セキュリティ : Cisco Security Monitoring, Analysis and Response System

CS-MARS: CS-MARS へのレポート デバイスとして Cisco IPS センサーを追加する設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に Cisco Secure 侵入防御システム(IPS) デバイスおよび設定された仮想 なセンサーを Ciscoセキュリティ モニタリング、分析および応答システム(CS-MARS)にとしてレポート中のデバイスを機能するために準備する方法を説明されています。

前提条件

要件

Cisco IPS 5.x に関しては、6.x および 7.x デバイスは SSL 上の SDEE を使用して、プルをログ傷つけます。 従って、Mars はセンサーに HTTPS アクセスがなければなりません。 センサーを準備するために、センサーの HTTPサーバを有効に して下さい HTTPS アクセスを許可することを TLS を可能にし、センサーにアクセスし、イベントを引っ張ることができる 1 つを Mars の IP アドレスが許可されたホストと定義されること確かめます。 限られたホストからアクセスかネットワークのサブネットを可能にするためにセンサーが設定される場合 access-list ip_address/このアクセスをイネーブルにするためにネットマスク コマンドを使用できます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure はソフトウェア バージョン 4.2.x およびそれ以降を実行するデバイスを傷つけます

  • ソフトウェア バージョン 6.0 およびそれ以降が実行されている Cisco 4200 シリーズ IPS デバイス

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、次のセンサーにも使用できます。

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは Ciscoセキュリティ モニタリング、分析および応答システム(CS-MARS)デバイスに Cisco Secure 侵入防御システム(IPS)センサーを追加し設定する、方法の情報が表示されます。

Cisco IPS を Mars の 6.x か 7.x デバイス追加し、設定して下さい

Cisco IPS を Mars の 6.x か 7.x デバイス定義するとき、デバイスで設定される仮想 なセンサーを検出できます。 これらの仮想 なセンサーを検出するとき、これは Mars が仮想 なセンサーで報告されたイベントを分けるようにします。 それはまた望ましいレポートの正確さを改善する各々の仮想 なセンサーに監視されたネットワークのリストを調整することを可能にします。

Cisco IPS を追加し、設定するためにこれらのステップを Mars の 6.x か 7.x デバイス完了して下さい:

  1. > システム セットアップ > Security 『Admin』 を選択 し、デバイスを監視して下さい。 それから、『Add』 をクリック して下さい。

  2. デバイスの種類リストから IPS 6.x か Cisco IPS 7.x を『Cisco』 を選択 して下さい。 この場合ここに示されているように Device Name フィールドでセンサーのホスト名を入力して下さい。 IPS1 はこの例で使用されるデバイス名です。 デバイス名値は設定されたセンサー名前と同一である必要があります。

    Adding-IPS-to-CS-MARS-01.gif

    この場合報告 IP フィールドで管理上の IP アドレスを入力して下さい。 レポート IP アドレスは管理上の IP アドレスと同じアドレスです。

  3. Login フィールドでは、管理上のアカウントと関連付けられるレポート中のデバイスにアクセスするのに使用するユーザ名を入力して下さい。 この場合、Password フィールドで、規定 される ユーザ名と関連付けられる Login フィールドでパスワードを入力して下さい。 ユーザ名は cisco であり、使用されるパスワードはこの例の cisco123 です。 またセンサーで動作する Webサーバが Port フィールドで受信する TCPポート番号を入力して下さい。 デフォルト HTTPS ポートは 443 です。

    Adding-IPS-to-CS-MARS-02.gif

    HTTP だけを設定することは可能性のあるの間、Mars は HTTPS を必要とします。

  4. モニタ リソース使用リストで not chosed ことをこの場合確認して下さい。 モニタ リソース使用 オプションはこのページで書かれている間、Cisco IPS のために機能しません。

    Adding-IPS-to-CS-MARS-03.gif

  5. センサーからの IP ログを引っ張るために、プル IP ログ・リストから『Yes』 を選択 して下さい。 これは必要であれば使用することができる選択機構です。

    Adding-IPS-to-CS-MARS-04.gif

    この設定は仮想 なセンサー アラートのために生成されるそれらのログを含む全体のセンサーに適用されます。

  6. 設定を確認し、仮想 なセンサーのディスカバリを有効に するために接続を『Test』 をクリック して下さい。

    Adding-IPS-to-CS-MARS-05.gif

  7. 定義された仮想 なセンサーを検出するために検出するをクリックして下さい。

    Adding-IPS-to-CS-MARS-06.gif

    Mars は行うセンサーへの変更をに気づいていないです。 仮想 なセンサー設定への変更を行なう、Mars の仮想 なセンサー詳細をリフレッシュするためにそのセンサー設定 ページの検出するをクリックして下さい。

  8. チェックボックスを仮想 なセンサー名前の隣で選択し、各々の仮想 なセンサーのための監視されたネットワークを定義するために『Edit』 をクリック して下さい。 この場合 IPS モジュール ページはここに示されているように提示されます。

    Adding-IPS-to-CS-MARS-07.gif

  9. 攻撃 パス計算および軽減に関しては、センサーによって監察されるネットワークを規定 して下さい。 手動で ネットワークを定義するために定義をネットワーク オプション ボタン選択して下さい。 それからネットワークを定義するためにこれらのステップを完了して下さい:

    1. ネットワーク IP フィールドでネットワーク アドレスを入力して下さい。

    2. Mask フィールドで対応した ネットワークマスク値を入力して下さい。

    3. 監視されたネットワーク フィールドに特定のネットワークを移動するために『Add』 をクリック して下さい。

    4. より多くのネットワークを定義する必要がある場合前の手順を繰り返して下さい。

      Adding-IPS-to-CS-MARS-08.gif

      これは必要とされなくて利用可能 な 選択機構で、スキップすることができます。

  10. 選り抜きを順序でネットワーク オプション ボタン選択しますデバイスに接続するネットワークをクリックして下さい。 それからネットワークを選択するためにこれらのステップを完了して下さい:

    1. 選り抜きからネットワークをネットワークリスト選択して下さい。

    2. 監視されたネットワーク フィールドに特定のネットワークを移動するために『Add』 をクリック して下さい。

    3. ネットワークを『More』 を選択 する必要がある場合前の手順を繰り返して下さい。

      Adding-IPS-to-CS-MARS-09.gif

      これは必要とされなくて利用可能 な 選択機構で、スキップすることができます。

  11. ステップ 8 から各々の仮想 なセンサーのためのステップ 10 を繰り返して下さい。

  12. 変更を保存するために『SUBMIT』 をクリック して下さい。 デバイス名はセキュリティおよびモニタリング 情報リストの下で現われます。 送信する オペレーションはデータベーステーブルの変更を記録します。 しかし、それは Mars アプライアンスの作業 メモリに変更をロードしません。 アクティブ化オペレーション負荷は作業 メモリに変更を入れました。

  13. Mars がこのデバイスからのイベントを sessionize 始めることを可能にするために『Activate』 をクリック して下さい。

    Mars はこのモジュールによって生成されるイベントを sessionize、それらのイベントを定義されたインスペクションを使用して評価し、ルールを廃棄し始めます。 アクティベーションが一致条件としてデバイスのレポート IP アドレスと問い合わせることができる前に Mars にデバイスによって送達されるイベント。 アクティブ化をレポートおよび軽減デバイス参照して下さい アクティブ化操作に関する詳細については。

Mars が Cisco IPS デバイスからのイベントを引っ張ることを確認して下さい

それはよくありますデータフローを確認するためにネットワークの良性 イベントを作成するように。 Cisco IPS デバイスと Mars 間のデータフローを確認するためにこれらのステップを完了して下さい:

  1. Cisco IPS デバイスで、2000 年および 2004 年シグニチャを有効に し、警告 して下さい。 シグニチャ モニタ ICMP メッセージ(ping)。

  2. Cisco IPS デバイスが受信しているサブネットのデバイスを ping して下さい。 イベントは Mars によって生成され、引っ張られます。

  3. イベントが Mars Webインターフェイスに現われることを確認して下さい。 Cisco IPS デバイスによってクエリを行うことができます。

  4. データ・フローが確認されれば、Cisco IPS デバイスの 2000 年および 2004 のシグニチャをディセーブルにすることができます。

    テスト接続 オペレーションが Mars Webインターフェイスの Cisco IPS デバイスの設定の間に失敗しなかった場合、通信は有効に なります。 このタスクは更にアラートが正しく生成され、引っ張られることを確認することを可能にします。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 111737