第4章　ファイアウォール デバイスの設定

この章では、ファイアウォール デバイスをブートストラップして、MARS にレポート デバイスとして追加する方法を示します。ファイアウォール デバイスにはハードウェア アプリケーション、ホストで稼働するソフトウェア アプリケーション、スイッチやルータに搭載されるモジュール、多機能セキュリティ デバイスに搭載されるモジュールなど、さまざまな形態があります。

Cisco Adaptive Security Appliance（ASA）などの多機能セキュリティ デバイスは、Intrusion Detection System（IDS; 侵入検知システム）や Intrusion Prevention System（IPS; 侵入防御システム）など、ファイアウォール以外のモジュールもサポートしています。この章では、ファイアウォール以外のモジュールの設定は扱いません。これらの説明については、「ネットワークベース IDS および IPS デバイスの設定」を参照してください。

この章では、次に示すファイアウォール デバイスをブートストラップして、MARS に追加する方法を示します。

・ Cisco Firewall デバイス（PIX、ASA、および FWSM）

・ NetScreen ScreenOS デバイス

・ Check Point デバイス

Cisco Firewall デバイス（PIX、ASA、および FWSM）

MARS は次に示す Cisco Firewall デバイスをサポートします。

・PIX セキュリティ アプライアンス（PIX ソフトウェア リリース 6.0、6.1、6.2、6.3、および 7.0）

・Cisco ASA 7.0

・Cisco Firewall Services Modules（FWSM）、バージョン 1.1、2.2、および 2.3

これらの PIX ソフトウェアは通常、下位互換性があるため、PIX セキュリティ アプライアンスをブートストラップするために必要なコマンドは、リリース間で一貫しています。また、Cisco ASA および FWSM は PIX コマンド セットがほぼ共通しています。

Cisco Firewall デバイスをモニタするように MARS を設定する場合に必要なタスクフローは、次のとおりです。

1. MARS からの管理セッションを受け入れて設定を検出するように Cisco Firewall デバイスを設定します。

Cisco ASA、PIX 7.0、および FWSM デバイス タイプの場合は、これらのセッションを受け入れるように管理コンテキストを設定します。

2. Syslog イベントを MARS にパブリッシュするように Cisco Firewall デバイスを設定します。

Cisco ASA、PIX 7.0、および FWSM デバイス タイプの場合は、管理コンテキストおよび各セキュリティ コンテキストを設定する必要があります。

注 ネットワーク トポロジーに関する情報を検出する場合、MARS は Syslog イベントを使用します。CPU 利用率および関連情報を検出する場合は、SNMP を使用します。

3. MARS で管理接続情報を指定して、Cisco Firewall デバイスを定義します。

注 FWSM モジュールをスイッチに追加する前に、MARS に基本モジュール（シスコ製スイッチ）を追加して、設定する必要があります。詳細については、「シスコ製スイッチ デバイス」を参照してください。

Cisco ASA、PIX 7.0、および FWSM の場合、基本デバイス タイプは管理コンテキストを表します。ただし、各セキュリティ コンテキスト、および IPS 5.0 が稼働する搭載済みの Advanced Inspection and Prevention（AIP）を定義したり、検出したりする必要もあります。

Syslog イベント データを受け入れたり、Cisco Firewall デバイスからデバイスの設定をプルしたりするように MARS を設定するには、次のタスクを実行する必要があります。

・ Cisco Firewall デバイスのブートストラップ

・ MARS での Cisco Firewall デバイスの追加および設定

Cisco Firewall デバイスのブートストラップ

Cisco Firewall デバイスはネットワーク上で複数の役割を行うため、レポート デバイスおよび軽減デバイスとして機能するよう設定する必要があります。MARS を有効に利用するには、次のように特定の機能の設定を行います。

・IDS/IPS シグニチャ検出 - Cisco Firewall デバイス内蔵の IDS および IPS シグニチャ マッチング機能は、最も効率的なシグニチャ セットや包括的なシグニチャ セットがあるわけではありませんが、試行された攻撃を検出する場合に重要になる場合があります。

・許可/拒否ログ - 許可されたセッションおよび拒否されたセッションのロギングは、フォールス ポジティブ分析に役立ちます。

・管理アクセス - MARS が、次に示す重要なデータにアクセスできるようにします。

–ルートおよび ARP テーブル - ネットワーク検出および MAC（メディア アクセス制御）アドレス マッピングに役立ちます。

–NAT（ネットワーク アドレス変換）および PAT（ポート アドレス変換）変換テーブル - アドレス解決や攻撃パス分析を実行し、真の攻撃元を検出する場合に役立ちます。

–OS 設定 - MARS はこれに基づいて、検出された攻撃をブロックするための正しい ACL（アクセス制御リスト）を判別し、Cisco Firewall デバイスによる管理セッションに挿入します。

Cisco Firewall デバイスをブートストラップするには、MARS アプライアンスを管理ホストとして識別する必要があります。管理アクセスをイネーブルにすると、MARS は Cisco Firewall デバイスの設定を検出できるようになります。管理アクセスをイネーブルにするには、ファイアウォール デバイスに対する Telnet または SSH 管理アクセス権限が MARS アプライアンスに付与されていることを確認する必要があります。FTP（ファイル転送プロトコル）アクセス タイプを使用する場合は、FTP サーバにコンフィギュレーション ファイルを追加して、MARS が FTP サーバにアクセスできるようにします。

特定のイベント タイプおよび管理アクセスを設定するほかに、MARS アプライアンスに Syslog メッセージを送信する必要もあります。これらのメッセージを MARS アプライアンスへ送信するように Cisco Firewall デバイスを設定するには、ネットワーク上の各ファイアウォール デバイスに対応したロギング設定を行う必要があります。Syslog メッセージを生成して、特定の MARS アプライアンスへ転送するようにファイアウォール デバイスを設定するには、次の手順を実行します。

1. ファイアウォール デバイスでロギングをイネーブルにします。

ファイアウォール デバイスが Syslog メッセージを生成する前に、1 つまたは複数のインターフェイスでロギングをイネーブルにする必要があります。また、フェールオーバー ペアを構成するファイアウォール デバイスを設定した場合は、Syslog メッセージを生成するようにスタンバイ ファイアウォール デバイスを指定することもできます。また、フェールオーバーが発生した場合にもスタンバイ ユニットの Syslog メッセージが同期されるように、デバイスを設定できます。ただし、このように設定すると、MARS アプライアンスのトラフィック量が 2 倍になります。

2. ログ ファシリティおよびキュー サイズを選択します。

ファイアウォール デバイスのネットワーク アクティビティに関する重要なレポートを生成し、そのデバイスに対応するセキュリティ イベントをモニタするには、適切なロギング レベルを選択する必要があります。ロギング レベルを選択すると、セッション固有のデータを追跡するために必要な Syslog の詳細情報が生成されます。ロギング レベルを選択すると、MARS アプライアンスにトラフィックを転送する Syslog 規則を定義することができます。

3. デバッグするログ レベルを選択します。

このように設定すると、デバッグに役立つ Syslog メッセージが生成されます。FTP セッション中に発行されたコマンドや、HTTP セッション中に要求された URL を識別するログも生成されます。ログ レベルには緊急事態、アラート、クリティカル、エラー、警告、通知、情報メッセージがあります。

4. ターゲット MARS アプライアンス、およびそこで待ち受けるプロトコルとポートのペアを識別します。

ファイアウォール デバイスで生成された Syslog メッセージを MARS に転送することにより、ユーザはメッセージを処理して確認できます。

ヒント Cisco Firewall デバイスのフェールオーバー ペアをモニタする場合は、プライマリ Cisco Firewall デバイスをモニタ対象デバイスとして指定する必要があります。フェールオーバーが発生した場合、セカンダリ デバイスはプライマリの IP アドレスを使用して、フェールオーバー後もセッションの関係が維持されるようにします。どのブートストラップ処理を実行した場合も、プライマリは同様にフォーカスされます。セカンダリ デバイスはプライマリの設定と同期されます。

ファイアウォール デバイスとの管理接続をイネーブルにするには、次のいずれかの方法を実行します。

・ Cisco Firewall デバイスでの Telnet アクセスのイネーブル化

・ Cisco Firewall デバイスでの SSH アクセスのイネーブル化

・ Cisco Firewall デバイスから MARS への Syslog ファイルの送信

ログ設定を行うには、「Cisco Firewall デバイスから MARS への Syslog ファイルの送信」を参照してください。

Cisco Firewall デバイスでの Telnet アクセスのイネーブル化

ステップ 1 Cisco Firewall デバイスに管理者権限でログインします。

ステップ 2 次のコマンドを入力します。

telnet <MARS IP address> <netmask of MARS IP address> <interface name>

interface name には inside、outside、DMZ を設定できます。

Cisco Firewall デバイスでの SSH アクセスのイネーブル化

ステップ 1 Cisco Firewall デバイスに管理者権限でログインします。

ステップ 2 次のコマンドを入力します。

ssh <MARS IP address> <netmask of the MARS IP address> <interface name>

interface name には inside、outside、DMZ を設定できます。

Cisco Firewall デバイスから MARS への Syslog ファイルの送信

Syslog メッセージをパブリッシュするように Cisco Firewall デバイスを設定する場合は、次の制限事項を考慮してください。

・Syslog メッセージのプライオリティはカスタマイズしないでください。カスタマイズすると、MARS は Syslog メッセージを解析できなくなります。

・Syslog メッセージに EMBLEM フォーマットを設定しないでください。設定では次のいずれのコマンドも使用することはできません。

logging host <interface name> <PN-MARS's IP address> format EMBLEM

logging emblem

MARS アプライアンスに Syslog メッセージを送信するには、ロギングをイネーブルにし、ログ ファシリティおよびキュー サイズを選択して、ログ レベルをデバッグに指定する必要があります。

ステップ 1 Cisco Firewall デバイスに管理者権限でログインします。

ステップ 2 ロギングをイネーブルにするには、次のいずれかのコマンドを入力します。

・（PIX および Cisco ASA）logging enable

・（FWSM）logging on

ステップ 3 MARS アプライアンスをターゲット ロギング ホストとして指定するには、次のコマンドを入力します。

logging host <interface name> <MARS IP address>

ステップ 4 ログ レベルをデバッグに設定して、HTTP および FTP セッション ログが生成されるようにするには、次のコマンドを入力します。

logging trap debugging

デバッグ メッセージには、HTTP URL アドレス情報が含まれます。したがって、ファイアウォール メッセージ自体とマッチングするキーワードベース規則を作成できます。たとえば、ユーザが「http://mail.yahoo.com」にロギングしている場合、デバッグ メッセージがイネーブルであれば、「mail.yahoo.com」とマッチするキーワードベース規則を作成できます。

デバッグ メッセージはトラブルシューティング用としても推奨します。デバッグレベル キーワードに関してマッチするインスペクション規則を定義して、該当するグループに通知を送信することもできます。目的のキーワードについては、PIX デバッグ メッセージを参照してください。

STM ソリューションを最適に使用するには、デバッグをイネーブルにすることを推奨します。パフォーマンス上の理由から Cisco Firewall デバイスがデバッグレベル メッセージを維持できない場合は、情報レベルを使用する必要があります。デバッグ以外のモードの場合は、URL 情報を使用できません。クエリーおよびレポートに使用できるのは、5 タプルのみです。

ステップ 5 FWSM の場合は、次のコマンドを入力します。

logging rate-limit <eps rate desired> 1

ステップ 6 Cisco ASA、PIX 7.0、および FWSM の場合は、定義されたコンテキスト、管理、およびセキュリティごとに、ステップ 2 〜 ステップ 5 を繰り返します。

ステップ 7 （Cisco ASA のみ）AIP モジュールが搭載されている場合は、このモジュールを IPS 5.0 モジュールの場合と同様に準備する必要があります。詳細については、「Cisco IPS モジュール」を参照してください。

MARS での Cisco Firewall デバイスの追加および設定

PIX セキュリティ アプライアンス、Cisco ASA、または FWSM を MARS に追加するプロセスでは、稼働しているソフトウェア バージョンにかかわらず、手順の多くが同じです。PIX ソフトウェア バージョン 6.0、6.1、6.2、および 6.3 では、手順はまったく同じです。ただし、Cisco ASA、PIX 7.0、および FWSM には、複数のセキュリティ コンテキスト、または仮想ファイアウォールを定義する機能があります。

MARS に Cisco ASA、PIX 7.0、および FWSM を追加するには、2 つの手順を実行します。まず、管理コンテキストの設定を定義する必要があります。次に、複数のコンテキスト モードがイネーブルの場合は、セキュリティ コンテキストの設定を定義するか、または検出します。これらの Cisco Firewall デバイスには 2 つのタイプのコンテキストがあります。デバイス自体の設定に使用される管理コンテキスト（1つ）と、セキュリティ コンテキスト（1 つまたは複数）です。Cisco ASA の場合は、アプライアンスに搭載されたモジュールを定義したり、検出したりすることもできます。

注 Cisco ASA、PIX 7.0、および FWSM は単一コンテキスト モードで実行できます。つまり、システム コンテキストは管理コンテキストとセキュリティ コンテキストの両方として機能します。

Cisco Firewall デバイスを追加および設定する手順は、次のとおりです。

ステップ 1 次のいずれかの操作を実行します。

・FWSM を追加する場合は、追加先のシスコ製スイッチのメイン ページで作業する必要があります。このページで、Add Module をクリックします。

・PIX セキュリティ アプライアンスまたは Cisco ASA を追加する場合は、Admin > System Setup > Security and Monitor Devices > Add の順に選択します。

ステップ 2 Device Type リストで、次のいずれかのオプションを選択します。

・Cisco PIX 6.0

・Cisco PIX 6.1

・Cisco PIX 6.2

・Cisco PIX 6.3

・Cisco PIX 7.0

・Cisco ASA 7.0

・Cisco FWSM 1.1

・Cisco FWSM 2.2

・Cisco FWSM 2.3

ステップ 3 Device Name フィールドにファイアウォール デバイスの名前を入力します。

この名前はレポート IP アドレスに対応付けられ、トポロジー マップ、クエリー、および Security and Monitoring Device リストで使用されます。ルータやファイアウォールなど、検出処理をサポートしているデバイスの場合、このフィールド値の名前はデバイス設定で検出された名前に合わせて変更されます。通常は、hostname.domain フォーマットが使用されます。Windows ホストや Linux ホスト、ホスト アプリケーションなど、検出できないデバイスの場合は、指定された値が使用されます。

ステップ 4 （任意）このファイアウォール デバイスから設定を検出できるように MARS を設定するには、Access IP フィールドに管理 IP アドレスを入力します。

注 デバイスで Cisco ASA、PIX 7.0、または FWSM が稼働している場合、このアドレスは管理コンテキストの Syslog メッセージの送信元 IP アドレスに対応します。

アクセス IP アドレス、その役割、依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 5 Reporting IP フィールドに、Syslog メッセージ、SNMP 通知、またはその両方をパブリッシュするインターフェイスの IP アドレスを入力します。

注 デバイスで Cisco ASA、PIX 7.0、または FWSM が稼働している場合、このアドレスは管理コンテキストの Syslog メッセージの送信元アドレスに対応します。

レポート IP アドレス、その役割、依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 6 Access IP フィールドにアドレスを入力した場合は、Access Type リストで TELNET、SSH、または FTP を選択し、選択内容に対応した手順に進みます。

・ MARS のデバイスに対する Telnet アクセスの設定

・ MARS のデバイスに対する SSH アクセスの設定

・ MARS のデバイスに対する FTP アクセスの設定

注 Cisco ASA、PIX 7.0、または FWSM の定義中に FTP アクセス タイプを選択した場合は、管理以外のコンテキスト設定を検出できません。このため、このアクセス タイプは推奨しません。

アクセス タイプの決定方法については、「アクセス タイプの選択」を参照してください。

ステップ 7 （任意）MARS がこのレポート デバイスの MIB（管理情報ベース）オブジェクトを取得できるようにするには、SNMP RO Community フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、アクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、レポート デバイスの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワークの設定を検出したりします。

ステップ 8 （任意）MARS がこのデバイスをモニタして異常なリソース使用率を検出できるようにするには、Monitor Resource Usage リストで Yes を選択します。

結果：MARS はデバイス内で、リソース（メモリや CPU など）の異常な消費をモニタします。異常が検出されると、MARS はインシデントを生成します。リソース使用率の統計情報は、レポートを生成する場合にも使用されます。詳細については、「リソース使用率データの設定」を参照してください。

ステップ 9 （Cisco ASA、FWSM、および PIX 7.0 のみ）以下のいずれかを実行します。

・Discover をクリックして、MARS がデバイスと通信し、トポロジーおよびコンテキスト設定を検出できるようにします。セキュリティ コンテキストに関する情報は、メイン ページの Context セクションに表示されます。検出されたコンテキストを編集するには、「検出されたセキュリティ コンテキストの編集」に進みます。

・Next をクリックして、変更をコミットし、セキュリティ コンテキストまたはモジュールを手動で定義できるようにします。「セキュリティ コンテキストの手動追加」、「検出されたコンテキストの追加」、または「シスコ製スイッチまたは Cisco ASA への IPS モジュールの追加」に進みます。

PIX および FWSM の場合は、1 つまたは複数のセキュリティ コンテキストを追加できます。Cisco ASA の場合は、セキュリティ コンテキスト、または Cisco IPS 5.x ソフトウェアが稼働している AIP モジュールを 1 つまたは複数追加できます。

ステップ 10 （任意）アクセス IP を定義して、アクセス タイプを選択および設定したら、Discover をクリックして、デバイス設定（任意のセキュリティ コンテキストおよびその設定を含む）を判別します。

結果：ユーザ名およびパスワードが正しく、MARS アプライアンスがデバイスの管理ホストとして設定されている場合は、検出処理が完了すると、「Discovery is done」ダイアログボックスが表示されます。処理が適切に完了しない場合は、エラー メッセージが表示されます。最初のプルのあと、MARS アプライアンスは定義されたスケジュールに基づいてプルします。詳細については、「トポロジー更新のスケジュール」を参照してください。

ステップ 11 MARS データベースにデバイスを追加するには、Submit をクリックします。

結果：データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、動作中の作業メモリに変更内容が送信されます。

ステップ 12 Activate をクリックします。

結果：MARS はこのデバイスによって生成されたイベントのセッション化を開始して、定義済みのインスペクション規則および廃棄規則を使用してこれらのイベントを評価します。アクティブ化の前にデバイスから MARS にパブリッシュされたイベントは、デバイスのレポート IP アドレスを一致基準として使用して、問い合わせることができます。アクティブ化アクションの詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。

セキュリティ コンテキストの手動追加

PIX 7.0、Cisco ASA、または FWSM の場合は、セキュリティ コンテキストを手動で定義できます。

ステップ 1 次のいずれかの操作を実行します。

・（PIX 7.0 および FWSM）Add Context をクリックします。

・（Cisco ASA）Add Module をクリックします。

ステップ 2 Device Type リストで、次のいずれかを実行します。

・Cisco ASA の場合は、Cisco ASA 7.0 を選択します。

・PIX 7.0 の場合は、Cisco PIX 7.0 を選択します。

・FWSM の場合は、Cisco FWSM x.y を選択します。x.y は、モジュールで稼働しているソフトウェアのバージョン番号です。

ステップ 3 Device Name フィールドにファイアウォール デバイスの名前を入力します。

この名前はレポート IP アドレスに対応付けられ、トポロジー マップ、クエリー、および Security and Monitoring Device リストで使用されます。ルータやファイアウォールなど、検出処理をサポートしているデバイスの場合、このフィールド値の名前はデバイス設定で検出された名前に合わせて変更されます。通常は、hostname.domain フォーマットが使用されます。Windows ホストや Linux ホスト、ホスト アプリケーションなど、検出できないデバイスの場合は、指定された値が使用されます。

ステップ 4 Context Name フィールドにセキュリティ コンテキストの名前を入力します。

この名前は、デバイスで定義されたコンテキスト名と正確に一致する必要があります。

ステップ 5 Reporting IP フィールドに、Syslog メッセージ、SNMP 通知、またはその両方のパブリッシュ元になるセキュリティ コンテキストの IP アドレスを入力します。

レポート IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 6 （任意）MARS がこのセキュリティ コンテキストの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、アクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、セキュリティ コンテキストの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワーク設定を検出したりします。

ステップ 7 定義されたコンテキストの設定を検出するには、Discover をクリックします。

この検出では、ルート、NAT、および ACL 関連情報がすべて収集されます。デバイス名が hostname.domain フォーマットで入力されていない場合は、このフォーマットに変更されることがあります。

ステップ 8 変更を保存するには、Submit をクリックします。

検出されたコンテキストの追加

Cisco ASA、PIX 7.0、または FWSM で Discover を選択した場合、MARS は該当するファイアウォール デバイスに対して定義されたコンテキストを検出します。ただし、検出されたコンテキストは手動で追加する必要があります。

注 Cisco ASA に搭載されたモジュールは検出できません。IPS モジュールは手動で定義する必要があります。ただし、検出されたコンテキストは、メイン ページの Module 領域に表示されます。

ステップ 1 次のいずれかの操作を実行します。

・（PIX 7.0 および FWSM）Add Available Context をクリックします。

・（Cisco ASA）Add Available Module をクリックします。

ステップ 2 Select リストで、セキュリティ コンテキストを選択します。

ステップ 3 Add をクリックします。

ステップ 4 その他のコンテキストについて、手順を繰り返します。

ステップ 5 変更を保存するには、Submit をクリックします。

検出されたコンテキストを追加したら、コンテキストを編集して、MARS で必要となる連絡先情報を追加する必要があります。「検出されたセキュリティ コンテキストの編集」に進みます。

検出されたセキュリティ コンテキストの編集

注 検出されたすべてのコンテキストを編集して、レポート IP アドレスおよび SNMP RO コミュニティ ストリングを指定する必要があります。

ステップ 1 検出されたコンテキストのリストで、編集するコンテキストを選択し、デバイス タイプに適したアクションを選択します。

・（PIX 7.0）Edit Context をクリックします。

・（Cisco ASA および FWSM）Edit Module をクリックします。

ステップ 2 Reporting IP フィールドに、セキュリティ コンテキストの Syslog メッセージの送信元となる IP アドレスを入力します。

ステップ 3 （任意）MARS がこのコンテキストの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、アクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、レポート デバイスの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワークの設定を検出したりします。

ステップ 4 （任意）MARS がこのコンテキストをモニタして異常なリソース使用率を検出できるようにするには、Monitor Resource Usage リストで Yes を選択します。

結果：MARS はデバイス内で、リソース（メモリや CPU など）の異常な消費をモニタします。異常が検出されると、MARS はインシデントを生成します。リソース使用率の統計情報は、レポートを生成する場合にも使用されます。詳細については、「リソース使用率データの設定」を参照してください。

ステップ 5 変更を保存するには、Submit をクリックします。

ステップ 6 検出された各コンテキストに対して手順を繰り返します。

NetScreen ScreenOS デバイス

MARS は NetScreen ScreenOS デバイス（バージョン 4.0 および 5.0）をモニタできます。このモニタリングを実現するための手順は、次のとおりです。

1. MARS から NetScreen デバイスへの SNMP、SSH、または Telnet 管理アクセスを許可します。

2. NetScreen デバイスと MARS で共有する SNMP RO コミュニティ ストリングを定義します。

3. MARS にパブリッシュする Syslog メッセージを指定します。

4. MARS HTML インターフェイスに Netscreen デバイスを追加します。

これらの要件を満たすには、次の 2つの手順を実行する必要があります。

・ NetScreen デバイスのブートストラップ

・ MARS への NetScreen デバイスの追加

NetScreen デバイスのブートストラップ

MARS によってモニタされる NetScreen デバイスを準備する手順は、次のとおりです。

ステップ 1 適切なユーザ名およびパスワードを使用して、NetScreen にログインします。

ステップ 2 メイン画面の左側のカラムで、Network > Interfaces の順にクリックします。

ステップ 3 該当するインターフェイスの横にある Edit をクリックして、SNMP および Telnet/SSH にアクセスできるように MARS を設定します。

ステップ 4 Service Options で、次のいずれかの値を選択します。

・SNMP

・Telnet

・SCS（4.0 のみ）

・SSH（5.0 以上）

MARS が設定検出を実行する場合に使用できるのは、1 つのアクセス方式のみです。この値は、「MARS への NetScreen デバイスの追加」の Access Type でも選択します。

ステップ 5 Apply をクリックしてから、OK をクリックします。

ステップ 6 Configure > Report Settings > SNMP の順に選択して、SNMP 情報を設定します。

ステップ 7 Edit をクリックして、Host List に MARS IP アドレスを追加します。

ステップ 8 MARS IP アドレスを入力し、このウィンドウの Community Name が、このデバイスを追加するときに MARS HTML インターフェイスに入力されたコミュニティ ストリングと同じであることを確認します。

ステップ 9 （任意）コミュニティ ストリングが一致しない場合は、New Community をクリックして、MARS の定義と一致するものを定義します。

ステップ 10 Configure > Report Settings > Syslog の順に選択して、Syslog 情報を設定します。

ステップ 11 Enable Syslog Messages および Include Traffic Log ボックスがオンになっていることを確認します。

ステップ 12 このデバイスからのイベントを待ち受ける MARS アプライアンスの IP アドレスを入力します。

ステップ 13 デフォルトの Syslog ポート番号 514 が選択されていることを確認します。

ステップ 14 Security Facility に AUTH/SEC を、Facility に LOCAL0 を選択します。

ステップ 15 NetScreen 5.0 の場合は、Traffic Log だけでなく Event Log も選択します。

ステップ 16 Apply をクリックします。

ステップ 17 MARS アプライアンスにイベントを送信するポリシーごとに、ロギングを設定します。左側の領域で、Policies を選択します。

ステップ 18 Edit をクリックしてから Advance をクリックし、Logging ボックスがオンになっていることを確認します。MARS にイベントを送信する必要があるすべてのポリシーに対して、ステップを繰り返します。

ステップ 19 MARS に送信する必要があるすべての Syslog イベント重大度が設定されていることを確認します。Configuration > Report Settings > Log Settings の順に選択して、イネーブル化された Syslog 重大度を確認します。

MARS への NetScreen デバイスの追加

ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順に選択します。

ステップ 2 Device Type リストで、該当する NetScreen ScreenOS のバージョンを選択します。

ステップ 3 Device Name フィールドにデバイスの名前を入力します。

この名前はレポート IP アドレスに対応付けられ、トポロジー マップ、クエリー、および Security and Monitoring Device リストで使用されます。ルータやファイアウォールなど、検出処理をサポートしているデバイスの場合、このフィールド値の名前はデバイス設定で検出された名前に合わせて変更されます。通常は、hostname.domain フォーマットが使用されます。Windows ホストや Linux ホスト、ホスト アプリケーションなど、検出できないデバイスの場合は、指定された値が使用されます。

ステップ 4 （任意）このデバイスから設定を検出できるように MARS を設定するには、Access IP フィールドに管理 IP アドレスを入力します。

アクセス IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 5 Reporting IP フィールドに、Syslog メッセージ、SNMP 通知、またはその両方をパブリッシュするインターフェイスの IP アドレスを入力します。

レポート IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 6 Access IP フィールドにアドレスを入力した場合は、Access Type リストで SNMP、TELNET、または SSHを選択し、選択内容に対応した手順に進みます。

・ MARS のデバイスに対する SNMP アクセスの設定

・ MARS のデバイスに対する Telnet アクセスの設定

・ MARS のデバイスに対する SSH アクセスの設定

アクセス タイプの決定方法については、「アクセス タイプの選択」を参照してください。

ステップ 7 （任意）MARS がこのレポート デバイスの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、アクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、レポート デバイスの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワークの設定を検出したりします。

ステップ 8 （任意）アクセス IP を定義して、アクセス タイプを選択および設定したら、Discover をクリックして、デバイス設定を判別します。

結果：ユーザ名およびパスワードが正しく、MARS アプライアンスがデバイスの管理ホストとして設定されている場合は、検出処理が完了すると、「Discovery is done」ダイアログボックスが表示されます。これ以外の場合は、エラー メッセージが表示されます。最初のプルのあと、MARS アプライアンスは定義されたスケジュールに基づいてプルします。詳細については、「トポロジー更新のスケジュール」を参照してください。

ステップ 9 MARS データベースにデバイスを追加するには、Submit をクリックします。

結果：データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、動作中の作業メモリに変更内容が送信されます。

ステップ 10 Activate をクリックします。

結果：MARS はこのデバイスによって生成されたイベントのセッション化を開始して、定義済みのインスペクション規則および廃棄規則を使用してこれらのイベントを評価します。アクティブ化の前にデバイスから MARS にパブリッシュされたイベントは、デバイスのレポート IP アドレスを一致基準として使用して、問い合わせることができます。アクティブ化アクションの詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。

Check Point デバイス

Check Point セキュリティ製品ファミリーは、配布して、階層化できます。したがって、この製品ファミリーの配置方法、コンポーネント、およびリリース バージョン、これらの関係、および MARS との相互作用について理解する必要があります。また、この製品ファミリーに関連する多くの略語や短縮形についても理解する必要があります。表 4-1 に、以降のトピックで使用される短縮形および略語を示します。

MARS のサポート内容を理解するために、まず Check Point で使用される製品用語を明確にします。NG は 5.x 製品ファミリーを意味し、FP1、FP2、および FP3 の 3 つの機能パッケージがあります。NG は NG AI と異なります。NG FP2 に導入された SmartDefense フィーチャ セットが、NG AI では改善され、名前が変更されています。NG AI にはアプリケーションを認識する多数のインスペクションも用意されているため、Application Intelligence という名前が付けられてます。NG AI にはリリース R54 および R55 が含まれます。NGX は 6.x 製品ファミリーを意味し、R60 リリース以降に対応します。

MARS は次のリリースに対してサポートし、テストされています。

・NG FP3

・NG AI（R55）

・NGX（R60）

Provider-1、SiteManager-1、SmartCenter、および SmartCenter Pro などのさまざまなセキュリティ プラットフォームには、NG、NG AI、および NGX リリース系統としてリリースされたテクノロジーがバンドルされています。このため、サポート対象のいずれかのリリース系統に属している MARS は、どのセキュリティ プラットフォームでも機能します。

Check Point Provider-1 は、Managed Security Service Providers（MSSP）およびマルチサイト エンタープライズ用のセキュリティ管理システムです。サービス プロバイダーはカスタマー サイトの Check Point ゲートウェイ（ファイアウォールおよび VPN ゲートウェイ）を管理できます。セキュリティ ポリシーおよびシステム設定は、MDS に格納されます。カスタマー単位のセキュリティ ポリシーはそれぞれ、同様に MDS 上にある CMA を介して管理されます。Provider-1 システムを使用すると、サービス プロバイダーおよびエンド カスタマーは MLM および CLM をそれぞれ使用して、個別のログ サーバを維持できます。Provider-1 のユーザ インターフェイスは MDG といいます。このシステムはゲートウェイ、CMA、または MDS レベルの冗長化を通して、階層構造のフォールトトレラント設定もサポートします。

Provider-1 システムにより、コンポーネントと Check Point ゲートウェイ間のセキュアでプライベートな通信が実現します。各 CMA には証明書を発行する独自の内部認証局があり、これによって CMA、ログ サーバ、およびネットワーク間でセキュアな通信が確立されます。MDS 間のすべての通信は認証および保護され、すべての MDS は収容先の CMA とセキュアに通信します。

SiteManager-1 システムは Provider-1 とほとんど同じように動作しますが、大規模なエンタープライズ カスタマーを対象としています。Check Point のコンポーネントは、Provider-1 のコンポーネントと同じです。

SmartCenter および SmartCenter Pro は、同様にエンタープライズ カスタマーを対象とするセキュリティ管理システムです。これらは Provider-1 システムをサポートし、CMA レベルでバックアップ サーバとして機能します。ただし、これらの主な機能は、両方のシステムのユーザ インターフェイスである SmartDashboard を介して、中央からセキュリティを確立し、VPN ポリシー、およびセキュリティ イベント管理を実行することです。MARS 側から見た場合、SmartCenter にはゲートウェイやデスクトップ ノードに対応したポリシーやイベントを管理して、ネットワークのビューを拡張する機能があります。

・VPN-1 境界セキュリティ ゲートウェイ

・InterSpect 内部セキュリティ ゲートウェイ

・Connectra Web セキュリティ ゲートウェイ

・SecureClient、デスクトップおよびサーバで稼働する個人向けファイアウォール

MARS は、Provider-1、SiteManager-1、および SmartCenter と SmartCenter Pro の SmartCenter Server などのプライマリ管理サーバをモニタします。これらの管理サーバでは、実際のセキュリティおよび監査ポリシーが中央で管理および格納されます。Check Point を配置する必要がある場合、MARS は各ファイアウォール、VPN ゲートウェイ、ログ サーバなど、管理ステーションで管理されるこれらのコンポーネントもモニタします。これらのリモート コンポーネントをモニタするように MARS を設定するかどうかは、中央の管理サーバ（SmartCenter または CMA）にセキュリティ イベント ログを伝播させるかどうかによって決まります。プライマリ管理サーバにログを転送しない場合は、実行モジュールに対してローカルかどうかに関係なく、ログ リポジトリの場所を定義する必要があります。定義しないと、ログは別のロギング モジュール（CLM）に転送されます。

コンポーネントについて理解するだけでなく、Check Point コンポーネントが Secure Internal Communications（SIC）を使用して相互に、およびサードパーティ製 OPSEC アプリケーションとセキュアに通信する方法を理解することが重要です。SIC は、MARS アプライアンスが SmartCenter Server およびその他の Check Point コンポーネントを認証する場合に使用するプロセスです。SIC はセッション キーをネゴシエートするためのシードとして共有秘密鍵を使用します。この共有秘密鍵は、アクティベーション キーといいます。認証および通信の設定手順は、次のとおりです。

1. MARS はユーザ名とパスワードのペアを使用して、SmartCenter Server およびその他の Check Point コンポーネント（リモート ログ サーバなど）を認証します（TCP ポート 18210 を使用）。

2. 認証されたピアは、TCP ポート 18190 を使用して、アクティベーション キーおよび相互の SIC を交換します。

3. 各ピアが相互の認証を検証した場合、Check Point コンポーネントは TCP ポート 18184 を介して、MARS アプライアンスとの暗号化セッションを確立します。Check Point コンポーネントが暗号化ログ データを MARS に送信する場合は、このチャネルを経由します。

次に示すトピックでは、Check Point 環境への MARS の統合について説明します。

・ モニタするデバイスの判別および制限事項

・ Check Point デバイスのブートストラップ

・ MARS での Check Point デバイスの追加および設定

・ MARS および Check Point のトラブルシューティング

モニタするデバイスの判別および制限事項

Check Point デバイスを設定するには、中央の管理サーバと管理対象コンポーネントを識別し、これらをブートストラップして、MARS HTML インターフェイスに追加して設定する必要があります。Check Point デバイスをモニタするように MARS を設定する場合に実行しなければならないタスクは、Check Point 製品ラインとリリース、および管理対象デバイス数によって決まります。

MARS で Check Point デバイスを表すには、次の 2 つのステップを実行します。

1. プライマリ管理ステーションを定義します。このプライマリ管理ステーションは、ファイアウォール、VPN ゲートウェイ、ログ サーバなどのリモート コンポーネントを管理する中央管理サーバを表します。

2. 1 つまたは複数の子実行モジュールを定義します。子実行モジュールは、プライマリ管理ステーションで管理されるリモート コンポーネントです。これらのモジュールは、ファイアウォール、VPN ゲートウェイ、およびログ サーバを表します。

SmartCenter および SmartCenter Pro を管理する場合、プライマリ管理ステーションは SmartCenter サーバです。Provider-1/SiteManager-1 リリース NG FP3、NG AI（R55）、および NGX（R60）を管理する場合、プライマリ管理ステーションは MDS でなく、MDS で定義された各 CMA です。つまり、各 CMA を個別のプライマリ管理ステーションとして定義する必要があります。子実行モジュールは、CMA で定義されたカスタマーまたはサイトの一部として管理されるゲートウェイおよびログ サーバ（CLM）です。

ユーザが決定しなければならない内容には、セキュリティ イベント ログの格納場所があります。次の 2 つのオプションがあります。

・中央イベントの相関付け - MLM または SmartCenter サーバはすべてのリモート コンポーネントからログをプルします。

・分散イベントの相関付け - MLM または SmartCenter Server のほかに、中央管理サーバに集約されない 1 つまたは複数のリモート ログ サーバがあります。これらのサーバ（CLM）を表示および設定して、MARS がこれらからイベントをプルできるようにする必要もあります。

セキュリティ イベントが分散方式で格納されている場合は、MARS アプライアンスと各 Check Point のログ モジュール間で SIC 通信を定義して、確立する必要があります。SmartCenter および SmartCenter Pro の場合、サーバ SIC DN はプライマリ管理ステーションに割り当てられたサーバです。ただし、Provider-1 および SiteManager-1 の場合、サーバ SIC DN はリリースによって異なります。Provider-1 および SiteManager-1 NG FP3 および NG AI（R55）の場合、サーバ SIC DN は CMA に対応するサーバです。Provider-1 および SiteManager-1 NGX（R60）の場合は、定義したすべての CMA および CLM に、MDS に対応する SIC を使用できます。

Provider-1 および SiteManager-1 製品には、別の制限事項があります。Provider-1 および SiteManager-1 NG FP3 および NG AI（R55）の場合は、各 CMA で MARS アプライアンスを表す OPSEC アプリケーションを定義する必要があります（CMA SmartDashboard ユーザ インターフェイスを使用）。Provider-1 および SiteManager-1 NGX（R60）の場合は、MARS アプライアンスを表す OPSEC アプリケーションを 1 つ定義して、この定義を MDS で管理されるすべての CMA および CLM にプッシュできます。

Check Point デバイスのブートストラップ

Check Point デバイスをブートストラップする場合は、データを MARS アプライアンスに送信するようにデバイスを設定し、MARS アプライアンスが Check Point の設定を検出できるようにします。Check Point デバイスを設定するだけでなく、MARS HTML インターフェイスで Check Point デバイスを表すために必要な情報も収集する必要があります。

MARS アプライアンスをターゲット ログ ホストおよび OPSEC アプリケーション オブジェクトとして定義して（このサーバが CMA サーバであるか、SmartCenter サーバであるかに関わらず）、中央の Check Point 管理サーバをブートストラップします。

1. Check Point SmartDashboard または Check Point Provider-1/SiteManager-1 MDG を使用して、MARS アプライアンスをホストとして追加します。

2. OPSEC アプリケーション オブジェクトを定義済みホスト用に作成して、インストールし、許可鍵をインポートし、クライアント SIC DN を生成します。この SIC DN は、MARS アプライアンスを検証するために、管理サーバを含む OPSEC アプリケーションで使用されます。このクライアント SIC DN は MARS HTML インターフェイスで指定します。MARS アプライアンスと Check Point 管理サーバ間でセッションが確立されると、アプライアンスはこの SIC を管理サーバにパブリッシュして、アプライアンスの拒否が回避されるようにします。

3. Check Point 管理サーバのサーバ SIC DN を取得します。このサーバの SIC は MARS HTML インターフェイスで指定します。MARS アプライアンスはサーバ SIC DN を、セッション設定中に管理サーバからアプライアンスにパブリッシュされた SIC に対して検証します。この検証により、サーバでの拒否が回避されます。

4. 定義されたホスト（MARS アプライアンス）、Check Point 管理サーバ、および任意のリモート サーバ間の SIC トラフィックを許可するポリシーを作成します。デバイスを識別したら、SIC ベースの管理およびレポートに使用されるネットワーク サービスがレポート デバイスで許可されていることを確認する必要があります。これらのトラフィック フローをイネーブルにするには、SIC トラフィックが各レポート デバイスと MARS アプライアンスの間を通過できるようにするポリシーを確認、または更新する必要があります。これらのポリシーを更新したら、ポリシーを導入する必要があります。

5. 定義されたホストに正しいイベントをプッシュするためのログ設定を定義します。セキュリティ、ファイアウォール、ユーザ認証、および監査イベントがすべて記録され、MARS アプライアンスにパブリッシュされるように設定されていることを確認する必要があります。

6. ポリシーをインストールします。ポリシーを定義したら、このポリシーを使用して Check Point コンポーネントを更新する必要があります。ポリシーを導入する場合は、オブジェクト データベースをプッシュして、MARS アプライアンスを表す OPSEC アプリケーション を Check Point モジュールに認識させます。この手順を省略すると、モジュールは LEA を介してログ情報を転送しなくなります。

このタスクを実行するには、管理権限を持つ Check Point ユーザ アカウントが必要です。このアカウントには、新しいホストの作成、OPSEC アプリケーションの定義、新しいポリシーの定義と導入、および管理対象の各 Check Point コンポーネントの設定へのアクセスを実行する権限が必要です。

このタスクを完了したら、次の情報を収集しておく必要があります。

・クライアントおよびサーバの SIC DN

・Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）用の CMA を定義している場合は、MDS が管理する CMA と CLM ごとに Virtual IP Address（VIP）が必要です。MDS と MLM サーバの物理 IP アドレスを必要とするのは、Provider-1 および SiteManager-1 NGX（R60）のみです。

・セキュリティ ログの送信先となるすべての CLM（CMA でない）。ログを CLM に送信する際に LEA がサポートされるのは、クリア テキストを使用する場合のみです。

Check Point デバイスをブートストラップする手順は、次のとおりです。

・ MARS アプライアンスの Check Point のホストとしての追加

・ MARS を表す OPSEC アプリケーションの定義

・ サーバ エンティティ SIC 名の取得

・ LEA および CPMI トラフィックのアクセス タイプの選択

・ ポリシーの作成および導入

・ MARS アプライアンスと Check Point デバイス間の通信パスの確認

MARS アプライアンスの Check Point のホストとしての追加

Check Point で MARS アプライアンスを表すと、次のサポート タスクが使用可能になります。

・MARS アプライアンスのクライアント SIC の生成

・Check Point コンポーネントと MARS アプライアンス間の SIC および Syslog トラフィックを許可するポリシーの定義

・MARS アプライアンスへのログ トラフィックの転送

MARS アプライアンスをホストとして定義する手順は、次のとおりです。

ステップ 1 管理権限を持つアカウントを使用して、正しい Check Point ユーザ インターフェイスにログインします。

SmartCenter を使用している場合は、該当するサーバに SmartDashboard を使用します。Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合は、CMA に SmartDashboard を使用します。Provider-1 または SiteManager-1 NGX を使用している場合は、MDG を使用します。

ステップ 2 メイン メニューで Manage > Network Objects の順に選択します。

結果：Network Objects ダイアログ ボックスが表示されます。

ステップ 3 New ボタンをクリックして、メニュー リストで Node > Host の順に選択します。

結果：Host Node ダイアログが、General Properties 設定が選択された状態で表示されます。

ステップ 4 General Properties ページの Name フィールドに名前として MARS アプライアンスを入力します。

このアプライアンスへのアクセスや、ログ送信が許可されるように定義されたすべての Check Point ポリシーは、アプライアンスをこの名前で参照します。MARS アプライアンスの実際のホスト名を使用することを推奨します。

ステップ 5 IP Address フィールドに、MARS アプライアンスのモニタリング インターフェイスの IP アドレスを入力します。

通常、モニタリング インターフェイスは eth0 です。ただし、1 つまたは複数の中間ゲートウェイが物理 IP アドレスに NAT 規則を適用している場合は、Check Point 中央管理サーバに公開されている IP アドレスを入力します。

ステップ 6 OK をクリックして、Host Node ダイアログボックスを閉じます。

ステップ 7 Close をクリックして、Network Objects ダイアログボックスを閉じます。

結果：MARS アプライアンスを表すホストが定義されます。これで、Check Point ユーザ インターフェイスで新しいポリシーを定義する場合に、このホストを使用することができます。

ステップ 8 「MARS を表す OPSEC アプリケーションの定義」に進みます。

MARS を表す OPSEC アプリケーションの定義

サードパーティ製 OPSEC アプリケーションと Check Point コンポーネントを統合するには、このアプリケーションを定義し、アプリケーションが稼働するホストに対応付ける必要があります。この手順を実行すると、Check Point システムに対するこの OＰSEC アプリケーションが識別されるだけでなく、MARS アプライアンスのクライアント SIC DN が生成されます。「サーバ エンティティ SIC 名の取得」で取得されたクライアント SIC DN とサーバ SIC DN は、アプライアンスと Check Point コンポーネント間でセキュアな通信を実現するために必要です。

この手順ではアクティベーション キーまたは共有秘密鍵を選択します。このキーは、セキュアな通信を実現する場合にも必要です。MARS HTML インターフェイスで Check Point デバイスを定義する場合に使用できるように、アクティベーション キーと SIC DN を記録する必要があります。

ステップ 1 管理権限を持つアカウントを使用して、正しい Check Point ユーザ インターフェイスにログインします。

SmartCenter を使用している場合は、該当するサーバに SmartDashboard を使用します。Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合は、CMA に SmartDashboard を使用します。Provider-1 または SiteManager-1 NGX を使用している場合は、MDG を使用します。

ステップ 2 メイン メニューで Manage > Servers and OPSEC Applications の順に選択します。

結果：Servers and OPSEC ダイアログボックスが表示されます。

ステップ 3 New ボタンをクリックして、メニュー リストで OPSEC Application をクリックします。

結果：OPSEC Application Properties ダイアログボックスが表示されます。

ステップ 4 Name フィールドでこのオブジェクトの名前を指定します。

この値には、「MARS アプライアンスの Check Point のホストとしての追加」のステップ 4 で指定した名前と異なる名前を指定する必要があります。ホスト オブジェクトの実際のホスト名にその他の記述子を追加して、一意の名前を形成することを推奨します。

ステップ 5 Host リストで、「MARS アプライアンスの Check Point のホストとしての追加」のステップ 4 で指定したホストを選択します。

ステップ 6 結果：この OPSEC アプリケーションの定義は、MARS アプライアンスを表すホストに対応付けられます。

ステップ 7 Vendor フィールドで User defined が選択されていることを確認します。

ステップ 8 Client Entities で LEA および CPMI チェックボックスがオンになっていることを確認します。

これらの値は、MARS アプライアンスで必要な OPSEC サービスを識別します。

ステップ 9 Secure Internal Communication の Communication ボタンをクリックします。

結果：Communication ダイアログボックスが表示されます。

ステップ 10 Communication ダイアログボックスの Activation Key および Confirm Activation Key フィールドにアクティベーション キーを入力します。

注 あとで MARS で使用する場合に備えて、この鍵を覚えておいてください。

ステップ 11 Initialize をクリックして、クライアント SIC DN を生成します。

結果：クライアント SIC DN が生成され、Communication ダイアログボックスが閉じ、OPSEC Application Properties ダイアログボックスに戻ります。DN フィールドに新しい SIC が表示されます。

ステップ 12 Close をクリックして、Communication ダイアログボックスを閉じます。

ステップ 13 Secure Internal Communication に表示される DN フィールドの内容を記録します。

この値は、「MARS への Check Point プライマリ管理ステーションの追加」の MARS の Client Entity SIC Name フィールドへの入力に使用されます。

ヒント できるだけ、今後使用する場合に備えて Secure Internal Communication DN フィールドの値を Notepad などのアプリケーションにカット アンド ペーストしてから使用してください。このフィールドを入力すると、入力ミスが発生しやすくなります。マウスを使用して、読み取り専用フィールドの内容を選択してから、Ctrl キーを押しながら Insert キーを押して、フィールドをメモリにコピーします。この値を貼り付けるには、Shift キーを押しながら、Insert キーを押します。値を MARS に貼り付ける場合は、後続スペースを含めないように注意してください。

ステップ 14 CPMI Permissions タブを選択して、Login to SmartCenter with で Administrator's credentials または管理証明書付きの許可プロファイルが選択されていることを確認します。

ステップ 15 OK をクリックして、OPSEC Application Properties ダイアログボックスを閉じます。

ステップ 16 Close を閉じて、Servers and OPSEC Application ダイアログボックスを閉じます。

結果：MARS を表す OPSEC アプリケーションが定義され、正しいホストに対応付けられます。アクティベーション キーおよびクライアント SIC DN も取得され、あとで「MARS への Check Point プライマリ管理ステーションの追加」で使用できます。

ステップ 17 メイン メニューで Policy > Install Database の順に選択します。

結果：この処理により、CMA、CLM、ログ サーバ、ファイアウォールなどのリモート Check Point コンポーネント（子実行モジュール）が更新されます。また、これらのコンポーネントに、OPSEC コンポーネントや SIC クライアントとしての MARS アプライアンスの許可および証明書が提供されます。

ヒント Check Point ログ ビューアを使用すると、OPSEC オブジェクトが正常にプッシュされたかを確認できます。

ステップ 18 「サーバ エンティティ SIC 名の取得」に進みます。

サーバ エンティティ SIC 名の取得

サーバ SIC DN は Check Point コンポーネントと MARS アプライアンス間のセキュアな通信中に拒否を回避するために使用される共有秘密鍵の 1 つです。この値は、「MARS への Check Point プライマリ管理ステーションの追加」の定義に従って、MARS 内のプライマリ管理ステーションを定義する場合に使用します。

ステップ 1 管理権限を持つアカウントを使用して、正しい Check Point ユーザ インターフェイスにログインします。

SmartCenter を使用している場合は、該当するサーバに SmartDashboard を使用します。Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合は、CMA に SmartDashboard を使用します。Provider-1 または SiteManager-1 NGX（R60）を使用している場合は、MDG を使用します。

ステップ 2 メイン メニューで Manage > Network Objects の順に選択します。

ステップ 3 Show リストで Check Points を選択します。

ステップ 4 Network objects リストで正しい Check Point コンポーネントを選択します。

選択する Check Point コンポーネントは、必要な SIC、および使用している Check Point システムによって決まります。SIC を取得する必要があるのは、特に次の場合です。

・各管理サーバで、CPMI を介して設定を検出する場合

・リモート コンポーネントから各管理サーバにログを転送する場合

・各リモート ログ サーバがログを中央管理サーバ（MDS または SmartCenter）に転送しない場合

管理サーバは、次のようなデバイスです。

・スタンドアロン SmartCenter および SmartCenter Pro がインストールされた SmartCenter サーバ

・Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）がインストールされた各 CMA

・Provider-1 または SiteManager-1 NGX（R60）がインストールされた MDS

ログ サーバは、次のようなデバイスです。

・スタンドアロン SmartCenter および SmartCenter Pro がインストールされた SmartCenter サーバ

・Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）がインストールされた各 CLM

・Provider-1 または SiteManager-1 NGX（R60）がインストールされた MLM

ステップ 5 Edit をクリックします。

Check Point Host - Management ダイアログボックスが、General Properties ページが選択された状態で表示されます。

ステップ 6 Secure Internal Communication に表示される DN フィールドで定義された値を記録します。

この値は、「MARS への Check Point プライマリ管理ステーションの追加」、「Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加」、または「Check Point プライマリ管理ステーションで検出されたファイアウォールの編集」で、MARS の Server Entity SIC Name フィールドに入力する場合に使用します。

ステップ 7 OK をクリックして、Check Point Host ダイアログボックスを閉じます。

ステップ 8 この Check Point のその他の管理サーバまたはログ サーバを追加するごとに、Network Objects リストで該当するデバイスを選択し、ステップ 5 〜ステップ 7 を繰り返します。

ステップ 9 Close をクリックして、Network Objects ダイアログボックスを閉じます。

ステップ 10 「LEA および CPMI トラフィックのアクセス タイプの選択」に進みます。

LEA および CPMI トラフィックのアクセス タイプの選択

Check Point デバイスは特殊なアクセス タイプを使用して、設定検出およびイベント ログ クエリーを実行します。設定検出用のプロトコルは CPMI です。イベント ログ クエリー用のプロトコルは LEA です。これらのプロトコルにはそれぞれ、バルク暗号化を使用するかどうか、使用する暗号、通信に使用するポートなど、特定の設定属性があります。

Check Point デバイスが正しく設定されているか確認できるように、サポートされている設定を理解する必要があります。MARS がサポートするのは、使用可能な 3 つの Check Point 認証モードのみです。

・CLEAR - トラフィックの認証も暗号化も行いません。

・SSLCA - 対称キー暗号化を使用して、通信を認証し、暗号化する必要があります。

・ASYMSSLCA - 非対称キー暗号化を使用して、通信を認証し、暗号化する必要があります。

これらのアクセス プロトコルは、次のように設定します。

注 通常、Check Point 配置に CLM が含まれないかぎり、デフォルト値を使用する必要があります。

・<service> auth_port <port_number>

fwopsec.conf ファイルにこの行を追加する必要があります。service 値は LEA_SERVEAR または CPMI_SERVER です。port_number には有効値が 2 つあります。1 つは 0 です。この場合、サーバは認証されたセッション要求を待ち受けません。もう 1 つは、認証プロトコルまたは暗号化プロトコルのポート番号です。port_number 値が 0 の場合は、CLEAR モードで <service> port <port_number> 設定を使用して、有効なポートでセッション要求を待ち受けるようにサーバを設定する必要があります。

・<service> auth_type <cipher>

service 値は LEA_SERVER または CPMI_SERVER です。cipher では、有効値 が 2 つサポートされています。1 つは、対称キー暗号化を使用した認証および暗号化に対応する sslca です。もう 1 つは、非対称キー暗号化を使用した認証および暗号化に対応した asym_sslca です。このサービスの auth_port 設定が 0（ゼロ）の場合は、fwopsec.conf ファイルで auth_type を指定する必要はありません。この行はコメントアウトすることができます。

・<service> port <port_number>

fwopsec.conf ファイルにこの行を追加する必要があります。service 値は LEA_SERVER または CPMI_SERVER です。port_number の値は、目的のネットワーク サービスが待ち受けるポートの番号と一致する必要があります。port_number が 0（ゼロ）の場合、ログ サーバは CLEAR モードで待ち受けません。

0 以外の数値の場合、サービスは認証なしでログをプルできます。LEA_SERVER の場合は、暗号化ログ通信にポート 18184 が使用されるため、このポートを使用できません。CPMI_SERVER の場合は、ポート 18190 を使用できません。CLEAR がイネーブルの場合は、このポートで認証がディセーブルです。このポートから Check Point コンポーネントにアクセスできるホストは、ログをプルできます。トランザクション全体のコストにおいて安価である CLEAR をイネーブルにした場合は、MARS アプライアンスおよびその他の既知の管理ホストへのアクセスを制限するポリシーを定義します。

注 MARS 4.1 より前のリリースでは、Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合に、MARS アプライアンスで SSLCA モードを使用してログを取得することができませんでした。代わりに、CLEAR モードを使用して LEA セッション要求を受け入れるように各 CMA および CLM を設定する必要がありました。MLM に LEA を設定する必要はありませんでした。

次の例では、LEA がポート 18184（デフォルト）を介した ASYMSSLCA ベース認証接続を使用すること、トラフィックが SSL を介して暗号化されること、およびログ サーバがクリア テキスト形式の要求を待ち受けないことを指定します。

LEA_SERVER			auth_port			18184

LEA_SERVER			auth_type			asym_sslca

LEA_SERVER			port			0

次に、ログ サーバがポート 18187 でクリアテキスト形式の要求を待ち受ける例を示します。このような要求は処理されますが、セッションには認証も暗号化も行われません。

LEA_SERVER			port			18187

Check Point で使用されるデフォルト設定は、次のとおりです。

・LEA の場合、認証方式は SSLCA で、通信は TCP 18184 を介して行われます。

・CPMI の場合、認証方式は SSLCA で、通信は TCP 18190 を介して行われます。

アクセス タイプ設定を確認または変更する手順は、次のとおりです。

ステップ 1 Check Point サーバにログオンします。

Provider-1 および SiteManager-1 の場合、このサーバは MDS、MLM、または CLM です。それ以外の場合は、SmartCenter サーバです。

ステップ 2 各 CMA および CLM のサブディレクトリ内にある fwopsec.conf ファイルを開きます。

次の例では、検索コマンドを使用してファイルを特定します。Customer1 は CLM を識別します。

[Expert@logger]# find .-name "fwopsec.conf" -print

./var/opt/CPfw1-R55/conf/fwopsec.conf

./var/opt/CPmds-R55/customers/Cust1Log/CPfw1-R55/conf/fwopsec.conf

[Expert@logger]# cd /var/opt/CPmds-R55/customers/Cust1Log/CPfw1-R55/conf

ステップ 3 vi（ブイアイ）やメモ帳などのテキスト エディタを使用して、fwopsec.conf ファイルを編集し、必要に応じて LEA および CPMI 通信設定を変更します。

ステップ 4 変更をファイルに保存します。

ステップ 5 各 CLM および CMA にステップ 2 〜ステップ 4 を繰り返します。

ステップ 6 変更したら、Check Point サーバを再起動します。

結果：CPMI および LEA サーバが再起動し、通信情報がリロードされ、正しいポートでセッション要求を待ち受けるようにサーバが設定されます。

ステップ 7 「ポリシーの作成および導入」に進みます。

ポリシーの作成および導入

Check Point 中央管理サーバおよびリモート ログ サーバの関連ポートに MARS アプライアンスがアクセスできるようにする、ファイアウォール ポリシーを作成する必要があります。デフォルト ポートは、次のとおりです。

・TCP ポート 18190 - 設定を検出する場合に CPMI で使用されます。

・TCP ポート 18210 - SmartCenter、MDS、MLM、CMA、または CLM で認証局から証明書を取得する場合に使用されます。

・TCP ポート 18184 - MLM や CLM などのログ サーバから、セキュリティ イベント ログをプルする場合に使用されます。

ただし、「LEA および CPMI トラフィックのアクセス タイプの選択」で指定された CPMI および LEA サーバ設定を使用する必要があります。ポリシーが定義されている場合は、Check Point コンポーネントと MARS アプライアンス間のトラフィックを検査するすべてのファイアウォール モジュールに、これらのポリシーを導入する必要があります。

管理サーバに Check Point ファイアウォールが導入されている場合は、次の手順を実行します。

ステップ 1 管理権限を持つアカウントを使用して、正しい Check Point ユーザ インターフェイスにログインします。

SmartCenter を使用している場合は、該当するサーバに SmartDashboard を使用します。Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合は、CMA に SmartDashboard を使用します。Provider-1 または SiteManager-1 NGX を使用している場合は、MDG を使用します。

ステップ 2 Check Point ファイアウォール コンポーネントが Check Point コンポーネント（中央管理サーバおよびログ サーバ）と、これらのコンポーネントをモニタする MARS アプライアンスの間にある場合は、これらのデバイス間の管理トラフィックとログ トラフィックを許可するセキュリティ ポリシーを定義します。

CPMI 検出をイネーブルにした場合は、サービス条件に CMPI を含める必要があります。ログ アクセスをイネーブルにするには、サービス リストに FW1_lea を含める必要があります。

ステップ 3 セキュリティ ポリシーがログに設定されていることを確認します。

各規則の Track カラムには、Log アクションが表示されます。ロギングをイネーブルにするには、規則の Track フィールドを右クリックして、ショートカット メニューで Log を選択します。

ステップ 4 Check Point と MARS コンポーネント間のトラフィック フローを許可するセキュリティ ポリシーを定義したら、メイン メニューで Policy > Install の順に選択します。

ステップ 5 Install Policy ダイアログボックスで、選択した導入先ごとに、Advanced Security チェックボックスがオンになっていることを確認します。

ターゲット デバイスには、Check Point コンポーネントと MARS アプライアンス間に配置されたこれらのファイアウォールを指定する必要があります。

ステップ 6 OK をクリックして、選択したデバイスにポリシーを導入します。

結果：ターゲット ファイアウォール デバイスのセキュリティ ポリシーが更新され、Check Point コンポーネントと MARS アプライアンス間の CPMI および LEA トラフィック フローが許可されます。

ヒント Check Point ログ ビューアを使用すると、ポリシーが正常に導入されたかを確認できます。

MARS アプライアンスと Check Point デバイス間の通信パスの確認

MARS アプライアンスが Check Point デバイス（SmartCenter サーバおよびリモート ログ サーバを含む）に到達できることを確認する必要があります。MARS アプライアンスの CLI（コマンドライン インターフェイス）で telnet コマンドを使用して、SmartCenter サーバおよびログ サーバにアクセスできることを確認します。チェックするポートは、「LEA および CPMI トラフィックのアクセス タイプの選択」で定義されています。CLI へのアクセス方法については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』の「Log In to the Appliance via the Console」（p.6-1）を参照してください。

コマンド構文は次のとおりです。

telnet <ip_address> <port_number>

コマンドに成功した場合は、各 Check Point コンポーネントの設定、およびファイアウォールがトラフィックをブロックしていないことを確認します。telnet の詳細については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』の「telnet」（p.A-31）を参照してください。

MARS アプライアンスの OPSEC アプリケーション証明書のリセット

MARS HTML インターフェイスで Check Point デバイスを定義するときに、証明書をプルしようとしてエラーが発生した場合は、証明書をリセットしてから再試行する必要があります。ここに記載された手順では、MARS アプライアンスを表すホストに対応する OPSEC アプリケーションに関連付けられた証明書（SIC）のリセット方法について詳細に示します。

OPSEC アプリケーション証明書をリセットする手順は、次のとおりです。

ステップ 1 管理権限を持つアカウントを使用して、正しい Check Point ユーザ インターフェイスにログインします。

SmartCenter を使用している場合は、該当するサーバに SmartDashboard を使用します。Provider-1 または SiteManager-1 NG FP3 または NG AI（R55）を使用している場合は、CMA に SmartDashboard を使用します。Provider-1 または SiteManager-1 NGX を使用している場合は、MDG を使用します。

ステップ 2 メイン メニューで Manage > Servers and OPSEC Applications の順に選択します。

結果：Servers and OPSEC Application ダイアログボックスが表示されます。

ステップ 3 Show リストで OPSEC Applications を選択します。

ステップ 4 Servers and OPSEC Applications リストで MARS アプライアンスを表す OPSEC アプリケーションを選択し、Edit をクリックします。

結果：OPSEC Application Properties ダイアログボックスが表示されます。

ステップ 5 Secure Internal Communication の Communication ボタンをクリックします。

結果：Communication ダイアログボックスが表示されます。

ステップ 6 Reset をクリックして、証明書をリセットします。

ステップ 7 Close をクリックして、Communication ダイアログボックスを閉じます。

結果：クライアント SIC DN が生成され、Communication ダイアログボックスが閉じ、OPSEC Application Properties ダイアログボックスに戻ります。DN フィールドに新しい SIC が表示されます。

ステップ 8 OK をクリックして、OPSEC Application Properties ダイアログボックスを閉じます。

ステップ 9 Close を閉じて、Servers and OPSEC Application ダイアログボックスを閉じます。

結果：MARS を表す OPSEC アプリケーションが定義され、正しいホストに対応付けられます。アクティベーション キーおよびクライアント SIC DN も取得され、あとで「MARS への Check Point プライマリ管理ステーションの追加」で使用することができます。

MARS での Check Point デバイスの追加および設定

Check Point レポート デバイスを識別し、ブートストラップして、必要なトラフィック フローをイネーブルにするポリシーを導入したら、この情報を使用してデバイスと通信する MARS 内で、これらのデバイスを定義する必要があります。Check Point デバイスを追加する場合は、2 つのタイプのデバイスを追加します。

・プライマリ管理ステーション - その他の Check Point コンポーネントを管理する SmartCenter サーバまたは CMA を表します。HTML インターフェイスでは、基本モジュールはホストで稼働するソフトウェア アプリケーション（Check Point Management Console アプリケーション）として定義されています。

・子実行モジュール - プライマリ管理ステーションで管理される Check Point コンポーネント(ファイアウォールまたはログ サーバ）です。Security and Monitoring Devices リストを表示すると、子実行モジュールはプライマリ管理ステーションが稼働しているホストの子として表示されます。

これらの定義を考慮した場合、Check Point デバイスを追加して設定する手順は、次のとおりです。

1. Check Point プライマリ管理ステーションを表すホストを定義して、ホスト名や、管理 IP アドレスおよびレポート IP アドレスを指定します。

2. ホストのすべてのインターフェイスを定義します。

3. 正しい Check Point ソフトウェア アプリケーションをホストに追加します。このアプリケーションは、プライマリ管理ステーションを表します。

4. プライマリ管理ステーションの通信設定を指定します。これらの設定には、許可されているアクセス タイプ（CPMI、LEA、または両方）の指定、サポート対象のアクセス タイプごとに使用される認証タイプおよびポートなどがあります。

5. （任意）セキュアな通信を実現するための設定を定義します。アクセス通信が CLEAR で実行されない場合は、クライアントおよびサーバの SIC DN を指定し、認証局を識別する必要があります。

6. （任意）プライマリ管理ステーションで稼働しているファイアウォールで使用されるルートを定義します。ファイアウォールがプライマリ管理ステーションで稼働している場合に、MARS のパス分析機能および軽減機能をイネーブルにするには、ルート情報が必要です。

7. 子実行モジュールを検出し、プライマリ管理ステーションを設定します。子実行モジュールの検出では、プライマリ管理ステーションで管理されるログ サーバやファイアウォールなどが対象になります。MARS はポリシー、NAT、モジュール、クラスタなどの設定値、およびトラフィック ログ、SmartDefense イベント、ユーザ認証イベントなどのイベント情報を検出します。

8. 検出されたログ サーバを設定します。これらのログ サーバを設定するには、各サーバに対応した Log Info ページで Self オプションを選択し、アクセス タイプ設定を指定します。

9. プライマリ管理ステーションで管理されないログ サーバを定義します。これらのサーバは、プライマリ管理ステーションで検出された 1 つまたは複数のファイアウォールで使用されます。

10. 各ファイアウォールの子実行モジュールを編集して、ログ サーバを選択します。

11. （任意）リソース使用率モニタリングが必要なファイアウォール子実行モジュールごとに、SNMP RO コミュニティ ストリングを指定します。

12. （任意）子実行モジュールでそれぞれ使用されるルートを定義します。ルート情報は、MARS のパス分析機能および軽減機能をイネーブルにする場合に必要です。

13 MARS で Activate をクリックします。

MARS で Check Point デバイスを追加する手順は、次のとおりです。

・ MARS への Check Point プライマリ管理ステーションの追加

・ Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加

・ Check Point プライマリ管理ステーションで検出されたログ サーバの編集

・ Check Point プライマリ管理ステーションで検出されたファイアウォールの編集

・ MARS と Check Point デバイス間の接続の確認

Check Point 設定の検出が MARS でイネーブルでない場合は、次に示す手動の設定手順を実行する必要があります。

・ Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加

・ 子実行モジュールまたはログ サーバの Log Info 設定の指定

準備

この手順を実行するには、次の情報が必要です。

・管理権限を持つ MARS アカウント

・READ（読み取り）アクセス権（最低限の要件）を持つ Check Point CMA または SmartCenter のユーザ名およびパスワード

・クライアントおよびサーバの SIC DN

・Provider-1 または SiteManager-1 用の CMA を定義している場合は、MDS が管理する CMA と CLM ごとの VIP

MARS への Check Point プライマリ管理ステーションの追加

プライマリ管理ステーションは、次のいずれかを表します。

・SmartCenter または SmartCenter Pro がインストールされた SmartCenter サーバ

・Provider-1 または SiteManager-1 がインストールされた CMA

注 Check Point 4.1、NG FP1、および NG FP2 デバイスは、公式にはサポートされていません。これらは、CPMI を使用して設定情報を取得するように設定できません。ただし、LEA を使用すると、ログを取得するように設定できます。これらのデバイスの 1 つを MARS と連携するように設定するには、基本プラットフォームを表すホストの Access IP フィールドをブランクのまま残しておきます。

リリースやバージョンに関係なく、Provider-1 または SiteManager がインストールされた各 CMA を定義する必要があります。

ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順に選択します。

ステップ 2 次のいずれかの操作を実行します。

・Device Type リストで Add SW Security apps on a new host を選択し、ステップ 3 に進みます。

・Device Type リストで Add SW security apps on existing host を選択します。ソフトウェア アプリケーションを追加するデバイスを選択し、Add をクリックします。ステップ 7 に進みます。

ステップ 3 次のフィールドの値を指定します。

・Device Name — デバイスの名前を入力します。この名前は、Check Point ユーザ インターフェイスに表示されたホスト名と正確に一致する必要があります。この名前は MARS によりレポート IP アドレスに対応付けられ、トポロジー マップ、クエリーで使用されます。また Security and Monitoring Device リストのプライマリ管理ステーションとしても使用されます。

・Access IP — （任意）このアドレスは、CPMI を使用して Check Point デバイスからデータをプルして、MARS がこのデバイスの設定を検出できるようにする場合に使用します。このアドレスは、CMA に対応付けられた仮想 IP アドレス、または SmartCenter サーバの物理 IP アドレスのいずれかです。アクセス IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

・Reporting IP — MARS がトラフィックおよび監査ログをプルする元になる Check Point サーバのインターフェイスの IP アドレスを入力します。Check Point 監査ログは、Check Point ユーザ インターフェイスへのログインやログアウトなど、Check Point デバイスとユーザの相互作用に関する情報を保存し、証明書を初期化または無効にして、ポリシーのインストールやアンインストール、オブジェクトの作成、変更、および削除などを行います。Check Point デバイスで監査ログを有効にする場合に、追加情報を入力する必要はありません。

このアドレスは、CMA に対応付けられた仮想 IP アドレス、または SmartCenter サーバの物理 IP アドレスのいずれかです。レポート IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 4 Enter interface information に、設定情報の検出およびセキュリティ イベント ログをプルする元となる Check Point サーバの各インターフェイスの名前、IP アドレス、およびネットマスク値を入力します。

このアドレスは、CMA に対応付けられた仮想 IP アドレス、またはSmartCenter サーバの物理 IP アドレスのいずれかです。インターフェイスの設定、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 5 （任意）MARS がこのデバイスをモニタして異常なリソース使用率を検出できるようにするには、Monitor Resource Usage リストで Yes を選択します。

結果：MARS はデバイス内で、リソース（メモリや CPU など）の異常な消費をモニタします。異常が検出されると、MARS はインシデントを生成します。リソース使用率の統計情報は、レポートを生成する場合にも使用されます。詳細については、「リソース使用率データの設定」を参照してください。

ステップ 6 Apply をクリックして、これらの設定を保存します。

ステップ 7 Next をクリックして、Reporting Applications タブにアクセスします。

ステップ 8 Select Application リストで適切な Check Point Opsec バージョンを選択して、Add をクリックします。

次のオプションを使用できます。

・CheckPoint Opsec NG FP3 - Check Point NG FP3 デバイスの場合に選択します。

・CheckPoint Opsec NG AI - Check Point NG AI（R55）および Check Point NGX（R60）デバイスの場合に選択します。

ステップ 9 このプライマリ管理ステーションを表すホストの Access IP フィールドにアドレスを入力した場合は、次のフィールドの値を指定します。

・Access Type — CPMI トラフィックに使用する認証方式を識別します。CPMI は設定情報を検出するために使用されるプロトコルです。ASYMSSLC、CLEAR、または SSLCA の中から選択します。検出処理によって、このプライマリ管理ステーションで管理される子実行モジュールが識別されます。また、NAT ベースの相関付け、攻撃パス計算、および軽減分析に必要な NAT および ACL 情報も検出されます。アクセス タイプの詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・Access Port — fwopsec.conf ファイルの CPMI_SERVER auth_port 行で指定された値に、ポート番号が対応することを確認します。設定検出のデフォルト認証方式は SSLCA で、データはポート 18190 に渡されます。この設定の詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・Login — 設定検出に使用される Check Point 管理アカウントを識別します。

・Password — Login アカウントに対応するパスワードを識別します。

ステップ 10 次のフィールドの値を指定します。

・LEA Access Type — このプライマリ管理ステーションでログ サーバが稼働している場合は、ASYMSSLC、CLEAR、または SSLCA を選択します。Reporting IP フィールドに、このプライマリ管理ステーションを表すホストのアドレスを入力しておく必要があります。この値は、LEA トラフィックに使用する認証方式を識別します。LEA はログ サーバから セキュリティ ログをプルするために使用されるプロトコルです。アクセス タイプの詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・LEA Port — fwopsec.conf ファイルの LEA_SERVER auth_port 行で指定された値に、ポート番号が対応することを確認します。設定検出のデフォルト認証方式は SSLCA で、データはポート 18184 に渡されます。この設定の詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

ステップ 11 このデバイスが認証方式として SSLCA または ASYMSSLCA を使用する場合は、次のフィールドで値を指定します（それ以外の場合は、認証方式が CLEAR になります。ステップ 12 に進みます）。

・Certificate — リストから定義済みサーバを選択するか、Add をクリックして新しい認証局を定義し、「Check Point 認証サーバの追加」に進みます。

・Client SIC Name — MARS アプライアンス 用 OPSEC アプリケーションの SIC DN を入力します。この値は、「MARS を表す OPSEC アプリケーションの定義」で取得されています。

・Server SIC Name — このプライマリ管理ステーションの SIC DN を入力します。この値は、「サーバ エンティティ SIC 名の取得」で取得されています。通常、この値は SmartCenter サーバまたは CMA の SIC DN です。Provider-1 および SiteManager-1 NGX（R60）の場合、この値は CMA を管理する MDS の SIC DN です。

ステップ 12 （任意）MARS がこのレポート デバイスの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドにデバイスの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、プライマリ管理ステーションを表すホストのアクセス IP アドレスを定義し、プライマリ管理ステーションの Access Information 設定値を設定する必要があります。MARS は SNMP RO ストリングを使用して、リソース使用率をモニタします。現在、SNMP RO ストリングは設定またはログ検出に使用されません。

ステップ 13 （任意）MARS がこのデバイスをモニタして異常なリソース使用率を検出できるようにするには、Monitor Resource Usage リストで Yes を選択します。

この機能を使用する前に、SNMP RO コミュニティ ストリングを指定する必要があります。

結果：MARS はデバイス内で、リソース（メモリや CPU など）の異常な消費をモニタします。異常が検出されると、MARS はインシデントを生成します。リソース使用率の統計情報は、レポートを生成する場合にも使用されます。詳細については、「リソース使用率データの設定」を参照してください。

ステップ 14 （任意）このプライマリ管理ステーションで稼働するファイアウォールのルート情報を指定するには、「Check Point ファイアウォール モジュールのルート情報の設定」に進みます。

ステップ 15 （任意）アクセス IP を定義して、アクセス タイプを選択および設定したら、Discover をクリックして、デバイス設定を判別します。

結果：ユーザ名およびパスワードが正しく、MARS アプライアンスがデバイスの管理ホストとして設定されている場合は、検出処理が完了すると、「Discovery is done」ダイアログボックスが表示されます。これ以外の場合は、エラー メッセージが表示されます。最初のプルのあと、MARS アプライアンスは定義されたスケジュールに基づいてプルします。詳細については、「トポロジー更新のスケジュール」を参照してください。

注 検出処理がタイムアウトし、再試行が必要になることがあります。また、検出時間が長くなったために、MARS で別のタスクを実行する必要があることを示すメッセージが表示されることがあります。

ステップ 16 MARS データベースにこのデバイスを追加して、ファイアウォール モジュールを手動で追加するには、Submit をクリックします。

結果：データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、動作中の作業メモリに変更内容が送信されます。

ステップ 17 次のいずれかの操作を実行します。

・このプライマリ管理ステーションで管理される子実行モジュールを手動で定義するには、「Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加」に進みます。

・検出された子実行モジュールの設定を編集するには、「Check Point プライマリ管理ステーションで検出されたファイアウォールの編集」に進みます。

ステップ 18 Activate をクリックします。

結果：アクティブになった MARS アプライアンスは Check Point ログ モジュールに接続し、トラフィックおよび監査ログを取得します。MARS はこのデバイスによって生成されたイベントのセッション化を開始して、定義済みのインスペクション規則および廃棄規則を使用してイベントも評価します。アクティブ化の前にデバイスから MARS にパブリッシュされたイベントは、デバイスのレポート IP アドレスを一致基準として使用して、問い合わせることができます。アクティブ化アクションの詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。

Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加

プライマリ管理ステーションで設定検出がイネーブルでない場合、または 1 つまたは複数の管理対象ファイアウォールが、プライマリ管理ステーションで管理されないログ サーバを使用している場合は、ファイアウォールまたはログ サーバを手動で定義できます。目的は、このプライマリ管理ステーションで管理されるすべてのファイアウォール、およびこれらのファイアウォールやプライマリ管理ステーションで使用されるすべてのログ サーバを表すことです。MARS がファイアウォールの設定を検出しない場合、MARS はトポロジーを検出するための定義済み情報を使用して、攻撃パスを計算し、ネットワーク内の推奨軽減ポイントを識別します。

たとえば、CMA を表すプライマリ管理ステーションを定義する場合は、この CMA に対応する CLM を定義する必要があります。CMA で管理されるすべてのファイアウォールは、独自のログ サーバとして機能したり、CLM や MLM に情報をパブリッシュすることができます。情報をパブリッシュする場合は、ファイアウォールを定義し、トラフィックおよび監査ログをプルするログ サーバを指定して、関係を定義する必要があります。MLM は CMA に対して外部のログ サーバであり、定義するまでファイアウォールから参照できないため、まず MLM 設定も定義する必要があります。ただし、CLM は CMA の一部とみなされるため（レポート IP および LEA 設定が指定されている場合）、CLM を表す別の子実行モジュールは定義しません。代わりに、ログ サーバとして CLM を使用するファイアウォールについて、Log Info ダイアログで Management オプションを選択します。ログ サーバ オプションの選択方法については、「子実行モジュールまたはログ サーバの Log Info 設定の指定」を参照してください。

プライマリ管理ステーションで管理される子実行モジュール、またはプライマリ管理ステーションや子実行モジュールが監査およびセキュリティ ログをパブリッシュするログ サーバを手動で定義する手順は、次のとおりです。

ステップ 1 Admin > System Setup > Security and Monitor Devices の順に選択します。

ステップ 2 Security and Monitor Devices リストで、プライマリ管理ステーションを表すホストを選択し、Edit をクリックします。

このようなデバイスでは、Device Type カラムのエントリが CheckPoint Management Console になっています。

ステップ 3 Next をクリックして、Reporting Applications タブにアクセスします。

ステップ 4 Device Type リストで CheckPoint Management Console チェックボックスをオンにし、Edit をクリックします。

Access Information ページが表示されます。

ステップ 5 Firewall & Log Server Settings で Add をクリックします。

結果：使用可能なホストのリストが表示されます。

ステップ 6 次のいずれかの操作を実行します。

・子実行モジュールが稼働しているホストを選択し、Change Existing をクリックして、ステップ 7 に進みます。

結果：読み取り専用デバイス名を含むページが表示され、SNMP RO コミュニティ ストリングを指定するように求められます。

・Add New をクリックして新しいホストを定義し、ステップ 7 に進みます。

結果：デバイス名および SNMP RO コミュニティ ストリングを指定するように求めるページが表示されます。

ステップ 7 Device Name フィールドに子実行モジュールまたはログ サーバの名前を入力します。

MARS はインターフェイスで指定された IP アドレスにこの名前を対応付けます。この名前はトポロジー マップ、クエリーで使用され、Security and Monitoring Device リストの基本 Check Point モジュールの Children カラムに表示されます。

ステップ 8 （任意）MARS がこのレポート デバイスの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドに子実行モジュールの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、プライマリ管理ステーションを表すホストのアクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、レポート デバイスの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワークの設定を検出したりします。

ステップ 9 Enter interface information に、子実行モジュールまたはログ サーバに搭載された各インターフェイスの名前、IP アドレス、ネットマスク値を入力します。

これらのインターフェイスには、設定情報が検出されるインターフェイスや、セキュリティ イベント ログがプルされるインターフェイスが含まれます。インターフェイスの設定、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

ステップ 10 Submit をクリックして、プライマリ管理ステーションにこのモジュールを追加します。

ステップ 11 （任意）ファイアウォールの子実行モジュールのルート情報を指定するには、「Check Point ファイアウォール モジュールのルート情報の設定」に進みます。

ステップ 12 子実行モジュールがプライマリ管理ステーションにログを伝播しない場合、またはこのプライマリ管理ステーションで管理されないログ サーバを定義している場合は、ログの格納場所を指定する必要があります。「子実行モジュールまたはログ サーバの Log Info 設定の指定」に進みます。

ステップ 13 このプライマリ管理ステーションで管理される子実行モジュール、およびプライマリ管理ステーションまたは子実行モジュールで使用されるログ サーバごとに、ステップ 5 〜 ステップ 12 を繰り返します。

ステップ 14 MARS データベースにデバイスを追加するには、Submit をクリックします。

結果：データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、動作中の作業メモリに変更内容が送信されます。

ステップ 15 Done をクリックして、Reporting Applications タブを閉じ、Security and Monitoring Devices リストに戻ります。

ステップ 16 Activate をクリックします。

結果：アクティブになった MARS アプライアンスは Check Point ログ モジュールに接続し、トラフィックおよび監査ログを取得します。MARS はこのデバイスおよびモジュールによって生成されたイベントのセッション化を開始して、定義済みのインスペクション規則および廃棄規則を使用してイベントも評価します。アクティブ化の前にデバイスから MARS にパブリッシュされたイベントは、デバイスのレポート IP アドレスを一致基準として使用して、問い合わせることができます。アクティブ化アクションの詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。

Check Point 認証サーバの追加

保護された通信を使用する Check Point モジュールを定義する場合は、クライアントおよびサーバが提供する SIC を認証する認証サーバを識別する必要があります。通常、SmartCenter サーバまたは CMA には独自の認証サーバがありますが、中央サーバを使用することもできます。この場合、基本モジュールまたは子実行モジュールの定義の一環として、認証サーバを定義する必要があります。

注 この手順では、ユーザが手順を参照していて、プライマリ管理ステーションまたは子実行モジュールを定義していると想定しています。

認証サーバを定義する手順は、次のとおりです。

ステップ 1 Add をクリックして、認証局の設定を定義します。

ステップ 2 次のフィールドの値を指定します。

・Certificate Authority IP Address — 通常、この IP アドレスは SmartCenter サーバの物理 IP アドレス、または CMA の仮想 IP アドレスです。Provider-1 および SiteManager-1 NGX（R60）の場合、この IP アドレスは CMA を管理する MDS の物理 IP アドレスです。

・Client SIC Name — MARS アプライアンス用 OPSEC アプリケーションの SIC DN を入力します。この値は、「MARS を表す OPSEC アプリケーションの定義」で取得されています。

・Activation Key — この値は、「MARS を表す OPSEC アプリケーションの定義」でも取得されています。

ステップ 3 Pull Certificate をクリックします。

結果：「Discovery is done」というメッセージ ボックスが表示されます。

OPSEC アプリケーションの場合、証明書は 1 回のみプルできます。何らかの理由でプル処理に失敗した場合は、CheckPoint SmartDashboard を使用して証明書をリセットする必要があります。詳細については、「MARS アプライアンスの OPSEC アプリケーション証明書のリセット」を参照してください。

ステップ 4 Close をクリックします。

Check Point プライマリ管理ステーションで検出されたログ サーバの編集

検出処理を実行したら、検出された各ログ サーバを編集する必要があります。このログ サーバを編集する目的は、このログ サーバが独自のログ サーバであることを識別し、SIC 通信設定を行うことです。

検出されたログ サーバを編集する手順は、次のとおりです。

ステップ 1 Firewall & Log Server Settings で、目的のログ サーバの横にあるチェックボックスをオンにし、Log Info をクリックします。

ステップ 2 Self を選択します。

ステップ 3 次のフィールドの値を指定します。

・Reporting IP — MARS がセキュリティ イベント ログをプルする元になるログ サーバのインターフェイスの IP アドレスを入力します。このアドレスは、CLM、MLM、または別のログ サーバに対応付けられた仮想 IP アドレスです。レポート IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

・Logging Access Type — LEA トラフィックに使用する認証方式を識別します。LEA はログ サーバから セキュリティ ログをプルするために使用されるプロトコルです。ASYMSSLC、CLEAR、または SSLCA を選択します。アクセス タイプおよびポートの詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・Logging Port — このログ サーバの fwopsec.conf ファイルの LEA_SERVER auth_port 行で指定された値に対応するポート番号を確認します。設定検出のデフォルト認証方式は SSLCA で、データはポート 18184 に渡されます。

ステップ 4 このログ サーバが認証方式として SSLCA または ASYMSSLCA を使用する場合は、次のフィールドで値を指定します（それ以外の場合は、認証方式が CLEAR になります）。ステップ 5 に進みます）。

・Certificate — リストから定義済みサーバを選択するか、Add をクリックして新しい認証局を定義し、「Check Point 認証サーバの追加」に進みます。

・Client SIC Name — MARS アプライアンス用 OPSEC アプリケーションの SIC DN を入力します。この値は、「MARS を表す OPSEC アプリケーションの定義」で取得されています。

・Server SIC Name — 子実行モジュールの SIC DN を入力します。この値は、「サーバ エンティティ SIC 名の取得」で取得されています。通常、この値は SmartCenter サーバまたは CMA の SIC DN です。Provider-1 および SiteManager-1 NGX（R60）の場合、この値は CMA を管理する MDS の SIC DN です。

ステップ 5 Submit をクリックして、このログ サーバに対する変更を保存します。

ステップ 6 検出されたログ サーバごとに ステップ 1 〜 ステップ 5 を繰り返します。

Check Point プライマリ管理ステーションで検出されたファイアウォールの編集

検出処理を実行したら、検出されたファイアウォールを編集する必要があります。ファイアウォールが使用するログ サーバを指定し、ルート情報を定義し、リソース使用率をモニタする場合は SNMP RO コミュニティ ストリングを指定する必要があります。

注 Check Point Firewall を編集している場合は、Security and Monitoring Devices リストで Check Point Firewall を選択しないでください。代わりに、このファイアウォールのプライマリ管理ステーションとして機能する Check Point Management Console を選択します。

注 検出されたログ サーバを設定し、プライマリ管理ステーションで管理されないログ サーバを定義してから、検出されたファイアウォールを編集します。検出されたログ サーバを設定するには、「Check Point プライマリ管理ステーションで検出されたログ サーバの編集」を参照してください。ログ サーバを手動で定義するには、「Check Point プライマリ管理ステーションへの子実行モジュールまたはログ サーバの手動追加」を参照してください。

検出されたファイアウォールを編集する手順は、次のとおりです。

ステップ 1 Firewall & Log Server Settings で、目的のファイアウォールの横にあるチェックボックスをオンにします。

ステップ 2 Edit をクリックします。

ステップ 3 （任意）MARS がこのレポート デバイスの MIB オブジェクトを取得できるようにするには、SNMP RO Community フィールドに子実行モジュールの読み取り専用コミュニティ ストリングを入力します。

SNMP RO ストリングを指定する前に、プライマリ管理ステーションを表すホストのアクセス IP アドレスを定義する必要があります。MARS は SNMP RO ストリングを使用して、レポート デバイスの CPU 使用率、ネットワーク使用率、およびデバイス異常データに関連する MIB を読み取ったり、デバイスやネットワークの設定を検出したりします。

ステップ 4 Submit をクリックします。

ステップ 5 このファイアウォールのルート設定を定義するには、「Check Point ファイアウォール モジュールのルート情報の設定」に進みます。

ステップ 6 このファイアウォールで使用されるログ サーバを選択するには、「子実行モジュールまたはログ サーバの Log Info 設定の指定」に進みます。

ステップ 7 検出されたファイアウォールごとに ステップ 1 〜 ステップ 6 を繰り返します。

Check Point ファイアウォール モジュールのルート情報の設定

攻撃パスを分析し、提示された軽減機能設定を行うには、ファイアウォール モジュールで定義されたスタティック ルートを MARS に認識させる必要があります。プライマリ管理ステーションでファイアウォールが稼働している場合、およびファイアウォール子実行モジュールがそれぞれプライマリ管理ステーションで管理されている場合には、この要件が適合します。この情報を設定するには、MARS HTML インターフェイスでルートを手動で定義する必要があります。この情報を入力する前に、ファイアウォールのすべてのインターフェイスに関するルート リストが必要です。

注 ルートが対応付けられたインターフェイスを指定する必要はありません。MARS はホストに対して指定したインターフェイス設定に基づいて、この情報を取得します。

ファイアウォールで使用されるスタティック ルートを定義する手順は、次のとおりです。

ステップ 1 次のいずれかの操作を実行します。

・プライマリ管理ステーションのルート情報を指定するには、プライマリ管理ステーション ページで Route Info をクリックします。

・ファイアウォールの子実行モジュールのルート情報を指定するには、Device Type でサーバを選択し、Route Info をクリックします。

結果：Route Information ダイアログボックスが表示されます。

ステップ 2 次のフィールドの値を指定します。

・Destination Address — 内部または外部宛先ネットワーク アドレスを入力します。

・Destination Mask — 対応するネットワーク マスク値を入力します。

・Next Hop Address — デフォルト ゲートウェイの IP アドレスを入力します。

・Metric — 特定のルートを使用するためのプライオリティを識別します。ネットワーク パケットをルーティングする場合、ゲートウェイ デバイスは規則の定義内で、最も具体的なネットワークを含む規則を使用します。2 つのルーティング規則のネットワークが同じ場合のみ、メトリックを使用して、適用される規則が判別されます。この場合は、最小のメトリック値が優先されます。ルーティング規則が存在しない場合、ネットワーク パケットは廃棄されます。ゲートウェイが検出されない（デッドである）場合も、ネットワーク パケットは廃棄されます。

メトリックは、特定のホストが配置されたネットワークへのホップ数（ホップ カウント）に基づく、ルート コストの測定値です。ホップ カウントは、ネットワーク パケットが最終宛先に到達するまでに通過する必要があるネットワーク（宛先ネットワークも含む）数を意味します。ホップ カウントには宛先ネットワークが含まれるため、直接接続されたすべてのネットワークは、メトリックが 1 です。メトリック値には、1 〜 15 の値を指定します。

ステップ 3 Submit をクリックして、ルート リストにルートを追加します。

ステップ 4 ファイアウォールで定義されたルートごとに、ステップ 1 〜 ステップ 3 を繰り返します。

ステップ 5 Close をクリックして、Access Information ページに戻ります。

子実行モジュールまたはログ サーバの Log Info 設定の指定

ログ設定を手動で定義しなければならない場合が 2 つあります。

・ログ設定を検出するプライマリ管理ステーションの設定が検出されない場合

・子実行モジュールのログがプライマリ管理ステーションに伝播されない場合

ログ設定を手動で指定する方法は、3 つあります。

・Management - 子実行モジュールのログがプライマリ管理ステーション、MLM、または SmartCenter サーバに伝播されるように指定します。これらのデバイスの設定を指定する必要はありません。プライマリ管理ステーションの設定から取得されます。ただし、子実行モジュールの設定が変更された場合は、このオプションを使用できます。プライマリ管理ステーションが子実行モジュールのログ サーバである場合に、テスト接続処理を実行すると、ログ サーバ情報が読み込まれます。

図 4-1 プライマリ管理ステーションにパブリッシュされるログ情報

・Log Server - CLM など、別のログ サーバが、子実行モジュールのログ サーバとして機能するように指定します。定義済みのログ サーバを選択するか、新しいログ サーバを定義して選択する必要があります。

・Self - 子実行モジュールが独自のログ サーバとして機能するように指定します。この場合は、該当するモジュールまたはサーバからログをプルするために必要な通信設定を指定する必要があります。

子実行モジュールのログ サーバ設定を手動で指定する手順は、次のとおりです。

ステップ 1 （ファイアウォールのみ）子実行モジュールがプライマリ管理ステーションにログ情報を伝播しない場合は、Device Type で該当する子実行モジュールを選択し、Log Info をクリックして、次のいずれかを実行します。

・子実行モジュールが独自のログ サーバとして機能するように指定する場合は、Self を選択し、Device Name フィールドを省略してステップ 3 に進みます。

図 4-2 Self にパブリッシュされるログ情報

・別のログ サーバを指定するには、Log Server を選択し、ステップ 2 に進みます。

結果：Log Information ダイアログボックスが表示され、目的のオプションが選択されます。

ステップ 2 次のいずれかの操作を実行します。

・Select リストで定義済みのログ サーバを選択し、Submit をクリックし、ステップ 5 に進みます。

・Add をクリックして、新しいログ サーバを定義します。

ステップ 3 次のフィールドの値を指定します。

・Device Name — ログ サーバの名前を入力します。この名前は MARS によりレポート IP アドレスに対応付けられ、トポロジー マップ、クエリーで使用されます。また Security and Monitoring Device リストのプライマリ管理ステーションとしても使用されます。ルータやファイアウォールなど、検出処理をサポートしているデバイスの場合、このフィールド値の名前はデバイス設定で検出された名前に合わせて変更されます。通常は、hostname.domain フォーマットが使用されます。Windows ホストや Linux ホスト、ホスト アプリケーションなど、検出できないデバイスの場合は、指定された値が使用されます。

・Reporting IP — MARS がセキュリティ イベント ログをプルする元になるログ サーバのインターフェイスの IP アドレスを入力します。このアドレスは、CMA、MLM、または別のログ サーバに対応付けられた仮想 IP アドレスを表します。レポート IP アドレス、およびその役割と依存関係の詳細については、「アクセス IP、レポート IP、およびインターフェイス設定の概要」を参照してください。

・Logging Access Type — LEA トラフィックに使用する認証方式を識別します。LEA はログ サーバから セキュリティ ログをプルするために使用されるプロトコルです。ASYMSSLC、CLEAR、または SSLCA を選択します。アクセス タイプの詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・Logging Port — このログ サーバの fwopsec.conf ファイルの LEA_SERVER auth_port 行で指定された値に対応するポート番号を確認します。設定検出のデフォルト認証方式は SSLCA で、データはポート 18184 に渡されます。この設定の詳細については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

ステップ 4 このログ サーバが認証方式として SSLCA または ASYMSSLCA を使用する場合は、次のフィールドで値を指定します（それ以外の場合は、Access Type および LEA Access Type の認証方式が CLEAR になります。ステップ 5 に進んでください）。

・Certificate — リストから定義済みサーバを選択するか、Add をクリックして新しい認証局を定義し、「Check Point 認証サーバの追加」に進みます。

・Client SIC Name — MARS アプライアンス 用 OPSEC アプリケーションの SIC DN を入力します。この値は、「MARS を表す OPSEC アプリケーションの定義」で取得されています。

・Server SIC Name — 子実行モジュールの SIC DN を入力します。この値は、「サーバ エンティティ SIC 名の取得」で取得されています。通常、この値は SmartCenter サーバまたは CMA の SIC DN です。Provider-1 および SiteManager-1 NGX（R60）の場合、この値は CMA を管理する MDS の SIC DN です。

ステップ 5 プライマリ管理ステーションに子実行モジュールを追加するには、Submit をクリックします。

ステップ 6 MARS データベースにプライマリ管理ステーションを追加するには、Submit をクリックします。

結果：データベース テーブルに変更が記録されます。ただし、MARS アプライアンスの動作中のメモリには変更がロードされません。アクティブ化処理を行うと、動作中の作業メモリに変更内容が送信されます。

ステップ 7 Done をクリックして、Reporting Applications タブを閉じ、Security and Monitoring Devices リストに戻ります。

ステップ 8 Activate をクリックします。

結果：アクティブになった MARS アプライアンスは Check Point ログ モジュールに接続し、トラフィックおよび監査ログを取得します。MARS はこのデバイスおよびモジュールによって生成されたイベントのセッション化を開始して、定義済みのインスペクション規則および廃棄規則を使用してイベントも評価します。アクティブ化の前にデバイスから MARS にパブリッシュされたイベントは、デバイスのレポート IP アドレスを一致基準として使用して、問い合わせることができます。アクティブ化アクションの詳細については、「レポート デバイスおよび軽減デバイスのアクティブ化」を参照してください。

MARS と Check Point デバイス間の接続の確認

Check Point デバイスを定義し、MARS HTML インターフェイスで Activate をクリックすると、MARS アプライアンスはログ サーバに接続し、これらに格納されたトラフィックおよび監査ログをプルします。これらのトランザクションが成功したことを確認するには、次の方式を使用します。

・Check Point プライマリ管理ステーションに固有の Event Types/Sessions に関するアドホック クエリーを実行します。

結果：netstat コマンドを実行すると、ログ サーバごとに 2 つの接続が表示されます。

Check Point プライマリ管理ステーションからのファイアウォールまたはログ サーバの削除

ネットワークの設定が変更されて、ファイアウォールまたはログ サーバが定義元のプライマリ管理ステーションで管理されなくなった場合は、子実行モジュールを削除する必要があります。

プライマリ管理ステーションから子実行モジュールを削除する手順は、次のとおりです。

ステップ 1 Admin > System Setup > Security and Monitor Devices の順に選択します。

ステップ 2 Security and Monitor Devices リストで、Check Point サーバのプライマリ管理ステーションを表すホストを選択し、Edit をクリックします。

このようなデバイスでは、Device Type カラムのエントリが CheckPoint Management Console になっています。

ステップ 3 Next をクリックして、Reporting Applications タブにアクセスします。

ステップ 4 Device Type リストで CheckPoint Management Console チェックボックスをオンにし、Edit をクリックします。

Access Information ページが表示されます。

ステップ 5 Firewall & Log Server Settings で、削除する子実行モジュールの横にあるチェックボックスをオンにします。

ステップ 6 Remove をクリックします。

結果：Confirmation 画面が表示されます。

ステップ 7 Submit をクリックして、プライマリ管理ステーションから子実行モジュールを削除します。

MARS および Check Point のトラブルシューティング

次の情報を活用して、MARS アプライアンスと Check Point コンポーネント間の通信問題をトラブルシューティングできます。

・ユーザ別に攻撃情報を表示するには、デバイスとして Check Point デバイスを指定して、クエリーを実行します。

・証明書の検出を試みる際に、CheckPoint Certificate 画面に戻り「Discovery done.」メッセージ ボックスが表示されない場合は、検出処理は失敗したことになります。考えられる原因は、SIC 値が不正であることです。

注 OPSEC アプリケーションの場合、証明書は 1 回のみプルできます。何らかの理由でプル処理に失敗した場合は、CheckPoint SmartDashboard を使用して証明書をリセットする必要があります。詳細については、「MARS アプライアンスの OPSEC アプリケーション証明書のリセット」を参照してください。

・デバイス検出処理に失敗した場合に、詳細なエラー メッセージを表示するには、View Error ボタンをクリックします。

デバイス検出の一般的な障害理由は、次のとおりです。

・クライアント SIC DN 名またはサーバ SIC DN 名が不正です。SmartDashboard からコピー アンド ぺーストして、入力ミスを回避してください。

・使用されている証明書が無効です。

・使用されているユーザ名、パスワード、またはその両方が無効です。Access IP 用の証明書が、管理権限を持つ Check Point アカウントと一致することを確認します。

・Check Point のバージョンがサポートされていません (検出は NG FP3 以上でのみ機能します。社内的には、Version R60 までテストしています）。

・使用されている認証方式が無効です。デフォルト方式は SSLCA です。fwopsec.conf ファイルを調べて、使用されている方式を判別します。現在 CS-MARS がサポートしている CPMI 通信の認証方式は、SSLCA、ASYM_SSLCA、および CLEAR の 3 つのみです。これらの設定の指定方法については、「LEA および CPMI トラフィックのアクセス タイプの選択」を参照してください。

・アクセス ポートが無効です。保護された CPMI ベース通信のデフォルト ポートは TCP 18180 です。fwopsec.conf を調べて、設定されたポートを確認します。

・MARS アプライアンスはポート 18190、または CPMI の fwopsec.conf で指定された代替ポートにアクセスできません。MARS アプライアンスの CLI で telnet コマンドを使用して、アクセス ポートをテストします。telnet の詳細については、「MARS アプライアンスと Check Point デバイス間の通信パスの確認」を参照してください。

・SmartDashboard で OPSEC アプリケーションを作成したあとに、ポリシー データベースが導入されませんでした。

・MARS アプライアンスから Check Point プライマリ管理ステーションへの接続を許可するファイアウォール ポリシーが作成および導入されませんでした。詳細については、「ポリシーの作成および導入」を参照してください。

Check Point 検出関連のデバッグ情報の詳細については、MARS アプライアンスの CLI で pnlog コマンドを使用してください。cpdebug 属性を使用すると、適切なデバッグ レベルを指定できます。レベル 9 はすべてのデバッグ メッセージを表します。デバッグ メッセージを表示するには、CLI で pnlog showlog cpdebug コマンドを使用します。pnlog の詳細については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』の「pnlog」（p.A-16）を参照してください。