第6章 ネットワークベース IDS および IPS デバイスの設定
ネットワークの Intrusion Detection System(IDS; 侵入検知システム)および Intrusion Prevention System(IPS; 侵入防御システム)は、MARS へのアクティブな攻撃を識別するための重要なソースです。
この章では、次に示すネットワークベース IDS および IPS デバイスをブートストラップして、MARS に追加する方法を示します。
・
Cisco IDS 4.0 および IPS 5.x センサ
Cisco IDS 3.1 センサ
Cisco IDS 3.1 デバイスを追加する前に、MARS がこのデバイスの設定を取得するように Cisco IDS デバイスを設定する必要があります。デバイス設定は、MARS が受信したログを対応付ける場合に使用されます。
MARS にログを送信するように IDS デバイスを設定する場合は、MARS アプライアンスの名前を正確に使用する必要があります。アプライアンスの名前を判別するには、Admin > System Setup > Configuration Information を選択して、Name フィールドの値を確認します。
IDS 3.1 が稼働するセンサの設定
ステップ 1 Cisco IDS デバイスにログインします。
ステップ 2 編集する必要のあるすべてのコンフィギュレーション ファイルが格納された次のディレクトリに移動します。
cd /usr/nr/etc
ステップ 3 このディレクトリ内にある 4 つのファイル(organizations、hosts、routes、および destinations)を編集する必要があります。
organizations ファイルでは、次のように、組織の名前を指定する行またはグループ化する行を追加します。
1 protego
1 は項目番号で、そのあとに組織名 protego が続きます。このファイル内にすでに項目がある場合は、項目番号を引き上げます(項目番号は一意にする必要があります)。
図 6-1 Cisco IDS 3.1 organizations ファイルへの MARS 情報の追加
hosts ファイルでは、次のように、organizations ファイルで先に追加した組織に対応する MARS アプライアンス名を指定する行を追加します。
2001.1 pnmars.protego
2001.1 は一意な項目番号で、そのあとに MARS アプライアンス名および組織名 protego が続きます。このファイル内にすでに項目がある場合は、項目番号を引き上げます(項目番号は一意にする必要があります)。
図 6-2 Cisco IDS 3.1 hosts ファイルへの MARS 情報の追加
routes ファイルでは、次のように、MARS アプライアンスの名前およびその IP アドレスを指定する行を追加します。
pnmars.protego 1 10.1.1.10 45000 1 5
pnmars.protego は MARS の名前(組織名を含む)で、そのあとに MARS アプライアンスの IP アドレスが続きます。
45000 は、MARS にログを送信するために IDS が使用するポート番号です。この行の末尾に1、およびそのあと に 5 を追加します(これらの番号は MARS では使用されません)。
図 6-3 Cisco IDS 3.1 routes ファイルへの MARS 情報の追加
destinations ファイルでは、MARS アプライアンスの名前(routes ファイルの定義に従う)、センサからのイベントを待ち受けるためにアプライアンスが使用しているクライアント プロセス(この場合は smid)、およびカンマ区切りリストとしてアプライアンスに送信されるログ タイプのリストを指定する行を追加します。たとえば、次のようになります。
pnmars.protego smid ERRORS, EVENTS, COMMANDS
pnmars.protego は MARS の名前(組織名を含む)で、そのあとに smid、および loggerd デーモンがアプライアンスにパブリッシュするログ タイプのリストが続きます。
図 6-4 Cisco IDS 3.1 destinations ファイルへの MARS 情報の追加
ステップ 4 これら 4 つのファイル(organizations、hosts、routes、および destinations)を編集したら、次のコマンドを使用してセンサをリブートします。
a. nrstop
b. nstart
MARS での Cisco IDS 3.1 デバイスの追加および設定
MARS で Cisco IDS デバイスを追加および設定する手順は、次のとおりです。
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで Cisco IDS 3.1 を選択します。
ステップ 3 Device Name フィールドにセンサのホスト名を入力します。
Device Name 値は、設定されたセンサ名と同じにする必要があります。
ステップ 4 Access IP フィールドに管理 IP アドレスを入力します。
ステップ 5 Reporting IP フィールドに管理 IP アドレスを入力します。
Reporting IP アドレスは管理 IP アドレスと同じアドレスです。
ステップ 6 SSH または TELNET を選択します。
ステップ 7 Login および Password に「netrangr」を入力します。
Cisco IDS 3.1 デバイスを追加する場合は、netrangr ユーザ名、またはセンサのルート ログインでないその他のユーザ名を使用します。ルート ログインを使用した場合、MARS はログイン プロンプトを正しく解析でなくなるため、Test Connectivity に失敗する可能性があります。
図 6-5 Cisco IDS 3.1 の設定
ステップ 8 Monitored Networks フィールドに、攻撃パスの計算および軽減を行うネットワークを追加します。
a. Select a Network または Define a Networkオプション ボタンをクリックします。
・Select a Network リストで、ネットワークをクリックします。
・Define a Network フィールドに、ネットワークの IP およびネットワーク マスク情報を入力します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
ステップ 9 (任意)デバイス設定を検出するには、Discover をクリックします。
ステップ 10 Submit をクリックします。
Cisco IDS 4.0 および IPS 5.x センサ
Cisco IDS または IPS ネットワーク センサを MARS に追加する作業は、2 つの手順からなります。
1. センサのブートストラップ
2. MARS での Cisco IPS デバイスの追加および設定
次のトピックは、Cisco IDS および IPS デバイスに対応しています。
・ Cisco IPS デバイスの詳細イベント データの表示
センサのブートストラップ
MARS がモニタするセンサの準備作業は、2 つのステップからなります。
センサでのアクセス プロトコルのイネーブル化
センサの設定は、センサで稼働しているソフトウェアのバージョンによって異なります。次のトピックでは、各バージョンの要件を識別します。
Cisco IDS 4.x ソフトウェア
Cisco IDS 4.x デバイスの場合、MARS は SSL を介して RDEP を使用し、ログをプルします。したがって、MARS にはセンサに HTTPS を介してアクセスする機能が必要です。センサの準備を行うには、センサで HTTP サーバをイネーブルにし、TLS をイネーブルにして HTTPS アクセスを許可し、MARS の IP アドレスがセンサにアクセスしてイベントをプルできる許可済みホストとして定義されていることを確認します。ネットワークのホストの一部またはサブネットからアクセスできるようにセンサが設定されている場合は、accessList ipAddressip_address netmask コマンドを使用して、このアクセスをイネーブルにすることができます。
Cisco IPS 5.x ソフトウェア
Cisco IPS 5.x デバイスの場合、MARS は SSL を介して SDEE を使用し、ログをプルします。したがって、MARS にはセンサに HTTPS を介してアクセスする機能が必要です。センサの準備を行うには、センサで HTTP サーバをイネーブルにし、TLS をイネーブルにして HTTPS アクセスを許可し、MARS の IP アドレスがセンサにアクセスしてイベントをプルできる許可済みホストとして定義されていることを確認する必要があります。ネットワークのホストの一部またはサブネットからアクセスできるようにセンサが設定されている場合は、access-list ip_address/netmaskコマンドを使用して、このアクセスをイネーブルにすることができます。
正しいシグニチャおよびアクションのイネーブル化
シグニチャ アクションが正しく設定されている場合、MARS は Cisco IDS または IPS デバイスでシグニチャを起動した最初のイベントのトリガー パケット情報を表示できます。MARS は Cisco IDS および IPS デバイスから IP ログ データをプルすることもできますが、この処理はシステムに負担がかかります。したがって、IP ログ データを生成するシグニチャ セットは慎重に選択する必要があります。
Cisco IDS または IPS デバイスでアクティブなシグニチャを設定する場合は、アラート アクション、および目的のデータを生成するアクションを指定する必要があります。
・トリガー パケットを表示するには、「produce-verbose-alert」アクションをイネーブルにする必要があります。
・IP ログ を表示するには、アラート、または「produce-verbose-alert」および「log-pair-packets」アクションをイネーブルにする必要があります。
センサに IP ロギングおよび詳細アラートを設定するとシステムに負荷が生じ、センサのパフォーマンスが低下します。さらに、MARS アプライアンスのパフォーマンスも低下します。これらの影響があるため、IP ログを生成するシグニチャは慎重に設定する必要があります。 MARS での Cisco IPS デバイスの追加および設定
MARS で Cisco IPS デバイスを追加および設定する手順は、次のとおりです。
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 次のいずれかの操作を実行します。
・Device Type リストで Cisco IDS 4.0 を選択します。
図 6-6 Cisco IDS 4.0 の設定
・Device Type リストで Cisco IPS 5.x を選択します。
図 6-7 Cisco IPS 5.x の設定
ステップ 3 Device Name フィールドにセンサのホスト名を入力します。
Device Name 値は、設定されたセンサ名と同じにする必要があります。
ステップ 4 Access IP フィールドに管理 IP アドレスを入力します。
ステップ 5 Reporting IP フィールドに管理 IP アドレスを入力します。
Reporting IP アドレスは管理 IP アドレスと同じアドレスです。
ステップ 6 Login フィールドに、レポート デバイスへのアクセスに使用する管理アカウントに対応したユーザ名を入力します。
ステップ 7 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 8 Port フィールドに、センサで稼働する Web サーバが待ち受ける TCP ポートを入力します。デフォルトの HTTPS ポートは 443 です。
注 設定できるのは HTTP のみですが、MARS には HTTPS が必要です。
ステップ 9 センサから IP ログをプルするには、Pull IP Logs ボックスで Yes を選択します。
ステップ 10 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
b. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 11 設定を確認するには、Test Connectivity をクリックします。
ステップ 12 Submit をクリックします。
Cisco IPS デバイスの詳細イベント データの表示
Cisco IDS 4.x および Cisco IPS 5.x デバイスによって報告されたインシデントに対応するトリガー パケットおよび IP ログ データは、これらのデバイスがセンサ アプライアンスであるか、モジュールであるかに関係なく、表示することができます。この情報は、攻撃方式に関する詳細が必要な場合に役立ちます。MARS には、これらの 2 つのデータ タイプを重視する 2 つのイベント タイプがあります。
・トリガー パケット データ - アラームが検出された際にネットワークで送信されたデータを識別します。この情報を使用すると、攻撃の性質を診断できます。トリガー パケットは、アラームを起動する単一のデータ パケットです。
・パケット データ - アラームが検出された際にネットワークで送信されたデータを識別します。この情報を使用すると、攻撃の性質を診断できます。IP ログに含まれるデータ量は、センサ設定に応じて変わります。デフォルトでは、IP ログに 30 秒分のパケット データが格納されます。このデータを表示するには、Cisco IPS デバイスの Admin > System Setup > Security and Monitor Devices で Pull IP Logs オプションをイネーブルにする必要があります。
注 MARS は Cisco IDS 3.x デバイスに対しては、このデータを収集します。
このデータを生成するために必要な正しいシグニチャ設定については、「正しいシグニチャおよびアクションのイネーブル化」を参照してください。
レポート Cisco IPS デバイスで IP ログ機能がイネーブルになっている場合、これらのイベント タイプはインシデント データの一部と組み合わされます。このデータを表示するには、インシデントをドリルダウンして、目的のイベント タイプ(Packet Data または Trigger Packet Data)を展開します。イベントを選択して、このイベントの Reporting Device カラムで、RAW Events for this Session アイコン をクリックします。これらのイベントに対して表示される送信元、宛先、およびその他データは、元のアラートのデータと一致します。このデータは 16 進フォーマットや 2 進法フォーマットでも表示されます。
注 トリガー パケットおよび IP ログ データは、base64 符号化フォーマットを使用して MARS データベースに格納されます。したがって、検索ストリングを指定しただけでは、キーワード検索は機能しません。
Cisco IPS モジュール
MARS はシスコ製スイッチおよび Cisco Adaptive Security Application(ASA)アプライアンスに搭載された Cisco IPS モジュールをモニタできます。これらのモジュールを準備するには、次のタスクを実行する必要があります。
・「 シスコ製ルータ デバイス」、「シスコ製スイッチ デバイス」、および「Cisco Firewall デバイス(PIX、ASA、および FWSM)」の定義に従って、基本モジュール(ルータ、スイッチ、または Cisco ASA)を定義します。
・基本モジュールをブートストラップして、Cisco IPS モジュールで SDEE トラフィックをイネーブルにし、MARS アプライアンスにイベントを転送し、MARS がモジュールに格納された SDEE イベントにアクセスできるようにします。モジュール アクセスが有効な場合、MARS はトリガー パケットおよび IP ログ情報を取得できます。
・HTML インターフェイスで定義済みの基本モジュールに IPS フィーチャ セットを追加します。
ここで説明する内容は、次のとおりです。
・ IPS モジュールを搭載した Cisco IOS デバイスでの SDEE のイネーブル化
・ シスコ製スイッチまたは Cisco ASA への IPS モジュールの追加
DTM サポートのイネーブル化
DTM をサポートするには、次のように IPS モジュールを設定する必要があります。
・IOS IPS フィーチャ セットを購入するか、またはイネーブルにします。
・SDEE に対して HTTPS をイネーブルにします。
・Telnet を介した推奨方式である SSH をイネーブルにして、設定を検出します。
IPS モジュールを搭載した Cisco IOS デバイスでの SDEE のイネーブル化
Cisco IOS デバイスでの設定検出方式として Telnet または SSH をイネーブルにするだけでなく、IPS モジュールをサポートするデバイスで SDEE をイネーブルにする必要もあります。SDEE は、起動されたシグニチャに関するイベントを MARS にパブリッシュする場合に使用されます。
IPS モジュールをサポートする Cisco IOS デバイスで SDEE プロトコルをイネーブルにする手順は、次のとおりです。
ステップ 1 イネーブル パスワードを使用して、Cisco IOS デバイスにログインします。
ステップ 2 次のコマンドを入力して、MARS が IPS モジュールからイベントを受信できるようにします。
Router(config)#ip http secure-server
Router(config)#ip ips notify sdee
Router(config)#ip sdee subscriptions 3
Router(config)#ip sdee events 1000
Router(config)#no ip ips notify log
注 「no ips notify log」を指定すると、IPS モジュールは Syslog を介した IPS イベントの送信を停止します。
シスコ製スイッチまたは Cisco ASA への IPS モジュールの追加
ステップ 1 Admin > System Setup > Security and Monitor Devices の順にクリックします。
ステップ 2 デバイス リストで、IPS モジュールを追加するシスコ製スイッチまたは Cisco ASA を選択して、Edit をクリックします。
ステップ 3 Add Module をクリックします。
ステップ 4 Device Type リストで Cisco IPS 5.x を選択します。
シスコ製スイッチには、Cisco IPS 4.0 モジュールまたは IDS 3.1 モジュールを追加することもできます。これらのモジュールは、スタンドアロン センサの場合と同様に設定します。これらのモジュールを設定する手順については、「Cisco IDS 3.1 センサ」および「Cisco IDS 4.0 および IPS 5.x センサ」を参照してください。
図 6-8 Cisco IPS 5.x の設定
ステップ 5 Device Name フィールドにセンサのホスト名を入力します。
ステップ 6 Reporting IP フィールドに管理 IP アドレスを入力します。
ステップ 7 Reporting IP アドレスは管理 IP アドレスと同じアドレスです。
ステップ 8 Login フィールドに、レポート デバイスへのアクセスに使用する管理アカウントに対応したユーザ名を入力します。
ステップ 9 Password フィールドに、Login フィールドで指定したユーザ名に対応するパスワードを入力します。
ステップ 10 Port フィールドに、センサで稼働する Web サーバが待ち受ける TCP ポートを入力します。
デフォルトの HTTPS ポートは 443 です。
注 設定できるのは HTTP のみですが、MARS には HTTPS が必要です。
ステップ 11 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Network オプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
b. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Network オプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 12 Test Connectivity をクリックして、設定を検証します。
ステップ 13 変更を保存するには、Submit をクリックします。
ステップ 14 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
ISS RealSecure 6.5 および 7.0
SNMP トラップを MARS に送信するための ISS RealSecure の 設定
ステップ 1 センサにログインします。
ステップ 2 次に示すディレクトリ内で common.policy ファイルを検索します。
Microsoft Windows
Program Files\ISS\issSensors\server_sensor_1
Program Files\ISS\issSensors\network_sensor_1
Linux
/opt/ISS/issSensors/server_sensor_1
/opt/ISS/issSensors/network_sensor_1
ステップ 3 テキスト エディタで common.policy ファイルを開きます。
ステップ 4 次に示す行
Manager =S
を、以下のように変更します。
Manager =S <MARS's IP address>
MARS の IP アドレスに NAT(ネットワーク アドレス変換)を実行する場合は、NAT 変換後のアドレスを使用する必要があります。宛先 IP アドレスとして MARS IP アドレスを使用する場合に、SNMP(簡易ネットワーク管理プロトコル)トラップが MARS に到達できることを確認します。
ステップ 5 これらのファイルを保存して、エディタを終了します。
ステップ 6 次に示すディレクトリ内で current.policy ファイルを検索します。
Microsoft Windows
Program Files\ISS\issSensors\server_sensor_1
Program Files\ISS\issSensors\network_sensor_1
Linux
/opt/ISS/issSensors/server_sensor_1
/opt/ISS/issSensors/network_sensor_1
ステップ 7 テキスト エディタで current.policy ファイルを開きます。
SNMP が応答の 1 つとなるように各シグニチャを編集し、SNMP トラップをデフォルトの選択肢として設定します。たとえば、元のシグニチャが次のようになっているとします。
[\template\features\AOLIM_File_Xfer\Response\];
[\template\features\AOLIM_File_Xfer\Response\DISPLAY\];
Choice =S Default;
[\template\features\AOLIM_File_Xfer\Response\LOGDB\];
Choice =S LogWithoutRaw;
次に示す太字の行を挿入して、以下のように変更します。
[\template\features\AOLIM_File_Xfer\Response\];
[\template\features\AOLIM_File_Xfer\Response\DISPLAY\];
Choice =S Default;
[\template\features\AOLIM_File_Xfer\Response\SNMP\];
Choice =S Default;
[\template\features\AOLIM_File_Xfer\Response\LOGDB\];
Choice =S LogWithoutRaw;
ステップ 8 ISS デーモンを再起動します。
・センサが Microsoft Windows に搭載されている場合は、Services メニューでセンサを再起動します。
・センサが Linux に搭載されている場合は、次のコマンドを実行します。
/etc/init.d/RealSecure stop
/etc/init.d/RealSecure start
ISS RealSecure デバイスの NIDS としての追加
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host をクリックします。
ステップ 3 Device Name を入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、RealSecure (6.5 or 7.0) を選択します。
ステップ 7 Add をクリックします。
ステップ 8 NIDS オプション ボタンがまだ選択されていない場合は、クリックします。
図 6-9 ISS Real Secure NIDS の設定
ステップ 9 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
c. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 10 変更を保存するには、Submit をクリックします。
ステップ 11 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
ISS RealSecure デバイスの HIDS としての追加
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host をクリックします。
ステップ 3 Device Name を入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、RealSecure (6.5 or 7.0) を選択します。
ステップ 7 Add をクリックします。
ステップ 8 HIDS オプション ボタンをクリックします。
図 6-10 ISS Real Secure HIDS の設定
ステップ 9 Submit をクリックします。
ステップ 10 インターフェイが複数ある場合は、General Tab をクリックして、新しいインターフェイスの名前、IP アドレス、およびネットワーク マスクを追加します。
図 6-11 複数のインターフェイスの追加
ステップ 11 Apply をクリックします。
IntruVert IntruShield
IntruVert Manager からの IntruVert センサ情報の抽出
IntruVert センサ情報は IntruVert Manager マシンのデータベースに保存されます。Intruvert センサを追加するように MARS を設定する場合は、各 Intruvert センサ名のマッピングを手動で追加したり、Intruvert Manager からこれらを抽出することができます。
注 ここに記載された手順は、Intruvert IntruShield バージョン 1.5 に適用されます。IntruVert は MySQL と Oracle を両方ともサポートします。
IntruVert IntruShield 1.5 用 CSV ファイルの作成(MySQL の説明)
ステップ 1 データベースにログインします。
次のクエリーを実行します。LF を使用し、iv_sensor から名前、ip_address を選択します(ip_address は 非 NULL)。
ステップ 2 クエリー結果をファイルに格納します。ヘッダー、トレーラー、セパレータ行を削除し、結果を編集して CSV フォーマットにします。
たとえば、クエリー結果は次のようになります。
+------------+------------+
| name | ip_address |
+------------+------------+
| intruvert | 0A010134 |
| intruvert1 | 0A010135 |
+------------+------------+
2 row in set (0.00 sec)
上記ファイルを次のように編集します。
intruvert,0A010134
intruvert1,0A010135
ステップ 3 編集された CSV ファイルを保存して、適切な FTP(ファイル転送プロトコル)サーバ マシンに移動し、MARS GUI をロードします。
SNMP トラップを MARS に送信するための IntruShield バージョン 1.5 の設定
ステップ 1 IntruShield Manager バージョン 1.5 にログインします。
ステップ 2 Configure をクリックします。
ステップ 3 Resource Tree で、My Company をクリックします。
ステップ 4 Forwarding タブをクリックします。
ステップ 5 Add SNMP Serverフィールドに次のように入力します。
a. Target Server IP Address:IntruShield に表示される MARS の IP アドレスを入力します。
b. Target Server Port Number:MARS のポート番号 162 を入力します。
c. SNMP Version: 1
d. Forward Alerts チェックボックスをオンにします。
e. For this and child admin domains オプション ボタンを選択します。
f. リストで重大度を選択します。High and Medium 重大度を選択することを推奨します。
g. Forward Faults ボックスをオンにします。
h. リストで重大度を選択します。Error and above 重大度を選択することを推奨します。
ステップ 6 Save をクリックして、プログラムを終了します。
SNMP トラップを MARS に送信するための IntruShield バージョン 1.8 の設定
ステップ 1 IntruShield Manager バージョン 1.8 にログインします。
ステップ 2 Configure をクリックします。
ステップ 3 Resource Tree で、My Company をクリックします。
ステップ 4 Alert Notification タブをクリックします。
ステップ 5 SNMP Forwarder サブタブをクリックします。
図 6-12 IntruShield SNMP 転送の設定
Step 6 Add ボタンをクリックします。
図 6-13 IntruShield ターゲット SNMP サーバ
ステップ 7 SNMP Forwarder ページで、次のように入力します。
a. Enable SNMP Forwarder:Yes オプション ボタンを選択します。
b. Target Server (IP Address):IntruShield に表示される MARS の IP アドレスを入力します。
c. Target Server Port Number:MARS のポート番号 162 を入力します。
d. SNMP Version: 1
e. Forward Alerts
f. リストで重大度を選択します。Informational and above 重大度を選択することを推奨します。
g. Customize Community:使用するコミュニティ ストリングを入力します。
ステップ 8 Apply をクリックして、プログラムを終了します。
MARS 側の設定
IntruVert デバイスを追加するには、2 つの手順を実行します。まず、Manager ステーション自体の設定情報を追加します。次に、センサを追加します。
IntruShield 管理ステーションの MARS への追加
指定する手順は、次のとおりです。
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host をクリックします。
ステップ 3 新しいホストを追加する場合は、Device Name、IP addresses に入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Applicationリストで、IntruVert IntruShield 1.5 を選択します。
ステップ 7 Add をクリックします。
図 6-14 IntruShield センサの追加
IntruShield センサの手動追加
センサを手動で追加する手順は、次のとおりです。
ステップ 1 Add Sensor をクリックします。
ステップ 2 Device Name、Sensor Name、および Reporting IPに入力します。
・Device Name - このデバイスの DNS エントリ
・Sensor Name - コンソールに表示される名前
・Reporting IP - コンソールにログを送信する場合にエージェントが使用する IP アドレス
ステップ 3 インターフェイス情報を追加します。
ステップ 4 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
b. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 5 変更を保存するには、Submit をクリックします。
ステップ 6 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
シード ファイルを使用した IntruShield Sensors の追加
シード ファイルを使用してセンサ追加する手順は、次のとおりです。
ステップ 1 Load From CSV をクリックします。
ステップ 2 FTP サーバ情報および CSV(カンマ区切り値)ファイルの場所を入力します。
・IntruShield センサ CSV ファイルを生成する必要がある場合は、IntruVert Manager から IntruVert センサ情報を抽出を参照してください。
ステップ 3 Submit をクリックします。
Snort 2.0
Syslog を MARS に送信するための Snort の設定
Snort では、出力プラグインとして Syslog を使用します。コピーを別のホストに送信するように syslogd を設定します。古い形式のほとんどのシステム(Solaris/Linux)では、/etc/syslog.conf を編集する必要があります(システムのベースが新しいシステム ロギング ファシリティでなく、syslogd であると想定します。新しいロギング ファシリティは Snort ではサポートされていません)。
MARS アプライアンスに Syslog メッセージを送信するように Snort を設定する手順は、次のとおりです。
ステップ 1 snort.conf 内のログ ファシリティ local4 を使用して、Snort の出力を Syslog に送ります(未使用の任意のローカル ファシリティを選択できます)。
output alert_syslog:LOG_LOCAL4 LOG_ALERT
snort.conf は通常 /etc/snort 内にあります。
ステップ 2 Snort ボックスで /etc/syslog.conf にリダイレクタを追加して、MARS に syslog を追加します。
local4.alert @IPAddrOffMarsbox
ステップ 3 Snort ボックスで Snort デーモンおよび Syslogd デーモンを再起動します。
MARS への Snort デバイスの追加
MARS に Snort デバイスを追加する手順は、次のとおりです。
ステップ 1 Admin > System Setup > Security and Monitor Devices> Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host を選択します。
ステップ 3 新しいホストを追加する場合は、Device Name、IP addressesを入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、Snort Snort 2.0 を選択します。
ステップ 7 Add をクリックします。
ステップ 8 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
b. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 9 変更を保存するには、Submit をクリックします。
ステップ 10 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
Symantec ManHunt
Symantec ManHunt 側の設定
ステップ 1 適切なユーザ名およびパスワードを使用して、Symantec ManHunt にログインします。
ステップ 2 メイン画面で、Setup > Policy > Response Rules の順にクリックします。Response Rules ウィンドウが表示します。
図 6-15 ManHunt の設定
ステップ 3 Response Rules ウィンドウで、Action > Add response Rules の順にクリックします。
ステップ 4 Response Action のフィールドをクリックします。
図 6-16 ManHunt 応答規則の設定
ステップ 5 左側のメニューで、SNMP Notification をクリックし、次の情報を入力します。
a. SNMP Manager IP address:MARS のレポート IP アドレス
b. Maximum number of SNMP notification:(例:100000)
c. Delay between SNMP notification (mins):(例:1 min)
ステップ 6 OK をクリックして、メイン画面に戻ります。
MARS 側の設定
Symantec ManHunt 3.x の設定情報の追加
ステップ 1 Admin > System Setup > Security and Monitor Devices> Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host を選択します。
ステップ 3 新しいホストを追加する場合は、Device Name、IP addressesを入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、Symantec ManHunt 3.x を選択します。
ステップ 7 Add をクリックします。
ステップ 8 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
c. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 9 変更を保存するには、Submit をクリックします。
ステップ 10 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
NetScreen IDP 2.1
IDP 側の設定
ステップ 1 NetScreen-Global Pro > IDP Manager > IDP の順にクリックします。
ステップ 2 IDP Manager にログインします。
ステップ 3 メイン メニューで、Tools > Preferences の順にクリックします。
ステップ 4 左側のツリーで、Management Server をクリックし、OK をクリックします。
ステップ 5 Security Policies をクリックして、ポリシーの名前をクリックします。
ステップ 6 Notification カラムのセルで、フィールド内の任意の位置を右クリックして、Configure を選択します。
ステップ 7 ポリシーごとに enable logging および syslog をオンにして、OK をクリックします。すべてのポリシーに手順を繰り返します。
ステップ 8 メイン メニューで、Policy > Install の順にクリックします。
MARS 側の設定
IDP への設定情報の追加
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host を選択します。
ステップ 3 新しいホストを追加する場合は、Device Name、IP addressesを入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、NetScreen IDP 2.1 を選択します。
ステップ 7 Add をクリックします。
図 6-17 NetScreen IDP 2.1 センサの追加
NetScreen IDP 2.1 センサの手動追加
ステップ 1 Add Sensor をクリックします。
ステップ 2 既存のデバイスまたは Add New デバイスを選択します。
ステップ 3 Device Name、Sensor Name、および Reporting IPアドレスを入力します。
・Device Name - このデバイスの DNS エントリ
・Sensor Name - コンソールに表示される名前
・Reporting IP - コンソールにログを送信する場合にエージェントが使用する IP アドレス
ステップ 4 攻撃パス計算にとって重要な情報であるインターフェイスを追加します。
・さらにインターフェイスを入力する場合は、Add Interface をクリックして、新しいインターフェイスの名前、IP アドレス、およびマスクを追加します。
ステップ 5 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
c. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 6 変更を保存するには、Submit をクリックします。
ステップ 7 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
Enterasys Dragon 6.x
Enterasys Dragon デバイスを設定する手順は、次のとおりです。
・Dragon Policy Manager(DPM)または Event Flow Processor(EFP)を設定します。
・DPM または EFP と同じシステムで稼働する Syslog デーモンを設定します。
・MARS を設定します。
DPM/EFP の設定
DPM または EFP を設定する前に、Alarmtool をインストールして、イネーブルにする必要があります。
DPM または EFP の設定
ステップ 1 DPM または EFP にログインします。
ステップ 2 Alarmtool をクリックします。
ステップ 3 左側のメニューで、Notification Rules をクリックします。
ステップ 4 右側のウィンドウに Syslog が表示されている場合は、これを選択します。Syslog が表示されていない場合は、作成する必要があります。
a. New Notification Rules をクリックして、syslog を選択します。
b. Facility - 選択された localn が Syslog デーモンで使用されていないことを確認します。
c. Level - Debug を選択します。
d. Message - 下記のフォーマットになっていることを確認します。
%TIME% %DATE% SigName=%NAME% from Sensor=%SENSOR%
ScrIP=%SIP% DstIP=%DIP% SrcPort=%SPORT% DstPort=%DPORT%
Protocol=%PROTO%
ステップ 5 Save をクリックします。
ステップ 6 左側のメニューで、Alarm をクリックします。
ステップ 7 Type を Real-time に、Notification Rule を syslog に設定します。
ステップ 8 Save をクリックします。
ステップ 9 左側のメニューで、Deployment をクリックします。
ステップ 10 メイン画面で、View Configuration をクリックします。通知 Syslog とアラーム Syslog の両方に設定された localn が一致することを確認します。
ステップ 11 メイン画面で、Deploy and Reset をクリックして、設定変更を確認します。
ホスト側の設定
UNIX ホストでの Syslog の設定
ステップ 1 ホストにルート ユーザとしてログインします。
ステップ 2 DPM または EFP が稼働している同じシステムで、ファイル /etc/syslog.conf を編集します。
ステップ 3 localn の n は、DPM または EFP で使用される Syslog エントリに一致することを確認します。
ステップ 4 次のコマンドを入力して、Syslog デーモンを再起動します。
/etc/init.d/syslog restart
MARS 側の設定
Enterasys Dragon の設定情報の追加
ステップ 1 Admin > System Setup > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host または Add SW security apps on existing host を選択します。
ステップ 3 新しいホストを追加する場合は、Device Name にデバイス名、IP Addresses に IP アドレスを入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、Enterasys Dragon 6.x を選択します。
ステップ 7 Add をクリックします。
Dragon NIDS デバイスの追加
ステップ 1 Add Sensor をクリックします。
ステップ 2 既存のデバイスまたは Add New デバイスを選択します。
ステップ 3 Device Name、Sensor Name、および Reporting IPアドレスを入力します。
・Device Name - このデバイスの DNS エントリ
・Sensor Name - コンソールに表示される名前
・Reporting IP - コンソールにログを送信する場合にエージェントが使用する IP アドレス
ステップ 4 攻撃パス計算にとって重要な情報であるインターフェイスを追加します。
・さらにインターフェイスを入力する場合は、Add Interface をクリックして、新しいインターフェイスの名前、IP アドレス、およびマスクを追加します。
ステップ 5 攻撃パスの計算および軽減のために、センサがモニタするネットワークを指定します。次のいずれかを実行します。
ネットワークを手動で定義するには、Define a Networkオプション ボタンを選択します。
a. Network IP フィールドにネットワーク アドレスを入力します。
b. Mask フィールドに対応するネットワーク マスク値を入力します。
c. Add をクリックして、指定したネットワークを Monitored Networks フィールドに移動します。
d. 必要に応じてステップを繰り返します。
デバイスに接続されたネットワークを選択するには、Select a Networkオプション ボタンをクリックします。
a. Select a Network リストでネットワークを選択します。
b. Add をクリックして、選択したネットワークを Monitored Networks フィールドに移動します。
c. 必要に応じてステップを繰り返します。
ステップ 6 変更を保存するには、Submit をクリックします。
ステップ 7 センサを追加し終えたら、Done をクリックします。
ステップ 8 MARS がこのモジュールからのイベントのセッション化を開始できるようにするには、Activate をクリックします。
