外部製品インターフェイスについて
外部製品インターフェイスは、外部のセキュリティおよび管理製品から情報を受信して処理するように設計されています。これらの外部セキュリティおよび管理製品は、センサー設定情報を自動的に拡張するために使用できる情報を収集します。たとえば、外部製品から受信できる情報のタイプには、ホストのプロファイル(ホスト OS の設定、アプリケーションの設定、セキュリティ ポスチャ)や、悪意のあるネットワーク アクティビティの原因と特定された IP アドレスなどがあります。
(注) Cisco IPS では、CSA MC だけにインターフェイスを追加できます。
CSA MC について
CSA MC は、ネットワーク ホストにセキュリティ ポリシーを適用します。これには 2 つのコンポーネントがあります。
• ネットワーク ホスト上に存在し、そのホストを保護するエージェント。
• Management Console(MC):エージェントを管理するアプリケーション。セキュリティ ポリシーの更新をエージェントにダウンロードし、エージェントから操作情報をアップロードします。
CSA MC は、管理対象の CSA エージェントからホスト ポスチャ情報を受信します。また、ネットワークからの隔離が必要と判断された IP アドレスのウォッチ リストを保守します。CSA MC は、ホスト ポスチャ イベントと隔離 IP アドレス イベントの 2 種類のイベントをセンサーに送信します。
ホスト ポスチャ イベント(IPS ではインポートされた OS 識別と呼ばれる)には次の情報が含まれます。
• CSA MC によって割り当てられた一意のホスト ID
• CSA エージェント ステータス
• ホスト システムのホスト名
• ホスト上でイネーブルになっている IP アドレスのセット
• CSA ソフトウェア バージョン
• CSA ポーリング ステータス
• CSA テスト モード ステータス
• NAC ポスチャ
たとえば、OS 固有のシグニチャが起動され、ターゲットがその OS を実行している場合、攻撃の関連性が高いため、対応の重要度は大きくなります。ターゲット OS が異なる場合、攻撃の関連性は低く、対応はそれほど重要でない場合があります。シグニチャ攻撃関連性レーティングは、このホストに合わせて調整されます。
隔離ホスト イベント(IPS ではウォッチ リストと呼ばれる)には、次の情報が含まれます。
• IP アドレス
• 隔離の理由
• ルール違反に関連付けられたプロトコル(TCP、UDP、または ICMP)
• ルールベースの違反が、確立されたセッションまたは UDP パケットのいずれに関連付けられているかを示すインジケータ。
たとえば、ホストのいずれかが攻撃者としてリストされているシグニチャが起動された場合、非常に深刻な事態が予想されます。このホストには、リスク レーティングが加算されます。加算の度合いは、ホストが隔離された原因によって異なります。
センサーはこれらのイベントからの情報を使用して、イベント内の情報と、ホスト ポスチャおよび隔離 IP アドレスのリスク レーティングの設定に基づき、リスク レーティングの加算値を決定します。
(注) ホスト ポスチャおよびウォッチ リスト IP アドレス情報は、仮想センサーには関連付けらず、グローバル情報として扱われます。
CSA MC と IPS センサー間の通信は、SSL/TLS によってセキュアな状態で維持されます。センサーは、CSA MC との SSL/TLS 通信を開始します。この通信は相互に認証されます。CSA MC は、X.509 証明書を提出して認証を行います。センサーは、ユーザ名/パスワード認証を使用します。
(注) イネーブルにできる CSA MC インターフェイスは 2 つだけです。
注意 センサーとの通信ができるよう、CSA MC は信頼できるホストとして追加する必要があります。
詳細情報
信頼できるホストの追加手順については、「TLS の信頼できるホストの追加」を参照してください。
外部製品インターフェイスの問題
外部製品インターフェイスがホスト ポスチャと隔離イベントを受信した場合、次のような問題が生じる可能性があります。
• センサーは、一定数のホスト レコードしか保存できません。
– レコード数が 10,000 を超えると、後続のレコードはドロップされます。
– レコードが 10,000 の制限値に達し、その後 9900 を下回ると新しいレコードはドロップされなくなります。
• ホストが IP アドレスを変更できる、あるいは別のホストの IP アドレスを使用しているように見えます(DHCP リースの期限満了やワイヤレス ネットワーク内での移動などによる)。
IP アドレスが競合すると、センサーは最新のホスト ポスチャ イベントを最も正確なものと見なします。
• ネットワークでは、異なる VLAN に重複する IP アドレス範囲を含めることができるが、ホスト ポスチャには VLAN ID 情報を加えることはできません。
指定されたアドレス範囲を無視するように、センサーを設定できます。
• ホストがファイアウォールの背後にあるため、CSA MC がホストに到達できません。
到達不能ホストは除外できます。
• CSA MC イベント サーバでは、デフォルトで最大 10 個のサブスクリプションを開くことができます。この値は変更できます。
サブスクリプションを開くには、管理アカウントとパスワードが必要です。
• CSA データが仮想化されず、センサーでグローバルに処理されます。
• ホスト ポスチャ OS と IP アドレスがパッシブ OS フィンガープリント ストレージに統合されます。これらはインポートされた OS プロファイルとして表示できます。
• 隔離されたホストを表示できません。
• センサーが各 CSA MC ホストの X.509 証明書を認識しなければなりません。これらを信頼できるホストとして追加する必要があります。
• 最大 2 台の外部製品デバイスを設定できます。
詳細情報
• OS マップおよび識別情報の使用の詳細については、「設定された OS マップの追加、編集、削除、および移動」および「OS ID の表示とクリア」を参照してください。
• 信頼できるホストの追加手順については、「TLS の信頼できるホストの追加」を参照してください。
IPS インターフェイスをサポートする CSA MC の設定
(注) ホスト ポスチャ イベントと隔離 IP アドレス イベントの詳細については、『Using Management Center for Cisco Security Agents 5.1』を参照してください。
ホスト ポスチャ イベントと隔離 IP アドレス イベントがセンサーに送信されるよう、CSA MC を設定する必要があります。
IPS インターフェイスをサポートする CSA MC を設定するには、次の手順を実行します。
ステップ 1
[Events] > [Status SummaryChoose]
を選択します。
ステップ 2 [Network Status] セクションで、[Host history collection enabled] の横にある [No] をクリックし、ポップアップ ウィンドウで [Enable] をクリックします。
(注) システムのホスト履歴収集がグローバルにイネーブル化されます。この機能をオンにすると MC ログ ファイルがすぐにいっぱいになる可能性があるので、デフォルトではディセーブルになっています。
ステップ 3 [Systems] > [Groups] を選択し、次に作成する管理者アカウントと一緒に使用する新しいグループ(ホストなし)を作成します。
ステップ 4 [Maintenance] > [Administrators] > [Account Management] を選択し、IPS が MC システムにアクセスするための新しい CSA MC 管理者アカウントを作成します。
ステップ 5 モニタのロールを持つ新しい管理者アカウントを作成します。
この新しいアカウントには設定特権が許可されていないので、MC のセキュリティを維持することができます。
この管理者アカウントのユーザ名とパスワードを覚えておいてください。センサーで外部製品インターフェイスを設定するとき必要になります。
ステップ 6 [Maintenance] > [Administrators] > [Access Control] を選択し、この管理者アカウントに制限を追加します。
ステップ 7 [Access Control] ウィンドウで、作成した管理者を選択し、作成したグループを選択します。
(注) この設定を保存すると、この新しい管理者アカウントの MS アクセスがさらに制限され、CSA MC のセキュリティを維持することができます。
外部製品インターフェイスとポスチャ ACL の追加
注意 Cisco IPS で追加できる外部製品インターフェイスは CSA MC インターフェイスだけです。Cisco IPS は 2 つの CSA MC インターフェイスをサポートしています。
サービス外部製品インターフェイス サブモードで cisco-security-agents-mc-settings ip-address を使用して、CSA MC を外部製品インターフェイスとして追加します。
オプション
次のオプションが適用されます。
• enabled {yes | no} :CSA MC からの情報の受信をイネーブルまたはディセーブルにします。
• host-posture-settings :CSA MC から受信したホスト ポスチャの処理方法を指定します。
– allow-unreachable-postures {yes | no} :CSA MC から到達不能なホストのポスチャを許可します。
CSA MC がホスト ポスチャ内のどの IP アドレスを使用してもホストとの接続を確立できない場合、そのホストは到達不能です。このオプションは、IPS が IP アドレスを認識できない場合、あるいはネットワーク上で IP アドレスが重複している場合に、そのポスチャをフィルタリングするのに役立ちます。このフィルタは、CSA MC だけでなく IPS からもホストに到達できないネットワーク トポロジに最適です。たとえば、IPS と CSA MC が同じネットワーク セグメントにある場合などです。
– enabled { yes | no }:CSA MC からのホスト ポスチャの受信をイネーブルまたはディセーブルにします。
– posture-acls { edit | insert | move } name1 {begin | end | inactive | before | after} :許可または拒否されたポスチャ アドレスのリスト。
このコマンドを使用すると、IPS が IP アドレスを認識できない場合、あるいはネットワーク上で IP アドレスが重複している場合に、そのポスチャをフィルタリングすることができます。
– action {permit | deny} :指定されたネットワーク アドレスと一致するポスチャを許可または拒否します。
– network-address address :許可または拒否するポスチャのネットワーク アドレスを x.x.x.x/nn 形式で指定します。
• password :CSA MC へのログインに使用するパスワード。
• port :CSA MC に接続するための TCP ポート。有効な範囲は 1 ~ 65535 です。デフォルトは 443 です。
• username :CSA MC へのログインに使用するユーザ名。
• watchlist-address-settings :CSA MC から受信したウォッチ リストのアドレスの処理方法を指定します。
– enabled {yes | no} :CSA MC からのウォッチ リスト アドレスの受信をイネーブルまたはディセーブルにします。
– manual-rr-increase :攻撃者が CSA MC によって手動でウォッチ リストに記載されたためにイベント RR に加算される数値。有効な範囲は 0 ~ 35 です。デフォルトは 25 です。
– packet-rr-increase :セッションレス パケットベースのポリシー違反を理由に攻撃者が CSA MC によってウォッチ リストに記載されたため、イベント リスク レーティングに加算される数値。有効な範囲は 0 ~ 35 です。デフォルトは 10 です。
– session-rr-increase :セッションベースのポリシー違反を理由に攻撃者が CSA MC によってウォッチ リストに記載されたため、イベント リスク レーティングに加算される数値。有効な範囲は 0 ~ 35 です。デフォルトは 25 です。
外部製品インターフェイスの追加
外部製品を追加する場合は、センサーとの通信ができるよう、必ず信頼できるホストとして追加してください。
外部製品インターフェイスを追加するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 外部製品インターフェイス サブモードを開始します。
ips-ssp# configure terminal
ips-ssp(config)# service external-product-interface
ステップ 3 CSA MC インターフェイスを追加します。
ips-ssp(config-ext)# cisco-security-agents-mc-settings 209.165.200.225
ステップ 4 CSA MC からの情報の受信をイネーブルにします。
ips-ssp(config-ext-cis)# enabled yes
ステップ 5 デフォルト ポートの設定を変更します。
ips-ssp(config-ext-cis)# port 80
ステップ 6 ログインの設定を変更します。
a. ユーザ名を入力します。
ips-ssp(config-ext-cis)# username jsmith
b. パスワードを入力して確認します。
ips-ssp(config-ext-cis)# password
Enter password[]: *******
Re-enter password: *******
(注) 手順 7 ~ 10 は省略できます。手順 7 ~ 10 を実行しない場合、フィルタは適用されず、すべての CSA MC 情報はデフォルト値を使用して受信されます。
ステップ 7 (任意)ウォッチ リストの設定を構成します。
a. ウォッチ リスト情報を外部製品からセンサーに渡せるようにします。
ips-ssp(config-ext-cis-wat)# enabled yes
(注) ウォッチ リストをイネーブルにしていない場合、CSA MC から受信したウォッチ リスト情報は削除されます。
b. 手動ウォッチ リスト RR の比率をデフォルトの 25 から変更します。
ips-ssp(config-ext-cis-wat)# manual-rr-increase 30
c. セッションベースのウォッチ リスト RR の比率をデフォルトの 25 から変更します。
ips-ssp(config-ext-cis-wat)# session-rr-increase 30
d. パケットベースのウォッチ リスト RR の比率をデフォルトの 10 から変更します。
ips-ssp(config-ext-cis-wat)# packet-rr-increase 20
ステップ 8 (任意)ホスト ポスチャ情報を外部製品からセンサーに渡せるようにします。
ips-ssp(config-ext-cis)# host-posture-settings
ips-ssp(config-ext-cis-hos)# enabled yes
(注) ホスト ポスチャ情報をイネーブルにしていない場合、CSA MC から受信したホスト ポスチャ情報は削除されます。
ステップ 9 (任意)到達不能ホストからのホスト ポスチャ情報を、外部製品からセンサーに渡せるようにします。
ips-ssp(config-ext-cis-hos)# allow-unreachable-postures yes
(注) CSA MC がホスト ポスチャ内のどの IP アドレスを使用してもホストとの接続を確立できない場合、そのホストは到達不能です。このオプションは、IPS が IP アドレスを認識できない場合、あるいはネットワーク上で IP アドレスが重複している場合に、そのポスチャをフィルタリングするのに役立ちます。このフィルタは、CSA MC だけでなく IPS からもホストに到達できないネットワーク トポロジに最適です。たとえば、IPS と CSA MC が同じネットワーク セグメントにある場合などです。
ステップ 10 ポスチャ ACL を設定します。
a. ポスチャ ACL を ACL リストに追加します。
ips-ssp(config-ext-cis-hos)# posture-acls insert name1 begin
ips-ssp(config-ext-cis-hos-pos)#
(注) ポスチャ ACL とはネットワーク アドレスの範囲のことで、この範囲に対してホスト ポスチャが許可または拒否されます。IPS が IP アドレスを認識できない場合、または IP アドレスがネットワーク上で重複している場合、ポスチャ ACL を使用してそのポスチャをフィルタリングします。
b. ポスチャ ACL が使用するネットワーク アドレスを入力します。
ips-ssp(config-ext-cis-hos-pos)# network-address 192.0.2.0/24
c. ポスチャ ACL が実行するアクション(拒否または許可)を選択します。
ips-ssp(config-ext-cis-hos-pos)# action permit
ステップ 11 設定を確認できます。
ips-ssp(config-ext-cis-hos-pos)# exit
ips-ssp(config-ext-cis-hos)# exit
ips-ssp(config-ext-cis)# exit
ips-ssp(config-ext)# show settings
cisco-security-agents-mc-settings (min: 0, max: 2, current: 1)
-----------------------------------------------
ip-address: 209.165.200.225
-----------------------------------------------
interface-type: extended-sdee <protected>
enabled: yes default: yes
url: /csamc50/sdee-server <protected>
-----------------------------------------------
always-yes: yes <protected>
-----------------------------------------------
-----------------------------------------------
enabled: yes default: yes
allow-unreachable-postures: yes default: yes
posture-acls (ordered min: 0, max: 10, current: 1 - 1 active, 0 inactive)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
network-address: 192.0.2.0/24
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
watchlist-address-settings
-----------------------------------------------
enabled: yes default: yes
manual-rr-increase: 30 default: 25
session-rr-increase: 30 default: 25
packet-rr-increase: 20 default: 10
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 12 外部製品インターフェイス サブモードを終了します。
ips-ssp(config-ext)# exit
ステップ 13 Enter を押して変更を適用するか、 no を入力して変更を破棄します。
詳細情報
信頼できるホストの追加手順については、「TLS の信頼できるホストの追加」を参照してください。
外部製品インターフェイスのトラブルシューティング
外部製品インターフェイスのトラブルシューティングを行う場合は、次の点を確認します。
• インターフェイスがアクティブかどうかを確認するには、CLI で show statistics external-product-interface コマンドの出力を確認します。または、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。あるいは、IME で [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。
• CSA MC の IP アドレスが信頼できるホストに追加されていることを確認してください。追加していない場合は追加し、数分待ってから再度確認します。
• ブラウザを使用して CSA MC でサブスクリプションを開いてから閉じ、サブスクリプション ログイン情報を確認します。
• イベント ストアで CSA MC サブスクリプション エラーがないか確認します。
詳細情報
• 信頼できるホストの追加手順については、「TLS の信頼できるホストの追加」を参照してください。
• イベントの表示手順については、「イベント ストアからのイベントのクリア」を参照してください。