Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
一般、Solaris、Linux、および Windows ア プリケーション ホストの設定
一般、Solaris、Linux、および Windows アプリケーション ホストの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

一般、Solaris、Linux、および Windows アプリケーション ホストの設定

一般デバイスの追加

Sun Solaris および Linux ホスト

イベントを生成するための Solaris または Linux ホストの設定

MARS Appliance を発行するための Syslogd の設定

Solaris または Linux ホスト ログを受信するための MARS の設定

Microsoft Windows ホスト

プッシュ方式:一般的な Microsoft Windows ホストの設定

Microsoft Windows ホストへの SNARE Agent のインストール

Microsoft Windows ホストでの ステータスのイネーブル化

プル方式:Microsoft Windows ホストの設定

ドメイン ユーザを使用した Windows プル処理のイネーブル化

Windows NT からの Windows プル処理のイネーブル化

Windows 2000 Server からの Windows プル処理のイネーブル化

Windows Server 2003 または Windows XP Host からの Windows プル処理

Windows ホストのログをプルまたは受信するための MARS の設定

Windows イベント ログのプル時間間隔

脆弱性アセスメント情報の定義

ホスト上で動作しているネットワーク サービスの特定

一般、Solaris、Linux、および Windows アプリケーション ホストの設定

アプリケーション ホストとは、重要なアプリケーションを実行するネットワーク上のホストです。サポートされるレポート デバイスとセキュリティ デバイスの多くは、デバイスが実行されるベース ホストが定義されるまで表現できません。このようなアプリケーションには、CheckPoint Firewall やすべての形式の Web サーバなどが含まれます。

MARS は、次のホスト タイプの定義に対応しています。

一般 :不特定のオペレーティング システム、および直接サポートされないオペレーティング システムを示します。

Windows :Microsoft オペレーティング システムのいずれかを示します。

Solaris :Solaris ファミリのオペレーティング システムのいずれかを示します。

Linux :Linux ファミリのオペレーティング システムのいずれかを示します。

アプリケーション ホストはできる限り正確に定義する必要があります。このガイドラインは、脆弱性アセスメント情報および一般的に設定に適用されます。この詳細情報によって、ホストが既知の攻撃の対象になっているかどうかを MARS で判断できます。たとえば、ホスト上で動作する特定のオペレーティング システムまたはアプリケーション/サービスを対象とする攻撃などです。

この章は、次の内容で構成されています。

「一般デバイスの追加」

「Sun Solaris および Linux ホスト」

「Microsoft Windows ホスト」

「脆弱性アセスメント情報の定義」

一般デバイスの追加

MARS がサポートするデバイス リストに表示されなくても、MARS はすべての syslog および SNMP デバイスをサポートできます。syslog または SNMP デバイスをネットワーク トポロジに入力し、MARS に対してデータを報告するように設定し、自由形式のキーワード クエリーを使用して照会できます。自由形式のクエリーの詳細については、「 To Run a Keyword Query 」を参照してください。

Sun Solaris および Linux ホスト

Solaris または Linux ホストのログ情報を受信およびプロセスするように MARS を設定するには、3 つのタスクを実行する必要があります。

ここでは、次の内容について説明します。

「イベントを生成するための Solaris または Linux ホストの設定」

「MARS Appliance を発行するための Syslogd の設定」

「Solaris または Linux ホスト ログを受信するための MARS の設定」

イベントを生成するための Solaris または Linux ホストの設定

MARS Appliance は、Linux/Solaris ホストから syslog 情報を受信できます。Linux/Solaris アプリケーションを設定するには、syslog に書き込むように次のアプリケーションを設定する必要があります。

システム ログに書き込むようにこれらのアプリケーションを設定するには、次の手順を実行します。


ステップ 1 xferlog(FTP サーバからの転送ロギング情報を提供します)

For ftpd, add the following to /etc/ftpd/ftpaccess:
log transfers real,guest,anonymous inbound,outbound log syslog+xferlog
 

ステップ 2 inetd トレース メッセージ(inetd を使用して提供されるサービスに対して認証情報を提供します)

For inetd, the line in /etc/rc2.d/S72inetsvc that reads:
/usr/sbin/inetd -s
needs to be changed to:
/usr/sbin/inetd -t -s
 

他のメッセージは syslog に自動的に表示されるため、特に設定する必要はありません。

ステップ 3 メッセージ生成をイネーブルにした後は、メッセージを MARS Appliance に発行するように sylogd deamon を設定する必要があります。詳細については、「MARS Appliance を発行するための Syslogd の設定」を参照してください。


 

MARS Appliance を発行するための Syslogd の設定

システム ログに書き込むように適切なアプリケーションをイネーブルにした後は、syslog メッセージを MARS Appliance に発行するように、Solaris または Linux ホスト上の syslog デーモンを設定する必要があります。

syslog を MARS Appliance に発行するように Solaris または Linux ホストを設定するには、次の手順を実行します。


ステップ 1 /etc/syslog.conf ファイルを編集し、次の行を追加します。

*.debug @MARS_hostname
 

この MARS_hostname は、MARS Appliance のホスト名または IP アドレスです。

ステップ 2 変更が処理されるように、次のコマンドを実行して syslogd を再起動します。

/etc/init.d/syslog stop
/etc/init.d/syslog start
 

この行を syslog.conf ファイルに追加し、syslogd を再起動した後は、コンソールに送信されるすべてのメッセージが MARS Appliance にも送信されます。


 

Solaris または Linux ホスト ログを受信するための MARS の設定

Solaris または Linux デバイスを MARS に追加するには、次の手順を実行します。


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] をクリックします。

図 36-1 Solaris または Linux デバイスの追加

 

ステップ 2 [Device Type] リストで、[Add SW Security apps on a new host] を選択します。

図 36-2 ログの送信元 Solaris または Linux デバイスの指定

 

ステップ 3 次のフィールドに値を入力します。

[Device Name]:このデバイスのホスト名を入力します。

[Reporting IP]:ログのプル元の IP アドレスを入力します。

ステップ 4 [Operating System] リストで、ホスト上で動作するオペレーティング システムに合わせて [Solaris ] または [Linux ] を選択します。

ステップ 5 [Logging Info] を選択し、[Receive] を選択し、[Submit] をクリックします。

ステップ 6 [Apply] をクリックして、デバイスを追加します。


 

Microsoft Windows ホスト

MARS は、Microsoft Windows を実行するホストからプルしたデータを処理します。このデータには、セキュリティ イベント ログで見つかったイベント、アプリケーション イベント、システム イベント ログが含まれます。Microsoft Windows を実行するホストからログを取得するには、サーバ バージョンかワークステーション バージョンかに関係なく、次の 2 つの方法のいずれかを使用できます。

ホストからログをプルするように MARS を設定できます。

MARS Appliance にログ データを送信するホストを設定できます。

これらの 2 つの方法は同時に使用できません。つまり、両方の方法を設定できません。どちらの方法を使用するかは、ホストの準備にかけられる時間、MARS Appliance に対する目標の負荷、およびイベント データをどのくらいリアルタイムに近い時間で処理するかによって変わります。

プル方式 の場合、関連付けのためにシステム リソースが必要なだけでなく、各ホストからイベント データに接続し、プルする場合にも必要です。また、1 つのデバイスからのプルを完了してから次に移行するため、単一プロセスで実行されます。その結果、プル方法は、デバイス数が増えるほど、すべてのレポート デバイスのサイクル処理にかかる時間が長くなります。

プッシュ方式 は、MARS Appliance 上のリソース使用状況および MARS Appliance がイベント データを認識する速度の点でより効率的です。ただし、Microsoft Windows ホストに Snare Agent for Windows をインストールし、設定する必要があります。Snare Agent は、監査イベントの発生とほぼ同時にサーバから MARS に対してイベント データをプッシュし、イベントの詳細が記載された syslog メッセージを MARS に送信します。また、各 Snare Agent は、プル方法のように単一プロセスに限定されず、独立して動作できるため、より効率的で高速です。

ここでは、次の内容について説明します。

「プッシュ方式:一般的な Microsoft Windows ホストの設定」

「プル方式:Microsoft Windows ホストの設定」

「Windows ホストのログをプルまたは受信するための MARS の設定」

「Windows イベント ログのプル時間間隔」

プッシュ方式:一般的な Microsoft Windows ホストの設定

MARS は、Microsoft Windows を実行するホストをレポート デバイスとして扱い、そのホストで生成されたイベント ログ データを監視できます。このホストでは、イベント ログ データをキャプチャし、MARS に送信するために、InterSect Alliance SNARE Agent for Windows を実行する必要があります。プッシュ方式には、次の 4 つの手順が必要です。

1. Microsoft Windows ホストに SNARE エージェントをインストールします。詳細については、「Microsoft Windows ホストへの SNARE Agent のインストール」を参照してください。

2. イベント データを MARS Appliance に転送するように SNARE エージェントを設定します。詳細については、「Microsoft Windows ホストでの ステータスのイネーブル化」を参照してください。

3. UDP 514 トラフィックをホストと MARS Appliance 間で送信できるようにします。

4. MARS でそのホストを特定し、イベント データを適切に解析し、関連付けることができるようにします。詳細については、「Windows ホストのログをプルまたは受信するための MARS の設定」を参照してください。

Microsoft Windows ホストへの SNARE Agent のインストール

SNARE エージェントをインストールするには、次の手順を実行します。


ステップ 1 適切な管理者特権を持つユーザ名を使用して、ターゲット ホストにログインします。

このユーザ名には、監査データの発行と新しいプログラムのインストールを行う権限が必要です。

ステップ 2 ターゲット ホストにインストールされているオペレーティング システムに対応する次の URL から、SNARE Agent for Windows をダウンロードします。

http://www.intersectalliance.com/projects/SnareWindows/index.html#Download

ステップ 3 SnareSetup<version>.exe ファイルをダブルクリックして、インストール プログラムを起動します。

ステップ 4 [Next] をクリックします。

ステップ 5 ターゲット インストール フォルダを選択し、[Next] をクリックします。

ステップ 6 [Components] リストの [Normal Installation] を選択し、[Next] をクリックします。

ステップ 7 ターゲットの [Start] メニューの場所を選択し、[Next] をクリックします。

ステップ 8 選択オプションを確認し、[Install] をクリックします。

SNARE がインストールされ、ローカル ホストで開始されます。ダイアログ ボックスが表示され、Microsoft Windows ホストの EventLog 設定を SNARE で制御するかどうかについて確認されます。

ステップ 9 この Microsoft Windows ホストで EventLog 設定を SNARE で制御するには、[Yes] を選択します。

[SNARE - Remote Event Logging for Windows] ユーザ インターフェイスが表示されます。

ステップ 10 SNARE エージェントを設定するには、「Microsoft Windows ホストでの ステータスのイネーブル化」の手順に進みます。


 

Microsoft Windows ホストでの ステータスのイネーブル化

ターゲット Microsoft Windows ホストに SNARE をダウンロードおよびインストールした後は、正しい形式で正しいイベント データを MARS Appliance に転送するように SNARE エージェントを設定する必要があります。

SNARE エージェントを設定するには、次の手順を実行します。


ステップ 1 [All Programs] > [InterSect Alliance] > [Snare for Windows] をクリックして、[SNARE - Remote Event Logging for Windows] ユーザ インターフェイスを実行します。

ステップ 2 [Setup] > [Network Configuration...] をクリックします。

[Network Configuration] ページが表示されます。

ステップ 3 次のフィールドの値を指定します。

[Override detected DNS Name with]:ローカル ホストの IP アドレスまたは DNS 名をフィールドに指定します。

[Destination Snare Server address]:MARS Appliance の IP アドレスまたは DNS 名を指定します。

ステップ 4 次のオプションが選択されていることを確認します。

[Allow SNARE to automatically set audit configuration]

[Allow SNARE to automatically set file audit configuration]

[Enable SYSLOG Header]


) syslog ポートが 514 であることを確認します。


ステップ 5 [Network Configuration] ページの [Apply the Latest Audit Configuration] をクリックします。

ステップ 6 [File] > [Close] をクリックして、[SNARE - Remote Event Logging for Windows] ユーザ インターフェイスを閉じます。

設定の変更を反映するために、SNARE エージェントを終了し、再起動します。


 

プル方式:Microsoft Windows ホストの設定

プッシュ方式の代わりに、Microsoft Windows ホストからイベント ログ データ(セキュリティ、アプリケーション、およびシステム イベント ログ)をプルするように MARS を設定する方法もあります。プル方式には、次の手順が必要です。

1. Windows ホストと MARS Appliance のクロックを同期させます。そのために、NTP サーバを設定することをお勧めします。

2. Windows ホストで、イベント ログ レコードのプルに MARS Appliance が使用できる既存のユーザ アカウントを選択するか、新しいユーザ アカウントを定義します。

3. そのユーザ アカウントが正しい認定証を持っていることを確認します。そのユーザ アカウントが Administrator グループに所属していることを確認し、セキュリティ ログを管理および監査できる特権が含まれることを確認します。詳細については、ホストで動作するオペレーティング システムに対応する手順を参照してください。

「ドメイン ユーザを使用した Windows プル処理のイネーブル化」

「Windows NT からの Windows プル処理のイネーブル化」

「Windows 2000 Server からの Windows プル処理のイネーブル化」

「Windows Server 2003 または Windows XP Host からの Windows プル処理」

「ドメイン ユーザを使用した Windows プル処理のイネーブル化」

「Windows NT からの Windows プル処理のイネーブル化」

「Windows 2000 Server からの Windows プル処理のイネーブル化」

「Windows Server 2003 または Windows XP Host からの Windows プル処理」

4. 正しいイベント データを生成するように Windows ホストを設定します。

5. MARS でそのホストを特定し、イベント データを適切に解析し、関連付けることができるようにします。詳細については、「Windows ホストのログをプルまたは受信するための MARS の設定」を参照してください。

6. Microsoft Windows を実行するすべての識別済みホストから、イベント ログ データをプルする間隔を指定します。詳細については、「Windows イベント ログのプル時間間隔」を参照してください。

ドメイン ユーザを使用した Windows プル処理のイネーブル化

ドメイン ユーザ( domain¥username 、たとえば CORP¥syslog)を使用した Windows のプルをイネーブルにするには、クライアントで Windows のプル処理をイネーブルにする 前に 、ドメイン コントローラで次の手順を実行します。


ステップ 1 ドメイン コントローラで、[Administrative Tools] > [Default Domain Security Policy] > [Security Settings] > [Local Policies] > [User Rights Management] をクリックします。

ステップ 2 アクセス権 [Manage auditing and security log] をドメイン ユーザ(domain¥username)に付与します。


 

Windows NT からの Windows プル処理のイネーブル化

MARS が Windows NT ホストからイベント ログ データをプルできるようにするには、次の手順を実行します。


ステップ 1 メニュー バーの [Start] > [Programs] > [Administrative Tools] > [User Manager] を選択し、[Policies] を選択します。

ステップ 2 サブメニューで [User Rights] を選択し、[Manage auditing and security log] をイベント ログ レコードのプルに使用するユーザ アカウントに付与します。

ステップ 3 サブメニューで、[Audit] を選択します。サイトのセキュリティ監査ポリシーに従って監査ポリシーを設定します。


 

Windows 2000 Server からの Windows プル処理のイネーブル化

ドメイン情報を Windows 2000 に送信する Active Directory Service(ADS)サーバがない場合、MARS Appliance で syslog をプルする各ホストで、このプロパティを [Disabled] に設定する必要があります。

MARS が Windows 2000 ホストからイベント ログ データをプルできるようにするには、次の手順を実行します。


ステップ 1 [Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Local Security Policy] を選択します。

[Local Security Settings] アプレットが表示されます。

ステップ 2 次のように、[Local Policy] グループ以下の設定を行います。

[Security Settings] > [Local Security Policy] > [User Rights Management]

[Manage auditing and security log] の権限が、イベント ログ レコードのプルに使用されるユーザ アカウントに付与されていることを確認します。

[Security Settings] > [Local Security Policy] > [Audit Policy]

サイトのセキュリティ監査ポリシーに従って監査ポリシーを設定し、[Effective Setting] 以下のすべてのエントリが [Success, Failure] に設定されていることを確認します。


 

Windows Server 2003 または Windows XP Host からの Windows プル処理

MARS が Windows Server 2003 または Windows XP ホストからイベント ログ データをプルできるようにするには、次の手順を実行します。


ステップ 1 [Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Local Security Policy] を選択します。

[Local Security Settings] アプレットが表示されます。

ステップ 2 次のように、[Local Policy] グループ以下の設定を行います。

[Security Settings] > [Local Security Policy] > [User Rights Management]

[Manage auditing and security log] の権限が、イベント ログ レコードのプルに使用されるユーザ アカウントに付与されていることを確認します。

[Security Settings] > [Local Security Policy] > [Audit Policy]

サイトのセキュリティ監査ポリシーに従って監査ポリシーを設定します。

ステップ 3 プルの実行アカウントに、セキュリティ、アプリケーション、およびシステム イベント ログの読み取り特権を付与するには、次の URL にある Microsoft サポート技術情報の記事 Q323076 を参照してください。

http://support.microsoft.com/kb/323076/en-us


Log on/off など、一部のイベントを監査対象にすると、イベント ログのプル処理自体によってセキュリティ イベント ログが生成されます。デフォルトのドメイン ポリシーを設定するか、Windows システム上のセキュリティ イベント ログの保持方式を [Overwrite as needed] に設定します。そうしないと、ログがいっぱいになったときに、Windows システムで新しいイベント ログを生成できなくなります。



 

Microsoft Windows 2003 Server でのイベント ログのセキュリティ特権の設定例

次の手順は、 Microsoft Windows でイベント ログのセキュリティをローカルで設定する 手順の一例です。プル実行アカウントに次のイベント ログ特権を付与するには、この手順を実行します。


ステップ 1 Microsoft Windows regedit プログラムを実行します ([Start] > [Run] メニューから「regedit」を入力します)。

ステップ 2 次のレジストリ キーの末尾に、( A;;0x1;;; sid-of-the-pulling-account ) を追加します。

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Eventlog¥Security¥CustomSD

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Eventlog¥Application¥CustomSD

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Eventlog¥System¥CustomSD

プル実行アカウントの Security Identifier [SID] を使用して、変数 sid-of-the-pulling-account を置き換えます。たとえば、プル実行アカウントの SID が S-1-5-21-1801671234-2025421234-839521234-123456 で、CustomSD の元の値が次の場合があります。

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)
(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
 

この CustomSD レジストリ キーを次のように変更します。

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)

(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-1801671234-2025421234-839521234-123456)

 

ステップ 3 変更を保存し、regedit を終了します。


 

Windows ホストのログをプルまたは受信するための MARS の設定

Microsoft Windows ホストの準備が完了したら、MARS でそのホストを指定し、そのホストでプッシュ方式とプル方式のどちらをしようするかを指定する必要があります。

ログをプルまたは受信するように MARS Appliance を設定するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] を選択します。

ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。

ステップ 3 新しいホストを追加する場合、[Device Name] および [IP addresses] を入力します。

ステップ 4 リストから [Operating System] > [Windows] を選択します。

ステップ 5 (任意)[NetBIOS name] を入力します。

図 36-3 Window のログの設定

 

ステップ 6 [Logging Info] をクリックし、[OS Logging Information] をクリックします。

新しいポップアップ ウィンドウが表示されます。

ステップ 7 [Windows Operating System] から、サーバまたはワークステーション バージョンに合わせて正しいオプションを選択します。

[Microsoft Windows 2000]

[Microsoft Windows 2003](Microsoft Windows XP プラットフォームにも使用されます)

[Microsoft Windows Generic]

[Microsoft Windows NT]


) Microsoft Windows XP Home Edition を選択している場合、[All Programs] > [Control Panel] > [Administrative Tools] > [Services] で [Remote Procedure Call] サービスをイネーブルにする必要があります。


ステップ 8 実行したホスト設定に応じて、[Pull] または [Receive] チェックボックスを選択します。


注意 両方のチェックボックスを選択しないでください。両方選択すると、予期しない結果が発生します。

ステップ 9 [Pull] 方式を選択した場合、次のフィールドの値を入力します。

[Domain name]:ホストが属するドメイン名を指定します。

[Host login]:セキュリティ監査およびログ権限を持つユーザ名を指定します。

[Host password]:[Host login] フィールドに指定したユーザ名を認証するパスワードを指定します。

ステップ 10 [Submit] をクリックします。

図 36-4 Windows のロギング

 

ステップ 11 [Submit] をクリックして変更を保存します。

ステップ 12 [Interface IP Address] と [Network Mask] を追加します。

ステップ 13 [Apply] をクリックします。

ステップ 14 [Vulnerability Assessment Info] リンクをクリックして、このホストに対する false positive 攻撃を判断するために MARS が使用するホスト情報を定義します。「脆弱性アセスメント情報の定義」の手順に進みます。

ステップ 15 [Done] をクリックして変更を保存します。

ステップ 16 デバイスをアクティブにするには、[Activate] をクリックします。

ステップ 8 で [Pull] チェックボックスを選択した場合、MARS がホストからイベント ログをプルする間隔の値を指定します。詳細については、「Windows イベント ログのプル時間間隔」を参照してください。


 

Windows イベント ログのプル時間間隔

レポート デバイスとして定義されている Microsoft Windows ホストから、MARS がイベント ログをプルする間隔を設定できます。この機能を使用して、レポート デバイスとして製されている Windows ホストから MARS がログを要求する頻度を決定できます。


) SNARE を使用してログ データを MARS にプッシュする場合、この設定をイネーブルにする必要はありません。


Windows イベント ログのプル時間間隔を設定するには、次の手順を実行します。


ステップ 1 [Admin] > [System Parameters] > [Windows Event Log Pulling Time Interval] をクリックします。

 

ステップ 2 新しい時間間隔を秒単位で入力します。

デフォルト値は 300 秒(5 分)です。

ステップ 3 [Submit] をクリックします。


 

脆弱性アセスメント情報の定義

MARS で定義するホストごとに、MARS が検出する攻撃に対してそのホストが脆弱かどうかを評価するときに、MARS を補助するホストに関する情報を指定できます。たとえば、ホストで動作しているオペレーティング システムだけでなく、最新または最近のパッチ レベルも指定できます。特定のオペレーティング システムを対象にした攻撃が検出された場合、そのホストが攻撃対象のオペレーティング システムを実行しているかどうかが迅速に判断されます。

レポート デバイスのベース プラットフォームとして定義されているホストの場合、デバイス定義の一部として、その情報を定義する必要があります。

ただし、MARS では、[Management] > [IP Management] のホスト リストに対して、検出されたホストの追加が開始されます。Qualys QualysGuard などの脆弱性アセスメント ソフトウェア デバイスまたはサービスが使用しているネットワークで実行されていない場合、定期的にこのようなホストを確認し、情報を更新する必要があります。

ホストの脆弱性アセスメント情報を指定するには、次の手順を実行します。


ステップ 1 目的のホストを選択するには、次のいずれかを実行します。

[Management] > [IP Management] を選択し、目的のホストの横にあるチェックボックスをオンにし、[Edit] をクリックします。

[Select Admin] > [Security and Monitor Devices] を選択し、目的のホストの横にあるチェックボックスをオンにし、[Edit] をクリックします。

ステップ 2 [Vulnerability Assessment Info] タブをクリックします。

図 36-5 ホストの脆弱性アセスメント情報

 

ステップ 3 [Specify OS and patch Information] で、次のいずれかを実行します。

[Select operating system from] を選択し、リストからこのホストで動作しているオペレーティング システムを選択します。ステップ 4 の手順に進みます。

[Define new operating system] を選択し、a. の手順に進みます。

a. [Name] フィールドにオペレーティング システム名を入力します。

b. [Version] フィールドにこのオペレーティング システムのバージョン番号を入力します。

c. [Patch] フィールドにバージョン番号に関連付けられたパッチ レベルを入力します。

d. [Vendor] フィールドにオペレーティング システムの製造業者名を入力します。

e. [Apply] をクリックし、オペレーティング システム定義を保存します。

新しいオペレーティング システム定義が [Select operating system from list] に追加され、そのオプションが選択されます。

カスタム オペレーティング システムを定義する場合、ホストの [General] ページの [Operating System] リストで [Generic] を選択し、[Apply] をクリックする必要があります。そうしないと、[Select operating system from list] で新しいオペレーティング システムを選択できません。

ステップ 4 指定した情報が、使用しているネットワークで実行されている脆弱性アセスメント サービスによって上書きされるようにするには、[Allow Overwrite with VA] チェックボックスを選択します。

ステップ 5 ホストについてより詳細な情報を追加するには、「ホスト上で動作しているネットワーク サービスの特定」の手順に進みます。

ステップ 6 [Apply] をクリックして、このホストに対する変更内容を保存します。

ステップ 7 [Done] をクリックして、[Host] ページを閉じます。


 

ホスト上で動作しているネットワーク サービスの特定

ホスト上で動作しているネットワーク サービスを特定することで、そのホストで想定するネットワーク アクティビティの種類を指定することになります。このデータは、MARS から不正アクティビティとフラグを付けられないように、想定されたアクティビティを除外するときに役立ちます。たとえば、ネットワーク ディスカバリ アプリケーションを実行する管理サーバがある場合や、スケジュールした時間に脆弱性アセスメント プローブを実行する場合などです。

ホスト上で動作するネットワーク サービスを特定するには、次の手順を実行します。


ステップ 1 目的のホストを選択するには、次のいずれかを実行します。

[Management] > [IP Management] を選択し、目的のホストの横にあるチェックボックスをオンにし、[Edit] をクリックします。

[Select Admin] > [Security and Monitor Devices] を選択し、目的のホストの横にあるチェックボックスをオンにし、[Edit] をクリックします。

ステップ 2 [Current running services] の [Add New Service] をクリックします。


) このダイアログ ボックスのロードには、5 分以上かかることがあります。開いているウィンドウのタイトル バーにカーソルを移動すると、 ウィンドウがロード中かどうかを確認できます。


ステップ 3 サービスおよびアプリケーションに関する情報をできるだけ詳細に入力します。

サービスの選択と新しいサービスの定義から選択できます。

また、アプリケーションの選択と新しいアプリケーションの定義から選択することもできます。

ステップ 4 [Submit] をクリックします。

ステップ 5 ここで追加のサービスを入力するには、[Add New Service] をクリックするか、[Submit] をクリックして続行します。

ステップ 6 [Submit] をクリックして、ホストの追加を完了します。