第8章 アンチウイルス デバイスの設定
AV(アンチウイルス)デバイスには、既知のウイルスと異常を検出して、防止する機能があります。
この章では、次のデバイスとシステムを設定および追加する方法について説明します。
・
McAfee ePolicy Orchestrator デバイス
・ Cisco Incident Control Server
Symantec AntiVirus の設定
Symantec AV を設定するには、次の 2 つのタスクを実行します。
・ イベントを MARS アプライアンスにパブリッシュするための AV サーバの設定
・また、次のタスクを実行して、MARS にエージェント リストを迅速に読み込むことができます。
イベントを MARS アプライアンスにパブリッシュするための AV サーバの設定
イベントを MARS にパブリッシュするように AV サーバを設定する手順は、次のとおりです。
ステップ 1 Symantec AV が稼働している Windows サーバにログインします。
ステップ 2 Start > All Programs > Symantec System Center Console の順に選択します。
ステップ 3 Symantec System Center ウィンドウで、System Hierarchy をクリックします。
ステップ 4 System Hierarchy で該当するサーバ グループ名を右クリックし、設定されたパスワードを入力して、サーバ グループのロックを解除します。
サーバのロックを解除すると、サーバを設定できるようになります。
図 8-1
Symantec のサーバのロック解除
ステップ 5 SNMP(簡易ネットワーク管理プロトコル)トラップを MARS に送信するように Symantec サーバ(AMS-Alert Management System)を設定します。ロック解除されたサーバ グループを右クリックしてから、All Tasks > AMS > Configure の順に選択します。
図 8-2
Symantec AV AMS
ステップ 6 各 Alert Action で Send SNMP Trap を選択してから、Configure をクリックします。
図 8-3
Symantec AV Trap
ステップ 7 Send SNMP Trap をクリックしてから、Next をクリックします。
図 8-4
Symantec AV Send SNMP Trap
ステップ 8 SNMP トラップを送信するコンピュータを選択してから、Next をクリックして Action Message ウィンドウを表示します。
ステップ 9 次の情報に従って Alert message リストにアラート パラメータを追加します。
図 8-5
Symantec AV Action Msg
MARS が AV トラップを解析するには、次の必須フィールドへの入力が必要です。これらのフィールドがオプション フィールドの間に挟まれている場合は、これらのフィールドを順に定義してから、オプション フィールドを定義する必要があります。
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Action:<Actual Action>
・Description:<Description>
注 この順序設定は必須です。オプション フィールドの中には長すぎるために、必須フィールドが属性リストの先頭に表示されない場合、Mars の正しい解析を妨げるものがあるためです。
次のオプション フィールドは、必須フィールドをすべて定義したあとで定義できます。
・User:<User>
・Virus Name:< Virus Name>
・File Path:<File Path>
・Severity:<Severity>
・Source:<Source>
次のリストは、トラップ タイプおよび使用可能なフィールドの完全なリストを識別します。
Alert:Virus Found
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Action:<Actual Action>
・Severity:<Severity>
・Source:<Source>
・File Path:<File Path>
・Logger:<Logger>
・Requested Action:< Requested Action>
・User:<User>
・Virus Name:<Virus Name>
Alert:Virus Definition File Update
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Description:<Description>
・Severity:<Severity>
・Source:<Source>
Alert:Symantec AntiVirus Startup/Shutdown
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Description:<Description>
・Severity:<Severity>
・Source:<Source>
Alert:Scan Start/Stop
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Severity:<Severity>
・Source:<Source>
・Source:<Source>
・Logger:<Logger>
・User:<User>
Alert:Scan Start/Stop
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Description:<Description>
・Severity:<Severity>
・Source:<Source>
・Logger:<Logger>
Alert:Default Alert
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Severity:<Severity>
・Source:<Source>
・Failed Alert:<Failed Alert>
Alert:Configuration Change
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Severity:<Severity>
・Source:<Source>
・Failed Alert:<Failed Alert>
Alert:Configuration Change
・Alert:<Alert Name>
・Computer:<Computer Name>
・Date:<Date>
・Time:<Time>
・Description:<Description>
・Severity:<Severity>
・Source:<Source>
ステップ 10 アラート イベントごとにステップ 6 〜ステップ 9 を繰り返します。
AntiVirus エージェント リストのエクスポート
Symantec AntiVirus Clients および Agents のリストを CSV ファイル(*.csv)としてエクスポートできます。これにより、この CSV ファイルを使用して、MARS にエージェントをロードできるようになります。ファイルからエージェントを追加する方法については、「CSV ファイルからのエージェントの追加」を参照してください。この方法は、エージェントを手動で識別しなければならなかったときに比べて、はるかに高速です。
CSV ファイルを生成する手順は、次のとおりです。
ステップ 1 View > Default Console View の順に選択して、生成される CSV ファイルの基準を Console Default View に設定します。
ステップ 2 エクスポートするサーバの名前を右クリックして、Export List を選択し、テキスト(カンマ区切り)(*.csv)ファイルとして保存します。
ステップ 3 MARS アプライアンスがアクセスできる FTP(ファイル転送プロトコル)サーバにファイルをコピーします。
HTML インターフェイス内に AntiVirus エージェントを追加するときに、このファイルを使用します。
MARS へのデバイスの追加
MARS にデバイスを追加するには、2 つの手順を実行します。まず、ホスト設定情報を追加します。次に、エージェントを手動で追加するか、シード ファイルから追加します。
ヒント Symantec AntiVirus の場合、Symantec エージェントのホスト名(AV クライアントのコンピュータ名)はイベント データの「Reported User」カラムに表示されます。したがって、このエージェントに関連するクエリー、レポート、または規則は「Reported User」値に基づいて定義することができます。
ホストおよびアプリケーションの設定情報を追加する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices > Add の順に選択します。
ステップ 2 Device Type リストで Add SW Security apps on a new host または Add SW security apps on existing host を選択します。
ステップ 3 新しいホストを追加するには、デバイス名および IP アドレスを入力します。
ステップ 4 Apply をクリックします。
ステップ 5 Reporting Applications タブをクリックします。
ステップ 6 Select Application リストで、Symantec AntiVirus 9.x を選択します。
ステップ 7 Add をクリックしてから、エージェントを選択します。「手動によるエージェントの追加」に進みます。
手動によるエージェントの追加
エージェントを手動で追加する手順は、次のとおりです。
ステップ 1 Add Agent をクリックします。
ステップ 2 既存のデバイスを選択するか、または Add New をクリックします。
ステップ 3 新しいデバイスについて、次に示す情報を入力します。
· Device Name — このデバイスの DNS エントリ
· Reporting IP — コンソールにログを送信するためにエージェントが使用する IP アドレス
ステップ 4 Interfaces リストで、エージェントが稼働しているホストにインストールされたインターフェイスごとに、対応する IP アドレスおよびネットマスク値を指定します。
MARS はインターフェイス情報を使用して、攻撃パスを計算します。
ステップ 5 Submit をクリックします。
CSV ファイルからのエージェントの追加
Symantec AV サーバで管理されるエージェントのリストを含む CSV ファイルを生成できます。ファイルを生成したら、このファイルを使用して、エージェント リストを Symantec AV サーバの子モジュールとして MARS HTML インターフェイスにインポートできます。
AV エージェント リストをインポートする手順は、次のとおりです。
ステップ 1 Load From CSV をクリックします。
ステップ 2 FTP サーバ情報および CSV(カンマ区切り値)ファイルの場所を入力します。
ステップ 3 Submit をクリックします。
McAfee ePolicy Orchestrator デバイス
McAfee ePolicy Orchestrator サーバで生成されたデータを受信して処理するように MARS を設定するには、次の 2 つの手順を実行する必要があります。
・ 必要なデータを生成するための ePolicy Orchestrator の設定
・ MARS での ePolicy Orchestrator サーバの追加および設定
必要なデータを生成するための ePolicy Orchestrator の設定
SNMP イベントを MARS に転送するように ePolicy Orchestrator サーバの設定を準備する手順は、次のとおりです。
ステップ 1 Start > Program Files > Network Associates > ePolicy Orchestrator 3.x Console の順に選択します。
ステップ 2 ツリー内で、McAfee Security > ePolicy Orchestrator の順に選択し、Global Task List で Log on to server リンクをクリックします。
ステップ 3 Log On to Server ダイアログボックスで、ePolicy Orchestrator サーバにアクセスするために必要なユーザ名およびパスワードを入力し、OK をクリックします。
ステップ 4 ツリー内で、McAfee Security > ePolicy Orchestrator > <Server_Name> > Notifications の順に選択し、 Configuration タブをクリックして、 SNMP Servers リンクをクリックします。
ステップ 5 Add をクリックします。
ステップ 6 Name フィールドに、MARS アプライアンスのホスト名を入力します。
ステップ 7 Server address フィールドに、MARS アプライアンスのモニタリング インターフェイスである eth0 インターフェイスの IP アドレスを入力し、OK をクリックします。
MARS アプライアンスを表す SNMP サーバが追加されます。
ステップ 8 Rules タブをクリックします。
Rules タブにアクセスするには、McAfee Security > ePolicy Orchestrator > <Server_Name> > Notifications > の順に選択し、 Rules タブをクリックします。
ステップ 9 MARS アプライアンスを表す SNMP サーバにすべての通知が送信されるように、リスト内の各規則を編集します。規則を編集する手順は、次のとおりです。
a. 規則をクリックします。
Describe Rule ウィザード ページが表示されます。
b. Next をクリックして、Set Filters ページに進みます。
c. Add または Edit Notification Rule で 3. Set Thresholds リンクをクリックします。
図 8-6 スレッシュホールド値の設定
d. Aggregation および Throttling 値が図 8-6 のように設定されていることを確認します。
e. Next をクリックして、Create Notifications ページに進みます。
f. Add SNMP Trap をクリックします。
図 8-7 SNMP トラップの設定
g. SNMP サーバ リストで、MARS アプライアンスを表す SNMP サーバを選択します。
h. 図 8-7 のようにすべての変数が選択されていることを確認します。
i. Save をクリックして、選択した規則の通知リストに SNMP トラップを追加します。
j. Finish をクリックして、選択した規則への変更を保存します。
MARS での ePolicy Orchestrator サーバの追加および設定
MARS が ePolicy Orchestrator からの SNMP トラップの処理を開始する前に、ePolicy Orchestrator サーバをホストで稼働するソフトウェアとして定義する必要があります。ePolicy Orchestrator がレポート デバイスとして定義されている場合、MARS は、ePolicy Orchestrator イベント タイプで定義されたインスペクション規則を処理できます。
ePolicy Orchestrator サーバを MARS に追加すると、アプライアンスは ePolicy Ochestrator サーバによって管理されるエージェントを検出できるようになります。これは、これらのエージェントによってイベントが生成されるためです。このサーバに対応するエージェントを手動で定義する必要はありません。
MARS に ePolicy Orchestrator サーバを追加する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices > Add の順に選択します。
ステップ 2 Device Type リストで、Add SW Security apps on a new host を選択します。
ステップ 3 Device Name フィールドに、サーバのホスト名を入力します。
ステップ 4 Reporting IP フィールドに、SNMP トラップの送信元となる ePolicy Orchestrator サーバのインターフェイスの IP アドレスを入力します。
ステップ 5 Enter interface information に、Syslog メッセージの送信元となる ePolicy Orchestrator サーバのインターフェイスの名前、IP アドレス、およびネットマスク値を入力します。
このアドレスは Reporting IP アドレスと値が同じです。
ステップ 6 Apply をクリックします。
ステップ 7 Next をクリックして、Reporting Applications タブに移動します。
ステップ 8 Select Application フィールドで、McAfee ePO 3.5 を選択してから、Add をクリックします。
ステップ 9 Done をクリックして、変更を保存します。
ステップ 10 Submit をクリックします。
ステップ 11 デバイスをアクティブにするには、Activate をクリックします。
Cisco Incident Control Server
Cisco Incident Control Server(Cisco ICS)を使用すると、Cisco IOS ルータ、スイッチ、および IPS デバイスの保護機能を拡張できます。Cisco ICS は Trend Micro のインシデント制御ソリューションと連動して、Day Zero の急激な拡散を 3 つの方法で防止します。
・1 つめの方法では、Cisco ICS は一時的な ACL(アクセス制御リスト)を、このようなトラフィックをブロックできるシスコの軽減デバイスに送信します。通常は、プロトコルおよびポート ペア ブロックを使用します。この一時的なブロックは、Outbreak Prevention ACL(OPACL)といいます。
・2 つめの方法では、Cisco ICS はシグニチャが使用可能になったらすぐに、ネットワークで稼働しているすべての Cisco IPS および IDS デバイスを、特定の脅威を検出して防止するために必要なシグニチャを使用して更新します。このシグニチャは、Outbreak Prevention Signature(OPSig)といいます。
・3 つめの方法として、Cisco ICS は Tend Micros の Damage Cleanup Services(DCS)など、トロイやその他のマルウェアを削除して感染ホストを浄化するサポート対象製品(別売)を管理できます。
Cisco ICS 通信設定を完了するには、次の 2 つのタスクを実行する必要があります。まず、Syslog メッセージを MARS アプライアンスに送信するように Cisco ICS を設定します。次に、Cisco ICS 管理サーバをレポート デバイスとして MARS HTML インターフェイスに追加します。
ここで説明する内容は、次のとおりです。
・ Syslog を MARS に送信するための Cisco ICS の設定
Syslog を MARS に送信するための Cisco ICS の設定
Cisco ICS は MARS アプライアンスに Syslog メッセージをパブリッシュします。Cisco ICS の設定は、MARS アプライアンスの IP アドレスを使用して、Syslog サーバを定義するだけです。特殊なログをイネーブルにする必要はありません。また、MARS に送信されるメッセージを調整することはできません。Syslog メッセージが生成される Cisco ICS イベントは、Security Threat Mitigation(STM)システムにとって最適となるように選択されています。
イベントを MARS にパブリッシュするように Cisco ICS を設定する手順は、次のとおりです。
ステップ 1 Cisco ICS Management Console にログインします。
ステップ 2 Global Settings > Syslog Servers の順にクリックします。
ステップ 3 Add をクリックします。
A
ステップ 4 IP Address フィールドに、Cisco ICS が Syslog メッセージをパブリッシュする MARS アプライアンスのアドレスを入力します。
ステップ 5 Save をクリックします。
これで、Cisco ICS は MARS に Syslog メセージをパブリッシュします。MARS にこのデバイスを認識させるには、Cisco ICS デバイスをホストで稼働するソフトウェア アプリケーションとして追加し、HTML インターフェイスで Activate をクリックする必要があります。
MARS への Cisco ICS デバイスの追加
MARS が Syslog メッセージを Cisco ICS メッセージとして処理する前に、Cisco ICS 管理サーバをホストで稼働するソフトウェア アプリケーションとして定義する必要があります。Cisco ICS をレポート デバイスとして定義したら、MARS は Cisco ICS イベント タイプで定義されたインスペクション規則を処理できるようになります。
Cisco ICS サーバを MARS に追加する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host を選択します。
Management >IP Management 設定の一部として MARS 内でホストをすでに定義している場合、またはホスト上で Microsoft Internet Information Services など別のアプリケーションを稼働している場合は、既存ホストで Add SW Security アプリケーションを選択することもできます。
ステップ 3 Device Name フィールドに、サーバのホスト名を入力します。
ステップ 4 Reporting IP フィールドに、Syslog メッセージの送信元となる Cisco ICS サーバのインターフェイスの IP アドレスを入力します。
ステップ 5 Enter interface information に、Syslog メッセージの送信元となる Cisco ICS サーバのインターフェイスの名前、IP アドレス、およびネットマスク値を入力します。
このアドレスは Reporting IP アドレスと値が同じです。
ステップ 6 Apply をクリックします。
ステップ 7 Next をクリックして、Reporting Applications タブに移動します。
ステップ 8 Select Application フィールドで、Cisco ICS 1.x を選択してから、Add をクリックします。
ステップ 9 Select をクリックして、Cisco ICS アプリケーションをこのホストに追加します。
ステップ 10 Done をクリックして、変更を保存します。
ステップ 11 デバイスをアクティブにするには、Activate をクリックします。
Cisco ICS イベントの規則およびレポートの定義
MARS は、大規模感染、OPACL および OPSig の配置の成功、および配置の試行の失敗を識別できる Syslog メッセージを Cisco ICS から受信します。MARS は、Cisco IPS デバイス上の OPACL および OPSig の起動と同期しています。また、データベース障害などのシステム問題について Cisco ICS サーバをモニタします。
これらのイベントは、正確かつ全体的なネットワーク評価を実行する場合に、MARS を支援します。OPACL および OPSig と一致するイベントは、5 タプルによって相関付けられます。MARS はこのタプルを使用して攻撃パスを分析し、脅威が抑制されているかどうかを確認します。これらのイベントを使用してインスペクション規則を定義すると、OPACL および OPSig を使用できないデバイス上で手動で軽減機能を実行できるようになります。
たとえば、OPACL イベントと一致するインスペクション規則を記述できます。軽減機能チームはレポート デバイスへプッシュされた OPACL を調査して、対応することができます。これにより、5 タプル(送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、ネットワーク サービス)を判別できます。この情報を使用すると、Cisco ICS で管理されないデバイスに同等な ACL をプッシュすることができます。
インスペクション規則またはレポートを定義する場合に、Cisco ICS 固有のイベントにアクセスするには、Description / CVE フィールドに Cisco ICS を入力して、HTML インターフェイスの Management > Event Management ページで Search をクリックします。
Cisco ICS には 4 つの定義済みシステム インスペクション規則があります。
・New Malware Discovered
・New Malware Prevention Deployed
・New Malware Prevention Deployment Failed
・New Malware Traffic Match
また、5 つの定義済みレポートがあります。
・Activity:New Malware Discovered - All Events
・Activity:New Malware Prevention Deployment Failure - All Events
・Activity:New Malware Prevention Deployment Success - All Events
・Activity:New Malware Traffic Match - All Events
・Activity:New Malware Traffic Match - Top Sources
