Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
Monitoring, Analysis, and Response System(MARS)の概要
Monitoring, Analysis, and Response System(MARS)の概要
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

Monitoring, Analysis, and Response System(MARS)の概要

システムの説明

Local Controller

Global Controller

分散型グローバル/ローカル アーキテクチャの利点

MARS Web インターフェイス

レポート デバイスおよび軽減デバイス

Global Controller の基本機能

インシデント

規則

集中化されたメンテナンス

展開

差分展開

グリーンフィールド マルチボックス展開

ゾーン プランニング

Monitoring, Analysis, and Response System(MARS)の概要

この章では、Cisco Security Monitoring, Analysis, and Response System(MARS)の基本コンポーネント、Global Controller と Local Controller、および機能と展開オプションの基本的な概要について説明します。

この章は、次の内容で構成されています。

「システムの説明」

「Global Controller の基本機能」

「展開」

システムの説明

Cisco Security MARS は、Security Threat Mitigation(STM; セキュリティ脅威軽減)システムです。ネットワーク内のデバイスによって報告されたネットワークのヘルス情報を提供します。Cisco Security MARS は、レポート デバイスからの未処理イベントを処理し、それらを異なるデバイス間でセッション化し、照合する検査規則(システムおよびユーザ定義)に対して評価し、フォールス ポジティブを識別し、ダイアグラム、チャート、クエリー、レポート、および規則を使用して情報を統合します。


ヒント セッション化とは、報告されたネットワーク データ、ログ、およびイベントをより高いレベルの解釈と関連付けることにより、それらのパケットを、先頭、本体、および末尾を持つ単一のセッション(または通信)の一部として識別することです。


MARS には、生産性の向上を可能にする次の利点があります。

手動による確認を必要とする未処理データの量を削減

ネットワーク セキュリティ ポスチャの進展を表示可能

悪意のあるアクティビティのホット スポットを識別

ネットワークからの望ましくないトラフィックをブロック

MARS はネットワークのレポート デバイスに関して提供される情報の量に基づいて、明確に区分されたレベルで動作します。最も基本的なレベルでは、MARS は Syslog サーバとして機能します。レポート デバイスに関する情報を追加すると、MARS は未処理データのセッション化を開始します。また、追加のレポート デバイスを設定して、より詳細なレポート機能をイネーブルにすると、MARS はネットワークをより総合的に表示します。そこから、特定の MAC アドレスなどにすばやくドリルダウンできます。

単一の MARS アプライアンスを使用することもできますが、多くの人は分散型システムの方が望ましいことに気付きます。そのような設計においては、Global Controller によって一連の Local Controller を制御して通信することにより、ネットワーク内の複数のローカル ゾーンからのイベントを監視します。図 1-1 は、MARS の展開例です。これは、MARS のコンポーネントとそれらの関係を示します。

図 1-1 Global Controller、Local Controller、レポート/軽減デバイスの関係

 

ここでは、次の内容について説明します。

「Local Controller」

「Global Controller」

「分散型グローバル/ローカル アーキテクチャの利点」

「MARS Web インターフェイス」

「レポート デバイスおよび軽減デバイス」

Local Controller

Local Controller のモデルは次のとおりです。

Gen 1:MARS 20、MARS 20R、MARS 50、MARS 100、MARS 100e、および MARS 200

Gen 2:MARS 25、MARS 25R、MARS 55、MARS 110R、MARS 110、および MARS 210

各モデルは、レポート デバイスからのイベントを処理し、格納する能力が異なるため、ネットワークのサイズとトラフィック量に基づいて的確にニーズに対処できます。

Local Controller は、ファイアウォール、ルータ、侵入検知/防御システム、脆弱性アセスメント システムなどのレポート デバイスからデータを受信し、プルします。これらのデバイスから取得したデータおよびそれらとの確立された統合のレベルに基づいて、MARS は、検出した攻撃に対して推奨される軽減規則を提示し、場合によっては、感染したホストへのネットワーク アクセスを制限することで攻撃を阻止するネットワーク デバイスである軽減デバイスにそれらの規則をプッシュします。

Local Controller は、監視対象のレポート デバイスから受信したデータに基づいて、ネットワークのヘルスに関する情報を要約します。

Local Controller は、次の機能を実行します。

すべての未処理イベントを収集する。

異なるデバイス間でイベントセッション化する。

インシデントに関する検査規則を起動させる。

フォールス ポジティブを決定する。

ダイアグラム、チャート、クエリー、レポート、および通知に統合された情報を配信する。

非アクティブなレポート デバイスを検出する。

Global Controller

Global Controller は、検出した複数の Local Controller を要約します。このため、Global Controller を使用することで、管理負荷を増やさずにネットワーク モニタリングをスケールアップできます。Global Controller では、新しいデバイス タイプ、検査規則、およびクエリーを定義するための単一ユーザ インターフェイスを使用して、制御下にある Local Controller を管理できます。この管理には、管理者アカウントの定義とリモートでの Local Controller の分散アップグレードが含まれます。Global Controller のモデルは次のとおりです。

MARS GCm および MARS GC

Gen 2:MARS GC2 および MARS GC2R

Global Controller は、複数のローカル ゾーンを監視します。各ゾーンは、監視対象のデバイスの単一クラスタで構成され、Local Controller によって管理されます。

分散型グローバル/ローカル アーキテクチャの利点

Global Controller/Local Controller アーキテクチャには次の利点があります。

ネットワーク トポロジの集中分散管理が可能です。

Global Controller と Local Controller 間でデータを非公開にしながら、リモート サイトから自分のサイトのデータを表示できます。

Global Controller からネットワーク全体を表示できます。

マルチレイヤ階層を使用するリニア スケーラビリティがもたらされます。

複数の Local Controller を使用して、ホストのロギング、Network Intrusion Detection System(NIDS; ネットワーク侵入検知システム)、準拠、ネットワーク プロファイリングと異常検出など、部門の機能を分離できます。

モニタリング デバイスからの未処理データではなく、関連付けられた情報をプッシュアップすることにより、WAN リンクを維持します。

MARS Web インターフェイス

MARS Web インターフェイスは、クライアント コンピュータ上で動作します。Local Controller と Global Controller の両方に共通する多くの機能を備えた Web インターフェイスは、タブおよびハイパーリンクを備えたブラウザベースのユーザ インターフェイスです。Web インターフェイスには、ネットワーク上の MARS アプライアンスにアクセス可能な任意のコンピュータからアクセスします。クライアント要件の詳細については、『 Cisco Security MARS Initial Configuration and Upgrade Guide, 6.X 』の「 Deployment Planning Guidelines 」の章にある「 Web Browser Client Requirements 」を参照してください。

この Web インターフェイスから、コマンドラインではサポートされないすべての機能を含むほとんどの管理機能を実行できます。

レポート デバイスおよび軽減デバイス

包括的な観点から MARS を考えると、Global Controller は Local Controller を監視し、Local Controller は 1 つ以上のレポート デバイスを監視することがわかります。レポート デバイスは、MARS に対して、トラフィック フロー(ルータの場合)から考えられる攻撃目標の設定(脆弱性アセスメント システムの設定など)に至るまで、ネットワークに関するさまざまなデータを提供します。

トラフィック フローを拒否できるレポート デバイスは、 軽減デバイス と呼ばれます(スイッチなど)。MARS は、次の 2 つの形式の軽減サポートを提供します。

サポートされるレイヤ 3 デバイス(Open System Interconnection(OSI; オープン システム インターコネクション)ネットワーク モデル ベース)の場合は、推奨されるデバイスと、検出された進行中の攻撃を食い止めるために使用できる一連のコマンドが提供されます。この情報を使用して、攻撃を手動でブロックできます。

サポートされるレイヤ 2 デバイスの場合は、推奨されるデバイス、検出された進行中の攻撃を食い止めるために使用できる一連のコマンド、およびユーザに代わって設定変更を行う方法が提供されます。

レポート デバイスと軽減デバイスの設定は、進行中の攻撃を検出する MARS の機能に大きく影響します。

Global Controller の基本機能

Global Controller は、Local Controller のグループを集中管理します。ユーザ インターフェイスには、それぞれの Local Controller を持つすべてのゾーンのリストが表示されます。

Global Controller は、次のような強力な一連の機能により、ネットワークの監視と管理を行います。

インシデント

規則

クエリーおよびレポート

集中化されたメンテナンス(管理対象の Local Controller のソフトウェア アップグレードなど)

Global Controller の管理者ユーザは、Global Controller と監視対象の Local Controller に関する情報を作成、編集、または削除できます。次のような情報があります。

規則

レポートおよびクエリー

ユーザ、IP、およびサービスの管理

管理グループ化(イベント グループやユーザ グループなど)

インシデント

Global Controller は、いつでも任意の Local Controller を監視してデータを受信できます。すべての Local Controller から要約された情報を受け取り、そのデータを結合したサマリーを生成します。このサマリーは、グローバル トポロジと、各ゾーンのネットワーク アクティビティを反映するインシデントで構成されます。トポロジおよびインシデントをドリルダウンすると、ゾーン レベルでパスおよびイベントのサブセットに到達できます。

サマリーには、ハイ プライオリティ、ミディアム プライオリティ、およびロー プライオリティのインシデントの説明が示されます。Global Controller 上のすべてのネットワーク、ポート、プロトコル、アプリケーション、およびイベントの範囲はグローバルである必要があります。

規則

Global Controller は、規則を使用して、報告を受け取るゾーンを監視します。複数の Local Controller に適用する規則は、Global Controller 上で作成し、中央の場所から各 Local Controller にプッシュダウンできます。これらの規則は、グローバル レベルで確認可能なインシデントをトリガーします。


) Local Controller 上で作成された規則は、ローカルなままです。これらの規則から生成されたインシデントは、Global Controller にプッシュアップされません。


集中化されたメンテナンス

Global Controller は、ほとんどのデータのアーカイブ処理を Local Controller に委ねます。ただし、一部の基本的なアーカイブ/復元機能はグローバル レベルで提供されます。

Global Controller は、Local Controller に対するすべてのアップグレードを集中管理します。同じバージョンのソフトウェアを実行している Local Controller は、そのまま管理されます。

展開

Global Controller システムは、その柔軟なアーキテクチャにより、差分展開とグリーンフィールド展開という 2 種類の基本的な展開をサポートしています。次のセクションでは、これらの展開について説明します。

ここでは、次の内容について説明します。

「差分展開」

「グリーンフィールド マルチボックス展開」

「ゾーン プランニング」

差分展開

このシナリオでは、管理者は、1 つ以上の Local Controller システムをスタンドアロン ユニットとして展開します。後日、管理者は、Global Controller を追加することを決定します。この場合、以前に展開した Local Controller が新しい Global Controller と確実に通信できるようにする必要があります。この通信を可能するための手順は、次のとおりです。

1. 各 Local Controller のゾーンを作成します。

2. ゾーン間でレポート デバイスが重複していないことを確認します。

3. Local Controller のバージョンが Global Controller のバージョンと同じになるようにアップグレードします。

4. Global Controller で、Local Controller を監視対象コントローラとして追加します。

5. これにより、Global Controller は、セキュリティ証明書の情報を交換することによって各 Local Controller と通信するように設定されます。

この通信が可能になると、Global Controller は、インシデントや規則などの方法を Local Controller から受信できます。

グリーンフィールド マルチボックス展開

このシナリオでは、ネットワーク管理者は、複数の Local Controller と 1 つの Global Controller を展開して監視することを最初から決定します。この場合、管理者は、インストールを円滑に完了できるように、ゾーンと監視対象デバイスを前もって定義します。

ゾーン プランニング

ゾーンとは、Local Controller によって監視されているレポート デバイスのホームである 1 つ以上のサブネットワークの論理集合です。ゾーンにより、Global Controller は、固有のサブネットワークを監視する Local Controller によって共通のネットワーク アドレスと関連付けられているイベントを識別できます。たとえば、Managed Security Service Provider(MSSP)が Global Controller を使用してクライアントの Local Controller を監視する場合を考えてみます。MSSP は、クライアントが同じプライベート ネットワーク アドレスを使用することを防ぐことができませんが、ゾーンを使用してネットワークとクライアントを識別できます。

ゾーンを計画する場合、いくつかの要件があります。

ゾーンごとに一意の名前が付けられている。

Local Controller は複数のゾーンに属することはできない。

各 Local Controller は単一のゾーンに対応する。