Cisco Security Manager 4.2 ユーザ ガイド
IPS 設定を開始する前に
IPS 設定を開始する前に
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IPS 設定を開始する前に

IPS ネットワーク検知について

ネットワーク トラフィックのキャプチャ

センサーの適切な展開

IPS の調整

IPS 設定の概要

許可ホストの識別

SNMP の設定

汎用 SNMP 設定オプション

[SNMP Trap Configuration] タブ

[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

ユーザ アカウントとパスワードの要件の管理

IPS ユーザ ロールについて

管理対象と管理対象外の IPS パスワードについて

IPS パスワードの検出および展開方法について

IPS ユーザ アカウントの設定

[Add User Credentials]/[Edit User Credentials] ダイアログボックス

ユーザ パスワード要件の設定

IPS デバイスの AAA アクセス コントロールの設定

NTP サーバの識別

DNS サーバの識別

HTTP プロキシ サーバの識別

外部製品インターフェイスの設定

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス

IPS ロギング ポリシーの設定

IPS 設定を開始する前に

Cisco Intrusion Prevention System(IPS; 侵入防御システム)センサーは、ネットワーク トラフィックの疑わしいアクティビティやアクティブなネットワーク攻撃のリアルタイム モニタリングを実行するネットワーク デバイスです。IPS センサーは、ネットワーク パケットとフローを分析して、その内容がネットワークに対する攻撃を示しているように見えるかどうかを判断します。

Cisco Security Manager を使用して、センサーを設定および管理できます。センサーには、専用のスタンドアロン ネットワーク アプライアンス、Catalyst 6500 スイッチ モジュール、サポートされる ASA デバイスまたはルータで実行されているサービス モジュール、および統合サービス ルータで実行されている IPS 対応 Cisco IOS ソフトウェア イメージがあります。サポートされる IPS デバイスおよびソフトウェア バージョンの完全なリストについては、このバージョンの製品の『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

この章の構成は、次のとおりです。

「IPS ネットワーク検知について」

「IPS 設定の概要」

「許可ホストの識別」

「SNMP の設定」

「ユーザ アカウントとパスワードの要件の管理」

「NTP サーバの識別」

「DNS サーバの識別」

「HTTP プロキシ サーバの識別」

「外部製品インターフェイスの設定」

「IPS ロギング ポリシーの設定」

IPS ネットワーク検知について

ネットワーク検知は、Cisco IPS センサー(アプライアンス、スイッチ モジュール、ネットワーク モジュール、および SSM)と Cisco IOS IPS デバイス(IPS 対応のイメージがある Cisco IOS ルータと Cisco ISR)で実行できます。これらの検知プラットフォームは、Cisco Intrusion Prevention System のコンポーネントであり、Cisco Security Manager を通じて管理および設定できます。これらの検知プラットフォームは、ネットワーク トラフィックをリアルタイムでモニタおよび分析します。これは、ネットワーク フロー検証、広範囲に渡る埋め込み型シグニチャ ライブラリ、および異常検出エンジンに基づいて異常や悪用を探すことで行います。ただし、これらのプラットフォームは検出した侵入への対応方法が異なります。


ヒント Cisco IPS センサーと Cisco IOS IPS デバイスは、IPS デバイスまたは単純にセンサーと総称されることがあります。ただし、Cisco IOS IPS は、完全に専用の IPS ソフトウェアを実行せず、その設定に IPS デバイス固有のポリシーは含まれません。また、Cisco IOS IPS の方が、実行できる検知の量が限られています。次の各項では、Cisco IOS IPS よりも、IOS ルータにインストールされているサービス モジュールなど専用の IPS デバイスの使用方法を中心に説明します。Cisco IOS IPS に焦点を当てた説明については、Cisco.com の『Intrusion Prevention System (IPS) Cisco IOS Intrusion Prevention System Deployment Guide』および「IOS IPS ルータの設定」を参照してください。また、http://www.cisco.com/go/iosips も参照してください。

IPS デバイスが不正なネットワーク アクティビティを検出した場合、接続の終了、関連するホストの永続的なブロックなどのアクションを実行できます。


) 使用可能なアプライアンスとサービス モジュールの比較、デバイス インターフェイスの詳細など、IPS センサーの概要については、『Installing Cisco Intrusion Prevention System Appliances and Modules』の「Introducing the Sensor」を参照してください。各 IPS リリースのこれらの資料の一覧は、http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_installation_guides_list.html にあります。


ここでは、次の項目について説明します。

「ネットワーク トラフィックのキャプチャ」

「センサーの適切な展開」

「IPS の調整」

ネットワーク トラフィックのキャプチャ

センサーは、無差別モードまたはインライン モードで動作できます。次の図に、インライン(IPS)モードと無差別モード(IDS)モードの両方で動作するセンサーの組み合わせを展開してネットワークを保護する方法を示します。

図 34-1 包括的な IPS 展開ソリューション

 

コマンドおよび制御インターフェイスは常に Ethernet です。このインターフェイスには IP アドレスが割り当てられており、この IP アドレスによってマネージャ ワークステーションまたはネットワーク デバイス(シスコのスイッチ、ルータ、およびファイアウォール)と通信できます。このインターフェイスはネットワーク上で参照できるため、暗号化を使用してデータのプライバシーを維持する必要があります。CLI を保護するには SSH を使用し、マネージャ ワークステーションを保護するには TLS/SSL を使用します。SSH および TLS/SSL は、マネージャ ワークステーションでデフォルトでイネーブルになります。

攻撃に対応する場合、センサーは次の処理を行うことができます。

検知インターフェイスを介して TCP リセットを挿入する。


) TCP リセット アクションは、TCP ベースのサービスに関連付けられているシグニチャでだけ選択する必要があります。TCP ベース以外のサービスでアクションとして選択した場合、アクションは実行されません。また、TCP プロトコルの制限により、TCP リセットでは攻撃セッションのティアダウンが保証されません。


センサーが管理するスイッチ、ルータ、およびファイアウォールの ACL を変更する。


) ACL は、現在のトラフィックではなく今後のトラフィックだけをブロックできます。


IP セッション ログ、セッション リプレイ、およびトリガー パケット表示を生成する。

IP セッション ログを使用して、不正な使用に関する情報を収集します。IP ログ ファイルは、アプライアンスで検索するように設定されているイベントが発生した場合に書き込まれます。

複数のパケット ドロップ アクションを実装して、ワームやウイルスを停止する。

センサーの適切な展開

センサーを展開および設定する前に、ネットワークについて次のことを理解する必要があります。

ネットワークの規模と複雑さ。

ネットワークと、インターネットなどの他のネットワークとの間の接続。

ネットワーク上のトラフィックの量とタイプ。

この知識は、必要なセンサーの数、各センサーのハードウェア設定(たとえば、ネットワーク インターフェイス カードのサイズとタイプ)、および必要なマネージャの数を判断するのに役立ちます。

IPS センサーは、常にファイアウォールや適応型セキュリティ アプライアンスなどの境界フィルタリング デバイスの背後に配置する必要があります。境界デバイスは、セキュリティ ポリシーに一致するようにトラフィックをフィルタリングして、許容されるトラフィックだけがネットワークに入れるようにします。適切な配置によって、アラートの数が大幅に削減され、セキュリティ違反の調査に使用できる対処可能データ量が増えます。IPS センサーをファイアウォールの前面のネットワークのエッジに配置した場合、センサーは、ネットワークの実装にとって重要な意味がない場合でも、すべての単一スキャンおよび攻撃の試行に対してアラートを生成します。(大規模なエンタープライズ環境では)実際にはクリティカルまたは対処可能でない数百、数千、または数百万のアラートが環境に生成されます。このタイプのデータの分析には、時間とコストがかかります。

IPS の調整

IPS を調整すると、表示されるアラートに、実際に対処可能な情報が反映されます。IPS を調整しないと、偽陽性とも呼ばれる良性のイベントが大量に表示され、ネットワークでのセキュリティ調査が困難になります。false positive はすべての IPS デバイスで副次的に発生しますが、Cisco IPS デバイスはステートフルで標準化されており、攻撃評価に脆弱性シグニチャを使用するため、Cisco IPS デバイスでは発生頻度がはるかに低くなります。Cisco IPS デバイスは、ハイリスクのイベントを識別するリスク レーティングと、リスク レーティングに基づいて IPS シグニチャ アクションを実施するためのルールを展開できるポリシーベースの管理も提供します。

IPS センサーを調整するときは、次のヒントに従います。

センサーは、ネットワーク上の境界フィルタリング デバイスの背後に配置する。

センサーを適切に配置すると、検査する必要のあるアラートの数を 1 日に数千単位で削減できます。

デフォルトのシグニチャを設定したままセンサーを展開する。

デフォルトのシグニチャ セットでは、非常に高いセキュリティ保護ポスチャが提供されます。シスコのシグニチャ チームは、センサーに非常に高い保護を与えるデフォルトのテストに多くの時間を費やしました。これらのデフォルトが失われたと思われる場合は、復元できます。

リスク レーティングが 90 を超えるパケットをドロップするようにイベント アクションのオーバーライドが設定されていることを確認する。

これはデフォルトであり、ハイリスク アラートが即時に停止されるようにします。

次のいずれかの方法で、脆弱性スキャナやロード バランサなどの特殊なソフトウェアが原因の false positive をフィルタで除外する。

スキャナおよびロード バランサの IP アドレスからのアラートを無視するようにセンサーを設定できる。

これらのアラートを許可するようにセンサーを設定し、イベント ビューアを使用して false positive をフィルタで除外できる。

Informational アラートをフィルタリングする。

このような低い優先度のイベント通知は、別のデバイスが IPS で保護されているデバイスを探査しているときに発生することがあります。これらの Informational アラートから送信元 IP アドレスを調べ、送信元を判断します。

残りの対処可能なアラートを分析する。

アラートを調べる。

攻撃元を突き止める。

宛先ホストを突き止める。

より多くの情報を提供するように IPS ポリシーを修正する。

IPS 設定の概要

さまざまなデバイスに侵入防御システムを設定できます。設定の視点から、デバイスは 2 つのグループに分けられます。1 つは、完全な IPS ソフトウェアを実行する専用アプライアンスおよびサービス モジュール(ルータ、スイッチ、および ASA デバイスの場合)です。もう 1 つは、Cisco IOS ソフトウェア 12.4(11)T 以降(Cisco IOS IPS)を実行する IPS 対応ルータです。

次の手順では、専用アプライアンスおよびサービス モジュールでの IPS 設定の概要について説明します。Cisco IOS IPS デバイス(ルータに設置されている IPS サービス モジュールを含みません)の場合は、「Cisco IOS IPS 設定の概要」を参照してください。


ステップ 1 デバイスを設置し、ネットワークに接続します。デバイス ソフトウェアをインストールし、基本的なデバイス構成を実行します。デバイス上で実行するすべてのサービスに必要なライセンスをインストールします。最初に実行する設定量は、Security Manager で設定する必要がある内容に影響します。

使用している IPS バージョンの『 Installing Cisco Intrusion Prevention System Appliances and Modules 』マニュアルの指示に従います。

ステップ 2 デバイスを Security Manager のデバイス インベントリに追加します(「デバイス インベントリへのデバイスの追加」を参照してください)。


ヒント モジュールが設置されているデバイスを追加するときに、ルータおよび Catalyst スイッチ モジュールを検出できます。ASA デバイスの場合は、サービス モジュールを別途追加する必要があります。


ステップ 3 「インターフェイスの設定」の説明に従って、インターフェイスを設定します。デバイスが機能するには、ネットワークに接続されているインターフェイスをイネーブルにする必要があります。

特定のタイプのサービス モジュールの場合は、追加のポリシーを設定します。

ルータにホスティングしているサービス モジュール:ルータに [IPS Module] インターフェイス設定ポリシーを設定します。詳細については、「Cisco IOS ルータでの IPS モジュール インターフェイス設定」を参照してください。

IDSM:[IDSM Settings] Catalyst プラットフォーム ポリシーを設定します。詳細については、「IDSM 設定」を参照してください。

ASA デバイスの IPS モジュール:ホスト ASA の [Platform] > [Service Policy Rules] > [IPS, QoS, and Connection Rules] ポリシーを設定して、検査するトラフィックを指定します。詳細については、「ASA デバイスでの IPS モジュールについて」および「[IPS, QoS, and Connection Rules] ページ」を参照してください。

ステップ 4 仮想センサー ポリシーを使用して、すべての IPS デバイスに存在するベース vs0 仮想センサーを含めて仮想センサーにインターフェイスを割り当てます。仮想センサーの設定、および仮想センサーへのインターフェイス割り当ての詳細については、「仮想センサーの定義」を参照してください。

デバイスがサポートし、そのセンサーが必要な場合は、単一のデバイスが複数のセンサーのように動作するよう、ユーザ定義の仮想センサーを作成することもできます。ほとんどの IPS 設定は親デバイスで行われますが、シグニチャ、異常検出、イベント アクション用に独自の設定を仮想センサーごとに設定できます。詳細については、「仮想センサーの設定」を参照してください。

ステップ 5 基本的なデバイス アクセス プラットフォーム ポリシーを設定します。これらのポリシーによって、だれがデバイスにログインできるかが決定されます。

AAA:このポリシーは、RADIUS サーバを使用してデバイスへのアクセスを制御する場合に設定します。AAA 制御は、[User Accounts] ポリシーで定義されているローカル ユーザ アカウントと組み合わせて使用できます。「IPS デバイスの AAA アクセス コントロールの設定」を参照してください。

[Allowed Hosts]:アクセスを許可されているホストのアドレス。Security Manager サーバが許可ホストとして含まれていることを確認します。含まれていない場合、Security Manager を使用してデバイスを設定できません。「許可ホストの識別」を参照してください。

[SNMP]:SNMP アプリケーションを使用してデバイスを管理する場合は、このポリシーを設定します。「SNMP の設定」を参照してください。

[Password Requirements]:ユーザ パスワードの許容される特性を定義できます。「ユーザ パスワード要件の設定」を参照してください。

[User Accounts]:デバイスで定義されているユーザ アカウント。「IPS ユーザ アカウントの設定」を参照してください。

ステップ 6 基本的なサーバ アクセス プラットフォーム ポリシーを設定します。次のポリシーで、デバイスが接続できるサーバを識別します。

[External Product Interface]:Management Center for Cisco Security Agents を使用する場合は、このポリシーを設定して、センサーがアプリケーションからホスト ポスチャをダウンロードできるようにします。「外部製品インターフェイスの設定」を参照してください。

[NTP]:このポリシーは、ネットワーク タイム プロトコル サーバを使用してデバイス時間を制御する場合に設定します。「NTP サーバの識別」を参照してください。

[DNS]、[HTTP Proxy]:[DNS] ポリシーおよび [HTTP Proxy] ポリシーは、グローバル相関を設定する場合にのみ必要です。これらは、DNS 名を IP アドレスに解決できるサーバを特定します。ネットワークで、インターネット接続を確立するためにプロキシが必要な場合は [HTTP Proxy] ポリシーを使用します。それ以外の場合は [DNS] ポリシーを使用します。「DNS サーバの識別」、または 「HTTP プロキシ サーバの識別」を参照してください。

ステップ 7 デフォルト以外のロギングが必要な場合は、[Logging] ポリシーを設定します。「IPS ロギング ポリシーの設定」を参照してください。

ステップ 8 IPS シグニチャおよびイベント アクションを設定します。イベント アクション ポリシーの設定は、カスタムのシグニチャの作成よりも簡単であるため、特定のシグニチャを編集する前に、イベント アクション フィルタを使用して、シグニチャの動作を変更するように上書きしてみてください。詳細については、次のトピックを参照してください。

「イベント アクション ルールの設定」

「シグニチャの設定」

ステップ 9 [Request Block] または [Request Rate Limit] イベント アクションのいずれかを使用する場合は、ブロッキングまたはレート制限ホストを設定します。「IPS のブロッキングおよびレート制限の設定」を参照してください。

ステップ 10 必要なその他の詳細な IPS サービスを設定します。次の項を参照してください。

「グローバル相関の設定」

「異常検出の設定」

ステップ 11 デバイスを次のように保守します。

必要に応じて、設定を更新および再配布します。

更新したシグニチャおよびエンジン パッケージを適用します。更新の確認、更新の適用、および定期的な自動更新の設定については、「IPS 更新の管理」を参照してください。

デバイス ライセンスを管理します。ライセンスを更新して再配布することも、ライセンスの更新を自動化することもできます。詳細については、次のトピックを参照してください。

「IPS ライセンス ファイルの更新」

「IPS ライセンス ファイルの再展開」

「IPS ライセンス ファイル更新の自動化」

SSL(HTTPS)通信が必要な場合は、証明書を管理します。これらの証明書には有効期限があるため、約 2 年ごとに再生成する必要があります。証明書の再生成方法、およびデバイスで定義されている証明書を Security Manager の証明書ストアに保存されている証明書と同期させる方法については、「IPS 証明書の管理」を参照してください。

ステップ 12 デバイスを監視します。

Event Viewer アプリケーションを使用して、デバイスで生成されたアラートを表示します。Event Viewer は、Configuration Manager または Report Manager の [Launch] メニューから開くか、Windows の [Start] メニューから開きます。

Event Viewer の使用については、「イベントの表示」を参照してください。

IPS アラートのフィルタリングの例については、「イベント テーブルからの false positive IPS イベントの削除」を参照してください。

Report Manager アプリケーションを使用して、IPS の使用に関するレポートを生成します。このレポートには、インライン モードと 無差別モード、およびグローバル相関と 従来の検査が含まれます。攻撃者、攻撃対象、シグニチャ、ブロックされたシグニチャの分析や、ターゲット分析の実行もできます。次のトピックで、Report Manager および IPS レポートの詳細について説明します。

「レポートの管理」

「全般 IPS レポートについて」

「IPS 上位レポートについて」

「レポートの起動と生成」


 

許可ホストの識別

[Allowed Hosts] ポリシーを使用して、IPS センサーにアクセスできるホストまたはネットワークを識別します。デフォルトでは、どのホストもセンサーへのアクセスを許可されないため、このポリシーにホストまたはネットワークを追加する必要があります。

具体的には、Security Manager サーバの IP アドレスまたはそのネットワーク アドレスを追加します。そうしないと、Security Manager はデバイスを設定できません。また、CS-MARS など、使用するその他すべての管理ホストのアドレスを追加します。


ヒント ホスト アドレスだけを追加した場合、デバイスへのアクセスにはそれらのワークステーションだけを使用できます。あるいは、すべてのホストが特定の「安全な」ネットワーク アクセスに接続できるようにネットワーク アドレスを指定できます。


ステップ 1 次のいずれかを実行して、[Allowed Hosts] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Allowed Hosts] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Allowed Hosts] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 次のいずれかを実行します。

エントリを追加するには、[Add Row] ボタンをクリックし、[Access List] ダイアログボックスに入力します。

最大 512 個のエントリを追加できます。

エントリを編集するには、エントリを選択し、[Edit Row] ボタンをクリックします。

エントリを削除するには、エントリを選択し、[Delete Row] ボタンをクリックします。

ステップ 3 エントリを追加または編集するときは、[Add Access List] または [Edit Access List] ダイアログボックスでホストまたはネットワーク アドレスを指定し、[OK] をクリックします。次の形式を使用して、アドレスを入力できます。

ホスト アドレス:10.100.10.10 など個別の IP アドレス。

ネットワーク アドレス:10.100.10.0/24 や 10.100.10.0/255.255.255.0 などのネットワーク アドレスおよびマスク。

ネットワーク/ホスト ポリシー オブジェクト:[Select] を選択して、既存のオブジェクトを選択するか、新規作成。このポリシーでオブジェクトを使用するには、値が単一の値(単一のネットワークまたは単一のホスト)になっている必要があります。


 

SNMP の設定

SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション レイヤ プロトコルです。SNMP を使用すると、ネットワーク管理者は、ネットワークのパフォーマンスを管理し、ネットワークの問題を検出および解決し、ネットワークの拡大に対する計画を策定できます。

SNMP は、簡易な要求および応答プロトコルです。ネットワーク管理システムが要求を発行し、管理対象デバイスが応答を返します。この動作は 4 つのプロトコル動作、Get、GetNext、Set、および Trap のいずれかを使用して実装されます。

SNMP で監視するようにセンサーを設定できます。SNMP は、ネットワーク管理ステーションがスイッチ、ルータ、センサーなどの多くのタイプのデバイスのヘルスとステータスをモニタするための標準的な方法を定義します。

SNMP トラップを送信するようにセンサーを設定できます。SNMP トラップを使用すると、エージェントは非送信請求 SNMP メッセージを使用して管理ステーションに重要なイベントを通知できます。

トラップで指示される通知には次の利点があります。マネージャが多数のデバイスを管理する必要があり、各デバイスに多数のオブジェクトがある場合に、すべてのデバイスのすべてのオブジェクトに情報をポーリングまたは要求することは非現実的です。ソリューションは、送信要求を行わずに、管理対象デバイス上のエージェントごとにマネージャに通知することです。イベントのトラップと呼ばれるメッセージを送信することで、この処理を行います。

イベントの受信後、マネージャはイベントを表示し、イベントに基づいてアクションを実行できます。たとえば、マネージャは、エージェントを直接ポーリングするか、他の関連デバイス エージェントをポーリングしてイベントの詳細情報を取得できます。


ヒント トラップで指示される通知を使用すると、不要な SNMP 要求が排除され、ネットワーク リソースおよびエージェント リソースを大幅に削減できます。ただし、SNMP ポーリングを完全には排除できません。SNMP 要求は、検出とトポロジ変更に必要です。また、管理対象デバイス エージェントは、デバイスに致命的な停止が生じた場合にはトラップを送信できません。

この手順では、トラップの設定など、SNMP 管理ステーションでセンサーを管理できるように IPS センサーで SNMP を設定する方法を説明します。


ステップ 1 次のいずれかを実行して、[SNMP] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [General Configuration] タブで、少なくとも次のオプションを設定します。使用可能なすべてのオプションの詳細な説明については、「汎用 SNMP 設定オプション」を参照してください。

[Enable SNMP Gets/Sets]:このオプションを選択して、SNMP 管理ワークステーションが情報を取得(get)したり、IPS センサーの値を修正(set)したりできるようにします。このオプションをイネーブルにしない場合、管理ワークステーションはこのセンサーを管理できません。

[Read-Only Community String]:センサーへの読み取り専用アクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP get 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。このストリングによって、すべての SNMP get 要求にアクセスできます。

[Read-Write Community String]:センサーへの読み取り/書き込みアクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP set 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。また、get 要求で使用されることもあります。このストリングによって、すべての SNMP get 要求と set 要求にアクセスできます。

ステップ 3 SNMP トラップを設定する場合は、[SNMP Trap Configuration] タブをクリックし、少なくとも次のオプションを設定します。使用可能なすべてのオプションの詳細な説明については、「[SNMP Trap Configuration] タブ」を参照してください。

[Enable Notifications]:センサーが SNMP トラップを送信できるようにするには、このオプションを選択します。

[Trap Destinations]:トラップの宛先になる SNMP 管理ステーションを追加します。[Add Row](+)ボタンをクリックして新しい宛先を追加するか、[Edit Row](鉛筆)ボタンをクリックして設定を変更します。

トラップの宛先を追加または編集すると、入力したトラップ コミュニティ ストリングによって、[SNMP Trap Configuration] タブで入力したデフォルト コミュニティ ストリングが上書きされます。コミュニティ ストリングは、この宛先に送信されるトラップに表示され、複数のエージェントから複数のタイプのトラップを受信する場合に役立ちます。たとえば、ルータまたはセンサーがトラップを送信する可能性がある場合、コミュニティ ストリングにルータとセンサーを区別する文字を含めると、コミュニティ ストリングに基づいてトラップをフィルタリングできます。

宛先を削除するには、宛先を選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

ステップ 4 トラップの宛先を設定する場合は、[Request SNMP Trap] アクションに必要なアラートを含める必要もあります。このアクションの追加には、次のオプションがあります。

(簡単な方法)特定のリスク レーティングであるすべてのアラートに [Request SNMP Trap] アクションを追加するイベント アクション オーバーライドを作成します([IPS] > [Event Actions] > [Event Action Overrides] ポリシー)。たとえば、リスク レーティングが 85 ~ 100 であるすべてのアラートに対するトラップを生成できます。イベント アクション オーバーライドを使用すると、シグニチャごとに個別に編集する必要なしに、アクションを追加できます。詳細については、「イベント アクション オーバーライドの設定」を参照してください。

(正確な方法)[Signatures] ポリシー([IPS] > [Signatures] > [Signatures])を編集して、トラップ通知を送信するシグニチャに [Request SNMP Trap] アクションを追加する。トラップは、トラップを送信するように設定したシグニチャだけに送信されます。


) シグニチャの送信元がデフォルトの場合は、アクションを変更する前に送信元をローカル送信元に変更する必要があります。ただし、シグニチャ テーブルの [Action] セルを右クリックして [Edit Actions] を選択し、[Request SNMP Trap](および、必要なその他の任意のアクション)を選択して [OK] をクリックすると、送信元は自動的にローカル [Local] に変更されます。


ステップ 5 SNMP 管理ステーションを [Allowed Hosts] ポリシーに追加します。管理ステーションは、センサーへのアクセスを許可されているホストである必要があります。「許可ホストの識別」を参照してください。


 

汎用 SNMP 設定オプション

[SNMP] ページの [General Configuration] タブを使用して汎用 SNMP パラメータを設定し、IPS センサーに適用します。手順については、「SNMP の設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。[General Configuration] タブを選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。[General Configuration] タブを選択します。

フィールド リファレンス

 

表 34-1 [General Configuration] タブ、IPS センサーの [SNMP] ポリシー

要素
説明

Enable SNMP Gets/Sets

SNMP 管理ワークステーションで、IPS センサー上の情報の取得および値の修正(設定)をイネーブルにするかどうか。このオプションをイネーブルにしていない場合、管理ワークステーションはこのセンサーを管理できません。センサーは SNMP 要求に応答しません。

Read-Only Community String

センサーへの読み取り専用アクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP get 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。このストリングによって、すべての SNMP get 要求にアクセスできます。このストリングを使用すると、センサーの識別に役立ちます。

Read-Write Community String

センサーへの読み取り/書き込みアクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP set 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。また、get 要求で使用されることもあります。このストリングによって、すべての SNMP get 要求と set 要求にアクセスできます。このストリングを使用すると、センサーの識別に役立ちます。

Sensor Contact

このセンサーに責任を持つネットワーク管理者または担当者。

Sensor Location

建物の住所、名前、部屋番号など、センサーの物理的な場所。

Sensor Agent Port

センサーとの SNMP get/set 通信に使用するポート。デフォルトは 161 です。有効な範囲は 1 ~ 65535 です。

ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてリストからポート リスト オブジェクトを選択するか、新しいオブジェクトを作成します。ポート リスト オブジェクトでは、単一ポートが識別されます。

SNMP Agent Protocol

SNMP に使用しているプロトコル(UDP(デフォルト)または TCP)。SNMP 管理ステーションが使用するプロトコルを選択します。

[SNMP Trap Configuration] タブ

[SNMP] ページの [SNMP Trap Communication] タブを使用してトラップを設定し、センサーに適用して、トラップの送信先になる受信者を識別します。手順については、「SNMP の設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。[SNMP Trap Configuration] タブを選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。[SNMP Trap Configuration] タブを選択します。

フィールド リファレンス

 

表 34-2 [SNMP Trap Configuration] タブ、IPS センサーの [SNMP] ポリシー

要素
説明

Enable Notifications

センサーで特定のタイプのイベントが発生したときに、センサーがトラップ通知をトラップの宛先に送信することをイネーブルにするかどうか。このオプションを選択しない場合、センサーはトラップを送信しません。

も選択する必要があります。トラップは、トラップを送信するように設定したシグニチャだけに送信されます。

Error Filter

イベントの重大度(重大、エラー、または警告)に基づいて SNMP トラップを生成するイベントのタイプ。必要なすべての重大度を選択します。Ctrl を押しながらクリックすることで、複数の値を選択できます。

センサーは、選択された重大度のイベント通知だけを送信します。

Enable Detail Traps

トラップにアラートのテキスト全体を含めるかどうか。このオプションを選択しない場合、スパース モードが使用されます。スパース モードでは、アラートのテキストは 484 バイト未満です。

Default Trap Community String

[Trap Destinations] テーブルでトラップの宛先に特定のストリングが設定されていない場合に、トラップに使用するコミュニティ ストリング。

ヒント すべてのトラップがコミュニティ ストリングを伝送します。デフォルトでは、宛先と同じコミュニティ ストリングを持つすべてのトラップが宛先で取得されます。その他すべてのトラップは、宛先によって廃棄されます。ただし、受け入れるトラップ文字列を判断するように宛先を設定できます。

[Trap Destinations] テーブル

トラップ通知を送信する SNMP 管理ステーション。テーブルには、管理ステーションの IP アドレス、このセンサーからトラップに追加されるコミュニティ ストリング、およびトラップの送信先のポートが表示されます。

宛先を追加するには、[Add Row] ボタンをクリックし、[Add SNMP Trap Communication] ダイアログボックスに入力します(「[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス」を参照)。

宛先を編集するには、その宛先を選択して [Edit Row] ボタンをクリックし、変更を行います。

宛先を削除するには、その宛先を選択して [Delete Row] ボタンをクリックします。

[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

[Add SNMP Trap Communication] または [Modify SNMP Trap Communication] ダイアログボックスを使用して、SNMP トラップの宛先を設定します。宛先は、IPS センサーからトラップを受信する必要がある SNMP 管理ステーションです。

ナビゲーション パス

IPS の [Platform] > [Device Admin] > [Device Access] > [SNMP] ポリシーに移動し、[SNMP Trap Configuration] タブを選択して [Trap Destinations] テーブルの下の [Add Row] ボタンをクリックするか、テーブルで宛先を選択して [Edit Row] ボタンをクリックします。詳細については、「[SNMP Trap Configuration] タブ」を参照してください。

フィールド リファレンス

 

表 34-3 [Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

要素
説明

IP Address

トラップ通知を受信する SNMP 管理ステーションの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトでは、単一のホスト IP アドレスを指定する必要があります。

Trap Community String

トラップのコミュニティ ストリング。トラップ文字列を入力しない場合は、[SNMP Trap Communication] タブで定義されたデフォルトのトラップ文字列が、この宛先に送信されるトラップに使用されます。

Trap Port

SNMP 管理ステーションがトラップの受信に使用するポート。ポート リスト オブジェクトのポート番号または名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。ポート リスト オブジェクトでは、単一ポートが識別されます。

ユーザ アカウントとパスワードの要件の管理

IPS デバイスに対して、ユーザ アカウントとパスワード、および一般的なパスワード要件を設定できます。ローカル ユーザ(デバイスで直接定義)を設定するか、RADIUS AAA サーバを使用するか、この両方を組み合わせることができます。使用されるポリシーは、[Platform] > [Device Admin] > [Device Access] フォルダにある [AAA] ポリシー、[User Accounts] ポリシー、および [Password Requirements] ポリシーです。

Security Manager でローカル ユーザ アカウントを作成または編集する場合は、入力するパスワードが、[Password Requirements] ポリシーで定義した要件を満たしている必要があります。これにより、新しいパスワードがセキュリティ要件を満たすことが保証されます。


ヒント パスワード要件を変更し、いずれかのローカル ユーザ アカウントに変更を加えた場合は、Security Manager によって管理されているパスワードを持つすべてのユーザ アカウントで新しい要件が満たされる必要があります。その理由は、いずれか 1 つのアカウントを再設定する必要がある場合に、Security Manager によってすべての管理対象アカウントのパスワードが再設定されるためです。

[User Accounts] ポリシーを使用して、IPS デバイスのローカル ユーザ アカウントを集中管理できます。共有ポリシーの使用は、すべての IPS デバイスで同じアカウントを同じパスワードで設定するために役立ちます。ただし、パスワードは暗号化されているため、Security Manager はデバイスに定義されている実際のパスワードを検出できません。Security Manager でパスワードを定義する場合にだけ、Security Manager によってアカウントのパスワードが管理されます。Security Manager では、RADIUS AAA サーバで定義されたユーザ アカウントは管理しません。

ここでは、IPS ユーザ アカウント、および Security Manager の検出と展開の考慮事項について詳細に説明します。

「IPS ユーザ ロールについて」

「管理対象と管理対象外の IPS パスワードについて」

「IPS パスワードの検出および展開方法について」

「IPS ユーザ アカウントの設定」

「ユーザ パスワード要件の設定」

「IPS デバイスの AAA アクセス コントロールの設定」

IPS ユーザ ロールについて

IPS ユーザ アカウントには 4 つのユーザ ロールがあります。

[Viewer]:ユーザは、デバイス設定とイベントを表示できますが、ユーザ パスワード以外の設定データは修正できません。

[Operator]:ユーザはすべてを表示でき、次のオプションを修正できます。

シグニチャ チューニング(優先順位、無効/有効)。

仮想センサー定義。

管理対象ルータ。

ユーザ パスワード。

[Administrator]:ユーザはすべてのデータを表示できるほか、Operator が修正できるすべてのオプションに加えて、次のオプションを修正できます。

センサー アドレッシング設定。

設定エージェントまたはビュー エージェントとして接続が許可されたホストのリスト。

物理的な検知インターフェイスの割り当て。

物理インターフェイスの制御のイネーブル化またはディセーブル化。

ユーザとパスワードの追加および削除。

新しい SSH ホスト キーおよびサーバ証明書の生成。

[Service]:サービス権限を持つユーザはセンサーに 1 人だけ存在できます。サービス ユーザは、IDM または IME にログインできません。サービス ユーザは、CLI ではなく bash シェルにログインします。サービス ロールは、必要に応じて CLI をバイパスできる特殊なロールです。


) Service アカウントの目的は、通常は発生しない問題を Cisco テクニカル サポートがトラブルシューティングできるようにすることにあります。通常のシステム設定およびトラブルシューティングには必要ありません。サービス アカウントを作成する必要があるかどうか、慎重に検討してください。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。


管理対象と管理対象外の IPS パスワードについて

各 IPS ローカル ユーザ アカウントには、デバイスへのセキュアなユーザ ログインを可能にするパスワードがあります。これらのユーザ パスワードは、IPS デバイスで暗号化されます。このため、IPS デバイスを Security Manager インベントリに追加すると、Security Manager は実際のユーザ パスワードを読み取れません。

Security Manager はパスワードを読み取れないため、新規に検出されたユーザ アカウントのパスワードをデバイスに展開できません。ユーザ アカウントのパスワードが不明で使用不可の状態にならないように、Security Manager は検出されたユーザ アカウント パスワードに 管理対象外 というマークを付けます。パスワードのステータスは、[Platform] > [Device Admin] > [Device Access] > [User Accounts] ポリシーの [Is Password Managed?] カラムに示されます。

[No] と指定されている場合、このアカウントのパスワードは Security Manager で設定されません。このポリシーを展開する場合、Security Manager はこのユーザ アカウントのパスワードの設定を試みません。

[Yes] と指定されている場合、このアカウントのパスワードは Security Manager で設定または更新されています。このポリシーを展開する場合、Security Manager は、最後の展開後に変更されたパスワードだけでなく、すべての管理対象アカウントのパスワードを再設定します。

Security Manager は変更されていないパスワードも設定するため、すべての管理対象パスワードは [Password Requirements] ポリシーで定義されているパスワード要件を満たす必要があります。

このため、管理対象と管理対象外のアカウント パスワードを混在させることができます。たとえば、集中管理されている共有ユーザ アカウントのセットを使用し、これらのアカウントのパスワードを Security Manager で管理できます。他のアカウントは、個人ごとに固有にすることができます。これらのアカウントのパスワードを Security Manager で編集しない場合は、ユーザがデバイス上でパスワードを個別に管理できます。


ヒント ユーザ アカウントを Security Manager で管理しない場合は、[User Accounts] ポリシーが空であることを確認するか、ポリシーを割り当て解除します(ポリシーを右クリックし、[Unassign Policy] を選択します)。Security Manager は、ユーザ アカウント設定を変更しません。

IPS パスワードの検出および展開方法について

ユーザ パスワードは IPS デバイスで暗号化されるため、Security Manager は、デバイスでポリシーを検出または設定を展開するときに、特に注意してこれらのパスワードを処理する必要があります。IPS デバイスでユーザ アカウントを検出または展開する場合、Security Manager は次の処理を行います。

[Discovery]:IPS デバイスをインベントリに追加するとき、またはポリシーを再検出するとき、Security Manager は各ユーザ アカウントの現在のステータスを判断し、検出されたユーザ名とそれに関連付けられているロールで [User Account] ポリシーを更新し、ユーザ パスワードを管理対象外にマークします(「管理対象と管理対象外の IPS パスワードについて」を参照)。

アカウントのステータスは動的で変更されることがあるため、Security Manager では表示できません。ただし、[Discovery Status] ウィンドウに、検出時のステータスが表示されます。アカウントは、次のステータスのいずれかになります。

[Active]:この状態は、アカウントが使用可能なことを示します。アクティブ アカウントには、そのアカウントに割り当てられているユーザが認証トークンを使用してアクセスできます。

[Expired]:この状態は、アカウントの認証トークンの有効期限が切れていて、トークンが更新されるまでトークンを使用してアクセスできないことを示します。

[Locked]:この状態は、認証試行の失敗回数が多すぎたために、このアカウントへのログインがディセーブルになったことを示します。これらのアカウントのパスワードを更新する必要があります。

[Deployment]:ユーザ アカウントが [Expired] または [Locked] 状態にある場合に警告します。管理対象外のパスワードは、デバイスに展開されません。また、次の点に注意してください。

デバイス上のいずれかのユーザ アカウントに変更を加える場合は、管理対象パスワードを持つすべてのユーザ アカウントが再設定されます。[Password Requirements] ポリシーも変更した場合は、すべてのパスワードが新しいポリシーと比較され、新しい要件を満たす必要があります。

デバイスの設定時に Security Manager が使用するようにデバイスのプロパティで定義されているユーザ アカウントのパスワードを変更した場合は、正常な展開後に、Security Manager はデバイス プロパティのパスワードを新しいパスワードに更新します。パスワードを手動で更新する必要はありません。デバイスのプロパティを表示するには、[Tools] > [Device Properties] を選択します。

この動作では、[Tools] > [Security Manager Administration] > [Device Communication] ページの [Connect to Device Using] オプションに対して [Security Manager Device Credentials] を選択したことが想定されます。ログインしているユーザのクレデンシャルを展開に使用している場合は、正常な展開後に、展開全体が失敗としてマークされ、接続の再確立方法がメッセージで説明されます。「[Device Communication] ページ」を参照してください。

アウトオブバンド変更検出を使用する場合は、パスワードに対する変更が検出されません。ただし、ユーザ名とロールに対する変更は検出されます。アウトオブバンド変更検出の詳細については、「アウトオブバンド変更の検出および分析」を参照してください。

設定をプレビューする場合、IPS([Delta] > [User Passwords])を選択してユーザ アカウントに対する変更を表示できます。ただし、パスワードはマスクされています。詳細については、「設定のプレビュー」を参照してください。

設定をロールバックする場合、ユーザ アカウントはロールバックされません。ユーザ アカウントの現在のステータスと設定は変更されません。


ヒント IPS センサーは、SSH クライアントを介してデバイスにログインするときに、RSA 認証の公開キーを受け入れることができます。各ユーザには、認可されたキーのリストが関連付けられています。ユーザは、パスワードの代わりにこれらのキーを使用できます。Security Manager は、検出および展開時にこれらのキーを無視します。このため、キーが設定されている場合、Security Manager は設定を削除しません。

関連項目

「ポリシーの検出」

「Workflow 以外のモードでの設定の展開」

「Workflow モードでの設定の展開」

「設定のロールバックについて」

「IPS および IOS IPS のロールバックについて」

IPS ユーザ アカウントの設定

[User Accounts] ポリシーを使用して、IPS デバイスのローカル ユーザ アカウントを設定します。ユーザは、これらのアカウントを使用してデバイスにログインできます。新規ユーザの作成、ユーザ権限とパスワードの修正、およびユーザの削除を行うことができます。

ユーザ アカウント ポリシーには少なくとも次のアカウントが必要です。

cisco:デバイスには「cisco」というアカウントが必要で、これは削除できません。

Security Manager が使用できる管理者アカウント:Security Manager が、設定するデバイスにログインできる必要があります。通常は、この目的のアカウントを作成します。ただし、Security Manager がデバイスにログインするために、設定を展開するユーザのユーザ アカウントを使用することもできます。この設定は、[Tools] > [Security Manager Administration] > [Device Communication] ページの [Connect to Device Using] オプションを使用して行うことができます。「[Device Communication] ページ」を参照してください。

IPS ユーザ アカウントの設定は、見た目よりも複雑です。IPS ユーザ アカウントを設定する前に、次の項を参照してください。

「ユーザ アカウントとパスワードの要件の管理」

「IPS ユーザ ロールについて」

「管理対象と管理対象外の IPS パスワードについて」

「IPS パスワードの検出および展開方法について」

「ユーザ パスワード要件の設定」

「IPS デバイスの AAA アクセス コントロールの設定」

ヒント

Cisco IOS IPS デバイスでは、ルータに定義されているのと同じユーザ アカウントを使用します。この手順は、Cisco IOS IPS 設定には適用されません。

デバイス プロパティで定義されたユーザのパスワード(Security Manager でデバイスに設定を展開するために使用)を変更する場合、Security Manager は、デバイス プロパティに定義された既存のクレデンシャルを使用してデバイスにログインし、変更を展開します。展開に成功したら、デバイス プロパティは、新しい設定を使用するように変更されます。デバイス プロパティのクレデンシャルの詳細については、「[Device Credentials] ページ」を参照してください。

関連項目

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」


ステップ 1 次のいずれかを実行して、[User Accounts] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [User Accounts] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [User Accounts] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ポリシーには、ユーザ名、ロール、(「管理対象と管理対象外の IPS パスワードについて」で説明したように)パスワードが Security Manager で管理されるかどうかなど、既存のユーザ アカウントが表示されます。

ステップ 2 次のいずれかを実行します。

ユーザ アカウントを追加するには、[Add Row](+)ボタンをクリックします。この操作によって [Add User] ダイアログボックスが開きます。アカウントの定義に必要な情報を入力します。設定の詳細については、「[Add User Credentials]/[Edit User Credentials] ダイアログボックス」を参照してください。

ユーザ アカウントを編集するには、そのアカウントを選択し、[Edit Row](鉛筆)ボタンをクリックして、[Edit User] ダイアログボックスに必要な変更を加えます。

ユーザ ロールをサービス ロールに、またはサービス ロールをユーザ ロールには変更できません。

ユーザ アカウントを削除するには、そのユーザ アカウントを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。cisco という名前のアカウントは削除できません。


ヒント すべてのパスワード変更は、[Password Requirements] ポリシーの要件を満たしている必要があります。要件ポリシーを変更した場合、すべての新規ユーザ アカウント、または編集したアカウントが、新規要件に対してテストされます。既存の編集していないユーザ アカウントのパスワードはテストされませんが、Security Manager は次の設定展開時にすべてのアカウントを展開するため、このポリシーで定義したユーザ アカウントを変更する場合は、既存のユーザ アカウントのパスワードもパスワード要件を満たしている必要があります。ポリシーを検証する場合は、パスワードの適合性がチェックされます。これは通常、データベースに変更を送信するときに行われます。詳細については、「IPS パスワードの検出および展開方法について」を参照してください。



 

[Add User Credentials]/[Edit User Credentials] ダイアログボックス

[Add User Credentials] または [Edit User Credentials] ダイアログボックスを使用して、IPS デバイス ユーザ アカウントを追加または編集します。

ナビゲーション パス

IPS プラットフォームの [User Accounts] ポリシーで、[Add Row](+)ボタンをクリックして新しいアカウントを作成するか、既存のアカウントを選択して [Edit Row](鉛筆)ボタンをクリックします。[User Accounts] ポリシーへのアクセス方法については、「IPS ユーザ アカウントの設定」を参照してください。

フィールド リファレンス

 

表 34-4 [Add User]/[Edit User] ダイアログボックス

要素
説明

User Name

アカウントのユーザ名。名前は 1 ~ 64 文字で、大文字と小文字、数字、および ( ) + : , _ / - ] + $ の特殊文字から構成できます。

アカウントを編集する場合、ユーザ名は変更できません。

Password

Confirm

このユーザ アカウントのパスワード。両方のフィールドにパスワードを入力します。

パスワードは、IPS デバイスの [Password Requirements] ポリシーに準拠する必要があります。「ユーザ パスワード要件の設定」を参照してください。

Role

このユーザのロール。これらのロールの説明については、「IPS ユーザ ロールについて」を参照してください。

ヒント ユーザ アカウントを編集する場合、サービス ロールは選択できません。サービス ロールに割り当てられているアカウントを編集する場合、ロールは変更できません。

ユーザ パスワード要件の設定

IPS プラットフォームの [Password Requirements] ポリシーを使用して、ローカル IPS デバイス ユーザ アカウントのパスワードのルールを設定します。ユーザが作成するすべてのセンサー パスワードは、このポリシーに定義されている要件に準拠する必要があります。IPS ソフトウェア バージョン 6.0 以降を実行しているセンサーのパスワード要件を設定できます。


ヒント ここで定義する要件は、[User Accounts] ポリシーで受け入れることができるパスワードかどうかを決める条件になります(「IPS ユーザ アカウントの設定」を参照)。このポリシーを変更した場合は、変更されていないユーザ アカウントにも適用できます。このポリシーに対する変更の展開の暗黙的な意味については、「IPS パスワードの検出および展開方法について」を参照してください。

IPS パスワード要件を設定するには、次のいずれかのポリシーを選択します。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Password Requirements] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [IPS] > [Platform] > [Device Admin] > [Password Requirements] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表で、設定できるパスワード要件オプションについて説明します。

 

表 34-5 [Password Requirements] ポリシー

要素
説明

Attempt Limit

過剰な失敗試行によりユーザ アカウントをロックする前にユーザがデバイスへのログイン試行を許可される回数。

デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。

Size Range

ユーザ パスワードに対して許可される最小と最大のサイズ。最小と最大をハイフンで区切ります。範囲は 6 ~ 64 文字です。デフォルトは 8-64 です。

ヒント いずれかの最小文字数オプションにゼロ以外の値を設定した場合、[Size Range] フィールドに入力する最小サイズは、それらの値の合計以上である必要があります。たとえば、最小パスワード サイズを 8 文字に設定し、パスワードに 5 文字以上の小文字と 5 文字以上の大文字を含めるように要求することはできません。

Minimum Digit Characters

パスワードに含まれる必要のある数字の最小数。

Minimum Uppercase Characters

パスワードに含まれる必要のある大文字の英字の最小数。

Minimum Lowercase Characters

パスワードに含まれる必要のある小文字の英字の最小数。

Minimum Other Characters

パスワードに含まれる必要のある英数字以外の印刷可能文字の最小数。

Number of Historical Passwords

各アカウントについてセンサーで記憶する過去のパスワードの数。新しいパスワードが記憶されているいずれかのパスワードと一致した場合は、アカウントのパスワードの変更試行に失敗します。0 を指定した場合、以前のパスワードは記憶されません。

IPS デバイスの AAA アクセス コントロールの設定

AAA ポリシーを使用して、IPS デバイスの AAA アクセス コントロールを設定します。AAA を設定するには、デバイスで IPS ソフトウェア リリース 7.0(4) を使用する必要があります。

デバイスへのユーザ アクセスの認証に RADIUS AAA サーバを使用するように、IPS デバイスを設定できます。AAA を設定することにより、デバイスで定義するローカル ユーザの数を減らし、既存の RADIUS 設定を活用できます。AAA サーバを設定する場合は、RADIUS サーバが使用できない場合のフォールバック メカニズムとしてローカル ユーザ アカウントを許可するように、デバイスを設定できます。

AAA の設定時に、AAA サーバ ポリシー オブジェクトを使用して RADIUS サーバを識別できます。ポリシーの作成時にオブジェクトを作成できます。そうしなかった場合は、Policy Object Manager で作成できます。AAA サーバ オブジェクトを設定する場合は、次の制限事項に従う必要があります。

[Host]:IP アドレスを指定する必要があります。DNS 名は使用できません。

[Timeout]:タイムアウト値を入力する場合は、1 ~ 512 秒の範囲で指定する必要があります。汎用 AAA サーバ オブジェクトではさらに大きい数字を使用できますが、IPS のタイムアウトの範囲はそれよりも制限されています。デフォルトは 3 です。

[Protocol]:RADIUS だけがサポートされるプロトコルです。

[Key]:RADIUS サーバで定義された共有秘密キーを指定する必要があります。このフィールドは、汎用 AAA サーバ オブジェクトの場合は任意ですが、IPS の場合、キーは必要です。

[Port]:RADIUS Authentication/Authorization ポートが正しいことを確認します。AAA サーバ オブジェクトのデフォルト ポートが IPS のデフォルト(1812)と異なることに注意してください。IPS のデフォルトを使用する場合は、ポートを変更する必要があります。

AAA サーバ オブジェクトを設定する方法については、「AAA サーバ オブジェクトの作成」を参照してください。


ヒント 使用する認可方式に応じて、デバイス プロパティに設定されたユーザ アカウントが RADIUS サーバに存在するか、またはローカル ユーザ アカウントとして存在するか確認する必要があります。ローカル モードと AAA モードを切り替える場合、または AAA サーバを変更する場合は、使用しているユーザ アカウント データベースのいずれにもアカウントが定義されていることを確認する必要があります。ローカル フォールバックが設定された AAA を使用している場合、アカウントはすべてのデータベースで定義されている必要があります。このアカウントは、デバイスの Security Manager デバイス プロパティで定義されているパスワードと同じパスワードで存在している必要があります。そうでない場合、デバイスの展開が失敗します。検出および展開に使用するユーザ アカウントには管理者権限が必要です。

関連項目

「ユーザ アカウントとパスワードの要件の管理」

「IPS ユーザ アカウントの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [AAA] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [AAA] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 次の基本的なプロパティを設定します。

[Authentication Mode]:ローカル モードと AAA モードのどちらを使用するか。Local モードでは、IPS デバイスで定義されたユーザ アカウントだけを使用します。AAA モードでは、RADIUS サーバがユーザ認証の基本手段です。ローカル ユーザ アカウントをフォールバック メカニズムとして設定できます。デフォルトは Local です。このポリシーのその他のオプションを設定するには、AAA を選択する必要があります。

[Primary RADIUS Server, Secondary RADIUS Server]:メイン(プライマリ)AAA サーバおよびバックアップ サーバ(使用する場合)。RADIUS サーバを識別する AAA サーバ ポリシー オブジェクトの名前を入力するか、[Select] をクリックして、オブジェクトのリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

ユーザの認証時に、IPS デバイスは、プライマリ サーバにユーザ認証の試行を送信します。セカンダリ サーバには、プライマリ サーバへの要求がタイムアウトになった場合にアクセスが行われます。

ステップ 3 デフォルト以外の値を設定する場合は、次の任意のプロパティを設定します。

[Console Authentication]:コンソールを介して IPS デバイスにアクセスするユーザを認証する方法。

[Local]:コンソール ポートを介して接続するユーザは、ローカル ユーザ アカウントを使用して認証されます。

[Local and RADIUS]:コンソール ポートを介して接続するユーザは、最初に RADIUS を使用して認証されます。RADIUS が失敗した場合は、ローカル認証が試行されます。

[RADIUS]:コンソール ポートを介して接続するユーザは、RADIUS によって認証されます。[Enable Local Fallback] も選択する場合は、ローカル ユーザ アカウントを使用してユーザを認証することもできます。

[RADIUS NAS ID]:認証を要求するサービスを識別するネットワーク アクセス ID。値には、すでに RADIUS サーバで設定されている NAS-ID、cisco-ips、NAS-ID 以外を指定できます。デフォルトは cisco-ips です。

[Enable Local Fallback]:すべての RADIUS サーバが使用できない場合に、ローカル ユーザ アカウント認証にフォールバックするかどうか。このオプションは、デフォルトで選択されます。RADIUS サーバがログインの試行に対して否定的な応答を示した場合、ローカル認証は試行されないことに注意してください。RADIUS サーバから応答を受信しなかった場合だけ、ローカル認証が試行されます。

[Default User Role]:RADIUS サーバでロールを割り当てられていないユーザに割り当てるロール。Service 以外の Viewer、Operator、または Administrator をデフォルトのロールにできます。デフォルトのロールを割り当てない場合は、[Unspecified] を選択します(これがデフォルトです)。ユーザ ロールの説明については、「IPS ユーザ ロールについて」を参照してください。


) ユーザ ロール設定はとても重要です。デフォルトのユーザ ロールを使用せず、RADIUS サーバでもユーザに対してロールを割り当てない場合、センサーは、RADIUS サーバがユーザ名およびパスワードを受け入れたとしてもユーザのログインを阻止します。


RADIUS サーバでユーザに対して明示的にロールを割り当てるには、そのアカウントの Accept Message を、ips-role=administrator、ips-role=operator、ips-role=viewer、または ips-role=service として設定します。ユーザ アカウントごとにそれぞれ Accept Message を設定します。例として、特定のユーザの Reply 属性は、「Hello <user> your ips-role=operator」を返すように設定できます。

RADIUS サーバでサービス アカウントを設定する場合は、デバイス上でローカルに同じサービス アカウントを設定する必要もあります。サービス アカウントの場合は、ログイン時に RADIUS アカウントとローカル アカウントがチェックされます。


 

NTP サーバの識別

[NTP] ポリシーを使用して、Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバを IPS デバイスのタイム ソースとして設定します。NTP を使用すると、ネットワーク デバイス間で時間が同期され、イベント分析に役立ちます。NTP は、IPS デバイスで時間を設定するための推奨される方法です。

Cisco IOS ルータを NTP サーバとして設定する方法など、センサーに時間を設定する方法の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface Version 7.0 』の「 Configuring Time 」を参照してください。


ヒント IPS ソフトウェアの更新に問題がある場合は、IPS センサーで時刻をチェックします。センサーの時刻が、関連付けられている証明書の時刻よりも進んでいる場合、証明書は拒否され、センサー ソフトウェアの更新が失敗します。


ステップ 1 次のいずれかを実行して、[NTP] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [NTP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [NTP Server IP Address] フィールドに、NTP サーバの IP アドレスを入力します。サーバの単一のホスト アドレスを識別するネットワーク/ホスト オブジェクトの名前も入力できます。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成できます。

ステップ 3 NTP サーバに認証が不要な場合は、[Authenticated NTP] チェックボックスをオフにします。

NTP サーバに認証が必要な場合は、次のオプションを設定します。

[Authenticated NTP]:認証された接続をイネーブルにするには、このオプションを選択します。

[Key]、[Confirm]:NTP サーバのキー値。キーは、MD5 タイプのキー(数値または文字)です。これは、NTP サーバの設定に使用されたキーです。

[Key ID]:NTP サーバのキー ID 値。1 ~ 65535 の数値です。


ヒント キーとキー ID は NTP サーバで設定します。これらを NTP サーバ設定から取得する必要があります。



 

DNS サーバの識別

IPS 7.0+ センサーでグローバル相関を設定する場合、センサーはグローバル相関の更新をダウンロードするときに更新サーバに正常に接続するために、ドメイン名を解決できる必要があります。[DNS] ポリシーを使用して、センサーがドメイン名から IP アドレスへの解決に使用できる Domain Name System(DNS; ドメイン ネーム システム)サーバを識別します。


ヒント インターネット接続の確立時にネットワークに HTTP プロキシが必要な場合は、[DNS] ポリシーの代わりに [HTTP Proxy] ポリシーを設定します。「HTTP プロキシ サーバの識別」を参照してください。


) AIP-SSC-5 サービス モジュールでは、DNS サーバはサポートされません。



ステップ 1 次のいずれかを実行して、HTTP プロキシ ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [DNS] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Primary]、[Secondary]、および [Tertiary Address] フィールドで、最大 3 つの DNS サーバの IP アドレスを指定します。センサーでは、リストの順序でサーバが使用されます。1 つのサーバが応答しない場合は、次のサーバがアクセスされます。

サーバ アドレスを含むネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力できます。[Select] をクリックしてネットワーク/ホスト オブジェクトをリストから選択するか、または新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトでは、単一のホスト アドレスを指定する必要があります。


 

HTTP プロキシ サーバの識別

IPS 7.0+ センサーにグローバル相関を設定し、ネットワークでインターネットへの接続に HTTP プロキシを使用する必要がある場合は、[HTTP Proxy] ポリシーを設定して、IPS センサーで使用できるプロキシを識別する必要があります。グローバル相関の更新をダウンロードする場合、IPS センサーはこのプロキシを使用して更新サーバに接続します。プロキシは、DNS 名を解決できる必要があります。


ヒント HTTP プロキシを使用しない場合は、IPS センサーが更新サーバのアドレスを解決できるように DNS サーバを設定します。「DNS サーバの識別」を参照してください。


) AIP-SSC-5 サービス モジュールでは、HTTP プロキシ サーバはサポートされません。



ステップ 1 次のいずれかを実行して、HTTP プロキシ ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [HTTP Proxy] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [HTTP Proxy] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 次のオプションを設定します。

[Enable Proxy]:このオプションは、設定したプロキシ サーバを通じて接続するようにデバイスに通知する場合に選択します。

[IP Address]:プロキシ サーバの IP アドレス、またはサーバの IP アドレスを含むネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックしてネットワーク/ホスト オブジェクトをリストから選択するか、または新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトには、単一のホスト IP アドレスが含まれている必要があります。

[Port]:プロキシ サーバへの HTTP 接続に使用するポート番号を入力します。デフォルトは 80 です。


 

外部製品インターフェイスの設定

[External Product Interface] ポリシーを使用して、Security Manager が Management Center for Cisco Security Agents(CSA MC)と連携する方法を設定します。

一般に、外部製品インターフェイスは、外部セキュリティおよび管理製品から情報を受信して処理するように設計されています。これらの外部セキュリティおよび管理製品は、センサー設定情報を自動的に拡張するために使用できる情報を収集します。Management Center for Cisco Security Agents は、IPS と通信するように設定できる唯一の外部製品です。IPS デバイスごとに最大 2 つの Management Center for Cisco Security Agents サーバを設定できます。


ヒント Management Center for Cisco Security Agents は、アクティブな製品ではなくなりました。このポリシーは、このアプリケーションをまだ使用している場合にだけ設定します。詳細については、『Installing and Using Cisco Intrusion Prevention System Device Manager 6.0』の「About CSA MC」および http://www.cisco.com/en/US/products/sw/cscowork/ps5212/index.html を参照してください。

Management Center for Cisco Security Agents は、ネットワーク ホストでセキュリティ ポリシーを強制します。これには 2 つのコンポーネントがあります。

ネットワーク ホスト上に存在し、そのホストを保護するエージェント。

エージェントを管理するアプリケーションである管理コンソール。セキュリティ ポリシーの更新をエージェントにダウンロードし、エージェントから操作情報をアップロードします。

始める前に

Security Manager がセンサーに外部製品との通信を許可するように、外部製品を許可ホストとして追加します。詳細については、「許可ホストの識別」を参照してください。


ステップ 1 次のいずれかを実行して、[External Product Interface] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [External Product Interface] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [External Product Interface] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Management Center for Cisco Security Agents] タブには、外部アプリケーションの IP アドレス(またはネットワーク/ホスト オブジェクト)、URL、およびポート、ログインに使用されるユーザ名とパスワード、接続がイネーブルになっているかどうかなどの既存の定義が表示されます。インターフェイス タイプは常に [Extended SDEE] です。

ステップ 2 次のいずれかを実行します。

サーバを追加するには、[Add Row](+)ボタンをクリックします。この操作によって [External Product Interface] ダイアログボックスが開きます。サーバの識別に必要な情報を入力し、ポスチャ ACL を設定します。設定の詳細については、「[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス」を参照してください。

最大 2 台のサーバを追加できます。

サーバを編集するには、そのサーバを選択し、[Edit Row](鉛筆)ボタンをクリックして、[External Product Interface] ダイアログボックスに必要な変更を加えます。

サーバを削除するには、そのサーバを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。


 

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックスを使用して、Management Center for Cisco Security Agents(CSA MC)と IPS デバイスおよび関連ポスチャ ACL との間のインターフェイスを追加または修正します。

ナビゲーション パス

[External Product Interface] IPS プラットフォーム ポリシーで、[Add Row] をクリックするか、エントリを選択して [Edit Row] をクリックします。[External Product Interface] ポリシーを開く方法については、「外部製品インターフェイスの設定」を参照してください。

フィールド リファレンス

 

表 34-6 [Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

要素
説明

External Product's IP Address

外部製品の IP アドレス、またはアドレスを含むネットワーク/ホスト ポリシー オブジェクト。IP アドレスまたはオブジェクト名を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

Interface Type

物理インターフェイス タイプを識別します。これは常に [Extended SDEE] です。

Enable receipt of information

外部製品からセンサーに情報を渡せるかどうか。

SDEE URL

IPS が SDEE 通信を使用して情報を取得するために使用する CSA MC 上の URL。IPS が通信している CSA MC のソフトウェア バージョンに基づいて、URL を次のように設定する必要があります。

CSA MC バージョン 5.0 の場合:/csamc50/sdee-server。

CSA MC バージョン 5.1 の場合:/csamc51/sdee-server。

CSA MC バージョン 5.2 以上の場合:/csamc/sdee-server(デフォルト値)。

Port

通信に使用するポートまたはポートを識別するポート リスト オブジェクト。ポートまたはポート リスト名を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

User name

Password

外部製品にログインできるユーザ名とパスワード。

Enable receipt of host postures

CSA MC からのホスト ポスチャ情報の受信を許可するかどうか。このオプションをディセーブルにした場合、CSA MC から受信したホスト ポスチャ情報は削除されます。

Allow unreachable hosts' postures

CSA MC が到達できないホストのホスト ポスチャ情報の受信を許可するかどうか。

CSA MC がホストのポスチャのどの IP アドレス上のホストにも接続を確立できない場合、ホストは到達不能です。このオプションは、IP アドレスが IPS センサーから参照可能でないポスチャ、またはネットワーク上で重複している可能性のあるポスチャのフィルタリングに役立ちます。このフィルタは、CSA MC が到達できないホストには IPS でも到達できないようなネットワーク トポロジ(IPS と CSA MC が同じネットワーク セグメントにあるなど)に最適です。

[Posture ACL] テーブル

ポスチャ ACL とは、ネットワーク アドレス範囲です。その範囲に対してホスト ポスチャが許可または拒否されます。ポスチャ ACL を使用して、IPS で認識できない、またはネットワーク全体で重複している可能性がある IP アドレスを持つポスチャをフィルタリングします。

ポスチャ ACL を追加するには、[Add Row](+)ボタンをクリックします。この操作によって [Add Posture ACL] ダイアログボックスが開きます。ポスチャ ACL の設定の詳細については、「[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス」を参照してください。

ポスチャ ACL を編集するには、そのポスチャ ACL を選択し、[Edit Row](鉛筆)ボタンをクリックします。

ポスチャ ACL を削除するには、そのポスチャ ACL を選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

ACL のプライオリティを変更するには、その ACL を選択し、[Up] または [Down] ボタンをクリックします。ACL は順番に処理され、最初の一致に関連付けられているアクションが適用されます。

Enable receipt of watch listed addresses

CSA MC からのウォッチ リスト情報の受信を許可するかどうか。このオプションをディセーブルにした場合、CSA MC から受信したウォッチ リスト情報は削除されます。

Manual Watch List RR increase

手動ウォッチ リスト Risk Rating(RR; リスク レーティング)のパーセンテージ。デフォルトは 25 で、有効な範囲は 0 ~ 35 です。

Session-based Watch List RR Increase

セッション ベースのウォッチ リスト リスク レーティングのパーセンテージ。デフォルトは 25 で、有効な範囲は 0 ~ 35 です。

Packed-based Watch List RR Increase

パケット ベースのウォッチ リスト リスク レーティングのパーセンテージ。デフォルトは 10 で、有効な範囲は 0 ~ 35 です。

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックスを使用して、Management Center for Security Agents のポスチャ ACL を設定します。ポスチャ ACL とは、ネットワーク アドレス範囲です。その範囲に対してホスト ポスチャが許可または拒否されます。ポスチャ ACL を使用して、IPS で認識できない、またはネットワーク全体で重複している可能性がある IP アドレスを持つポスチャをフィルタリングします。

次のフィールドを設定して、ポスチャ ACL を定義します。

[Network Address]:ホストまたはネットワークの IP アドレスまたはホスト、または IP アドレスを指定するネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成できます。

[Action]:ホスト ポスチャがネットワーク アドレス上のホストで許可されるか拒否されるか。

ナビゲーション パス

[External Product Interface] ダイアログボックス(「[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス」を参照)で、[Posture ACL] テーブルの下の [Add Row](+)ボタンをクリックするか、ポスチャ ACL を選択して [Edit Row](鉛筆)ボタンをクリックします。

IPS ロギング ポリシーの設定

IPS プラットフォームの [Logging] ポリシーを使用して、トラフィック フロー通知と分析エンジンのグローバル変数を設定します。これらの設定は、IPS センサーの一般操作に適用されます。

トラフィック フロー通知では、センサーのインターフェイス上のトラフィック フローを扱う必要があります。インターフェイス上のパケットのフローをモニタし、そのフローが指定した間隔中に変更(開始および停止)された場合に通知を送信するようにセンサーを設定できます。特定の通知間隔内に失われたパケットのしきい値を設定でき、ステータス イベントがレポートされる前のインターフェイス アイドル遅延も設定できます。

分析エンジンは、パケット分析とアラート検出を実行します。指定したインターフェイスを流れるトラフィックをモニタします。分析エンジンには、[Maximum Open IP Log Files] という 1 つのグローバル変数だけがあります。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Logging] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Logging] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 34-7 [IPS Logging] ページ

要素
説明
[Interface Notifications] タブ

Missed Packets Threshold

通知を受信する前に発生する必要のある欠落パケットの割合。デフォルトは 0 で、範囲は 0 ~ 100 です。

Notification Interval

欠落パケットのパーセンテージをチェックする時間の長さ(秒単位)。デフォルトは 30 で、有効な範囲は 5 ~ 3600 です。

Interface Idle Threshold

この時間が経過すると通知が生成される、インターフェイスがアイドルになってパケットを受信しない時間の長さ(秒単位)。デフォルトは 30 で、有効な範囲は 5 ~ 3600 です。

[Analysis Engine] タブ

Maximum Open IP Log Files

センサーで開くことのできる IP ログ ファイルの最大数。デフォルトは 20 で、範囲は 20 ~ 100 です。