Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
MARS で使用するセキュリティ アプライアン スの設定
MARS で使用するセキュリティ アプライアンスの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

MARS で使用するセキュリティ アプライアンスの設定

セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー

syslog メッセージのロギング重大度の設定

MARS で処理される syslog メッセージ

特定の機能の設定

ASA 5580 での MARS の NSEL の設定

MARS で使用するセキュリティ アプライアンスの設定

MARS は、セキュリティ アプライアンスを含むさまざまなネットワーク デバイスからログおよびイベントを一元的に集めます。これらのログやイベントを脅威の軽減のための分析に使用できます。MARS では、PIX および ASA 適応型セキュリティ アプライアンスバージョンの 7.0(7)、7.2(2)、7.2(3)、8.0(2)、および 8.1(1) をサポートしています。


) バージョン 8.1(1) は、ASA 5580 適応型セキュリティ アプライアンスのみに適用されます。また、PIX はバージョン 8.1(1) または 8.1(2) ではサポートされていません。


この付録では、セキュリティ アプライアンスの設定方法、およびレポート デバイスとして MARS に追加する方法について説明します。次の項目について説明します。

「セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー」

「syslog メッセージのロギング重大度の設定」

「MARS で処理される syslog メッセージ」

「特定の機能の設定」

「ASA 5580 での MARS の NSEL の設定」

セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー

セキュリティ アプライアンスを監視するように MARS を設定するタスクフローには、次の手順が含まれます。

1. MARS から管理セッションを受け入れて設定を検出するようにセキュリティ アプライアンスを設定します。管理コンテキストでこの設定を行います。

2. MARS に syslog メッセージを発行するようにセキュリティ アプライアンスを設定します。管理コンテキストおよび定義された各セキュリティ コンテキストに対してこの設定を行います。


) 各コンテキストは、syslog メッセージを MARS に送信するために、固有のルーティング可能な IP アドレスを必要とします。また、各コンテキストには固有の名前(通常は hostname.domain の名前形式)が必要です。


3. MARS で、syslog メッセージ イベント データの受け入れと、セキュリティ アプライアンスからのコンフィギュレーション設定の収集をイネーブルにするには、次の作業を実行します。

1 つ以上のインターフェイスのロギングをイネーブルにします。

ロギング ファシリティとキュー サイズを選択します。

ロギング重大度にデバッグ(7)を指定するか、または必要な重大度を指定します。

ターゲット MARS アプライアンス、およびそのアプライアンスがリスニングするプロトコルとポートのペアを特定します。

4. MARS Web インターフェイス内で、次の手順を実行します。

管理接続情報を提供して、セキュリティ アプライアンスを定義します。

セキュリティ アプライアンスで MARS への管理アクセスをイネーブルにする方法については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring MARS for the Cisco ASA Adaptive Security Appliances, Versions 8.1.x with NetFlow 」を参照してください。

セキュリティ コンテキストを定義します。

レポート デバイス(セキュリティ アプライアンス)が MARS に発行するイベントは、セキュリティ アプライアンスのレポート IP アドレスが MARS Web インターフェイスで定義されるまで検査されません。

PIX または ASA 適応型セキュリティ アプライアンスを追加して監視する方法については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring MARS for the Cisco ASA Adaptive Security Appliances, Versions 8.1.x with NetFlow 」を参照してください。

セキュリティ コンテキストを追加します。

セキュリティ コンテキストを追加する方法については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring MARS for the Cisco ASA Adaptive Security Appliances, Versions 8.1.x with NetFlow 」を参照してください。

検出されたコンテキストを追加します。

検出されたコンテキストを追加する方法については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring MARS for the Cisco ASA Adaptive Security Appliances, Versions 8.1.x with NetFlow 」を参照してください。

検出されたコンテキストを編集します。

検出されたコンテキストを編集する方法については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring MARS for the Cisco ASA Adaptive Security Appliances, Versions 8.1.x with NetFlow 」を参照してください。

syslog メッセージのロギング重大度の設定

logging message コマンドを使用して、必要な syslog メッセージのロギング重大度を変更したり、または特定の syslog メッセージをオフにしたりすることができます。詳細については、「システム ログの設定と管理」を参照してください。

MARS で処理される syslog メッセージ

MARS は、カスタマイズされたロギング重大度で syslog メッセージを正しく解析できます。したがって、syslog メッセージを低いロギング重大度(ロギング重大度 6 など)に設定できます。syslog メッセージのロギング重大度を変更することで、セキュリティ アプライアンスのロギング負荷を 5 ~ 15% 減らすことができます。ただし、リソースを最も消費するのはセッション詳細イベントです。

MARS は、正しいセッション化に必要な次の syslog メッセージを処理します。セキュリティ アプライアンスのロギング重大度を変更する場合、これらの syslog メッセージが新しいロギング重大度で生成されていて、MARS アプライアンスがそれらのメッセージを受信できることを確認してください。

表 F-1 に、syslog メッセージのクラス、それらの定義、および MARS が処理する syslog メッセージ番号の範囲を示します。

 

表 F-1 syslog メッセージのクラスと関連するメッセージ番号

Class
定義
syslog メッセージ番号

auth

ユーザの認証

109001 ~ 109003、109005 ~ 109008、109010 ~ 109014、109016 ~ 109034、113001、113003 ~ 113020、114001 ~ 114020、611101 ~ 611104、611301 ~ 611323

bridge

透過ファイアウォール

110001

ca

PKI の認証局

717001 ~ 717019、717021 ~ 717038

config

コマンド インターフェイス

111001、111003 ~ 111005、111007 ~ 111009、111111、112001、208005、308001 ~ 308002、504001 ~ 504002、505001 ~ 505013、506001

e-mail

電子メール プロキシ

719001 ~ 719026

ha

高可用性(フェールオーバー)

101001 ~ 101005、102001、103001 ~ 103005、104001 ~ 104004、105001 ~ 105011、105020 ~ 105021、105031 ~ 105032、105034 ~ 105040、105042 ~ 105048、210001 ~ 210003、210005 ~ 210008、210010、210020 ~ 210022、311001 ~ 311004、709001 ~ 709007

ip

IP スタック

209003 ~ 209005、215001、313001、313003 ~ 313005、313008、317001 ~ 317005、322001 ~ 322004、323001 ~ 323006、324000 ~ 324007、324300 ~ 324301、325001 ~ 325003、326001 ~ 326002、326004 ~ 326017、326019 ~ 326028、327001 ~ 327003、328001、329001、331001 ~ 331002、332003 ~ 332004、333001 ~ 333010、334001 ~ 334008、335001 ~ 335014、408001 ~ 408003、410001 ~ 410004、411001 ~ 411004、412001 ~ 412002、413001 ~ 413004、416001、417001、417004、417006、417008 ~ 417009、418001、419001 ~ 419002、421001 ~ 421007、422004 ~ 422006、423001 ~ 423005、424001 ~ 424002、431001 ~ 431002、450001、507001 ~ 507002、508001 ~ 508002、509001

IPS

侵入防御サービス

400000 ~ 400050、401001 ~ 401005、415001 ~ 415020、420001 ~ 420003

np

ネットワーク プロセッサ

319001 ~ 319004

npssl

NP SSL

725001 ~ 725014

ospf

OSPF ルーティング

318001 ~ 318009、409001 ~ 409013、409023、503001、613001 ~ 613003

rip

RIP ルーティング

107001 ~ 107003、312001

rm

リソース マネージャ

321001 ~ 321004

session

ユーザのセッション

106001 ~ 106002、106006 ~ 106007、106010 ~ 106027、106100 ~ 106101、108002 ~ 108003、108005、201002 ~ 201006、201008 ~ 201013、202001、201005、202011、204001、302001、302003 ~ 302004、302007 ~ 302010、302012 ~ 302023、302302、303002 ~ 303005、304001 ~ 304009、305005 ~ 305012、314001、405001 ~ 405002、405101 ~ 405107、405201、405300 ~ 405301、406001 ~ 406002、407001 ~ 407003、500001 ~ 500004、502101 ~ 502103、502111 ~ 502112、607001 ~ 607002、608001 ~ 608005、609001 ~ 609002、616001、617001 ~ 617004、620001 ~ 620002、621001 ~ 621003、621006 ~ 621010、622001、622101 ~ 622102、703001 ~ 703002、710001 ~ 710006、726001

snmp

SNMP

212001 ~ 212006

sys

システム

199001 ~ 199003、199005 ~ 199009、211001、211003、216003、217001、218001 ~ 218004、219002、315004、315011、414001 ~ 414002、604101 ~ 604104、605004 ~ 605005、606001 ~ 606004、610001 ~ 610002、610101、612001 ~ 612003、614001 ~ 614002、615001 ~ 615002、701001 ~ 701002、711001 ~ 711002

vpdn

PPTP セッションと L2TP セッション

213001 ~ 213004、403101 ~ 403104、403106 ~ 403110、403500 ~ 403507、603101 ~ 603109

vpn

IKE と IPSec

316001、320001、402101 ~ 402103、402106、402114 ~ 402120、402123、404101 ~ 404102、501101、602101 ~ 602104、602201 ~ 602203、602301 ~ 602304、702201 ~ 702212、702301 ~ 702303、702305、702307、713004、713006、713008 ~ 713010、713012、713014、713016 ~ 713018、713020、713022、713024 ~ 713037、713039 ~ 713043、713047 ~ 713052、713056、713059 ~ 713063、713065 ~ 713066、713068、713072 ~ 713076、713078、713081 ~ 713086、713088、713092、713094、713098 ~ 713099、713102 ~ 713105、713107、713109、713112 ~ 713124、713127 ~ 713149、713152、713154 ~ 713172、713174、713176 ~ 713179、713182、713184 ~ 713187、713189 ~ 713190、713193 ~ 713199、713203 ~ 713206、713208 ~ 713226、713228 ~ 713251、713900 ~ 713906、714001 ~ 714007、714011、715001、715004 ~ 715009、715013、715019 ~ 715022、715027 ~ 715028、715033 ~ 715042、715044 ~ 715072、715074 ~ 715079

vpnc

VPN クライアント

611101 ~ 611104、611301 ~ 611323、722001 ~ 722038

vpnfo

VPN フェールオーバー

720001 ~ 720073

vpnlb

VPN ロードバランシング

718001 ~ 718081、718084 ~ 718088

webvpn

Web ベースの VPN

716001 ~ 716056、723001 ~ 723014、724001 ~ 724002

特定の機能の設定

ネットワーク上で複数の役割を実行するため、レポート デバイスおよび手動の軽減デバイスとして動作するようにセキュリティ アプライアンスを設定できます。次の機能の設定は、MARS にも役立ちます。

内蔵の IDS および IPS シグネチャ照合機能は、試行された攻撃を検出するのに重要な役割を果たす可能性があります。

受け入れられたセッションおよび拒否されたセッションのロギングは、誤検出の分析に役立ちます。

管理アクセスによって、MARS は、次に示すような重要なデータを取得できます。

ルートおよび ARP テーブル。ネットワークの検出および MAC アドレスのマッピングに役立ちます。

NAT および PAT 変換テーブル。アドレス解決および攻撃パスの分析に役立ち、実際の攻撃の発生元を明らかにします。

OS 設定。検出された攻撃をブロックするために MARS が正しい ACL を特定するのに必要です。セキュリティ アプライアンスでの管理セッションで使用できます。

NSEL の実装。MARS Local Controller が ASA 5580 で NetFlow コレクタとして設定されるために必要です。ASA 5580 がマルチモードで設定されている場合、コンテキストが別のネットワーク上にあれば、各コンテキストは独自の MARS アプライアンスに報告できます。MARS Local Controller は、次の方法で NSEL 情報を使用できます。

NetFlow イベント以外での NetFlow イベントのトポロジ認識のセッション化の作成。

NetFlow イベントからのルールの相互関連付けおよびインシデントの発生。

クエリーとスケジュールされていないレポートを使用した、収集された NetFlow データの取得。

Real-Time Event Viewer を使用した、着信 NetFlow イベントの表示。

着信 NetFlow イベントに従った、ドロップ ルールの設定。

スケジュールされたレポート結果(たとえば Top N レポートなど)における、NetFlow によって取得されたイベントの使用。


) syslog のみの異常検出は、ASA 5580 でもサポートされています。


MARS アプライアンスで NetFlow 設定をイネーブルにする前に、MARS を NetFlow コレクタとして設定することによって ASA 5580 で NSEL をイネーブルにする必要があります。NetFlow コレクタの設定については、「NetFlow セキュア イベント ロギング(NSEL)の設定と使用」を参照してください。

ASA 5580 での MARS の NSEL の設定

次の手順は、Cisco ASA バージョン 8.1(1) のみに有効です。Cisco ASA バージョン 8.0.x は NSEL をサポートしていません。

ASA 5580 の NetFlow(NSEL)コレクタの設定の詳細については、『 Cisco ASA 5580 Implementation Note for NetFlow Collectors 』を参照してください。このドキュメントは、次の URL から入手できます。

http://www.cisco.com/en/US/docs/security/asa/asa81/netflow/netflow.html


) 次の例では、MARS に対する ASA 5580 インターフェイスは、ASA の name コマンドで「cs-mars」として設定されています。


ASA 5580 で MARS の NSEL を設定するには、次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

次の例を参考にしてください。

hostname# configure terminal

特権 EXEC モードからグローバル コンフィギュレーション モードに入ります。

ステップ 2

ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

次の例を参考にしてください。

hostname(config)# ntp server 171.68.10.80 key 1 source inside prefer

NTP サーバを設定して、正確なタイムスタンプを確認します。このコマンドを入力すると、ASA と MARS デバイス間の時刻が同じになるため、両方の相互関係を向上させることができます。

ステップ 3

clear configure flow-export

次の例を参考にしてください。

hostname(config)# clear configure flow-export

NetFlow データに関連付けられているすべての flow-export 設定を消去します。

ステップ 4

flow-export enable

次の例を参考にしてください。

hostname(config)# flow-export enable

ステップ 5

flow-export destination interface-name ipv4-address | hostname udp-port

次の例を参考にしてください。

hostname(config)# flow-export destination inside cs-mars 2055

NetFlow イベントを宛先システム(MARS)にエクスポートするように ASA 5580 を設定します。

コマンドの例では、MARS アプライアンスが到達可能な ASA 5580 インターフェイス、MARS アプライアンスの IP アドレスに関連付けられる名前、および MARS が NetFlow トラフィックをリスニングする UDP ポートを設定しています。

ステップ 6

flow-export template timeout-rate minutes

次の例を参考にしてください。

hostname(config)# flow-export template timeout-rate 1

テンプレート情報が NetFlow コレクタに送信される間隔を設定します。MARS には 1 分を指定します。

ステップ 7

logging flow-export-syslogs { enable | disable }

次の例を参考にしてください。

hostname(config)# logging flow-export-syslogs disable

冗長 syslog メッセージをディセーブルにします。

syslog メッセージは、同じイベントを NetFlow セキュリティ イベント ロギングとしてレポートします。

ステップ 8

logging trap [ logging_list | level ]

次の例を参考にしてください。

hostname(config)# logging trap informational

ロギングのトラップ レベルを情報に設定します。「6」と指定することもできます。

ステップ 9

logging host interface_name syslog_ip

次の例を参考にしてください。

hostname(config)# logging host cs-mars

MARS を syslog サーバとして定義します。

コマンドの例では、ASA の name コマンドを使用して、ロギング ホストを MARS アプライアンスのユーザ定義の IP アドレスに設定しています。

ステップ 10

logging enable

次の例を参考にしてください。

hostname(config)# clear configure flow-export cs-mars_ip

MARS に対するロギングをイネーブルにします。

ステップ 11

exit

次の例を参考にしてください。

hostname(config)# exit

グローバル コンフィギュレーション モードから特権 EXEC モードへログアウトします。

ステップ 12

show running-config [ all ] logging [ level | disabled ]

次の例を参考にしてください。

hostname# show running-config logging

システム ログのステータスを次のように表示します。

ASA81-Single# show running-config logging
logging enable
logging monitor debugging
logging host outside 10.2.3.58
logging host outside 10.2.4.101
logging host outside 10.2.4.113
no logging message 106015
no logging message 313001
no logging message 313008
no logging message 106023
no logging message 710003
no logging message 106100
no logging message 302015
no logging message 302014
no logging message 302013
no logging message 302018
no logging message 302017
no logging message 302016
no logging message 302021
no logging message 302020

ステップ 13

show running-config flow-export [ destination | enable | template ]

次の例を参考にしてください。

hostname# show running-config flow-export

フロー エクスポートのステータスを次のように表示します。

ASA81-Single# show running-config flow-export
flow-export destination outside 10.2.3.226 2055
flow-export destination outside 10.2.3.42 2055
flow-export template timeout-rate 1
flow-export enable