第2章 レポート デバイスおよび軽減デバイスの概要
Local Controller の初期設定を完了したら(『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』 を参照)、ネットワークで使用するモニタリング方針を決定する必要があります。また、MARS の軽減機能を利用する場合は、軽減方針も決定する必要があります。モニタリングおよび軽減に関する方針を決定する手順については、「STM タスク フローの概要」を参照してください。
この章では、企業レベルでポリシーを決定し、プロビジョニング フェーズのチェックリストに従って作業中であると想定しています。この章の内容は、次のとおりです。
・
レポート デバイスおよび軽減デバイスの選択および設定に関するガイダンス
・MARS がサポートする動作レベルの説明
・Local Controller にデバイスを追加する方法の選択に関するガイダンス
・大量のデータを収集する機能の説明
具体的な内容は、次のとおりです。
・ 「動作レベル」
・ 「アクセス IP、レポート IP、およびインターフェイス設定の概要」
・ 「サードパーティ製アプリケーションと MARS の統合」
レポート デバイスを認識するように MARS アプライアンスを設定する場合は、MARS で可能な動作レベルを把握しておく必要があります。
動作レベル
MARS は、レポート デバイスから収集されたデータのタイプと、このようなデータによって可能になるシステム上の機能に基づいて 3 つの異なるレベルで動作します。これらのレベルで重要になるのは、エンドツーエンドの攻撃を識別する機能です。これらの機能は、特定のタイプのレポート デバイスによって可能になる機能とは区別されます。
・Basic — このレベルの場合、MARS はスマートな Syslog サーバと同様に機能します。MARS はレポート デバイスのログを収集し、基本的なクエリーおよびレポート機能をサポートします。Basic 動作をイネーブルにするには、MARS アプライアンスの初期設定を完了する必要があります(『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』を参照)。また、レポート デバイスのデバイス名およびレポート IP アドレスを指定する必要があります(「レポート デバイスおよび軽減デバイスの追加」を参照)。
・Intermediate — このレベルの場合、MARS はイベントを処理し、IP アドレス レイヤで NAT(ネットワーク アドレス変換)や PAT (ポート アドレス変換)を解決するなど、セッションベースの相関付けを実行します。Intermediate 動作をイネーブルにするには、モニタ対象デバイスに関する詳細(アクセス IP アドレス、管理アクセス パスワード、OS プラットフォームとバージョン、および稼働しているサービスとアプリケーションなど)を指定する必要があります(「IP 管理」を参照)。
・Advanced — このレベルは、MARS アプライアンスが完全にイネーブル化された状態です。Advanced 動作がイネーブルな場合、MARS アプライアンスは、完全なトポロジーの検出と表示、および攻撃パスの割り出しを行い、また、攻撃に関係したホストの MAC(メディア アクセス制御)アドレス検索を可能にします。Advanced 動作をイネーブルにするには、ネットワークの SNMP(簡易ネットワーク管理プロトコル)コミュニティ ストリング情報を指定する必要があります。トポロジー検出もイネーブルにする必要があります(「トポロジー更新のスケジュール」で定義)。
表 2-1 に、レベル、設定要件、および各レベルで可能な機能の概要を示します。
モニタ対象デバイスの選択
いずれのモニタリング方針においても、モニタ対象デバイスのタイプ、および MARS アプライアンスに提供するデータ量を決定します。ホスト、ゲートウェイ、セキュリティ デバイス、サーバなど、ネットワーク上のすべてのデバイスは、セキュリティ インシデントの識別精度を高めるために MARS で使用可能な一定のデータを提供できます。ただし、提供するデータを慎重に検討し、不必要または冗長なイベント相関付けやイベント分析を MARS で実行しないようにすることで、攻撃識別の応答時間を短縮することができます。不要なロギングおよびレポート作成がレポート デバイスで実行されることも、ネットワークの効率低下の一因になります。
各ネットワーク セグメントを分析して、実現可能かつ最もデータが豊富になるような組み合わせを見つけるとともに、設定を確認および調整して冗長データを削減することを推奨します。
モニタリング方針を決定する際には、モニタリングの背後の目標を決定する必要もあります。それは単に攻撃を検出することでしょうか。攻撃を検出し、軽減することでしょうか。あるいは、適合規格を遵守することでしょうか。ユーザの目標は、モニタする必要のあるデバイス、およびこれらのデバイスで設定する必要のある機能に影響します。
次のように明確な目標を設定します。
・攻撃の検出
・攻撃の検出および軽減
・適合規格の遵守
・完全な Network Admission Control(NAC)対応
・同じネットワーク セグメント上で重複しているデバイス/機能ペアの特定。使用するデバイスを絞ると、重複が減少したり、デバイスのパフォーマンスが向上したりします。
最後に、モニタリング方針に沿ったイベント調整方式を検討する必要があります。MARS の調整方法は、特定のタイプのモニタ対象デバイス数に比例して増加する全体的な運用コストに影響します。基本的には、使用可能な帯域幅がある場合、MARS アプライアンスでイベントを調整することを推奨します。そうすると、ネットワーク内の一箇所での調整によって運用コストを削減することができます。ただし、帯域幅に余裕がない場合は、レポート デバイス レベルでイベント伝播を調整し、イベントのネットワークへの流入を防止することもできます。
表 2-2 に、デバイス タイプと、各タイプが提供できる情報、およびネットワーク内のこれらのデバイスの推奨設定方法を示します。
アクセス IP、レポート IP、およびインターフェイス設定の概要
HTML インターフェイスでレポート デバイスまたは軽減デバイスを定義する場合は、MARS で複数の IP アドレスを指定できます(場合によっては、指定する必要があります)。複数のアドレスを指定する目的を理解することは、モニタおよび管理対象デバイスを効果的に定義する上で重要です。また、識別可能なその他の設定との関係を理解する上でも重要です。
デバイスにインターフェイスが 1 つ装備されていて、このインターフェイスに単一の IP アドレスが対応付けられている場合、アクセス IP アドレスおよびレポート IP アドレスは、このインターフェイスに割り当てられたアドレスと同じです。MARS はこの情報を個別に収集して、複数のインターフェイス、単一インターフェイスに対応付けられた複数の IP アドレス、またはその両方を備えたデバイスをサポートします。
注 すべてのレポート デバイスが、アクセス IP アドレスと報告元 IP アドレスを両方ともサポートするとはかぎりません。デバイスによっては、アクセス IP アドレスのみを使用して、必要な情報をデバイスに問い合わせます(QualysGuard セキュリティ サービスなど)。MARS によって検出できる設定を持たず、MARS によって処理されるイベントメッセージのみを生成するデバイスもあります(NetCache アプライアンスなど)。また、インターフェイスの定義を必要としないデバイスもあります。
ここでは、2 種類のアドレス、およびこれらのアドレスとその他の設定との関係について説明します。
アクセス IP
MARS は、デバイスと接続してネットワークベース管理セッションを行う場合や、デバイス設定を含むファイルが格納されたリモート サーバに接続する場合に、アクセス IP アドレスを使用します。予測されるアドレス値は、ユーザが選択したアクセス タイプによって決まります。ほとんどのデバイスでは、ユーザがこれらを管理できるホストの IP アドレスを明示的に指定する必要があります。デバイスを準備する際に、このようなホストのリストに MARS アプライアンスを含める必要があります。
MARS がデバイスとの接続に使用するプロトコルは、アクセス タイプ値によって定義されます。アクセス タイプ値は、管理アクセスをイネーブルにするときに設定されます。MARS に管理アクセスが設定されている場合は、ARP テーブル、NAT、ルート、アクティブ ACL などの設定を含む、デバイス検出を実行できます。これらの設定はすべて、MARS がトポロジーを認識し、攻撃パスを分析し、フォールス ポジティブ インシデントを識別する場合に役立ちます。アクセス タイプを使用すると、さまざまなレベルの検出を実行できます。詳細については、「アクセス タイプの選択」を参照してください。
また、MARS は SNMP RO および SNMPwalk を使用して、デバイス設定およびトポロジー情報を検出します。ただし、2 つの検出方法は異なっていて、必要な情報も異なります。SNMPwalk では、アクセス IP アドレスおよび SNMP アクセス タイプが必要です。SNMP RO 検出では、SNMP アクセス タイプは不要ですが、アクセス IP アドレスは必要です。
注 MARS は SNMP RO コミュニティ ストリング内で '(一重引用符)、"(二重引用符)、<(小なり記号)、および >(大なり記号)をサポートしません。
また、SNMPwalk と SNMP RO は両方とも SNMP 通知または SNMP トラップに関係しません。SNMPwalk および SNMP RO を使用するには、MARS が情報要求を開始する必要があります。この場合、SNMP 通知はレポート デバイスによってパブリッシュされるイベント通知であるため、Syslog メッセージとほぼ同様に機能します。Syslog メッセージの場合と同様に、SNMP 通知はレポート IP アドレスを介してパブリッシュされます。
レポート IP
レポート IP は、デバイスから送信されるイベント メッセージ、ログ、通知、またはトラップの送信元 IP アドレスです。MARS はこのアドレスを使用して、受信したメッセージを正しいデバイスに対応付けます。シングルホーミング デバイスの場合、レポート IP アドレスはアクセス IP と同じです。デュアルホーミングまたはマルチホーミング デバイスの場合、このアドレスをレポート デバイス上で稼働する Syslog、NetFlow、および SNMP サービスに明示的に対応付ける必要があります。ほとんどのデバイスでは、メッセージ タイプごとに、メッセージのパブリッシュ先となるホストの IP アドレスを明示的に指定する必要もあります。一般に、これらのホストはターゲット ログ サーバといいます。デバイスを準備する際に、このようなホストのリストに MARS アプライアンスを含める必要があります。
MARS でのレポート IP アドレスの役割は、アクセス IP アドレスの役割と異なり、レポート IP アドレスは MARS 側から見てパッシブに処理されます。MARS はデバイスを照会するときに、レポート IP アドレスを使用しません。照会は、アクセス IP アドレスとアクセス タイプを使用して実行されます。
MARS では、デバイスごとにレポート IP アドレスが 1 つのみ許可されます。NetFlow と Syslog など、2 つのメッセージ フォーマットをサポートしているデバイスの場合は、両方のメッセージ フォーマットが同じ送信元 IP アドレス(レポート IP)にバインドされていることを確認する必要があります。Cisco IOS デバイスでは、この一般的な関連付けがデフォルトでないため、互いに一致するように Syslog または NetFlow のレポート IP アドレスを変更する必要があります。複数のメッセージ タイプが共通の IP アドレスから送信されていない場合は、これらの 1 つが、報告されていないデバイスから送信されたとみなされ、MARS はこれらのイベントを解析しません。
サポート対象のイベント データ フォーマットは、レポート デバイスによって異なります。デバイスが Syslog、NetFlow、および SNMP 通知を生成できるだけでは、MARS が 3 つのフォーマットをすべて処理することにはなりません。各デバイス タイプでサポートされているイベント検索プロトコルについては、『Supported Devices and Software Versions for Cisco Security MARS Local Controller 4.1.x』を参照してください。
インターフェイス設定
インターフェイス設定は、ホストおよびホストで稼働するソフトウェア アプリケーションに限定されます。MARS はホストで稼働するソフトウェア アプリケーションであるレポート デバイスの設定を検出できますが、ホスト自体の設定は検出できません。MARS におけるインターフェイス設定には、アクセス IP アドレスおよびレポート IP アドレスの場合とは異なる役割があります。インターフェイス設定はホストに関する静的な情報であり、検出または学習された情報ではありません。
ホストまたはホストで稼働するレポート デバイスの固有のイベントを相関付ける場合、MARS はホストに装備されたインターフェイス数、これらのインターフェイスの名前、IP アドレス、およびこれらの IP アドレスに関連付けられたネットワークを知る必要があります。MARS はインターフェイス設定に基づいて検出を行い、攻撃パス ベクトルの判別や、Nessus 脆弱性評価を実行します。
アクセス タイプの選択
アクセス タイプは、MARS がレポート デバイスまたは軽減デバイスにアクセスする場合に使用する管理プロトコルです。MARS でモニタされるほとんどのデバイスで、管理アクセス プロトコルを次の 4 つの中から選択できます。
・SNMP — SNMP アクセスを使用すると、保護された接続を使用してデバイスに管理アクセスを実行できます。また、SNMPwalk を使用して、ルート、接続されたネットワーク、ARP テーブル、アドレス変換などの設定を検出できます。読み書きアクセス権が設定されている場合は、MIB2 をサポートする L2 デバイスでの軽減が許可されます。
・Telnet — Telnet を使用すると、保護されていない接続を使用してデバイスに完全な管理アクセスを実行できます。また、ルート、接続されたネットワーク、ARP テーブル、アドレス変換などの設定を検出できます。L2 デバイスでの軽減も許可されます。
・SSH — SSH を使用すると、保護された接続を使用してデバイスに完全な管理アクセスを実行できます。また、ルート、接続されたネットワーク、ARP テーブル、アドレス変換などの設定を検出できます。L2 デバイスでの軽減も許可されます。Distributed Threat Mitigation(DTM)がサポートされる場合は、このアクセス方法を推奨します。ただし、Telnet アクセスでも同じ結果を得ることができます。
・FTP — FTP を使用すると、ルータの実行コンフィギュレーション ファイルのコピーに MARS からアクセスできるため、設定がパッシプに検出されます。軽減、DTM、または NAT や ARP テーブルなどの動的設定検出はサポートされません。また、Cisco ASA や FWSM などの デバイス タイプに対して FTP アクセスを選択した場合は、管理コンテキストの設定しか検出できません。このアクセス方式は、最も推奨されない、最も限界があるアクセス方式です。FTP アクセスによる設定検出をイネーブルにするには、MARS アプライアンスのアクセス先となる FTP サーバ上にデバイスのコンフィギュレーション ファイルのコピーを格納する必要があります。この FTP サーバでは、ユーザ認証をイネーブルにする必要があります。
注 TFTP はサポートされていません。FTP サーバを使用する必要があります。
どのアクセス方式も SNMP RO コミュニティ ストリングと併用できます。アクセス IP とレポート IP の区別は、FTP アクセス タイプの例で明確に示されています。ここでは、ルータへの SNMP RO アクセスが許可されているが、設定検出(アクセス タイプ)が FTP サーバに格納されたファイルに限定されているとします。
MARS でデバイスを定義する場合、アクセス IP は FTP サーバ(ルータではない)の IP アドレスです。FTP サーバへのアクセスには認証情報が使用されます。アクセス方式は FTP に設定されます。レポート IP は、SNMP トラップがルータからパブリッシュされるときに経由するインターフェイスの IP アドレスです。
以降のトピックでは、各アクセス タイプの設定方法と、特定のアクセス タイプを選択した場合に入力する必要があるフィールドについて説明します。効率化を図るために、特定のデバイス設定に関するトピック全体で、ここに記載された手順を参照します(これらのトピックは、特定のデバイス タイプに関連しているためです)。
・ 「MARS のデバイスに対する SNMP アクセスの設定」
・ 「MARS のデバイスに対する Telnet アクセスの設定」
・ 「MARS のデバイスに対する SSH アクセスの設定」
・ 「MARS のデバイスに対する FTP アクセスの設定」
MARS のデバイスに対する SNMP アクセスの設定
この手順では、レポート デバイスまたは軽減デバイスの定義を行っていて、Access Type リストで SNMP を選択済みであることが前提となります。アクセス タイプとして SNMP を選択するには、MARS に SNMP 読み書きアクセス権を設定する必要があります。
注 SMPO RO ストリングをイネーブルにする場合は、SNMP アクセス タイプは不要です。実際には、SNMP RO をサポートする場合は、アクセス タイプは不要です。SNMP RO は共有された読み取り専用コミュニティ ストリングを使用します。SNMP アクセス タイプと異なり、読み書きコミュニティ ストリングは不要です。
アクセス タイプとして SNMP を選択した場合の手順は、次のとおりです。
ステップ 1 Login フィールドに、レポート デバイスにアクセスする際に使用する管理アカウントのユーザ名を入力します。
ステップ 2 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 3 このデバイスがイネーブル モードをサポートしている場合は、Enable Password フィールドにパスワードを入力します。
MARS のデバイスに対する Telnet アクセスの設定
この手順では、レポート デバイスまたは軽減デバイスの定義を行っていて、Access Type リストで TELNET を選択済みであることが前提となります。
アクセス タイプとして TELNET を選択した場合の手順は、次のとおりです。
ステップ 1 Login フィールドに、レポート デバイスにアクセスする際に使用する管理アカウントのユーザ名を入力します。
ステップ 2 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 3 このデバイスがイネーブル モードをサポートしている場合は、Enable Password フィールドにパスワードを入力します。
MARS のデバイスに対する SSH アクセスの設定
この手順では、レポート デバイスまたは軽減デバイスの定義を行っていて、Access Type リストで SSH を選択済みであることが前提となります。
アクセス タイプとして SSH を選択した場合の手順は、次のとおりです。
ステップ 1 Access Type リストの右にあるリスト ボックスで、MARS アプライアンスとレポート デバイス間の SSH セッションの暗号方式として 3DES、DES、または BlowFish を選択します。
ステップ 2 Login フィールドに、レポート デバイスにアクセスする際に使用する管理アカウントのユーザ名を入力します。
ステップ 3 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 4 このデバイスがイネーブル モードをサポートしている場合は、Enable Password フィールドにパスワードを入力します。
MARS のデバイスに対する FTP アクセスの設定
この手順では、レポート デバイスまたは軽減デバイスの定義を行っていて、Access Type リストで FTP を選択済みであることが前提となります。
アクセス タイプとして FTP を選択した場合の手順は、次のとおりです。
ステップ 1 Login フィールドに、レポート デバイスのコンフィギュレーション ファイルにアクセスする際に使用する FTP サーバ アカウントのユーザ名を入力します。
ステップ 2 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 3 Config Path フィールドに、FTP サーバ上にあるレポート デバイスのコンフィギュレーション ファイルのパスを入力します。
このパスの起点は、サーバのルート ディレクトリでなく、FTP サーバのパブリッシュ済みフォルダのルートです。
ステップ 4 File Name フィールドに、FTP サーバ上にあるレポート デバイスのコンフィギュレーション ファイルの名前を入力します。
注 FTP を選択した場合は、イネーブル パスワードは入力できません。
ブートストラップの概要
表 2-3 に、レポート デバイスおよび軽減デバイスに指定する必要のある設定値の概要を示します。必要なエージェント ダウンロードおよび詳細な設定情報へのリンクも示します。
|
デバイス タイプ/名前 |
ブートストラップの概要 |
参照先 |
|---|---|---|
|
ルータ/スイッチ | ||
|
シスコ製ルータ |
1. 2. 3. 4. 5. |
|
|
シスコ製スイッチ(IOS) |
||
|
シスコ製スイッチ(CatOS) |
||
|
Extreme ExtremeWare |
1. 2. 3. 4. |
|
|
汎用ルータ |
||
|
ファイアウォール デバイス | ||
|
Cisco PIX |
1. 2. 3. 注 4. |
|
|
Cisco Adaptive Security Appliance(ASA) | ||
|
Cisco Firewall Services Module(FWSM) | ||
|
Cisco IOS ファイアウォール フィーチャ セット |
||
|
Juniper Netscreen |
||
|
Checkpoint Opsec NG および Firewall-1 |
1. 2. 3. 4. 5. |
|
|
Nokia Firewall(Checkpoint が稼働) | ||
|
VPN デバイス | ||
|
Cisco VPN コンセントレータ |
||
|
ネットワーク IDS | ||
|
Cisco ネットワーク IDS Cisco IDSM |
1. 2. ・ ・ ・ |
|
|
Cisco Intrusion Prevention System(IPS)、Network IPS |
1. 2. ・ ・ ・ |
|
|
Cisco IPS ASA モジュール |
1. 2. ・ ・ ・ |
|
|
Cisco IOS IPS モジュール |
1. 2. ・ ・ ・ |
|
|
McAfee Intrushield |
||
|
Juniper Netscreen IDP |
||
|
Symantec Manhunt |
||
|
ISS RealSecure |
||
|
Snort |
||
|
Enterasys Dragon |
||
|
ホスト IDS | ||
|
Cisco Security Agent |
||
|
McAfee Entercept |
||
|
ISS RealSecure Host Sensor |
||
|
アンチウイルス | ||
|
Symantec AntiVirus |
||
|
Cisco Incident Control System(Cisco ICS)、Trend Micro Outbreak Prevention Service(OPS) |
||
|
McAfee ePolicy Orchestrator |
||
|
Network Associates VirusScan |
||
|
脆弱性評価 | ||
|
eEye REM |
||
|
Qualys QualysGuard |
||
|
Foundstone Foundscan |
||
|
ホスト オペレーティング システム | ||
|
Windows |
次のいずれかを実行します。 ・ ・ |
MS-RPC を使用した Syslog(SNARE エージェントによってプッシュ済み)またはイベント データのプル 「プッシュ方式:汎用 Microsoft Windows ホストの設定」 |
|
Solaris |
— |
Syslog(デバイスから) |
|
Redhat Linux |
— |
Syslog(デバイスから) |
|
Web サーバ | ||
|
Microsoft Internet Information Server |
— |
Syslog(SNARE エージェント) |
|
Sun iPlanet |
— |
HTTP(MARS エージェントから) |
|
Apache |
— |
HTTP(MARS エージェントから) |
|
Web プロキシ | ||
|
NetApp NetCache |
— |
HTTP |
|
データベース サーバ | ||
|
Oracle |
TCP |
SQLnet(ホストから) |
|
AAA サーバ | ||
|
Cisco Secure Access Control Sever(ACS) |
— |
Syslog(MARS エージェントから) 「PN ログ エージェントのインストールおよび設定」(Cisco Secure ACS) |
|
Cisco Secure ACS アプライアンス |
リモート ログ エージェントをインストールして、設定します。 |
セカンダリ ホストの Syslog(MARS エージェントから) 「Cisco Secure ACS ソリューション エンジンのサポート」 「PN ログ エージェントのインストールおよび設定」(Cisco Secure ACS) |
|
SNMP および Syslog サーバ | ||
|
汎用 Syslog サーバ |
MARS アプライアンスに Syslog メッセージをパブリッシュします。 MARS アプライアンスからの SNMP アクセスをイネーブルにします。 |
|
|
汎用 SNMP サーバ |
MARS アプライアンスからの SNMP アクセスをイネーブルにします。 |
|
レポート デバイスおよび軽減デバイスの追加
MARS にレポート デバイスおよび軽減デバイスを追加する方法は 3 つあります。
・デバイスを手動で 1 つずつ追加する。
・シード ファイルを使用して、複数のデバイスを追加する。
・SNMP RO コミュニティ ストリングを使用して、デバイスを自動的に検出する。
Security and Monitor Devices ページで、MARS がモニタするレポート デバイスおよび軽減デバイスを追加したり、編集したりすることができます。このページにアクセスするには、Admin > Security and Monitor Devices の順にクリックします。デバイスを検索、追加、編集、削除したり、表示ステータスを変更したり、シード ファイルからロードしたりすることができます。
デバイス サポートは 3 つのカテゴリに分類されます。
・ハードウェアベース セキュリティ デバイス — ルータ、スイッチ、およびその他の専用セキュリティ アプライアンス。このようなレポート デバイスを追加するには、該当するデバイスを選択します。
・ソフトウェアベース セキュリティ デバイス — 専用アプライアンスでなく、ホスト上にあるアプリケーション。新しいホストにレポート デバイスを追加するには、Add SW security apps on new host を選択します。既存ホストにレポート デバイスを追加するには、Add SW security apps on existing host を選択します。
・オンデマンド セキュリティ サービス — 中央の Security Operations Center(SOC)とリモート モニタリング ノードを使用してベンダーから提供されるサブスクリプションベース サービス。Qualys QualysGuard などのこれらのサービスから、MARS は定期的にデータをプルします。このようなレポート デバイスを追加するには、該当するサービスを選択します。これらのデバイスでは、データをプルするためのスケジュールを定義する必要もあります(「トポロジー更新のスケジュール」を参照)。
サポート対象デバイスの完全なリストについては、『Supported Devices and Software Versions for Cisco Security MARS Local Controller 4.1.x』を参照してください。デバイスはソフトウェア アップグレード パッケージを通じ、このリストに継続的に追加されます。MARS アプライアンスのアップグレード方法については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』を参照してください。
Syslog または SNMP デバイスが MARS のサポート対象デバイス リストに含まれていない場合でも、MARS はこれらのデバイスをすべてをサポートできます。Syslog または SNMP デバイスをネットワーク トポロジーに追加して、MARS にデータを報告するように設定したり、フリー フォーム クエリーを使用して問い合わせたりすることができます(「フリー フォーム クエリーの実行方法」を参照)。
デバイスの追加方法については、以下を参照してください。
・ 「シード ファイルを使用した複数のレポート デバイスおよび軽減デバイスの追加」
・ 「自動トポロジー検出を使用したレポート デバイスおよび軽減デバイスの追加」
どの方法でデバイスを追加しても、次のタスクも実行する必要があります。
レポート デバイスおよび軽減デバイスの個別の追加
一般に、MARS にモニタ対象デバイスを追加する方法は 2 つあります。1 つはシード ファイルを作成する方法、もう 1 つは各デバイスを手動で追加する方法です。シード ファイルがサポートされているのは、いくつかのデバイス タイプのみです(カラム E を参照)。
デバイスを手動で設定する場合は、関連性が最も高いデバイスを選択します。デバイスを追加したあとも、必要に応じて前の手順に戻り、編集することができます。ネットワーク上の単一のセキュリティ デバイスを追加または変更する場合も、手動設定が便利です。
注 デバイス設定情報のすべてを一度に追加する必要はありません。最初は、デバイスの名前およびアクセス IP アドレスを追加してください。MARS が報告を開始したあとで、いつでも前の手順に戻って、詳細を入力することができます。
デバイスを手動で追加する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 リストでデバイスを選択します。
ステップ 3 デバイスと通信するために必要な情報を入力します。
ステップ 4 Submit をクリックします。
ステップ 5 MARS がこのデバイスから着信したイベントを正常に処理するには、デバイスを追加したあとに、Activate をクリックする必要があります。詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。
デバイスの編集
ステップ 1 デバイスの横にあるチェックボックスをオンにします。
ステップ 2 デバイスの設定を編集します。
ステップ 3 Submit をクリックします。
デバイスの削除
MARS でレポート デバイスを定義すると、このデバイスが HTML インターフェイスの 2 つの異なるページに追加されます。それらのページは、ユーザがこれを定義した場所、つまり Admin > Security and Monitoring Devices ページと、Management > IP Management の汎用デバイス ID ページです。表示が重複しているのは、各ページの用途が違うためです。
Security and Monitoring Devices ページでは、連絡先およびデバイス タイプ情報を設定します。一方、IP Management ページは、既知のデバイスと不明デバイスを相関付けるためのパーサー モジュールで使用されます。一般に、Security and Monitoring Device ページからデバイスを削除しても、デバイスは IP Management ページから削除されません。MARS 内に残された該当するデバイスに関する情報を利用することにより、過去のインシデント、イベント、およびケースを既知のデバイスに関連付けることができます。
注 デバイスを削除すると、過去のインシデントおよびイベントと IP アドレスとの対応付けはすべて解除されます。つまり、デバイスを削除した場合は、あとでそのデバイスを再度追加したとしても、そのデバイスに関する過去のイベントは検索できなくなります。
ただし、MARS からデバイスを削除して、再度追加する必要がある場合は、両方のページからデバイスを削除したあとで、再度追加する必要があります。
また、ネットワークで検出されたデバイスは、IP Management ページのデバイス リストに追加されます。レポート デバイスを追加する必要があるにもかかわらず、追加できない場合は、IP Management ページのデバイス リストを調べて、このデバイスが自動的に読み込まれていないことを確認します。自動的に読み込まれている場合は、まずこのデバイスを削除してから、Security and Monitoring Devices ページにレポート デバイスとして追加する必要があります。
デバイスを削除する手順は、次のとおりです。
ステップ 1 次のページのいずれかを選択します。
・Admin > Security and Monitoring Devices
・Management > IP Management
ステップ 2 削除する各デバイスの横にあるチェックボックスをオンにします。
ステップ 3 Delete をクリックします。
ステップ 4 確認ページで、Submit をクリックします。
選択したページからデバイスが削除されます。
表示されたすべてのレポート デバイスの削除
この手順は、Admin > Security and Monitoring Devices ページから実行できます。
ページに表示されたデバイスをすべて削除する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitoring Devices で、テーブルの左上にある Device Name カラム見出しの左にあるチェックボックスをオンにします。
表示されたデバイスがすべて選択されます。
ステップ 2 Delete をクリックします。
ページが表示され、デバイス リストの削除に対する確認が要求されます。
ステップ 3 Submit をクリックして、選択したデバイスをすべて削除します。
シード ファイルを使用した複数のレポート デバイスおよび軽減デバイスの追加
シード ファイルは、ファイル拡張子が .csv(カンマ区切り値)のカンマ区切りファイルです。ほとんどの表計算プログラムでは、ファイルを CSV ファイルとしてインポートおよびエクスポートすることができます。
次に、一般的な表計算プログラムからエクスポートされたシード ファイルの例を示します。
10.1.1.1,,,,PIX,TELNET,,,cisco,,,,,,,,,,, 192.168.229.241,,,,IOS,TELNET,,,csRv$12*,EcsRv$12$,,,,,,,,,, 10.1.1.83,,,,PIX,SSH,pix,Vpnspn12,,vPfw1ne,,,,,,,,,, 192.168.151.169,,,,PIX,SSH,pix,lpt$12,,pot$1*d1,,,,,,,,,, 10.4.2.4,,,,NETSCREEN,SSH,netscreen,nt*$scn25,,,,,,,,,,,, 10.4.2.3,,,,NETSCREEN,SSH,netscreen,nt*$scn10,,,,,,,,,,,, 10.1.1.241,,,,IOS,TELNET,,,cisco,cisco,,,,,,,,,, 10.4.2.1,,,,IOS,TELNET,,,Qa$1*5ft,gt$*j15,,,,,,,,,, 10.4.2.2,,,,IOS,TELNET,,,Qa$1*5ft,gt$*j15,,,,,,,,,,
CSV ファイルを使用すると、適切な行およびカラムに、MARS アプライアンスでモニタする各デバイスの値、パスワード、および情報を入力できます。シード ファイルは、MARS アプライアンスでほとんどのデバイスのイベント データ処理を開始する場合に便利ですが、Admin > Security and Monitoring Devices ページを使用してデバイスを手動で微調整しなければならないことがあります。また、シード ファイルを使用して、追加するデバイスをアクティブにする必要もあります(「レポート デバイスおよび軽減デバイスのアクティブ化」を参照)。
シード ファイル ヘッダーのカラム
表 2-4 に、シード ファイルのカラムおよび有効値を示します。カラムに値を入力しない場合は、カンマを入力して、そのカラムに値を入力しないことを示す必要があります。
注 デバイス設定情報のすべてを一度に追加する必要はありません。最初は、デバイスの名前およびアクセス IP アドレスを追加してください。MARS が報告を開始したあとで、いつでも前の手順に戻って、詳細を入力することができます。
|
カラム |
入力値 |
|---|---|
|
カラム A |
デバイスの名前または IP アドレス |
|
カラム B |
デバイスの SNMP RO コミュニティ名 注 |
|
カラム C および D |
2 つの空のプレースホルダ カラム |
|
カラム E |
デバイス タイプ識別子 注 目的のデバイス タイプを表すには、次のストリングを使用します。 ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ 注 |
|
カラム F |
このデバイスのアクセス タイプ。選択できるタイプは、次のとおりです。 ・ ・ ・ ・ ・ RPC の場合は、ユーザ名フィールド(カラム G)に値を入力する必要があります。パスワードは、カラム H に入力できます。RPC アクセス タイプおよびユーザ名を指定すると、デフォルトの RECEIVE フラグのほかに、PULL フラグがバックグラウンドで設定されます。 |
|
カラム G |
TELNET、SSH、FTP、または RPC ユーザ名。このカラムは、カラム F で TELNET、SSH、または FTP を指定した場合のみ有効です。 |
|
カラム H |
デバイスの SSH または FTP パスワード。このカラムは、カラム F で SSH、または FTP を指定した場合のみ有効です。 |
|
カラム I |
デバイスの Telnet パスワード |
|
カラム J |
イネーブル パスワード(FWSM、PIX、または IOS デバイスの場合のみ適用可能) |
|
カラム K 〜 S |
9 つの空のプレースホルダ カラム |
|
カラム T |
FTP ファイルの場所。この場所の起点は、sysroot でなく FTP ルートです。たとえば、ファイルが |
シード ファイルからのデバイスのロード
シード ファイルを完成させたら、このファイルをアップロードする FTP サーバに CSV ファイルをロードする必要があります。
ファイルを MARS にロードする手順は、次のとおりです。
ステップ 1 ADMIN > Security and Monitor Devices > Load From Seed File の順にクリックします。
ステップ 2 FTP サーバの IP アドレス、FTP サーバ用ユーザ名およびパスワード、シード ファイルのパスおよびファイル名を入力します。
FTP パスの起点は、コンフィギュレーション パスの sysroot でなく FTP ルートです。
ステップ 3 Submit をクリックします。
シード ファイルからデバイスをロードしたら、各デバイスの設定に戻ります。引き続き、レポート IP アドレスや SNMP 情報などの情報を追加します。
ステップ 4 MARS がこのデバイスから着信したイベントを正常に処理するには、デバイスを追加したあとに、Activate をクリックする必要があります。詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。
自動トポロジー検出を使用したレポート デバイスおよび軽減デバイスの追加
Admin ページの Topology Discovery Information セクションの下に、レポート デバイスおよび軽減デバイスの自動検出に必要な設定を定義するためのリンクが 3 つあります。これらのリンクは次のとおりです。
・Community String and Networks — ネットワークまたは IP 範囲ごとに SNMP RO コミュニティ ストリングを定義できます。ネットワークおよび SNMP RO ストリングは同じにすることができます。少なくとも 1 つの SNMP ストリングを定義してから、検出を試行する必要があります。
・Valid Networks — 検出するネットワークと IP 範囲のセットを定義できます。1 つまたは複数の SNMP ターゲットを定義する必要もあります。SNMP ターゲットが定義されていない場合は、SNMP ターゲットとして MARS 自身のゲートウェイが使用されます。SNMP ターゲットには、SNMP RO コミュニティ ストリングが定義され、検出が許可されているレイヤ 3 デバイス(ルータまたはファイアウォールなど)を指定する必要があります。また、スケジュール規則を使用して検出を分離する場合は、ネットワークごと、または範囲ごとにこれらを定義する必要があります。少なくとも 1 つの有効なネットワークを定義してから、検出を試行する必要があります。
・Topology/Monitored Device Update Scheduler — 検出にとって必須ではありませんが、トポロジー検出頻度を高めたり、特定のスケジュール規則に基づいて検出の深さを調整したりすることができます。デフォルトでは、有効なすべてのネットワークに対して 1 か月に一度、トポロジー検出が実行されます。有効なネットワークが定義されていない場合でもプロセスは起動しますが、有効なネットワークが定義されていないことを確認したら、終了します。各スケジュール規則では、この規則で同様に指定された頻度に従って検出する必要があるネットワーク(有効なネットワークおよび範囲のリストの定義に従う)を選択することができます。通常は接続されたネットワークが複数存在するため、自動検出の対象にしないネットワークごとに異なるスケジュール規則を設定することにより、検出対象ネットワークを調整することができます。
MARS はスケジュール規則で定義されたネットワークに基づいて、これらのネットワークまたは範囲(Valid Networks で定義)に対応する最初の SNMP ターゲットから処理を開始し、SNMP 検出を使用してこのデバイスを検出しようとします。この検出プロセスは、ターゲット デバイスが追加ルートを提供し、これらのルートのアドレスが別のスケジュール規則内で定義されたネットワークの一部となっているかぎり、継続されます。このプロセスは、定義された各 SNMP ターゲットごとに繰り返されます。検出プロセス全体は、ネットワーク単位で定義されたスケジュール規則の境界ネットワーク、SNMP ターゲット、有効なネットワークと IP 範囲、および SNMP RO コミュニティ ストリングに基づいて制限されます。ネットワークおよび SNMP RO コミュニティ ストリングには同じ値を設定できます。この場合、MARS はこのネットワーク内で検出されたゲートウェイ アドレスに対して、各ストリングを試行します。この検出プロセスで検出されるのは、ルータやファイアウォールなどのレイヤ 3 ゲートウェイ デバイスのみです。スケジュール規則内のターゲットとして明示的に定義されていないホストは、検出されません(「トポロジー更新のスケジュール」を参照)。
検出プロセスで識別されたサポート対象のレポート デバイスおよび軽減デバイスは、Monitoring and Security Devices リスト(Admin > Monitoring and Reporting Devices)に追加され、レポート IP によって識別されます。検出されたこれらのデバイスのエントリをあとで編集して、アクセス IP 情報を追加し、より完全なデバイスレベル検出を実行することができます。Monitoring and Reporting Devices に表示されたデバイスは再検出することができますが、適切に削除したあとでなければ、再追加はされません(「デバイスの削除」を参照)。
これらの設定の詳細については、以下を参照してください。
注 検出したデバイスから受信したイベントを MARS で正常に処理するには、検出プロセスが完了したあとに、Activate をクリックする必要があります。詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。
レポート デバイスおよび軽減デバイスとの接続の確認
シード ファイルをロードするか、デバイスを手動で追加したあとに、これらのデバイスがロードされたことを確認するには、Admin > Security and Monitor Devices の順にクリックします。追加したデバイスのデータがこのページに読み込まれています。
このデバイスをテストするには、デバイス名の横にあるチェックボックスをオンにして、Edit をクリックします。デバイスのページで、Discover または Test Connectivity をクリックします。目的のデバイスに接続している場合は、holding pattern 画面が表示されます。処理が完了すると、デバイスの検出画面が表示されます。
注 接続チェックと検出が両方とも不可能なデバイスがあります。次の「接続を検出およびテストするためのオプション」に、チェックまたは検出できるデバイスのリストを示します。
接続を検出およびテストするためのオプション
デバイスを追加する場合は、接続をチェックするか、または検出を実行する必要があります。デバイスの接続チェックまたは検出では、デバイスの設定が分析され、MARS がそのデバイスのイベントを処理できるかどうか、および NAT 情報を認識できるかどうかがチェックされます。
次に示すデバイスの接続テストや検出を実行できます。
・Cisco IOS
・Cisco PIX
・Cisco ASA
・Cisco Switch CatOS
・Cisco Switch IOS
・Cisco IDS
・Cisco IDSM
・Cisco FWSM
・Cisco VPN Concentrator 4.x
・Check Point
・Extreme ExtremeWare 6.x
・NetScreen
レポート デバイスのクエリー実行
追加されたデバイスを確認するもう 1 つの方法は、出力フォーマット Reporting Device Ranking を使用してクエリーを実行することです。
注 シード ファイルを使用してロードされたデバイスの一部が、遅延、ネットワーク サイズ、およびトラフィックが原因でただちに表示されないことがあります。しばらく待ってもデバイスが表示されない場合は、入力エラーが原因である可能性があります。
レポート デバイス ランキング クエリーを実行する手順は、次のとおりです。
ステップ 1 Queries / Reports タブをクリックします。
ステップ 2 Queries ページの Query Event Data テーブルにある Display Format カラムで、Event Type をクリックします。
ステップ 3 Reporting Device Ranking を選択します。
ステップ 4 Apply をクリックします。
ステップ 5 Submit をクリックして、クエリーを実行します。
レポート デバイスおよび軽減デバイスのアクティブ化
レポート デバイスおよび軽減デバイスを MARS に追加したら、これらのデバイスをアクティブにする必要があります。アクティブにすることにより、MARS がこれらのデバイスが提供するデータの処理を開始できるようになります。この処理は、ネットワークで検出されたデバイスの場合とは異なります。ネットワークで検出されたデバイスでは、アプライアンスに送信されたログは保存されますが、ユーザがこのデータを利用する手段は、クエリーおよびレポートに限定されます。通常、MARS はインスペクション規則を実行し、アクティブなデバイスから取得されたデータに対してのみ通知を生成します。
MARS アプライアンスが特定のデバイスを認識した場合は、このデバイスによって提供されるすべてのデータを標準化およびセッション化することにより、これらのデバイス データを使用してインシデントを起動することができます。
注 MARS のデフォルトでは、不明デバイスから受信したデータに基づいてインシデントが起動されることはありません。ただし、キーワード検索を使用する規則を 1 つまたは複数作成することにより、このような処理を可能にすることができます。MARS がイベント データを解析してセッション化できるように、デバイスを定義する必要があります。イベントデータが正しく解析されると、規則が正確に起動されます。
ヒント 規則の追加または変更、規則やレポートの廃棄、またはオプションや設定の追加や変更を Admin タブの User Management サブタブ以外の場所で実行した場合は、Activate をクリックする必要があります。そうしないと、変更内容は有効になりません。
追加されたデバイスをアクティブにする手順は、次のとおりです。
ステップ 1 追加するデバイスごとに、詳細を指定してから Submit をクリックして、デバイスを追加します。
Submit アクションによって、デバイスの詳細がデータベースに格納されます。Submit をクリックすると、そのあと Activate をクリックする前に管理接続を廃棄した場合でも、作業内容は保存されたままになります。
ステップ 2 この管理セッションで必要なすべてのデバイスを追加したら、Activate をクリックします。
Activate アクションは、Submit と異なり、デバイスが提供するデータの通知のインスペクションおよび生成が MARS によって開始されます。
ヒント 複数のデバイスを追加または編集している場合は、変更ごとにではなく、何回か変更を行ったあとに、Activate ボタンをクリックすることを推奨します。
データ イネーブル化機能
レポート デバイスおよび軽減デバイスの追加は、ネットワーク上のアクティビティ調査に必要なデータを MARS に提供するための主要な方法です。ただし、他の機能(HTML インターフェイスや、デバイスの設定など)を使用して、MARS に追加のデータを提供することができます。これらのデータにより、MARS のビューが調整されたり、システムの全体的な効率が向上したりします。これらの機能はデータ イネーブル化機能といいます。
ここで説明する内容は、次のとおりです。
SNMP コミュニティ ストリングをイネーブルにして、ネットワーク トポロジーの検出をサポートします。スイッチのポート レベル マッピングを許可します。この設定と NAC に必要な 802.1X サポートを組み合わせると、ネットワーク上の接続された無線ノードの MAC アドレス レベル設定を解決することができます。
ターゲット ホストの Nessus ベース スキャンをイネーブルにします。Nessus は、脆弱性評価スキャン中に、nmap も使用して OS フィンガープリントおよびポート スキャニングを行います。これらのスキャンは疑わしいアクティビティに対して実行され、試行された攻撃が成功したか、または成功する可能性があるかどうかを、ホストのターゲット オペレーティング システム タイプ、パッチ レベル、オープン ポートなどの情報に基づいて判定します。
NetFlow をイネーブルにすると、MARS は新しいイベントとサマリー データを比較して、トラフィックおよびネットワーク使用上の異常を検出できます。異常が検出されると、MARS は完全な NetFlow データの格納を開始します。デフォルトでは、インシデントが特定されていない場合、MARS は完全な NetFlow データを格納しません。
ネットワーク上のレポート デバイスおよびホストの詳細は、フォールス ポジティブの除去と、イベント評価における MARS のパフォーマンスの向上に役立ちます。
レイヤ 3 トポロジー検出は、攻撃パスを分析したり、HTML インターフェイスでトポロジー グラフを読み込む場合に役立ちます。
トポロジー更新スケジュールは、レイヤ 2 およびレイヤ 3 デバイスの検出、特定のレポート デバイスからの情報のプルなど、多くのデータ イネーブル化機能にとって重要です。
MARS は選択された一連のレポート デバイスから追加データを収集し、これを使用して、CPU 利用率、メモリ利用率、およびデバイス統計情報に関するレポートを作成できます。このデータは、ネットワーク容量計画や異常検出にも役立つことがあります。
完全な NAC 対応の実現方法、その機能、および必要な製品について説明します。
完全な DTM 対応の実現方法、その機能、および必要な製品について説明します。
ネットワーク上のその他の SNMP ベース管理アプリケーションとの統合に役立つ、MARS MIB(管理情報ベース)のフォーマットについて説明します。
レイヤ 2 検出および軽減
アクセス タイプが SNMP でない場合でも、HTML インターフェイスで指定された SNMP RO コミュニティ ストリングが、すべての L2 デバイス(スイッチ)に設定されていることを確認します(攻撃の軽減の詳細については、「軽減機能」を参照)。
レイヤ 2 デバイスで L2 軽減機能を実行する場合は、常に SNMP RO コミュニティ ストリングが必要です。L2 デバイスは自動的に検出されないため、手動で追加する必要があります。
注 MARS は SNMP RO コミュニティ ストリング内で '(一重引用符)、"(二重引用符)、<(小なり記号)、および >(大なり記号)をサポートしません。
MARS は、L3 デバイスの場合とは異なり、L2 デバイスを自動的に検出しません。
注L2 デバイスは、自動的に検出されないため、手動で追加する必要があります。アクセス タイプが SNMP でない場合でも、HTML インターフェイスで指定された SNMP RO コミュニティ ストリングが、すべての L2 デバイス(スイッチ)に設定されていることを確認してください。L2 デバイスで L2 軽減機能を実行する場合は、常に SNMP RO コミュニティ ストリングが必要です。
「レイヤ 3 トポロジー検出の設定」の手順に従ってネットワークおよび SNMP RO コミュニティ値を指定することにより、検出する L3 デバイスを指定できます。
MARS は、ネットワーク内をスキャンしてデバイスを検出することはありません。したがって、HTML インターフェイスまたは CSV ファイルを使用して、L2 デバイスを手動で追加する必要があります。デバイス検出が許可されている場合は、モニタ対象ゲートウェイが提供するルート情報を使用して、L3 デバイスが自動的に検出されます。デバイスを HTML インターフェイスにロード/追加したあと、ユーザはトポロジー スケジューラ機能を使用して L2 および L3 の設定を更新できます。
L2 デバイスの場合は、RO コミュニティを使用する SNMP アクセス タイプで十分に対応できます。ただし、軽減機能を実行する場合は、MARS に SNMP RW コミュニティ アクセスが必要になります。SNMP RW コミュニティを使用できない場合は、SNMP RO コミュニティを使用する TELNET または SSH アクセス タイプを選択します。
動的な脆弱性スキャニング用ネットワーク
動的な脆弱性スキャニングを使用すると、MARS は弱点として指定されたネットワークをプローブできます。これらの自動スキャンは、攻撃が進行中であることを示す規則が起動されたあとに開始します。攻撃が進行中の場合、これらのスキャンでは以下の処理も発生します。
・攻撃に失敗したかどうかを示す情報を返す。
・攻撃に成功する可能性があるかどうかを示す情報を返す。
・フォールス ポジティブ情報を返す。
・イベントおよびインシデントを起動するための重大度を割り当てる。
スキャンするネットワークの選択
スキャンするネットワークを選択する手順は、次のとおりです。
ステップ 1 Select オプション ボタンをクリックします。
ステップ 2 スキャンするネットワークをクリックします。
ステップ 3 Add をクリックします。
ステップ 4 ステップ 1 〜 ステップ 3 を繰り返します。
ステップ 5 準備ができたら Submit をクリックします。
スキャニング用ネットワーク IP アドレスの作成
スキャン設定の定義に使用できるネットワーク アドレスを作成する手順は、次のとおりです。
ステップ 1 Network IP オプション ボタンをクリックします。
ステップ 2 ネットワーク IP アドレスおよびマスクを入力します。
ステップ 3 Add をクリックします。
スキャニング用ネットワーク IP 範囲の作成
スキャン設定の定義に使用できるネットワーク アドレス範囲を作成する手順は、次のとおりです。
ステップ 1 IP Range オプション ボタンをクリックします。
ステップ 2 IP アドレスの範囲を入力します。
ステップ 3 Add をクリックします。
NetFlow 異常検出の概要
NetFlow は、ネットワーク トラフィックのモニタリングをサポートするシスコの技術です。基本的なすべての IOS イメージでサポートされています。NetFlow は UDP ベース プロトコルを使用して、Cisco IOS デバイスで認識されたフローについて定期的にレポートします。フローは、セッションの確立、データ転送、およびセッションの解除分割からなる、レイヤ 7 の概念です。NetFlow 対応デバイスはすべてのフローに対して、次のような複数のフロー パラメータを記録します。
・フロー ID(特に、送信元や宛先アドレス、ポート、およびプロトコル)
・入力および出力インターフェイス
・交換されたパケット数
・転送されたバイト数
NetFlow プロトコルに従って一連のフローおよび対応パラメータが UDP パケットに定期的にパッケージ化されて、指定された収集ポイントに送信されます。複数のフローのデータが単一の UDP パケットに記録されるため、NetFlow は Syslog や SNMP などの従来の方式と比較して、大量のトラフィックを効率的にモニタすることができます。
NetFlow パケットで提供されるデータは、Syslog、SNMP、または Checkpoint LEA がエンタープライズレベル ファイアウォール(Cisco PIX、NetScreen ScreenOS、Checkpoint Firewall-1 など)によって提供されるデータと同じです。異なるのは、NetFlow の方がはるかに効率的である点です。ファイアウォール デバイスから比較可能な Syslog データを受信するには、ファイウォールの Syslog ロギング レベルを DEBUG に設定する必要があります。このように設定すると、ファイアウォールのスループットが低下して、トラフィック負荷が中〜高になります。
NetFlow 対応レポート デバイスがネットワーク内に適切に配置されている場合は、NetFlow を使用して MARS アプライアンスおよびネットワーク デバイスのパフォーマンスを改善することができます。この場合、攻撃および異常を検出する MARS の機能が低下することはありません。実際、NetFlow データおよびファイアウォール トラフィック ログはどちらもネットワーク内のトラフィックを表すため、同様に処理されます。
ここで説明する内容は、次のとおりです。
・ 「ネットワークでの NetFlow の設定に関する注意事項」
・ 「NetFlow を MARS に送信するための Cisco IOS ルータおよびスイッチのイネーブル化」
MARS での NetFlow データの使用方法
NetFlow と連動するように MARS を設定すると、統計的プロファイリングを使用した NetFlow の異常検出機能を利用して、ワームの急増のような Day Zero 攻撃を識別できます。MARS は NetFlow データを使用して、次の処理を実行します。
・使用率のベースラインを決定するためのネットワーク使用率のプロファイリング
・ベースラインとの比較による、統計的に重大な異常動作の検出
・ネットワーク IDS/IPS システムによって報告された攻撃やその他のイベントと異常動作の相関付け
ネットワーク内に配置された MARS は、週末を含む 1 週間全体にわたってネットワークの使用状況を調査し、使用率のベースラインを決定します。ベースラインが決定すると、MARS は統計的に重大な動作(現在値と平均の差が標準偏差の 2 〜 3 倍を超えるなど)を検索する検出モードに切り替わります。
データ量が多くなるため、NetFlow レコードはデフォルトではデータベースに格納されません。ただし、異常動作が検出された場合、異常なエンティティ(ホストまたはポート)に関する完全な NetFlow レコードが格納されます。このため、管理者は感染した送信元ポートや宛先ポートなど、セキュリティ インシデントに関する完全なコンテキストを入手できます。このデータ収集方式は、MARS アプライアンスのパフォーマンスに影響することなく、管理者に必要な情報を提供することができます。すべての NetFlow レコードを格納すると、不要な CPU およびディスク リソースが消費されます。
注 MARS がサポートするのは、NetFlow バージョン 5 および 7 のみです。
ネットワークでの NetFlow の設定に関する注意事項
原則的に、NetFlow はネットワーク内のコア スイッチまたは分散スイッチから収集する必要があります。通常は、これらのスイッチとインターネットと接しているルータからの NetFlow やファイアウォールからの Syslog を組み合わせることにより、ネットワーク全体がカバーされます。このことに注意しながら次の注意事項を検討してから、ネットワークに NetFlow を配置してください。
・MARS は NetFlow および Syslog イベントを標準化して、同じレポート デバイスから重複したイベントが報告されないようにします。
・スイッチ内の VLAN(仮想 LAN)を調べて、トラフィック量が少ない VLAN をいくつか選択します。この方式により、NetFlow を徐々に統合し、環境でスムーズに使用できるようにします。
・NetFlow 対応デバイスの既存の CPU 利用率に注意してください。NetFlow がルータのパフォーマンスおよびネットワーク スループットに与える影響については、次のリンクを参照してください。
http://www.cisco.com/en/US/tech/tk812/technologies_white_paper0900aecd802a0eb9.shtml
・利用率の高い VLAN では、NetFlow のデータ サンプリング レートに 10:1 100:1を使用することを検討してください。
・NetFlow の使用については選択的に行ってください。すべての NetFlow 対応デバイスで NetFlow をイネーブルにする必要はありません。実際、NetFlow をそのように使用すると、イベントが重複して報告されて、MARS アプライアンスの負荷が増大することがあります。
・MARS は NetFlow バージョン 5 および 7 を使用します。レポート デバイスで稼働している Cisco IOS ソフトウェアまたは Cisco CatOS のバージョンが、これらの NetFlow バージョンを 1 つまたは複数サポートしていることを確認してください。
MARS と連動するように NetFlow を設定するためのタスクフローは、次のとおりです。
1. NetFlow をイネーブルにするレポート デバイスを特定します。
2. 特定したレポート デバイスごとに NetFlow をイネーブルにして、NetFlow データを該当するネットワーク セグメントを処理する MARS アプライアンスに転送するようにします。
3. すべてのレポート デバイスが MARS の HTML インターフェイスで定義されていることを確認します。
4. MARS の HTML インターフェイスで NetFlow 処理をイネーブルにします。
5. MARS がトラフィックを調査し、使用率ベースラインを決定するには 1 週間かかります。このあと、MARS は、検出された異常に基づいたインシデントの生成を開始します。
次のタスクでは、必要なデバイスの設定方法を示します。
・ 「NetFlow を MARS に送信するための Cisco IOS ルータおよびスイッチのイネーブル化」
NetFlow を MARS に送信するための Cisco IOS ルータおよびスイッチのイネーブル化
NetFlow の詳細、および Cisco IOS の設定方法については、以下を参照してください。
http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_book09186a00805b88ed.html
MARS で NetFlow を設定する前に、ルータまたはスイッチに NetFlow を設定する必要があります。
Cisco IOS ルータまたはスイッチで NetFlow をイネーブルにして、NetFlow イベントを MARS アプライアンスにプッシュするように設定する手順は、次のとおりです。
ステップ 1 Cisco IOS ルータまたはスイッチに管理者権限でログインします。
ステップ 2 次のコマンドを入力します。
ステップ 3 デバイス内のインターフェイスごとに、次のコマンドを入力します。
ステップ 4 NetFlow が正しくイネーブルになっていることを確認するには、次のコマンドを入力します。
show ip flow export
show ip cache flow
ステップ 5 イネーブル モードを終了するには、次のコマンドを入力します。
exit
Cisco CatIOS スイッチの設定
一部の Cisco Catalyst スイッチは、スーパーバイザで実行される別の NetFlow をサポートします。Route Switch Module(RSM; ルート スイッチ モジュール)およびNetFlow Feature Card(NFFC; NetFlow フィーチャ カード)が稼働している Catalyst 55xx にキャッシュベースの転送モデルが実装されている場合、先頭フローは RSM によって処理され、フロー内の残りのパケットはスーパーバイザによって転送されます。このサポートは、MSFC が搭載された 65xx の初期バージョンにも実装されています。MSFC2 が搭載された 65xx で使用される決定論的な転送モデルでは、転送パスを決定する場合に NetFlow を使用しません。現在実装されている IOS と同様に、フロー キャッシュは統計のためだけに使用されます。これらのすべての構成で、フローのエクスポートは RSM/MSFC とスーパーバイザ エンジンの両方から異なるストリームとして着信します。
ルータ側で稼働している IOS は、「NetFlow を MARS に送信するための Cisco IOS ルータおよびスイッチのイネーブル化」の説明どおりに設定します。ただし、CatIOS NetFlow Data Export を設定するには、次のコマンドを使用します。
set mls flow full
set mls nde version 5
set mls nde <MARS_IP_address> 2055
set mls nde enable
ユーザ側から見ると、65xx がネイティブ モードで稼働している場合、スイッチでは IOS のみが動作しています。
MARS での NetFlow 処理のイネーブル化
使用するルータまたはスイッチで NetFlow をイネーブルにして、NetFlow データを MARS アプライアンスにパブリッシュするようにデバイスを設定した場合は、このデータを処理するようにアプライアンスを設定する必要があります。この設定を行うには、データの格納方法および異常な動作の処理が必要なネットワークを決定します。どちらの決定も、MARS がイベントを処理するレートに影響します。サマリー データでなく完全なイベント データを格納する場合は、新しい着信イベントの処理ではなく、大量のデータの書き込みによって、システムに負荷が生じます。また、ネットワークをセットとして選択して指定しなかった場合、MARS はすべてのネットワークを調査します。
ステップ 1 Admin > System Setup > NetFlow Config Info の順にクリックします。
ステップ 2 NetFlow Configuration に、NetFlow の Global NetFlow UDP Port を入力します。これは MARS が NetFlow を待ち受けるデフォルト ポートです。デフォルト値は 2055 です。
注 この値は、ルータを設定するときに ip flow-export destination コマンドで入力した値と同じにする必要があります(「NetFlow を MARS に送信するための Cisco IOS ルータおよびスイッチのイネーブル化」を参照)。同様に、ルータまたはスイッチと、任意の中間ゲートウェイ(ルータやファイアウォールなど)の MARS アプライアンスの間をこのトラフィックが流れるように設定されていることを確認します。
ステップ 3 Enable NetFlow Processing で、NetFlow 処理をイネーブルにするかどうかを選択します。
・Yes を指定すると、MARS は NetFlow ログを処理します。
・No を指定すると、MARS に着信する NetFlow データの処理はディセーブルになります。
ステップ 4 Always Store NetFlow Records で、NetFlow レコードを常に格納するかどうかを選択します。
・Yes を指定すると、MARS は NetFlow イベントをすべてデータベースに格納します。このオプションを選択すると、MARS が 1 秒間に処理できるイベント数が大幅に低下して、システムが低速になることがあります。
・No を指定すると、MARS は異常のみを格納します。MARS は、動的に生成された 2 つの上限を使用して以前のデータと現在のデータを比較し、異常を検出します。データが最初の上限を超過した場合、MARS はデータの保存を開始します。データが 2 番めの上限を超過した場合、MARS はインシデントを作成します。
ステップ 5 NetFlow Valid Network Addresses で、モニタするネットワークを 1 つまたは複数入力し、<< Add ボタンを使用して追加します。
・ネットワークを 1 つまたは複数指定すると、MARS は指定したネットワークに対してのみ、NetFlow ベースの異常を生成します。
注 メモリ使用率を低下させ、アプライアンスのパフォーマンスを改善するには、一連の有効なネットワークに属するホストに対してのみプロファイリングを行うように MARS を設定します。
・この値をブランクのまま残すと(どのネットワークも指定しないでおくと)、MARS は NetFlow イベントに基づいて、すべてのネットワークで異常な動作を調査します。
ステップ 6 Submit をクリックして、変更を保存します。
ステップ 7 MARS アプライアンスでの NetFlow 処理をイネーブルにするには、Activate をクリックします。
MARS が NetFlow データに基づいて異常検出を開始する前に、まずネットワーク動作のベースラインを決定する必要があります。MARS がこのようなベースラインを決定するには、週末を含めて丸々 1 週間かかります。この期間が経過すると、MARS は NetFlow の異常検出に基づいてインシデントの生成を開始できます。
ホストとデバイスの ID および詳細に関する方針
MARS はネットワーク レイヤで多数のイベントを調査し、ファイアウォール、ルータ、および IPS デバイスを利用して、ネットワーク セッションの送信元や宛先となるエンドポイント ホストより上位のレイヤで、異常および疑わしいインシデントを識別します。MARS がこのネットワーク レイヤで排他的に動作している場合は、手動による調査が必要なフォールス ポジティブ インシデントを複数生成します。ただし、一部の機能を使用すると、MARS にホストレベルの詳細情報を提供することができます。
・ネットワーク上のホストからのイベント報告をイネーブルにします。MARS はネットワーク上のホストから直接イベント データを受信したり、場合によってはプルしたりすることができます。この追加データにより、MARS は何らかの攻撃が成功したことを確認したり、アクセスできないホストを「デバイス停止」レポートに追加するなどして、ホストの動作問題を報告したりすることができます。これらのホストからデータをプルまたは受信するようにホストおよび MARS を設定する手順については、次のトピックを参照してください。
・検出されたホストで稼働しているオペレーティング システムのタイプおよびネットワーク サービスを手動で指定します。詳細については、「脆弱性評価情報の定義」および「ホストで稼働するネットワーク サービスの識別」を参照してください。
・Management > IP Management でその他のデバイスを追加して、ネットワーク上の一般的なホストおよびノードを手動で指定します。この追加データにより、ユーザはネットワーク セッションとの関連が想定されるホストを指定できます。イベント データを MARS に直接送信するようにホストを設定する必要はありません。ユーザは脆弱性評価情報を提供して、フォールス ポジティブを削減することができます。ホストを手動で追加する方法については、「ホストの追加」を参照してください。
レイヤ 3 トポロジー検出の設定
MARS を完全に動作させるには、コミュニティ ストリングを指定し、検出するネットワークを選択する必要があります。アプライアンスがこれらのネットワークを検出すると、ユーザは MAC アドレス、エンドポイント検索(攻撃パス)、およびネットワーク トポロジーをより正確に把握できます。トポロジー検出では、動作レベル 3 がイネーブルです(詳細については、「動作レベル」を参照)。
トポロジーのビューについては、図 16-13 を参照してください。
注 必ず Activate をクリックして、コミュニティ ストリングおよび有効なネットワークに対する追加や変更をアクティブにしてください。
ネットワークのコミュニティ ストリングの追加
ネットワーク IP のコミュニティ ストリングを追加する手順は、次のとおりです。
ステップ 1 Admin > Community Strings and Networks の順にクリックして、Community Strings and Networks ページを開きます。
ステップ 2 Network IP オプション ボタンをクリックします。
ステップ 3 コミュニティ ストリング、ネットワーク IP アドレス、およびマスクを入力します。
ステップ 4 Add をクリックします。
ステップ 5 追加するすべてのコミュニティ ストリングに対して、ステップ 2 〜ステップ 4 を繰り返します。
ステップ 6 Submit をクリックして、これらの追加内容をコミットします。
IP 範囲のコミュニティ ストリングの追加
IP 範囲のコミュニティ ストリングを追加する手順は、次のとおりです。
ステップ 1 Admin > Community Strings and Networks の順にクリックして、Community Strings and Networks ページを開きます。
ステップ 2 IP Range オプション ボタンをクリックします。
ステップ 3 コミュニティ ストリングとその IP 範囲を入力します。
ステップ 4 Add をクリックします。
ステップ 5 追加するすべてのコミュニティ ストリングに対して、ステップ 2 〜ステップ 4 を繰り返します。
ステップ 6 Submit をクリックして、これらの追加内容をコミットします。
同じネットワークに対して複数のコミュニティ ストリングを追加するには、同様なエントリを追加します。
検出リストへの有効なネットワークの追加
有効なネットワークを追加すると、MARS は目的のネットワークのみを検出するようになります。MARS はこの情報を使用してトポロジーを作成し、MAC アドレスを検出し、エンドポイント検索(攻撃パス)を実行します。
注 指定できるのは、MARS アプライアンスが稼働するゾーンのネットワークのみです。
有効なネットワークを追加する手順は、次のとおりです。
ステップ 1 Admin > Valid Networks の順にクリックして、Valid Networks ページを開きます。
ステップ 2 SNMP Target の IP アドレスを入力します。
SNMP ターゲットは、MARS がネットワーク上のデバイス検出を開始するエントリ ポイントです。通常は、ネットワークのデフォルト ゲートウェイのアドレスです。
ステップ 3 Network IP または Network Range をクリックして、スキャン範囲を定義します。
ステップ 4 適切な情報を入力します。
ステップ 5 Submit をクリックします。
検出リストからのネットワークの削除
ネットワークを削除する手順は、次のとおりです。
ステップ 1 Admin > Valid Networks の順にクリックして、Valid Networks ページを開きます。
ステップ 2 削除するネットワークをクリックします。
ステップ 3 Remove をクリックします。
レイヤ 3 データのオンデマンド検出
トポロジー検出はスケジュールできます(「トポロジー更新のスケジュール」を参照)。ただし、オンデマンドで検出を開始することもできます。
オンデマンド検出を実行する手順は、次のとおりです。
ステップ 1 Admin > Valid Networks の順にクリックして、Valid Networks ページを開きます。
ステップ 2 Valid Network Addresses のリストに、検出するネットワークが含まれていることを確認します。
ステップ 3 Discover Now をクリックします。
トポロジー更新のスケジュール
デバイス、ネットワーク、およびネットワーク グループでトポロジー更新を自動実行するように MARS を設定できます。トポロジー更新をスケジュールすることは、ネットワークの変更、およびレポート デバイスや軽減デバイスの設定変更に常に MARS アプライアンスを対応させるために重要です。この処理は、レポート デバイスを定義する際に Discover をクリックする操作と似ています。
デバイス タイプ、適切な許可、Telnetや SSH などのアクセス タイプ、およびアクセス IP アドレスに応じて、設定検出の内容は変わります。デバイス検出を実行すると、MARS はデバイスと通信して、トポロジーおよび設定を検出します。この検出では、デバイスまたは管理コンテキストのルート、NAT、および ACL 関連情報がすべて収集されます。さらに、デバイス名が hostname.domain フォーマットで入力されていない場合は、このフォーマットに変更されることがあります。これらをサポートするデバイスを検出している場合、MARS はモジュール、管理コンテキスト、およびセキュリティ コンテキストに関する情報も検出します。更新をスケジュールすると、Dashboard のネットワーク図および攻撃パスが最新状態に保たれるという効果もあります。
この機能を使用すると、インターバルベース ポーリングが必要なデバイスからデータをプルすることができます。このようなポーリングが必要なデバイスは、次のとおりです。
・Qualys QualysGuard
・eEye REM
・FoundStone FoundScan
・Check Point ログ サーバ
図 2-1 eEye REM のスケジュール済み更新の例
ネットワーク検出のスケジュール
スケジュールされた検出の対象となるネットワークを追加する手順は、次のとおりです。
ステップ 1 Admin > Topology/Monitored Device Update Scheduler の順にクリックします。
Topology/Monitored Device Update Scheduler ページが表示されます。
ステップ 2 Add をクリックします。
ステップ 3 ネットワーク(またはネットワーク グループ)の名前を入力します。
ステップ 4 ネットワークを選択または入力します。
・Select オプション ボタンをクリックして、リストからネットワークを選択します。
・Network IP オプション ボタンをクリックして、IP アドレスおよびマスクを入力します。
・IP Range オプション ボタンをクリックして、IP 範囲を入力します。
ステップ 5 Add をクリックして、選択したフィールドにネットワークを移動します。
・選択したフィールド内の項目を削除するには、目的の項目をクリックして強調表示にして、Remove をクリックします。
ステップ 6 スケジュール テーブルで、該当するオプション ボタンおよびその時間基準を選択します。
・Run On Demand Only
・Daily および Time of Day
・Weekly、Time of Day、および Days
・Monthly、Time of the Day、および Dates
ステップ 7 Submit をクリックします。
スケジュールされたトポロジー検出の編集
ステップ 1 Topology Group の横にあるチェックボックスをオンにします。
ステップ 2 Edit をクリックします。
ステップ 3 Add をクリックして、選択したフィールドにネットワークを移動します。
・選択したフィールド内の項目を削除するには、目的の項目をクリックして強調表示にして、Remove をクリックします。
ステップ 4 スケジュール テーブルで、該当するオプション ボタンおよびその時間基準を選択します。
・Run On Demand Only
・Daily および Time of Day
・Weekly、Time of Day、および Days
・Monthly、Time of the Day、および Dates
ステップ 5 Submit をクリックします。
スケジュールされたトポロジー検出の削除
ステップ 1 Topology Group の横にあるチェックボックスをオンにします。
ステップ 2 Delete をクリックします。
トポロジー検出のオンデマンド実行
注 スケジュールされたトポロジー検出またはオンデマンド トポロジー検出は、いつでも実行できます。
ステップ 1 Topology Group の横にあるチェックボックスをオンにします。
ステップ 2 Run Now をクリックします。
リソース使用率データの設定
すべてのホストおよびレポート デバイスに対して Monitor Resource Usage ボックスが表示されますが、MARS に実際にリソース使用率データを提供するのは 3 つのデバイス タイプのみです。
・Cisco IOS ルータおよびスイッチ
・Cisco PIX
・Check Point デバイス
MARS はこれらの 3 つのデバイスの CPU 利用率、メモリ利用率、およびデバイス統計情報に関するデータを提供できます。
リソース使用率データを収集できるようにするには、レポート デバイスでリソース使用率固有のイベントを記録し、SNMP RO コミュニティ ストリングを設定し、これらのデバイスから MARS にイベントを転送し、デバイスをレポート デバイスまたは軽減デバイスとして HTML インターフェイスで定義する必要があります。さらに、サポート対象のレポート デバイスごとに、General タブの Monitor Resource Usage ボックスで Yes を選択する必要があります。
設定された MARS は SNMP を使用して、次の SNMP OID について 5 分おきにデバイスをポーリングします。
・デバイスのすべてのインターフェイスの入出力バイト数(Cisco IOS、Cisco PIX)
・現在の接続数(Cisco PIX、Check Point)
・直前の 1 秒間および直前の 60 秒間の CPU 利用率(Cisco IOS、Cisco PIX)
・空きメモリ/使用メモリ(Cisco IOS、Cisco PIX)
リソース消費量が時間平均よりも著しく大きい場合は、リソース利用率の異常も検出されます。
次のリソース使用率データ レポートを使用できます。
・Resource Utilization:Bandwidth:Inbound - Top Interfaces
・Resource Utilization:Bandwidth:Outbound - Top Interfaces
・Resource Utilization:CPU - Top Devices
・Resource Utilization:Concurrent Connections - Top Devices
・Resource Utilization:Errors:Inbound - Top Interfaces
・Resource Utilization:Errors:Outbound - Top Interfaces
・Resource Utilization:Memory - Top Devices
リソース使用率に関するカスタム規則、レポート、およびクエリーは、次のイベントに基づいて定義できます。
・CPU Utilization Higher Than 50%
・CPU Utilization Higher Than 75%
・CPU Utilization Higher Than 90%
・CPU Utilization Abnormally High
・Memory Utilization Higher Than 50%
・Memory Utilization Higher Than 75%
・Memory Utilization Higher Than 90%
・Memory Utilization Abnormally High
定義済みのリソース利用率に関するインスペクション規則もあります。
・System Rule:DoS:Network Device - Success Likely
・System Rule:DoS:Network - Success Likely
・System Rule:Resource Issue:Network Device
ネットワーク アドミッション制御機能の設定
Network Admission Control(NAC)はシスコシステムズが後援している業界の先進機能です。NAC ではネットワーク インフラストラクチャを使用して、ネットワーク コンピューティング リソースへのアクセスを要求するすべてのデバイスにセキュリティ ポリシーを適用することにより、ウイルスやワームによる被害を抑制します。
企業は NAC を使用することにより、PC、PDA、サーバなど、確立されたセキュリティ ポリシーに完全に適合することが確認されたエンドポイント デバイスにネットワーク アクセスを提供できます。また、適合しないデバイスを識別してこれらのアクセスを拒否したり、これらを隔離エリアに移したり、コンピューティング ソースへのアクセスを制限したりすることもできます。
MARS はネットワーク上の各レポート デバイスで生成された NAC ベースイベントを格納し、報告することにより、NAC の先進機能をサポートします。これらのデバイスは、次のとおりです。
・Cisco Trust Agent(CTA)。CTA は MARS に報告しませんが、検出された設定をシスコ製ネットワーク デバイスに報告します。MARS はこれらのデバイスからイベントを収集します。
・サードパーティ製 802.1X サプリカント
・Cisco IOS ソフトウェア リリース 12.3(8)T が稼働し、セキュリティが施された Cisco IOS ルータ
・Cisco VPN 3000 Concentrator
・Cisco Secure ACS
・Cisco Security Agent
ネットワークで NAC レポートをイネーブルにするには、レポート デバイスで NAC固有のイベントを記録し、これらのデバイスから MARS にイベントを転送できるようにし、さらに、デバイスをレポート デバイスまたは軽減デバイスとして HTML インターフェイスで定義する必要があります。
NAC をサポートするために使用できるレポートは、次のとおりです。
・Activity:Security Posture Not Up To Date - All Events
・Activity:Security Posture Not Up To Date - Top Users
・Activity:Security Posture Up To Date - Top Users
・Activity:Security Posture Validation Failure - Top Users
・Activity:Security Posture w/o Credentials - Top Hosts
レポート デバイスおよび軽減デバイスに NAC サポートを設定する方法については、「NAC 固有のメッセージのイネーブル化」を参照してください。
DTM の設定
MARS の DTM 機能は、Cisco IPS デバイスと連携して、最新の Signature Definition File(SDF)を生成して、Cisco IOS IPS デバイスにパブリッシュします。SDF はすべてのシグニチャの定義を含む XML ファイルです。Cisco IOS IPS デバイスは SDF を読み込んでファイルを解析し、各シグニチャを検出するために必要な情報を内部テーブルに読み込みます。
より拡張的なシグニチャ セットを Cisco IPS アプライアンスおよびモジュールに提供することにより、MARS はネットワークをモニタして、最も起動頻度の高いシグニチャを判別することができます。これにより、Cisco IOS IPS デバイスは、トラフィックの検査にこれらのシグニチャを使用できます。
DTM を使用するには、DTM 通知方式を含む、Cisco IPS シグニチャベースのインスペクション規則を定義する必要があります。このような規則が起動されると、これらのシグニチャに対応する SDF が生成され、MARS アプライアンスに格納されます。DTM 通知方式を選択すると、規則が起動された場合、MARS は対応する SDF を通知対象となるすべての Cisco IOS IPS デバイスにプッシュします。DTM 通知方式には、IPS アラート アクションも含まれます。これらのアクションには、アラーム、アラームと廃棄、およびアラームとリセット(TCP セッションの場合)があります。この IPS アラート アクションを使用すると、新規または既存のシグニチャが使用可能になり、アラートが起動されたときに適宜応答するようにシグニチャが設定されます。アラーム アクションは、MARS や Syslog サーバなどのターゲット モニタリング デバイスに Syslog または SDEE 通知を送信することを意味します。
DTM を完全にイネーブルにするには、次のタスクを実行する必要があります。
・レポート デバイス(Cisco IOS IPS デバイスのみ)をブートストラップして、MARS から SSH または Telnet アップデートを受信したり、MARS が現在のシグニチャ設定をプルできるようにします。アクセス IP の推奨方式は SSH です。SSH を使用すると、現在のシグニチャ設定および空きメモリを検出したり、SDF アップデートをパブリッシュしたりすることができます。詳細については、「DTM 更新のスケジュール」を参照してください。
・HTML インターフェイスにブートストラップされたレポート デバイスを追加します。
・ DTM 通知方式を含む特定のインスペクション規則を定義します。
・MARS アプライアンスで SDF ファイルを保持する期間、および IOS IPS デバイスのシグニチャ セットの状態を検出する期間を定義します。詳細については、「DTM 更新のスケジュール」を参照してください。
・変更監査証跡を調査して、DTM シグニチャの変更に対応します。DTM シグニチャが変更されると、DTM_UPDATE_SUCCESS、DTM_UPDATE_FAIL、DTM_DELETE_SUCCESS、および DTM_DELETE_FAIL アクションが実行されます。
ここで説明する内容は、次のとおりです。
DTM 固有のインスペクション規則の定義
DTM のインスペクション規則を定義する場合は、規則に関する次のフレームワークを考慮します。
<Devices> が <Conditions> と一致するシグニチャ起動を報告した場合、<IPS Action> を使用して SDF ファイルで <Targets> を更新します。
図 2-2 DTM 規則の例
各インスペクション規則は、4 つの情報を結合します。
・デバイス — 規則に対してデータを相関付けるレポート デバイス。これらのレポート デバイスがプライマリ IPS/IDS デバイスになるとみなされます。Cisco IOS IPS デバイスのシグニチャ セットは、これらのデバイスの状況に基づいて更新されます。このフィールドに入力できる有効なレポート デバイスは、次のとおりです。
–Cisco IPS センサおよびモジュール
–Cisco IOS IPS デバイス
–Cisco IDS デバイス
・条件 — SDF を生成する 1 つまたは複数の Cisco IPS シグニチャに関する条件。この条件により、更新する価値のあるシグニチャが決まります。有効な条件はシグニチャ/タイプ、グループ、重大度、シグニチャの起動回数、またはこれらの組み合わせです。
・IPS アクション — シグニチャによってイネーブルになる IPS アラート アクション。複数のシグニチャに適用されるアラート アクションを定義する場合は、各シグニチャにアクションとの互換性があることを確認します。特に「アラームとリセット」アクションは、TCP ベース トラフィックを検査するシグニチャに対してのみ有効です。
ヒント 規則からアクションを定義するには、Action をクリックしてから、Add をクリックし、新しいアクション オブジェクトを指定します。Add Action ページの右下に、DTM アクションが表示されます。リストから、シグニチャに対して実行するアクションを選択します。Change Recipient をクリックして、シグニチャをパブリッシュするデバイスを選択します。
図 2-3 IPS アクションおよび DTM 通知の設定
注 MARS は、Cisco IOS IPS で使用可能な denyAttackerInline および denyFlowInline アクションをサポートしません。
・ターゲット — インスペクション規則が起動した場合に SDF アップデートをパブリッシュする Cisco IOS IPS デバイスのリスト
規則が起動すると、シグニチャに対応する SDF アップデートがアップデート キューに格納されます。DTM Device Access Interval で定義した期間が過ぎると、キュー内のすべてのアップデートが各ターゲット デバイスにパブリッシュされます。インターバル期間が経過するたびに SDF が更新され、各ターゲット デバイスに個別の SDF がパブリッシュされます。
DTM 固有のレポートの表示
任意の DTM イベントに関するクエリーおよびレポートを定義して、Misc/DTM イベント グループに編成することができます。これらのイベントは、ターゲット デバイスにパブリッシュされる DTM アップデートのステータスを示します。別の方法として、Description/CVE フィールドに Dynamic Attack を入力して、HTML インターフェイスの Management > Event Management ページで Search をクリックすることもできます。
MARS によって提供される DTM レポートは、次のとおりです。
・Activity:IOS IPS DTM Successful Signature Tuning - All Events
・Connectivity Issue - IOS IPS DTM - All Events
・Resource Issue - IOS IPS DTM - Top Devices
DTM 更新のスケジュール
DTM を使用すると、IOS IPS が稼働する Cisco IOS ルータは、検出される可能性が最も高いシグニチャを実行することにより、シグニチャ セットを現在のネットワーク環境と密接に結び付けることができます。DTM アップデートをスケジュールすることは、MARS がモニタ対象の Cisco IPS および Cisco IDS デバイスをポーリングする頻度を指定することです。MARS はこのデータを使用して、これらのデバイスで報告された起動済みシグニチャに関するプライオリティ付きリストを生成します。MARS は生成されたこれらのシグニチャ セットを MARS アプライアンスに格納することにより、MARS によって同様にモニタされている Cisco IOS ルータがこれらを取得できるようにします。ルータはメモリ制限に基づいて、上位 N 個のシグニチャを実行します。
グローバルな DTM アップデート スケジュールを定義する手順は、次のとおりです。
ステップ 1 Admin > System Parameters > Dynamic Attack Mitigation Settings の順にクリックします。
ステップ 2 DTM Device Access Time Interval フィールドに、MARS がターゲット デバイスを更新するインターバルを分単位で入力します。
この値は、DTM 固有のインスペクション規則の通知対象として定義された、ターゲット Cisco IOS IPS と同期するために MARS が待機する最小時間を表します。DTM 規則がトリガーされると、追加するシグニチャ リストが変更されますが、このトリガーの期限が経過しないと、SDF ファイルは配置されません。この値は MARS が待機する最小時間を表すため、慎重に選択してください。MARS が多数のルータを更新する場合は、攻撃が 1 つでも、すべての必要なデバイスのポーリングを完了するのに、指定したインターバルより時間がかかることがあります。
ステップ 3 DTM Signature Deletion Time Interval フィールドで、プライオリティ付きシグニチャ リストを再起動するインターバルを選択します。
MARS は Cisco IOS IPS および IDS デバイスをポーリングして、一定期間内にデバイスが起動したシグニチャのプライオリティ付きリストを作成します。この期間が経過すると、MARS は格納されたシグニチャ リストを削除して、新しい SDF をコンパイルし、このプロセスを再び開始します。この設定の目的は、MARS が現在のシグニチャに基づいて SDF を生成するようにすることです。MARS は SDF を生成する前に、Cisco IPS デバイスをポーリングして、最新のシグニチャがデバイスに設定されていることを確認します。各 IOS IPS デバイスには、基本のシグニチャ リストがあり、MARS はこのリストと比較して、デバイスで上ですでに稼働しているがキューに格納されているシグニチャがあるかどうかを判別します。キュー内のどのシグニチャもデバイス上で稼働していない場合、MARS はこれらのシグニチャに関する最小限の SDF をパブリッシュします。
Cisco IOS IPS デバイスで稼働しているシグニチャの個数は、メモリ制限によって異なります。MARS は現在のセットに最小限のセットを加えた SDF を作成します。また、ルータの空きメモリ サイズを判別し、十分なメモリがある場合は、削除マークのないシグニチャに関する新しい SDF ファイルを作成します。
CS-MARS は、過去 24 時間以内に MARS に報告されたシグニチャ、または過去 24 時間以内に SDF の一部として MARS がパブリッシュしたシグニチャは削除しません。Cisco IOS IPS で稼働しているシグニチャが過去 24 時間以内で起動していない場合は、ルータにこのシグニチャを実行する十分なメモリがある場合でも、削除マークが付けられます。この 24 時間の期間は変更できません。
このシグニチャ割り当て方式により、ルータはメモリに対するシグニチャ セットの比率を最大に保ち、攻撃が発生した場合のトラフィックの増加に対応するために必要な空きメモリを維持することができます。
ステップ 4 データベースに変更を保存するには、Submit をクリックします。変更をアクティブにするには、Submit をクリックしてから、Activate をクリックします。
DTM 統合に関するトラブルシューティング
表 2-5 に、発生する可能性のあるエラー、および考えられる原因と解決策を示します。
サードパーティ製アプリケーションと MARS の統合
MARS は、サードパーティ製アプリケーションと複数の方法で統合できます。次のトピックで、これらの方式で統合する方法について説明します。
・ [サードパーティ製 Syslog および SNMP サーバへのアラート データの転送」
サードパーティ製 Syslog および SNMP サーバへのアラート データの転送
MARS からサードパーティ製 Syslog および SNMP サーバにアラート データを転送することができます。データは、規則単位で転送されます。つまり、通知方式として SNMP と Syslog の一方または両方を含むように、アラート データを転送する規則を設定する必要があります。規則が起動されると、指定された受信側に選択されたフォーマットで通知が送信されます。方式が SNMP および Syslog の場合は、受信側はサーバになります。
規則に関する通知方式の設定方法については、「アラートの設定」を参照してください。MARS から送信される SNMP MIB フォーマットの詳細については、「MARS MIB のフォーマット」を参照してください。
MARS MIB のフォーマット
MARS MIB は、すべての MARS リリースに対して定義されています。SNMP 通知には、MARS によって生成される Syslog と同じ内容が含まれます。
MARS MIB の定義は次のとおりです。
enterprises.16686.1.0 string "MARS-1-101"
enterprises.16686.2.0 string "<alert_content>"
MARS のプライベート エンタープライズ番号は 16686 です。<alert_content> は次のように定義されます。<<priorityInfo>> <current_time> %MARS-1-101:Rule <ruleid> (<rulename>) fired and caused <color> Incident <incidentId>, starting from <starttime> to <endtime>.
次の SNMP 通知の出力例では、MARS アプライアンスの IP アドレスは 10.1.1.1 です。
SNMPv2-SMI::enterprises.16686 10.1.1.1 SNMPv2-SMI::enterprises.16686.1.0 "MARS-1-101" SNMPv2-SMI::enterprises.16686.2.0 "<34>Mon Apr 28 20:11:43 2003 %MARS-1-101:Rule 45513 (Nimda Attack) fired and caused red Incident 12265001, starting from Mon Apr 28 19:58:47 2003 to Mon Apr 28 20:11:21 2003."
注 通知は、Local Controller からのみ送信されます。
