Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
NetScreen ScreenOS デバイス
NetScreen ScreenOS デバイス
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

NetScreen ScreenOS デバイス

NetScreen デバイスのブートストラップ

MARS への NetScreen デバイスの追加

NetScreen ScreenOS デバイス

MARS は NetScreen ScreenOS デバイス(バージョン 4.0、5.0、5.4、6.0)をモニタできます。NetScreen デバイスを監視対象として準備する手順は、次のとおりです。

1. NetScreen デバイスへの SNMP、SSH、Telnet のいずれかの管理アクセスを MARS が実行できるようにします。

2. NetScreen デバイスと MARS との間で共有する SNMP RO コミュニティ ストリングを定義します。

3. MARS にパブリッシュする syslog メッセージを指定します。

4. Netscreen デバイスを MARS Web インターフェイスに追加します。

上記の要件を満たすために、次の 2 つの手順を実行する必要があります。

「NetScreen デバイスのブートストラップ」

「MARS への NetScreen デバイスの追加」

NetScreen デバイスのブートストラップ

MARS によって監視されるように NetScreen デバイスを準備する手順は、次のとおりです。


ステップ 1 適切なユーザ名とパスワードを使用して NetScreen にログインします。

ステップ 2 メイン画面の左側のカラムで、[Network] > [Interfaces] の順にクリックします。

 

ステップ 3 適切なインターフェイスの横にある [Edit] をクリックし、SNMP および Telnet/SSH にアクセスできるように MARS を設定します。

 

ステップ 4 [Service Options] で、次のいずれかの値を選択します。

SNMP

Telnet

SCS(4.0 のみ)

SSH(5.0 以降)

MARS が設定を検出するために使用できるアクセス方式は 1 つだけです。この値は、「MARS への NetScreen デバイスの追加」の [Access Type] でも選択します。

ステップ 5 [Apply] をクリックしてから、[OK] をクリックします。

ステップ 6 [Configure] > [Report Settings] > [SNMP] の順に選択して、SNMP 情報を設定します。

 

ステップ 7 [Edit] をクリックして、[Host List] に MARS IP アドレスを追加します。

ステップ 8 MARS IP アドレスを入力し、[Community Name] の値が、このデバイスを追加したときに MARS Web インターフェイスに入力したコミュニティ ストリングと一致することを確認します。

ステップ 9 (任意)コミュニティ ストリングが一致しない場合は、[New Community] をクリックして、MARS で定義されているものと一致するコミュニティ ストリングを定義します。

ステップ 10 [Configure] > [Report Settings] > [Syslog] の順に選択して、syslog 情報を設定します。

ステップ 11 [Enable Syslog Messages] ボックスと[Include Traffic Log] ボックスがオンになっていることを確認します。

ステップ 12 このデバイスからのイベントをリッスンする MARS アプライアンスの IP アドレスを入力します。

ステップ 13 デフォルトの syslog ポート番号である 514 が選択されていることを確認します。

ステップ 14 [Security Facility] に [AUTH/SEC] を選択し、[Facility] に [LOCAL0] を選択します。

ステップ 15 NetScreen 5.0 の場合は、[Traffic Log] に加えて、[Event Log] も選択します。

ステップ 16 [Apply] をクリックします。

 

ステップ 17 MARS アプライアンスにイベントを送信するポリシーごとに、ロギングを設定します。左側の領域で [Policies] を選択します。

 

ステップ 18 [Edit] をクリックしてから [Advance] をクリックし、[Logging] ボックスがオンになっていることを確認します。イベントを MARS に送信する必要があるすべてのポリシーについて、手順を繰り返します。

 

ステップ 19 MARS に送信する必要があるすべての syslog イベントの重大度レベルが設定されていることを確認します。[Configuration] > [Report Settings] > [Log Settings] の順に選択して、イネーブルになっている syslog の重大度レベルを確認します。


 

MARS への NetScreen デバイスの追加


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストで次のバージョンのいずれかを選択します。

NetScreen ScreenOS 4.0

NetScreen ScreenOS 5.0

NetScreen ScreenOS 5.4

NetScreen ScreenOS 6.0

ステップ 3 [Device Name] フィールドにデバイス名を入力します。

MARS はこの名前をレポート IP アドレスにマッピングします。この名前はトポロジ マップ、クエリー、および [Security and Monitoring Device] リストで使用されます。ルータやファイアウォールなどの検出操作をサポートするデバイスの場合、MARS は、デバイス設定で検出された名前と一致するようにこのフィールド値の名前を変更します。この場合、通常は hostname.domain の形式を使用します。Windows や Linux のホストやホスト アプリケーションなど、検出できないデバイスの場合、指定した値が MARS で使用されます。

ステップ 4 (任意)MARS がこのデバイスの設定を検出できるようにするには、[Access IP] フィールドに管理 IP アドレスを入力します。

アクセス IP アドレス、その役割、および依存関係の詳細については、「アクセス IP、レポート IP、インターフェイスの設定について」を参照してください。

ステップ 5 syslog メッセージ、SNMP 通知、またはその両方を発行するインターフェイスの IP アドレスを [Reporting IP] フィールドに入力します。

レポート IP アドレス、その役割、および依存関係の詳細については、「アクセス IP、レポート IP、インターフェイスの設定について」を参照してください。

ステップ 6 [Access IP] フィールドにアドレスを入力した場合、[Access Type] リストで [TELNET]、[SSH]、または [FTP] を選択し、選択内容に応じた手順に進みます。

「MARS でのデバイスに関する Telnet アクセスの設定」

「MARS でのデバイスに関する SSH アクセスの設定」

「MARS でのデバイスに関する FTP アクセスの設定」

アクセス タイプの決定の詳細については、「アクセス タイプの選択」を参照してください。

ステップ 7 (任意)このレポート デバイスについて MARS が MIB オブジェクトを取得できるようにするには、[SNMP RO Community] フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

アクセス IP アドレスを定義してから、SNMP RO ストリングを指定する必要があります。MARS は、SNMP RO ストリングを使用して、レポート デバイスの CPU 使用状況、ネットワーク使用状況、およびデバイスの異常データに関連する MIB を読み取り、デバイスおよびネットワークの設定を検出します。

ステップ 8 (任意)アクセス IP を定義し、アクセス タイプを選択および設定した場合、[Discover] をクリックしてデバイス設定を決定します。

ユーザ名とパスワードが正しく、MARS Appliance がデバイスの管理ホストとして設定されている場合、検出操作の完了時に [Discovery is done.] ダイアログボックスが表示されます。それ以外の場合、エラー メッセージが表示されます。最初のプル後、MARS Appliance は定義したスケジュールに基づいてプルします。詳細については、「トポロジ アップデートのスケジューリング」を参照してください。

ステップ 9 MARS データベースにこのデバイスを追加するには、[Submit] をクリックします。

送信操作によって、データベース テーブルに変更内容が記録されます。ただし、変更内容は MARS Appliance の作業メモリにはロードされません。アクティベーション操作によって、送信した変更内容は作業メモリにロードされます。

ステップ 10 [Activate] をクリックします。

MARS は、このデバイスによって生成されたイベントのセッション化を開始し、定義済みのインスペクション規則とドロップ規則を使用してそのイベントを評価します。アクティベーション前にデバイスから MARS に対して発行されたイベントは、一致条件としてデバイスのレポート IP アドレスを使用して照会できます。アクティベーション アクションの詳細については、「レポート デバイスおよびセキュリティ デバイスのアクティブ化」を参照してください。