Management Center for Cisco Security Agents 6.0.2 インストレーション ガイド
簡単な設定と導入
簡単な設定と導入
発行日;2012/02/21 | 英語版ドキュメント(2010/04/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

概要

CSA MC へのログイン

Management Center for Cisco Security Agents へのアクセス

簡易ビュー モードと詳細ビュー モード

CSA MC における表示、非表示、および読み取り専用コンポーネント

Cisco Security Agent ポリシー

製品のパイロット

パイロット プログラムの実行

簡単な設定と導入

1. ライセンスのアップデート

2. ポリシーの選択

3. エージェント キットのアップデート

4. キットの配布とインストール

5. 必要に応じた例外の作成

登録済みホストの表示

ポリシーの調整およびトラブルシューティング

全体的なガイドライン

特殊なアプリケーション用ポリシーの作成

監査モードの使用

特定のルールの無効化

クエリー応答のキャッシュおよびリセット

例外ルールの設定

独自のポリシーの設定

サードパーティー製ツールを使用したエージェント キットの配布

setup.exe コマンド スイッチ

--autolevel

--reboot

--rebootdelay

--startagent

--disable_net

--targetdir

--mt

コマンドの例

簡単な設定と導入

概要

この章では、Management Center for Cisco Security Agents の使用を開始して仮グループを設定したりエージェント キットを作成したりするために必要な、基本的なセットアップについて説明します。この章の目的は、簡単に Cisco Security Agent キットの設定とホストへの配信を行い、配信先のホストを正しく CSA MC に登録できるようにすることです。この章を終えると、ポリシーを設定したり、そのポリシーをインストールと登録が完了した Cisco Security Agent に配信したりできるようになります。

設定の詳細については、ユーザ ガイドを参照してください。

この章は、次の項で構成されています。

「CSA MC へのログイン」

「Management Center for Cisco Security Agents へのアクセス」

「簡易ビュー モードと詳細ビュー モード」

「CSA MC における表示、非表示、および読み取り専用コンポーネント」

「Cisco Security Agent ポリシー」

「製品のパイロット」

「パイロット プログラムの実行」

「簡単な設定と導入」

「1. ライセンスのアップデート」

「2. ポリシーの選択」

「3. エージェント キットのアップデート」

「4. キットの配布とインストール」

「5. 必要に応じた例外の作成」

「登録済みホストの表示」

「ポリシーの調整およびトラブルシューティング」

「全体的なガイドライン」

「特殊なアプリケーション用ポリシーの作成」

「監査モードの使用」

「特定のルールの無効化」

「クエリー応答のキャッシュおよびリセット」

「例外ルールの設定」

「独自のポリシーの設定」

「サードパーティー製ツールを使用したエージェント キットの配布」

「setup.exe コマンド スイッチ」

「コマンドの例」

CSA MC へのログイン

この項の手順を使用すると、ブラウザから CSA MC にアクセスできます。ログインすると、CSA MC のホームページが表示されます。CSA MC インターフェイスについては、『Using Management Center for Cisco Security Agents』の「Interface Overview of Management Center for Cisco Security Agents」を参照してください。

Management Center for Cisco Security Agents へのアクセス

初期の管理者アカウントは、CSA MC のインストール プロセスの一環として作成されています。CSA MC にログインするには、その管理者アカウントを使用します。

管理者は、サポートされた Web ブラウザからローカルまたはリモートに CSA MC にアクセスできます。CSA MC に同時にログインできるユーザ数は 12 以下です。


) CSA MC には、CSA MC サーバに直接インストールされたブラウザではなく、リモート マシンのブラウザから接続することを推奨します。


リモート アクセス

CSA MC にリモート ロケーションからアクセスするには、ブラウザ アプリケーションを起動して次のように URL を入力します。

https://<system hostname>.<domain>
For example, enter https://stormcenter.cisco.com

ローカル アクセス

CSA MC ソフトウェアをホスティングしているシステムにローカルにアクセスするには、インストール中に作成された CSA MC のデスクトップ アイコンをダブルクリックします。

CSA MC のインストール中に作成された管理者名とパスワードを入力します。


) CSA MC システムにログインすると、CSA MC ホームページが表示されます。[Things to Do] エリアにさまざまなメッセージや警告が表示されることがあります。詳細については、『Using the Management Center for Cisco Security Agents』の「ホームページ」の説明を参照してください。



ヒント ログオンしたら、ホームページの右上端にあるグローバル コマンドのボタンを確認してください。「すべての OS」、「Windows」、または「UNIX」を示すボタンがあります。そのコマンド ボタンをクリックすると、選択したオペレーティング システムに関連するコンポーネントが表示されます。UNIX をクリックすると、Solaris および Linux オペレーティング システムの両方のコンポーネントが表示されます。



注意 シスコから有効なライセンスを取得していない場合は、CSA MC にログインしたとき、ライセンスが無効であることを示す警告が表示されます。新規に配置したエージェントはいずれも、ライセンスのない CSA MC には登録できません。ライセンス情報の詳細については、「ライセンス情報」を参照してください。

簡易ビュー モードと詳細ビュー モード

最初に CSA MC にログインしたとき、インストール プロセス中に作成された管理者には CSA MC の簡易ビューが用意されています。この「簡易モード」ビューには、製品の導入と管理に必要なすべてが用意されています。デフォルトのグループは事前設定されていて、MC とともに出荷され、サーバおよびデスクトップの独自のセキュリティ ポリシーを提供します。ウィザードを使用することにより、ご使用のサイトのセキュリティの必要性と、ご使用のネットワーク上で実行されるアプリケーションのセキュリティの必要性を満たすようにポリシーを最適化できます。

上級ユーザには「詳細モード」ビューが用意されています。このビューでは、すべての CSA MC メニューとページが管理者に表示されます。これにより、管理者は、任意のコンポーネントの作成や設定を行ったり、可能なすべてのレポートを表示したり、分析ユーティリティと保守ユーティリティの全範囲にアクセスしたりできるようになります。詳細ビューは、自社向けのカスタマイズ ポリシーを作成する必要がある管理者や、より細かいシステムの制御を要する管理者に最適です。

CSA MC における表示、非表示、および読み取り専用コンポーネント

コンポーネント リスト ページとホスト セキュリティ ページに表示されるコンポーネントは、ユーザの設定と、コンポーネントが非表示または表示であるかにより異なります。リスト ページ上またはホスト セキュリティ ページから編集できるコンポーネントは、ユーザの設定により異なります。

コンポーネントの一部はデフォルトで「非表示」であり、他のコンポーネントはデフォルトで「読み取り専用」です。ユーザは、このリリースで提供されるグループ、ポリシー、および他のコンポーネントを使用した導入で、これらのコンポーネントを設定する必要がありません。

パイロット テストを始める前に、詳細モードでシステムを表示し、メニュー バーから [Maintenance] > [Administrators] > [Account Management] に移動します。アカウント リスト ページで、パイロットの管理に使用する予定のログイン ID をクリックします。詳細ページにはユーザの設定が表示されます。

ここで、ユーザの表示モード、非表示オブジェクトを表示にする機能、および読み取り専用オブジェクトを編集できる権限を設定できます。パイロットを実行する必要のある権限でユーザを設定します。『Using Management Center for Cisco Security Agents』の「Management Center for Cisco Security Agents Administration」の章にある「Configuring Role Based Administration」を参照してください。

メニュー バーから [Configuration] > [Host Security] に移動すると [Host Security] ページが表示されます。このページからグループの設定とエージェント キットの作成を行います。グループとポリシーの簡易モード設定により、このページにコンポーネントが公開されるようになっているため、このページにグループとポリシーが表示されます。

[Host Security] ページを通じて管理する他のグループまたはポリシーがあると、ユーザ アカウントで読み取り専用のコンポーネントを編集できるようにする場合、他のグループまたはポリシーが表示されるように設定できます。[Host Security] ページにグループやポリシーのコンポーネントを公開する方法については、ユーザ ガイドの「Configuring Groups」および「Configuring a Policy」を参照してください。

Cisco Security Agent リシー

CSA MC のデフォルトの Cisco Security Agent キット、グループ、ポリシー、および設定変数は、デスクトップおよびサーバに高水準のセキュリティ範囲を提供するように設計されています。これらのデフォルトの Cisco Security Agent キット、グループ、ポリシー、ルール モジュール、および設定変数は、組織の管理方法によって特定されるローカルなセキュリティ ポリシー要件をすべては予期できません。また、ローカルでのアプリケーション使用パターンの組み合せもすべては予期できません。デフォルトの設定を使用してエージェントを配置した後、独自の環境に適した調整を検討することを推奨します。

用意されたポリシーを使用している場合は、用意された作成済みのエージェント キットを使用できます。したがって、固有の設定を作成していない場合は、キットをエンド ユーザに導入し、イベント ログを表示する情報については、『Using Management Center for Cisco Security Agents』の「Management Center for Cisco Security Agents Administration」および「Event Logging and Alerts」の章を参照してください。


) 用意された設定済みの各ルール モジュール、ポリシー、およびグループ ページには、展開可能な [+Detailed] 説明フィールドにデータがあり、その項目についての説明があります。このフィールドの情報を読み、説明されている項目について理解したうえで、その項目が使用目的に適合するかどうかを判断してください。


独自の設定を作成する出発点として、このマニュアルの以降の項では、サーバとエージェントの通信を開始するため、および独自のポリシーの配信を開始するために必要な基本エレメントの一部を設定するプロセスを段階的に説明します。

製品のパイロット

Cisco Security Agents(CSA)を大規模に導入する前に、製品の初期パイロットとして、管理しやすい妥当なサイズのパイロットを行うことが重要です。CSA をアップグレードする場合も、ショート パイロット プログラムが必要です。

CSA 6.0.2 には数多くのセキュリティ ポリシーが用意されており、企業でそのまま実行するか、最小限の調整で使用できます。この調整は、全体を代表するシステムの小規模なサンプルで行うのが最適です。

パイロットが十分に機能し、正しく調整されたポリシーを使用して CSA がシステムを保護することが確認されたら、パイロットから大規模な導入へと移行できます。

信頼しているアプリケーションの正常な動作であると完全に理解できているものを、CSA が妨害していて、Event Management Wizard を使用してアプリケーションを完全に有効にできない場合は、そのアプリケーションをすべての CSA 保護と制御から除外する特定のルールを設定できます。


警告 CSA のバイパス機能を使用するのは、最後の手段としてだけに限定してください。この機能を利用する前に、Event Management Wizard を使用して、ご使用のアプリケーションを有効にしてみてください。詳細については、『Using Management Center for Cisco Security Agents 6.0.2』の 10 ~ 14 ページの「Event Management Wizard」を参照してください。

CSA の保護と制御の除外を選択したアプリケーションが侵害された場合、ホスト システムは CSA が実行中でも脆弱となります。


次の項では、CSA のパイロットと製品の大規模な導入を行うためのガイドラインを示します。

パイロット プログラムの実行

パイロット プログラムは、次の方法で進める必要があります。

パイロット プログラムの規模はどのくらいにすべきか: エージェントをインストールするシステムの、論理的で管理しやすいサンプルを選択します。経験則として、パイロットのサイズは、導入全体のサイズの約 1 % にします。

詳細:

導入全体が非常に小規模になる場合でも、必ず、最低 15 ~ 20 システムをパイロットしてください。

導入全体が非常に大規模になる場合は、段階的にパイロットを行います。たとえば、最初の段階で一度に 1,000 システムをパイロットすることは避けます。より小規模なサンプルから開始し、段階的にパイロットを拡張していきます。

パイロットには、容易にアクセスできるマシンを含める必要があります(アクセスするのは、システム管理者または応答するエンドユーザのどちらかです)。エージェントを最終的に複数のサポート対象オペレーティング システムにインストールする場合は、そのオペレーティング システムを実行するマシンをパイロットに含める必要があります。先にも述べたように、パイロットには、計画している規模の導入全体を代表するシステムを含める必要があります。

パイロット プログラムの実行期間はどのくらいにすべきか: CSA 6.0.2 のポリシーは、そのまま使用するか、最小限の調整で使用するように設計されています。この場合も、ポリシーの導入と調整は反復プロセスです。最初に、分析対象となるイベント ログ ノイズを取得します。取得したデータを検査し、結果に応じてポリシーを微調整する必要があります。

サイトによっても異なりますが、ワークステーションに対してポリシーを調整し終えたと感じてから、パイロット プログラムを約 1 週間から 2 週間実行するようにしてください。アプリケーションの使用方法として考えられることはすべて、パイロットの時間フレームの中で行われるようにする必要があります。この推奨される時間フレームを使用すると、アプリケーション、導入、および使用方法を会計四半期全体の中で実行できます。そのため、使用するアプリケーションやアプリケーションの使用方法がすべて、このパイロット期間内に実行されるようにします。

簡単な設定と導入

Management Center for Cisco Security Agents(CSA MC)は、デスクトップ ホストおよびサーバ ホスト用のダウンロード可能キットで事前に設定されています。パイロット プログラムを実行するには、次の 5 つの手順を実行します。

1. ライセンスのアップデート

CSA MC には、サーバ用のフリー エージェント ライセンスがいくつか付属しているため、CSA MC をインストール後、すぐに実行できます。エージェントをネットワーク全体に導入する前に、デスクトップおよびサーバ用にさらに包括的なライセンスをインストールする必要があります。Data Loss Prevention 機能の保護を追加する場合、この機能用に別のライセンスをアップロードする必要があります。

ライセンスのアップデート方法と、Data Loss Prevention によるライセンスのアップデートの詳細については、「ライセンス情報」を参照してください。


) ライセンスをロードしなくても手順 3 まで実行できますが、手順 4 に進む前にライセンスをロードする必要があります。


シスコから正式な CSA MC ライセンス ファイルを入手するには、『Documentation and Licensing Overview for Management Center for Cisco Security Agents 6.0』の「Product Licensing Information」の項を参照してください。製品評価用のキーが必要で、Cisco.com の登録ユーザである場合は、[Cisco License Registration] ページに進み、Cisco Security Agent 6.x Demo License をダウンロードしてください。

2. ポリシーの選択

デスクトップ用のポリシーを選択するには、CSA MC の [Configuration] メニューをマウスでポイントして [Host Security] をクリックし、次の手順に従ってください。


ステップ 1 該当するオペレーティング システムの「デスクトップ」グループをクリックします。ポリシーの一覧が表示されます。ここからポリシー名をクリックすると、そのポリシーの説明が表示されます。

ステップ 2 デスクトップで実施するポリシーごとにチェックボックスをクリックします。ポリシーのルールは記録するだけで実施しない場合、ポリシーの [Audit Mode] チェックボックスをクリックします。どのポリシーをオンにするかわからない場合は、デフォルトの状態をそのまま使用します。デフォルト状態からチェックボックスを変更した場合は、変更後に [Save] ボタンを押します。

ステップ 3 ポリシーに赤の「警告」リンクが表示されたら、そのリンクをクリックするとカスタマイズが必要な項目が表示されます。[Policy Warning] ダイアログボックスでそのリンクをクリックし、提供されるポップアップを編集して、個々の項目をカスタマイズします。カスタマイズを行った場合は、カスタマイズ後に [Save] ボタンを押します。


ヒント 導入を段階的に行う場合は、ポリシーを 1 つずつ有効にして、そのポリシーを調整してから次のポリシーをオンにします。これにより、どのポリシーでどのような結果になったかを確認できます。

3. エージェント キットのアップデート

ポリシーは、ダウンロード可能でインストール可能なエージェント キットに組み込まれます。前の手順で変更を行った場合、ブラウザ ウィンドウの下部にある [Generate rules] をクリックしてこれらのキットをアップデートする必要があります。その後、[Generate] ボタンを押して操作の確認を行います (何も変更していない場合は、この手順をスキップできます)。

メニューの [Systems] をマウスでポイントし、[Agent kits] を選択すると、すべてのエージェント キットのリストが表示されます。

4. キットの配布とインストール

デスクトップ グループのポリシーに対応するエージェント キットを表示するには、[Host Security] ページに進み、該当する [Desktop] グループをクリックします。「Available kits for this group」というテキストと、それに続いてリンクが表示されます。このリンクをクリックすると、キットの名前がポップアップ表示されます。この名前をクリックすると、キットの詳細のダイアログボックスが表示されます。

このダイアログボックスの [Download] ヘッダの下に URL が表示されます。この URL は、適切なポリシーで CSA をインストールする実行可能プログラムを示しています。この URL を、CSA のインストールが必要なユーザに電子メールで知らせます。またはこの URL をクリックして、対象の実行可能プログラムを保存し、次にシステム管理ソフトウェア(SMS など)を使用して、この実行可能プログラムをインストールのエンドポイントにプッシュします。

エージェント キットがダウンロードされてインストールされると、そのエージェントは CSA MC に登録され、ポリシーの実施とイベントの生成を開始します。

デスクトップに対して手順 1 から 4 まで実行したら、CSA で保護するサーバについて同じ手順を繰り返します。

5. 必要に応じた例外の作成

CSA で許可されるべき操作が拒否された場合は、その操作を許可するポリシー例外を作成できます。


ステップ 1 メニュー バーから [Events] > [Event Log] に移動してイベント ログを開きます。

ステップ 2 拒否された操作に対応するイベントを、イベント ログ内で検索します。

ステップ 3 該当するイベントで、ウィザード リンクをクリックすると例外ウィザードが開きます。

ステップ 4 ウィザードから提供される手順を実行して、エージェントにさらに多くの許可を設定します。ウィザードで提供されるデフォルト設定を、そのまま使用してください。

登録済みホストの表示

エージェント キットをパイロット ホストに配布すると、次の方法のいずれかを使用して、どのホストが正常に登録されたかを確認できます。

簡易モードまたは詳細モードで、メニュー バーの [Configuration] をマウスでポイントし、[Host Security] を選択します。特定のグループの場合、ホスト カラムにあるホストの番号をクリックすると、そのグループのメンバーとして登録されているホストを確認できます。

詳細モードで、[Systems] メニューをマウスでポイントし、[Hosts] を選択します。[Hosts list] ページが表示されます。このページの右側には、各ホストに関するさまざまなタイプの情報を表示するカラムがあります。アクティブなホストを表示するには、このカラムのプルダウン メニューを使用します。

より多くのステータス データに基づいて特定のホストを検索するには、CSA MC の [Search] オプションを使用します。次のような有効なステータス情報を使用してホストを検索します。

アクティブ ホスト:ホストが一定の間隔で CSA MC にポーリングを実行している場合、そのホストはアクティブです。

アクティブ ホスト:ホストが特定の回数のポーリング間隔の間ポーリングを実行していない場合、または 1 時間以上サーバにポーリングを実行していない場合、そのホストは非アクティブです。

ポリシーの調整およびトラブルシューティング

CSA のパイロットを開始したら、ニーズに合うようにポリシーを調整し、発生するすべての問題のトラブルシューティングを行う必要があります。例外の作成の他に、ユーザの操作を拒否または許可するルールを調整したり、誤検出の防止が必要になることがあります。ポリシーの調整は、詳細モードを使用するとうまく行えます。

全体的なガイドライン

この項では、CSA のパイロットの調整およびトラブルシューティングに関する全体的なガイドラインの一部を示します。実際に技術を使用する前に、この項を最後まで注意深く読み、パイロットに関する具体的なニーズや要件を考慮してください。次に、ポリシーの調整およびトラブルシューティングを行うときに順守する最も重要なガイドラインを示します。

[Home] ページまたは [Home Security] ページから提供されたリンクを使用している場合を除き、提供されたグループ、ポリシー、またはルール モジュールのいずれも直接変更しないでください。提供されたグループ、ポリシー、またはルール モジュールは、最小限の調整または調整なしで企業内で機能するように設計されています。[Home] ページまたは [Home Security] ページで提供されるリンクを使用すると、注意が必要なエリアに移動します。 グループ、ポリシー、またはルール モジュールを大幅に変更する必要がある場合は、必ず、最初にその 複製を作成し、名前を変更してください 。これで、その要素が保持され、後で使用できるようになります。用意されているグループ、ポリシー、およびルール モジュールを直接変更すると、不用意な誤りをした際にすべて元に戻すことが困難になります。

[Host Security] ページに赤の「警告」リンクが表示されているポリシーには、注意が必要な場合があります。警告リンクをクリックすると、[Policy Warning] ダイアログボックスが表示されます。このダイアログボックスには、カスタマイズ済みであるが、アップデートがときどき必要な 1 つ以上の項目へのリンクが表示されます。[Policy Warning] ダイアログボックスでそのリンクをクリックし、提供されるポップアップを編集して、個々の項目をカスタマイズします。

用意されているグループを使用し、必要に応じて、ネットワーク内の 個々のデスクトップおよびサーバ タイプ に対して追加グループを定義します。導入前にすべてのポリシーの調整およびトラブルシューティングを実施できるよう、パイロットには、各デスクトップおよびサーバ タイプを使用している参加者を含める必要があります。

グループ メンバシップは累積されます。そのため、調整およびトラブルシューティングに役立つ場合があります。たとえば、パイロットの開始時、参加するホストが Windows デスクトップの場合、そのホストは All Windows および Desktops グループに添付されます。これらの基本的ポリシーのパフォーマンスに満足できた場合は、特定の部門のアプリケーションに対して新しいグループを定義し、新しいグループにホストを添付して、そのポリシーをパイロットすることができます。

適用モード(ライブ モードとも呼ばれる)に移行する前に、監査モードでポリシーまたはグループでパイロットを実行している場合、イベント ログ([Events] -> [Event Log] メニュー)を検査して、調整およびトラブルシューティングが必要かどうかを判断します。現行のリリースでは、グループ内の個々のポリシーを監査モードにすることも、 単一のルール モジュール を監査モードにすることもできます。したがって、調整およびトラブルシューティングを行いつつ、必要に応じて、段階的にルール モジュールを適用モードに移行することができます。監査モードを使用するときは、セキュリティ面から見ればテスト対象の領域は完全に無防備であることに留意してください。

ポリシーの調整およびトラブルシューティングは、 反復 プロセスです。改善されたポリシーを導入する前に、ポリシーの改善に 1 つずつ焦点を当てて、調整およびトラブルシューティングの技術が期待どおりに実施されていることを確認します。

CSA ポリシーを使用して、実装するセキュリティ機能に 優先順位を付けます 。また、アプリケーションとグループに優先順位を付けることもできます。優先順位を明確にし、ポリシーを 1 つずつ改善することで、大規模ネットワークに大規模なポリシー セットを導入する複雑な作業を制御できます。たとえば、優先順位に基づいて、特定のルール モジュールを監査モードにしたまま、ポリシーの残りのルール モジュールをライブ モードにすることができます。

大規模なポリシー セットは大量のログ メッセージを生成する場合があります。ポリシーを 1 つずつパイロットすると、新しいポリシーが生成したイベントだけを対象にできるという利点もあります。それ以外の場合、用意されているツールを使用して、関係のない情報を 除外 し、改善する特定のポリシーや調査する特定の動作を 分離 する必要があります。たとえば、Deny アクションにつながるイベントだけをロギングすることや、ログ メッセージの総数を削減するために特定のイベントのロギングを停止する例外ルールを作成することができます。また、ホストの診断を使用すると、ホストのユーザ状態(つまり、ユーザとグループ)に基づいて、ルールをフィルタリングできます(たとえば、Administrator グループのメンバーが使用するルールの動作だけをロギングできます)。監視ポリシーを上手に使用すると、アプリケーションやサービスを中断することなく、特定の動作に焦点を当てることができます。

パイロットのさまざまな機能をサポートするように、 独立型のエージェント キット を設定します。たとえば、すべてのポリシーを監査モードにするデスクトップ キットや、十分にテストされたポリシーの基本的なセットをライブ モードにし、1 つの試験用ポリシーを監査モードにするデスクトップ キットなどを設定できます。これらのキットに明確な名前を付けると、パイロットの参加者が、テスト対象の正しいポリシー セットをダウンロードし、改善を要する領域についての明確なフィードバックを提供するために役立ちます。

特殊なアプリケーション用ポリシーの作成

汎用デスクトップ エージェント キットまたはサーバ エージェント キットの配布とパイロットが完了すると、企業内で特殊なアプリケーションを使用する必要性に対処するポリシーを作成し、パイロットできる状態になります。

Application Behavior Investigation ツールにより、これらの特殊アプリケーションの動作を理解できます。

保護するアプリケーションに優先順位を付け、優先順位の最も高いアプリケーションで分析を開始します。メニュー バーから [Analysis] > [Application Behavior Investigation] > [Behavior Analyses] に移動して Behavior Analyses ツールを起動します。このツールを使用してアプリケーションの動作を理解し、ポリシーを作成してパイロット マシン上で監査 モードにし、イベント ログを検査します。この項の残りの部分で説明する技術を使用して、そのアプリケーションのポリシーの調整およびトラブルシューティングを行い、イベント ログを再検査します。満足する結果が得られた場合は、パイロット マシン上でアプリケーションのポリシーをライブ モードにします。これらの手順を、優先順位を示すリストにある各アプリケーションについて繰り返します。

監査モードの使用

CSA のポリシーは、 ライブ モード または 監査モード で実行可能です。ライブ モードでは、ポリシーはイベントを拒否または許可してルールを適用します。テスト モードでは、ポリシーは特定のイベントにアクションを適用した場合の結果をイベント ログに示します。監査モードでのルールに関するイベント ログのエントリはすべて、 AuditMode: というラベルで始まるため、テスト対象のルールに関連するイベントをスキャンしやすくなります。一般には、パイロットを監査モードで開始し、各ポリシーのパフォーマンスを検査しながら、段階的にライブ モードに移行します。グループ全体、グループ内の個々のポリシー、またはポリシー内の個々のルール モジュールを監査モードで配置できます。

『Using Management Center for Cisco Security Agents』の「Rule Module Configuration」の章を参照し、「Using Audit Mode」の項で監査モードの使用方法の詳細について確認してください。


) パイロットを行う場合は、監査モードとライブ モードの違いを参加者に説明し、エージェント キットが監査モード用とライブ モード用のどちらであるかを明示し、パイロットのさまざまな段階でどのキットをダウンロードして使用するのかを参加者に伝えてください。

監査モードは、無期限に使用することを意図したものでは ありません 。これは、テスト対象の領域は、セキュリティ面から見て完全に無防備であるためです。監査モードのグループとルール モジュールは、適切な段階でライブ モードに移行する必要があります。パイロットが終了したら、どのホストが監査モードになっているかを慎重に管理する必要があります。監査モードのキットが導入中にダウンロードされないことを確実にするには、そのキットを削除します。また、すべてのパイロット参加者がライブ モードのエージェント キットに移行したことを確認するには、監査に関係するホストを定期的に監視します。不用意に一部のグループまたはルール モジュールが監査モードのままになったことが原因で、導入後もセキュリティ ホールが残るというような状況は避ける必要があります。


 

特定のルールの無効化

[Events] > [Event Log] メニューからイベント ログを検査する場合、各イベントの説明では ルール番号 が参照されています。同じ特定のルール番号を持つ誤検出の一貫したパターンが見つかった場合は、必要に応じて、そのルールを無効にできます。ルールを無効にするには、次の 2 つの異なるアプローチがあります。

ルールを 一時的に 無効にできます。その後で、ルールを再考して変更したり、キャッシュされた応答に関するクエリーを設定したり、例外ルールを設定したりできます。

セキュリティ ポリシーの一部として保護する必要のないリソースがルールによって保護される場合は、ルールを 永続的に 無効にできます。

ルールを最も簡単に無効にするには、イベント ログでイベントの説明の下部にあるルール番号をクリックします。ルール ページで、[Enabled] チェックボックスをオフにして、ルールを無効にします。ルールを生成すると、このルールは無効になります。

クエリー応答のキャッシュおよびリセット

ルールには、適用アクションとして、許可、拒否、終了、またはユーザへのクエリーを設定できます。一部の例では、すでにユーザにクエリーしていても、ユーザの応答をキャッシュして保持することなく、繰り返しクエリーするルールがあります。別の例では、イベント ログに誤検出と無効な適用の組み合せを生成し、誤検出に関してユーザにクエリーし、ユーザの応答をキャッシュするように変更する必要のあるルールがあります。

クエリーの設定と応答のキャッシュは、次に示すように 別々の CSA MC メニューで行います。

クエリーを設定するには、イベント ログでルール番号をクリックして、変更するルールを表示します。次に、アクション ポップアップ メニューの [Query User] を選択します。

クエリーの応答をキャッシュするには、[Configuration] >[Variables] -> [Query Settings] メニュー オプションを選択し、ページで目的のクエリーを選択します。次に、[Enable "don't ask again" option] チェックボックスがオンになっていない場合はオンにします。ユーザがクエリーを受けたときに、このクエリーを再度受けないようにユーザが設定すると、ユーザの応答はキャッシュされます。


) クエリー応答のキャッシュを設定する弊害として、ユーザがクエリーに不適切に応答した場合でも、その不適切な応答が保持されます。クエリー応答のキャッシュを設定したら、イベント ログを確認して、ユーザがクエリーに適切に応答していることを確認してください。ユーザが不適切に応答した場合は、そのエージェントをリセットし、クエリーへの応答に関する詳細をユーザに伝えます。


ユーザがクエリーに不適切に応答し、その応答がキャッシュされた場合は、次の手順でユーザのキャッシュをリセットします。

1. [Systems] > [Hosts] メニュー オプションを選択します。

2. <ホスト名> をクリックします。

3. [Tasks] メニューで [Reset Cisco Security Agent] リンクをクリックします。

例外ルールの設定

一部の例では、特定のイベントに対する目的のアクションを完全に指定するには、2 つ以上の異なるルールを指定する必要があります。たとえば、すべてのアプリケーションが //blizzard/webdocs ディレクトリに書き込むことを拒否する 1 つ目のルールと、認証ユーザが Web マスターの場合に WebGuru アプリケーションが //blizzard/webdocs ディレクトリに書き込むことを許可する 2 つ目のルールを指定します。WebGuru に書き込みアクセスを許可する 2 つ目のルールは、 例外ルール と見なされます。これは、このルールが //blizzard/webdocs/ ディレクトリに関する拒否ルール全体の一部を無効にするためです。MC は、例外ルールの優先順位を操作して、例外ルールが無効にするルールよりも前に例外ルールが評価されるようにします。

例外ルールは MC のルール ページでも作成できますが、例外ルールを最も簡単に作成するには、イベント ログから Event Management Wizard を使用します。このウィザードの動作は、起動元となったイベントに合せて調整されます。ウィザードを使用すると、次に示す 2 つの一般的なタイプの例外ルールを作成できます。

拒否されたイベントを特定の条件下で許可する例外ルール

類似したイベントのロギングを停止する例外ルール

ウィザードを起動するには、次の手順に従います。

1. [Events] -> [Event Log] を選択します。

2. 当該イベントの説明の下部にある [Wizard] リンクをクリックします。

ウィザードから、次の事項に関して質問されます。

例外ルールの適用先を、トリガー ルールのユーザ/状態の条件にするか、またはウィザードの起動元となった特定のイベントのユーザ/状態の条件にするか。例外ルールをすべてのユーザに適用する場合は、トリガー ルールのユーザ/状態の条件(デフォルト)にするのが一般的です。イベントで指定されたユーザのみに対して例外ルールを作成する場合は、[specific user state conditions] オプション ボタンを明示的に選択する必要があります。

提案された例外ルールの記述が正しいかどうか。ルールの小さな変更(アプリケーションの指定など)については、後で変更できることに留意してください。ウィザードが終了した後でも、保存前に例外ルールを変更できます。

この新しい例外ルールを別の例外ルール モジュールに配置するか(デフォルト)、またはイベントをトリガーしたルール モジュールを変更するか。ほとんどの場合は、このルールを別の例外ルール モジュールに配置して、用意されているルール モジュールを保持できるようにする必要があります。

例外ルールを、イベントで指定されたアプリケーションに基づくものにするか、新しいアプリケーション区分に基づくものにするか。

ウィザードで [Finish] をクリックすると、MC によって新しい例外ルールが表示されます。この段階で、次の操作を行う必要があります。

1. [Description] フィールドを適切な名前に変更します。

2. [when] ボックス内の詳細を確認します。必要に応じて、この詳細を変更して例外の条件を拡大または縮小します。

3. [Save] ボタンをクリックします。

独自のポリシーの設定

完全にカスタムなポリシー セットを作成するには、ネットワーク セキュリティの専門家チームが必要です。専門家は、すでに、セキュリティ機能に関する詳細なリストを作成し、用意されている多くのルール モジュールを調査しています。これらの専門家が、Behavior Analyses ツールを使用して、ルールの作成対象となるアプリケーションを綿密に調査します。次に、目的のルール モジュールとルールを選択してカスタム ポリシーを作成します。このカスタム アプローチを使用する場合は、テスト ラボで少数のシステムの小規模なパイロットを行ってから、より大規模かつ綿密なパイロットへと拡張することを考慮してください。

カスタム ポリシーのセットを作成するには、アプリケーションの脆弱性を評価し、セキュリティの必要性について判断してから次のタスクを実行する必要があります。


ステップ 1 詳細モードで CSA MC ユーザ インターフェイスに習熟します。詳細については、『Using Management Center for Cisco Security Agents』(「ユーザ ガイド」とも呼びます)の「Management Center for Cisco Security Agents Administration」の章を参照してください。

ステップ 2 既存のルール モジュールを選択するか、独自に作成します。詳細については、ユーザ ガイドの「Rule Module Configuration」の章を参照してください。

ステップ 3 既存のルールをルール モジュールに追加するか、独自のルールを作成してこれをルール モジュールに追加します。

ステップ 4 ポリシーを作成してそのポリシーとルール モジュールを関連付けます。詳細については、ユーザ ガイドの「Building Policies」の章を参照してください。

ステップ 5 ポリシーと作成したグループまたは選択した既存のグループを関連付けます。詳細については、ユーザ ガイドの「Configuring Groups and Managing Hosts」の章を参照してください。

ステップ 6 ポリシーを配布するエージェント キットを作成します。詳細については、ユーザ ガイドの「Configuring Groups and Managing Hosts」を参照してください。

ステップ 7 新しいポリシーで作成されたイベントを監視し、ポリシーの調整と設定を行います。ユーザ ガイドの「Event Logging and Alerts」の章と、「ポリシーの調整およびトラブルシューティング」を参照してください。

サードパーティー製ツールを使用したエージェント キットの配布

エージェント キットはサードパーティー製のソフトウェア配布ツールを使用して配布できます。エージェントがダウンロードされ、インストールされると、CSA MC への登録を実施しようとします。


) エージェント キットは、cab、hdr、setup ファイルなどの複数(合計 16 個)のファイルを含む自己解凍型実行可能ファイルです。サードパーティー製のソフトウェア配布ツールを使用してエージェント キットを配布するには、最初にエージェント キットから手動でファイルを抽出し、次に特定のスイッチを適用するコマンド シェルからスクリプトまたはコマンドを実行します。スイッチは抽出された setup.exe の後で参照されます。


この配布方法は Windows エージェントだけに適用されます。


ステップ 1 エージェント キットを CSA MC からダウンロードします。

ステップ 2 エージェント キットのファイルを抽出します。エージェント キットの名前が CSA-Desktops-setup-abc123.exe の場合、次のコマンドをコマンド プロンプトから実行します。

c:¥>CSA-Desktops-setup-abc123.exe -x

これによりすべてのファイルが次のディレクトリに抽出されます。

C:¥{D933754D-B870-45b7-BFAA-1BDD2A7D4B80}

ステップ 3 ディレクトリ {D933754D-B870-45b7-BFAA-1BDD2A7D4B80} に接続します。

c:¥>cd {D933754D-B870-45b7-BFAA-1BDD2A7D4B80}

ステップ 4 大量導入用に必要なパラメータを指定して、抽出された setup.exe を実行します。

このコマンドはローカル ユーザで実行されます。

setup.exe /s --targetdir=f:¥installfolder¥ --disable_net=0 --reboot=0

次の例の f2 の使用法に注意してください。これにより、setup.exe が置かれているドライブに書き込みができない場合に備えて、Installshield ログ ディレクトリの書き込み先を指定できます。これはネットワークを経由してインストールしている場合に有効です。

setup.exe /s /f2"c:¥setup.log" --autolevel=3 --reboot=0 --nshim=1 --startagent=0

setup.exe コマンド スイッチ

バージョン 5.0.0.x 以上のエージェントの setup.exe のスイッチを、次に示します。

--autolevel

--autolevel スイッチは、インストール時のユーザの操作量を定義します。

--autolevel=1 では、質問がまったく表示されません。デフォルトのアクションが実行されます。

--autolevel=2 では、警告が表示されません。

--autolevel=3 では、すべての警告とエラー メッセージが抑制されます。

--autolevel=4 では、インストール中に何も表示されず、完全にサイレント実行されます(「Installing CSA」というメッセージも表示されません)。

--reboot

--reboot=0 では、サイレント実行でエージェントのインストールが終了し、ホストはリブートされません。

--reboot=1 では、インストールの終了後にエージェントが自動的にリブートします (これがデフォルトです)。

--rebootdelay

--rebootdelay=x では、reboot=1 の場合にリブート遅延を秒単位で指定します。


) このパラメータを指定しないで、マシンをリブートするように設定した場合(reboot=1)のデフォルトは 300 秒(5 分)です。


--startagent

このスイッチは reboot=0 の場合だけ適用されます。

startagent=0 では、インストールの終了後にエージェントが開始されません。

startagent=1 では、インストールの終了後にエージェントが開始されます。これがデフォルト設定です。


警告 エージェント サービスが手動で開始されるか、マシンがリブートされるまで、エージェントはセキュリティを提供しません。


--disable_net

このスイッチは、エージェントのセキュリティを一時停止し、マシンとの間の接続をこれ以上行わないために使用されます。

--disable_net=0 では、ネットワーク接続が禁止されません。

--disable_net=1 では、ネットワーク接続がすべて禁止されます。これがデフォルト設定です。


警告 アップグレード中、エージェント サービスは停止します。このスイッチを 0 に設定すると、アップグレード中にマシンが保護されない状態になります。


--targetdir

このスイッチを使用すると、選択したディレクトリにエージェントをインストールできます。

--targetdir=<path>

setup.exe /s --targetdir=c:¥Path¥To¥Directory


) パスにスペースが含まれていても、<パス> を引用符で囲まないでください。


パスが存在しない場合は、インストール時に作成されます。また、パスが無効な場合(無効なドライブ文字や、暗号化されたディレクトリの指定など)は、インストールが終了します。

コマンド ラインで targetdir が指定されていない場合、デフォルトのパスは次のようになります。

<PROGRAMFILES>¥Cisco

--mt

このスイッチは CSA のアンインストールに使用されます。

--mt=removeall

例:

C:¥{D933754D-B870-45b7-BFAA-1BDD2A7D4B80}>setup.exe --mt=removeall

コマンドの例

例 3-1 インストールをサイレント実行し、エラーを表示せず、インストール終了後にリブートする

setup.exe /s --autolevel=3 --reboot=1

reboot=1 によって、リブート前に 5 分のカウントダウンが表示されます。このとき、このボックスは抑制できません。

例 3-2 インストールをサイレントで行い、エラーを記録せず、10 秒後に強制的にリブートする

setup.exe /s --autolevel=3 --reboot=1 --rebootdelay=10

例 3-3 インストールをサイレント実行し、インストール先は f:¥targetfolder で、NIC を無効にせず、リブートしない

setup.exe /s --autolevel=3 --targetdir=f:¥installfolder¥ --disable_net=0 --reboot=0

例 3-4 アンインストールをサイレント実行し、ユーザ操作なし

setup.exe /s /f1"%PROGRAMFILES%¥InstallShield Installation Information¥{DE499746-67B9-11D4-97CE-0050DA10E5AE}¥setup.iss" --mt=removeall --autolevel=4

最終的にリブートする必要があります。強制リブートは行われません。

例 3-5 Installshield Installation Information フォルダからアンインストールをサイレント実行

次のディレクトリに移動します。

*:¥Program Files¥InstallShield Installation Information¥{DE499746-67B9-11D4-97CE-0050DA10E5AE}

次のコマンドを実行します。

setup.exe /s /f1"D:¥Program Files¥InstallShield Installation Information¥{DE499746-67B9-11D4-97CE-0050DA10E5AE}¥setup.iss" --mt=removeall --autolevel=4

例 3-6 ドライブに依存しないアンインストール

アンインストールをドライブ非依存にする場合は、Program Files をワイルドカード指定します。

setup.exe /s /f1"%PROGRAMFILES%¥InstallShield Installation Information¥{DE499746-67B9-11D4-97CE-0050DA10E5AE}¥setup.iss" --mt=removeall --autolevel=4