Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
Guard でのイベントの操作お よび監視
Guard でのイベントの操作および監視
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Guard でのイベントの操作および監視

Summary(ホーム)ページ

の診断の表示

カウンタ

イベント ログ

アクセス コントロールの設定

ユーザ認証の管理

ユーザの作成

Users リスト

パスワードの変更

許可の設定

権限レベルの割り当て

Guard でのイベントの操作および監視

ここでは、Web-Based Management(WBM)を使用して Cisco Guard でイベントを操作および監視する方法について説明します。

この章は、次の項で構成されています。

Guard Summary(ホーム)ページ

Guard の診断の表示

アクセス コントロールの設定

ゾーンの作成と管理については、「ゾーンの作成と設定」を参照してください。


) CLI を使用して実行できるのは、Guard、ネットワーク、および宛先変更の設定のみです。詳細については、『Cisco Guard User Guide』を参照してください。


Guard Summary(ホーム)ページ

Guard Summary(ホーム)ページ(図 3-1)には、現在の Guard アクティビティの要約が示されます。このページは、Guard WBM に接続すると自動的に表示されます。

Guard Summary ホーム ページには、インターフェイス(図 1-1)のさまざまな位置から次の手順で到達できます。

ナビゲーション ペインで Guard Summary を選択する。

情報領域で Home を選択する。

ゾーンのページに表示されるナビゲーション パスの Home を選択する。

図 3-1 Guard Summary(ホーム)ページ

 

Guard Summary には、次の 2 つのセクションがあります。

Guard Summary 最近 2 時間に Guard が処理したトラフィックの要約を bps 単位でグラフに示します。保護されているゾーンに Guard から送信された正当なトラフィックは、緑色で表示されます。 Guard が処理した悪意のあるトラフィックは、赤色で表示されます。

表 3-1 に、グラフの下に表示される情報の説明を示します。

 

表 3-1 Guard Summary のグラフに含まれているフィールドの説明

フィールド
説明

Min

最近 2 時間に計測されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に計測されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に計測されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

この情報は、正当なトラフィックと悪意のあるトラフィックに分けて表示されます。

Currently Protected Zones :現時点で保護されているゾーンのリスト、および各ゾーンのステータスの簡単な要約を示します。ゾーンは攻撃を受けた順に表示されます。この時点で最後に攻撃を受けているゾーンが、リストの最上部に表示されます。

表 3-2 に、Currently Protected Zones に含まれているフィールドの説明を示します。

 

表 3-2 Currently Protected Zones に含まれているフィールドの説明

フィールド
説明

Zone

ゾーンの名前。ゾーンの名前は、ゾーンのホーム ページへのリンクにもなっています。

Activation Time

ゾーン保護が有効になった日時。

Attack Start Time

ゾーンに対する攻撃が最後に検出された日時。

Legitimate Rate

Guard からゾーンに送信された正当なトラフィックの現時点でのレート(bps 単位)。

Malicious Rate

ゾーンに侵入しようとした悪意のあるトラフィックの現時点でのレート(bps 単位)。

ゾーン トラフィックの要約のサムネール

最近 30 分間のゾーン トラフィックの要約を表示するグラフ。トラフィック レートは bps 単位で表示されます。正当なトラフィックのレートは緑色で表示されます。悪意のあるトラフィックのレートは赤色で表示されます。

Guard の診断の表示

Guard では、トラブルシューティングおよびイベントの監視に役立つ診断情報が提供されます。

Guard の診断を表示するには、メイン メニューの Diagnostics を選択します。

次の診断情報を取得できます。

カウンタ

イベント ログ

カウンタ

Guard Global Current Counters レポート(図 3-2)では、Guard Summary よりも詳細な情報が提供されます。

Guard のグローバル カウンタを表示するには、メイン メニューの Diagnostics > Counters を選択します。

次のカウンタが表示されます。

Legitimate :Guard がゾーンに転送した正当なトラフィック。

Malicious :ゾーンが送信先となっていた悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard が受信して処理したパケット。受信パケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard が攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard によってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。

図 3-2 Guard のグローバル カウンタおよびレート

 

表 3-3 に、各カウンタに含まれているフィールドの説明を示します。

 

表 3-3 カウンタ レポートに含まれているカウンタのフィールドの説明

フィールド
説明

Shown in Graph

カウンタをグラフに表示するかどうかを指定します。

Packets

Guard が再有効化された後のパケットの総数です。

Bits

Guard が再有効化された後の総ビット数です。

pps

現在のトラフィック レート(パケット/秒単位)。

bps

現在のトラフィック レート(bps 単位)。

デフォルトでは、グラフには最近 2 時間の正当なトラフィックと悪意のあるトラフィックが bps 単位で表示されます。このグラフにはカウンタを追加できます。また、期間やグラフのタイプを変更することもできます。

グラフの設定を変更するには、次の手順を実行します。


ステップ 1 カウンタのチェックボックスをオンにして、グラフに表示するカウンタを追加します。

ステップ 2 グラフの対象期間をドロップダウン リストから選択します。

ステップ 3 単位のタイプをドロップダウン リストから選択します。

ステップ 4 Update Graph図 3-3 を参照)をクリックして、グラフを新しい設定でアップデートします。


 

グラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが、選択した単位で表示されます。

カウンタが持つ意味を解釈する方法の詳細については、『 Cisco Guard User Guide 』を参照してください。

イベント ログ

イベント ログ(図 3-3)には、保護されているゾーンの関連イベントと Guard の動作の関連イベントについて、監視情報とトラブルシューティング情報が表示されます。

イベント ログを表示するには、Guard のメイン メニューで Diagnostics > Event log を選択します。

図 3-3 イベント ログ

 

表 3-4 に、表示される可能性のあるイベント重大度レベルを示します。

 

表 3-4 イベントの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

イベントを重大度レベルに基づいてフィルタリングするには、重大度レベルの隣にあるチェックボックスをオンにし、 Filter Events をクリックします。


) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンの統計情報と診断」を参照してください。


アクセス コントロールの設定

アクセス コントロールとは、ネットワーク サーバにアクセスできるユーザ、およびアクセス権を持ったユーザが使用できるサービスを制御することです。アクセスをセットアップするための主要なフレームワークを提供するのは、認証ネットワーク セキュリティ サービスと許可ネットワーク セキュリティ サービスです。

認証 :システムとシステム サービスへのアクセスをユーザに許可するとき、事前にユーザを識別する方法。

許可 :ユーザがシステムへのアクセスを取得したとき、ユーザの実行できる操作を決定するプロセス。通常は、ユーザが認証され、システムの操作を開始しようとしたときに実行されます。

ユーザ認証の管理

Guard には、管理者権限を持つユーザ名があらかじめ設定されています。このユーザ名を使用して新しいユーザを作成できます。ユーザを定義すると、Guard のユーザ コミュニティをドメインに分割して、必要に応じてパスワードを割り当てることができるため、セキュリティで保護され、管理されたアクセスを確立できます。

ユーザが Guard にログインしようとしたときに Guard で使用される認証方式は、Administrator が設定できます。ローカル認証では、ローカル コンピュータに設定されているログイン パスワードが認証に使用されます。これはデフォルトの認証方式です。

ユーザの作成

Administrator 権限を持つユーザは、ローカル ユーザを設定できます。

新しいユーザを作成するには、メイン メニューの Users > Create user を選択します。

ユーザごとに、 表 3-5 のパラメータを定義します。

 

表 3-5 ユーザ パラメータの説明

パラメータ
説明

User name

ユーザの名前。

Initial password

6 ~ 24 文字(スペース使用不可)。

Type

ユーザの権限レベル。値をドロップダウン リストから選択して権限レベルを割り当てます。

新しいユーザは、Users リストページの Add をクリックして作成することもできます。

Users リスト

Guard に定義されているユーザのリストを表示するには、メイン メニューの Users > Users list を選択します。

ユーザのリストは、次の 2 つのカテゴリに分かれています。

System users :システムが定義したユーザ。システム ユーザを削除することはできません。システム ユーザは admin と riverhead です。

Users :オペレータが定義したユーザ。

ユーザを削除するには、ユーザ名の隣にあるチェックボックスをオンにし、 Delete をクリックします。

ユーザを追加するには、 Add をクリックします。

各ユーザの権限レベルが表示されます( 表 3-6 を参照)。

ユーザを再設定するには、ユーザ名をクリックし、パラメータを変更します。

パスワードの変更

パスワードを変更するには、次の手順を実行します。


ステップ 1 Guard のメイン メニューの Users > Change password を選択します。 Change
Password
ウィンドウが表示されます。

ステップ 2 既存のパスワードを Old Password ボックスに入力します。

ステップ 3 新しいパスワードを New Password ボックスに入力し、確認のためにもう一度入力して、 OK をクリックします。

ステップ 4 無効なパスワードを入力した場合、および新しいパスワードの確認入力が正しくなかった場合は、エラー メッセージが表示されます。 Go Back をクリックして手順を繰り返してください。


 

Administrator 権限を持つユーザは、Guard に定義されているすべてのユーザのパスワードを設定および変更できます。

ユーザのパスワード(現在のユーザを除く)を再設定または変更するには、次の手順を実行します。


ステップ 1 メイン メニューの Users > Users list を選択し、ユーザ名をクリックします。

ステップ 2 Config をクリックします。

ステップ 3 新しいパスワードを入力し、 OK をクリックします。


 

許可の設定

Guard のサービスにアクセスできるかどうかは、ユーザの権限レベルによって決まります。システム管理者は、ユーザが使用できるサービスを制限することができます。Guard は、ローカル ユーザ データベースにあるユーザのプロファイルをチェックして、ユーザのアクセス権を確認します。ユーザのプロファイルで許可されていた場合のみ、ユーザは要求したサービスへのアクセスが許可され、アクセス権を付与されます。

ローカル許可では、ローカル コンピュータ上に設定されているユーザ プロファイルがコマンド グループのアクセス コントロールに使用されます。許可は、すべてのコマンドについて特定の権限レベルを持つユーザが実行できるように定義されています。これはデフォルトの許可方式です。

権限レベルの割り当て

Guard には、Administrator の権限レベルがあらかじめ設定されています。
Administrator を使用して、別のユーザ タイプを定義することができます。ユーザを定義すると、Guard のユーザ コミュニティをグループに分割して、それぞれ別のアクセス権限を付与することができます。

表 3-6 に、権限レベルおよび対応する操作を示します。

 

表 3-6 ユーザの権限レベル

ユーザ グループ
コマンド グループ

Administrator(Admin

すべての操作に完全にアクセスできます。

Configuration(Config

ユーザの定義、削除、および修正に関連する操作を除いて、すべての操作に完全にアクセスできます。

Dynamic

監視と診断、検出、およびラーニングに関する操作にアクセスできます。Dynamic 権限を持つユーザは、フレックス フィルタと動的フィルタを設定することもできます(下の記述を参照)。

Show

監視操作と診断操作にアクセスできます。

フィルタの設定は、Administrator 権限または Configuration 権限を持つユーザのみが実行することをお勧めします。Configuration 未満の権限を持つユーザは、動的フィルタを追加および削除できます。

ユーザ名 admin には、Administrator 権限が付与されています。ユーザ名 riverhead には、Dynamic 権限が付与されています。Cisco Guard のユーザは、このユーザ名を使用して Guard をリモートで有効にできます。

権限レベルは、ユーザが最初に作成されたときに割り当てられます。詳細については、「ユーザの作成」を参照してください。

ユーザの権限レベルを変更するには、ユーザを Users リストからいったん削除して、もう一度追加します。