Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
Cisco Security Agent の 概要
Cisco Security Agent の概要
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

Cisco Security Agent の概要

概要

Cisco Security Agent のダウンロードとインストール

Windows エージェントのインストール

Windows Cisco Security Agent の一般的なエラー コード

Windows エージェントのアンインストール

Solaris エージェントのインストール

Solaris エージェントのアンインストール

UNIX エージェント csactl ユーティリティ

Linux エージェントのインストール

Linux エージェントのアンインストール

コマンドラインからの Cisco Security Agent のアンインストール

GUI を使用した Cisco Security Agent のアンインストール

エージェントのユーザ インターフェイス

エージェントのユーザ インターフェイス制御規則

エージェントのユーザ インターフェイス画面

Status

Security Settings

Personal Firewall

アンチウイルスによる保護

File Protection

Untrusted Applications

User Query Responses

Events

Contact Information

エージェント イベントへのサウンドの割り当て

Cisco Security Agent Diagnostics

Cisco Security Agent のリセット

Cisco Security Agent のショートカット メニュー

エージェント セキュリティのディセーブル化またはイネーブル化

Cisco Security Agent の概要

概要

ここでは、エージェントについて説明し、エージェントのユーザ インターフェイスに関する情報を提供します。エージェント ソフトウェアを実行するために、エンド ユーザ側で必要な設定は一切ありません。オプションで、管理者はセキュリティ設定の管理や他の追加機能の使用が可能となる拡張 UI をエンド ユーザに対して提供できます。

ユーザ クエリー規則が設定されている場合は、ユーザはクエリー ポップアップ ボックスに応答する方法を知っている必要があります。これに関する情報および追加の拡張 UI の構成情報は、エージェントのユーザ インターフェイスに付属するヘルプに含まれます。管理者は、エンド ユーザにこのエージェントのヘルプを利用するように指示しなければならない場合があります。

この章で取り上げる事項は次のとおりです。

「Cisco Security Agent のダウンロードとインストール」

「Windows エージェントのインストール」

「Windows エージェントのアンインストール」

「Solaris エージェントのインストール」

「Solaris エージェントのアンインストール」

「UNIX エージェント csactl ユーティリティ」

「Linux エージェントのインストール」

「Linux エージェントのアンインストール」

「エージェントのユーザ インターフェイス」

「Cisco Security Agent Diagnostics」

「Cisco Security Agent のリセット」

「Cisco Security Agent のショートカット メニュー」

「エージェント セキュリティのディセーブル化またはイネーブル化」

Cisco Security Agent のダウンロードとインストール

CSA MC でエージェント キットを作成したら、エンド ユーザが Cisco Security Agent のダウンロードとインストールを行えるように、生成された URL を電子メールなどでエンド ユーザに通知します。エンド ユーザはこの URL にアクセスして、キットをダウンロードし、インストールします。エージェント キットを配布する場合は、この方法を推奨します。

また、場合によっては Management Center for Cisco Security Agent(CSA MC)の URL についてもユーザに通知します。この URL では、ユーザは入手可能なすべてのキットを確認することができます。URL は次のとおりです。

https://<CSA MC name>/csamc60/kits
 

「キット」の URL を参照するようにユーザに指示する場合、複数のエージェント キットが URL に示されているときは、必ずどのキットをダウンロードしなければならないかをユーザに指示してください。

エージェントをインストールするには、エンド ユーザは各自のシステムにおける管理者特権を持つ必要があります。

Cisco Security Agent のシステム要件については、このリリースの『 Release Notes for Management Center for Cisco Security Agents』の次の各項に定義されています。

「Agent Requirements for All Operating Systems」

「Agent Requirements for Windows Systems」

「Agent Requirements for Solaris Systems」

「Agent Requirements for Linux Systems」

Windows エージェントのインストール

Windows エージェント キットは、自己解凍方式の実行可能ファイルになっています。エージェント キットをディスクに保存し、そのファイルをダブルクリックするとインストールできます。また、ネットワーク経由で CSA MC からインストールすることもできます。

インストール プロンプトに従い、適宜 [Next] をクリックしてください。デフォルトのディレクトリ Program Files¥Cisco¥CSAgent にインストールすることも、別のディレクトリを選択することもできます。

管理者がエージェント キットで自動再起動を設定していない場合、CSA は、エージェントのインストール後にコンピュータを再起動するかどうかをユーザに確認します。32 ビット オペレーティング システムでは、システムを再起動するかどうかにかかわらず、エージェントのサービスがただちに起動され、システムの保護が一部行われます。


注意 64 ビット(x64)Windows オペレーティング システムは、エージェントのインストール後に再起動する必要があります。再起動しないと CSA による保護が行われないため、システムが不安定になる可能性があります。

エージェントのインストール後に 32 ビット システムを再起動しなかった場合、次の機能をすぐには利用できません。これらの機能は、次回にシステムを再起動した時に有効になります。

ネットワーク シールド規則は、システムが再起動されるまで適用されません。

ネットワーク アクセス制御規則は新しいソケット接続だけに適用されます。システムを再起動せずにネットワーク アクセス制御セキュリティを完全にするには、ネットワーク サーバ サービスを停止し、再起動する必要があります。

データ アクセス制御規則は Web サーバ サービスが再起動するまで適用されません。

システムを再起動するかどうかにかかわらず、エージェントは自動で透過的に CSA MC に登録されます。

メニューバーの [Systems] カテゴリから利用できる [Hosts] リンクをクリックすると、どのホストが正常に登録されたかを確認できます。この操作を行うと、ホスト リスト ビューが表示されます。ここには、登録されたホスト システム名がすべて表示されます。これで、エージェントがポリシーを受信する準備が整います。

Windows エージェントと同じサーバに Web サーバをインストールする場合は、「エージェント データ フィルタの手動インストール」を参照してください。

また、エージェントと、Windows Firewall および Windows Security Center との関連については、 第 17 章「特別な CSA の相互運用性と統合のケース」 を参照してください。

Windows Cisco Security Agent の一般的なエラー コード

次に示すのは、Windows エージェントのインストールで最も頻繁に発生するエラー コードです。

2029 - OKENA_STATUS_DB_ERROR: 通常、このメッセージは、データベースがダウンまたはビジー状態であることを示します。

2030 - OKENA_STATUS_LICENSE_REACHED_LIMIT

2031 - OKENA_STATUS_REGISTRATION_NOT_ALLOWED: エージェント登録が CSA MC の登録制御によってアクティブに拒否されていることを示します。

2035 - OKENA_STATUS_INVALID_LICENSE: ライセンスが破損または失効していることを示します。

2037 - OKENA_STATUS_REGISTRATION_BACKOFF: 同じ IP アドレスを持つエージェントが、1 時間内に CSA MC に登録されたことを示します。

Windows エージェントのアンインストール

Cisco Security Agent をアンインストールするには、次の手順に従います。


ステップ 1 [Start] メニューから、[Programs] > [Cisco Security Agent] > [Uninstall Cisco Security Agent] に移動します。

ステップ 2 アンインストールが完了したら、システムを再起動します。

Solaris エージェントのインストール

ここでは、Solaris システムで Cisco Security Agent on Solaris をインストールする際に入力するコマンドと、その後に表示される出力について詳しく説明します。CSA MC からエージェント キットをダウンロードした場合は、次のようにキットを解凍してインストールしてください (ダウンロードされた tar ファイルは任意の temp ディレクトリに格納できます。ただし、opt ディレクトリに格納するとインストールに問題が生じる場合がありますので、ご注意ください)。


ステップ 1 エージェント パッケージをインストールするには、当該のシステムのスーパーユーザである必要があります。

$ su

ステップ 2 エージェント キットを解凍します (次の例では CSA-Server_6.0.2.121-setup.tar がエージェント キットの名前です)。

# tar xf CSA-Server_6.0.2.121-setup.tar

ステップ 3 エージェント パッケージをインストールします (インストール時には次のコマンドを使用します。このコマンドは、インストール時に、必要とされる OS ソフトウェアのエージェント依存関係があるかどうかシステムをチェックするためにパッケージ管理ファイルを使用することを強制します。「SUNWlibCx」ライブラリなどの必須の依存関係が存在しない場合、インストールは中止されます)。

# pkgadd -a CSCOcsa/reloc/cfg/admin -d . CSCOcsa

インストールが完了すると、次のように表示されます。

The agent installed cleanly, but has not yet been started. The command: /etc/init.d/ciscosec start will start the agent. The agent will also start automatically upon reboot. A reboot is recommended to ensure complete system protection.

ステップ 4 任意で、次のコマンドを入力してシステムを再起動します。

# shutdown -y -i6 -g0

 

エージェントのインストール後にシステムを再起動しなかった場合、次の機能をすぐには利用できません。これらの機能は、次回にシステムを再起動した時に有効になります。

ネットワーク アクセス制御規則は新しいソケット接続だけに適用されます。システムを再起動せずにネットワーク アクセス制御セキュリティを完全にするには、ネットワーク サーバ サービスを停止し、再起動する必要があります。

バッファ オーバーフロー保護は、新しいプロセスだけに適用されます。

ファイル アクセス制御規則は新しく開いたファイルだけに適用されます。

データ アクセス制御規則は Web サーバ サービスが再起動するまで適用されません。


) Solaris 10 の場合、エージェントをアップグレードした後にシステムを再起動すると、システムは再起動を 1 回実行して次のメッセージを表示した後に、再度自動的に再起動を実行します。

  • svc.startd[7]:system/csaservice : default failed: transitioned to maintenance (see 'svcs -xv for more details')
  • svc.startd[7]:system/webconsole :console failed: transitioned to maintenance (see 'svcs -xv for more details')

2 回目の再起動後は、CSA に関するメッセージは表示されず、CSA は完全に機能します。


 

ステップ 5 エージェントは、次のディレクトリにインストールされます。

/opt/CSCOcsa
 

次のような別のディレクトリに配置されるファイルもあります。
/kernel/strmod/sparcv9, usr/lib/csa, /etc/init.d and /etc/rc?.d .

システムを再起動するかどうかにかかわらず、エージェントは自動で透過的に CSA MC に登録されます。

メニューバーの [Systems] カテゴリから利用できる [Hosts] リンクをクリックすると、どのホストが正常に登録されたかを確認できます。この操作を行うと、ホスト リスト ビューが表示されます。ここには、登録されたホスト システム名がすべて表示されます。これで、エージェントがポリシーを受信する準備が整います。


) Solaris エージェントをアップグレードして、「There is already an instance of the package and you cannot install due to administrator rules」というエラー メッセージが表示された場合は、/var/sadm/install/admin/default ファイルを編集する必要があります。「instance=unique」「instance=overwrite」に変更してから、アップグレードを進めます。



) Solaris エージェントと同じサーバに Web サーバをインストールする場合は、「エージェント データ フィルタの手動インストール」を参照してください。


Solaris エージェントのアンインストール

Solaris エージェントのアンインストールは、CSA をディセーブルにする権限を持つセッションで行う必要があります。このリリースに用意されている Base - CSA service control(Solaris) 規則モジュールに含まれているエージェント サービス制御規則は、CSA をディセーブルにする権限を持つセッションについて定義しています。

デフォルトの Base - CSA service control(Solaris) 規則モジュールを実行している場合は、Command Line Login オプションを使用して直接マルチユーザ モードで起動するか、または直接シングル ユーザ モードで起動すると、CSA をアンインストールする権限が与えられます。


) Solaris 10 を実行している場合は、マルチユーザ モードで起動した後にシングル ユーザ モードに切り替えても、CSA をディセーブルにする権限は与えられません。


CSA をアンインストールするには、次の手順を実行します。


ステップ 1 Command Line Login オプションを使用して直接マルチユーザ モードで起動するか、または直接シングル ユーザ モードで起動します。

ステップ 2 root ユーザとしてログインします。

ステップ 3 プロンプトで、次のコマンドを入力します。
# pkgrm CSCOcsa

ステップ 4 マシンを再起動します。


) エージェントをディセーブルにする権限がセッションにない場合、エージェント自己保護規則を含むポリシーを実行中のエージェントはアンインストールできません。通常、管理者は、この操作をリモート管理セッションを使用して実行できます(CSA MC/VMS システムに適用されているデフォルトのポリシーが、このようなアクセスを制限するように変更されていない場合)。

付属の UNIX ポリシーを使用すると、安全な管理アプリケーションによってエージェントのサービスを停止できます。たとえば、ログイン画面のオプション メニューで Command Line Login を選択してログインした場合は、すべてのログイン アプリケーションが、安全な管理アプリケーションとして見なされます。これで、エージェントをアンインストールする pkgrm コマンドを実行できます。


 

UNIX エージェント csactl ユーティリティ

Solaris Cisco Security Agent にはユーザ インターフェイスがないため、Solaris エージェントの状態を確認して CSA MC をポーリングし、再びロギングをイネーブルにすることができるユーティリティが提供されます。これらの機能を実行するために入力するコマンドは、 csactl です。


) このユーティリティは、Linux システムでも利用できます。Linux ではエージェント UI が提供されるため、Linux での csactl ユーティリティの使用はオプションです。


次のように csactl コマンドを入力します。

# /opt/CSCOcsa/bin/csactl <command>

 

次のコマンドが利用できます。

poll
管理サーバの即時ポーリングをトリガーします。また、入手可能なソフトウェアのアップデートがあるかどうかも通知します。
resetlog
ロギングの阻止をリセットし、すべてのログ メッセージを許可します。
status
簡単なステータス情報を表示します。
また、入手可能なソフトウェアのアップデートがあるかどうかも通知します。
swupdate
エージェント ソフトウェアをアップデートします。
info <text>
これは、カスタム(情報)記述イベントを CSA MC に直接送信するためのメカニズムです。メッセージが CSA MC に届いたら、それを表示するか、管理者に通知を送信することができます。
warning <text>
これは、カスタム(警告)記述イベントを CSA MC に直接送信するためのメカニズムです。メッセージが CSA MC に届いたら、それを表示するか、管理者に通知を送信することができます。
alert <text>
これは、カスタム(アラート)記述イベントを CSA MC に直接送信するためのメカニズムです。メッセージが CSA MC に届いたら、それを表示するか、管理者に通知を送信することができます。
about
エージェント ソフトウェアのバージョン番号を表示します。

上記のコマンドは root だけが利用できます。

たとえば、CSA MC をポーリングするには、次のコマンドを入力します。

# /opt/CSCOcsa/bin/csactl poll
Poll of management center succeeded


たとえば、エージェントの状態を確認するには、次のコマンドを入力します。

# /opt/CSCOcsa/bin/csactl status
Status:
Management center: stormcenter
Registration time: 2006-11-20 15:19:16
Host id: {FG9DA858-6131-46E9-18BD-EE32BA2D0676}
Last download time: 2006-11-20 15:19:23
Last poll time: 2006-11-20 15:20:42
Software update: newer version is available
Audit mode: Off
Security level: Medium

 

たとえば、ソフトウェアのアップデートを実行するには、次のコマンドを入力します。

# /opt/CSCOcsa/bin/csactl swupdate

) ソフトウェアのアップデートを実行した後は、システムを再起動する必要があります。


たとえば、重複したメッセージがスロットルされている場合は、次のコマンドを使用してロギングを再びイネーブルにします。

# /opt/CSCOcsa/bin/csactl resetlog
Reset Log throttle sent to kernel

Linux エージェントのインストール

ここでは、Linux システムで Cisco Security Agent をインストールする際に入力するコマンドと、その後に表示される出力について詳しく説明します。CSA MC から Cisco Security Agent キットをダウンロードした場合は、次のようにキットを解凍してインストールしてください。


ステップ 1 CSA MC からダウンロードした tar ファイルを、一時ディレクトリに移動します。例を次に示します。

$ mv CSA-Server_V5.2.0.218-lin-setup-1a969c667ddb0a2d2a8da3e7959a30b2.tar /tmp

ステップ 2 このファイルを解凍します。例を次に示します。

$ cd /tmp
$ tar xvf CSA-Server_V5.2.0.218-lin-setup-1a969c667ddb0a2d2a8da3e7959a30b2.tar

ステップ 3 rpm パッケージが格納されている CSCOcsa ディレクトリに接続します。例を次に示します。

$ cd /tmp/CSCOcsa

ステップ 4 root としてスクリプト install_rpm.sh を実行します。例を次に示します。

パッケージは /opt/CSCOcsa にインストールされ、一部のファイルは /lib/modules/CSCOcsa/lib/csa/etc/init.d/etc/rc?.d などのディレクトリに格納されます。# ./install_rpm.sh

 

インストールが開始され、次のメッセージが表示されます。

If you wish to install the CSA data filters Apache 2.0, you will need to run the install script by hand:

cd /opt/CSCOcsa/app_plugins/apache

./i.csafilter install

Warnings about non-GPL modules are to be expected and can be ignored The Agent UI may have to be added to customized Gnome/KDE session files manually (gnome-session-properties for GNOME).To do this, add /opt/CSCOcsa/bin/ciscosecui to the startup programs list.

If this system is running a web server, the csa service module must be installed.Execute /opt/CSCOcsa/app_plugins/apache/i.csafilter to copy the module and modify the httpd configuration appropriately.The web server will be restarted automatically.

データ フィルタのインストールの詳細については、「エージェント データ フィルタの手動インストール」を参照してください。

ステップ 5 インストールが正常に終了すると、「 The installation has completed successfully.For Full protection to be enabled, it is recommended that the machine be rebooted. 」というメッセージが表示されます。

ステップ 6 インストールが完了したら、ホストを再起動します。


) CSAagent rpm パッケージの場所は変更できません。


管理者がエージェント キットで自動再起動を設定していない場合、CSA は、エージェントのインストール後にコンピュータを再起動するかどうかをユーザに確認します。システムを再起動するかどうかにかかわらず、エージェントのサービスがただちに起動され、システムの保護が一部行われます。

エージェントのインストール後にシステムを再起動しなかった場合、次の機能をすぐには利用できません。これらの機能は、次回にシステムを再起動した時に有効になります。

ネットワーク アクセス制御規則は新しいソケット接続だけに適用されます。システムを再起動せずにネットワーク アクセス制御セキュリティを完全にするには、ネットワーク サーバ サービスを停止し、再起動する必要があります。

バッファ オーバーフロー保護は、新しいプロセスだけに適用されます。

ファイル アクセス制御規則は新しく開いたファイルだけに適用されます。

データ アクセス制御規則は Web サーバ サービスが再起動するまで適用されません。

システムを再起動するかどうかにかかわらず、エージェントは自動で透過的に CSA MC に登録されます。

メニューバーの [Systems] カテゴリから利用できる [Hosts] リンクをクリックすると、どのホストが正常に登録されたかを確認できます。この操作を行うと、ホスト リスト ビューが表示されます。ここには、登録されたホスト システム名がすべて表示されます。これで、エージェントがポリシーを受信する準備が整います。


) Linux エージェント UI:gnome デスクトップ環境では、ユーザが gnome デスクトップ セッションを開始するたびに、エージェント UI を自動起動させるためのデフォルト セッション設定ファイルだけが、インストール スクリプトによって変更されます。ただし、すでにユーザが独自のセッション ファイル( ~/.gnome2/session )を持っている場合、このデフォルト セッション ファイル(/usr/share/gnome/default.session)は使用されません。このため、エージェント UI はユーザのログイン時に自動起動しません。このような場合にエージェント UI を自動起動するには、エージェント UI (/opt/CSCOcsa/bin/ciscosecui)を手動で(「gnome-session-properties」ユーティリティを使用して)追加する必要があります。



注意 Linux システムでは、カーネル バージョンをアップグレードする場合、またはエージェントがインストールされた初期バージョンとは異なるカーネル バージョンを起動する場合は、エージェントのアンインストールと再インストールが必要です。

Linux エージェントのアンインストール

Cisco Security Agent をアンインストールできるのは「root」ユーザだけです。Cisco Security Agent をアンインストールするには、コマンドラインまたは GUI インターフェイスを使用します。


注意 エージェントがエージェント サービス制御規則を含むポリシーを実行している場合は、この規則をディセーブルにしなければエージェントをアンインストールできません。通常、管理者は、この操作をリモート管理セッションを使用して実行できます(CSA MC/VMS システムに適用されているデフォルトのポリシーが、このようなアクセスを制限するように変更されていない場合)。この規則タイプの詳細については、「エージェント サービス制御」を参照してください。

シングル ユーザ モードを使用してログインしている場合は、ポリシーにかかわらず Linux エージェントをアンインストールできます。

コマンドラインからの Cisco Security Agent のアンインストール


ステップ 1 コンピュータに root ユーザとしてログインします。

ステップ 2 ターミナル ウィンドウを開きます。

ステップ 3 次のように、/opt/CSCOcsa/bin ディレクトリに移動します。

# cd /opt/CSCOcsa/bin

ステップ 4 CSA をアンインストールするには、アンインストール スクリプトを実行します。アンインストールの実行を確認するためのプロンプトは表示されません。プロンプトで、次のコマンドを入力します。

# sh ./uninstall

ステップ 5 CSA のアンインストールが完了すると、次のメッセージが表示されます。

Cisco Security Agent has been uninstalled.

ステップ 6 Press Enter to exit... 」というメッセージが表示されたら、Enter キーを押します。

ステップ 7 アンインストールが完了したら、マシンを再起動します。


注意 エージェントがエージェント 自己保護規則を含むポリシーを実行している場合は、その規則をディセーブルにしなければエージェントはアンインストールできません。通常、管理者は、この操作をリモート管理セッションを使用して実行できます(CSA MC/VMS システムに適用されているデフォルトのポリシーが、このようなアクセスを制限するように変更されていない場合)。この規則タイプの詳細については、ユーザ ガイドの「Agent self protection」を参照してください。

シングル ユーザ モードを使用してログインしている場合は、ポリシーにかかわらず Linux エージェントをアンインストールできます。

GUI を使用した Cisco Security Agent のアンインストール


ステップ 1 コンピュータに root ユーザとしてログインします。

ステップ 2 Red Hat の [Applications] メニューから、[Cisco Security Agent] > [Uninstall Cisco Security Agent] に移動します。

SUSE の [Computer] メニューで [More Applications] をクリックし、[Uninstall Cisco Security Agent] をクリックします。

ステップ 3 プロンプトが表示されたら、チャレンジに応答して [Yes] を選択し、[Apply] をクリックして、Cisco Security Agent のセキュリティをディセーブルにします。

ステップ 4 チャレンジ ウィンドウにテキストを入力し、[OK] をクリックします。Cisco Security Agent がアンインストールされます。

ステップ 5 Enter キーを押してターミナル ウィンドウを終了します。

ステップ 6 アンインストールが完了したら、マシンを再起動します。


注意 エージェントがエージェント 自己保護規則を含むポリシーを実行している場合は、その規則をディセーブルにしなければエージェントはアンインストールできません。通常、管理者は、この操作をリモート管理セッションを使用して実行できます(CSA MC/VMS システムに適用されているデフォルトのポリシーが、このようなアクセスを制限するように変更されていない場合)。この規則タイプの詳細については、ユーザ ガイドの「Agent self protection」を参照してください。

シングル ユーザ モードを使用してログインしている場合は、ポリシーにかかわらず Linux エージェントをアンインストールできます。

エージェントのユーザ インターフェイス


) Cisco Security Agent のユーザ インターフェイスは Solaris システムでは動作しません。Solaris エージェントには、Windows エージェントおよび Linux エージェントのユーザ インターフェイスと一部同じ機能を持つユーティリティ(csactl)があります。詳細については、「UNIX エージェント csactl ユーティリティ」を参照してください。Cisco Security Agent のユーザ インターフェイスの外観は、Windows と Linux のすべてのプラットフォームで同一です。


エージェントのユーザ インターフェイス制御規則

管理者は、エンド ユーザに提供するエージェント UI オプションを決定します。これらのオプションは、エージェント UI 制御規則によって制御されます。「エージェント UI の制御」を参照してください。使用可能なオプションは、次のとおりです。

[Allow user to reset agent UI default settings]:エージェント UI 制御規則でこのチェックボックスをオンにすると、エンド ユーザは [Start] > [Programs] > [Cisco] > [Cisco Security Agent] メニューにある製品のリセット オプションを使用できるようになります。[Reset Cisco Security Agent] オプションを選択すると、すべてのエージェント設定が元の状態に戻り、ほとんどすべてのユーザ定義の設定が消去されます。設定された Firewall または File Protection の値は消去されません。ただし、これらの機能がイネーブルになっている場合、工場出荷時のデフォルト設定であるディセーブルとなります。これらの機能に関して編集ボックスに入力された情報は、リセットで失われることはありません。

[Allow user interaction]:エージェント UI 制御規則でこのチェックボックスをオンにすると、エンド ユーザには、表示およびアクセス可能なエージェント UI(システム トレイの赤いフラグを含む)が提供されます。

[Allow user access to agent configuration and contact information]:エージェント UI 制御規則でこのチェックボックスをオンにすると、手動で MC にポーリングする機能を含む、Status、Messages、および Contact Information 機能が提供されます。さらに、User Query Responses ウィンドウも表示されます。

[Allow user to modify agent security settings]:エージェント UI 制御規則でこのチェックボックスをオンにすると、System Security および Untrusted Applications 機能が提供されます。

[Allow user to modify agent personal firewall settings]:エージェント UI 制御規則でこのチェックボックスをオンにすると、Local Firewall Settings および File Protection 機能が提供されます (このチェックボックスをオンにすると、エンド ユーザにアクセスを制限した制御が提供されます。Firewall に関するクエリーおよびその他の情報は、CSA MC イベント ログに記録されません)。

[Suppress taskbar notifications]:エージェント UI 制御規則でこのチェックボックスをオンにすると、ユーザへの CSA による通知が大幅に減少します。このオプションをオンにすると、ユーザと CSA との対話は次のように変更されます。

バルーン メッセージが表示されなくなる。

システム トレイのフラグ アイコンがアニメーション表示されなくなる。

タスク バー アイコンにツールチップ テキストが表示されなくなる。

セキュリティ イベントを示すサウンドが鳴らなくなる (Windows プラットフォームのみ)。


) ユーザは、タスクバー通知を抑制することもできます。タスクバー通知を抑制する場合は、エージェントのショートカット メニューで、[Suppress Taskbar Notifications] を選択すると、この機能をオンまたはオフにするコントロールが表示されるようになります。ユーザがこの設定を変更した後に、管理者がこの規則の [Suppress taskbar notifications] チェックボックスを変更しても、この管理者の操作はユーザに対して影響を与えません。


エージェントのユーザ インターフェイス画面

ユーザはシステム トレイのエージェント アイコンをダブルクリックして、エージェントのユーザ インターフェイスを開くことができます。各自のデスクトップにユーザ インターフェイスが表示されます。エージェント UI で利用可能なオプションは、当該エージェントを規制するエージェント UI 制御規則で選択される機能によって異なります。ここで、すべての使用可能なエージェント機能について説明します。

Status

[Status] 画面には Cisco Security Agent に関するユーザの基本情報が表示され、ソフトウェアのアップデート情報も示されます。

図 A-1 エージェントの [Status] 画面

 

[Host name]:エージェントがインストールされたマシンのホスト名。

[Management Center]:エージェントが登録されている CSA MC サーバの名前。このサーバからエージェントはポリシーを受け取ります。

通常、Management Center for Cisco Security Agent が「reachable」状態の場合、エージェントはその MC にイベントを送信したり、MC からソフトウェアおよびポリシーのアップデートを受信できます。MC 到達可能状態については、エージェント インターフェイスの [Status] ペインの [Management Center] フィールドに表示されます。

MC 到達可能状態の識別は、次のように行われます。初期状態では、リモート エージェントは MC に「not reachable」の状態です。CSA は、エージェント マシンのルーティング テーブルが変更されるたびに、MC 到達可能状態について再評価します。ルーティング テーブルが変更されると、CSA はポーリングを試行します。ポーリングに成功した場合、MC は「reachable」となり、ポーリングに失敗した場合、MC は「not reachable」となります。

MC 到達可能状態は、エージェントから MC に「ping 可能」であるかどうかを示すものではありません。到達可能状態は、ルーティング テーブルまたは IP アドレスの変更により、ポーリングが新たに強制実行された結果として変化します。

[Registration date]:エージェントが CSA MC に登録された日付と時刻。

[Last poll time]:エージェントが CSA MC へのポーリングに最後に成功した時刻。

[Last download time]:エージェントが CSA MC から最後にデータをダウンロードした日付と時刻。

[Software update]:エージェントが利用できるソフトウェア バージョンのアップデートがあるかどうかをユーザに通知します。

ユーザが Cisco Trust Agent をすでにインストールしていて、Network Admission Control を使用している場合は、エージェントに対する Network Admission Control のポスチャ結果が UI に表示されます。たとえば、UI に Healthy、Quarantine、Infected などのステータスが表示される場合があります。

ソフトウェア アップデートのインストール

エージェントのソフトウェアがアップデートされることがあります。管理者は、指定したエージェントに適切なソフトウェア アップデートをネットワーク経由で配布されるように、中央サーバを設定します。エージェントのソフトウェア アップデートが利用可能な場合、エージェントは次回のポーリング時にそのアップデートを受信します。管理者が、アップデートのインストール前にユーザにプロンプトが表示されるよう設定しておくと、アップデートが利用可能になった時にユーザに通知されます。ユーザは、この時点でアップデートを開始できますが、アップデートを延期することもできます。

Windows エージェントでは、通常はアップデートの実行後 5 分以内にシステムを再起動する必要があります。この再起動は停止できません。開いている文書は、この 5 分以内に保存する必要があります。

Linux エージェントでは、アップデート後にシステム 再起動が必要な場合、5 分後にシステムが再起動されることを知らせるブロードキャスト メッセージが、ユーザに表示されます。

CSA MC の設定の詳細については、「検索条件に一致するホストのグループの変更」を参照してください。


) アップデートを確認してインストールするには、Solaris システムの csactl ユーティリティ(UNIX エージェント csactl ユーティリティ を参照)を利用します。


新しい設定のポーリング

[Poll] ボタンをクリックすると、ポーリングをトリガーするために設定された間隔を待つことなく、エージェントは強制的に管理サーバをポーリングします。このようにして、エージェントは規則の変更をただちに受信します。新しい規則を導入およびテストする場合、管理者はこの高速ポーリングをユーザに依頼することがあります。

Security Settings

[Security Settings] 画面では、ユーザのエージェントのセキュリティ レベル、ネットワーク接続の設定の一部、およびソフトウェアのローカル インストールまたはアンインストール後の動作について管理できます。

図 A-2 エージェントの [Security Settings] 画面

Security Level

[Low]、[Medium]、および [High] の各セキュリティ レベルにより、ユーザは、管理用に定義されたセキュリティ ポリシーを選択できます。各設定は、中央管理センターで設定された指定のシステム状態にマッピングします。管理者がエージェント用にセキュリティ状態のレベルを定義していない場合は、各セキュリティ レベルの間でスライドバーを動かしても、セキュリティは変更されません。

管理者が設定レベルを定義する例を、次に示します。

[High] セキュリティ設定では、既知の攻撃および潜在的な攻撃動作の両方を広い範囲でエージェントは検出できます。セキュリティ設定を [High] にすると、これらの攻撃が検出されたときに、クエリー ユーザ ポップアップ ボックスを介してそれらを許可するオプション(低い設定で利用できる可能性がある)をユーザに与えるのではなく、攻撃を自動的に拒否できます。

セキュリティ設定を [Medium] にすると、[High] 設定で検出される攻撃に類似した広い範囲の攻撃をエージェントは検出できます。ただし、このレベルでは、実行中のアクションがユーザに意図されたものであり、攻撃の一種ではないことを確認するために、より多くのクエリー ポップアップ ボックスが表示される可能性があります。

セキュリティ設定を [Low] にすると、通常のシステム動作と容易に区別できる一般的な既知の攻撃をエージェントが検出する可能性があります。ほとんどの場合、ユーザは、検出された動作を許可するかどうかについてクエリーされます。

[Off] セキュリティ設定では、すべてのエージェント セキュリティがディセーブルされます。


注意 すべてのセキュリティ レベルに対して状態を定義しているかどうかにかかわらず、どのような場合でも、スライドバーを [Off] まで動かすと、すべてのエージェント セキュリティがディセーブルされます。セキュリティがディセーブルされると、赤色の「x」がエージェント フラグ上に表示されます。


注意 CSA Antivirus を実行する Windows エージェントの場合:AntiVirus 機能に隔離されたファイルがある状態でセキュリティをオフにすると、使用するコンピュータは、隔離されたファイルのリストに含まれているファイルから保護されなくなります。

Prevent New Network Connections

[Network Lock] チェックボックスをオンにすると、エージェントは新たなネットワーク接続を許可しません。このチェックボックスをオフにすると、ネットワーク ロックはディセーブルにされます。

その代わりに、エージェントがシステムでネットワーク ロックを自動的に実行するまでのネットワーク アクセスの無活動の時間枠を 0 ~ 60 分に設定できます。この時間枠に達すると、エージェント自体が [Network Lock] チェックボックスを自動的にオンにします。再度オフにするには、このチェックボックスをオフにします。

ネットワーク ロックがシステムで実行されても、既存のネットワーク接続は切断されませんが、新たな接続(着信または発信)は許可されません。


) ネットワーク ロックをイネーブルにした後にシステムを再起動した場合、再起動後はオンになっていません (他のすべてのエージェント設定は、一時的なクエリー応答のキャッシュを除き、再起動後も変更されません)。


インストール/アンインストールの検出

Cisco Security Agent は、ネットワーク経由でダウンロードされたソフトウェアをインストールまたはアンインストールする間、特定のセキュリティ設定を一時的に停止します。インストールの続行を許可するかどうかの確認で、ユーザが [Yes] を選択すると、[Security Settings] ウィンドウに新たに [Resume] ボタンが表示されます。インストールの完了をエージェントが自動的に検出できない場合は、ユーザがこの [Resume] ボタンをクリックすると、インストールまたはアンインストールのプロセスが終了したことをエージェントに通知できます。このようにして、エージェントはプロセスが終了したことを認識し、停止中のすべてのセキュリティをただちに再開させます。ユーザが [Resume] ボタンをクリックしない場合は、一定の時間が経過した後に、エージェントが自動的に、停止中のセキュリティを再開させます。

インストール/アンインストールの完了後にシステムを再起動する必要がある場合、インストール/アンインストールの間停止されていたエージェントのすべてのセキュリティ設定は、ブート時に再開されます。ユーザが、再起動前のエージェント インストール完了時のクエリーに対して応答したかどうかは関係ありません。


) 場合によって、実行可能ファイルやその他のシステム ファイルを削除したり変更したりしようとするウイルスが、インストール プログラムまたはアンインストール プログラムとして認識される可能性があります。ソフトウェアをインストールまたはアンインストールする際、エージェントは、本当に意図的に設定を変更しようとしているのか、また、他に意図しないアクションが行われていないかをユーザに確認します。


Personal Firewall

[Personal Firewall] の設定によって、特定のアプリケーションに、特定のタイプのネットワーク接続を確立させないように制限できます。

図 A-3 エージェントの [Personal Firewall] 画面

パーソナル ファイアウォール機能によって、ユーザは、システム管理者が作成したセキュリティ ポリシーに、制限を追加できるようになります。この機能の使用によってセキュリティ ポリシーを緩和することはできません。

パーソナル ファイアウォールを使用するには、[Enable] チェックボックスをクリックします。[Local Learn Mode] がオンになっていない場合は、新たなアプリケーションがネットワーク接続を試みるたびに、ユーザは、その接続を許可するかどうかの確認を求められます。許可しないと応答した場合は、今後もそのタイプの接続は拒否されます。許可すると応答した場合は、他のセキュリティ ポリシーからも拒否されない限り、今後もそのタイプの接続は許可されます。

パーソナル ファイアウォールをイネーブルにすると、多数のクエリー ダイアログがユーザに表示されるようになります。CSA ポリシーによって拒否されるものを除き、すべてのネットワーク接続を許可することを CSA に想定させるには、[Local Learn Mode] チェックボックスをクリックします。この画面のアプリケーション リストに値が取りこまれ、それらのアプリケーションに、特定の接続の確立が許可されることを示します。つまり、[Local Learn Mode] チェックボックスは、許可してよい接続について CSA が学習するまでの間にクエリー ボックスが表示されるのを回避できるようにします。ただし、一定の時間が経過したら [Local Learn Mode] ボックスをオフにして、使用頻度の低いアプリケーションがネットワークへのアクセスを試行した場合に、クエリーが表示されるようにする必要があります。

編集ボックスのアプリケーション名の横に表示される図に基づいて、特定のアプリケーションに割り当てられた許可が表示されます。アプリケーションの横に図が表示されない場合、ネットワーク許可タイプがまだ割り当てられていません。1 つのアプリケーションに、最大 4 つの権限を割り当てることができます。各ネットワーク サービスのグラフィックの説明は、次の 「許可キー」 を参照してください。

特定のアプリケーションに割り当てられた許可をユーザが変更する場合は、編集ボックスでそのアプリケーションを選択し、Del キーを押します。[Apply] ボタンをクリックすると、削除操作がシステムで実行されます。その後、ユーザがアプリケーションを起動すると、クエリーが表示されます。アプリケーションに対する許可のリセット内容に合わせて、この確認に応答する必要があります。

Windows システムでは、パーソナル ファイアウォール ウィンドウで右クリックすると、項目を削除したり、並び順を変更したりできます。


) 電子メール アプリケーションが、オプションで使用するさまざまなネットワーク許可タイプを受け取ることができるように、何度もプロンプトが表示される可能性があります。電子メールに http リンクが含まれていることがあります。その場合、エージェントは、電子メール アプリケーションがネットワークに http アクセスすることを許可するか、または拒否するかについてユーザにプロンプトを表示します。ユーザの応答を待つ間、エージェントはその http 要求を保留にします。その結果、ユーザが許可を Yes と応答しても、この http 要求は最初の試行時に失敗します。この場合、ユーザは電子メール アプリケーションを閉じて、開き直す必要があります。そうすると、電子メール アプリケーションに対する http 許可が正常に機能するようになります。



) 監査モードで稼動しているグループにホストが属している場合、ローカルのファイアウォール設定は無視されます。


表 A-1 許可キー

記号
説明
 

アプリケーションに電子メール ネットワークが許可されているかどうかを示します。

 

アプリケーションに http ネットワークが許可されているかどうかを示します。

 

アプリケーションがクライアントとしてネットワーク接続を確立できるかどうかを示します。

 

アプリケーションがサーバとしてネットワーク接続を確立できるかどうかを示します。

アンチウイルスによる保護

[AntiVirus] 画面では、ユーザのローカル シグニチャ データベースの更新、オンデマンドのウイルス スキャンの実行、および隔離されたファイルの管理を行えます。

図 A-4 エージェントの [AntiVirus] 画面

シグニチャ データベースの更新

AV のシグニチャ更新フィールドには、ローカル シグニチャ データベースが最後に更新された時刻が示されます。 <Never> は、エージェントと一緒にインストールされたローカル シグニチャ データベースが、一度も更新されていないことを示します。

[Update now] を手動でクリックすると、シグニチャ データベースへの更新が取得されます。

Last scanned file

[Last scanned file] フィールドには、ウイルス スキャンを起動する CSA 規則によって最後にスキャンされたファイルのパスが表示されます。オンデマンド スキャンによって最後にスキャンされたファイルは、このフィールドには表示されません。

On-demand Scan

[On-demand scan] をクリックすると、AntiVirus オンデマンド スキャン ウィンドウが開きます。オンデマンド スキャンを設定するには、次の手順に従います。


ステップ 1 スキャンするディレクトリを指定します。[Add] をクリックし、ウイルス スキャンを実行するドライブまたはディレクトリを参照して、[OK] をクリックします。[Directories to be scanned] ウィンドウにパスが追加されます。スキャンする場所をすべて指定するまで、このステップを繰り返します。


) ディレクトリのスキャンは再帰的に実行されます。つまり、指定したディレクトリだけではなく、指定したディレクトリのすべてのサブディレクトリもスキャンされます。



) [Directories to be scanned] リストからディレクトリを削除するには、パスを選択して [Remove] をクリックします。


ステップ 2 スキャン速度を指定します。

[Fast]:最も高速でスキャンを実行します。CPU リソースを最も使用します。他のタスクを実行できなくなる可能性があります。

[Normal]:中程度のペースでスキャンを実行します。使用する CPU リソースも中程度です。他の操作に影響を与える可能性があります。

[Slow]:低速でスキャンを実行します。CPU リソースを最も使用しません。他の操作に与える影響は最も少なくて済みます。

ステップ 3 [Start scan] をクリックします。

[Scan progress area] に、スキャンされるディレクトリおよびファイル、スキャンしたファイル数の要約、感染が検出されたファイル、およびスキャンの経過時間が表示されます。スキャンが完了すると、ウィンドウのタイトル バーに「AntiVirus On-demand scan [complete].」と表示されます。


) 実行中にスキャンを停止するには、[Stop scan] をクリックします。スキャンを再開すると、スキャンするディレクトリ リストの最初からもう 1 度スキャンされます。


[Quarantined Files] タブ

ウイルスを含むことが検出されたファイルは、所定の位置に隔離され、[Quarantined Files] タブにリストされます。隔離されたファイルは、ホストにインストールされている CSA AntiVirus 規則によって、不活性化されます。

隔離されたファイルを削除するには、リストからファイルを選択し、[Delete file(s)] ボタンをクリックします。ファイルが誤って隔離されたと判断した場合は、そのファイルを選択し、[Restore File(s)] ボタンをクリックすると、[Restored files] タブに移すことができます。何らかの理由で、隔離されたファイルがコンピュータから削除された場合は、[Quarantined Files] のリストからも削除されます。


注意 CSA セキュリティ レベルを Off に設定すると、[Quarantined Files] のリストのファイルから、コンピュータは保護されなくなります。


注意 CSA がリセットされると、[Quarantined Files] のリストの全ファイルが削除されます。

[Restored Files] タブ

[Restored Files] タブにリストされているファイルは、1 度隔離された後に、ユーザが悪意あるファイルではないと判断し、アクセスできるように復元したものです。ファイルを復元することで、ユーザにそのファイルへのアクセス権が新たに付与されることはありません。たとえば、ファイルが隔離される前に、そのファイルへの読み取り専用アクセス権を持っていた場合は、復元された後も、そのファイルへの読み取り専用アクセス権を持ちます。

[Restored Files] のリストのファイルを隔離するには、リストからファイルを選択し、[Quarantine File(s)] をクリックします。何らかの理由で、[Quarantined Files] のリストのファイルがコンピュータから削除された場合は、[Restored Files] のリストからも削除されます。


注意 CSA がリセットされると、[Restored Files] のリストの全ファイルが削除されます。

File Protection

簡単な設定によって、システム上の指定のローカル ファイルおよびローカル ディレクトリを、特定のタイプのネットワーク アクセスから保護できます。これは、システムに個人の機密情報が格納されている場合に役立ちます。保護するファイルまたはディレクトリの名前を入力すると、そのリソースへのネットワーク アクセスが制限されます。

ファイル保護フィールドにディレクトリおよびファイルを追加するには、Windows ユーザの場合、それらを参照するか、または編集フィールドにそれらの名前を正しい構文で入力します。Linux ユーザの場合、編集フィールドに入力することによって、個々のファイルをファイル保護フィールドに追加します。

一般的に、アプリケーションがファイルを開いたりネットワーク接続を確立したりしようとすると、CSA は、そのアプリケーションによるファイルの編集またはネットワーク接続の確立を許可するか、あるいは拒否するかをユーザに確認します。また、Medium または High セキュリティ状態にある場合は、ファイル保護によって、マップされたドライブからの保護ファイルへのアクセスを拒否できます。Low セキュリティ状態にある場合は、ユーザにクエリーを表示します。ファイル保護は CSA に組み込まれており、セキュリティ ポリシーでは定義できません。


) File Protection ウィンドウにファイル名およびディレクトリ名を追加するには、特定の構文を使用する必要があります。この構文については、Cisco Security Agent のオンライン ヘルプを参照してください。


図 A-5 File Protection

保護するディレクトリの選択

Windows ユーザは、ディレクトリの参照によって、保護するディレクトリを選択することができます。


ステップ 1 [Enable] チェックボックスを選択します。これによって、ファイル保護が有効になります。

ステップ 2 [Browse] をクリックします。

ステップ 3 保護するディレクトリを選択し、[Add] をクリックすると、そのディレクトリが編集フィールドに表示されます。

ステップ 4 (省略可能)必要な構文を使用して、編集フィールドに表示されているパスを編集します。このとき、ディレクトリ パスを抽象化することができます。

ステップ 5 [Add] をクリックします。これで、編集フィールドの情報が [File Protection] ペインに追加され、すべてのネットワーク アクセスから保護されるようになります。

ステップ 6 [Apply] をクリックします。

ステップ 7 [File Protection] ペインへのファイルおよびフォルダの追加が完了したら、[OK] をクリックします。

保護するファイルおよびディレクトリの編集

Linux および Windows ユーザは、保護するディレクトリまたはファイルのパスを入力できます。


ステップ 1 [Enable] チェックボックスを選択します。これによって、ファイル保護が有効になります。

ステップ 2 編集フィールドに、保護するファイルまたはフォルダの名前を入力します。必ず正しい構文を使用してください。

ステップ 3 [Add] をクリックします。これで、[File Protection] ペインにファイルまたはディレクトリが追加され、ネットワーク アプリケーションによるアクセスから保護されるようになります。

ステップ 4 [Apply] をクリックします。

ステップ 5 [File Protection] ペインへのファイルおよびフォルダの追加が完了したら、[OK] をクリックします。

ファイルおよびディレクトリのファイル保護の解除(Windows)


ステップ 1 [File Protection] ペインでファイル名またはディレクトリ名を右クリックします。

ステップ 2 [Remove] を選択します。

ステップ 3 [Apply] をクリックします。

ステップ 4 [File Protection] ウィンドウからのファイルまたはフォルダの削除が完了したら、[OK] をクリックします。

ファイルおよびディレクトリのファイル保護の解除(Linux)


ステップ 1 [File Protection] ウィンドウでファイル名またはディレクトリ名を選択します。

ステップ 2 [Delete] をクリックします。

ステップ 3 [Apply] をクリックします。

ステップ 4 [File Protection] ウィンドウからのファイルまたはフォルダの削除が完了したら、[OK] をクリックします。

ファイル保護のディセーブル化

ファイル保護をディセーブルにするには、[File Protection] ウィンドウの [Enable] チェックボックスをオフにします。

[File Protection] ペインの内容は、ファイル保護を再び有効にするときのために保存されます。

Untrusted Applications

Cisco Security Agent は、アプリケーションであったり、スクリプトやマクロなどのプログラム的な内容を含んでいたりするダウンロードされたファイルについて記録できます。システム管理者によるエージェントの設定内容によっては、このようなファイルは信頼できないものと見なされ、[Untrusted Applications] 編集ボックスにファイル名が表示されます。信頼できないものとしてラベルされた場合にどう扱うかは、システム管理者が定義します。一般的には、この編集ボックスにリストされてもファイルは引き続き操作できますが、信頼できるファイルよりも多くの制限を受けます。たとえば、信頼できないアプリケーションは、ウイルスの典型的な攻撃対象であるシステム実行可能ファイルまたはレジストリ キーへの書き込みを実行できません。


) ファイル拡張子に関するデフォルトの Windows の動作では、.txt ファイルは実行可能ファイルと見なされないため、信頼できないファイルとしてマークされません。


図 A-6 エージェントの [Untrusted Applications] 画面

Windows エージェントでは、[Untrusted Applications] ウィンドウで、信頼できないアプリケーションのリストからファイルまたはプログラムを削除するには、編集ボックスで選択したエントリを右クリックし、[Mark As Trusted] を選択します。これにより、信頼できないもののリストからアプリケーションが削除され、信頼できるものになります。

Linux エージェントでは、[Untrusted Applications] ウィンドウで、信頼できないアプリケーションのリストからファイルまたはプログラムを削除するには、編集ボックスでエントリを選択し、Del キーを押します。[Apply] ボタンをクリックすると、削除操作がシステムで実行されます。

User Query Responses

この画面では、ユーザ クエリーに対する応答を管理できます。

図 A-7 エージェントの [User Query Responses] 画面

ポップアップ クエリー ボックスへの応答

管理センターの管理者は、プロセスがシステム上のリソースにアクセスしようとした時に、そのアクションを許可するか、拒否するか、またはプロセスを終了させるかについてユーザにプロンプトを表示する規則を作成できます。この場合、該当する規則がトリガーされると、ポップアップ ボックスが表示され、次に示す選択可能な複数のオプション ボタンのうちいずれかを選択し、[Apply] をクリックするようにユーザに促します。

[Yes]:該当リソースへのアプリケーション アクセスを許可します。

[No]:該当リソースへのアプリケーション アクセスを拒否します。

[No, Terminate this application]:当該リソースへのアプリケーション アクセスを拒否し、さらにアプリケーション プロセスの終了を試行します。該当アプリケーションの名前が終了オプションとともに表示されます

[Default Action]:クエリーに対して 5 分以内にユーザが応答しなかった場合には、管理者が定義したデフォルトのアクションが自動的に実行されます。

[Don't ask again]:ユーザ応答を記憶できるように、管理者はオプションで、[Don't ask again] チェックボックスをクエリーに表示できます。ユーザがクエリーに応答する際にこのチェックボックスをオンにしておくと、そのシステムで同じクエリーがトリガーされた場合には、記憶済みの応答が自動的に実行されます。クエリーがユーザに再び表示されることはありません。

[Query challenge]:セキュリティを強化するため、管理者はオプションで、クエリー ポップアップ ボックスでクエリー チャレンジを実行できます。これによって、クエリーに応答しているのが、ローカル ユーザであり、悪意のあるリモート ユーザまたはプログラムではないことを確認できます。チャレンジを渡すには、ユーザは、ポップアップ ボックスにグラフィック表示されている情報を入力するだけです。

[Justification dialog]: ポップアップ ダイアログボックスに理由を文章で入力するよう、ローカル ユーザに求めることもできます。この理由テキストは、MC 上のイベント ログ メッセージ内に現れます。

ユーザ クエリーの設定方法に関する包括的な説明については、「クエリー設定」を参照してください。

クエリー応答の記憶とキャッシュ

ユーザがクエリーされた時に、エージェントはその応答を永続的または一時的に記憶することができます。これによって、同じクエリーが再度トリガーされた場合に、以前の応答に基づいてアクションが許可、拒否、または終了されます。ポップアップ クエリー ボックスは、二度と再表示されないか、または一定期間再表示されなくなります。ユーザの応答が必要なクエリー数を減らすためには、一般的に、クエリー応答を永続的に記憶することが有益です。

たとえば、アプリケーションにネットワーク通信を許可するかどうかをクエリーされた場合に [Yes] オプション ボタンをオンにし、[Don't ask me again] チェックボックスをクリックし、[Apply] をクリックすると、この Yes の応答は、永続的に記憶され、当ウィンドウの編集フィールドに表示されます。ただし、setup.exe によるシステムへのソフトウェアのインストールを許可するかどうかをクエリーされ、[Yes] オプション ボタンをクリックした場合、[Don't ask me again] チェックボックスは表示されないか、または表示されていても選択できません。この応答は一時的に記憶されますが編集フィールドには表示されません。クエリー応答を永続的に記憶するかどうかを制御するのは、[Don't ask me again] チェックボックスです。管理者は、[Don't ask again] を選択するオプションをユーザに与えるかどうかを決定します。


) 永続的な応答は、再起動後も記憶されたままになります。一時的にキャッシュされた応答は、再起動後に失われます。



) クエリー応答は、応答したユーザに関係付けられます。マルチユーザ マシンでは、複数のユーザが同じ質問をされる場合があります。



) Windows エージェントの場合、編集フィールド内で右クリックし、多数のソート オプションのうちいずれかを選択することによって、編集フィールド内のユーザ クエリー応答をソートできます。


クエリーに対するユーザ応答の「元に戻す」または削除

応答が一時的(約 1 時間)にだけキャッシュされている場合は、ユーザは、このウィンドウの [Clear] ボタンをクリックして、一時的にキャッシュされている全応答を削除できます。

Windows エージェントの場合、エージェントの [Query User Responses] ウィンドウの編集フィールドにリストされている永続的な応答を消去するには、編集フィールドで選択した応答を右クリックして [Remove] を選択します。Linux エージェントの場合、エージェントの [User Query Responses] ウィンドウの編集フィールドにリストされている永続的な応答を消去するには、編集フィールドで応答を選択し Del キーを押します。[Apply] ボタンをクリックすると、削除操作がシステムで実行されます。

Events

[Events] ウィンドウには、Cisco Security Agent によって生成された、セキュリティ関連のメッセージ、システム エラー、およびシステム ステータス メッセージが表示されます。

図 A-8 エージェントの [Events] 画面

 

イベントを表示するには、次の手順に従います。


ステップ 1 Cisco Security Agent インターフェイスの [Tasks] エリアで [Events] をクリックします。

ステップ 2 [Event Type] リスト ボックスから、表示するイベントのセットを選択します。

[Recent Events] を選択すると、エージェント インターフェイスが最後に起動されて以降に、エージェントが受け取った重要なセキュリティ関連メッセージが表示されます。

[All Logged Security Events] を選択すると、エージェントが受け取ったすべてのセキュリティ関連メッセージが表示されます。エージェント インターフェイスの起動前に生成されたものも含まれます。

[All Logged Events & Debug Messages] を選択すると、Cisco Security Agent によって生成された、セキュリティ関連のメッセージ、システム エラー、およびシステム ステータス メッセージがすべて表示されます。エージェント インターフェイスの起動前に生成されたものも含まれます。

[View] ボタンをクリックすると、表示対象として選択したイベント タイプよりも詳細な情報を含むテキスト ファイルが開きます。

[Purge] ボタンをクリックすると、[Recent Events] または [All Logged Security Events] のイベント タイプで表示されるメッセージが消去されます。[All Logged Events & Debug Messages] イベント タイプで表示されるメッセージは、消去できません。

Contact Information

このウィンドウで、ユーザは名前、電話番号、住所、および電子メール アドレスを含む連絡先情報を管理者に提供します。この情報を入力するようにシステム管理者から要求された場合は、このウィンドウに入力して [Apply] ボタンをクリックします。

CSA MC がこの連絡先データを受け取ると、管理者は、エージェントから問題があることを通知された場合に、即座にそのユーザの居場所を把握できるようになります。

図 A-9 エージェントの [Contact Information] 画面

エージェント イベントへのサウンドの割り当て

Windows システムでは、さまざまなエージェント イベントに異なるサウンドを割り当てることができます。Windows オペレーティング システムの [Start] > [Settings] > [Control Panel] ウィンドウからアクセスできる [Sounds and Multimedia Properties] ウィンドウを使用して、特定のサウンドを Cisco Security Agent のイベントに割り当てることができます。[Sounds and Audio Devices Properties] ウィンドウで、[Sounds] タブの [Sound Events] のリストをスクロールして、Cisco Security Agent、およびサウンドを割り当て可能なイベントのリストを見つけます。

たとえば、規則がトリガーされたことによりシステム トレイ内のフラグが動き始めたときに、サウンドを発生するようにシステムを設定できます。また、クエリー ユーザ ポップアップ ウィンドウが表示されたときにサウンドを発生し、さらにそのクエリーに対する応答のカウントダウンが 1 分を切ったときには別の音を発生するようにできます。このようなサウンドを再生するには、サウンド カードをインストールしておく必要があります。

Cisco Security Agent Diagnostics

この機能によって、エージェントは、エージェント自身およびエージェントが実行されるシステムに関する、自己記述的な診断情報を収集できます。一般的に、ユーザがこの機能を使用する必要があるのは、管理者からの指示があった場合だけです。このデータの収集には、時間がかかる場合があります。Cisco Security Agent Diagnostics は、Windows、Solaris、および Linux プラットフォームで使用できます。

Windows システムでは、[Start] > [Programs] > [Cisco] > [Cisco Security Agent] > [Cisco Security Agent Diagnostics] の順に進むと、エージェントの診断情報を収集できます。収集が完了すると、ユーザのシステム一時ディレクトリに「csa-diagnostics.zip」ファイルが作成されます。

Red Hat Linux システムでは、デスクトップの [Application] メニューから、[Cisco Security Agent] > [Cisco Security Agent Diagnostics] の順に進むと、エージェントの診断情報を収集できます。この結果、/tmp ディレクトリに csa-diagnostic.gz ファイルが作成されます。

SUSE Linux システムでは、[Application Browser] ウィンドウを開き、[Cisco Security Agent Diagnostics] を選択すると、エージェントの診断情報を収集できます。この結果、/tmp ディレクトリに csa-diagnostic.gz ファイルが作成されます。

Solaris システムでは、/opt/CSCOcsa/bin ディレクトリから ./diag シェル スクリプトを実行すると、エージェントの診断情報を収集できます。この結果、/tmp ディレクトリに csa-diagnostic.gz ファイルが作成されます。


) 同じデータを、CSA MC からリモートで収集することもできます。何らかの理由でリモート診断が機能しない場合にだけ、ユーザに手動でデータを収集するように要求してください。


Cisco Security Agent のリセット

[Reset Cisco Security Agent] オプションを選択すると、すべてのエージェント設定が元の状態に戻り、ほとんどすべてのユーザ定義の設定が消去されます。設定された Firewall または File Protection の値は消去されません。ただし、Firewall または File Protection の設定がイネーブルになっている場合は、リセット後、工場出荷時のデフォルト設定であるディセーブルとなります。これらの機能に関して編集ボックスに入力された情報は、失われることはありません。

Windows システムでは、この設定は、エージェントがインストールされているシステムの [Start] > [Programs] > [Cisco] > [Cisco Security Agent] メニューから使用できます。Linux システムでは、この設定は、エージェントがインストールされているシステムの [Red Hat Application Menu] > [Cisco Security Agent] メニューから使用できます。

Cisco Security Agent のショートカット メニュー

エージェントのショートカット メニューを表示するには、システム トレイの CSA アイコンを右クリックします。メニュー項目およびその機能を次に示します。

メニュー項目
説明
Open Agent Panel

Cisco Security Agent のユーザ インターフェイスを起動します。CSA アイコンをダブルクリックして起動することもできます。

Suppress Taskbar Notifications

このメニュー項目を選択すると、CSA との対話が次のように変更されます。

システム トレイのフラグ アイコンがアニメーション表示されなくなる。

タスク バー アイコンにツールチップ テキストが表示されなくなる。

セキュリティ イベントを示すサウンドが鳴らなくなる (Windows のみ)。

次のようなバルーン メッセージが表示されなくなる。

Security Level

セキュリティ レベルを [Off]、[Low]、[Medium]、または [High] に設定できます。これは、[Security Settings} 画面のスライド バーを使用するのと同じです。

Network Lock

ホストへの新しいネットワーク接続を防止します。これは、[Security Settings] 画面でネットワーク ロックをイネーブルにするのと同じです。

Help

(Linux のみ)

[CSA Agent Panel] のヘルプを起動します。

About

コンピュータにインストールされている CSA のバージョン番号を表示します。これは、アイコンをクリックするのと同じです。

Exit Agent Panel

Cisco Security Agent のユーザ インターフェイスを終了します。インターフェイスを終了しても、CSA は実行されたままになり、コンピュータを保護します。


) Linux システムでは、[Applications] メニューから CSA を実行しない限り、システム トレイに CSA アイコンは表示されません。[Applications] > [Cisco Security Agent] > [Cisco Security Agent] の順に進んで、Cisco Security Agent を実行してください。


エージェント セキュリティのディセーブル化またはイネーブル化

この動作を拒否するエージェント サービス制御規則またはエージェント UI 制御規則(規則の詳細は 「エージェント サービス制御」および 「エージェント UI の制御」を参照)がない場合、エージェント UI にアクセスして、メニューバーのフラグをクリックすれば、すべてのユーザが、Windows ホストまたは Linux ホストでエージェントから提供されるセキュリティを停止できます。ユーザがスライドバー(表示されている場合)を [Off] 設定に移動すると、エージェント セキュリティの実行は停止します。


) システムにエージェント UI がない(ユーザとの対話がない)場合、管理者以外のユーザはエージェント セキュリティを停止できません。


この動作を拒否するエージェント サービス制御規則がない場合は、Windows の管理者はエージェント ホスト システムのコマンド プロンプト ウィンドウから次のコマンドを実行して、エージェント サービスを中止したり、開始したりすることができます。

net stop csagent

net start csagent


) Windows Vista のデスクトップでは、標準ユーザがこれらのコマンドを実行するには、特権を「Administrator」に昇格する必要があります。


この動作を拒否するエージェント サービス制御規則がない場合は、管理者はエージェント ホスト システムのコマンド プロンプト ウィンドウから次のコマンドを実行して、UNIX(Solaris および Linux)ホストのエージェント サービスを中止したり、開始したりすることができます。

/etc/init.d/ciscosec stop

/etc/init.d/ciscosec start


注意 システム上のエージェント セキュリティを停止したり、エージェント サービスを中止したりすると、そのシステムのすべての規則がディセーブルになります。エージェント サービスを開始し、セキュリティを再開すれば、すべての規則が元どおりになります。