セキュリティ : Cisco IPS 4200 シリーズ センサー

IPS 5.x 以降: モニタリング イベントのさまざまな方式

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は IPS イベントを監察するためにさまざまなメソッドを提供したものです。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は IPS 5.x およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

モニタのメソッド IPS イベント

現在、センサーを監視するための 4 つのオプションがあります:

  1. Express (IME) IPS マネージャは Cisco.com でソフトウェアダウンロードから利用できます。 このアプリケーションは安全に SDEE の IPS センサーを定期講読し、一致が原因で始動させたシグニチャか問題の結果として生成されたログ/イベントを取得できます。

    HTTPS によってセンサーに直接アクセスするとき IPS デバイスマネージャ(IDM)は問い合わせられます。

    IDM モニタリングまたは IME イベントモニタリング ツールが付いているセンサーのイベント ストアを直接表示して下さい。 自体に一度 30 MB 限界が達するにセンサーのローカルイベント ストアが 30 MB 円バッファで、overwite 始まるのでイベント 長期を保存する必要がある場合 IDM および IME は無効 なソリューションです。 この制限は設定できません。

  2. 定期的にセンサーからのイベントを引っ張り、関連させるのに CS-MARS デバイスを使用して下さい。 CS-MARS はイベントを取得するためにセンサーに信頼できる接続を確立するために SDEE プロトコルを使用し、新しいイベントを数秒ごとに取得します。

    デモing に興味がある CS-MARS デバイス場合詳細についてはアカウント チーム/reseller/SE に連絡して下さい。

    Cisco IPS に関しては 5.x および 6.x デバイスは、Mars SSL 上の SDEE のログを引っ張ります。 従って、Mars はセンサーに HTTPS アクセスがなければなりません。 センサーを準備するために、IDM/IME 管理ステーションからの HTTPS トラフィックを許可して下さい Mars の IP アドレスがセンサーの許可されたホストと定義されることを確かめます。

    sensor#conf t
    	 	sensor(config)#service host
    	 	sensor(config-hos)#network-settings
    	 	sensor(config-hos-net)#access-list x.x.x.x/subnet_mask
    	 	sensor(config-hos-net)#exit
    	 	sensor(config-hos)#exit
    	 	Apply Changes?[yes]:
    	 	sensor(config)#
  3. IEV のイベントを監視して下さい。 IDS Event Viewer は Javaベース アプリケーションです 5 台までのセンサーのためのアラームを表示し、管理することを可能にする。 IDS Event Viewer を使うとに接続し、リアルタイムまたはインポートされたログファイルのアラームを表示できます。 アラームを管理するのを助けるようにフィルターおよび意見を設定できます。 また更なる分析のためのイベントデータをインポートし、エクスポートできます。 Mars のように、IEV はセンサーに信頼できる接続を確立し、イベントを数秒ごとに取得します。 IEV は IEV がインストールされているサーバでデータベースでこれらのイベントを保存します。 DB は IEV と含まれ、アプリケーションと共にインストールされています。 ダウンロードするために IEV をクリックして下さい。

    注: IEV のためのドキュメントは Help メニューによってそれをインストールした後あります。 readme はインストール情報が含まれています。

  4. 要求 snmp トラップの操作を持つためにおよび SNMP サーバにトラップを送信 するためにセンサーを設定するようにセンサーのシグニチャを設定して下さい。 それから別のマシンに syslog としてメッセージを中継で送るのにこのサーバを使用できます。

    SNMP はネットワークデバイス間の管理情報の交換を促進するアプリケ− ションレイヤプロトコルです。 SNMP はネットワークパフォーマンスを管理し、ネットワーク拡大のためのネットワーク上の問題および計画を見つけ、解決することをネットワーク管理者が可能にします。

    SNMP は簡単な要求および応答 プロトコルです。 ネットワーク管理システムの問題 要求、および管理対象装置は応答を返します。 この動作は 4 つのプロトコル オペレーションの 1 つの使用と設定されます:

    1. 得て下さい

    2. GetNext

    3. Set

    4. トラップ

    SNMP によってモニタリングのためのセンサーを設定できます。 SNMP はネットワーク管理ステーションのための標準的な方法をスイッチ、ルータおよびセンサーが含まれているデバイスの多くの型の健全性およびステータスを監視する定義します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 111432