Cisco Security Manager 4.0 ユーザ ガイド
デバイス インベントリの管理
デバイス インベントリの管理
発行日;2012/02/02 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

デバイス インベントリの管理

デバイス インベントリについて

デバイス ビューについて

デバイス名およびデバイスと見なされる要素について

デバイス クレデンシャルについて

デバイス プロパティについて

デバイス インベントリへのデバイスの追加

ネットワークからのデバイスの追加

[Device Information] ページ - [Add Device from Network]

[Service Module Credentials] ダイアログボックス

[IPS Module Discovery] ダイアログボックス

設定ファイルからのデバイスの追加

[Device Information] ページ - [Configuration File]

手動定義によるデバイスの追加

[Device Information] ページ - [New Device]

インベントリ ファイルからのデバイスの追加

[Device Information] ページ - [Add Device from File]

デバイス インベントリの使用

Auto Update Server または Configuration Engine の追加、編集、または削除

[Server Properties] ダイアログボックス

[Available Servers] ダイアログボックス

インターフェイス モジュールの追加または変更

デバイス プロパティの表示または変更

[General] ページ

[Device Credentials] ページ

[Device Groups] ページ

ポリシー オブジェクト オーバーライドのページ

重要なデバイス プロパティの変更

Security Manager の機能セットを変更しないイメージ バージョン変更

Security Manager の機能セットを変更する変更

デバイスに含まれている要素の表示

デバイスの複製

Security Manager インベントリからのデバイスの削除

[Device Delete Validation] ダイアログボックス

デバイス インベントリのエクスポート

Security Manager クライアントからのデバイス インベントリのエクスポート

コマンドラインからのデバイス インベントリのエクスポート

デバイス オペレーティング システムの管理

デバイス グループの使用

デバイスのグループ化について

[Edit Device Groups] ダイアログボックス

デバイス グループ タイプの作成

デバイス グループの作成

デバイス グループまたはグループ タイプの削除

デバイス グループに対するデバイスの追加と削除

デバイス インベントリの管理

Security Manager でデバイスを管理するには、事前に管理に必要な準備をデバイスで行ってから、デバイスを Security Manager デバイス インベントリに追加する必要があります。デバイスを追加すると、デバイス情報の表示と編集、デバイスでのポリシーの設定、ポリシーのコピーと共有、デバイスの複製などの操作を実行できます。次の項では、デバイス インベントリを管理する方法について説明します。

「デバイス インベントリについて」

「デバイス インベントリへのデバイスの追加」

「デバイス インベントリの使用」

「デバイス グループの使用」

デバイス インベントリについて

Security Manager は、管理対象のデバイスのインベントリを保持します。インベントリにはデバイスを特定してログインするために必要な情報が格納されており、ログインしたデバイスにポリシーを展開できます。次の項では、デバイス インベントリに関連する一般概念について説明します。

「デバイス ビューについて」

「デバイス名およびデバイスと見なされる要素について」

「デバイス クレデンシャルについて」

「デバイス プロパティについて」

デバイス ビューについて

[Device View] ボタンを押すと、[Devices] ページが開きます。ここでは、Security Manager インベントリに対するデバイスの追加と削除、デバイスのポリシー、プロパティ、およびインターフェイスの一元管理を行うことができます。

これはデバイス中心のビューであり、すべての管理対象デバイスを表示したり、特定のデバイスを選択してそのプロパティの表示や設定とポリシーの定義を行うことができます。特定のデバイスにセキュリティ ポリシーをローカルに定義できます。その後、そのポリシーを共有して、他のデバイスにグローバルに割り当てることができます。

[Devices] ページには、ペインが 2 つあります。左ペインには要素が 2 つあり、左上にデバイス セレクタ、左下にポリシー セレクタが配置されています。右ペインはメインのコンテンツ領域です。図 3-1に、[Devices] ページを示します。

図 3-1 [Devices] ページ

 

デバイス セレクタ(1、3、4、5) :次の要素が含まれています。

[Add]/[Delete] ボタン(4、5):Security Manager インベントリに対してデバイスの追加と削除を行うことができます。

[Filter] フィールド(3):独自に定義したフィルタリング基準に基づいて、デバイスのサブセットを表示できます。詳細については、「セレクタ内の項目のフィルタリング」を参照してください。

[Device] ツリー:システムに存在するデバイス グループおよびデバイスを一覧表示します。各デバイス タイプが、アイコンで表されます。アイコンの詳細については、図 3-2を参照してください。

図 3-2 デバイスのアイコン

 

1

Adaptive Security Appliances(ASA)

5

Catalyst スイッチ

2

PIX ファイアウォール

6

Catalyst 7600 シリーズ ルータ

3

ファイアウォール サービス モジュール(FWSM)

7

VPN 3000 コンセントレータ

4

Cisco IOS ルータ

8

侵入防御システム(IPS)

ショートカット メニュー オプション:デバイスまたはデバイス グループを右クリックすると、そのデバイスまたはグループに関連するコマンドのメニューが表示されます。これらのコマンドは、通常のメニューで使用できるコマンドへのショートカットです。

ポリシー セレクタ(2) :次の要素が含まれています。

ポリシー グループ:選択されたデバイス タイプでサポートされているポリシー グループを一覧表示します。表示されるポリシー グループは、次の 4 つの要因によって決まります。

デバイス セレクタで選択されているデバイスのタイプ。

デバイスで実行されているオペレーティング システム。

生成した設定に使用できるコマンドを決定するために選択したターゲットのオペレーティング システム バージョン。

サポートされているサービス モジュールがデバイスに含まれているかどうか。

ポリシーの詳細については、「ポリシーについて」を参照してください。

ショートカット メニュー オプション:ポリシーを右クリックすると、そのポリシーに関連するコマンドのメニューが表示されます。これらのコマンドは、通常のメニューで使用できるコマンドへのショートカットです。

[Contents] ペイン(6) :メインのコンテンツ領域。

この領域に表示される情報は、デバイス セレクタから選択しているデバイスおよびポリシー セレクタから選択しているオプションによって異なります。

デバイス名およびデバイスと見なされる要素について

Security Manager では、従来のデバイスの管理のほか、あるタイプのセキュリティ デバイスに定義できる仮想デバイスも管理できます。このような仮想デバイスは、デバイス インベントリでは独立したデバイスとして扱われ、デバイス セレクタには独立したエントリとして表示されます。仮想デバイスは実際にはホストとなる物理デバイス上にあるため、展開など多くのアクションにはホスト デバイスだけでなく仮想デバイスも含める必要があります。

物理デバイスはすべて、デバイス セレクタに表示されます。また、デバイス セレクタに表示されるタイプの仮想デバイスでもあります。

セキュリティ コンテキスト:PIX ファイアウォール、FWSM デバイス、ASA デバイスにセキュリティ コンテキストを定義できます。セキュリティ コンテキストは、仮想ファイアウォールとして機能します。デフォルトでは、セキュリティ コンテキストは、 host-display-name_context-name という命名規則に基づいてデバイス セレクタに表示されます。 host-display-name はコンテキストが定義されているデバイスの表示名で、 context-name はセキュリティ コンテキストの名前です。たとえば、firewall12 というデバイスにある admin セキュリティ コンテキストの場合は firewall12_admin となります。


ヒント [Discovery settings] ページ(「[Discovery] ページ」を参照)の [Prepend Device Name when Generating Security Context Names] プロパティを使用して、表示名をコンテキスト名に追加するかどうかを制御できます。ただし、表示名を追加しないと、コンテキストをホストしているデバイスを特定するのが容易ではなく、コンテキスト名がホスト デバイスでソートされません(コンテキスト名が、ホスト デバイスに付加されるフォルダに表示されません)。表示名を追加しないと、複数のコンテキストが同じ名前でインベントリに追加されている場合には、Security Manager がコンテキスト名に数値のサフィックスを追加します(たとえば、admin_01、admin_02)。このような数値は、ホスト デバイスとは関連がありません。


仮想センサー:IPS デバイスに仮想センサーを定義できます。仮想センサーは、 host-display-name_virtual-sensor-name という命名規則でデバイス セレクタに表示されます。この命名規則を制御するための検出設定はありません。


ヒント デバイスのプロパティでは、仮想センサー、セキュリティ コンテキスト、または他のデバイスのタイプの表示名をいつでも変更できます。


仮想デバイスの命名規則のほか、さまざまなタイプのデバイス名間の関係についても理解する必要があります。

表示名:表示名は、単にデバイス セレクタの Security Manager 内に表示される名前です。実際にデバイスに定義されている名前に関連している必要はありません。デバイスをインベントリに追加する際、入力した DNS 名または IP アドレスに基づいて表示名が提案されますが、任意の命名規則を使用できます。

DNS 名:デバイスに定義する DNS 名は、Security Manager サーバ向けの DNS サーバによって解決可能である必要があります。

IP アドレス:デバイスに定義する IP アドレスは、そのデバイスの管理 IP アドレスである必要があります。

ホスト名:デバイスを検出すると、デバイス プロパティに表示されるホスト名プロパティがデバイスの設定から取得されます。設定ファイルを使用してデバイスを追加する場合に、ファイルにホスト名コマンドが含まれていないと、設定ファイルの名前が初期ホスト名となります。

ただし、デバイスでホスト名を変更しても、ホスト名デバイス プロパティは更新されません。デバイス プラットフォーム ポリシー領域に [Hostname] ポリシーがあり、この [Hostname] ポリシーによってデバイスに定義されるホスト名が決まります。

デバイス クレデンシャルについて

Security Manager では、デバイスにログインする際にクレデンシャルが必要になります。クレデンシャルは、Resource Manager Essentials(RME)や Monitoring Center for Performance(Performance Monitor)など、Security Manager から起動する他のアプリケーションで使用できます。そのため、[Device Credentials] ページには、クレデンシャルに関する豊富な種類の任意のフィールドが含まれており、このような他のアプリケーションで使用する場合に備えて保存しておくことも、目的の実現に必要ない場合には無視することもできます。

デバイス クレデンシャルは次の 2 つのタイミングで提供できます。

手動またはネットワーク検出からデバイスを追加するとき。詳細については、次の項を参照してください。

「ネットワークからのデバイスの追加」

「手動定義によるデバイスの追加」

デバイス プロパティを編集するとき。詳細については、「デバイス プロパティの表示または変更」を参照してください。

次のデバイス クレデンシャルを指定できます。

プライマリ クレデンシャル:SSH または Telnet を使用してデバイスにログインするためのユーザ名およびパスワード。デバイス通信には、この情報が必要です。

HTTP クレデンシャル:HTTP 接続または HTTPS 接続を許可するデバイスもあれば、その接続を必要とするデバイス(IPS デバイスなど)もあります。デフォルトでは、Security Manager は HTTP/HTTPS アクセスにプライマリ クレデンシャルを使用しますが、一意の HTTP/HTTPS クレデンシャルを設定できます。

Rx-Boot モード:(任意)Cisco ルータの中にはフラッシュ メモリから実行されるように設計されているものがあり、フラッシュの最初のファイルからだけ起動されます。つまり、フラッシュ イメージをアップグレードするには、フラッシュ内のイメージ以外のイメージを実行する必要があります。そのイメージが、Rx-Boot と呼ばれるサイズを小さくしたコマンド セット イメージ(ROM ベースのイメージ)です。

SNMP クレデンシャル:(任意)Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用すると、ネットワーク デバイス間で管理情報を容易に交換できます。SNMP を使用すると、ネットワーク管理者は、ネットワークのパフォーマンスを管理し、ネットワークの問題を検出および解決し、ネットワークの拡大に対する計画を策定できます。


) PIX、ASA、および FWSM デバイスでは、ユーザ名を 4 文字以上にする必要があります。パスワードには、3 ~ 32 文字を使用できますが、8 文字以上にすることを推奨します。


デバイス ベースのクレデンシャルを使用するのではなく、Security Manager にログインするときに使用するクレデンシャルを使用するように、Security Manager を設定できます。ユーザによる設定変更の追跡には、AAA サーバのアカウンティング機能を使用できます。ユーザ ログイン クレデンシャルが適しているのは、次の基準に従って、ご使用の環境が設定されている場合だけです。

変更の監査に TACACS+ または RADIUS を使用します。ユーザ ログイン クレデンシャルが、このようなアカウンティング レコードに反映されます。デバイス クレデンシャルを使用した場合は、Security Manager でのすべての変更が、どのユーザがその変更を加えたかに関係なく、同じアカウントによるものとなります。

ユーザ アカウントは AAA サーバに設定されており、設定変更を実行するために必要なデバイスレベルのアクセス権が付与されています。

認可に AAA サーバを使用するように Security Manager および管理対象デバイスを設定します。AAA を使用するように Security Manager を設定する方法の詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

ワンタイム パスワードは使用しません。

ネットワーク設定でユーザ ログイン クレデンシャルをサポートしている場合は、[Tools] > [Security Manager Administration] を選択して、そのクレデンシャルを使用するように Security Manager を設定できます。コンテンツ テーブルから [Device Communication] を選択し、[Connect to Device Using] フィールドで [Security Manager User Login Credentials] を選択します。デフォルトでは、すべてのデバイス アクセスにデバイス クレデンシャルが使用されます。

関連項目

「[Device Credentials] ページ」

「デバイス インベントリへのデバイスの追加」

「[Device Communication] ページ」

デバイス プロパティについて

デバイスを Security Manager に追加するときには、デバイス プロパティを定義します。デバイス プロパティは、デバイス、クレデンシャル、デバイスが割り当てられているグループ、およびポリシー オーバーライドに関する一般的な情報です。デバイス アイデンティティやプライマリ クレデンシャルなど一部のデバイス プロパティ情報はデバイスを追加するときに指定する必要がありますが、[Device Properties] ダイアログボックスからプロパティを追加または編集できます。

デバイス プロパティを表示するには、デバイス セレクタで次のどちらかを実行します。

デバイスをダブルクリックします。

デバイスを右クリックして、[Device Properties] を選択します。

デバイスを選択して、[Tools] > [Device Properties] の順に選択します。

[Device Properties] ダイアログボックスには、ペインが 2 つあります。左ペインにはコンテンツ テーブルがあり、次の項目が含まれています。

[General]:デバイス アイデンティティ、デバイスで実行されているオペレーティング システム、およびデバイス通信設定など、デバイスに関する一般的な情報が含まれています。

[Credentials]:デバイス プライマリ クレデンシャル(ユーザ名、パスワード、およびイネーブル パスワード)、SNMP クレデンシャル、Rx-Boot モード クレデンシャル、および HTTP クレデンシャルが含まれています。

[Device Groups]:デバイスが割り当てられているグループが含まれています。

[Policy Object Overrides]:再利用可能なポリシー オブジェクトのグローバル設定のうち、このデバイス用に上書きできるものが含まれています。

コンテンツ テーブルで項目を選択すると、対応する情報が右ペインに表示されます。

注意事項

Security Manager は、[Device Properties] ページに表示される DNS ホスト名が、デバイスに設定したホスト名と同じであるとは想定していません。

デバイスを Security Manager に追加するときには、管理 IP アドレスまたは DNS ホスト名を入力する必要があります。設定ファイルから検出するときには管理インターフェイスを特定できず、そのため管理 IP アドレスも特定できないため、設定ファイルに記載されたホスト名が DNS ホスト名として使用されます。設定ファイルの CLI にホスト名が見当たらない場合は、設定ファイル名が DNS ホスト名として使用されます。

ネットワークからデバイスを検出するときには、[Device Properties] ページの DNS ホスト名が、デバイスに設定されたホスト名で更新されません。このため、デバイスの DNS ホスト名を指定する場合は、デバイスを Security Manager または [Device Properties] ページに追加するときに手動でそのホスト名を指定する必要があります。

デバイス プロパティの詳細については、「デバイス プロパティの表示または変更」を参照してください。

デバイス インベントリへのデバイスの追加

デバイスを Security Manager に追加するときには、DNS 名や IP アドレスなど、デバイスの識別情報を指定します。この情報は、デバイス検出時に追加されます。ポリシー検出を開始して、デバイスに関連付けられた既存のネットワーク設定を取り込むこともできます。ポリシー検出の詳細については、「ポリシーの検出」を参照してください。追加したデバイスは、Security Manager デバイス インベントリに表示されます。

New Device ウィザードに従うと、デバイスをインベントリに追加するプロセスを実行できます。多種多様な追加元からデバイスを追加できます。ウィザードに至るパスは、使用する方法によって大きく異なります。

New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

デバイスおよびサービス モジュールの追加に関するヒント

PIX ファイアウォール、FWSM デバイス、および ASA デバイスがフェールオーバーに対応するように設定されている場合、アクティブ装置だけを Security Manager に追加します。デバイスに管理 IP アドレスを設定し、その IP アドレスを検出に使用するようにします。フェールオーバー対応の FWSM が複数含まれている Catalyst スイッチを検出するときは、画面の指示に従って、フェールオーバー モジュールに対して [Do Not Discover Module] を選択します。Security Manager は、プライマリまたはセカンダリのどちらのフェールオーバー サービス モジュールが追加されたにかかわらず、常にアクティブな管理コンテキストを管理します。

サービス モジュールは、独立したデバイスとして扱われます。ほとんどのモジュールでは、ホスト デバイスとは別にサービス モジュールを追加する必要があります。ただし、Security Manager では Catalyst 6500 デバイスの FWSM モジュールまたは IDSM モジュールを自動的に検出できるため、親デバイスを追加するだけで十分です。この唯一の例外は、HTTPS(SSL)にデフォルト以外のポートを使用するように FWSM モジュールまたは IDSM モジュールを設定する場合です。この場合、モジュールを個別に追加する必要があります。

セキュリティ コンテキストが複数ある FWSM を追加するときには(FWSM はマルチ コンテキスト モードで動作しています)、それぞれの管理 IP アドレスを使用してセキュリティ コンテキストを個別に追加しないでください。その代わりに、管理コンテキストの管理アドレスを使用してデバイスを追加します(これにより、個々のコンテキストも追加されます)。次に、「Security Manager でマルチ コンテキストの FWSM に設定を展開する方法の変更」の説明に従って、FWSM マルチ コンテキスト デバイスに設定をシリアルに展開するように Security Manager を設定します。

Security Manager ライセンスに定義されているデバイス制限を超えてデバイスを追加することはできません。たとえば、50 台のデバイスのライセンスを保有し、インベントリに 45 台のデバイスがある場合、セキュリティ コンテンツが 6 個あるマルチ コンテキスト ASA を追加しようとすると、デバイスの追加と検出が失敗します。

次の項では、デバイスを追加するさまざまな方法について説明します。

ネットワークからのデバイスの追加 :ネットワークで現在アクティブなデバイスを追加するには、「ネットワークからのデバイスの追加」を参照してください。Security Manager は、デバイスに直接かつ安全に接続し、その識別情報およびプロパティを検出します。

長所 :デバイスに関する最小限の情報を指定すればよく、Security Manager がデバイスから直接詳細な情報を取得して精度を確保します。

短所 :追加できるデバイスは一度に 1 つだけです。ダイナミック IP アドレスが付与されているデバイスを追加するには、デバイスの現在の IP アドレスを特定し、そのアドレスを使用してデバイスを追加し、デバイスを管理している Configuration Engine を特定するように Security Manager でデバイス プロパティを更新する必要があります。

設定ファイルからの追加 :デバイス設定ファイルのコピーを使用してデバイスを追加するには、「設定ファイルからのデバイスの追加」を参照してください。

長所 :一度に複数のデバイスを追加できます。

短所 :この方法では、Catalyst 6500/7600 デバイスおよび IPS デバイスを追加できません。設定ファイルをいくつかまとめて追加するときには、そのどちらのファイルも同じデバイス タイプである必要があります。

また、デバイスとの接続を必要とするポリシーを正常に検出できません。たとえば、ポリシーがデバイスに存在するファイルを指している場合、設定ファイルを使用してデバイスを追加すると、Security Manager ではデバイスから参照先のファイルを取得できないため、Security Manager 設定に no 形式のコマンドが含まれることになります。たとえば、Web VPN の svc image コマンドが無効になることがあります。

新規デバイスの追加 :ネットワークにまだ存在しないデバイスを追加して Security Manager でそのデバイスを事前プロビジョニングできるようにするには、「手動定義によるデバイスの追加」を参照してください。デバイス ハードウェアを設置する前に、システムでデバイスを作成し、ポリシーをデバイスに割り当て、設定ファイルを生成できます。

長所 :ネットワークにまだ存在しないデバイスを事前プロビジョニングできます。

短所 :他の方法よりも詳細な情報を指定する必要があります。Catalyst 6500 デバイス、または IPS モジュールが含まれているルータを作成する場合、[Policy] > [Discover Policies on Device] を選択して、そのモジュールを検出する必要があります。

ファイルからのデバイスの追加 :Comma-Separated Value(CSV; カンマ区切り値)形式のインベントリ ファイルからデバイスを追加するには、「インベントリ ファイルからのデバイスの追加」を参照してください。

長所 :タイプの異なる複数のデバイスを一度に追加できます。CiscoWorks Common Services、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、その他の Security Manager サーバなど、他のネットワーク管理アプリケーションのインベントリ リストを再利用できます。別の Security Manager サーバからエクスポートされたファイルを使用する場合は、ポリシーを検出するせずに任意でデバイスを追加できます。これは、オフライン デバイスまたはスタンバイ デバイスを追加する場合に便利です。

短所 :この方法では、インベントリにすでに定義されているデバイスのプロパティを更新できません。また、100 を超えるデバイスを一度にインポートしようとすると、ポリシー検出が失敗することがあり、それより少ない数でも失敗する可能性があります。IPS デバイスの場合には、ポリシー検出の失敗を避けるため、5 台以上の IPS デバイスを一度に追加しないでください。

ネットワークからのデバイスの追加

デバイスをインベントリに追加する最も簡単で最も信頼性の高い方法の 1 つに、ネットワークでアクティブであるデバイスを特定するというものがあります。デバイスの IP アドレス(または DNS ホスト名)およびデバイスへのログインに必要なクレデンシャルを提供すると、Security Manager では必要な情報の多くをデバイスから直接取得して、情報の精度を確保できます。

始める前に

この手順を開始する前に、次の準備が完了していることを確認してください。

Security Manager で管理されるデバイスを準備します。詳細については、「デバイスを管理するための準備」を参照してください。

認証に ACS を使用する場合は、ACS でデバイスを定義します。『 Installation Guide for Cisco Security Manager 』を参照してください。

関連項目

「デバイス ビューについて」

「デバイス グループの使用」

「デバイス プロパティの表示または変更」


ステップ 1 デバイス ビューで、[File] > [New Device] を選択するか、またはデバイス セレクタの [New Device] ボタンをクリックします。[Choose Method] ページに New Device ウィザードが開きます。

ステップ 2 [Choose Method] ページで、[Add Device from Network] を選択し、[Next] をクリックして [Device Information] ページを開きます。

ステップ 3 [Device Information] ページで、少なくとも次のフィールドに値を入力します。すべてのフィールドの詳細については、「[Device Information] ページ - [Add Device from Network]」を参照してください。

ホスト名と DNS 名、または IP アドレス(あるいはその両方)を入力します。

表示名を入力します。この名前は Security Manager のデバイス セレクタに表示されます。

正しいオペレーティング システムとバージョンを選択します。Catalyst スイッチまたは 7600 ルータを設定している場合は、[IOS - Catalyst Switch/7600] を選択し、それ以外の IOS エントリは選択しません。

Security Manager に定義されているデフォルトとは異なるプロトコルを使用するようにデバイスが設定されている場合には、デバイスにログインするのに使用するトランスポート プロトコルを選択します。デフォルトは、[Device Communication] 管理ページに設定されています(「[Device Communication] ページ」を参照)。

[Next] をクリックします。

ステップ 4 [Device Credentials] ページで、デバイスへのログインに必要なユーザ名およびパスワードを入力します。少なくともプライマリ デバイス クレデンシャルを入力します。これは、従来のユーザ EXEC モードと特権 EXEC モードのパスワードです。

クレデンシャルの各種タイプについては、「[Device Credentials] ページ」を参照してください。


ヒント [Device Credentials] ページで [Next] または [Finished] をクリックすると、Security Manager はデバイスに接続できるかどうかをテストします。テストが正常に完了しないかぎり、デバイスは追加できません。詳細については、「デバイス接続のテスト」を参照してください。


ステップ 5 (任意)[Next] をクリックして [Device Grouping] ページを開き、インポートしたデバイスの追加先となるデバイス グループを選択します(「[Device Groups] ページ」を参照)。

ステップ 6 [Finish] をクリックします。Security Manager が [Discovery Status] ダイアログボックスを開きます。ここでは、デバイス検出およびポリシー分析のステータスを参照できます(「[Discovery Status] ダイアログボックス」を参照)。


ヒント デバイスの追加中にポリシーを検出している場合は、提示されているメッセージをよくお読みください。これらのメッセージには、次に実行する手順に関する重要な推奨事項が含まれている場合があります。たとえば、Cisco IOS ルータまたは Catalyst デバイスを追加するときは、Security Manager が設定の所有権を引き継ぐことができるように、検出した設定をファイルにすぐに展開することを推奨します。展開方法の詳細については、「展開方法について」を参照してください。


ステップ 7 モジュールが含まれているデバイスを追加している場合は、デバイス シャーシの検出が完了したときに通知され、デバイスのモジュールを検出するかどうかが確認されます。[Yes ] をクリックすると、次の情報の入力を要求されます。

Catalyst 6500 サービス モジュール:[Service Module Credentials] ダイアログ ボックスが開き、シャーシに含まれているモジュールに基づいて次の情報の入力が要求されます。詳細については、「[Service Module Credentials] ダイアログボックス」を参照してください。

FWSM:管理 IP アドレス(推奨する)、ユーザ名とパスワード、および実行する検出のタイプ。FWSM がフェールオーバー ペアの 2 番目のデバイスである場合は、フェールオーバー モジュールの [Do Not Discover Module] を選択します(Security Manager は、プライマリまたはセカンダリのどちらのフェールオーバー サービス モジュールが追加されたにかかわらず、常にアクティブな管理コンテキストを管理します)。

IDSM:ユーザ名とパスワード、および実行する検出のタイプ。

IPS ルータ モジュール:実行する検出のタイプ、管理 IP アドレス、ユーザ名とパスワード、およびその他の SSL 接続情報。詳細については、「[IPS Module Discovery] ダイアログボックス」を参照してください。

Security Manager で管理しないモジュールの検出をスキップできます。

[OK] をクリックします。[Discovery Status] ダイアログボックスに戻り、サービス モジュールの検出の経過を表示できます。完了したらウィンドウを閉じます。デバイスがインベントリ リストに追加されます。リストに掲載するすべてのデバイスのアクティビティ(たとえば、ASA デバイスに定義されている個々のセキュリティ コンテキスト)を送信する必要がある場合には、メッセージにその説明が示されます。

ステップ 8 デバイス セレクタでデバイスを選択して Auto Update Server または Configuration Engine によって管理されているデバイスを追加した場合は、[Tools] > [Device Properties] を選択します。[Auto Update] または [Configuration Engine] 設定で、デバイスで使用するサーバを選択します。サーバがリストにない場合は追加できます。詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。


 

[Device Information] ページ - [Add Device from Network]

ネットワークからデバイスを追加する場合は、New Device ウィザードの [Device Information] ページを使用して、デバイスの識別情報を指定します。

ナビゲーション パス

New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

関連項目

「デバイス ビューについて」

「ネットワークからのデバイスの追加」

「[Device Credentials] ページ」

「[Device Groups] ページ」

「ポリシーの検出」

「[Device Communication] ページ」

フィールド リファレンス

 

表 3-1 ネットワークからデバイスを追加する場合に使用する New Device ウィザードの [Device Information] ページ

要素
説明
[Identity]

[IP Type]

スタティック IP アドレスを持つデバイスだけを追加できます。

(DHCP サーバから提供される)ダイナミック アドレスを使用するデバイスを追加するには、デバイスの現在の IP アドレスを特定し、そのアドレスを使用します。デバイスを追加したあと、そのプロパティで [IP Type] を [Dynamic] に変更し、デバイスを管理している AUS または Configuration Engine を特定します。

[Hostname]

デバイスの DNS ホスト名。IP アドレスが不明な場合に、DNS ホスト名を入力します。

(注) DNS ホスト名と IP アドレスのどちらか一方、または両方を入力する必要があります。

[Domain Name]

デバイスの DNS ドメイン名。

[IP Address]

デバイスの管理 IP アドレス。IP アドレスは、10.64.3.8 というように、ドット付きの 4 つの数字列でなければなりません。

(注) IP アドレスと DNS ホスト名のどちらか一方、または両方を入力する必要があります。

[Display Name]

Security Manager のデバイス セレクタに表示する名前。ホスト名または IP アドレスを入力した場合は、そのホスト名または IP アドレスがこのフィールドに自動的に入力されますが、変更することもできます。

最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、_-.:、およびスペースです。

(注) 2 つのデバイスに同じ表示名を設定することはできません。

[OS Type]

デバイスで実行されているオペレーティング システムのファミリ。慎重に正しいタイプを選択する必要があります。選択内容が、Security Manager がデバイスにログインし、デバイスの設定を取得する方法に影響を与えるためです。次のオプションがあります。

[IOS 12.3+]:Cisco IOS ソフトウェア Release 12.3 以降を実行している Cisco ルータの場合。Catalyst 6500/7600 または他の Catalyst デバイスの場合には選択しないでください。

ヒント Aggregation Services Router(ASR; アグリゲーション サービス ルータ)の場合は、バージョン 12.2 を実行中であっても、このオプションを選択します。ASR IOS リリースは、上位のリリースとして扱われます。

[IOS - 12.2、12.1]:Cisco IOS ソフトウェア Release 12.2 または 12.1 を実行している Cisco ルータの場合。ASR、Catalyst 6500/7600、または他の Catalyst デバイスの場合には選択しないでください。

[IOS - Catalyst Switch/7600]:すべての Catalyst スイッチおよび 7600 デバイスの場合。

[ASA]:すべての ASA デバイスの場合。

[FWSM]:すべての FWSM デバイスの場合。

[IPS]:IPS ソフトウェアを実行しているすべてのデバイスの場合。

[PIX]:すべての PIX デバイスの場合。

[Transport Protocol]

デバイスに接続するときに Security Manager で使用するプロトコル。デバイスに設定され、かつクレデンシャルを提供できるプロトコルを選択します。各デバイス タイプにはデフォルト プロトコルがあり、通常この方法がそれぞれのデバイスで使用されます。

[System Context]

マルチ コンテキスト モードで実行されている PIX ファイアウォール 7 デバイス、ASA デバイス、または FWSM デバイスのシステム実行スペースを検出するかどうかを指定します。複数のセキュリティ コンテキストをホストするデバイスを検出している場合は、このチェックボックスをオンにするかどうかが、Security Manager でデバイスを設定する方法に重要な意味を持ちます。デバイスで検出される対象も、[Discover Policies for Security Contexts] チェックボックスをオンにするかどうかによって異なります。

[System Context] と [Discover Policies for Security Contexts] のどちらもオン:これが、推奨する選択です。Security Manager は、デバイスに定義されているシステム実行スペースおよびすべてのセキュリティ コンテキストを検出して、デバイス セレクタに一覧表示します。[Discovery] ページ(「[Discovery] ページ」を参照)に設定されたデフォルトの命名規則を変更していないかぎり、基本表示名はシステム実行スペースを表したもの(たとえば、10.10.11.24)であり、セキュリティ コンテキストはノードではコンテキスト名をデバイス名に付加したもの(たとえば、10.10.11.24_admin)として表されます。

[System Context] はオン、[Discover Policies for Security Contexts] はオフ:システム実行スペースが検出されて、デバイス セレクタに追加されます。あとでセキュリティ コンテキストのポリシーを検出できます。この方法は、インベントリを検出するユーザ グループと、さらにもう 1 つポリシーを検出するグループがある場合に適しています。

どちらのチェックボックスもオフ:管理コンテキストだけが検出されて、デバイス セレクタに追加されます。他のセキュリティ コンテキストは検出できず、管理もできません。

[Discover Device Settings]

[Discover]

検出してインベントリに追加する要素のタイプ。次のオプションがあります。

[Policies and Inventory]:ポリシー、インターフェイス、およびサービス モジュール(該当する場合)を検出します。これがデフォルトであり、推奨オプションです。

ポリシーの検出が開始されると、デバイス上の設定が分析され、設定されているサービスとプラットフォームのポリシーがインポートされます。インベントリの検出が開始されると、デバイス上のインターフェイスが分析され、インターフェイス リストがインポートされます。デバイスが複合デバイスの場合は、デバイス内のすべてのサービス モジュールが検出され、インポートされます。

このオプションを選択すると、下のチェックボックスがアクティブになり、それらのチェックボックスを使用して、検出されるポリシーのタイプを制御できます。

(注) 検出中に非アクティブな ACL をインポートすると、その ACL は Security Manager に無効な状態で表示されます。同じ ACL を展開すると、その ACL は Security Manager によって削除されます。

[Inventory Only]:インターフェイスとサービス モジュール(該当する場合)を検出します。

[No Discovery]:すべての検出がスキップされます。デバイスのポリシー、インターフェイス、またはサービス モジュール情報はデバイス インベントリに追加されません。

[Platform Settings]

プラットフォーム固有のポリシー ドメインとも呼ばれるプラットフォーム設定を検出するかどうかを指定します。プラットフォーム固有のポリシー ドメインは、ファイアウォール デバイスと Cisco IOS ルータ上にあります。これらのドメインには、選択したプラットフォームに固有の機能を設定するポリシーが含まれています。詳細については、「サービス ポリシーと プラットフォーム固有のポリシー」を参照してください。

[Firewall Policies]

ファイアウォール サービスとも呼ばれるファイアウォール ポリシーを検出するかどうかを指定します。ファイアウォール サービスには、アクセス規則、インスペクション規則、AAA 規則、Web フィルタ規則、トランスペアレント規則などのポリシーが含まれます。詳細については、「ファイアウォール サービスの概要」を参照してください。

[IPS Policies]

シグニチャや仮想センサーなどの IPS ポリシーを検出するかどうかを指定します。詳細については、「IPS 設定の概要」または「Cisco IOS IPS 設定の概要」を参照してください。

[RA VPN Policies]

IKE プロポーザルや IPsec プロポーザルなどの IPSec および SSL リモート アクセス VPN ポリシーを検出するかどうかを指定します。詳細については、「リモート アクセス VPN の管理」を参照してください。

[Discover Policies for Security Contexts]

セキュリティ コンテキストのポリシーを検出するかどうかを指定します。セキュリティ コンテキストは、PIX ファイアウォール デバイス、ASA デバイス、または FWSM デバイスに適用されます。このフィールドは、[IP Type] に [Static] を選択し、[System Context] をオンにした場合にだけアクティブになります。

[Service Module Credentials] ダイアログボックス

[Service Module Credentials] ダイアログボックスは、Catalyst デバイスのサポート対象のサービス モジュールにログインするときに必要なクレデンシャルを追加する場合に使用します。

このダイアログボックスではサポート対象のモジュールが各スロットにまとめられており、モジュールのタイプが示されています。たとえば、グループが Slot 3 (IDSM) Credentials という名前である場合、シャーシの 3 番目のスロットに IDSM があることを示しています。


) Security Manager は VPN モジュールを検出しますが、その検出はシャーシ経由で実施され、クレデンシャルは必要ありません。


ナビゲーション パス

サービス モジュールを含めることができる Catalyst シャーシでポリシーを検出すると、そのサービス モジュールを検出するかどうかが確認されます。[Yes] をクリックすると、このダイアログボックスが表示されます。次のいずれかの方法を使用してポリシー検出を実行できます。

ネットワークからデバイスを追加する場合。「ネットワークからのデバイスの追加」を参照してください。

エクスポート ファイルからデバイスを追加する場合。「インベントリ ファイルからのデバイスの追加」を参照してください。

インベントリにすでにあるデバイスでポリシー検出を実行する場合。「Security Manager にすでに存在するデバイス上のポリシーの検出」を参照してください。

関連項目

「ファイアウォール デバイスでのセキュリティ コンテキストの設定」

フィールド リファレンス

 

表 3-2 [Service Module Credentials] ダイアログボックス

要素
説明

[Discovery Mode]

このモジュールのために検出するポリシーのタイプ。

[Discover Inventory and Policies]:インベントリとセキュリティ ポリシーを検出します。これは推奨オプションです。

[Discover Inventory Only]:セキュリティ ポリシーは検出しませんが、VLAN 設定、セキュリティ コンテキスト、インターフェイスなどのインベントリは検出します。サービス モジュールを右クリックし、[Discover Policies on Device] を選択して、あとでポリシー設定を検出できます。

[Do Not Discover Module]:このモジュールに対する検出をスキップし、このモジュールをインベントリに追加しません。

[Connect to FWSM]

Security Manager が FWSM にアクセスする方法。

[Directly]:FWSM の管理 IP アドレスを使用して、FWSM に接続します。この方法を推奨します。フェールオーバー デバイスに接続している場合には必須の方法となります。それ以外の場合、Security Manager はフェールオーバー後にスタンバイ FWSM に接続することがあります。

[via Chassis]:シャーシ経由で FWSM に接続します。この方法には、FWSM に定義されているセキュリティ コンテキストの数が 20 個未満であるという制約があります。Security Manager は、SSH 経由で Catalyst デバイスに接続し、その後 session コマンドで FWSM に接続します。Catalyst デバイスでは同時 SSH セッションの数が制限されており、デフォルト値は 5 です。ポリシー検出ではセキュリティ コンテキストごとに 1 つの SSH セッションを使用するため、コンテキストの数が多くなると接続が失敗することがあります。[Directly] を選択した場合、Security Manager が SSL で FWSM に接続するため、同時セッションの制限が大きくなります。

[Management IP]

サービス モジュールの管理 IP アドレス。

FWSM の場合、接続方法に [via Chassis] を選択したときには、このフィールドは使用できません。

[Username]

サービス モジュールのユーザ名。

マルチ コンテキスト モードで動作する FWSM の場合、どのコンテキストのユーザ名およびパスワードが入力すればよいかが脚注に示されます。システム コンテキストか管理コンテキストのいずれかになります。スイッチのシャーシ経由でマルチ コンテキスト モードのデバイスに接続している場合は、システム実行スペースと管理コンテキストのいずれにも同じユーザ名およびパスワードを設定し、このダイアログボックスにそのクレデンシャルを指定する必要があります。

(注) ユーザ名は、4 文字以上にします。パスワードには、3 ~ 32 文字を使用できますが、8 文字以上にすることを推奨します。

[Password]

サービス モジュールのユーザ EXEC モード パスワード。[Confirm] フィールドに、パスワードを再入力します。

[Enable Password]

(FWSM 専用)

サービス モジュールの特権 EXEC モード パスワード。[Confirm] フィールドに、パスワードを再入力します。

[IPS Module Discovery] ダイアログボックス

[IPS Module Discovery] ダイアログボックスは、インベントリに追加しているルータで AIM-IPS や NME などの IPS モジュールへのログインに必要なクレデンシャルを追加する場合に使用します。

ナビゲーション パス

IPS モジュールが含まれているルータ シャーシでポリシーを検出すると、そのモジュールを検出するかどうかが確認されます。[Yes] をクリックすると、このダイアログボックスが表示されます。次のいずれかの方法を使用してポリシー検出を実行できます。

ネットワークからデバイスを追加する場合。「ネットワークからのデバイスの追加」を参照してください。

インベントリ ファイルからデバイスを追加する場合。「インベントリ ファイルからのデバイスの追加」を参照してください。

ネットワークにすでにあるデバイスでポリシー検出を実行する場合。「Security Manager にすでに存在するデバイス上のポリシーの検出」を参照してください。

フィールド リファレンス

 

表 3-3 [IPS Module Discovery] ダイアログボックス

要素
説明

[Discovery]

このモジュールの検出のタイプ。

[Discover Inventory and Policies]:インベントリとセキュリティ ポリシーを検出します。これは推奨オプションです。

[Discover Inventory Only]:セキュリティ ポリシーは検出しませんが、仮想センサーやインターフェイスなどのインベントリは検出します。モジュールを右クリックし、[Discover Policies on Device] を選択して、あとでポリシー設定を検出できます。

[Do Not Discover Module]:このモジュールに対する検出をスキップし、このモジュールをインベントリに追加しません。

[IP Address]

モジュールの管理 IP アドレス。

[HTTP Credentials Group]

モジュールへのログインに必要なクレデンシャル。

[Username]

モジュールのユーザ名。

[Password]

指定したユーザ名のパスワード。[Confirm] フィールドに、パスワードを再入力します。

[HTTP Port]

モジュールへの HTTP アクセス用に設定されたポート。デフォルトは 80 です。

[HTTPS Port]

モジュールへの SSL(HTTPS)アクセス用に設定されたポート。デフォルトは、[Device Communication] ページ([Tools] > [Security Manager Administration] > [Device Communication]。詳細については、「[Device Communication] ページ」を参照してください)に定義されています。通常使用されるポートは 443 です。

デフォルトを上書きするには、[Use Default] の選択を解除し、適切なポート番号を入力します。

[IPS RDEP Mode]

イベント モニタリングのために RDEP または SDEE 接続を確立するときに、IPS デバイスへのアクセスに使用する接続方法。

[Certificate Common Name]

証明書に割り当てられる名前。共通名は、証明書に割り当てられた個人、システム、またはその他のエンティティの名前にすることができます。[Confirm] フィールドに、共通名を再入力します。

設定ファイルからのデバイスの追加

Security Manager にデバイス設定を処理させることにより、デバイスにログインせずにデバイスをインベントリに追加できます。デバイスごとに、デバイス設定をファイルにコピーし、そのファイルを Security Manager サーバに配置する必要があります。

この手順を使用して、IPS デバイスまたは Catalyst 6500/7600 デバイスをインベントリに追加することはできません。

始める前に

この手順を開始する前に、次の準備が完了していることを確認してください。

Security Manager で管理されるデバイスを準備します。詳細については、「デバイスを管理するための準備」を参照してください。

認証に ACS を使用する場合は、ACS でデバイスを定義します。『 Installation Guide for Cisco Security Manager 』を参照してください。

Security Manager サーバ上のディレクトリにデバイス設定ファイルをコピーします。マウントしたドライブを使用することはできません。各設定に適切なデバイス タイプを容易に選択できるような命名規則を使用してください。

関連項目

「デバイス ビューについて」

「デバイス グループの使用」

「デバイス プロパティの表示または変更」


ステップ 1 デバイス ビューで、[File] > [New Device] を選択するか、またはデバイス セレクタの [New Device] ボタンをクリックします。[Choose Method] ページに New Device ウィザードが開きます。

ステップ 2 [Choose Method] ページで、[Add from Configuration File] を選択し、[Next] をクリックして [Device Information] ページを開きます(「[Device Information] ページ - [Configuration File]」を参照)。

ステップ 3 デバイス タイプ セレクタから設定ファイルのデバイス タイプを選択し、適切なシステム オブジェクト ID を選択します。複数のデバイス タイプに対してそれぞれ設定ファイルがある場合は、デバイス タイプに基づいてそれらの設定ファイルを一括して追加します。

ステップ 4 [Browse] をクリックし、追加する(指定したタイプの)デバイスが含まれている設定ファイルを選択します。

ステップ 5 どのタイプのポリシーを検出するかを示す適切な検出オプションを選択します。

ステップ 6 (任意)[Next] をクリックし、新規デバイスを所属させるデバイス グループを選択します。

ステップ 7 [Finish] をクリックします。Security Manager が [Discovery Status] ダイアログボックスを開きます。ここでは、設定ファイル分析のステータスを参照できます(「[Discovery Status] ダイアログボックス」を参照)。完了したらウィンドウを閉じます。デバイスがインベントリ リストに追加されます。


ヒント ポリシーの検出中に予期しないエラーが返された場合は、設定ファイルに主要な Cisco IOS ソフトウェア バージョンだけが含まれ、ポイント リリース情報が含まれていないことが原因である可能性があります。デバイスに定義されているポリシーによっては、ポイント リリースで使用できるようになった機能を使用しているものがあります。つまり、Security Manager がその機能をサポート対象であると認識していない可能性があります。この問題を解決するには、デバイスを追加したあと、デバイス セレクタでそのデバイスを選択し、右クリックし、[Device Properties] を選択します。[General] ページで、デバイスで実行されているバージョンに最も近く、かつそのバージョンよりも古いソフトウェア バージョンで [Target OS Version] フィールドを更新します(バージョン番号を取得するには、デバイスの CLI で show version コマンドを使用します)。その後、右クリックし、[Discover Policies on Device] を選択して、ポリシーを再検出できます。


ステップ 8 デバイス セレクタでデバイスを選択して Auto Update Server または Configuration Engine によって管理されているデバイスを追加した場合は、[Tools] > [Device Properties] を選択します。[Auto Update] または [Configuration Engine] 設定で、デバイスで使用するサーバを選択します。サーバがリストにない場合は追加できます。詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。


 

[Device Information] ページ - [Configuration File]

設定ファイルからデバイスを追加する場合は、New Device ウィザードの [Device Information] ページを使用して、設定ファイルを選択し、ポリシー検出オプションを指定します。

ナビゲーション パス

New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

関連項目

「デバイス ビューについて」

「設定ファイルからのデバイスの追加」

「[Device Groups] ページ」

「ポリシーの検出」

「[Discovery Status] ダイアログボックス」

フィールド リファレンス

 

表 3-4 設定ファイルからデバイスを追加する場合に使用する New Device ウィザードの [Device Information] ページ

要素
説明

[Device Type selector]

デバイスをデバイス タイプ別およびデバイス ファミリ別に整理します。新しいデバイスのデバイス タイプを選択します。追加する設定ファイルに適切なデバイス タイプを選択する必要があります。

[System Object ID]

デバイス タイプ セレクタから選択したデバイス タイプのシステム オブジェクト ID。デバイスの正しい ID を選択します。

[Configuration Files]

インベントリに追加するデバイスの設定ファイル。複数の設定ファイルを指定できますが、そのいずれもデバイス タイプが同じものである必要があります。ファイル名はカンマで区切ります。

[Browse] をクリックして、Security Manager サーバからファイルを選択するか、または手動で(フル パスの)ファイル名を入力します。ファイルの選択の詳細については、「サーバ ファイル システムでのファイルまたはディレクトリの選択または指定」を参照してください。

[Options]

デバイスで使用可能な追加オプション。デバイスで IPS 機能を使用できる場合は、[IPS] を選択します。

[Target OS Version]

(ルータ専用)

ルータの設定が基づく OS バージョン。

[Default] を選択すると、設定ファイルから OS バージョンが読み取られます。

特定のリリースを使用する場合は、そのリリース番号を選択します。目的のリリースが表示されていない場合は、デバイスで実行されているリリースに最も近く、かつそのリリースよりも小さいリリース番号を選択します。

Aggregation Services Router(ASR; アグリゲーション サービス ルータ)の設定ファイル、またはゾーンベースのファイアウォール ポリシーが含まれている設定ファイルを検出するときは、特定のリリースを選択することが必要になる場合があります。

[Discover Device Settings]

[Discover]

検出してインベントリに追加する要素のタイプ。次のオプションがあります。

[Policies and Inventory]:ポリシー、インターフェイス、およびサービス モジュール(該当する場合)を検出します。これがデフォルトであり、推奨オプションです。

ポリシーの検出が開始されると、設定ファイルが分析され、設定されているサービスとプラットフォームのポリシーがインポートされます。インベントリの検出が開始されると、設定ファイルに定義されているインターフェイスが分析され、インターフェイス リストがインポートされます。

このオプションを選択すると、下のチェックボックスがアクティブになり、それらのチェックボックスを使用して、検出されるポリシーのタイプを制御できます。

(注) 検出中に非アクティブな ACL をインポートすると、その ACL は Security Manager に無効な状態で表示されます。同じ ACL を展開すると、その ACL は Security Manager によって削除されます。

[Inventory Only]:インターフェイスとサービス モジュール(該当する場合)を検出します。

[No Discovery]:すべての検出がスキップされます。デバイスのポリシー、インターフェイス、またはサービス モジュール情報はデバイス インベントリに追加されません。

[Platform Settings]

プラットフォーム固有のポリシー ドメインとも呼ばれるプラットフォーム設定を検出するかどうかを指定します。プラットフォーム固有のポリシー ドメインは、ファイアウォール デバイスと Cisco IOS ルータ上にあります。これらのドメインには、選択したプラットフォームに固有の機能を設定するポリシーが含まれています。詳細については、「サービス ポリシーと プラットフォーム固有のポリシー」を参照してください。

[Firewall Policies]

ファイアウォール サービスとも呼ばれるファイアウォール ポリシーを検出するかどうかを指定します。ファイアウォール サービスには、アクセス規則、インスペクション規則、AAA 規則、Web フィルタ規則、トランスペアレント規則などのポリシーが含まれます。詳細については、「ファイアウォール サービスの概要」を参照してください。

[IPS Policies]

シグニチャや仮想センサーなどの IPS ポリシーを検出するかどうかを指定します。詳細については、「IPS 設定の概要」または「Cisco IOS IPS 設定の概要」を参照してください。

[RA VPN Policies]

IKE プロポーザルや IPsec プロポーザルなどの IPSec および SSL リモート アクセス VPN ポリシーを検出するかどうかを指定します。詳細については、「リモート アクセス VPN の管理」を参照してください。

手動定義によるデバイスの追加

ネットワークでデバイスがまだアクティブではない場合は、そのデバイスを Security Manager に追加し、デバイスの設定を事前プロビジョニングできます。一般に、ネットワークに存在するデバイスは手動定義しないでください。他のいずれかの手法でデバイスを追加するほうが、はるかに簡単だからです。

始める前に

この手順を開始する前に、次の準備が完了していることを確認してください。

Security Manager で管理されるデバイスを準備します。詳細については、「デバイスを管理するための準備」を参照してください。

認証に ACS を使用する場合は、ACS でデバイスを定義します。『 Installation Guide for Cisco Security Manager 』を参照してください。

関連項目

「デバイス ビューについて」

「デバイス グループの使用」

「デバイス プロパティの表示または変更」


ステップ 1 デバイス ビューで、[File] > [New Device] を選択するか、またはデバイス セレクタの [New Device] ボタンをクリックします。[Choose Method] ページに New Device ウィザードが開きます。

ステップ 2 [Choose Method] ページで、[Add New Device] を選択し、[Next] をクリックして [Device Information] ページを開きます。

ステップ 3 [Device Information] ページで、少なくとも次のフィールドに値を入力します。すべてのフィールドの詳細については、「[Device Information] ページ - [New Device]」を参照してください。

ページの左側にあるデバイス タイプ セレクタからデバイス タイプを選択し、デバイス タイプ セレクタの一番下にあるシステム オブジェクト ID を選択します。

[IP Type] フィールドでは、デバイスがスタティック アドレス(IP アドレスはデバイスに定義されます)を使用するのか、ダイナミック アドレス(IP アドレスは DHCP サーバから提供されます)を使用するのかを選択します。

スタティック アドレスを使用するデバイスの場合、DNS ホスト名とドメイン名、または IP アドレスのいずれか(あるいはその両方)を入力します。

表示名を入力します。この名前は Security Manager のデバイス セレクタに表示されます。

正しいオペレーティング システムおよびバージョンが選択されていることを確認します。

サーバを使用してデバイスの設定を管理する場合は、デバイスに対するダイナミックなアドレス指定が必要であり、そのためデバイスを管理する Auto Update Server または Configuration Engine を選択し、サーバがデバイスに使用するデバイス アイデンティティ文字列を入力します。サーバが表示されていない場合は、[Add Server] を選択し、そのサーバをインベントリに追加します。サーバの追加の詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。

デバイス情報を入力したら、[Next] をクリックして [Device Credentials] ページに進みます。

ステップ 4 (任意)[Device Credentials] ページで、デバイスへのログインに必要なユーザ名およびパスワードを入力します。一般に、プライマリ デバイス クレデンシャルを入力する必要があります。これは、従来のユーザ EXEC モードと特権 EXEC モードのパスワードです。クレデンシャルを入力しない場合は、あとで [Device Properties] ページでクレデンシャルを追加できます。

クレデンシャルの各種タイプについては、「[Device Credentials] ページ」を参照してください。

[Next] をクリックします。

ステップ 5 (任意)[Device Grouping] ページで、デバイスを所属させるグループを選択します。「[Device Groups] ページ」を参照してください。

ステップ 6 [Finish] をクリックします。デバイスがインベントリに追加されます。


ヒント PIX、ASA、FWSM のいずれかのデバイスを追加している場合は、デバイスの出荷時のデフォルト設定とそのセキュリティ コンテキストを検出する必要があります。詳細については、「Security Manager にすでに存在するデバイス上のポリシーの検出」を参照してください。



 

[Device Information] ページ - [New Device]

(ネットワークにまだ存在しない)新規デバイスを追加する場合は、New Device ウィザードの [Device Information] ページを使用して、デバイスの識別情報を指定します。

ナビゲーション パス

New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

関連項目

「デバイス ビューについて」

「手動定義によるデバイスの追加」

「[Device Credentials] ページ」

「[Device Groups] ページ」

フィールド リファレンス

 

表 3-5 新規デバイスを追加する場合に使用する New Device ウィザードの [Device Information] ページ

要素
説明
[Device Type]

[Device Type selector]

デバイスをデバイス タイプ別およびデバイス ファミリ別に整理します。新しいデバイスのデバイス タイプを選択します。

[System Object ID]

デバイス タイプ セレクタから選択したデバイス タイプのシステム オブジェクト ID。デバイスの正しい ID を選択します。

[Identity]

[IP Type]

デバイスの IP アドレスをスタティックにする(デバイスで定義する)か、またはダイナミックにする(DHCP サーバから取得する)かを指定します。選択した IP タイプによって、表示されるフィールドが異なります。

[Hostname]

(スタティック IP 専用)

デバイスの DNS ホスト名。IP アドレスが不明な場合に、DNS ホスト名を入力します。

最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、およびハイフン(-)です。

(注) DNS ホスト名と IP アドレスのどちらか一方、または両方を入力する必要があります。

2 つのデバイスに同じ DNS ホスト名とドメイン名の組み合わせを使用することはできません。

[Domain Name]

(スタティック IP 専用)

デバイスの DNS ドメイン名。

最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、ピリオド(.)、およびハイフン(-)です。

[IP Address]

(スタティック IP 専用)

デバイスの管理 IP アドレス。IP アドレスは、10.64.3.8 というように、ドット付きの 4 つの数字列でなければなりません。

(注) IP アドレスと DNS ホスト名のどちらか一方、または両方を入力する必要があります。

[Display Name]

Security Manager のデバイス セレクタに表示する名前。ホスト名または IP アドレスを入力した場合は、そのホスト名または IP アドレスがこのフィールドに自動的に入力されますが、変更することもできます。

最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、_-.:、およびスペースです。

(注) 2 つのデバイスに同じ表示名を設定することはできません。

[Operating System]

[OS Type]

オペレーティング システムのタイプ。デバイス タイプに基づいて、OS タイプが自動的に選択されます。

[Image Name]

デバイスで実行されるイメージの名前。

[Target OS Version]

設定を適用するターゲット OS バージョン。この選択によって、Security Manager が設定ファイルを生成するときに使用されるコマンドのタイプが決まります。

[Options]

デバイスで使用可能な追加オプション。デバイスで IPS 機能を使用できる場合は、[IPS] を選択します。

[Contexts]

デバイスで 1 つのセキュリティ コンテキストをホストするか([Single])、または複数のセキュリティ コンテキストをホストするか([Multi])を指定します。このフィールドが表示されるのは、OS タイプが FWSM、ASA、または PIX ファイアウォール 7.0 の場合だけです。

[Operational Mode]

デバイスの動作モード。このフィールドが表示されるのは、OS タイプが FWSM、ASA、または PIX ファイアウォール 7.0 の場合だけです。使用可能なオプションは、[Transparent]、[Routed]、または [Mixed] です。[Contexts] で [Multi] を選択した場合、[Mixed] は FWSM 3.1 以上のデバイスだけに適用されます。

[Auto Update] または [Configuration Engine]

このグループは、選択するデバイス タイプに応じて名前が異なります。

[Auto Update]:PIX ファイアウォールおよび ASA デバイスの場合。

[Configuration Engine]:Cisco IOS ルータの場合。

これらのフィールドは、デバイスを管理するサーバ(ある場合)を識別するために使用します。ダイナミック IP アドレスを持つデバイスには、サーバが必須です。Catalyst 6500/7600 デバイスまたは FWSM デバイスのサーバは定義できません。

[Server]

デバイスを管理する Auto Update Server または Configuration Engine。

サーバをリストに追加するには、[Add Server] を選択します。[Server Properties] ダイアログボックスが開きます(「[Server Properties] ダイアログボックス」を参照)。[Edit Server] を選択して [Available Servers] ダイアログボックスを開き、サーバのプロパティを編集することもできます(「[Available Servers] ダイアログボックス」を参照)。

このサーバ リストの管理の詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。

[Device Identity]

Auto Update Server または Configuration Engine でデバイスを一意に識別する文字列。

その他のフィールド

[Manage in Cisco Security Manager]

Security Manager でデバイスを管理するかどうかを指定します。このチェックボックスは、デフォルトでオンになっています。

追加しようとしているデバイスの唯一の機能が VPN エンド ポイントとして機能することである場合は、このチェックボックスをオフにします。Security Manager は設定を管理せず、このデバイスの設定をアップロードまたはダウンロードしません。詳細については、「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」を参照してください。

[Security Context of unmanaged device]

親(PIX ファイアウォール デバイス、ASA デバイス、または FWSM デバイス)が Security Manager によって管理されていないセキュリティ コンテキストを管理するかどうかを指定します。

このフィールドがアクティブになるのは、デバイス セレクタで選択したデバイスが PIX ファイアウォール、ASA、FWSM などのファイアウォール デバイスで、かつそのファイアウォール デバイスがセキュリティ コンテキストをサポートしている場合だけです。

1 つの PIX ファイアウォール、ASA、または FWSM のパーティションを、セキュリティ コンテキストとも呼ばれる複数のセキュリティ ファイアウォールに分けることができます。各コンテキストは、それぞれに独自の設定およびポリシーを持つ独立したシステムです。このようなスタンドアロンのコンテキストは、親デバイスが管理対象外であっても、Security Manager で管理できます。詳細については、「ファイアウォール デバイスでのセキュリティ コンテキストの設定」を参照してください。

(注) このチェックボックスをオンにした場合、セキュリティ モジュールに使用可能なターゲット OS バージョンが [Target OS Version] フィールドに表示されます。

インベントリ ファイルからのデバイスの追加

Comma-Separated Value(CSV; カンマ区切り値)形式のインベントリ ファイルからデバイスを追加できます。たとえば、CiscoWorks Common Services Device Credential Repository(DCR)または別の Security Manager サーバからエクスポートしたインベントリ ファイルや、Cisco Security Monitoring, Analysis and Response System(CS-MARS)で使用したシード ファイルなどです。インベントリ ファイル形式の詳細については、「Security Manager クライアントからのデバイス インベントリのエクスポート」を参照してください。


ヒント インベントリ ファイルを手作業で構築する場合、最も簡単な方法は Security Manager インベントリを目的の形式でエクスポートし、そのファイルを目的のインベントリ ファイルの基礎として使用することです。


インポートするデバイスは、デバイス インベントリにすでに存在するデバイスと重複していてはいけません。たとえば、デバイスを再インポートして、インベントリのデバイス情報を更新することはできません。

始める前に

この手順を開始する前に、次の準備が完了していることを確認してください。

Security Manager で管理されるデバイスを準備します。詳細については、「デバイスを管理するための準備」を参照してください。

認証に ACS を使用する場合は、ACS でデバイスを定義します。『 Installation Guide for Cisco Security Manager 』を参照してください。

使用するインベントリ ファイルを Security Manager サーバに配置します。クライアント システム上のファイルからデバイスをインポートすることはできません。

デバイスのタイプに非標準の通信プロトコルを使用している場合は、グローバル デバイス通信プロパティを更新して正しいプロトコルを指定します。詳細については、「[Device Communication] ページ」を参照してください。

関連項目

「デバイス ビューについて」

「デバイス グループの使用」

「デバイス プロパティの表示または変更」


ステップ 1 デバイス ビューで、[File] > [New Device] を選択するか、またはデバイス セレクタの [New Device] ボタンをクリックします。[Choose Method] ページに New Device ウィザードが開きます。

ステップ 2 [Choose Method] ページで、[Add Device from File] を選択し、[Next] をクリックして [Device Information] ページを開きます(「[Device Information] ページ - [Add Device from File]」を参照)。

ステップ 3 [Browse] をクリックし、インポートするデバイスが含まれているインベントリ ファイルを選択します。ファイルの形式を示す正しいファイル タイプを選択していることを確認します。

Security Manager は、インベントリ ファイルの内容を評価し、インポート テーブルにデバイス リストを表示します。ステータスが [Ready to Import] であるすべてのデバイスが自動的に選択されます。このリストから、選択されていないデバイスがなぜインポートできないかがわかります。インポートしないデバイスは、選択を解除できます。

デバイスに関する詳細な情報を参照するには、インポート テーブルでそのデバイスを選択します。詳細が一番下のペインに表示されます。デバイスごとに異なる検出オプションまたは転送設定を選択できます。


ヒント Security Manager 形式のインベントリ ファイルを選択した場合は、ポリシー検出を実行せずにデバイスをインポートすることもできます。これにより、ネットワークで現在アクティブでないデバイスを追加できるようになります。デバイスでポリシー検出を実行する場合は、デバイスを選択し、一番下のパネルで [Perform Device Discovery] を選択し、目的の検出オプションを選択します。個々のデバイスではなくフォルダを選択して、そのフォルダ内のすべてのデバイスのポリシー検出設定を選択できます。他の CSV 形式では、インポート時にポリシー検出を実行する必要があります。


リストを分析し、検出設定および転送設定に必要な変更を加えたら、[Next] をクリックしてグループを選択する任意の手順を続けるか、または [Finish] をクリックしてウィザードを完了します。いずれにしても、Security Manager 形式で CSV ファイルを使用し、かつ検出を実行しないようにしている場合を除き、Security Manager は各デバイスにログインし、選択された検出を実行しようとします。他の形式の場合、Security Manager はデバイスにログインしてインベントリにそのデバイスを追加できる必要があります。ステータスが [Discovery Status] ダイアログボックスに表示されます(「[Discovery Status] ダイアログボックス」を参照)。


ヒント デバイスの追加中にポリシーを検出している場合は、提示されているメッセージをよくお読みください。これらのメッセージには、次に実行する手順に関する重要な推奨事項が含まれている場合があります。たとえば、Cisco IOS ルータまたは Catalyst デバイスを追加するときは、Security Manager が設定の所有権を引き継ぐことができるように、検出した設定をファイルにすぐに展開することを推奨します。展開方法の詳細については、「展開方法について」を参照してください。


ステップ 4 (任意)[Device Grouping] ページで、インポートしたデバイスの追加先となるデバイス グループを選択します(「[Device Groups] ページ」を参照)。

[Finish] をクリックします。

ステップ 5 モジュールが含まれているデバイスを追加し、デバイス検出を実行している場合は、デバイス シャーシの検出が完了したときに通知され、デバイスのモジュールを検出するかどうかが確認されます。[Yes] をクリックすると、次の情報の入力を要求されます。

Catalyst 6500 サービス モジュール:[Service Module Credentials] ダイアログ ボックスが開き、シャーシに含まれているモジュールに基づいて次の情報の入力が要求されます。詳細については、「[Service Module Credentials] ダイアログボックス」を参照してください。

FWSM:管理 IP アドレス(推奨)、ユーザ名とパスワード、および実行する検出のタイプ。FWSM がフェールオーバー ペアの 2 番目のデバイスである場合は、フェールオーバー モジュールの [Do Not Discover Module] を選択します(Security Manager は、プライマリまたはセカンダリのどちらのフェールオーバー サービス モジュールが追加されたにかかわらず、常にアクティブな管理コンテキストを管理します)。

IDSM:ユーザ名とパスワード、および実行する検出のタイプ。

IPS ルータ モジュール:実行する検出のタイプ、管理 IP アドレス、ユーザ名とパスワード、およびその他の SSL 接続情報。詳細については、「[IPS Module Discovery] ダイアログボックス」を参照してください。

Security Manager で管理しないモジュールの検出をスキップできます。

[OK] をクリックします。[Discovery Status] ダイアログボックスに戻り、サービス モジュールの検出の経過を表示できます。


 

[Device Information] ページ - [Add Device from File]

インベントリ ファイルからデバイスを追加するには、New Device ウィザードの [Device Information] ページを使用して、そのインベントリ ファイルを選択し、ポリシー検出オプションを指定します。インベントリ ファイルは、Security Manager サーバに存在する必要があります。クライアント システム上にあるインベントリ ファイルは使用できません。

インベントリ ファイルに使用できる形式については、「Security Manager クライアントからのデバイス インベントリのエクスポート」で説明します。一般に、インベントリ ファイルは、別の Security Manager サーバまたは CiscoWorks Common Services サーバからエクスポートされたものであるか、または Cisco Security Monitoring, Analysis and Response System(CS-MARS)サーバのインベントリを読み込むときに使用されるシード ファイルとなります。


ヒント モジュールが含まれているデバイス、たとえば FWSM がある Catalyst スイッチを追加している場合は、[Finish] をクリックするとモジュール検出情報の入力を求められます。


ナビゲーション パス

New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

関連項目

「デバイス ビューについて」

「インベントリ ファイルからのデバイスの追加」

「[Device Groups] ページ」

「ポリシーの検出」

「[Device Communication] ページ」

「[Discovery Status] ダイアログボックス」

フィールド リファレンス

 

表 3-6 インベントリ ファイルからデバイスを追加する場合に使用する New Device ウィザードの [Device Information] ページ

要素
説明

[Import Devices From]

インポートするデバイスが含まれているインベントリ ファイル。[Browse] をクリックして、Security Manager サーバ上のファイルを選択します。

ファイルを選択するときは、Security Manager が Comma-Separated Value(CSV; カンマ区切り値)ファイルを正しく評価できるように、正しいファイル タイプも選択する必要があります。

[Device Import Table]

ファイルを選択すると、Security Manager はその内容を評価し、ファイルに定義されているデバイス リストをページ上部のペインのテーブルに表示します。Security Manager は、ステータスが [Ready to Import] であるすべてのデバイスを自動的に選択します。一般には、デバイス インベントリにまだ存在しないデバイスとなります。

テーブルには、次のカラムがあります。

[Import]

デバイスをインベントリに追加するには、このチェックボックスをオンにします。フォルダを選択または選択解除して、そのフォルダ内のすべてのデバイスを選択または選択解除できます。

[Display Name]

Security Manager のデバイス セレクタに表示する名前。

[Host Name]

デバイスに定義されているホスト名。

[Transport]

デバイスへの接続に使用するトランスポート プロトコル。

[Status]

Security Manager でデバイスをインポートできるかどうかを指定します。デバイスは、ステータスが [Ready to Import] である場合にだけインポートできます。デバイスのステータスの詳細については、そのデバイスを選択し、ページ右下隅の [Status] テキスト ボックスで展開されたステータス情報をお読みください。

[Device Type]

デバイスのタイプ。

[Details Pane]

デバイス インポート テーブルの下に、テーブルで選択されているデバイスの詳細を表示するペインがあります。アイデンティティ情報には、テーブルのフィールドがそのまま表示されます。[Status] テキスト ボックスには、インポート ステータスの詳しい説明が表示されます。

[Discover Device Settings] グループおよび [Transport] グループでは、Security Manager でのデバイスのインポート方法を指定できます。デバイスではなくフォルダを選択した場合、選択した設定はフォルダ内のすべてのデバイスに適用されます。設定については、次に説明します。

[Discover Device Settings]

[Perform Device Discovery]

デバイスから直接ポリシーを検出するかどうかを指定します。

インベントリ ファイルが Security Manager 形式である場合は、[Perform Device Discovery] を選択して、インベントリおよびポリシーを検出する必要があります(それ以外の場合、デバイスは評価されずに追加されます)。オフライン デバイスまたはスタンバイ デバイスを追加している場合は、このオプションをオフにしておいても、容易にデバイスをインベントリに追加できます。

他のすべてのインベントリ ファイル タイプでは、デバイス検出が必要です。

[System Context]

選択したデバイスがマルチ コンテキスト モードで動作するデバイス上のシステム実行スペースであるかどうか(つまり、複数のセキュリティ コンテキストがデバイスに定義されているかどうか)を指定します。デバイスがシステム実行スペースである場合は、検出が正しく完了するようにこのオプションを選択する必要があります。

[Discover]

検出してインベントリに追加する要素のタイプ。次のオプションがあります。

[Policies and Inventory]:ポリシー、インターフェイス、およびサービス モジュール(該当する場合)を検出します。これがデフォルトであり、推奨オプションです。

ポリシーの検出が開始されると、デバイス上の設定が分析され、設定されているサービスとプラットフォームのポリシーがインポートされます。インベントリの検出が開始されると、デバイス上のインターフェイスが分析され、インターフェイス リストがインポートされます。デバイスが複合デバイスの場合は、デバイス内のすべてのサービス モジュールが検出され、インポートされます。

このオプションを選択すると、下のチェックボックスがアクティブになり、それらのチェックボックスを使用して、検出されるポリシーのタイプを制御できます。

(注) 検出中に非アクティブな ACL をインポートすると、その ACL は Security Manager に無効な状態で表示されます。同じ ACL を展開すると、その ACL は Security Manager によって削除されます。

[Inventory Only]:インターフェイスとサービス モジュール(該当する場合)を検出します。

[Platform Settings]

プラットフォーム固有のポリシー ドメインとも呼ばれるプラットフォーム設定を検出するかどうかを指定します。プラットフォーム固有のポリシー ドメインは、ファイアウォール デバイスと Cisco IOS ルータ上にあります。これらのドメインには、選択したプラットフォームに固有の機能を設定するポリシーが含まれています。詳細については、「サービス ポリシーと プラットフォーム固有のポリシー」を参照してください。

[Firewall Policies]

ファイアウォール サービスとも呼ばれるファイアウォール ポリシーを検出するかどうかを指定します。ファイアウォール サービスには、アクセス規則、インスペクション規則、AAA 規則、Web フィルタ規則、トランスペアレント規則などのポリシーが含まれます。詳細については、「ファイアウォール サービスの概要」を参照してください。

[IPS Policies]

シグニチャや仮想センサーなどの IPS ポリシーを検出するかどうかを指定します。詳細については、「IPS 設定の概要」または「Cisco IOS IPS 設定の概要」を参照してください。

[RA VPN Policies]

IKE プロポーザルや IPsec プロポーザルなどの IPSec および SSL リモート アクセス VPN ポリシーを検出するかどうかを指定します。詳細については、「リモート アクセス VPN の管理」を参照してください。

[Discover Policies for Security Contexts]

マルチ コンテキスト モードで動作するデバイスの場合、複数のセキュリティ コンテキストが定義されています。ここには、それらのセキュリティ コンテキストを検出するかどうかを指定します。

[Transport]

転送設定によって、Security Manager がデバイスへの問い合わせに使用する方法が決まります。各デバイス タイプにはデフォルトの方法がありますが、任意の転送方法を選択できます。デバイスは、選択した方法に応答するように設定する必要があります。デバイス検出を実行していない場合は、デバイスへの問い合わせが行われません。

[Protocol]

デバイスに接続するときに Security Manager で使用するプロトコル。

[Server]

Auto Update Server(AUS)または Configuration Engine サーバを使用するデバイスの場合、デバイスが設定更新を取得する際に使用するそのサーバの名前を指定します。このようなサーバを使用するデバイスをインポートするには、サーバが Security Manager にすでに定義されているか、またはインポート リストからサーバを選択する必要があります。

[Device Identity]

サーバを使用するデバイスの場合、Auto Update Server または Configuration Engine でデバイスを一意に識別する文字列を指定します。

デバイス インベントリの使用

次の項では、デバイス インベントリの管理に関連するタスクについて説明します。これらの項に加え、「デバイス インベントリへのデバイスの追加」を参照してください。

「Auto Update Server または Configuration Engine の追加、編集、または削除」

「インターフェイス モジュールの追加または変更」

「デバイス プロパティの表示または変更」

「重要なデバイス プロパティの変更」

「デバイスに含まれている要素の表示」

「デバイスの複製」

「Security Manager インベントリからのデバイスの削除」

「デバイス インベントリのエクスポート」

「デバイス オペレーティング システムの管理」

Auto Update Server または Configuration Engine の追加、編集、または削除

他のサーバを使用して設定を管理するデバイスを Security Manager で管理する場合(たとえば、DHCP サーバからダイナミック IP アドレスが提供されるデバイス。デバイスをリブートすると前回と同じアドレスが提供されるとはかぎりません)、Security Manager でその使用するサーバを識別する必要があります。次に、使用できるサーバを示します。

Auto Update Server(AUS)。自動更新機能を使用する PIX ファイアウォールおよび ASA デバイス上のデバイス設定ファイルをアップグレードする場合に使用されます。

Cisco Configuration Engine。Configuration Engine 機能を使用する Cisco IOS ルータ、ASA デバイス、および PIX ファイアウォール上のデバイス設定ファイルをアップグレードする場合に使用されます。

Security Manager は、DHCP を使用してインターフェイス アドレスを取得するデバイスとの直接通信を開始できません。そのデバイスの IP アドレスが事前にはわからないためです。また、管理システムが変更を加える必要があるときに、デバイスが動作中でなかったり、ファイアウォールおよび NAT 境界の背後に配置されていたりする場合があります。このようなデバイスは、Auto Update Server または Configuration Engine に接続して、デバイス情報を取得します。

デバイスを手動で追加したり、デバイス プロパティを表示したりするときに、AUS および Configuration Engine サーバをデバイス インベントリに追加できます。このようなサーバのいずれかを使用するデバイスのプロパティを追加または表示する必要はありません。適切なフィールドに移動して、このようなサーバを追加、編集、または削除するためのコントロールにアクセスします。

また、CiscoWorks Common Services Device Credential Repository(DCR)または別の Security Manager サーバからエクスポートされたインベントリ ファイルからこれらのサーバをインポートする場合は、該当するサーバを追加することもできます。サーバをインポートする場合は、ここで説明する手順をスキップします。デバイスのインポートの詳細については、「インベントリ ファイルからのデバイスの追加」を参照してください。

始める前に

デバイスの追加に関係なく、Security Manager インベントリに AUS および Configuration Engine サーバのリストを読み込む場合、最善の方法は New Device ウィザードを使用し、追加方法として [Add New Device] を選択することです。この方法については、次の手順で説明します。

また、デバイス セレクタでデバイスを選択し、[Tools] > [Device Properties] をクリックして、サーバを追加または編集することもできます。デバイス プロパティ コンテンツ テーブルで [General] をクリックします。[Server] フィールドは、[Auto Update] グループまたは [Configuration Engine] グループのいずれかにあります。グループ名で識別されるサーバのタイプだけを追加または編集できます。


ヒント Security Manager では、Configuration Engine を追加するときに Configuration Engine で実行されているソフトウェア バージョンを特定できません。ただし、Security Manager は、設定を Configuration のすべてのバージョンに正しく展開できるとはかぎりません。Configuration Engine がサポートされているリリースを実行していることを確認してください(サポートされている Configuration Engine バージョンについては、http://www.cisco.com/en/US/products/ps6498/prod_release_notes_list.html にあるこの製品バージョンのリリース ノートを参照してください)。


関連項目

「ネットワークからのデバイスの追加」

「手動定義によるデバイスの追加」

「デバイス プロパティの表示または変更」


ステップ 1 デバイス インベントリで AUS エントリまたは Configuration Engine エントリを識別および管理できるフィールドの場所を特定します。

a. [File] > [New Device] を選択して New Device ウィザードを開き、[Choose Method] ページで [Add New Device] を選択し、[Next] をクリックします。

b. [Device Information] ページで、デバイス タイプ セレクタから ASA デバイスを選択します。たとえば、Cisco ASA-5580 Adaptive Security Appliance などです。[Auto Update] グループの [Server] フィールドでは、ドロップダウン リストに [Add Server] が含まれています。すでに定義されたサーバがある場合は、[Edit Server] も含まれています。このようなエントリに特定のサーバ タイプ(たとえば、Add Auto Update Server や Add Configuration Engine)がある場合、追加、編集、または削除の対象がそのタイプのサーバに制限されます(この場合、適切なサーバ タイプを探すには、他のタイプのデバイスを選択します)。

ステップ 2 新規 AUS または Configuration Engine サーバを追加するには、[Server] ドロップダウン リストから [Add Server] を選択して [Server Properties] ダイアログボックスを開きます(「[Server Properties] ダイアログボックス」を参照)。

ステップ 3 サーバを編集するには、[Server] ドロップダウン リストから [Edit Server] を選択して [Available Servers] ダイアログボックスを開きます(「[Available Servers] ダイアログボックス」を参照)。その後、サーバを選択し、[Edit] をクリックして [Server Properties] ダイアログボックスを開き、変更を加えることができます。

[Available Servers] ダイアログボックスでは、次の操作も実行できます。

[Create] をクリックしてサーバを追加します。

サーバを選択し、[Delete] をクリックしてインベントリからそのサーバを削除します。削除の確認が求められます。サーバがインベントリのデバイスによって使用されていないことを確認します。


 

[Server Properties] ダイアログボックス

[Server Properties] ダイアログボックスは、Auto Update Server または Configuration Engine のプロパティを指定する場合に使用します。

このダイアログボックスでは、その開く方法に応じてタイトルにサーバのタイプを指定できます(たとえば、Auto Update Server Properties や Configuration Engine Properties)。ダイアログボックスは基本的には同じです。


ヒント Security Manager では、Configuration Engine を追加するときに Configuration Engine で実行されているソフトウェア バージョンを特定できません。ただし、Security Manager は、設定を Configuration のすべてのバージョンに正しく展開できるとはかぎりません。Configuration Engine がサポートされているリリースを実行していることを確認してください(サポートされている Configuration Engine バージョンについては、http://www.cisco.com/en/US/products/ps6498/prod_release_notes_list.html にあるこの製品バージョンのリリース ノートを参照してください)。


ナビゲーション パス

このダイアログボックスを開くには、次のいずれかを実行します。

デバイスを手動で追加するときには、New Device ウィザードの [Device Information] ページで、[Auto Update Server] グループまたは [Configuration Engine] グループの [Server] フィールドから [Add Server...] を選択します。選択肢は、[Add Auto Update Server] または [Add Configuration Engine] と表示される場合もあります。

[Device Properties] - [General] ページで、[Auto Update Server] グループまたは [Configuration Engine] グループの [Server] フィールドから [Add Server...] を選択します。選択肢は、[Add Auto Update Server] または [Add Configuration Engine] と表示される場合もあります。

[Available Servers] ダイアログボックスで、[Create] をクリックするか、またはサーバを選択し、[Edit] をクリックします(「[Available Servers] ダイアログボックス」を参照)。

関連項目

「[Available Servers] ダイアログボックス」

「[Device Information] ページ - [New Device]」

「[Device Information] ページ - [Add Device from Network]」

「Auto Update Server または Configuration Engine の追加、編集、または削除」

「デバイス プロパティの表示または変更」

フィールド リファレンス

 

表 3-7 [Server Properties] ダイアログボックス

要素
説明

[Type]

定義しているサーバのタイプ。Auto Update Server または Configuration Engine。

このフィールドが表示されるのは、サーバを追加している場合だけです。既存のサーバのタイプは変更できません。

新規サーバの場合、ダイアログボックスのタイトルに追加対象のサーバのタイプが指定されているときにも、このフィールドは表示されません。

[Server Name]

サーバの DNS ホスト名。

[Domain Name]

サーバの DNS ドメイン名。

[IP Address]

サーバの IP アドレス。

[Display Name]

サーバの Security Manager に表示する名前。

[Username]

サーバにログインするためのユーザ名。

[Password]

サーバにアクセスするためのパスワード。[Confirm] フィールドに、パスワードを再入力します。

[Port]

Auto Update Server または Configuration Engine によって管理されたデバイスがサーバと通信するときに使用するポート番号。通常、ポート番号は 443 です。

[URN]

このフィールドは、Auto Update Server の場合にだけ表示されます。

Auto Update Server のユニフォーム リソース名。URN は、インターネット上のリソースを識別する名前です。URN は URL の一部で、/autoupdate/AutoUpdateServlet などとなります。完全な URL は https://: server ip :443/autoupdate/AutoUpdateServlet のようになります。

値は次のとおりです。

server ip は、Auto Update Server の IP アドレスです。

443 は、Auto Update Server のポート番号です。

/autoupdate/AutoUpdateServlet は、Auto Update Server の URN です。

[Available Servers] ダイアログボックス

[Available Servers] ダイアログボックスは、Auto Update Server または Configuration Engine を追加、編集、または削除する場合に使用します。

このダイアログボックスでは、その開く方法に応じてタイトルにサーバのタイプを指定できます(たとえば、Available Auto Update Server や Available Configuration Engine)。ダイアログボックスは基本的には同じです。

各行が 1 台のサーバを表し、Security Manager でのサーバの表示名、IP アドレス、および DNS ホスト名とドメイン名が表示されます。ダイアログボックスのタイトルにサーバ タイプが含まれていない場合、[Type] フィールドには [AUS] または [CE (Configuration Engine)] を指定します。

サーバを追加するには、[Create] ボタンをクリックし、[Server Properties] ダイアログボックスに値を入力します(「[Server Properties] ダイアログボックス」を参照)。

サーバのプロパティを編集するには、サーバを選択し、[Edit] ボタンをクリックします。

サーバを削除するには、サーバを選択し、[Delete] ボタンをクリックします。削除の確認が求められます。

ナビゲーション パス

このダイアログボックスを開くには、次のいずれかを実行します。

デバイスを手動で追加するときには、New Device ウィザードの [Device Information] ページで、[Auto Update Server] グループまたは [Configuration Engine] グループの [Server] フィールドから [Edit Server...] を選択します。選択肢は、[Edit Auto Update Server] または [Edit Configuration Engine] と表示される場合もあります。

[Device Properties] - [General] ページで、[Auto Update Server] グループまたは [Configuration Engine] グループの [Server] フィールドから [Edit Server...] を選択します。選択肢は、[Edit Auto Update Server] または [Edit Configuration Engine] と表示される場合もあります。

関連項目

「[Device Information] ページ - [New Device]」

「[Device Information] ページ - [Add Device from Network]」

「Auto Update Server または Configuration Engine の追加、編集、または削除」

「デバイス プロパティの表示または変更」

インターフェイス モジュールの追加または変更

多くのデバイスでは、インターフェイス モジュールを追加または変更できます。デバイスにホストされたインターフェイス モジュールに変更を加えるときは、デバイスのインベントリを変更します。

インターフェイス カードを追加または変更する場合は、デバイスでインベントリを再検出する必要があります。インベントリを再検出すると、[Interfaces] ポリシー(ルータの場合、[Interfaces] > [Interfaces policy])が置換され、デバイスで使用可能なインターフェイスの機能が Security Manager に正しく表示されるようになります。


) インベントリの再検出は、4 GB イーサネット ファイバ インターフェイス カードを取り付けている ASA 5580 デバイスには特に重要です。他のタイプのデバイスの場合、通常、[Interfaces] ポリシーに手動で変更を加えることができますが、インベントリを再検出する方が簡単であり、信頼性にも優れています。



ステップ 1 デバイスを右クリックし、[Discover Policies on Device] を選択します。

ステップ 2 [Create Discovery Task] ダイアログボックスで、少なくとも次に挙げる項目を選択し、[OK] をクリックして再検出を開始します。

[Live Device] からの検出。

検出するポリシー:[Inventory]。

ステップ 3 検出が完了したら、[Interfaces] または [Interfaces] > [Interfaces policy] を必要に応じて編集し、ポリシーに目的の設定が反映されていることを確認します。


 

デバイス プロパティの表示または変更

デバイスをインベントリに追加するときは、名前やクレデンシャルなどデバイスのプロパティをいくつか指定します。インベントリに存在するデバイスの場合、デバイス プロパティを表示および変更できます。

関連項目

「デバイス ビューについて」

「デバイス プロパティについて」

「ポリシーについて」

「重要なデバイス プロパティの変更」


ステップ 1 デバイス ビューのデバイス セレクタで次のいずれかを実行し、[Device Properties] ダイアログボックスを開きます。

デバイスをダブルクリックします。

デバイスを右クリックして、[Device Properties] を選択します。

デバイスを選択して、[Tools] > [Device Properties] の順に選択します。

ステップ 2 [Device Properties] ダイアログボックスで、左ペインにあるコンテンツ テーブルで対応するエントリをクリックして、プロパティを表示または変更します。ページ間を移動する前に、[Save] をクリックする必要があります。

[General]:デバイス アイデンティティ、デバイスで実行されているオペレーティング システム、転送設定など、デバイスに関する一般的な情報。フィールドの詳細については、「[General] ページ」を参照してください。

[Credentials]:デバイスへのログインに必要なデバイス クレデンシャル。フィールドの詳細については、「[Device Credentials] ページ」を参照してください。

[Groups]:デバイスが属しているグループ。フィールドの詳細については、「[Device Groups] ページ」を参照してください。

[Policy Object Overrides]:デバイスのポリシー オブジェクトに対するローカルなオーバーライド。[Policy Object Overrides] は、デバイスに使用できるさまざまなポリシー オブジェクト タイプが含まれているフォルダです。特定のポリシー オブジェクト タイプをクリックすると、デバイスで使用されているそのタイプのポリシー オブジェクトが表示され、オーバーライドもあれば表示されます。フィールドの詳細については、「ポリシー オブジェクト オーバーライドのページ」を参照してください。


 

[General] ページ

[Device Properties] の [General] ページは、デバイスの基本的なプロパティに関する情報を追加または編集する場合に使用します。

ナビゲーション パス

デバイス セレクタから、デバイスを右クリックし、[Device Properties] を選択し、[General] をクリックします。

デバイス セレクタから、デバイスをダブルクリックし、[General] をクリックします。

デバイスを選択し、[Tools] > [Device Properties] を選択し、[General] をクリックします。

関連項目

「デバイス プロパティについて」

「[Device Credentials] ページ」

「[Device Groups] ページ」

「ポリシー オブジェクト オーバーライドのページ」

フィールド リファレンス

 

表 3-8 [Device Properties] の [General] ページ

要素
説明
[Identity]

[Device Type]

デバイスのタイプ。

[IP Type]

デバイスの IP アドレスをスタティックにする(デバイスで定義する)か、またはダイナミックにする(DHCP サーバから取得する)かを指定します。選択した IP タイプによって、表示されるフィールドが異なります。

[Hostname]

(スタティック IP 専用)

デバイスの DNS ホスト名。

これは、デバイスにホスト名として設定される名前と同じである必要はありません。このプロパティは、[Hostname] デバイス プロパティに指定されているホスト名で更新されません。また、デバイスを再検出する場合には、デバイス設定に定義されている名前でも更新されません。

設定ファイルを追加してデバイスを Security Manager に追加した場合は、ホスト名が当初設定ファイルに指定されている名前に設定されます。ホスト名が設定に指定されていない場合は、ファイルの名前が DNS ホスト名として使用されます。

[Domain Name]

(スタティック IP 専用)

デバイスの DNS ドメイン名。

[IP Address]

(スタティック IP 専用)

デバイスの管理 IP アドレス。192.168.3.8 など。

[Display Name]

Security Manager のデバイス セレクタに表示する名前。

最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、_-.:、およびスペースです。

[Operating System]

[OS Type]

デバイスで実行されているオペレーティング システムのファミリ。

[Image Name]

デバイスで実行されているイメージの名前。イメージ名は、デバイスに展開するか、またはポリシーを再検出するたびに更新されます。

[Running OS Version]

デバイスで実行されているオペレーティング システムのバージョン。

[Target OS Version]

デバイスの設定が基づく OS バージョン。設定している規則を使用して設定ファイルを作成するとき、Security Manager はターゲット OS バージョンで使用できるコマンドを使用します。このフィールドは、IPS デバイスの読み取り専用です。

ターゲット OS バージョンを、デバイスに使用できる機能セットが大きく変更されているバージョンに変更することはできません。詳細については、「Security Manager の機能セットを変更する変更」を参照してください。

[Options]

値が [NONE] または [IPS] である読み取り専用のフィールド。値 [IPS] は、IPS 機能がデバイスで使用可能であることを示します。

[IPS Running OS Version]

ルータで実行中の IOS IPS のバージョンを表示する読み取り専用のフィールド。[Options] フィールドの値が [NONE] の場合、このフィールドは表示されません。

[IPS Target OS Version]

ルータで実行中の IOS IPS のターゲット バージョンを表示する読み取り専用のフィールド。[Options] フィールドの値が [NONE] の場合、このフィールドは表示されません。

[Contexts]

デバイスで 1 つのセキュリティ コンテキストをホストするか([Single])、または複数のセキュリティ コンテキストをホストするか([Multi])を指定します。このフィールドが表示されるのは、OS タイプが FWSM、ASA、または PIX ファイアウォール 7.0 の場合だけです。

[Operational Mode]

デバイスの動作モード。このフィールドが表示されるのは、OS タイプが FWSM、ASA、または PIX ファイアウォール 7.0 の場合だけです。使用可能なオプションは、[Transparent]、[Routed]、または [Mixed] です。[Contexts] で [Multi] を選択した場合、[Mixed] は FWSM 3.1 以上のデバイスだけに適用されます。

[Device Communication Settings]

[Transport Protocol]

Security Manager がデバイスにアクセスするとき、または設定をデバイスに展開するときに使用するトランスポート プロトコル。[Use Default] を選択した場合は、[Device Communication] ページ([Tools] > [Security Manager Administration]> [Device Communication])のトランスポート プロトコル セットが使用されます(「[Device Communication] ページ」を参照)。デバイスがデフォルト プロトコルを使用するように設定されていない場合は、別のプロトコルを選択できます。

使用可能なトランスポート プロトコルは、どのデバイス タイプをサポートするかによって異なります。ASA など一部のデバイス タイプでは、オプションが 1 つだけであるため、フィールドはグレー表示されます。

[CS-MARS Monitoring]

[Monitored By]

このデバイスがモニタ対象である場合には、モニタを実施する CS-MARS サーバ。

[Discover CS-MARS] をクリックして、Security Manager でどの CS-MARS サーバがデバイスをモニタしているかを確認します。1 つの CS-MARS サーバだけがデバイスをモニタしている場合、このフィールドはそのサーバ名で更新されます。複数のサーバがある場合は、使用する CS-MARS サーバを選択するように要求されます。デバイスのポリシー規則テーブルにファイアウォール アクセス規則または IPS シグニチャを表示しているときに、CS-MARS が収集した syslog またはイベントを表示しようとした場合、ここで選択した内容によってアクセスされるサーバが決まります。

デバイスの CS-MARS サーバを検出する場合は、事前に [CS-MARS] 管理ページ([Tools] > [Security Manager Administration] > [CS-MARS])でサーバを Security Manager に登録しておく必要があります。詳細については、「[CS-MARS] ページ」を参照してください。

[Auto Update] または [Configuration Engine]

このグループは、デバイス タイプに応じて名前が異なります。

[Auto Update]:PIX ファイアウォールおよび ASA デバイスの場合。

[Configuration Engine]:Cisco IOS ルータの場合。

これらのフィールドは、デバイスを管理するサーバ(ある場合)を識別するために使用します。ダイナミック IP アドレスを持つデバイスには、サーバが必須です。

[Server]

デバイスを管理する Auto Update Server または Configuration Engine。AUS の場合、このサーバは AUS ポリシーに定義されているサーバと一致する必要があります(「[AUS] ページ」を参照)。

サーバをリストに追加するには、[Add Server] を選択します。[Server Properties] ダイアログボックスが開きます(「[Server Properties] ダイアログボックス」を参照)。[Edit Server] を選択して [Available Servers] ダイアログボックスを開き、サーバのプロパティを編集することもできます(「[Available Servers] ダイアログボックス」を参照)。

このサーバ リストの管理の詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。

展開時にこのようなサーバを使用する方法の詳細については、「Auto Update Server または CNS Configuration Engine を使用した設定の展開」を参照してください。

[Device Identity]

Auto Update Server または Configuration Engine でデバイスを一意に識別する文字列。AUS の場合、この ID は AUS ポリシーに定義されている ID と一致する必要があります(「[AUS] ページ」を参照)。

[Manage in Cisco Security Manager]

Security Manager でデバイスを管理するかどうかを指定します。

デバイスの唯一の機能が VPN エンド ポイントとして機能することである場合は、このチェックボックスをオフにします。Security Manager は設定を管理せず、このデバイスの設定をアップロードまたはダウンロードしません。

[Device Credentials] ページ

[Device Credentials] ページは、デバイス アクセスに必要なユーザ名およびパスワードを追加または変更する場合に使用します。デバイス クレデンシャルの詳細については、「デバイス クレデンシャルについて」を参照してください。

[Credentials] ページは、(New Device ウィザードで)新規デバイスを追加しているか、既存のデバイスのプロパティを表示しているかにかかわらず同じです。

新規デバイスを追加するときには、手動またはネットワークからデバイスを追加する場合にだけクレデンシャルの入力を求められます。


ヒント New Device ウィザードで、ネットワークからデバイスを追加するときに [Next] または [Finish] をクリックした場合、Security Manager はこのようなクレデンシャルを使用してデバイスに接続できるかどうかをテストします。テストの進行中、[Device Connectivity Test] ダイアログボックスが開いたままになります(「[Device Connectivity Test] ダイアログボックス」を参照)。テストが失敗した場合は、[Details] をクリックして詳細なエラー情報を表示します。モジュールが含まれているデバイス、たとえば FWSM がある Catalyst スイッチを追加している場合は、モジュール検出情報の入力を求められます。


ナビゲーション パス

新しいデバイスの場合、New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

既存のデバイスの場合、デバイス プロパティを開くには、デバイス セレクタでデバイスをダブルクリックし、[Device Properties] ページで [Credentials] をクリックします。

関連項目

「デバイス クレデンシャルについて」

「ネットワークからのデバイスの追加」

「手動定義によるデバイスの追加」

「[Device Communication] ページ」

「デバイス プロパティについて」

「デバイス プロパティの表示または変更」

「デバイス通信設定および証明書の管理」

「[Discovery Status] ダイアログボックス」

フィールド リファレンス

 

表 3-9 [Device Credentials] ページ

要素
説明
[Primary Credentials]

すべてのデバイス タイプに必須です。[HTTP] グループで [Use Primary Credentials] を選択した場合、このようなクレデンシャルが SSH 接続と Telnet 接続、および HTTP 接続と HTTPS 接続に使用されます。

[Username]

デバイスにログインするためのユーザ名。

(注) PIX、ASA、および FWSM デバイスでは、ユーザ名を 4 文字以上にする必要があります。パスワードには、3 ~ 32 文字を使用できますが、8 文字以上にすることを推奨します。

[Password]

デバイスにログインするためのパスワード(ユーザ EXEC モード)。[Confirm] フィールドに、パスワードを再入力します。

[Enable Password]

イネーブル モード(特権 EXEC モード)がデバイスに設定されている場合に、そのデバイスでイネーブル モードをアクティブにするパスワード。[Confirm] フィールドに、パスワードを再入力します。

[HTTP Credentials]

デバイスへの HTTP 接続または HTTPS 接続を確立するためのクレデンシャル。デバイスの中には、このタイプの接続をサポートするものもあれば、(IPS デバイスのように)必須とするものもあります。

[Use Primary Credentials]

[Username]

[Password]

Security Manager が HTTP 接続および HTTPS 接続に設定済みのプライマリ クレデンシャルを使用するかどうかを指定します。デバイスが HTTP/HTTPS 接続に異なるクレデンシャルを使用している場合は、[Use Primary Credentials] の選択を解除し、HTTP/HTTPS 用に設定されたユーザ名およびパスワードを入力します。[Confirm] フィールドにパスワードを再入力します。

(注) PIX、ASA、および FWSM デバイスでは、ユーザ名を 4 文字以上にする必要があります。パスワードには、3 ~ 32 文字を使用できますが、8 文字以上にすることを推奨します。

[HTTP Port]

HTTP 接続に使用するポート。デフォルトのポートは 80 です。この設定値は、デフォルトとは異なるポートで HTTP 接続を受け付けるようにデバイスが設定されている場合にだけ変更します。

[HTTPS Port]

HTTPS 接続に使用するポート。デフォルトのポートは 443 です(Security Manager デバイス通信設定に別のデフォルトが設定されていない場合)。デフォルトを変更するには、まず [Use Default] の選択を解除します。この設定値は、デフォルトとは異なるポートで HTTPS 接続を受け付けるようにデバイスが設定されている場合にだけ変更します。

(注) ローカル HTTP ポリシーを共有ポリシーとなるように設定して複数のデバイスに割り当てた場合、共有ポリシーが割り当てられるすべてのデバイスを対象に、[Device Credentials] ページに設定されたポート番号が共有ポリシーの HTTPS ポート番号設定で上書きされます。

[IPS RDEP Mode]

イベント モニタリングのために RDEP または SDEE 接続を確立するときに、IPS デバイスへのアクセスに使用する接続方法。

[Certificate Common Name]

証明書に割り当てられる名前。共通名は、証明書に割り当てられた個人、システム、またはその他のエンティティの名前にすることができます。[Confirm] フィールドに、共通名を再入力します。

その他のフィールドおよびボタン

[Authentication Certificate Thumbprint]

(デバイス プロパティ専用)

Security Manager 証明書データ ストアに保存できるデバイスの証明書サムプリント。デバイスから現在の証明書を取得し、Security Manager に格納されている証明書に置き換えるには、[Retrieve From Device] をクリックします。

[RX-Boot Mode] ボタン

[RX-Boot Mode Credentials] ダイアログボックスを開きます。ここでは、縮小コマンド セット イメージ(RX-Boot)からルータを起動するためのクレデンシャルを入力できます。

そのクレデンシャルがフラッシュ メモリから実行する Cisco ルータ用のものである場合(ルータはフラッシュの最初のファイルからだけ起動します)、フラッシュにあるイメージ以外のイメージを実行してフラッシュ イメージをアップグレードする必要があります。Rx-Boot クレデンシャルは、そのような他のイメージを実行するためのものです。

[SNMP] ボタン

[SNMP Credentials] ダイアログボックスを開きます。ここでは、デバイスに定義されている SNMP コミュニティ ストリングを指定できます。

[Test Connectivity] ボタン

(デバイス プロパティおよび手動によるデバイス追加専用)

入力したクレデンシャルおよび設定済みの転送方法を使用して Security Manager がデバイスに接続できるかどうかをテストします。デバイス接続のテストの詳細については、「デバイス接続のテスト」を参照してください。

[RX-Boot Mode Credentials] ダイアログボックス

[RX-Boot Mode Credentials] ダイアログボックスは、Rx-Boot モード クレデンシャルを追加する場合に使用します。このクレデンシャルは、縮小コマンド セット イメージ(Rx-Boot)からルータを起動するときに使用されます。Rx-Boot モードのユーザ名およびパスワードを入力します。[Confirm] フィールドに、パスワードを再度入力します。

ナビゲーション パス

[RX-Boot Mode Credentials] ダイアログボックスを開くには、New Device ウィザードの[Device Credentials] ページ(デバイスを手動またはネットワークから追加する場合)または [Device Properties] ページで、[RX-Boot Mode] をクリックします。

[SNMP Credentials] ダイアログボックス

[SNMP Credentials] ダイアログボックスは、SNMP クレデンシャルを追加する場合に使用します。

ナビゲーション パス

[SNMP Credentials] ダイアログボックスを開くには、New Device ウィザード(デバイスを手動またはネットワークから追加する場合)または [Device Properties] ページで、「[Device Credentials] ページ」の [SNMP] をクリックします。

フィールド リファレンス

 

表 3-10 [SNMP Credentials] ダイアログボックス

要素
説明
[SNMP V2C]

SNMP バージョン 2 を実行しているデバイスのクレデンシャルです。

[RO Community String]

読み取り専用のコミュニティ ストリング。[Confirm] フィールドに、コミュニティ ストリングを再入力します。

[RW Community String]

読み書き可能なコミュニティ ストリング。[Confirm] フィールドに、コミュニティ ストリングを再入力します。

[SNMP V3]

SNMP バージョン 3 を実行しているデバイスのクレデンシャルです。

[Username]

SNMP バージョン 3 ユーザ名。

[Password]

SNMP バージョン 3 パスワード。[Confirm] フィールドに、パスワードを再入力します。

[Auth Algorithm]

パスワードを暗号化するための認可アルゴリズム。MD5 または SHA-1 を選択できます。

[Device Groups] ページ

[Device Groups] ページは、デバイスをデバイス グループに割り当てる場合に使用します。このページからデバイス グループを編集または削除することもできます。

ナビゲーション パス

新しいデバイスの場合、New Device ウィザードを起動するには、デバイス ビューで [File] > [New Device] を選択するか、またはデバイス セレクタの [Add] ボタンをクリックします。

既存のデバイスの場合、デバイス プロパティを開くには、デバイス セレクタでデバイスをダブルクリックし、[Device Properties] ページで [Device Groups] をクリックします。

関連項目

「デバイスのグループ化について」

「デバイス インベントリへのデバイスの追加」

「デバイス プロパティについて」

「[Discovery Status] ダイアログボックス」

フィールド リファレンス

 

表 3-11 [Device Grouping] ページ

要素
説明

[Department] や [Location] などの [Group Types]

Security Manager に定義されているグループ タイプ。[Department] や [Location] など。各フィールドには、そのグループ タイプ内に定義されたデバイス グループのリストが含まれています。デバイスを所属させるデバイス グループを選択します。

新規デバイス グループまたはグループ タイプを作成する場合は、既存のいずれかのグループ タイプのドロップダウン リストから [Edit Groups] を選択します。これにより、[Edit Device Groups] ページが開きます。ここでは、新規グループおよびグループ タイプを作成または削除できます(「[Edit Device Groups] ダイアログボックス」を参照)。

[Set values as default]

選択したグループをデフォルト グループとして設定するかどうかを指定します。このオプションを選択した場合、他に追加しようとしているデバイスもそのグループに自動的に追加されます。

ポリシー オブジェクト オーバーライドのページ

選択したデバイスの [Device Properties] ウィンドウから、多くのタイプのポリシー オブジェクトのグローバル設定を上書きできます。これにより、そのデバイスにあるオブジェクトの定義をカスタマイズできます。詳細については、「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

コンテンツ テーブルの [Policy Object Overrides] フォルダには、特定のデバイス タイプのオーバーライドを作成できるあらゆるタイプのオブジェクトが含まれています。オブジェクト タイプを選択すると、デバイスのオーバーライドを許可するように設定されている既存のポリシー オブジェクトがあれば、右ペインのテーブルに表示されます。オブジェクトにデバイスに対するオーバーライドがすでに定義されている場合、[Value Overridden?] カラムにチェックマークが付けられます。

このようなオブジェクトのオーバーライドを作成および管理できます。オブジェクトを選択し、次の手順を実行できます。

オーバーライドを作成するには、[Create Override] ボタンをクリックします。これにより、そのタイプのオブジェクトを編集するためのダイアログボックスが開きます。オブジェクト固有の情報については、[Help] ボタンをクリックしてください。

既存のオーバーライドを編集するには、[Edit Override] ボタンをクリックします。

オーバーライドを削除するには、[Delete Override] ボタンをクリックします。

ナビゲーション パス

デバイス セレクタでデバイスをダブルクリックし、左ペインのコンテンツ テーブルにある [Policy Object Overrides] フォルダで目的のポリシー オブジェクト タイプをクリックします。

関連項目

「[Policy Object Overrides] ウィンドウ」

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」

「テーブルのフィルタリング」

重要なデバイス プロパティの変更

デバイスのイメージ バージョン、デバイス タイプ、または Security Manager によって管理される FWSM デバイスおよび ASA デバイスのセキュリティ コンテキストまたは動作モードを変更するときには、注意が必要です。このような変更を加えると、デバイスの別の機能セットがイネーブルになる場合があります。その結果、Security Manager でデバイスに設定したポリシーの一部が適用されなく可能性があります。

主要なデバイス変更、その変更が Security Manager のポリシーに及ぼす影響、およびこのようなデバイス変更を実装する際の手順については、以降の項で説明します。

「Security Manager の機能セットを変更しないイメージ バージョン変更」

「Security Manager の機能セットを変更する変更」

Security Manager の機能セットを変更しないイメージ バージョン変更

次のイメージ バージョン変更は、Security Manager でそのデバイスに使用できるポリシーのタイプに影響 しません

Security Manager でサポートされている任意の Cisco IOS バージョンから、Security Manager でサポートされているそれ以外の Cisco IOS バージョンへのアップグレード。

任意の PIX 6.x イメージから別の PIX 6.x イメージへのアップグレード。

任意の PIX 7.x イメージから別の PIX 7.x イメージへのアップグレード(同じセキュリティ コンテキストおよびモード設定を保持)。

任意の ASA 7.x イメージから別の ASA 7.x イメージへのアップグレード(同じセキュリティ コンテキストおよびモード設定を保持)。

任意の ASA 8.x イメージから別の ASA 8.x イメージへのアップグレード(同じセキュリティ コンテキストおよびモード設定を保持)。

任意の FWSM 2.x イメージから別の 2.x FWSM イメージへのアップグレード(同じセキュリティ コンテキストおよびモード設定を保持)。

任意の FWSM 3.x イメージから別の 3.x FWSM イメージへのアップグレード(同じセキュリティ コンテキストおよびモード設定を保持)。

任意の IOS 12.x イメージから別の IOS 12.x イメージへの Catalyst 6500/7600 シャーシのアップグレード。


) このリストは、Security Manager がサポートするイメージにだけ適用されます。サポートされるイメージのリストについては、次の URL にあるこのバージョンの製品の『Supported Devices and Software Versions for Cisco Security Manager』を参照してください。http://www.cisco.com/en/US/products/ps6498/products_device_support_tables_list.html


このような場合、次の手順を使用してイメージ バージョンを変更します。

関連項目

「デバイス ビューについて」

「デバイス プロパティについて」

「ポリシーについて」

「Security Manager の機能セットを変更する変更」


ステップ 1 デバイスのイメージ バージョンをアップグレードします。

ステップ 2 デバイス ビューのデバイス セレクタで次のいずれかを実行し、[Device Properties] ダイアログボックスを開きます。

デバイスをダブルクリックします。

デバイスを右クリックして、[Device Properties] を選択します。

デバイスを選択して、[Tools] > [Device Properties] の順に選択します。

ステップ 3 [Device Properties] ダイアログボックスで、[General] ページにある [Target OS Version] プロパティを更新後のバージョン番号に変更し、[Save] をクリックします。


 

Security Manager の機能セットを変更する変更

デバイスに使用できるポリシー機能セットに影響を与える主要なタイプのデバイス変更です。

イメージ バージョン変更:次のイメージ バージョン変更は、Security Manager でそのデバイスに使用できるポリシーのタイプに影響を与えます。

ASA、PIX、FWSM、IPS の各デバイスのメジャー バージョン番号の変更。たとえば、7.x から 8.x への ASA のアップグレード、または 7.x から 6.x への IPS デバイスのダウングレード。

IOS 12.1 イメージまたは 12.2 イメージから IOS 12.3 イメージまたは 12.4 イメージへのアップグレード。

IOS 12.3 イメージまたは 12.4 イメージから IOS 12.1 イメージまたは 12.2 イメージへのダウングレード。

このような変更を加えた場合でも、その変更の影響を受けるポリシーをまだ定義していなければ、デバイスのターゲット OS バージョンを変更できる可能性があります。管理対象デバイスのターゲット OS バージョンを別のバージョンに変更すると、そのデバイスに使用できるポリシーのタイプが変更される場合、Security Manager ではそのような変更が許可されません。そのような変更を加えることができない場合には(問題のポリシーを特定したうえで)通知されます。このため、まず Security Manager からデバイスを削除し、イメージの変更を実行してから、デバイスを追加し直す必要があります。

アクセス規則などポリシーのタイプによっては、イメージ バージョンまたはプラットフォーム タイプの変更の影響を受けないものがあります。

セキュリティ コンテキストおよび動作モードの変更:FWSM デバイスまたは ASA デバイスのセキュリティ コンテキストおよび動作モード設定に変更を加えると、そのデバイスで別の機能セットがイネーブルになります。このような変更は、次のようにデバイスを変更すると発生します。

単一のコンテキストから複数のコンテキスト(またはその逆)。

ルーテッド モードからトランスペアレント モード(またはその逆)。

Security Manager では、管理対象デバイスのセキュリティ コンテキストまたは動作モード設定を変更できません。このため、まず Security Manager からデバイスを削除し、コンテキストまたはモードを変更してから、デバイスを追加し直す必要があります。

ポリシー タイプによっては(たとえば、Banner、Clock、Console Timeout、HTTP)、動作モードの変更の影響を受けないものがあります。このほか(Banner および Clock に加えて ICMP、SSH、TFTP のように)セキュリティ コンテキスト設定の変更の影響を受けないものもあります。

デバイス ハードウェアの交換:特定のデバイスを交換しても、元の連絡先情報(IP アドレスなど)を保持できる場合があります。

PIX ファイアウォールを Cisco IOS ルータに交換する場合。

PIX ファイアウォールを ASA デバイスに交換する場合。

ルータをファイアウォール デバイスに交換する場合。

ルータを別のモデルの新規ルータに交換する場合。

このいずれの場合でも、新規デバイスにより、Security Manager でそのデバイスに使用できるポリシーのタイプが変更されます。Security Manager では、既存のデバイスのハードウェア モデルを変更できません。このため、まず Security Manager からデバイスを削除し、物理デバイスを変更してから、デバイスを追加し直す必要があります。

ポリシー タイプによっては(たとえば、アクセス規則)は、デバイス タイプの変更の影響を受けないものがあります。

変更の影響を受けないデバイスを Security Manager から削除する前に、そのデバイスに設定されたポリシーを共有することを推奨します。このようにすると、Security Manager を追加し直したあと、ポリシーをデバイスに(継承およびポリシー オブジェクト参照はそのままにして)再び割り当てることができるため便利です。次の手順では、その方法について説明します。

関連項目

「デバイス ビューについて」

「デバイス プロパティについて」

「ポリシーについて」

「Security Manager の機能セットを変更しないイメージ バージョン変更」


ステップ 1 Security Manager でデバイスに設定したすべての変更を送信し、展開します。これにより、イメージのアップグレードよりも前に、目的の設定がデバイスに配置されます。

ステップ 2 デバイスに定義されているローカル ポリシーを共有します。

a. デバイス セレクタでデバイスを右クリックし、[Share Device Policies] を選択します。デフォルトでは、Share Policies ウィザードでの共有対象として、デバイスに設定されたすべてのポリシー(ローカルおよび共有)が選択されます。

b. ポリシー アイコンに手の形で示されている既存の各共有ポリシーの横にあるチェックボックスをオフにします。この操作が必要になるのは、すでに存在する共有ポリシーのコピーを作成する必要がないためです。イメージ バージョンのアップグレード後に、既存の共有ポリシーを再び割り当てます。

c. 共有ポリシーの名前を入力します。デバイス名を便利な識別手段として使用することを推奨します。たとえば、デバイス名が MyRouter である場合、各共有ポリシーには MyRouter という名前が付与されます。このために、作成しているすべてのポリシーを書き留めます。

d. [Finish] をクリックします。選択したローカル ポリシーが共有ポリシーになります。

ステップ 3 Security Manager からデバイスを削除します。

ステップ 4 デバイスに目的の変更を加えます。たとえば、イメージ バージョンのアップグレード、動作モードの変更、デバイスの交換などです。

ステップ 5 デバイスを Security Manager に追加し直し、ポリシー検出を実行します。

ステップ 6 デバイスにポリシーを再び割り当てます。

a. デバイス ポリシー セレクタに表示されている最初のポリシー タイプを右クリックし、[Assign Shared Policy] を選択します。

b. [Assign Shared Policy] ダイアログボックスで、次のいずれかを実行します。

ローカル ポリシーがデバイスに以前に定義されたものである場合は、この手順のために作成した共有ポリシーを選択し、[OK] をクリックします。

このタイプの共有ポリシーがデバイスに以前に割り当てられていたものである場合は、そのポリシーを選択し、[OK] をクリックします。

c. (ローカル ポリシー専用)デバイス ポリシー セレクタで再度ポリシー タイプを右クリックし、[Unshare Policy] を選択します。

d. デバイスの設定に関連するポリシー タイプごとに、この手順を繰り返します。共有ポリシーが使用できない場合は、これが以前のイメージ バージョンに使用できなかったポリシー タイプであることを示します。

ステップ 7 (任意)この手順のために作成した共有ポリシーをポリシー ビューから削除します。

a. [View] > [Policy View] を選択するか、またはツールバーの [Policy View] アイコンをクリックします。

b. 削除するポリシーのいずれかを選択し、作業領域の [Assignments] タブをクリックして、ポリシーがどのデバイスにも割り当てられていないことを確認します。

c. 共有ポリシー セレクタの下にある [Delete Policy] ボタンをクリックして、ポリシーを削除します。

d. 削除するポリシー タイプごとに、この手順を繰り返します。


 

デバイスに含まれている要素の表示

サービス モジュール、セキュリティ コンテキスト、および仮想センサーを含んでいるデバイスを対象に、それぞれの内容を表示できます。デバイスのタイプに基づいて、このようにデバイスに含まれている要素を表示できます。

Catalyst 6500 デバイス:IDSM および FWSM サービス モジュール、セキュリティ コンテキスト、および仮想センサー。

FWSM、PIX ファイアウォール 7.0、および ASA デバイスの場合:デバイスに定義されているセキュリティ コンテキスト。セキュリティ コンテキストの詳細については、「ファイアウォール デバイスでのセキュリティ コンテキストの設定」を参照してください。

IPS デバイス:デバイスに定義されている仮想センサー。

含まれている項目を表示するには、デバイス ビューで、このようなタイプのデバイスのいずれかを選択し、[Tools] > [Show Containment] を選択するか、またはデバイスを右クリックし、[Show Containment] を選択します。[Composite View] ダイアログボックスが開き、選択したデバイスに含まれる要素があれば表示されます。

デバイスの複製

複製した(重複する)デバイスでは、複製元のデバイスの設定およびプロパティが共有されます。デバイスを複製すると、新規デバイスの設定およびプロパティを再作成する必要がないため、時間の節約になります。

複製したデバイスは、デバイスのオペレーティング システム バージョン、クレデンシャル、およびグループ化属性を複製元のデバイスと共有しますが、表示名、IP アドレス、ホスト名、ドメイン名など独自の一意のアイデンティティもあります。一度に複製できるデバイスは、1 つだけです。


) Catalyst スイッチまたは Catalyst 6500/7600 デバイスは複製できません。


関連項目

「デバイス ビューについて」

「デバイス間でのポリシーのコピー」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、[File] > [Clone Device] を選択するか、またはデバイス セレクタでデバイスを右クリックし、[Clone Device] を選択します。

(マップ ビュー)デバイスを右クリックし、[Clone Device] を選択します。

[Create a Clone of Device] ダイアログボックスが表示されます。

ステップ 2 複製の IP アドレスおよび名前をそれぞれ該当するフィールドに入力します。次に、使用可能な属性を示します。

[IP Type]:デバイスがスタティック IP アドレスを使用するのか、(DHCP から提供される)ダイナミック IP アドレスを使用するのかを指定します。デバイスを複製するときには、IP タイプは変更できません。

[Hostname]:(スタティック IP 専用)複製したデバイスの DNS ホスト名。

[Domain Name]:(スタティック IP 専用)複製したデバイスの DNS ドメイン名。ドメイン名を指定しないと、Security Manager ではサーバに設定されたデフォルトのドメイン名が使用されます。

[IP Address]:10.10.100.1 など複製したデバイスの管理 IP アドレス。IP アドレスがわからない場合は、[Hostname] フィールドに DNS ホスト名を入力します。スタティック IP アドレスが設定されたデバイスの IP アドレスまたはホスト名を入力する必要があります。

[Display Name]:Security Manager デバイス リストに表示される名前。最大長は 70 文字です。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、_-.:、およびスペースです。

[Device Identity]:(ダイナミック IP 専用)Auto Update Server または Configuration Engine でデバイスを一意に識別する文字列。このフィールドは、このようなサーバのいずれかを使用するようにデバイスが設定されている場合にだけ表示されます。

[Clone VPN Assignments]:デバイスに対して定義されている VPN 割り当てをコピーするかどうかを指定します。このフィールドは、デバイスが VPN 割り当てをサポートする場合にだけ表示されます。

ハブアンドスポーク設定のスポークとなっているデバイス、または完全メッシュ トポロジに参加しているデバイスの VPN 割り当てを複製できます。スポーク デバイスを複製した場合、新規デバイスは複製元と同じポリシーで VPN に新規スポークとして追加されます。完全メッシュ VPN のデバイスを複製した場合、新規デバイスは複製元と同じポリシーで完全メッシュ VPN に追加されます。ポイントツーポイント VPN トポロジのデバイスは複製できません。

ステップ 3 [OK] をクリックします。複製元のデバイスの複製が、一意の表示名でデバイス セレクタに作成されます。


 

Security Manager インベントリからのデバイスの削除

あるデバイスをこれ以上 Security Manager で管理しないことにした場合は、そのデバイスをインベントリから削除できます。デバイスを Security Manager から削除しても、デバイスの設定は変更されません。


ヒント そのデバイスに別のユーザがポリシーを設定中であった場合は、ロックが機能してデバイスは削除できません。


デバイスのタイプによっては削除する際に特殊な考慮事項があります。

デバイスが VPN に参加している場合、デバイスを削除すると VPN からデバイスが削除されます。ただし、デバイスの削除によって VPN トポロジが無効になる場合は、デバイスを削除したときに VPN トポロジ全体も削除されます。このことが警告され、デバイスの削除をキャンセルすることもできます。

マルチ コンテキスト モードで動作する ASA、PIX、FWSM の各デバイスの場合、または仮想センサーが含まれている IPS デバイスの場合、デバイスを削除するとセキュリティ コンテキストまたは仮想センサーもすべて削除されます。この手順では個々のセキュリティ コンテキストまたは仮想センサーは削除できません。代わりに、目的のセキュリティ コンテキストまたは仮想センサーを削除するように、ホスティング デバイスで適切なポリシーを変更する必要があります。

管理対象のサービス モジュールが含まれているデバイスを削除した場合は、その含まれていたデバイスも削除されます。たとえば、FWSM を含めて Catalyst スイッチを追加していた場合に、Catalyst スイッチを削除すると、FWSM も削除されます。含まれているデバイスも削除されることが警告されます。


ヒント デバイスの削除には、データベースから多数の情報を削除する処理が伴います。一度に多数のデバイスを削除すると、処理が完了するまでに時間がかかることがあります。多数のデバイスを削除する場合には、いくつかのグループに分けて削除することを推奨します。



ステップ 1 デバイス ビューで、次のいずれかを実行します。

削除するデバイスを選択するか、またはデバイス グループ内のデバイスをすべて削除する場合にはそのグループを選択し、右クリックし、[Delete Devices] を選択します。このほか、デバイス セレクタの上部にある [Delete Devices] ボタン(ゴミ箱のアイコン)をクリックする方法もあります。

[File] > [Delete Device] を選択し、[Device Selector] ダイアログボックスで削除するデバイスを選択し、[>>] をクリックしてデバイスを選択済みデバイス リストに移動します(リストには、デバイス ツリーで選択したデバイスがすでに含まれています)。デバイス グループを選択して、グループのメンバーであるデバイスをすべて削除できます。完了したら、[OK] をクリックします。


ヒント デバイス グループを選択すると、そのグループ内のデバイスだけが削除され、グループ自体は削除されません。デバイス グループの削除の詳細については、「デバイス グループまたはグループ タイプの削除」を参照してください。


ステップ 2 デバイスを削除するかどうかの確認が求められます。

確認すると、Security Manager はデバイスが削除できるかどうかを検証します。問題または潜在的な問題が明らかになった場合は、その問題が「[Device Delete Validation] ダイアログボックス」に記載されます。このダイアログボックスには、(削除できないデバイスを示す)エラーのほか、警告と情報メッセージも表示されます。

警告または情報メッセージがあるデバイスも、メッセージに説明されている結果を受け入れるのであれば削除できます。選択したすべてのデバイスの削除を続行できる場合には [OK] ボタンが示され、エラー メッセージがある場合には [Continue] ボタンが示されます。[Continue] をクリックすると、エラー状態でないデバイスだけが削除されます。確認が求められます。


 

[Device Delete Validation] ダイアログボックス

[Device Delete Validation] ダイアログボックスは、デバイスの削除中に発行されたエラー、警告、および情報メッセージを表示する場合に使用します。デバイスの削除の詳細については、「Security Manager インベントリからのデバイスの削除」を参照してください。

各行が、デバイスを削除しようとしたときに検証で問題が発生したデバイスを表します。表示されるのは、メッセージ重大度アイコン、デバイス表示名、および検証の結果です。検証結果には、デバイスを削除できない理由か、またはデバイスの削除によってもたらされる予期しない結果に関する警告または情報が示されます。メッセージがないデバイスはリストに表示されません。

行をダブルクリックするか、または行を選択して [Details] ボタンをクリックすると、詳細なメッセージが表示されます。情報がさらに読みやすい形式で [Device Delete Validation Details] ダイアログボックスに表示されます。

メッセージ重大度は次のいずれかになります。

エラー:デバイスの削除を妨げる問題が検出されました。たとえば、別のユーザがデバイスをロックしています。

警告:今後の操作に注意を喚起します。たとえば、デバイスを削除すると、VPN トポロジが無効になり、続行した場合には VPN トポロジも削除されます。

情報:小さな問題が発生しています。たとえば、デバイスを削除すると、VPN からデバイスが削除されます。

デバイスの削除を続行するには、[OK] ボタンまたは [Continue] ボタンをクリックします。両者は実質的に同じボタンです。

[OK] が表示されている場合、このボタンをクリックすると、削除対象に選択したすべてのデバイスが削除されます。

[Continue] が表示されている場合、選択したデバイスの中にエラーがあるものがあります。[Continue] をクリックすると、エラーがないデバイスだけが削除されます。

選択したすべてのデバイスにエラーがある場合は、ボタンがグレーになり、[Cancel] をクリックする必要があります。デバイスを削除する前に、エラーを残らず解決します。

ナビゲーション パス

このダイアログボックスが表示されるのは、デバイスを削除しようとしたものの、Security Manager によってその削除に問題があると判断された場合だけです。

デバイス インベントリのエクスポート

デバイス インベントリをエクスポートすると、インベントリを他のネットワーク管理アプリケーションにインポートしたり、独自のレポートを生成する目的で出力を操作したりできます。デバイス インベントリをエクスポートするには、相互に関連のない 2 つの方法があります。

[Tools] > [Export Inventory] コマンドを使用する:このコマンドでは、CiscoWorks Common Services Device Credential Repository(DCR)、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、または Security Manager へのインポートに適した形式でインベントリをエクスポートできます。詳細については、「Security Manager クライアントからのデバイス インベントリのエクスポート」を参照してください。

Perl スクリプト CSMgrDeviceExport を使用する:この Perl スクリプトでは、Security Manager クライアントを起動せずにインベントリをエクスポートできます。出力を画面または Comma-Separated Value(CSV; カンマ区切り値)ファイルに転送できます。詳細については、「コマンドラインからのデバイス インベントリのエクスポート」を参照してください。

Security Manager クライアントからのデバイス インベントリのエクスポート

Security Manager デバイス インベントリをカンマ区切り値ファイルにエクスポートし、カンマ区切り形式をサポートするプログラムにそのファイルをインポートできます。使用できる形式タイプは次のとおりです。

Device Credential Repository(DCR) :CiscoWorks Common Services 用のデバイス管理システム。この形式の詳細については、次の URL で、Common Services のマニュアルのサンプル バージョン 3.0 CSV ファイルの説明を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/ciscoworks_common_services_software/3.3/user/guide/dcr.html#wp1193611

CS-MARS :Cisco Security Monitoring, Analysis and Response System。この形式の詳細については、次の URL で、CS-MARS のマニュアルを参照してください。 http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/device/configuration/guide/chDvcOver.html#wp162016

Cisco Security Manager :Security Manager 形式。DCR バージョン 3.0 形式にフィールドをいくつか追加したものです。インベントリを別の Security Manager サーバにインポートしている場合は、この形式を選択すると、デバイスでポリシーを検出せずにインベントリをインポートできます。


) ファイルにデバイスの os_type および os_version が指定されていない場合は、デバイスを追加するときにデバイスから直接ポリシーを検出する必要があります。


各行の末尾に表示される追加のフィールドは次のとおりです。

os_type。オペレーティング システム タイプ。PIX、ASA、IOS、FWSM、IPS のいずれかになります。このフィールドは、すべてのデバイス タイプに必須です。

os_version。ターゲット オペレーティング システム バージョン。[Add New Device] を選択したときに New Device ウィザードのリストに示されるバージョン番号のいずれかになります。許容できるバージョン番号はデバイス モデルによって異なるため、CSV ファイルを手作業で作成している場合は、このリストに慎重に目を通してください。この方法を使用したデバイスの追加の詳細については、「手動定義によるデバイスの追加」を参照してください。このフィールドは、すべてのデバイス タイプに必須です。

fw_os_mode。ファイアウォール デバイスが実行されているモード。TRANSPARENT、ROUTER、MIXED のいずれかになります。このフィールドは、ASA、PIX、および FWSM デバイスに必須です。

fw_os_context。ファイアウォール デバイスが実行されているコンテキスト。SINGLE または MULTI になります。このフィールドは、ASA、PIX、および FWSM デバイスに必須です。

anc_os_type。Cisco IOS-IPS デバイスの補助的なオペレーティング システム タイプ。存在する場合は IPS となります。このフィールドは、IOS IPS デバイスに必須です。

anc_os_version。補助的なターゲット オペレーティング システム バージョンで、IPS ターゲット オペレーティング システム バージョンです。存在する場合は、サポートされている IOS-IPS バージョンのいずれかになります。このフィールドは、IOS IPS デバイスに必須です。

エクスポートの対象にデバイスのサブセットを選択できます。デバイスを選択するためのリストには、デバイス変更の権限があるデバイスだけが表示されます。


ヒント AUS または Configuration Engine を使用してそれぞれの設定を管理するデバイスを選択した場合は、エクスポートするデバイスのリストでサーバも選択する必要があります。AUS または Configuration Engine 情報を DCR 形式または Security Manager 形式でだけエクスポートできます。


関連項目

「セレクタ内の項目のフィルタリング」

「サーバ ファイル システムでのファイルまたはディレクトリの選択または指定」


ステップ 1 デバイス ビューで、[Tools] > [Export Inventory] を選択して、[Export Inventory] ダイアログボックスを開きます。

ステップ 2 エクスポート ファイルに含めるデバイスを選択し、[>>] をクリックして [Selected Devices] リストに追加します。フォルダを選択して、フォルダ内のすべてのデバイスを選択できます。

ステップ 3 [Browse] をクリックして、Security Manager サーバでエクスポート ファイルの作成先となるフォルダを選択し、エクスポート ファイルの名前を入力します。[File Type] には、作成する CSV ファイルのタイプを選択します。

[Save] をクリックして [Export Inventory] ダイアログボックスに戻ります。[Export Inventory To] フィールドが、エクスポート ファイル情報で更新されます。

ステップ 4 [OK] をクリックして、エクスポート ファイルを作成します。

エクスポート時に問題が発生した場合は、[Issues Encountered] ダイアログボックスが開き、デバイスごとに問題の説明が表示されます。問題の詳細を参照するには、デバイスを選択し、[Details] をクリックします。


 

コマンドラインからのデバイス インベントリのエクスポート

Security Manager には、Security Manager クライアントを起動せずにデバイス インベントリをエクスポートするのに使用できる Perl スクリプトが用意されています。このスクリプトを使用すると、組織で必要になるさまざまなオフライン レポート タスクを自動化できます。出力を Comma-Separated Value(CSV; カンマ区切り値)ファイルにパイプできます。また、出力をキャプチャして操作することもできます。

Perl コマンドは $NMSROOT\bin(通常は C:¥Program Files¥CSCSpx¥bin)にあります。コマンドの構文は次のとおりです。

perl [ path ] CSMgrDeviceExport.pl -u username [ -p password ] [ -s { Dhdoirtg }] [ -h ] [ > filename.csv ]

 
構文の説明

perl [ path ] CSMgrDeviceExport.pl

Perl スクリプト コマンド。システム パス変数内に CSMgrDeviceExport.pl ファイルへのパスが定義されていない場合は、そのパスを追加します。

-u username

Security Manager のユーザ名。エクスポートされるデータは、このユーザに割り当てられた権限によって制限されます。ユーザには、デバイス表示の権限が必要です。

-p password

(任意)ユーザのパスワード。コマンドにパスワードを含めていない場合、パスワードの入力を求められます。

-s { Dhdoirtg }

(任意)出力に含めるために選択されているフィールド。-s オプションを指定しない場合は、すべてのフィールドが含められます。次の 1 つ以上を指定できます。

D:表示名。

h:ホスト名。

d:ドメイン名。

o:オペレーティング システム(OS)タイプ。

I:イメージ名。

r:実行中の OS バージョン。

t:ターゲット OS バージョン。

g:デバイス グループ。

-h

(任意)コマンドラインのヘルプを表示します。このオプションを指定すると、他のすべてのオプションは無視されます。

> filename.csv

(任意)出力を指定のファイルにパイプします。ファイルを指定しない場合、出力は画面に表示されます。

出力形式

出力は標準の Comma-Separated Value(CSV; カンマ区切り値)形式であるため、スプレッドシート プログラムで開いたり、独自のスクリプトで処理したりできます。最初の行はカラムの見出しです。カラムは左から右に、上記の -s オプションで説明したフィールドの順に並んでいます。

特定のフィールドに値がない場合、そのフィールドは出力でブランクになります。

デバイス グループ出力フィールドは二重引用符で囲まれ、複数のグループ名が含まれることがあります。グループ名には、グループのパス構造が含まれています。たとえば、次の出力はデバイスが 2 つのグループの一部であることを示します。[Department] フォルダの East Coast グループと、[New] フォルダの NewGroup グループです。グループは、セミコロンで区切られています。

"/Department/East Coast; /New/NewGroup"
 

スクリプトが生成したエラー メッセージがあれば、出力ファイルに書き込まれます。

デバイス オペレーティング システムの管理

Security Manager には、Resource Manager Essentials(RME)の主要な機能へのショートカット リンクが含まれています。ソフトウェア管理を使用して、個々の(イメージ バージョンとも呼ばれる)デバイス オペレーティング システム バージョンを分析し、イメージ分析レポートを生成できます。レポートを使用して、オペレーティング システム イメージをデバイス グループにインポートおよび配布できます。また、オペレーティング システム アップグレード ジョブをスケジューリングして、バージョンを最新の状態に維持し、エラーを最小限に抑えることもできます。

ショートカット コマンドをイネーブルにするには、Security Manager に RME サーバの場所を設定する必要があります。RME の場所の設定の詳細については、「[Device OS Management] ページ」を参照してください。

RME Software Image Management(SWIM)には、次の機能が含まれています。

ソフトウェア リポジトリ:ネットワークに存在しなくなっているイメージを特定し、そのようなイメージをソフトウェア ライブラリにインポートし、ライブラリを最新の状態に維持し、ライブラリをネットワーク デバイスで実行中のイメージと定期的に同期します。また、あとで都合のよいときにイメージをインポートするようにスケジューリングし、Cisco.com から適切なイメージをダウンロードすることもできます。

ソフトウェア リポジトリにアクセスするには、[Tools] > [Device OS Management] > [Software Repository] を選択します。

ソフトウェア配布:アップグレード分析レポートを生成してイメージ アップグレードの前提条件を特定できます。デバイスをいくつかまとめて選択し、イメージ アップグレードを実行することも、ソフトウェア イメージを選択し、アップグレードを実行するデバイスをいくつかまとめて選択することもできます。

ソフトウェア配布を管理するには、[Tools] > [Device OS Management] > [Software Distribution] を選択します。

ソフトウェア管理ジョブ:スケジュール済みのイメージ アップグレード ジョブを表示、編集、停止、または削除できます。

ソフトウェア管理ジョブを管理するには、[Tools] > [Device OS Management] > [Management Jobs] を選択します。

このような RME 機能に関する特定の情報については、RME に付属しているオンライン ヘルプを参照してください。

デバイス グループの使用

デバイス グループを作成すると、効率よくデバイスを管理できるようにデバイスを編成できます。次の項では、デバイス グループとその使用方法について説明します。

「デバイスのグループ化について」

「デバイス グループ タイプの作成」

「デバイス グループの作成」

「デバイス グループまたはグループ タイプの削除」

「デバイス グループに対するデバイスの追加と削除」

デバイスのグループ化について

デバイス グループは簡素かつ任意に編成したデバイスの集まりであり、効率よくネットワークを可視化できます。ポリシーを共有するエンティティではありません。各種のポリシー オブジェクト グループ(たとえば AAA サーバ グループ オブジェクトやユーザ グループ オブジェクト)とは異なるものです。ポリシー オブジェクトの詳細については、「ポリシー オブジェクトの管理」を参照してください。


ヒント デバイスの数が多い場合、グループ化すると、変更をデバイスに展開するときに対象となるデバイスを選択するのが容易になります。たとえば、いくつかのデバイスに同時に変更を展開する場合、それらのデバイスを単一のデバイス グループにまとめておくと、そのグループを選択するだけで展開ジョブを完了できます。ポリシー展開の詳細については、「展開の管理」を参照してください。


デバイスをグループ化すると、インベントリ内のデバイスのサブセットを表示できます。デバイス グループ階層には、次の 2 つのタイプのフォルダがあります。

デバイス グループ タイプ:グループ タイプが階層の最上位となります。グループ タイプには特定のデバイス グループを含めることができますが、インベントリのすべてのデバイスが含まれる All グループ タイプを除き、デバイスを含めることはできません。Security Manager には、グループ タイプとして Department と Location があらかじめ定義されていますが、必ず使用しなければならないものではなく、削除することもできます。最大 10 個のグループ タイプを作成できます。

デバイス グループ:デバイス グループは、グループ タイプ フォルダ内のサブフォルダです。複数レベルのネスト デバイス グループを作成できます。デバイス グループ内にデバイスを配置できます。ただし、デバイスを配置できるのはグループ タイプ内の 1 つのグループだけです。たとえば、図 3-3では、グループ タイプ Location の下で、routerx を San Jose に割り当てることはできますが、routerx を San Jose と California に割り当てることはできません。

図 3-3に、ネスト デバイス グループの一例を示します。デバイスがいくつかのグループに配置されています。図を見るとわかるように、1 つのデバイスが複数のグループに存在できます。この例では、routerx が([Department] グループ タイプの下の)[Finance] グループと、Location > United States > California > San Jose ネスト グループに属しています。これらの所属先のいずれかで routerx を選択した場合、単一のデバイスを設定していることになります(設定は、グループ化とは関連付けられていません)。

図 3-3 デバイス グループ

 

Security Manager では、グループおよびグループ タイプを作成または削除できるほか、インターフェイス内のさまざまな場所でデバイスをグループに配置できます。

デバイスをインベントリに追加するとき:New Device ウィザードには、[Device Grouping] ページが含まれています。ここでは、デバイス グループ タイプを作成し、新規に追加したデバイスのグループを選択できます。また、デフォルト グループを選択して、そこにすべての新規デバイスを追加することもできます。

デバイス ビューでデバイス インベントリを表示したとき:[File] > [Edit Device Groups] コマンドを選択すると、ダイアログボックスが開き、グループおよびグループ タイプを作成または削除できます。デバイス セレクタでグループまたはグループ タイプを選択した場合、[File] メニューと右クリックのショートカット メニューにはグループを追加するためのコマンドまたはデバイスをグループに追加するためのコマンドが表示されます。

グループにデバイスを追加したり、グループからデバイスを削除したりするには、グループを選択し、[File] > [Add Devices to Group] を選択します。

デバイスのプロパティを表示したとき:[Device Grouping] ページでは、デバイスが属するグループを選択し、インベントリに追加したデバイスのデフォルトを設定できます。これは、デバイス グループからデバイスを削除できる唯一の場所となります。デバイス セレクタでデバイスをダブルクリックして、デバイス プロパティを開きます。

管理ページを使用しているとき:[Tools] > [Security Manager Administration] > [Device Groups] を選択して、デバイス グループの管理ページを開きます。ここでは、グループおよびグループ タイプを作成または削除できますが、グループにデバイスを追加することはできません。

関連項目

「デバイス グループ タイプの作成」

「デバイス グループの作成」

「デバイス グループまたはグループ タイプの削除」

「デバイス グループに対するデバイスの追加と削除」

[Edit Device Groups] ダイアログボックス

[Edit Device Groups] ダイアログボックスは、デバイス インベントリに定義されているデバイス グループおよびグループ タイプを管理する場合に使用します。

ナビゲーション パス

次のいずれかを実行します。

デバイス セレクタでデバイス グループ タイプまたはデバイス グループを右クリックし、[Edit Device Groups] を選択します。

[File] > [Edit Device Groups] を選択します。

New Device ウィザードの [Device Grouping] ページで、または既存のデバイスの場合にはデバイス プロパティで、グループ タイプ リストから [Edit Groups] を選択します。[Device Groups] ページを参照してください。

関連項目

「デバイスのグループ化について」

「デバイス グループの使用」

フィールド リファレンス

 

表 3-12 [Edit Device Groups] ダイアログボックス

要素
説明

[Groups]

デバイス グループとグループ タイプを表示します。

グループ名またはタイプ名を変更するには、グループまたはタイプを選択し、もう一度クリックしてテキストを編集可能にします。新しい名前を入力し、Enter を押します。

[Add Type] ボタン

新しいグループ タイプを作成するには、このボタンをクリックします。タイプはデフォルト名で追加されます。名前を上書き入力し、Enter を押します。

最大 10 個のグループ タイプを設定できます。

[Add Group to Type] ボタン

デバイス グループを選択したデバイス グループまたはグループ タイプに追加するには、このボタンをクリックします。

[Delete] ボタン(ゴミ箱)

選択したデバイス グループまたはグループ タイプとその中に含まれているすべてのデバイス グループを削除するには、このボタンをクリックします。デバイス グループまたはグループ タイプを削除しても、その中に含まれているデバイスは削除されません。

デバイス グループ タイプの作成

この手順では、デバイス グループ タイプを作成する最も直接的な方法について説明します。グループ タイプを追加する他の方法の詳細については、「デバイスのグループ化について」を参照してください。

デバイス グループ タイプは、デバイス グループ階層の最上位にあるカテゴリです。デバイス グループを追加する場合は、「デバイス グループの作成」を参照してください。

関連項目

「デバイスのグループ化について」

「デバイス グループまたはグループ タイプの削除」

「デバイス グループに対するデバイスの追加と削除」


ステップ 1 [File] > [Edit Device Groups] を選択します。

[Edit Device Groups] ページが開きます(「[Edit Device Groups] ダイアログボックス」を参照)。

ステップ 2 [Add Type] をクリックします。新規デバイス グループ タイプ エントリがセレクタに追加されます。

ステップ 3 グループ タイプの名前を入力し、Enter を押します。

ステップ 4 [OK] をクリックして、[Edit Device Groups] ページを閉じます。


 

デバイス グループの作成

この手順では、デバイス グループを作成する最も直接的な方法について説明します。グループを追加する他の方法の詳細については、「デバイスのグループ化について」を参照してください。

デバイス グループはデバイス グループ階層の下位のカテゴリであり、デバイス グループ タイプ(最上位)内または別のデバイス グループ内に追加されます。デバイス タイプ グループを追加する場合は、「デバイス グループ タイプの作成」を参照してください。

関連項目

「デバイスのグループ化について」

「デバイス グループに対するデバイスの追加と削除」

「デバイス グループまたはグループ タイプの削除」


ステップ 1 デバイス セレクタでデバイス グループまたはグループ タイプを選択し、[File] > [New Device Group] を選択するか、または右クリックし、[New Device Group] を選択します。

[Add Group] ダイアログボックスが表示されます。

ステップ 2 デバイス グループの名前を入力し、[OK] をクリックします。新規デバイス グループがデバイス セレクタに追加されます。


 

デバイス グループまたはグループ タイプの削除

不要になったデバイス グループまたはグループ タイプは削除できます。ただし、グループ タイプの中で All グループだけは削除できません。

グループまたはグループ タイプを削除すると、そのグループに含まれるグループが削除されます。ただし、デバイスは削除されません。グループに存在するデバイスはインベントリに残っており、所属先の他のグループに存在していることを確認できます(All グループにはすべてのデバイスがあります)。

デバイス グループおよびグループ タイプを削除するには、さまざまな方法があります。この手順では、最も直接的な方法について説明します。他の方法の詳細については、「デバイスのグループ化について」を参照してください。


ステップ 1 デバイス ビューで、[File] > [Edit Device Groups] を選択します。[Edit Device Groups] ページが開きます(「[Edit Device Groups] ダイアログボックス」を参照)。

ステップ 2 削除するグループ タイプまたはグループを選択し、[Delete] ボタンをクリックします。削除の確認が求められます。


 

デバイス グループに対するデバイスの追加と削除

デバイス グループにデバイスを追加するには、そのグループを作成する必要があります。グループを作成するには、「デバイス グループの作成」を参照してください。

関連項目

「デバイスのグループ化について」

「セレクタ内の項目のフィルタリング」


ステップ 1 デバイス セレクタでデバイス グループを選択し、右クリックし、[Add Devices to Group] を選択します。[Add Devices to Group] ダイアログボックスが表示されます。

ステップ 2 デバイスをグループに追加するには、使用可能なデバイス セレクタでデバイスを選択し、[>>] をクリックして [Selected Devices] リストに移動します。

デバイスを削除するには、[Selected Devices] リストでデバイスを選択して、[<<] をクリックします。

ステップ 3 [OK] をクリックします。デバイス グループ メンバーシップが、[Selected Devices] リストに表示されていたデバイスを含めるように調整されます。