Q&ACS-MARS(Cisco Security Monitoring, Analysis and Response System)4.2全般Q:CS-MARS とは何ですか。
A:CS-MARS(Cisco Security Monitoring, Analysis and Response System)は、ネットワークおよびセキュリティ管理者がセキュリティ上の脅威を監視、識別、および隔離し、これに対処するためのアプライアンス ベースの包括的なソリューションです。高度なパフォーマンスとスケーラビリティを提供する脅威軽減対策アプライアンスであり、ContextCorrelation、SureVector 分析、AutoMitigate などの機能をネットワーク インテリジェンスと組み合わせ、導入済みのネットワーク デバイスとセキュリティ対策を強化します。これにより、企業のお客様はネットワーク攻撃を容易に識別、管理、および排除できるようになり、コンプライアンスの維持を実現できます。
第一世代と第二世代のセキュリティ情報管理システムを超える性能を持つ CS-MARS は、一般的なネットワーク デバイスおよびセキュリティ対策からのネットワーク データおよびセキュリティ データを集約し、情報量を効率的に削減します。CS-MARS にはネットワーク インテリジェンスが搭載されています。これにより、洗練されたイベントの関連付けと脅威の検証を行い、ネットワークおよびアプリケーションに対する脅威を識別できるようにします。また、検出された攻撃は、操作性に優れた詳細なトポロジ マップによって視覚化されるため、インシデントの識別および検査が容易になり、ワークフローが強化されます。攻撃が検出された場合、システムによって特定の感染抑制コマンドがネットワークの実行デバイスにプッシュされます。これにより、オペレータは攻撃をリアルタイムに防止、抑制、または停止できるようになります。このシステムでは、お客様中心のルールの作成、脅威の通知、およびインシデントの検査を行うことができます。また、さまざまなセキュリティ ポスチャや動向に関するレポートがサポートされています。 導入コストの抑制と柔軟な使用が可能なアプライアンス プラットフォームである CS-MARS アプライアンスは、ソリューション全体の費用対効果を向上させます。CS-MARS アプライアンスは標準の Intel プラットフォームで構成されています。Web ベースのユーザ インターフェイスでアクセス可能なアベイラビリティ機能、強化された OS、組み込み型の Oracle データベース、独自のロジック、さまざまなパフォーマンス特性と価格帯を備えたスケーラブルなアーキテクチャにより、さまざまなお客様の導入規模および展開シナリオに対応できます。 Q:代替使用できるソフトウェアはありますか。
A:いいえ。CS-MARS は、Oracle データベースや OS をはじめ、スケーラブルかつハイ パフォーマンスなセキュリティ情報管理およびセキュリティ管理ソリューションの実現に必要なすべてのコンポーネントを実装した、強力な専用アプライアンスです。
Q:CS-MARS では、どのようなタイプの情報を監視できますか。
A:CS-MARS は、一般的な各種ネットワーク デバイス(ルータやスイッチ)、セキュリティ デバイスまたはアプリケーション(ファイアウォール、IDS [侵入検知システム]、脆弱性スキャナ、アンチウイルス ソフトウェアなど)、ホスト(Windows、Solaris、Linux Syslog など)、サーバベース アプリケーション(データベース、Web サーバ、認証サーバなど)、およびネットワーク トラフィック(Cisco NetFlow など)からログとイベントを一元的に集約します。
Q:ファイアウォール、IDS、またはその他のデバイスを CS-MARS で監視する場合、追加料金は発生しますか。
A:CS-MARS ではエージェントに対する料金は発生しません。お客様の支払う価格は、アプライアンス単位となります。アプライアンスがパフォーマンス要件を満たしているかぎり、お客様は追加料金を支払う必要はありません。実際、エージェントレスになる場合もあります。
Q:CS-MARS アプライアンスのキャパシティはどのようになっていますか。
A:アプライアンスには 6 種類のモデルがあります。
注:NetFlow の数値は、毎秒のパケット数ではなく、毎秒のフロー数で示しています。上記の数値は持続レートを超過しています。システムでは、これらの数値を超えるピークを管理できます。 Q:1 秒あたりのイベント レートが、サポートされているイベント レートを上回るとどうなりますか。
A:イベントの負荷がシステムでサポートできる負荷を超えた場合、キューにより、処理されるイベントに優先順位が付けられます。これにより、重大度の低いイベントは削除され、重大度の高いイベントは引き続き処理されます。
システムがサポートするイベント レートの公開されている値は、継続的に発生した場合を前提としています。ピークがその数値を超えた場合は、イベントは廃棄されません。CS-MARS は、ネットワーク攻撃が発生した場合でも、毎秒単位でイベントのピークを持続できるだけの強力なキャパシティを備えています。 Q:アプライアンス以外に別のライセンスが必要ですか。
A:必要なコンポーネントとライセンスはすべて、アプライアンスの価格に含まれています。
Q:複数の CS-MARS アプライアンスを使用する場合、どのようなアーキテクチャの展開が推奨されていますか。
A:CS-MARS の Global Controller が、複数ボックス ソリューションの中央コンソールを提供します。Global Controller アーキテクチャでは、Local Controller から Global Controller に要約されたデータが転送され、Global Controller では結合された「ゾーン」(トポロジ、インシデントなど)が表示されます。管理アクセスと制御はすべて、Global Controller から実行できます。
スタンドアロン型のソリューションは、すべてのデバイスを 1 箇所にローカルに配置しているお客様、または Syslog、NetFlow、および SNMP(簡易ネットワーク管理プロトコル)データが WAN リンクに殺到しても問題のないお客様を対象にしています。お客様が、地理的に分散したサイトおよびインスタンスで WAN リンクをフラッディングさせたくない場合は、分散型のソリューションを検討してください。 Q:ゾーン とは何ですか。
A:ゾーンとは、1 つの Local Controller に関連するお客様のネットワーク領域です。各 Local Controller は特定のゾーンを表します。
Q:アプライアンスは保護されていますか。
A:CS-MARS アプライアンスでは、セキュリティが強化されています。SMTP(Simple Mail Transfer Protocol; シンプル メール転送プロトコル)などの不要なサービスはすべて削除されました。
デバイスのサポートQ:CS-MARS でサポートされているデバイスのリストはありますか。
A:サポートされているデバイスの全リストは、次の URL(英語)を参照してください。http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html
Q:デバイスを追加してネットワークを設定するのに最適な方法はどのようなものですか。
A:デバイスを CS-MARS に追加するには、さまざまな方法があります。
シード ファイルの作成方法、デバイスの追加方法、およびデバイスの検出方法については、次の URL にある「レポート デバイスおよび軽減デバイスの追加」を参照してください。 Q:CS-MARS は、正式にサポートされていないデバイスからイベントを受信できますか。
A:はい。2 つの方法で行うことができます。
カスタム パーサーの定義方法については、次の URL(英語)を参照してください。http://www.cisco.com/en/US/products/ps6241/products_user_guide_chapter09186a0080509655.html Q:追加されたすべてのデバイスをエクスポートするには、どうすればよいですか。
A:セキュリティ デバイスおよびモニタリング デバイスの全リストを表示するには、[Admin] > [Security and Monitoring Devices] をクリックします。ページの一番下に移動し、すべてのデバイスを表示するための範囲を選択します。ページ上のすべてのテキストを選択し(Ctrl+A)、それをテキスト エディタにコピー(Ctrl+Insert)およびペースト(Shift+Insert)して、手動でクリーンアップします。
Q:CS-MARS は、ログとイベントをどのように収集するのですか。
A:CS-MARS では、デバイス自体の仕様に応じてプッシュまたはプルを行うことにより、イベントを収集します。
大半のデバイスは、イベントまたは Syslog メッセージを送信できますが、Cisco Secure Access Control Server(ACS)またはホスト サーバといった一部のデバイスでは、CS-MARS を使用して直接ログ ファイルを取得する必要があります。 Q:CS-MARS が感染抑制機能を実行できるのはどのデバイスですか。
A:CS-MARS は、シスコ、NetScreen、および CheckPoint 製の各デバイスの感染抑制コマンドを生成します。レイヤ 2 の感染抑制機能は、SNMP MIB II がサポートされている任意のデバイスに対して実行できます。ただし、テストはシスコのデバイスでのみ行われています。
レイヤ 3 デバイスについては、CS-MARS がコマンドとそのコマンドを実行すべきデバイスを推奨します。ユーザは、推奨デバイスの CLI(コマンドライン インターフェイス)でコマンドをコピー アンド ペーストする必要があります。 Q:特定のホストに対して、他のホストよりも脆弱であるというフラグを設定できますか(ホストに最新のパッチがインストールされていない場合など)。可能な場合、どのようにして実行するのですか。
A:いいえ、フラグは設定できません。CS-MARS は脆弱性評価ツールではありません。ただし、CS-MARS を使用して、サポートされている脆弱性評価ツールで収集した情報を評価して、OS、サービス パック、パッチ レベル、およびその他のデータなどの情報を取得できます。
Q:Telnet、SSH(Secure Shell)プロトコル、SNMP のうち、デバイスの検出方法としてどの方法が優先されますか。
A:さまざまなデバイスを迅速に検出する方法として、SNMP が優先的に使用されます。ただし、NAT(Network Address Translation; ネットワーク アドレス変換)または ACL(Access Control List; アクセス コントロール リスト)情報を持つルータでは、Telnet または SSH を使用する必要があります。
Q:CS-MARS では、ネットワーク トポロジ情報はどのように使用されるのですか。
A:CS-MARS では、ネットワーク トポロジをさまざまな目的で使用します。
Q:CS-MARS はネットワーク トポロジがなくても機能しますか。
A:はい。CS-MARS は、イベントを収集して関連付ける基本的なロギング アプライアンスとして使用できますが、この場合、ネットワーク トポロジ接続、ホットスポット グラフ、および感染抑制機能は使用できません。ファイアウォール ログ レベルが十分に高く設定されていれば、NAT および一部のセッション化は引き続き取得できます。
Q:必要な領域のみ検出するように CS-MARS を設定することはできますか。たとえば、ISP のネットワークは検出しないように設定できますか。
A:はい。CS-MARS では、有効なネットワークを定義することにより、内部ネットワークのみを検出するように設定できます。企業が有効なネットワークとして選択する一般的な例には、プライベート アドレス 10.0.0.0/8 と 192.168.0.0/16、およびその企業に割り当てられているパブリック アドレスなどがあります。
Q:CS-MARS は、ネットワーク トポロジをどのようにして最新の状態に保つのですか。
A:CS-MARS でデバイスの再検出をスケジュールすることで実現します。この再検出は、ネットワーク単位でスケジュールできます。
Q:CS-MARS が大規模なネットワークを検出するには、どれくらいの時間がかかりますか。
A:デバイスによって戻される SNMP 情報のサイズ、およびデバイスの混雑度によって異なります。エンタープライズクラスの 300 ノードを持つネットワークの場合、数時間かかります。ただし、ネットワークの検出中もイベント処理は続行されます。このイベント処理では、監視対象デバイスについて単純な検出を行い、変更をアクティブ化します。
Q:NAT および PAT(Port Address Translation; ポート アドレス変換)情報の利点は何ですか。
A:CS-MARS は NAT および PAT を認識します。システムでユーザがインシデントを検出した場合、NAT の前後のアドレス、または PAT のアドレスを要求できます。たとえば、ご使用の ISP が、ある時点でファイアウォール PAT IP アドレスの ID を問い合わせた場合、NAT 実行後のアドレスを使用してクエリーを実行できます。また、インシデントが発生した場合に DNS 名または Windows ワークステーション名を検索することもできます。
Q:CS-MARS は、感染抑制機能をどのように実行するのですか。
A:CS-MARS は、次のプロトコルを使用して感染抑制機能を実行します。
CS-MARS では、インシデントが発生した際、インシデントからの感染を抑制するために展開するコマンドと対象デバイスについてユーザに通知することもできます。また、ネットワーク トポロジ認識に基づいて、特定の感染抑制コマンドを実装するのに最適な場所を提示できます。 NetFlow および NAT/PAT の分析Q:NetFlow とは何ですか。
A: NetFlow は、ネットワーク トラフィックを監視するためにシスコが開発したテクノロジーで、さまざまな Cisco IOS® ソフトウェア イメージでサポートされています。NetFlow は UDP ベースのプロトコルを使用して、ルータで検出されたフローを定期的にレポートします。フローとはレイヤ 7 の概念で、セッションの確立、データ転送、およびセッションの終了で構成されます。NetFlow 対応ルータでは、すべてのフローについて、次のような複数のフロー パラメータが記録されます。
収集されたフローおよびフローに関連するパラメータは、NetFlow プロトコルに従って、UDP パケットで定期的にパッケージ化され、指定された収集場所に送信されます。複数のフローを 1 つの UDP パケットにパッケージ化できるため、Syslog や SNMP といった従来のメカニズムと比較して、NetFlow は大量のフローを監視するのに非常に効率的なメカニズムです。 NetFlow をハードウェアベースで実装することもできます。NetFlow パケットに含まれるフロー情報は、Cisco PIX® ファイアウォール、NetScreen ScreenOS、Check Point Firewall-1 などの企業ファイアウォールにおいて Syslog、SNMP、または Check Point Log Export API(LEA)を介して送信されるフロー情報に似ています。ただし、NetFlow は他のプロトコルよりもはるかに効率的です。トラフィック ログを受信するには、ファイアウォール上で Syslog レベルを DEBUG(非常に高い)に設定する必要があります。ただし、このレベルを使用することにより、ファイアウォールでのスループットの低下(適度な負荷から高負荷へ)が引き起こされます。 NetFlow は次のデータを提供します。
Q:NetFlow 情報は、どのデバイスから収集する必要がありますか。
A:NetFlow 情報は、分散スイッチおよびルータから収集することを推奨します。これらのデバイスは、インターネットに公開されたルータからの NetFlow またはファイアウォールからの Syslog とともに、ネットワーク全体を表します。CS-MARS は、NetFlow と Syslog を標準化して問題が発生しないようにします。
Q:CS-MARS が管理できる NetFlow レコードの数はいくつですか。
A: アプライアンス モデルによって異なります。詳細については、「全般」の項の質問「CS-MARS アプライアンスのキャパシティはどのようになっていますか。」を参照してください。
Q:インシデントの検出と感染抑制について、CS-MARS のレイヤ 2 分析はどのように機能しますか。
A:CS-MARS は、IP から MAC へのアドレス マッピングを実行し、その後、レイヤ 2 のスパニングツリー プロトコルを使用して MAC アドレスを物理スイッチ ポートにマッピングすることにより、遮断するポートを識別します。
クエリー、レポート、およびルールの機能Q:クエリー、レポート、およびルールの違いは何ですか。
A:クエリー、レポート、およびルールは同じ方法で作成されます。この 3 つの違いは、次のとおりです。クエリーは、インシデントを調査し詳細を取得するために、特定の時点で実行されます。クエリーを作成したあと、そのクエリーを頻繁に実行する場合や、クエリーにアクションを関連付ける場合には、クエリーをレポートとして保存できます。クエリーの結果とレポートの結果は完全に同じです。ただし、特定の出力が必要になるたびに値を入力しなくて済むよう、レポートを保存することができます。レポートは「My Reports」ページに追加できます。また、レポートの生成、フォーマット、および配信は柔軟に行うことができます。特定の間隔で自動的にレポートを実行したり、HTML または CSV 形式でレポートを出力したり、スケジュールされた生成が終わった時点で E メールにより通知することが可能です。
ルールはレポートよりも複雑です。ルールは、CS-MARS で作成されたイベントとセッションを分析し、指定された順序に基づいてインシデントを生成します。ルールは削除できません。そのため、まずルールを処理して、希望する結果が得られるように調整する必要があります。クエリーが希望どおりの内容であることを確認してから、クエリーをルールとして保存する必要があります。 Q:レポートはどのような形式でエクスポートできますか。また、エクスポートの方法を教えてください。
A:CS-MARS は CSV および HTML 形式でレポートを生成します。どちらの形式でも、レポートを E メールで送信またはエクスポートできます。
Q:「My Reports」ページとは何ですか。
A:独自のレポートを追加できる「My Reports」と呼ばれるタブがあります。これにより、頻繁にアクセスするレポートを簡単に表示できます。
Q:ファイアウォール ルールへの該当があった場合、CS-MARS は E メールでアラートを送信できますか。
A:はい。CS-MARS でルールを作成し、ファイアウォール ルールと同じ 5 つのコンポーネント、および 1 つのアクション(E メール)を指定できます。E メールは、1 つの E メール アドレスまたはアドレス グループに送信できます。
Q:CS-MARS で設定できるアラートにはどのようなものがありますか。
A:CS-MARS は、次のプロトコルを使用して管理者にアラートを発行します。
Cisco Distributed Threat Mitigation with IPSQ: Cisco Distributed Threat Mitigation with IPS に関する詳細情報はどのように入手できますか。
A: Cisco Distributed Threat Mitigation with IPS に関する詳細情報と、CS-MARS でこの機能を設定する方法については、次の URL(英語)を参照してください。
http://www.cisco.com/en/US/products/ps6241/products_configuration_example09186a008067a2b0.shtml アーカイブとメンテナンスQ:データをアーカイブすることはできますか。
A:CS-MARS は、NFS(Network File Sharing)プロトコルを使用して、圧縮されたデータをオフライン ストアにアーカイブします。
Q:ネットワークへの接続中に再インストールを行うことはできますか。
A:リカバリ DVD の使用中は、接続中のインターフェイスがないことを確認してください。システムが正常にセットアップされない可能性があります。
Q:アーカイブの具体的な機能について教えてください。
A:アーカイブが有効になっている場合、イベントの書き込みはデータベースと NFS シェア アーカイブへの 2 回行われます。アーカイブされたデータではクエリーは実行されず、分析できるのはデータベース内のデータのみであるため、ローカル データベースは引き続き重要となります。
何らかの調査を行うために古いデータを調べたり、古いインシデントを見たり、クエリーまたはレポートを実行する必要があるときは、別のアプライアンスから古いデータを復元する必要があります。復元を実行する際に、ボックス内のすべてのデータと設定が削除されるため、古いデータの参照とアーカイブの復元には異なるボックスを使用します。 アーカイブの機能と使用方法についての詳細は、次の URL にある「アプライアンスのデータ バックアップの設定および実行」を参照してください。 Global Controller と Local ControllerQ:Global Controller と Local Controller を使用する利点は何ですか。
A:大規模なネットワークを使用し、分散型のアーキテクチャを必要とするユーザは、ネットワークの各所に 1 つの Global Controller と複数の Local Controller を設置します。これにより、演算処理の負荷がローカル ユニットに分散され、スケーラビリティが向上します。
Global Controller は、すべての Local Controller 情報の概要を提供します。
Global Controller は、ルールとクエリーを作成する単一のセントラル ポイントも提供します。ルールとクエリーが作成されると、それらを複数の Local Controller に同時に適用します。Local Controller での変更は Global Controller に自動的に伝播されます。その逆も同様です。任意の Global Controller GUI から Local Controller への移動は、容易に実行できます。 このアーキテクチャを展開すると、ゾーン(部門または局所のいずれか)に基づいたネットワークの論理的な分割が容易になります。これにより、全体のスケーラビリティと組織のワークフローの向上が可能になります。 Q:Local Controller と Global Controller は、デバイス情報をどのように共有しますか。
A:デバイスは次のように扱われます。
Q:Global Controller ではどのようなインシデントを検出できますか。
A:1 つの Global Controller と 1 つまたは複数の Local Controller を使用する場合、各 Local Controller にはインシデントの生成に必要なすべてのルールが設定されます(これらのルールは Local Controller または Global Controller で定義済みです)。Local Controller ですべてのイベントが処理され、その後、インシデントのみが Global Controller に伝播されるため、Global Controller での処理が大幅に減少します。これにより、より分散型の拡張が可能になります。
具体的には、次のようになります。
インシデント ID にはゾーン名が含まれます。Global Controller で作成されたグローバル ルールに対してユーザが アラートを追加し、ルールが Local Controller にプッシュされて発生した場合、指定されたユーザは Global Controller ではなく Local Controller からアラートを受信します。 Q:Local Controller ではどのようなルールを検出できますか。
A:システムに事前に組み込まれているルールはグローバルであり、Local Controller と Global Controller の両方で定義されています。
Q:Global Controller で、実行レポートの拡張を行うことはできますか。
A:選択したゾーンについてバッチ クエリーとレポートを作成し、Local Controller にプッシュできます。選択した各 Local Controller から取得したグローバル バッチ クエリーとレポートの結果は、Global Controller にプッシュされます。Global Controller では、次の基準でレポートを表示できます。
|
 |
Guest
CS-MARS(Cisco Security Monitoring, Analysis and Response System)4.2