Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
MARS で使用するセキュリティ アプライアン スの設定
MARS で使用するセキュリティ アプライアンスの設定
発行日;2012/02/07 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

MARS で使用するセキュリティ アプライアンスの設定

適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー

適応型セキュリティ アプライアンスでの MARS への管理アクセスのイネーブル化

監視するセキュリティ アプライアンスの追加

セキュリティ コンテキストの追加

検出されたコンテキストの追加

検出されたコンテキストの編集

syslog メッセージのロギング シビラティ レベルの設定

MARS で処理される syslog メッセージ

特定の機能の設定

MARS で使用するセキュリティ アプライアンスの設定

MARS は、適応型セキュリティ アプライアンスを含むさまざまなネットワーク デバイスからログおよびイベントを中央で集約します。これらのログやイベントは、脅威対策で使用するために分析できます。MARS では、適応型セキュリティ アプライアンスの 7.0(7)、7.2(2)、7.2(3)、8.0(2)、8.2(1) の各バージョンをサポートしています。

この付録では、適応型セキュリティ アプライアンスの設定方法、およびレポート デバイスとして MARS に追加する方法について説明します。次の項目を取り上げます。

「適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー」

「適応型セキュリティ アプライアンスでの MARS への管理アクセスのイネーブル化」

「監視するセキュリティ アプライアンスの追加」

「syslog メッセージのロギング シビラティ レベルの設定」

「MARS で処理される syslog メッセージ」

「特定の機能の設定」

MARS で動作するようにデバイスおよびソフトウェアを設定する方法については、『 Supported and Interoperable Devices and Software for Cisco Security MARS Local Controller 』および『 User Guide for Cisco Security MARS Local Controller 』を参照してください。

適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー

適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフローには、次の手順が含まれます。

1. MARS から管理セッションを受け入れて設定を検出するように適応型セキュリティ アプライアンスを設定します。この設定は管理コンテキストで行います。

2. MARS に syslog メッセージを発行するように適応型セキュリティ アプライアンスを設定します。この設定は、管理コンテキストおよび定義された各セキュリティ コンテキストに対して行います。


) 各コンテキストは、syslog メッセージを MARS に送信するために、固有のルーティング可能な IP アドレスを必要とします。また、各コンテキストには固有の名前が必要です(通常、hostname.domain の名前形式)。


3. MARS で、syslog メッセージ イベント データの受け入れと、適応型セキュリティ アプライアンスからのコンフィギュレーション設定の収集をイネーブルにするには、次の作業を実行します。

1 つ以上のインターフェイスのロギングをイネーブルにします。

ロギング ファシリティとキュー サイズを選択します。

ロギング シビラティ レベルにデバッグ(7)を指定するか、または必要なシビラティを指定します。

ターゲット MARS アプライアンス、およびそのアプライアンスがリスンするプロトコルとポートのペアを特定します。

4. MARS Web インターフェイス内で、次の手順を実行します。

管理接続情報を提供して、適応型セキュリティ アプライアンスを定義します。

セキュリティ コンテキストを定義します。詳細については、「セキュリティ コンテキストの追加」を参照してください。

検出されたコンテキストを追加します。詳細については、「検出されたコンテキストの追加」を参照してください。

検出されたコンテキストを編集します。詳細については、「検出されたコンテキストの編集」を参照してください。

適応型セキュリティ アプライアンスでの MARS への管理アクセスのイネーブル化

適応型セキュリティ アプライアンスで MARS への管理アクセスをイネーブルにするには、次の手順を実行します。


ステップ 1 MARS アプライアンスをイネーブルにし、SSH アクセスを通じて適応型セキュリティ アプライアンスの設定を検出するには、次のコマンドを入力します。

hostname# crypto key generate rsa modulus modulus
 

modulus は、ビット単位で指定された RSA 係数のサイズです。

hostname# ssh mars_ip netmask of the mars_ip interface name
 

mars_ip は、MARS アプライアンスの IP アドレスです。netmask of the mars_ip は、MARS アプライアンスのネットマスクです。interface name には inside、outside、または DMZ を指定できます。

ステップ 2 Telnet アクセスを通じて適応型セキュリティ アプライアンスの設定を検出するように MARS アプライアンスをイネーブルにするには、次のコマンドを入力します。

hostname# telnet mars_ip netmask of the mars_ip interface name
 

mars_ip は、MARS アプライアンスの IP アドレスです。netmask of the mars_ip は、MARS アプライアンスのネットマスクです。interface name には inside、outside、または DMZ を指定できます。

ステップ 3 FTP アクセスを通じて適応型セキュリティ アプライアンスの設定を検出するように MARS アプライアンスをイネーブルにするには、FTP サーバに MARS アプライアンスのコンフィギュレーション ファイルを追加しておく必要があります。


) FTP アクセス タイプを選択すると、MARS アプライアンスは管理外コンテキスト設定を検出できません。したがって、このアクセス タイプはお勧めしません。


ステップ 4 ターゲット ロギング ホストとして動作するように MARS をイネーブルにするには、次のコマンドを入力して、MARS に syslog メッセージを発行するように適応型セキュリティ アプライアンスを設定します。

hostname(config)# logging host interface name mars_ip
 

mars_ip は、MARS アプライアンスの IP アドレスです。interface name には、inside、outside または DMZ を指定できます。

hostname(config)# logging trap 7
 
hostname(config)# logging enable
 

) ロギング シビラティ レベルを 7(デバッグ)に設定するか、または必要な syslog メッセージのセットを生成するように適応型セキュリティ アプライアンスを設定してください。ロギング シビラティ レベルでは、セッション特有のデータを追跡するために必要な syslog メッセージの詳細情報を生成します。

デバッグ メッセージは、トラブルシューティングにお勧めします。デバッグ ロギング シビラティ レベルには、すべてのアラート、クリティカル、エラー、警告、通知、および情報メッセージが含まれます。また、このロギング シビラティ レベルでは、FTP セッション中に発行されたコマンドと、HTTP セッション中に要求された URL を特定するログも生成します。パフォーマンス上の理由から適応型セキュリティ アプライアンスがデバッグレベル メッセージを維持できない場合、情報ロギング シビラティ レベル(6)を使用してください。詳細については、「syslog メッセージのロギング シビラティ レベルの設定」を参照してください。

また、syslog メッセージに EMBLEM 形式を使用しないでください。


ステップ 5 MARS で CPU 利用率および関連情報を検出できるようにするには、次のコマンドを入力して、適応型セキュリティ アプライアンスで SNMP RO コミュニティ ストリングをイネーブルにします。

hostname(config)# snmp-server host interface mars_ip poll community community
 

interface には、inside、outside、または DMZ を指定できます。 mars_ip は、MARS アプライアンスの IP アドレスです。community は、SNMP RO コミュニティ ストリングです。

ステップ 6 各管理コンテキストおよび定義済みのセキュリティ コンテキストに対してステップ 4 を繰り返します。


 

監視するセキュリティ アプライアンスの追加

レポート デバイス(適応型セキュリティ アプライアンス)から MARS に発行されたイベントは、適応型セキュリティ アプライアンスのレポート IP アドレスが MARS Web インターフェイスで定義されるまで検査されません。

監視する適応型セキュリティ アプライアンスを追加するには、次の手順を実行します。


ステップ 1 MARS Web インターフェイスで、[Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] ドロップダウン リストから、適切なバージョンの適応型セキュリティ アプライアンスを選択します。基本デバイス タイプは管理コンテキストを示します。

ステップ 3 次の [Device Access] フィールドに値を指定します。


ヒント SSH 検出をイネーブルにするには、MARS アプライアンスは適応型セキュリティ アプライアンスに対して認証する必要があります。デフォルトのユーザ名は「pix」で、パスワードは password コマンドに指定したものです(AAA を使用していない限り)。


MARS がレポート IP アドレスにマッピングするデバイス名。

アクセス IP。通常、レポート IP アドレスと同じです。

レポート IP。syslog メッセージまたは SNMP 通知、またはその両方を発行するインターフェイスです。

アクセス タイプ

ログイン

パスワード

イネーブル パスワード

(オプション)SNMP RO。MRS が CPU 利用率およびネットワーク利用率に関する MIB を取得できるようにします。

(オプション)リソース利用率の監視(SNMP RO 設定を必要とします)。MARS が、メモリや CPU などの異常なリソース消費を監視できるようにします。

ステップ 4 [Discover] をクリックして、セキュリティ コンテキストやその設定値などの適応型セキュリティ アプライアンスの設定を決定します。

ステップ 5 [Submit] をクリックして、MARS データベースに設定を保存します。

ステップ 6 [Activate] をクリックして、それらの設定を MARS アプライアンスの作業メモリにロードします。

ステップ 7 [Summary] > [Dashboard] の順に選択します。

ステップ 8 ホットスポット グラフで [Full Topology Graph] をクリックし、選択した適応型セキュリティ アプライアンスが表示されていることを確認します。


 

セキュリティ コンテキストの追加

セキュリティ コンテキストを追加するには、次の手順を実行します。


ステップ 1 MARS Web インターフェイスで、[Add Module] をクリックします。

ステップ 2 [Device Type] ドロップダウン リストから、適切なバージョンの適応型セキュリティ アプライアンスを選択します。

ステップ 3 [Device Name] フィールドに、適応型セキュリティ アプライアンスの名前を入力します。

ステップ 4 [Context Name] フィールドに、セキュリティ コンテキストの名前を入力します。この名前は、適応型セキュリティ アプライアンスで定義したコンテキスト名と一致する必要があります。

ステップ 5 [Reporting IP] フィールドに、syslog メッセージまたは SNMP 通知、または両方が発行されたセキュリティ コンテキストの IP アドレスを入力します。

ステップ 6 (オプション)[SNMP RO Community] フィールドに、適応型セキュリティ アプライアンス読み取り専用コミュニティ ストリングを入力します。

ステップ 7 [Discover] をクリックして、定義済みのセキュリティ コンテキストの設定を検出します。MARS は、すべてのルート、NAT、および ACL 関連情報を収集します。

ステップ 8 [Submit] をクリックして、MARS データベースに設定を保存します。


 

検出されたコンテキストの追加

検出されたコンテキストを追加するには、次の手順を実行します。


ステップ 1 MARS Web インターフェイスで、[Add Available Module] をクリックします。

ステップ 2 [Select] ドロップダウン リストからセキュリティ コンテキストを選択して、[Add] をクリックします。

ステップ 3 [Submit] をクリックして、MARS データベースに設定を保存します。

ステップ 4 検出された各コンテキストに対して、これらの手順を繰り返します。


 

検出されたコンテキストの編集

検出されたコンテキストを編集するには、次の手順を実行します。


ステップ 1 MARS Web インターフェイスで、選択したデバイス タイプに従って編集する検出されたコンテキストを選択します。

ステップ 2 [Edit Module] をクリックします。

ステップ 3 [Reporting IP] フィールドに、セキュリティ コンテキストの syslog メッセージの送信元の IP アドレスを入力します。

ステップ 4 (オプション)[SNMP RO Community] フィールドに、適応型セキュリティ アプライアンス読み取り専用コミュニティ ストリングを入力します。

ステップ 5 (オプション)MARS が、このコンテキストの異常なリソース利用率を監視できるようにするには、[Monitor Resource Usage] リストで [Yes] をクリックします。

ステップ 6 [Submit] をクリックして、MARS データベースに設定を保存します。

ステップ 7 検出された各コンテキストに対して、これらの手順を繰り返します。


 

syslog メッセージのロギング シビラティ レベルの設定

logging message コマンドを使用して、必要な syslog メッセージのロギング シビラティ レベルを変更したり、特定の syslog メッセージをオフにしたりすることができます。詳細については、「ロギングの設定」を参照してください。

MARS で処理される syslog メッセージ

MARS は、カスタマイズされたロギング シビラティ レベルで syslog メッセージを正しく解析できます。したがって、syslog メッセージを低いロギング シビラティ レベル(ロギング シビラティ レベル 6 など)に設定できます。syslog メッセージのロギング シビラティ レベルを変更することで、適応型セキュリティ アプライアンスのロギング負荷を 5 ~ 15% 減らすことができます。ただし、リソースを最も消費するのはセッション詳細イベントです。

MARS は、正しいセッション化で必要な次の syslog メッセージを処理します。適応型セキュリティ アプライアンスのロギング シビラティ レベルを変更する場合、これらの syslog メッセージが新しいロギング シビラティ レベルで生成されており、MARS アプライアンスがそれらのメッセージを受信できることを確認してください。

表 E-1 に、syslog メッセージのクラス、それらの定義、および MARS によって処理される syslog メッセージ番号の範囲を示します。

 

表 E-1 syslog メッセージのクラスと関連するメッセージ番号

クラス
内容
syslog メッセージ番号

auth

ユーザ認証

109001 ~ 109003、109005 ~ 109008、109010 ~ 109014、109016 ~ 109034、113001、113003 ~ 113020、114001 ~ 114020、611101 ~ 611104、611301 ~ 611323

bridge

透過ファイアウォール

110001

ca

PKI 認証局

717001 ~ 717019、717021 ~ 717038

config

コマンド インターフェイス

111001、111003 ~ 111005、111007 ~ 111009、111111、112001、208005、308001 ~ 308002、504001 ~ 504002、505001 ~ 505013、506001

e-mail

電子メール プロキシ

719001 ~ 719026

dap

ダイナミック アクセス ポリシー

734

ha

高可用性(フェールオーバー)

101001 ~ 101005、102001、103001 ~ 103005、104001 ~ 104004、105001 ~ 105011、105020 ~ 105021、105031 ~ 105032、105034 ~ 105040、105042 ~ 105048、210001 ~ 210003、210005 ~ 210008、210010、210020 ~ 210022、311001 ~ 311004、709001 ~ 709007

ip

IP スタック

209003 ~ 209005、215001、313001、313003 ~ 313005、313008、317001 ~ 317005、322001 ~ 322004、323001 ~ 323006、324000 ~ 324007、324300 ~ 324301、325001 ~ 325003、326001 ~ 326002、326004 ~ 326017、326019 ~ 326028、327001 ~ 327003、328001、329001、331001 ~ 331002、332003 ~ 332004、333001 ~ 333010、334001 ~ 334008、335001 ~ 335014、408001 ~ 408003、410001 ~ 410004、411001 ~ 411004、412001 ~ 412002、413001 ~ 413004、416001、417001、417004、417006、417008 ~ 417009、418001、419001 ~ 419002、421001 ~ 421007、422004 ~ 422006、423001 ~ 423005、424001 ~ 424002、431001 ~ 431002、450001、507001 ~ 507002、508001 ~ 508002、509001

ipaa

IP アドレスの割り当て

735

ips

侵入防止サービス

400000 ~ 400050、401001 ~ 401005、415001 ~ 415020、420001 ~ 420003

np

ネットワーク プロセッサ

319001 ~ 319004

npssl

NP SSL

725001 ~ 725014

ospf

OSPF ルーティング

318001 ~ 318009、409001 ~ 409013、409023、503001、613001 ~ 613003

rip

RIP ルーティング

107001 ~ 107003、312001

rm

リソース マネージャ

321001 ~ 321004

session

ユーザ セッション

106001 ~ 106002、106006 ~ 106007、106010 ~ 106027、106100 ~ 106101、108002 ~ 108003、108005、201002 ~ 201006、201008 ~ 201013、202001、201005、202011、204001、302001、302003 ~ 302004、302007 ~ 302010、302012 ~ 302023、302302、303002 ~ 303005、304001 ~ 304009、305005 ~ 305012、314001、405001 ~ 405002、405101 ~ 405107、405201、405300 ~ 405301、406001 ~ 406002、407001 ~ 407003、500001 ~ 500004、502101 ~ 502103、502111 ~ 502112、607001 ~ 607002、608001 ~ 608005、609001 ~ 609002、616001、617001 ~ 617004、620001 ~ 620002、621001 ~ 621003、621006 ~ 621010、622001、622101 ~ 622102、703001 ~ 703002、710001 ~ 710006、726001

snmp

SNMP

212001 ~ 212006

sys

システム

199001 ~ 199003、199005 ~ 199009、211001、211003、216003、217001、218001 ~ 218004、219002、315004、315011、414001 ~ 414002、604101 ~ 604104、605004 ~ 605005、606001 ~ 606004、610001 ~ 610002、610101、612001 ~ 612003、614001 ~ 614002、615001 ~ 615002、701001 ~ 701002、711001 ~ 711002

vpdn

PPTP および L2TP セッション

213001 ~ 213004、403101 ~ 403104、403106 ~ 403110、403500 ~ 403507、603101 ~ 603109

vpn

IKE および IPSec

316001、320001、402101 ~ 402103、402106、402114 ~ 402120、402123、404101 ~ 404102、501101、602101 ~ 602104、602201 ~ 602203、602301 ~ 602304、702201 ~ 702212、702301 ~ 702303、702305、702307、713004、713006、713008 ~ 713010、713012、713014、713016 ~ 713018、713020、713022、713024 ~ 713037、713039 ~ 713043、713047 ~ 713052、713056、713059 ~ 713063、713065 ~ 713066、713068、713072 ~ 713076、713078、713081 ~ 713086、713088、713092、713094、713098 ~ 713099、713102 ~ 713105、713107、713109、713112 ~ 713124、713127 ~ 713149、713152、713154 ~ 713172、713174、713176 ~ 713179、713182、713184 ~ 713187、713189 ~ 713190、713193 ~ 713199、713203 ~ 713206、713208 ~ 713226、713228 ~ 713251、713900 ~ 713906、714001 ~ 714007、714011、715001、715004 ~ 715009、715013、715019 ~ 715022、715027 ~ 715028、715033 ~ 715042、715044 ~ 715072、715074 ~ 715079

vpnc

VPN クライアント

611101 ~ 611104、611301 ~ 611323、722001 ~ 722038

vpnfo

VPN フェールオーバー

720001 ~ 720073

vpnlb

VPN ロードバランシング

718001 ~ 718081、718084 ~ 718088

webvpn

Web ベースの VPN

716001 ~ 716056、723001 ~ 723014、724001 ~ 724002

特定の機能の設定

ネットワークで複数の役割を実行するため、適応型セキュリティ アプライアンスを、レポーティング デバイスおよび手動の脅威対策デバイスとして動作するように設定できます。MARS は、次の機能のコンフィギュレーションの利点を活用することができます。

組み込み IDS および IPS 署名照合機能は、攻撃の試行の検出時に重要な可能性があります。

受け入れられたセッションおよび拒否されたセッションのロギングは、false positive の分析に役立ちます。

管理アクセスにより、MARS は、次に示すような重要なデータを取得できます。

ルートおよび ARP テーブル 。ネットワークの検出および MAC アドレスのマッピングに役立ちます。

NAT および PAT 変換テーブル 。アドレス解決および攻撃パスの分析に役立ち、攻撃が実際に発生した場所を明らかにします。

OS 設定 。検出された攻撃をブロックするために MARS が正しい ACL を特定するために必要です。適応型セキュリティ アプライアンスによる管理セッションで使用できます。