Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
インシデントの調査および軽減機能
インシデントの調査および軽減機能
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

インシデントの調査および軽減機能

インシデントの概要

[Incidents] ページ

インシデントの時間範囲

[Incident Details] ページ

セッション ID またはインシデント ID の検索手順

Incident Details テーブル

フォールス ポジティブの確認

[False Positive] ページ

フォールス ポジティブの調整

未確認フォールス ポジティブのフォールス ポジティブへの調整

未確認フォールス ポジティブのトゥルー ポジティブへの調整

フォールス ポジティブ廃棄規則のアクティブ化

軽減機能

802.1X による軽減の例

802.1X ネットワーク マッピングによる軽減の要件

802.1X ネットワーク マッピングによる軽減機能の実行

動的なデバイス情報の表示

バーチャル プライベート ネットワークに関する考慮事項

レイヤ 2 パスの分析および軽減機能の設定例

レイヤ 2 パスの分析および軽減の要件

使用コンポーネント

ネットワーク図

レイヤ 2 パスの分析および軽減の手順

アクセス タイプとしての SNMP 対応 Cisco Catalyst 5000 の追加

アクセス タイプとしての SNMP 対応 Cisco Catalyst 6500 の追加(L2 のみ)

アクセス タイプとしての Telnet 対応 Cisco 7500 ルータの追加

レイヤ 3 およびレイヤ 2 の接続パスの検証

クエリーによるセッションの表示

軽減機能の実行

インシデントの調査および軽減機能

インシデントは、ネットワークに関する攻撃を示す、規則によって相互に関連付けられた一連のイベントです。Cisco Security Monitoring, Analysis, and Response System(MARS)では、インシデントの検出、軽減、レポート、および分析が簡素化され、迅速に処理されます。Network Summary の Dashboard および Incident ページを使用すると、最近のインシデントを検出して、インシデントを構成する規則およびイベントを表示できます。軽減機能は、ネットワーク内のチョーク ポイントとして機能する実行デバイスを識別および設定して、攻撃側ネットワーク デバイスと被害側ネットワーク デバイスを分離する MARS の機能です。クエリーおよびレポートは、問題の範囲を明らかにし、分析および適合規格のためのデータを収集します。すべての情報は、ケース管理によってケース レポートに取り込み、関連するユーザに通知できます。

この章は、次の内容で構成されています。

「インシデントの概要」

「[Incidents] ページ」

「[Incident Details] ページ」

「フォールス ポジティブの確認」

「軽減機能」

「レイヤ 2 パスの分析および軽減機能の設定例」

「クエリーによるセッションの表示」

インシデントの概要

攻撃は、偵察アクティビティ(ポート スキャンなど)、侵入(バッファ オーバーフローなど)、ターゲット ホストに関する悪意のあるアクティビティ(ローカル権限のエスカレーション攻撃やバックドアのインストールなど)の順番で構成される場合があります。

Local Controller で生成されたインシデントは、攻撃シナリオを構成する関連イベントを収集し、規則を使用してこれらのイベントを記述します。MARS にはユーザが微調整可能な、定義済みのシステム規則があります。また、MARS で独自の規則を作成することも可能です。

Global Controller に表示されるインシデントは、Local Controller レベルのグローバルな規則で起動し、Global Controller レベルでコンパイルされます。Local Controller に表示されるインシデントは、その Local Controller に対してローカルな規則で起動します。インシデントは、Local Controller によるローカル レポート生成時に使用されます。Global Controller には伝播しません

定義済みのシステム規則はグローバル規則として処理されます。システム規則によって Local controller でインシデントが起動されると、Global Controller に伝播します。

インシデントは複数のインスタンスに分割されるため、攻撃シナリオの調査が容易になります。インスタンスは、それぞれが完全な攻撃シナリオに対応します。

たとえば、ネットワークが DoS 攻撃に対してプローブされてから攻撃を受けた場合、追加攻撃が検出されると、規則が起動されます。このインシデントにより、この攻撃のインスタンスが表示されます。

図 9-1 DoS プローブと後続の DoS 攻撃

 

[Incidents] ページ

[Incidents] タブをクリックして、[Incidents] ページを表示します。[Incidents] ページに、最近のインシデントが表示されます。

インシデントは、特定の規則の基準を満たし、この規則を起動したイベントおよびセッションの集合です。インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。

図 9-2 Incidents Navigation ページ:Global Controller

 

1

インシデントをレポート中の Local Controller の名前。[Local Controller Incident] ページにもリンクしています。

2

レポート中の Local Controller の Incident Detail ページへのリンク。

3

インシデント重大度表示アイコン。

4

インシデントを構成するイベント。[Event Type Details] ポップアップ ウィンドウにリンクしています。

5

Query アイコン。[Query] ページにリンクしていて、対応するクエリー フィールドにこの項目が読み込まれます。

6

インシデントを作成するために起動された規則。規則の詳細を表示する規則ページにリンクしています。

7

インシデントの開始時間と終了時間。

8

レポート中の Local Controller の Incident Path 図および Incident Vector 図へのリンク。

9

レポート中の Local Controller の [View Case] ページへのリンク。

図 9-3 Incidents Navigation:Local Controller

 

1

インシデント ID:[Incident Detail] ページへのリンク。

2

インシデント重大度アイコン。

3

インシデントを構成するイベント:[Event Type Details] ポップアップ ウィンドウを起動します。

4

Query アイコン:[Query] ページにリンクしていて、対応するクエリー フィールドにこの項目が読み込まれます。

5

インシデントを作成するために起動された規則。規則の詳細を表示する規則ページにリンクしています。

6

インシデントの時間範囲。

7

Incident Path 図および Incident Vector 図を起動します。一致した規則についてクエリーを行う場合にクリックします。

8

[View Case] ページへのリンク。

[Incident] ページの表の項目は、次のとおりです。

Incident ID

インシデントの一意な ID。Global Controller では、この ID の後に、インシデントが発生している Local Controller が続きます。

Severity

低(グリーン)、中(イエロー)、および高(レッド)のアイコン。

Event Type

レポート デバイスから送信される標準化されたシグニチャ。

Matched Rule

基準が満たされた規則。

Action

この規則の起動時に送信される通知の説明(ePAGE、電子メールなど)。

Time

特定の時刻または時間範囲(詳細については「「インシデントの時間範囲」」を参照してください)。

Incident Path

インシデントのパス図に移動するアイコン。Global Controller から Local Controller の図に移動します。

Incident Vector

送信元、イベント タイプ、および宛先に関する図に移動するアイコン Global Controller から Local Controller の図に移動します。

インシデントの時間範囲

Time カラムには、特定の時刻( Sep 6, 2003 12:09:54 PM PDT )、時間範囲( Sep 6, 2003 12:06:43 PM PDT - Sep 6, 2003 12:06:47 PM PDT )が表示されます。

特定の時刻は、すべての起動イベントが同じ秒内に受信されたことを示します。インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。

[Incident Details] ページ

Global Controller に関する考慮事項 :[Incident ID] をクリックすると、イベントが記録されている Local Controller に接続する別ブラウザに、Incident Details テーブルが表示されます。

[Incident ID] をクリックすると、[Incident Details] ページに移動します。[Incident Details] ページには、情報および情報収集ツールが多数示されています。このページで、インシデントの起動元、発生したイベントの種類、発生時刻、実行対象などの情報を収集できます。

図 9-4 [Incident Details] ページ

 

このページの上部に、インシデント ID およびセッション ID を検索して一致した規則を表示するためのツールが配置されています。

セッション ID またはインシデント ID の検索手順


ステップ 1 ページ右上の [Incident ID] フィールドまたは [Session ID] フィールドに ID を入力します。

ステップ 2 [Show] ボタンをクリックします。

部分的に非表示の規則を表示するには、Rule Description の横にある [Show] ボタンをクリックします。


) 各インシデントは、ケースに追加できます。または、Local Controller から軽減を実行できます。



 

Incident Details テーブル

Global Controller に関する考慮事項 :[Incident ID] をクリックすると、イベントが記録されている Local Controller に接続する別ブラウザに、Incident Details テーブルが表示されます。

Incident Details テーブルの各行は、特定のセッション、またはセッション グループに共通の情報を表します。縮小されたセッション情報をすべて表示するには、プラス記号をクリックして、グループを展開します。インシデント情報をすべて展開または縮小するには、それぞれ [Expand All] または [Collapse All] ボタンをクリックします。

図 9-5 テーブル内の行の展開

 

情報密度の濃いテーブルでは、インシデントを深いレベルまで展開できます。特定の基準に基づいて照会するには、このページの任意の場所で、Query アイコンをクリックします。特定のセッションの未処理イベントを表示するには、Raw Events アイコンをクリックします。[Tune] リンクをクリックすると、フォールス ポジティブ用にインシデントを調整できます(「[False Positive] ページ」を参照)。攻撃を軽減するには、[Mitigate] リンクをクリックします。

図 9-6 Incidents テーブル

 

1

Incident ID

2

重大度アイコン。

3

Path および Incident Vector アイコン。Path 図および Incident Vector 図(L2 または L3 攻撃パス情報)を表示するためのポップアップ ウィンドウが起動します。

4

オフセット番号。

5

セッション内のすべてのインシデントに関する [Session] および [Incident Detail] ページへのリンク。

6

[Event Type Details] ページへのリンク。

7

[False Positive] ポップアップ ウィンドウを起動します。

8

[Device Information] ページへのリンク。

9

[Query] ページにリンクしている Query アイコン。

10

未処理メッセージ情報を表示するポップアップ ウィンドウを起動するには、Device アイコンをクリックします。

11

軽減機能 ページへのリンク。

12

[False Positive Tuning] ページへのリンク。

次に、このテーブルの詳細をいくつか示します。

Instances

行が複数のインスタンスに分割されることがあります。異なるインスタンス間の関係は、同じ時間枠内で同じ規則を起動したということ のみ です。

Session/Incident ID

このカラムには、インシデントの原因となったセッション、およびこれらのセッションが属するその他のインシデントが表示されます。

Events カラム

Events カラムには、起動イベントのタイプが表示されます。1 つのセッションに対して、同じタイプの起動イベントが同時に複数表示されます。

Time カラム

インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。

フォールス ポジティブの確認

インシデントを調査している場合は、決まってフォールス ポジティブ イベントが発生します。場合によっては、起動イベントが MARS によって、システム確認済みのフォールス ポジティブおよび未確認のフォールス ポジティブに自動的に分類されます。通常は、脆弱性スキャンよってフォールス ポジティブ イベントが識別されますが、イベントを調査して有効性を判別しなければならない場合もあります。

フォールス ポジティブの用語、およびユーザ インターフェイス内でどのような作業を行うべきかを把握するには、想定される攻撃に関連する 3 つの条件(正規の攻撃、有効なターゲット、および攻撃の検出)がそれぞれ満たされているかどうかを調べる必要があります。これらの違いについては、 表 9-1 を参照してください。

 

表 9-1 攻撃タイプが有効になるための条件

 
正規の攻撃
有効なターゲット
攻撃の検出

無効なシナリオ

0

0

0

フォールス ポジティブ

0

0

1

無効なシナリオ

0

1

0

フォールス ポジティブ

0

1

1

フォールス ネガティブ

1

0

0

攻撃/アラーム(ノイズ)

1

0

1

トゥルー フォールス ネガティブ

1

1

0

侵入/トゥルー アラーム

1

1

1

表 9-1 に示された有効になる条件に基づいて、フォールス ポジティブの用語を明確に区別できます。

正規の攻撃 は、攻撃者が既知の方法で特定のホストにアクセスしたり、その情報を取得しようとしたりすることです。

有効なターゲット は、起動された攻撃の被害を受けやすいホストです。ホストに適切なパッチを当てるか、ローカル ファイアウォール、ウイルス スキャナ、侵入防御ソフトウェアなど、攻撃からホストを保護するその他の対処法を講じると、ホストは 無効なターゲット になれます。

攻撃の検出 は、モニタリング デバイスが攻撃を検出して、アラームを生成したかどうかを意味します。

フォールス ポジティブ は、モニタリング システムが無害な条件に対してアラームを生成する状態です。この場合、アラームが生成されますが、正規の攻撃は存在しません。

未確認のフォールス ポジティブ は、モニタリング システムが、レポート デバイスで使用できないデータに基づいて、アラームがフォールス ポジティブであると判断した状態です。未確認とは、管理者がフォールス ポジティブであるという判断を確認して、それを受け入れるか、または拒否する必要があるという意味です。

フォールス ネガティブ は、モニタリング システムが正規の攻撃を検出できない状態です。

ノイズ は、無効なターゲットが攻撃されたためにトリガーされたアラームを意味します。これらのアラームが生成された場合は、実際に攻撃が発生していますが、ターゲットに対策が施されているため被害はありません。ノイズ カテゴリに分類される攻撃は、調査および軽減に関して二次的な重要性があります。

侵入 は、ホストに対する攻撃に成功し、ホストが攻撃者から被害を受けることです。

トゥルー フォールス ネガティブ は、侵入が発生し、モニタリング システムで検出されていない状況です。

トゥルー アラーム は、侵入が発生し、モニタリング システムによって検出されている状況です。

Local Controller が受信したイベントは、定義済み規則の条件と対照して判断されます。イベントが規則条件を満たす場合は、インシデントがトリガーされます。イベントがインシデントをトリガーした場合、このイベントは 起動イベント といいます。このような起動イベントにフォールス ポジティブ分析が実行されて、フォールス アラーム数が削減されます。

組み込みの脆弱性に関するイベント データ、学習済みのトポロジ パス、セッション化されたイベント データ、L2 および L3 レポート デバイスの Access Control List(ACL; アクセス制御リスト)分析、サードパーティ製の Vulnerability Analysis(VA; 脆弱性分析)ソフトウェア(Foundstone や eEye など)のデータのサポート、およびユーザが入力したホスト情報を使用して、MARS は報告された起動イベントを分析し、高度なレビューが必要かどうかを判別します。


) 特定のインシデントがフォールス ポジティブであるかどうかを判別するために、MARS は Nessus 2.x GPL プラグインを使用し、カスタム スクリプトが特定の MARS イベント タイプにマッピングされます。MARS は、脆弱性評価または脆弱性評価に関連するレポートを実行するのに Nessus を使用しません。


MARS の場合、 システム確認済みのフォールス ポジティブ は、さらなる分析後、起動イベントが無効であると判別された状態です。システム確認済みのフォールス ポジティブの例は、次のとおりです。

ファイアウォール外のネットワークをモニタしている IDS デバイスが攻撃を報告した場合。ただし、ファイアウォールはこのセッションを、標準アクセス制限の一部として廃棄します。したがって、攻撃はターゲットに到達しません。

Cisco Security Agent が攻撃を検出し、ブロックした場合。

未確認のフォールス ポジティブ は、さらなる分析後、主に攻撃対象が無効なターゲットであるという理由により、起動イベントが無害であると判断された状態です。未確認のフォールス ポジティブの例は、次のとおりです。

レポート デバイスがホストに対する有効な攻撃を報告したにもかかわらず、攻撃対象が別の OS(オペレーティング システム)であるために、このホストが攻撃の被害を受けない場合。これらのタイプのフォールス ポジティブを削減するには、レポート デバイスに OS フィンガープリント テクノロジーを採用します。

レポート デバイスがホストのアプリケーションに対する有効な攻撃を報告したにもかかわらず、攻撃対象が別のアプリケーションであるために、このホストが攻撃の被害を受けない場合。

レポート デバイスが TCP ポート 80 に対する有効な Web 攻撃を報告したにもかかわらず、ダイナミック プローブによって、ターゲット ホストのどのサービスも TCP ポート 80 を待ち受けていないと判別された場合。

未確認のフォールス ポジティブの場合は、アラームを手動で調査して、それが実際にフォールス ポジティブであるかどうかを Local Controller で指定する必要があります。実際にフォールス ポジティブである場合は、イベントの廃棄規則を定義する必要があります。廃棄規則を定義するということは、イベントがデータベースに格納されなくなるということではありません。インシデント評価によってイベントを廃棄するかどうか、また、データベースにイベントを格納するかどうかを選択できます。イベントをデータベースに格納するかどうかに関係なく、イベントタイプおよびターゲット ホストが一致するイベントは、起動イベントとして機能できなくなります。この方法でイベント処理を改善することによりユーザの作業時間は短縮され、ユーザはより正確にイベントをインシデントに相関付けて、ノイズを削減し、実際のインシデントに集中することができます。

運用方針の一環として、イベントの生成および処理を調整して、フォールス ポジティブの可能性を遮断する必要があります。このような調整をデバイス レベルで実行するには、イベントの生成が可能なトラフィックまたはアクションを絞り込み、Local Controller レベルでネットワーク情報をさらに入力します。入力する情報は、Local Controller のモニタ対象ネットワーク セグメントに接続されたホストの OS などです。

[False Positive] ページ

[False Positives] ページにナビゲートするには、[Incidents] をクリックしてから、[False Positives] サブタブをクリックします。

図 9-7 Local Controller のフォールス ポジティブ図(Global Controller のみのページ)

 

[False Positives] ページでは、Global Controller から、各 Local Controller またはすべての Local Controller ゾーンの合計の False Positives グループを参照できます。左側のプルダウン メニューから [Hour]、[Day]、[Week]、[Month]、[Quarter] または [Year] を選択して図を変更できます。隣のメニューから [Sum Zones] または特定の地域ゾーンを選択して変更することもできます。

Local Controller のフォールス ポジティブに関する詳細を表示するには、[Details] ボタンをクリックします。

Local Controller でカテゴリをフィルタリングするには、[Select False Positive] ドロップダウン リストをクリックします。選択できるタイプは、次のとおりです。

Unconfirmed false positive type

このタイプの場合、MARS には、ターゲット ホストが該当するイベント タイプに対して脆弱であるかどうかを判別するために、ユーザ確認が必要です。

User confirmed false positive type

このタイプの場合、ユーザは起動イベントがフォールス ポジティブであることを確認しています。

User confirmed positive type

このタイプの場合、ユーザは起動イベントが実際に攻撃として機能していることを確認しています。

System determined false positive type

このタイプの場合、システムによって、起動イベントがフォールス ポジティブであることが確認されています。

False Positives テーブルには、フォールス ポジティブが発生するセッション数、イベント タイプ、フォールス ポジティブ ステータス確認アイコン、イベント タイプ情報アイコン、宛先 IP およびそのポート、宛先 IP 情報アイコン、プロトコル、ゾーンが表示され、フォールス ポジティブに関連するセッションを参照できます。

図 9-8 False Positive テーブル

 

1

[Event Type Details] ページへのリンク。

2

Query ページにリンクしている Query アイコン。対応する Query フィールドに自動的に読み込まれます。

3

False Positive タイプおよび重大度アイコン。

4

Security Device Information ポップアップ ウィンドウが起動します。

5

Port Information ポップアップ ウィンドウが起動します。

6

False Positive Sessions Details ポップアップ ウィンドウが起動します。

次の表に、フォールス ポジティブ ステータスの確認および重大度に関するアイコンを示します(フォールス ポジティブの調整)。

アイコン
説明

 

確認が必要な、重大度が低、中、および高のフォールス ポジティブ。

 

ユーザが決定した、重大度が低、中、および高のフォールス ポジティブ。

 

システムによって決定された、重大度が低、中、および高のフォールス ポジティブ。

[Incidents] ページまたは [False Positives] ページで、フォールス ポジティブを調整し、トゥルーであるか、またはフォールスであるかを確認できます。

フォールス ポジティブの調整


ステップ 1 いずれかの [Confirm False Positive] アイコン( )をクリックします。

ステップ 2 [False Positive Confirmation] ページで情報を確認します。

ステップ 3 イベント タイプがフォールス ポジティブであることを判別したら、[Yes] オプション ボタンをクリックして、「未確認フォールス ポジティブのフォールス ポジティブへの調整」ステップに従います。

ステップ 4 イベント タイプがトゥルー ポジティブであることを判別したら、[No] オプション ボタンをクリックして、「未確認フォールス ポジティブのトゥルー ポジティブへの調整」ステップに従います。


 

未確認フォールス ポジティブのフォールス ポジティブへの調整


ステップ 1 フォールス ポジティブがフォールスであることを確認して、[Yes] ボタンをクリックしたら、[Next] をクリックします。

ステップ 2 次のページで、該当するオプション ボタンを選択し、MARS がこのイベント タイプをデータベースに保存するように設定するかどうかを決定します。

[Dropping these events completely](これらのイベントのロギングを停止する)

[Log to DB only](データベースにイベントを記録する)

ステップ 3 決定したら、[Next] ボタンをクリックします。

ステップ 4 次のページで、フォールス ポジティブおよび新しい規則の情報を慎重に確認します。

ステップ 5 この新しい情報をコミットする準備ができたら、[Confirm] ボタンをクリックします。


 

未確認フォールス ポジティブのトゥルー ポジティブへの調整


ステップ 1 フォールス ポジティブがトゥルーであることを確認して、[No] ボタンをクリックしたら、[Next] をクリックします。

ステップ 2 これがトゥルー ポジティブであることを最終的に確認したら、[Confirm] ボタンをクリックします。


 

フォールス ポジティブ廃棄規則のアクティブ化

フォールス ポジティブの調整を完了したら、[Activate] をクリックして、ただちに変更を実装します。

軽減機能

軽減機能は、実行デバイス(通常はスイッチ、ルータ、またはファイアウォール)の設定を変更して、攻撃するネットワーク要素からのネットワーク アクセスを制限するアクションです。

CS-MARS は軽減機能に関連する次のアクションを実行できます。

攻撃元ホストおよび攻撃対象ホストの識別

軽減ポイントおよび実行デバイスを特定するための、被害を受けたネットワーク セグメントのレイヤ 2 およびレイヤ 3 トポロジのプロット

レイヤ 2 およびレイヤ 3 実行デバイスに対する設定コマンドの推奨

サポート対象レイヤ 2 デバイスへの推奨設定コマンドのプッシュ(ダウンロード)

Telnet、SSH、または SNMP を使用してスイッチやルータにアクセスする場合、CS-MARS は実行デバイスに軽減設定を推奨およびプッシュするほか、インタラクティブなトポロジおよびインシデント パスに関する図を生成できます。Telnet、SSH、または SNMP アクセスを使用しない場合も、一部の軽減情報は、特定の IEEE 802.1X ポートベースのネットワーク アクセス制御プロトコル設定を実行するシスコ製スイッチから取得できますが、推奨される軽減コマンドは実行デバイスで手動で設定する必要があります。CS-MARS 軽減コマンドを受け取るようにレイヤ 2 デバイスを設定するための情報および手順については、「「レイヤ 2 パスの分析および軽減機能の設定例」」を参照してください。

静的および動的なネットワーク情報

比較的永続的なレイヤ 2 およびレイヤ 3 デバイスにアクセスして取得されるトポロジ情報は、HTML インターフェイスでは静的情報といいます。動的情報とは、頻繁に変更される情報(ホスト名など)や、動的イベントを報告するデバイスやエージェント(802.1X アクセス制御設定、Cisco Security Agent、その他のセキュリティ スイート ソフトウェアなど)を介して取得した、DHCP が割り当てる IP アドレスのことです。

Cisco 802.1X 対応スイッチで DHCP スヌーピングが稼動し、Cisco Access Control Server(ACS)を介して RADIUS 認証されている場合、CS-MARS は軽減ポイントおよび実行デバイスを判別できます。DHCP スヌーピング トランザクションが完了すると、スイッチは ACS にログ メッセージを送信します。ACS ログは CS-MARS に送信され、各 802.1X クライアントの送信元 IP アドレス、ユーザ名、接続の開始時刻と停止時刻、物理インターフェイス、および MAC アドレスが報告されます。802.1X クライアントは、モバイルであることが多いため、802.1X 軽減アクションが発生するのは、攻撃元ホストが現在ネットワークに接続されている場合のみです。


) 802.1X スイッチの設定によっては、CS-MARS が軽減機能のプッシュ先となる物理インターフェイスを正しく判別できません。この状況は、Cisco Catalyst 3550 マルチレイヤ スイッチなど、ファスト イーサネット およびギガビット イーサネット ポートに同じモジュール/ポート(0/1 など)が指定されているスイッチに対して発生します。CS-MARS は、このモジュール/ポート情報のみを Cisco ACS ログから受け取るため、特定のポートを識別して軽減機能を実行できません。このような場合は、次のメッセージが表示されます。
No mitigation possible. Enforcement device exists but interface names conflict. Determine appropriate interface and mitigate manually.


802.1X による軽減の例

この手順では、Network Summary ページでインシデントを観察し(図 9-9 を参照)、802.1X ネットワーク マッピングを使用して軽減します。

802.1X ネットワーク マッピングによる軽減の要件

CS-MARS との 802.1X ネットワーク マッピングを使用して軽減機能を実行するための要件は、次のとおりです。

シスコ製スイッチで Cisco CatOS または IOS が稼動し、IEEE 802.1X ポートベースのネットワーク アクセス制御プロトコルが設定されていること

[CS-MARS Security and Monitoring Information] ページ([Admin] > [Security and Monitor Devices])でスイッチのレポート IP アドレスが設定されていること

スイッチでシスコの DHCP スヌーピングがイネーブルになっていること

スイッチが ASC を介して Remote Access Dial-In User Service(RADIUS)の Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を実行していること

Cisco ACS で、ログを CS-MARS に送信する pnLogAgent が稼動していること

Cisco ACS がアップデート(ウォッチドッグ)パケットを記録するように設定されていること

図 9-9 軽減するインシデントが表示された [Summary] ページ

 

802.1X ネットワーク マッピングによる軽減機能の実行


ステップ 1 軽減する最近のインシデントの [Incident ID] をクリックします。

ステップ 2 [Incident ID] をクリックして、セッションのサマリーを表示します(図 9-10 を参照)。

図 9-10 レッドの Mitigation アイコンが表示された [Incident Detail] ページ

 

ステップ 3 [Path/Mitigation] カラムに表示されるレッドのパス情報アイコンをクリックします。

[Mitigation] ポップアップ ウィンドウが表示され、考えられる静的なトポロジおよび軽減情報が示されます(図 9-11)。

CS-MARS は実行デバイスおよび軽減コマンドを推奨します。静的情報については、ネットワーク全体が検出され、CS-MARS がレイヤ 2 実行デバイスにコマンド レベルでアクセスできる場合、[Push] ボタンはレッドで表示されます。それ以外の場合は、グレーで表示されます。図 9-11 の CS-MARS は、レイヤ 2 実行デバイスを識別するための十分な静的情報を保持していませんが、検出されたレイヤ 3 デバイス(Cisco PIX ファイアウォールやシスコ製ルータ)に軽減コマンドを提示できます。レイヤ 3 デバイスでは、レイヤ 3 軽減コマンドを手動で設定する必要があります。

図 9-11 [Path Information] ポップアップ ウィンドウ

 

ステップ 4 [Dynamic Info] をクリックして、802.1X 設定から取得したレイヤ 2 軽減の推奨事項を表示します。[Dynamic Mitigation] ウィンドウが表示され、ホスト名、IP アドレス、MAC アドレス、および接続ステータスが示されます(図 9-12 を参照)。

図 9-12 動的な軽減情報

 

ステップ 5 実行デバイスを確認します。

ステップ 6 推奨されるポリシー/コマンドを確認します。

ステップ 7 [Push] をクリックして、推奨される軽減コマンドを実行デバイスにダウンロードします。軽減確認ダイアログが表示されます(図 9-13 を参照)。

[Push] ボタンがグレーの場合は、実行デバイスに軽減コマンドを手動で設定する必要があります。


) 802.1X ターゲット ホストがネットワーク上にあり、CS-MARS が実行デバイスにコマンドを使用してアクセスできる場合は、[Push] ボタンがレッドで表示され、有効です。そうでない場合は、グレーで表示され、有効ではありません。


図 9-13 軽減確認ダイアログ

 

ステップ 8 [Yes] をクリックして確認します。


 

動的なデバイス情報の表示

802.1X 接続の IP アドレスに関する現在の情報、セッション情報、およびすべての履歴情報を表示する手順は、次のとおりです。


ステップ 1 [Incident ID] をクリックして、セッションのサマリーを表示します(図 9-10 を参照)。

ステップ 2 セッションの [Source IP/Port] または [Destination IP] リンクをクリックします。

攻撃元ホストを調査する場合に関連性が高いのは、送信元 IP アドレスです。

ステップ 3 現在の接続情報を示すポップアップ ウィンドウが開き、静的な接続情報が表示されます。

ステップ 4 [Dynamic Info] をクリックして、現在の接続情報を表示します。動的情報は 802.1X 設定、Cisco Security Agents、またはその他のセキュリティ ソフトウェア スイートから取得できます。現在の接続情報は、選択された IP アドレスに対して使用可能な最新のネットワーク情報です。

ステップ 5 [Session] をクリックして、特定のセッションに関連する接続を表示します(図 9-15 を参照)。

図 9-14 動的情報:現在の接続ステータス

 

ステップ 6 [All] をクリックして、指定された IP アドレスの動的情報全体を表示します(図 9-15 を参照)。

図 9-15 指定された IP アドレスの動的情報履歴

 

ステップ 7 [Push] ボタンが使用可能な場合はクリックします。またはデバイスから軽減を実行します。[Push] ボタンをクリックすると、確認画面が表示されます。


) アクセス タイプが SNMP のデバイスに軽減を実行するには、読み取り/書き込みコミュニティ ストリングが設定されていなければなりません。


[Yes] ボタンをクリックして、軽減コマンドを確認し、有効にします。


 

バーチャル プライベート ネットワークに関する考慮事項

現在のところ、MARS では正確な Path/Mitigation 情報を表示できません。また、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の送信元 IP アドレスを使用しているホストに起因する攻撃の完全なルートを計算できません。MARS レポート デバイスとして設定されている Cisco 3000 シリーズの VPN Concentrator でホストの VPN IP アドレスが表示されている場合は、MARS は攻撃元ホストを識別できます。


) ネットワークに関する情報を元に、攻撃元ホストの IP アドレスが VPN に割り当てられた IP アドレスであることを確認する必要があります。


VPN の攻撃元ホストを識別するには、Cisco VPN Concentrator デバイスの「 Cisco VPN User connected/disconnected 」イベントのクエリーを実行します。攻撃元ホスト名または次のネットワーク要素は、イベントの未処理メッセージに表示されます。

レイヤ 2 パスの分析および軽減機能の設定例

ここでは、シスコ製スイッチを使用してレイヤ 2(L2)パスの分析および軽減機能を実行するように MARS を設定する方法について説明します。

ここでは、次の内容について説明します。

「レイヤ 2 パスの分析および軽減の要件」

「使用コンポーネント」

「ネットワーク図」

「レイヤ 2 パスの分析および軽減の手順」

レイヤ 2 パスの分析および軽減の要件

レイヤ 2 スイッチおよびルータに SNMP(簡易ネットワーク管理プロトコル)コミュニティ ストリングおよび IP アドレスが設定されていることを確認する必要があります。

スイッチに Spanning-Tree Protocol(STP; スパニングツリー プロトコル)が正しく設定されていることを確認する必要があります。

使用コンポーネント

SNMP アクセス対応 Cisco Catalyst 5000

SNMP アクセス対応のレイヤ 2 用 Cisco Catalyst 6500

SNMP または Telnet アクセス対応 Cisco 7500 ルータ

ソフトウェア バージョン 2.5.1 が稼動する MARS

ネットワーク図

ここでは、図 9-16 のネットワーク設定を使用します。

図 9-16 ネットワーク設定

 

軽減機能では、SNMP または Telnet プロトコルを介して取得したレイヤ 2 パス データを使用して、MARS からデバイスに軽減コマンドをダウンロードします。レイヤ 2 パスは MAC アドレス、レイヤ 2 転送テーブル、およびレイヤ 3 パスに基づいています。MAC アドレスおよびレイヤ 2 転送テーブルを取得するには、SNMP を使用します。

レイヤ 2 パスおよび軽減を正常に機能させるための条件は、次のとおりです。

Catalyst スイッチに搭載された MSFC モジュールなどの関連ルータは、SNMP を介して、または SNMP と Telnet を併用して検出する必要があります。

L2 スイッチを検出するには、SNMP コミュニティ ストリングが必要です。


L2 デバイスは自動的に検出されないため、手動で追加する必要があります。アクセス タイプが SNMP でない場合でも、Web インターフェイスで指定された SNMP RO コミュニティ ストリングが、すべての L2 デバイス(スイッチ)に設定されていることを確認してください。レイヤ 2 デバイスで L2 軽減機能を実行する場合は、常に SNMP RO コミュニティ ストリングが必要です。


スイッチが相互接続されている場合は、これらのスイッチで STP がイネーブル化および設定されていることを確認してください。

たとえば、上図のようなトポロジの場合は、ここに記載された手順に従ってこれらのデバイスを検出します。

レイヤ 2 パスの分析および軽減の手順

アクセス タイプとしての SNMP 対応 Cisco Catalyst 5000 の追加


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] の順にクリックします。

図 9-17 シスコ製スイッチ CatOS の設定

 

ステップ 2 [Device Type] ドロップダウン リストで、[Cisco Switch-CatOS ANY] を選択します。

ステップ 3 [Device Name] にスイッチのデバイス名を入力します。

ステップ 4 [Access IP] にスイッチのアクセス IP アドレス、[Reporting IP] にレポート IP アドレス(MARS に表示されるデバイスの IP アドレス)を入力します。[Reporting IP] アドレスには通常、[Access IP] アドレスと同じアドレスを設定しますが、アクセス タイプに FTP(ファイル転送プロトコル)を使用している場合は、異なる IP アドレスを設定する必要があります。デバイスが MARS に Syslog データを送信している場合は、[Reporting IP] アドレスが必要です。

ステップ 5 [Access Type] ドロップダウン リストで、[SNMP] または [TELNET] を選択します。選択したアクセス タイプに応じて、入力が必要なフィールド、および入力できるフィールドに注意してください。

SNMP

[Login] ID にスイッチへのアクセスに必要なユーザ名、[Password] にパスワードを入力します。

[Enable Password] に、シスコ イネーブル モードを開始するためのパスワードを入力します。

[SNMP RO Community] に入力します。

ステップ 6 [Test Connectivity] ボタンをクリックして、MARS によるデバイス検出を開始します。

ステップ 7 [Submit] ボタンをクリックします。


 

アクセス タイプとしての SNMP 対応 Cisco Catalyst 6500 の追加(L2 のみ)


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] の順にクリックします。

図 9-18 シスコ製スイッチ CatOS の設定

 

ステップ 2 [Device Type] ドロップダウン リストで、[Cisco Switch-CatOS ANY] を選択します。

ステップ 3 [Device Name] にスイッチのデバイス名を入力します。

ステップ 4 [Access IP] にスイッチのアクセス IP アドレス、[Reporting IP] にレポート IP アドレスを入力します。[Reporting IP] アドレスには通常、[Access IP] アドレスと同じアドレスを設定します。

SNMP

[Login] ID にスイッチへのアクセスに必要なユーザ名、[Password] にパスワードを入力します。

[Enable Password] に、シスコ イネーブル モードを開始するためのパスワードを入力します。

[SNMP RO Community] に入力します。

ステップ 5 [Test Connectivity] ボタンをクリックして、MARS によるデバイス検出を開始します。

ステップ 6 [Submit] ボタンをクリックします。


 

アクセス タイプとしての Telnet 対応 Cisco 7500 ルータの追加


ステップ 1 [Admin] > [Security and Monitor Devices] > [Add] の順にクリックします。

図 9-19 Cisco IOS 12.2 の設定

 

ステップ 2 [Device Type] ドロップダウン リストで、[Cisco Switch-IOS 12.2] を選択します。

ステップ 3 [Device Name] にスイッチのデバイス名を入力します。

ステップ 4 [Access IP] にスイッチのアクセス IP アドレス(任意)、[Reporting IP] にレポート IP アドレスを入力します。[Reporting IP] アドレスには通常、[Access IP] アドレスと同じアドレスを設定します。

TELNET

[Login] ID にスイッチへのアクセスに必要なユーザ名、[Password] にパスワードを入力します。

[Enable Password] に、シスコ イネーブル モードを開始するためのパスワードを入力します。

[SNMP RO Community] に入力します(必須)。

ステップ 5 [Test Connectivity] ボタンをクリックして、MARS によるデバイス検出を開始します。

ステップ 6 [Submit] ボタンをクリックします。


 

レイヤ 3 およびレイヤ 2 の接続パスの検証

セッションを確立した後は、レイヤ 3 およびレイヤ 2 トポロジ パスを表示できます。セッションはさまざまな方法で取得できます。

インシデントに含まれるセッションを表示する手順は、次のとおりです。


ステップ 1 [Incidents] タブをクリックして、Incidents ページにナビゲートします。表示するインシデントの [Incident ID] をクリックします(この例では、インシデント番号 356120290 を使用)。図 9-20 が表示されます。

図 9-20 Incident Details 画面

 

ステップ 2 図 9-20 の画面で、調査するイベント タイプと同じ行(この例では Windows RPC DCOM Overflow を使用)の Graph カラムにあるグラフ アイコンをクリックして、トポロジ パスを表示します。


 

クエリーによるセッションの表示

クエリーを実行してセッションを表示する手順は、次のとおりです。


ステップ 1 [QUERY / REPORTS] をクリックし、適切なクエリー基準を使用してクエリーを送信します。この例では、高速実行できるようにクエリー範囲を制限します。次の 図 9-21 の画面では、結果フォーマット All Matching Sessions を使用し、直前の 10 分間に Source IP 10.1.252.250 Destination IP 65.54.153.118 から送信されたイベントを問い合せます。

図 9-21 Query Event Data 画面

 

ステップ 2 [Apply] をクリックして変更を適用し、[Submit] をクリックしてクエリーを送信して、図 9-22 の画面を表示します。

図 9-22 Query Results 画面

 

ステップ 3 図 9-22 の画面で、調査するイベント タイプと同じ行(この例では Windows RPC DCOM Overflow を使用)の Graph カラムにあるアイコンをクリックして、トポロジ パスを表示します。

表示される最初のトポロジ パスは図 9-23 です。

図 9-23 レイヤ 3 トポロジ図

 

[Topology Path Graph] の [Layer 2 Path] ボタンをクリックして、図 9-24 を表示します。

図 9-24 レイヤ 2 トポロジ図

 


 

軽減機能の実行

障害ホストを識別したら(この例では、 CatSw に接続された 10.1.252.250 )、同じサブネット内またはネットワークの別の場所にある他のホストに対して、このホストが攻撃するのを防ぐことが重要です。MARS には、ネットワークの残りの部分から障害ホストを隔離するワンクリック軽減機能があります。

軽減を実行する手順は、次のとおりです。


ステップ 1 図 9-20 の画面で、軽減機能を実行する Session または Event Type に対応した Mitigate リンクをクリックします(この場合は、 Windows RPC DCOM Overflow )。図 9-25 が表示されます。

図 9-25 Mitigation Information 画面

 

この画面には、デバイスに関する情報、および障害ホスト(この例では 10.1.252.250)を軽減するための推奨ポリシーまたはコマンドが表示されます。

ステップ 2 軽減コマンドをダウンロードするデバイスがレイヤ 2 デバイスの場合(図 9-13 の例など)は、レッドの [Push] ボタンが表示されます。このボタンをクリックすると、図 9-13 が表示され、障害ホストに軽減機能を実行できます。


) 軽減コマンドをダウンロードするデバイスがレイヤ 3 デバイスの場合は、図 9-25 の画面にレッドで表示された [Push] ボタンがグレーになります。障害ホストに軽減機能を実行するには、推奨コマンドをこのデバイス上で直接使用する必要があります。


図 9-26 Mitigation Confirmation 画面

 


) アクセス タイプに SNMP を使用してデバイスに軽減コマンドをダウンロードするには、MARS の SNMP RW コミュニティ ストリングをイネーブルにする必要があります。


ステップ 3 [Yes] をクリックして、デバイスに軽減機能が実行されたか確認します。