- はじめに
- スタートアップ ガイド
- ダッシュボードの設定
- Startup Wizard の使用
- IPS SSP の設定
- インターフェイスの設定
- ポリシーの設定
- シグニチャの定義
- Signature Wizard の使用
- イベント アクション規則の設定
- 異常検出の設定
- グローバル相関の設定
- SSH と証明書の設定
- Attack Response Controller でのブロッキングとレート制限の設定
- SNMP の設定
- 外部製品インターフェイスの設定
- センサーの管理
- センサーのモニタリング
- IPS SSP の初期化
- IPS SSP へのログイン
- Cisco IPS ソフトウェアについて
- IPS SSP のシステム イメージのインストール
- システム アーキテクチャについて
- シグニチャ エンジンについて
- トラブルシューティングのヒントと手順
- Cisco IPS 7.1 で使用されるオープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Device Manager コンフィギュレーション ガイド for IPS 7.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: センサーのモニタリング
センサーのモニタリング
(注) IPS SSP を搭載した Cisco ASA 5585-X は、現在のところ、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。現時点では、他に IPS バージョン 7.1 をサポートしている Cisco IPS センサーはありません。
(注) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以上および ASA 8.4(2) 以上でサポートされています。ASA 8.3(x) では、サポートされていません。
IDM を使用すると、パフォーマンス、統計情報、接続などセンサーのすべての側面をモニタできます。拒否された攻撃者およびイベントのリストを表示することもできます。IP ロギングの設定、ホスト ブロックとネットワーク ブロックのセットアップ、およびレート制限の設定と管理を行うことができます。OS 識別名と異常検出をモニタできます。ここでは、センサーをモニタする方法について説明します。次の事項について説明します。
イベントのモニタリング
ここでは、センサー上のイベント データをフィルタリングおよび表示する方法について説明します。次の事項について説明します。
•
「[Event Viewer] ペインのフィールド定義」
[Events] ペイン
[Events] ペインを使用すると、イベント データをフィルタリングおよび表示できます。タイプ、時間、またはその両方に基づいて、イベントをフィルタリングできます。デフォルトでは、過去 1 時間のすべての alert イベントのおよび error イベントが表示されます。これらのイベントにアクセスするには、[View] をクリックします。
[View] をクリックすると、イベントの時間範囲をまだ設定していない場合は、IDM によってイベントの時間範囲が定義されます。範囲の終了時刻を指定していない場合は、[View] をクリックした時刻が終了時刻として定義されます。
センサーから大量のイベントを取得する際にシステム エラーを発生させないよう、IDM では 1 度に表示するイベントの数を制限できます(1 ページあたりの最大行数は 500 行)。他のイベントを表示するには、[Back] および [Next] をクリックします。
[Events] ペインのフィールド定義
• [Show Alert Events]:表示するアラートのレベルを設定できます。
• [Threat Rating (0-100)]:脅威レーティング値の範囲(最小レベルおよび最大レベル)を変更できます。
• [Show Error Events]:表示するエラーのタイプを設定できます。
• [Show Attack Response Controller events]:ARC(以前の名称は Network Access Controller)イベントが表示されます。デフォルトではディセーブルです。
(注) NAC は、ARC と呼ばれていますが、Cisco IPS では、IDM および CLI 全体での名前の変更を完了していません。
• [Show status events]:イベントのステータスが表示されます。デフォルトではディセーブルです。
• [Select the number of the rows per page]:ページあたりの表示行数を指定できます。有効な範囲は 100 ~ 500 です。デフォルトは 100 です。
• [Show all events currently stored on the sensor]:センサー上に格納されているすべてのイベントを取得します。
• [Show past events]:時間数または分数を指定してさかのぼり、過去のイベントを表示できます。
• [Show events from the following time range]:指定した時間範囲からイベントを取得します。
[Event Viewer] ペインのフィールド定義
[Event Viewer] ペインには、次のフィールドがあります。
• [#]:結果のクエリーに含まれているイベントの順位番号を識別します。
• [Type]:イベント タイプ(Error、NAC、Status、または Alert)を識別します。
• [Sensor UTC Time]:イベントの発生時刻を識別します。
• [Sensor Local Time]:センサーの現地時間。
• [Event ID]:センサーがイベントに割り当てた数値 ID。
イベントの表示の設定
IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Events] を選択します。
ステップ 3 [Show Alert Events] で、表示するアラートのレベルに対応するチェックボックスをオンにします。
ステップ 4 [Threat Rating] フィールドに、脅威レーティングの最小および最大の範囲を入力します。
ステップ 5 [Show Error Events] で、表示するエラーのタイプに対応するチェックボックスをオンにします。
ステップ 6 ARC(以前の名称は Network Access Controller)イベントを表示するには、[Show Attack Response Controller events] チェックボックスをオンにします。
ステップ 7 ステータス イベントを表示するには、[Show status events] チェックボックスをオンにします。
ステップ 8 [Select the number of the rows per page] フィールドに、ページあたりの表示行数を入力します。デフォルトは 100 です。値は 100、200、300、400、または 500 です。
ステップ 9 表示するイベントの時刻を設定するには、次のいずれかのオプション ボタンをクリックします。
• [Show all events currently stored on the sensor]
• [Show past events]:過去のイベントを表示するためにさかのぼる時間と分を入力します。
• [Show events from the following time range]:開始時刻および終了時刻を入力します。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 10 設定したイベントを表示するには、[View] をクリックします。
ステップ 11 カラム内のソート順を上または下に移動する場合は、右側をクリックすると上矢印および下矢印が表示されます。
ステップ 12 100 行単位でページを切り替えるには、[Next] または [Back] をクリックします。
ステップ 13 イベントの詳細を表示するには、イベントを選択し、[Details] をクリックします。イベントの詳細が別のダイアログボックスに表示されます。イベント ID が、このダイアログボックスのタイトルになっています。
イベント ストアのクリア
イベント ストアをクリアするには、 clear events コマンドを使用します。
イベント ストアからイベントをクリアするには、次の手順を実行します。
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 3 イベントをクリアする場合は、 yes と入力します。
拒否攻撃者の設定およびモニタリング
ここでは、拒否攻撃者リストのモニタ方法について、次のトピックに分けて説明します。
• 「[Denied Attackers] ペインのフィールド定義」
• 「拒否された攻撃者リストのモニタリングと拒否された攻撃者の追加」
[Denied Attackers] ペイン
(注) 拒否された攻撃者リストのモニタおよびクリアを行うには、管理者でなければなりません。
[Denied Attackers] ペインには、拒否された攻撃者のすべての IP アドレスおよびヒット カウントが表示されます。すべての IP アドレスに対するヒット カウントのリセットや、拒否された攻撃者のリストのクリアを行うことができます。拒否された攻撃者をモニタ対象に設定することもできます。
(注) リセットおよびクリアは、表内のすべての項目に適用されます。
[Denied Attackers] ペインのフィールド定義
[Denied Attackers] ペインには、次のフィールドがあります。
• [Virtual Sensor]:攻撃者を拒否している仮想センサー。
• [Attacker IP]:センサーが拒否している攻撃者の IP アドレス。
• [Victim IP]:センサーが拒否している攻撃対象の IP アドレス。
• [Requested Percentage]:インライン モードのときにセンサーで拒否すると設定したトラフィックのパーセンテージ。
• [Actual Percentage]:センサーで実際に拒否するインライン モードのトラフィックのパーセンテージ。
(注) センサーでは、要求されたパーセンテージと完全に一致する割合で拒否しようとしますが、割り切れないパーセンテージの場合があるため、センサーは要求されたしきい値を下回ることがあります。
拒否された攻撃者リストのモニタリングと拒否された攻撃者の追加
拒否された攻撃者のリストとヒット カウントの表示、拒否された攻撃者の追加と削除、拒否された攻撃者のリストのクリア、およびヒット カウントのリセットを行うには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Denied Attackers] を選択します。
ステップ 3 リストをリフレッシュするには、[Refresh] をクリックします。
ステップ 4 拒否された攻撃者のリスト全体をクリアするには、[Clear List] をクリックします。
ステップ 5 拒否されたすべて攻撃者に対してヒット カウントをリセットするには、[Reset All Hit Counts] をクリックします。
ステップ 6 拒否された攻撃者をモニタ対象のリストに追加するには、[Add] をクリックします。
ステップ 7 [Attacker IP] フィールドに、攻撃者の IP アドレスを入力します。
(注) IPv4 と IPv6 の IP アドレスを入力できます。
ステップ 8 [Specify Victim Address or Port] チェックボックスをオンにし、IP アドレスとポート番号を入力します。
ステップ 9 [Specify Virtual Sensor] チェックボックスをオンにし、ドロップダウン リストから仮想センサーを選択します。
ヒント 変更を廃棄して [Denied Attackers] ペインに戻るには、[Cancel] をクリックします。
ステップ 10 [OK] をクリックして変更を保存します。拒否された攻撃者が [Denied Attacker] リストに表示されます。
ステップ 11 拒否された攻撃者をリストから削除するには、そのエントリを選択し、次に [Delete] をクリックします。
ホスト ブロックの設定
ここでは、ホスト ブロックの設定方法について説明します。次の事項について説明します。
• 「[Add Active Host Block] ダイアログボックスのフィールド定義」
[Host Blocks] ペイン
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
(注) アクティブ ホスト ブロックを設定するには、管理者またはオペレータである必要があります。
ホストのブロッキングを設定および管理するには、[Host Blocks] ペインを使用します。ホスト ブロックでは、特定のホストからのトラフィックを永続的に拒否するか(ブロックを削除するまで)、指定期間拒否します。宛先 IP アドレスおよび宛先のプロトコルとポートを指定することにより、接続に基づいてブロックできます。ホスト ブロックは、送信元 IP アドレスによって定義されます。既存のブロックと同じ送信元 IP アドレスを持つブロックを追加すると、新しいブロックによって古いブロックが上書きされます。
ブロックの時間を指定する場合は、1 ~ 70560 分(49 日間)の範囲の値にする必要があります。時間を指定しなかった場合、ホスト ブロックは、センサーが再起動されるか、ブロックが削除されるまで有効なままになります。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
[Host Block] ペインのフィールド定義
[Host Blocks] ペインには、次のフィールドがあります。
• [Source IP]:ブロックの送信元 IP アドレス。
• [Destination IP]:ブロックの宛先 IP アドレス。
• [Destination Port]:ブロックの宛先ポート。
• [Protocol]:プロトコルの種類(TCP、UDP、または ANY)。デフォルトは ANY です。
• [Minutes Remaining]:ブロックの残り時間(分単位)。
• [Timeout (minutes)]:ブロックの元のタイムアウト値(分単位)。有効な値は、1 ~ 70560 分(49 日間)です。
• [VLAN]:シグニチャを起動したデータを伝送していた VLAN を示します。
(注) ブロック要求に VLAN ID は含まれていますが、セキュリティ アプライアンスには渡されません。管理コンテキストにログインしている場合、センサーでは FWSM 2.1 以上ではブロックを実行できません。
• [Connection Block Enabled]:ホストの接続をブロックするかどうか。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
[Add Active Host Block] ダイアログボックスのフィールド定義
[Add Active Host Block] ダイアログボックスには、次のフィールドがあります。
• [Source IP]:ブロックの送信元 IP アドレス。
• [Enable connection blocking]:ホストの接続をブロックするかどうか。
• [Connection Blocking]:接続ブロッキングのパラメータを設定できます。
– [Destination IP]:ブロックの宛先 IP アドレス。
– [Destination Port](任意):ブロックの宛先ポート。
– [Protocol](任意):プロトコルの種類(TCP、UDP、または ANY)。デフォルトは ANY です。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
• [VLAN](任意):シグニチャを起動したデータを伝送していた VLAN を示します。
(注) ブロック要求に VLAN ID は含まれていますが、セキュリティ アプライアンスには渡されません。管理コンテキストにログインしている場合、センサーでは FWSM 2.1 以降ではブロックを実行できません。
• [Enable Timeout]:ブロックのタイムアウト値(分単位)を設定できます。
ホスト ブロックの設定および管理
ホスト ブロックを追加、削除、および管理するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択し、[Add] をクリックしてホスト ブロックを追加します。
ステップ 3 [Source IP] フィールドに、ブロックするホストの送信元 IP アドレスを入力します。
ステップ 4 接続ベースのブロックにするには、[Enable Connection Blocking] チェックボックスをオンにします。
(注) 接続ブロックは、特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
a. [Destination IP] フィールドに、宛先 IP アドレスを入力します。
b. (任意)[Destination Port] フィールドに、宛先ポートを入力します。
c. (任意)[Protocol] ドロップダウン リストから、プロトコルを選択します。
ステップ 5 (任意)[VLAN] フィールドに、接続ブロックの VLAN を入力します。
• 時間の長さを指定したブロックを設定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに時間を分単位で入力します。
• ブロックに特定の期間を設定しない場合は、[No Timeout] オプション ボタンをクリックします。
ヒント 変更を廃棄して、[Add Host Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 7 [Apply] をクリックします。新しいホスト ブロックが [Host Blocks] ペインのリストに表示されます。
ステップ 8 ホスト ブロック リストの内容をリフレッシュするには、[Refresh] をクリックします。
ステップ 9 ブロックを削除するには、リストでホスト ブロックを選択して、[Delete] をクリックします。[Delete Host Block] ダイアログボックスが開き、このブロックを削除してよいかどうかを確認するメッセージが表示されます。
ヒント 変更を廃棄して、[Delete Host Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 10 ブロックを削除するには [Yes] をクリックします。ホスト ブロックは [Host Blocks] ペインのリストに表示されなくなりました。
ネットワーク ブロックの設定
ここでは、ネットワーク ブロックの設定方法について説明します。次の事項について説明します。
• 「[Network Blocks] ペインのフィールド定義」
• 「[Add Network Block] ダイアログボックスのフィールド定義」
[Network Blocks] ペイン
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
(注) ネットワーク ブロックを設定するには、管理者またはオペレータである必要があります。
ネットワークのブロッキングを設定および管理するには、[Network Blocks] ペインを使用します。ネットワーク ブロックでは、特定のネットワークからのトラフィックを永続的に拒否するか(ブロックを削除するまで)、指定期間拒否します。ネットワーク ブロックは、送信元 IP アドレスとネットマスクによって定義されます。ネットマスクは、ブロックされるサブネットを定義します。ホスト サブネット マスクも受け入れられます。
ブロックの時間を指定する場合は、1 ~ 70560 分(49 日間)の範囲の値にする必要があります。時間を指定しなかった場合、ブロックは、センサーが再起動されるか、ブロックが削除されるまで有効なままになります。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
[Network Blocks] ペインのフィールド定義
[Network Blocks] ペインには、次のフィールドがあります。
• [Minutes Remaining]:ブロックの残り時間(分単位)。
• [Timeout (minutes)]:ブロックの元のタイムアウト値(分単位)。有効な値は、1 ~ 70560 分(49 日間)です。
[Add Network Block] ダイアログボックスのフィールド定義
[Add Network Block] ダイアログボックスには、次のフィールドがあります。
• [Enable Timeout]:ブロックのタイムアウト値(分単位)を示します。
ネットワーク ブロックの設定および管理
ネットワーク ブロックを追加、削除、および管理するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Network Blocks] を選択し、[Add] をクリックしてネットワーク ブロックを追加します。
ステップ 3 [Source IP] フィールドに、ブロックするネットワークの送信元 IP アドレスを入力します。
ステップ 4 [Netmask] ドロップダウン リストからネットマスクを選択します。
• 時間の長さを指定したブロックを設定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに時間を分単位で入力します。
• ブロックに特定の期間を設定しない場合は、[No Timeout] オプション ボタンをクリックします。
ヒント 変更を取り消して、[Add Network Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [Apply] をクリックします。ブロックがすでに追加されていると、エラー メッセージが表示されます。新しいネットワーク ブロックが [Network Blocks] ペインのリストに表示されます。
ステップ 7 ネットワーク ブロック リストの内容をリフレッシュするには、[Refresh] をクリックします。
ステップ 8 ブロックを削除するには、リストでネットワーク ブロックを選択して、[Delete] をクリックします。[Delete Network Block] ダイアログボックスが開き、このブロックを削除してよいかどうかを確認するメッセージが表示されます。
ステップ 9 ブロックを削除するには [Yes] をクリックします。ネットワーク ブロックは [Network Blocks] ペインのリストに表示されなくなりました。
レート制限の設定
ここでは、レート制限の設定方法および管理方法について説明します。次の事項について説明します。
• 「[Add Rate Limit] ダイアログボックスのフィールド定義」
[Rate Limits] ペイン
(注) レート制限を追加するには、管理者でなければなりません。
レート制限の設定および管理には、[Rate Limits] ペインを使用します。レート制限では、1 つのネットワーク デバイス インターフェイス上で許可される、指定されたタイプのトラフィックの量を、最大帯域幅キャパシティに対するパーセンテージで制限します。このパーセンテージを超えるトラフィックは、ネットワーク デバイスによってドロップされます。レート制限では、指定したターゲット ホストへのトラフィックまたは設定したインターフェイス/方向と交差するすべてのトラフィックを制限できます。レート制限は、永続的に使用するか、期間を指定して使用できます。レート制限は、プロトコル、オプションの宛先アドレス、およびオプションのデータ値によって識別されます。
レート制限はパーセントで指定するため、さまざまな帯域幅キャパシティを持つインターフェイス上のさまざまな実際の制限に変換できます。レート制限のパーセント値は、1 以上 100 以下の整数でなければなりません。
[Rate Limits] ペインのフィールド定義
[Rate Limits] ペインには、次のフィールドがあります。
• [Protocol]:レート制限するトラフィックのプロトコル。
• [Rate]:レート制限されたトラフィックで許可される最大帯域幅のパーセント。このレートを超える適合トラフィックはドロップされます。
• [Source IP]:レート制限されるトラフィックの送信元ホストの IP アドレス。
• [Source Port]:レート制限されるトラフィックの送信元ホストのポート。
• [Destination IP]:レート制限されるトラフィックの宛先ホストの IP アドレス。
• [Destination Port]:レート制限されるトラフィックの宛先ホストのポート。
• [Data]:特定のプロトコルのトラフィックをより正確に修飾するために必要な追加情報。たとえば、echo-request を使用すると、ICMP プロトコル トラフィックのレート制限は ping に絞られます。
[Add Rate Limit] ダイアログボックスのフィールド定義
[Add Rate Limit] ダイアログボックスには、次のフィールドがあります。
• [Protocol]:レート制限するトラフィックのプロトコル(ICMP、TCP、または UDP)。
• [Rate (1-100)]:レート制限されたトラフィックで許容される最大帯域幅のパーセンテージ。
• [Source IP](任意):レート制限されるトラフィックの送信元ホストの IP アドレス。
• [Source Port](任意):レート制限されるトラフィックの送信元ホストのポート。
• [Destination IP](任意):レート制限されるトラフィックの宛先ホストの IP アドレス。
• [Destination Port](任意):レート制限されるトラフィックの宛先ホストのポート。
• [Use Additional Data]:さらに、echo-reply、echo-request、halfOpenSyn などのデータを指定するかどうかを選択できます。
• [Timeout]:タイムアウトをイネーブルにするかどうかを選択できます。
レート制限の設定および管理
レート制限を追加、削除、および管理するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Rate Limits] を選択し、[Add] をクリックしてレート制限を追加します。
ステップ 3 [Protocol] ドロップダウン リストから、レート制限するトラフィックのプロトコル(ICMP、TCP、または UDP)を選択します。
ステップ 4 [Rate] フィールドに、レート制限(1 ~ 100 %)を入力します。
ステップ 5 (任意)[Source IP] フィールドに、送信元 IP アドレスを入力します。
ステップ 6 (任意)[Source Port] フィールドに、送信元ポートを入力します。
ステップ 7 (任意)[Destination IP] フィールドに、宛先 IP アドレスを入力します。
ステップ 8 (任意)[Destination Port] フィールドに、宛先ポートを入力します。
ステップ 9 (任意)レート制限で追加データを使用することを設定するには、[Use Additional Data] チェックボックスをオンにします。
ステップ 10 [Select Data] ドロップダウン リストから、追加データ(echo-reply、echo-request、または halfOpenSyn)を選択します。
• レート制限に特定の期間を設定しない場合は、[No Timeout] オプション ボタンをクリックします。
• 分単位のタイムアウトを設定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに分単位の期間(1 ~ 70560)を入力します。
ヒント 変更を廃棄して、[Add Rate Limit] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 12 [Apply] をクリックします。新しいレート制限が [Rate Limits] ペインのリストに表示されます。
ステップ 13 レート制限リストの内容をリフレッシュするには、[Refresh] をクリックします。
ステップ 14 レート制限を削除するには、リストでレート制限を選択して、[Delete] をクリックします。[Delete Rate Limit] ダイアログボックスが開き、このレート制限を削除してよいかどうかを確認するメッセージが表示されます。
ヒント [Delete Rate Limit] ダイアログボックスを閉じるには、[No] をクリックします。
ステップ 15 レート制限を削除するには [Yes] をクリックします。レート制限は、レート制限リストに表示されなくなりました。
IP ロギングの設定
ここでは、IP ロギングの設定方法について説明します。次の事項について説明します。
• 「[Add IP Logging]/[Edit IP Logging] ダイアログボックスのフィールド定義」
IP ロギングについて
最も単純な IP ロギングは IP アドレス 1 個で構成されます。IP アドレスで指定したホストに関連するすべての IP トラフィックをキャプチャするように、センサーを設定できます。センサーでは、この IP アドレスを持つ最初の IP パケットを検出した時点で収集を開始し、設定したパラメータに応じて収集を続行します。その IP アドレスで IP トラフィックをログに記録する時間(分単位)、パケットの数、バイト数などを指定できます。指定したパラメータが 1 つでも該当した時点で、センサーは IP トラフィックのロギングを停止します。
• Started:センサーが最初のパケットを認識した時点で、ログ ファイルが開き Started 状態になります。
3 つの状態すべてを合わせたファイルの数は、20 個に制限されています。IP ログは、循環バッファに格納されます。循環バッファは、新しい IP ログによって古いログが上書きされるので、いっぱいになることがありません。
(注) ログは、センサーによって解放されるまでセンサー上に残ります。センサー上の IP ログ ファイルは管理できません。
IP ログ ファイルを WireShark や TCPDUMP などのスニフィング ツールで表示するために、FTP または SCP サーバにコピーすることができます。ファイルは、ファイル拡張子 pcap を付けて、PCAP バイナリ形式で格納されます。
[IP Logging] ペイン
(注) IP ロギングを設定するには、管理者でなければなりません。
[IP Logging] ペインには、システムにダウンロードできるすべての IP ログが表示されます。
• [Add IP Logging] ダイアログボックスで IP ログを追加。
• シグニチャのイベント アクションとして次のいずれかを選択。
このシグニチャに基づく攻撃をセンサーが検出したときに、IP ログが作成されます。IP ログをトリガーしたイベント アラートが IP ロギング テーブルに表示されます。
[IP Logging] ペインのフィールド定義
[IP Logging] ペインには、次のフィールドがあります。
• [Virtual Sensor]:IP ログが関連付けられている仮想センサー。
• [IP Address]:ログをキャプチャするホストの IP アドレス。
• [Status]:IP ログの状態。有効な値は、added、started、completed です。
• [Start Time]:最初にキャプチャされたパケットのタイムスタンプ。
• [Current End Time]:キャプチャされた最新パケットのタイムスタンプ。キャプチャが完了していない場合は、タイムスタンプはありません。
• [Alert ID]:IP ログをトリガーしたイベント アラートがあれば、このアラートの ID。
[Add IP Logging]/[Edit IP Logging] ダイアログボックスのフィールド定義
[Add IP Logging]/[Edit IP Logging] ダイアログボックスには、次のフィールドがあります。
• [Virtual Sensor]:IP ログのキャプチャ元の仮想センサーを選択できます。
• [IP Address]:ログをキャプチャするホストの IP アドレス。
(注) IPv4 と IPv6 の IP アドレスを入力できます。
• [Maximum Values]:IP ロギング用の値を設定できます。
– [Duration]:パケットの最大キャプチャ期間。範囲は 1 ~ 60 分です。デフォルトは 10 分です。
(注) [Edit IP Logging] ダイアログボックスの場合、[Duration] フィールドは、編集を IP ロギングに適用することによって 1 回拡張される時間です。
IP ロギングの設定
特定のホストの IP トラフィックを記録するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [IP Logging] を選択し、[Add] をクリックしてホスト ブロックを追加します。
ステップ 3 [Virtual Sensor] ドロップダウン リストから、IP ロギングをオンにする仮想センサーを選択します。
ステップ 4 [IP Address] フィールドに、IP ログをキャプチャするホストの IP アドレスを入力します。
存在しており、Added 状態または Started 状態のキャプチャを追加すると、エラー メッセージが表示されます。
(注) IPv4 と IPv6 の IP アドレスを入力できます。
ステップ 5 [Duration] フィールドに、IP ログをキャプチャする期間を分単位で入力します。範囲は 1 ~ 60 分です。デフォルトは 10 分です。
ステップ 6 (任意)[Packets] フィールドに、キャプチャするパケットの数を入力します。範囲は 0 ~ 4294967295 パケットです。
ステップ 7 (任意)[Bytes] フィールドに、キャプチャするバイト数を入力します。範囲は 0 ~ 4294967295 パケットです。
ヒント 変更を廃棄して、[Add IP Log] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 8 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。ログ ID の付いた IP ログが [IP Logging] ペインのリストに表示されます。
ステップ 9 リストにある既存のログ エントリを編集するには、エントリを選択して [Edit] をクリックします。
ステップ 10 [Duration] フィールドで、パケットをキャプチャする期間(分単位)を編集します。
ステップ 11 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。編集した IP ログが [IP Logging] ペインのリストに表示されます。
ステップ 12 IP ロギングを停止するには、停止するログのログ ID を選択し、[Stop] をクリックします。
ステップ 13 [OK] をクリックして、このログの IP ロギングを停止します。
ステップ 14 IP ログをダウンロードするには、ログ ID を選択し、[Download] をクリックします。
ステップ 15 ログをローカル マシンに保存します。WireShark を使用してログを表示できます。
異常検出 KB のモニタリング
ここでは、異常検出 KB での作業方法について説明します。次の事項について説明します。
• 「[Anomaly Detection] ペインのフィールド定義」
• 「KB の比較」
[Anomaly Detection] ペイン
(注) 異常検出 KB をモニタするには、管理者でなければなりません。
[Anomaly Detection] ペインには、すべての仮想センサーの KB が表示されます。[Anomaly Detection] ペインでは、次の操作を実行できます。
(注) [Anomaly Detection] のボタンは、リストで 1 行だけ選択したときにアクティブになります。ただし、[Compare KBs] は例外で、2 行選択できます。このいずれでもない数の行を選択した場合は、いずれのボタンもアクティブになりません。
KB について
KB には、各サービスのスキャナのしきい値およびヒストグラムが保持されています。学習受け入れモードを自動に設定し、アクションを循環に設定した場合は、24 時間ごとに新しい KB が作成されて次の 24 時間に使用されます。学習受け入れモードを自動に設定し、アクションを保存だけに設定した場合、新しい KB は作成されますが、現在の KB が使用されます。学習受け入れモードを自動に設定していない場合、KB は作成されません。
(注) 学習受け入れモードでは、センサーの現地時間が使用されます。
スキャナのしきい値は、単一の送信元 IP アドレスでスキャンできるゾーン IP アドレスの最大数を定義します。ヒストグラムのしきい値は、指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。
異常検出では、攻撃が行われていないときに学習したヒストグラムからの逸脱を検出した場合(つまり、定義されている数を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスの数が超過した場合)、ワーム攻撃であると識別します。たとえば、スキャニングしきい値が 300 で、ポート 445 のヒストグラムの場合、異常検出では、350 個のゾーン宛先 IP アドレスをスキャンするスキャナを検出すると、マス スキャナが検出されたことを示すアクションを生成します。ただし、このスキャナでは、ワーム攻撃が進行中かどうかはまだ確認されていません。
表 17-1 は、この例を示します。
異常検出では、ポート 445 で 50 個を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスを 6 つ識別すると、異常検出でポート 445 へのワーム攻撃を識別したことを示す、送信元 IP アドレス未指定のアクションを作成します。動的なフィルタしきい値の 50 は、新しい内部スキャンしきい値に指定されるため、新しいスキャンしきい値(50)を超えてスキャンする送信元 IP アドレスごとの追加の動的フィルタを異常検出で作成するために、異常検出では、スキャナのしきい値定義を小さくします。
KB が学習した内容は、異常検出ポリシーごとまたはゾーンごとにオーバーライドできます。ネットワーク トラフィックが判明している場合は、false positive を制限するためにオーバーライドを使用する必要が生じることもあります。
[Anomaly Detection] ペインのフィールド定義
[Anomaly Detection] ペインには、次のフィールドおよびボタンがあります。
• [Virtual Sensor]:KB を格納している仮想センサー。
• [Knowledge Base Name]:KB の名前。
(注) デフォルトでは、日付が KB の名前になります。デフォルトの名前は、日付と時刻(year-month-day-hour_minutes_seconds)です。初期 KB は、最初の KB で、デフォルトのしきい値を持つ KB です。
• [Current]:Yes は、現在ロードされている KB を示します。
• [Size]:KB のサイズ(KB)。通常の範囲は、1 KB 未満から 500 ~ 700 KB までです。
• [Show Thresholds]:選択した KB の [Thresholds] ウィンドウが開きます。このウィンドウでは、スキャナのしきい値および選択した KB のヒストグラムを表示できます。
• [Compare KBs]:[Compare Knowledge Bases] ダイアログボックスが開きます。このダイアログボックスでは、選択した KB と比較する KB を選択できます。このダイアログボックスから [Differences between knowledge bases KB name and KB name ] ウィンドウが開きます。
• [Load]:選択した KB をロードします。選択した KB が現在の KB になります。
• [Save Current]:[Save Knowledge Base] ダイアログボックスが開きます。このダイアログボックスでは、選択した KB のコピーを保存できます。
• [Rename]:[Rename Knowledge Base] ダイアログボックスが開きます。このダイアログボックスでは、選択した KB を名前変更できます。
• [Download]:[Download Knowledge Base From Sensor] ダイアログボックスが開きます。このダイアログボックスでは、リモート センサーから KB をダウンロードできます。
• [Upload]:[Upload Knowledge Base to Sensor] ダイアログボックスが開きます。このダイアログボックスでは、リモート センサーに KB をアップロードできます。
しきい値の表示
ここでは、KB しきい値情報の表示方法について説明します。次の事項について説明します。
• 「[Threshold for KB_Name] ウィンドウ」
[Threshold for KB_Name] ウィンドウ
[Thresholds for KB_Name ] ウィンドウには、選択した KB の次のしきい値情報が表示されます。
しきい値情報は、ゾーン、プロトコル、およびポートでフィルタリングできます。ゾーンとプロトコルの組み合わせごとに、2 つのしきい値が表示されます。これは、スキャナのしきい値およびヒストグラムのしきい値で、学習された(デフォルト)モードまたはユーザ設定可能なモードのいずれかに対するしきい値です。
[Thresholds for KB_Name ] ウィンドウのフィールド定義
[Thresholds for KB_Name ] ウィンドウには、次のフィールドがあります。
• [Filters]:ゾーンまたはプロトコルでしきい値情報をフィルタリングできます。
– [Zones]:すべてのゾーン、外部のみ、不正のみ、または内部のみでフィルタリングします。
– [Protocols]:すべてのプロトコル、TCP のみ、UDP のみ、またはその他のみでフィルタリングします。
(注) 特定のプロトコルを選択した場合は、すべてのポートまたは単一のポート(TCP および UDP)でフィルタリングするか、すべてのプロトコルまたは単一のプロトコル(その他)でフィルタリングすることもできます。
• [Zone]:ゾーン名(external、internal、または illegal)がリストされます。
• [Protocol]:プロトコル([TCP]、[UDP]、または [Other])がリストされます。
• [Scanner Threshold (Learned)]:スキャナのしきい値の学習された値がリストされます。
• [Scanner Threshold (User)]:スキャナのしきい値のユーザ設定がリストされます。
KB しきい値のモニタリング
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 最新の KB 情報で [Anomaly Detection] ペインをリフレッシュするには、[Refresh] をクリックします。
ステップ 4 KB のしきい値を表示するには、リストで KB を選択し、[Show Thresholds] をクリックします。[Thresholds for KB_Name ] ウィンドウが表示されます。デフォルト表示では、すべてのゾーンおよびすべてのプロトコルが表示されます。
ステップ 5 単一のゾーンだけを表示するように、表示をフィルタリングするには、[Zones] ドロップダウン リストからゾーンを選択します。
ステップ 6 単一のプロトコルだけを表示するように、表示をフィルタリングするには、[Protocols] ドロップダウン リストからプロトコルを選択します。デフォルト表示では、TCP プロトコルまたは UDP プロトコルについてはすべてのポートが表示され、その他のプロトコルについてはすべてのプロトコルが表示されます。
ステップ 7 TCP または UPD の場合に単一のポートを表示するように表示をフィルタリングするには、[Single Port] オプション ボタンをクリックし、[Port] フィールドにポート番号を入力します。
ステップ 8 その他のプロトコルの場合に単一のプロトコルを表示するように表示をフィルタリングするには、[Single Protocol] オプション ボタンをクリックし、[Protocol] フィールドにプロトコル番号を入力します。
ステップ 9 最新のしきい値情報でウィンドウをリフレッシュするには、[Refresh] をクリックします。
KB の比較
ここでは、KB の比較方法について説明します。次の事項について説明します。
• 「[Compare Knowledge Base] ダイアログボックス」
• 「[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウ」
• 「[Difference Thresholds between knowledge bases KB_Name and KB_Name] ウィンドウ」
• 「KB の比較」
[Compare Knowledge Base] ダイアログボックス
2 個の KB を比較して、相違点を表示できます。しきい値の差異が指定したパーセンテージを超えているサービスを表示することもできます。[Details of Difference] 列には、特定のポートまたはプロトコルが含まれている KB またはしきい値パーセンテージの差異の程度が表示されます。
[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウ
[Differences between knowledge base KB_Name and KB_Name ] ウィンドウには、次のタイプの情報が表示されます。
表示する相違のパーセンテージを指定できます。デフォルトは 10% です。
[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウには、次のフィールドがあります。
• [Specify Percentage of Difference]:デフォルトの 10 % から変更して、異なるパーセンテージの相違を表示できます。
• [Zone]:KB の相違点のゾーン(external、internal、または illegal)が表示されます。
[Difference Thresholds between knowledge bases KB_Name and KB_Name ] ウィンドウ
[Difference Thresholds between knowledge base KB_Name and KB_Name ] ウィンドウには、次のタイプの情報が表示されます。
[Difference Thresholds between knowledge base KB_Name and KB_Name ] ウィンドウには、次のタイプの情報が表示されます。
• [Knowledge Base]:KB 名が表示されます。
• [Zone]:ゾーンの名前(external、internal、または illegal)が表示されます。
• [Protocol]:プロトコル([TCP]、[UDP]、または [Other])が表示されます。
• [Scanner Threshold (Learned)]:スキャナのしきい値の学習された値がリストされます。
• [Scanner Threshold (User)]:スキャナのしきい値のユーザ設定がリストされます。
KB の比較
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 最新の KB 情報で [Anomaly Detection] ペインをリフレッシュするには、[Refresh] をクリックします。
ステップ 4 比較する KB 1 つをリストから選択し、[Compare KBs] をクリックします。
ステップ 5 ドロップダウン リストから比較対象の KB を選択します。
(注) または Ctrl キーを押しながら KB を 2 個選択して、リスト内の複数の KB を選択できます。
ステップ 6 [OK] をクリックします。[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウが表示されます。
(注) 2 個の KB 間に相違点がない場合、リストは空です。
ステップ 7 相違のパーセンテージをデフォルトの 10 % から変更する場合は、[Specify Percentage of Difference] フィールドに新しい値を入力します。
ステップ 8 相違点の詳細を表示するには、行を選択してから [Details] をクリックします。詳細を表示した [Difference Thresholds between knowledge bases KB_Name and KB_Name ] ウィンドウが表示されます。
現在の KB の保存
ここでは、現在の KB を保存、ロード、または削除する方法について説明します。次の事項について説明します。
• 「[Save Knowledge Base] ダイアログボックス」
• 「KB の保存」
• 「KB の削除」
[Save Knowledge Base] ダイアログボックス
KB はさまざまな名前で保存できます。KB を保存しようとしたときに異常検出がアクティブでないと、エラーが生成されます。KB の名前がすでに存在する場合は、新しい名前を選択したのか、デフォルトを使用したのかにかかわらず、古い KB が上書きされます。また、KB ファイルのサイズには制限があるため、新しい KB が生成されて制限に達する場合は、一番古い KB が削除されます(ただし、現在の KB でも初期 KB でもないことが前提)。
[Save Knowledge Base] ダイアログボックスには、次のフィールドがあります。
KB のロード
(注) KB をロードすると、その KB が現在の KB として設定されます。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 ロードする KB をリストで選択して、[Load] をクリックします。[Load Knowledge Base] ダイアログボックスが開き、このナレッジ ベースをロードしてよいかどうかを確認するメッセージが表示されます。
ステップ 4 [Yes] をクリックします。これで、この KB の [Current] 列に Yes が表示されました。
KB の保存
新しい KB および仮想センサーを指定して KB を保存するには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 新しい KB として保存する KB をリストで選択して、[Save Current] をクリックします。
ステップ 4 [Virtual Sensor] ドロップダウン リストから、この KB を適用する仮想センサーを選択します。
ステップ 5 [Save As] フィールドでデフォルトの名前を受け入れるか、KB の新しい名前を入力します。
ヒント 変更を廃棄して、[Save Knowledge Base] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [Apply] をクリックします。新しい名前の KB が [Anomaly Detection] ペインのリストに表示されます。
KB の削除
(注) 現在の KB としてロードされている KB および初期 KB は削除できません。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 削除する KB をリストで選択して、[Delete] をクリックします。[Delete Knowledge Base] ダイアログボックスが開き、このナレッジ ベースを削除してよいかどうかを確認するメッセージが表示されます。
ステップ 4 [Yes] をクリックします。KB は [Anomaly Detection] ペインのリストに表示されなくなりました。
KB の名前変更
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 名前変更する KB をリストで選択して、[Rename] をクリックします。
ステップ 4 [New Name] フィールドに KB の新しい名前を入力します。
ステップ 5 [Apply] をクリックします。新しい名前の KB が [Anomaly Detection] ペインのリストに表示されます。
KB のダウンロード
FTP プロトコルまたは SCP プロトコルを使用して、リモートの場所に KB をダウンロードできます。リモート URL、ユーザ名、およびパスワードが必要です。
[Download Knowledge Base From Sensor] ダイアログボックスには、次のフィールドがあります。
• [File Transfer Protocol]:ファイル転送プロトコルとして SCP または FTP を選択できます。
• [IP address]:KB のダウンロード元リモート センサーの IP アドレス。
• [Directory]:リモート センサー上の KB のパス。
KB のダウンロード
センサーから KB をダウンロードするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 センサーから KB をダウンロードするには、[Download] をクリックします。
ステップ 4 [File Transfer Protocol] ドロップダウン リストから、使用するプロトコル(SCP または FTP)を選択します。
ステップ 5 [IP address] フィールドに、KB をダウンロードするセンサーの IP アドレスを入力します。
ステップ 6 [Directory] フィールドに、KB のあるセンサー上の場所のパスを入力します。
ステップ 7 [File Name] フィールドに、KB のファイル名を入力します。
ステップ 8 [Username] フィールドに、センサーに定義されているユーザ アカウントに対応するユーザ名を入力します。
ステップ 9 [Password] フィールドに、センサーに定義されているユーザ アカウントのパスワードを入力します。
ヒント 変更を廃棄してダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 10 [Apply] をクリックします。新しい KB が [Anomaly Detection] ペインのリストに表示されます。
KB のアップロード
FTP プロトコルまたは SCP プロトコルを使用して、リモートの場所から KB をアップロードできます。リモート URL、ユーザ名、およびパスワードが必要です。
[Upload Knowledge Base to Sensor] ダイアログボックスには、次のフィールドがあります。
• [File Transfer Protocol]:ファイル転送プロトコルとして SCP または FTP を選択できます。
• [IP address]:KB のアップロード先リモート センサーの IP アドレス。
• [Virtual Sensor]:この KB を関連付ける仮想センサー。
• [Save As]:新しいファイル名で KB を保存できます。
KB のアップロード
KB をセンサーにアップロードするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] を選択します。
ステップ 3 KB をセンサーにアップロードするには、[Upload] をクリックします。
ステップ 4 [File Transfer Protocol] ドロップダウン リストから、使用するプロトコル(SCP または FTP)を選択します。
ステップ 5 [IP address] フィールドに、KB のダウンロード先センサーの IP アドレスを入力します。
ステップ 6 [Directory] フィールドに、KB のあるセンサー上の場所のパスを入力します。
ステップ 7 [File Name] フィールドに、KB のファイル名を入力します。
ステップ 8 [Virtual Sensor] ドロップダウン リストから、この KB を適用する仮想センサーを選択します。
ステップ 9 [Save As] フィールドに、新しい KB の名前を入力します。
ステップ 10 [Username] フィールドに、センサーに定義されているユーザ アカウントに対応するユーザ名を入力します。
ステップ 11 [Password] フィールドに、センサーに定義されているユーザ アカウントのパスワードを入力します。
ヒント 変更を廃棄してダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 12 [Apply] をクリックします。新しい KB が [Anomaly Detection] ペインのリストに表示されます。
OS ID の設定
ここでは、センサーの学習した OS マッピングおよびインポートした OS マッピングの表示方法について説明します。次の事項について説明します。
学習したオペレーティング システムの設定
(注) [Learned OS] ペインのリストをクリアするか、エントリを削除するには、管理者またはオペレータである必要があります。
[Learned OS] ペインには、ネットワーク上のトラフィックを監視してセンサーが学習した、学習した OS マッピングが表示されます。センサーは、TCP セッション ネゴシエーションを検査して、各ホストで実行されている OS を判別します。
リストをクリアするかエントリを 1 つ削除するには、行を選択してから [Delete] をクリックします。[Refresh] をクリックして、リストを更新します。[Export] をクリックして、表に現在表示されている学習した OS をカンマ区切りの Excel ファイル(CSV を使用)または HTML ファイルにエクスポートします。Ctrl-C を使用してクリップボードに内容をコピーしておき、Ctrl-V を使用してメモ帳や Word に貼り付けることもできます。
(注) パッシブ OS フィンガープリントがまだイネーブルで、ホストがまだネットワーク上で通信している場合、学習した OS マップは即座に再設定されます。
[Learned OS] ペインには、次のフィールドがあります。
• [Virtual Sensor]:OS 値が関連付けられている仮想センサー。
• [Host IP Address]:OS 値のマッピング先の IP アドレス。
• [OS Type]:この IP アドレスと関連付けられている OS タイプ。
学習した OS 値を削除するか、リスト全体をクリアするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [OS Identifications] > [Learned OS] を選択します。
ステップ 3 リスト内のエントリを削除するには、そのエントリを選択し、[Delete] をクリックします。学習した OS の値が [Learned OS] タブのリストに表示されなくなります。
ステップ 4 学習した OS 値の最新のリストを取得するには、[Refresh] をクリックします。学習した OS のリストがリフレッシュされます。
ステップ 5 学習した OS の値をすべてクリアするには、[Clear List] をクリックします。これで、学習した OS のリストは空になりました。
ステップ 6 学習した OS のリストを CSV 形式および HTML 形式に保存するには、[Export] をクリックします。Ctrl-C を使用して、[Learned OS] ペインの内容をコピーしてから、Ctrl-V を使用して内容をメモ帳や Word に貼り付けることもできます。
インポートしたオペレーティング システムの設定
(注) [Imported OS] ペインのリストをクリアするか、エントリを削除するには、管理者またはオペレータである必要があります。
CSA MC を外部インターフェイス製品としてセットアップした場合、[Imported OS] ペインには、センサーが CSA MC からインポートした OS マップが表示されます。外部製品インターフェイスを追加するには、[Configuration] > [External Product Interfaces] を選択します。リストをクリアするかエントリを 1 つ削除するには、行を選択してから [Delete] をクリックします。
[Imported OS] ペインには、次のフィールドがあります。
• [Host IP Address]:OS 値のマッピング先の IP アドレス。
• [OS Type]:この IP アドレスと関連付けられている OS タイプ。
インポートした OS 値を削除するか、リスト全体をクリアするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Dynamic Data] > [OS Identifications] > [Imported OS] を選択します。
ステップ 3 リスト内のエントリを削除するには、そのエントリを選択し、[Delete] をクリックします。インポートした OS の値が [Imported OS] タブのリストに表示されなくなります。
ステップ 4 インポートした OS の値をすべてクリアするには、[Clear List] をクリックします。これで、インポートした OS のリストは空になりました。
ステップ 5 最新のインポートした OS 値でペインを更新するには、[Refresh] をクリックします。
フロー状態のクリア
ここでは、センサー データベースのクリア方法について説明します。次の事項について説明します。
• 「[Clear Flow States] ペインのフィールド定義」
[Clear Flow States] ペイン
[Clear Flow States] ペインでは、ノード、アラート、またはインスペクタのデータベースなど、データベースの一部またはすべての内容をクリアできます。仮想センサー名を指定しなかった場合は、すべての仮想センサー データベースがクリアされます。
データベース内のノードをクリアすると、センサーは再起動時と同様に初期状態で起動します。オープンされているすべての TCP ストリーム情報は削除され、新しいパケットの受信時に新しい TCP ストリーム ノードが作成されます。
インスペクタ データベースをクリアした場合、TCP 情報および状態情報は保持されますが、今後のアラートにつながる可能性のあるすべてのインスペクション レコードは削除されます。新しいインスペクション レコードは、新しいパケットを取得すると作成されます。
[Clear Flow States] ペインのフィールド定義
[Clear Flow States] ペインには、次のフィールドがあります。
• [Clear Nodes]:パケット ノード、TCP セッション情報、インスペクタ リストなど、パケット データベース要素全体がクリアされます。
• [Clear Inspectors]:ノードに含まれているインスペクタ リストがクリアされます。TCP セッション情報およびノードはクリアされません。インスペクタ リストは、センサーの実行中に収集されたパケットの動作と監視結果を表します。
• [Clear Alerts](非推奨):アラート ノード、Meta インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベースをクリアします。
• [Clear All]:すべての仮想センサー データベースがクリアされます。
• [Specify a Single Virtual Sensor (otherwise all virtual sensors will be cleared)]:特定の仮想センサーのデータベースをクリアできます。
フロー状態のクリア
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Properties] > [Clear Flow States] を選択します。
ステップ 3 クリアする値のオプション ボタンをクリックします。
ステップ 4 1 つの仮想センサーのフロー状態をクリアするには、[Specify a Single Virtual Sensor (otherwise all virtual sensors will be cleared)] チェックボックスをオンにします。すべての仮想センサーのフロー状態をクリアする場合は、ステップ 6 に進みます。
ステップ 5 ドロップダウン リストから、フロー状態をクリアする仮想センサーを選択します。
ステップ 6 [Clear Flow State Now] をクリックします。
ネットワーク セキュリティの健全性のリセット
(注) ネットワーク セキュリティの健全性をリセットするには、管理者でなければなりません。
[Reset Network Security Health] ペインでは、ネットワーク セキュリティの健全性のステータスおよび計算をリセットできます。[Home] ページの [Network Security Health] ガジェットがクリアされます。仮想センサー名を指定しなかった場合は、すべての仮想センサー ネットワーク セキュリティ ヘルス情報がクリアされます。
[Reset Network Security Health] ペインには、次のフィールドがあります。
• [Specify a Single Virtual Sensor (otherwise network security for all virtual sensors will be reset)]:特定の仮想センサーのネットワーク セキュリティ データをクリアできます。
ネットワーク セキュリティ ヘルス データをリセットするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Properties] > [Reset Network Security Health] を選択します。
ステップ 3 1 つの仮想センサーのネットワーク セキュリティの健全性をリセットするには、[Specify a Single Virtual Sensor (otherwise network security for all virtual sensors will be reset)] チェックボックスをオンにします。すべての仮想センサーのデータをリセットする場合は、ステップ 5 に進みます。
ステップ 4 ドロップダウン リストから、ネットワーク セキュリティ ヘルス データをクリアする仮想センサーを選択します。
ステップ 5 [Reset Network Security Health Now] をクリックします。[Home] ページの [Network Security Health] ガジェット内のデータがクリアされます。
(注) [Network Security] ガジェットに表示される脅威のしきい値を変更するには、[Configuration] > [Event Action Rules] > [rules0] > [Risk Category] を選択します。
• ネットワーク セキュリティ データなど [Sensor Health] ガジェットの詳細については、「[Sensor Health] ガジェット」を参照してください。
• センサー ヘルスを設定する手順については、「センサー ヘルスの設定」を参照してください。
• リスク カテゴリを設定する手順については、「リスク カテゴリの設定」を参照してください。
診断レポートの生成
トラブルシューティング用に、センサーの診断情報を取得できます。診断レポートには、TAC がセンサーのトラブルシューティングに使用することを目的として、ログ、ステータス、設定などの内部システムの情報が含まれています。レポートは、[Diagnostics Report] ペインで表示したり、[Save] をクリックしてハード ディスク ドライブに保存したりできます。
[Diagnostics Report] ペインには、次のボタンがあります。
• [Save]:[Save As] ダイアログボックスが開いて、診断レポートのコピーをハード ディスク ドライブに保存できます。
• [Generate Report]:診断プロセスが開始されます。
この処理は、完了まで数分かかることがあります。プロセスが完了すると、レポートが生成され、更新されたレポートで表示がリフレッシュされます。
管理者権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択し、[Generate Report] をクリックします。
(注) この診断プロセスは、完了までに数分かかることがあります。プロセスの実行が完了すると、更新された結果で表示がリフレッシュされます。
ステップ 3 このレポートをファイルとして保存するには、[Save] をクリックします。[Save As] ダイアログボックスが開いて、レポートをハード ディスク ドライブに保存できます。
統計情報の表示
[Statistics] ペインには、次のカテゴリの統計情報が表示されます。
[Analysis Engine] セクションには、グローバル相関統計情報が含まれています。
• Network Access(現行名称は Attack Response Controller)
[Statistics] ペインには、次のボタンがあります。
• [Refresh]:Web サーバ、トランザクション ソース、トランザクション サーバ、Network Access Controller、ロガー、ホスト、イベント ストア、分析エンジン、インターフェイス設定、認証など、センサー アプリケーションに関する最新情報が表示されます。
(注) Cisco IPS 5.1 以降 Attack Response Controller と呼ばれる Network Access Controller は、統計情報出力では、まだ Network Access Controller としてリストされます。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。
ステップ 3 変更時に統計情報が更新されるようにするには、[Refresh] をクリックします。
システム情報の表示
[System Information] ペインには、次のような情報が表示されます。
• アプリケーション(MainApp、Analysis Engine、および CollaborationApp)のステータス
[System Information] ペインには、次のボタンがあります。
• [Refresh]:ソフトウェア バージョンや PEP 情報など、センサーに関する最新情報が表示されます。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Monitoring] > [Sensor Monitoring] > [Support Information] > [System Information] を選択します。[System Information] ペインには、システムに関する情報が表示されます。
ステップ 3 [Refresh] をクリックします。ペインがリフレッシュされて、新しい情報が表示されます。
フィードバック