Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Cisco Security Agent 4.x および 5.x デバイ ス
Cisco Security Agent 4.x および 5.x デバイス
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Security Agent 4.x および 5.x デバイス

必要なデータを生成するための CSA Management Center の設定

SNMP 通知を MARS に転送するための CSA MC の設定

ファイルへの CSA エージェント情報のエクスポート

MARS での CSA MC デバイスの追加と設定

手動での CSA エージェントの追加

ファイルからの CSA エージェントの追加

CSA エージェントのインストールに関するトラブルシューティング

Cisco Security Agent 4.x および 5.x デバイス

Cisco Security Agent(CSA)を MARS のレポート デバイスとしてイネーブルにするには、CSA Management Console(CSA MC)をレポート デバイスとして指定する必要があります。CSA MC はモニタ対象の CSA エージェントからアラートを受信して、これらのアラートを SNMP 通知として MARS に転送します。

MARS が SNMP 通知を受信した場合、通知内の送信元 IP アドレスは、転送した CSA MC ではなく、イベントのトリガー元である CSA エージェントの IP アドレスです。このため、イベントをトリガーする可能性のある各 CSA エージェントのホスト定義が MARS に必要です。これらの定義は、CSA MC のデバイス定義のサブコンポーネントとして追加されます。

MARS リリース 4.1.1 以降、MARS アプライアンスは CSA エージェントがアラートを生成するときに CSA エージェントを検出するので、手動で CSA エージェントを定義する必要はありません。MARS はアラートを解析して、CSA エージェントのホスト名を識別したり、ホスト オペレーティング システム(OS)を検出したりします。MARS はこの情報を使用して、定義されていないエージェントを CSA MC の子として追加します。CSA MC は Generic Windows(すべての Windows)または Generic(Unix または Linux)オペレーティング システム値を持つホストとなります。CSA MC の定義は引き続き必要ですが、各エージェントの定義は必要ありません。検出された CSA エージェントのデフォルトのトポロジ表現はクラウド内にあります。


) 未知の CSA エージェントから送信された最初の SNMP 通知は、CSA MC から送信されたように認識されます。MARS はこの通知を解析し、検出済みの設定を使用して、CSA MC の子エージェントを定義します。このエージェントが定義されると、以降のすべてのメッセージは CSA エージェントから送信されたように認識されます。


4.1.1 よりも前のリリースでは、各エージェントの追加を手動で行うか、エクスポートされたホスト ファイル(「ファイルへの CSA エージェント情報のエクスポート」で定義)を使用して行う必要がありました。


) 4.1.1 よりも前のリリースでは、CSA は Cisco CSA 4.0 というデバイス タイプ名で識別されていました。アップグレードの一環として、すべての Cisco CSA 4.0 デバイスの名前が Cisco CSA 4.x に変更されました。この新しい名前で、Cisco CSA 4.0 および 4.5 がサポートされます。


この章は、次の内容で構成されています。

「必要なデータを生成するための CSA Management Center の設定」

「MARS での CSA MC デバイスの追加と設定」

「CSA エージェントのインストールに関するトラブルシューティング」

必要なデータを生成するための CSA Management Center の設定

CSA をブートストラップするためには、SNMP 通知を MARS アプライアンスに転送するように CSA MC を設定します。また、MARS でのインポートが可能な形式で CSA エージェント リストをエクスポートすることもできます。ただし、エージェントは情報を生成するときに MARS によって検出されるため、このエクスポート処理は必須ではありません。

ここでは、次の内容について説明します。

「SNMP 通知を MARS に転送するための CSA MC の設定」

「ファイルへの CSA エージェント情報のエクスポート」

SNMP 通知を MARS に転送するための CSA MC の設定

必要な唯一の設定は、CSA MC がエージェントから受信した SNMP 通知を MARS に転送するように設定することです。これらの通知から、MARS はエージェントとそれに関連する設定を検出できます。また、これらのイベントから、ネットワークで発生するホストレベルのアクティビティを認識できます。

すべての通知を MARS Appliance に転送するには、次の手順を実行します。


ステップ 1 CiscoWorks Server デスクトップにログインします。

ステップ 2 ナビゲーション ツリーで、[VPN/Security Management Solution] > [Management Center] > [Security Agents] の順にクリックします。

ステップ 3 [Management Center] 画面で、[Alerts] リンクをクリックします。

ステップ 4 [New] をクリックします。

ステップ 5 [Name and Description] フィールドに、SNMP 通知の名前および説明を入力します。

ステップ 6 下にスクロールし、[SNMP] チェック ボックスオンにします。

ステップ 7 [Community name] フィールドに、SNMP 通知のコミュニティ名を入力します。

ステップ 8 [Manager IP address] フィールドに、MARS の IP アドレスを入力します。

ステップ 9 [Save] をクリックしてプログラムを終了します。


 

ファイルへの CSA エージェント情報のエクスポート

MARS 4.1.1 のリリースでは、デバイスが SNMP 通知を CSA Management Console(CSA MC)に送信するときに Cisco CSA エージェントが検出されるため、このエージェントを個別に定義する必要はありません。


) 次の説明は、Microsoft Internet Explorer を使用して CSA MC Web インターフェイスにアクセスする場合の Cisco CSA 4.x に該当します。



注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。

すべてのホスト レポートをタブ区切りファイルとしてエクスポートする手順は、次のとおりです。


ステップ 1 URL で完全修飾ドメイン名を使用してコンソールにアクセスし、CSA MC にログインします。

CSA MC にアクセスするときは、URL で完全修飾ドメイン名を使用する必要があります。CiscoWorks Desktop を使用して CSA MC を起動した場合は、ActiveX レポートが表示されません。

ステップ 2 [Reports] > [Host Details] の順にクリックします。

ステップ 3 [New] をクリックします。

ステップ 4 [Groups] で [<All Hosts>] を選択し、[Viewer Type] で [ActiveX (IE only)] を選択します。

ステップ 5 [View report] をクリックします。

ホストの詳細を示すウィンドウが表示されます。

ステップ 6 [Export] をクリックし、[Excel 5.0 Document] タイプへのエクスポートを選択します。

ステップ 7 [Name] ボックスで、エクスポートするファイルの名前(csahosts.xls など)を指定します。

ステップ 8 エクスポートされたファイルを Excel で開き、[File] > [Save As...] の順にクリックします。

ステップ 9 [Save as type] ボックスで [Text (Tab delimited) (*.txt)] をクリックします。

ステップ 10 [File name] ボックスに、このファイルの名前(csahosts.txt など)を入力し、[Save] をクリックします。

ステップ 11 生成されたファイルを、MARS アプライアンスがアクセス可能な FTP サーバにアップロードします。

MARS Web インターフェイスに CSA デバイスを追加する場合は、このファイルに戻ります(「MARS での CSA MC デバイスの追加と設定」を参照)。


 

MARS での CSA MC デバイスの追加と設定

エージェントを識別する前に、MARS に CSA MC を追加する必要があります。すべての CSA エージェントは通知を CSA MC に転送し、CSA MC は SNMP 通知を MARS に転送します。CSA MC を定義したら、デバイスをアクティブにします。MARS はその CSA MC で管理されるエージェントを検出できます。ただし、エージェントは手動で追加することもできます。

CSA MC を MARS に追加する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。

ステップ 3 新しいホストを追加する場合、[Device Name] および [IP addresses] を入力します。

ステップ 4 [Apply] をクリックします。

ステップ 5 [Reporting Applications] タブをクリックします。

ステップ 6 [Select Application] リストから、次の値のいずれかを選択します。

Cisco CSA 4.x.

Cisco CSA 5.x


) リリース 4.3.1 および 5.3.1 の MARS では、CSA 5.x のサポートは 4.x のサポートとまったく同じです(エージェントの検出を含む)。


ステップ 7 [Add] をクリックします。

[Management Console] ページが表示されます。

 

ステップ 8 次のいずれかを実行します。

変更内容を保存し、CSA エージェントが自動的に検出されるようにする場合は、[Submit] をクリックし、[Done] をクリックします。

エクスポートされたホスト レポートを使用してエージェントを追加する場合は、「ファイルからの CSA エージェントの追加」の手順に進みます。

単一のエージェントを手動で追加するには、「手動での CSA エージェントの追加」の手順に進みます。


 

手動での CSA エージェントの追加

CSA エージェントは、CSA MC の子として手動で追加できます。この機能を使用すると、通知が生成されていない場合でも、エージェントのすべてを表現できます。


注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。

CSA エージェントを手動で追加する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitoring Devices] をクリックします。

ステップ 2 デバイスのリストから、Cisco CSA Management Center を実行しているホストを選択し、[Edit] をクリックします。

ステップ 3 [Reporting Applications] タブをクリックし、[Device Type] リストの [Cisco CSA Management Center] を選択し、[Edit] をクリックします。

ステップ 4 [Add Agent] をクリックします。

ステップ 5 次のいずれかを実行します。

既存のデバイスを選択し、[Edit Existing] をクリックし、ステップ 8の手順に進みます。

ホスト名、レポート IP アドレス、および 1 つ以上のインターフェイスの値が設定されたページが表示されます。

[Add New] をクリックし、ステップ 6の手順に進みます。

 

ステップ 6 [Device Name] フィールドに、CSA エージェントを配置するホストの名前を入力します。

この値には、このデバイスの DNS エントリを反映する必要があります。

ステップ 7 [Reporting IP] フィールドに、ログを CSA MC に送信するためにエージェントが使用する IP アドレスを入力します。

ステップ 8 インターフェイス名、IP アドレス、およびネットワーク マスクを指定して、このホストに設定する各インターフェイスを定義します。新しいインターフェイスを追加するには、[Add Interface] をクリックします。

インターフェイス設定は、攻撃パスの算出に使用されます。各インターフェイスを定義して、デュアルホーム接続されているホストを特定することは重要です。

ステップ 9 [Submit] をクリックし、[Done] をクリックします。

ステップ 10 このデバイスをアクティブにするには、[Activate] をクリックします。


 

ファイルからの CSA エージェントの追加

CSA エージェントがインストールされたホストの完全なリストを追加できます。そのためには、すべてのホスト レポートを CSA MC からエクスポートして、そのファイルを MARS にインポートします。エクスポート ファイルを使用してエージェントを追加する唯一の利点は、エージェントから送信され、受信した最初の通知が、CSA MC に対応付けられないことです。

CSA エージェントをファイルから追加する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitoring Devices] をクリックします。

ステップ 2 デバイスのリストから、Cisco CSA Management Center を実行しているホストを選択し、[Edit] をクリックします。

ステップ 3 [Reporting Applications] タブをクリックし、[Device Type] リストの [Cisco CSA Management Center] を選択し、[Edit] をクリックします。

ステップ 4 [Load From File] をクリックします。

 


注意 ファイルはタブ区切りファイルの形式にする必要があります。CSV ファイルは使用できません。CSA MC で管理される CSA エージェントのタブ区切りファイルを生成する手順については、「ファイルへの CSA エージェント情報のエクスポート」を参照してください。

ステップ 5 [IP Address] フィールドに、エクスポートされたホスト ファイルを格納した FTP サーバのアドレスを入力します(「ファイルへの CSA エージェント情報のエクスポート」を参照)。

ステップ 6 FTP サーバに対する認証に使用されるアカウント名を [User Name] フィールドに入力します。

ステップ 7 ステップ 6で指定したアカウントに対応するパスワードを [Password] フィールドに入力します。

ステップ 8 ファイルを保存するフォルダのパスを [Path] フィールドに入力します。このファイルがルート フォルダに保存される場合、このフィールドにバックスラッシュ( \ )を指定する必要があります。この値の形式は \<path_here>\ です。

ステップ 9 タブ区切りファイルの名前を [File Name] フィールドに入力します。

ステップ 10 [Submit] をクリックします。

次のメッセージが表示され、ホストが CSA MC のエージェントとして追加されます。

Success:
Status: OK
 

ステップ 11 [Done] をクリックします。


 

CSA エージェントのインストールに関するトラブルシューティング

CSA エージェントをファイルからインポートするときに、次のメッセージが表示されることがあります。

 

表 27-1 CSA エージェントをファイルからインポートするときのエラーおよびステータス メッセージ

メッセージ
説明/問題

Status: NumberFormatException occurred parsing the file at line X

タブ区切りファイルでなく CSV ファイルをインポートした場合に発生します。行番号が変わります。

Error Occurred:

Status: DbDevice occurred parsing the file at line -1

重複したファイルをインポートした場合に発生します。これは、すべてのエージェントおよび CSA MC を削除した場合でも同様です。

Success:

Status: OK

タブ区切りファイルを使用して、CSA エージェントが正常にインポートされたことを示しています。

Error Occurred:

Status: FileNotFoundException

ファイルが指定したパスに存在しないことを示しています。パスが FTP サーバのルートにある場合は、パス値として \ を追加したかどうかを確認してください。

Error Occurred:

Status: NoRouteToHostException

指定された FTP サーバに MARS アプライアンスが到達できないことを示しています。その他のルートを定義するか、トラフィック フローをイネーブルにして接続を許可する必要があります。