Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
CSA Bypass 機能
CSA Bypass 機能
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

CSA Bypass 機能

概要

Administrator defined - Application Bypassing CSA アプリケーション クラス

Sample - Cisco Security Agent Bypass 規則モジュール

Cisco Security Agent のバイパスのイネーブル化

CSA Bypass 機能

概要

十分に把握し、信頼しているアプリケーションの無害な動作を、CSA がブロックし、Event Management Wizard を使用してアプリケーションを十分にイネーブルにできない場合は、すべての CSA の保護および制御からアプリケーションを免除するような規則を設定します。

CSA Bypass 機能の詳細については、次の各項を参照してください。

1. 「Administrator defined - Application Bypassing CSA アプリケーション クラス」

2. 「Sample - Cisco Security Agent Bypass 規則モジュール」

3. 「Cisco Security Agent のバイパスのイネーブル化」


警告 CSA Bypass 機能を使用するのは、最後の手段としてください。この機能を使用する前に、Event Management Wizard を使用してアプリケーションを有効にしてみてください。詳細については、「Event Management Wizard について」を参照してください。

CSA の保護および制御から免除することを選択するアプリケーションが侵害された場合は、CSA の実行中でも、ホスト システムは攻撃に対して脆弱になります。


Administrator defined - Application Bypassing CSA アプリケーション クラス

アプリケーションを Administrator defined - Application Bypassing CSA アプリケーション クラスに追加すると、「Sample - Cisco Security Agent Bypass」規則モジュール内の規則で、CSA の保護および制御からアプリケーションが免除されます。


警告 Administrator defined - Application Bypassing CSA アプリケーション クラスに追加するよう選択したアプリケーションが侵害された場合は、CSA の実行中でも、システムが攻撃に対して脆弱になります。


アプリケーション クラスの詳細については、「アプリケーション クラスについて」を参照してください。その後、 「Sample - Cisco Security Agent Bypass 規則モジュール」 に進んでください。

Sample - Cisco Security Agent Bypass 規則モジュール

Sample - Cisco Security Agent Bypass 規則モジュール内の規則では、CSA が Administrator defined - Application Bypassing CSA アプリケーション クラスのすべてのメンバーを操作できなくなります。

この規則モジュールには、次の 2 つの規則があります。

Add to Processes requiring NO Protection, All Applications, invoke Administrator defined - Applications Bypassing CSA:この規則では、Administrator defined - Application Bypassing CSA アプリケーション クラスで定義されたすべてのアプリケーションを、CSA で提供されたものを除くすべてのセキュリティから免除します。

Add to Processes requiring NO Protection, Processes requiring NO Protection, invoke All Applications:この規則は、現行プロセスの CSA バイパス許可を、そのプロセスの子へ伝搬します。


警告 CSA Bypass 機能を使用するのは、最後の手段としてください。この機能を使用する前に、Event Management Wizard を使用してアプリケーションを有効にしてみてください。詳細については、「Event Management Wizard について」を参照してください。

CSA の保護および制御から免除することを選択するアプリケーションが侵害された場合は、CSA の実行中でも、ホスト システムは攻撃に対して脆弱になります。


「Cisco Security Agent のバイパスのイネーブル化」 に進んでください。

Cisco Security Agent のバイパスのイネーブル化

アプリケーションが Cisco Security Agent のセキュリティをバイパスできるようにするには、この手順を使用します。

手順


警告 CSA Bypass 機能を広範囲に展開する前に、新しい規則の最初のパイロット プログラムを実行してください。パイロットがうまく運用され、Administrator Defined - Applications Bypass アプリケーション クラスに追加したアプリケーションでは、ホストが侵害されないことが確認されたら、最新の規則を展開します。



ステップ 1 「スタティックなアプリケーション クラスの設定」の情報を使用して、Administrator Defined - Applications Bypass アプリケーション クラスを編集し、CSA の制御から免除するアプリケーションを、[When created from one of the following executables] テキスト ボックスへ追加します。実行ファイルの場所を入力するための正しい構文については、「ディレクトリとファイル名の構文要件」を参照してください。

ステップ 2 [This application class includes] オプション ボタンのエリアで、[Only this process] オプション ボタンが選択されたままにします。[Save] をクリックします。

ステップ 3 「データの作成、保存、クローンおよび削除」の情報を使用して、Sample--Cisco Security Agent Bypass 規則モジュールのクローンを作成します。

ステップ 4 「規則モジュールの設定」の情報を使用し、クローンを作成した規則モジュールの名前を編集して、「ACTIVE - Cisco Security Agent Bypass Module」のようなわかりやすい名前になるようにします。

ステップ 5 新しい規則モジュールで、Add to Processes requiring NO Protection, All Applications, invoke Administrator defined - Applications Bypassing CSA という名前のアプリケーション制御規則を有効にします。その他の規則の設定は変更しないでください。

ステップ 6 [Save] をクリックします。

ステップ 7 「グループの設定」の情報を使用して、新しいグループを作成し、CSA BYPASS GROUP のようにわかりやすい名前を付けます。[Properties] エリアで [Polling] 機能を展開し、[Send polling hint] を有効にします。

ステップ 8 「ポリシーの設定」の情報を使用して、新しいポリシーを作成し、CSA BYPASS POLICY のようにわかりやすい名前を付けます。

ステップ 9 「ポリシーへの規則モジュールの関連付け」の情報を使用して、CSA BYPASS POLICY に「ACTIVE - Cisco Security Agent Bypass Module」を追加します。

ステップ 10 「グループへのポリシーの関連付け」の情報を使用して、CSA BYPASS GROUP に CSA BYPASS POLICY を追加します。

ステップ 11 「グループ内のホスト メンバシップの変更」の情報を使用して、新しい CSA BYPASS GROUP へ個々のホストを追加するか、またはホストのグループをコピーします。ホスト、またはホストのグループを、この新しいグループへ「移動」しないでください。移動すると、CSA Bypass 機能の有効化で、予期しない結果が生じたときに、CSA BYPASS GROUP 全体が削除されることがあります。このような場合でも、ホストは適切な保護を提供するグループに属したままになります。

警告 [Modify Host Membership] フィールドの [Bulk Transfer] オプションを使用する場合は注意してください。正しいホストがグループにコピーされたことが確認できるまで、[OK] をクリックしないでください。

ステップ 12 規則を生成します。


 

Administrator Defined - Applications Bypass アプリケーション クラスに追加したアプリケーションから発生した子プロセスの無害な動作が、まだ CSA でブロックされている場合は、手順 4 で名前変更した規則モジュールに戻って、説明したアプリケーション制御規則 Add to Processes requiring NO Protection, Processes requiring NO Protection, invoke All Applications をモジュールで有効にします。次に規則を生成し、生成された規則変更をパイロット テストし、CSA がアプリケーションを操作していないことを確認します。パイロット テストの結果が良好であれば、規則の変更を、より広い範囲に展開します。