FireSIGHT システム ユーザ ガイド バージョン 5.3.1
アプライアンス設定の構成
アプライアンス設定の構成
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

アプライアンス設定の構成

アプライアンス情報の表示と変更

カスタム HTTPS 証明書の使用

現在の HTTPS サーバ証明書の表示

サーバ証明書要求の生成

サーバ証明書のアップロード

ユーザ証明書の構成

データベースへのアクセスの有効化

ネットワーク設定の構成

管理インターフェイス構成の編集

システムのシャット ダウンと再起動

手動での時間の設定

リモート ストレージの管理

ローカルストレージの使用

リモート ストレージでの NFS の使用

リモート ストレージでの SSH の使用

リモート ストレージでの SMB の使用

変更調整について

リモート コンソール アクセスの管理

アプライアンス上のリモート コンソール設定の構成

Lights-Out 管理ユーザ アクセスの有効化

Serial over LAN 接続の使用

Lights-Out 管理の使用

クラウド通信の有効化

アプライアンス設定の構成

FireSIGHT システム アプライアンスの ローカル構成 ([System] > [Local] > [Configuration])は、単一のアプライアンスに特有なものと想定される設定グループです。ローカル構成は、導入全体でほぼ同じになると想定されるアプライアンス設定を制御するシステム ポリシー(「システム ポリシーの管理」)とは対照的です。

次の表は、アプライアンスのローカル構成をまとめたものです。

 

表 51-1 ローカル構成のオプション

オプション
説明
参照先

Information

アプライアンスに関する現在の情報が表示されます。アプライアンスの名前を変更することもできます。

「アプライアンス情報の表示と変更」

HTTPS Certificate

信頼できる機関の HTTPS サーバ証明書を要求し(必要な場合)、証明書をアプライアンスにアップロードできます。

「カスタム HTTPS 証明書の使用」

Database

外部からアプライアンス データベースへの読み取り専用アクセスを有効化し、ダウンロードするクライアント ドライバを提供します。

「データベースへのアクセスの有効化」

Network

インストールの一部として最初に設定されたアプライアンスの IP アドレス、ホスト名、プロキシ設定などのオプションを変更できます。

「ネットワーク設定の構成」

Management Interface

アプライアンスの管理インターフェイスの設定を表示および変更できます。

「管理インターフェイス構成の編集」

Process

アプライアンスのシャット ダウンやリブート、および FireSIGHT システムに関連するプロセスの再起動を行うために使用できるオプションが表示されます。

「システムのシャット ダウンと再起動」

Time

現在の時間が表示されます。アプライアンスの現在のシステム ポリシー内の時間同期設定が [Manually in Local Configuration] に設定されている場合は、このページを使用して時間を変更できます。

「手動での時間の設定」

Remote Storage Device

防御センターで、バックアップとレポート用のリモート ストレージを構成できます。

「リモート ストレージの管理」

Change Reconciliation

過去 24 時間に発生したシステム変更の詳細レポートを電子メールで受信できます。

「変更調整について」

Console Configuration

VGA またはシリアル ポート、または物理的にアプライアンスの近くにいなくても限られた監視および管理タスクなら実行できる Lights-Out 管理(LOM)を使用して、シスコ アプライアンスへのコンソール アクセスを構成できます。

「リモート コンソール アクセスの管理」

Cloud Services

防御センターで、Collective Security Intelligence クラウド から URL フィルタリング データをダウンロードしたり、未分類の URL を検索したり、検出されたファイルの診断情報をシスコに送信したりできます。

「クラウド通信の有効化」

アプライアンス情報の表示と変更

ライセンス:任意

[Information] ページには、アプライアンスに関する情報が表示されます。これには、製品名とモデル番号、オペレーティング システムとバージョン、現在のアプライアンスレベルのポリシーなどの読み取り専用情報が含まれます。このページには、アプライアンスの名前を変更するオプションも用意されています。

次の表で、各フィールドについて説明します。

 

表 51-2 アプライアンスの情報

フィールド
説明

Name

アプライアンスに割り当てられた名前。この名前は FireSIGHT システムのコンテキスト内でのみ使用されることに注意してください。ホスト名をアプライアンスの名前として使用できますが、このフィールドに別の名前を入力しても、ホスト名は変更されません。

Product Model

アプライアンスのモデル名。

Software Version

現在インストールされているソフトウェアのバージョン。

Serial Number

アプライアンスのシャーシのシリアル番号。

Store Events Only on Defense Center

管理対象デバイスでこのチェック ボックスをオンにすると、イベント データは防御センターには格納されますが、その管理対象デバイスに格納されなくなります。このチェック ボックスをオフにすると、両方のアプライアンスにイベント データが格納されます。

Prohibit Packet Transfer to the Defense Center

管理対象デバイスでこのチェック ボックスをオンにすると、その管理対象デバイスはイベントのパケット データを送信しなくなります。このチェック ボックスをオフにすると、イベントでパケット データが防御センターに格納されます。

Operating System

アプライアンス上で現在実行されているオペレーティング システム。

Operating System Version

アプライアンス上で現在実行されているオペレーティング システムのバージョン。

IPv4 Address

アプライアンスの IPv4 アドレス。アプライアンスで IPv4 の管理が無効になっている場合は、このフィールドにそのことが示されます。

IPv6 Address

アプライアンスの IPv6 アドレス。アプライアンスで IPv6 の管理が無効になっている場合は、このフィールドにそのことが示されます。

Current Policies

現在適用されているアプライアンスレベルのポリシー。ポリシーが最後に適用された後で更新されていると、ポリシーの名前がイタリック体で表示されます。

Model Number

アプライアンスのモデル番号。この番号は、トラブルシューティングで重要になる場合があります。

アプライアンスの情報を変更する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 アプライアンス名を変更するには、[Name] フィールドに新しい名前を入力します。

名前は、英数字である 必要があり 、数字だけで構成することはできません。

ステップ 3 変更を保存するには、[Save] をクリックします。

ページが更新され、変更が保存されます。


 

カスタム HTTPS 証明書の使用

ライセンス:任意

シスコの防御センターと Web ベースのユーザ インターフェイスをサポートする管理対象デバイスには、Web ブラウザとアプライアンス間で暗号化された通信チャネルを開始するために使用できるデフォルトの SSL(Secure Socket Layer)証明書が含まれています。ただし、アプライアンスのデフォルト証明書は世界的に知られている認証局(CA)に信頼されている CA によって生成されていないため、世界的に知られている CA または内部的に信頼できる CA によって署名されたカスタム証明書に置き換えることができます。

証明書は、アプライアンスのローカル構成で管理できます。詳細については、次の説明を参照してください。

「現在の HTTPS サーバ証明書の表示」

「サーバ証明書要求の生成」

「サーバ証明書のアップロード」

「ユーザ証明書の構成」

現在の HTTPS サーバ証明書の表示

ライセンス:任意

アプライアンスに現在適用されているサーバ証明書の詳細を表示できます。証明書には次の情報が含まれています。

 

表 51-3 HTTPS サーバ証明書の情報

フィールド
説明

Subject

証明書がインストールされているアプライアンスの commonName、countryName、organizationName、および organizationalUnitName を示します。

Issuer

証明書を発行したアプライアンスの commonName、countryName、organizationName、および organizationalUnitName を示します。

Validity

証明書の有効期間を示します。

Version

証明書のバージョンを示します。

Serial Number

証明書のシリアル番号を示します。

Signature Algorithm

証明書の署名に使用されるアルゴリズムを示します。

証明書の詳細を表示する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [HTTPS Certificate] をクリックします。

[HTTPS Certificate] ページが表示され、アプライアンスの現在の証明書の詳細が示されます。


 

サーバ証明書要求の生成

ライセンス:任意

アプライアンスの情報と指定した ID 情報に基づいて、証明書要求を生成できます。生成された要求を認証局に送信して、サーバ証明書を要求できます。内部認証局(CA)がインストールされ、ブラウザによって信頼されている場合は、生成された要求を使用して証明書に自己署名することもできます。生成されるキーは、Base 64 符号化(PEM)形式です。

ローカル構成の [HTTPS Certificate] ページで証明書要求を生成する場合は、1 つのサーバの証明書しか生成できないことに注意してください。[Common Name] フィールドに、サーバの完全修飾ドメイン名を、証明書に表示されるとおりに正確に入力する必要があります。一般名と DNS ホスト名が一致しない場合は、アプライアンスに接続するときに警告が表示されます。同様に、世界的に知られている CA または内部的に信頼できる CA によって署名されていない証明書をインストールした場合は、アプライアンスに接続するときにセキュリティ警告が表示されます。

証明書要求を生成する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [HTTPS Certificate] をクリックします。

[HTTPS Certificate] ページが表示されます。

ステップ 3 [Generate New CSR] をクリックします。

[Generate Certificate Signing Request] ポップアップ ウィンドウが表示されます。

ステップ 4 [Country Name (two-letter code)] フィールドに、国を表す 2 文字の国コードを入力します。

ステップ 5 [State or Province] フィールドに、都道府県の名前を入力します。

ステップ 6 [Locality or City] フィールドに、市区町村の名前を入力します。

ステップ 7 [Organization] フィールドに、組織の名前を入力します。

ステップ 8 [Organizational Unit (Department)] フィールドに、組織単位(部門)の名前を入力します。

ステップ 9 [Common Name] フィールドに、証明書の要求先となるサーバの完全修飾ドメイン名を、証明書に表示されるとおりに正確に入力します。

ステップ 10 [Generate] をクリックします。

[Certificate Signing Request] ポップアップ ウィンドウが表示されます。

ステップ 11 テキスト エディタを開きます。

ステップ 12 証明書要求のテキスト ブロック全体( BEGIN CERTIFICATE REQUEST 行と END CERTIFICATE REQUEST 行を含む)をコピーして、空のテキスト ファイルに貼り付けます。

ステップ 13 このファイルを servername .csr として保存します。 servername は証明書を使用するサーバの名前です。

ステップ 14 この CSR ファイルを証明書の要求先となる認証局にアップロードするか、またはこの CSR を使用して自己署名証明書を作成します。


 

サーバ証明書のアップロード

ライセンス:任意

認証局(CA)から署名付き証明書を取得した後は、その証明書をアップロードできます。証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、証明書チェーン(証明書パスとも呼ばれる)も提供する必要があります。ユーザ証明書が必要な場合は、証明書チェーンに中間認証局が含まれる認証局によってユーザ証明書が生成されている必要があります。

証明書をアップロードする方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [HTTPS Certificate] をクリックします。

[HTTPS Certificate] ページが表示されます。

ステップ 3 [Import HTTPS Certificate] をクリックします。

[Import HTTPS Certificate] ポップアップ ウィンドウが表示されます。

ステップ 4 テキスト エディタでサーバ証明書を開き、テキスト ブロック全体( BEGIN CERTIFICATE 行と END CERTIFICATE 行を含む)をコピーして、[Server Certificate] フィールドに貼り付けます。

ステップ 5 必要に応じて、秘密キー ファイルを開き、テキスト ブロック全体( BEGIN RSA PRIVATE KEY 行と END RSA PRIVATE KEY 行を含む)をコピーして、[Private Key] フィールドに貼り付けます。

ステップ 6 提供する必要がある中間証明書を開き、各証明書のテキスト ブロック全体をコピーして、[Certificate Chain] フィールドに貼り付けます。

ステップ 7 [Save] をクリックして証明書をアップロードします。

証明書がアップロードされ、新しい証明書を反映するために [HTTPS Certificate] ページが更新されます。


 

ユーザ証明書の構成

ライセンス:任意

クライアント ブラウザの証明書チェック機能を使用して FireSIGHT システムの Web サーバへのアクセスを制限できます。ユーザ証明書を有効にすると、Web サーバはユーザのブラウザ クライアントで有効なユーザの証明書が選択されていることを確認します。そのユーザ証明書は、サーバ証明書で使用されているのと同じ信頼できる認証局によって生成されている必要があります。ブラウザ内でユーザが有効でない証明書、またはデバイス上の証明書チェーンに含まれる認証局によって生成されていない証明書を選択した場合、ブラウザは Web インターフェイスをロードできません。

サーバに証明書失効リスト(CRL)をロードすることもできます。CRL には認証局によって取り消されたすべての証明書の一覧があるため、Web サーバはクライアント ブラウザの証明書が取り消されていないことを確認できます。ユーザが CRL にある失効した証明書の一覧に含まれる証明書を選択した場合、ブラウザは Web インターフェイスをロードできません。アプライアンスは識別符号化規則(DER)形式での CRL のアップロードをサポートします。1 つのサーバにロードできる CRL は 1 つだけです。

失効した証明書のリストを最新の状態に保つため、CRL を更新するスケジュール タスクを作成できます。直近に更新された CRL がインターフェイスに表示されます。

サーバ証明書で使用されるのと同じ認証局を使用していること、および証明書の中間証明書をアップロードしたことを確認してください。詳細については、「サーバ証明書のアップロード」を参照してください。

有効なユーザ証明書を要求する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [HTTPS Certificate] をクリックします。

[HTTPS Certificate] ページが表示されます。

ステップ 3 [Enable User Certificates] を選択します。

[Enable Fetching of CRL] オプションが表示されます。

ステップ 4 必要に応じて、[Enable Fetching of CRL] を選択します。

残りの CRL 構成オプションが表示されます。

ステップ 5 既存の CRL ファイルの有効な URL を入力し、[Refresh CRL] をクリックします。

指定した URL にある最新の CRL がサーバにロードされます。


CRL のフェッチを有効にすると、CRL を定期的に更新するスケジュール タスクが作成されます。このタスクを編集して、更新の頻度を設定します。詳細については、「証明書失効リストのダウンロードの自動化」を参照してください。


ステップ 6 サーバ証明書を作成したのと同じ認証局によって生成された有効なユーザ証明書があることを確認します。


注意 ユーザ証明書を有効にした構成を保存すると、ブラウザの証明書ストアに有効なユーザ証明書が存在しない場合に、アプライアンスへのすべての Web サーバ アクセスが無効になります。設定を保存する前に、有効な証明書がインストールされていることを確認してください。

ステップ 7 ユーザ証明書の構成を Web サーバに適用するため、[Save] をクリックします。

証明書を有効にしても、ユーザ証明書へのアクセスが有効になっていない場合は、コマンドラインでユーザ証明書の適用を無効にすることができます。詳細については、「disable-http-user-cert」を参照してください。


 

データベースへのアクセスの有効化

ライセンス:任意

サードパーティ製クライアントで、そのデータベースへの読み取り専用アクセスを許可するように 防御センターを構成できます。これによって、次のいずれかを使用して SQL でデータベースを照会できるようになります。

業界標準のレポート作成ツール(Actuate BIRT、JasperSoft iReport、Crystal Reports など)

JDBC SSL 接続をサポートするその他のレポート作成アプリケーション(カスタム アプリケーションを含む)

シスコが提供する RunQuery と呼ばれるコマンドライン型 Java アプリケーション(インタラクティブに実行することも、1 つのクエリーの結果をカンマ区切り形式で取得することもできる)

ローカル構成の [Database Settings] ページで、データベース アクセスを有効にして、選択したホストにデータベースの照会を許可するアクセス リストを作成できます。このアクセス リストは、アプライアンスのアクセスは制御しません。アプライアンスのアクセス リストの詳細については、「アプライアンスのアクセス リストの設定」を参照してください。

次のツールを含むパッケージをダウンロードすることもできます。

RunQuery(シスコが提供するデータベース クエリー ツール)

InstallCert(アクセスしたい防御センターから SSL 証明書を取得して受け入れるために使用できるツール)

データベースへの接続時に使用する必要がある JDBC ドライバ

外部クライアントからデータベースに接続するときは、防御センターの Administrator または External Database ユーザと一致するユーザ名とパスワードを入力する必要があることに注意してください。詳細については、「新しいユーザ アカウントの追加」を参照してください。

データベース スキーマとサポートされるクエリーに関する情報を含め、FireSIGHT システム データベースへの外部アクセスの構成の詳細については、『 FireSIGHT System Database Access Guide 』を参照してください。

データベース アクセスを有効にする方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Database] をクリックします。

[Database Settings] ページが表示されます。

ステップ 3 [Allow External Database Access] チェック ボックスをオンにします。

[Access List] フィールドが表示されます。詳細については、手順 6 を参照してください。

ステップ 4 サードパーティ製アプリケーションの要件に応じて、[Server Hostname] フィールドに防御センターの完全修飾ドメイン名(FQDN)、IPv4 アドレス、または IPv6 アドレスを入力します。

FQDN を入力する場合は、クライアントが防御センターの FQDN を解決できることを確認する必要があります。IP アドレスを入力する場合は、クライアントがその IP アドレスを使用して防御センターに接続できることを確認する必要があります。

ステップ 5 [Client JDBC Driver] の横にある [Download] をクリックし、ブラウザのプロンプトに従って client.zip パッケージをダウンロードします。

データベース アクセスを構成するためにダウンロードしたパッケージ内のツールの使用方法については、『 FireSIGHT System Database Access Guide 』を参照してください。

ステップ 6 1 つ以上の IP アドレスからのデータベース アクセスを追加するため、[Add Hosts] をクリックします。

[Access List] フィールドに [IP Address] フィールドが表示されます。

ステップ 7 [IP Address] フィールドでは、追加する IP アドレスに応じて次のいずれかを入力できます。

正確な IP アドレス(192.168.1.101 など)

CIDR 表記を使用した IP アドレス ブロック(192.168.1.1/24 など)

FireSIGHT システムでの CIDR の使用方法については、「IP アドレスの表記法」を参照してください。

任意の IP アドレスを示す any

ステップ 8 [Add] をクリックします。

IP アドレスがデータベース アクセス リストに追加されます。

ステップ 9 必要に応じてデータベース アクセス リストのエントリを削除するには、削除アイコン( )をクリックします。

ステップ 10 [Save] をクリックします。

データベース アクセス設定が保存されます。


ヒント 最後に保存されたデータベース設定に戻すには、[Refresh] をクリックします。


 

ネットワーク設定の構成

ライセンス:任意

アプライアンスを最初に設定するときは、内部の保護された管理ネットワーク上で通信できるようにアプライアンスのネットワーク設定を構成します。これらの設定を変更したり、追加のネットワーク設定(プロキシなど)を構成したりするには、[Network] ページ([System] > [Local] > [Configuration] を選択して [Network] をクリック)を使用します。


仮想デバイスのネットワークおよびプロキシ設定を変更する場合と、Sourcefire Software for X-Series のネットワーク設定を変更する場合は、コマンドライン ツールを使用する必要があります。Sourcefire Software for X-Series はプロキシをサポートしないことに注意してください。詳細については、『FireSIGHT System Virtual Installation Guide』および『Sourcefire Software for X-Series Installation and Configuration Guide』を参照してください。


次のネットワーク設定をカスタマイズできます。

IPv4 および IPv6 固有の管理インターフェイス設定

FireSIGHT システムは、IPv4 と IPv6 の両方の管理環境に対応するデュアル スタック実装を提供します。一方または両方のプロトコルを選択できます。使用しないプロトコルは(あれば)無効にしてください。

有効になっている管理プロトコルごとに、管理インターフェイスの IP アドレス、ネットマスクまたはプレフィクス長、およびデフォルト ゲートウェイを指定する必要があります。これらを手動で設定することも、ローカル DHCP サーバまたは IPv6 ルータからこれらを取得するようにアプライアンスを構成することもできます。

共有管理設定

管理環境に関係なく、デバイスのホスト名とドメインと、最大 3 つの DNS サーバを指定できます。

防御センターでは、管理インターフェイスの最大伝送単位(MTU)を変更することもできます。MTU は、インターフェイスを通過できるパケットの最大サイズ(バイト単位)です。デフォルト値は 1500 バイトです。

最後に、管理ポートを変更できます。Sourcefire 3D システム アプライアンスは、双方向の SSL 暗号化通信チャネル(デフォルトではポート 8305)を使用して通信します。Sourcefire では、デフォルト設定のままにしておくことを 強く 推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。


注意 管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。

LCD パネルの設定(シリーズ 3 デバイス)

シリーズ 3 デバイスでは、デバイス前面の LCD パネルを使用してデバイス情報を表示できます。シリーズ 3 の [Network] ページでは、ユーザが LCD パネルを使用してネットワーク設定を変更できるようにすることもできます。


注意 LCD パネルを使用した再構成を許可すると、セキュリティ リスクが発生する可能性があります。LCD パネルを使用してネットワーク設定を構成する場合は、物理的にアクセスするだけでよく、認証は必要ありません。

プロキシの設定

シスコのすべてのアプライアンスは、ポート 443/tcp(HTTPS)および 80/tcp(HTTP)を使用してインターネットに直接接続するように構成されています。「セキュリティ、インターネット アクセス、および通信ポート」を参照してください。Sourcefire Software for X-Series を除き、シスコのアプライアンスは HTTP ダイジェストで認証できるプロキシ サーバの使用をサポートします。

ローカル アプライアンスのネットワーク設定を構成する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択して [Information] ページを表示し、[Network] をクリックします。

[Network] ページが表示されます。

ステップ 2 管理ネットワークのプロトコルと、各プロトコルの基本的なネットワーク設定を指定します。[IPv4 and IPv6] で、次のいずれかを選択します。

[Disabled]:プロトコルを無効にします。 IPv4 と IPv6 の両方を無効に しないでください

[DHCP](IPv4 および IPv6):DHCP サーバからネットワーク設定を取得します。

[Router assigned](IPv6 のみ):ローカル IPv6 ルータからネットワーク設定を取得します。

[Manual]:ネットワーク設定を手動で指定できます。 IPv4 の場合は、ドット区切り 10 進表記の管理 IP アドレスとネットマスクを設定する必要があります(例:ネットマスク 255.255.0.0)。IPv6 の場合は、コロン区切り 16 進表記のアドレスとプレフィクスのビット数を設定する必要があります(例:プレフィクス長 112)。

ステップ 3 [Shared Settings] で、管理ネットワーク プロトコルに依存しないネットワーク設定を指定します。

アプライアンスのホスト名とドメインと、最大 3 つの DNS サーバを指定できます。前の手順で [DHCP] を選択した場合は、これらの共有設定を手動で指定できないことに注意してください。また、管理インターフェイスの MTU と管理ポートを変更することもできます。詳細については、「共有管理設定」を参照してください。

ステップ 4 必要に応じて、[Configure Proxies to Access the Internet] で、プロキシを使用してインターネットにアクセスするようにアプライアンスを構成します。[Manual proxy configuration] を選択してから、次の手順を実行します。

[HTTP Proxy] フィールドに、プロキシ サーバの IP アドレスまたは完全修飾ドメイン名を入力します。[Port] フィールドにポートを入力します。

必要に応じて、[Use Proxy Authentication] を選択してから [User Name] と [Password] を入力して、認証資格情報を設定します。

ステップ 5 必要に応じて、シリーズ 3 デバイスで [LCD Panel] の [Allow reconfiguration of network settings] チェック ボックスをオンにして、デバイスの LCD パネルを使用したネットワーク設定の変更を有効にします。


注意 LCD パネルを使用した再構成を許可すると、セキュリティ リスクが発生する可能性があります。LCD パネルを使用してネットワーク設定を構成する場合は、物理的にアクセスするだけでよく、認証は必要ありません。このオプションを有効にするとセキュリティ上の問題が発生する可能性があることを示す警告が Web インターフェイスに表示されます。

ステップ 6 アプライアンスのネットワーク設定の構成が完了したら、[Save] をクリックします。

ネットワーク設定が変更されます。アプライアンスのホスト名を変更した場合は、アプライアンスをリブートした後で新しい名前が syslog に反映されます。


 

管理インターフェイス構成の編集

ライセンス:任意

[Management Interface] ページを使用して、防御センターの各管理インターフェイスのデフォルト設定を変更できます。ギガビット インターフェイスでは、[Auto Negotiate] の値を変更しても無視されます。管理を行うデバイスから管理対象デバイスの管理インターフェイスを構成することもできます。「管理インターフェイスの設定」を参照してください。


注意 アプライアンスに物理的にアクセスできない場合は、管理インターフェイスの設定を変更しないでください。Web インターフェイスへのアクセスが困難になる設定を選択する可能性があります。

管理インターフェイスを編集する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Management Interface] をクリックします。

[Management Interface] ページが表示され、防御センターの各インターフェイスの現在の設定が一覧表示されます。

ステップ 3 変更するインターフェイスの横にある [Edit] をクリックします。

インターフェイスの現在の設定が表示されます。

これらの設定は次のとおりです。

インターフェイス

デバイス名

インターフェイスのタイプ:[Management]帯域幅とデュプレックス設定(全二重または半二重)を含む現在のリンク モード。N/A は、インターフェイスのリンクがないことを示す

インターフェイスの名前、説明、MDI/MDIX 設定、およびリンク モードは、必要に応じて変更できます。ただし、次の点に注意してください。

特定のリンク モード設定が必要な場合にのみ、[Auto Negotiate] フィールドで [Off] を選択します。10Gb インターフェイスの [Auto Negotiate] 設定は変更できません。

[Auto Negotiate] が無効になっていて、リンク モードを指定する必要がある場合は、[Link Mode] フィールドでそれを選択します。

ギガビット インターフェイスでは、[Auto Negotiate] の値を変更しても無視されます。

ステップ 4 [Save] をクリックします。

[Management Interface] ページが再度表示されます。


 

システムのシャット ダウンと再起動

ライセンス:任意

アプライアンス上のプロセスを制御するために、いくつかのオプションが用意されています。次の作業を実行できます。

アプライアンスのシャット ダウン

アプライアンスのリブート

アプライアンス上の通信、データベース、および HTTP サーバ プロセスの再起動(通常はトラブルシューティング時に使用される)

Snort プロセスの再起動


注意 電源ボタンを使用してアプライアンスを停止しないでください。データが失われる可能性があります。アプライアンスを完全にシャット ダウンするには、[Appliance Process] ページを使用します。

アプライアンスをシャット ダウンまたは再起動する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Process] をクリックします。

[Appliance Process] ページが表示されます。

ステップ 3 実行するコマンドを指定します。

防御センター で:

アプライアンスをシャット ダウンするには、[Shutdown Defense Center ] の横にある [Run Command] をクリックします。

アプライアンスをリブートするには、[Reboot Defense Center ] の横にある [Run Command] をクリックします。これによってユーザが防御センターからログアウトすることに注意してください。

アプライアンスを再起動するには、[Restart Defense Center Console] の横にある [Run Command] をクリックします。 防御センター を再起動すると、ネットワーク マップ内に削除されたホストが再表示されることがあります。

管理対象デバイスで:

アプライアンスをシャット ダウンするには、[Shutdown Appliance] の横にある [Run Command] をクリックします。

アプライアンスをリブートするには、[Reboot Appliance] の横にある [Run Command] をクリックします。これによってユーザがそのデバイスからログアウトすることに注意してください。

アプライアンスを再起動するには、[Restart Appliance Console] の横にある [Run Command] をクリックします。

Snort プロセスを再起動するには、[Restart Snort] の横にある [Run Command] をクリックします。


 

手動での時間の設定

ライセンス:任意

現在適用されているシステム ポリシー内の時間同期設定が [Manually in Local Configuration] に設定されている場合は、ローカル構成の [Time] ページを使用して手動でアプライアンスの時間を設定できます。

Sourcefire Software for X-Series の時間設定を管理するには、コマンドライン インターフェイスやオペレーティング システム インターフェイスなどのネイティブ アプリケーションを使用する必要があります。詳細については、『 Sourcefire Software for X-Series Installation Guide 』を参照してください。

アプライアンスが NTP に基づいて時間を同期している場合は、時間を手動で変更できません。代わりに、[Time] ページの [NTP Status] セクションに次の情報が表示されます。

 

表 51-4 NTP のステータス

カラム
説明

NTP Server

構成済みの NTP サーバの IP アドレスと名前。

Status

NTP サーバの時間同期のステータス。次の状態が表示されます。

[Being Used] は、アプライアンスが NTP サーバと同期していることを示します。

[Available] は、NTP サーバが使用可能であるものの、時間がまだ同期していないことを示します。

[Not Available] は、NTP サーバが構成に含まれているものの、NTP デーモンがその NTP サーバを使用できないことを示します。

[Pending] は、NTP サーバが新しいか、または NTP デーモンが最近再起動されたことを示します。この値は、時間の経過とともに [Being Used]、[Available]、または [Not Available] に変わるはずです。

[Unknown] は、NTP サーバのステータスが不明であることを示します。

Offset

アプライアンスと構成済みの NTP サーバ間の時間の差(ミリ秒)。負の値はアプライアンスの時間が NTP サーバより遅れていることを示し、正の値は進んでいることを示します。

Last Update

NTP サーバと最後に時間を同期してから経過した時間(秒数)。NTP デーモンは、いくつかの条件に基づいて自動的に同期時間を調整します。たとえば、更新時間が大きい(300 秒など)場合、それは時間が比較的安定しており、NTP デーモンが小さい更新増分値を使用する必要がないと判断したことを示します。

システム ポリシー内の時間設定の詳細については、「時刻の同期」を参照してください。

時間を手動で構成する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Time] をクリックします。

[Time] ページが表示されます。

ステップ 3 [Set Time] ドロップダウン リストから、次を選択します。

year

month

day

hour

minute

ステップ 4 [Apply] をクリックします。

時間が更新されます。

ステップ 5 タイムゾーンを変更する場合は、日付と時刻の横にあるタイムゾーン リンクをクリックします。詳細については、「デフォルトのタイム ゾーンの設定」を参照してください。

ポップアップ ウィンドウが表示されます。

ステップ 6 左側のリストから、使用するタイム ゾーンを含む大陸または地域を選択します。

たとえば、北米、南米、またはカナダのタイムゾーン標準を使用する場合は、[America] を選択します。

ステップ 7 右側のリストから、使用するタイム ゾーンに対応するゾーン(都市名)を選択します。

たとえば、東部標準時を使用する場合は、最初のタイムゾーン ボックスで [America] を選択した後、[New York] を選択します。

ステップ 8 [Save] をクリックしてタイムゾーンの設定が保存されたら、[Done] をクリックしてポップアップ ウィンドウを閉じます。

タイムゾーン ページの使用方法の詳細については、「デフォルトのタイム ゾーンの設定」を参照してください。


 

リモート ストレージの管理

ライセンス:任意

防御センター では、バックアップとレポート用にローカルまたはリモート ストレージを使用できます。バックアップとレポートのリモート ストレージでは、ネットワーク ファイル システム(NFS)、セキュア シェル(SSH)、またはサーバ メッセージ ブロック(SMB)/Common Internet File System(CIFS)を使用できます。1 つのリモート システムにバックアップを送信し、別のリモート システムにレポートを送信することはできませんが、どちらかをリモート システムに送信し、もう一方をローカルの防御センターに格納することは可能です。バックアップと復元については、「バックアップと復元の使用」を参照してください。


ヒント リモート ストレージを構成して選択した後は、接続データベースの制限を増やさなかった場合にのみ、ローカル ストレージに戻すことができます。

外部リモート ストレージ システムが機能しており、防御センター からアクセスできることを確認する必要があります。

バックアップとレポートのストレージ オプションとして、次のいずれかを選択してください。

外部リモート ストレージを無効にして、バックアップとレポートのストレージ用にローカルの 防御センター を使用するには、「ローカルストレージの使用」を参照してください。

バックアップとレポートのストレージ用に NFS を使用するには、「リモート ストレージでの NFS の使用」を参照してください。

バックアップとレポートのストレージ用に SSH 経由のセキュア シェル(SCP)を使用するには、「リモート ストレージでの SSH の使用」を参照してください。

バックアップとレポートのストレージ用に SMB を使用するには、「リモート ストレージでの SMB の使用」を参照してください。


リモート バックアップおよび復元を使用して Sourcefire Software for X-Series 上のデータを管理することはできません。


ローカルストレージの使用

ライセンス:任意

ローカルの 防御センター にバックアップとレポートを格納できます。

バックアップとレポートをローカルで格納する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Remote Storage Device] をクリックします。

[Remote Storage Device] ページが表示されます。

ステップ 3 [Storage Type] ドロップダウン リストから [Local (No Remote Storage)] を選択します。

ステップ 4 [Save] をクリックします。

選択したストレージの場所が保存されます。


ヒント ローカル ストレージでは [Test] ボタンを使用しません。


 

リモート ストレージでの NFS の使用

ライセンス:任意

ネットワーク ファイル システム(NFS)プロトコルを選択して、レポートとバックアップを格納できます。必要に応じて、NFS マウントのマニュアル ページに記載されているいずれかのマウント バイナリ オプションを使用するには、[Use Advanced Options] チェック ボックスをオンにします。

NFS を使用してバックアップとレポートを格納する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Remote Storage Device] をクリックします。

[Remote Storage Device] ページが表示されます。

ステップ 3 [Storage Type] ドロップダウン リストから [NFS] を選択します。

ページが更新され、NFS ストレージ構成オプションが表示されます。

ステップ 4 接続情報を追加します。

[Host] フィールドに、ストレージ システムの IPv4 アドレスまたはホスト名を入力します。

[Directory] フィールドに、ストレージ領域へのパスを入力します。

ステップ 5 必要なコマンドライン オプションがある場合は、[Use Advanced Options] を選択します。

[Command Line Options] フィールドが表示され、マウント バイナリ オプションを入力できます。

ステップ 6 [System Usage] で、次のいずれかまたは両方を選択します。

指定したホストにバックアップを格納するには、[Use for Backups] を選択します。

指定したホストにレポートを格納するには、[Use for Reports] を選択します。

リモート ストレージへのバックアップに関する [Disk Space Threshold] を入力します。デフォルトは 85% です。

ステップ 7 必要に応じて、[Test] をクリックします。

このテストは、防御センターが指定されたホストおよびディレクトリにアクセスできることを確認します。

ステップ 8 [Save] をクリックします。

リモート ストレージの構成が保存されます。


 

リモート ストレージでの SSH の使用

ライセンス:任意

セキュア コピー(SCP)を使用してレポートとバックアップを格納するには、[SSH] を選択します。必要に応じて、SSH マウントのマニュアル ページに記載されているいずれかのマウント バイナリ オプションを使用するには、[Use Advanced Options] チェック ボックスをオンにします。


注意 アプライアンスの STIG 準拠を有効にすると、そのアプライアンスのリモート ストレージでは SSH を使用できません。詳細については、「STIG コンプライアンスの有効化」を参照してください。

SSH を使用してバックアップとレポートを格納する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Remote Storage Device] をクリックします。

[Remote Storage Device] ページが表示されます。

ステップ 3 [Storage Type] で [SSH] を選択します。

ページが更新され、SSH 経由の SCP ストレージ構成オプションが表示されます。

ステップ 4 接続情報を追加します。

[Host] フィールドに、ストレージ システムの IP アドレスまたはホスト名を入力します。

[Directory] フィールドに、ストレージ領域へのパスを入力します。

[Username] フィールドにストレージ システムのユーザ名を入力し、[Password] フィールドにそのユーザのパスワードを入力します。ドメインを指定するには、ユーザ名の前にドメインとスラッシュ(/)を付けます。

SSH キーを使用するには、[SSH Public Key] フィールドの内容をコピーして authorized_keys ファイルに貼り付けます。

ステップ 5 必要なコマンドライン オプションがある場合は、[Use Advanced Options] を選択します。

[Command Line Options] フィールドが表示され、マウント バイナリ オプションを入力できます。

ステップ 6 [System Usage] で、次のいずれかまたは両方を選択します。

指定したホストにバックアップを格納するには、[Use for Backups] を選択します。

指定したホストにレポートを格納するには、[Use for Reports] を選択します。

ステップ 7 必要に応じて、[Test] をクリックします。

このテストは、防御センターが指定されたホストおよびディレクトリにアクセスできることを確認します。

ステップ 8 [Save] をクリックします。

リモート ストレージの構成が保存されます。


 

リモート ストレージでの SMB の使用

ライセンス:任意

サーバ メッセージ ブロック(SMB)プロトコルを選択して、レポートとバックアップを格納できます。必要に応じて、SMB マウントのマニュアル ページに記載されているいずれかのマウント バイナリ オプションを使用するには、[Use Advanced Options] チェック ボックスをオンにします。たとえば、SMB を使用するときは、[Command Line Options] フィールドに次の形式でセキュリティ モードを入力できます。

sec=mode

mode は、リモート ストレージで使用するセキュリティ モードです。設定オプションについては、 「セキュリティ モードの設定」 の表を参照してください。

 

表 51-5 セキュリティ モードの設定

モード
説明

(なし)

NULL ユーザ(名前なし)として接続します。

krb5

Kerberos バージョン 5 認証を使用します。

krb5i

Kerberos 認証とパケット署名を使用します。

ntlm

NTLM パスワード ハッシュを使用します。(デフォルト)

ntlmi

署名付きの NTLM パスワード ハッシュを使用します( /proc/fs/cifs/PacketSigningEnabled がオンになっている場合またはサーバが署名を要求する場合はデフォルト)。

ntlmv2

NTLMv2 パスワード ハッシュを使用します。

ntlmv2i

パケット署名付きの NTLMv2 パスワード ハッシュを使用します。

SMB を使用してバックアップとレポートを格納する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Remote Storage Device] をクリックします。

[Remote Storage Device] ページが表示されます。

ステップ 3 [Storage Type] で [SMB] を選択します。

ページが更新され、SMB ストレージ構成オプションが表示されます。

ステップ 4 接続情報を追加します。

[Host] フィールドに、ストレージ システムの IPv4 アドレスまたはホスト名を入力します。

[Share] フィールドに、ストレージ領域の共有を入力します。システムに認識されるのはファイルのフル パスではなく最上位の共有だけであることに注意してください。指定した共有ディレクトリをリモート バックアップ先として使用するには、それを Windows システムで共有する必要があります。

必要に応じて、[Domain] フィールドにリモート ストレージ システムのドメイン名を入力します。

[Username] フィールドにストレージ システムのユーザ名を入力し、[Password] フィールドにそのユーザのパスワードを入力します。

ステップ 5 必要なコマンドライン オプションがある場合は、[Use Advanced Options] を選択します。

[Command Line Options] フィールドが表示され、セキュリティ モードなどのマウント バイナリ コマンドを入力できます。詳細については、「セキュリティ モードの設定」を参照してください。

ステップ 6 [System Usage] で、次のいずれかまたは両方を選択します。

指定したホストにバックアップを格納するには、[Use for Backups] を選択します。

指定したホストにレポートを格納するには、[Use for Reports] を選択します。

ステップ 7 必要に応じて、[Test] をクリックします。

このテストは、防御センターが指定されたホストおよびディレクトリにアクセスできることを確認します。

ステップ 8 [Save] をクリックします。

リモート ストレージの構成が保存されます。


 

変更調整について

ライセンス:任意

ユーザが行う変更を監視し、それらが組織の推奨する標準に従っていることを確認するため、過去 24 時間に行われたシステム変更の詳細なレポートを電子メールで送信するようにシステムを構成できます。ユーザが変更をシステム構成に保存するたびに、変更のスナップショットが取得されます。変更調整レポートは、これらのスナップショットを組み合せて、最近のシステム変更の概要を提供します。

次の図は、変更調整レポートの [User] セクションの例を示しています。ここには、各構成の変更前の値と変更後の値の両方が一覧表示されています。ユーザが同じ構成に対して複数の変更を行った場合は、個々の変更の概要が最新のものから順に時系列でレポートに一覧表示されます。

 

過去 24 時間に行われた変更を参照できます。しかし、それ以前の変更を確認するには、監査ログを参照する必要があります。詳細については、「監査ログを使って変更を調査する」を参照してください。

変更調整機能を使用する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Change Reconciliation] をクリックします。

[Change Reconciliation] ページが表示されます。

ステップ 3 [Enable] チェック ボックスをオンにします。

ステップ 4 [Time to Run] ドロップダウン リストから、システムが変更調整レポートを送信する時刻を選択します。

ステップ 5 [Email to] フィールドに、レポートの受信者の電子メール アドレスを入力します。いつでも [Resend Last Report] をクリックして、最新の変更調整レポートのコピーを受信者に再送信できます。


変更調整レポートを受信するには、最初にメール リレー ホストと通知アドレスを構成する必要があります。詳細については、「メール リレー ホストおよび通知アドレスの設定」を参照してください。


ステップ 6 必要に応じて、変更調整レポートにポリシー変更の記録を含めるには、[Include Policy Configuration] を選択します。これには、アクセス制御、侵入、システム、ヘルス、およびネットワーク検出の各ポリシーの変更が含まれます。このオプションを選択しなかった場合は、ポリシーの変更はどれもレポートに表示されません。


このオプションは管理対象デバイスでは使用できません。


ステップ 7 必要に応じて、過去 24 時間に行われたすべての変更の記録を変更調整レポートに含めるには、[Show Full Change History] を選択します。このオプションを選択しなかった場合は、変更がカテゴリごとに統合された形でレポートに表示されます。

ステップ 8 [Save] をクリックします。

変更が保存されます。このレポートは、毎日、ユーザが選択した時刻に実行されます。


 

リモート コンソール アクセスの管理

ライセンス:任意

サポート対象デバイス:機能に応じて異なる

サポート対象防御センター:機能に応じて異なる

アプライアンス上でリモート アクセスを行うため、VGA ポート(デフォルト)または物理アプライアンス上のシリアル ポートを介して Linux システムのコンソールを使用できます。組織のシスコ導入の物理レイアウトに最も適したオプションを選択してください。

Serial Over LAN(SOL)接続で Lights-Out 管理(LOM)を使用すると、アプライアンスの管理インターフェイスにログインせずにリモートで シリーズ 3 アプライアンスを監視または管理できます。アウト オブ バンド管理接続のコマンドライン インターフェイスを使用すると、シャーシのシリアル番号の表示や状態(ファン速度や温度など)の監視などの、限定タスクを実行できます。シリーズ 2、仮想アプライアンス、および Sourcefire Software for X-Series は LOM をサポートしません。

LOM は、アプライアンスとアプライアンスを管理するユーザの両方で有効にする必要があります。アプライアンスとユーザを有効にしたら、サードパーティ製の Intelligent Platform Management Interface(IPMI)ユーティリティを使用してアプライアンスにアクセスして管理します。

詳細については、次のトピックを参照してください。

「アプライアンス上のリモート コンソール設定の構成」

「Lights-Out 管理ユーザ アクセスの有効化」

「Serial over LAN 接続の使用」

「Lights-Out 管理の使用」

アプライアンス上のリモート コンソール設定の構成

ライセンス:任意

サポート対象デバイス:機能に応じて異なる

サポート対象防御センター:機能に応じて異なる

リモートで管理するアプライアンスの Web インターフェイスを使用して、使用するリモート コンソール アクセスのオプションを選択し構成します。


LOM/SOL を使用して シリーズ 3 デバイスに接続する前に、デバイスの管理インターフェイスに接続されたサードパーティ製のスイッチング機器のスパニング ツリー プロトコル(STP)を無効にする必要があります。


リモート コンソール設定を構成する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Console Configuration] を選択します。

[Console Configuration] ページが表示されます。

ステップ 3 リモート コンソール アクセスのオプションを選択します。

アプライアンスの VGA ポートを使用するには、[VGA] を選択します。これがデフォルトのオプションです。

アプライアンスのシリアル ポートを使用するか、シリーズ 3 防御センターまたは 8000 シリーズ デバイスで LOM/SOL を使用するには、[Physical Serial Port] を選択します。

3D2100、3D2500、3D3500、および 3D4500 管理対象デバイスにはシリアル ポートはありません。

7000 シリーズ デバイスで LOM/SOL を使用するには、[Lights-Out Management] を選択します。これらのデバイスでは、SOL と通常のシリアル接続を同時に使用することはできません。

[Physical Serial Port] または [Lights-Out Management] を選択した場合は、LOM の設定が表示されます。


70xx ファミリ デバイスでリモート コンソールを [Physical Serial Port] から [Lights-Out Management] に、または [Lights-Out Management] から [Physical Serial Port] に変更した場合は、アプライアンスを 2 回リブートしないと、期待されるブート プロンプトが表示されないことがあります。


ステップ 4 SOL 経由で LOM を設定するには、次の該当する設定値を入力します。

アプライアンスの DHCP 設定([DHCP] または [Static])

LOM に使用する [IP Address]


LOM の IP アドレスは、アプライアンスの管理インターフェイスの IP アドレスと異なっている必要があります。


アプライアンスの [Netmask]

アプライアンスの [Default Gateway]

ステップ 5 [Save] をクリックします。

アプライアンスのリモート コンソール構成が保存されます。Lights-Out 管理を構成した場合は、少なくとも 1 人のユーザに対してそれを有効にする必要があります。「Lights-Out 管理ユーザ アクセスの有効化」を参照してください。


 

Lights-Out 管理ユーザ アクセスの有効化

ライセンス:任意

サポート対象デバイス:シリーズ 3

サポート対象防御センター:シリーズ 3

Lights-Out 管理機能を使用するユーザに対して、この機能の権限を明示的に付与する必要があります。アプライアンスのローカル Web インターフェイスを使用して、アプライアンスごとに LOM と LOM ユーザを設定します。つまり、防御センターを使用して管理対象デバイスに LOM を設定することはできません。同様に、ユーザも各アプライアンスで個別に管理されるため、防御センターで LOM を使用できるユーザを有効化または作成しても、管理対象デバイスのユーザにその機能は転送されません。

LOM ユーザには、さらに次の制約事項があります。

ユーザに Administrator ロールを割り当てる必要があります。

ユーザ名に使用できるのは最大 16 個の英数字です。LOM ユーザについては、ハイフンとこれより長いユーザ名はサポートされません。

パスワードに使用できるのは最大 16 個の英数字です。LOM ユーザについては、これより長いパスワードはサポートされません。ユーザの LOM パスワードは、そのユーザのシステム パスワードと同じです。

シリーズ 3 防御センターおよび 8000 シリーズ デバイスでは、最大 13 人の LOM ユーザを作成できます。7000 シリーズ デバイスでは、最大 8 人の LOM ユーザを作成できます。

あるロールを持つユーザのログイン中に LOM でそのロールを非アクティブ化してから再アクティブ化した場合や、ユーザのログイン セッション中にそのユーザまたはユーザ ロールをバックアップから復元した場合、そのユーザは IPMItool コマンドへのアクセスを回復するために Web インターフェイスにログインし直す必要があります。詳細については、「事前定義ユーザ ロールの管理」を参照してください。

Lights-Out 管理ユーザ アクセスを有効化または表示する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 次の選択肢があります。

既存のユーザに LOM ユーザ アクセスを許可するには、リスト内のユーザ名の横にある編集アイコン( )をクリックします。

新しいユーザに LOM ユーザ アクセスを許可するには、[Create User] をクリックします。

ステップ 3 [User Configuration] で、Administrator ロールを有効にします。

[Administrator Options] が表示されます。

ステップ 4 [Allow Lights-Out Management Access] チェック ボックスをオンにします。

ステップ 5 [Save] をクリックします。

このアプライアンスの LOM アクセスがユーザに付与されます。


 

Serial over LAN 接続の使用

ライセンス:任意

サポート対象デバイス:シリーズ 3

サポート対象防御センター:シリーズ 3

アプライアンスへの Serial over LAN 接続を作成するには、コンピュータ上でサードパーティ製の IPMI ユーティリティを使用します。Linux 系環境または Mac 環境を使用するコンピュータでは IPMItool を使用し、Windows 環境では IPMIutil を使用します。


シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。


Linux

多くのディストリビューションで IPMItool が標準となっており、使用可能です。

Mac

Mac では、IPMItool をインストールする必要があります。最初に、Mac に Apple の XCode Apple Developer Tools がインストールされていることを確認します。これにより、コマンドライン開発用のオプション コンポーネント(新しいバージョンでは UNIX Development and System Tools、古いバージョンでは Command Line Support)がインストールされていることを確認できます。次に、MacPorts と IPMItool をインストールします。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。

https://developer.apple.com/technologies/tools/
http://www.macports.org/

Windows

Windows では、IPMIutil をコンパイルする必要があります。コンパイラにアクセスできない場合は、IPMIutil 自体を使用してコンパイルできます。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。

http://ipmiutil.sourceforge.net/

IPMI ユーティリティのコマンドについて

IPMI ユーティリティで使用するコマンドは、次の IPMItool の例に示したセグメントで構成されます。

ipmitool -I lanplus -H IP_address -U user_name command

値は次のとおりです。

ipmitool はユーティリティを起動します

-I lanplus はセッションの暗号化を有効にします

-H IP_address はアクセスするアプライアンスの IP アドレスを示します

-U user_name は権限を持つユーザの名前です

- command は指定するコマンド名です


シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。


Windows 用の同等のコマンドは次のとおりです。

ipmiutil command -V 4 -J 3 -N IP_address -U user_name

このコマンドは、アプライアンスのコマンドラインにユーザを接続します。これによって、ユーザは物理的にそのアプライアンスの近くにいるときと同じようにログインできます。場合によっては、パスワードの入力を求められます。

Serial over LAN 接続を作成する方法:

アクセス:LOM アクセスのある Admin


ステップ 1 次のコマンドを入力します。

IPMItool の場合:

ipmitool -I lanplus -H IP_address -U user_name sol activate

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。


IPMIutil の場合:

ipmiutil -J 3 -H IP_address -U username sol -a

アプライアンスのコマンドライン ログインが表示されます。場合によっては、パスワードの入力を求められます。


 

Lights-Out 管理の使用

ライセンス:任意

サポート対象デバイス:シリーズ 3

サポート対象防御センター:シリーズ 3

Lights-Out 管理では、アプライアンスにログインすることなく、SOL 接続を介して一連の限定操作を実行できます。SOL 接続を作成するコマンドに続いて、次の表に示すいずれかのコマンドを使用します。コマンドが完了すると、接続は終了します。電源制御コマンドの中には、70xx ファミリ デバイスに対して有効でないものもあります。


注意 まれに、コンピュータがアプライアンスの管理インターフェイスとは異なるサブネットにあり、そのアプライアンスに DHCP が構成されている場合は、シリーズ 3 アプライアンスの LOM 機能にアクセスしようとすると失敗することがあります。この場合は、アプライアンスの LOM を無効にして再び有効にするか、または同じサブネット上のコンピュータをアプライアンスとして使用して、その管理インターフェイスを ping することができます。その後、LOM を使用できるようになるはずです。

アプライアンスへのアクセス試行がすべて失敗した場合は、LOM を使用してリモートでアプライアンスを再起動できます。SOL 接続がアクティブなときにシステムが再起動すると、LOM セッションが切断されるか、またはタイムアウトする可能性があります。


注意 アプライアンスが別の再起動の試行に応答している間は、アプライアンスを再起動しないでください。リモートでアプライアンスを再起動すると、通常の方法でシステムがリブートしないため、データが失われる可能性があります。

.

表 51-6 Lights-Out 管理のコマンド

IPMItool
IPMIutil
説明

(非該当)

-V 4

IPMI セッションの管理者権限を有効にします

-I lanplus

-J 3

IPMI セッションの暗号化を有効にします

-H

-N

リモート アプライアンスの IP アドレスを指定します

-U

-U

認可された LOM アカウントのユーザ名を指定します

sol activate

sol -a

SOL セッションを開始します

sol deactivate

sol -d

SOL セッションを終了します

chassis power cycle

power -c

アプライアンスを再起動します(70xx ファミリ デバイスでは無効)

chassis power on

power -u

アプライアンスの電源を投入します

chassis power off

power -d

アプライアンスの電源を切断します
(70xx ファミリ デバイスでは無効)

sdr

sensor

アプライアンスの情報(ファン速度や温度など)を表示します

たとえば、アプライアンスの情報のリストを表示する IPMItool のコマンドは、次のとおりです。

ipmitool -I lanplus -H IP_address -U user_name sdr

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。


IPMIutil ユーティリティの同等のコマンドは次のとおりです。

ipmiutil sensor -V 4 -J 3 -N IP_address -U user_name

Lights-Out 管理を使用する方法:

アクセス:LOM アクセスのある Admin


ステップ 1 次のコマンドを入力します。

IPMItool の場合:

ipmitool -I lanplus -H IP_address -U user_name command

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。


IPMIutil の場合:

ipmiutil -J 3 -H IP_address -U username command

command は、 「Lights-Out 管理のコマンド」 の表に示されたいずれかのコマンドです。

この表に示された対応するアクションが実行されます。場合によっては、パスワードの入力を求められます。


 

クラウド通信の有効化

ライセンス:URL Filtering または Malware

サポート対象防御センター:任意(DC500 を除く)

FireSIGHT システムは、Collective Security Intelligence クラウドに接続してさまざまなタイプの情報を取得します。

組織に FireAMP サブスクリプションがある場合は、エンドポイントベースのマルウェア イベントを受信できます。「FireAMP 用のクラウド接続の操作」を参照してください。

アクセス コントロール ルールに関連付けられたファイル ポリシーにより、管理対象デバイスは、ネットワーク トラフィックで送信されるファイルを検出できます。防御センターは、シスコ クラウドからのデータを使用して、ファイルがマルウェアに相当するかどうかを判定します。「ファイル ポリシーの概要と作成」を参照してください。

URL フィルタリングを有効にすると、防御センターはよくアクセスされる多くの URL のカテゴリおよびレピュテーション データを取得し、未分類の URL を検索します。その後、アクセス コントロール ルールの URL 条件をすばやく作成できます。「URL 条件の追加」を参照してください。

防御センターのローカル構成を使用して、次のオプションを指定します。

Enable URL Filtering

カテゴリおよびレピュテーションベースの URL フィルタリングを実行するには、このオプションを有効にする必要があります。

Query Cloud for Unknown URL

監視対象ネットワーク上で誰かがローカル データ セットに存在しない URL を参照しようとしたときに、システムがクラウドを照会できるようにします。

クラウドが URL のカテゴリまたはレピュテーションを識別できない場合、または防御センターがクラウドに接続できない場合、その URL はカテゴリまたはレピュテーション ベースの URL 条件を含むアクセス コントロール ルールと一致 しません 。URL に手動でカテゴリやレピュテーションを割り当てることはできません。

プライバシー上の理由などで、未分類の URL をシスコ クラウドでカタログ化したくない場合は、このオプションを無効にします。

Enable Automatic Updates

システムが定期的にクラウドに接続して、アプライアンスのローカル データ セットに含まれる URL データの更新を取得できるようにします。クラウドはそのデータを通常 1 日に 1 回更新しますが、自動更新を有効にすると、防御センターによるチェックが 30 分ごとに強制的に行われ、常に最新の情報が保持されるようになります。

毎日の更新はたいてい小規模ですが、最終更新から 6 日以上経過すると、帯域幅によっては新しい URL フィルタリング データをダウンロードにするのに最大 20 分かかることがあります。その場合、アップデート自体の実行にも最大 30 分かかることがあります。

システムがクラウドに接続するタイミングを厳密に制御する必要がある場合は、「URL フィルタリング更新の自動化」で説明しているように、自動更新を無効にして、代わりにスケジューラを使用できます。


シスコでは、自動更新を有効にするか、またはスケジューラを使用して更新をスケジュールすることを推奨しています。手動でオンデマンド更新を実行することもできますが、システムによるクラウドへの定期的な接続を自動化することで、最も関連性の高い最新の URL データを取得できます。


Share URI Information of malware events with Cisco

必要に応じて、ネットワーク トラフィックで検出されたファイルに関する情報を防御センターからクラウドに送信できます。この情報には、検出されたファイルに関連する URI 情報と、ファイルの SHA-256 ハッシュ値が含まれています。共有はオプトインですが、この情報をシスコに送信すると、マルウェアを識別して追跡する今後の取り組みに役立ちます。

Use legacy port 32137 for network AMP lookups

このチェック ボックスをオンにすると、システムがネットワーク クラウド検索でポート 443/tcp の代わりにポート 32137/tcp(以前のデフォルト ポート)を使用できるようになります。アプライアンスを FireSIGHT システムの以前のバージョンから更新した場合は、デフォルトでこのチェック ボックスがオンになっています。

Licensing

カテゴリおよびレピュテーションベースの URL フィルタリングとデバイスベースのマルウェア検出を実行するには、管理対象デバイスで適切なライセンスを有効にする必要があります。「FireSIGHT システムのライセンス」を参照してください。

防御センターに URL Filtering または Malware ライセンスがない場合は、クラウド接続オプションを構成 できません 。どちらかのライセンスがあってもう一方がない場合は、[Cloud Services] ローカル構成ページに、ライセンスされているオプションのみが表示されます。ライセンスが期限切れになっている 防御センターでは、クラウドに接続できません。

防御センターに URL Filtering ライセンスを追加すると、URL フィルタリングの構成オプションが表示されるのに加えて、[Enable URL Filtering] と [Enable Automatic Updates] が自動的に有効になります。必要な場合は、手動でこれらのオプションを無効にすることができます。

FireAMP サブスクリプションを使用してエンドポイントベースのマルウェア イベントを受信する場合は、ライセンスは不要であり、許可またはブロックする個々の URL や URL のグループを指定する必要もありません。詳細については、「マルウェア対策とファイル制御について」および「URL 条件の追加」を参照してください。

Internet Access and High Availability

システムは、シスコ クラウドへの接続にポート 80/HTTP および 443/HTTPS を使用し、プロキシの使用もサポートします。「ネットワーク設定の構成」を参照してください。

ハイ アベイラビリティの導入では、防御センター間ですべての URL フィルタリング構成と情報が同期されますが、URL フィルタリング データをダウンロードするのはプライマリ防御センターだけです。プライマリ 防御センターに障害が発生した場合は、セカンダリ 防御センターがインターネットに直接アクセスできることを確認し、セカンダリ防御センターの Web インターフェイスを使用して [Active] に昇格させる必要があります。詳細については、「ハイ アベイラビリティ ステータスのモニタリングおよび変更」を参照してください。

一方、ハイ アベイラビリティ ペアの防御センターは、ファイル ポリシーと関連する構成を共有しますが、クラウド接続やマルウェア処理は共有しません。運用の継続性を確保し、検出されたファイルのマルウェアの処理が両方の防御センターで同じになるようにするには、プライマリとセカンダリの両方の防御センターがクラウドにアクセスできる必要があります。

Health Monitoring

デフォルトのヘルス ポリシーには、防御センターのクラウド接続の状態と安定性を追跡する次のモジュールが含まれています。

URL フィルタリング モニタ。これは、防御センターがその管理対象デバイスにカテゴリとレピュテーションの更新をプッシュできない場合にも、ユーザに対して警告を表示します。

高度なマルウェア対策


ヒント もう 1 つのモジュールである FireAMP ステータス モニタは、FireAMP サブスクリプションの保有者のために、防御センターからシスコ クラウドへの接続を追跡します。ヘルス モニタリングの詳細については、「ヘルス モニタの使用」を参照してください。

次の手順では、シスコ クラウドとの通信を有効にする方法と、URL データのオンデマンド更新を実行する方法について説明します。更新がすでに進行中である場合は、オンデマンド更新を開始できません。

クラウドとの通信を有効にする方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [Cloud Services] をクリックします。

[Cloud Services] ページが表示されます。URL Filtering ライセンスがある場合は、このページに URL データの最終更新時間が表示されます。

ステップ 3 上記の説明に従って、クラウド接続のオプションを構成します。

[Enable Automatic Updates] または [Query Cloud for Unknown URLs] を有効にするには、あらかじめ [Enable URL Filtering] を有効にする必要があります。

ステップ 4 [Save] をクリックします。

設定が保存されます。URL フィルタリングを有効にした場合は、URL フィルタリングが最後に有効になってから経過した時間に応じて、または URL フィルタリングを今回初めて有効にしたかどうかによって、防御センターがクラウドから URL フィルタリング データを取得します。


 

システムの URL データのオンデマンド更新を実行する方法:

アクセス:Admin


ステップ 1 [System] > [Local] > [Configuration] を選択します。

[Information] ページが表示されます。

ステップ 2 [URL Filtering] をクリックします。

[URL Filtering] ページが表示されます。

ステップ 3 [Update Now] をクリックします。

防御センターがクラウドに接続し、更新が使用可能な場合はその URL フィルタリング データを更新します。