Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
アプリケーション クラスの使用方法
アプリケーション クラスの使用方法
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

アプリケーション クラスの使用方法

概要

アプリケーション クラスについて

アプリケーション クラスのタイプ

アプリケーション クラスにより作成されたプロセス

エフェメラルなアプリケーション クラス内のメンバシップ

リスト ページからのアプリケーション クラスの管理

シェル スクリプトとアプリケーション クラス

組み込みのアプリケーション クラス

設定可能な組み込みのアプリケーション クラス

スタティックなアプリケーション クラスの設定

ダイナミックなアプリケーション クラス

規則の結果としてのクラス構築

クラスからのプロセスの削除

効果的なダイナミック アプリケーション クラス

ダイナミック アプリケーション クラスの設定

アプリケーション ビルダー規則の設定

ダイナミック アプリケーション クラスを使用した規則の設定

[Rule] ページからの新しいアプリケーション クラスの作成

アプリケーション クラスの管理

Administrator defined - Application Bypassing CSA アプリケーション クラス

アプリケーション クラスの使用方法

概要

この章では、CSA MC とともに出荷されたアプリケーション クラス、および新規のスタティックおよびダイナミックに定義されたアプリケーション クラスを作成するための手順を説明します。

ここでは、次の内容について説明します。

「アプリケーション クラスについて」

「アプリケーション クラスにより作成されたプロセス」

「エフェメラルなアプリケーション クラス内のメンバシップ」

「シェル スクリプトとアプリケーション クラス」

「組み込みのアプリケーション クラス」

「設定可能な組み込みのアプリケーション クラス」

「スタティックなアプリケーション クラスの設定」

「ダイナミックなアプリケーション クラス」

「効果的なダイナミック アプリケーション クラス」

「ダイナミック アプリケーション クラスの設定」

「アプリケーション ビルダー規則の設定」

「ダイナミック アプリケーション クラスを使用した規則の設定」

「[Rule] ページからの新しいアプリケーション クラスの作成」

「アプリケーション クラスの管理」

「Administrator defined - Application Bypassing CSA アプリケーション クラス」

アプリケーション クラスについて

アプリケーション クラスとは、固有の名前で識別される類似したアプリケーション ファイルのグループです。たとえば、このリリースに付属する Web Browser Applications アプリケーション クラスには、Internet Explorer、Firefox、および Safari などの一般に使用される Web ブラウザ アプリケーションが含まれています。

会社で使用されているアプリケーションと、各アプリケーションが望ましくないアクションを実行する機能を制限する方法を検討してください。次に、類似したアプリケーションのグループに対してアプリケーション クラスを作成します。

アクセス コントロール規則は、ディレクトリ、ファイル、ネットワーク アドレス、レジストリ キー、または COM コンポーネントなどのリソースにアクセスできるアプリケーションまたはアプリケーション クラスを指定します。アクセス コントロール規則でアプリケーション クラスを指定することにより、規則による自由および制限は、アプリケーション クラスに含まれるすべてのアプリケーションに統一的に適用されます。

アプリケーション クラスのタイプ

組み込みのアプリケーション クラスは、このリリースの CSA MC に付属しています。[Application class] リスト ページの下部で、組み込みのアプリケーション クラスを確認できます。<Network Applications> のようなカッコで囲まれた組み込みのアプリケーション クラスは、削除できません。<*Installation Applications> のようなアスタリスク付きでカッコで囲まれた組み込みのアプリケーション クラスは、規則によってダイナミックに定義されます。詳細については、「組み込みのアプリケーション クラス」および「設定可能な組み込みのアプリケーション クラス」を参照してください。

スタティック アプリケーション クラスは、指定されたアプリケーションのグループを識別します。クラス内のアプリケーションのリストは変更できますが、「オン ザ フライ」では再定義できません。詳細については、「スタティックなアプリケーション クラスの設定」を参照してください。

ダイナミック アプリケーション クラスには、規則がトリガーされたときにアプリケーションが追加されます。たとえば、Active Internet Application はこのリリースに含まれるアプリケーション クラスです。これは、次のような方法で動作する規則によって定義されています。クライアントとして動作し、TCP または UDP サービスを要求しているアプリケーションが、外部 IP アドレスに接続しようとした場合は、そのアプリケーションを Active Internet Application クラスに追加します。詳細については、「ダイナミックなアプリケーション クラス」を参照してください。

アプリケーション クラスにより作成されたプロセス

アプリケーションは、呼び出されたとき、実行中のアクションの一部として他のプロセスを生成することがよくあります。したがって、アプリケーション クラスを作成するときに、CSA MC ではアプリケーション クラスの一部として定義したオリジナルのアプリケーションにより作成されるプロセスを包含または除外するオプションが提供されます。

エフェメラルなアプリケーション クラス内のメンバシップ

システム上で実行されている場合、プロセスは設定されたアプリケーション クラスの一部です。プロセスの実行が中止すると CSA MC のアプリケーションの分類も終了します。プロセスが再開したとき、それが同じアプリケーション クラスに入るかどうかはプロセスの動作とアプリケーション クラスの定義によります。したがって、すべてのアプリケーション クラスはエフェメラルであり、システムで常に再評価され分類されます。

アプリケーション クラスの設定ページによりプロセスが一定のアプリケーション分類をどれくらい長く維持するかを制御できます。通常は時間枠を特定する必要はありません。特別な理由でそれを必要とする規則を設定している場合のみ、アプリケーション クラスにタイム リミットを設定します。たとえば、アプリケーションのために特定のプロセス開始規則を作成するとします。プロセスの分類は、システムのブートが終了するとタイムアウトするように設定できます。

リスト ページからのアプリケーション クラスの管理

[Application Class] リスト ページから、新しいアプリケーション クラスを作成し、既存のアプリケーション クラスを表示し、アプリケーション クラスの削除、クローン作成、比較を実行できます。詳細については、「データの作成、保存、クローンおよび削除」を参照してください。

シェル スクリプトとアプリケーション クラス

UNIX システムでは、次の両方の条件を満たすシェル スクリプトに関する制御をエージェントが許可します。

スクリプトはインタープリタ文字列(たとえば #!/bin/bash)から始まる。

スクリプトは、
「$foo.sh」のようにコマンドラインから直接実行される。

したがって、アプリケーション クラス「foo.sh」がある場合、上記の条件を満たすプロセスは、そのアプリケーション クラスのメンバーになります。

シェルは、これらの条件を満たさないさまざまな方法で起動される場合があることに注意してください( "$ . foo.sh" または "$ cat foo.sh | /bin/sh" など)。また、スクリプトを呼び出すときに、そのスクリプトのインタープリタ (/bin/bash -- など) に対するアプリケーション クラスがある場合、そのプロセスは /bin/bash アプリケーション クラスのメンバーになります。

ユーザがディスクに対する書き込みアクセス権を持ち、コマンドを実行できる場合、アクションを拒否するために規則でシェル スクリプトの名前を使用することは意味をなさない場合があります。たとえば、 /etc/hosts を変更する foo.sh によるアクセスを拒否しても、 /etc/hosts の保護は強化されません。ユーザが 'vi /etc/hosts' を実行できるからです。ファイルへのすべてのアクセスを拒否してから、そのファイルに対して既知の良好なスクリプトのアクセスを許可するほうが適切です。


) 一般に、perl スクリプトなどのスクリプトを使用して、エージェントが設定されたアプリケーション クラスにスクリプトを配置できるかどうかは、インタープリタがそのスクリプトを実行するか(exec を使用)読み取るだけかによります。実行する場合、エージェントはスクリプトを認識します。読み取る場合は、認識できません。



注意 選択したファイルにユーザがスクリプトをコピー(または再実装)できる場合、拒否規則は避けられます。


) Windows で、スクリプト アプリケーション クラス用に規則を記述する場合、スクリプト自体またはインタープリタのいずれかのために規則を作成できます (スクリプトはスクリプト インタープリタが処理します)。インタープリタに対して規則を記述した場合、その規則にはインタープリタによって処理されるスクリプトが含まれます。


組み込みのアプリケーション クラス

CSA MC は、いくつかの組み込みのアプリケーション クラスとともに出荷されます。これらのアプリケーション クラスは、<First Time Application Execute> のようにカッコで囲んで表示されます(図 9-1を参照してください)。一部の組み込みのクラスには、<*Installation Applications> のようにアスタリスクも付きます。アスタリスクは、組み込みのアプリケーション クラスが設定可能であることを示します。「設定可能な組み込みのアプリケーション クラス」を参照してください。[Application Class] リスト ページで、すべてのアプリケーション クラスを表示できます。

このページを表示するには、メニューバーの [Configuration] をマウスでポイントし、[Applications] > [Application Classes] に移動します。

図 9-1 組み込みのアプリケーション クラス

含まれているアプリケーション クラスの一部は、次のとおりです。

First Time Application Execute:システムでの実行が今まで確認されていないアプリケーションの最初の呼び出しが含まれます。

Network Applications:ネットワーク アプリケーションには、クライアントとして接続するか、サーバとして接続を受け入れるか、および何らかの方法でネットワークにアクセスするプロセスが含まれます。ネットワークにアクセスした後で、プロセスはネットワーク アプリケーション クラスに入ります (これには同じシステムのアプリケーションと通信するだけのアプリケーションが含まれません)。

Processes created by Network Applications:これにはネットワーク アプリケーションにより起動されたプロセスが含まれます。たとえば、1 つのネットワーク プロセスは、コードをダウンロードしようとする別のプロセスを作成することがあります。これはウイルスが伝搬する 1 つの方法です。

Processes created by Servers (TCP and UDP):これはサーバによって呼び出された TCP または UDP プロセスです(次の 2 つの項目に詳細説明されている分類に入ります)。

Server (TCP based):このアプリケーション クラスには、エフェメラルではないポートでのボックス間接続を受け入れたすべてのプロセスが含まれます。

Server (UDP based):このアプリケーション クラスには、エフェメラルではないポートでのボックス間接続を受け入れたすべてのプロセスが含まれます。

Processes Monitoring the Keyboard:長時間にわたって実行されたキーストロークを継続して監視するすべてのプロセスが含まれます。

Processes with elevated privileges:このアプリケーション クラスは UNIX 規則タイプのみで使用可能です。root 以外、たとえば ping のようにユーザ用の上位のユーザ特権を持つプロセスが含まれます。このようなプロセスを使用することは、システムへの侵入を試みる一般的な方法です。ユーザが root としてログインしている場合、この上位の特権の指定は、プロセスに適用されません。

Processes performing a Print Screen:プリント画面機能にアクセスするすべてのプロセスが含まれます。このクラスは、プリント画面機能でキャプチャされたデータを含むことにより、クリップボード データをさらに保護するために、クリップボード アクセス制御規則で利用できます。

Recently created untrusted content:これには、<Processes writing untrusted content> により新たに作成され、ただちに呼び出される実行可能ファイルが含まれます。

Remote clients:エージェントによってローカルで保護されているリソースにネットワークを介してリモート マシンがアクセスする場合、エージェントはリモート アクセス試行を「リモート アプリケーション」から来るものと見なします。問題のリソースを開くために使用された実際のアプリケーションはローカル システムでは判別できません。すべてのリモート アクセス試行は、ローカル システムによってリモート アプリケーションが呼び出したと見なされます。

したがって、他のマシンがネットワークを介してアクセスできるマシンの規則を記述している場合、<All Applications> または <Remote clients> をアプリケーション クラスとして含める必要があります。含めない場合、規則はそれらのリソースへのリモート アクセスに関して予期しない動作をします。

System Process (available only in Network Access Control rules):このアプリケーション クラスを使用すると、オペレーティング システム自体の(オペレーティング システムで実行されているアプリケーションに対して)ネットワーク アクセスを制御できます。


注意 定義するアプリケーション クラスにはいずれもシステム プロセスが含まれません。システム プロセスを規則に含める場合は、組み込みの <All applications> または <System process> クラスを選択する必要があります。

設定可能な組み込みのアプリケーション クラス

Management Center for Cisco Security Agents にも、ポリシー規則によって構築された組み込みのアプリケーション クラスが付属しています。これらのアプリケーション クラスは、[rule application class] 選択リスト ボックスで、先頭にアスタリスク(*)付きでカッコの中(図 9-1 を参照)に表示されます。つまり、これらのアプリケーション タイプの 1 つにプロセスを分類するパラメータを規定する規則モジュールと併せて、これらのアプリケーション クラスを使用する必要があります。CSA MC には、これらのクラスを定義するための事前設定されたポリシーが付属しています。必要に応じて、これらのポリシーを変更できます。

Installation Applications:ソフトウェアのインストール プロセスが含まれます。

Processes Executing Untrusted Content:これには、ダウンロードされた実行可能ファイルまたはプロセスが含まれ、ダウンロードされたコンテンツを翻訳します。

Processing requiring Kernel Only Protection:CSA のユーザ コンポーネントおよびその他のサードパーティ ソフトウェア製品との相互運用性の問題の修正を目的とします。このクラスのプロセスは、COM コンポーネント チェックおよび一部のバッファ オーバーフロー チェックを実行しません。

Processes requiring OS Stack Execution Protection:このアプリケーション クラスは、UNIX 規則タイプでのみ利用できます。これは本来の Solaris オペレーティング システムのスタック実行保護エミュレーションをイネーブルにすることを目的としています。これにより、追加のバッファ オーバーフロー保護がイネーブルとなります。

Suspected Virus Applications:このアプリケーション クラスには、特定の明示された動作によって疑わしいとダイナミックに定義されたプロセスが含まれます。このアプリケーションに分類されると、CSA MC に隔離メッセージが送信されます。

Third Party Security Applications:このアプリケーション クラスは、CSA と同じようなリソースを制御する可能性のある他のセキュリティ製品をマーク付けするのに使用されます。このアプリケーション クラスは、相互運用性とシステムの安定性を促進するための、特定の組み込み許可を提供します。

スタティックなアプリケーション クラスの設定

スタティックなアプリケーション クラスと、ダイナミックなアプリケーション クラスおよび組み込みのアプリケーション クラスとの比較については、「アプリケーション クラスについて」を参照してください。

「組み込みのアプリケーション クラス」および「効果的なダイナミック アプリケーション クラス」も参照してください。

アプリケーション クラスを作成するには、次の手順に従います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC メニューバーの [Configuration] をマウスでポイントし、[Applications] > [Application Classes] に移動します。

ステップ 3 [New] ボタンをクリックして新規のアプリケーション クラスを作成します。

ステップ 4 オペレーティング システムの管理プリファレンスを設定していない場合は、表示されるポップアップ ボックスから、Windows または UNIX 規則モジュールのいずれかを選択します。


) 一般的に、UNIX は Solaris と Linux の両方のオペレーティング システムを指します。


この操作を行うと、アプリケーション クラスの設定ビューに移動します(図 9-2 を参照)。

ステップ 5 新しいアプリケーション クラスの [Name] と [Description] を入力します。この説明は、アプリケーション クラスのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。

ステップ 6 [OS] リスト ボックスで、このアプリケーション クラスの対象となる Windows または UNIX オペレーティング システムを選択します。すべての UNIX タイプのオペレーティング システムを指定するには、<UNIX> を選択します。すべての Windows タイプのオペレーティング システムを指定するには、<Windows> を選択します。

ステップ 7 スタティック アプリケーション クラスには、[Add process to application class] で、次の操作を行います。

[when created from one of the following executables] オプション ボタンを選択します(デフォルト)。このアプリケーション クラスでグループ化するアプリケーションの実行可能なファイル名(1 行につき 1 つ)を入力します。このフィールドでのリテラル ファイル名の入力の詳細については、「ディレクトリとファイル名の構文要件」を参照してください。


) [Insert File Set] リンクをクリックして、事前設定されたファイル セット変数を実行可能な編集フィールドに入力できます。ファイル セットの詳細については、「ファイル セット」を参照してください。


ステップ 8 [Remove process from application class]:一定時間の後で失効するアプリケーション分類を設定するために、[After] のそばにあるチェックボックスをオンにし、時間枠を で入力します。これを要求する規則があるときにのみ、この機能を使います。通常はアプリケーション分類でタイムアウトを特定する必要はありません。詳細については、「エフェメラルなアプリケーション クラス内のメンバシップ」を参照してください。

UNIX アプリケーション クラス用には、追加のオプションとして、[When session association is voided] チェックボックスがあります。このチェックボックスをオンにすると、プロセスが現在の TTY セッションから分離したときに、アプリケーション分類が削除されます。たとえば、「superuser」のアプリケーション用にアプリケーション クラスが存在する場合、プロセスは superuser シェルのアプリケーション クラスを維持しないことがあります。

ステップ 9 [This application class includes]:アプリケーションは、呼び出されたとき、実行中のアクションの一部として他のプロセスを生成することがよくあります。アプリケーション クラスを作成する場合、次のオプション ボタンから 1 つを選択して、アプリケーション クラスのアプリケーションによって生成されたプロセスを含めるタイミングを決定します。

[Only this process]

[This process and all its descendents]

[Only descendents of this process]


) アプリケーション クラスを「Only descendents of this process」のために作成すると、メインのプロセス用に記述された規則に例外を作る際に便利です。たとえば、IIS がネットワーク上で動作することを許可する規則を記述できますが、IIS プロセスから派生するプロセスがネットワーク上で動作することを拒否する別の規則を作成できます。


ステップ 10 終了したら [Save] ボタンをクリックします。これで、新しいアプリケーション クラス名は、アプリケーション リスト ビューと、規則設定のためのアプリケーション選択フィールドに表示されます


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 9-2 スタティック アプリケーション クラス

ダイナミックなアプリケーション クラス

ダイナミック アプリケーション クラスは、規則によって定義される動作を実行したアプリケーションまたはプロセスから構成されます。一方、スタティック アプリケーション クラスは、実行可能ファイル名またはプロセス名のリストから構成されます。このリリースの CSA MC には、ダイナミックに定義された組み込みのアプリケーション クラスがあります。たとえば、<*Processes Executing Downloaded Content> アプリケーション クラスは、ダイナミックに定義された「組み込み」のクラスです。この組み込みのダイナミック アプリケーション クラスおよびその他の組み込みのダイナミック アプリケーション クラスへの参照を表示することにより、そのアプリケーション クラスにアプリケーションとプロセスを追加する規則を確認できます。スタティック、ダイナミック、および組み込みのアプリケーション クラスの詳細については、「アプリケーション クラスについて」を参照してください。

ダイナミック アプリケーション クラスを使用する 1 つの事例として、電子メール クライアントの規則を記述していて、企業ネットワーク全体で使用されている個々の電子メール アプリケーションについてすべては把握していない場合が考えられます。このようなケースで、ダイナミック アプリケーション クラスを使用できます。SMTP(電子メールのアプリケーションが何であるかを定義するために決定した基準は何でも使用できます)のクライアントとして動作するように見えるプロセスは、ダイナミックな電子メール アプリケーション クラスに入り、危険な電子メール メッセージを隔離する規則で使用されます。


) ダイナミックに定義されたアプリケーション クラスは、スタティックなアプリケーション クラスが使用できる規則であれば、どの規則でも使用できます。


規則の結果としてのクラス構築

トリガーする規則の結果としてダイナミック アプリケーション クラスを構築することもできます。この方法により、たとえば、特定のユーザ応答(yes、no、terminate)の結果としてプロセスをアプリケーション クラスに追加するクエリー ユーザ規則を設定できます。たとえば、信頼できないコンテンツがデスクトップに届き、それを許可しないためにクエリー ボックスで [Terminate] ボタンをクリックしたときに、クエリーされるエンド ユーザに基づいて「Suspected virus」アプリケーション クラスを構築できます。ただし、ユーザが [Yes] をクリックしてそれを許可した場合、プロセスは Suspected virus アプリケーション クラスに追加されません。

クラスからのプロセスの削除

ダイナミックなプロセスの追加に関連して、ダイナミックな「削除プロセス」機能を使用することもできます。たとえば、Web サーバがプロセスを生成する場合は、プロセスを「suspicious web server descendents」クラスにダイナミックに追加することができます。次に、その生成されたプロセスが通常アクセスされるディレクトリからスクリプトを読み取ろうとした場合、これは危険なプロセスではないと判断して、読み取りの試行後にプロセスをそのクラスから削除できます。ただし、生成されたプロセスがアクセスできないディレクトリからスクリプトを読み取ろうとした場合、プロセスは suspicious web server descendents クラスに残される必要があります。

効果的なダイナミック アプリケーション クラス

効果的なダイナミック アプリケーション クラスは、アプリケーション ビルダー規則および強制規則と連係します。ダイナミック アプリケーション クラスを効果的に使用するには、次のオブジェクトを設定する必要があります。


ステップ 1 「ダイナミック アプリケーション クラスの設定」に従って、新しいダイナミック アプリケーション クラスを作成します。ダイナミック アプリケーション クラスには、アプリケーション ビルダー規則で定義されたプロセスが追加されます。

ステップ 2 アプリケーション ビルダー規則を設定して、ダイナミック アプリケーション クラスに追加するプロセスを特定します。詳細については、「アプリケーション ビルダー規則の設定」を参照してください。

ステップ 3 その他の規則を設定して、ダイナミック アプリケーション クラスに追加されるすべてのアプリケーションのアクションを制御します。「ダイナミック アプリケーション クラスを使用した規則の設定」を参照してください。

ダイナミック アプリケーション クラスの設定

この手順では、ダイナミック アプリケーション クラスを作成する方法を説明します。ダイナミック クラスを効果的にするには、管理者は、 「アプリケーション ビルダー規則の設定」 および 「ダイナミック アプリケーション クラスを使用した規則の設定」 も実行する必要があります。この手順は、効果的なダイナミック アプリケーション クラスを作成する方法を説明する 3 つの手順の中で最初の手順です。

ダイナミック アプリケーション クラスと規則の相互関係をわかりやすく説明するため、これらの 3 つの手順は一般的な例を想定して記述されていますが、必要に応じて、この例の目的を達成するために特有の選択が行われています。

例:危険な電子メール メッセージを隔離する規則を作成しますが、企業ネットワーク全体で使用されているさまざまな電子メール アプリケーションすべてを把握しているわけではありません。

ダイナミックなアプリケーション クラスを作成するには、次の手順に従います。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC メニューバーの [Configuration] をマウスでポイントし、[Applications] > [Application Classes] に移動します。

ステップ 3 [New] ボタンをクリックして新規のアプリケーション クラスを作成します。

ステップ 4 オペレーティング システムの管理プリファレンスを設定していない場合は、表示されるポップアップ ボックスから、Windows または UNIX 規則モジュールのいずれかを選択します。注:一般的に、UNIX は Solaris と Linux の両方のオペレーティング システムを指します。

ステップ 5 新しいアプリケーション クラスの [Name] と [Description] を入力します。この説明は、アプリケーション クラスのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。この電子メール クライアントの例では、ダイナミック アプリケーション クラスに Email_clients_dynamic という名前を付けます。

ステップ 6 [OS] リスト ボックスで、このアプリケーション クラスの対象となる Windows または UNIX オペレーティング システムを選択します。すべての UNIX タイプのオペレーティング システムを指定するには、<UNIX> を選択します。すべての Windows タイプのオペレーティング システムを指定するには、<Windows> を選択します。

ステップ 7 [Add process to application class] エリアで、ダイナミック アプリケーション クラスに対して、[when dynamically defined by policy rules] オプション ボタンを選択します(編集フィールドにプロセス名を入力しないでください)。

ステップ 8 [Remove process from application class]:一定時間の後で失効するアプリケーション分類を設定するために、[After] のそばにあるチェックボックスをオンにし、時間枠を で入力します。これを要求する規則があるときにのみ、この機能を使います。通常はアプリケーション分類でタイムアウトを特定する必要はありません。詳細については、「エフェメラルなアプリケーション クラス内のメンバシップ」を参照してください。

UNIX アプリケーション クラス用には、追加のオプションとして、[When session association is voided] チェックボックスがあります。このチェックボックスをオンにすると、プロセスが現在の TTY セッションから分離したときに、アプリケーション分類が削除されます。たとえば、「superuser」のアプリケーション用にアプリケーション クラスが存在する場合、プロセスは superuser シェルのアプリケーション クラスを維持しないことがあります。

ステップ 9 アプリケーションは、呼び出されたとき、実行中のアクションの一部として他のプロセスを生成することがよくあります。ダイナミック アプリケーション クラスを作成する場合、ダイナミック アプリケーション クラス内のアプリケーションによって生成されたプロセスが含められるタイミングを決定するために、(スタティック アプリケーション クラスを作成した場合とまったく同様に)次のいずれかのオプション ボタンを選択できます。

電子メール クライアントの例では、デフォルトの [Only this process] が選択されたままにします。

[Only this process]

[This process and all its descendents]

[Only descendents of this process]

ステップ 10 終了したら [Save] ボタンをクリックします。このダイナミック アプリケーション クラス名は、アクセス制御規則とすべての [application selection] フィールドの [Add to application class] オプション ボタン近くにあるプルダウン リストに表示されます。

次に、アプリケーション ビルダー規則でこのダイナミック アプリケーション クラスを使用します。「アプリケーション ビルダー規則の設定」に進んでください。

図 9-3 ダイナミック アプリケーション クラス

アプリケーション ビルダー規則の設定

この手順では、アプリケーション ビルダー規則を作成する方法を説明します。これは、効果的なダイナミック アプリケーション クラスを作成する方法を説明する 3 つの手順の 2 番目です。この手順は、「ダイナミック アプリケーション クラスの設定」をすでに完了している場合に、より役立ちます。この手順を完了したら、「ダイナミック アプリケーション クラスを使用した規則の設定」に進んでください。

ダイナミック アプリケーション クラスと規則の相互関係をわかりやすく説明するため、これらの 3 つの手順は一般的な例を想定して記述されていますが、必要に応じて、この例の目的を達成するために特有の選択が行われています。

例:危険な電子メール メッセージを隔離する規則を作成しますが、企業ネットワーク全体で使用されているさまざまな電子メール アプリケーションすべてを把握しているわけではありません。

この手順では、ネットワーク アクセス制御規則を使用して、ダイナミック アプリケーション クラスを定義します。アプリケーション ビルダー規則として、どのアクセス制御規則タイプでも使用できます。(プロセスの動作によってアプリケーション ビルダー規則がトリガーされ、クラスに追加されるまで、ダイナミック アプリケーション クラスにはアプリケーションが追加されないことに注意してください)。この規則タイプは、ポリシー内のすべての他の規則タイプよりも優先されます。この規則タイプは、トリガーされたときの許可規則、拒否規則、およびクエリー規則のように、ポリシー内の他の規則を上書きしません。


) アプリケーション制御規則からダイナミック アプリケーション クラスを定義することと他の規則タイプから作成することは、少し異なります。この規則には 2 つのアプリケーション クラス フィールドがあるため、現在のアプリケーションをダイナミック クラスに加えるか、または最初のアプリケーションによって呼び出された新規のアプリケーションをダイナミック クラスに加えるかを選択できます。



注意 ダイナミック アプリケーション クラス プロセス メンバシップは、一時的なものであり、アプリケーション ビルダー規則の条件を満たす実行中のプロセスに基づいています。プロセスがシステムで動作しなくなると、そのプロセスはダイナミック クラスに含まれなくなります。

エラーまたは予期できない動作を防ぐために、対応するアプリケーション ビルダー規則を含まないポリシー内の規則に対して、ダイナミック アプリケーション クラスを選択しないでください。ダイナミック アプリケーション クラスを使用したアプリケーション ビルダー規則と後続の規則は同じポリシー内に共存させてください。ただし、必須ではありません。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 規則を追加できるのは、既存の規則モジュールだけです。この電子メール クライアントの例では、「規則モジュールの設定」に従って、Email Client Example という規則モジュールを作成します。

ステップ 3 作成した Email Client Example 規則モジュールを開きます。

ステップ 4 モジュールに規則を追加するには、規則モジュールの [Rules] エリアを展開し、[Add] ボタンをクリックします。利用可能な規則タイプのメニューがポップアップ表示されます。

ステップ 5 規則のリストから [Network Access Control] 規則を選択します。この規則タイプの設定ビューが表示されます。

ステップ 6 ネットワーク アクセス制御にある、 「ネットワーク アクセス制御」 規則の作成手順に従います。この電子メール クライアントの例では、次の設定を選択します。

説明を入力します。

[Take the Following Action] リスト ボックスで、プルダウン リストから規則アクションとして [Add process to application class] を選択します。対応するプルダウン リストから、ダイナミック アプリケーション クラス [Email_clients_dynamic] を選択します。この規則タイプは、すべての他のタイプよりも優先されます。この規則のアクションは、これを使用するポリシー内の後続の規則にアプリケーション クラスを構築することのみです。

[When - An enforcement action of the following type occurs] フィールドは、[Application class] フィールドで選択したデフォルトの <All Applications> のままにします。この方法をとると、規則をトリガーするすべてのアプリケーションがダイナミック クラスに追加される可能性があります。特定のアプリケーション クラスのメンバーだけをダイナミック クラスに追加する場合は、ここで特定のアプリケーション クラスを選択できます。

プルダウン リストから [client] を選択し、事前設定された変数 $Email を、設定済みの [Network services] のリストから選択します。

[Communicating with host address] フィールドはデフォルトの <all> のままにします。

[Use these local interfaces] フィールドはデフォルトの <all> のままにします。

[Allow by default]、[Terminate]、[Deny]、[Allow] の強制アクションすべてを指定します。つまり、発生するアクションにかかわらず、要求が行われたときにタグが付けられます。アクションはすべて適用されます。特定の選択をここで行う場合は、要求されたときに(おそらく別の設定規則を介して)発生するアクションに基づいたダイナミック アプリケーション クラスの作成を決定することになります。すべてのリソース要求により、allow、deny、または terminate のいずれかが発生することに注意してください。たとえば、リソースを規制する規則がない場合でも、allow が暗黙のアクションになります。

ステップ 7 [Save] をクリックします。

設定が終了したアプリケーション ビルダーに基づき、ネットワーク サービス、SMTP、POP3、IMAP3 または IMAP2 をクライアントとして使用して、ネットワーク上のシステムにアクセスするアプリケーションはすべて、Email_clients_dynamic アプリケーション クラスに入ります。

次に、アクションを制御する規則内でこのダイナミック アプリケーション クラスを使用します。「ダイナミック アプリケーション クラスを使用した規則の設定」に進んでください。

ダイナミック アプリケーション クラスを使用した規則の設定

この手順では、ダイナミック アプリケーション クラスを使用する規則を定義する方法を説明します。これは、効果的なダイナミック アプリケーション クラスを作成する方法を説明する 3 つの手順の 3 番目です。この手順は、「ダイナミック アプリケーション クラスの設定」および「アプリケーション ビルダー規則の設定」をすでに完了している場合に、より役立ちます。

ダイナミック アプリケーション クラスと規則の相互関係をわかりやすく説明するため、これらの 3 つの手順は一般的な例を想定して記述されていますが、必要に応じて、この例の目的を達成するために特有の選択が行われています。

例:危険な電子メール メッセージを隔離する規則を作成しますが、企業ネットワーク全体で使用されているさまざまな電子メール アプリケーションすべてを把握しているわけではありません。

この例では、ファイル アクセス制御規則を使用してダイナミック アプリケーション クラスのアクションを制御します。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 「アプリケーション ビルダー規則の設定」 の手順で作成した Email Client Example 規則モジュールを開きます。

ステップ 3 モジュールに規則を追加するには、規則モジュールの [Rules] エリアを展開し、[Add] ボタンをクリックします。利用可能な規則タイプのメニューがポップアップ表示されます。

ステップ 4 規則のリストから [File Access Control] を選択します。この規則タイプの設定ビューが表示されます。

ステップ 5 ファイル アクセス制御にある、 「ファイル アクセス制御」 規則の作成手順に従います。この電子メール クライアントの例では、次の設定を選択します。

説明を入力します。

[Take the Following Action] リスト ボックスで、[Deny] アクションを選択します。

[Applications in any of the following applications classes] リスト ボックスで、「ダイナミック アプリケーション クラスの設定」で作成したダイナミック アプリケーション クラス [Email_clients_dynamic] を選択します。

[Attempt the following operations] エリアで、[read file] および [write file] チェックボックスを選択します。

[On any of these files] フィールドに @dynamic と入力します。

ステップ 6 [Save] をクリックします。

Email_clients_dynamic ダイナミック アプリケーション クラス、Email Client Example 規則モジュール、ネットワーク アクセス制御規則、およびファイル アクセス制御規則を有効にするには、Email Clients Example 規則モジュールをポリシーに結合し、ポリシーをグループに結合し、規則を生成する必要があります。

これを行うと、選択された Email_clients_dynamic クラスに入る電子メール アプリケーションが、隔離された危険なファイルを読み取ったり、それに書き込みしたりすることが、この規則によって防止されます。

[Rule] ページからの新しいアプリケーション クラスの作成

[Rule] ページから新しいアプリケーション クラスを作成でき、そのアプリケーション クラスを現在設定している規則とすべての他の規則で使用可能にします。

[Rule] ページから、[Application class selection] フィールドの横の [New] リンクをクリックして、設定ウィンドウにアクセスします。新しいアプリケーション クラスを設定して、[Save] をクリックします。これで [Rule] ページで選択できるようになります。

また、[Rule] ページから Application classes に使用可能になり、選択されたアプリケーション クラスの設定パラメータを表示できます。[Rule] ページのアプリケーション クラスをダブルクリックしてその設定ページを表示します。

アプリケーション クラスの管理

[Application Class Management] ページでは、[Rule] ページと [Analysis feature] ページの [application class selection] フィールドの項目を絞り込むことができます。アプリケーション クラスのリストが長いときに規則の設定ページで特定のクラスだけを表示させる場合、またはそれらを [Rule] ページまたは [Analysis] だけで表示させる場合、選択した機能で表示させるアプリケーション クラスを選択できます。

あるアプリケーション クラスを特定の製品で表示しないようにしても、それらのアプリケーション クラスは削除されません。メインの [Application Class list] ページでは表示されます。該当する製品の [application class selection] フィールドに表示されないだけです。デフォルトで、すべてのアプリケーション クラスは、すべての機能セットのすべての [application class] フィールドに表示されます。

一般的な設定または分析目的のためにアプリケーション クラスをイネーブルまたはディセーブルにするには、次の手順に従います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC メニューバーの [Configuration] をマウスでポイントし、[Applications] > [Application Classes Management] に移動します。

ステップ 3 アプリケーション クラス カテゴリを特定の機能に絞り込むには、「Show [All, UNIX, Windows] application classes that apply to [<All features>, Management Center for Cisco Security Agents, Application Behavior Investigation, Application Deployment Investigation]」エリアを使用します。<All features> を選択すると、機能ごとに 1 つのスワップ ボックスが 3 セット表示されます。

ステップ 4 [Application Class Management] ページには、CSA MC および Application Behavior Investigation と Application Deployment Investigation のための [vertical] スワップ ボックス フィールドがあります。

白いスワップ ボックス(各カテゴリの下のスワップ ボックス)に表示されるアプリケーション クラスは、該当する機能に対してイネーブルにされます。灰色のスワップ ボックス(各カテゴリの上のスワップ ボックス)に表示されるアプリケーション クラスは、該当する機能では表示されません。

アプリケーション クラスを選択し、上向きの矢印ボタンまたは下向きの矢印ボタンをクリックして、選択したクラスを他のスワップ ボックスに移動します。このアクションは、該当する機能のアプリケーション クラスをイネーブルまたはディセーブルにします (アプリケーション クラスは削除しません)。

図 9-4 アプリケーション クラスの管理ウィンドウ

Administrator defined - Application Bypassing CSA アプリケーション クラス

十分に把握し、信頼しているアプリケーションの無害な動作を、CSA がブロックし、Event Management Wizard を使用してアプリケーションを十分にイネーブルにできない場合は、Administrator defined - Application Bypassing CSA アプリケーション クラスにそのアプリケーションを追加します。次に、Sample - Cisco Security Agent Bypass 規則モジュールで規則をイネーブルにして、CSA の保護および制御からそのアプリケーションを免除することができます。

このアプリケーションの使用方法については、 付録 B「CSA Bypass 機能」 を参照してください。


警告 CSA Bypass 機能を使用するのは、最後の手段としてください。この機能を使用する前に、Event Management Wizard を使用してアプリケーションを有効にしてみてください。詳細については、「Event Management Wizard について」を参照してください。

CSA の保護および制御から免除することを選択するアプリケーションが侵害された場合は、CSA の実行中でも、ホスト システムは攻撃に対して脆弱になります。