Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Qualys QualysGuard デバイス
Qualys QualysGuard デバイス
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Qualys QualysGuard デバイス

ネットワークをスキャンするための QualysGuard の設定

MARS での QualysGuard デバイスの追加および設定

データをプルする間隔のスケジュール

QualysGuard の統合に関する問題のトラブルシューティング

Qualys QualysGuard デバイス

MARS で QualysGuard デバイスは、Qualys がホストする中央の API サーバである QualysGuard API Server に対する特定のレポート クエリーを表現します。MARS と連携するように設定できるのは、QualysGuard API Server のみです。MARS Appliance で監視しているネットワーク セグメントのデバイスに関するレポートを、QualysGuard API Server から提供できます。各 MARS Appliance には、監視対象のネットワーク セグメントについて false positive を特定する役割があるためです。

QualysGuard サービスに対するサブスクリプションがある場合、MARS は QualysGuard XML API を使用して、QualysGuard データベースから VA データをプルできます。このデータをプルするように MARS を設定するには、次の 3 つのタスクを実行する必要があります。

必要なデータを収集し、データを最新の状態に保つように QualysGuard を設定します。

Web インターフェイスを使用して、レポート クエリーを表現する QualysGuard デバイスを MARS に追加します。

MARS が QualysGuard デバイス データをプルする間隔をスケジュールします。


) プロキシ サーバが QualysGuard サーバと MARS Appliance の間にある場合、[Admin] > [System Parameters] > [Proxy Settings] ページに定義されている設定が使用されます。詳細については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System, Release 5.3.x』の「Specify the Proxy Settings for the Global Controller or Local Controller」を参照してください。


この章は、次の内容で構成されています。

「ネットワークをスキャンするための QualysGuard の設定」

「MARS での QualysGuard デバイスの追加および設定」

「データをプルする間隔のスケジュール」

「QualysGuard の統合に関する問題のトラブルシューティング」

ネットワークをスキャンするための QualysGuard の設定

MARS では QualysGuard XML API およびパスワードベースの SSL 上の認証(TCP ポート 443)を使用して、QualysGuard API Server からスキャン レポートを取得します。そのため、MARS からの接続を受け入れるように QualysGuard サーバを設定する必要はありません。必要な設定は、ネットワークを正しくスキャンできるように設定されたアクティブなアカウントと Qualys サブスクリプションがあることのみです。

MARS では、デフォルトで、QualysGuard サーバに保存されている最新のスキャン レポートを取得すると想定されています。分析する IP アドレスの数に応じて、QualysGuard のスキャンには数秒から数分かかります。最後に保存されたレポートが使用できる頻度でネットワークの自動スキャンをスケジュールできるように、スキャンにかかる時間を推測する必要があります。 QualysGuard 管理インターフェイスを使用して、スキャンにかかる時間を判断し、それに従ってスケジュールを設定できます。

MARS での QualysGuard デバイスの追加および設定

レポート デバイスとして内部 QualysGuard デバイスを追加するには、Qualys によってホストされる中央の API サーバである QualysGuard API Server を特定する必要があります。Qualys からはレポートがプルされます。また、Qualys は、レポートをプルするデバイスにログインするために MARS が使用できる認定証を提供します。スケジュールに基づいて実行される保存済みのスキャン レポートをプルするか、オンデマンドのスキャン レポートを開始して取得するかを指定できます。各レポート デバイスは、QualysGuard API Server に対して一意のクエリーを指定します。

QualysGuard デバイスを追加するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから [QualysGuard ANY] を選択します。

 

ステップ 3 [Device Name] フィールドに Qualys デバイス名を入力します。

この名前は、MARS 内の Qualys デバイスを一意に識別するために使用されます。また、このデバイスを識別するために、レポートおよびクエリー結果で使用されます。

IP addressfield は読み取り専用です。また、この値は 165.193.18.12 に固定されます。それが重要な理由は、Local Controller 上で Qualys デバイスとして定義されるすべてのレポート クエリーをプルする 1 つのスケジュールのみを定義できるためです。ただし、複数のローカル コントローラ全体で一意のスケジュールを定義できます。詳細については、「トポロジ アップデートのスケジューリング」を参照してください。

ステップ 4 [URL] フィールドに、デバイスおよびレポート タイプを特定する URL を入力します。

この URL には次の情報を指定します。

サーバ :レポートをプルする元のサーバを指定します。この値には、プライマリ Qualys サーバを識別するホスト名または IP アドレスを指定できます。

レポート タイプ :Real-time と Last Saved。デフォルト値。

Real-time Report .qualysapi.qualys.com/msp/scan.php?ip=[ addresses ]

IP アドレスは、複数の IP アドレス、IP の範囲、またはその組み合わせを使用して指定できます。複数の IP アドレスは、次のようにカンマ区切りにします。

123.123.123.1,123.123.123.4,123.123.123.5
 

IP アドレスの範囲は、次のようにダッシュ(-)で開始と終了の IP アドレスを区切って指定します。

123.123.123.1-123.123.123.8
 

IP アドレスと IP の範囲の組み合わせを指定できます。複数のエントリは、次のようにカンマ区切りにします。

123.123.123.1-123.123.123.5,194.90.90.3,194.90.90.9
 

addresses アトリビュートには、スキャン要求のターゲット IP アドレスを指定します。


) 内部ネットワーク上のプライベート IP アドレスをスキャンするには、Scanner Appliance を使用する必要があります。


Last Saved Report .qualysapi.qualys.com/msp/scan_report_list.php?last=yes

ステップ 5 Qualys デバイスへのアクセスに MARS が使用するアカウントのユーザ名を、[Login] フィールドに入力します。

ステップ 6 [Password フィールドに、ステップ 5 で指定したアカウントに対応するパスワードを入力します。

ステップ 7 (任意)設定が正しいこと、および MARS Appliance がこの Qualys デバイスと通信できることを確認するには、[Test Connectivity] をクリックします。


) 接続テストに使用する URL は変更できません。この操作で、ユーザ名とパスワードが受け入れられ、Qualys Server に到達できることが確認されます。スキャンは開始されません。


このテスト中にエラー メッセージを受信した場合、「QualysGuard の統合に関する問題のトラブルシューティング」を参照してください。

ステップ 8 MARS データベースにこのデバイスを追加するには、[Submit] をクリックします。

デバイスをアクティブにした場合(Web インターフェイスで [Activate] をクリックした場合)、MARS がそのデバイスからデータをプルするスケジュールを定義する必要があります。詳細については、「データをプルする間隔のスケジュール」を参照してください。


 

データをプルする間隔のスケジュール

1 つまたは複数の Qualys デバイス(各デバイスが QualysGuard API Server で実行されるレポート クエリーを表現する場所)をアクティブ化した後は、そこから MARS がデータをプルするスケジュールを定義する必要があります。定義するスケジュール(アップデート規則)は、すべての Qualys デバイスで同じです。このアップデート規則は、Qualys Access IP である 165.193.18.12 という固定の IP アドレスに基づいています。このアドレスを使用してアップデート規則を定義すると、そのスケジュールに基づいて、すべての Qualys デバイスが更新されます。ネットワーク上に複数の Qualys デバイスが存在しても、MARS がそれらの Qualys デバイスを照会するときをずらすことはできません。ただし、複数のローカル コントローラ全体で一意のスケジュールを定義できます。

アップデート規則のさまざまな使用方法については、「トポロジ アップデートのスケジューリング」を参照してください。

すべての Qualys デバイスが検出されるように規則を定義するには、次の手順を実行します。


ステップ 1 [Admin] > [Topology/Monitored Device Update Scheduler] をクリックします。

[Topology/Monitored Device Update Scheduler] ページが表示されます。

ステップ 2 [Add] をクリックします。

ステップ 3 [Qualys Devices] または他の意味のある値を [Name] フィールドに入力します。

この名前で、[Topology/Monitored Device Update Scheduler] ページに表示される規則リスト内の規則が識別されます。

ステップ 4 [Network IP] オプション ボタンを選択し、165.193.18.12 と 255.255.255.255 を [Network IP] フィールドと [Mask] フィールドにそれぞれ入力します。

ステップ 5 [Add] をクリックして、デバイスを選択したフィールドに移動します。

ステップ 6 [Schedule] 表で、[Daily] を選択し、[Time of Day] リストから時間値を選択します。

オフピークの時間に毎日このデータをプルすることをお勧めしますが、組織に必要な間隔を定義できます。

ステップ 7 [Submit] をクリックします。

アップデート規則は、[Topology/Monitored Device Update Scheduler] ページのリストに表示されます。

ステップ 8 [Activate] をクリックします。


ヒント このディスカバリをオンデマンドで実行するには、定義した規則の横にあるチェックボックスを選択し、[Run Now] をクリックします.



 

QualysGuard の統合に関する問題のトラブルシューティング

表 12-1 に、考えられるエラーと、可能性が高い原因と解決方法を示します。

 

表 12-1 QualysGuard および MARS の統合のエラー表

エラー/症状
回避策/解決方法

Test connectivity failed.Click the View Errors button for more information.

Server unavailable.

このエラーは、MARS が Qualys デバイスに接続できなかったことを示します。このメッセージが表示される場合、次の 4 つの問題が考えられます。

[URL] フィールドに、無効なホスト名または IP アドレスを入力しました。値を正しく入力したことを確認します。

ネットワーク上のプロキシ サーバまたはファイアウォールおよびゲートウェイによって、トラフィックがブロックされた可能性があります。MARS Appliance と Qualys デバイス間を SSL トラフィック(TCP ポート 443)が通過するようにします。プロキシ サーバの正しい設定を [Admin] > [System Parameters] > [Proxy Setting] ページに入力します。

Fail to parse scan report.

このエラーは、Qualys デバイスからプルしたスキャン レポートを MARS で解析できなかったことを示します。このメッセージが表示される場合、次の 2 つの問題が考えられます。

QualysGuard デバイス上にあるデータが破損しました。

QualysGuard デバイス上の問題、または QualysGuard デバイス上のソフトウェア アップグレードのために、レポートの形式が変更されました。

QualysGuard デバイスがサポートされるバージョンを実行し、デバイス データが破損していないことを確認します。

Invalid user credentials.

このエラーは、MARS が Qualys デバイスを認証できなかったことを示します。このメッセージが表示される場合、次の 2 つの問題が考えられます。

指定したログイン認定証が正しくありません。これらの値が正しく入力されたことを確認し、指定したアカウントに十分な権限があることを確認します。

このアカウントは期限切れになりました。Qualys でサブスクリプション サービスを更新します。

Test connectivity failed for qualys.Unknown host: qualysapi.qualys.com Please make sure that,

Proxy settings are configured correctly, If there is no direct connection exists from CS-MARS to Qualys server

The hostname specified in the URL string is correct

Login name and Password is valid.

MARS Appliance に対して、DNS サーバが正しく設定されていることを確認します。これらの DNS 設定の詳細については、「 Specifying the DNS Settings 」を参照してください。