Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
Monitoring, Analysis, and Response System(MARS)イベントからの Security Manager ポリシー テーブル検索
Monitoring, Analysis, and Response System(MARS)イベントからの Security Manager ポリシー テーブル検索
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

Monitoring, Analysis, and Response System(MARS)イベントからの Security Manager ポリシー テーブル検索

MARS イベントからのポリシー テーブル クエリーのタスクフロー

Security Manager デバイス検索の概要

アクセス規則テーブル検索の概要

ポリシー検索でサポートされるセキュリティ アプライアンスおよびルータのシステム ログ メッセージ

シグニチャ テーブル検索の概要

MARS からのポリシー テーブル検索に関する問題

MARS からのポリシー テーブル検索のチェックリスト

Security Manager および MARS の両方でサポートされるデバイスと OS バージョン

MARS と通信するための Security Manager サーバのブートストラップ

MARS GC への Security Manager サーバの追加

MARS LC への Security Manager サーバの追加

MARS からの Security Manager のアクセス規則ポリシーへのナビゲート

MARS からの Security Manager の IPS シグニチャ ポリシーへのナビゲート

アクセス規則の読み取り専用 Security Manager ポリシー検索ページ

IPS シグニチャの読み取り専用 Security Manager ポリシー検索ページ

Monitoring, Analysis, and Response System(MARS)イベントからの Security Manager ポリシー テーブル検索

この章では、Monitoring, Analysis, and Response System(MARS)が受信したイベント、または Security Manager 内のアクセス規則およびシグニチャ ポリシー情報のいずれかで開始する双方向検索を可能にする Security Manager および MARS の設定および使用方法について説明します。

Security Manager は大規模ネットワーク内でのセキュリティ ポリシーおよびデバイス設定の集中管理を可能にしますが、Cisco Security MARS は問題となるネットワーク要素を識別し、隔離して、的確な削除を可能にします。そのために、Cisco Security MARS は未処理セキュリティ データを読みやすい形式に変換し、セキュリティ インシデントを適切に排除して、準拠性を維持します。MARS は Security Manager と統合されて、トラフィック関連の Syslog メッセージをイベントを開始した Security Manager のファイアウォールまたはシグニチャ ポリシーにマッピングします。ポリシー検索によって高速なラウンドトリップ分析が可能になり、ファイアウォール設定に関連するネットワークの問題やポリシー設定エラーをトラブルシューティングし、定義済みポリシーを微調整できます。トラフィックをブロックするためのアクセス規則およびシグニチャの変更に関する MARS からのアドバイスに従い、Security Manager を使用して設定管理ソリューションが軽減応答に対応できるようにすることが可能です。Security Manager は、管理している同様のデバイスすべてに同じ変更をパブリッシュして、より堅固な包含を可能にします。

Security Manager 3.2 から、読み取り専用ポリシー テーブルのポップアップ ウィンドウから MARS イベントを生成するアクセス規則をシームレスに変更できます。イベントに関連するすべての規則が表示され、強調表示されているアクセス規則番号をクリックすると、新たに Security Manager を起動しなくても規則を変更できます。同様に、Intrusion Prevention System(IPS)センサおよび IOS Intrusion Prevention System(IOS IPS)デバイス(または仮想デバイス)に関連付けられた MARS イベントから Security Manager のシグニチャ サマリー テーブルにナビゲートしてシグニチャ プロパティを変更できます。この機能を使用して、Syslog メッセージをそのメッセージをトリガーしたポリシーにマッピングして、直接ポリシーを変更できます。それにより、大規模ネットワークや複雑なネットワーク内でのアクセス規則の設定およびトラブルシューティングにかかる時間を短縮できます。


) MARS バージョン 6.0.1 のリリースを使用した場合に限り、仮想センサに関連付けられたイベントを個々の仮想センサまで追跡できます。


たとえば、ユーザが 送信元 Y から 宛先 X に接続できない場合について検討してみます。この問題のトラブルシューティング手順は、次のとおりです。

1. MARS Web インターフェイスにログインし、オンデマンド クエリーを使用して、受信したイベントが 送信元 Y 宛先 X の間でトラフィックがブロックされていることを示しているかどうかを確認します。

2. このようなイベントが検出されると、トラフィックをブロックするアクセス規則を判別し、選択されたいずれかのイベントの行にある [Security Manager] アイコン( )をクリックします。MARS は Security Manager に問い合せてそのトラフィック フローと一致するアクセス規則のリストを取得します。Security Manager が 送信元 Y 宛先 X の間のルータおよびファイアウォールを管理しているとすると、一致するアクセス規則のリストが返されます。

3. アクセス規則番号をクリックして Security Manager にログインし、特定されたポリシーまたはアクセス規則を編集して、 送信元 Y 宛先 X の間のトラフィックを許可できます。MARS は、すでに稼動している Security Manager セッションがある場合はそのセッションを再利用するか、MARS で設定された Security Manager ログイン クレデンシャルを使用して新しいセッションを開始します。

この章は、次の内容で構成されています。

「MARS イベントからのポリシー テーブル クエリーのタスクフロー」

「Security Manager デバイス検索の概要」

「アクセス規則テーブル検索の概要」

「シグニチャ テーブル検索の概要」

「MARS からのポリシー テーブル検索に関する問題」

「MARS からのポリシー テーブル検索のチェックリスト」

「Security Manager および MARS の両方でサポートされるデバイスと OS バージョン」

「MARS と通信するための Security Manager サーバのブートストラップ」

「MARS GC への Security Manager サーバの追加」

「MARS LC への Security Manager サーバの追加」

「MARS からの Security Manager のアクセス規則ポリシーへのナビゲート」

「MARS からの Security Manager の IPS シグニチャ ポリシーへのナビゲート」

「アクセス規則の読み取り専用 Security Manager ポリシー検索ページ」

「IPS シグニチャの読み取り専用 Security Manager ポリシー検索ページ」

MARS イベントからのポリシー テーブル クエリーのタスクフロー

MARS が次によってトリガー された Syslog を受信すると、MARS セッションの [Reporting Device] カラムに [Security Manager] アイコン( )が表示されます。

Cisco PIX Firewall、Cisco Adaptive Security Appliance(Cisco ASA)、Cisco Firewall Services Module(Cisco FWSM)、または Cisco IOS のアクセス規則との一致。イベントの設定に必要な 5 タプル情報(送信元 IP、宛先 IP、送信元ポート、宛先ポート、およびプロトコル)を取得できます。


) 初期のバージョンでは、MARS は IPS 仮想センサをフル サポートしていませんでした。仮想センサから報告されるイベントは、仮想センサの代わりにイベントを報告する IPS デバイスから送信されているように表示されました。MARS 6.0.1 から、仮想センサのイベントはイベントを作成した仮想センサから送信されているように正しく表示されます。


セキュリティ アプライアンスおよび FWSM ブレードの Transmission Control Protocol(TCP)、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)、および Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)を使用した接続の確立および解放

IPS および IOS IPS デバイスからのシグニチャの起動

アイコンをクリックすると、Security Manager に対してクエリーが実行されます。これにより、トラフィック インシデントまたはイベントを作成したデバイスのポリシー テーブル内のアクセス規則が特定されます。次のステップは、MARS と Security Manager の間のポリシー クエリー プロセスを示します。

1. [Summary]、[Incidents]、または [Query] ページから、特定のインシデント ID の [Incident Details] ページまたは [Query Results] ページにナビゲートし、[Reporting Device] フィールドの [Security Manager] アイコンをクリックしてポリシー テーブル検索を呼び出します。

2. MARS は、Security Manager を MARS に追加したときに選択された認証メカニズムに応じて、次のいずれかの方法で HTTPS 接続を確立します。

MARS クレデンシャルを使用するか、ユーザにログイン クレデンシャルを入力するよう要求する

MARS データベースに保存されている Security Manager のユーザ名とパスワードを使用する

3. 認証に失敗すると、ポップアップ ウィンドウにエラー メッセージを表示します。正常に認証されると、ホスト名と IP アドレスを提供して Security Manager からデバイス ID を要求します。

4. 複数のデバイスが MARS クエリー基準に一致する場合、一致するレポート デバイスすべてがポップアップ ウィンドウに表示されます。このウィンドウで、アクセス規則を変更する必要があるデバイスを選択できます。MARS クエリー基準に一致するデバイスが 1 台だけの場合、ステップ 5 が実行されます。クエリー基準に一致するデバイスがない場合、エラー メッセージが表示されます。詳細については、「Security Manager デバイス検索の概要」を参照してください。

5. イベントを生成した Syslog のタイプに応じて、MARS は次のいずれかのアクションを実行します。

アクセス規則によって ASA デバイス、PIX セキュリティ アプライアンス、IOS ルータ、または FWSM ブレードの Syslog がトリガーされた場合、MARS は Syslog メッセージを Security Manager に送信します。Security Manager は、ポリシー テーブルでデバイス ID および 5 タプル データと一致するすべてのアクセス規則を検索します。MARS は、アクション、方向、インターフェイス、および Access Control List(ACL; アクセス制御リスト)名の情報も提供します。


) MARS 6.0.1 から、Syslog の代わりに NetFlow Security Event Logging(Netflow バージョン 9 のフィールドとテンプレートを使用)を使用して、NetFlow を採用した ASA デバイスからのイベントと Security Manager の対応するポリシーの間の双方向ナビゲーションを可能にすることができます。


TCP、UDP、または ICMP 接続の確立または解放によって ASA、PIX、または FWSM デバイスの Syslog が生成された場合、MARS は未処理 Syslog メッセージを Security Manager に送信して処理します。Security Manager は、デバイス ID、5 タプル データ、トラフィック フローの方向、およびメッセージ内のマッピングされた(Network Address Translation(NAT; ネットワーク アドレス変換)が実行された)IP アドレスと一致するすべてのアクセス規則を検索します。

IPS または IOS IPS デバイス(または仮想デバイス)のシグニチャによって Syslog がトリガーされた場合、MARS はデバイス ID、シグニチャ ID、およびサブシグニチャ ID と一致するすべてのシグニチャ ポリシーを要求します。

Security Manager が MARS からの Syslog を解析し、[Access Rules] ページから一致するポリシーを取得する方法の詳細については、「アクセス規則テーブル検索の概要」を参照してください。IPS イベントに関連するシグニチャをシグニチャ ポリシー テーブルから取得する方法の詳細については、「シグニチャ テーブル検索の概要」を参照してください。

6. ポリシー テーブル検索クエリーは、Workflow モードがイネーブルか Workflow 以外のモードがイネーブルか、および Security Manager クライアントが稼動しているかどうかに応じて、次の 3 つのいずれかの方法で行われます。

[Security Manager client is not running and either Workflow or non-Workflow mode is enabled in Security Manager]:検索クエリーは、Security Manager データベースにコミットされたポリシーについて実行されます。

[Workflow mode is enabled and an instance of the Security Manager client is activze]:検索クエリーは、(編集可能な状態、つまり Edit、Edit Open、Submit、または Submit Open の)現在のアクティビティのコンテキスト内のすべてのポリシー、および Security Manager データベースにコミットされたデータ内の参照について実行されます。

[Non-Workflow mode is enabled and a Security Manager client session is open]:検索処理は、(Workflow 以外のモードで自動的に作成されたアクティビティのコンテキスト内で)現在のログイン セッション内のすべてのポリシーについて実行されます。

7. アクセス規則および接続の確立および解放の Syslog によって生成されたイベントの場合、MARS に一致する規則が強調表示された読み取り専用アクセス規則ポリシー検索テーブルが表示されます。ここから、Security Manager の [Access rules] ページにナビゲートしてポリシーを微調整できます。IPS イベントの場合、MARS に読み取り専用シグニチャ詳細ページが表示されます。このページで、[Edit Signature] をクリックして Security Manager のシグニチャ ポリシー ページにナビゲートし、イベントを生成した強調表示されている IPS シグニチャを変更できます。

8. アクセス規則および接続関連の Syslog の場合、読み取り専用アクセス規則テーブル ウィンドウでハイパーリンクされている規則番号をクリックして Security Manager クライアントを起動し、強調表示された規則を変更します。IPS シグニチャによってトリガーされた Syslog の場合、読み取り専用ポップアップ ウィンドウで [Edit Signature] をクリックして Security Manager クライアントを起動し、強調表示されたシグニチャを変更します。イベント アクション フィルタを設定してシグニチャ イベントから 1 つ以上のアクションを削除することもできます。

Security Manager クライアントは、次の 3 つのいずれかの方法で MARS から起動します。

ポリシー検索クエリーが実行されたシステムに Security Manager クライアントがインストールされていない場合、Security Manager クライアントをインストールするように要求され、アプリケーションをダウンロードするためのページが開きます。

Security Manager クライアントのインスタンスがすでに稼動している場合、既存のセッションが再利用されます。

Security Manager クライアント セッションがタイムアウトになるか、インスタンスがアクティブでない場合、Security Manager クライアントの新しいインスタンスが起動します。

Security Manager デバイス検索の概要

MARS は、Security Manager に次の基準を提供して、Security Manager が管理するデバイスのアクセス規則およびシグニチャ ポリシー テーブルを要求します。

[Device Name]:MARS の [Security and Monitoring Information] ページ内の [Device Name] フィールドから取得します。


ルータやファイアウォールなど、検出処理をサポートしているデバイスの場合、このフィールド値の名前はデバイス設定内で検出された名前に合わせて変更されます。通常は、hostname.domain フォーマットが使用されます。Windows ホストや Linux ホスト、ホスト アプリケーションなど、検出できないデバイスの場合は、指定された値が使用されます。

複数のセキュリティ コンテキストを持つ FWSM および ASA デバイスを Security Manager に追加すると、コンテキスト名は [Device Properties] ページのホスト名として設定され、MARS イベントからのポリシー検索は適切に機能します。ホスト名がコンテキスト名と異なる場合、イベントからのポリシー検索は失敗します。この場合、ポリシー検索が正しく機能するように、MARS GUI の [Device Name] フィールドでそのコンテキストに設定されたホスト名が Security Manager の [Device Properties] ページで設定されたホスト名と一致していることを確認します。


[IP Address]:MARS の [Security and Monitoring Information] ページ内の [Reporting IP] フィールドから取得します。

[Domain Name]:取得可能な場合、MARS のデバイス名から取得します(たとえば、c3550-225-125.clab.cisco.com)。

デバイス検索クエリーでは、MARS と Security Manager の間で次のアクションが実行されます。

1. Security Manager は MARS の [Device Name] と Security Manager のホスト名を一致させます。一致するホスト名が 1 つだけ検出された場合、ポリシー テーブル検索のプロセスが起動します。

2. 一致するホスト名が複数あり、一致する一意の表示名がない場合、(使用可能な場合は)ドメイン名を使用して選択範囲を狭めます。

3. ドメイン名を使用できない場合は、MARS レポート IP を使用して選択範囲を狭めます。

4. 固有のデバイスを特定できない場合、ポップアップ ウィンドウに可能性のあるデバイスのリストが表示されます。このリストには、一致するすべての可能性のあるデバイスの IP アドレス、ホスト名、表示名、およびドメイン名が表示されます。デバイスを手動で選択すると、ポリシー テーブル検索のプロセスが起動します。

アクセス規則テーブル検索の概要

Security Manager のアクセス規則テーブル検索を実行するために、デバイス検索情報をイベント情報と組み合わせます。

Security Manager 3.2 を MARS と統合してアクセス規則テーブル検索を実行すると、MARS Syslog(イベント)の Security Manager アクセス規則へのより正確なマッピングがサポートされ、不適切な一致の数が減少するため、より迅速で高度なアクセス規則のトラブルシューティングが可能になります。これは、MARS がイベントの 5 タプル、アクション、ACL 名、インターフェイス、フローの方向など、解析済みのイベント情報だけではなく未処理 Syslog メッセージを Security Manager に送信することで実現しました。Security Manager は、MARS から送信された未処理イベントを使用してトラフィック フローの方向に関する重要データおよび NAT 前のアドレス、NAT 後のアドレスなどのその他の詳細情報を抽出します。最も正確な一致ポリシーが検出されると、Security Manager は MARS にその情報を渡します。情報は読み取り可能な形式に変換されます。

MARS 6.0.1 から、Syslog の代わりに NetFlow Security Event Logging(Netflow バージョン 9 のフィールドとテンプレートを使用)を使用して、NetFlow を採用した ASA デバイスからのイベントと Security Manager の対応するポリシーの間の双方向ナビゲーションを可能にすることができます。詳細については、「 NetFlow Version 9 Flow-Record Format 」を参照してください。

TCP および UDP 接続の確立/解放の Syslog は、ファイアウォールを通過するトラフィック フローを表します。接続確立の Syslog は、デバイスを通じてセッションが確立されたとき、トラフィックがデバイスに流れるとき、またはトラフィックがデバイスから流れるときに生成されます。接続確立の Syslog には対応する解放の Syslog があります。これはセッションが終了したときに生成されます。確立の Syslog と解放の Syslog は共通の接続 ID を共有しますが、解放の Syslog には NAT 前のアドレスおよび方向の情報は含まれません。解放の Syslog の場合、その接続の対応する確立の Syslog も送信されます。確立の Syslog には正確な一致に必要な情報が含まれるためです。セッション化されたイベントの場合、NAT の詳細が含まれるセッション オブジェクトも Security Manager に送信されて検索が実行されます。Security Manager は未処理形式の Syslog の詳細を解析し、ポリシー データベースについて 1 つではなく 2 つのクエリーを実行して、それぞれ「イン」および「アウト」方向のインバウンドおよびアウトバウンド インターフェイス上で一致する許可 ACE を検出します。その結果、接続の確立/解放の Syslog の各ポリシー クエリーは、指定された方向のインターフェイス上の許可 ACE の設定に応じて 0 個、1 個、または 2 個の一致を生成します。検索後、アクセス規則テーブルのポップアップ ウィンドウに一致する規則が最大 2 個表示されます。

ICMP 接続の確立および解放の Syslog には、ICMP コード、タイプ、インターフェイス名、方向キーワード、および接続 ID は含まれません。したがって、ICMP 確立/解放の Syslog のアクセス規則の検索は、正確な一致を特定するために必要な詳細情報がないため、TCP および UDP 接続の確立/解放の Syslog ほど正確ではありません。ただし、デバイスとの間の管理トラフィックに関連する ICMP 確立/解放の Syslog の処理は少し異なります。TCP および UDP 接続に関連するメッセージによってトリガーされた管理トラフィックの場合、Security Manager はこれらのプロトコルの Syslog 形式で 2 番目のインターフェイスとして「NP Identity Ifc」キーワードがあることを確認し、検索クエリーの最も正確な一致を取得します。ICMP 接続解放の Syslog によって生成されたイベントに [Security Manager] アイコンが表示されますが、これらのイベントからポリシー検索を実行するとエラー メッセージが表示されます。このエラー メッセージは、接続解放の Syslog に対応する接続確立の Syslog が見つからなかったことを示し、数秒後にこの操作をやり直すよう要求します。ただし、後で検索を実行しても同じエラーが表示されます。

アクセス規則または接続の確立/解放によって生成された各 Syslog は一意の ID に関連付けられます。[Security Manager] アイコンをクリックすると、[Incident Details] ページから MARS で Syslog をトリガーするポリシー規則にナビゲートできます。ポリシーに問い合せることができるのは、MARS および Security Manager によってサポートされるこの Syslog ID からだけです。イベントからのポリシー検索で MARS および Security Manager によってサポートされる Syslog ID の詳細については、「ポリシー検索でサポートされるセキュリティ アプライアンスおよびルータのシステム ログ メッセージ」を参照してください。

MARS ではポップアップ ウィンドウにポリシー テーブルが表示されます。一致するアクセス規則は強調表示されます。MARS によってインターフェイス、方向、およびアクションの情報が提供されなかった場合、複数の一致したアクセス規則を強調表示することができます。

例 11-1 ASA デバイスの TCP 接続の確立/解放の Syslog メッセージ例

Mar 19 2007 21:05:59 2.168.154.2 : %ASA-2-302013: Built outbound TCP connection 42210

for outside:9.1.154.12/23 (9.1.154.12/23) to inside:2.168.154.12/4402 (192.168.154.12/4402)

Mar 19 2007 21:06:27 2.168.154.2 : %ASA-2-302014: Teardown TCP connection 42210

for outside:9.1.154.12/23 to inside:2.168.154.12/4402 duration 0:00:27 bytes 462 TCP Reset-O

 

例 11-2 ASA デバイスの ICMP 接続の確立/解放の Syslog メッセージ例

Mar 19 2007 21:03:44 2.168.154.2 : %ASA-2-302021: Teardown ICMP connection

for faddr 9.1.154.12/0 gaddr 192.168.154.12/768 laddr 2.168.154.12/768

Mar 19 2007 21:03:44 2.168.154.2 : %ASA-2-302020: Built ICMP connection

for faddr 9.1.154.12/0 gaddr 192.168.154.12/768 laddr 2.168.154.12/768

 

例 11-3 ASA デバイスの UDP 接続の確立/解放の Syslog メッセージ例

Mar 19 2007 21:08:53 2.168.154.2 : %ASA-2-302015: Built outbound UDP connection 42214

for outside:9.1.154.12/70 (9.1.154.12/70) to inside:2.168.154.12/4403 (192.168.154.12/4403)

Mar 19 2007 21:10:55 2.168.154.2 : %ASA-2-302016: Teardown UDP connection 42214

for outside:9.1.154.12/70 to inside:2.168.154.12/4403 duration 0:02:02 bytes 34

 

例 11-4 アクセス グループ名情報を示す Cisco PIX Firewall Syslog メッセージ例

10.33.10.2 <142>%PIX-4-106023: Deny tcp src inside:10.1.5.234/3010 dst outside:5.6.7.8/21

by access-group "Cisco Security Manager-acl-inside"

 

例 11-5 ACL 名情報を示す Cisco IOS 12.2 Syslog メッセージ例

100.1.20.2 Mon Jun 9 14:46:31 2003 <46>485232: Jun 9 14:46:29 PDT: %SEC-6-IPACCESSLOGP: list

Cisco Security Manager-acl-FastEthernet0/0 permitted tcp 1.234.51.255(12000) -> 100.1.4.10(25), 1540 packet

10.34.1.1 <46>146570: Dec 19 21:01:57 PST: %SEC-6-IPACCESSLOGP: list

Cisco Security Manager-acl-FastEthernet1/0 denied tcp 10.10.1.20(59399) -> 10.1.5.11(23), 1 packet

 

ポリシー検索でサポートされるセキュリティ アプライアンスおよびルータのシステム ログ メッセージ

拒否 ACE がネットワーク アクセスのパケット(access-group コマンドで適用されるアクセス リスト)と一致する場合、セキュリティ アプライアンスでロギング オプションを設定できます。引数を指定せずに log キーワードを入力すると、デフォルト レベル(6)とデフォルト間隔(300 秒)でシステム ログ メッセージ 106100 が有効になります。 log キーワードを入力しないと、システム ログ メッセージ 106023 を使用してデフォルトのロギングが実行されます。複数のコンテキストを持つデバイスでは、各セキュリティ コンテキストに独自のロギング設定が含まれ、独自メッセージが生成されます。

システム ログ メッセージはパーセント記号(%)で始まり、その構造は次のとおりです。

%{ASA | PIX | FWSM}-Level-Message_number: Message_text
 

一意の 6 桁の数字によって各メッセージを識別します。MARS で生成されたインシデントからの Security Manager のポリシー検索では、次の Syslog メッセージ ID がサポートされます。


) ファイアウォールのロギング レベルを変更した場合は、MARS アプライアンスが次のメッセージ ID を受信するように次のメッセージ ID が新しいレベルで生成されることを確認します。106100、106023、302013、302014、302015、302016、302020、302021。


MARS で調査されるイベントの多くのデフォルト レベルはデバッグ レベルです。これは、MARS で使用されない大量の追加イベントを生成することがあります。その他のイベントが大量に生成される場合、 logging message コマンドを使用してイベントをオフにするか、イベントの重大度を、必要なメッセージを生成し、デバッグ レベルほど多くのメッセージを生成しないレベルに変更します。各メッセージ ID のメッセージ、説明、推奨処置の詳細については、該当する製品マニュアルの『System Message Guide』を参照してください。

Cisco IOS ルータでは、システム ログ メッセージは log または log-input キーワードを使用して設定されたアクセス リスト用に生成されます。 log キーワードを使用して、違反を含む、アクセス リスト ロギング メッセージを取得します。 log-input キーワードを使用して、ロギング出力に入力インターフェイス、送信元 Media Access Control(MAC; メディア アクセス制御)アドレス、または仮想回路を含めます。アクセス リストをトリガーする最初のパケットによって、即座にロギング メッセージが生成され、後続パケットは表示または記録されるまで 5 分間隔で収集されます。ロギング メッセージには、アクセス リスト番号、パケットが許可されたか拒否されたか、パケットの送信元 IP アドレス、および前の 5 分間隔で許可または拒否されたその送信元からのパケットの数が含まれます。これらのログ メッセージを生成するアクセス規則を検索するには、MARS の [Incident Details] ページまたは [Query Results] ページ内の [Security Manager Policy Query] アイコンをクリックします。

IOS ルータの場合、次の ID を持つシステム ログ メッセージはポリシー検索をサポートし、[Security Manager] アイコンが MARS GUI の ID の横に表示されます。

%SEC-6-IPACCESSLOGDP、%SEC-6-IPACCESSLOGNP、%SEC-6-IPACCESSLOGS、%SEC-6-IPACCESSLOGP

上記以外の ID を持ち、アクセス規則によって生成されない IOS システム ログ メッセージの場合、MARS GUI に [Security Manager] アイコンが表示されません。

シグニチャ テーブル検索の概要

Security Manager 3.2 および MARS は、IPS デバイス(Cisco IPS センサおよび Cisco IOS IPS デバイス)および IDS センサによって生成されるイベントのシグニチャ サマリー テーブル検索をサポートします。シグニチャベースのテクノロジーを使用するセンサによって、ネットワーク侵入を検出できます。シグニチャは、DoS 攻撃などの典型的な侵入行為を検出するためにセンサが使用する一連の規則です。センサは、ネットワーク パケットをスキャンする際に、シグニチャを使用して既知の攻撃を検出し、指定されたアクションで対応します。センサは、シグニチャのリストとネットワーク アクティビティを比較します。一致した場合、イベントのロギングやアラームの送信などのアクションを実行します。シグニチャベースの侵入検知では、フォールス ポジティブが生成される場合があります。このフォールス ポジティブは、シグニチャを調整することで最小限に抑えることができます。シグニチャの中にはサブシグニチャがあるものがあります。つまり、シグニチャはサブカテゴリに分類されるものがあります。サブシグニチャを設定した場合、あるサブシグニチャのパラメータを変更しても、変更が適用されるのはそのサブシグニチャだけです。


) MARS 6.0.1 から、仮想センサのイベントはイベントを作成した仮想センサから送信されているように正しく表示されます。


Security Manager は、MARS が送信する IPS イベントの未処理イベント メッセージから次の基準を検索します。

[Signature ID]:このシグニチャに割り当てられた一意の数値を示します。この値により、センサは特定のシグニチャを識別します。

[SubSignature ID]:このサブシグニチャに割り当てられた一意の数値を示します。サブシグニチャ ID は、広範なシグニチャをより詳細に識別するために使用します。


IPS センサおよび IDS センサでアラームが 検出されると即座にネットワーク上で転送されたデータを識別する Packet Data イベントにより、このイベントに関連する未処理メッセージのサイズが非常に大きくなる場合があります。また、これらのイベントはセンサのシグニチャ規則によってトリガーされません。そのため、ポリシー検索では MARS GUI に Packet Data イベントの [Security Manager] アイコンは表示されません。

センサに設定されたカスタム シグニチャによってトリガーされるイベントは、MARS GUI で「Unknown Device Event Type」に分類され、これらのイベントに対してポリシー検索をイネーブルにする [Security Manager] アイコンが表示されます。


一致が検出されると、Security Manager はシグニチャの詳細を MARS に送信し、一致するシグニチャ パラメータが MARS の読み取り専用ポップアップ ウィンドウに表示されます。[Edit Signature] をクリックすると、一致するシグニチャが選択されている、Security Manager のシグニチャ サマリー テーブルにナビゲートできます。また、読み取り専用ポップアップ ウィンドウで [Event Action Filter] をクリックすると、シグニチャ カテゴリに基づいてフィルタを設定してシグニチャ イベントから 1 つ以上のアクションを削除できます。フィルタは、サマリー テーブル内で指定された順序で適用されます。Security Manager を MARS に追加する際に入力した認証メカニズムは、Security Manager が稼動していない場合または既存セッションがタイムアウトした場合に シグニチャ サマリー テーブルを開いて Security Manager の新しいインスタンスを起動するために使用されます。

MARS からのポリシー テーブル検索に関する問題

次に、MARS/Security Manager の相互運用の確立またはトラブルシューティングを行う場合に役立つ問題およびポイントを説明します。

一般的な問題

イベントを生成した規則が強調表示されている読み取り専用ポリシー クエリー ウィンドウが表示された後で Security Manager でアクセス規則を変更し、Security Manager クライアントを起動すると、読み取り専用ポリシー ページの規則テーブルが Security Manager で一致した規則を表示するためのベースとして使用され、Security Manager で変更された規則テーブルは使用されません。

アクセス規則ポリシーにネットワーク/ホストおよびサービス オブジェクトが含まれる場合、これらのオブジェクトに含まれる要素の定義が読み取り専用ポリシー検索テーブルに表示されます。一致するポリシーの場合、ネットワークおよびサービス オブジェクトの定義が展開されて表示されます。

MARS では、Security Manager セキュリティ ポリシーの展開ビューではなく、コミット ビューが表示されます。Security Manager でアクセス規則を変更し、その変更をデバイスに展開しなかった場合、デバイス上の古いアクセス規則によって Syslog が生成されます。これは、変更が同期しておらず、ポリシー検索が Security Manager に保存されている最新の変更内容ではなく、デバイスに保存されているアクセス規則について実行されるためです。

MARS で受信された同じイベントによって、[Security Manager Policy Table Lookup] アイコンが低遅延、リアルタイム イベント クエリーと時間でランク付けされるセッションなどの標準クエリーで異なって表示されることがあります。特に、低遅延、リアルタイム クエリーではアイコンが表示されませんが、セッション化されたイベントに対するクエリーでは表示されることがあります。これは予想された動作です。MARS がイベントを受信すると、イベントは解析され、セッション化されて、イベント共有バッファに書き込まれてから、データベースに書き込まれます。セッション化には時間がかかり、イベントがキャッシュに 2 分間保持されることもあるため、低遅延イベント クエリーでは解析直後でセッション化前のイベントが表示されます。この時点でイベントを表示すると、低遅延クエリーからほぼリアルタイムの結果を取得できます。一部のイベントでは、解析で宛先アドレスなどの 5 タプル データの一部を特定できません。後で、セッション化によって設定データを使用して欠落しているデータが入力されます。その結果、低遅延イベント クエリーによって表示される 5 タプル データは、標準クエリーに読み込むために使用される、データベースに保存されている値とは異なることがあります。

ネットワーク内に配置されている NetFlow 対応レポート デバイスから MARS が受信した NetFlow イベントには、[Security Manager Policy Table Lookup] アイコンは表示されません。このイベントはアクセス規則によってトリガーされないためです。

モード ウィンドウまたはダイアログボックスが Security Manager で開いているか、またはモード ウィンドウ上に別のアプリケーション ウィンドウが重ねて開かれている場合、ポリシー検索クエリーを実行するとエラー メッセージが表示されます。Security Manager でモード ダイアログボックスを閉じて、タスクを再試行します。

複数のセキュリティ コンテキストを持つ PIX および ASA デバイスまたは FWSM ブレードの場合、MARS でデバイスを設定している間に各コンテキストのレポート IP アドレスを入力する必要があります。入力しないと、レポート IP アドレスが MARS で定義されていないコンテキストから受信したイベントの横に [Security Manager] アイコンが表示されません。こうしたコンテキストからイベントに問い合せるには、MARS から「Unknown Reporting Devices」のクエリーを実行する必要があります。

Local Controller(LC)では、Security Manager サーバからポリシー テーブルを 1 度に 1 つだけ取得するように設定できます。複数の Security Manager サーバを Local Controller に追加しようとすると、エラー メッセージが表示されます。

Security Manager サーバが追加されている Local Controller を Global Controller(GC)に追加すると、Global Controller インターフェイスから Local Controller の [Security and Monitoring Information] リストに Security Manager サーバを表示できます。ただし、Global Controller に表示されるイベントまたはインシデントの横に [Security Manager Policy Query] アイコンは表示されません。

Help Desk のロールを除く CiscoWorks Common Services のロールのいずれか、または定義済みの Cisco Secure ACS のロールに関連付けられたすべてのユーザには、読み取り専用ポリシー検索テーブルから [Security Manager] アイコンをクリックして一致するポリシーを変更する権限があります。

Security Manager を MARS に追加すると、Admin のロールを持つユーザだけが MARS から Security Manager サーバ設定にアクセスして検出できるように設定できます。それ以外の場合は、変更を送信したときにエラー メッセージが表示されます。

ポリシー検索を実行する際に MARS から Security Manager サーバに到達できない場合、MARS と Security Manager の間の接続を復元するよう要求するエラー メッセージが表示されます。

Security Manager サーバと MARS の間のセキュアなアクセスを実現するための HTTPS が Security Manager でイネーブルでない場合、Security Manager を起動しようとするとエラー メッセージが表示されます。Security Manager と MARS の間の通信が暗号化されるように、Security Manager サーバ上で HTTPS がイネーブルになっていることを確認します。

Security Manager サーバで Daemon Manager が稼動していない場合、ポリシー テーブル検索を実行するとサービスを再起動するように求めるエラー メッセージが表示されます。

ポリシー テーブル検索のクエリー 結果を表示するのにかかる時間は、Security Manager のポリシー テーブル内の規則数に比例します。規則数が増加すると、MARS および Security Manager のパフォーマンスに影響を与える場合があります。

Security Manager ポリシー テーブルから取得され、MARS の読み取り専用ポリシー クエリー ウィンドウに表示されるポリシー規則はキャッシュされて、パフォーマンスを向上させます。キャッシュされると、ポリシーに同じイベントを問い合せる要求を行うとクエリー結果が再利用されるため、以降の検索のクエリー結果の表示にかかる時間が短縮されます。

MARS で [Security Manager Policy Table Lookup] アイコンが表示されるのは、次のイベント タイプによってトリガーされるトラフィック ログに対してだけです。

5 タプル情報が使用可能かどうかに関係なく、PIX ファイアウォール、ASA デバイス、IOS ルータ、または FWSM ブレードからのアクセス規則の一致。Syslog から 5 タプル データを取得できない場合、ポリシー テーブル検索後に最も正確な一致が表示されます。

PIX、ASA、FWSM デバイス上の TCP、UDP、および ICMP を使用した接続の確立および解放

IPS および IOS IPS デバイスからのシグニチャの起動


Syslog を MARS に報告し、Security Manager でポリシーが定義されているデバイス上で稼動するソフトウェアのバージョンは、Security Manager と MARS の両方でサポートされている必要があります。Security Manager と MARS の両方でサポートされるデバイスのリストについては、「Security Manager および MARS の両方でサポートされるデバイスと OS バージョン」を参照してください。


クレデンシャルに関する問題

Operator と Notifications Only のロールを除く MARS のロールのいずれかに関連付けられているすべてのユーザは、MARS で既存ユーザ アカウントを編集する間に Security Manager 認証クレデンシャルを変更できます。

MARS アプライアンスは、Security Manager とのセキュアな接続確立時に Security Manager によって提示される証明書を以前に保存された証明書のインスタンスと比較します。一致しないことが検出されると、MARS で設定されているオプションに応じて MARS は自動的に、または手動で受け入れるように要求した後で代替証明書を受け入れて保存します。セキュアな接続確立を試行する際の MARS の応答の詳細については、『 User Guide for Cisco Security MARS Local Controller 4.3.x and 5.3.x 』を参照してください。

[Reporting Applications] タブで入力または変更する Security Manager のユーザ名およびパスワード値は、MARS が Security Manager サーバと通信し、サーバで稼動しているソフトウェアのバージョン、設定の詳細などのメタ情報を検出するのに使用します。このクレデンシャルは、[User Configuration] ページの [Cisco Security Manager] セクションのユーザ名およびパスワードと異なります。

[User Configuration] ページのユーザ名とパスワードのペアは、ポリシー検索に Security Manager クレデンシャルを使用するオプションを選択した場合に MARS がポリシー テーブルを検索するために Security Manager との認証に使用するクレデンシャルを構成します。ポリシー検索時に Security Manager ログイン クレデンシャルを保存することを選択した場合、[User Configuration] ページの Security Manager のユーザ名とパスワードのフィールドには、ポリシー クエリー ログイン ダイアログボックスに入力した値が読み込まれます。

Security Manager にログインするためのユーザ名およびパスワードを指定しなかった場合、または Security Manager を追加するときに間違ったクレデンシャルを入力した場合、接続テストに失敗し、エラー メッセージが表示されます。同様に、Security Manager でログイン クレデンシャルを変更し、MARS GUI でそのクレデンシャルを更新できなかった場合、ポリシー検索中にエラー メッセージが表示されます。

MARS が Security Manager との認証を行う際に Security Manager ログイン クレデンシャルを使用するオプションを選択し、ログイン クレデンシャルをログイン ダイアログボックスに保存することを選択しなかった場合、MARS を終了するか、アイドル セッションのタイムアウト時間が過ぎるまでクレデンシャルはキャッシュされます。MARS セッションがアクティブになるまでログイン詳細情報は要求されません。MARS が Security Manager との認証を正常に完了した後で Security Manager セッションがタイムアウトした場合、ポリシー テーブル検索にログイン クレデンシャルを要求するオプションを選択していると、MARS Syslog から [Security Manager] アイコンをクリックするとログイン ダイアログボックスが表示されます。

ポリシー テーブル検索中に MARS を認証するのに Security Manager ログイン クレデンシャルを要求するオプションを選択した場合、MARS データベースから Security Manager サーバを削除すると、MARS GUI の [User Configuration] ページ([Management] > [User Management] タブ > [Add])の [Cisco Security Manager] セクションにあるユーザ名とパスワードのフィールドは淡色表示されて使用できません。これらのフィールドは、MARS が Security Manager との認証を行う間に Security Manager ログイン クレデンシャルを保存しないことを選択した場合も使用できません。

MARS が Security Manager との認証を行う際に Security Manager ログイン クレデンシャルを使用するオプションを選択し、ログイン クレデンシャルをダイアログボックスに保存することを選択した場合、[User Configuration] ページの [Cisco Security Manager] セクションにあるユーザ名とパスワードのフィールドがアクティブになり、Admin または Security Analyst のロールを持つ MARS ユーザはユーザ名およびパスワードを編集できます。

[User Configuration] ページの [Cisco Security Manager] セクションで Security Manager ログイン クレデンシャルを保存した後で、完全な読み取り/書き込み権限を持つアカウントを使用して MARS にログインし、[Reporting Applications] タブの [Allow Users to Save Credentials] チェックボックスをオフにして [Cross-Launch Authentication Settings] を変更すると、[User Configuration] ページの [Cisco Security Manager] セクションにあるユーザ名とパスワードのエントリは削除されます。ただし、ユーザ ロール Operator または Notifications Only を使用して同じ作業を実行すると、Security Manager ユーザ名およびパスワードの詳細情報は [User Configuration] ページから削除されませんが、表示だけが可能になります。

ポリシー テーブル検索で MARS から Security Manager を起動するために使用したユーザ アカウントと異なるユーザ アカウントを使用して Security Manager にログインした場合、Security Manager クレデンシャルを使用するオプションを選択していると、クライアント セッションがアクティブでも Security Manager クライアントの新しいインスタンスが起動します。

Common Services 3.1 UI で設定されていないアカウントを使用して MARS にログインした場合、[Reporting Applications] タブで MARS クレデンシャルを使用するオプションを選択していると、ポリシー テーブル検索中に Common Services で設定されたユーザ クレデンシャルの入力が要求されます。

クライアント/インスタンスに関する問題

ポリシー検索の実行時に Security Manager クライアント セッションが開いていない場合、アイドル タイムアウト時間が過ぎるか、MARS セッションからログアウトしても(ポリシー検索用に開いている)Security Manager インスタンスからログアウトしません。Security Manager セッションが閉じるのは、Security Manager セッションからログアウトするか、設定されているアイドル タイムアウト時間が過ぎたときだけです。

MARS Web インターフェイスにアクセスするシステムに Security Manager クライアントがインストールされていない場合、ポリシー検索時に Security Manager クライアントをインストールするように要求され、クライアント ソフトウェアをダウンロードするためのページが開きます。

Security Manager クライアントのインスタンスがすでに稼動している場合、MARS によって既存のセッションが再利用されて、アクセス規則またはシグニチャを編集するためのポリシー検索テーブルが表示されます。

Security Manager クライアント セッションがタイムアウトになるか、インスタンスがアクティブでない場合、Security Manager クライアントの新しいインスタンスが起動してポリシー テーブルに一致する規則およびシグニチャを問い合せます。

ポリシー テーブル検索中に Security Manager クライアントの新しいインスタンスが起動すると、一致する規則を表示するのにかかる時間が Security Manager クライアント セッションがアクティブなときにかかる時間より少し長くなることがあります。

ワークフローに関する問題

Security Manager クライアントのインスタンスが稼動しておらず、Security Manager で Workflow モードまたは Workflow 以外のモードのいずれかがイネーブルの場合、MARS は Security Manager データベースにコミットされたポリシーについて検索クエリーを実行します。

Workflow モードがイネーブルで、Security Manager クライアントのインスタンスがアクティブな場合、(編集可能な状態、つまり Edit、Edit Open、Submit、または Submit Open の)現在のアクティビティのコンテキスト内のすべてのポリシー、および Security Manager データベースにコミットされたデータ内の参照について検索クエリーが実行されます。

Workflow 以外のモードがイネーブルで、Security Manager クライアントのインスタンスがアクティブな場合、現在のログイン セッション内のすべてのポリシーについて検索クエリーが実行されます。

エラー メッセージに関する問題

リアルタイム イベントまたは過去のイベントのクエリーを実行し、クエリー結果のインシデントからポリシー検索を実行しようとすると、[Policy Query] ポップアップ ウィンドウに内部エラーが発生したことを示すエラー メッセージが表示される場合があります。このエラーは一時的なもので、しばらくしてから操作をやり直すと表示されなくなります。Security Manager に再度ログインするように要求され、これ以降はポリシー検索は正常に実行されます。このタイプのエラーは、Remote Procedure Call(RPC; リモート プロシージャ コール)接続に失敗したときやデバイスのポリシー変更が Security Manager サーバに送信されなかったときにも発生します。

ICMP 接続解放の Syslog によって生成されたイベントに [Security Manager] アイコンが表示されますが、これらのイベントからポリシー検索を実行するとエラー メッセージが表示されます。このエラー メッセージは、接続解放の Syslog に対応する接続確立の Syslog が見つからなかったことを示し、数秒後にこの操作をやり直すよう要求します。ただし、後で検索を実行しても同じエラーが表示されます。

Security Manager でデバイスに関連付けられたアクセス規則が空の場合、MARS からそのデバイスのアクセス規則によって生成された Syslog のポリシー検索クエリーを実行するとエラー メッセージが表示されます。

Security Manager には追加されず、MARS だけに追加されたデバイスのポリシー テーブル検索を実行すると、読み取り専用ポリシー テーブル ウィンドウにエラー メッセージが表示されます。デバイス上の設定が Security Manager と同期するように、デバイスを Security Manager に追加し、ポリシーを検出したことを確認します。

デバイス設定が Security Manager を使用して検出されても、Security Manager で送信されていない場合は、ポリシー クエリーに関してエラーが発生することがあります。次のエラー メッセージはこの問題の例を示します。

<190>2312080: *May 9 23:50:02.199: %SEC-6-IPACCESSLOGDP: list permit-all permitted icmp 10.2.3.8 ->
10.4.21.2 (0/0), 1 packet
An error occurred while querying policies from Cisco Security Manager. Reason: Failed to retrieve policy
information from CSM. Reason: Cisco Security Manager Internal error: Failed to get interfaces in the device!
The device LC2DTM was discovered by CSM without any errors.
 

ポリシー クエリーを実行する前に、検出されたすべてのデバイスが Security Manager で送信されていることを確認します。

インバウンド トラフィックのデバイスの「イン」方向にあるセキュリティが低いインターフェイスでアクセス規則が設定されていない場合、または Syslog で指定されているアクセス規則がそのデバイスで使用できない場合、ポリシー検索中にエラー メッセージが表示されます。このようなアクセス規則に関連する Syslog の [Security Manager] アイコンをクリックすると、一致する規則が見つからないことがメッセージに示されます。デバイスが Security Manager に追加され、そのデバイスにアクセス規則が設定されていることを確認するように要求されます。

管理トラフィックによってトリガーされるイベントの [Security Manager] アイコンをクリックすると、選択されたイベントがアクセス規則の一致の対象ではないことを示すエラー メッセージが表示されます。別のイベントを選択してポリシー検索をやり直すように要求されます。

接続解放の Syslog および接続の確立と解放によって生成されたイベントが(2 分間隔で)2 つの異なるセッションで発生する場合、このイベントのポリシー検索を実行すると、対応する接続確立の Syslog は MARS から Security Manager に送信されません。その結果、そのイベントの一致する規則を表示するのに接続確立の Syslog を使用できないことを示すエラー メッセージが表示されます。MAS のリアルタイム イベント ビューアからアクセス規則に接続解放イベントを問い合せようとした場合も、同じエラー メッセージが表示されます。

ポリシー検索でサポートされない Syslog ID を含むイベントの [Security Manager] アイコンをクリックすると、別のサポートされるイベントを選択するように要求されます。ポリシー検索をサポートするイベントの場合に限り MARS GUI に [Security Manager] アイコンが表示されますが、管理トラフィックまたは対応する確立 Syslog のない接続解放 Syslog によって生成されるイベントのポリシーを検索する間にこのエラー メッセージが表示されることがあります。

ポリシー検索でサポートされる Syslog のいずれかの [Security Manager] アイコンをクリックしても、Syslog が無効であることを示すエラー メッセージが表示されます。この問題は、Syslog が Security Manager で解析されず、MARS から受信した Syslog フォーマットが正しくない場合に発生します。

「イン」方向にあるセキュリティが高いインターフェイス にアクセス規則が設定されている、アウトバウンド トラフィックの確立/解放 Syslog によって生成されたイベントの検索を実行すると、アクセス規則に暗黙的な許可文があることを示すエラー メッセージが表示されます。また、ファイアウォール デバイスが Security Manager に追加され、MARS からポリシー検索を実行した時点でこの変更がデータベースに送信されていない場合も、このエラー メッセージが表示されます。

アクセス規則検索を実行するデバイスが Security Manager に追加され、この設定がデータベースに送信されていない場合、または Syslog を生成したアクセス規則がそのデバイス上で使用できない場合、デバイスのアクセス規則が Security Manager で設定されているアクセス規則と同期していないことを示すエラー メッセージが表示されます。

インバウンド トラフィックの場合、「イン」方向にあるセキュリティが低いインターフェイス上にあるアクセス規則によってイベントが生成され、ポリシー検索中に Security Manager で一致する規則が検出されない場合、デバイスと Security Manager でアクセス規則が同期していないことを示すエラー メッセージが表示されます。「イン」方向にあるセキュリティが高いインターフェイスまたはアウトバウンド トラフィックの「アウト」方向にあるセキュリティが低いインターフェイスにあるアクセス規則に対して一致するポリシーを検出できない場合も、このエラー メッセージが表示されます。

MARS の IPS イベントからシグニチャ ポリシーを検索しようとする場合、MARS から Security Manager に無効なイベント詳細情報が渡されるとエラー メッセージが表示されます。

MARS でイベントを生成したシグニチャがデバイスで削除されたか変更された場合、このイベントに対してポリシー検索を実行するとシグニチャが見つからないことを示すエラーが表示されます。

MARS からのポリシー テーブル検索のチェックリスト

次のチェックリストを使用して、MARS と Security Manager サーバおよび Security Manager サーバによって管理されるレポート デバイスと軽減デバイスを統合するために必要なタスクを追跡できます。各ステップには複数のサブステップが含まれることがあります。これらのステップとサブステップは順番どおりに実行する必要があります。チェックリストには、各タスクを実行するための具体的手順の参照先も示されています。


ステップ 1 Security Manager および MARS の両方で管理する必要があるデバイスを特定します。

MARS と Security Manager を統合する最初のステップは、Security Manager を使用してポリシー規則を定義するデバイスを決定することです。デバイスで MARS および Security Manager の両方でサポートされるソフトウェア バージョンが稼動していることを確認します。

詳細については、「Security Manager および MARS の両方でサポートされるデバイスと OS バージョン」を参照してください。

ステップ 2 デバイスと MARS の間で必要なすべてのトラフィック フローを特定してイネーブルにします。

Security Manager サーバで管理され、MARS でモニタされるデバイスを決定したら、管理、報告、および通知に使用するネットワーク サービスが、目的のトラフィック フローに対して許可されていることを確認する必要があります。MARS アプライアンスと各モニタ対象デバイスとの間の管理、ロギング、および通知トラフィックが中間ゲートウェイで許可されていることを確認します。


ヒント MARS アプライアンスを含むすべてのデバイスは、同じ時刻に同期させることを推奨します。


詳細については、『 Cisco Security MARS Initial Configuration and Upgrade Guide, 6.X 』の「 Deployment Planning Guidelines 」の「Required Traffic Flows」を参照してください。

ステップ 3 Security Manager で管理されるデバイスを準備します。

Security Manager を使用してデバイスを管理する前に、基本的な接続を行う最小限の設定でデバイスを設定する必要があります。Security Manager とデバイスとの間の通信をイネーブルにするには、デバイスをインベントリに追加する前にデバイスに転送設定を行う必要があります。ブートストラップでは、ネットワーク上でデバイスを稼動させ、IP アドレスを割り当てて物理メディアに接続します。

詳細については、『 User Guide for Cisco Security Manager 3.2 』の「 Preparing Devices for Management 」を参照してください。

ステップ 4 デバイスを Security Manager に追加します。

詳細については、『 User Guide for Cisco Security Manager 3.2 』の「 Managing the Device Inventory 」を参照してください。

ステップ 5 MARS で管理されるデバイスをブートストラップします。

Security Manager サーバで管理され、MARS でモニタされるデバイスを決定したら、MARS アプライアンスがこれらのデバイスから必要なログを受信またはプルできるようにデバイスを準備(ブートストラップ)する必要があります。デバイスを決定したうえでブートストラップして、必要なトラフィック フローをイネーブルにしたら、これらのデバイスを MARS に定義する必要があります。MARS は、この情報を使用してデバイスと通信します。

デバイスの追加とアクティブ化の詳細については、『 Device Configuration Guide for Cisco Security MARS, Release 6.x 』の「 Configuring Reporting and Mitigation Devices in MARS 」を参照してください。

ステップ 6 デバイスを MARS に追加します。

詳細については、『 Cisco Security MARS Initial Configuration and Upgrade Guide, 6.X 』を参照してください。

ステップ 7 各 Security Manager サーバをブートストラップし、適切な MARS Local Controller に追加します。

詳細については、「MARS と通信するための Security Manager サーバのブートストラップ」を参照してください。

ステップ 8 必要に応じてポリシー検索を実行します。

Security Manager で管理されるデバイスのいずれかによって生成されたイベントが MARS によって受信されると、ポリシー検索処理を実行して Security Manager サーバからのイベント生成に影響を与えた可能性があるポリシーを変更できます。アクセス規則およびシグニチャによって生成されたイベントのポリシー テーブル検索の実行方法の詳細については、次の項を参照してください。

詳細については、次の項を参照してください。

1. 「MARS からの Security Manager のアクセス規則ポリシーへのナビゲート」

2. 「MARS からの Security Manager の IPS シグニチャ ポリシーへのナビゲート」


 

Security Manager および MARS の両方でサポートされるデバイスと OS バージョン

MARS Syslog からポリシー テーブル検索、および Security Manager ポリシーからイベント検索を実行するために、MARS でモニタし、Security Manager で管理する必要があるデバイスで、MARS および Security Manager の両方でサポートされるソフトウェア バージョンが稼動していることを確認する必要があります。

表 11-1 に、Security Manager および MARS の両方でサポートされる各デバイス プラットフォームのソフトウェア バージョンを示します。

 

表 11-1 Security Manager と MARS の統合でサポートされるデバイスと OS バージョン

デバイスのプラットフォーム
デバイスの OS バージョン

Cisco IOS ルータ

12.x 以降

PIX セキュリティ アプライアンス

6.0, 6.1, 6.2, 6.3, 7.0, 7.2, 7.2.1

Adaptive Security Appliances(ASA)

7.0.1, 7.2, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 8.0, 8.0.3, 8.1

Cisco Intrusion Prevention System(IPS)、IDSM-2 モジュール

5.1, 6.0, 6.0.1, 6.0.2, 6.0.3

Cisco IOS Intrusion Prevention System(IOS IPS)センサー

Cisco IOS 12.3(14)T4、12.4M、12.4(2)T、12.4(4)T、12.4(11)T2

Cisco Catalyst 6500 シリーズ スイッチ

Cisco IOS 12.2 以降

Firewall Services Module(FWSM)

1.1, 1.2, 2.3, 3.1, 3.1.3, 3.1.5 1

1. FWSM がサポートされるのは Security Manager Enterprise Edition(Professional-50)以降だけです。Professional バージョンには Cisco Catalyst 6500 シリーズ スイッチおよび関連するサービス モジュールの管理のサポートが含まれていますが、Standard バージョンにはこのサポートは含まれません。


) Security Manager と MARS のそれぞれでサポートされるデバイスと OS バージョンの一覧については、各アプリケーションの『Supported Devices and Software Versions』マニュアルを参照してください。MARS については、「Supported and Interoperable Devices and Software for Cisco Security MARS Local Controller 6.0.x」を参照してください。


MARS と通信するための Security Manager サーバのブートストラップ

MARS からクエリーを実行するように Security Manager サーバを準備するには、次の設定を行う必要があります。

Common Services 3.1 サーバで Cisco Secure ACS などの Authorization, Authentication, and Accounting(AAA; 認証、認可、アカウンティング)認証を使用している場合、MARS アプライアンスが Security Manager サーバにアクセスできるように管理アクセス設定を更新する必要があります。

Security Manager で MARS がクエリーの実行に使用できるユーザ アカウントを定義します。Security Manager サーバでより明確な監査証跡を提供するために別個のアカウントを作成することを推奨します。Common Services 3.1 で定義されている次のロールのいずれかを持つユーザ アカウントを作成して、読み取りポップアップ ウィンドウから Security Manager を起動してポリシー テーブル検索クエリーを実行し、強調表示されているポリシーを変更できるようにする必要があります。

Approver

Network Operator

Network Administrator

System Administrator


Help Desk のロールを除く定義済みの Cisco Secure ACS のロールでは、読み取り専用ポリシー検索テーブルから Security Manager を起動して一致するポリシーを変更できます。Help Desk セキュリティ レベルのユーザが表示できるのは読み取り専用ポリシー検索テーブルだけです。Help Desk のロールを持つユーザが Security Manager を起動して MARS の読み取り専用ポップアップ ウィンドウからポリシーを変更しようとすると、エラー メッセージが表示されます。

Security Manager サーバを MARS に追加すると、ポリシー テーブル検索で Security Manager クレデンシャルをユーザに要求するオプションを選択している場合、認証用に Common Services 3.1 UI で別の MARS ユーザ アカウントを作成する必要はありません。


Common Services 3.1 UI からのユーザの追加およびロールの関連付けの詳細については、『 User Guide for CiscoWorks Common Services 3.1 』を参照してください。

MARS GC への Security Manager サーバの追加

Security Manager サーバを MARS で表示するには、ホストとそのホスト上にあるソフトウェア アプリケーションを定義します。Global Controller に追加する Security Manager サーバを使用すると、Security Manager サーバで管理され、イベントを MARS にパブリッシュするデバイスに対してだけポリシー検索を実行できます。

MARS LC は限られた数のデバイスだけを管理できますが、Security Manager にはそのような制限がなく、LC が管理できるデバイスの何倍ものデバイスを管理できます。MARS と Cisco Security Manager(CSM)の双方向リンクでネットワーク内のすべてのデバイスをカバーできるように、シスコは初期バージョンのリンクで Security Manager への複数の LC の追加をサポートしていました。現在では GC を CSM に追加して、GC でモニタされるすべての LC で管理されるすべてのデバイスは自動的に CSM からアクセスできるようにすることが可能です。

始める前に

Security Manager サーバでバージョン 3.2 以降が稼動していることを確認します。

Admin のロールを持つユーザとして MARS Global Controller にログインする必要があります。

MARS の Web インターフェイス内からのポリシー検索に使用する Security Manager サーバを識別する手順は、次のとおりです。


ステップ 1 [Admin] > [Security and Monitor Devices] の順に選択して、[Add] をクリックします。

図 11-1 [Add Device Selection] ウィンドウ

 

図 11-1 に示すウィンドウが表示されます。

ステップ 2 [Add Cisco Security Manager to Zone(s)] を選択します。既存の Security Manager および各 Security Manager が管理されている LC またはゾーンが表示されます。

ステップ 3 Security Manger を選択し、[Edit] をクリックします。

図 11-2 Cisco Security Manager の指定ページ

 

ステップ 4 [Host Details] の次のフィールドを指定します。

[Device Name]:ホスト(Security Manager サーバ)の名前を入力します。この名前は MARS の GUI での表示だけに使用され、有意な名前を指定できます。

[Access IP]:(任意)このアドレスは、設定の検出と HTTPS を使用した Security Manager サーバからのクエリー データのプルに使用します。このアドレスは Security Manager サーバの物理 IP アドレスを表します。

[Reporting IP]:(任意)[Access IP] フィールドに入力した同じ Security Manager サーバ インターフェイスの IP アドレスを入力します。このアドレスも Security Manager サーバの物理 IP アドレスを表します。

ステップ 5 [System Account] の次のフィールドでアクセス クレデンシャルを指定します。

[User Name]

[Password]

ステップ 6 [Access Type] は、設定情報の検出に使用するプロトコルを示します。リストから [HTTPS](デフォルト)を選択します。

ステップ 7 [Access Port] を選択します。[Access Port] は、MARS が Security Manager との通信に使用するポートを示します。HTTPS のデフォルト アクセス ポートはポート 443 です。

ステップ 8 任意で、Security Manager を追加する Local Controller に適用される [Cross-launch Authentication Setting] を選択できます。[Apply Settings] を選択し、次のいずれかを選択します。

[Use MARS Credentials]:ポリシー テーブル検索で Security Manager との通信に MARS ログイン クレデンシャルを使用する場合はこのオプション ボタンをクリックします。Security Manager のポリシー テーブルにナビゲートして一致する規則を変更するには、MARS ユーザ アカウントは Help Desk 以外のロールを持ち、Common Services UI の [Local User Setup] ページに追加されている必要があります。このオプションは、MARS と Security Manager が Cisco Secure ACS などの共通の外部サーバを認証および許可に使用する場合に有用です。

[Prompt User]:Security Manager にログインして MARS からポリシー検索テーブルを相互起動するときにユーザにクレデンシャルを入力するよう要求する場合は、このオプション ボタンをクリックします。[Security Manager] アイコンをクリックして読み取り専用ポリシー検索テーブルを表示すると、Security Manager ログイン ダイアログボックスが表示されます。

[Prompt User] オプションを選択すると、その下の [Allow Users to Save Credentials] チェックボックスがイネーブルになります。ポリシー検索テーブルを相互起動するときに Security Manager ログイン ダイアログボックスの [Save Credentials] チェックボックスをイネーブルにする場合は、このチェックボックスを選択します。[Save Credentials] チェックボックスを選択すると、MARS データベースに Security Manager クレデンシャルが保存され、それ以降の検索ではアクセス詳細情報の入力を要求されません。

[Allow Users to Save Credentials] チェックボックスの選択を解除すると、ログイン ダイアログボックス内の [Save Credentials] チェックボックスがディセーブルになり、新しいセッションまたはタイムアウト時間後に MARS から Security Manager ポリシー テーブルを起動するたびにログイン詳細情報を入力するように要求されます。[Allow Users to Save Credentials] チェックボックスの選択を解除すると、MARS データベースに保存されている Security Manager クレデンシャルは削除されます。

ステップ 9 (任意)[Test Connectivity] をクリックして、設定が正しいことおよび MARS がこの Security Manager サーバと通信できることを確認します。

ユーザ名およびパスワードが正しく、MARS がデバイスの管理ホストとして設定されている場合は、検出処理が正常に完了すると、「Connectivity successful.」というメッセージを示すポップアップ ウィンドウが表示されます。正常に完了しなかった場合、エラー メッセージが表示されて、[View Error] リンクをクリックして考えられる原因およびソリューションに関する詳細を表示するよう要求されます。

ステップ 10 右側のパネルに、GC によって監視されるすべての LC またはゾーンが一覧表示されます。左側のセクションで指定した CSM を追加するゾーンを選択します。

ステップ 11 [Submit] をクリックします。

選択した LC に Security Manager が追加され、CSM の MARS への追加の [Status Summary] ページが表示されます。

 

[Status Summary] ページには、CSM の詳細および各 LC への追加のステータスが表示されます。レッド、オレンジ、およびグリーンの表示を使用してステータスが強調表示されます。

レッド :Security Manager のゾーンへの追加に失敗。

オレンジ :Security Manager との接続確立に失敗。

グリーン :追加および接続テストに成功。

失敗した場合、失敗した LC のそれぞれに対して追加をやり直すためのチェックボックスが表示されます。


 

MARS LC への Security Manager サーバの追加

Security Manager サーバを MARS で表示するには、ホストとそのホスト上にあるソフトウェア アプリケーションを定義します。Local Controller に追加した Security Manager サーバを使用すると、Security Manager サーバで管理され、イベントを MARS にパブリッシュするデバイスに対してだけポリシー検索を実行できます。

各 Local Controller がクエリーを実行できるのは、1 つの Security Manager サーバに対してだけです。Local Controller ごとに複数の Security Manager サーバを設定することはできません。複数の Local Controller に同じ Security Manager サーバを設定できます。Global Controller/複数の Local Controller を展開するためのゾーンをプランニングする場合は、各 Local Controller をその Local Controller でモニタされるレポート デバイスを管理する Security Manager サーバに対応付けるようにします。Security Manager を Global Controller に追加する手順については、「MARS GC への Security Manager サーバの追加」を参照してください。

Security Manager サーバが MARS に追加されていない場合、[User Configuration] ページの [Cisco Security Manager] セクションにあるユーザ名とパスワードのフィールドはディセーブルです。[User Configuration] ページに、Security Manager サーバが MARS に追加されていないため、ポリシー テーブルを相互起動するための Security Manager クレデンシャルを MARS データベースに保存できないことを示すメッセージが表示されます。

始める前に

ポリシー テーブルを検索し、一致する規則またはシグニチャを変更する場合は、Security Manager サーバでバージョン 3.2 が稼動していることを確認します。3.0.1、3.0.2、または 3.1.x が稼動している Security Manager サーバを 4.3.2 ~ 4.3.4 または 5.3.2 ~ 5.3.4 が稼動している MARS アプライアンスに追加すると、表示モードに限ってポリシーのクエリーを実行できます。ポリシーを変更するには、別途 Security Manager クライアントのインスタンスを起動する必要があります。

3.0.1、3.0.2、または 3.1.x が稼動している Security Manager サーバを MARS アプライアンスに追加することで、ポリシー検索を実行するために 4.3.4 および 5.3.4 よりも前のバージョンの MARS と同じ動作が提供されます。

MARS Local Controller に Admin のロールを持つユーザとしてログインする必要があります。

MARS の Web インターフェイス内からのポリシー検索に使用する Security Manager サーバを識別する手順は、次のとおりです。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] の順に選択します。

ステップ 2 次のいずれかを実行します。

[Device Type] リストで [Add SW Security apps on a new host] を選択し、ステップ 3 に進みます。図 11-3 を参照してください。

[Device Type] リストで [Add SW security apps on existing host] を選択します。ソフトウェア アプリケーションを追加するデバイスを選択し、[Add] をクリックします。ステップ 6 に進みます。

図 11-3 [Device Discovery-Add SW Security Apps on New Host]

 

[Management] > [IP Management] 設定の一部として MARS 内でホストをすでに定義している場合、またはホスト上で Microsoft Internet Information Services などの別のアプリケーションが稼動している場合は、[Add SW Security apps on existing host] オプションを選択できます。

ステップ 3 次のフィールドの値を指定します。

[Device Name]:ホスト(Security Manager サーバ)の名前を入力します。この名前は MARS の GUI での表示だけに使用され、有意な名前を指定できます。

[Access IP]:このアドレスは、設定の検出と HTTPS を使用した Security Manager サーバからのクエリー データのプルに使用します。このアドレスは Security Manager サーバの物理 IP アドレスを表します。

[Reporting IP]:(任意)[Access IP] フィールドに入力した同じ Security Manager サーバ インターフェイスの IP アドレスを入力します。このアドレスも Security Manager サーバの物理 IP アドレスを表します。

[Operating System]:(任意)ドロップダウン リストから [Windows] または [Generic] を選択してオペレーティング システムのタイプを指定します。

ステップ 4 [Enter interface information] に、設定情報の問い合せ元となる Security Manager サーバの各インターフェイスの名前、IP アドレス、およびネットマスク値を入力します。

ステップ 5 [Apply] をクリックして、これらの設定を保存します。

ステップ 6 [Next] をクリックして、[Reporting Applications] タブにアクセスします。

ステップ 7 [Select Application] リストから [Cisco Security Manager ANY] を選択して、[Add] をクリックします。図 11-4 を参照してください。

図 11-4 [Device Discovery-Cisco Security Manager ANY] ページ

 

ステップ 8 この Security Manager サーバを表すホストの [Access IP] フィールドにアドレスを入力した場合は、次のフィールドの値を指定します。

[User Name]:設定の検出に使用される Cisco Security Manager 管理アカウントを指定します。

[Password]:ユーザ名アカウントに対応するパスワードを指定します。

[Access Type]:設定情報の検出に使用されるプロトコルを指定します。ドロップダウン リストから [HTTPS] を選択します。

[Access Port]:MARS が Security Manager との通信に使用するポートを指定します。HTTPS のデフォルト アクセス ポートはポート 443 です。

ステップ 9 [Cross-Launch Authentication Settings] で、次のいずれかを実行します。

ポリシー テーブル検索で Security Manager との通信に MARS ログイン クレデンシャルを使用する場合は、[Use MARS Credentials] オプション ボタンをクリックします。Security Manager ポリシー テーブルにナビゲートして一致する規則を変更するために、MARS ユーザ アカウントは Help Desk 以外のロールで Common Services UI の [Local User Setup] ページに追加済みになっている必要があります。このオプションは、MARS と Security Manager が Cisco Secure ACS などの共通の外部サーバを認証および許可に使用する場合に有用です。

Security Manager にログインして MARS からポリシー検索テーブルを相互起動するときにユーザにクレデンシャルを入力するように促す場合は、[Prompt User] オプション ボタンをクリックします。[Security Manager] アイコンをクリックして読み取り専用ポリシー検索テーブルを表示すると、Security Manager ログイン ダイアログボックスが表示されます。[Prompt User] オプションを選択した場合、Security Manager クレデンシャルを保存するかどうかを選択できます。

このオプション ボタンを選択すると、その下の [Allow Users to Save Credentials] チェックボックスがイネーブルになります。ポリシー検索テーブルを相互起動するときに Security Manager ログイン ダイアログボックスの [Save Credentials] チェックボックスをイネーブルにする場合は、このチェックボックスを選択します。[Save Credentials] チェックボックスを選択すると、MARS データベースに Security Manager クレデンシャルが保存され、それ以降の検索ではアクセス詳細情報の入力を要求されません。

[Allow Users to Save Credentials] チェックボックスの選択を解除すると、ログイン ダイアログボックス内の [Save Credentials] チェックボックスがディセーブルになり、新しいセッションまたはタイムアウト時間後に MARS から Security Manager ポリシー テーブルを起動するたびにログイン詳細情報を入力するように要求されます。[Allow Users to Save Credentials] チェックボックスの選択を解除すると、MARS データベースに保存されている Security Manager クレデンシャルは削除されます。


) Security Manager に正常にログインすると、ログイン クレデンシャルは MARS によってキャッシュされます。このクレデンシャルは、MARS を終了するか、アイドル セッションのタイムアウト時間が過ぎると破棄されます。

[Allow Users to Save Credentials] チェックボックスの選択を解除すると、[User Configuration] ページの [Cisco Security Manager] セクションにあるユーザ名とパスワードのフィールドはディセーブルになります。[User Configuration] ページに、[Allow Users to Save Credentials] チェックボックスが選択されていないため、ポリシー検索を実行するための Security Manager クレデンシャルを MARS データベースに保存できないことを示すメッセージが表示されます。ポリシー テーブル検索に MARS クレデンシャルを使用することを選択した場合でも、[User Configuration] ページにメッセージが表示されます。


ステップ 10 (任意)[Test Connectivity] をクリックして、設定が正しいことおよび MARS アプライアンスがこの Security Manager サーバと通信できることを確認します。

ユーザ名およびパスワードが正しく、MARS アプライアンスがデバイスの管理ホストとして設定されている場合は、検出処理が正常に完了すると、「Connectivity successful.」というメッセージを示すポップアップ ウィンドウが表示されます。正常に完了しなかった場合、エラー メッセージが表示されて、[View Error] リンクをクリックして考えられる原因およびソリューションに関する詳細を表示するよう要求されます。

ステップ 11 このデバイスを MARS データベースに追加するには、[Submit] をクリックします。

データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、変更が動作中のメモリに送信されます。

ステップ 12 [Activate] をクリックします。

MARS アプライアンスがアクティブになると、Security Manager サーバに問い合せてポリシー検索を実行できます。


 

MARS からの Security Manager のアクセス規則ポリシーへのナビゲート

アクセス規則は、ルーティングされたパケットを転送するか、ファイアウォールのインターフェイスでブロックするかを制御してネットワーク トラフィックをフィルタリングします 規則は、各受信パケットに対してデバイスによって最初から最後まで、つまり最初に一致したものに基づいて処理されます。アクセス規則を設定して Security Manager からデバイスに展開し、MARS でモニタされるデバイスでロギングをイネーブルにすると、アクセス規則がデバイスが処理しているネットワーク トラフィックと一致したときにログ エントリが作成され、トラフィックを許可する必要があるかどうかを判断するために規則で定義されているアクションが使用されます。アクセス規則に関連するログがデバイスから受信されると、MARS でインシデントが生成されます。

MARS では、インシデントはネットワークに関する攻撃を示す、規則によって相互に関連付けられた一連のイベントです。MARS では、インシデントの検出、軽減、レポート、および分析が簡素化され、迅速に処理されます。Network Summary の [Dashboard]、[Query Results] ページ、および [Incident] ページを使用すると、最近のインシデントを検出して、インシデントを構成する規則およびイベントを表示できます。

MARS を使用して、TCP、UDP、または ICMP 接続の確立または解放時に生成されるメッセージから特定の Syslog に対する Security Manager の許可 ACE にナビゲートすることもできます。それにより、MARS イベントまたはインシデントを生成するアクセス規則を編集して、受信パケットに応じて実行する必要があるアクションを更新できます。

始める前に

「MARS からのポリシー テーブル検索のチェックリスト」に説明されているすべての作業を実行したことを確認します。

MARS から Security Manager に到達できることを確認します。

[Query Reports] ページでサポートされるアクセス規則検索の結果フォーマットは、次のとおりです。

All Matching Events

All Matching Event Raw Messages

All Matching Sessions

All Matching Sessions、Custom Columns(カスタム カラムの 1 つに [Reporting Device Set] が選択されている場合)

MARS のインシデントから Security Manager のポリシー テーブル内のアクセス規則を検索して変更する手順は、次のとおりです。


ステップ 1 MARS にログインします。[Summary] タブが選択された [Dashboard] ページが表示されます。

ポリシー検索に MARS クレデンシャルを使用する認証オプションを選択した場合、Administrator または Security Analyst としてログインすると一致したアクセス規則を変更できます。ポリシー検索に Security Manager クレデンシャルを使用するオプションを選択した場合、MARS ログイン ユーザのロールは関係ありません。

ステップ 2 [Query Results] ページまたは [Incident Details] ページから、インシデントまたはイベントを指定して調査します。

[Query Results] ページにナビゲートするには、特定のクエリー基準に一致するイベントを返すクエリーを実行します。たとえば、[Query/Reports] タブから、最新のものが先頭に表示される、時間でランク付けされたイベントを返すクエリーを実行すると、[Query Results] ページは図 11-8 のように表示されます。クエリー結果の [Reporting Device] カラムにある [Security Manager] アイコンをクリックします。

[Incident Details] ページ(図 11-9 を参照)にナビゲートするには、次のいずれかを実行します。

[Query/Reports] タブから、クエリー基準に一致するイベントを含むセッション数または送信バイト数でランク付けされたインシデントを返すクエリーを実行します。クエリー結果の [Incident ID] カラムにあるリンクをクリックします。

[Dashboard] の [Recent Incidents] セクション(図 11-10 を参照)から [Incident ID] カラム内のリンクをクリックします。

[Incidents] タブをクリックして、最近のインシデントが表示される [Incidents] ページ(図 11-11 を参照)にナビゲートして、[Incident ID] カラム内のリンクをクリックします。

該当するフィールドに ID を入力し、その横にある [Show] をクリックして、Incident ID を検索します。

ステップ 3 [Reporting Device] フィールドの [Security Manager] アイコンをクリックして、Security Manager ポリシー テーブル検索を呼び出します。

ポリシー テーブル検索で Security Manager へのログインにクレデンシャルを要求するオプションを選択した場合は、ログイン ダイアログボックスが表示されます。オプションを選択しなかった場合は、 3 つのポップアップ ウィンドウのいずれか が表示されます。

ステップ 4 Security Manager ログイン クレデンシャルを入力して、[OK] をクリックします。

最初に新しい MARS セッションを開始するとき、クレデンシャルが要求されます。このクレデンシャルは、セッションの期限が切れるか、新しいセッションを開くまでがキャッシュされます。


) Security Manager へのログインに MARS クレデンシャルを使用することを選択した場合、または以前にポリシー テーブル検索を実行したときに Security Manager クレデンシャルを保存するチェックボックスをオンにした場合は、このダイアログボックスは表示されません。

Internet Explorer を使用して MARS GUI にアクセスすると、ログイン ダイアログボックスにユーザ名を入力すると、パスワードが自動的に入力されることがあります。これは、パスワードを記憶するようにブラウザを設定した場合です。キャッシュされているパスワードを消去する方法またはキャッシング機能をディセーブルにする方法については、『FAQ and Troubleshooting Guide for Cisco Security Manager 3.2』の「Interoperation of MARS and Security Manager」の章を参照してください。


次の 3 つのポップアップ ウィンドウのいずれかが表示される場合があります。

[Multiple Events] ウィンドウ:セッション内のすべてのレポート デバイス イベントの一覧を表示します。このウィンドウは、セッション内に複数のイベントがある場合にこのステップで表示されます。図 11-5を参照してください。ステップ 5 に進みます。

[Multiple Devices] ウィンドウ:MARS で使用可能な基準を満たすすべての一致するレポート デバイスの一覧を表示します。このウィンドウは、一致するデバイスが複数ある場合に表示されます。図 11-6を参照してください。ステップ 6 に進みます。

[Policy Table] ウィンドウ:レポート デバイスのポリシー テーブルの一覧を表示します。MARS 基準に一致するアクセス規則が強調表示されます。このウィンドウは、イベントが 1 つあり、レポート デバイス 1 つが特定されているときにこのステップで表示されます。図 11-7を参照してください。[Policy Table] ポップアップ ウィンドウの操作方法の詳細については、「 Examining and Editing Highlighted Rules 」を参照してください。[Policy Query] ウィンドウの要素の詳細については、「アクセス規則の読み取り専用 Security Manager ポリシー検索ページ」を参照してください。

図 11-5 MARS [Multiple Events] ポップアップ ウィンドウ

 

図 11-6 MARS [Multiple Devices] ポップアップ ウィンドウ

 

図 11-7 読み取り専用アクセス規則テーブル ポップアップ ウィンドウ

 

ステップ 5 (任意)[Multiple Events] ウィンドウが表示される場合は、該当するイベントの [Policy] フィールドにある [Security Manager] アイコンをクリックします。次の 2 つのポップアップ ウィンドウのいずれかが表示される場合があります。

[Multiple Devices] ウィンドウ。ステップ 6 に進みます。

[Policy Table] ウィンドウ。[Policy Table] ポップアップ ウィンドウの操作方法の詳細については、「 Examining and Editing Highlighted Rules 」を参照してください。[Policy Query] ウィンドウの要素の詳細については、「アクセス規則の読み取り専用 Security Manager ポリシー検索ページ」を参照してください。

ステップ 6 (任意)[Multiple Devices] ポップアップ ウィンドウが表示される場合は、該当するレポート デバイスの横にあるオプション ボタンをクリックします。[Select] をクリックします。選択したデバイスの読み取り専用アクセス規則テーブル ポップアップ ウィンドウが表示されます。

MARS クエリー基準に一致するアクセス規則が強調表示されます。読み取り専用ポリシー テーブル ウィンドウに表示されるアクセス規則は、Security Manager クライアントのインスタンスが稼動しているかどうか、および Workflow モードがイネーブルか、Workflow 以外のモードがイネーブルかによって決まります。詳細については、「MARS イベントからのポリシー テーブル クエリーのタスクフロー」のステップ 6 を参照してください。

アクセス規則テーブルに 1 ページに表示できる以上の規則がある場合は、複数のページに表示され、ページ間をナビゲートできます。改ページを使用すると、1 ページに最大数の項目を表示できます。最大数を超えた項目は次のページに表示されます。[Rows per page] ドロップダウン リストから 1 ページに表示する項目の数を選択します。必要なページ番号にナビゲートするには [Go to page] ドロップダウン リストから値を選択し、ページ間をナビゲートするには [Prev] または [Next] をクリックします。

一致した規則を切り替えるには、強調表示されている各アクセス規則の [Go to matched policy] ドロップダウン リストの横にある [Prev] または [Next] を必要に応じてクリックします。最初または最後の強調表示されているアクセス規則にナビゲートするには、[Go to matched policy] リストから最初または最後の規則番号を選択します。複数のアクセス規則がクエリー基準に一致する場合、一致が検出されたページがアクセス規則テーブルの 1 ページ目かどうかに関係なく、最初に一致する規則が強調表示されます。

アクセス規則にネットワーク/ホスト、インターフェイス、またはサービス オブジェクトが含まれる場合、読み取り専用ポリシー検索テーブル内のオブジェクトをクリックするとオブジェクトの定義をポップアップ ウィンドウに表示できます。

ステップ 7 強調表示されているアクセス規則の [No.] カラムにある規則番号のハイパーリンクをクリックします。


) Security Manager クライアントのインスタンスが稼動している場合、ポリシー テーブル検索に同じインスタンスが再利用されます。Security Manager クライアント セッションがタイムアウトになるか、開いていない場合、新しいクライアント セッションが開始されます。Security Manager クライアントがシステムにインストールされていない場合、Security Manager クライアントをインストールするように要求され、クライアント ソフトウェアをダウンロードするためのページが開きます。



) MARS の読み取り専用ポリシー クエリー ウィンドウから Security Manager クライアントを起動しようとすると、[File Download] ダイアログボックスが表示されて CsmContentProvider ファイルをダウンロードするかどうかを確認するよう要求されます。このダイアログボックスは Internet Explorer のセキュリティ設定により表示されます。ポリシー検索時にこのダイアログボックスに [Open] ボタンを表示させる方法については、『FAQ and Troubleshooting Guide for Cisco Security Manager 3.2』の「Interoperation of MARS and Security Manager」の章を参照してください。


Security Manager クライアント ウィンドウがアクティブになり、[Access Rules] ページにポリシー テーブルで強調表示されているイベントを生成したアクセス規則が表示されます。アクセス規則を変更して、ネットワーク パケットのフローを制御し、デバイスに対するポリシーを更新してネットワーク保護を向上させることができます。

強調表示されているアクセス規則にネットワーク/ホスト、サービス、またはインターフェイス オブジェクトが含まれる場合、[Access Rules] ページでその規則の該当するテーブル セルを右クリックして、ショートカット メニューから [Show <object> Contents] を選択すると、オブジェクトのフラット化された値のリストが表示されます。

ステップ 8 読み取り専用アクセス規則テーブルの下部にある [Transcript Details] をクリックして、MARS で選択したイベントの未処理 Syslog および Security Manager で処理された後の Syslog の解析フォーマットに関する情報を表示するポップアップ ウィンドウを表示して、その Syslog を生成したアクセス規則を検索します。この詳細情報により、アクセス規則検索クエリーのタスクフローを理解できます。また、この詳細情報はエラーのトラブルシューティングに使用できる情報メッセージです。

ステップ 9 ページの下部にある [CS Manager Details] リンクをクリックして、サーバ名、Security Manager へのログインに使用するユーザ名、Workflow モードがイネーブルかどうか、およびシグニチャの詳細を取得するアクティビティを表示するダイアログボックスを開きます。[Close] アイコンをクリックして、ダイアログボックスを閉じます。


 

MARS からの Security Manager の IPS シグニチャ ポリシーへのナビゲート

センサは、シグニチャを使用してネットワーク パケットをスキャンしてネットワーク リソースの攻撃やその他の不正利用を検出します。センサは、シグニチャを使用して受信パケットの一致を検出するとイベントを記録するなどの処理を行います。シグニチャが Security Manager を使用してセンサに設定され、センサが MARS でモニタされている場合、センサは MARS にログをパブリッシュします。[Query] ページから、クエリー パラメータを定義し、センサに設定されているシグニチャによって生成されたイベントまたはインシデントを返すクエリーを実行できます。返されたイベントまたはイベントに関連する未処理メッセージから [Security Manager] アイコンをクリックして、Security Manager のポリシーに進みます。または、返されたクエリー結果から特定のインシデント ID を選択して、そのインシデントに関連する詳細情報を表示できます。[Incident Details] ページから、調査するイベントの [Reporting Device] カラムにある [Security Manager] アイコン( )をクリックできます。


) [Query Reports] ページでサポートされるアクセス規則検索の結果フォーマットは、次のとおりです。

All Matching Events

All Matching Event Raw Messages

All Matching Sessions

All Matching Sessions、Custom Columns(カスタム カラムの 1 つに [Reporting Device Set] が選択されている場合)


[Incidents] ページには、センサによって生成された一連のイベントも表示されます。このページから、インシデント ID を選択して Security Manager のシグニチャ ポリシーにナビゲートできます。パラメータを編集(調整)してネットワーク上で最適なパフォーマンスを確保し、特にフォールス ポジティブおよびフォールス ネガティブを最小限に抑えることができます。

始める前に

「MARS からのポリシー テーブル検索のチェックリスト」に説明されているすべての作業を実行したことを確認します。

MARS から Security Manager に到達できることを確認します。

MARS のインシデントから Security Manager のシグニチャ サマリー テーブル内の IPS シグニチャを検索して変更する手順は、次のとおりです。


ステップ 1 MARS にログインします。[Summary] タブが選択された [Dashboard] ページが表示されます。

ポリシー検索に MARS クレデンシャルを使用する認証オプションを選択した場合、Administrator または Security Analyst としてログインすると一致したアクセス規則を変更できます。ポリシー検索に Security Manager クレデンシャルを使用するオプションを選択した場合、MARS ログイン ユーザのロールは関係ありません。

ステップ 2 次のいずれかの方法で、[Query Results] ページまたは [Incident Details] ページからインシデントまたはイベントを指定して調査します。

[Query Results] ページにナビゲートするには、特定のクエリー基準に一致するイベントを返すクエリーを実行します。たとえば、[Query/Reports] タブから、最新のものが先頭に表示される、時間でランク付けされたイベントを返すクエリーを実行すると、[Query Results] ページは図 11-8 のように表示されます。クエリー結果の [Reporting Device] カラムにある [Security Manager] アイコン( )をクリックします。

[Incident Details] ページ(図 11-9 を参照)にナビゲートするには、次のいずれかを実行します。

[Query/Reports] タブから、クエリー基準に一致するイベントを含むセッション数または送信バイト数でランク付けされたインシデントを返すクエリーを実行します。クエリー結果の [Incident ID] カラムにあるリンクをクリックします。

[Dashboard] の [Recent Incidents] セクション(図 11-10 を参照)から [Incident ID] カラム内のリンクをクリックします。

[Incidents] タブをクリックして、最近のインシデントが表示される [Incidents] ページ(図 11-11 を参照)にナビゲートして、[Incident ID] カラム内のリンクをクリックします。

該当するフィールドに ID を入力し、その横にある [Show] をクリックして、Incident ID を検索します。

図 11-8 一致するイベントが表示される [Query Results] ページ

 

図 11-9 [Incident Details] ページ

 

図 11-10 MARS [Summary] ページの [Recent Incidents]

 

図 11-11 MARS [Incidents] ページ

 

ステップ 3 [Reporting Device] フィールドの [Security Manager] アイコンをクリックして、Security Manager ポリシー テーブル検索を呼び出します。ポリシー テーブル検索で Security Manager へのログインにクレデンシャルを要求するオプションを選択した場合は、[Policy Query] ポップアップ ウィンドウにログイン セクションが表示されます。図 11-12 を参照してください。ステップ 4 に進みます。

それ以外の場合は、Cisco Security Manager の [Policy Query] ポップアップ ウィンドウにシグニチャ パラメータが読み取り専用モードで表示されます。図 11-13 を参照してください。ステップ 5 に進みます。[Policy Query] ウィンドウの要素の詳細については、「IPS シグニチャの読み取り専用 Security Manager ポリシー検索ページ」を参照してください。


センサに設定されたカスタム シグニチャによってトリガーされるイベントは、MARS GUI で「Unknown Device Event Type」に分類され、これらのイベントに対してポリシー検索をイネーブルにする [Security Manager] アイコンが表示されます。


図 11-12 読み取り専用シグニチャ ポリシー ポップアップ ウィンドウのログイン セクション

 

図 11-13 読み取り専用シグニチャ ポリシー ポップアップ ウィンドウの一致するシグニチャ パラメータ

 

ステップ 4 Security Manager ログイン クレデンシャルを入力して、[OK] をクリックします。Cisco Security Manager の [Policy Query] ポップアップ ウィンドウにシグニチャ パラメータが読み取り専用モードで表示されます。[Policy Query] ウィンドウの要素の詳細については、「IPS シグニチャの読み取り専用 Security Manager ポリシー検索ページ」を参照してください。

最初に新しい MARS セッションを開始するとき、クレデンシャルが要求されます。このクレデンシャルは、セッションの期限が切れるか、新しいセッションを開くまでがキャッシュされます。


) Security Manager へのログインに MARS クレデンシャルを使用することを選択した場合、または以前にポリシー テーブル検索を実行したときに Security Manager クレデンシャルを保存するチェックボックスをオンにした場合は、このダイアログボックスは表示されません。

Internet Explorer を使用して MARS GUI にアクセスすると、ログイン ダイアログボックスにユーザ名を入力すると、パスワードが自動的に入力されることがあります。これは、パスワードを記憶するようにブラウザを設定した場合です。キャッシュされているパスワードを消去する方法またはキャッシング機能をディセーブルにする方法については、『FAQ and Troubleshooting Guide for Cisco Security Manager 3.2』の「Interoperation of MARS and Security Manager」の章を参照してください。


ステップ 5 次のいずれかを実行します。

[Edit Signature] をクリックして、Security Manager の [Signatures] ページを開きます。イベントを生成した IPS シグニチャがポリシー テーブル内で強調表示されます。シグニチャ パラメータを調整してネットワーク侵入を検出できます。


) Security Manager クライアントのインスタンスが稼動している場合、ポリシー テーブル検索に同じインスタンスが再利用されます。Security Manager クライアント セッションがタイムアウトになるか、開いていない場合、新しいクライアント セッションが開始されます。Security Manager クライアントがシステムにインストールされていない場合、Security Manager クライアントをインストールするように要求され、クライアント ソフトウェアをダウンロードするためのページが開きます。


[Add Filter] をクリックして Security Manager の [Add Event Action Filter] ダイアログボックスを開き、イベントから特定のアクションを削除するか、イベント全体を破棄してセンサでこれ以上処理されないようにします。イベントから削除するアクション、攻撃者拒否機能で拒否するパケットのパーセンテージ、および攻撃者のホストによって使用されたポートと IP アドレスを指定するフィールドには、MARS に記録されているイベントから取得された値が読み込まれます。[Add Event Action Filter] ダイアログボックスの残りのフィールドには、デフォルト値が表示されます。イベント アクション フィルタを保存する場合、特定のデバイスのローカル ポリシー フィルタとして保存されます。

ページの下部にある [CS Manager Details] リンクをクリックして、サーバ名、Security Manager へのログインに使用するユーザ名、Workflow モードがイネーブルかどうか、およびシグニチャの詳細を取得するアクティビティを表示するダイアログボックスを開きます。[Close] アイコンをクリックして、ダイアログボックスを閉じます。


) MARS の読み取り専用ポリシー クエリー ウィンドウから Security Manager クライアントを起動しようとすると、[File Download] ダイアログボックスが表示されて CsmContentProvider ファイルをダウンロードするかどうかを確認するよう要求されます。このダイアログボックスは Internet Explorer のセキュリティ設定により表示されます。ポリシー検索時にこのダイアログボックスに [Open] ボタンを表示させる方法については、『FAQ and Troubleshooting Guide for Cisco Security Manager 3.2』の「Interoperation of MARS and Security Manager」の章を参照してください。



 

アクセス規則の読み取り専用 Security Manager ポリシー検索ページ

MARS GUI の [Cisco Security Manager Policy Query] ページを使用して、調査するインシデントをトリガーしたアクセス規則を表示します。このページは、調査するインシデントと一致するイベントおよびデバイスの数に応じて次の形式のいずれかになります。

セッション内に複数のイベントがある場合、セッション内のすべてのレポート デバイス イベントのリスト。アクセス規則を検索するイベントの [Reporting Device] フィールドにある [Security Manager] アイコンをクリックします。複数のデバイスが MARS クエリー基準に一致する場合、ページがリフレッシュして次の項目で説明されている情報が表示されます。イベントに対して固有のデバイスを特定できる場合、3 番目の項目で説明されている形式が使用されます。

一致するデバイスが複数ある場合、MARS で使用可能な基準を満たすすべての一致するレポート デバイスのリスト。アクセス規則を検索するデバイスを選択するためのオプション ボタンが各デバイスの横に表示されます。デバイスを選択すると、ページに次の項目で説明されている情報が表示されます。

レポート デバイスのアクセス規則テーブル。MARS 基準に一致するアクセス規則は強調表示されます。このウィンドウは、イベントが 1 つあり、Security Manager デバイス 1 つが特定されているときにこのステップで表示されます。

MARS クエリー基準に一致するデバイスがない場合、エラー メッセージ。

ナビゲーション パス

アクセス規則の読み取り専用ポリシー検索ページにアクセスするには、次のいずれかを実行します。

1. [Query/Reports] タブから、クエリー基準を満たすイベントまたはイベントに関連する未処理メッセージを返すクエリーを実行して [Query Results] ページを表示します。クエリー結果の [Reporting Device] カラムにある [Security Manager] アイコンをクリックします。

2. MARS GUI で、次のいずれかの方法で [Incident Details] ページにナビゲートします。

[Query/Reports] タブから、クエリー基準に一致するイベントを含むセッション数または送信バイト数でランク付けされたインシデントを返すクエリーを実行します。クエリー結果の [Incident ID] カラムにあるリンクをクリックします。

[Dashboard] の [Recent Incidents] セクションで、[Incident ID] カラム内のリンクをクリックします。

[Incidents] タブをクリックして、最近のインシデントが表示される [Incidents] ページにナビゲートし、[Incident ID] カラム内のリンクをクリックします。

該当するフィールドに ID を入力し、その横にある [Show] をクリックして、Incident ID を検索します。

アクセス規則によって生成されたインシデントの [Incident Details] ページの [Reporting Device] フィールドにある [Security Manager] アイコンをクリックします。


このページにはフィールド リファレンス テーブルに示されている以外の要素も含まれますが、これらの要素は読み取り専用か、または MARS の他のページへのナビゲートに使用します。アクセス規則テーブル検索に固有のアクションを実行する際に使用する要素だけがテーブルに表示されています。



ページの上部に表示されるイベントの [Security Manager] アイコンをクリックしても、同じ内容でページがリフレッシュされるだけです。読み取り専用ポリシー テーブルの規則番号のハイパーリンクをクリックして、Security Manager クライアントの [Access Rules] ページにナビゲートする必要があります。このアイコンをクリックしても Security Manager クライアントは起動しません。


フィールド リファレンス

 

表 11-2 読み取り専用アクセス規則ポリシー検索ページ

要素
説明
[Cisco Security Manager Login]

アクセス規則の検索に Security Manager ログイン クレデンシャルの入力を要求するオプションを選択した場合に限り使用でき、Security Manager クレデンシャルはキャッシュされず、MARS データベースにも保存されません。

[User Name]

Security Manager にログインするためのユーザ名。

(注) 読み取り専用アクセス規則テーブルから Security Manager クライアントを起動するには、ユーザに管理権限が必要です。管理権限がないと、アクセス規則テーブルの [No.] カラムからハイパーリンクされている規則番号をクリックしたときにエラー メッセージが表示されます。

[Password]

Security Manager にログインするためのパスワード。

[Submit]

認証に成功すると、入力されたクレデンシャルを Security Manager に送信し、同じページに読み取り専用アクセス テーブルを表示します。

[Save Credentials]

MARS の [Reporting Applications] タブで [Allow Users to Save Credentials] チェックボックスをオンにした場合に限り使用できます。

このチェックボックスをオンにすると、Security Manager クレデンシャルが MARS データベースに保存され、ポリシー検索時に再利用されます。これ以降、ポリシー検索中にクレデンシャルの入力を要求されません。

[Access rule policy table]

[Security Manager Login] セクションが表示される場合、MARS が Security Manager との認証を正常に完了した後でこのテーブルが表示されます。また、インシデントに対して固有のデバイスおよび 1 つのイベントを特定できない場合、複数のデバイスおよび複数のイベントのリストから必要なデバイスとイベントを選択するとこのテーブルが表示されます。

[Go to matched policy]

テーブル内のナビゲート先の規則番号を選択します。

[Prev]

クリックすると、現在テーブル内で強調表示されている一致するアクセス規則の前の一致するアクセス規則に移動します。

[Next]

クリックすると、現在テーブル内で強調表示されている一致するアクセス規則の次の一致するアクセス規則に移動します。

[No.]

テーブル内の順序付けられた規則番号を示します。規則番号のハイパーリンクをクリックすると、Security Manager クライアントが起動して現在の行が強調表示されているアクセス規則テーブルが表示され、その設定を変更できます。規則番号上にカーソルを置くと、ツールチップが表示されます。

(注) Security Manager クライアントのインスタンスがすでに開いている場合、同じインスタンスがアクティブになります。

[Source]

ホストおよびネットワークの送信元ネットワーク オブジェクト名またはアドレスを示します。たとえば、10.1.1.1、10.1.1.1/32、10.1.1.1/255.255.255.255、net10 です。

ネットワーク オブジェクトを示している場合に限りクリック可能です。オブジェクトをクリックすると、オブジェクトの内容がポップアップ ウィンドウに表示されます。オブジェクトに含まれる送信元 IP アドレスまたはホスト名は、この規則を生成した Syslog の送信元 IP アドレスと一致する場合はポップアップ ウィンドウ内で強調表示されます。

[Destination]

ホストまたはネットワークの宛先ネットワーク/ホスト オブジェクト名またはアドレスを示します。

ネットワーク オブジェクトを示している場合に限りクリック可能です。オブジェクトをクリックすると、オブジェクトの内容がポップアップ ウィンドウに表示されます。オブジェクトに含まれる宛先 IP アドレスまたはホスト名は、この規則を生成した Syslog の宛先 IP アドレスと一致する場合はポップアップ ウィンドウ内で強調表示されます。

[Service]

プロトコルおよびポート情報を指定するサービス オブジェクトを示します。

サービス オブジェクトを示している場合に限りクリック可能です。オブジェクトをクリックすると、オブジェクトの内容がポップアップ ウィンドウに表示されます。インターフェイス オブジェクトに含まれるプロトコルおよびポートは、この規則を生成した Syslog のプロトコルと一致する場合はポップアップ ウィンドウ内で強調表示されます。ただし、強調表示されているエントリのこの機能は、TCP ベースおよび UDP ベースの規則に限りサポートされます。

[Interface]

インターフェイスの論理名(インターフェイスのロール)またはロールが割り当てられる物理インターフェイスを示します。

インターフェイス オブジェクトを示している場合に限りクリック可能です。オブジェクトをクリックすると、オブジェクトの内容がポップアップ ウィンドウに表示されます。ネットワーク/ホスト オブジェクトおよびサービス オブジェクトとは異なり、この規則を生成した Syslog のインターフェイス値と一致するフラット化インターフェイス オブジェクトはポップアップ ウィンドウ内で強調表示されません。

[Go to page]

ナビゲートするページ番号を選択します。ページ間をナビゲートするには、ドロップダウン リストの左右にある [Prev] および [Next] をクリックします。

[Rows per page]

アクセス規則テーブルの各ページに表示する行数を選択します。

[Transcript Details]

クリックすると、MARS で選択したイベントの未処理 Syslog および Security Manager で処理された後の Syslog の解析フォーマットに関する情報を表示するダイアログボックスが開き、その Syslog を生成したアクセス規則を検索できます。この詳細情報により、アクセス規則検索クエリーのタスクフローを理解できます。また、この詳細情報はエラーのトラブルシューティングに使用できる情報メッセージです。

[CS Manager Details]

クリックすると、サーバ名、Security Manager へのログインに使用したユーザ名、Workflow モードがイネーブルかどうか、シグニチャの詳細を取得するアクティビティを表示するダイアログボックスが開きます。

IPS シグニチャの読み取り専用 Security Manager ポリシー検索ページ

MARS GUI の [Cisco Security Manager Policy Query] ページを使用して、調査するインシデントをトリガーしたシグニチャを表示します。このページから、Security Manager クライアントを開いてシグニチャ パラメータを編集したり、イベント アクション フィルタを定義して特定のアクションをイベントから削除できます。

ナビゲーション パス

IPS シグニチャの読み取り専用ポリシー検索ページにアクセスするには、次のいずれかを実行します。

1. [Query/Reports] タブから、クエリー基準を満たすイベントまたはイベントに関連する未処理メッセージを返すクエリーを実行して [Query Results] ページを表示します。クエリー結果の [Reporting Device] カラムにある [Security Manager] アイコンをクリックします。

2. MARS GUI で、次のいずれかの方法で [Incident Details] ページにナビゲートします。

[Query/Reports] タブから、クエリー基準に一致するイベントを含むセッション数または送信バイト数でランク付けされたインシデントを返すクエリーを実行します。クエリー結果の [Incident ID] カラムにあるリンクをクリックします。

[Dashboard] の [Recent Incidents] セクションで、[Incident ID] カラム内のリンクをクリックします。

[Incidents] タブをクリックして、最近のインシデントが表示される [Incidents] ページにナビゲートし、[Incident ID] カラム内のリンクをクリックします。

該当するフィールドに ID を入力し、その横にある [Show] をクリックして、Incident ID を検索します。

シグニチャによって生成されたインシデントの [Incident Details] ページの [Reporting Device] フィールドにある [Security Manager] アイコンをクリックします。


) このページにはフィールド リファレンス テーブルに示されている以外の要素も含まれますが、これらの要素は読み取り専用か、または MARS の他のページへのナビゲートに使用します。シグニチャ ポリシー検索に固有のアクションを実行する際に使用する要素だけがテーブルに表示されています。

ページの上部に表示されるイベントの [Security Manager] アイコンをクリックしても、同じ内容でページがリフレッシュされるだけです。[Edit Signature] をクリックして Security Manager クライアントの [Signatures] ページにナビゲートする必要があります。このアイコンをクリックしても Security Manager クライアントは起動しません。


フィールド リファレンス

 

表 11-3 読み取り専用シグニチャ ポリシー検索ページ

要素
説明
[Cisco Security Manager Login]

[Reporting Applications] タブでシグニチャ規則の検索に Security Manager ログイン クレデンシャルの入力を要求するオプションを選択した場合に限り使用でき、Security Manager クレデンシャルはキャッシュされず、MARS データベースにも保存されません。

[User Name]

Security Manager にログインするためのユーザ名。

(注) 読み取り専用シグニチャ詳細ページから Security Manager クライアントを起動するには、ユーザに管理権限が必要です。管理権限がないと、[Edit Signature] または [Add Filter] をクリックしたときにエラー メッセージが表示されます。

[Password]

Security Manager にログインするためのパスワード。

[Submit]

認証に成功すると、入力されたクレデンシャルを Security Manager に送信し、同じページに読み取り専用シグニチャ パラメータを表示します。

[Save Credentials]

MARS の [Reporting Applications] タブで [Allow Users to Save Credentials] チェックボックスをオンにした場合に限り使用できます。

このチェックボックスをオンにすると、Security Manager クレデンシャルが MARS データベースに保存され、ポリシー検索時に再利用されます。これ以降、ポリシー検索中にクレデンシャルの入力を要求されません。

[Signature Details]

[Cisco Security Manager Login] セクションが表示される場合、MARS が Security Manager との認証を正常に完了した後でこのセクションが表示されます。それ以外の場合は、ポリシー クエリー検索ページが開いた直後にこの詳細情報が表示されます。

[Edit Signature]

クリックすると、Security Manager の [Signatures] ページが開きます。イベントを生成した IPS シグニチャがポリシー テーブル内で強調表示されます。

Security Manager クライアントのインスタンスがすでに開いている場合、同じインスタンスがアクティブになります。Security Manager クライアントがシステムにインストールされていない場合、Security Manager クライアントをインストールするように要求され、クライアント ソフトウェアをダウンロードするためのページが開きます。

[Add Filter]

Security Manager で [Add Event Action Filter] ダイアログボックスを開きます。[Actions to Subtract]、[% to Deny]、[Attacker Address]、[Attacker Port] フィールドに MARS イベントから取得された値が読み込まれます。残りのフィールドにはデフォルト値が表示されます。

[Signature ID]

このシグニチャに割り当てられた一意の数値を示します。シグニチャ ID には Cisco Network Security Database(NSDB)へのハイパーリンクが含まれます。[ID] カラムのリンクをクリックすると、そのシグニチャのセキュリティ センター(MySDN)内のエントリを開く外部ブラウザ ウィンドウが開きます。

[Signature Parameters]

特定のシグニチャの組み込みマイクロエンジン パラメータを表示します。これらのパラメータによってシグニチャの設定および着信パケットへの適用方法が決まります。

[Parameters] オプションの横の [+] アイコンをクリックすると、ツリーが展開されて使用可能なシグニチャ パラメータが表示されます。展開されたリスト内の項目の横に [+] アイコンが表示される場合、そのパラメータにはさらに使用可能なオプションがあります。

[CS Manager Details]

クリックすると、サーバ名、Security Manager へのログインに使用したユーザ名、Workflow モードがイネーブルかどうか、シグニチャの詳細を取得するアクティビティを表示するダイアログボックスが開きます。