管理 プログラム サービス(CRMDmgtd)を再開し、影響を受けたデバイスを再度追加するか、または検出するために再試行して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91671