FireSIGHT システム ユーザ ガイド バージョン 5.3.1
ネットワーク マップの使用
ネットワーク マップの使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ネットワーク マップの使用

ネットワーク マップの概要

ホストのネットワーク マップの使用

ネットワーク デバイスのネットワーク マップの使用

セキュリティ侵害の痕跡のネットワークのマップの使用

モバイル デバイスのネットワーク マップの使用

アプリケーションのネットワーク マップの使用

脆弱性のネットワーク マップの使用

ホスト属性のネットワーク マップの使用

カスタム ネットワーク トポロジの使用

カスタム トポロジの作成

基本的なトポロジ情報の入力

検出されたトポロジのインポート

ネットワーク検出ポリシーからのネットワークのインポート

手動によるカスタム トポロジへのネットワークの追加

カスタム トポロジの管理

ネットワーク マップの使用

FireSIGHT システムは、ネットワーク上を移動するトラフィックをパッシブに収集し、データを解釈し、設定されたオペレーティング システムおよびフィンガープリントと比較します。この情報から、システムはネットワークの詳細な表現である ネットワーク マップ を作成します。

ネットワーク マップでは防御センターを使用して、ホストとネットワーク デバイス(ブリッジ、ルータ、NAT デバイス、ロード バランサ)に関するネットワーク トポロジを調べることができます。迅速にネットワークの全体を見るために便利なツールです。ネットワーク マップでは、関連付けられたホスト属性、アプリケーション、クライアント、セキュリティ侵害を受けたホストの痕跡、脆弱性をドリルダウンできます。つまり、実行する分析に合わせて、ネットワーク マップのビューを選択できます。

ホスト入力機能を使用して、サードパーティ製アプリケーションから、オペレーティング システム、アプリケーション、クライアント、プロトコル、またはホスト属性情報を追加して、システムが収集する情報を増やすことができます。また、Nmap を使用してアクティブにネットワーク マップのホストをスキャンして、ネットワーク マップにスキャン結果を追加できます。

ネットワーク マップのビューでサブネットを整理および識別するために、カスタム トポロジ機能を使用できます。たとえば、組織の各部署が異なるサブネットを使用している場合、カスタム トポロジ機能を使用して、そのサブネットに分かりやすいラベルを割り当てることができます。

詳細については、次の項を参照してください。

「ネットワーク マップの概要」

「ホストのネットワーク マップの使用」

「ネットワーク デバイスのネットワーク マップの使用」

「セキュリティ侵害の痕跡のネットワークのマップの使用」

「モバイル デバイスのネットワーク マップの使用」

「アプリケーションのネットワーク マップの使用」

「脆弱性のネットワーク マップの使用」

「ホスト属性のネットワーク マップの使用」

「カスタム ネットワーク トポロジの使用」

ネットワーク マップの概要

ライセンス:FireSIGHT

ネットワーク マップの各ビューは、展開可能なカテゴリおよびサブカテゴリの階層ツリーからなる、同一の形式です。カテゴリをクリックすると、展開して、その下のサブカテゴリを表示します。実行する分析の種類に応じて、ネットワーク マップの異なるビューを選択できます。

防御センターは、ディスカバリ ポリシーが適用されているすべてのセキュリティ ゾーン(NetFlow 対応デバイスからのデータを処理するゾーンを含む)からデータを収集します。複数のデバイスが同じネットワーク資産を検出した場合、防御センターは情報をまとめて資産を複合表示します。

NetFlow 対応デバイスによってエクスポートされるデータを追加するようネットワーク検出ポリシーを設定できますが、これらのホストに関して利用可能な情報は限られています。たとえば、ホスト入力機能を使用してデータが提供されていない限り、これらのホストに関して利用可能なオペレーティング システム データはありません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

任意のネットワーク マップで任意のホストの ホスト プロファイル を参照できます。システムによって収集されたホストのすべての情報の完全なビューを提供します。ホスト プロファイルには、ホスト名、オペレーティング システム、およびすべての関連付けられた IP アドレスといった一般情報と、検出されたプロトコル、アプリケーション、セキュリティ侵害の痕跡、およびホスト上で実行しているクライアントといった固有情報が含まれます。ホスト プロファイルには、ホストと検出された資産に関連付けられた脆弱性に関する情報も含まれます。ホスト プロファイルの詳細については、「ホスト プロファイルの使用」を参照してください。

調査する必要がなくなった項目はネットワーク マップから削除できます。ネットワーク マップからホストとアプリケーションを削除できます。また、脆弱性を削除または非アクティブ化できます。システムは、削除されたホストに関連付けられたアクティビティを検出した場合は、ネットワーク マップにホストを再追加します。同様に、削除したアプリケーションは、システムがアプリケーションの変更(たとえば Apache Web サーバが新しいバージョンにアップグレードされた)を検出すると、アプリケーションのネットワーク マップに再追加されます。システムがホストを脆弱にする変更を検出すると、そのホストの脆弱性は再アクティブ化されます。

また、ネットワーク マップを使用して、ネットワーク全体の脆弱性を非アクティブにできます。これにより、システムが脆弱と判断したホストについて、その特定の攻撃や悪用の心配がないとみなすことになります。


ヒント ネットワーク マップからホストまたはサブネットを永続的に除外するには、ネットワーク検出ポリシーを変更します。モニタリング対象からロード バランサおよび NAT デバイスを除外する必要がある場合があります。これらは、多数のイベントおよび誤った結果をもたらすイベントを生成して、データベースを一杯にしたり、防御センターをオーバーロードさせたりする可能性があります。詳細については、「ホスト データ収集について」を参照してください。

ホストのネットワーク マップの使用

ライセンス:FireSIGHT

ホストのネットワーク マップを使用して、サブネットによって階層ツリーに整理されたネットワークのホストを参照でき、特定のホストのホスト プロファイルにドリルダウンできます。このネットワーク マップ ビューは、ホストに 1 つの IP アドレスまたは複数の IP アドレスがあるかを問わず、システムによって検出されたすべての一意のホスト数を表示します。

NetFlow 対応デバイスによってエクスポートされるデータに基づいてホストをネットワーク マップに追加するようネットワーク検出ポリシーを設定できますが、これらのホストについて利用可能な情報は限られています。たとえば、ホスト入力機能を使用してデータが提供されていない限り、NetFlow データを使用してネットワーク マップに追加されたホストに関して利用可能なオペレーティング システム データはありません。

ネットワークのカスタム トポロジを作成して、サブネットに意味のあるラベル(部門名など)を割り当てることができます。これはホストのネットワーク マップで表示されます。

また、カスタム トポロジで指定した組織に基づいてホストのネットワーク マップを表示できます。「カスタム ネットワーク トポロジの使用」を参照してください。

ホストのネットワーク マップからネットワーク全体、サブネット、または個々のホストを削除できます。ホストがネットワークに接続されていないことがわかっている場合など、分析を効率化するためにネットワーク マップから削除できます。システムは削除されたホストに関連付けられたアクティビティを後で検出すると、ネットワーク マップにホストを再追加します。ネットワーク マップからホストまたはサブネットを永続的に除外するには、ネットワーク検出ポリシーを変更します。詳細については、「ネットワーク検出ポリシーの作成」を参照してください。


シスコは、ネットワーク マップからネットワーク デバイスを削除しないことを強く推奨します。システムはその場所を使用してネットワーク トポロジを特定するからです(モニタリング対象ホスト用のネットワーク ホップと TTL 値の生成を含む)。ネットワーク デバイスのネットワーク マップからはネットワーク デバイスを削除できませんが、ホストのネットワーク マップからネットワーク デバイスを削除しないようにしてください。


ホストのネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] を選択し、[Hosts] タブを選択します。

ホストのネットワーク マップが開き、ホスト数と、ホストの IP アドレスと MAC アドレスのリストが表示されます。各アドレスまたはアドレスの一部は、次のレベルへのリンクです。

ステップ 2 調査するホストの IP アドレスまたは MAC アドレスにドリルダウンします。

たとえば、IP アドレス 192.168.40.11 のホストを表示するには、192、192.168、192.168.40、192.168.40.11 の順にクリックします。192.168.40.11 をクリックすると、ホスト プロファイルが表示されます。ホスト プロファイルの詳細については、「ホスト プロファイルの使用」を参照してください。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 3 オプションで、サブネット、IP アドレス、または MAC アドレスを削除するには、削除する要素の隣にある削除アイコン( )をクリックし、ホストまたはサブネットを削除することを確認します。

ホストが削除されます。システムはホストを再検出すると、ネットワーク マップにホストを再追加します。

ステップ 4 オプションで、ホストのネットワーク マップのホスト ビューとトポロジー ビューを切替えます。

カスタム トポロジで整理されたホストのネットワーク マップのビューに切替えるには、ホスト ビュー(デフォルト)で、ネットワーク マップの一番上にある [(topology)] をクリックします。

サブネットで整理されたホストのネットワーク マップのビューに切替えるには、トポロジ ビューで、ネットワーク マップの一番上にある [(hosts)] をクリックします。

カスタム トポロジの設定については、「カスタム ネットワーク トポロジの使用」を参照してください。


 

ネットワーク デバイスのネットワーク マップの使用

ライセンス:FireSIGHT

ネットワークのセグメント同士を接続するネットワーク デバイス(ブリッジ、ルータ、NAT デバイス、ロード バランサ)を表示するため、またそのネットワーク デバイスのホスト プロファイルにドリルダウンするために、ネットワーク デバイスのネットワーク マップを使用します。ネットワーク デバイスのネットワーク マップは、IP および MAC という 2 つの部分に分けられます。IP セクションは IP アドレスで識別されたネットワーク デバイスのリストを表示します。MAC の部分は MAC アドレスで識別されるネットワーク デバイスを示します。また、このネットワーク マップ ビューは、デバイスに 1つの IP アドレスまたは複数の IP アドレスがあるかを問わず、システムによって検出されたすべての一意のネットワーク デバイスの数を表示します。

ネットワークのカスタム トポロジを作成した場合、サブネットに割り当てたラベルはネットワーク デバイスのネットワーク マップに表示されます。

ネットワーク デバイスを区別するためにシステムでは次の方法を使用します。

Cisco Discovery Protocol(CDP)メッセージの分析。ネットワーク デバイスと種類を特定します(シスコ デバイスのみ)。

スパニング ツリー プロトコル(STP)の検出。デバイスをスイッチまたはブリッジとして識別します。

同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。

クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロード バランサを識別します。

ネットワーク デバイスが CDP を使用して通信している場合、1 つ以上の IP アドレスを持っている可能性があります。STP を使用して通信している場合は、1 つの MAC アドレスのみを持っている可能性があります。

ネットワーク マップからネットワーク デバイスを削除することはできません。システムはその場所を使用してネットワーク トポロジを特定するからです(モニタリング対象ホスト用のネットワーク ホップと TTL 値の生成を含む)。

ネットワーク デバイスのホスト プロファイルには、[Operating Systems] セクションではなく、ネットワーク デバイスの背後で検出されたモバイル デバイスのハードウェア プラットフォームを反映する [Hardware] カラムを含む [Systems] セクションがあります。[Systems] の下にハードウェア プラットフォームの値が表示され場合、システムは、ネットワーク デバイスの背後で 1 つ以上のモバイル デバイスが検出されたことを示しています。モバイル デバイスはハードウェア プラットフォームの情報を持っていることも、持っていないこともありますが、モバイル デバイスではないシステムではハードウェア プラットフォーム情報は検出されないことに注意してください。

ネットワーク デバイスのネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] > [Network Devices] を選択します。

ネットワーク デバイスのネットワーク マップが開き、一意のネットワーク デバイスの数と、ネットワーク デバイスの IP アドレスと MAC アドレスのリストを表示します。各アドレスまたはアドレスの一部は、アドレスの次のレベルか、各ホストのホスト プロファイルへのリンクです。

ステップ 2 調査するネットワーク デバイスの IP アドレスまたは MAC アドレスにドリルダウンします。

ネットワーク デバイスのホスト プロファイルが表示されます。ホスト プロファイルの詳細については、「ホスト プロファイルの使用」を参照してください。

ステップ 3 オプションで、IP または MAC アドレスでフィルタリングをするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。


 

セキュリティ侵害の痕跡のネットワークのマップの使用

ライセンス:FireSIGHT

セキュリティ侵害の痕跡(IOC)のネットワーク マップを使用して、ネットワーク上の侵害されたホストを IOC のカテゴリで整理して表示します。影響を受けているホストは各カテゴリの下に表示されます。

システムは、ホストのセキュリティ侵害のステータスを判断するために、侵入イベント、Security Intelligence、FireAMP を含む複数のソースからのデータを使用します。

セキュリティ侵害の痕跡のネットワーク マップから、何らかのセキュリティ侵害を受けたと判断される各ホストのホスト プロファイルを表示できます。さらに、IOC カテゴリまたは特定のホストを削除でき(解決済みにする)、これによって当該ホストから IOC タグが削除されます。たとえば、問題が対応済みで、繰り返し発生する可能性が低いと判断した場合に、IOC カテゴリをネットワーク マップから削除できます。

ネットワーク マップのホストや IOC カテゴリを解決済みにしても、ネットワークからは削除されません。システムがその IOC をトリガーする情報を新たに検出すると、解決済みのホストまたは IOC カテゴリはネットワーク マップに再表示されます。

セキュリティ侵害の痕跡のネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] > [Indications of Compromise] を選択します。

セキュリティ侵害の痕跡のネットワーク マップが表示されます。

ステップ 2 調査する IOC カテゴリをクリックします。

たとえば、マルウェアが検出されたホストを表示するには、[Malware Detected] をクリックします。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 3 選択した IOC カテゴリで、特定の IP アドレスへドリルダウンします。各アドレスまたはアドレスの一部は、次のレベルへのリンクです。

セキュリティ侵害を受けたホストのホスト プロファイルが表示され、セキュリティ侵害の痕跡のセクションが展開されます。ホスト プロファイルの IOC セクションの詳細については、「ホスト プロファイルでの侵害の痕跡の使用」を参照してください。

ステップ 4 オプションで、IOC カテゴリ、セキュリティ侵害を受けたホスト、またはセキュリティ侵害を受けたホストのグループを解決済みにするには、解決する要素の隣にある削除アイコン( )をクリックし、それを解決することを確認します。

カテゴリまたはホストが解決されます(IOC タグが削除されます)。IOC が再度トリガーとして使用されると、ネットワーク マップに再追加されます。


 

モバイル デバイスのネットワーク マップの使用

ライセンス:FireSIGHT

ネットワークに接続されたモバイル デバイスを表示するため、またそのデバイスのホスト プロファイルにドリルダウンするために、モバイル デバイスのネットワーク マップを使用します。また、このネットワーク マップ ビューは、デバイスに 1 つの IP アドレスまたは複数の IP アドレスがあるかを問わず、システムによって検出されたすべての一意のモバイル デバイスの数を表示します。

モバイル デバイスを区別するためにシステムでは次の方法を使用します。

モバイル デバイスのモバイル ブラウザからの HTTP トラフィックのユーザ エージェント ストリングの分析

特定のモバイル アプリケーションの HTTP トラフィックのモニタリング

ネットワークのカスタム トポロジを作成した場合、サブネットに割り当てたラベルはモバイル デバイスのネットワーク マップに表示されます。

モバイル デバイスのネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] を選択し、[Mobile Devices] タブを選択します。

モバイル デバイスのネットワーク マップが開き、一意のモバイル デバイスの数と、モバイル デバイスの IP アドレスと MAC アドレスのリストを表示します。各アドレスまたはアドレスの一部は、次のレベルへのリンクです。

ステップ 2 調査するモバイル デバイスの特定の IP アドレスにドリルダウンします。

たとえば、IP アドレス 10.11.40.11 のデバイスを表示するには、10、10.11、10.11.40、10.11.40.11 の順にクリックします。10.11.40.11 をクリックすると、ホスト プロファイルが表示されます。ホスト プロファイルの詳細については、「ホスト プロファイルの使用」を参照してください。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 3 オプションで、サブネットまたは IP アドレスを削除するには、削除する要素の隣にある削除アイコン( )をクリックし、デバイスまたはサブネットを削除することを確認します。

デバイスが削除されます。システムはデバイスを再検出すると、ネットワーク マップにデバイスを再追加します。


 

アプリケーションのネットワーク マップの使用

ライセンス:FireSIGHT

アプリケーションのネットワーク マップを使用して、アプリケーション名、ベンダー、バージョン、さらには各アプリケーションを実行するホストによって階層ツリーに整理された、ネットワークのアプリケーションを参照できます。

システムが検出するアプリケーションは、システム ソフトウェアおよび VDB アップデートによって、およびアドオン ディテクタをインポートした場合に変わることがあります。各システムまたは VDB アップデートのリリース ノートまたはアドバイザリ テキストには、新規および更新されたディテクタの情報が含まれています。ディテクタの全般的な情報を含む最新のリストについては、次のサポート サイトのいずれかを参照してください。

Sourcefire:(https://support.sourcefire.com/)

シスコ:(http://www.cisco.com/cisco/web/support/index.html)

アプリケーションのネットワーク マップから、特定のアプリケーションを実行する各ホストのホスト プロファイルを表示できます。また、アプリケーション カテゴリ、すべてのホストで実行されているアプリケーション、特定のホストで実行されているアプリケーションを削除することもできます。たとえば、あるアプリケーションがホスト上で無効化されているとわかっており、システムによる影響レベルの認定で使用されないようにする場合は、そのアプリケーションをネットワーク マップから削除できます。

ネットワーク マップからアプリケーションを削除しても、ネットワークからは削除されません。削除したアプリケーションは、システムがアプリケーションの変更(たとえば Apache Web サーバが新しいバージョンにアップグレードされた)を検出するか、ユーザがシステムの検出機能を再起動すると、ネットワーク マップに再表示されます。

何を削除するかによって、動作は次のように異なります。

アプリケーション カテゴリを削除すると、そのアプリケーション カテゴリはネットワーク マップから削除されます。カテゴリの下にあるすべてのアプリケーションは、そのアプリケーションを含むすべてのホスト プロファイルから削除されます。

たとえば、[http] を削除した場合、[http] として示されるすべてのアプリケーションがすべてのホスト プロファイルから削除され、[http] はネットワーク マップのアプリケーション ビューに表示されなくなります。

特定のアプリケーション、ベンダー、またはバージョンを削除すると、影響を受けるアプリケーションは、ネットワーク マップと、それを含むホスト プロファイルから削除されます。

たとえば、[http] カテゴリを展開し、[Apache] を削除すると、[Apache] としてリストされているすべてのアプリケーションは、[Apache] の下にリストされているバージョンを問わず、それらを含むホスト プロファイルから削除されます。同様に、[Apache] を削除する代わりに、特定のバージョン([1.3.17] など)を削除すると、影響を受けるホスト プロファイルから、選択されたバージョンだけが削除されます。

特定の IP アドレスを削除する場合、IP アドレスはアプリケーション リストから削除され、アプリケーション自体は、選択した IP アドレスのホスト プロファイルから削除されます。

たとえば、[http]、[Apache]、[1.3.17 (Win32)] の順に展開し、[172.16.1.50:80/tcp] を削除すると、Apache 1.3.17(Win32)アプリケーションは IP アドレス 172.16.1.50 のホスト プロファイルから削除されます。

アプリケーションのネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] > [Applications] を選択します。

アプリケーションのネットワーク マップが表示されます。

ステップ 2 調査する特定のアプリケーションにドリルダウンします。

たとえば、Apache など特定のタイプの Web サーバを表示する場合は、[http] をクリックし、[Apache] をクリックして、表示する Apache Web サーバのバージョンをクリックします。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 3 選択したアプリケーションの特定の IP アドレスをクリックします。

アプリケーションを実行しているホストのホスト プロファイルが表示され、アプリケーション セクションが展開されます。ホスト プロファイルのアプリケーション セクションの詳細については、「ホスト プロファイルでのサーバの使用」を参照してください。

ステップ 4 オプションで、アプリケーション カテゴリ、すべてのホストで実行されているアプリケーション、または特定のホストで実行されているアプリケーションを削除するには、削除する要素の隣にある削除アイコン( )をクリックし、削除することを確認します。

アプリケーションが削除されます。システムはアプリケーションを再検出すると、ネットワーク マップに再追加します。


 

脆弱性のネットワーク マップの使用

ライセンス:FireSIGHT

脆弱性のネットワーク マップを使用して、システムがネットワーク上で検出した脆弱性を Sourcefire 脆弱性 ID(SVID)、Bugtraq ID、CVE ID、Snort ID で整理して表示します。脆弱性は ID 番号によって並べられ、影響を受けるホストが各脆弱性の下にリストされます。

脆弱性のネットワーク マップから、特定の脆弱性の詳細を表示できます。また、特定の脆弱性の影響を受けるホストのホスト プロファイルを表示できます。これは、影響を受ける特定のホストの脆弱性によって生じる脅威を評価するために役立ちます。

特定の脆弱性がネットワーク上のホストに該当しないと見なす場合(パッチを適用済みの場合など)、その脆弱性を非アクティブ化できます。非アクティブ化された脆弱性はネットワーク マップに表示されますが、これまで影響を受けていたホストの IP アドレスはグレーのイタリック体で表示されます。これらのホストのホスト プロファイルでは、非アクティブ化した脆弱性は無効として表示されますが、個々のホストについて手動で有効にすることができます。詳細については、「個々のホストに対する脆弱性の設定」を参照してください。

ホスト上のアプリケーションまたはオペレーティング システムのアイデンティティの競合がある場合、システムは候補となるアイデンティティの両方について脆弱性を表示します。アイデンティティの競合が解決した場合、脆弱性は現在のアイデンティティに関連付けされたままになります。詳細については、「現在の ID について」および「ID の競合について」を参照してください。

デフォルトでは、パケットにアプリケーションのベンダーおよびバージョンが含まれていた場合にのみ、検出されたアプリケーションの脆弱性が脆弱性のネットワーク マップに表示されます。ただし、システム ポリシーでアプリケーションの脆弱性マッピングの設定を有効化することで、ベンダーおよびバージョンのデータがないアプリケーションの脆弱性をリストするようにシステムを設定できます。アプリケーションの脆弱性マッピングの設定の詳細については、「サーバの脆弱性のマッピング」を参照してください。

脆弱性 ID(または脆弱性 ID の範囲)の隣の数字は、次の 2 つの数を示します。

最初の数字は、1 つまたは複数の脆弱性の影響を受ける、一意でないホストの数です。ホストが複数の脆弱性の影響を受ける場合、複数回カウントされます。したがって、この数字がネットワーク上のホスト数を上回ることもあります。脆弱性を非アクティブ化すると、その脆弱性の影響を受ける可能性のあるホスト数の分、この数が減ります。1 つまたは複数の脆弱性の影響を受ける可能性のあるホストについて、脆弱性を 1 つも非アクティブ化していない場合、この数は表示されません。

2 番目の数字は、1 つまたは複数の脆弱性の影響を受ける 可能性がある とシステムが判断した、一意でないホストの総数とほぼ同じ数です。

脆弱性を非アクティブ化すると、ユーザが指定したホストについてのみ非アクティブになります。脆弱と判断されたすべてのホストか、指定した個々の脆弱なホストの脆弱性を非アクティブ化することができます。その後でシステムが非アクティブ化されていないホストに脆弱性を検出すると(たとえば、ネットワーク マップの新しいホスト)、システムはそのホストの脆弱性をアクティブ化します。新たに検出された脆弱性は明示的に非アクティブ化する必要があります。また、システムはホストのオペレーティング システムまたはアプリケーションの変更を検出すると、非アクティブ化されている関連付けられた脆弱性を再アクティブ化することがあります。

脆弱性のネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] > [Vulnerabilities] を選択します。

脆弱性のネットワーク マップが表示されます。

ステップ 2 [Type] ドロップダウン リストから、使用する脆弱性のクラスを選択します。デフォルトでは、脆弱性は Sourcefire の脆弱性 ID(SVID)ごとに表示されます。

ステップ 3 調査する特定の脆弱性にドリルダウンします。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

脆弱性の詳細が表示されます。表示される情報の詳細については、「脆弱性の詳細の表示」を参照してください。

さらにネットワーク マップでは、影響を受けるホストの IP アドレスが防御センターによって表示されます。任意の IP アドレスをクリックして、そのホストのホスト プロファイルを表示できます。

ステップ 4 オプションで、脆弱性を非アクティブ化します。

脆弱性の影響を受けるすべてのホストの脆弱性を非アクティブ化するには、脆弱性番号の隣にある削除アイコン( )をクリックします。

個々のホストの脆弱性を非アクティブ化するには、ホストの IP アドレスの隣にある削除アイコン( )をクリックします。

脆弱性が非アクティブになります。該当するホストの IP アドレスは、ネットワーク マップにグレーの斜体で表示されます。さらに、これらのホストのホスト プロファイルでは、非アクティブ化された脆弱性を無効として表示します。


ヒント 脆弱性の再アクティブ化の詳細については、「個々のホストに対する脆弱性の設定」を参照してください。


 

ホスト属性のネットワーク マップの使用

ライセンス:FireSIGHT

ホスト属性のネットワーク マップを使用して、ネットワーク上のホストをホスト属性で整理して表示します。ホストを整理するために使用するホスト属性を選択すると、防御センターはネットワーク マップで使用可能なその属性の値をリストし、割り当てられた値に基づいてホストをグループ化します。また、特定のホスト属性値が割り当てられた任意のホストのホスト プロファイルを表示することもできます。

ホスト属性のネットワーク マップでは、ユーザ定義のホスト属性に基づいてホストを整理できます。これらの属性について、ネットワーク マップは値が Unassigned として割り当てられていないホストを表示します。

詳細については、「ユーザ定義のホスト属性の使用」を参照してください。

さらに、ホスト属性のネットワーク マップは、ユーザが作成したコンプライアンス ホワイト リストに対応するホスト属性に基づいてホストを整理できます。ユーザが作成するコンプライアンス ホワイト リストごとに、各ホワイト リストと同じ名前でホスト属性が自動的に作成されます。

ホワイト リストのホスト属性がとり得る値は次の通りです。

Compliant は、ホワイト リストに準拠しているホスト

Non-Compliant は、ホワイト リストに違反しているホスト

Not Evaluated は、ホワイトリストの有効な対象でないか、または何らかの理由で評価されていないホスト

コンプライアンス ホワイト リストの詳細については、「FireSIGHT システムのコンプライアンス ツールとしての使用」を参照してください。


ホスト属性のネットワーク マップでは、事前定義されたホスト属性(ホストの重要度など)を使用して、ホストを整理することはできません。


ホスト属性のネットワーク マップを表示するには、次の手順を実行します。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Network Map] > [Host Attributes] を選択します。

ホスト属性のネットワーク マップが表示されます。

ステップ 2 [Attribute] ドロップダウン リストから、ホスト属性を選択します。

防御センターはホスト属性の値をリストし、その値が割り当てられたホストの数を括弧内に表示します。

IP または MAC アドレスでフィルタリングするには、検索フィールドにアドレスを入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 3 ホスト属性値をクリックすると、その値が割り当てられたホストが表示されます。

ステップ 4 ホストの IP アドレスをクリックすると、そのホストのホスト プロファイルが表示されます。


 

カスタム ネットワーク トポロジの使用

ライセンス:FireSIGHT

ホストおよびネットワーク デバイスのネットワーク マップでサブネットを整理および識別するために、カスタム トポロジ機能を使用します。

たとえば、組織内の各部署が異なるサブネットを使用している場合、カスタム トポロジ機能を使用して、これらのサブネットにラベルを付けられます。こうすることで、ホストまたはネットワーク デバイスのネットワーク マップを参照する際に、サブネットに割り当てたラベルが次の図のように表示されます。

 

また、カスタム トポロジで指定した組織に基づいてホストのネットワーク マップを表示することもできます。

 

ホストおよびネットワーク デバイスのネットワーク マップの詳細については、「ホストのネットワーク マップの使用」および「ネットワーク デバイスのネットワーク マップの使用」を参照してください。

詳細については、次の項を参照してください。

「カスタム トポロジの作成」

「カスタム トポロジの管理」

カスタム トポロジの作成

ライセンス:FireSIGHT

カスタム トポロジを作成するには、ネットワークを指定する必要があります。これには、次の 3 つの方法のいずれかまたはすべてを使用します。

シスコが検出したトポロジのインポート。システムによって検出されたホストとネットワーク デバイスに基づいて推測した、最も正確と考えられるネットワークの展開を使用して、ネットワークを追加します。

ネットワーク検出ポリシーからのネットワークのインポート。ネットワーク検出ポリシーで、FireSIGHT システムのモニタリング対象として設定したネットワークを追加します。

ネットワークのトポロジへの手動追加。他の 2 つの方法で作成される展開の表現が不正確または不完全な場合に使用します。

トポロジをネットワーク マップで使用するには、トポロジを保存してアクティブ化する必要があります。

カスタム トポロジを作成するには、次の手順を実行します。

アクセス:Admin/Discovery Admin


ステップ 1 [Policies] > [Network Discovery] を選択し、[Custom Topology] を選択します。

[Custom Topology] ページが表示されます。

ステップ 2 [Create Topology] をクリックします。

[Create Topology] ページが表示されます。

ステップ 3 トポロジ名や説明など、基本的なトポロジ情報を入力します。

「基本的なトポロジ情報の入力」を参照してください。

ステップ 4 トポロジにネットワークを追加します。次の方法のいずれかまたはすべてを使用できます。

シスコが検出したトポロジをインポートしてネットワークをトポロジに追加する場合は、「検出されたトポロジのインポート」の手順に従います。

ネットワーク検出ポリシーからインポートすることによってトポロジにネットワークを追加するには、「ネットワーク検出ポリシーからのネットワークのインポート」の手順を参照してください。

トポロジにネットワークを手動で追加するには、「手動によるカスタム トポロジへのネットワークの追加」の手順に従います。

ステップ 5 トポロジを修正するには、次の手順を実行します。

カスタム トポロジからネットワークを削除するには、削除するネットワークの隣にある [Delete] をクリックします。

ネットワークの名前を変更するには、ネットワークの隣にある [Rename] をクリックします。表示されるポップアップ ウィンドウで、[Name] フィールドに新しい名前を入力し、[Rename] をクリックします。この名前のラベルが、ネットワーク マップのネットワークに付けられます。

ステップ 6 [Save] をクリックします。

トポロジが保存されます。


ネットワーク マップでこのトポロジを使用するには、アクティブ化する必要があります。詳細については、「カスタム トポロジの管理」を参照してください。



 

基本的なトポロジ情報の入力

ライセンス:FireSIGHT

各カスタム トポロジに、名前と必要に応じて簡単な説明を入力します。

基本的なトポロジ情報を入力するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Edit Topology] ページで、[Name] フィールドにトポロジの名前を入力します。

ステップ 2 オプションで、[Description] フィールドにトポロジの説明を入力します。

ステップ 3 オプションで、カスタム トポロジをどのように構築するかに応じて、以降のセクションの手順に進みます。

「検出されたトポロジのインポート」

「ネットワーク検出ポリシーからのネットワークのインポート」

「手動によるカスタム トポロジへのネットワークの追加」


 

検出されたトポロジのインポート

ライセンス:FireSIGHT

カスタム トポロジにネットワークを追加する方法の 1 つは、FireSIGHT システムによって検出されたトポロジをインポートすることです。この検出されたトポロジは、検出されたホストとネットワーク デバイスに基づいてシステムが推測した、最も正確と考えられるネットワークの展開です。

検出されたトポロジをインポートするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Edit Topology] ページで、[Import Discovered Topology] をクリックします。

ステップ 2 検出されたネットワークがページに示されます。

ステップ 3 オプションで、カスタム トポロジをどのように構築するかに応じて、以降のセクションの手順に進みます。

「検出されたトポロジのインポート」

「ネットワーク検出ポリシーからのネットワークのインポート」

「手動によるカスタム トポロジへのネットワークの追加」


 

ネットワーク検出ポリシーからのネットワークのインポート

ライセンス:FireSIGHT

カスタム トポロジにネットワークを追加する方法の 1 つは、ネットワーク検出ポリシーで FireSIGHT システムのモニタリング対象として設定したネットワークをインポートすることです。ディスカバリ ポリシーの詳細については、「ネットワーク検出ポリシーの作成」を参照してください。

ネットワーク検出ポリシーからネットワークをインポートするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Edit Topology] ページで、[Import Policy Networks] をクリックします。

ポップアップ ウィンドウが表示されます。

ステップ 2 ドロップダウン リストから、使用するネットワーク検出ポリシーを選択し、[Load] をクリックします。

ステップ 3 ネットワーク検出ポリシーのモニタリング対象ネットワークがページに示されます。

たとえば、10.0.0.0/8、192.168.0.0/16、172.12.0.0/16 のネットワークをモニタするようにネットワーク検出ポリシーを設定すると、そのネットワークがページに表示されます。

 

ステップ 4 別のネットワーク検出ポリシーからネットワークを追加するには、 1 2 の手順を繰り返して行ってください。

ステップ 5 オプションで、カスタム トポロジをどのように構築するかに応じて、以降のセクションの手順を実行します。

「検出されたトポロジのインポート」

「手動によるカスタム トポロジへのネットワークの追加」


 

手動によるカスタム トポロジへのネットワークの追加

ライセンス:FireSIGHT

シスコが検出したトポロジのインポートや、ネットワーク検出ポリシーからのネットワークのインポートによって、不正確または不完全なネットワーク展開の表現が作成される場合、カスタム トポロジにネットワークを手動で追加できます。

ネットワークをカスタム トポロジに手動で追加するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Edit Topology] ページで、[Add Network] をクリックします。

ポップアップ ウィンドウが表示されます。

ステップ 2 オプションで、[Name] フィールドに名前を入力してネットワークに名前を付けます。

この名前のラベルが、トポロジをアクティブ化した後で、ホストおよびネットワーク デバイスのネットワーク マップのネットワークに付けられます。

詳細については、「ホストのネットワーク マップの使用」および「ネットワーク デバイスのネットワーク マップの使用」を参照してください。

ステップ 3 [IP Address] フィールドと [Netmask] フィールドに、トポロジに追加するネットワークを表す IP アドレスとネットワーク マスク(CIDR 表記)を入力します。

FireSIGHT システム での CIDR 表記の使用の詳細については、「IP アドレスの表記法」を参照してください。

ステップ 4 [Add] をクリックします。

ネットワークがトポロジに追加されます。

ステップ 5 トポロジにネットワークを追加するには、 1 および 4 の手順を繰り返して行ってください。


ヒント トポロジからネットワークを削除するには、削除するネットワークの隣にある [Delete] をクリックし、ネットワークと、ネットワークへのすべてのリンクを削除することを確認します。

ステップ 6 オプションで、カスタム トポロジをどのように構築するかに応じて、以降のセクションの手順を実行します。

「検出されたトポロジのインポート」

「ネットワーク検出ポリシーからのネットワークのインポート」


 

カスタム トポロジの管理

ライセンス:FireSIGHT

カスタム トポロジの管理には [Custom Topology] ページを使用します。トポロジを作成、変更、削除できます。

トポロジの状態が名前とともに表示されます。ポリシー名の隣の電球アイコンが点灯している場合、そのトポロジはアクティブで、ネットワーク マップに影響します。消灯している場合、トポロジは非アクティブです。常に 1 つのカスタム トポロジのみアクティブにできます。複数のトポロジを作成した場合、1 つをアクティブ化すると、自動的に現在アクティブなトポロジが非アクティブになります。

次の手順を使用して、カスタム トポロジのアクティブ化または非アクティブ化、トポロジの変更、またはトポロジの削除を行います。

アクティブなトポロジを削除すると、その変更はただちに有効になります。つまり、ネットワーク マップにはカスタム トポロジが表示されなくなります。

カスタム トポロジをアクティブ化または非アクティブ化するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Policies] > [Network Discovery] > [Custom Topology] を選択します。

[Custom Topology] ページが表示されます。

ステップ 2 次の 2 つのオプションから選択できます。

トポロジを アクティブ化する には、ポリシーの隣にある [Activate] をクリックします。

トポロジを 非アクティブ化する には、ポリシーの隣にある [Deactivate] をクリックします。


 

カスタム トポロジを変更するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Policies] > [Network Discovery] > [Custom Topology] を選択します。

[Custom Topology] ページが表示されます。

ステップ 2 編集するトポロジの隣にある編集アイコン( )をクリックします。

[Edit Topology] ページが表示されます。変更可能な設定については、「カスタム トポロジの作成」を参照してください。

ステップ 3 必要な変更を行い、[Save] をクリックします。

トポロジが変更されます。トポロジがアクティブな場合は、ネットワーク マップに行った変更は即時に有効になります。


 

カスタム トポロジを削除するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Policies] > [Network Discovery] > [Custom Topology] を選択します。

[Custom Topology] ページが表示されます。

ステップ 2 削除するトポロジの隣にある [Delete] をクリックします。トポロジがアクティブな場合は、削除することを確認します。

トポロジが削除されます。