Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Cisco Incident Control Server
Cisco Incident Control Server
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Incident Control Server

syslog を MARS に送信するための Cisco ICS の設定

MARS への Cisco ICS デバイスの追加

Cisco ICS イベントの規則とレポートの定義

Cisco Incident Control Server

Cisco Incident Control Server(Cisco ICS)を使用すると、Cisco IOS ルータ、スイッチ、および IPS デバイスに拡張保護を適用できます。Cisco ICS は Trend Micro のインシデント制御ソリューションと連動して、Day Zero の急激な拡散を次の 3 つの方法で防止します。

1 つめの方法では、Cisco ICS は一時的な ACL を、このようなトラフィックをブロックできるシスコのセキュリティ デバイスに送信します。通常は、プロトコルおよびポート ペア ブロックを使用します。この一時的なブロックは、Outbreak Prevention ACL(OPACL)と呼ばれています。

2 つめの方法では、シグニチャが使用可能になり次第、Cisco ICS はネットワークで実行されているすべての Cisco IPS デバイスと IDS デバイスを、特定の脅威を検出して防止するために必要なシグニチャを使用して更新します。このシグニチャは、Outbreak Prevention Signature(OPSig)と呼ばれています。

3 つめの方法として、Cisco ICS は Tend Micros の Damage Cleanup Services(DCS)など、トロイの木馬やその他のマルウェアを削除して感染ホストを浄化するサポート対象製品(別売)を管理できます。

Cisco ICS の通信設定を完了するためには、次の 2 つの作業を行う必要があります。まず、syslog メッセージを MARS アプライアンスに送信するように Cisco ICS を設定します。次に、Cisco ICS 管理サーバをレポート デバイスとして MARS Web インターフェイスに追加します。

この章は、次の内容で構成されています。

「syslog を MARS に送信するための Cisco ICS の設定」

「MARS への Cisco ICS デバイスの追加」

「Cisco ICS イベントの規則とレポートの定義」

syslog を MARS に送信するための Cisco ICS の設定

Cisco ICS は MARS アプライアンスに syslog メッセージをパブリッシュします。Cisco ICS の設定は、MARS アプライアンスの IP アドレスを使用して、syslog サーバを定義することだけです。特殊なログをイネーブルにする必要はありません。また、MARS に送信されるメッセージを調整することはできません。syslog メッセージが生成される Cisco ICS イベントは、Security Threat Mitigation(STM)システムにとって最適となるように選択されています。

イベントを MARS にパブリッシュするように Cisco ICS を設定する手順は、次のとおりです。


ステップ 1 Cisco ICS Management Console にログインします。

ステップ 2 [Global Settings] > [Syslog Servers] の順にクリックします。

 

ステップ 3 [Add] をクリックします。

 

ステップ 4 [IP Address] フィールドに、Cisco ICS が syslog メッセージをパブリッシュする MARS アプライアンスのアドレスを入力します。

ステップ 5 [Save] をクリックします。

これで、Cisco ICS が MARS に syslog メセージをパブリッシュするようになりました。MARS にこのデバイスを認識させるために、Cisco ICS デバイスをホストで実行されているソフトウェア アプリケーションとして追加し、Web インターフェイスで [Activate] をクリックする必要があります。


 

MARS への Cisco ICS デバイスの追加

MARS が syslog メッセージを Cisco ICS メッセージとして処理できるようにするために、Cisco ICS 管理サーバをホストで実行されているソフトウェア アプリケーションとして定義する必要があります。Cisco ICS をレポート デバイスとして定義すると、MARS は Cisco ICS イベント タイプを使用して定義しインスペクション規則を処理できるようになります。

Cisco ICS サーバを MARS に追加する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストで、[Add SW Security apps on a new host] を選択します。

また、[Management] > [IP Management] 設定などで MARS 内でホストを定義済みの場合、またはホストで Microsoft Internet Information Services などの別アプリケーションを実行している場合、既存のホストで [Add SW Security apps] を選択することもできます。

ステップ 3 サーバのホスト名を [Device Name] フィールドに入力します。

ステップ 4 [Reporting IP] フィールドに、syslog メッセージの送信元となる Cisco ICS サーバのインターフェイスの IP アドレスを入力します。

ステップ 5 [Enter interface information] に、syslog メッセージの送信元となる Cisco ICS サーバのインターフェイスの名前、IP アドレス、およびネットマスク値を入力します。

このアドレスは [Reporting IP address] と同じ値です。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Next] をクリックして [Reporting Applications] タブに移動します。

ステップ 8 [Select Application] フィールドで、[Cisco ICS 1.x] をクリックしてから、[Add] をクリックします。

 

ステップ 9 [Select] をクリックして、Cisco ICS アプリケーションをこのホストに追加します。

ステップ 10 [Done] をクリックして変更を保存します。

ステップ 11 デバイスをアクティブにするには、[Activate] をクリックします。


 

Cisco ICS イベントの規則とレポートの定義

MARS は、大規模感染、OPACL および OPSig の配置の成功、および配置の試行の失敗を識別できる syslog メッセージを Cisco ICS から受信します。また、Cisco IPS デバイスで OPACL および OPSig が起動されたことをすぐに認識するほか、 Cisco ICS サーバを監視して、データベースの障害などのシステムの問題が発生していないかどうかをチェックします。

これらのイベントにより、MARS による正確かつ全体的なネットワーク評価が可能になっています。OPACL と OPSig の一致するイベントからは、MARS が攻撃パスの分析および脅威の封じ込めの実行に使用する 5 タプルの相関関係が得られます。これらのイベントを使用すると、OPACL や OPSig を使用できないデバイスで手動で軽減を実行するのに役立つインスペクション規則を定義できます。

たとえば、OPACL イベントと一致するインスペクション規則を記述できます。軽減機能チームはレポート デバイスにプッシュされた OPACL を調査して、対応することができます。これにより、5 タプル(送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、ネットワーク サービス)を特定できます。この情報を使用すると、Cisco ICS で管理されないデバイスに同等な内容の ACL をプッシュすることができます。

インスペクション規則やレポートを定義する場合に、Cisco ICS 固有のイベントのリストにアクセスするときは、[Description / CVE:] フィールドに「 Cisco ICS 」と入力し、Web インターフェイスの [Management] > [Event Management] ページで [Search] をクリックします。

Cisco ICS には、次の 4 つの定義済みシステム インスペクション規則があります。

New Malware Discovered

New Malware Prevention Deployed

New Malware Prevention Deployment Failed

New Malware Traffic Match

また、次の 5 つの定義済みレポートがあります。

Activity: New Malware Discovered - All Events

Activity: New Malware Prevention Deployment Failure - All Events

Activity: New Malware Prevention Deployment Success - All Events

Activity: New Malware Traffic Match - All Events

Activity: New Malware Traffic Match - Top Sources