- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
バックアップと復元の使用
バックアップと復元は、システム保守プランの重要な部分です。各組織のバックアップ計画は高度に個別化されていますが、FireSIGHT システム には、障害発生時に Defense Center や管理対象デバイスからデータを復元できるようにデータをアーカイブするメカニズムが備わっています。
- バックアップは、バックアップを作成する製品バージョンに対してのみ有効です。
- バックアップには、キャプチャされたファイル データは含まれません。
- 仮想の管理対象デバイス、Blue Coat X-Series 向け Cisco NGIPS、または Cisco ASA with FirePOWER Services のバックアップ ファイルを作成または復元することはできません。すべてのイベント データをバックアップするには、管理 Defense Center のバックアップを実行します。
- 代替のアプライアンスにバックアップを復元できるのは、2 台のアプライアンスが同じモデルで、同じバージョンの FireSIGHT システム ソフトウェアを実行している場合に限られます。
管理対象デバイス間でコンフィギュレーション ファイルをコピーする目的で、バックアップと復元のプロセスを使用しないでください。コンフィギュレーション ファイルはデバイスを固有に識別する情報を含むため、共有できません。
侵入ルールのアップデートを適用した場合、それらのアップデートはバックアップされません。復元
後に、最新のルールのアップデートを適用する必要があります。
アプライアンスまたはローカル コンピュータにバックアップ ファイルを保存できます。さらに、Defense Center を使用している場合は、リモート ストレージの管理で詳述されているように、リモート ストレージを使用できます。
3D9900 上の USB ポートに USB ドライブを挿入しないでください。また、デバイスをアップグレードまたは復元する前に、外部ストレージのあるデバイス(外部ストレージがある KVM スイッチなど)を 3D9900 から削除します。
- Defense Center および物理管理対象デバイスのバックアップ ファイルの作成については、バックアップ ファイルの作成を参照してください。
- バックアップ作成のテンプレートとして後で使用できるバックアップ プロファイルを作成する方法については、バックアップ プロファイルの作成を参照してください。
- ローカル ホストからバックアップ ファイルをアップロードする方法については、ローカル ホストからのバックアップのアップロードを参照してください。
- アプライアンスにバックアップ ファイルを復元する方法については、バックアップ ファイルからのアプライアンスの復元を参照してください。
バックアップ ファイルの作成
サポートされるデバイス: すべて(仮想、X-シリーズ、および ASA FirePOWER を除く)
デバイス自体からの物理管理対象デバイスのバックアップ、管理する Defense Center からの物理管理対象デバイスのバックアップ、および Defense Center のバックアップを実行できます。システムは、実行するバックアップのタイプに応じて異なるデータをバックアップします。システムはキャプチャされたファイル データをバックアップ しない ことに注意してください。次の表を使用して、どんな種類のバックアップを実行するかを決定します。
|
|
|
|
|
|---|---|---|---|
(注) 仮想の管理対象デバイス、Blue Coat X-Series 向け Cisco NGIPS、または Cisco ASA with FirePOWER Services のバックアップ ファイルを作成または復元することはできません。イベント データをバックアップするには、管理用の Defense Center のバックアップを実行します。
既存のシステム バックアップを表示して使用するには、[バックアップ管理(Backup Management)] ページに移動します。イベント データに加えて、アプライアンスの復元に必要なすべてのコンフィギュレーション ファイルを含むバックアップ ファイルを定期的に保存する必要があります。設定の変更をテストする際にもシステムをバックアップして、必要に応じて保存されている設定に戻すことができます。バックアップ ファイルを、アプライアンスに保存するか、ローカル コンピュータに保存するかを選択できます。
アプライアンスに十分なディスク スペースがない場合は、バックアップ ファイルを作成できません。バックアップ プロセスの使用スペースが使用可能なディスク スペースの 90 % を超えると、バックアップに失敗することがあります。必要に応じて、古いバックアップ ファイルを削除するか、古いバックアップ ファイルをアプライアンスの外部に転送するか、リモート ストレージを使用してください。
あるいは、バックアップ ファイルが 4GB を超える場合は、SCP 経由でリモート ホストにコピーします。4GB よりも大きなファイルのアップロードは Web ブラウザでサポートされていないため、バックアップ ファイルがそのように大きい場合には、ローカル コンピュータからバックアップをアップロードできません。Defense Center では、バックアップ ファイルをリモート ロケーションに保存できます。詳しくは、リモート ストレージの管理を参照してください。
(注) バックアップ タスクがディスカバリ イベントを収集している間、データ相関は一時的に停止されます。
- PKI オブジェクトに関連付けられた秘密キーは、アプライアンスに保存されるときに、ランダムに生成されたキーで暗号化されます。PKI オブジェクトに関連付けられた秘密キーを含むバックアップを実行する場合、秘密キーは、暗号化されないバックアップ ファイルに組み込まれる前に復号化されます。バックアップ ファイルを安全な場所に保存します。
- PKI オブジェクトに関連付けられている秘密キーを含むバックアップを復元すると、システムはアプライアンスに保存する前にランダムに生成されたキーでキーを暗号化します。
- バックアップを実行してから確認済みの侵入イベントを削除した場合、削除された侵入イベントはそのバックアップで復元されますが、確認済みステータスは復元されません。復元されたそれらの侵入イベントは、[確認済みイベント(Reviewed Events)] の下ではなく [侵入イベント(Intrusion Events)] の下に表示されます。侵入イベントの確認を参照してください。
- 侵入イベントのデータを含むバックアップを、そのデータがすでに含まれているアプライアンスに復元すると、重複したイベントが作成されることになります。これを回避するため、以前の侵入イベント データが含まれていないアプライアンスにのみ、侵入イベント バックアップを復元します。
セキュリティ ゾーンとのインターフェイス アソシエーションが設定されている場合、それらのアソシエーションはバックアップされません。それらは、復元後に再設定する必要があります。詳細については、
セキュリティ ゾーンの操作を参照してください。
Defense Center のバックアップ ファイルの作成するには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [バックアップ(Backup)] Defense Center をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 3 [名前(Name)] フィールドに、バックアップ ファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
手順 4 Defense Center には、さらに以下の 2 つのオプションがあります。
手順 5 オプションで、バックアップの完了時に通知を受けるためには、[電子メール(Email)] チェック ボックスをオンにして、用意されているテキスト ボックスに電子メール アドレスを入力します。
(注) 電子メール通知を受信するには、メール リレー ホストおよび通知アドレスの設定で説明されているように、リレー ホストを設定する必要があります。
手順 6 オプションで、Defense Center でセキュアなコピー( SCP )を使用してバックアップ アーカイブを異なるマシンにコピーするには、[完了時にコピー(Copy when complete)] チェック ボックスをオンにして、付随するテキスト ボックスに以下の情報を入力します。
このオプションをオフにする場合、バックアップ中に使用された一時ファイルがシステムによってリモート サーバに保存されます。このオプションをオンにする場合は、一時ファイルはリモート サーバに保存され ません 。
ヒント シスコ は、システム障害が発生した場合にアプライアンスを復元できるように、バックアップをリモート ロケーションに定期的に保存することを推奨します。
バックアップ ファイルは /var/sf/backup ディレクトリに保存されます。リモート ロケーションをバックアップ ファイルの場所として指定できます。リモート ストレージの管理を参照してください。
バックアップ プロセスが完了すると、[復元データベース(Restoration Database)] ページでファイルを参照できます。バックアップ ファイルを復元する方法については、バックアップ ファイルからのアプライアンスの復元を参照してください。
[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択してから [バックアップ プロファイル(Backup Profiles)] をクリックすることにより、バックアップ プロファイルを変更または削除できます。詳細については、バックアップ プロファイルの作成を参照してください。
物理管理対象デバイスのバックアップ ファイルをそのデバイス自体から作成するには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[デバイスのバックアップ(Device Backups)] ページが表示されます。
手順 2 [デバイスのバックアップ(Device Backup)] をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 3 [名前(Name)] フィールドに、バックアップ ファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
手順 4 オプションで、バックアップの完了時に通知を受けるためには、[電子メール(Email)] チェック ボックスをオンにして、用意されているテキスト ボックスに電子メール アドレスを入力します。
(注) 電子メール通知を受信するには、メール リレー ホストおよび通知アドレスの設定で説明されているように、リレー ホストを設定する必要があります。
手順 5 オプションで、セキュアなコピー( SCP )を使用してバックアップ アーカイブを異なるマシンにコピーするには、[完了時にコピー(Copy when complete)] チェック ボックスをオンにしてから、用意されているテキスト ボックスに以下の情報を入力します。
このオプションをオフにする場合、バックアップ中に使用された一時ファイルがシステムによってリモート サーバに保存されます。このオプションをオンにする場合は、一時ファイルはリモート サーバに保存され ません 。
ヒント シスコ は、システム障害が発生した場合にアプライアンスを復元できるように、バックアップをリモート ロケーションに定期的に保存することを推奨します。
バックアップ ファイルは /var/sf/backup ディレクトリに保存されます。Defense Center では、リモート ロケーションをバックアップ ファイルの場所として指定できます。リモート ストレージの管理を参照してください。
バックアップ プロセスが完了すると、[復元データベース(Restoration Database)] ページでファイルを参照できます。バックアップ ファイルを復元する方法については、バックアップ ファイルからのアプライアンスの復元を参照してください。
[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択してから [バックアップ プロファイル(Backup Profiles)] をクリックすることにより、バックアップ プロファイルを変更または削除できます。詳細については、バックアップ プロファイルの作成を参照してください。
物理管理対象デバイスのバックアップ ファイルをその管理用 Defense Center から作成するには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [管理対象デバイスのバックアップ(Managed Device Backup)] をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 3 [管理対象デバイス(Managed Devices)] フィールドで、1 つ以上の管理対象デバイスを選択します。複数の管理対象デバイスを選択するには、Shift キーか Ctrl キーを使用します。
手順 4 構成データに加えて統合ファイルも含めるには、[すべての統合ファイルを含める(Include All Unified Files)] チェック ボックスをオンにします。
手順 5 バックアップ ファイルを Defense Center に保存するには、[Defense Center に保存(Retrieve to Defense Center)] チェック ボックスをオンにします。各デバイスのバックアップ ファイルをそのデバイス自体に保存するには、このチェック ボックスをオフにしておいてください。
(注) [Defense Center に保存(Retrieve to Defense Center)] を選択した場合、バックアップのリモート ストレージが Defense Center で設定されていれば、デバイスのバックアップ ファイルは Defense Center 自体ではなく設定されたリモート ロケーションに保存されます。
手順 6 [バックアップの開始(Start Backup)] をクリックします。
操作の成功を示すメッセージが表示されて、バックアップ タスクが作成されます。
バックアップ ファイルは /var/sf/backup ディレクトリに保存されます。Defense Center を使用して、リモート ロケーションをバックアップ ファイルの場所として指定できます。リモート ストレージの管理を参照してください。
バックアップ プロセスが完了すると、[復元データベース(Restoration Database)] ページでファイルを参照できます。バックアップ ファイルを復元する方法については、バックアップ ファイルからのアプライアンスの復元を参照してください。
手順 7 オプションで、この設定をバックアップ プロファイルとして保存して後で使用するには、[新規保存(Save As New)] をクリックします。
[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択してから [バックアップ プロファイル(Backup Profiles)] をクリックすることにより、バックアップ プロファイルを変更または削除できます。詳細については、バックアップ プロファイルの作成を参照してください。
バックアップ プロファイルの作成
サポートされるデバイス: すべて(仮想、X-シリーズ、および ASA FirePOWER を除く)
[バックアップ プロファイル(Backup Profiles)] ページを使用して、さまざまな種類のバックアップに使用する設定値を含むバックアップ プロファイルを作成できます。後にアプライアンスのファイルをバックアップするときに、これらのプロファイルの 1 つを選択できます。
ヒント バックアップ ファイルの作成で説明されているようにバックアップ ファイルを作成すると、バックアップ プロファイルが自動的に作成されます。
バックアップ プロファイルを作成するには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [バックアップ プロファイル(Backup Profiles)] タブをクリックします。
[バックアップ プロファイル(Backup Profiles)] ページが表示されて、既存のバックアップ プロファイルのリストが示されます。
ヒント 編集アイコン(
)をクリックして既存のプロファイルを変更するか、または削除アイコン()をクリックしてリストからプロファイルを削除することができます。
手順 3 [プロファイルを作成(Create Profile)] をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 4 バックアップ プロファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
手順 5 バックアップ プロファイルを必要に合わせて設定します。
このページのオプションについては、バックアップ ファイルの作成を参照してください。
手順 6 バックアップ プロファイルを保存するには、[新規保存(Save As New)] をクリックします。
[バックアップ プロファイル(Backup Profiles)] ページが表示されて、新しいプロファイルがリストに示されます。
ローカル ホストからのバックアップのアップロード
バックアップ管理(Backup Management) の表で説明されているダウンロード機能を使用してバックアップ ファイルをローカル ホストにダウンロードした場合、Defense Center にそれをアップロードできます。
バックアップ ファイルに PKI オブジェクトが含まれている場合、内部 CA と内部証明書オブジェクトに関連付けられた秘密キーは、アップロードの際にランダムに生成されるキーによって再暗号化されます。
ヒント 4GB よりも大きなファイルのアップロードは Web ブラウザでサポートされていないため、そのように大きなサイズのバックアップをローカル コンピュータからアップロードすることはできません。代わりに、バックアップを SCP 経由でリモート ホストにコピーし、そこから取得することができます。Defense Center では、バックアップ ファイルをリモート ロケーションに保存し、そこから取得できます。リモート ストレージの管理を参照してください。
ローカル ホストからバックアップをアップロードするには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [バックアップのアップロード(Upload Backup)] をクリックします。
[バックアップのアップロード(Upload Backup)] ページが表示されます。
手順 3 [参照(Browse)] をクリックして、アップロードするバックアップ ファイルに移動します。
アップロードするファイルを選択した後に、[バックアップのアップロード(Upload Backup)] をクリックします。
手順 4 [バックアップ管理(Backup Management)] をクリックして、[バックアップ管理(Backup Management)] ページに戻ります。
バックアップ ファイルがアップロードされ、バックアップ リストに表示されます。Defense Center アプライアンスによってファイルの整合性が検証されたら、[バックアップ管理(Backup Management)] ページを更新して、詳細なファイル システム情報を確認します。
バックアップ ファイルからのアプライアンスの復元
[バックアップ管理(Backup Management)] ページを使用して、バックアップ ファイルからアプライアンスを復元できます。バックアップを復元するには、バックアップ ファイル内の VDB のバージョンが、アプライアンスの現在の VDB のバージョンと一致している必要があります。復元プロセスが完了した後、最新の Sourcefire ルール アップデートを適用する 必要があります 。
仮想 Defense Center で作成されたバックアップを物理 Defense Center に復元しないでください。これはシステム リソースに負荷をかける可能性があります。仮想バックアップを物理 Defense Center に復元する必要がある場合は、サポートに連絡してください。
バックアップ ファイルに PKI オブジェクトが含まれている場合、内部 CA と内部証明書オブジェクトに関連付けられた秘密キーは、アップロードの際にランダムに生成されるキーによって再暗号化されます。
ローカル ストレージを使用する場合、バックアップ ファイルは /var/sf/backup に保存されて、 /var パーティションで使用されているディスク領域量と共に [バックアップ管理(Backup Management)] ページの下部にリストされます。Defense Center で、[バックアップ管理(Backup Management)] ページの上部にある [リモート ストレージ(Remote Storage)] を選択して、リモート ストレージ オプションを設定します。その後、リモート ストレージを有効にするには [バックアップ管理(Backup Management)] ページの [バックアップ用にリモート ストレージを有効にする(Enable Remote Storage for Backups)] チェック ボックスをオンにします。リモート ストレージを使用している場合は、プロトコル、バックアップ システム、およびバックアップ ディレクトリがページの下部に表示されます。
(注) バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。
次の表では、[バックアップ管理(Backup Management)] ページの各列とアイコンについて説明します。
バックアップ ファイルからのアプライアンスを復元するには、次の手順を実行します。
手順 1 [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 バック アップ ファイルの内容を確認するには、ファイルの名前をクリックします。
マニフェストが表示され、各ファイルの名前、所有者と権限、およびファイル サイズと日付がリストされます。
手順 3 [バックアップ管理(Backup Management)] をクリックして、[バックアップ管理(Backup Management)] ページに戻ります。
手順 4 復元するバックアップ ファイルを選択して、[復元(Restore)] をクリックします。
[バックアップの復元(Restore Backup)] ページが表示されます。
バックアップの VDB バージョンがアプライアンスに現在インストールされている VDB のバージョンと一致しない場合、[復元(Restore)] ボタンはグレー表示されることに注意してください。
この手順により、すべてのコンフィギュレーション ファイルが上書きされ、管理対象デバイスでは、すべてのイベント データが上書きされます。
手順 5 ファイルを復元するには、次のいずれかまたは両方を選択します。
(注) 管理対象デバイスの設定をバックアップ ファイルから復元すると、デバイスの管理用の Defense Center から行われたデバイス設定の変更も復元されることに注意してください。復元される変更には、そのバックアップ ファイルを作成した後に行った変更も含まれます。
手順 6 [復元(Restore)] をクリックして、復元を開始します。
アプライアンスが、指定したバックアップ ファイルを使用して復元されます。
手順 8 最新の Sourcefire ルール アップデートを適用して、ルールのアップデートを再適用します。
手順 9 復元されたシステムにアクセス コントロール ポリシー、侵入ポリシー、ネットワーク検出ポリシー、ヘルス ポリシー、システム ポリシーを再適用します。
フィードバック