第16章 ネットワークの概要
この章では、HTML インターフェイス、および HTML インターフェイスの Summary タブのコンポーネントについて説明します。
MARS アプライアンス内でのナビゲーション
MARS HTML インターフェイスは単一のブラウザ ウィンドウ内で動作します。MARS 製品の機能は、ラベルの付いたタブで分類され、さらにサブタブで分割されます。
ログイン
ステップ 1 
Local Controller にログインするには、ブラウザ アドレス フィールドに IP または DNS アドレスを入力します。ログイン ボックスが表示されます。
図 16-1 Local Controller のログイン ボックス
ステップ 2 ログイン名およびパスワードを入力します。ログイン名が設定されていない場合は、ネットワーク管理者に問い合わせてください。
ステップ 3 この MARS で作成されたユーザ アカウントにログインしている場合は、Type ドロップダウン リストで、Local を選択します。または、この Local Controller のレポート先である Global Controller で作成されたユーザ アカウントにログインしている場合は、Global を選択します。
ステップ 4 Login をクリックします。
ログイン後、最初に表示されるページは、Summary タブの Dashboard ページです。次の要因がいくつか重なった場合は、情報が表示されるまでに遅延が生じることがあります。
・Local Controller に電源を投入している時間、およびネットワークに接続している時間
・ネットワークのトラフィック量
・レポート デバイスのレポート Syslog レベル
・ネットワークのサイズ
・レポート デバイスの個数およびタイプ
ほとんどのネットワークでは、設定後まもなく Summary ページに情報が読み込まれます。値の一部は、一定時間が経過したあとで表示されます。たとえば、24 Hour Events および 24 Hour Incidents テーブルの値などです。
基本ナビゲーション
Local Controller は、タブベースの、ハイパーリングされているユーザ インターフェイスを採用しています。クリック可能なハイパーリンクである英数字ストリングまたはアイコン上にマウスを移動すると、マウス カーソルが人差し指カーソル 
に変わります。図 16-2 に、Dashboard ページ上のクリック可能オブジェクトの一部を示します。
図 16-2 リンク、アイコン、およびフィルタ
|
1 |
項目の詳細ページまたはポップアップ ウィンドウへのリンク |
2 |
Query ページへの Query アイコン リンク。対応するクエリー フィールドに、この項目が読み込まれます。 |
|
3 |
プルダウン リストは、表示内容をフィルタリングします。 |
4 |
Path アイコンをクリックすると、Path または Incident Vector ポップアップ ダイアグラムが起動します。 |
-
7 つのタブのいずれかをクリックして、タブのサブタブに関連するページにナビゲートします(図 16-3 〜 図 16-8 を参照)。
図 16-3 Summary タブ
図 16-4 Incidents タブ
図 16-5 Query/Reports タブ
図 16-6 Rules タブ
図 16-7 Management タブ
図 16-8 Administration タブ
図 16-9 Help タブ
Help ページ
Help ページ(図 16-10 を参照)には、オンライン ドキュメンテーションへの URL、および MARS 開発エンジニアリング チームに今後の参考になるコメントを送るための送信用フィードバック フォームが用意されています。
図 16-10 Help ページ
MARS で稼働しているソフトウェア バージョンの番号を表示するには、About をクリックします。
Cisco Systems, Inc. Web サイト(http://www.cisco.com)の MARS ドキュメンテーションへの URL を表示するには、Documentation をクリックします。
コメントの送信
ほとんどのページの下部には、Feedback ボタンがあります(図 16-10 を参照)。
Feedback ボタンをクリックするか、または Feedback ページにナビゲートすると、フィードバック ダイアログボックスが表示されます(図 16-11 を参照)。
図 16-11 フィードバック ダイアログボックス
MARS 開発エンジニアリング チームにコメントを送信するには、電子メール アドレスおよびコメントを入力して、Submit をクリックします。Include log file をクリックすると、MARS ログ ファイルがメッセージに添付されて送信されます。
Summary ページ
Summary ページでは、ネットワークの状態をすばやく判断できます。Summary ページには Dashboard、Network Status、および My Reports のタブがあります(図 16-12 を参照)。
図 16-12 Summary タブ
Dashboard
注 Local Controller のアップグレード後、最初に Summary ページを表示する場合は、Java Server ページの再コンパイルによってわずかな遅延が生じます。
図 16-13 Dashboard の作業領域
|
1 |
サブタブ |
5 |
タブ |
|
2 |
ケース バー(Local Controller のみ) |
6 |
最近のインシデント情報 |
|
3 |
ユーザに割り当てられたケースへのリンク |
7 |
ホットスポット図および攻撃図 |
|
4 |
チャート | ||
最近のインシデント
Dashboard でまず目につく機能は、最近起動したインシデントです。Local Controller には定義済みの規則が用意されていて、これらの規則を起動するとインシデントが生成されます。これらの規則は汎用で、グローバルに適用できます。また、Local Controller を調整する場合の開始点としても機能します。
図 16-14 インシデントへのドリルダウン
をクリックすると、トポロジー図のポップアップ ウィンドウが起動します。
をクリックすると、インシデント攻撃ベクトル図が起動します。
セッションおよびイベント
セッションは、指定された時間枠で、次に示す共通のエンドツーエンド情報を共有する一連のイベントです。
・送信元および宛先アドレス
・送信元および宛先ポート
・プロトコル
イベントをセッション化すると、イベント データが集約され、分類や調査が簡単になります。 また、複数のイベントが単一の情報単位として処理されるため、攻撃が実際に発生しているかどうかを把握できます。該当するセッションのすべてのイベントがユーザに提供され、攻撃のコンテキストが示されます。
セッション化は Network Address Translation(NAT; ネットワーク アドレス変換)境界を越えても機能します。セッションが通過しているデバイスでこのセッションが NAT 変換される場合、Locall Controller はこれらのイベントをセッション化できます。これは、ファイアウォールの一方の側にある 2 つのデバイスでイベントが報告された場合でも同様です。
ネットワークはイベントおよびセッション カテゴリに分類される即時アクションの表示を開始します。24 Hour Events テーブルおよび Events and Sessions チャートには、同じ情報が異なる方法で表示されます。
データ削減
データ削減は、Local Controller がセッション単位でまとめるイベント データの量を表します。たとえば、データ削減が 66% の場合、平均して 1 つのセッションにつき 3 つのイベントが測定されています。この値はネットワークに固有の複数の変数によって決まります。
図 16-15 データ削減
ページ リフレッシュ
Page Refresh Rate はユーザが割り当てた設定に従って Local Controller をポーリングします。デフォルト設定は 15 分です。リフレッシュ設定はログアウトするまで、変更されません。この設定が適用されるのは、Page Refresh プルダウンが配置されたページのみです。
図 16-16 ページ リフレッシュ
注 リフレッシュ レートを変更するには、ドロップダウン リストを使用します。
Diagrams
Summary ページには、ホットスポットおよび攻撃の 2 つの図があります。Local Controller は、ユーザが指定した設定およびトポロジー検出情報を使用して、これらの図を生成します。次の表に、これらの図で使用されるアイコンを示します。
図のドリルダウンを開始するには、表 16-1 に示されたアイコンのいずれかをクリックします。攻撃図の攻撃パスをドリルダウンするには、Path アイコン 
をクリックします。これらの図をドリルダウンすると、ネットワークに関するリアルタイム情報を最もすばやく表示できます。
図 16-17 クリック可能なホットスポット:ブラウン=攻撃側、レッド=被害側
注 クラウドはホットスポット図の一連のゲートウェイを表すことができます。ゲートウェイ クラウドは、Local Controller にとって未知のデバイスです。ゲートウェイの SNMP 情報が判明している場合は、ゲートウェイをクリックして、ゲートウェイ クラウドを検出できます。
これらの図を表示するには、Adobe SVG ビューア プラグインが必要です。Adobe SVG ビューア プラグインは自動的にインストールされます。
注 SVG 自動インストーラで No をクリックした場合、Local Controller に SVG の再インストールを求めるプロンプトは表示されません。自動インストーラを実行する場合は、ブラウザを開いて、Tools > Internet Options > General > Delete Cookies の順にクリックします。
図 16-18 ホットスポット図および攻撃図
|
1 |
SVG ヘルプを表示します。 |
2 |
選択したデバイスのクラウドをページ全体に表示します。 |
|
3 |
すべてのデバイスをページ全体に表示します。 |
4 |
表示するゾーンを選択します(Global Controller のみ)。 |
|
5 |
表示するゾーンを選択します(Global Controller のみ)。 | ||
図の操作
・図のズームインまたはズームアウト、元のサイズへのリセット、表示品質の設定、およびSVG イメージの検索や操作を実行するには、図を右クリックします。
・手動でイメージを移動するには、Alt キーを押しながらクリックします。
・虫眼鏡を使用してズームインするには、Ctrl キーを押しながらクリックします。
・エリアを選択するには、Ctrl キーを押しながらクリックしてドラッグします。
・虫眼鏡を使用してズームアウトするには、Ctrl キーと Shift キーを押しながらクリックします。
注 Local Controller が未知のデバイスを検出すると、ストリング「eth」のあとにハイフン(「-」)、および 32 ビット表記の IP アドレス(例:「eth-168034561」)が続く形式の一意の名前を使用して、デバイスが表示されます。
トポロジー内のデバイスの表示
ホットスポット図ではレポート デバイスの表示方法を指定できます。Device Display カラム内のアイコンをクリックすると、デバイスを個別ノードとしてグラフに表示するか、あるいはクラウド内に含めるかを指定できます。デバイスをクラウド内で「非表示」にすると、グラフに表示されるデバイス数を削減して、上位レベルでわかりやすく表示できます。
クラウドによって識別される一連のネットワークは、完全な物理トポロジーを定義する必要がないネットワークです。直接的な関係はないけれども、図の完成には必要なネットワークを描写する場合は、紙にネットワーク図を描写する場合と同様に、クラウドを使用できます。たとえば、ゲートウェイ デバイスまたは軽減デバイスのみを表示し、その他のレポート デバイスはクラウドの一部として表現できます。
デバイスのステータス表示を切り替える手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices の順にクリックします。
ステップ 2 Device Display カラムで、切り替えるデバイスに対応するアイコンをクリックします。
図 16-19 Device Display アイコン
アイコンがホスト アイコンからクラウド内のホストに、またはその逆に変更されます。
ステップ 3 Activate をクリックします。
Network Status
Network Status ページでは、ネットワークの全体像を把握できます。Network Status ページでは、次のチャートを表示できます。
・Incidents
重大度を基準としてランク付けされます。
・Attacks:All - Top Rules Fired
起動される最大インシデント数を基準としてランク付けされます。
・Activity:All - Top Event Types
該当するタイプのイベントの最大数を基準としてランク付けされます。
・Activity:All - Top Reporting Devices
各セキュリティ デバイスから報告されるイベントの総数を基準としてランク付けされます。
・Activity:All - Top Sources
セッションの送信元として表示される最上位の IP アドレス(セッション数を基準としてランク付けされます)。
・Activity:All - Top Destinations
セッションの宛先として表示される最上位の IP アドレス(セッション数を基準としてランク付けされます)。
このページのすべてのチャートでは、チャートのウィンドウに配置されたボタンをクリックして、さまざまな時間枠やチャート サイズの設定、最新レポートの表示などを実行できます。
チャートの読み取り
これらのチャートは積み上げグラフです。特定の日付において、どの重大度のインシデントがネットワーク内で最も多く発生したかを調べるには、幅が最も広い領域を求めます。次の図では、ロー プライオリティーのグリーンのインシデントは、ハイ プライオリティのレッドのインシデントよりも発生頻度が少ないため、領域が狭く表示されています。
図 16-20 1 日のイベントとネットフローおよび凡例
|
1 |
値を時間、日、週、月、四半期(最近の 3 カ月)、または年単位で表示します。 |
2 |
すべてのゾーンの合計、または個別のゾーンを表示するようにチャートを設定します(Global Controller のみ)。 |
|
3 |
チャートを拡大して表示します。 |
4 |
チャートの凡例を表示します。 |
|
5 |
チャートの凡例 | ||
チャートを効率よく判読するには、その時点での値を決定するのが幅の広い特定のカラーだけであることに注意してください。特定のカラーが上昇または下降している場合は、グラフの下位にある別のカラーの上昇(または下降)が原因である可能性があります。
完全に水平な線は、Local Controller がその期間内にデータを受信しなかったことを示します。
図 16-21 1 週間の起動数上位の規則チャートの水平線
次のインシデント チャートには、過去 8 日間の上位インシデントが表示されます。
図 16-22 8 日間のインシデント
My Reports
My Reports ページでは、表示するレポートを選択できます。ユーザ自身のログイン名を指定して Local Controller を使用している場合は、ここで選択したレポートが表示されます。
表示用レポートの設定
ステップ 1 My Reports ページの Edit ボタンをクリックします。
ステップ 2 チャートとして表示するレポートの横にあるオプション ボタンを選択します。
ステップ 3 Submit をクリックします。
My Reports ページで選択したチャートが、Local Controller により表示されます。
注 レポートは定期的に(1 時間おきや 1 日おきに)実行するようにスケジュールする必要があります。レポートをアクティブにする場合は、データを蓄積する期間を設けてください。
My Reports ページにはチャートをいくつでも表示できますが、チャートを多数表示するとロード速度が低下します。
選択できるレポートは、事前定義されたレポートです。レポートを独自に作成した場合は、表示するレポートを選択できます。詳細については、「Reports ページ」を参照してください。
