CSA MC について
CSA MC は、ネットワーク ホストにセキュリティ ポリシーを適用します。これには 2 つのコンポーネントがあります。
• ネットワーク ホスト上に存在し、そのホストを保護するエージェント。
• 管理コンソール(MC):エージェントを管理するアプリケーション。セキュリティ ポリシーの更新をエージェントにダウンロードし、エージェントから操作情報をアップロードします。
CSA MC は、管理する CSA エージェントからホスト ポスチャ情報を受信します。また、ネットワークから隔離する必要があると判断した IP アドレスのウォッチ リストも維持します。CSA MC は、ホスト ポスチャ イベントと隔離 IP アドレス イベントという 2 種類のイベントをセンサーに送信します。
ホスト ポスチャ イベント(IPS ではインポートされた OS 識別名と呼ばれる)には、次の情報が含まれます。
• CSA MC によって割り当てられた一意のホスト ID
• CSA エージェント ステータス
• ホスト システムのホスト名
• ホスト上でイネーブルになっている IP アドレスのセット
• CSA ソフトウェア バージョン
• CSA ポーリング ステータス
• CSA テスト モード ステータス
• NAC ポスチャ
たとえば、OS 固有のシグニチャが起動し、ターゲットがその OS を実行している場合、攻撃の関連性は高く、応答の重大度が増します。ターゲットの OS が異なる場合、攻撃の関連性は低く、応答の重大度は低下する可能性があります。OS が異なるホストのシグニチャ攻撃関連性レーティングは、調整されます。
隔離ホスト イベント(IPS ではウォッチ リストと呼ばれる)には、次の情報が含まれます。
• IP アドレス
• 隔離の理由
• 規則違反に関連付けられたプロトコル(TCP、UDP、または ICMP)
• 規則違反が、確立されたセッションと UDP パケットのどちらに関連付けられているかを示すインジケータ
たとえば、ホストのいずれかを攻撃者として表示するシグニチャが起動された場合は、きわめて重大であると見なされます。このホストでは、リスク レーティングが高くなります。レーティング上昇の度合いは、ホストが隔離対象となった理由によって異なります。
センサーは、これらのイベントからの情報を使用し、イベントの情報とホスト ポスチャおよび隔離 IP アドレスのリスク レーティング設定に基づいてリスク レーティングをどこまで引き上げるかを決定します。
(注) ホスト ポスチャとウォッチ リスト IP アドレス情報は、仮想センサーには関連付けられず、グローバル情報として扱われます。
CSA MC と IPS センサー間の安全な通信は SSL/TLS によって維持されます。センサーは、CSA MC を使用して SSL/TLS 通信を開始します。この通信は相互に認証されます。CSA MC は、認証のために X.509 証明書を提供します。センサーは、ユーザ名/パスワード認証を使用します。
(注) イネーブルにできるのは 2 つの CSA MC インターフェイスだけです。
注意 センサーとの通信が可能となるように、CSA MC を信頼できるホストとして追加する必要があります。CSA MC を信頼できるホストとして追加するには、[Configuration] >
sensor_name >
[Sensor Management] >
[Certificates] > [Trusted Hosts] > [Add] を選択します。
詳細情報
信頼できるホストを追加する手順については、「信頼できるホストの追加」を参照してください。
外部製品インターフェイスの問題
外部製品インターフェイスがホスト ポスチャと隔離イベントを受信すると、次の問題が発生することがあります。
• センサーは、特定の数のホスト レコードしか格納できません。
– レコード数が 10,000 を超えると、その後のレコードはドロップされます。
– 10,000 の上限に達すると、9900 を下回るまでドロップされ、新しいレコードがドロップされなくなります。
• ホストは IP アドレスを変更できるか、別のホスト IP アドレスを使用しているように見えます。これは、DHCP のリース有効期限切れやワイヤレス ネットワークでの移動によって発生します。IP アドレスが競合する場合、センサーは最新のホスト ポスチャ イベントを最も正確であると見なします。
• ネットワークには、異なる VLAN のオーバーラップする IP アドレス範囲が含まれていることがありますが、ホスト ポスチャには VLAN ID 情報は含まれません。特定のアドレス範囲を無視するようにセンサーを設定できます。
• CSA MC はファイアウォールの内側にあるため、ホストに到達不能となることがあります。到達不能のホストは除外できます。
• CSA MC イベント サーバでは、デフォルトで開いたサブスクリプションを最大 10 まで使用できます。この値を変更できます。サブスクリプションを開くには、管理者アカウントとパスワードが必要です。
• CSA データは仮想化されません。センサーによってグローバルに処理されます。
• ホスト ポスチャ OS と IP アドレスは、パッシブ OS フィンガープリント ストレージに統合されます。これらは、インポートされた OS プロファイルとして表示できます。
• 隔離されたホストは表示できません。
• センサーは、各 CSA MC ホスト X.509 証明書を認識する必要があります。これらを信頼できるホストとして追加する必要があります。
• 最大 2 つの外部製品デバイスを設定できます。
詳細情報
• OS マップおよび識別の操作の詳細については、「設定された OS マップの追加、編集、削除、および移動」と「OS ID の設定」を参照してください。
• 信頼できるホストの追加手順については、「信頼できるホストの追加」を参照してください。
CSA MC での IPS インターフェイス サポートの設定
(注) ホスト ポスチャ イベントと隔離 IP アドレス イベントの詳細については、『Using Management Center for Cisco Security Agents 5.1』を参照してください。
ホスト ポスチャ イベントと隔離 IP アドレス イベントをセンサーに送信するように CSA MC を設定する必要があります。
IPS インターフェイスをサポートするように CSA MC を設定するには、次の手順を実行します。
ステップ 1
[Events] > [Status Summary]
を選択します。
ステップ 2 [Network Status] セクションで、[Host history collection enabled] の横にある [No] をクリックし、ポップアップ ウィンドウで [Enable] をクリックします。
(注) ホスト履歴収集がシステムでグローバルにイネーブルになります。この機能をオンにすると MC ログ ファイルがすぐに一杯になる可能性があるため、デフォルトではディセーブルになっています。
ステップ 3 [Systems] > [Groups] を選択し、次に作成する管理者アカウントとともに使用する新しいグループ(ホストなし)を作成します。
ステップ 4 [Maintenance] > [Administrators] > [Account Management] を選択して、MC システムへの IPS アクセスを提供する新しい CSA MC 管理者アカウントを作成します。
ステップ 5 ロールが Monitor である新しい管理者アカウントを作成します。この新しいアカウントに設定特権を許可しないことにより、MC のセキュリティを維持できます。センサーに外部製品インターフェイスを設定するときに必要になるため、この管理者アカウントのユーザ名とパスワードを記録しておいてください。
ステップ 6 この管理者アカウントをさらに制限するには、[Maintenance] > [Administrators] > [Access Control] を選択します。
ステップ 7 [Access Control] ウィンドウで、先ほど作成した管理者とグループを選択します。
(注) この設定を保存すると、この新しい管理者アカウントの MC アクセスがさらに制限され、CSA MC のセキュリティが維持されます。
外部製品インターフェイスの設定
ここでは、[External Product Interfaces] ペインについて説明します。内容は次のとおりです。
• 「[External Product Interfaces] ペイン」
• 「[External Product Interfaces] ペインのフィールド定義」
• 「[Add External Product Interface] および [Edit External Product Interface] ダイアログボックスのフィールド定義」
• 「[Add Posture ACL] および [Edit Posture ACL] ダイアログボックスのフィールド定義」
• 「外部製品インターフェイスおよびポスチャ ACL の追加、編集、削除」
[External Product Interfaces] ペイン
(注) 外部製品インターフェイスおよびポスチャ ACL を追加、編集、および削除するためには、管理者であることが必要です。
CSA MC のインターフェイスを追加し、センサーが CSA MC から情報を受信して処理できるようにするには、[External Product Interfaces] ペインを使用します。
注意
センサーとの通信が可能となるように、外部製品を信頼できるホストとして追加する必要があります。信頼できるホストを追加するには、[Configuration] >
sensor_name > [Sensor
Management] > [Certificates] > [Trusted Hosts] >
[Add] を選択します。
[External Product Interfaces] ペインのフィールド定義
[External Product Interfaces] ペインには次のフィールドがあります。
• [IP Address]:外部製品の IP アドレス。
• [Enabled]:外部製品がイネーブルかどうかを示します。
• [Port]:通信に使用されるポートを指定します。
• [TLS Used]:安全な通信が使用されるかどうかを示します。
• [Username]:CSA MC に接続するユーザ ログイン名を示します。
• [Host Posture Settings]:CSA MC から受信したホスト ポスチャの処理方法を示します。
– [Enabled]:ホスト ポスチャの受信がイネーブルになっていることを示します。ディセーブルである場合、CSA MC から受信したホスト ポスチャ情報は削除されます。
– [Allow Unreachable]:CSA MC から到達不能なホストのホスト ポスチャ情報の受信を許可/拒否します。
CSA MC がホスト ポスチャに含まれるどの IP アドレスを使用してもホストとの接続を確立できない場合、そのホストは到達不能です。このオプションは、IPS が認識できない可能性のある IP アドレスやネットワーク内で重複している可能性のある IP アドレスを持つポスチャのフィルタリングに役立ちます。このフィルタは、CSA MC から到達不能なホストに IPS からも到達できないようなネットワーク トポロジに最も適しています。たとえば、IPS と CSA MC が同じネットワーク セグメントにある場合などです。
– [Posture ACLs]:ホスト ポスチャを許可または拒否するネットワーク アドレス範囲を指定します。このオプションによって、IPS が認識できない可能性のある IP アドレスやネットワーク内で重複している可能性のある IP アドレスを持つポスチャをフィルタリングできます。
• [Watch List Settings]:CSA MC から受信したウォッチ リスト設定の処理方法を示します。
– [Enabled]:ウォッチ リストの受信がイネーブルになっていることを示します。ディセーブルである場合、CSA MC から受信したウォッチ リスト情報は削除されます。
– [Manual RR Increase]:手動ウォッチ リストのリスク レーティングの加算率を示します。
– [Session RR Increase]:セッションベース ウォッチ リストのリスク レーティングの加算率を示します。
– [Packet RR Increase]:パケットベース ウォッチ リストのリスク レーティングの加算率を示します。
• [SDEE URL]:IPS が SDEE 通信を使用して情報を取得するために使用する CSA MC 上の URL。この URL は、IPS が通信する CSA MC のソフトウェア バージョンに基づいて設定する必要があります。CSA MC バージョン 5.0 の場合は /csamc50/sdee-server、CSA MC バージョン 5.1 の場合は /csamc51/sdee-server、CSA MC バージョン 5.2 以降の場合は /csamc/sdee-server(これがデフォルト値)となります。
[Add External Product Interface] および [Edit External Product Interface] ダイアログボックスのフィールド定義
[Add External Product Interface] および [Edit External Product Interface] ダイアログボックスには次のフィールドがあります。
• [External Product's IP Address]:外部製品の IP アドレス。
• [Enable receipt of information]:センサーによる外部製品インターフェイスからの情報受信をイネーブルにします。
(注) このオプションをオンにしない場合、このデバイスから受信したホスト ポスチャおよび隔離の情報はすべてセンサーから削除されます。
• [Communication Settings]:SDEE URL および TLS を表示し、ポートを変更できます。
– [SDEE URL]:IPS が SDEE 通信を使用して情報を取得するために使用する CSA MC 上の URL。この URL は、IPS が通信する CSA MC のソフトウェア バージョンに基づいて設定する必要があります。CSA MC バージョン 5.0 の場合は /csamc50/sdee-server、CSA MC バージョン 5.1 の場合は /csamc51/sdee-server、CSA MC バージョン 5.2 以降の場合は /csamc/sdee-server(これがデフォルト値)となります。
– [Port]:通信に使用されるポートを指定します。
– [Use TLS]:安全な通信が使用されることを示します。この値は変更できません。
• [Login Settings]:CSA MC へのログインに必要なクレデンシャルを指定できます。
– [Username]:CSA MC へのログインに使用するユーザ名を入力します。
– [Password]:そのユーザにパスワードを割り当てます。
– [Confirm Password]:確認のためにパスワードを再入力します。
• [Watch List Settings]:CSA MC から受信したウォッチ リスト設定の処理方法を設定できます。
– [Enable receipt of watch list]:ウォッチ リスト情報の受信をイネーブル/ディセーブルにします。ディセーブルにした場合、CSA MC から受信したウォッチ リスト情報は削除されます。
– [Manual Watch List RR Increase]:手動ウォッチ リストのリスク レーティングの加算率を拡大できます。
– [Session-based Watch List RR Increase]:セッションベース ウォッチ リストのリスク レーティングの加算率を拡大できます。
– [Packet-based Watch List RR Increase]:パケットベース ウォッチ リストのリスク レーティングの加算率を拡大できます。
• [Host Posture Settings]:CSA MC から受信したホスト ポスチャの処理方法を示します。
– [Enable receipt of host postures]:ホスト ポスチャ情報の受信をイネーブル/ディセーブルにします。ディセーブルにした場合、CSA MC から受信したホスト ポスチャ情報は削除されます。
– [Allow unreachable hosts' postures]:CSA MC から到達不能なホストのホスト ポスチャ情報の受信を許可/拒否します。
CSA MC がホスト ポスチャに含まれるどの IP アドレスを使用してもホストとの接続を確立できない場合、そのホストは到達不能です。このオプションは、IPS が認識できない可能性のある IP アドレスやネットワーク内で重複している可能性のある IP アドレスを持つポスチャのフィルタリングに役立ちます。このフィルタは、CSA MC から到達不能なホストに IPS からも到達できないようなネットワーク トポロジに最も適しています。たとえば、IPS と CSA MC が同じネットワーク セグメントにある場合などです。
• [Permitted and Denied Host Posture Addresses]:許可または拒否する ACL ホスト ポスチャを追加できます。
– [Name]:ポスチャ ACL の名前。
– [Active]:このポスチャ ACL がアクティブかどうかを示します。
– [IP Address]:ポスチャ ACL の IP アドレス。
– [Network Mask]:ポスチャ ACL のネットワーク マスク。
– [Action]:ポスチャ ACL が実行するアクション(拒否または許可)。
[Add Posture ACL] および [Edit Posture ACL] ダイアログボックスのフィールド定義
[Add Posture ACL] および [Edit Posture ACL] ダイアログボックスには次のフィールドがあります。
• [Name]:ポスチャ ACL の名前。
• [Active]:このポスチャ ACL がアクティブかどうかを示します。
• [IP Address]:ポスチャ ACL の IP アドレス。
• [Network Mask]:ポスチャ ACL のネットワーク マスク。
• [Action]:ポスチャ ACL が実行するアクション(拒否または許可)。
外部製品インターフェイスおよびポスチャ ACL の追加、編集、削除
注意 Cisco IPS で追加できる外部製品インターフェイスは CSA MC インターフェイスだけです。Cisco IPS は、2 つの CSA MC インターフェイスをサポートしています。
(注) センサーとの通信が可能となるように、外部製品を信頼できるホストとして追加してください。信頼できるホストを追加するには、[Configuration] > sensor_name > [Sensor Management] > [Certificates] > [Trusted Hosts] > [Add] を選択します。
外部製品インターフェイスを追加するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [External Product Interfaces] を選択し、[Add] をクリックして、外部製品インターフェイスを追加します。
ステップ 3 [External Product's IP Address] フィールドに外部製品の IP アドレスを入力します。
ステップ 4 外部製品からセンサーに情報が渡されるようにするには、[Enable receipt of information] チェックボックスをオンにします。
ステップ 5 必要に応じて、[Port] フィールドでデフォルト ポート 443 を変更します。
(注) [Communication Settings] では、ポート値のみ変更できます。
ステップ 6 ログイン設定を指定します。
a. [Username] フィールドに、外部製品にログインできるユーザのユーザ名を入力します。
b. [Password] フィールドに、そのユーザが使用するパスワードを入力します。
c. [Confirm Password] フィールドにパスワードを再入力します。
(注) ステップ 7 ~ 15 は任意です。ステップ 7 ~ 15 を実行しない場合、CSA MC 情報の受信にはデフォルト値が使用され、フィルタが適用されずにすべての情報が受信されます。
ステップ 7 (任意)ウォッチ リスト設定を指定します。
a. 外部製品からセンサーにウォッチ リスト情報が渡されるようにするには、[Enable receipt of watch list] チェックボックスをオンにします。
(注) [Enable receipt of watch list] チェックボックスをオンにしない場合、CSA MC から受信したウォッチ リスト情報は削除されます。
b. [Manual Watch List RR Increase] フィールドでは、リスク レーティングの加算率をデフォルトの 25 から別の値に変更できます。有効な値の範囲は 0 ~ 35 です。
c. [Session-based Watch List RR Increase] フィールドでは、リスク レーティングの加算率をデフォルトの 25 から別の値に変更できます。有効な値の範囲は 0 ~ 35 です。
d. [Packet-based Watch List RR Increase] フィールドでは、リスク レーティングの加算率をデフォルトの 10 から別の値に変更できます。有効な値の範囲は 0 ~ 35 です。
ステップ 8 (任意)外部製品からセンサーにホスト ポスチャ情報が渡されるようにするには、[Enable receipt of host postures] チェックボックスをオンにします。
(注) [Enable receipt of host postures] チェックボックスをオンにしない場合、CSA MC から受信したホスト ポスチャ情報は削除されます。
ステップ 9 (任意)到達不能ホストからのホスト ポスチャ情報が外部製品からセンサーに渡されるようにするには、[Allow unreachable hosts' postures] チェックボックスをオンにします。
(注) CSA MC がホスト ポスチャに含まれるどの IP アドレスを使用してもホストとの接続を確立できない場合、そのホストは到達不能です。このオプションは、IPS が認識できない可能性のある IP アドレスやネットワーク内で重複している可能性のある IP アドレスを持つポスチャのフィルタリングに役立ちます。このフィルタは、CSA MC から到達不能なホストに IPS からも到達できないようなネットワーク トポロジに最も適しています。たとえば、IPS と CSA MC が同じネットワーク セグメントにある場合などです。
ステップ 10 (任意)ポスチャ ACL を追加するには、[Add] をクリックします。
(注) ポスチャ ACL は、ホスト ポスチャの許可または拒否の対象となるネットワーク アドレスの範囲です。ポスチャ ACL を使用して、IPS が認識できない可能性のある IP アドレスやネットワーク内で重複している可能性のある IP アドレスを持つポスチャをフィルタリングできます。
ステップ 11 (任意)[Name] フィールドにポスチャ ACL の名前を入力します。
ステップ 12 (任意)[Active] フィールドで、[Yes] オプション ボタンをクリックしてポスチャ ACL をアクティブにします。
ステップ 13 (任意)[IP Address] フィールドにポスチャ ACL が使用する IP アドレスを入力します。
ステップ 14 (任意)[Network Mask] フィールドにポスチャ ACL が使用するネットワーク マスクを編集します。
ステップ 15 (任意)[Action] ドロップダウン リストで、ポスチャ ACL が実行するアクション([Deny] または [Permit])を選択します。
ヒント 変更内容を元に戻して [Add Posture ACL] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 16 (任意)[OK] をクリックします。[Add External Product Interface] ダイアログボックスの [Host Posture Setting] リストに新しいポスチャ ACL が表示されます。[Move Up] ボタンおよび [Move Down] ボタンを使用して、作成したポスチャ ACL の順序を変更できます。
ステップ 17 既存のポスチャ ACL を編集するには、ポスチャ ACL を選択して [Edit] をクリックします。
ステップ 18 [IP Address]、[Network Mask]、[Action] の各フィールドを編集するか、[No] オプション ボタンをクリックしてアクティブ状態を非アクティブに変更します。
ヒント 変更を破棄して [Edit Posture ACL] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 19 [OK] をクリックします。編集したポスチャ ACL が [Add External Product Interface] ダイアログボックスの [Host Posture Setting] リストに表示されます。
ステップ 20 リストからポスチャ ACL を削除するには、そのポスチャ ACL を選択し、[Delete] をクリックします。そのポスチャ ACL は、[Add External Product Interface] ダイアログボックスの [Host Posture Setting] リストに表示されなくなります。
ステップ 21 [OK] をクリックします。外部製品インターフェイスが [External Product Interfaces] ペインの [Center for Cisco Security Agents] リストに表示されます。
ヒント 変更を破棄して [Add External Product Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 22 外部製品インターフェイスを編集するには、そのインターフェイスを選択し、[Edit] をクリックします。
ステップ 23 ダイアログボックスのフィールドに必要な変更を加えます。
ヒント 変更を破棄して [Edit External Product Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 24 [OK] をクリックします。編集した外部製品インターフェイスが [External Product Interfaces] ペインの [Management Center for Cisco Security Agents] リストに表示されます。
ステップ 25 外部製品インターフェイスを削除するには、そのインターフェイスを選択し、[Delete] ボタンをクリックします。その外部製品インターフェイスは、[External Product Interfaces] ペインの [Management Center for Cisco Security Agents] リストに表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 26 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。