Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
グローバル設定の使用
グローバル設定の使用
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

グローバル設定の使用

概要

アプリケーション信頼レベル

アプリケーション信頼レベルの設定

Event Management Wizard の使用による信頼レベルの設定

ホワイト リスト、グレイ リスト、およびブラック リストのメンバーの識別

アンチウイルスの免除

イベント相関

相関

ダイナミックに隔離されたファイルと IP アドレスの管理

シグニチャの設定

スキャン データ タグ

スタティック データ タグ

レポートの設定

レポートの設定

レポート設定の削除

グローバル設定の使用

概要

Management Center for Cisco Security Agents (MC)は、[Global Settings] セクションで設定ツールを提供します。設定ツールは、タグを分類し、プロセス、ファイル、および IP アドレスにタグを適用し、複数のシステムにわたってイベントを相関させるために使用します。タグが適用され、特定の相関規則がトリガーされた場合、MC は、この発生を登録して、自動的にアプリケーション クラスを構築し、Cisco Security Agent に新しいプロセス カテゴリを送ります。少数のシステムで発生しているアクションの通知に基づいて、他のシステムでアクションが実行されないよう、MC によって回避されることもあります。Cisco Security Agent は、エージェント システムで適用されたタグもスキャンし、これに基づいてデータ損失の可能性をユーザに通知する規則を適用できます。この章は、次の内容で構成されています。

「アプリケーション信頼レベル」

「アプリケーション信頼レベルの設定」

「Event Management Wizard の使用による信頼レベルの設定」

「ホワイト リスト、グレイ リスト、およびブラック リストのメンバーの識別」

「スキャン データ タグ」

「アンチウイルスの免除」

「イベント相関」

「シグニチャの設定」

「スキャン データ タグ」

「スタティック データ タグ」

「レポートの設定」

「レポートの設定」

「レポート設定の削除」

アプリケーション信頼レベル

アプリケーション信頼レベルとは、「ホワイト リスト」、「グレイ リスト」、または「ブラック リスト」へのアプリケーションの配置を示します。このリリースでは、アプリケーションがいずれかのリストに配置された後に、アプリケーションの動作を許可または制限するさまざまな規則が用意されています。

ホワイト リスト内のアプリケーションは、一般に信頼され、実行を許可されます。しかし、そのアプリケーションは継続的に監視され、重大な違反が生じた場合は、ただちに制限されます。

強制モードのデフォルト ポリシーで、グレイ リストにアプリケーションを追加すると、アプリケーションの「file trust status」アトリビュートを「Untrusted」の値に設定した場合と同じ効果が生じます。

ブラック リスト内のアプリケーションは信頼されず、実行を禁止されます。そのアプリケーションが実行されている場合は、終了されます。ブラック リスト内のアプリケーションを使用する必要がある場合は、そのアプリケーションをホワイト リストに追加する必要があります。このような場合は、必要な最小セットの特権にアプリケーションを制限する規則を追加することを推奨します。

アプリケーションは、次のいずれかの方法で、ホワイト リスト、グレイ リスト、またはブラック リストに配置されます。

管理者が、グローバル [Application Trust Levels] ページを使用して、リストにアプリケーションを配置します。

リストの一部のメンバーはスタティックです。一部のアプリケーションはすでに分類され、いずれかのリストに配置されています。

ホスト上のすべてのアプリケーションをいずれかのリストに配置する必要はありません。

アプリケーション信頼レベルの設定

CSA MC 管理者は、グローバル [Application Trust Level] ページでホワイト リスト、グレイ リスト、およびブラック リストにファイルを追加できます。


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、拡張モードまたは簡易モードのユーザが実行できます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Application Trust Levels] に移動します。

ステップ 3 グローバル [Application Trust Levels] ページで、[New] をクリックします。

ステップ 4 [File Name] フィールドで、リストに加えるアプリケーションのパスとファイル名を指定します。ワイルドカード(**)を使用して、ファイルの場所を広範囲に指定できます。次の例を参考にしてください。

C:¥Program Files¥Cisco¥CSAgent¥bin¥**¥*

C:¥Program Files¥Cisco¥CSAgent¥bin のすべてのサブディレクトリ内のすべてのファイルを指定します。

**¥Program Files¥Cisco¥CSAgent¥bin¥**¥*

インストール先のドライブにかかわらず、CSAgent¥bin のすべてのサブディレクトリ内のすべてのファイルを指定します。

ワイルドカードの正しい使用法の詳細については、「正しい構文の使用方法」を参照してください。

ステップ 5 [Trust Level] フィールドで、プルダウン メニューから [White List]、[Grey List]、または [Black List] を選択します。

ステップ 6 [OS] フィールドで、この信頼レベルの指定を適用するオペレーティング システムのタイプを指定します。[Windows] は、サポートされているすべての Windows プラットフォームを示します。[UNIX] は、サポートされているすべての UNIX または Linux プラットフォームを示します。

ステップ 7 [Justification] フィールドで、アプリケーションに対して信頼レベルを設定する理由を記述します。

ステップ 8 [Save] をクリックします。新しい信頼レベルの指定は、[Application Trust Level] ページに表示されます。

ステップ 9 この設定をホストに展開する準備ができたら、[Generate rules] を実行します。

Event Management Wizard の使用による信頼レベルの設定


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、拡張モードまたは簡易モードのユーザが実行できます。

ステップ 2 [Events] メニューで [Event Log] を選択します。

ステップ 3 信頼レベルの設定対象となるプロセスを識別するイベントを見つけます。

ステップ 4 [Wizard] リンクをクリックします。

ステップ 5 [Classify Application] エリアで、[Application that triggered this event] フィールドに、アプリケーションのディレクトリ パスとファイル名がすでに表示されていることを確認します。

ステップ 6 [Action] フィールドで、[I trust this application]、[I am not sure I trust this application]、または [I do not trust this application] を選択します。この選択によって、アプリケーションはそれぞれホワイト リスト、グレイ リスト、またはブラック リストに配置されます。

ステップ 7 [Justification] フィールドで、アプリケーションに対して信頼レベルを設定する理由を記述します。

ステップ 8 [Finish] をクリックします。新しい信頼レベルの指定は、[Application Trust Level] ページに表示されます。

ステップ 9 この設定項目を展開する準備ができたら、[Generate rules] を実行します。

ホワイト リスト、グレイ リスト、およびブラック リストのメンバーの識別

アプリケーションは、ホワイト リスト、グレイ リスト、およびブラック リストに割り当てられます。規則がトリガーされた場合に、アプリケーションがこれらのリストにダイナミックに追加されることはありません。

ホワイト リスト、グレイ リスト、およびブラック リストは、アプリケーション クラス、Administrator defined - White List Applications、Administrator defined - Grey List Applications、および Administrator defined - Black List Applications の内容によって定義されます。

各アプリケーション クラスは、ファイル セットから構成され、@whitelist、@greylist、および @blacklist など、それぞれのリストのトークンを参照する最低 1 つのファイル セットを持ちます。たとえば、Administrator defined - White List Applications アプリケーション クラスには、Administrator defined - White List files ファイル セットが含まれます。このファイル セットの 1 つのコンポーネントは、@whitelist トークンに関連付けられたすべてのファイルとして定義されています。@whitelist トークンは、ホワイト リストに配置されていると記載されているグローバル [Application Trust Level] ページのすべてのファイルとして定義されます。グレイ リストとブラック リストのアプリケーションは、同様の方法で定義されます。

アプリケーションがどの信頼レベル リストに属するかを確認するには、アプリケーション クラスの信頼レベルと [Application Trust Level] ページの 2 箇所を参照する必要があります。

アプリケーション クラスの内容を表示するには、次の手順に従います。


ステップ 1 任意のユーザ タイプとして CSA MC にログ オンし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューから、[Applications] > [Application Classes] に移動し、Administrator defined - White List Applications、Administrator defined - Grey List Applications、または Administrator defined - Black List Applications アプリケーション クラスを探します。

ステップ 3 そのアプリケーション クラスのリンクをクリックします。このクラスを定義するアプリケーションは、when created from one of the following executables ファイル セットに示されるファイル セット内に一覧表示されます。

ステップ 4 ファイル セットに属するアプリケーションを表示するには、そのファイル セットをダブルクリックします。

管理者が信頼リストに割り当てたアプリケーションを表示するには、次の手順に従います。


ステップ 1 任意のレベルの特権を持つユーザとして CSA MC にログインし、拡張モードまたは簡易モードで CSA MC インターフェイスを表示します。

ステップ 2 [Configuration] メニューから、[Global settings] > [Application Trust Level] に移動します。信頼レベル リストに対するアプリケーションのメンバーシップは、[Application Trust Level] ページに明確に示されています。

アンチウイルスの免除

false positive と判断したシグニチャベースのアンチウイルス タグに対して、アンチウイルス免除を作成できます。タグに対して免除を作成すると、タグが付けられたファイルが、そのタグに関連するアンチウイルス規則によって制限されなくなります。特定のアンチウイルス タグが付いた個々のファイルに対して免除を作成すると、そのファイルは、そのタグに関するアンチウイルス規則によって制限されなくなります。

ウイルス タグの例外は、Event Management Wizard を使用して作成することも、[AntiVirus Exemptions] ページで作成することもできます。これらの手順については、「Event Management Wizard を使用したアンチウイルス免除の作成」および「[Global AntiVirus Exemptions] ページを使用したアンチウイルス免除の作成」を参照してください。

エンドユーザと CSA MC 管理者が、アンチウイルスの免除によって影響を受ける例を、次に示します。アンチウイルス タグが付いているために、ファイルがさまざまなホストで隔離されているとします。CSA MC 管理者は、そのタグが false positive を表していると判断し、ウィザードを使用して、または手動でそのタグに対する免除を作成します。この免除は、CSA MC の [AntiVirus Exemptions] ページに一覧表示されます。準備ができると、管理者は規則を生成します。

次回、ホストの CSA が CSA MC をポーリングしたときに、CSA はアンチウイルス免除情報を受け取ります。そのアンチウイルス タグが付いてすでに隔離されているすべてのファイルは、その後数分以内にエージェントの [Quarantined files] タブから削除されます。そのファイルは、[Restored] タブには配置されません。アンチウイルス免除はグローバルに行われ、ユーザが個別にそのファイルを隔離済みとして再分類することはできません。

[AntiVirus Exemptions] リスト ページを開くには、CSA MC の [Configuration] メニューをマウスでポイントして、[Global Settings] > [AntiVirus Exemptions] に移動します。このリスト ページには、アンチウイルス免除について説明する次の 3 つの情報カラムがあります。

[Virus]:これは、イベントでレポートされた、または Event Management Wizard によって決定されたウイルスの名前です。これは、ウイルスに対するアンチウイルス タグ名でもあります。ファイルがアンチウイルス規則の制限から免除されるためには、[AntiVirus Exemptions] ページで指定するアンチウイルス タグの名前は、ファイルに関連付けられるタグと正確に一致する必要があります。

[Target]:アンチウイルス タグが免除されているため、そのタグが付いたすべてのファイルが、そのタグに関連するアンチウイルス規則の制限から免除される場合は、<All files> を指定します。[Target] では、アンチウイルス規則の制限から特定のファイルのみを免除するために、そのファイルへのパスを指定することもできます。ファイルが見つかる可能性がある場所を広範囲に指定するために、ディレクトリ パスの先頭に 2 つのワイルドカード(**)を指定できます。次の例を参考にしてください。

**¥Documents and Settings¥Administrator¥Desktop¥Temp¥virus.doc は、管理者のデスクトップ上の virus.doc ファイルを示します。

**¥Desktop¥Temp¥virus.doc は、すべてのデスクトップ上の virus.doc を示します。

[Justification]:このフィールドには、管理者が免除の作成に対して入力した説明が表示されます。

[Creation time]:免除が作成された時間を示します。

[Source]:免除を作成したユーザ名、および免除がウィザードを使用して作成されたかどうかを示します。

[OS]:免除に関連するオペレーティング システムを示します。

イベント相関

Management Center for Cisco Security Agents(CSA MC)では特定の種類のイベントに対する相関機能をイネーブルにできます。それぞれの場合において、グローバル イベント相関が行われるためには、ポリシーで対応する規則がイネーブルになっている必要があります。グローバル イベント相関をイネーブルにしていない場合、個別のイベントはシステム エージェントによってログに記録されますが、複数のエージェントにわたる類似したイベントの相関が中央の CSA MC によってとられることはありません。

相関

グローバル [Event Correlation] ページ(図 7-1を参照)は、メニューバーで [Configuration]>[Global Settings]>[Global Event Correlation] を選択してからアクセスでき、次の機能を提供します。

[Correlate network scans]

このチェックボックスをオンにすると、複数のエージェント システムにわたって相関がとられたポート スキャンと ping スキャンは、相関されたイベントとして個別にログに記録されます。個別のポート スキャンと ping スキャン イベントも、引き続きログに記録されます。

これらの種類のイベントが検出され、ログに記録されるためには、当該のエージェントに展開されているポリシーでポート スキャン検出および Ping スキャンとともにネットワーク シールド規則がイネーブルにされている必要があります。

ネットワーク スキャンの相関をとるためのしきい値と時間枠は設定可能な値です。

[Correlate events received from operating system event logs and generate a summary event]

[Log individual events in addition to summary event]

このチェックボックスがオンになっていると、複数のシステムからのイベントが、NT イベント コード、NT イベント重大度、NT イベント ソース、および NT イベント ログ タイプに基づいて相関がとられます。30 分以内に 2 つのシステムが同じ NT イベント タイプをログに記録した場合、相関がとれたサマリー イベントがログに記録されます。

これらのイベントが CSA MC ログにアップロードされるためには、当該のエージェントに展開されているポリシーに NT event log 規則が存在する必要があります。

このチェックボックスをオンにしていないと、NT イベント相関は行われませんが、個別の NT イベントは設定されている NT イベント ログ規則に従ってログに記録されます。


) この場合、個別のイベントをサマリー イベントに加えてログに記録するかどうかを制御する追加のチェックボックス([Log individual events in addition to summary events])があります。このチェックボックスをオンにしないで、[Correlate events] チェックボックスをオンにすると、相関がとられたサマリー イベントだけがログに記録され、個別のイベントはログに記録されません。これは NT イベント ログ メッセージが CSA MC のログファイルをいっぱいにしてしまう場合に有効です。


[Correlate suspected virus application events and add contaminated files to list of dynamically quarantined files]

このチェックボックスがオンになっていると、プロセスがダイナミックな <Suspected Virus Applications> アプリケーション クラス(「設定可能な組み込みのアプリケーション クラス」を参照)に追加されてこのイベントが複数のエージェント システムにわたってログに記録されたときに、これらのイベントの相関がとられ、イベントをトリガーした感染ファイルは CSA MC が維持する隔離済みファイルのダイナミック リストに追加されます。ダイナミックに隔離されたファイルを中止するように設定されている規則が、展開されているポリシーにある場合、それ以上のエージェントが感染ファイルにアクセスすることはできません。ファイル アクセス制御規則における @dynamic の使用方法の詳細については、 ファイル アクセス制御 を参照してください。

このチェックボックスをオンにしていないと、疑いのあるウイルス相関は行われませんが、個別のウイルス イベントはログに記録されます。

この種のイベントが検出され、ログに記録されるためには、当該のエージェントに対応するポリシーが導入されている必要があります。

[Correlate events received from virus scanners and add contaminated files to list of dynamically quarantined files]

このチェックボックスがオンになっていると、エージェント システムで動作しているアンチウイルス ソフトウェアによってログに記録されたイベントが CSA MC によって受け取られ、相関がとられます。アンチウイルス ソフトウェアによって検出された感染ファイルは隔離済みファイルのリストに追加されます。ダイナミックに隔離されたファイルへのアクセスを中止するように設定されている規則が、展開されているポリシーにある場合、それ以上のエージェントが感染ファイルを受け取ることはありません。ファイル アクセス制御規則における @dynamic の使用方法の詳細については、 ファイル アクセス制御 を参照してください。


) この機能は、Norton、McAfee、および Trend のアンチウイルスと一緒に動作します。これらのウイルス イベントを受け取るには、これらのイベントが CSA MC ログファイルにアップロードされるように、当該のエージェントに展開されているポリシーに NT イベント ログ規則が存在する必要があります。NT イベント ログ規則で、アンチウイルス ソフトウェアの名前を [Event Source] フィールドに入力する必要があります。詳細については、「NT イベント ログ」を参照してください。


アンチウイルス ソフトウェアから受け取ったイベントの相関をとるためのしきい値と時間枠は設定可能な値です。


) ダイナミックに隔離されたファイルのリストに追加されたファイルを表示するには、ダイナミックに隔離されたファイルの横の番号付きリンクをクリックします。クリックすると該当するイベント ログ メッセージに移動します。メッセージを読み、隔離されたファイルの名前を突き止めます。また、そのページの下部にある [Manage dynamically quarantined files] リンクをクリックすることもできます。


[Correlate communications with untrusted hosts and add peer addresses to list of dynamically quarantined IP addresses]

このチェックボックスがオンになっていると、ホスト アドレスを Untrusted (globally)としてマーキングするために規則で「Set」アクションが使用され(「Set アクションの使用方法」を参照)、このイベントが複数のエージェント システムにわたってログに記録されたときに、これらのイベントの相関がとられ、イベントをトリガーした、信頼できないピア アドレスは CSA MC が維持する隔離済みの IP アドレスのダイナミック リストに追加されます。ダイナミックに隔離された IP アドレスを中止するように設定されている規則が、展開されているポリシーにある場合、それ以上、エージェントがこのピア アドレスと通信することはありません。ネットワーク アクセス制御規則における @dynamic の使用方法の詳細については、 ファイル アクセス制御 を参照してください。

このチェックボックスをオンにしていないと、信頼できないホスト相関は行われませんが、個別の信頼できないホスト イベントはログに記録されます。


) この種のイベントが検出され、ログに記録されるためには、当該のエージェントに対応するポリシーが導入されている必要があります。



) ダイナミックに隔離されたアドレスのリストに追加された IP アドレスを表示するには、ダイナミックに隔離された IP アドレスの横の番号付きリンクをクリックします。クリックすると該当するイベント ログ メッセージに移動します。メッセージを読み、隔離された IP アドレスを突き止めます。また、そのページの下部にある [Manage dynamically quarantined IP addresses] リンクをクリックすることもできます。


ダイナミックに隔離されたファイルと IP アドレスの管理

規則で使用できる [File set text] フィールドと [Network address set text] フィールドで、 @dynamic トークンを使用することにより、CSA MC によって隔離されたファイルとアドレスへのアクセスを制御できます。ファイルが隔離されるのは、疑わしいウイルス アプリケーション イベント、相関ウイルス スキャン ログメッセージ、または手動で追加されたファイルが発生した場合です。隔離されたファイルのログを受け取ると、このリストが自動的に(ダイナミックに)更新されます。アドレスが隔離されるのは、信頼できない疑わしいホスト(これはダイナミックに更新します)との通信、または手動での追加が発生した場合です。

ダイナミックに隔離されたファイル リストに追加されたファイルを表示して、ファイルを手動で隔離済みとして追加するには、[Global Event Correlation] ページで [Manage dynamically quarantined files] リンクをクリックします。図 7-2を参照してください。このリストにファイルを追加したり、このリストからファイルを削除したりする場合は、表示されるウィンドウの下部にあるボタンを使用してください。

ダイナミックに隔離された IP アドレス リストに追加されたアドレスを表示して、アドレスを手動で隔離済みとして追加するには、[Global Event Correlation] ページで [Manage dynamically quarantined IP addresses] リンクをクリックします。このリストに IP アドレスを追加したり、このリストから IP アドレスを削除したりする場合は、表示されるウィンドウの下部にあるボタンを使用してください。図 7-3を参照してください。このウィンドウの「Source」カラムには、アドレスがリストに追加された方法(管理者により手動で追加されたか、相関イベントにより追加されたか)が記述されます。

エージェントが次に管理センターをポーリングするまで、隔離されたファイルと IP アドレスリストに加えられた変更はエージェントによって受信されません。設定された間隔よりも早くポーリングするヒント メッセージを、ホストに送信することができます。ポーリング ヒントの詳細については、「グループの設定」を参照してください。

信頼度の評価

[Manage dynamically quarantined files] リンクおよび [Manage dynamically quarantined IP addresses] リンクをクリックすると、管理者によって手動で追加されずにイベント相関によって自動的に追加される項目の信頼度が「high」または「low」で示されます。この評価は、隔離されている項目の「危険」の可能性を示します。この評価は、検出されたファイル タイプおよび関係するネットワーク プロトコルに基づいています。


) 特定のファイルやアドレスを隔離するイベントは、システム上の他のコンポーネントのようにイベントの非表示の対象となります。重複した相関イベントは、1 時間非表示になります。そのため、特定のオブジェクトが隔離されるのは多くても 1 時間に 1 回ということになります。


図 7-1 [Global Event Correlation] ページ

図 7-2 [Quarantine Files] ウィンドウ

図 7-3 [Quarantine IP Addresses] ウィンドウ

シグニチャの設定

[Signature Settings] ページは、CSA MC メニューバーから、[Configuration]>[Global Settings]>[Signature Settings] に移動することで表示できます。このページを使用すると、グローバル シグニチャとローカル シグニチャの相関の値、DoS 攻撃を防止するためのしきい値を設定し、新しいシグニチャをグローバルにイネーブルにし、シグニチャ相関に関連するその他の管理タスクを実行できます。現在、[Global Signature Settings] ページには次のセクションがあります。

[Common]:このセクションには、一般的なシグニチャの設定が含まれています。これには、グローバル シグニチャとローカル シグニチャの有効期限、新しいグローバル シグニチャをすべてのエージェントにただちに配布するかどうかを制御するチェックボックスなどがあります。デフォルトの設定では、[Enable new signatures] チェックボックスは選択されず、シグニチャは 30 日で期限切れになります。

[Enable new signatures] チェックボックスを選択していない場合、シグニチャは、MSRPC または LPC 相関しきい値に達した後に自動的に生成されますが、エージェントに自動的に配布されることはありません。[Enable new signatures] チェックボックスを選択していない場合は、[Manage global signatures] ページでシグニチャを個々にイネーブルにする必要があります。

[Enable new signatures] チェックボックスを選択している場合、シグニチャは、MSRPC または LPC 相関しきい値に達した後に自動的に生成され、次のポーリング時にすべてのホストに配布されます。


) 新しいシグニチャを自動的にイネーブルにする場合は、[Enable new signatures] チェックボックスを選択し、CSA MC で規則を生成します。


[MSRPC]:[Correlate untrusted MSRPC payloads received by Cisco Security Agent systems] チェックボックスは、信頼されない MSRPC ペイロード シグニチャの生成をオンにします。このチェックボックスは、デフォルトで選択されています。次のセクションでは、グローバル シグニチャ相関がトリガーされるために、特定の時間枠内で、信頼されない MSRPC ペイロードを受信する類似のイベントが生じる必要があるエージェントの数を決定します。デフォルトは、1,440 分(24 時間)以内に、2 つの類似の MSRPC ペイロードをレポートする 2 つのシステムです。

MSRPC シグニチャ生成の次のセクションでは、DoS (サービス拒絶)攻撃に関連するローカル ペイロードのみを扱います。管理者は、シグニチャの相関がとられない、特定の期間にわたるインターフェイス上の指定件数の攻撃として、DoS 攻撃を定義します。しきい値に達したら、そのインターフェイスを攻撃する今後のペイロードは、@highrisk_signatures トークンに関連付けられます。設定可能な期間の後に、ペイロードと @highrisk_signatures の関連付けは解除されます。

デフォルトでは、30 分以内に 10 のペイロードが受信され、その攻撃に対してシグニチャを作成できない場合に、インターフェイスは DoS 攻撃を受けていると見なされ、60 分後に、ペイロードと @highrisk_signatures トークンの関連付けが解除されます。

[LPC]:[Correlate untrusted LPC payloads received by Cisco Security Agent systems] チェックボックスは、信頼されない LPC ペイロード シグニチャの生成をオンにします。このチェックボックスは、デフォルトで選択されています。次のセクションでは、すべてのエージェントに対してグローバル シグニチャ相関がトリガーされるために、特定の時間枠内で、信頼されない LPC ペイロードを受信する類似のイベントが生じる必要があるエージェントの数を決定します。デフォルトは、1440 分(24 時間)以内に、2 つの類似の LPC ペイロードをレポートする 2 つのシステムです。

LPC シグニチャ生成の次のセクションでは、DoS (サービス拒絶)攻撃に関連するローカル ペイロードのみを扱います。管理者は、シグニチャの相関がとられない、特定の期間にわたるインターフェイス上の指定件数の攻撃として、DoS 攻撃を定義します。しきい値に達したら、そのインターフェイスを攻撃する今後のペイロードは、@highrisk_signatures トークンに関連付けられます。設定可能な期間の後に、ペイロードと @highrisk_signatures の関連付けは解除されます。

デフォルトでは、30 分以内に 10 のペイロードが受信され、その攻撃に対してシグニチャを作成できない場合に、インターフェイスは DoS 攻撃を受けていると見なされ、60 分後に、ペイロードと @highrisk_signatures トークンの関連付けが解除されます。

[Expand all] および [Collapse all] というラベルが付いているリンクでは、このページの <Common>、<MSRPC>、および <LPC> エリアに対するすべての設定を表示または非表示にできます。

[Tasks] メニューにあるメニュー項目は 1 つです。[Manage Global Signatures] をクリックすると、グローバルに相関されたシグニチャのリストを表示し、これらのシグニチャを管理することができます。

グローバル シグニチャとローカル シグニチャを管理する方法と、自動シグニチャ生成機能を管理する場合にこれらの設定を使用する方法については、 第 14 章「自動シグニチャ生成」 を参照してください。

スキャン データ タグ

スキャン データ タグは、テキスト照合パターンと組み込み番号パターンを表します。規則がファイル スキャンをトリガーした場合は、[Data Classification - Scanning Tags] ページに表示されるイネーブルなスキャン データ タグ パターンすべてがファイルで検索されます。パターンがファイル内に多数見つかった場合、スキャン データ タグがそのファイルに関連付けられます。タグがファイルに関連付けられた後に、他の規則で、そのファイルへのアクセスを制御できます。

[Configuration] メニューから、[Global Settings] > [Scanning Data Tags] に移動して、[Data Classification - Scanning Tags] ページを表示します。このページと、このページに関連する管理タスクの詳細については、「スキャン データ タグの管理」を参照してください。

スタティック データ タグ

スタティック データ タグは、特定のアプリケーションがファイルにアクセスする場合に、そのファイルに割り当てることができます。スタティック データ タグは、このリリースで配布される組み込みデータ タグであり、CSA MC の [Data Classification - Static Data Tags] ページにリスト表示されます。スタティック データ タグの名前は変更できず、新しいスタティック データ タグを作成することもできません。

会社のニーズに基づいて、スタティック データ タグをファイルに割り当てる規則を定義します。スタティック データ タグをファイルに割り当てるよう事前設定された、データ消失防止ポリシーはありません。

スタティック データ タグは、専用アプリケーションがある場合などに役立つことがあります。病院で、専用アプリケーションが読み取るすべてのファイルに、HIPAA ガイドラインが適用されることが、あらかじめわかっているとします。その場合は、<HIPAA Controlled> スタティック データ タグがあり、それをファイルに適用できます。この種のタグ付け方法は、オーディオ ファイルまたはグラフィックス ファイルなど、テキストマッチング パターンでファイル タイプをスキャンできない場合にも役立つことがあります。

[Configuration] メニューから、[Global Settings] > [Static Data Tags] に移動して、[Data Classification - Static Tags] ページを表示します。このページと、このページに関連する管理タスクの詳細については、「スタティック データ タグの管理」を参照してください。

レポートの設定

[Report Configuration] ページを使用すると、すべてのレポートの外観をカスタマイズできます。PDF として生成するレポートに対して、フォントおよびウォーターマークのイメージを指定できます。PDF レポートと HTML レポートの両方に対して、ロゴのイメージを指定できます。これらのカスタマイズは、生成するすべてのレポートに反映されます。

カスタマイズは、すべてオプションです。レポートのカスタマイズを選択しない場合、レポートは、[Report Configuration] ページのデフォルト設定を使用して作成されます。[Report Configuration] ページは、拡張モードだけで利用できます。


) カスタマイズされたグローバル レポート設定は、アップグレード後に、デフォルトのグローバル レポート設定に戻ります。これにより、最新リリースの CSA を使用して、レポートを確実に生成できます。アップグレード後に、ユーザのカスタマイズ設定で、グローバル レポート設定テンプレートを再設定する必要があります。


レポートの設定

レポートを設定するには、次の手順に従います。


ステップ 1 [Configuration] メニューから、[Global Settings] > [Report Configuration] に移動します。

ステップ 2 PDF 出力レポート タイプでは、[Font Name] フィールドでフォントを指定できます。True Type Font(.ttf)、True Type Collection(.ttc)、および Open Type Font(.otf)だけを使用できます。

a. ¥Windows¥Fonts ディレクトリからフォントを直接インポートすることはできません。必要なフォントが ¥Windows¥Fonts ディレクトリにある場合は、そのディレクトリからフォントをコピーして、デスクトップまたはその他の場所にそのフォントを配置します。

b. [Font Name] フィールドの横にある [Add] ボタンをクリックします。

c. 必要なフォントの新しい場所を参照します。

d. そのフォントを選択し、[Open] をクリックします。

e. [Upload] をクリックします。

ステップ 3 上記の手順でフォントを指定した場合は、[Font Type] フィールドでそのフォント タイプを定義する必要があります。上記の手順で選択したフォントに応じて、[Font Type] フィールドで [Non-unicode Font] または [Unicode Font] を選択します。

ステップ 4 PDF 出力レポート タイプでは、ウォーターマークとして使用するイメージを指定できます。ウォーターマーク イメージの最適サイズは、600 × 400 ピクセルです。ファイル拡張子が .bmp、.gif、.jpeg、および .jpg のイメージ ファイルをアップロードできます。ウォーターマークとして利用するイメージを追加するには、次の手順に従います。

a. [Watermark] フィールドの横にある [Add] リンクをクリックします。

b. ウォーターマークに使用するイメージを参照します。

c. そのイメージを選択し、[Open] をクリックします。

d. [Upload] をクリックします。

ステップ 5 PDF と HTML の両方の出力タイプに対して、ロゴとして使用するイメージを指定できます。ロゴ イメージの最適サイズは、920 × 520 ピクセルです。ファイル拡張子が .bmp、.gif、.jpeg、および .jpg のイメージ ファイルをアップロードできます。ロゴとして利用するイメージを追加するには、次の手順に従います。

a. [PDF Logo] フィールドまたは [HTML Logo] フィールドの横にある [Add] リンクをクリックします。

b. ロゴに使用するイメージを参照します。

c. そのイメージを選択し、[Open] をクリックします。

d. [Upload] をクリックします。


) このロゴは、デフォルトの Cisco ロゴに代わって、レポートの右上に表示されます。


ステップ 6 [Save] をクリックします。これらの設定を有効にするために、規則を生成する必要はありません。

レポート設定の削除

[Report Configuration] ページで追加したフォント、ウォーターマークまたはロゴのイメージを削除できます。これにより、[Report Configuration] ページの選択肢としてこれらのフォントとイメージが削除されますが、ディスクからそのフォントまたはイメージが削除されることはありません。


) デフォルトのフォントまたはロゴ イメージや、レポートによって使用されているフォントおよびイメージは削除できません。


イメージまたはフォントを削除するには、次の手順に従います。


ステップ 1 削除するイメージまたはフォントが使用されていないことを確認します。

a. [Configuration] メニューから、[Global Settings] > [Report Configuration] に移動します。

b. リスト ボックスに表示されているフォントとイメージは、レポートで使用されていると見なされます。

c. 表示するフォントまたはイメージが使用されている場合は、リスト ボックスで別のフォントまたはイメージを選択します。

d. [Save] をクリックします。

ステップ 2 元のページに戻って、リスト ボックスから削除するフォントまたはイメージを選択します。

ステップ 3 リスト ボックスの横にある青い [Delete] リンクをクリックします。そのフォントまたはイメージが削除されます。