Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
システム コンポーネント
システム コンポーネント
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

システム コンポーネント

概要

CSA MC コンポーネント

エージェント コンポーネント

 

システム コンポーネント

概要

 

ここでは、CSA MC とエージェント コア コンポーネントに関する情報を提供し、さまざまな CSA MC とエージェント サービスの詳細を含めて、これらのコンポーネントがどのように相互に関係するのかを説明します。

この章で取り上げる事項は次のとおりです。

「CSA MC コンポーネント」

「エージェント コンポーネント」

CSA MC コンポーネント

CSA MC アーキテクチャを、この付録に示します。エージェントはここで頻繁に言及されますが、それは CSA MC のエージェントとの関係という見地からだけであることに注意してください。エージェント ソフトウェアにはこの章で説明される独自のシステム コンポーネントがあります。セキュリティ ポリシーをエージェントに強制し、エージェントから受け取ったイベントを調整するのが CSA MC です。これらのタスクを実行するために要求されるメカニズムは CSA MC アーキテクチャの一部としてここで説明されます。

図 C-1 CSA MC コンポーネント

図の右側に示されている Web ブラウザ は、管理者が Web に基づいた CSA MC のインターフェイスに安全にアクセスできる企業システムの任意の Web ブラウザを表します。Web ブラウザと Web サーバ間の通信は SSL を通して行われるため、管理者はどの場所からでも規則設定のデータベースに安全にアクセスできます。

Web サーバ は Web ブラウザとその他すべての CSA MC システム コンポーネント間の通信手段を提供します。Web サーバはレポート情報、設定バージョンのデータ、およびイベント ロギング データを表示します。

企業全体のシステムにインストールされたエージェントが CSA MC の 設定マネージャ および グローバル イベントマネージャ とデータを交換できるのは Web サーバ を通じてです。規則セットのアップデードのためにエージェントが CSA MC にポーリングするとき、データベースから規則を取り出すのは設定マネージャであり、意図された特定のエージェントにそれらを配布します。エージェントはさらに中央 SQL サーバ データベースにこの情報を保存するグローバル イベント マネージャにイベントを送ります。

SQL サーバ データベース は、管理者によって作成された設定データ(ホスト エージェント、グループ、ファイル規則、ネットワーク規則、レジストリ規則など)およびエージェントによって提供されたシステム イベント情報の中央リポジトリです。管理者が Web ベースのインターフェイスを通じて規則とポリシーを生成するときに、システムのグループ化に関する規則と情報はこのデータベースに保存されます。管理者によってレポートが要求されたときは、 レポート生成 コンポーネントがこのデータベースに保存された規則とイベントを収集し、この情報を使用してレポートを作成します。

CSA MC と企業全体に配置されたエージェントの間を通過するすべての情報(規則設定、イベント ログなど)は暗号化され、データ交換のための安全な通信チャネルを提供します。

エージェント コンポーネント

図 C-2 はシステム コンポーネントの見地からエージェントを示し、全般のシステム機能と関連してこれらのコンポーネントが動作する場所を示しています。たとえば、図で示されているインターセプタはカーネル レベルでインストールして動作します。

図 C-2 Cisco Security Agent コンポーネント(Windows)

図の左側から、エージェントの ポリシー マネージャ は管理者によって設定された規則を CSA MC から受け取ります。これらの規則はエージェントの 規則/イベント相関エンジン に送られます。そこに規則セットがすでに存在する場合、それらの規則は最新の規則セットにアップデートまたは置換されます。

インターセプタ はその名前が示すとおり、システムで試行されたキー アクションを代行受信して、規則セットがそれを許可するか拒否するかを決定するために規則相関エンジンに対して問題のアクションをチェックします。インターセプタは受け取った情報に基づいて、アクションの実行を許可するか、それらを確実に中止します。

アクションは各規則の一部である一定の基準に基づいて中止され、結果として各インターセプタはコンポーネントが目標とした基準のセットに基づいて動作します。たとえば、 ネットワーク アプリケーション インターセプタ はネットワークとの通信をどのアプリケーションに許可するかを制御し、 ネットワーク トラフィック インターセプタ は SYN フラッド保護やポート スキャン検出などのシステム強化機能を提供します ファイル インターセプタ は特定のシステム ファイルとディレクトリにどのアプリケーションが読み取りおよび(または)書き込みできるかを制御します レジストリ インターセプタ はシステムの動作を制御し、アプリケーションが特定のレジストリ キーに書き込みすることを防ぎます。これらすべての制御は必要に応じて幅広く、または細かくすることが可能です。

インターセプタはアクションを許可または拒否しながら、システム アクションによって規則セットがトリガーされるたびにイベントを作り出します。これらのイベントは、 ローカル イベント マネージャ および グローバル イベント マネージャ にイベントを転送する規則/イベント相関エンジンに保存されます。イベントはさらにエージェント システムの NT イベント ログまたは W2K イベント ビューアに保存されます。

図 C-3 Cisco Security Agent コンポーネント(UNIX)