Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
変数と状態条件の設定
変数と状態条件の設定
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

変数と状態条件の設定

概要

変数の用途

Display only Show All mode オプション

COM コンポーネント セット

COM コンポーネント抽出ユーティリティ

データ セット

ファイル セット

ネットワーク アドレス セット

ネットワーク インターフェイス セット

ネットワーク サービス

通知設定

クエリー設定

通知とクエリーのトークンと構文

ローカライズされた言語バージョンのサポート

レジストリ セット

付属のレジストリ セット

状態条件

System State Sets

User State Sets

管理センターが到達可能

デジタル署名の操作

デジタル署名の検索

「File Content - Signed - Trusted Publishers」ファイル セットの編集

変数と状態条件の設定

概要

設定変数は名前付きの設定データ項目であり、ファイル アクセス制御規則やアラートのように他の設定項目で繰り返し使用することができます。ファイル、ネットワーク アドレス、ネットワーク サービスをグループ化できます。グローバル変数を設定すると、これを他の CSA MC 項目の対応するフィールドに入力できます。

設定変数を使用すると、ポリシーを構成する規則を容易に作成できます。変数を使用すると、必要な変更を 1 箇所に加えればすべての規則やポリシーにこれを適用できるので、ポリシーの保守が容易になります。

システム状態条件とユーザ状態条件を使用して、システムの状態またはシステムのユーザに基づいて 条件付き 規則を作成することができます。したがって、設定済みの条件が満たされた場合だけ、規則が適用されます。

この章で取り上げる事項は次のとおりです。

「変数の用途」

「COM コンポーネント セット」

「COM コンポーネント抽出ユーティリティ」

「データ セット」

「ファイル セット」

「ネットワーク アドレス セット」

「ネットワーク インターフェイス セット」

「ネットワーク サービス」

「通知設定」

「クエリー設定」

「通知とクエリーのトークンと構文」

「ローカライズされた言語バージョンのサポート」

「レジストリ セット」

「状態条件」

「System State Sets」

「User State Sets」

「管理センターが到達可能」

「デジタル署名の操作」

「デジタル署名の検索」

「「File Content - Signed - Trusted Publishers」ファイル セットの編集」

変数の用途

この項では、変数とアクセス制御規則との関係を示します。使用できる変数のタイプ(COM コンポーネント セット、データ セット、イベント セット、ファイル セット、ネットワーク アドレス セット、ネットワーク インターフェイス セット、ネットワーク サービス、クエリー設定、およびレジストリ セット)を上に示し、変数を適用できる規則のタイプや設定ページをその下に示します。

変数タイプ:COM コンポーネント セット

COM コンポーネント アクセス制御規則

変数タイプ:データ セット

データ アクセス制御規則

変数タイプ:イベント セット

アラート

レポート

変数タイプ:ファイル セット

アプリケーション クラス

ファイル アクセス制御規則

変数タイプ:ネットワーク アドレス セット

接続率上限規則

ネットワーク アクセス制御規則

ネットワーク シールド規則

変数タイプ:ネットワーク インターフェイス セット

接続率上限規則

ネットワーク アクセス制御規則

ネットワーク シールド規則

変数タイプ:ネットワーク サービス

ネットワーク アクセス制御規則

変数タイプ:クエリー設定

すべてのアクセス制御クエリー規則

変数タイプ:レジストリ セット

レジストリ アクセス制御規則


) 通常、変数の使用はオプションです。変数の設定に使用するほとんどすべての情報は、対応する規則設定のフィールドに直接入力することもできます。変数はルールの作成を簡素化するためのツールにすぎません(特に複数の規則で同じ設定を使用する場合)。



) [Variable] リスト ビューの [Compare] ボタンを使用すると、類似の変数を比較およびマージできます。Compare ツールの使用方法については、「設定の比較」を参照してください。


イベント セットの設定については、 第 10 章「イベント ロギングとアラート」 を参照してください。

Display only Show All mode オプション

各個別の変数ページ(Application Classes を含む)には、[Display only in Show All mode] チェックボックスがあります。変数のリストが規則またはアプリケーションの設定ページ内で長すぎる場合、変数ページで [Display only in Show All mode] チェックボックスをオンにすると、その変数タイプのリストで、変数が非表示となります。非表示の項目を表示するには、[Admin Preferences] ページに移動し、Show All mode を常に使用する別の admin プリファレンスを選択するか、割り当てられたプリファレンスを変更する必要があります。「ロールベースの管理の設定」を参照してください。

COM コンポーネント セット

COM コンポーネント アクセス制御規則で使用する COM コンポーネント セットを設定します。COM オブジェクトは、1 つの共通名の下に COM プログラム ID(PROGID)
および COM クラス ID(CLSID)をグループ化したものです。したがって、COM コンポーネント アクセス規則でこの名前を使用して、COM コンポーネント セット名へのアクセスを許可または拒否できます。特定のコンポーネント セットのエントリに一致するすべての COM コンポーネントに対して、このセットを使用する規則が適用されます。

COM コンポーネント セットを作成するときに、パターン マッチングを使用することもできます。たとえば、「Word.*」と入力すると「Word.Application」と「Word.Document」に一致します。

CSA MC には、実際に使用できる事前設定の COM コンポーネント セットが付属しています。


) これは UNIX の設定に使用できません。



) CSA MC には、個々の Cisco Security Agent に伴ってインストールする COM コンポーネント インポート ユーティリティがあります。このユーティリティは、特定のシステム上で動作するソフトウェアのすべての COM コンポーネントについて PROGID と CLSID を抽出します。詳細については、COM コンポーネント セットの設定ビューを参照してください。


COM コンポーネント セットを設定するには、次の操作を行います。


ステップ 1 メニューバーの [Configuration] ドロップダウン リストの [Variables] をマウスでポイントします。カスケード メニューが表示されます。

ステップ 2 カスケード メニューから [COM Component Sets] を選択します。既存の COM コンポーネント セットの設定が表示されます。

ステップ 3 新しい COM コンポーネント セットを作成するには、[New] ボタンをクリックします。設定ビューが表示されます(図 8-1 を参照)。

ステップ 4 次の編集フィールドに情報を入力します(「正しい構文の使用方法」を参照。各フィールドの横にあるクィック へルプの疑問符をクリックすると、構文の説明が表示されます)。

[Name]:この COM コンポーネント セットの一意名です。一般に、対応する規則設定のフィールドに入力しやすい COM コンポーネント セット名を使用してください。

[Description]:この COM コンポーネント セット設定を説明するテキストであり、リスト ビューに表示されます。

[Display only in Show All mode]:変数のリストが規則またはアプリケーションの設定ページ内で長すぎる場合、変数ページで [Display only in Show All mode] チェックボックスをオンにすると、その変数タイプの選択リストで、変数が非表示となります。この機能は、Admin Preference 設定と連動します。項目を再表示させるには、[Admin Preferences] ページへ移動する必要があります。「ロールベースの管理の設定」を参照してください。

ステップ 5 [PROGID's/CLSID's matching]:制限を適用する COM コンポーネントの PROGID または CLSID(1 行につき 1 つ)を入力します。

デフォルトでは、<all>(すべての PROGID と CLSID)が指定されています。フィールド内をクリックすると、<all> が消えて任意の制限を入力できます。

PROGID を入力するための構文を、次の例に示します。

Outlook.Application

 

CLSID(大文字の 16 進数)を入力する場合は、次の構文を使用します(次のようにカッコを使用する必要があります)。

{000209FF-0000-0000-C000-000000000046}

 

ステップ 6 [but not]:入力した PROGID または CLSID の例外を作成します。

デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。

ステップ 7 必要な情報をすべて入力し、[Save] ボタンをクリックして COM コンポーネント セットを CSA MC データベースに保存します。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-1 COM コンポーネント セットの設定ビュー

 

COM コンポーネント抽出ユーティリティ

CSA MC には、 extract_com という COM コンポーネント抽出ユーティリティがあります。このユーティリティは、個々の Cisco Security Agent に伴って Cisco¥CSAgent¥bin ディレクトリにインストールされます。このユーティリティを実行すると、特定のシステムにインストールしたソフトウェアのすべての COM コンポーネントについて PROGID と CLSID が抽出され、このデータがテキスト ファイルに記載されます。抽出された ID をテキスト ファイルから COM コンポーネント セットとアクセス規則にカット アンド ペーストします。

「COM 抽出ユーティリティの使用方法」を参照してください。

データ セット

データ アクセス制御規則で使用するデータ セットを設定します。データ セットは、1 つの共通名の下にデータ ストリングをグループ化したものです。データ ストリングは、HTTP 要求の URI の部分、またはシグニチャ照合用の MSRPC および LPC パターンに一致するパターンのセットを表します。これで、データ アクセスに関する許可と制限を設定する規則でデータ セットの名前が使用されます。この名前の下にあるすべてのデータ パラメータは、この名前を使用するすべての規則に適用されます。

CSA MC には、実際に使用できる事前設定のデータ セットが付属しています。事前設定のデータ セットは、次の項目に基づいて照合する URI パターンをグループ化したものです。

メタキャラクタの機能アソシエーション(たとえば、「(」と「)」)

既知の攻撃クラスの例

Web サーバに固有の不正利用

事前設定のデータ セットは、次の項目に基づいて照合するシグニチャをグループ化したものです。

MSRPC インターフェイス ID

LPC インターフェイス ID

コマンド シェルを呼び出してディレクトリ リストを取得することで攻撃を実行しようとする HTTP 要求の例を次に示します。この構文のデータ セット(*cmd.exe*)は、このような不正利用だけでなく、コマンド シェルを利用しようとする他の不正利用も阻止します。

GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir

) 事前設定のデータ セットは、すべてが事前設定のポリシーで使用されているわけではありません。たとえば、一部の攻撃のフィンガープリントまたはコマンド引数は、特定の Web サーバの展開では使用できますが、別の展開では使用できません。したがって、付属のポリシーで使用されている事前設定のデータ セットが正当であっても、Web サーバで使用するメタキャラクタがブロックされる場合は、これを変更する必要があります。



) さらに、事前設定のデータ セットを変更すると、新旧の不正利用や攻撃に一致する固有のパターンをブロックすることができます。



) HTTP プロトコル データ セットを指定するデータ アクセス制御規則は、Windows オペレーティング システムのデスクトップ バージョンではサポートされません。


データ セットを設定するには、次の操作を行います。


ステップ 1 メニューバーの [Configuration] ドロップダウン リストの [Variables] をマウスでポイントします。カスケード メニューが表示されます。

ステップ 2 カスケード メニューから [Data Sets] を選択します。既存のデータ セットの設定が表示されます。

ステップ 3 新しいデータ セットを作成するには、[New] ボタンをクリックします。データ セットの設定ビューが表示されます。

ステップ 4 [Name] に、データ セットの名前を入力します。このデータ セットの一意名です。一般に、対応する規則設定のフィールドに入力しやすいデータ セット名を使用してください。

ステップ 5 [Describe] に、データ セットの説明を入力します。[Description] フィールドに入力したテキストは、この特定のデータ セットの設定を識別しやすいように、リスト ビューに表示されます。

ステップ 6 [Conf igure Display only in Show All mode]:変数のリストが規則またはアプリケーションの設定ページ内で長すぎる場合、変数ページで [Display only in Show All mode] チェックボックスをオンにすると、その変数タイプの選択リストで、変数が非表示となります。この機能は、Admin Preference 設定と連動します。項目を再表示させるには、[Admin Preferences] ページへ移動する必要があります。「ロールベースの管理の設定」を参照してください。

ステップ 7 [Protocol]:このデータ セットを設定するプロトコルを選択します。構文要件および例については、「データ セット インターフェイスの照合構文」および「データ セットのパターン マッチング構文」を参照してください。

すべて

[Patterns matching]:制限を適用するデータ ストリングを入力します(1 行につき 1 つ)。デフォルトでは <all>(すべてのストリング)が指定されています。フィールド内をクリックすると、<all> が消えて任意のデータを入力できます。


) データ パターンを入力する場合、「*」は一般的なワイルドカードを表します。


[but not]:[Patterns matching] フィールドに入力したデータ ストリングの例外を作成します。デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。

HTTP

[Patterns matching]:制限を適用するデータ ストリングを入力します(1 行につき 1 つ)。デフォルトでは <all>(すべてのストリング)が指定されています。フィールド内をクリックすると、<all> が消えて任意のデータを入力できます。このパターンは、HTTP Web サーバで要求 URI(Uniform Resource Identifier)と照合して Allow(許可)または Deny(拒否)のデータ アクセス制御規則を適用する場合に使用します。

[but not]:[Patterns matching] フィールドに入力したデータ ストリングの例外を作成します。デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、

MSRPC

[Interface ID matching] に、照合に含めるまたは除外するインターフェイス ID を入力します。デフォルトは <all> です。通常、これはデフォルトのままにして、すべてのインターフェイスでパターン照合を行います。

[but not]:[Interface ID matching] フィールドに入力したデータ ストリングの例外を作成します。デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、

[Patterns matching] に、照合に含めるまたは除外するパターンを入力します。これらのパターンは、@signatures または @highrisk_signatures トークンで表されます。

[but not]:[Patterns matching] フィールドに入力したデータ ストリングの例外を作成します。

LPC

[Interface ID matching] に、照合に含めるまたは除外するインターフェイス ID を入力します。デフォルトは <all> です。通常、これはデフォルトのままにして、すべてのインターフェイスでパターン照合を行います。

[but not]:[Interface ID matching] フィールドに入力したデータ ストリングの例外を作成します。デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、

[Patterns matching] に、照合に含めるまたは除外するパターンを入力します。これらのパターンは、@signatures または @highrisk_signatures トークンで表されます。

[but not]:[Patterns matching] フィールドに入力したデータ ストリングの例外を作成します。


) @signatures 以外のパターンを指定すると、システム パフォーマンスに影響を与えることがあります。これは、@signatures のデータ セットを指定するデータ アクセス制御規則は、規則中のアプリケーションが @signatures トークンに関連付けられているペイロードにアクセスしようとしたときにだけトリガーされるためです。データ アクセス制御規則で <all> データ セットのパターンを指定した場合、そのデータ アクセス制御規則で指定されているアプリケーションがアクセスするすべてのペイロードで規則がトリガーされます。

場合によっては、指定されたインターフェイス ID のみを使用してデータ セットを設定したいことがあります。このケースには、次の場合が当てはまります。

MSRPC インターフェイス全体をブロックする。脆弱だとわかっているインターフェイスに役立ちます

特定の安定した、またはミッション クリティカルなインターフェイスに信頼性の高いシグニチャだけを使用し、脆弱で重要でないインターフェイスに信頼性の低いシグニチャを使用する

特定のインターフェイスの false positive に例外を作成する

インターフェイスに基づいて異なるアクション(クエリー、拒否、終了など)を実行する


 

ステップ 8 必要な情報をすべて入力し、[Save] ボタンをクリックしてデータ セットを CSA MC データベースに保存します。

これで、データ アクセス制御規則ファイルを入力するフィールドの [Insert Data Set] リンクをクリックすると、このデータ セット名が入ります。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-2 データ セットの設定ビュー

 

ファイル セット

ファイル アクセス制御規則およびアプリケーション クラスで使用するファイル セットを設定します。ファイル セットは、個別のファイルとディレクトリを 1 つの共通名の下にグループ化したものです。この名前はディレクトリとファイルの許可および制限を制御する規則で使用されます。この名前の下にあるすべてのパラメータは、この名前を使用するすべての規則に適用されます。

CSA MC には、実際に使用できる事前設定のファイル セットが付属しています。


) [File Sets] ページですべてのフィールドの設定を指定する必要はありません。複数の設定を指定する場合、単一フィールド内では複数の選択肢が「or」で処理されることに注意してください。複数のフィールドに対して設定を指定する場合は、それらは「and」で処理されます。


ファイル セットを設定するには、次の操作を行います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューの [Variables] をマウスでポイントし、[File Sets] を選択します。

ステップ 3 新しいファイル セットを作成するには、[New] ボタンをクリックします。

ステップ 4 管理者アカウントのオペレーティング システム プリファレンスを設定していない場合は、ポップアップ ボックスで [Windows] または [UNIX] をクリックします。管理者アカウントに対してオペレーティング システム プリファレンスを設定した場合は、そのオペレーティング システムに対して新しいファイル セットが自動的に作成されます。ファイル セット設定ビューが表示されます(図 8-3 を参照)。

ステップ 5 次の編集フィールドに情報を入力します(「正しい構文の使用方法」を参照。各フィールドの横にあるクィック へルプの疑問符をクリックすると、構文の説明が表示されます)。

[Name]:このファイル セットの一意名です。一般的に、対応する規則設定のフィールドに入力しやすいファイル セット名を使用してください。ファイル アクセス規則、ネットワーク アクセス規則、アプリケーション クラスで設定変数を使用する場合は、変数名の前にドル記号を指定する必要があります。

たとえば、cgi_files というファイル セット変数がある場合、この変数を使用する編集フィールドには $cgi_files と入力する必要があります。ドル記号によって、これが変数値であることを CSA MC に通知します。

[Description]:このファイル セット設定を説明するテキストであり、リスト ビューに表示されます。

[OS]:ファイル セットを作成するときは、UNIX または Windows のファイル セットのどちらを作成するかを選択する必要があります。選択すると、すべての UNIX または Windows プラットフォームに対してファイル セットが指定されます。必要に応じて、[OS] リスト ボックスから特定の UNIX または Windows オペレーティング システムを選択することにより、対象とするオペレーティング システムをさらに絞り込んで選択します。

ステップ 6 [Directories matching]:制限を適用するディレクトリとファイルを入力します(1 行につき 1 つ)。

デフォルトでは <all>(すべてのディレクトリ)が指定されています。フィールド内をクリックすると、<all> が消えて任意のディレクトリ制限を入力できます。ディレクトリ制限を入力する場合は、次の構文を使用します。

Windows の例:

c:¥Program Files¥**¥*SQL*¥bin¥**
¥Program Files¥**¥*SQL*¥bin


UNIX の例:

/apache/webroot/**
/usr/admn/sg
 

オプションと正しい構文の例については、「ディレクトリとファイル名の構文要件」を参照してください。

ステップ 7 [but not]:[Directories matching] フィールドに入力したファイルとディレクトリの例外を作成します。次の例を参考にしてください。

Windows の例:

c:¥Program Files¥**¥*SQL*¥bin¥temp

注意 上記のように例外を入力することは、bin フォルダ内のどの temp ファイルも、このファイル セットを使用して適用する制限では無視されることを意味します。また、除外されたディレクトリ「temp」にアクセスするときに、[Directories matching] フィールドで保護しているパスが保護されないことも意味します。

UNIX の例:

/etc/passwd

デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。

ステップ 8 [Files Matching]:アクセスを制御するファイルの名前を入力します。

特定のファイル タイプのすべてを表すワイルドカードを使用できます。たとえば、 *.exe は、すべての実行可能ファイルを表します。

デフォルトでは <all>(すべてのファイル)が指定されています。フィールド内をクリックすると、<all> が消えて任意のファイル制限を入力できます。

ステップ 9 [but not]:[Files Matching] フィールドに入力したファイル名に対して例外を作成します。たとえば、すべての実行可能ファイルの制限に対して例外 regedit.exe を指定します。

デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。


) CSA MC によって隔離されたファイルをすべて示すには、[File set text] フィールドで @dynamic を使用します。隔離されたファイルのログを受け取ると、このリストが自動的に(ダイナミックに)更新されます。


ダイナミックに隔離されたファイル リストに追加されたファイルを表示して、ファイルを手動で隔離済みとして追加するには、[Global Event Correlation] ページで [Manage dynamically quarantined files] リンクをクリックします。詳細については、「ダイナミックに隔離されたファイルと IP アドレスの管理」を参照してください。

ステップ 10 (UNIX のみ)UNIX 用のファイル セットにはもう 1 つの設定フィールド [Attributes Matching] があります。[Attributes Matching] 編集フィールドの [Insert attribute] リンクをクリックし、オプションで照合する 1 つ以上のファイル タイプを選択します。次のファイル タイプを指定できます。

block device:バッファ I/O またはブロック I/O 用に使用される特殊ファイル。たとえば、ディスク デバイス。

character device:非バッファ I/O またはキャラクタ I/O 用に使用される特殊ファイル。たとえば、tty ファイル。

executable file:/etc/magic で実行可能として識別されるファイル。

interpreter file:最初の行が「#! interpreter [arg]」で始まるスクリプト(シェル、perl など)を含むファイル。

java class file:/etc/magic/ で実行可能な Java バイト コードとして識別されるファイル。

setgid file:ファイル モードで設定された「set group ID on execution」プロパティを持つファイル。

setuid file:ファイル モードで設定された「set user ID on execution」プロパティを持つファイル。

ステップ 11 (Windows のみ)Windows 用のファイル セットにはもう 1 つの設定フィールド [Content matching] があります。[Content matching] フィールドを使用して、すべてのファイルが同じタグを持つファイル セットを記述できます。次の手順に従って、[Content matching] フィールドにアンチウイルス タグを追加します。各アンチウイルス タグのエントリは、[Content matching] ボックスで、それぞれ独自の行に配置されます。

a. [Content matching] 編集フィールドの横にある [Insert content] リンクをクリックします。[File Content Selector] ポップアップ ウィンドウが開きます。

b. [Type] フィールドで [Virus scanning] を選択します。

c. [Tag] フィールドにウイルス タグ名を入力し、[OK] をクリックします。@virusscan トークンの構文要件については、「アンチウイルス タグ トークンの構文」を参照してください。

必要に応じて、[Content matching] フィールドの編集ボックスをクリックすることにより、このフィールドを直接編集することもできます。@virusscan トークンの構文ガイドラインに従ってください。

d. すべてのウイルス スキャン タグを追加したら、[File Content Selector] ポップアップ ボックスを閉じます。

アンチウイルス機能に関する一般情報については、 第 15 章「アンチウイルスの基礎」 を参照してください。

ステップ 12 (Windows のみ)Windows 用のファイル セットにはもう 1 つの設定フィールド [Content matching] があります。[Content matching] フィールドを使用して、すべてのファイルが同じタグを持つファイル セットを記述できます。次の手順に従って、[Content matching] フィールドにスキャニング データ タグまたはスタティック データ タグを追加します。各タグのエントリは、[Content matching] ボックスで、それぞれ独自の行に配置されます。

a. [Content matching] 編集フィールドの横にある [Insert content] リンクをクリックします。[File Content Selector] ポップアップ ウィンドウが開きます。

b. [Type] フィールドで [Data Classification] を選択します。

c. [Tag] リスト ボックスから Data Classification タグを選択し、[OK] をクリックします。[Tag] リスト ボックスには、すべてのイネーブル化されたスキャニング データ タグとスタティック データ タグが含まれます。[Tag] リスト ボックスからタグを選択することが、コンテント タイプを指定する最も正確な方式です。

[New Data Classification Setting] ポップアップ ボックスで [New] をクリックして、独自のスキャニング データ タグを作成することもできます。独自のタグを作成したら、[Save] をクリックします。[OK] をクリックして [Content matching] ボックスにタグを追加します。コンテント タグを作成する手順については、「スキャン データ タグの作成」を参照してください。

データ損失防止機能の詳細については、 第 8 章「変数と状態条件の設定」 を参照してください。

ステップ 13 (Windows のみ)Windows 用のファイル セットにはもう 1 つの設定フィールド [Content matching] があります。[Content matching] フィールドを使用して、すべてのファイルが同じタグを持つファイル セットを記述できます。次の手順に従って、[Content matching] フィールドにデジタル署名タグを追加します。各タグのエントリは、[Content matching] フィールドで、それぞれ独自の行に配置されます。

a. [Content matching] 編集フィールドの横にある [Insert content] リンクをクリックします。[File Content Selector] ポップアップ ウィンドウが開きます。

b. [Type] フィールドで [Digital Signature] を選択します。

c. アプリケーションと共に発行されたデジタル署名を入力し、[OK] をクリックします (詳細については、「デジタル署名の操作」を参照してください)。


@digsig トークンではワイルドカード(*)が使用できますが、意図しないアプリケーションが CSA から「信頼できる」と見なされてしまうことがあるため、ワイルドカードの使用することは推奨しません。


次に、@digsig エントリの正しい構文例を示します。

@digsig=<¥Class 3 Public Primary Certification Authority (US)¥VeriSign Class 3 Code Signing 2004 CA (US)¥Adobe Systems Incorporated (US:California)>
 

これは、すべてのデジタル署名を表す正しいワイルドカードの構文例です。

@digsig=<**>

警告 CSA は、Scan Event Log 規則でファイルを Trusted にマークする目的のためだけに、デジタル署名を使用します。これは、デフォルトのポリシーで行われ、オンライン ヘルプの [Scan Event Log] セクションに記載されています。デジタル署名のコンテンツ ファイル セットは、アプリケーション クラスの指定、Kernel Protection 規則でシステムを起動した後にロードされるモジュール、FACL のターゲットなど、その他の目的で使用しないでください。その他の目的で使用すると、誤って設定され、予期しない結果になることがあります。

デフォルトのファイル セットの [Content matching] フィールドでシグニチャを編集すると安全です(File Content - Signed - Trusted Publishers など)。CSA のデフォルトのデジタル署名規則に対して、その他の変更を行わないでください。また、既存のファイル セットに対してデジタル署名の制限を生成する、などの処理はしないでください。

ステップ 14 (Windows のみ)アンチウイルス、スキャニング データ タグ、またはスタティック データ タグを指定すると、[Content Matching] の [but not] フィールドに例外を入力できるようになります。テキスト フィールドにトークンおよびタグを入力するか、[Insert Content] リンクを使用してトークンおよびタグを挿入できます。2 つの使用例を示します。

[Content matching] フィールドに @datascan=<*> を入力し、[but not] フィールドに @datascan=<SSN> を入力すると、<SSN> タグが付いておらず、データ スキャニング タグが付いているすべてのファイルを検索できます。

[Content matching] フィールドに @virusscan=<virus:**> を入力し、@virusscan=<Virus:Behavior**> を入力すると、動作ベースのアンチウイルス タグが付いておらず、ウイルス スキャン タグが付いているすべてのファイルを示すことができます。

@digsig トークンは、有効な署名者が署名し、これから実行される信頼できないコンテンツとだけ照合されるため、[but not] フィールドで使用されることはほとんどありません。

ステップ 15 必要な情報をすべて入力し、[Save] ボタンをクリックしてファイル セットを CSA MC データベースに保存します。

これで、アプリケーション クラス ファイルを入力するフィールドとファイル アクセス制御規則ファイルを入力するフィールドの [Insert File Set] リンクをクリックすると、このファイル セット名が入ります。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-3 ファイル セットの設定ビュー

 

ネットワーク アドレス セット

ネットワーク アクセス制御規則、ネットワーク シールド規則、および接続率上限規則で使用するネットワーク アドレス セットを設定します。このセットにより、特定の IP アドレス、アドレス範囲、または、一定の条件下では完全修飾ドメイン名に対して制限を適用します。アドレス セットを設定し、作成するネットワーク アクセス制御規則にその名前を入力します。


) ネットワーク アドレス セットのすべての構文要件の詳しい説明については、「ネットワーク アドレス セットの構文要件」を参照してください。この項では、構文要件の中で、完全修飾ドメイン名の使用、およびネットワーク アドレス セットでのワイルドカードの使用に関する重要な情報について説明します。


ネットワーク アドレス セットを設定するには、次の操作を行います。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC メニューバーの [Configuration] をマウスでポイントし、[Variables] > [Network Address Sets] を選択します。既存のアドレス セットが表示されます。

ステップ 3 [Network Address Set] リスト ページの [New] ボタンをクリックして、新しいネットワーク アドレス セットを作成します。設定ビューが表示されます(図 8-4 を参照)。

ステップ 4 次の編集フィールドに以下の情報を入力します(構文情報については、「オブジェクト名」を参照するか、各フィールドの横にあるクィック へルプの疑問符をクリックしてください)。

[Name]:このアドレス セットの一意名です。ファイル アクセス規則、ネットワーク アクセス規則、アプリケーション クラスで設定変数を使用する場合は、変数名の前にドル記号を指定する必要があります。

たとえば、Finance systems というネットワーク アドレス セット変数がある場合、この変数を使用する編集フィールドには $Finance systems と入力する必要があります。ドル記号によって、これが変数値であることを CSA MC に通知します。

[Description]:このアドレス セット設定を説明するテキストであり、リスト ビューに表示されます。

ステップ 5 [Address ranges matching]:デフォルトでは、<all>(すべての IPv4 アドレスと IPv6 アドレス)が指定されています。フィールド内をクリックすると、<all> が消えて単一のアドレス、アドレス範囲、完全修飾ドメイン名、またはトークンで表される値を入力できます。

範囲を示すには、ハイフンを使用します。1 行につき 1 つずつ入力します。正しい構文の例を示します。

10.66.24.130

10.67.3.0-4.255

2001:0DB8:0000:0000:00AB:CDEF:5000:6000

$Finance_group

@local

cisco.com


) IPv6 アドレスは、Linux 規則モジュール、32 ビット Windows Vista 規則モジュール、32 ビットまたは 64 ビット Windows 7 規則モジュール、または 32 ビットまたは 64 ビットの Windows 2008 規則モジュールに関連付けられている規則だけで使用できます。


複数の異なる「トークン」値を入力して、アドレス範囲を表すこともできます。

@local は、エージェント システム上にある IPv4 と IPv6 の両方のすべてのローカル アドレスを示します。これは、単一システム上のさまざまなアプリケーションがネットワーク アクセスを開かないで相互に通信できるようにする場合に使用します。

@remote は、ローカル エージェント システム上にないすべてのアドレスを示します。

CSA MC によって隔離された信頼できないホストを表示するには、[Addresses set] フィールドで @dynamic を使用します。信頼できないホストと見なされると、このリストにアドレスが追加されます (組み込みの「Processes Communicating with Untrusted Hosts」が規則内でトリガーされます)。このリストはログに記録された隔離されたアドレスを受信すると自動的に(ダイナミックに)アップデートされます。

正しい IPv4 および IPv6 アドレス構文の詳しい説明、その他の有効なトークン、および正しい構文の追加の例については、「ネットワーク アドレス セットの構文要件」を参照してください。

ステップ 6 [but not]:このフィールドを使用して、[Address ranges matching] フィールドに入力したアドレス範囲内のアドレスの例外を作成します。

ステップ 7 必要な情報をすべて入力し、[Save] ボタンをクリックしてアドレス セットを CSA MC データベースに保存します。これで、ネットワーク アクセス制御規則のホスト アドレスのフィールドで [Insert Network Address Set] をクリックすると、このネットワーク アドレス セット名が入ります。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-4 ネットワーク アドレス セットの設定ビュー

 

ネットワーク インターフェイス セット

ネットワーク アクセス制御規則、ネットワーク シールド規則、および接続率上限規則で使用するネットワーク インターフェイス セットを設定します。このセットにより、ローカル システム インターフェイスに対して制限を適用します。ネットワーク インターフェイス セットを設定し、作成する適用可能な規則にその名前を入力します。

インターフェイス タイプはローカル ネットワークだけに適用され、リモート接続には適用されません。ネットワーク インターフェイス セットを規則で使用することで、アドレスに基づいてではなく、マシンがネットワーク上で通信する方法に基づいて接続を制御できます。たとえば、WiFi ネットワーク インターフェイス タイプの 1 つが検出された場合、内部ネットワーク上の無線接続を拒否する規則を適用できます。


) ネットワーク インターフェイス セットは、Windows オペレーティング システムに適用される規則でだけ使用できます。


ネットワーク インターフェイス セットを設定するには、次の操作を行います。


ステップ 1 メニューバーの [Configuration] ドロップダウン リストの [Variables] をマウスでポイントします。カスケード メニューが表示されます。

ステップ 2 カスケード メニューから [Network Interface Sets] を選択します。既存のネットワーク インターフェイス セットの設定が表示されます。

ステップ 3 新しいネットワーク インターフェイス セットを作成するには、[New] ボタンをクリックします。設定ビューが表示されます(図 8-4 を参照)。

ステップ 4 次の編集フィールドに以下の情報を入力します(各フィールドの横にあるクィック へルプの疑問符をクリックすると、そのフィールドの詳細情報が表示されます)。

[Name]:このネットワーク インターフェイス セットの一意名です。

[Description]:このネットワーク インターフェイス セット設定を説明するテキストであり、リスト ビューに表示されます。

ステップ 5 [Interface characteristics matching]:[Insert Interface Characteristics] リンクをクリックすると、次のいずれかのインターフェイス タイプを選択し(複数可)、それぞれに対応する名前の特性を入力できます (この名前を入力するフィールドのデフォルト エントリは、all(すべて) または don't care(無指定) を意味する「*」です)。


) ホストのアダプタ名は、ホスト診断から取得できます。ホストの [Detailed status and diagnostics] リンクをクリックすると、そのホストの現在インストールされているインターフェイスと名前付き特性が表示されます(ラベルは InterfaceCharacteristics)。たとえば、Wired¥3Com 3C920 Integrated Fast Ethernet Controller (3C905C-TX Compatible) のようになります。インターフェイス タイプ名にはワイルドカードも使用できます。WiFi を選択した場合、[Mode]、[Encryption]、および [SSID] の全フィールドで <Don't care> またはワイルドカード入力が有効です。[Insert Interface Characteristics] リンクを使用してこれらのフィールドを設定するか、リテラルを入力することができます。ただし、これらのフィールドでリテラル エントリを使用することは推奨できません。



) UNIX、Solaris、または Linux システムを保護する規則でネットワーク インターフェイス セットが使用された場合、<All> が唯一の有効な設定値です。



) CSA は IP ネットワークだけに対応しています。そのため、次のインターフェイス タイプの一覧は、IP ネットワーク上で実行される接続タイプだけを扱っています。


[Wired]:名前(名前は別のインターフェイス特性)を入力するか、指定しない場合はワイルドカード文字(*)を入力します。

[WiFi]:[Mode] として、[Don't care]、[Infra]、または [Adhoc] を選択します。

WiFi の暗号化タイプとして、[Don't care]、[clear]、[Encrypted (WEP)]、[Encrypted (ckip)]、[Encrypted (tkip)]、[Encrypted (aes)]、[Encrypted (other)]、または [Encrypted (any)] を選択します。

SSID(Service Set Identifier)を入力します。

[Virtual]:名前(名前は別のインターフェイス特性)を入力するか、指定しない場合はワイルドカード文字(*)を入力します。

[PPP](ポイントツーポイント プロトコル):PPP ベースの接続を制御するためのサブオプションがいくつかあります。PPP 接続では、次のいずれかのデバイス タイプを使用できます。

<Don't care>、RAS server、unknown、modem、isdn、x25、vpn、pad、generic、serial、framerelay、atm、sonet、sw56、irda、parallel、PPoE

Ras server と unknown を除くすべてのオプションには、[Device name] および [Connection name] フィールドもあります。これらはオプションのフィールドで、より詳細な指定が可能です。いずれのフィールドもデフォルトのワイルドカード文字(*)のままにしておくことを推奨します。システムがこのインターフェイス データを取得できるのでこれらのフィールドは表示されますが、実際には、ログ ファイルで診断のために利用されるだけです。これらのフィールドをより詳細なインターフェイス制御のために使用する予定の場合は、[Device name] が「パラレル ケーブル」などの接続デバイスを指し、[Connection name] が接続を受け取るリモート システムの接続ネットワーク情報を指していることに注意してください。このフィールドには、リモート マシンの名前またはプロファイルが入ります。

[Bluetooth]:名前(名前は別のインターフェイス特性)を入力するか、指定しない場合はワイルドカード文字(*)を入力します。

[IEEE1394]:これは一般に FireWire として知られています。このインターフェイス接続タイプは、高速通信とアイソクロナス(リアルタイム)データ サービスを提供します。

[Loopback]:同じコンピュータで実行されているプロセス間の通信をルーティングします。

[Unknown]:CSA がネットワーク インターフェイスを判別できない場合、ホスト診断のページでホストのアダプタ名が「Unknown」と表示されることがあります。これが頻発するのは望ましくありませんが、この [Unknown] オプションを使用すると、CSA が判別できないアダプタ名の規則を記述することができます。

[Other]:IrDA、WAN、ATM、Token Ring など、ここで特に指定されていないすべてのインターフェイス タイプが含まれます。名前を入力するか、指定しない場合はワイルドカード文字(*)を入力します。たとえば、Intel 1394 Net Adapter となります。

[but not]:このフィールドは、[Interface characteristics matching] フィールドに入力したインターフェイス特性の例外を作成するときに使用します。

[Network address ranges]:デフォルトでは、<all>(すべてのアドレス)が指定されています。[Insert Network Address Set] をクリックして、ネットワーク アドレスの事前設定されたセットを指定します。特定のアドレスまたはアドレス範囲を指定するには、その情報をここに入力します。1 行につき 1 つずつ入力します。

正しい IPv4 および IPv6 アドレス構文の詳しい説明、有効なトークン、および正しい構文の追加の例については、「ネットワーク アドレス セットの構文要件」を参照してください。

図 8-5 ネットワーク インターフェイス セットの設定ビュー

 

ステップ 6 必要な情報をすべて入力したら、[Save] ボタンをクリックして設定を保存します。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


ネットワーク サービス

ネットワーク アクセス制御規則で使用するネットワーク サービスを設定し、事前に設定されたプロトコルとポート番号の制限を追加します。初期接続ポートによる制限、場合によっては後続のクライアント/サーバ接続による制限が可能です。

CSA MC には、実際に使用できる事前設定のネットワーク サービスが付属しています。

ネットワーク サービスを設定するには、次の操作を行います。


ステップ 1 CSA MC メニューの [Configuration] をマウスでポイントし、[Variables] > [Network Services] の順にナビゲートします。

ステップ 2 新しいネットワーク サービス変数を作成するには、[New] ボタンをクリックします。設定ビューが表示されます(図 8-6 を参照)。

ステップ 3 次の編集フィールドに以下の情報を入力します(構文情報については、「正しい構文の使用方法」を参照するか、各フィールドの横にあるクィック へルプの疑問符をクリックしてください)。

[Name]:このネットワーク サービス設定の一意名です。この名前は大文字と小文字が区別されます。一般に、ネットワーク アクセス制御規則設定のフィールドに入力しやすいネットワーク サービス変数名を使用してください。ファイル アクセス規則、ネットワーク アクセス規則、アプリケーション クラスで設定変数を使用する場合は、変数名の前にドル記号を指定する必要があります。

たとえば、FTP Service というネットワーク サービス変数がある場合、この変数を使用する編集フィールドには $FTP Service と入力する必要があります。ドル記号によって、これが変数値であることを CSA MC に通知します。

[Description]:この設定を説明するテキストであり、リスト ビューに表示されます。

[Display only in Show All mode]:変数のリストが規則またはアプリケーションの設定ページ内で長すぎる場合、変数ページで [Display only in Show All mode] チェックボックスをオンにすると、その変数タイプの選択リストで、変数が非表示となります。この機能は、Admin Preference 設定と連動します。項目を再表示させるには、[Admin Preferences] ページへ移動する必要があります。「ロールベースの管理の設定」を参照してください。

ステップ 4 [Destination protocol ports]:tcp または udp プロトコルと対応するポートまたはポートの範囲を入力して制限を指定します。

デフォルトでは、ポートを指定しないことを示す <all> が指定されています。編集フィールド内をクリックすると、<all> が消えて任意のポート制限を入力できます。

次の構文を使用します。

TCP/21
UDP/1025-65535

ネットワーク サービスを設定するすべての方式に関する詳しい説明については、「ネットワーク サービスの構文」を参照してください。

ステップ 5 [Source Protocol ports]:(注意:デフォルトの <all> ではなく、特定のソース ポートをネットワーク アクセス制御規則で使用すると、パフォーマンスが低下することがあります)必要に応じて、tcp または udp プロトコルと対応するポートまたはポートの範囲を入力し、制限を指定できます。一般に、ソース ポートとしてここでは特定のポートを指定せずに、<all> のままにしておきます。エフェメラルな宛先ポートおよび予約済みソース ポートがあるデータ接続に対してのみ、特定のソース ポートを列挙します。

予約済み宛先ポートでは多くのネットワーク接続が指定外となるため、マルチメディア アプリケーションやアクティブ FTP データ接続などの予約済みソース ポートだけを持つアプリケーションは、ソース ポートとは切り離して制御する必要があります。そのため、マルチメディア接続用にディファレンシエーテッド サービス マーキングを指定している場合、ソース ポートを指定しません。


) ftp などの一部のプロトコルでは、初期接続で開始したのと同じセッション内で追加の接続が作成されます。このような追加の接続で使用するポート番号は、別のネットワーク サービスとして定義し、コールバック接続を考慮して規則モジュールで適切に使用する必要があります。ネットワーク サービスが Allow 規則で使用される場合は、初期接続が確立すると後続の接続も許可されますが、初期接続にかかわるプロセスに限定されます。


場合によっては、アプリケーションで一時的なサービス ポートを提供し、データ接続をコールバックする必要があります。エフェメラル ポートはシステムがこの目的で割り当てた一時的なポートです。ネットワーク サービスには、次のようにエフェメラルなポートの範囲を指定できます(詳細については、「ネットワーク サービスの構文」を参照してください)。

必要な情報をすべて入力し、[Save] ボタンをクリックしてイベント セットを CSA MC データベースに保存します。
TCP/ephemeral
UDP/ephemeral

ステップ 6 これで、ネットワーク アクセス制御規則のネットワーク サービスのフィールドで、[Insert Network Service] をクリックするとこのネットワーク サービス名が入ります。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-6 ネットワーク サービスの設定ビュー

 

設定

[Notification Settings] ページで、通知規則がトリガーされたときにエンド ユーザに対して表示されるポップアップ ボックスの通知テキスト、オプション ボタン、およびチェックボックスを設定できます。

通知規則で使用する通知ポップアップ ボックスを設定するには、次の手順に従います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューで、[Variables] > [Notification settings] に移動します。

ステップ 3 [Query Settings] リスト ページで [New] ボタンをクリックして、新しいクエリーを作成します。


) CSA MC はいくつかの通知が事前設定された状態で出荷されます。ユーザは既存のクエリーを使用することも、新規のクエリーを作成することもできます。


ステップ 4 通知に付ける一意の名前を [Name] に入力します。名前は大文字と小文字を区別します。最初の文字には英文字を使用し、長さは 64 文字以下で、ハイフンとアンダースコア(_)が使用できます。名前に空白を含めることもできます。規則に対して特定の通知設定を選択するときに、規則の選択ボックスの中で容易に認識することができる、わかりやすい名前を付けてください。

ステップ 5 [Description] に、通知の説明を入力します。

ステップ 6 [Text used to notify user] 編集フィールドに、通知をトリガーしたと思われる問題の説明を入力します。このテキスト フィールドには、エージェントのデスクトップに対応する言語を使用して、ローカライズされた通知テキストを入力できます。

これは、システムで何が発生しているかをユーザに説明する通知ユーザ ポップアップ ボックスで表示される内容と同じテキストです。したがって、この情報では、ポップアップをトリガーしたシステム アクションをわかりやすく説明することが大切です。

特別に指定したトークンを使用して、クエリーに応答しているエンド ユーザに示される、対応する値を表すことができます。「通知とクエリーのトークンと構文」を参照してください。


) すべての Cisco Security Agent キットには、英語、フランス語、ドイツ語、イタリア語、日本語、韓国語、簡体字中国語、スペイン語、ポーランド語、ポルトガル語(ブラジル)、およびロシア語のデスクトップ用にローカライズされたサポートが含まれています。特定の言語を選択しない場合、クエリー テキストのデフォルト言語は英語です。入力するテキストを英語以外の言語で表示するには、[More languages] リンクをクリックします。この操作により、エージェントのデスクトップに対応する言語を使用して、ローカライズされたクエリー テキストを入力できます。詳細については、「ローカライズされた言語バージョンのサポート」を参照してください。


ステップ 7 [Allowed notification responses] マルチセレクト ボックスで、通知ポップアップ ボックスに表示するボタンを選択できます。[OK] ボタンを表示するか、[Yes] ボタンと [No] ボタンの組み合わせを表示するかを選択できます。

ステップ 8 ユーザが 5 分以内に通知に応答しない場合、またはユーザがシステムにログインしていない場合は、ここで選択した [Default response] が実行されます。

ステップ 9 ユーザに通知するだけでなく、ポップアップ ウィンドウの編集フィールドに確認文を入力するように要求できます。この確認テキストは、エンド ユーザが入力し、MC のイベント ログ メッセージに表示されます。

ステップ 10 [Save] ボタンをクリックします。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


クエリー設定

[Query Settings] ページで、クエリー規則がトリガーされたときにエンド ユーザに対して表示されるポップアップ ボックスのクエリー テキスト、オプション ボタン、およびチェックボックスを設定できます。


) クエリー設定の場合、クエリーへの応答はリソースではなく質問と関連しています。たとえば、ファイル アクセス制御規則が応答に対してユーザを照会し、同じクエリーがネットワーク アクセス制御規則にも設定されている場合、ネットワーク アクセス制御規則の起動時にユーザは再び照会されません。前のファイル アクセス制御規則からのクエリー応答が自動的に採用されます。


クエリー規則で使用するクエリー ポップアップ ボックスを設定するには、次の手順に従います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューで、[Variables] > [Query settings] に移動します。

ステップ 3 [Query Settings] リスト ページで [New] ボタンをクリックして、新しいクエリーを作成します。図 8-7を参照してください。


) CSA MC はいくつかのクエリーが事前設定された状態で出荷されます。ユーザは既存のクエリーを使用することも、新規のクエリーを作成することもできます。


ステップ 4 クエリーに付ける一意の名前を [Name] に入力します。名前は大文字と小文字を区別します。最初の文字には英文字を使用し、長さは 64 文字以下で、ハイフンとアンダースコア(_)が使用できます。名前に空白を含めることもできます。規則に対して特定のクエリー設定を選択するときに、規則の選択ボックスの中で容易に認識することができる、わかりやすい名前を付けてください。

ステップ 5 [Description] に、クエリーの説明を入力します。

ステップ 6 [Text used to query user] 編集フィールドに、クエリーをトリガーしたと思われる問題の説明を入力します。このテキスト フィールドには、エージェントのデスクトップに対応する言語を使用して、ローカライズされたクエリー テキストを入力できます。これは、システムで何が発生しているかをユーザに説明するクエリー ユーザ ポップアップ ボックスで表示される内容と同じテキストです。したがって、この情報では、ポップアップをトリガーしたシステム アクションをわかりやすく説明することが大切です。

特別に指定したトークンを使用して、クエリーに応答しているエンド ユーザに示される、対応する値を表すことができます。「通知とクエリーのトークンと構文」を参照してください。


) すべての Cisco Security Agent キットには、英語、フランス語、ドイツ語、イタリア語、日本語、韓国語、簡体字中国語、スペイン語、ポーランド語、ポルトガル語(ブラジル)、およびロシア語のデスクトップ用にローカライズされたサポートが含まれています。特定の言語を選択しない場合、クエリー テキストのデフォルト言語は英語です。入力するテキストを英語以外の言語で表示するには、[More languages] リンクをクリックします。この操作により、エージェントのデスクトップに対応する言語を使用して、ローカライズされたクエリー テキストを入力できます。詳細については、「ローカライズされた言語バージョンのサポート」を参照してください。


ステップ 7 [Allowed query actions] マルチセレクト ボックスで、クエリー ポップアップ ボックスに表示するオプション ボタンを選択できます。たとえば、ユーザに [Terminate] オプションが必要ない場合があります。このような場合、[Allow] オプション ボタンと [Deny] オプション ボタンだけが表示されるように選択します。

ユーザはクエリーについて提示された情報を読み、次の可能な選択肢から 1 つを選択して、[Apply] をクリックします。

[Allow](Yes):当該のリソースへのアプリケーション アクセスを許可します。

[Deny](No):当該のリソースへのアプリケーション アクセスを拒否します。

[Terminate]:該当のリソースへのアプリケーション アクセスを拒否し、アプリケーション プロセスの終了も試行します (winlogon など、一部のプロセスは安全に終了できません)。

ステップ 8 表示することを決定したオプション ボタンから、 デフォルト アクション とするボタンを 1 つ選択します。ユーザが 5 分以内にクエリーに応答しない場合、またはユーザがシステムにログインしていない場合は、デフォルトのアクションがすぐに実行されます。

ステップ 9 クエリー ポップアップでユーザが使用できるクエリー アクション(Allow、Deny、Terminate)を決定するほかに、ユーザによって特定のクエリー アクションが選択された場合だけ、クエリー応答をログに記録するように設定できます。[Logged query responses] セクションのマルチセレクト ボックスを使用して、ログ メッセージを作成する 1 つまたは複数の応答タイプを選択できます。たとえば、クエリーですべてのクエリー アクションが使用できる場合、Terminate 応答の場合だけログ メッセージが作成されるように設定できます (デフォルトではすべてのクエリー応答がログに記録されます)。

ステップ 10 [Don't ask again] チェックボックスを表示して、ユーザのクエリー応答を記憶することもできます。ユーザがクエリーに応答する際にこのチェックボックスをオンにすると、同じリソースで同じアクションが試行されるときに、記憶された応答が自動的に表示され、ユーザは再び質問されることはありません。

ステップ 11 セキュリティを強化するため、クエリー ポップアップ ボックスで クエリー チャレンジ を発行できます。ユーザがデフォルトの回答を選択せず、選択された回答がデフォルトよりも弱い場合、チャレンジが表示されます。ここで、システムの前に座っているユーザが、応答を試みている悪意のあるリモート ユーザまたはプログラムではなく、クエリーに回答していることが確認されます。チャレンジに成功するには、ユーザはグラフィックで表示された情報をポップアップ ボックスに入力します。

ステップ 12 ユーザに問い合わせるだけでなく、ポップアップ ウィンドウの編集フィールドに確認文を入力するように要求できます。この確認テキストは、エンド ユーザが入力し、MC のイベント ログ メッセージに表示されます。

ステップ 13 [Save] ボタンをクリックします。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。



ヒント ユーザに表示される質問を入力し、オプション ボタンを表示するように選択する際、使用するロジックがユーザの選択する応答と同期していることを確認してください。たとえば、「Do you want to prevent this action from occurring?(このアクションが発生しないようにしますか?)」のような質問を入力しないでください。このような質問で「Yes」と回答された場合、クエリーの使用方法がわかりにくくなります。ユーザは No の意味で Yes を選択することがあります。代わりに、「Select No to prevent this action from occurring.(このアクションが発生しないようにするには No を選択してください)」のような質問を入力します。


図 8-7 クエリー設定値の設定ビュー

 

通知クエリーのトークンと構文

クエリー テキストと通知テキストの編集フィールドは、同じ構文を使用します。この構文の規則は、次のとおりです。

クエリー テキストおよび通知テキストの長さは、句読点を含めて 256 文字以下です。

クエリー テキストおよび通知テキストには、キーボードから入力できる任意の文字を使用できます。

特別なトークンを使用して、クエリーおよび通知で指定された値を表すことができます。

ある言語でトークンを使用する場合、そのトークンはすべての言語で使用する必要があります。

トークンを使用した、CSA MC で使用できるファイル アクセス クエリーの例を示します。

「警告:プロセス @appname が潜在的な危険性のあるファイル @filename を修正しようとしています。許可しますか?」

このクエリーがトリガーされると、クエリー テキストで、トークンが表す値とトークンが置き換えられます。このファイル アクセス クエリーがトリガーされた場合に、ユーザに表示されるテキストの例を示します。

「警告:プロセス C:¥Program Files¥Internet Explorer¥iexplorer.exe が潜在的な危険性のあるファイル C:¥TEMP¥flaming_death.txt を修正しようとしています。許可しますか?」

クエリーおよび通知で使用できるすべてのトークンを示します。

@ActiveXname:ダウンロードされている ActiveX コントロールの名前を表します。システム API アクセス制御規則だけで使用します。

@appname:アクションをトリガーするプロセスのパスを表します。すべてのアクセス制御規則タイプで使用します。

@appname_short:アクションをトリガーするプロセスの名前を表します。すべてのアクセス制御規則タイプで使用します。

@child:呼び出されているプロセスのパスを表します。アプリケーション制御規則だけで使用します。

@clsid:COM オブジェクトの GUID を表します。COM コンポーネント アクセス制御規則だけで使用します。

@content:ファイル アクセス制御規則およびスキャン イベント ログ規則では、アクセスされているファイルのコンテンツを表します。その他の規則タイプでは、@content は、エントリをダイナミック アプリケーション クラスにトリガーしたファイルのコンテンツです。

@content_clean:ファイル アクセス制御規則およびスキャン イベント ログ規則では、アクセスされているファイルの簡素化されたコンテンツを表します。その他の規則タイプでは、@content_clean は、エントリをダイナミック アプリケーション クラスにトリガーしたファイルのコンテンツです。

@dataname:フィルタリングされているデータの名前を表します。データ アクセス制御規則だけで使用します。

@filename:アクセスされているファイルの完全なファイル パスを表します。ファイル アクセス制御規則およびスキャン イベント ログ規則で使用します。その他の規則タイプでは、@filename は、エントリをダイナミック アプリケーション クラスにトリガーしたファイル パスです。

@filename_short:アクセスされているファイルの名前を表します。ファイル アクセス制御規則およびスキャン イベント ログ規則だけで使用します。その他の規則タイプでは、@filename_short は、エントリをダイナミック アプリケーション クラスにトリガーしたファイル名です。

@fileop:ファイル操作のタイプ(ファイルやディレクトリの読み取りまたは書き込み)を表します。ファイル アクセス制御規則だけで使用します。

@funcname:呼び出されているシステム API 機能を表します。システム API アクセス制御規則だけで使用します。

@hostaddr:接続のリモート アドレスを表します。ネットワーク アクセス制御規則だけで使用します。

@hostaddrname:リモート ホスト名が解決可能な場合、接続のリモート ホスト名とアドレスを表します。ネットワーク アクセス制御規則だけで使用します。

@localaddr:接続のローカル アドレスを表します。ネットワーク アクセス制御規則だけで使用します。

@mediadevice:監視されているメディア デバイスの名前を表します。システム API 制御規則だけで使用します。

@mediaport:監視されているメディア デバイスのポートを表します。システム API 制御規則だけで使用します。

@netservice:リモート接続側で使用されるサービスまたは宛先ポートを表します。ネットワーク アクセス制御規則だけで使用します。

@netop:ネットワーク操作のタイプ(クライアントまたはサーバ)を表します。ネットワーク アクセス制御規則だけで使用します。

@parent:親プロセスのパスを表します。アプリケーション制御規則だけで使用します。

@progid:COM オブジェクトの ProgID を表します。COM コンポーネント アクセス制御規則だけで使用します。

@regname:アクセスされているレジストリ エントリを表します。レジストリ アクセス制御規則だけで使用します。

@targetapp:コードの注入または修正の対象にされているアプリケーションのパスを表します。システム API アクセス制御規則だけで使用します。

ローカライズされた言語バージョンのサポート

複数のロケールを実行しているシステム(たとえば、Multiligual User Interface のインストールまたはターミナル サービス)では、クエリーおよび通知が表示される Windows デスクトップで使用されているサポート言語で、クエリーおよび通知が表示されます。イベントは、Windows イベント ログにデフォルトのシステム言語で表示されます。

たとえば、Windows 2000 Multilingual User Interface(MUI)のインストールでは、ユーザが日本語バージョンのデスクトップを実行している場合、クエリーおよび通知は日本語で表示されます。ただし、Windows MUI システム上のシステム言語は英語であるため、このシステムでの Windows イベント ログには米国英語でフォーマットされたイベントが格納されます。

日本語にローカライズされたシステムでは、Windows イベント ログに表示されるクエリー、通知、およびイベントは日本語で表示されます。

レジストリ セット

さまざまなウイルスがレジストリ設定を使用してウイルス自体を呼び出します。レジストリ アクセス制御規則で事前に設定されたレジストリ セットを使用して、ウイルスがウイルスの一般的な値をレジストリに書き込まないようにします。

この変数は UNIX の設定では使用できません。


注意 独自のレジストリ セットを作成して規則に追加する場合は、レジストリ アクセスを制限する機能は非常に強力なツールであることに注意してください。レジストリ制限の設定が適切でないと、クリティカルなアプリケーションが機能しなくなるおそれがあります。したがって、できるだけ固有性の高いレジストリ値を指定する必要があります。レジストリ アクセスを制限するすべての規則は、まず監査モードで実行し、予定外の制限を設定していないことを確認する必要があります。

レジストリ セットは、レジストリ キーと設定値を 1 つの共通名の下にグループ化したものです。したがって、レジストリ書き込み操作を許可または拒否する規則でこの名前が使用されます。これで、この名前の下にあるすべてのレジストリ制限パラメータは、この名前を使用する規則に適用されます。

事前に設定されたレジストリ セットを表示したり、新しいレジストリ セットを作成したりするには、次の手順に従います。


ステップ 1 メニューバーの [Configuration] ドロップダウン リストの [Variables] をマウスでポイントします。カスケード メニューが表示されます。

ステップ 2 カスケード メニューから [Registry Sets] を選択します。既存のレジストリ セットの設定が表示されます。

ステップ 3 既存のレジストリ セットを表示するには、その項目のリンクをクリックします。新しいレジストリ セット変数を作成する場合は、[New] ボタンをクリックします。設定ビューが表示されます(図 8-8 を参照)。

ステップ 4 次のフィールドに情報を入力します。

[Name]:このレジストリ セットの一意名です。

[Description]:このレジストリ セット設定を説明するテキストであり、リスト ビューに表示されます。

[Display only in Show All mode]:変数のリストが規則またはアプリケーションの設定ページ内で長すぎる場合、変数ページで [Display only in Show All mode] チェックボックスをオンにすると、その変数タイプの選択リストで、変数が非表示となります。この機能は、Admin Preference 設定と連動します。項目を再表示させるには、[Admin Preferences] ページへ移動する必要があります。「ロールベースの管理の設定」を参照してください。

ステップ 5 [Registry keys matching]:レジストリ セットを作成する場合は、このフィールドに値を入力する 必要があります
レジストリ キーには、ハイブ自体のほかに、ワイルドカード以外のコンポーネントを 1 つ以上指定することを推奨します。そのようにしないと、指定したキーの範囲が大きくなりすぎることがあります。

ハイブは次のいずれかの文字列です。
HKLM:HKEY_LOCAL_MACHINE を表します。
HKCR:HKEY_CLASSES_ROOT を表します。
HKCC:HKEY_CURRENT_CONFIG を表します。
HKU:HKEY_USERS を表します(HKU¥* はすべてのユーザを表します)。

 

表 8-1 有効または無効なレジストリ キー エントリの例

**¥MSSQLSERVER¥**

これは有効なエントリです。

HKLM¥SOFTWARE¥CSCOpx¥**

これは有効なエントリです。

FOO¥SOFTWARE¥CSCOpx¥**

これは無効です(FOO はハイブではありません)。

* ¥ SOFTWARE ¥ Cisco ¥ **

これは有効なエントリです。


「ディレクトリとファイル名のワイルドカード表記」に記載されているワイルドカード構文は、レジストリ セットにも適用されます。



) アスタリスクは、レジストリ キー内の有効な 1 文字です。たとえば、HKEY_CLASSES_ROOT¥*¥OpenWithList はレジストリ キーを表します。ワイルドカードとしての * を表すには、* の代わりに「?」を使用します。


[Registry keys matching] フィールドでは、@reg の短縮表記が使用できます。@reg の表記については、「レジストリ キーに格納された値の参照」を参照してください。@reg トークンの有効な構文例を示します。

@(reg HKLM¥SOFTWARE¥MyKey¥CustomKey¥StringValue)

ステップ 6 [but not]:レジストリ キーの例外を作成します。

ステップ 7 [Registry values matching]:[Registry values matching] フィールドには、アクセスを制御する値を 1 行に 1 つずつ入力します。CSA MC は、前の [Registry keys matching] フィールドで定義されているキーで、このフィールドに入力された値を検索します。有効なレジストリ値の例を次に示します。

BootExecut e

run

load

ステップ 8 [but not]:レジストリ値の例外を作成します。

ステップ 9 必要な情報をすべて入力し、[Save] ボタンをクリックしてレジストリ セットを CSA MC データベースに保存します。

レジストリ アクセス制御規則のレジストリ エントリを入力するフィールドで [Insert Registry Set] リンクをクリックすると、このレジストリ セット名が入ります。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。


図 8-8 レジストリ設定値の設定ビュー

 

付属のレジストリ セット

CSA MC には事前に設定された複数のレジストリ セットが付属しており、レジストリ アクセス規則で使用できます。アプリケーションに固有のセットと、オペレーティング システムに固有のセットがあります。この項では、付属のレジストリ キーの例でオペレーティング システムに固有のものについて説明します。

実行キーを使用してプログラムを登録すると、システムはそのようなプログラムをサービスとして呼び出します。ウイルスはこのキーを利用して定着することがあります。

実行キーへの書き込みを防止する規則を作成してこのレジストリ値を保護すれば、前述のタイプのウイルスがウイルス自体を呼び出したり伝搬したりするのを防止できます。


) ユーザにシステムの管理者権限がある場合は、ソフトウェアをインストールするときにこの種の規則によってインストールをトリガーおよび防止することができます。このような場合は、クエリー ユーザ規則が最適です。こうして、ユーザがソフトウェアをインストールする場合は、[Query] ボックスで [Yes] と答えてインストールを許可し、エージェントがインストールを停止しないようにできます。ただし、ソフトウェアをインストールしない場合は、システム上でトリガーするこの種のクエリー ユーザ規則は重大な問題として処理される可能性があり、ユーザは [No to all] と答えてアクションを禁止する必要があります。


シェル コマンドは、ファイル形式に基づいてファイルを開く方法をシステムに知らせます。こうして、システムが特定のファイルを開くときにどのアプリケーションを使用するのかを認識します。

ウイルスは、この機能を悪用してアプリケーションを開くと同時にレジストリ設定にウイルスを呼び出させます。この場合はアプリケーションが正常に開き、ウイルスは危害を加え始めるまでは認識されません。

BootExecute は、システム起動時に実行する実行可能ファイルをシステムに通知します。

再起動オペレーションでは、システム起動時に開始するオペレーションをシステムに通知します。プログラムをアンインストールする場合は、次の再起動時に再起動オペレーションで削除するファイルとサービスも通知します。

ウイルスは、このレジストリ設定を悪用し、特定のファイルにコピー、上書き、削除のマークを付けます。たとえば、ウイルスはウイルス自体を削除する可能性のあるシステム サービスを削除しようとすることがあります。このサービスを削除することで、ウイルスが検出されなくなる可能性があります。


) ユーザにシステムの管理者権限がある場合は、ソフトウェアをアンインストールするときに、この種の規則によってアンインストールをトリガーおよび防止することができます。このような場合は、クエリー ユーザ規則が最適です。こうして、ユーザがソフトウェアをアンインストールする場合は、[Query] ボックスで [Yes] と答えてアンインストールを許可し、エージェントがアクションを停止しないようにできます。ただし、ソフトウェアをアンインストールしない場合は、この種のクエリー ユーザ規則は重大な問題として処理される可能性があり、ユーザは [No to all] と答えてアクションを禁止する必要があります。


状態条件

システム状態条件とユーザ状態条件を使用して、システムの状態またはシステムのユーザに基づいて 条件付き 規則を作成することができます。したがって、設定済みの条件が満たされた場合だけ、規則が適用されます。

System State Sets

システム状態パラメータを使用すると、検出されたマシン設定に基づいて条件を指示することができます。設定されたシステム状態でマシンがエージェントを操作している場合、その状態に関連する規則は、状態パラメータが満たされた場合にだけ適用されます。これらは条件付き規則です。System State Set の使用方法の例をいくつか示します。

システム状態を規則モジュールに適用する。システム状態の変化に基づいて、規則モジュールをダイナミックに「アクティブ化」および「非アクティブ化」することができます。

ブート時にのみ適用される特別なブート時間規則を適用する。ブートが完了すると、通常操作の規則モジュールが適用されます。

システムでインストールを実行する場合に、よりゆるやかな規則セットを適用する。インストールが完了すると、より厳格な通常操作の規則モジュールが適用されます。


) [System State] ページですべてのフィールドの設定を指定する必要はありません。複数の設定を指定する場合、単一フィールド内では複数の選択肢が「or」で処理されることに注意してください。複数のフィールドに対して設定を指定する場合は、それらは「and」で処理されます。



) [state condition] リスト ボックスで <Don't care> を選択すると、全体的なシステム状態を判別するときに、状態条件をテストしないという意味になります。[System Location state condition] または [Data Classification state condition] フィールドで「<all> but not <none>」を指定すると、これらの条件で制限されずにシステム状態が設定されることを意味します。これは、[state condition] リスト ボックスで <Don't care> を指定することと同じです。


System State Set を設定するには、次の手順を実行します。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC メニューバーの [Configuration] をマウスでポイントし、[Variables] > [System StateSets] を選択します。

ステップ 3 [New] ボタンをクリックして新しいシステム状態を作成します。図 8-9を参照してください。

ステップ 4 システム状態に付ける一意の名前を [Name] に入力します。[Rule Module] ページでこの名前を選択します。名前は大文字と小文字を区別します。最初の文字には英文字を使用し、長さは 64 文字以下で、ハイフン、アンダースコア(_)、およびスペースが使用できます。

ステップ 5 [Description] フィールドに説明を入力します。

ステップ 6 [Network Admission Control] セクションで、1 つまたは複数の Cisco Trust Agent ポスチャ 状態条件(企業のセキュリティ要件がシステムで満たされていることをそのシステムが確認するためのもの)を選択できます。この機能は、Cisco の Network Admission Control(NAC)機能と連動します。


) 現在、Cisco Trust Agent は、Vista 以前の Windows プラットフォームおよび Linux プラットフォームでだけサポートされています。



) Cisco Trust Agent ポスチャを設定する前に、NAC システム管理者に問い合わせて、ポスチャの選択がネットワーク セキュリティに与える影響について確認してください。



) <NAC Doesn't Care> ポスチャを選択すると、NAC はこのデバイスのポスチャを判別しません。


ステップ 7 [System Security] セクションで、1 つまたは複数の セキュリティ レベル 条件を選択できます。エンド ユーザにエージェント UI がある場合は、ユーザが UI 上でセキュリティ スライドバーを特定のレベルに設定できるセキュリティ レベル条件を適用できます。したがって、リモート操作またはローカル ネットワークで false positive またはセキュリティを管理するため、ある程度のユーザ制御が提供されます。このため、ユーザはある程度まで、必要なセキュリティの量を決定できます。デフォルトでは、セキュリティ レベルは Medium であると想定されます。

ステップ 8 [System Location] セクションで、[Network Interface] フィールドを使用して、1 つまたは複数のネットワーク インターフェイス セットを入力し、システム アドレス、ロケーション、または接続タイプに基づいて状態条件を作成することができます。デフォルトでは、ここでは制限は設定されません。ここでインターフェイス条件を入力すると、少なくとも 1 つのインターフェイスが指定と一致した場合に、条件が適用されます。ここで複数のインターフェイスを入力すると、インターフェイスが 1 つだけ一致した場合にシステム状態が適用されます。インターフェイス タイプが適用されるのはローカル ネットワークだけで、リモート接続には適用されません。この機能を使用すると、(アドレスに基づくのではなく)ネットワークでのマシンの通信方法に基づいて接続を制御できます。たとえば、WiFi ネットワーク インターフェイス タイプのシステム状態がトリガーされた場合に、内部ネットワークで無線接続を拒否する規則を適用できます。ネットワーク インターフェイスの設定の詳細については、「ネットワーク インターフェイス セット」を参照してください。

ステップ 9 [DNS suffix matching] フィールドを使用して、DNS サーバ ドメイン名に基づいて条件を設定できます。DNS サーバ ドメインの拡張子が [DNS suffix matching] フィールドで指定した項目と一致する場合は、条件が適用されます。[but not] フィールドを使用すると、設定するパラメータと一致する DNS 拡張子に特別な除外を作成することができます。デフォルトでは、ここでは制限は設定されません。

ドメイン拡張子が regional.acme.com である DNS サーバと一致する正しい構文の例を示します。

拡張子全体を入力できます。 regional.acme.com

ワイルドカードで表現した拡張子を入力することもできます。 *.acme.com

ステップ 10 [Data Classification] エリアの [Data Classification matching] フィールドを使用して、スキャニング データ タグまたはスタティック データ タグの表現に基づいた状態条件を設定できます。デフォルトでは、データ分類タグの照合がないと想定されます。

[Insert Tag] リンクをクリックして、スキャニング データ タグまたはスタティック データ タグを [Data classification matching any(または all)of these tags] フィールドに追加します。[Tag] リスト ボックスには、すべてのイネーブル化されたスキャニング データ タグとスタティック データ タグが含まれます。複数のタグが入力されている場合は、ドロップダウン ボックスを使用して、状態条件でこれらのタグのいずれかと一致すればよいか、すべてと一致する必要があるかを設定する必要があります。[but not] フィールドを使用すると、選択したデータ分類タグ パラメータに特別な除外を作成することができます。

ステップ 11 [Custom State Conditions] エリアで、1 つ以上のカスタム状態タグを指定するか、デフォルトの <Don't care> タグのままにします。提供されているシステム状態が要件に適していない場合は、これらのカスタム状態タグを使用して、CSA MC 管理者が設定できます。カスタム状態条件は、「Set」アトリビュートを使用する規則タイプを使用して定義します。これらの状態を定義する方法については、「アトリビュート:Custom-made state condition」を参照してください。デフォルトでは、エージェントは <Custom 1> 状態です。

ステップ 12 [Additional State Conditions] エリアで、[Add State] リンクをクリックして、次の追加の状態を 1 つ以上このページに追加します (オプションを選択するには、表示されるプルダウン メニューを使用します。次に、選択したオプションの右側にあるプルダウンを使用して、<Don't care>、Yes、No のいずれかの設定を選択します)。

Cisco Security Agent が Management Center と通信できるかどうかに基づいて状態条件を設定するには、[Management Center reachable] オプションを選択します。この条件に基づいて、規則が適用されるかどうかが決まります。エージェント サービスを初めて起動したときは、管理センターは到達不能と想定されています。規則の変更を受信するため、またはイベントをアップロードするために管理センターとの通信を試みたときに、管理センターと通信できる場合は、到達可能と見なされます。このシステム状態の詳細については、「管理センターが到達可能」を参照してください。

デフォルトでは、CSA MC に到達可能でないと想定されます。

システムでインストールが進行中である場合に適用するように状態条件を設定するには、[Installation process detected] オプションを選択します。たとえば、インストールがシステムで検出された場合にそれが許可されるように、よりゆるやかな規則セットを適用する場合などです。

デフォルトでは、インストール プロセスが検出されていないと想定されます。

ドライバがダイナミックにロードを試行している場合に状態条件を設定するには、[Untrusted rootkit detected] オプションを選択します。この条件に基づいて、規則が適用されるかどうかが決まります。規則モジュールで「Set-detected rootkit-Untrusted」規則を使用している場合は、この状態条件が満たされる可能性があります。この「Set」規則タイプがトリガーされると、システム状態は有効になります。この設定の詳細については、「アトリビュート:detected rootkit trust status」を参照してください。

これは持続状態であることに注意してください。この状態条件は、一度設定されると、リセット機能を使用する方法でのみ削除できます。「Cisco Security Agent のリセット」を参照してください。(ほとんどの状態にはこのような持続性がありません。状態の多くは、規則トリガーを使用して切り替えることができます。持続状態の「オン」への切り替えは、規則を使用する場合にだけ可能であり、「オフ」への切り替えは手動で行う必要があります)。

デフォルトでは、信頼できないツールキットが検出されていないと想定されます。

システムでシグニチャベースまたは動作ベースのウイルスが検出された場合に適用するように状態条件を設定するには、[Virus detected] オプションを選択します。このウイルス検出に基づき、状態条件設定によって、指定した規則のセットが適用されます。

デフォルトでは、ウイルスが検出されていないと想定されます。

アプリケーション、サービス、または Unprotected のマークが付けられたその他のシステム コンポーネントに対応する Protected 規則がなく、エージェントによって保護されていない場合に状態条件を設定するには、[Unprotected access detected] オプションを選択します。この設定の詳細については、「アトリビュート:detected access」を参照してください。

デフォルトでは、保護されていないアクセスが検出されていないと想定されます。

システムがブートする時間枠に適用するように状態条件を設定するには、[System booting] オプションを選択します。指定した規則のセットは、この条件に基づき、ブート中にのみ適用されます。

デフォルトでは、エージェントがインストールされているホストがブート中であると想定されます。

前のシステム ブートが標準外の方法で実行された場合に適用するように状態条件を設定するには、[Insecure boot detected] オプションを選択します。たとえば、システムをハード ドライブではなく周辺装置(CD ROM)からブートした場合です。このタイプのブートは標準外と見なすことができ、場合によっては疑わしい可能性があります (これはトロイの木馬をシステムに取り込む 1 つの方法です)。このタイプの周辺装置によるセキュアでないブートの検出は、対応するシステムの特定タイプの互換 BIOS と連動します。互換 BIOS は標準外のブートを検出して、次回の標準のブート時にカーネル保護規則(「カーネル保護」を参照)が適切に設定されていれば、メッセージが MC に送信され、MC はこのセキュアでないブートの検出をログに記録します。次に、これによってシステム状態(設定済みの場合)がトリガーされます。セーフ モードによるブートも、このセキュアでないブートのカテゴリに入ります。互換 BIOS は、セーフ モード ブートの検出には必要ありません。ただし、セーフ モード ブートの検出がサポートされるのは Windows プラットフォームだけです。

「Set-detected boot-as insecure」カーネル保護規則を使用している場合は、この状態条件が満たされる可能性があります。この「Set」規則タイプがトリガーされると、システム状態は有効になります。この設定の詳細については、「Set アクションの使用方法」を参照してください。

これは持続状態であることに注意してください。この状態条件は、一度設定されると、リセット機能を使用する方法でのみ削除できます。「Cisco Security Agent のリセット」を参照してください。(ほとんどの状態にはこのような持続性がありません。状態の多くは、規則トリガーを使用して切り替えることができます。持続状態の「オン」への切り替えは、規則を使用する場合にだけ可能であり、「オフ」への切り替えは手動で行う必要があります)。

デフォルトでは、セキュアでないブートが検出されていないと想定されます。

ステップ 13 [Save] ボタンをクリックします。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。



) 設定するシステム状態は付加的です。指定された状態条件はすべて、状態をトリガーするために満たされるべき要件の一部として使用されます。



注意 Remote VPN Clients - System Location および Management Center Reachable システム状態は、ネットワーク設定がシステムで変更されるたびにエージェントによってチェックされます。一部の VPN クライアントがシステムでネットワーク設定を変更し、それによってシステム状態がトリガーされる場合があります。そのような VPN クライアントは、System Location および Management Center Reachable 設定を使用して、トンネルが起動しているかどうかによって、ポリシーを変更することができます。Cisco VPN クライアント V3.6 など、その他の VPN クライアントは、システムでネットワーク設定を変更しません。したがって、System Location および Management Center Reachable 状態を使用して、このようなタイプの VPN クライアントでトンネルを検出することはできません。これらのシステム状態を使用する場合は、VPN クライアントがどのように動作するかを理解する必要があります。

図 8-9 System State 条件

 

User State Sets

ユーザ状態パラメータを使用すると、検出されたユーザやグループ設定に基づいて条件を指示できます。設定されたユーザ状態でマシンがエージェントを操作している場合、その状態に関連する規則は、状態パラメータが満たされた場合にだけ適用されます。これらは条件付き規則です。ユーザ セットを規則モジュールに割り当てる場合に、このことに注意してください。

ユーザ状態をチェックするプロセスはシステムにとって費用のかかるものであるということにも注意してください。これらの設定は慎重に使用してください。

ユーザ状態を使用する必要があるのは、たとえば、Web サーバのページを変更できるユーザを指示して制限する場合などです。Web サーバ アプリケーション自体は、ページの編集ではなく、ページの表示だけを実行します。この設定を使用して、特定のアプリケーション(FrontPage など)を使用する認証された管理者だけが Web サーバのコンテンツを変更できるようにすることができます。

適切なユーザ状態設定の使用例としては、エージェント セキュリティの一時停止など、管理者だけに実行を許可する特定のタスクを、ユーザのグループが実行しないように制限するような状況もあります。

User State Set を設定するには、次の手順を実行します。


ステップ 1 メニューバーの [Configuration] > [Rule Modules] をマウスでポイントします。表示されるカスケード メニューから [User State Sets] を選択します。

ステップ 2 [New] ボタンをクリックして新しいユーザ状態を作成します。図 8-10を参照してください。

ステップ 3 ユーザ状態に付ける一意の名前を [Name] に入力します。[Rule Module] ページでこの名前を選択します。名前は大文字と小文字を区別します。最初の文字には英文字を使用し、長さは 64 文字以下で、ハイフンとアンダースコア(_)が使用できます。名前には、空白、カッコ、およびピリオドを含めることもできます。

ステップ 4 [Description] フィールドに説明を入力します。

ステップ 5 ユーザ情報に基づいて条件を設定する場合は、[Users matching] フィールドに、マシン名またはドメイン名とユーザ アカウントを ¥ で区切ってユーザ ストリング データを入力します。たとえば、このフィールドに入力した内容は次のように表示されます。

Domain_Accounting¥Administrator This represents the administrator in the Windows domain "Domain_Accounting."

W2K-jefe¥Administrator This represents user "Administrator" defined locally on the computer "W2K-jefe."

*¥Administrator This represents any user administrator.

Domain_Accounting¥* これは、ドメイン「Domain_Accounting」内のすべてのユーザを表します。

[Users matching]/[but not] フィールドではワイルドカードを使用できます。

ステップ 6 [but not] フィールドを使用すると、設定するパラメータと一致するユーザに特別な除外を作成することができます。

ステップ 7 [Groups matching] フィールドで、グループ情報に基づいて条件を設定することを選択すると、このフィールドに入力した内容が次のように表示されます。

NT AUTHORITY¥SYSTEM

Domain_Accounting¥Administrators

Windows では、[Group matching] フィールドに SID(セキュリティ ID)の数値分類も入力できます。オペレーティング システムの各国語版に適用される状態を作成している場合は、グループ名ではなく SID を使用すると便利です。グループ名は、各国語で異なる可能性がありますが、SID の分類は常に同じです。

[Groups matching]/[but not] フィールドではワイルドカードを使用できません。ユーザが複数のグループに属している場合は、指定されたグループの 1 つと一致すれば、ユーザ状態の基準が満たされます。


) UNIX では、ユーザ名およびグループ名の大文字と小文字は区別されます。Windows の場合、これらの大文字と小文字は区別されません。



) グループ指定の方がより広く適用できるので、ユーザ許可でなくグループ許可を使用することを推奨します。


ステップ 8 [but not] フィールドを使用すると、設定するパラメータと一致するグループに特別な除外を作成することができます。

ステップ 9 [Save] ボタンをクリックします。


ヒント ページの右上隅に赤い [Tasks] メニューがあり、このコンポーネントに関連する一般的なタスクを実行できます。詳細については、「設定タスクのメニュー」を参照してください。



) ログに記録されたイベントにあるユーザ情報のほかに、ホスト診断機能を使用して、指定したホストで確認されたユーザおよびグループ クレデンシャルの記録を検索することができます。これは、ポリシーのトラブルシューティングを行う場合に役立ちます。表示されるクレデンシャルの記録は、規則がそのユーザのコンテキストでトリガーされたことを意味するものではないことに注意してください。


図 8-10 User State 条件

 

管理センターが到達可能

通常、Management Center for Cisco Security Agent が「reachable」状態の場合、エージェントはその MC にイベントを送信したり、MC からソフトウェアおよびポリシーのアップデートを受信できます。MC 到達可能状態については、エージェント インターフェイスの [Status] ペインの [Management Center] フィールドに表示されます。

MC 到達可能状態の識別は、次のように行われます。初期状態では、リモート エージェントは MC に「not reachable」の状態です。CSA は、エージェント マシンのルーティング テーブルが変更されるたびに、MC 到達可能状態について再評価します。ルーティング テーブルが変更されると、CSA はポーリングを試行します。ポーリングに成功した場合、MC は「reachable」となり、ポーリングに失敗した場合、MC は「not reachable」となります。

MC 到達可能状態は、エージェントから MC に「ping 可能」であるかどうかを示すものではありません。到達可能状態は、ルーティング テーブルまたは IP アドレスの変更により、ポーリングが新たに強制実行された結果として変化します。

デジタル署名の操作

ここでは、2 つのタスクについて説明します。

「デジタル署名の検索」

「「File Content - Signed - Trusted Publishers」ファイル セットの編集」

デジタル署名の検索

ホストがアプリケーションをダウンロードした後、アプリケーションにデジタル署名があれば、csalog.txt に記録されます。デジタル署名を示す csalog.txt ファイルのエントリの例を示します。デジタル署名は、太字で示した箇所です。

58: HostName: Mar 17 2009 11:12:40.282 -0400: %CSA-5-SIGNED_FILE: %[Component=Csamanager][PID=1296]: The file 'C:¥WINDOWS¥SYSTEM32¥MACROMED¥FLASH¥NPSWF32_FLASHUTIL.EXE' was signed by ' ¥Class 3 Public Primary Certification Authority (US)¥VeriSign Class 3 Code Signing 2004 CA (US)¥Adobe Systems Incorporated (US:California) '

デジタル署名を検索する方法


ステップ 1 エージェントが展開されていて、最近、デジタル署名付きのアプリケーションをダウンロードしたホストにログインします。

ステップ 2 ディレクトリ ¥Program Files¥Cisco¥CSAgent¥log を開きます。

ステップ 3 csalog.txt を開いて、ストリング was signed by を検索します。

ステップ 4 デジタル署名を別のファイルにコピーします。デジタル署名には、開始の ' または終了の ' は含まれません。

「File Content - Signed - Trusted Publishers」ファイル セットの編集

デジタル署名を取得した後、File Content - Signed - Trusted Publishers ファイル セットに追加するか、新しいファイル セットを作成できます。File Content - Signed - Trusted Publishers ファイル セットにシグニチャを追加する利点として、Base - Digital Signers for Downloaded Executables 規則モジュールのスキャン イベント ログ規則で自動的に参照されます。そのため、自動的に <All Windows> グループの全メンバーに利点があります。


) デジタル署名を File Content - Signed - Trusted Publishers ファイル セットに追加すると、すべてのアプリケーションが、信頼されるその企業によって署名されます。


File Content - Signed - Trusted Publishers ファイル セットを編集するときは、ファイル セットの設定に関する一般的な指示に従ってください (詳細については、「ファイル セット」を参照してください)。File Content - Signed - Trusted Publishers ファイル セットは、読み取り専用とマークされています。編集するには、ユーザ ロールで読み取り専用設定オブジェクトの修正が許可されている必要があります。

@digsig エントリの正しい構文例を示します。

@digsig=<¥Class 3 Public Primary Certification Authority (US)¥VeriSign Class 3 Code Signing 2004 CA (US)¥Adobe Systems Incorporated (US:California)>

警告 CSA は、Scan Event Log 規則でファイルを Trusted にマークする目的のためだけに、デジタル署名を使用します。これは、デフォルトのポリシーで行われ、オンライン ヘルプの [Scan Event Log] セクションに記載されています。デジタル署名のコンテンツ ファイル セットは、アプリケーション クラスの指定、Kernel Protection 規則でシステムを起動した後にロードされるモジュール、FACL のターゲットなど、その他の目的で使用しないでください。その他の目的で使用すると、誤って設定され、予期しない結果になることがあります。

デフォルトのファイル セットの [Content matching] フィールドでシグニチャを編集すると安全です(File Content - Signed - Trusted Publishers など)。CSA のデフォルトのデジタル署名規則に対して、その他の変更を行わないでください。また、既存のファイル セットに対してデジタル署名の制限を生成する、などの処理はしないでください。