Cisco Intrusion Prevention System Device Manager コンフィギュレーション ガイド for IPS 7.1
ダッシュボードの設定
ダッシュボードの設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ダッシュボードの設定

ダッシュボードについて

ダッシュボードの追加と削除

ガジェットについて

ガジェット

[Sensor Information] ガジェット

[Sensor Health] ガジェット

[Licensing] ガジェット

[Interface Status] ガジェット

[Global Correlation Reports] ガジェット

[Global Correlation Health] ガジェット

[Network Security] ガジェット

[Top Applications] ガジェット

[CPU, Memory, & Load] ガジェット

ダッシュボードの設定


) IPS SSP を搭載した Cisco ASA 5585-X は、現在のところ、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。現時点では、他に IPS バージョン 7.1 をサポートしている Cisco IPS センサーはありません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以上および ASA 8.4(2) 以上でサポートされています。ASA 8.3(x) では、サポートされていません。


この章では、センサーのダッシュボードとガジェットについて説明します。次の項目を取り上げます。

「ダッシュボードについて」

「ダッシュボードの追加と削除」

「ガジェットについて」

「ガジェット」

ダッシュボードについて

デフォルトでは、[Health] ダッシュボードにデフォルトのガジェットが表示されます。ダッシュボードは、すべてカスタマイズ可能です。利用可能なリストからガジェットを選択してデフォルトのダッシュボードにドラッグ アンド ドロップするか、新規ダッシュボードを作成することができます。

ダッシュボードを追加するには、[Add Dashboard] をクリックします。ダッシュボードに追加可能なガジェットを表示するには、[Add Gadgets] をクリックします。

ダッシュボードの追加と削除

ダッシュボードの追加と削除を行うには、次の手順に従います。


ステップ 1 ダッシュボードにガジェットを追加するには、[Home] を選択して [Add Gadgets] をクリックします。9 種類のガジェットのアイコンが [Home] ペインの下方に表示されます。

ステップ 2 カスタマイズするダッシュボードのタブをクリックし、追加するガジェットをダッシュボードにドラッグ アンド ドロップします。

ステップ 3 ガジェットをカスタマイズするには、右上隅の [Tool] アイコンをクリックします。[Configure Settings] ペインが表示されます。ガジェットのカスタマイズ手順については、それぞれガジェットについての項を参照してください。

ステップ 4 ダッシュボードを追加するには、[Add Dashboard] をクリックします。[Untitled] という名前のタブが表示されます。

ステップ 5 [Untitled] をダブルクリックし、タブにダッシュボード名を入力します。

ステップ 6 [Add Gadgets] をクリックし、追加するガジェット アイコンをダッシュボードにドラッグします。

ステップ 7 ガジェットを折りたたむには、ガジェット右上隅の [Double Arrow] アイコンをクリックします。

ステップ 8 ガジェットを閉じるには、ガジェット右上隅の [X] アイコンをクリックします。


 

詳細情報

ガジェットの全般的な説明については、「ガジェットについて」を参照してください。

各ガジェットの詳細については、「ガジェット」を参照してください。

ガジェットについて


) [Global Correlation Health] と [Global Correlation Health Reports] ガジェットは、データを Cisco SensorBase ネットワークから取得します。他のガジェットは、データをヘルスおよびセキュリティ ステータス制御トランザクションから取得します。


[Dashboard] ペインに使用可能なガジェットを表示し、作成した任意のダッシュボードにドラッグ アンド ドロップできます。

IDM には、次のガジェットがあります。

[Sensor Information]:最重要なセンサー情報を表示します。

[Sensor Health]:2 つのメーターを表示します。[Sensor Health] メーターはセンサーの全体的なヘルス ステータスを、[Network Security Health] メーターは全体的なネットワーク セキュリティ ステータスを示します。メーターは [Normal]、[Needs Attention] または [Critical] という状態を示します。[Details] をクリックすると、ステータスに関連した数値やメッセージが表示されます。

[Licensing]:センサーのライセンス、シグニチャ バージョン、エンジン バージョンを表示します。

[Interface Status]:各インターフェイスについて、インターフェイスがアップ状態かダウン状態か、イネーブルかディセーブルか、速度とモード、および送受信されたパケットのカウントを表示します。

[Global Correlation Reports]:レピュテーション データによって発生したアラートと拒否されたパケットを表示します。

[Global Correlation Health]:グローバル相関とネットワーク参加の設定ステータスを表示します。

[Network Security]:設定期間中のアラート カウント(Meta および Summary カウントを含む)、平均脅威レーティングとリスク レーティング値、最大脅威レーティングとリスク レーティング値について、グラフを表示します。センサーはこれらの値を 10 秒ごとに集約し、レッド、イエロー、グリーンという 3 つのリスク カテゴリのいずれかに分類します。各カテゴリのリスク値は、イベント アクション規則でしきい値として設定できます。

[Top Applications]:過去 10 秒間に、センサーが監視したサービス ポートのトップ 10 を表示します。

[CPU, Memory, & Load]:現在のセンサーの CPU、メモリ、ディスク使用率を表示します。センサーに複数の CPU がある場合、複数のメーターが表示されます。使用率の詳細を表示するには、[i] アイコンをクリックします。

詳細情報

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

ガジェット

この項では、それぞれの IDM ガジェットについて説明します。次の項目を取り上げます。

「[Sensor Information] ガジェット」

「[Sensor Health] ガジェット」

「[Licensing] ガジェット」

「[Interface Status] ガジェット」

「[Global Correlation Reports] ガジェット」

「[Global Correlation Health] ガジェット」

「[Network Security] ガジェット」

「[Top Applications] ガジェット」

「[CPU, Memory, & Load] ガジェット」

[Sensor Information] ガジェット

[Sensor Information] ガジェットには、次のセンサー情報が表示されます。

[Host Name]:初期化時に設定したもの。

[IPS Version]:現在インストールされている IPS バージョン。

[In Bypass]:インターフェイスがバイパス モードで動作中かどうか。


) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスのコンフィギュレーションおよび IPS SSP で実行中のアクティビティのタイプに応じて、フェール オープン、フェール クローズ、またはフェールオーバーのいずれかになります。


[Total Sensing Interfaces]:ご使用のセンサー プラットフォームにある検知インターフェイスの数を表示します。

[Analysis Engine Status]:分析エンジンの実行状態を表示します。分析エンジンが初期化中または再設定中の場合、[Processing Transaction]、その他の場合のステータスは [Running Normally] と表示されます。

[Stage]:分析エンジンの更新の段階を経過表示バーに表示します。

[Step]:分析エンジンの更新中に実行される追加のステップを経過表示バーに表示します。

[Activity]:分析エンジンのアクティビティの完了を知らせます。


) [Stage]、[Step]、[Activity] バーは、分析エンジンの更新が完了すると表示されなくなります。


[IP Address]:初期化中に設定したもの。

[Device Type]:IPS センサー プラットフォームを表示します。

[Total Memory]:使用可能なメモリの総量を表示します。

[Total Data Storage]:使用可能なデータ ストレージの総量を表示します。

[Sensor Information] ガジェット表示の変更

[Sensor Information] ガジェットのタイトル、および情報を反映させるセンサーを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイス

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

インターフェイスの詳細については、「インターフェイスの設定」を参照してください。

分析エンジンの説明については、「分析エンジンについて」を参照してください。

[Sensor Health] ガジェット

[Sensor Health] ガジェットは、センサーのヘルスとネットワーク セキュリティ情報を、2 つのカラー メーターで視覚的に表示します。メーターは、特定のメトリックの分析結果によって [Normal]、[Needs Attention]、[Critical] とラベリングされます。全体のヘルス ステータスは、設定したメトリックのうち最も深刻なものにセットされます。たとえば、センサー ヘルスの判定用に 8 種類のメトリックを設定し、そのうち 7 つがグリーン、1 つがレッドの場合、全体のセンサー ヘルスはレッドで表示されます。

[Sensor Health] グラフそばの [i] アイコンをクリックすると、特定のセンサー ヘルス メトリックが表示され、イエローとレッドのしきい値レベルに従ってグループ化されます。

センサー ヘルスのメトリックを変更するには、[Details] > [Configure Sensor Health Metrics] とクリックすると、[Configuration] > [Sensor Management] > [Sensor Health] に移動し、ここでヘルス メトリックやセンサー ヘルス パラメータのイネーブル/ディセーブル化を再設定できます。

次のセンサー ヘルス メトリックとそのステータスが表示されます。

インスペクション ロード

失われたパケット

シグニチャ アップデート

ライセンス残り時間

イベント取得

アプリケーション エラー

バイパス モード動作


) IPS SSP はバイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定および IPS SSP で実行中のアクティビティのタイプに応じて、フェール オープン、フェール クローズ、またはフェールオーバーのいずれかになります。アクティブ インターフェイス ダウン


グローバル相関

ネットワーク参加

[Network Security Health] 横の [i] アイコンをクリックすると、特定のネットワーク ヘルス メトリックとそのステータスが表示されます。過去 5 分間に収集されたリスク レーティングと脅威レーティングを反映して、グリーン、イエロー、レッドに色分けされます。レッドが最も高いリスクを示します。

脅威のしきい値を変更するには、[Details] > [Configure Thresholds] をクリックします。自動的に [Configuration] > [Policies] > [IPS Policies] > [Risk Category] に移動し、ここで脅威のしきい値を設定できます。

ネットワーク セキュリティ ヘルスをリセットするには、[Details] > [Reset Health Status] をクリックします。自動的に [Configuration] > [Sensor Monitoring] > [Properties] > [Reset Network Security Health] に移動し、ここでネットワーク セキュリティ ヘルスのステータスと計算をリセットできます。

メーターを右クリックするとメニューが表示され、メーターのプロパティ変更、メーターに含まれる情報の印刷、センサーとネットワーク ヘルスの詳細の保存が行えます。

[Sensor Health] ガジェット表示の変更

[Sensor Health] ガジェットのタイトル、および情報を反映させるセンサーを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイス

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

脅威しきい値を変更するための手順については、「リスク カテゴリの設定」を参照してください。

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

[Licensing] ガジェット

[Licensing] ガジェットは、ご使用のライセンス キーや他のソフトウェアの更新情報についての関連情報を表示します。

[License Status]:ライセンス キーのインストールの有無と期限を示します。

[Signature Version]:インストールされているシグニチャのバージョンを表示します。

[Released On]:シグニチャ バージョンのリリース日を示します。

[Applied On]:シグニチャ バージョンが適用された日付です。

[Auto Update Status]:新バージョンの自動アップデートがチェックされたかを示します。

[Engine version]:インストールされているシグニチャ エンジンのバージョンを表示します。

[Released On]:シグニチャ エンジンのリリース日を示します。

[Applied On]:シグニチャ エンジンが適用された日付です。

[Auto Update Status]:自動アップデートによる最後の更新チェックがされたときを示します。

[Licensing] ガジェット表示の変更

[Licensing] ガジェットのタイトル、および情報を反映させるセンサーを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイス

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

ライセンス キーの取得とインストールの手順については、「ライセンスの設定」を参照してください。

IPS ソフトウェアを入手する手順については、「Cisco IPS ソフトウェアの入手」を参照してください。

自動アップデートの設定手順については、「自動アップデートの設定」を参照してください。

[Interface Status] ガジェット

[Interface Status] ガジェットは、各インターフェイスについて次の情報を表示します。

[Interface]:物理インターフェイス名(FastEthernet または GigabitEthernet、または PortChannel)。

[Link]:インターフェイスがアップ状態かダウン状態かどうか。

[Enabled]:インターフェイスがディセーブルかイネーブルか。

[Speed]:インターフェイスのスピードが Auto、10 MB、100 MB、1000、10,000 MB のいずれか)。

[Mode]:インターフェイスが混合モード、インライン インターフェイス モード、インライン VLAN ペア モードまたは VLAN グループ モードかどうか。

[Received packets]:このインターフェイス上で受信したパケット総数。

[Transmitted packets]:このインターフェイス上で送信したパケット総数。

[Interface Status] ガジェット表示の変更

[Interface Status] ガジェットのタイトル、および情報を反映させるデバイスを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイス

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

インターフェイスの詳細については、「インターフェイスの設定」を参照してください。

[Global Correlation Reports] ガジェット

[Global Correlation Reports] ガジェットは、レピュテーションについて次の情報を表示します。

[Packets Denied Due to Global Correlation]:悪意があると判定されたパケットのパーセンテージと、グローバル相関のためにドロップされたパケットの有無を表示します。

[Total Packets Denied]:悪意があると判定されたパケットの総数と、どのパケットがグローバル相関の条件によってドロップされたかを表示します。

[Global Correlation Reports] ガジェット表示の変更

[グローバル相関 Reports] ガジェットのタイトルと情報の表示方法を変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

表示方法(円グラフ、棒グラフ、または表)

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

グローバル相関のレピュテーション機能の説明については、「レピュテーションについて」を参照してください。

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

[Global Correlation Health] ガジェット

[Global Correlation Health] ガジェットは、グローバル相関について次の情報を表示します。

[Global Correlation Updates]:グローバル相関のステータスを表示します。

[Status of the Last Update Attempt]:グローバル相関がイネーブルとディセーブルのいずれか、および最後のアップデートが成功したか失敗したか。ステータスの説明を表示するには、[i] アイコンをクリックします。


) ステータスが [Disabled] の場合、グローバル相関がオフになっているか、センサーがライセンスされていません。


[Time Since Last Successful Update]:前回のアップデート成功から経過した時間を示します。

[Update Interval in Seconds]:アップデート間隔を秒数で示します。

[Update Server]:アップデートを実行するグローバル相関サーバの名前。

[Update Server Address]:アップデートを実行するグローバル相関サーバの IP アドレス。

[Counters]:接続の試行を表示します。

[Update Failures Since Last Success]:前回のアップデート成功以降に発生した失敗の回数。

[Total Update Attempts]:センサーがグローバル相関のアップデートを試行した回数。

[Total Update Failures]:アップデートに失敗した回数。

[Current Versions]:センサーがアップデートをチェックするコンポーネント(drop、rule、ip、config)のバージョンを表示します。

[Warnings]:グローバル相関に関する警告の数。

[Network Participation]:ネットワーク参加のステータス。

[Status]:接続ステータスが良好か、前回の接続成功以降 1 ~ 5 回失敗しているか、前回の接続成功以降 6 回以上失敗しているかを示します。ステータスの説明を表示するには、[i] アイコンをクリックします。

[Counters]:接続の試行を表示します。

[Total connection attempts]:接続試行回数。

[Total connection failures]:接続失敗回数。

[Connection failures since last success]:前回の接続成功以降発生した接続失敗の回数。

[Connection History]:接続の試行と結果(成功か失敗か)をすべて表示します。接続試行のリストを表示するには、[i] アイコンをクリックします。

[Global Correlation Health] ガジェット表示の変更

[グローバル相関 Health] ガジェットのタイトルを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、ガジェットのタイトルを変更します。

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

グローバル相関のレピュテーション機能の説明については、「レピュテーションについて」を参照してください。

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

ネットワーク参加の詳細については、「ネットワーク参加について」を参照してください。

[Network Security] ガジェット

[Network Security] ガジェットは、ネットワーク セキュリティについて次の情報を表示します。

Meta およびサマリー アラートを含むアラート カウント。

平均脅威レーティングとリスク レーティングの値

指定された期間中の最大脅威レーティングとリスク レーティングの値。

センサーはこれらの値を 10 秒ごとに集約し、最もセキュアなグリーンから最も低いレッドまで、グリーン、イエロー、レッドにカテゴライズします。全体のネットワーク セキュリティ値は、すべての仮想センサーからのセキュア値のうち安全性が最も低いものを表します。

仮想センサーの重大度レベルは、次のように計算されます。

レッドの重大度レベルは、ここ n 分間にそのセンサーでレッド イベントが 1 つ以上検出されたことを示します。 n は設定された値で、デフォルトでは 5 分間です。

イエローの重大度レベルは、ここ n 分間にそのセンサーで 1 つ以上のイエロー イベントが検出されたものの、レッド イベントはなかった場合です。

その他の場合の重大度レベルはグリーンになります。

[Configuration] > [Policies] > [Event Action Rules] > [rules0] > [Risk Category] と選択して、グリーン、イエロー、レッドのリスク カテゴリとリスク値をしきい値で設定します。

上のグラフは、カテゴリごと(合計、レッド、イエロー、グリーン)のイベント数を示します。下側のグラフは、平均リスク対平均脅威、または最大リスク対最大脅威を示します。この情報は、仮想センサーごとにカテゴライズされます。

[Network Security] ガジェット表示の変更

[Network Security] ガジェット内のネットワーク セキュリティ値の表示方法を変更するには、次の手順に従います。


ステップ 1 右上隅の [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイスと仮想センサー

[Number of Events] グラフに表示するグラフ(すべて、レッド、イエロー、グリーン)

[Risk vs. Threat] グラフに表示するグラフ(平均リスク対平均脅威、または最大リスク対最大脅威)。

ステップ 3 [Apply] をクリックします。


 

詳細情報

脅威しきい値を変更するための手順については、「リスク カテゴリの設定」を参照してください。

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

サマリー アラートの詳細については、「イベント アクションのサマライズ」および「イベント アクションの集約」を参照してください。

脅威レーティングの詳細については、「脅威レーティングについて」を参照してください。

リスク レーティングの詳細については、「リスク レーティングの計算」を参照してください。

[Top Applications] ガジェット

[Top Applications] ガジェットは、センサーが検出したレイヤ 4 プロトコルのトップ 10 を表示します。

TCP

UDP

ICMP

IP

[Top Applications] ガジェットによって、センサー上でのトラフィックの全体的な混合状況を把握できます。

[Top Applications] ガジェット表示の変更

[Top Applications] ガジェット内のトップ アプリケーションの表示方法を変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

情報を表示するデバイス

表示方法(円グラフ、棒グラフ、または表)

情報を表示する仮想センサー

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

[CPU, Memory, & Load] ガジェット

[CPU, Memory, & Load] ガジェットは、センサー負荷、メモリ使用率、ディスク使用率を表示します。センサーに複数の CPU がある場合、複数のメーターが表示されます。

[Inspection Load]:センサーがトラフィック インスペクション キャパシティをどれほど使用しているかを示します。0 はトラフィック バックアップがない状態、100 はバッファが完全にバックアップされた状態を示します。インスペクション ロードは次の要素の影響を受けます。

インスペクションが必要なトラフィックのレート

インスペクション対象トラフィックのタイプ

インスペクションされているアクティブな接続の数

1 秒あたりの新しい接続の比率

検出される攻撃の比率

センサーでアクティブなシグニチャ

センサーに作成されたカスタム シグニチャ

[CPU Usage]:センサーの CPU の使用率を示します。

Memory Usage

[System]:コンフィギュレーションとイベント ストレージに使用されるメモリの量。トラフィック インスペクションはシステム メモリを使用しません。設定された仮想センサーの数はシステム メモリに影響を与えますが、トラフィックの変更や攻撃レートはシステム メモリに影響しません。システム メモリは、センサー設定時以外は安定した状態を保ちます。

[Analysis Engine]:SensorApp の一部である分析エンジンの使用に割り当てられる、固定されたメモリの量。分析エンジンが現在使用しているメモリの量がここに表示されます。

Disk Usage

[Boot]:OS のブート イメージとリカバリ イメージを含みます。このパーティションは、システム イメージがセンサー上にインストールされたときに使用されます。

[Application Data]:コンフィギュレーション データと IP ログ ファイルを含みます。

各使用率の詳細を見るには、[i] アイコンをクリックします。

[CPU, Memory, & Load] ガジェット表示の変更

[CPU, Memory, & Load] ガジェットのタイトル、および情報を反映させるセンサーを変更するには、次の手順に従います。


ステップ 1 ガジェットの右上隅にある [Tool] アイコンをクリックします。

ステップ 2 [Configure Settings] ウィンドウで、次の値を変更できます。

ガジェットのタイトル

デバイス

ステップ 3 [Apply] をクリックして変更を保存するか、[Cancel] をクリックして変更を廃棄します。


 

詳細情報

ガジェットに表示されるセンサー ヘルス メトリックの設定の詳細については、「センサー ヘルスの設定」を参照してください。

分析エンジンの説明については、「分析エンジンについて」を参照してください。