Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
McAfee ePolicy Orchestrator デバイス
McAfee ePolicy Orchestrator デバイス
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

McAfee ePolicy Orchestrator デバイス

必要なデータを生成するための ePolicy Orchestrator 4.0 の設定

必要なデータを生成するための ePolicy Orchestrator 3.5 および 3.6 の設定

MARS での ePolicy Orchestrator サーバの追加と設定

ファイルからの ePO エージェントの追加

McAfee ePolicy Orchestrator デバイス

McAfee ePolicy Orchestrator(ePO)は、多くの McAfee 製品の中央管理アプリケーションです。アンチウイルス(AV)デバイスは、ホストベースの IPS ソリューションと同様に、既知のウイルスや異常を検出および防止します。MARS は、ePO で管理される次のデバイスに関するイベント データを受信できます。

McAfee VirusScan 8.0(I)/8.5(I)

McAfee HIPS 6.0(ePO 3.6.x 経由)

McAfee HIPS 7.0(ePO 4.0 経由)

McAfee ePolicy Orchestrator サーバで生成されるデータを受信して処理するように MARS を設定する作業では、2 つの手順を行う必要があります。

SNMP トラップを MARS に転送するように ePO サーバを設定する。

MARS Web インターフェイスで ePO サーバを定義する。

(任意)ePO エージェントのリストを ePO サーバからエクスポートし、MARS で定義した ePO サーバのエージェントとしてインポートする。エージェントで生成されたイベントを ePO サーバが転送するときに管理対象エージェントのリストが MARS で動的に検出されるため、この手順は必須ではありません。


注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。

この章は、次の内容で構成されています。

「必要なデータを生成するための ePolicy Orchestrator 4.0 の設定」

「必要なデータを生成するための ePolicy Orchestrator 3.5 および 3.6 の設定」

「MARS での ePolicy Orchestrator サーバの追加と設定」

必要なデータを生成するための ePolicy Orchestrator 4.0 の設定

SNMP イベントを MARS に転送するために ePolicy Orchestrator サーバを準備するには、次の手順を実行します。


ステップ 1 [Start] > [Program Files] > [Network Associates] > [ePolicy Orchestrator 4.x Console] の順に選択します。

ステップ 2 ツリーの [McAfee Security] > [ePolicy Orchestrator] を選択し、[Global Task List] の [Log on to server] リンクをクリックします。

 

ステップ 3 [Log On to Server] ダイアログ ボックスに、ePolicy Orchestrator サーバへのアクセスに必要なユーザ名とパスワードを入力し、[Log on] をクリックします。

ステップ 4 [Automation] をクリックし、[SNMP Servers] サブタブをクリックします。

ステップ 5 [New SNMP Server] をクリックします。

 

ステップ 6 次の値を指定し、[OK] をクリックします。

[Name]:Local Controller のホスト名を入力します。

[Server address]:MARS アプライアンスのモニタリング インターフェイスである eth0 インターフェイスの IP アドレスを入力します。

MARS Appliance を示す SNMP サーバが追加されます。

ステップ 7 [Notification Rules] サブタブをクリックします。

有効になっている通知規則のリストが表示されます。

 

ステップ 8 リストで有効になっている各規則を編集して、MARS アプライアンスである SNMP サーバにすべての通知が送信されるようにします。規則を編集するには、次の手順を実行します。

a. 規則をクリックします。

[Describe Rule] ウィザード ページが表示されます。

 

b. [Next] をクリックして [Set Filters] ページに進みます。

 

c. [Add Notification Rule] または [Edit Notification Rule] で [3.Set Thresholds] リンクをクリックします。

図 30-1 [Thresholds] リンクの設定

 

d. 図 30-1図 30-3のように、[Aggregation] 値と [Throttling] 値を確認します。

e. [Next] をクリックして、[Create Notifications] ページに進みます。

図 30-2 [Notification Rule Builder] - 通知の手順

 

f. [SNMP サーバ] リストで、MARS Appliance を示す SNMP サーバを選択します。

g. 図 30-2に示されているように、すべての変数が選択されていることを確認し、[Next] をクリックします。

 

h. [Save] をクリックして、選択した規則について通知のリストに SNMP トラップを追加します。

i. [Finish] をクリックし、変更内容を選択したファイルに保存します。

j. 各規則について、a.i. を繰り返します。


 

必要なデータを生成するための ePolicy Orchestrator 3.5 および 3.6 の設定

SNMP イベントを MARS に転送するために ePolicy Orchestrator サーバを準備するには、次の手順を実行します。


ステップ 1 [Start] > [Program Files] > [Network Associates] > [ePolicy Orchestrator 3.x Console] の順に選択します。

ステップ 2 ツリーの [McAfee Security] > [ePolicy Orchestrator] を選択し、[Global Task List] の [Log on to server] リンクをクリックします。

 

ステップ 3 [Log On to Server] ダイアログ ボックスに、ePolicy Orchestrator サーバへのアクセスに必要なユーザ名とパスワードを入力し、[OK] をクリックします。

ステップ 4 ツリーで、[McAfee Security] > [ePolicy Orchestrator] > [<Server_Name>] > [Notifications] の順にクリックし、[Configuration] タブをクリックして、[SNMP Servers] リンクをクリックします。

ステップ 5 [Add] をクリックします。

 

ステップ 6 [Name] フィールドに、MARS アプライアンスのホスト名を入力します。

ステップ 7 [Server address] フィールドに、MARS アプライアンスのモニタリング インターフェイスである eth0 インターフェイスの IP アドレスを入力し、[OK] をクリックします。

MARS Appliance を示す SNMP サーバが追加されます。

ステップ 8 [Rules] タブをクリックします。

[Rules] タブへのアクセスは、[McAfee Security] > [ePolicy Orchestrator] > [<Server_Name>] > [Notifications] の順に選択し、[Rules] タブをクリックして行います。

ステップ 9 リストの各規則を編集して、MARS アプライアンスである SNMP サーバにすべての通知が送信されるようにします。規則を編集するには、次の手順を実行します。

a. 規則をクリックします。

[Describe Rule] ウィザード ページが表示されます。

 

b. [Next] をクリックして [Set Filters] ページに進みます。

c. [Add Notification Rule] または [Edit Notification Rule] で [3.Set Thresholds] リンクをクリックします。

図 30-3 [Thresholds] リンクの設定

 

d. 図 30-1図 30-3のように、[Aggregation] 値と [Throttling] 値を確認します。

e. [Next] をクリックして、[Create Notifications] ページに進みます。

 

f. [Add SNMP Trap] をクリックします。

図 30-4 SNMP トラップの設定

 

g. [SNMP サーバ] リストで、MARS Appliance を示す SNMP サーバを選択します。

h. 図 30-4に示されているように、すべての変数が選択されていることを確認します。

i. [Save] をクリックして、選択した規則について通知のリストに SNMP トラップを追加します。

j. [Finish] をクリックし、変更内容を選択したファイルに保存します。

k. 各規則について、a.j. を繰り返します。


 

MARS での ePolicy Orchestrator サーバの追加と設定

MARS が ePolicy Orchestrator からの SNMP トラップの処理を開始できるようにするためには、ホストで実行されているソフトウェアとして ePolicy Orchestrator サーバを定義する必要があります。ePolicy Orchestrator がレポート デバイスとして定義されている場合、MARS は、ePolicy Orchestrator イベント タイプを使用して定義したインスペクション規則を処理できます。

ePolicy Orchestrator サーバを MARS に追加すると、MARS は ePolicy Ochestrator サーバによって管理されるエージェントがイベントを生成したときに、これらのエージェントを検出できます。このサーバに関連付けられたエージェントを手動で定義する必要はありません。

MARS に ePolicy Orchestrator サーバを追加する手順は、次のとおりです。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストで、[Add SW Security apps on a new host] を選択します。

ステップ 3 サーバのホスト名を [Device Name] フィールドに入力します。

ステップ 4 [Reporting IP] フィールドに、SNMP トラップの送信元となる ePolicy Orchestrator サーバのインターフェイスの IP アドレスを入力します。

ステップ 5 [Enter interface information] に、syslog メッセージの送信元となる ePolicy Orchestrator サーバのインターフェイスの名前、IP アドレス、ネットマスク値を入力します。

このアドレスは [Reporting IP address] と同じ値です。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Next] をクリックして [Reporting Applications] タブに移動します。

ステップ 8 [Select Application] フィールドで、[McAfee ePO 3.5] 、[McAfee ePO 3.6.x] 、または [McAfee ePO 4.0] を選択し、[Add] をクリックします。

 

ステップ 9 [Done] をクリックして変更を保存します。

ステップ 10 [Submit] をクリックします。

ステップ 11 デバイスをアクティブにするには、[Activate] をクリックします。

エージェントの動的検出がサポートされています。MARS は、発信元のデバイスを SNMP トラップで識別してエージェントを検出します。したがって、エージェントが検出されるのは、そのデバイスから発信される SNMP トラップが ePO サーバから転送されるときです。

動的検出のほかにも、エージェントを登録する方法があります。エージェントを MARS に手動でインポートする方法の詳細については、「ファイルからの ePO エージェントの追加」を参照してください。


 

ファイルからの ePO エージェントの追加

ePO エージェントがインストールされたホストの完全なリストを追加できます。そのためには、ePolicy Orchestrator からすべてのホストのレポートをエクスポートして、そのファイルを MARS にインポートします。エクスポート ファイルを使用してエージェントを追加する唯一の利点は、エージェントから送信され、受信した最初の通知が、ePO サーバに対応付けられないことです。


) リリース 3.6.x および 4.0 では、ePO からエクスポートした CSV ファイルを使用してレポート エージェントをインポートできます。4.0 では、エクスポートを ePO ユーザ インターフェイスから実行できます。3.6.x では、エクスポートをデータベースから実行できます。ePO からの CSV ファイルのエクスポート手順については、製品に付属するマニュアルを参照してください。



注意 エージェントの動的検出をサポートするモニタリング デバイスは、モニタリング デバイス サーバ(適用できる場合)上のエージェントを検出しません。このエージェントは意図的に検出されません。そのデバイスからのイベント処理時に問題が発生するためです。また、モニタリング デバイス サーバ上で実行されるエージェントは手動で定義しないでください。

ePO エージェントをファイルから追加する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitoring Devices] をクリックします。

ステップ 2 デバイスのリストで、ePolicy Orchestrator サーバが実行されているホストを選択し、[Edit] をクリックします。

ステップ 3 [Reporting Applications] タブをクリックし、[Device Type] リストで [McAfee ePO 3.6.x] または [McAfee ePO 4.0] をクリックし、[Edit] をクリックします。

ステップ 4 [Load From File] をクリックします。

 


注意 ファイルはタブ区切りファイルの形式にする必要があります。CSV ファイルは使用できません。ePolicy Orchestrator サーバで管理される ePO エージェントのタブ区切りファイルを生成する手順については、ePolicy Orchestrator に付属するマニュアルを参照してください。

ステップ 5 [IP Address] フィールドに、エクスポートしたホスト ファイルが格納されている FTP サーバのアドレスを入力します。

ステップ 6 FTP サーバに対する認証に使用されるアカウント名を [User Name] フィールドに入力します。

ステップ 7 ステップ 6で指定したアカウントに対応するパスワードを [Password] フィールドに入力します。

ステップ 8 ファイルを保存するフォルダのパスを [Path] フィールドに入力します。このファイルがルート フォルダに保存される場合、このフィールドにバックスラッシュ( \ )を指定する必要があります。この値の形式は \<path_here>\ です。

ステップ 9 タブ区切りファイルの名前を [File Name] フィールドに入力します。

ステップ 10 [Submit] をクリックします。

次のメッセージが表示され、ホストが ePolicy Orchestrator サーバ のエージェントとして追加されます。

Success:
Status: OK
 

ステップ 11 [Done] をクリックします。