- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
ハイブリッド インターフェイスの設定
管理対象デバイス上に論理ハイブリッド インターフェイスを設定することで、FireSIGHT システムは仮想ルータと仮想スイッチの間でトラフィックをブリッジできるようになります。仮想スイッチのインターフェイスで受信した IP トラフィックの宛先が、そのスイッチに関連付けられたハイブリッド論理インターフェイスの MAC アドレスとなっている場合、システムは、そのトラフィックをレイヤ 3 トラフィックとして処理し、宛先 IP アドレスに応じてトラフィックをルーティング(またはトラフィックに応答)します。それ以外の宛先が設定されたトラフィックを受信した場合、システムはそのトラフィックをレイヤ 2 トラフィックとして処理し、適切なスイッチングを行います。仮想管理対象デバイスや Blue Coat X-Series 向け Cisco NGIPS に論理ハイブリッド インターフェイスを設定することはできません。
ハイブリッド インターフェイスを設定する方法の詳細については、論理ハイブリッド インターフェイスの追加を参照してください。
論理ハイブリッド インターフェイスの追加
レイヤ 2 とレイヤ 3 の間でトラフィックを中継するには、論理ハイブリッド インターフェイスを仮想ルータと仮想スイッチに関連付ける必要があります。仮想スイッチに関連付けることができるハイブリッド インターフェイスは 1 つだけです。一方、仮想ルータには複数のハイブリッド インターフェイスを関連付けることができます。
論理ハイブリッド インターフェイスには、SFRP を設定することもできます。詳細については、SFRP の設定を参照してください。
ハイブリッド インターフェイスの [ICMP 有効化応答(ICMP Enable Responses)] オプションを無効にしても、すべてのシナリオで ICMP 応答が抑止されるわけではありません。アクセス コントロール ポリシーにルールを追加して、宛先 IP がハイブリッド インターフェイスの IP で、プロトコルが ICMP であるパケットをドロップするように設定できます。ネットワークベースのルールによるトラフィックの制御を参照してください。
管理対象デバイスの [ローカル ルータ トラフィックの検査(Inspect Local Router Traffic)] オプションを有効にした場合、パケットはホストに到達する前にドロップされるため、すべての応答を防ぐことができます。ローカル ルータ トラフィックの検査の詳細については、高度なデバイス設定についてを参照してください。
センシング インターフェイスまたはインライン セットの MTU の任意の値(シリーズ 2)または最高値(シリーズ 3)を変更すると、変更を適用する際、変更したインターフェイスだけではなく、デバイス上のすべてのセンシング インターフェイスに対するトラフィック インスペクションが一時的に中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。
Snort の再開によるトラフィックへの影響を参照してください。
既存のハイブリッド インターフェイスを編集するには、インターフェイスの横にある編集アイコン(
)をクリックします。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 ハイブリッド インターフェイスを追加するデバイスの横にある編集アイコン( )をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 [追加(Add)] ドロップダウン メニューから、[論理インターフェイスの追加(Add Logical Interface)] を選択します。
[インターフェイスの追加(Add Interface)] ポップアップ ウィンドウが表示されます。
手順 4 [ハイブリッド(Hybrid)] をクリックして、ハイブリッド インターフェイス オプションを表示します。
手順 5 [名前(Name)] フィールドに、インターフェイスの名前を入力します。英数字とスペースを使用できます。
手順 6 [仮想ルータ(Virtual Router)] ドロップダウン リストから既存の仮想ルータを選択し、[なし(None)] を選択するか、または [新規(New)] を選択して新しい仮想ルータを追加します。
新しい仮想ルータを追加する場合、ハイブリッド インターフェイスのセットアップが完了した後に、[デバイス管理(Device Management)] ページ([デバイス(Devices)] > [デバイス管理(Device Management)] > [仮想ルータ(Virtual Router)])で、その仮想ルータを設定する必要があることに注意してください。仮想ルータの追加を参照してください。
手順 7 [仮想スイッチ(Virtual Switch)] ドロップダウン リストから既存の仮想スイッチを選択し、[なし(None)] を選択するか、または [新規(New)] を選択して新しい仮想スイッチを追加します。
新しい仮想スイッチを追加する場合、ハイブリッド インターフェイスのセットアップが完了した後に、[デバイス管理(Device Management)] ページ([デバイス(Devices)] > [デバイス管理(Device Management)] > [仮想スイッチ(Virtual Switch)])で、その仮想スイッチを設定する必要があることに注意してください。仮想スイッチの追加を参照してください。
手順 8 ハイブリッド インターフェイスがトラフィックを処理できるようにするには、[有効化(Enabled)] チェック ボックスをオンにします。
このチェック ボックスをオフにすると、インターフェイスは無効になり、管理上はダウンした状態になります。
手順 9 [MTU] フィールドに最大伝送ユニット(MTU)を入力して、パケットの最大許容サイズを指定します。
設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、管理対象デバイスの MTU の範囲を参照してください。
手順 10 [ICMP] の横にある [応答を有効化(Enable Responses)] チェック ボックスをオンにして、インターフェイスを ping や traceroute などの ICMP トラフィックに応答可能にします。
手順 11 [IPv6 NDP] の横にある [ルータ アドバタイズメントを有効化(Enable Router Advertisement)] チェック ボックスをオンにして、インターフェイスがルータ アドバタイズメントを伝送できるようにします。
このオプションを選択できるのは、IPv6 アドレスを追加した場合のみです。
手順 12 IP アドレスを追加するには、[追加(Add)] をクリックします。
[IP アドレスの追加(Add IP Address)] ポップアップ ウィンドウが表示されます。
手順 13 [アドレス(Address)] フィールドに、IP アドレスとサブネット マスクを入力します。次の点に注意してください。
手順 14 IPv6 アドレスがある場合、オプションで、[IPv6] フィールドの横にある [アドレスの自動設定(Address Autoconfiguration)] チェック ボックスをオンにして、インターフェイスの IP アドレスを自動的に設定します。
手順 15 [種類(Type)] には、[ノーマル(Normal)] または [SFRP] を選択します。
SFRP オプションの詳細についてはSFRP の設定を参照してください。
ヒント IP アドレスを編集するには、編集アイコン()をクリックします。IP アドレスを削除するには、削除アイコン()をクリックします。
論理ハイブリッド インターフェイスが追加されます。デバイス設定を適用するまで、変更は有効になりません。デバイスへの変更の適用を参照してください。
論理ハイブリッド インターフェイスの削除
以下の手順で、論理ハイブリッド インターフェイスを削除する方法を説明します。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 論理ハイブリッド インターフェイスを削除するデバイスの横にある編集アイコン( )をクリックします。
デバイスの [インターフェイス(Interfaces)] タブが表示されます。
手順 3 削除する論理ハイブリッド インターフェイスの横にある削除アイコン(
)をクリックします。
手順 4 入力を求められた場合、インターフェイスを削除することを確認します。
インターフェイスが削除されます。デバイス設定を適用するまで、変更は有効になりません。デバイスへの変更の適用を参照してください。
フィードバック