Cisco Security Manager 4.2 ユーザ ガイド
Security Manager の管理設定値の設定
Security Manager の管理設定値の設定
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Security Manager の管理設定値の設定

自動リンク設定ページ

[Configuration Archive] ページ

[CS-MARS] ページ

[New CS-MARS Device]/[Edit CS-MARS Device] ダイアログボックス

[Customize Desktop] ページ

[Debug Options] ページ

[Deployment] ページ

[Device Communication] ページ

[Add Certificate] ダイアログボックス

[Device Groups] ページ

[Device OS Management] ページ

[Discovery] ページ

[Event Management] ページ

[Identity Settings] ページ

[IPS Updates] ページ

[Edit Update Server Settings] ダイアログボックス

[Edit Auto Update Settings] ダイアログボックス

Licensing ページ

[CSM] タブ、[Licensing] ページ

[IPS] タブ、[Licensing] ページ

ライセンスを更新または再展開する IPS デバイスの確認

IPS ライセンス ファイルの選択

[License Update Status Details] ダイアログボックス

[Logs] ページ

[Policy Management] ページ

[Policy Objects] ページ

[Rule Expiration] ページ

[Server Security] ページ

[Status] ページ

[Add or Edit Status Provider] ダイアログボックス

[Take Over User Session] ページ

[Token Management] ページ

[VPN Policy Defaults] ページ

[Workflow] ページ

Security Manager の管理設定値の設定

Security Manager には、数多くのシステム機能に対してデフォルト設定が用意されています。組織のニーズに合わない場合は、これらの設定を変更できます。これらの設定を表示および変更するには、[Tools] > [Security Manager Administration] を選択します。次に、ウィンドウの左側にあるコンテンツ テーブルから項目を選択して、その項目に関するデフォルト設定を表示できます。

ほとんどのページで、設定を変更する場合は、[Save] をクリックして変更を保存する必要があります。間違えた場合は、[Reset] をクリックして、以前に保存した値に戻すことができます。また、[Restore Defaults] をクリックして、Security Manager のデフォルト設定に戻すこともできます。

[Security Manager Administration] ウィンドウには、システムのデフォルトが含まれたページ以外に、システム管理アクティビティに関連する項目(別のユーザの作業を引き継ぐ、サーバ セキュリティ作業を実行するために Common Services 内のページにアクセスするなど)が含まれています。

次の項では、[Security Manager Administration] ウィンドウで使用できる各ページ上で使用可能な設定とアクションについて説明します。

「自動リンク設定ページ」

「[Configuration Archive] ページ」

「[CS-MARS] ページ」

「[Customize Desktop] ページ」

「[Debug Options] ページ」

「[Deployment] ページ」

「[Device Communication] ページ」

「[Device Groups] ページ」

「[Device OS Management] ページ」

「[Discovery] ページ」

「[Event Management] ページ」

「[Identity Settings] ページ」

「[IPS Updates] ページ」

「Licensing ページ」

「[Logs] ページ」

「[Policy Management] ページ」

「[Policy Objects] ページ」

「[Rule Expiration] ページ」

「[Server Security] ページ」

「[Status] ページ」

「[Take Over User Session] ページ」

「[Token Management] ページ」

「[VPN Policy Defaults] ページ」

「[Workflow] ページ」

自動リンク設定ページ

Security Manager のマップ ビューでは、VPN およびレイヤ 3 ネットワーク トポロジのグラフィカル ビューが提供されます。管理対象デバイスを表すデバイス ノード、および管理対象外のオブジェクト(デバイス、クラウド、ネットワークなど)を表すマップ オブジェクトを使用して、ネットワークの調査に使用するトポロジ マップを作成できます。自動リンク設定を使用すると、5 つのプライベート ネットワークまたは予約済みネットワークのいずれかをマップ ビューから除外できます。たとえば、Security Manager を使用して実行する管理タスクとは関係ないテスト ネットワークを除外する必要がある場合があります。

ナビゲーション パス

[Tools] > [Security Manager Administration] をクリックし、コンテンツ テーブルから [AutoLink] を選択します。

関連項目

「マップにおけるレイヤ 3 リンクの追加と管理」

「マップでのネットワークの表示」

フィールド リファレンス

 

表 11-1 [AutoLink] ページ

要素
説明

Enable AutoLink for 10.0.0.0/8

Enable AutoLink for 172.16.0.0/12

Enable AutoLink for 192.168.0.0/16

作成したマップで、これらのプライベート ネットワークを自動的に含めるか、または除外する(選択解除する)かを指定します。

Enable AutoLink for 127.0.0.0/8

作成したマップで、このループバック ネットワークを自動的に含めるか、または除外する(選択解除する)かを指定します。

Enable AutoLink for 224.0.0.0/4

作成したマップで、マルチキャスト ネットワークを自動的に含めるか、または除外する(選択解除する)かを指定します。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Configuration Archive] ページ

[Configuration Archive] ページを使用して、Configuration Archive ツールのデフォルト設定(保存する設定バージョンの数、Cisco IOS ソフトウェア デバイス設定のロールバックに使用する TFTP サーバなど)を定義します。

ナビゲーション パス

[Tools] > [Configuration Archive] をクリックし、コンテンツ テーブルから [Configuration Archive] を選択します。

関連項目

「[Configuration Archive] ウィンドウ」

「設定のロールバック」

フィールド リファレンス

 

表 11-2 [Configuration Archive] ページ

要素
説明

Max.Versions per Device

[Purge Now] ボタン

Enable Configuration Archive Versions Auto Purge

各管理対象デバイスで維持する設定バージョン数(1 ~ 100)。この数を減らした場合は、[Purge Now] をクリックして、余分なバージョンをすぐに削除できます。

[Enable Configuration Archive Versions Auto Purge] オプションを指定している場合、Security Manager は、通常のクリーンアップ サイクル中に余分なバージョンを自動的に削除します。

TFTP Server for Rollback

TFTP ファイル転送に使用するサーバの完全修飾 DNS ホスト名または IP アドレス。TFTP は、設定を更新できなかった場合に、 configure replace コマンドを使用して IOS をロールバックするときに使用されます。このとき、システムのリロードは発生しません。Security Manager サーバを使用するには、 localhost を入力します。

TFTP サーバは、Security Manager サーバ上でデフォルトでイネーブルになっています。リモート TFTP サーバを指定する場合は、TFTP サービスを適切に提供するように、そのサーバを設定する必要があります。

TFTP Root Directory

Security Manager サーバを TFTP サーバとして使用している場合の、設定ファイル転送用のルート ディレクトリ。[Browse] をクリックして、Security Manager サーバ上のディレクトリを選択します。

Security Manager サーバ以外のサーバを TFTP ホストとして指定する場合、Security Manager は、その TFTP サーバのルート ディレクトリを常に使用します。リモート TFTP サーバのルート以外のディレクトリは指定できません。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[CS-MARS] ページ

[CS-MARS] ページを使用して、Cisco Security Monitoring, Analysis and Response System サーバを登録します。このサーバは、Security Manager を使用してデバイスをモニタします。CS-MARS サーバを登録すると、Security Manager で設定されているデバイスのファイアウォール アクセス ルールまたは IPS シグニチャ ルールに基づいて CS-MARS でキャプチャされたメッセージとイベントを表示できます。CS-MARS サーバを登録しないと、ユーザは CS-MARS から収集されたイベントを表示できません。


ヒント CS-MARS Global Controller を使用している場合は、個別の Local Controller ではなく Global Controller を追加します。Global Controller を追加することによって、各 Local Controller を追加しなくても、Security Manager でデバイスの正しい Local Controller を識別できます。これにより、Security Manager における CS-MARS の設定が簡素化されます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [CS-MARS] を選択します。

関連項目

「Security Manager での CS-MARS サーバの登録」

フィールド リファレンス

 

表 11-3 [CS-MARS] ページ

要素
説明

CS-MARS Devices

Security Manager に登録する CS-MARS サーバ。

サーバを追加するには、[Add](+)ボタンをクリックし、「[New CS-MARS Device]/[Edit CS-MARS Device] ダイアログボックス」に入力します。

サーバを編集するには、サーバを選択し、[Edit](鉛筆)ボタンをクリックします。

サーバを削除するには、そのサーバを選択し、[Delete](ゴミ箱)ボタンをクリックします。サーバを削除すると、そのサーバを使用するすべてのデバイスのデバイス プロパティが更新され、そのサーバ接続が削除されます。リスト上の別の CS-MARS サーバもデバイスをモニタしている場合は、別のサーバを指し示すようにデバイスのプロパティが更新されます。

When Launching CS-MARS

Allow User to Save Credentials

Security Manager が、イベント情報の取得時に CS-MARS にログインするために使用するクレデンシャルのタイプ:

[Prompt users]:ユーザは、CS-MARS からイベント情報を取得しようとするときに、CS-MARS にログインするように要求されます。このオプションを選択する場合は、[Allow User to Save Credentials] も選択する必要があります。選択すると、ユーザのクレデンシャルを保存するオプションがユーザに提供されるため、ユーザは、次回イベント ステータスを要求したときに CS-MARS に再度ログインする必要がなくなります。

[Use CS-Manager Credentials]:ユーザは、CS-MARS からイベント情報を取得しようとするときに、Security Manager へのログインに使用しているのと同じユーザ名とパスワードを使用して CS-MARS にログインします。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[New CS-MARS Device]/[Edit CS-MARS Device] ダイアログボックス

[New CS-MARS Device] または [Edit CS-MARS Device] ダイアログボックスを使用して、Security Manager に CS-MARS サーバを登録します。ユーザは、デバイスをモニタしている CS-MARS サーバから、デバイスのファイアウォールまたは IPS ポリシーのメッセージやイベント ステータスを取得できます。詳細については、「Security Manager での CS-MARS サーバの登録」を参照してください。

ナビゲーション パス

「[CS-MARS] ページ」で、[Add] ボタンをクリックして新しいサーバを追加するか、またはサーバを選択して [Edit] ボタンをクリックします。

フィールド リファレンス

 

表 11-4 [Add CS-MARS Device]/[Edit CS-MARS Device] ダイアログボックス

要素
説明

CS-MARS Hostname/IP

CS-MARS サーバの IP アドレスまたは完全修飾 DNS ホスト名。

ヒント CS-MARS Global Controller を追加する場合は、その Global Controller によってモニタされる Local Controller は追加しないでください。Security Manager によって、特定のデバイスをモニタしている Local Controller が自動的に識別されます。Global Controller を追加することによって、CS-MARS の設定が簡素化されます。

Username

Password

User Type

CS-MARS サーバが適切なソフトウェア バージョンを実行していることを検証し、その他の基本情報を取得するために、サーバにログインするときのユーザ名とパスワード。また、Security Manager では、このアカウントを使用して、特定のデバイスをモニタしている CS-MARS サーバも識別します。

CS-MARS Local Controller の場合は、グローバル ユーザ アカウントまたはローカル ユーザ アカウントを入力できます。Global Controller の場合は、グローバル アカウントを入力する必要があります。アカウントのタイプを [User Type] フィールドで指定します。

Certificate Thumbprint

[Retrieve From Device] ボタン

CS-MARS サーバ証明書(デバイス固有の 16 進ストリング)。[Retrieve From Device] をクリックして、Security Manager が証明書を CS-MARS サーバから取得するようにします。

証明書は、正常に取得されると表示されます。証明書を確認したあとに、[Accept] をクリックして、Security Manager サーバにその証明書を保存します。Security Manager から CS-MARS サーバを使用するには、正しい証明書を取得している必要があります。

[Customize Desktop] ページ

[Customize Desktop] ページを使用して、Security Manager アプリケーションが、指定した時間アイドル状態であったあとに自動的に閉じられるかどうかを制御し、特定の状況におけるアクションを確認するようにユーザに要求するかどうかをリセットし、Security Manager クライアントで特定のファイル操作を実行できるかどうかを制御します。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Customize Desktop] を選択します。

関連項目

「Security Manager のライセンス ファイルのインストール」

「ポリシーまたはデバイスのインポート」

「Security Manager クライアントからのデバイス インベントリのエクスポート」

「共有ポリシーのエクスポート」

「[Add File Object]/[Edit File Object] ダイアログボックス」

フィールド リファレンス

 

表 11-5 [Customize Desktop] ページ

要素
説明

[Reset "Do Not Ask" on Warnings] ボタン

このボタンをクリックして、「Are you sure...?」ポップアップ警告を再設定します。一部のアクションを実行すると、結果に関する警告が表示され、警告が再度表示されないようにするオプションが提示されます。これらの警告のいずれかに対して [Do Not Ask Me Again] を選択している場合、このボタンをクリックすると、警告が再度イネーブルになります。

Enable Idle Timeout

Idle Timeout (minutes)

指定した期間、Security Manager クライアント アプリケーションを使用しなかった場合に、クライアントを自動的に終了するかどうかを指定します。タイムアウトはすべてのアプリケーションにわたって適用され、1 つのアプリケーションで操作するとすべてのアプリケーションのタイマーがリセットされます。

このオプションを選択する場合は、クライアントを閉じるまでに経過する必要がある時間を分単位で [Idle Timeout] フィールドに入力します。デフォルトでは、クライアントは、非活動状態が 120 分続いたあとに閉じられます。

Enable Client side file browser

Security Manager クライアントでファイル操作を許可するかどうかを指定します。このオプションが選択されている場合、次のファイル操作を実行するときに、クライアント ファイル システムとサーバ ファイル システムを選択できます。

Security Manager のライセンス ファイルのインストール

デバイスのインベントリ ファイルのインポート/エクスポート

共有ポリシーのインポート/エクスポート

次のファイル オブジェクトの作成

Cisco Secure Desktop Package

Plug-In:ブラウザ プラグイン ファイル用。

AnyConnect Profile

AnyConnect Image

Hostscan Image

このオプションは、デフォルトでイネーブルです。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Debug Options] ページ

[Debug Options] ページを使用して、デバッグ ログに含めるメッセージの重大度を設定し、収集するその他のデバッグ情報を指定します。

デバッグ レベルは、Cisco Technical Assistance Center(TAC)から変更を指示された場合にだけ変更してください。これにより、より詳細な情報を CSMDiagnostics.zip ファイルに含めることができるようになります。

該当するサブコンポーネントのメッセージ レベルを変更したあと、システムの問題を引き起こすアクションを再実行します。問題が発生したあと、[Tools] > [Security Manager Diagnostics] を選択して、CSMDiagnostics.zip ファイルを作成します。次に、デバッグ オプションをデフォルト レベルにリセットして、Security Manager サーバが、余分なデバッグ情報の収集が原因でダウンしないようにします。CSMDiagnostics.zip ファイルの生成の詳細については、「Cisco Technical Assistance Center の診断ファイルの作成」を参照してください。

デフォルトでは、重大度がエラーであるか、より高いメッセージがログに含められます。重大度(重大度の高い順):

[Severe]:システムが使用できなくなる問題。

[Error]:Security Manager によって復元できない問題。

[Warning]:Security Manager による復元が可能な、予期しない状況。

[Info]:情報メッセージ。

[Debug]:内部ステータス情報。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Debug Options] を選択します。

フィールド リファレンス

 

表 11-6 [Debug Options] ページ

要素
説明

Capture Discovery/Deployment Debugging Snapshots to File

Security Manager が、設定の生成、展開、および検出が実行されたときに、これらの機能に関するデータ ファイルを生成するかどうかを指定します。一時的なデータ ファイルが、サーバ上の Security Manager インストール フォルダ内の MDC¥temp ディレクトリに格納されます。これらのファイルをデバッグに使用できます。

展開または検出に関する問題が発生した場合に、この設定をイネーブルにします。

これらのファイルをデバッグのために Cisco TAC に送信する場合は、パスワードなどの機密データが含まれている可能性があるため、暗号化します。

(注) このチェックボックスをオンにすると、Security Manager の応答時間が遅くなります。このオプションは、限られた状況でだけイネーブルにします。

Deployment Debug Level

展開関連のアクション(デバイス通信など)のメッセージの重大度。

Event Manager Debug Level

Event Manager サブシステムのメッセージの重大度。

Firewall Services Debug Level

ファイアウォール関連ポリシーのメッセージの重大度。

IOS Platform Debug Level

Cisco IOS ソフトウェア プラットフォーム ポリシーのメッセージの重大度。

PIX Platform Debug Level

PIX、ASA、および FWSM プラットフォーム ポリシーのメッセージの重大度。

Report Manager Debug Level

Report Manager サブシステムのメッセージの重大度。

VPN Services Debug Level

VPN サービス ポリシーのメッセージの重大度。

[Save] ボタン

変更を保存します。

[Reset] ボタン

すべてのフィールドを以前の値に復元します。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Deployment] ページ

[Deployment] ページを使用して、Security Manager がデバイスに設定を展開するデフォルトの方式を定義します。展開ジョブの作成時に、これらの設定の一部をオーバーライドできます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Deployment] を選択します。

関連項目

「展開の管理」

「ポリシー オブジェクトの管理」

フィールド リファレンス

 

表 11-7 [Deployment] ページ

要素
説明

Purge Debugging Files Older Than (days)

システムがデバッグ ファイルを保持する最大日数。デバッグ ファイルは自動的に削除されます。この日数を減らした場合、[Purge Now] をクリックして、指定した日数よりも古いすべてのデバッグ ファイルをすぐに削除できます。

Default Deployment Method

Directory

デバイスに設定を展開するためのデフォルト方式として使用する方式。

[Device]:設定をデバイスに直接展開するか、またはデバイスに指定された転送メカニズムに展開します。詳細については、「デバイスへの直接展開」を参照してください。

[File]:Security Manager サーバ上のディレクトリに設定ファイルを展開します。[File] を選択する場合は、設定ファイルの展開先ディレクトリを [Destination] カラムで指定します。ファイルをデフォルトとして選択しても、IPS デバイスには設定が適用されません。IPS デバイスについては、デバイス展開だけを使用できます。詳細については、「ファイルへの展開」を参照してください。

展開ジョブを作成するときに、この方式をオーバーライドできます。

When Out of Band Changes Detected

Security Manager が、設定がデバイスに最後に展開されたあとに、デバイスの CLI で変更が直接行われたことを検出したときに、対応するかどうかを指定します。アウトオブバンド変更の検出は、ファイルではなくデバイスに展開するときにだけ正しく機能し、デバイスから参照設定を取得するように設定された展開方式に対してだけ適用されます(参照設定の設定値については、後述の説明を参照してください)。

この設定によって、デフォルトのアクションが指定されます。デフォルトのアクションは、展開ジョブの作成時にオーバーライドできます。次のいずれかを選択できます。

[Overwrite changes and show warning](デフォルト):デバイスに対して手動で変更を行った場合、Security Manager は、展開を続行し、変更内容を上書きし、このアクションを通知する警告を表示します。

[Cancel deployment]:デバイスに対して手動で変更を行った場合、Security Manager は展開をキャンセルし、このアクションを通知する警告を表示します。

[Do not check for changes]:Security Manager は、変更内容を確認せずにデバイスに展開し、ローカル変更を上書きします。

アウトオブバンド変更の処理の詳細な説明については、「アウトオブバンド変更の処理方法について」を参照してください。

Deploy to File Reference Configuration

Security Manager サーバ上のファイルに設定を展開するときに、Security Manager が、デバイスの以前の設定と新しいポリシーを比較するために使用する設定。

[Archive](デフォルト):最後にアーカイブされた設定。

[Device]:現在実行中のデバイスの設定。デバイスから取得されます。

設定を比較したあとで、Security Manager によって、展開する適切な CLI が生成されます。

Deploy to Device Reference Configuration

デバイス(または転送サーバ)に設定を直接展開するときに、Security Manager が、デバイスの以前の設定と新しいポリシーを比較するために使用する設定。

[Archive]:最後にアーカイブされた設定。

[Device](デフォルト):現在実行中のデバイスの設定。デバイスから取得されます。

設定を比較したあとで、Security Manager によって、展開する適切な CLI が生成されます。

Optimize the Deployment of Access Rules For

(IPv4 および IPv6 のアクセス ルール)。

ファイアウォール ルールが展開される方法。次のいずれかを選択できます。

[Speed](デフォルト):新しい ACL と古い ACL 間のデルタ(差分)だけを送信することで、展開速度を高速化します。これは推奨オプションです。この方法では、ACL 行番号を利用することで、特定の位置にある ACE を選択して追加、更新、または削除します。ACL 全体の再送信は実行されません。編集されている ACL は使用中であるため、ACE が削除され、新しい位置に追加されるまでの間に、一部のトラフィックが不適切に処理される可能性がわずかにあります。この ACL 行番号機能は、Cisco IOS、PIX、および ASA のほとんどのバージョンでサポートされており、FWSM の場合は FWSM 3.1(1) から使用できるようになりました。

[Traffic]:この方法によって、ACL がシームレスに切り替えられ、トラフィックの中断が回避されます。ただし、展開タスクに時間がかかり、一時 ACL が削除されるまではより多くのデバイス メモリが使用されます。最初に、一時コピーが、展開するための ACL で構成されます。この一時 ACL が、ターゲット インターフェイスにバインドされます。次に、古い ACL が元の名前を使用して再作成されますが、その内容は新しい ACL になります。この ACL も、ターゲット インターフェイスにバインドされます。この時点で、一時 ACL が削除されます。

(注) FWSM デバイスの場合は、[Let FWSM Decide When to Compile Access Lists] オプションも選択している場合にだけ、このオプションが処理に影響します。

Firewall Access-List Names

(IPv4 および IPv6 のアクセス ルール)。

アクセス ルールに Security Manager での名前がない場合に、ACL 名がデバイスに展開される方法。

[Reuse existing names]:参照設定で設定されている ACL 名を再利用します(通常は、デバイスからの名前)。

[Reset to CS-Manager generated names]:Security Manager が自動生成した ACL 名に名前をリセットします。

Enable ACL Sharing for Firewall Rules

(IPv4 および IPv6 のアクセス ルール)。

Security Manager が、アクセス ルール ポリシー用の単一 Access Control List(ACL; アクセス コントロール リスト)を複数のインターフェイスと共有するかどうかを指定します。このオプションを選択しない場合、Security Manager は IPv4 および IPv6 のアクセス ルール ポリシーを適用する各インターフェイス固有の ACL を作成します。ACL の共有は、アクセス ルール ポリシーによって作成された ACL の場合にだけ行われます。

このオプションを選択すると、Security Manager は、各インターフェイスのアクセス ルール ポリシーを評価し、ポリシーの実行に必要な最小数を展開する一方で、ACL 命名要件を維持します。たとえば、1 つのインターフェイス ロールを使用して 4 つのインターフェイスに同じルールを割り当てる場合は、Firewall Access-List Names プロパティの [Reset to CS-Manager generated names] を指定し、アクセス ルール設定ポリシーでインターフェイスの ACL 名は指定せずに、1 つの ACL だけを展開し、各インターフェイスでその ACL を使用するようにします。

このオプションを選択する場合は、次の点に注意してください。

インターフェイスで、別のインターフェイスの名前が付いた ACL が使用される場合があります。

アクセス コントロール設定ポリシーで ACL の名前を指定すると、その名前の ACL は、別のインターフェイスによって使用されている名前と同じ場合でも作成されます。このポリシーで指定された名前は、他のいずれの設定よりも優先されます。

[Firewall Access-List Names] プロパティの [Reuse existing names] を選択すると、既存の名前は保存されます(アクセス コントロール設定ポリシーで名前を上書きした場合を除く)。つまり、重複する ACL がデバイスにすでに存在する場合は、異なる名前で ACL が重複して作成されます。

ヒット カウント統計は、インターフェイスではなく ACL に基づくため、共有 ACL により、その ACL を共有するすべてのインターフェイスから結合された統計情報が提供されます。

ACL の共有は、FWSM など、デバイスにメモリの制約がある場合に有用です。

Let FWSM Decide When to Compile Access Lists

(IPv4 のアクセス ルールのみ)。

Firewall Services Module(FWSM; ファイアウォール サービス モジュール)で、アクセス リストをコンパイルするタイミングを自動的に決定するかどうかを指定します。このオプションを選択すると、展開が高速化される可能性がありますが、トラフィックが中断し、システムが ACL コンパイルのエラー メッセージを報告できなくなる場合があります。このオプションを選択すると、[Optimize the Deployment of Access Rules For Traffic] 設定を使用して、トラフィックの中断の可能性を低減できます。

選択を解除すると、Security Manager は、ACL コンパイルを制御して、トラフィックの中断を回避し、デバイスにおけるピーク時のメモリ使用率を最小限に抑えます。


注意 このオプションは、展開の問題が発生し、かつ自分が上級ユーザである場合を除き、選択しないでください。

Allow Download on Error

軽微なデバイス設定エラーがある場合でも、デバイスへの展開を継続するかどうかを指定します。

Remove Unreferenced Object Groups from Device (PIX, ASA, FWSM, IOS 12.4(20)T+)

(IPv4 オブジェクトおよび IPv6 オブジェクト)。

Security Manager が、展開中に、他の CLI コマンドで使用されていないオブジェクト グループをデバイスから削除するかどうかを指定します。オブジェクト グループには、ネットワーク/ホスト、サービス、アイデンティティ ユーザ グループがあります。

ヒント ASA 8.3+ デバイス上のオブジェクト NAT 設定を含む、ネットワーク/ホスト オブジェクトは、参照されないとは見なされません。

Create Object Groups for Policy Objects (PIX, ASA, FWSM, IOS 12.4(20)T+)

Create Object Groups for Multiple Sources, Destinations or Services in a Rule (PIX, ASA, FWSM, IOS 12.4(20)T+)

Optimize Network Object Groups During Deployment (PIX, ASA, FWSM, IOS 12.4(20)T+)

(IPv4 オブジェクトおよび IPv6 オブジェクト)。

Security Manager が、ネットワーク オブジェクト、サービス グループ オブジェクト、アイデンティティ ユーザ グループ オブジェクトなどのオブジェクト グループを作成して、指定されたデバイスのルール テーブル セル内のカンマ区切りの値を置換するかどうかを指定します。選択を解除すると、Security Manager はオブジェクト グループをフラット化して、これらのデバイスの IP アドレス、送信元と宛先、ユーザ、ポート、およびプロトコルを表示します。

ヒント これらのオプションは、常にオブジェクトとして作成されるホスト、ネットワーク、またはアドレス範囲ネットワーク/ホストの各オブジェクト、あるいはサービス オブジェクト(サービス グループ オブジェクトではありません)には適用されません。複数の FQDN ネットワーク オブジェクトを単一のネットワーク オブジェクトにグループ化できます。

このオプションを選択すると、次のオプションも選択できます。

[Create Object Groups for Multiple Sources, Destinations or Services in a Rule]:ネットワーク オブジェクト、サービス オブジェクト、およびアイデンティティ ユーザ グループ オブジェクトを自動的に作成して、ルール テーブル セル内の、複数のルールが結合された結果であるカンマ区切りの複数の値を置換するかどうかを指定します。オブジェクトは、展開時に作成されます。詳細については、「ルールの結合」を参照してください。

[Optimize Network Object Groups During Deployment]:ネットワーク オブジェクト グループをより簡潔にして、最適化するかどうかを指定します。ポリシー オブジェクトの簡潔化の詳細については、「ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化」を参照してください。

Remove Unreferenced Access-lists on Device

(IPv4 および IPv6 のアクセス ルール)。

展開時に、他の CLI コマンドで使用されていないアクセス リストをデバイスから削除するかどうかを指定します。

Save Changes Permanently on Device

設定をデバイスに展開したあとに( write memory コマンドを使用して)、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するかどうかを指定します。これは、PIX、FWSM、ASA、または Cisco IOS の各デバイスに適用されます。このチェックボックスをオフにすると、スタートアップ コンフィギュレーションは変更されません。これは、デバイスが何らかの理由でリロードされると設定の変更内容が失われることを意味します。

Generate ACL Remarks During Deployment

(IPv4 および IPv6 のアクセス ルール)。

展開時に、ACL の警告メッセージおよび備考を表示するかどうかを指定します。

Preselect Devices with Undeployed Changes

展開ジョブの作成時に確認する、変更されたデバイスのリストで、変更されたすべてのデバイスを選択済みとするかどうかを指定します。このオプションの選択を解除すると、ユーザは、デバイスを手動で選択して展開ジョブに含める必要があります。

Enable Auto Refresh in Deployment Main Panel

展開ジョブおよびスケジュール ステータス情報が、[Deployment Manager] ウィンドウで自動的にリフレッシュされるかどうかを指定します。このオプションの選択を解除すると、[Refresh] ボタンをクリックして、情報を手動でリフレッシュする必要があります。

Remove Unreferenced SSL VPN Files on Device

SSL VPN 設定に関連するファイルが、デバイスの SSL VPN 設定によって現在は参照されていない場合に、Security Manager がこれらのファイルを削除するかどうかを指定します。このオプションの選択を解除すると、使用されていないファイルは、展開後にデバイス上に残ります。

Mask Passwords and Keys When Viewing Configs and Transcripts

Mask Passwords and Keys When Deploying to File

Security Manager が、次の項目をマスクして、読み取られないようにする条件(ある場合):ユーザ、イネーブル モード、Telnet、およびコンソールのパスワード。SNMP コミュニティ ストリング。TACACS+、事前共有キー、RADIUS サーバ、ISAKMP、フェールオーバー、Web VPN 属性、ロギング ポリシー属性、AAA、AUS、OSPF、RIP、NTP、ロギング FTP サーバ、ポイントツーポイント プロトコル、ストレージ キー、シングル サインオン サーバ、ロード バランシング、HTTP/HTTPS プロキシ、および IPSEC 共有キーなどのキー。

[Mask Passwords and Keys When Viewing Configs and Transcripts]:このオプションは、クレデンシャルの画面表示だけに影響します。これにより、未認可ユーザによるクレデンシャルの表示を防ぐことができます。このオプションを選択しない場合でも、デバイスがクレデンシャルを処理する方法によっては、完全なトランスクリプトのクレデンシャルが引き続きマスクされる場合があります。

[Mask Passwords and Keys When Deploying to File]:このオプションは、ファイルに展開される設定ファイルの内容に影響し、設定ファイルが実際のデバイスに展開できなくなります。このオプションは、これらの設定を現実のデバイスに実際に展開する必要がない場合にだけ選択します。このオプションを選択しても、クレデンシャルが表示されるときにマスクされるかどうかに影響はありません。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Device Communication] ページ

[Device Communication] ページを使用して、デバイスと通信する場合のデフォルト設定を定義します。これらの設定は、主に、デバイス インベントリ、ポリシー検出、および設定の展開に影響します。デバイスのデバイス プロパティにおける個々のデバイスに関する転送設定をオーバーライドできます。

トランスポート プロトコルの設定を変更する場合は、使用しているデバイスが、それらの接続タイプを受け入れるように適切に設定されていることを確認してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Device Communication] を選択します。

関連項目

「デバイス インベントリへのデバイスの追加」

「デバイス インベントリの管理」

「デバイスを管理するための準備」

「デバイス プロパティの表示または変更」

フィールド リファレンス

 

表 11-8 [Device Communication] ページ

要素
説明
Device Connection Parameters

Device Connection Timeout

Security Manager がデバイスとの接続を何秒の間に確立する必要があるか。この秒数を超過すると、タイムアウトします。

Retry Count

Security Manager がデバイスへの接続の確立を何回試行するか。この試行回数を超過すると、接続を実行できないと判断されます。デフォルト値は 3 です。

Socket Read Timeout

SSH セッションと Telnet セッションの場合に、接続が失われたと結論付ける前に、Security Manager が着信データを待機する最大の秒数。

Transport Protocol (IPS)

IPS 機能を備えた IPS センサーとルータのデフォルト トランスポート プロトコル。デフォルトは HTTPS です。

Transport Protocol (IOS Routers 12.3 and above)

Cisco IOS ソフトウェア Release 12.3 以上を実行するルータのデフォルト トランスポート プロトコル。デフォルトは HTTPS です。

Transport Protocol (Catalyst Switch/7600)

Catalyst 6500/7600 デバイスおよびその他のすべての Catalyst スイッチのデフォルト トランスポート プロトコル(これらのデバイス上で実行されている Cisco IOS ソフトウェア バージョンは関係ありません)。デフォルトは SSH です。

Transport Protocol (IOS Routers 12.2, 12.1)

Cisco IOS ソフトウェア Release 12.1 および 12.2 を実行するルータのデフォルト トランスポート プロトコル。デフォルトは Telnet です。

Connect to Device Using

Security Manager がデバイスにアクセスするときに使用するクレデンシャルのタイプ。詳細については、「デバイス クレデンシャルについて」を参照してください。

[Security Manager User Login Credentials]:Security Manager は、ユーザが Security Manager にログインしたときに入力したクレデンシャルを使用して、デバイスに接続します。[Device Credentials] ページで各デバイスに設定されたクレデンシャルに関係なく、同じクレデンシャル セットがすべてのデバイスに使用されます。

[Security Manager Device Credentials]:Security Manager は、[Device Properties Credentials] ページで指定したクレデンシャルを使用して、デバイスに接続します。これがデフォルトです。


注意 IPS センサーへの接続が含まれる場合は、[Security Manager User Login Credentials] ではなく [Security Manager Device Credentials] を使用する必要があります。Security Manager が IPS センサーに接続するとき、Security Manager にユーザがログインしているかどうかにかかわらず、デバイス クレデンシャルを使用する必要があります。

SSL Certificate Parameters

Device Authentication Certificates (IPS)

Device Authentication Certificates (Router)

PIX/ ASA/ FWSM Device Authentication Certificates

[Add Certificate] ボタン

SSL(HTTPS)通信用のデバイス認証証明書の処理方法。さまざまなデバイス タイプごとに異なる動作を設定できますが、次の設定は同じ意味を持ちます。

[Retrieve while adding devices]:Security Manager は、ユーザがネットワークまたはエクスポート ファイルからデバイスを追加するときに、これらのデバイスの証明書を自動的に取得します。

[Manually add certificates]:Security Manager は、デバイスから証明書を自動的に受け取りません。[Add Certificate] をクリックして、[Add Certificate] ダイアログボックスを開きます(「[Add Certificate] ダイアログボックス」を参照)。このダイアログボックスで、ネットワークまたはエクスポート ファイルからのデバイスの追加を試行する前に、サムプリントを手動で追加できます。[Device Properties Credentials] ページで手動による作成に成功したデバイスの証明書を追加することもできます。詳細については、「HTTPS 通信を使用するデバイスでの SSL 証明書の手動追加」を参照してください。

[Do not use certificate authentication]:Security Manager は、デバイス認証証明書を無視します。このオプションを使用すると、第三者によるデバイス検証の妨害に対してシステムが脆弱になります。このオプションは使用しないことを推奨します。

Accept Device SSL Certificate after Rollback

SSL を使用するデバイスの場合、デバイス上の設定をロールバックするときに、IPS デバイス、ファイアウォール デバイス、FWSM、ASA、または Cisco IOS ルータにインストールされている証明書をデバイスから取得するかどうかを指定します。

HTTPS Port Number

デバイスが、Security Manager(および、これらのプロトコルを使用するその他の管理アプリケーション)とのセキュアな通信に使用するデフォルトのポート番号。この値によって、デバイスの HTTP ポリシーで設定した HTTPS ポート番号がオーバーライドされます。

(注) ローカル HTTP ポリシーを共有ポリシーとして設定し、その HTTP ポリシーを複数のデバイスに割り当てると、このポリシーが割り当てられているすべてのデバイスに関して、[Device Properties Credentials] ページで設定されたポート番号が、このポリシーの HTTPS ポート番号設定で上書きされます。

この HTTPS ポート番号は、Cisco Web ブラウザのユーザ インターフェイスを介してデバイスへのアクセスを提供する以外に、Cisco Router and Security Device Manager(SDM)などのデバイス管理アプリケーションや、デバイスと通信するモニタリング ツールで使用されます。

(注) セキュリティ アプライアンスでは、同じインターフェイス上のデバイス マネージャ管理セッションの SSL VPN 接続と HTTPS 接続の両方を同時にサポートできます。HTTPS と SSL VPN は両方とも、デフォルトでポート 443 を使用します。このため、HTTPS と SSL VPN の両方を同じインターフェイスでイネーブルにする場合は、HTTPS または WebVPN に対して異なるポート番号を指定する必要があります。代替方法は、SSL VPN と HTTPS を異なるインターフェイスに設定することです。

Overwrite SSH Keys

Security Manager が、デバイスの SSH キーがデバイス上で変更された場合に、そのキーを上書きできるかどうかを指定します。SSH 接続の場合、通信を正常に実行するには正しいキーが必要です。

このチェックボックスは、慎重に検討し、より高いレベルのセキュリティが必要な場合にだけ、オフにしてください。キーがデバイス上で変更されると、Security Manager はそのデバイスと通信しなくなります。

[Save] ボタン

変更を保存して適用します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Add Certificate] ダイアログボックス

[Add Certificate] ダイアログボックスを使用して、SSL トランスポート プロトコルを使用するデバイス(ファイアウォール デバイス、FWSM、ASA、IPS デバイス、および Cisco IOS デバイス)にデバイス証明書を手動で追加します。デバイス証明書を手動で追加すると、侵入者が不正な証明書サムプリントを追加できなくなるため、最高レベルのセキュリティがもたらされます。デバイス証明書は、デバイス認証に使用されるデータベースに格納されます。

SSL 証明書の手動による追加の詳細については、「HTTPS 通信を使用するデバイスでの SSL 証明書の手動追加」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Device Communication] を選択して、[Add Certificate] をクリックします。

フィールド リファレンス

 

表 11-9 [Add Certificate] ダイアログボックス

要素
説明

Host Name or IP Address

証明書を追加するデバイスのホスト名または IP アドレス。

Certificate Thumbprint

デバイス固有の 16 進数文字列である、証明書サムプリント。

[Device Groups] ページ

[Device Groups] ページを使用して、デバイス インベントリで定義されているデバイス グループおよびグループ タイプを管理します。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Device Groups] を選択します。

関連項目

「デバイスのグループ化について」

「デバイス グループの使用」

フィールド リファレンス

 

表 11-10 [Device Groups] ページ

要素
説明

Groups

デバイス グループとグループ タイプを表示します。

グループ名またはタイプ名を変更するには、グループまたはタイプを選択し、もう一度クリックしてテキストを編集可能にします。新しい名前を入力し、Enter を押します。

[Add Type] ボタン

新しいグループ タイプを作成するには、このボタンをクリックします。タイプはデフォルト名で追加されます。名前を上書き入力し、Enter を押します。

[Add Group to Type] ボタン

デバイス グループを選択したデバイス グループまたはグループ タイプに追加するには、このボタンをクリックします。

[Delete] ボタン(ゴミ箱)

選択したデバイス グループまたはグループ タイプとその中に含まれているすべてのデバイス グループを削除するには、このボタンをクリックします。デバイス グループまたはグループ タイプを削除しても、その中に含まれているデバイスは削除されません。

[Save] ボタン

変更を保存します。

[Reset] ボタン

すべてのフィールドを以前の値に復元します。

[Device OS Management] ページ

Security Manager には、Resource Manager Essentials(RME)のいくつかの主要機能へのショートカット コマンドが用意されています。これらのコマンドをイネーブルにするには、このページで、RME サーバを Security Manager に指定する必要があります。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Device OS Management] を選択します。

関連項目

Resource Manager Essentials のマニュアル

「デバイス オペレーティング システムの管理」

フィールド リファレンス

 

表 11-11 Device OS Management

要素
説明

RME server address

RME サーバの IP アドレスまたは完全修飾ホスト名。

Security Manager での使用がサポートされている RME バージョンについては、このバージョンの製品の『 Release Notes for Cisco Security Manager 』を参照してください。

Connect using https

SSL を使用して RME サーバに接続するかどうかを指定します。

[Save] ボタン

変更を保存します。

[Reset] ボタン

すべてのフィールドを以前の値に復元します。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Discovery] ページ

[Discovery] ページを使用して、Security Manager が、インベントリおよびポリシーの検出時に特定のタイプのオブジェクトまたはイベントを処理する方法を定義します。Security Manager が検出タスクを保持する時間を制御することもできます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Discovery] を選択します。

フィールド リファレンス

 

表 11-12 [Discovery] ページ

要素
説明

Prepend Device Name when Generating Security Context Names

セキュリティ コンテキストが含まれているデバイスの名前を、そのセキュリティ コンテキスト名の先頭に追加するかどうかを指定します。たとえば、セキュリティ コンテキストが admin という名前で、表示名が 10.100.15.16 であるデバイスに含まれている場合、デバイス セレクタに表示される名前は 10.100.15.16_admin になります。

デバイス名をプリペンドしない場合は、セキュリティ コンテキスト名がそのままインベントリに表示されます。Security Manager では、親デバイスに関連するフォルダにセキュリティ コンテキストが配置されないため、デバイスに関連するコンテキストを簡単に確認する唯一の方法が、デバイス名のプリペンドです。

デバイス名をプリペンドしない場合、Security Manager は、同じ名前のデバイスを区別するために番号のサフィックスを追加します。たとえば、admin コンテキストが複数のファイアウォールに存在する場合、デバイス セレクタでは admin_01、admin_02、というように表示されます。

Purge Discovery Tasks Older Than

検出タスクおよびデバイス インポート タスクを保存する日数。入力した日数よりも古いタスクは削除されます。

Reuse Policy Objects for Inline Values

Security Manager ですでに定義されているネットワーク/ホスト オブジェクト、アイデンティティ ユーザ グループ オブジェクトなど、名前の付いているポリシー オブジェクトを、CLI のインライン値に置き換えるかどうかを指定します。ポリシー オブジェクトの詳細については、「ポリシー オブジェクトの管理」を参照してください。

ヒント このオプションは、通常、ネットワーク/ホスト オブジェクトに適用されますが、インライン値として Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を指定できないため、FQDN ネットワーク/ホスト オブジェクトには適用されません。

Allow Device Override for Discovered Policy Objects

オーバーライドが可能なオブジェクト タイプについて、ユーザが、検出されたポリシー オブジェクトの親オブジェクトの値をデバイス レベルでオーバーライドできるかどうかを指定します。たとえば、このオプションを選択すると、デバイスに Security Manager の ACL ポリシー オブジェクトと同じ名前の ACL があるデバイス上でポリシー検出を実行した場合、検出されたポリシー オブジェクトの名前が再利用されますが、このオブジェクトのデバイス レベルのオーバーライドが作成されます。このオプションの選択を解除すると、新しいポリシー オブジェクトが、名前に番号が付加されて作成されます。

ヒント ネットワーク/ホストやサービスなど、サブタイプを持つオブジェクトの場合、オーバーライドはタイプ内に限定されます。たとえば、同じ名前のネットワーク/ホスト グループが検出されると、ネットワーク/ホスト グループのオーバーライドが作成されますが、同じ名前のネットワーク/ホスト アドレス範囲が検出されても、オーバーライドは作成されません。代わりに、新たに検出されたオブジェクトの名前に番号が付加されます。

詳細については、「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

On Error, Rollback Discovery for Entire Device

Security Manager が、ポリシー検出時に、単一ポリシーで 1 つのエラーが発生した場合でも、検出されたすべてのポリシーをロールバックするかどうかを指定します。選択を解除すると、Security Manager は、正常に検出されたポリシーを保持し、エラーが発生したポリシーだけを廃棄します。ポリシー検出の詳細については、「ポリシーの検出」を参照してください。

Auto-Expand Object Groups with Prefixes

デバイス インポート プロセス時に、リストに表示されているプレフィクスを使用して、ネットワーク グループやアイデンティティ ユーザ グループなどのオブジェクト グループを拡張します。複数のプレフィクスはカンマで区切ります。この拡張によって、オブジェクト グループの要素が、検出されたポリシーにおける個別の項目として表示されます。詳細については、「検出中のオブジェクト グループの展開」を参照してください。

コマンドを使用して ASA 8.3+ デバイスから作成されたポリシー オブジェクトには適用されません。これらのコマンドによって、ホスト、ネットワーク、FQDN、またはアドレス範囲ネットワーク/ホストの各オブジェクトや、サービス オブジェクトが作成されます。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Event Management] ページ

[Event Management] ページを使用して、イベント管理をイネーブルにします。イベント管理では、Event Viewer を使用して、ASA イベント、FWSM イベント、および IPS イベントを表示できます。イベント収集に必要な設定値を設定することもできます。

Event Manager サービスは Report Manager アプリケーションにも必要です。Report Manager アプリケーションでは、このサービスによって収集された情報を集約したレポートを参照できます。


ヒント このページで [Enable Event Management] オプションが選択されているにもかかわらず、[Launch] > [Event Viewer] を選択したときに Event Viewer が使用不可能であるというメッセージが表示される場合には、Event Manager サービスをもう一度開始してみてください。まず、[Enable] オプションの選択を解除し、[Save] をクリックします。サービスが停止するまで待機します。次に、[Enable] オプションを選択し、[Save] をクリックし、サービスが再び開始されるまで待機します。その後、Event Viewer を再度開いてみます。

ナビゲーション パス

[Tools] > [Security Manager Administration] をクリックし、コンテンツ テーブルから [Event Management] を選択します。

フィールド リファレンス

 

表 11-13 [Event Management] ページ

要素
説明
Event Management Options

Enable Event Management

Event Manager サービスをイネーブルにするかどうかを指定します。このサービスを使用すると、Security Manager はイベント情報を収集できます。この機能をディセーブルにすると、Event Viewer アプリケーションまたは Report Manager アプリケーションを使用できません。

をクリックすると、Event Manager サービスを起動または停止してもよいかどうかの確認を求められます。[Yes] をクリックするとすぐにサービスが開始または停止し、進捗インジケータが表示されて変更が完了したときに通知されます。ステータス変更が完了するまで待ってから続行します。

Event Data Store Location

イベント情報の収集に使用するディレクトリ。これはプライマリ イベント ストアと呼ばれます。[Browse] をクリックして、Security Manager サーバ上のディレクトリを選択します。

まだ存在していないディレクトリを指定する場合は、Windows エクスプローラで作成します。Security Manager からディレクトリを作成することはできません。

ヒント Event Manager サービスを使用して起動したあとに場所を変更した場合、古いイベントのクエリーは実行できなくなります。

Event Data Store Disk Size

イベント データを格納するために割り当てるディスク スペースの容量(GB 単位)。拡張ストアのサイズが指定した容量の 90 % に達すると、増分に応じて(循環的に)ストアからイベントが削除されるようになります。この設定を変更する場合は、次のことを考慮してください。

イベント データによってすでに使用されているディスク スペース容量よりもサイズを少なくすると、新たに設定したサイズになるまで、古いものから順にイベントが削除されます。

イベント データに現在使用されているスペース量の視覚的表示を確認できます。[Event Viewer]([Launch] > [Event Viewer])を開き、次に Event Viewer で [Views] > [Show Event Store Disk Usage] を選択します。

Event Syslog Capture Port

syslog イベント キャプチャをイネーブルにするポート。デフォルトは 514 です。

Security Manager サーバおよび介在するファイアウォールで、イベントを収集するために、Security Manager のこのポート上で着信トラフィックが許可されていることを確認してください。管理対象デバイスは、Security Manager サーバ上のこのポートに syslog 情報を送信するように設定されている必要があります。

ヒント このポートを変更した場合は、Security Manager にイベントを送信するすべての ASA デバイスおよび FWSM デバイスと、それらのセキュリティ コンテキストの Syslog Servers ポリシーも変更する必要があります。詳細については、「[Syslog Servers] ページ」を参照してください。

Event Data Pagination Size

各クエリー応答の各ページに含めることができる最大イベント数。デフォルトは 20000 ですが、サポートされている値のリストから異なるサイズを選択できます。

Extended Store Management Options

Auto Copy Events to Extended Store

イベントを格納する拡張保管場所を定義するかどうかを指定します。通常のイベント保管場所から拡張保管場所にイベントをコピーして、引き続き使用できるようにします。Event Viewer で履歴イベントのクエリーを実行すると、必要に応じて、拡張保管場所にあるイベントが自動取得されます。

ヒント この拡張サービスを開始して拡張保管場所に変更を加えてもよいかどうかの確認が求められます。

Extended Data Store Location

イベントの拡張データ ストアの場所。サーバ上のドライブとして表示される、DAS プロトコルを使用する直接接続ストレージを指定できます。たとえば、ファイバ チャネルを介して接続された SAN ストレージなどです。CIFS ストレージはサポートされていません。[Browse] をクリックして、目的のドライブとディレクトリを選択します。

ヒント

拡張保管場所を選択して変更を保存すると、Security Manager は、その場所にアクセスできるかどうか、また書き込み権限があるかどうかをチェックします。プライマリ保管場所は参照として使用され、プライマリ保管場所にあって、拡張保管場所にはないデータがあった場合、そのデータは拡張保管場所にコピーされます。すでに拡張保管場所にあるデータは評価されず、そのまま残りますが、あとで削除して新しいデータ用のスペースを確保できます。

拡張データ ストアの場所を変更した場合、変更前の拡張データ ストアの場所だけに存在するイベント(プライマリ ロケーションからすでに削除されていて照会できないイベント)に対してクエリーを実行することはできません。このようなイベントを保持するには、以前の場所から新しい場所にデータをコピーしてください。

Extended Data Store Disk Size

イベントの拡張保管場所に割り当てるスペース量(GB 単位)。拡張ストアのサイズが指定した容量の 90 % に達すると、増分に応じて(循環的に)ストアからイベントが削除されるようになります。サイズは、イベント データのプライマリ保管場所のサイズ以上にする必要があります。

イベント データに現在使用されているスペース量の視覚的表示を確認できます。[Event Viewer]([Launch] > [Event Viewer])を開き、次に Event Viewer で [Views] > [Show Event Store Disk Usage] を選択します。

Error Notification Email IDs

拡張保管場所の使用で問題が発生した場合に、通知を受信する電子メール アドレス。複数のアドレスを指定する場合は、カンマで区切ります。通知が正常に送信されるように、「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」で説明しているように SMTP サーバも設定する必要があります。

メッセージには、問題、原因、および推奨アクションが示されます。たとえば、頻繁に拡張ストレージが到達不能になる場合、データのコピーが繰り返し失敗する場合、または拡張保管領域にコピーできるようになる前にプライマリ保管領域からパーティションが削除された場合(頻繁にストレージが到達不能になるか、コピーに永続的な問題があると発生する可能性がある)などに通知を受信します。

[Save] ボタン

変更を保存して適用します。

ほとんどの場合、変更を反映するには、Event Manager サービスを一時的に停止し、再起動することが必要となります。サービスがイネーブルであるかどうかを変更した場合は、それに応じてサービスが停止または起動します。進捗インジケータが表示されます。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Identity Settings] ページ

[Identity Settings] ページを使用して、NetBIOS ドメインが ASA デバイスの ID 認証ファイアウォール ポリシーを使用するように、Active Directory(AD)サーバ グループを設定します。これらの設定によって、ID 認証ポリシーのユーザまたはユーザ グループ、またはアイデンティティ ユーザ グループ ポリシー オブジェクトを選択するときに、検索機能を使用できるようになります。


ヒント ASA で [Identity Options] ポリシーを設定することで、エントリを追加することもできます。ポリシーを保存するときに、アイデンティティ設定管理ページを更新するかどうかを確認します。1 つのドメインに対して異なるサーバ グループを使用するように複数の ASA を設定できますが、設定ページでのドメインと AD サーバの組み合わせは 1 つであることに注意してください。ユーザ名のルックアップでは、設定する個別の ASA に設定されたサーバ グループにかかわらず、常に、アイデンティティ設定管理ページで定義されている AD サーバが選択されます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Identity Settings] を選択します。

関連項目

「アイデンティティ ユーザ グループ オブジェクトの作成」

「ポリシーでのアイデンティティ ユーザの選択」

フィールド リファレンス

 

表 11-14 [Identity Settings] ページ

要素
説明

[Domain-AD Server Group Mapping] テーブル

テーブルの各行によって、NetBIOS ドメインが ASA デバイスの ID 認証ファイアウォール ポリシーを使用するように、Active Directory(AD)サーバ グループが定義されます。

エントリを追加するには、[Add Row](+)ボタンをクリックし、[Add AD Domain Server] ダイアログボックスに入力します。「[Domain AD Server] ダイアログボックス」を参照してください。ドメイン名を入力して、LDAP AD サーバを指定する AAA サーバ グループ オブジェクトを選択する必要があります。

エントリを編集するには、エントリを選択し、[Edit Row](鉛筆)ボタンをクリックします。

エントリを削除するには、エントリを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

Security Manager がサーバ グループで定義されたサーバと正常に通信できるかどうかをテストするには、行を選択して [Test] をクリックします。

Default Domain

ファイアウォール ポリシーまたはアイデンティティ ユーザ グループ ポリシー オブジェクトのユーザ名またはグループ名を指定するときにドメインを入力しなかった場合に使用する NetBIOS ドメイン。

デフォルトは LOCAL で、これは、ローカル ユーザ、またはドメイン名に関連付けられている LDAP サーバ グループ以外で認証された VPN ユーザとして、その ASA 自身で名前が定義されることを意味します。

LOCAL 以外は、[Domain-AD Server Group Mapping] テーブルで設定されたドメインだけがこのリストに表示されます。

ヒント この設定は、user-identity default-domain コマンドで設定されたデフォルト ドメインとは関係ありません。この設定は、ドメイン名を含めずにユーザ名を入力できるようにする、便宜的な設定です。最も頻繁にユーザ名を入力するドメインを選択します。

Route query via

ユーザまたはユーザ グループを選択するときに検索機能を使用する場合、Security Manager から AD サーバにクエリーを送信する必要があります。クエリーを Security Manager クライアント(クライアントを実行しているワークステーション)から送信するか、サーバから送信するかを選択します。

デフォルトでは、LDAP クエリーはクライアントから送信されます。

For user strings without domain

デフォルト ドメインに LOCAL 以外を選択した場合、ドメイン名なしで入力されたユーザ名またはユーザ グループ名の処理方法を指定します。

[Auto determine user/user-group from AD]:デフォルト ドメインに関連付けられている AD サーバをチェックして、名前がユーザかユーザ グループかを判断し、適切なストリング(Default-Domain¥user または Default-Domain¥¥user-group)を追加します。名前が見つからない場合は、ドメイン名と 1 つまたは 2 つの ¥ 文字を手動で入力して、名前がユーザかグループかを示す必要があります。

[Change it to Default-Domain/user] :入力された名前はユーザ グループ名ではなくユーザ名であると見なして、デフォルト ドメインの Default-Domain¥user を追加します。

ヒント 入力するときに、名前の前に ¥ または ¥¥ を付けると、デフォルト ドメインが自動的に追加されます。そのため、[Change it to Default-Domain/user] オプションを選択した場合でも、最初に ¥¥ を入力すれば、ドメインを入力せずにグループ名を入力できます。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[IPS Updates] ページ

[IPS Updates] ページを使用して、シグニチャ、マイナーなバージョン更新、およびサービス パックに関して、センサーを最新の状態に保持するための管理タスクを実行します。[IPS Updates] ページを使用して、次のことを実行できます。

更新ステータスをモニタする。

取得可能な更新を確認し、それらをダウンロードする。

IPS 更新サーバを設定する。

自動更新の設定値を設定する。

ヒント

IPS 更新を手動で適用するには、[Tools] > [Apply IPS Update ] を選択します。詳細については、「IPS 更新の手動適用」を参照してください。

あとでシグニチャ更新を適用する必要がなかったと判断した場合は、デバイスで [Signatures] ポリシーを選択し、[View Update Level] ボタンをクリックしてから [Revert] をクリックすることにより、直前の更新レベルに戻すことができます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [IPS Updates] を選択します。

関連項目

「IPS 更新サーバの設定」

「IPS 更新の確認とダウンロード」

「IPS 更新の自動化」

「Cisco IOS IPS のシグニチャ カテゴリの選択」

フィールド リファレンス

 

表 11-15 [IPS Updates] ページ

要素
説明

[Update Status] グループ

[Refresh] ボタン

次の項目を表示します。[Refresh] をクリックして、情報を更新してください。

[Latest Available]:Cisco.com または最後に更新を確認したときのローカル HTTP サーバで取得可能な最新のシグニチャおよびセンサーの更新。

[Latest Downloaded]:Security Manager にダウンロードされた、最新のシグニチャおよびセンサーの更新。

[Latest Applied]:Security Manager でデバイスに適用された、最新のシグニチャおよびセンサーの更新。

[Latest Deployed]:Security Manager でデバイスに展開された、最新のシグニチャおよびセンサーの更新。

[Last Check On]:Cisco.com の確認を最後に実行した時間。

[Last Download On]:最後の更新が Security Manager にダウンロードされた時間。

[Last Deployed On]:いずれかのデバイスに最後の更新が展開された時間。

[Check for Updates] ボタン

[Download Latest Updates] ボタン

これらのボタンによって、更新が確認されるか、または Security Manager サーバにまだダウンロードされていないシグニチャおよびセンサー更新が IPS 更新サーバからダウンロードされます。更新の確認またはダウンロードの前に、IPS 更新サーバを設定する必要があります([Update Server] グループで [Edit Settings] をクリックします)。

これらのボタンのいずれかをクリックすると、ダイアログボックスが開き、操作の結果が表示されます。ユーザが [Download] ボタンをクリックすると、Security Manager は IPS 更新サーバにログインして更新を確認し、更新をダウンロードします。Cisco.com からのダウンロードに失敗する場合は、使用しているアカウントで強化暗号化ソフトウェアをダウンロードできることを確認してください。詳細については、「[Edit Update Server Settings] ダイアログボックス」の [User Name] の説明を参照してください。

をクリックして、再試行してください。

[Update Server] グループ

Cisco.com、または IPS 更新パッケージが格納されているローカル サーバへのアクセスに使用する設定を表示します。これらのフィールドには、Update サーバが Cisco.com とローカルに設定された HTTP サーバのいずれであるか、ローカル サーバを使用する場合はローカル サーバの名前、サーバにログインするためのユーザ アカウント、およびプロキシ サーバの名前(ある場合)が示されます。IPS 更新サーバを設定または変更するには、[Edit Settings] をクリックして [Edit Update Server Settings] ダイアログボックスを開きます(「[Edit Update Server Settings] ダイアログボックス」を参照)。

詳細については、「IPS 更新サーバの設定」を参照してください。

[Auto Update Settings] グループ

自動更新に固有の設定が含まれています。詳細については、「IPS 更新の自動化」を参照してください。

Auto Update Mode

自動更新を実行するかどうか、およびどの程度実行するかを設定します。次のオプションがあります。

Download, Apply, and Deploy Updates

Disable Auto Update

Check for Updates

Download Updates

Download and Apply Updates

デフォルトでは、自動更新はディセーブルになっています。その他のオプションは、次のオプションを 1 つ以上組み合わせたものとなります。

[Check for Updates]:Security Manager は、IPS 更新サーバに接続して更新を取得できるかどうかを確認し、電子メール通知が設定されている場合は、電子メールを送信します。ファイルはダウンロードされません。

[Download Updates]:Security Manager は最新の更新を IPS 更新サーバからダウンロードし、電子メール通知が設定されている場合は、電子メールを送信します。

[Apply Updates]:Security Manager は、ダウンロードされた更新パッケージに基づいて、[Apply Update To] リストで選択されているデバイスの設定を変更します。[Deploy Updates] も選択している場合を除き、これらの更新は個別に展開する必要があります。

[Deploy Updates]:Security Manager は、展開ジョブを開始して、適用可能な更新パッケージを、[Apply Update To] リストで選択されているデバイスに送信します。デバイスは、シグニチャ更新の成功に必要なライセンスを取得している必要があります。

Check for Updates

[Edit Update Schedule] ボタン

[Auto Update Mode] フィールドで選択されたアクションのスケジュール。このスケジュールを変更するには、[Edit Update Schedule] をクリックし、[Edit IPS Updates Schedule] ダイアログボックスでスケジュールを定義します。Security Manager が毎時間、毎日、毎週、または毎月のスケジュールに基づいて更新を実行することを指定したり、1 回かぎりのイベントを指定したりできます。開始時間を入力する場合は、24 時間制の hh:mm 形式を使用してください。

Notify Email

自動更新の通知が送信される電子メール アドレス。複数のアドレスを入力する場合は、それらのアドレスをカンマで区切ります。通知は、更新が次の状態になると送信されます。

ダウンロードが可能になった。

ダウンロードされた。

ダウンロードされ、適用された。

ダウンロードされ、適用され、展開された。

Apply Update To

Type

[Edit Row] ボタン

Devices to be Auto Updated

このセレクタには、Security Manager で定義されたローカル シグニチャ ポリシーおよび共有シグニチャ ポリシーを持つ IPS デバイスが含まれています。セレクタのカラムは、ローカル デバイス ポリシーまたは共有ポリシーが、次の更新タイプに関して選択されているかどうかを示します。

[Signature]:シグニチャ更新レベルの自動更新の場合。

[Minor]:マイナー更新およびサービス パックの場合。

[S.P.]:サービス パック更新の場合。

共有ポリシーの場合、一部がグレー表示になっているチェックボックスは、このポリシーを使用するデバイスの全部ではなく一部が選択されていることを示します。自動更新イベント中に、共有ポリシーに割り当てられているデバイスを変更すると、その共有ポリシーはグレー表示され、古い割り当てだけがこのページに表示されます。更新を実行したあとに、この割り当てリストは共有ポリシーのデバイス割り当てと同期されます。次の自動更新が実行される前に、このデバイス リストをプロアクティブに更新するには、ポリシーを選択して編集します(自動更新設定を選択します)。これで、デバイス割り当てリストが訂正されます。

[Type] フィールドを使用して、ローカル ポリシーと共有ポリシーの表示を切り替えます。表示を変更しても、自動更新の選択内容は変更されません。

自動更新用のローカルまたは共有ポリシーを選択するには、このセレクタで選択し、セレクタの下にある [Edit Row] ボタンをクリックします。これにより、[Edit Auto Update Settings] ダイアログボックスが開きます。このダイアログボックスで、ポリシーの更新タイプを選択できます。いずれかの自動更新タイプをポリシーに選択すると、影響を受けるデバイスが、セレクタの右にある [Devices to be Auto Updated] リストに示されます。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Edit Update Server Settings] ダイアログボックス

[Edit Update Server Settings] ダイアログボックスを使用して、IPS 更新の取得に使用するサーバを設定します。必要に応じて、Update サーバと通信するためのプロキシ サーバを設定できます。

ナビゲーション パス

[Tools] > [Security Manager Administration] > [IPS Updates] を選択し、[Update Server] グループで [Edit Settings] をクリックします。

フィールド リファレンス

 

表 11-16 [Edit Update Server Settings] ダイアログボックス

要素
説明

Update From

IPS 更新を Cisco.com から取得するか、ローカル HTTP/HTTPS サーバから取得するかを指定します。ダイアログボックスのフィールドは、選択に応じて変わります。

ローカルを選択した場合は、IPS 更新サーバとして使用するように HTTP または HTTPS サーバを設定する必要があります。

IP Address/ Host Name

(ローカル サーバのみ)

ローカル IPS 更新 Web サーバのホスト名または IP アドレス。

Web Server Port

(ローカル サーバのみ)

ローカル サーバが接続要求をリスニングするポート番号。デフォルトは 80 です。

User Name

IPS 更新サーバにログインするユーザ名。ユーザ ログインが不要なローカル サーバを設定する場合は、このフィールドを空白のままにしておきます。

Cisco.com ユーザ名を指定する場合、Cisco.com 上のユーザ アカウントは、強化暗号化ソフトウェアをダウンロードできる必要があります。アカウントが必要な権限を持っているかどうか不明な場合は、このアカウントを使用して Cisco.com にログインし、IPS 更新ファイルをダウンロードしてみます( http://www.cisco.com/cgi-bin/tablebuild.pl/ips5-system )。アカウントが適切な権限を持っていない場合は、必要な条件を読んで同意するように要求されます。適格要件を満たしている場合は、これらの条件を受け入れることができます。そうでない場合は、シスコの営業担当者にお問い合わせください。

Password

Confirm

両方のフィールドに入力される、指定したユーザ名のパスワード。パスワードが不要なローカル サーバを設定する場合は、これらのフィールドを空白のままにしておきます。

Path to Update Files

(ローカル サーバのみ)

ローカル サーバ上の IPS 更新ファイルの場所へのパス。たとえば、更新ファイルに http://local-server-ip:port/update_files_path/ でアクセスできる場合、update_files_path をこのフィールドに入力します。

Connect Using HTTPS

(ローカル サーバのみ)

ローカル IPS 更新サーバに接続する場合に、SSL を使用するかどうかを指定します。

Certificate Thumbprint

ローカル サーバ上の証明書から証明書サムプリントが計算されたあとに、この証明書サムプリントを表示します。

Retrieve From Server

ダイアログボックスで指定されたローカル サーバに接続し、所定のローカル サーバから証明書を取得し、[Certificate Thumbprint] フィールドに表示される証明書サムプリントを計算するために使用します。

Proxy Server Group

Enable Proxy Server

プロキシ サーバが、Cisco.com またはローカル サーバに接続するために必要であるかどうかを指定します。

IP Address/ Host Name

プロキシ サーバのホスト名または IP アドレス。

基本的なダイジェスト NT LAN Manager(NTLM)V1 または NTLM V2 認証を使用するように、プロキシ サーバを設定できます。NTLM V2 が、最もセキュアなスキームです。

Web Server Port

プロキシ サーバが接続要求をリッスンするポート番号。デフォルトは 80 です。

User Name

プロキシ サーバにログインするユーザ名。プロキシ サーバでユーザ ログインが必要ない場合は、このフィールドを空白のままにしておきます。

Password

Confirm

両方のフィールドに入力される、指定したユーザ名のパスワード。プロキシ サーバでパスワードが必要ない場合は、これらのフィールドを空白のままにしておきます。

[Edit Auto Update Settings] ダイアログボックス

[Edit Auto Update Settings] ダイアログボックスを使用して、[IPS Updates] ページの [Apply Update To] テーブルで選択したデバイスまたはポリシーの自動更新オプションを設定します。自動更新の設定については、「IPS 更新の自動化」を参照してください。

ナビゲーション パス

[IPS Updates] ページ(「[IPS Updates] ページ」を参照)の [Apply Update To] テーブルで、デバイスまたはポリシーを選択し、[Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 11-17 [Edit Auto Update Settings] ダイアログボックス

要素
説明

Auto Update

(IPS センサーおよび共有ポリシーだけ)

選択したデバイスまたは共有ポリシーに適用する、センサー更新のタイプ。マイナー更新とサービス パックの両方を適用したり、サービス パックだけを適用したりできます。または、[None] を選択して、センサーの更新が自動的に適用されないようにできます。

Auto Update Signature Update Level

自動シグニチャ更新にデバイスまたはポリシーを選択するかどうかを指定します。

Licensing ページ

[Licensing] ページを使用して、Security Manager アプリケーションおよび IPS デバイス用のライセンスを管理します。詳細については、「IPS ライセンスの管理」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Licensing] を選択します。

フィールド リファレンス

 

表 11-18 [Licensing] ページ

要素
説明

[CSM] タブ

Security Manager アプリケーションのライセンス設定。このタブの各フィールドの説明については、「[CSM] タブ、[Licensing] ページ」を参照してください。

[IPS] タブ

Security Manager によって管理される IPS デバイスのライセンス設定。このタブの各フィールドの説明については、「[IPS] タブ、[Licensing] ページ」を参照してください。

[CSM] タブ、[Licensing] ページ

[Licensing] ページの [CSM] タブを使用して、インストール済みの Security Manager ライセンスのリストを表示し、新しいライセンスをインストールします。詳細については、「Security Manager のライセンス ファイルのインストール」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Licensing] を選択し、[CSM] をクリックします。

フィールド リファレンス

 

表 11-19 [CSM] タブ、[Licensing] ページ

要素
説明

License Information

製品に登録されているライセンスに関する情報(エディション、ライセンス タイプ、有効期限、ライセンス対象デバイスの数、使用中のデバイス数、および使用されているデバイス数のパーセンテージ)を表示します。

Install License

インストールしたライセンスおよびそのインストール日のリスト。

Install a License button

このボタンをクリックして、ライセンス ファイルをインストールします。開いているこのダイアログボックスには、Cisco.com へのリンクが含まれています。ライセンスをまだ取得していない場合は、Cisco.com でライセンスを取得できます。ライセンス ファイルは、Security Manager サーバ上のローカル ドライブにコピーしてからインストールする必要があります。

[IPS] タブ、[Licensing] ページ

[Licensing] ページの [IPS] タブを使用して、インストール済みの IPS デバイス ライセンスのリストを表示したり、新しいライセンスまたは更新されたライセンスをインストールしたり、ライセンスを再展開したりします。このライセンス リストには、現在のライセンス、ライセンスを取得していないデバイス、ライセンスの有効期限が切れているデバイス、およびライセンスが無効なデバイスが表示されます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Licensing] を選択し、[IPS] をクリックします。

関連項目

「IPS ライセンス ファイルの更新」

「IPS ライセンス ファイルの再展開」

「IPS ライセンス ファイル更新の自動化」

「[License Update Status Details] ダイアログボックス」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

フィールド リファレンス

 

表 11-20 [IPS] タブ、[Licensing] ページ

要素
説明

IPS License Table

情報を最後にリフレッシュした時点での、デバイス インベントリ内のすべての IPS デバイスおよびそのライセンス ステータスを表示します。[Refresh] ボタンをクリックして、デバイスから最新の情報を取得します。

情報には、デバイスのシリアル番号(ライセンスの登録に使用)、ライセンス ステータス、およびライセンスの有効期限が含まれます。このリストには、現在のライセンスだけでなく、ライセンスを取得していないデバイス、ライセンスの有効期限が切れているデバイス、およびライセンスが無効なデバイスも表示されます。

ヒント このリストには、Cisco IOS IPS デバイスは含まれていません。Security Manager は、IPS を実行しているルータのライセンス管理には使用できません。

[Update Selected via CCO] ボタン

このボタンをクリックして Cisco.com に接続し、新しいライセンスを取得して、選択したデバイスのライセンス ファイルを更新します。このボタンをクリックすると、ダイアログボックスが表示され、Cisco.com から更新可能なデバイスが示されます。選択したすべてのデバイスが表示されるとはかぎりません。[OK] をクリックして、更新を実行します。正常に更新するために、更新されたファイルがデバイスに自動的に適用されます。

この方法でライセンスを更新するには、選択したデバイスのシリアル番号が含まれる Cisco.com サポート契約を締結する必要があります。

ヒント ライセンスが格納されたシスコのソフトウェア ライセンス サーバ(SWIFT)は、同じサーバから 3 分間に 10 ライセンス以上の要求があると、その要求をブロックする場合があります。そのため、手動でライセンス更新を実行するときは、一度に選択するデバイスを 8 つ以下にしてください。

[Redeploy Selected Licenses] ボタン

このボタンをクリックして、選択したデバイスにライセンスを再展開します。ライセンスの再展開は、更新されたライセンス ファイルを取得し、そのファイルが自動更新時にデバイスに正常に適用されなかった場合に必要となる場合があります。

このボタンをクリックすると、ダイアログボックスが開き、再展開するライセンスのデバイスが表示されます。[OK] をクリックして、更新を実行します。正常に更新するために、更新されたファイルがデバイスに自動的に適用されます。

[Update from License File] ボタン

このボタンをクリックし、Security Manager サーバからライセンス ファイルを選択して、ライセンスを更新します。このボタンをクリックすると、ダイアログボックスが開き、そこでライセンス ファイルを指定できます。[Browse] をクリックして、ファイルを選択します。ファイルは、Security Manager サーバ上のローカル ドライブに存在する必要があります。[OK] をクリックすると、更新されたファイルがデバイスに自動的に適用されます。

[Export] ボタン

ライセンス リストを Comma-Separated Values(CSV; カンマ区切り値)ファイルにエクスポートするには、このボタンをクリックします。Security Manager サーバ上のフォルダを選択し、ファイル名を指定するように要求されます。

[Refresh License] ボタン

選択したデバイスの IPS ライセンス テーブルのデータをリフレッシュするには、このボタンをクリックします。更新された情報がデバイスから取得されます。デバイスを選択しないと、すべてのデバイスのデータがリフレッシュされるため、リストに含まれるデバイスの数によっては長時間かかる場合があります。

Download and apply licenses

Days before the expiration date

IPS ライセンスを Cisco.com から自動的にダウンロードし、それらのライセンスをデバイスに自動的に適用するかどうかを指定します。自動更新を設定するには、IPS デバイスのシリアル番号が含まれる Cisco.com サポート契約を締結する必要があります。

このオプションを選択した場合は、ライセンスの有効期限が切れるまでの日数も指定して、その間にライセンスをダウンロードして適用できるようにします。Security Manager は、ライセンスのないデバイス、ライセンスの有効期限が切れたデバイス、またはライセンスは有効だが、ここで指定した日数以内に期限切れになるデバイスだけを評価します。有効期限が現在のライセンスより長いか、または異なるライセンス情報を持つ、有効なライセンスのみが適用されます。

Discover devices daily at

自動ライセンス更新を選択した場合に、Security Manager がデバイスに接続して現在のライセンスのステータスを確認し、指定した日数以内に期限切れになるデバイスがあるかどうかを評価する時刻を指定します。1 つ以上のデバイスが有効期限切れの条件を満たしている場合にだけ、Cisco.com に接続します。

Email License Update Results

Email Notification

有効期限切れのアラートとライセンス更新ジョブの結果を通知する電子メールを送信するかどうかを指定します。このオプションを選択した場合は、1 つ以上の電子メール アドレスも入力します(カンマ区切り)。

[Save] ボタン

自動ライセンス更新と電子メール通知設定の変更を保存します。

ライセンスを更新または再展開する IPS デバイスの確認

[Licensing] > [IPS] タブでデバイスを選択し(「[IPS] タブ、[Licensing] ページ」を参照)、Cisco.com(CCO)からライセンスを更新したり、ライセンスを再展開したりしようとすると、更新されるデバイスのリストが最初に表示されます。ダイアログボックスの名前は、実行するアクションによって異なります。

[Updating Licenses via CCO] ダイアログボックス:Cisco.com から更新するために選択した IPS デバイスを確認します。このデバイス リストには、Cisco.com からライセンスを更新できる IPS デバイスが表示されます。選択したすべてのデバイスが表示されるとはかぎりません。

この方法でライセンスを更新するには、選択したデバイスのシリアル番号が含まれる Cisco.com サポート契約を締結する必要があります。


ヒント ライセンスが格納されたシスコのソフトウェア ライセンス サーバ(SWIFT)は、同じサーバから 3 分間に 10 ライセンス以上の要求があると、その要求をブロックする場合があります。そのため、手動でライセンス更新を実行するときは、一度に選択するデバイスを 8 つ以下にしてください。

[Redeploying Licenses] ダイアログボックス:ライセンスを再展開するために選択した IPS デバイスを確認します。ライセンスをデバイスに再展開する場合は、そのライセンスが展開済みである必要があります。Security Manager は、すでに IPS デバイスと関連付けられているファイルを使用して、ライセンスを再展開します。

[OK] をクリックすると、[License Update Status Details] ダイアログボックスが開き、ライセンス再展開ジョブのステータスを表示できます。「[License Update Status Details] ダイアログボックス」を参照してください。

ナビゲーション パス

これらのダイアログボックスを開くには、[Tools] > [Security Manager Administration] > [Licensing] > [IPS] タブで 1 つ以上のデバイスを選択し、[Update Selected via CCO] または [Redeploy Selected Licenses] をクリックします。

IPS ライセンス ファイルの選択

[Tools] > [Security Manager Administration] > [Licensing] > [IPS] タブで 1 つ以上のデバイスを選択し、[Update from License File] をクリックすると、[Updating Licenses from File] ダイアログボックスで使用するライセンス ファイルを選択するように要求されます。

ライセンス ファイルは、Security Manager サーバ上のローカル ドライブに格納されている必要があります。[Browse] をクリックしてライセンス ファイルを選択します。Ctrl を押しながらクリックして複数のライセンス ファイルを選択したり、Shift を押しながらクリックしてファイルの範囲を選択したりできます。使用するライセンス ファイルを選択したら、[OK] をクリックして、それらのファイルを IPS デバイスに適用します。

[License Update Status Details] ダイアログボックス

[License Update Status Details] ダイアログボックスを使用して、IPS ライセンス更新タスクのステータスを表示します。このダイアログボックスは、[Licensing] ページの [IPS] タブから更新タスクを起動するたびに開きます。詳細については、「[IPS] タブ、[Licensing] ページ」を参照してください。

フィールド リファレンス

 

表 11-21 [License Update Status Details] ダイアログボックス

要素
説明

Progress bar

現在のデバイス上でライセンス更新タスクが何 % 完了したかを示します。

Status

更新タスクの現在の状態。

Devices to be updated

このタスク中に更新されるデバイスの総数。

Devices updated successfully

エラーが発生することなく更新されたデバイスの数。

Devices updated with errors

更新中にエラーが発生したデバイスの数。

Device list

更新されるデバイス。デバイス名、更新のステータス、および更新に関する概要情報が含まれます。デバイスを選択し、要約リストの下にあるメッセージ リストで、そのデバイスの更新中に生成されたメッセージを確認します。

Messages list

ライセンス更新中に、選択したデバイスに関して生成されたメッセージ。メッセージを選択すると、リストの右側のフィールドに詳細情報が表示されます。

Description

[Message list] で選択されたメッセージに関する詳細情報。

Action

説明されている問題を解決するために実行する必要がある手順。

[Abort] ボタン

ライセンス更新タスクを中断します。

[Logs] ページ

[Logs] ページを使用して、監査ログおよび操作ログのデフォルト設定値を設定します。監査ログによって、Security Manager で発生したすべての状態変更の記録が保持されます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Logs] を選択します。

関連項目

「[Audit Report] ウィンドウの使用」

「監査レポートについて」

「監査レポートの生成」

「監査ログ エントリのパージ」

フィールド リファレンス

 

表 11-22 [Logs] ページ

要素
説明

Keep Audit Log For

[Purge Now] ボタン

監査レポート エントリを削除する前に保存しておく最大日数。ログのエントリ数が、[Purge Audit Log After] フィールドに入力した数を超えると、この日数に到達する前に、古いログ エントリが削除される場合があります。

この日数を減らした場合、[Purge Now] をクリックして、古いエントリをすぐに削除できます。

>¥CSCOpx¥MDC¥log¥audit フォルダの *.csv ファイルは削除されません。これらの *.csv ファイルは、直接削除できます。

Purge Audit Log After (entries)

保存する監査レポート エントリの最大数。エントリが、[Keep Audit Log For] フィールドで指定した日数よりも古くなると、ログに含まれているエントリがこの最大エントリ数より少ない場合でも、そのエントリは削除されます。

Keep Operation Log For

操作ログが、削除されるまで Security Manager によって保持される日数。これらのログは、デバッグのために使用されます。

Log Level

操作ログで収集する必要がある、重大度に基づく情報レベル。各レベルでは、異なる量のデータが収集されます。たとえば、情報レベルでは、ほとんどのデータが収集され、重大レベルでは、収集されるデータが最も少なくなります。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Policy Management] ページ

[Policy Management] ページを使用して、Security Manager で管理するルータおよびファイアウォールのポリシー タイプを選択します。これらの選択内容は、ルータおよびファイアウォール デバイスに適用されますが、IPS デバイスには適用されません。デフォルトでは、すべてのポリシーが管理対象として選択されています。

管理対象外のポリシーは、デバイス ビューとポリシー ビューの両方から削除されます。管理対象外のポリシー(ローカルまたは共有)は、Security Manager データベースから削除されます。唯一の例外は、インターフェイス ポリシーです。インターフェイス ポリシーは、Security Manager に引き続き表示されますが、読み取り専用ポリシーのマークが付けられます。ファイアウォール デバイスの場合、インターフェイスおよびフェールオーバーの設定は、1 つのユニットと見なされ、両方が管理対象となるか、または管理対象外となります。

ポリシー タイプを管理する方法および管理対象外とする方法(これらの設定を変更する前後に実行する必要がある内容を含む)の詳細については、「ルータおよびファイアウォール デバイスのポリシー管理のカスタマイズ」を参照してください。


注意 AUS または CNS を使用して設定を ASA または PIX デバイスに展開する場合は、デバイスが AUS または CNS から完全な設定をダウンロードする点に注意してください。そのため、Security Manager で管理されているポリシーを減らすと、実際にはデバイスから設定が削除されます。管理対象の一部の ASA/PIX ポリシーを選択解除し、Security Manager とともに他のアプリケーションを使用してデバイスを設定する場合は、AUS または CNS を使用しないでください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Policy Management] を選択します。

フィールド リファレンス

 

表 11-23 [Policy Management] ページ

要素
説明

Policies to Manage

ポリシー タイプは、フォルダで整理されます。個別に処理されるルータとファイアウォール(すべての ASA、PIX、および FWSM デバイスを含む)別に整理され、次に、カテゴリ([NAT]、[Interfaces]、および [Platform])別に整理されます。必要に応じてポリシー タイプを選択または選択解除し、[Save] をクリックします。ポリシーのグループのチェックボックスをオフにすると、そのグループのすべてのポリシーの選択が解除されます。デフォルトでは、すべてのポリシーが選択されています。

Display a warning on all shared policies and imported objects

すべての共有ポリシーと、[File] > [Import] コマンドでインポートされたオブジェクトに、メッセージを追加するかどうかを指定します。このオプションを選択すると、次のものにメッセージが表示されます。

すべての共有ポリシー(インポートされたかローカルで作成されたかを問いません)。

[File] > [Import] コマンドを使用してデバイスまたは共有ポリシーをインポートすることで作成されたポリシー オブジェクト。PolicyObjectImportExport.pl コマンド(「ポリシー オブジェクトのインポートおよびエクスポート」を参照)によって作成され、インポートされたポリシー オブジェクトは含まれません。

共有ポリシーを定期的にインポートすると、インポートされたポリシーおよびオブジェクトによって同名のポリシーおよびオブジェクトが置換されて、ローカルで行った変更が削除されます。このメッセージは、ポリシーがインポートされる可能性があることをユーザに通知し、編集しないポリシー オブジェクトをユーザが識別するために役立ちます。

ヒント ポリシーまたはデバイスをインポートするとき、このオプションの設定を選択するように要求されます。そのため、ポリシーまたはデバイスをインポートするユーザは、必要な認可を受けていれば、このページにアクセスすることなくこの設定を変更できます。この変更は、インポートの実行者が変更を送信(必要に応じて承認)したあとにだけ、有効になります。詳細については、「ポリシーまたはデバイスのインポート」を参照してください。

[Save] ボタン

変更を保存します。

ポリシーを管理対象外とする場合、そのポリシーが割り当てられているデバイスのリストが表示されます。Security Manager は、ポリシーの割り当てを解除するために、すべてのデバイスから必要なロックを取得できる必要があります。そうでない場合、ポリシーを管理対象外とする前に、手動でポリシーの割り当てを解除(またはロックを削除)する必要があります。

前に管理対象外であったポリシーを管理対象にする場合は、影響を受けるすべてのデバイスを再検出して、既存の設定値を Security Manager に含める必要があります。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Policy Objects] ページ

[Policy Objects] ページを使用して、ポリシー オブジェクトの作成に関するシステム デフォルトを定義します。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Policy Objects] を選択します。

関連項目

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「ポリシー オブジェクトの管理」

フィールド リファレンス

 

表 11-24 [Policy Objects] ページ

要素
説明

When Redundant Objects Detected

既存のオブジェクトと同じ定義を持つポリシー オブジェクトを作成しようとしたときに、Security Manager で実行するアクション:

[Ignore]:同一の定義を持つオブジェクトを自由に作成できます。すべての競合は無視されます。

[Warn]:既存のオブジェクトと同じオブジェクトを作成しようとすると、警告が表示されます。必要な場合は、オブジェクトの作成に進むことができます。

[Enforce]:既存のオブジェクトと同じオブジェクトを作成することが禁止されます。エラー メッセージが表示されます。

Default Source Ports

サービス オブジェクトのデフォルト送信元ポート範囲として使用するポート範囲値。次のいずれかを選択できます。

[Use all ports]:1 ~ 65535 のすべてのポートが含まれます。

[Use secure ports]:1024 ~ 65535 のすべてのポートが含まれます。

デフォルトの送信元ポートを変更した場合は、影響を受ける可能性がある、以前展開されていたすべてのデバイスに手動で再展開する必要があります。これらの変更内容は、データをリフレッシュするまで、開いているアクティビティには反映されない場合があります。

ポート リスト オブジェクトの詳細については、「ポート リスト オブジェクトの設定」を参照してください。

Enable AutoComplete Dropdown Box

ユーザがサービスを作成するときに、ユーザの入力に一致するサービス名およびポート リスト名を Security Manager が表示するかどうかを指定します。これにより、すでに定義している名前から簡単に選択できるようになります。オートコンプリートの選択を解除すると、正確なサービス名およびポート リスト名を覚えておき、自分で入力する必要があります。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Rule Expiration] ページ

[Rule Expiration] ページを使用して、ポリシールールの有効期限のデフォルト値を定義します。一部のタイプのポリシールール(アクセス ルールなど)のポリシーを作成するときに、そのルールの有効期限を設定できます。また、Security Manager は、有効期限が近づくと電子メールで通知できます。

電子メール通知をイネーブルにするように、SMTP サーバを設定する必要があります。詳細については、「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Rule Expiration] を選択します。

フィールド リファレンス

 

表 11-25 [Rule Expiration] ページ

要素
説明

Notify Email

ルールの有効期限の通知を受信する、デフォルトの電子メール アドレス。ユーザは、個々のルールを設定するときにこのアドレスをオーバーライドできます。

Notify Before Expiration

Security Manager が電子メール メッセージを送信する、ルールの有効期限が切れる前のデフォルト日数。ユーザは、個々のルールを設定するときにこの値をオーバーライドできます。

Sender

Security Manager が電子メール通知を送信するために使用する電子メール アドレス。

Email Format

電子メール メッセージの形式:

[Text]:電子メールは、HTML 形式およびプレーン テキスト形式で送信されます。

[XML]:電子メールは、XML マークアップを使用して送信されます。このオプションは、通知に対する処理および応答を自動的に行うプログラムを記述する場合に適しています。

[Save] ボタン

変更を保存します。

[Reset] ボタン

すべてのフィールドを以前の値に復元します。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[Server Security] ページ

[Server Security] ページを使用して、CiscoWorks Common Services アプリケーションの特定のページを開きます。これらのページでは、Security Manager サーバでのさまざまなセキュリティ機能を設定できます。CiscoWorks Common Services によって、ユーザ アクセス コントロールやシステム セキュリティなど、Security Manager サーバの基本的な機能が制御されます。

Security Manager にログインするときに、ユーザ名とパスワードが、(インストール時に AAA プロバイダーとして設定したシステムに応じて)CiscoWorks または Cisco Secure Access Control Server(ACS)データベースに格納されているアカウント情報と比較されます。クレデンシャルの認証後、割り当てられているロールに応じたアクセスを実行できます。

Common Services ロールが、Security Manager におけるユーザ機能に変換される方法など、Security Manager のロールおよび権限の詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Server Security] を選択します。

フィールド リファレンス

 

表 11-26 [Server Security] ページ

要素
説明

[AAA Setup] ボタン

Common Services を開き、[AAA Mode Setup] ページを表示します。このページで、AAA をフォールバック サインオン方式として設定できます。AAA の詳細については、[AAA Mode Setup] ページの [Help] をクリックして参照してください。

[Certificate Setup] ボタン

Common Services を開き、[Self-Signed Certificate Setup] ページを表示します。CiscoWorks を使用すると、自己署名セキュリティ証明書を作成できます。この証明書を使用して、クライアント ブラウザと管理サーバ間の SSL 接続をイネーブルにできます。自己署名証明書の詳細については、[Certificate Setup] ページの [Help] をクリックして参照してください。

[Single Sign On] ボタン

Common Services を開き、[Single Sign-On Setup] ページを表示します。Single Sign-On(SSO; シングル サインオン)を使用すると、ブラウザ セッションを使用して、複数の CiscoWorks サーバに透過的にナビゲートできます。各サーバで認証を受ける必要はありません。複数の CiscoWorks サーバ間の通信は、証明書と共有秘密キーによって対処されるトラスト モードでイネーブルになります。SSO のセットアップの詳細については、[Single Sign-On] ページの [Help] をクリックして参照してください。

Local User Setup

Common Services を開き、[Local User Setup] ページを表示します。このページでは、ユーザを追加および削除したり、ユーザ設定を編集したり、ロールや権限を割り当てたりできます。詳細については、[Local User Setup] ページの [Help] をクリックし、『 Installation Guide for Cisco Security Manager 』を参照してください。

System Identity Setup

Common Services を開き、[System Identity Setup] ページを表示します。複数の CiscoWorks サーバ間の通信は、証明書と共有秘密キーによって対処されるトラスト モードでイネーブルになります。システム ID を設定すると、複数サーバ セットアップの一部であるサーバ上に信頼ユーザを作成できます。システム ID の設定の詳細については、[System Identity Setup] ページの [Help] をクリックして参照してください。

[Status] ページ

[Status] ページを使用して、ユーザが [Tools] > [Inventory Status] を選択してインベントリ ステータスを表示するときに、ステータスをユーザに提供するプロバイダーを選択します。このステータスは、[Inventory Status] ウィンドウの [Status] タブに表示されます。

デフォルトでは、Security Manager がデバイスの展開に関するステータスを提供しますが、Performance Monitor サーバをネットワークのモニタに使用している場合は、Performance Monitor サーバを追加できます。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Status] を選択します。

関連項目

「ステータス プロバイダーの設定」

「[Inventory Status] ウィンドウ」

「インベントリ ステータスの表示」

フィールド リファレンス

 

表 11-27 [Status] ページ

要素
説明

Display Deployment Status

デバイスを含む展開ジョブのステータスを含めるかどうかを指定します。

[Providers] テーブル

Security Manager に登録される Performance Monitor サーバ。最大 5 つのサーバを追加できます。

このプロバイダー名は、個々のデバイスの [Status] タブ上の [Inventory Status] ウィンドウに表示され、ステータスを提供したサーバを示します。短い名前は、ニックネームです。

Performance Monitor サーバをリストに追加するには、[Add](+)ボタンをクリックして、「[Add or Edit Status Provider] ダイアログボックス」に入力します。

サーバのプロパティを編集するには、サーバを選択し、[Edit](鉛筆)ボタンをクリックします。

サーバを削除するには、そのサーバを選択し、[Delete](ゴミ箱)ボタンをクリックします。

[Status] セルを使用して、Security Manager がサーバにステータスをアクティブにポーリングするかどうかを指定します。サーバをアクティブにポーリングする場合は [Enabled] を選択します。プロバイダーのエントリは削除せずにサーバへのポーリングを一時停止する場合は [Disabled] を選択します。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Add or Edit Status Provider] ダイアログボックス

[Add or Edit Status Provider] ダイアログボックスを使用して、Performance Monitor サーバを Security Manager に登録します。これにより、Security Manager は、VPN トンネル、デバイス接続、CPU 使用率しきい値などのイベント ステータスを Performance Monitor サーバにポーリングできるようになります。ユーザは、[Tools] > [Inventory Status] を選択して、使用しているデバイスのステータスを表示できます。詳細については、「ステータス プロバイダーの設定」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] > [Status] ページで、プロバイダー テーブルの下にある [Add](+)ボタンをクリックするか、またはプロバイダーを選択して [Edit](鉛筆)ボタンをクリックします。

フィールド リファレンス

 

表 11-28 [Add or Edit Status Provider] ダイアログボックス

要素
説明

Provider name

サービス プロバイダーの名前。Performance Monitor などです。最大 128 文字を入力できます。有効な文字は、0 ~ 9、大文字の A ~ Z、小文字の a ~ z、- _ : .、およびスペースです。

Server

Performance Monitor サーバの IP アドレスまたは完全修飾ホスト名。ホスト名には最大 128 文字を使用できます。

Short Name

プロバイダー名の短い名前。

Port

Security Manager が、Performance Monitor サーバとの通信に使用するポート番号。デフォルトは 443 です。

Poll Cycle

ファイアウォール デバイスが、Performance Monitor に新しい情報をポーリングするまで待機する分数。デフォルトは 600 秒(10 分)です。最小時間は 60 秒です。

Username

Performance Monitor にログインするためのユーザ名。

Password

Performance Monitor にログインするためのパスワード。[Confirm] フィールドに、パスワードを再入力します。

URN

Performance Monitor のユニフォーム リソース名。URN は、インターネット上のリソースを識別する名前です。URN は、URL の一部です(/mcp/StatusServlet など)。完全な URL は、次のようになります。

https://: <server ip> :443/mcp/StatusServlet

値は次のとおりです。

<server ip> は、Performance Monitor の IP アドレスです。

443 は、Performance Monitor によってリスニングされるポート番号です。

/mcp/StatusServlet は、Performance Monitor の URN です。

Status

サーバが、ステータスを Security Manager に提供できるかどうかを指定します。[Disabled] を選択すると、そのサーバは、ステータス プロバイダー リストには追加されますが、Security Manager によってステータスはポーリングされません。

[Take Over User Session] ページ

[Take Over User Session] ページを使用して、別のユーザの設定セッションを引き継ぎます。管理権限を持つユーザは、Workflow 以外のモードで別のユーザの作業を引き継ぐことができます。デバイスおよびポリシーが、ユーザによって操作されているためにロックされているが、別のユーザが同じデバイスおよびポリシーへのアクセスを必要としている場合、セッションの引き継ぎが役立ちます。ただし、別のユーザのセッションを引き継ぐと、現在のセッションは廃棄されるため、セッションを引き継ぐ前に、変更内容を必ず送信してください。

テーブルには、現在の設定セッションがすべて表示され、ユーザ名とセッションの状態、およびユーザが現在ログインしているかログアウトしているかが示されます。引き継ぐ設定セッションを選択し、[Take over session] をクリックします。セッションは、ユーザがセッション中に保存した変更内容を含め、現在の状態で転送されます。

選択したユーザが、セッションを引き継ぐときにログインしている場合、そのユーザは、警告メッセージを受信し、進行中の保存していない変更内容は失われ、ログアウトされます。

詳細については、「別のユーザの作業の引き継ぎ」を参照してください。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Take Over User Session] を選択します。

[Token Management] ページ

[Token Management] ページを使用して、Token Management System(TMS)を通信プロトコルとして使用している Cisco IOS ルータに設定を展開するために使用する TMS サーバを指定します。Security Manager は、このページ上の設定を使用して、TMS サーバに接続します。

Security Manager は、FTP を使用して、デルタ設定ファイルを TMS サーバに展開します。TMS サーバから eToken に設定ファイルをダウンロードし、暗号化できます。

Cisco IOS ルータで TMS を使用するには、TMS をトランスポート プロトコルとして指定する必要があります。すべてのルータの場合は [Device Communication] ページ(「[Device Communication] ページ」を参照)で指定し、特定のルータの場合はそのデバイス プロパティ(「[General] ページ」を参照)で指定できます。TMS サーバを FTP サーバとして設定する必要もあります。設定しないと、展開は失敗します。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Token Management] を選択します。

関連項目

「Token Management Server への設定の展開」

「展開方法について」

フィールド リファレンス

 

表 11-29 [Token Management] ページ

要素
説明

[Server Name] または [IP Address]

TMS サーバの DNS ホスト名または IP アドレス。

Username

Security Manager が、TMS サーバにログインするときに使用するユーザ名。

Password

Confirm Password

ユーザ名のパスワード。両方のフィールドにパスワードを入力します。

Directory in the TMS Server for Config Files

展開された設定ファイルがダウンロードされる、TMS サーバ上のディレクトリ。ルート FTP ディレクトリ(「.」)が、TMS サーバ上のデフォルトの FTP ロケーションです。

Public Key File Location

TMS サーバからコピーされた、Security Manager サーバ上の公開キー ファイルと秘密キー ファイルの場所。Security Manager は、この公開キーを使用して、TMS サーバに送信されるデータを暗号化します。次に、サーバはその秘密キーを使用してデータを復号化します。Security Manager には、サーバ上のデフォルトの秘密キーと一致する、デフォルトの公開キーが用意されています。

(注) 必要に応じて、TMS サーバを使用して、公開キーと秘密キーの新しいペアを生成できます。生成した場合は、新しい公開キーを Security Manager サーバにコピーする必要があります。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を前回保存した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。

[VPN Policy Defaults] ページ

[VPN Policy Defaults] ページを使用して、Security Manager が各 IPsec テクノロジーに使用するデフォルトの VPN ポリシーを表示または割り当てます。ポリシーをデフォルトとして選択する前に、そのポリシーを共有ポリシーとして作成し、データベースに送信し、承認を受ける必要があります。このページからポリシーを作成することはできません。これらのデフォルトを設定する方法の詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。

VPN トポロジに関連する各タブでは、各ポリシー タイプのドロップダウン リストに、選択可能な既存の共有ポリシーが示されます。ポリシーを選択して [View Content] ボタンをクリックすると、そのポリシーの定義を参照できます。場合によっては変更できますが、その変更は保存できません。

Security Manager は、VPN ポリシーのデフォルトを使用して、ポリシーの一貫性を維持すると同時に、VPN 設定を簡素化します。Security Manager は、必須ポリシー用に出荷時のデフォルト ポリシーを提供します。これにより、VPN が機能するために VPN トポロジ内のデバイスで設定する必要がある設定値が提供されます。必須ポリシーは、割り当てられている IPsec テクノロジーによって変わります。デフォルトの設定値を持つ出荷時のデフォルト ポリシーを使用すると、VPN トポロジの作成後すぐにデバイスに展開できます。デフォルト設定は、オプションのポリシーには提供されません。出荷時のデフォルト設定を使用する代わりに、異なるデフォルト設定を提供するために共有ポリシーを作成する必要がある場合があります。

ナビゲーション パス

[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [VPN Policy Defaults] を選択します。

関連項目

「新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA および PIX 7.0 以降のデバイス)」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS および PIX 6.3 デバイス)」

フィールド リファレンス

 

表 11-30 [VPN Policy Defaults] ページ

要素
説明

[DMVPN] タブ

ダイナミック マルチポイント VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[Large Scale DMVPN] タブ

大規模ダイナミック マルチポイント VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[Easy VPN] タブ

Easy VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[IPsec/GRE] タブ

IPsec/GRE VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[GRE Dynamic IP] タブ

GRE ダイナミック IP VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[Regular IPsec] タブ

通常の IPsec VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

GET VPN

Group Encrypted Transport(GET)VPN テクノロジー用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

Remote Access VPN

IPsec リモート アクセス VPN 用のデフォルト ポリシーを設定できるポリシー タイプが一覧表示されます。

[S2S Endpoints] タブ

サイト間 VPN における内部インターフェイスと外部インターフェイスのデフォルトのエンドポイントを定義するインターフェイス ロール。

[Workflow] ページ

[Workflow] ページを使用して、Security Manager が適用するワークフロー モードを選択します。また、アクティビティおよび展開ジョブの通知とログのデフォルト設定を定義します。

ワークフロー モードを変更する前に、次の項で、モードの相違、およびモード変更による影響を確認してください。

「Workflow モードの作業」

「Workflow 以外のモードの作業」

「2 つのワークフロー モードの比較」

「ワークフロー モードの変更」

ナビゲーション パス

[Tools] > [Security Manager Administration] をクリックし、コンテンツ テーブルから [Workflow] を選択します。

関連項目

「アクティビティの管理」

「展開の管理」

フィールド リファレンス

 

表 11-31 [Workflow] ページ

要素
説明
Workflow Control

Enable Workflow

Workflow モードをイネーブルにするかどうかを指定します。Workflow モードがイネーブルになると、アクティビティおよび展開ジョブのアプルーバを設定するかどうかを選択できます。

Require Activity Approval

アクティビティが、割り当てられたアプルーバによって明示的に承認される必要があるかどうかを指定します。アプルーバの有無による処理の違いについては、「アクティビティの承認」を参照してください。

Require Deployment Approval

展開ジョブが、割り当てられたアプルーバによって明示的に承認される必要があるかどうかを指定します。アプルーバの有無による処理の違いについては、「展開について」を参照してください。

Email Notifications

Sender

Security Manager が電子メール通知を送信するために使用する電子メール アドレス。

Activity Approver

アクティビティの承認担当者のデフォルトの電子メール アドレス。ユーザは、承認のためにアクティビティを送信するときに、このアドレスをオーバーライドできます。詳細については、「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」を参照してください。

Job/Schedule Approver

展開ジョブまたはスケジュールの承認担当者のデフォルトの電子メール アドレス。ユーザは、承認のためにジョブまたはスケジュールを送信するときに、このアドレスをオーバーライドできます。詳細については、「展開ジョブの送信」を参照してください。

Job Completion Notification

展開ジョブが完了したときに、通知を受信するユーザの電子メール アドレス。ユーザは、展開ジョブを作成するときに、このアドレスをオーバーライドできます。

Require Deployment Status Notification

Include Job Deployer

Job Completion Notification

展開ジョブのステータスが変更されるたびに、電子メール通知を送信するかどうかを指定します。このオプションを選択した場合は、通知を受信する電子メール アドレスを [Job Completion Notification] フィールドに入力します。複数のアドレスを指定する場合は、カンマで区切ります。

[Include Job Deployer] を選択して、ジョブを展開した担当者の電子メール アドレスを通知電子メール メッセージに含めることもできます。

Workflow History

Keep Activity for

アクティビティ情報を [Activity] テーブルで保持する日数。デフォルトは 30 です。1 ~ 180 日を指定できます。

[Purge Now] をクリックして、指定した日数よりも古いすべてのアクティビティを削除します。

Keep Job for

展開ジョブ情報を [Deployment Job] テーブルで保持する日数。デフォルトは 30 です。1 ~ 180 日を指定できます。

[Purge Now] をクリックして、指定した日数よりも古いすべてのジョブを削除します。

Keep job per schedule for

展開ジョブ情報を、各ジョブ スケジュールの [Deployment Job] テーブルで保持する日数。この設定は、スケジュールを使用して開始されたジョブだけに適用されます。デフォルトは 30 です。1 ~ 180 日を指定できます。

[Purge Now] をクリックして、指定した日数よりも古いすべてのジョブを削除します。

[Save] ボタン

変更を保存します。

[Reset] ボタン

変更を以前に適用した値にリセットします。

[Restore Defaults] ボタン

値を Security Manager のデフォルトにリセットします。