Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Entercept Entercept 2.5 および 4.0
Entercept Entercept 2.5 および 4.0
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Entercept Entercept 2.5 および 4.0

CSV ファイルへの Entercept エージェント情報の抽出(Entercept バージョン 2.5 の場合)

バージョン 2.5 の Entercept エージェント用の CSV ファイルを作成する手順

SNMP トラップのターゲットとして MARS アプライアンスを定義する手順

MARS 用の SNMP トラップを生成するイベントの指定

MARS での Entercept コンソールとそのエージェントの追加および設定

MARS への Entercept コンソール ホストの追加

手動での Entercept エージェントの追加

シード ファイルによる Entercept エージェントの追加

Entercept Entercept 2.5 および 4.0

MARS で Entercept を設定するためには、次の作業を行う必要があります。

1. Entercept コンソールが実行されているホストにログインし、データをデータベース テーブルからコピーして、各 Entercept ホストを識別する CSV ファイルを生成します。

2. SNMP トラップを MARS アプライアンスに送信するように Entercept コンソールを設定します。

3. SNMP トラップとして生成されるイベントを指定します。

4. MARS Web インターフェイスの管理コンソール(Entercept コンソール)となるホストを定義します。

5. その MARS Web インターフェイスのホストから、他のホストで実行される Entercept エージェントを識別する CSV シード ファイルをインポートします。


注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。

この章は、次の内容で構成されています。

「CSV ファイルへの Entercept エージェント情報の抽出(Entercept バージョン 2.5 の場合)」

「SNMP トラップのターゲットとして MARS アプライアンスを定義する手順」

「MARS 用の SNMP トラップを生成するイベントの指定」

「MARS での Entercept コンソールとそのエージェントの追加および設定」

CSV ファイルへの Entercept エージェント情報の抽出(Entercept バージョン 2.5 の場合)


) Entercept エージェント情報は、Entercept コンソールのデータベース ファイルに保存されます。


MARS を設定して Entercept エージェントを追加すると、エージェントごとにマッピングを入力しなくても、Entercept コンソールでデータベース ファイルからエージェントを抽出できます。

バージョン 2.5 の Entercept エージェント用の CSV ファイルを作成する手順


ステップ 1 ディレクトリ Program Files¥Cisco IDS¥Console¥Database を開き、ファイル CoreShield.mdb を別のディレクトリ( C:¥temp など)にコピーします。

ステップ 2 コピーした CoreShield.mdb を Microsoft Access で開き、「Agents」テーブルに移動します。

ステップ 3 このテーブルを Agents.txt という名前のファイルにエクスポートします。エクスポート先のファイルの形式には、CSV を選択してください。

ステップ 4 MARS がロードできるディレクトリ特定のディレクトリに Agents.txt をコピーします。

A sample agents.txt file could be:
1,3,"entercept1",6,1,1,1,438,1,"127.0.0.1",0,,1051055867,2086
 
where the fields are: AgentID, AgentTypeID, ComputerName, ComputerType,
NewFlag, StatusID, OperatingModeID, VersionID, VersionModeID, IP,
License, Note, NoConnection, and UpTime.
 


 

SNMP トラップのターゲットとして MARS アプライアンスを定義する手順


ステップ 1 Entercept コンソールにログインします。

ステップ 2 [Configuration] をクリックします。

ステップ 3 [Address Book] タブをクリックします。

ステップ 4 [All Contacts] ツリーで、[SNMP Trap] をクリックします。

ステップ 5 プラス(+)ボタンをクリックします。

ステップ 6 [New SNMP Trap] ページで、次の値を指定します。

[Alias]:MARS アプライアンスの名前を入力します。

[Privilege Level]:[Global] に設定します。

[Status]:[Enabled] に設定します。

[Name]:DNS サーバが MARS アプライアンスの名前を解決できる場合は、その名前を入力します。解決できない場合は、MARS アプライアンスの IP アドレスを使用します。

[Community]:コミュニティ ストリングの名前を入力します。

[Port]:MARS アプライアンスが使用する SNMP ポートの番号を入力します。

[Protocol]:[SNMP] を選択します。


 

MARS 用の SNMP トラップを生成するイベントの指定


ステップ 1 [Notifications] タブをクリックします。

ステップ 2 プラス(+)ボタンをクリックします。

ステップ 3 [General] タブの名前フィールドに、通知の名前を入力します。

ステップ 4 [Agent Groups] タブをクリックし、[All Agents] オプション ボタンを選択します。

ステップ 5 [Security Events] タブをクリックし、[Events by Severity Levels] オプション ボタンを選択します。目的のイベント([High]、[Medium]、[Low]、[Information])を選択します。

ステップ 6 [System Events] タブをクリックし、[Events by Severity Levels] オプション ボタンを選択します。目的のイベント([Error]、[Warning]、[Information])を選択します。

ステップ 7 [Address Book] タブをクリックし、[Available Destinations] フィールドで宛先をクリックします。下向き矢印をクリックし、宛先を [Selected Destinations] フィールドに移動します。

ステップ 8 [OK] をクリックしてプログラムを終了します。


 

MARS での Entercept コンソールとそのエージェントの追加および設定

Entercept デバイスを追加する手順は 2 つあります。まず、Entercept コンソール ホストの設定情報を追加します。次に、そのコンソールが管理するエージェントを追加します。

ここでは、次の内容について説明します。

「MARS への Entercept コンソール ホストの追加」

「手動での Entercept エージェントの追加」

「シード ファイルによる Entercept エージェントの追加」

MARS への Entercept コンソール ホストの追加


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。

ステップ 3 新しいホストを追加する場合、[Device Name] および [IP addresses] を入力します。

ステップ 4 [Apply] をクリックします。

ステップ 5 [Reporting Applications] タブをクリックします。

ステップ 6 [Select Application] リストで [Entercept 2.5 or 4.0] を選択します。

ステップ 7 [Add] をクリックします。

ステップ 8 [Console Name] に入力します。

ステップ 9 デバイスをセンサーとして指定する [Is Sensor] チェック ボックスをオンにします。

ステップ 10 センサーのエージェント名を [Agent Name] に入力します。コンソールがエージェントである場合は、この名前がエージェント名になります。

 

ステップ 11 [Submit] をクリックします。

これでエージェントを追加できます。


 

手動での Entercept エージェントの追加


注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。


ステップ 1 [Add Agent] をクリックします。

ステップ 2 エージェントがすでに実行されているデバイスを選択するか、[Add New] をクリックします。

ステップ 3 [Add New] を選択した場合は、次の値を指定します。

[Device Name]

[Agent Name]

[Reporting IP]

最初のインターフェイスの場合、IP アドレスとマスクを入力します。

複数のインターフェイスの場合、[Add Interface] をクリックし、新しいインターフェイスの IP アドレスとマスクを追加します。

ステップ 4 [Submit] をクリックします。


 

シード ファイルによる Entercept エージェントの追加


注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。


ステップ 1 [Load From CSV] をクリックします。

ステップ 2 FTP サーバ情報と CSV(カンマ区切り形式)ファイルの場所を入力します。

Entercept エージェントの CSV ファイルを生成する必要がある場合は、「CSV ファイルへの Entercept エージェント情報の抽出(Entercept バージョン 2.5 の場合)」を参照してください。

ステップ 3 [Submit] をクリックします。