- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
設定のインポートおよびエクスポート
インポート/エクスポート機能を使用して、ポリシーを含む複数のタイプの設定を、1 つのアプライアンスから同じタイプの別のアプライアンスにコピーにできます。設定のインポートおよびエクスポートは、バックアップ ツールとして設計されてはいませんが、FireSIGHT システムに新しいアプライアンスを追加するプロセスを効率化するために使用できます。
- アクセス コントロール ポリシーと、それに関連するネットワーク分析ポリシー、SSL ポリシー、およびファイル ポリシー
- 侵入ポリシー
- 正常性ポリシーとシステム ポリシー
- アラート応答
- アプリケーション ディテクタ
- ダッシュボード、カスタム テーブル、カスタム ワークフロー、および保存した検索
- カスタム ユーザ ロール
- レポート テンプレート
- サードパーティ製品および脆弱性マッピング
エクスポートされた設定をインポートするには、両方のアプライアンスで同じバージョンの FireSIGHT システムが稼働していなければなりません。エクスポートされた侵入ポリシーまたはアクセス コントロール ポリシーをインポートするには、両方のアプライアンスでルール更新のバージョンも一致している必要があります。
設定のエクスポート
単一の設定をエクスポートすることや、(同じタイプまたは異なるタイプの)一連の設定を同時にエクスポートすることができます。後に別のアプライアンスにパッケージをインポートするとき、パッケージ内のどの設定をインポートするかを選択できます。
設定をエクスポートするとき、アプライアンスは、その設定のリビジョン情報もエクスポートします。FireSIGHT システムはその情報を使用して、他方のアプライアンスにその設定をインポートできるかどうかを判別します。アプライアンスにすでに存在する設定リビジョンをインポートすることはできません。
また、設定をエクスポートするとき、その設定が依存する認証オブジェクトなどのシステム設定も、アプライアンスによってエクスポートされます。たとえば、LDAP サーバへの認証を 防御センター にセットアップしてから、認証を有効にして 防御センター のシステム ポリシーをエクスポートする場合、認証オブジェクトも同様にエクスポートされます。
ヒント
FireSIGHT システムの多くのリスト ページには、リスト項目の横にエクスポート アイコン(
)があります。このアイコンがある場合は、それを使用することにより、その後のエクスポート操作を簡単に代行させることができます。
- アラート応答 :アラート応答とは、アラートの送信先とする予定の外部システムと FireSIGHT システムが連携できるようにするための一連の設定です。
- カスタム テーブル :カスタム テーブルは、FireSIGHT システムに付属している事前定義された複数のテーブルのフィールドを結合する、構築可能なテーブルです。
- カスタム ユーザ ロール :カスタム ユーザ ロールは、専用のアクセス権限セットを持つ、ユーザが作成するユーザ ロールです。保存済み検索を必要とするカスタム ユーザ ロールをエクスポートすると、必要なすべての保存済み検索もエクスポートされます。
- カスタム ワークフロー :カスタム ワークフローは、組織の固有のニーズを満たすためにユーザが作成するワークフローです。防御センターでは、作成したカスタム ワークフロー、およびアプライアンスに付属の事前定義されたカスタム ワークフローをエクスポートできます。
エクスポートされたカスタム ワークフローの基礎となるテーブルを防御センターで表示できない場合、ワークフローをインポートすることはできますが、それを表示できないことに注意してください。
- ダッシュボード :ダッシュボードは、現在のシステム ステータスの概要を表示する、カスタマイズ可能なタブ付きのビューです。ダッシュボードは、さまざまなウィジェットを使用して、FireSIGHT システムで収集されたイベントや生成されたイベントに関するデータ、および展開に含まれるアプライアンスの状態と全体的な正常性に関する情報を表示します。
表示できるダッシュボード ウィジェットは、使用しているアプライアンスのタイプと、自分のユーザ ロールによって異なります。詳細については、ウィジェットの可用性についてを参照してください。
- アクセス コントロール ポリシー :アクセス コントロール ポリシーには、システムがネットワーク トラフィックをどのように管理するかを指定するために設定できる、さまざまなコンポーネントが含まれます。これらのコンポーネントには、アクセス コントロール ルール、関連する侵入ポリシー、ファイル ポリシー、ネットワーク分析ポリシー、SSL ポリシー、およびルールとポリシーが使用するオブジェクト(侵入の変数セットなど)が含まれます。アクセス コントロール ポリシーをエクスポートすると、そのポリシーのすべての設定とコンポーネントもエクスポートされます。ただし、複数のアプライアンスで同等であり、ユーザが変更できない URL レピュテーションとカテゴリは(それらが存在しても)エクスポートされません。アクセス コントロール ポリシーで参照されるカスタム URL オブジェクトまたはグループは、ポリシーのエクスポート時に組み込まれます。アクセス コントロール ポリシーをインポートするには、エクスポート元およびインポート先の Defense Center に同じバージョンのルール更新が適用されている必要があります。アクセス コントロール ポリシーをインポートするには、エクスポート元とインポート先の 防御センターに同じバージョンのルール更新が適用されている必要があることに注意が必要です。
エクスポートするアクセス コントロール ポリシー、またはこれにより呼び出される SSL ポリシーにジオロケーション データを参照するルールが含まれる場合、インポート先の防御センターの地理位置情報データベース(GeoDB)の更新バージョンが使用されます。
秘密キー情報を含む PKI オブジェクトは、アプライアンスに保存されるときに、ランダムに生成されたキーで暗号化されます。エクスポートするアクセス コントロール ポリシーが、秘密キーを含む PKI オブジェクトを使用する SSL ポリシーを参照している場合、エクスポート前に秘密キーが復号されます。
エクスポートするアクセス コントロール ポリシーが、サポートされていない DC500 や、シリーズ 2 のデバイス ポリシー機能またはルール条件を参照している場合、DC500 を使用してポリシーを適用することも、ポリシーをシリーズ 2 デバイスに適用することもできません。DC500 も シリーズ 2 デバイスも、マルウェア ブロック アクションやマルウェア クラウド ルックアップ アクションを使用するルールの含まれる、ユーザまたは URL のルール条件、セキュリティ インテリジェンス、ファイル ポリシーをサポートしません。さらに、シリーズ 2 デバイスはアプリケーション ルール条件をサポートしません。
- 正常性ポリシー :正常性ポリシーは、展開内でのアプライアンスの正常性、つまりシスコのハードウェアとソフトウェアが正しく動作しているかどうかを検査する際に使用する基準で構成されます。
- 侵入ポリシー :侵入ポリシーには、ネットワーク トラフィックを検査して侵入やポリシー違反を見つけるように設定できる、さまざまなコンポーネントが組み込まれています。これらのコンポーネントには、侵入ルール(プロトコル ヘッダー値、ペイロード コンテンツ、および特定のパケット サイズ特性を検査する)、FireSIGHT の推奨ルール設定、およびその他の詳細設定が含まれます。
侵入ポリシーをエクスポートすると、そのポリシーのすべての設定もエクスポートされます。たとえば、イベントを生成するルールを設定するように選択した場合、ルールの SNMP アラートを設定した場合、またはポリシーでセンシティブ データ プリプロセッサをオンにした場合は、エクスポートされるポリシー内にそれらの設定値が保持されます。カスタム ルール、カスタム ルールの分類、およびユーザ定義変数も、ポリシーとともにエクスポートされます。
レイヤを使用する侵入ポリシーをエクスポートする場合、そのレイヤが 2 番目の侵入ポリシーによって共有されているときは、エクスポートするポリシーにその共有レイヤがコピーされて、共有関係はなくなることに注意してください。侵入ポリシーを別のアプライアンスにインポートするときは、インポートするポリシーをニーズに合うように編集できます。レイヤの削除、追加、共有などができます。
防御センター間で侵入ポリシーをエクスポートする場合、エクスポート先の 防御センターでデフォルト変数が別の設定になっている場合、インポートされたポリシーが異なる動作をする可能性があります。
(注) インポート/エクスポート機能を使用して、シスコの脆弱性調査チーム(VRT)が作成したルールを更新することはできません。代わりに、最新バージョンのルール更新をダウンロードして適用します。ルールの更新とローカル ルール ファイルのインポートを参照してください。
- レポート テンプレート :レポートは、特定の FireSIGHT システムのデータを照合する、PDF、HTML、または CSV 形式のドキュメント ファイルです。レポート テンプレートは、データの検索設定とレポートおよびそのセクションの形式を指定します。レポート テンプレートをエクスポートすると、すべての保存済み検索、画像、オブジェクト マネージャで作成されたオブジェクト、およびレポートに必要なカスタム テーブルもエクスポートされます。
- 保存済み検索 :保存済み検索は、アクセス許可の制限されたユーザが、事前定義された FireSIGHT システム データにアクセスできるようにします。保存済み検索を必要とするカスタム ユーザ ロールをエクスポートすると、必要な保存済み検索もエクスポートされます。また、個別のユーザ定義の保存済み検索もエクスポートできます。
- SSL ポリシー :SSL ポリシーには、ネットワークの暗号化されたトラフィックを管理する方法を指定するために設定できる、さまざまなコンポーネント(SSL ルールや再利用可能な参照オブジェクトなど)が含まれます。SSL ポリシーをエクスポートすると、そのポリシーのすべての設定とコンポーネントもエクスポートされます。ただし、複数のアプライアンスで同等であり、ユーザが変更できない URL レピュテーションとカテゴリは(それらが存在しても)エクスポートされません。SSL ポリシーをインポートするには、エクスポート元およびインポート先の防御センターに同じバージョンのルール更新が適用されている必要があります。
秘密キー情報を含む PKI オブジェクトは、アプライアンスに保存されるときに、ランダムに生成されたキーで暗号化されます。エクスポートする SSL ポリシーで秘密キーを含む PKI オブジェクトを使用する場合、エクスポート前に秘密キーが復号されます。
エクスポートする SSL ポリシーにジオロケーション データを参照するルールが含まれる場合、インポート先の防御センターの地理位置情報データベース(GeoDB)の更新バージョンが使用されます。
- システム ポリシー :システム ポリシーは、データベース イベント制限、時間設定、ログイン バナーなど、展開内の他の FireSIGHT システム アプライアンスに類似する可能性のあるアプライアンスの局面を制御します。
エクスポートするシステム ポリシーで外部認証が有効の場合、関連する認証オブジェクトもエクスポートされます。
防御センターのシステム ポリシーには、管理対象デバイスに適用されないデータベース設定が含まれることに注意してください。システム ポリシーを管理対象デバイスからエクスポートした後に防御センターにインポートする場合、デバイスでは設定できなかったデータベース制限が、防御センターではデフォルト値に設定されます。
- サードパーティ製品マッピング :サードパーティ アプリケーションからデータをインポートする場合、そのデータを使用して脆弱性を割り当てたり、影響の関連付けを行ったりするために、製品をサードパーティの名前にマッピングする必要があります。製品をマッピングすることにより、シスコの脆弱性情報をサードパーティ製品の名前に関連付けます。これにより、FireSIGHT システムはそのデータを使用して、影響の関連付けを実行できます。サードパーティ製品マッピングを作成する方法について詳しくは、サードパーティ製品のマッピングを参照してください。
- サードパーティ脆弱性マッピング :サードパーティ アプリケーションから脆弱性データベースに脆弱性情報を追加するには、インポートしたそれぞれの脆弱性のサードパーティ識別文字列を、既存のシスコ、Bugtraq、または Snort の ID にマッピングする必要があります。脆弱性のマッピングを作成したら、マッピングはネットワーク マップのホストにインポートされたすべての脆弱性に対して機能し、それらの脆弱性に対する影響の関連付けを可能にします。サードパーティ脆弱性マッピングを作成する方法について詳しくは、サードパーティの脆弱性のマッピングを参照してください。
- アプリケーション ディテクタ :システムは IP トラフィックを分析するとき、ディテクタを使用して関連情報を収集してから、ネットワークのホストで一般的に使用されるアプリケーションを識別します。エクスポートできるディテクタは、ユーザ定義のディテクタとシスコ プロフェッショナル サービスが提供する個別のアドオン ディテクタの 2 種類です。ディテクタについて詳しくは、アプリケーション ディテクタの操作を参照してください。
(注) エクスポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、エクスポート プロセスに数分かかる場合があります。
手順 1 設定のエクスポート元のアプライアンスと設定のインポート先のアプライアンスで、同じバージョンの FireSIGHT システムが稼働していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをエクスポートする場合は、ルール更新のバージョンが一致することを確認します。
FireSIGHT システムのバージョン(および該当する場合はルール更新のバージョン)が一致しない場合、インポートは失敗します。
手順 2 [システム(System)] > [ツール(Tools)] > [インポート/エクスポート(Import/Export)] を選択します。
[インポート/エクスポート(Import/Export)] ページが表示され、アプライアンス上の設定のリストが示されます。エクスポートする設定がない設定カテゴリは、このリストに表示されないことに注意してください。
ヒント 設定のリストは、設定タイプの横にある折りたたみアイコン(
)をクリックして折りたたむことができます。設定を確認するには、設定タイプの横にあるフォルダ展開アイコン()をクリックします。
手順 3 エクスポートする設定の横にあるチェック ボックスを選択して、[エクスポート(Export)] をクリックします。
手順 4 Web ブラウザのプロンプトに従って、エクスポートされたパッケージをコンピュータに保存します。
設定のインポート
アプライアンスから設定をエクスポートした後に、その設定が別のアプライアンスでもサポートされていれば、そのアプライアンスにインポートできます。ただし、使用するアプライアンスのタイプやユーザ ロールによっては、一部のインポートされた設定が役立たない場合があることに注意してください。
インポートしている設定のタイプに応じて、以下の点に注意する必要があります。
- 設定をインポートするアプライアンスが、設定のエクスポートに使用したアプライアンスと、同じバージョンの FireSIGHT システムを実行していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをインポートする場合は、両方のアプライアンスでルール更新のバージョンも一致している必要があります。バージョンが一致しない場合、インポートは失敗します。
- 保存済み検索を必要とするカスタム ユーザ ロールをインポートすると、必要な保存済み検索もインポートされます。
- 表示できるダッシュボード ウィジェットは、使用しているアプライアンスのタイプと、自分のユーザ ロールによって異なります。たとえば、防御センター で作成され、管理対象デバイスまたは にインポートされるダッシュボードは、無効なウィジェットを表示する場合があります。
- ゾーンに基づいてトラフィックを評価するアクセス コントロール ポリシーをインポートした場合、インポートされたポリシー内のゾーンを、インポート先の防御センターによって管理されるデバイスのゾーンにマッピングする必要があります。ゾーンをマッピングするときは、それらのタイプが一致している必要があります。したがって、インポートを開始する前に、インポート先の 防御センターで必要となるゾーン タイプを作成する必要があります。セキュリティ ゾーンの詳細については、セキュリティ ゾーンの操作を参照してください。
- 既存のオブジェクトやグループと同一の名前を持つオブジェクトやオブジェクト グループを含むアクセス コントロール ポリシーまたは保存済み検索をインポートする場合は、オブジェクトやグループの名前を変更する必要があります。
- アクセス コントロール ポリシーや侵入ポリシーをインポートする場合、インポート プロセスによって、デフォルト変数セットに含まれる既存のデフォルト変数が、インポートされたデフォルト変数に置換されます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。
- 侵入ポリシーをインポートするとき、その侵入ポリシーが 2 番目の侵入ポリシーの共有レイヤを使用していた場合は、エクスポート プロセスによって共有関係が切断されて、それまで共有されていたレイヤがパッケージにコピーされます。つまり、インポートされた侵入ポリシーに共有レイヤは含まれません。
(注) インポート/エクスポート機能を使用して、シスコの脆弱性調査チーム(VRT)が作成したルールを更新することはできません。代わりに、最新バージョンのルール更新をダウンロードして適用します。ルールの更新とローカル ルール ファイルのインポートを参照してください。
- 秘密キーを含む PKI オブジェクトを参照する SSL ポリシーをインポートする場合、システムはキーをアプライアンスに保存する前にランダムに生成されたキーでそのキーを暗号化します。
- 外部認証が有効になっている防御センターからエクスポートされたシステム ポリシーをインポートするときは、そのシステム ポリシーが依存する認証オブジェクトもインポートします。
1 つのパッケージで複数の設定をエクスポートできるため、パッケージのインポート時に、パッケージ内のどの設定をインポートするかを選択する必要があります。インポート先のアプライアンスでサポートされる設定だけがインポート可能です。
設定をインポートしようとすると、アプライアンスは、その設定がアプライアンスにすでに存在しているかどうかを判別します。競合がある場合は、以下の操作が可能です。
設定をインポートした後に、宛先システムで設定を変更してその設定を再インポートすると、保持する設定のバージョンを選択する必要があります。
インポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、インポート プロセスに数分かかる場合があります。
手順 1 設定のエクスポート元のアプライアンスと設定のインポート先のアプライアンスで、同じバージョンの FireSIGHT システムが稼働していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをインポートする場合は、ルール更新のバージョンが一致することも確認する必要があります。
FireSIGHT システムのバージョン(および該当する場合はルール更新のバージョン)が一致しない場合、インポートは失敗します。
手順 2 インポートする設定をエクスポートします。設定のエクスポートを参照してください。
手順 3 設定をインポートするアプライアンスで、[システム(System)] > [ツール(Tools)] > [インポート/エクスポート(Import/Export)] を選択します。
[インポート/エクスポート(Import/Export)] ページが表示されます。
ヒント 設定のリストを折りたたむには、設定タイプの横にある折りたたみアイコン()をクリックします。設定を確認するには、設定タイプの横にあるフォルダ展開アイコン()をクリックします。
手順 4 [パッケージのアップロード(Upload Package)] をクリックします。
[パッケージのアップロード(Upload Package)] ページが表示されます。
手順 6 [アップロード(Upload)] をクリックします。
- パッケージ内の設定が、アプライアンスにすでに存在するバージョンと完全に一致する場合、そのバージョンがすでに存在することを示すメッセージが表示されます。アプライアンスに最新の設定が存在するので、それらをインポートする必要はありません。
- 使用するアプライアンスとパッケージのエクスポート元のアプライアンスとの間に、FireSIGHT システムまたは(該当する場合)ルール更新のバージョンの不一致がある場合、パッケージをインポートできないことを示すメッセージが表示されます。FireSIGHT システムまたはルール更新のバージョンを更新して、プロセスを再試行します。
- アプライアンスに存在しない設定やルールのバージョンがパッケージに含まれている場合、[パッケージのインポート(Package Import)] ページが表示されます。次の手順に進みます。
手順 7 インポートする設定を選択して、[インポート(Import)] をクリックします。
インポート プロセスが解決されて、以下のような結果になります。
手順 8 取り込まれる各セキュリティ ゾーンの横で、同じタイプの既存のローカル セキュリティ ゾーンをマップ先として選択し、[インポート(Import)] をクリックします。
手順 7 に戻ります。
手順 9 各設定を展開して、以下の該当するオプションを選択します。
クリーン リストまたはカスタム検出リストが有効になっているファイル ポリシーを含むアクセス コントロール ポリシーをインポートする場合、[新規としてインポート(Import as new)] オプションは使用できません。
手順 10 [インポート(Import)] をクリックします。
フィードバック