- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT システム へのログイン
この章では、FireSIGHT システムへのログインおよびログアウトのために、アプライアンスベースの Web インターフェイスおよびコマンド ライン インターフェイス(CLI)を使用して実行する必要がある手順について説明します。また、LDAP または RADIUS クレデンシャルを使用する外部で認証されるユーザ アカウントを設定することもできます。
Web インターフェイスにログインした後、特定の領域の上にポインタを置くと、 コンテキスト メニュー の機能によって追加情報および有益なナビゲーション リンクが提供されます。
アプライアンスへのログイン
FireSIGHT システム防御センターには、管理および分析タスクを実行するために使用できる Web インターフェイスがあります。物理管理対象デバイスにも、初期セットアップ、基本的な分析と設定タスクを実行するために使用できる Web インターフェイスがあります。ブラウザ要件の詳細については、リリース ノートで FireSIGHT システム のこのバージョンについて参照してください。
仮想管理対象デバイスには、Web インターフェイスがありません。これらのデバイス(シリーズ 3 デバイスも同様)では、デバイスの管理防御センターを使用して完了できないすべてのタスクを実行するために使用できるインタラクティブ CLI が FireSIGHT システムによって提供されます。
Blue Coat X-Series 向け Cisco NGIPS にも Web インターフェイスはありません。ただし、X-シリーズ プラットフォームに固有の CLI があります。この CLI を使用して、システムをインストールしたり、その他のプラットフォーム固有の管理タスクを実行したりします。X-シリーズ プラットフォーム CLI へのログイン方法を含む詳細については、『 Blue Coat X-Series 向け Cisco NGIPS Installation and Configuration Guide 』を参照してください。
ASA FirePOWER デバイスには、独自の管理アプリケーション(ASDM と CSM)と ASA デバイスを設定するための CLI があります。また、FireSIGHT システムでは、デバイスの管理防御センターで実行できないタスクを実行するために使用できるインタラクティブ CLI が提供されます。ASA 固有のツールを使用して、システムをインストールしたり、その他のプラットフォーム固有の管理タスクを実行したりします。詳細については、ASA のマニュアルを参照してください。
(注
) FirePOWER のアプライアンスはユーザ アカウントに基づいてユーザ アクティビティを監査するため、ユーザが正しいアカウントでシステムにログインしていることを確認してください。
ユーザ名とパスワードを入力して、アプライアンスの Web インターフェイス、CLI、またはシェルへのアクセスを取得する必要があります。アプライアンスにログインすると、アクセスできる機能はユーザ アカウントに付与されている権限によって制御されます。詳細については、ユーザ アカウントの管理を参照してください。
組織が認証に共通アクセス カード(CAC)を使用している場合は、CAC クレデンシャルを使用してアプライアンスの Web インターフェイスにアクセスすることもできます。CAC 認証および許可の詳細については、CAC を使用した LDAP 認証についてを参照してください。
誤ったクレデンシャルを複数回指定すると、シェルのアクセス アカウントがロックされることがあります。正しいクレデンシャルを入力しているのにログインが拒否される場合は、ログインを繰り返さずに、システム管理者に連絡してください。
Web セッションでアプライアンスのホームページに初めてアクセスするユーザは、そのアプライアンスの最後のログイン セッション情報を表示することができます。最後のログインについて、次の情報を表示できます。
デフォルトでは、ユーザがセッションからタイムアウトされないと設定されていない限り、非活動の状態が 1 時間経過した後で、自動的にセッションからユーザがログアウトされます。管理者ロールを持つユーザは、システム ポリシーでセッション タイムアウト間隔を変更できます。詳細については、ユーザ ログイン設定の管理およびユーザ インターフェイスの設定を参照してください。
プロセスの中には長時間かかるものがあります。このため、Web ブラウザで、スクリプトが応答しなくなっていることを示すメッセージが表示されることがあります。このような場合は、プロセスが完了してからスクリプトを続行するようにしてください。
(注) アプライアンスにシステムを新規インストール(新規または再イメージング)する場合、管理(admin)ユーザ アカウントを使用してログインし、初期セットアップ プロセスを完了する必要があります。『FireSIGHT システム Installation Guide』を参照してください。新しいユーザ アカウントの追加の説明に従って他のユーザ アカウントを作成した後は、そのユーザも他のユーザもそれらのアカウントを使用して Web インターフェイスにログインする必要があります。
ヒント ネットワークのユーザが CAC クレデンシャルを使用して [CAC ログイン(CAC Login)] ページにログインできるようにするには、CAC 認証および許可を設定する必要があります。詳細については、CAC を使用した LDAP 認証についてを参照してください。
Web インターフェイスを介して、アプライアンスにログインする方法:
手順 1 ブラウザで https:// hostname / にアクセスします。ここで hostname はアプライアンスのホスト名を表します。
手順 2 [ユーザ名(Username)] および [パスワード(Password)] フィールドで、ユーザ名とパスワードを入力します。ユーザ名では、大文字と小文字が区別されます。
組織でログイン時に SecurID® トークンが使用されている場合、ログインするには SecurID PIN にトークンを付加してパスワードとして使用します。たとえば PIN が 1111 で、SecurID トークンが 222222 の場合は、 1111222222 と入力します。FireSIGHT システムにログインする前に、SecurID PIN を生成しておく必要があります。
デフォルトの開始ページが表示されます。ユーザ アカウントにカスタム ホームページを選択した場合、そのページが代わりに表示されます。詳細については、ホームページの指定を参照してください。
ヒント Web インターフェイスにアクセスできない場合は、システム管理者に連絡してアカウントの権限を変更してもらうか、管理者アクセス権を持つユーザとしてログインし、アカウントの特権を変更します。詳細については、ユーザ特権とオプションの変更を参照してください。
ページの上部に表示されるメニューおよびメニュー オプションは、ユーザ アカウントの権限によって異なります。ただし、デフォルト ホームページのリンクには、ユーザ アカウントの権限の範囲に対応するオプションが含まれています。アカウントに付与されている権限とは異なる権限が必要なリンクをクリックすると、次の警告メッセージが表示されます。
選択可能なメニューから別のオプションを選択するか、またはブラウザ ウィンドウで [戻る(Back)] をクリックして前のページに戻ります。
CAC クレデンシャルを使用して Web インターフェイスを介してアプライアンスにログインする方法:
手順 2 ブラウザで https:// hostname / にアクセスします。ここで hostname はアプライアンスのホスト名を表します。
手順 3 プロンプトが表示されたら、ステップ 1 で挿入した CAC に関連付けられた PIN を入力します。
手順 4 プロンプトが表示されたら、ドロップダウン リストから適切な証明書を選択します。
ブラウザが選択内容を受け入れると、[CAC ログイン(CAC Login)] ページが表示されます。
手順 5 CAC クレデンシャルを使用して認証するには、[続行(Continue)] をクリックします。
ユーザ名とパスワードを使用して認証するには、[ユーザ名(Username)] と [パスワード(Password)] フィールドにそれらを入力します。ユーザ名では、大文字と小文字が区別されます。
デフォルトの開始ページが表示されます。ユーザ アカウントにカスタム ホームページを選択した場合、そのページが代わりに表示されます。詳細については、ホームページの指定を参照してください。
ヒント Web インターフェイスにアクセスできない場合は、システム管理者に連絡してアカウントの権限を変更してもらうか、管理者アクセス権を持つユーザとしてログインし、アカウントの特権を変更します。詳細については、ユーザ特権とオプションの変更を参照してください。
ページの上部に表示されるメニューおよびメニュー オプションは、ユーザ アカウントの権限によって異なります。ただし、デフォルト ホームページのリンクには、ユーザ アカウントの権限の範囲に対応するオプションが含まれています。アカウントに付与されている権限とは異なる権限が必要なリンクをクリックすると、次の警告メッセージが表示されます。
選択可能なメニューから別のオプションを選択するか、またはブラウザ ウィンドウで [戻る(Back)] をクリックして前のページに戻ります。
(注) ブラウズ セッションがアクティブな間は、CAC を削除しないでください。セッション中に CAC を削除または交換すると、Web ブラウザでセッションが終了し、システムにより Web インターフェイスから強制的にログアウトされます。
コマンド ライン経由で シリーズ 3、仮想デバイス、または ASA FirePOWER にログインする方法:
手順 1 シリーズ 3 および仮想デバイスの場合、 hostname でアプライアンスへの SSH 接続を開きます。ここで、 hostname はアプライアンスのホスト名です。ASA FirePOWER デバイスの場合、管理アドレスで ASA FirePOWER モジュールへの SSH 接続を開きます。
手順 3 パスワードを入力して Enter キーを押します。
組織でログイン時に SecurID® トークンが使用されている場合、ログインするには SecurID PIN にトークンを付加してパスワードとして使用します。たとえば PIN が 1111 で、SecurID トークンが 222222 の場合は、 1111222222 と入力します。FireSIGHT システムにログインする前に、SecurID PIN を生成しておく必要があります。
ログイン バナーが表示され、その後に > プロンプトが示されます。
コマンド ライン アクセスのレベルで許可されている任意のコマンドを使用できます。使用可能な CLI コマンドの詳細については、コマンドライン リファレンスを参照してください。
アプライアンスからのログアウト
Web インターフェイスをアクティブに使用しなくなった場合、シスコ では、少しの間 Web ブラウザから離れるだけであっても、ログアウトすることを推奨しています。ログアウトによって Web セッションが終了し、自分のクレデンシャルを使用して他のユーザがアプライアンスを使用できないようになります。
デフォルトでは、ユーザがセッションからタイムアウトされないと設定されていない限り、非活動の状態が 1 時間経過した後で、自動的にセッションからユーザがログアウトされます。管理者ロールを持つユーザは、システム ポリシーでセッション タイムアウト間隔を変更できます。詳細については、ユーザ ログイン設定の管理およびユーザ インターフェイスの設定を参照してください。
手順 1 ツールバーの [ログアウト(Logout)] をクリックします。
コンテキスト メニューの使用
操作の利便性を高めるため、Web インターフェイスのいくつかのページではポップアップ コンテキスト メニューをサポートしています。これは、FireSIGHT システムの他の機能にアクセスする際のショートカットとして使用できます。メニューの内容は ホットスポット によって異なり、ユーザはページだけでなく特定のデータにアクセスすることもできます。
たとえば、イベント ビューの IP アドレス ホットスポット 、侵入イベントのパケット ビュー、ダッシュボード、および Context Explorer には追加のオプションがあります。アドレスに関連付けられているホストの詳細(使用可能な whois やホスト プロファイルの情報など)を知るには、ホットスポットを右クリックして [IP アドレス(IP address)] コンテキスト メニューを使用します。(セキュリティ インテリジェンスのフィルタリングをサポートしていない)DC500 防御センターを除いては、セキュリティ インテリジェンスのグローバル ホワイトリストまたはブラックリストに個別の IP アドレスを追加することもできます。
別の例として、イベント ビューおよびダッシュボードの SHA-256 値のホットスポット では、ファイルの SHA-256 ハッシュ値をクリーン リストまたはカスタム検出リストに追加したり、コピーするためにハッシュ値全体を表示したりできます。この機能は、DC500 防御センターではサポートされていないことに注意してください。
次の一覧では、Web インターフェイスのさまざまなページのコンテキスト メニューで使用できるオプションについて説明しています。シスコ コンテキスト メニューがサポートされていないページまたは場所では、ブラウザの標準のコンテキスト メニューが表示されます。
アクセス コントロール、SSL、および NAT ポリシー エディタ
アクセス コントロール、SSL、および NAT ポリシー エディタには、各ルール上のホットスポットが含まれます。コンテキスト メニューを使用して、新しいルールとカテゴリの挿入、ルールの切り取り、コピー、貼り付け、ルール状態の設定、およびルールの編集を実行できます。
侵入ルール エディタには、各侵入ルールのホットスポットが含まれます。コンテキスト メニューを使用して、ルールの編集、ルール状態の設定(ルールの無効化を含む)、しきい値と抑制のオプションの設定、およびルールのドキュメンテーションの表示を行うことができます。
イベント ページ(ドリルダウン ページとテーブル ビュー)には、各イベント、IP アドレス、および特定の検出ファイルの SHA-256 ハッシュ値のホットスポットが含まれます。ほとんどのイベント タイプでは、コンテキスト メニューを使用して、Context Explorer で関連情報を表示したり、イベントの情報について新しいウィンドウでドリルダウンしたりできます。ファイルの SHA-256 ハッシュ値、脆弱性の説明、URL などの、イベント フィールドに含まれているテキストが長すぎて、イベント ビューですべて表示できない場合、コンテキスト メニューを使用してテキスト全体を表示することができます。
キャプチャしたファイル、ファイル イベント、およびマルウェア イベントの場合、コンテキスト メニューを使用して、クリーン リストまたはカスタム検出リストでのファイルの追加または削除、ファイルのコピーのダウンロード、アーカイブ ファイル内にネストされたファイルの表示、ネストされたファイルの親アーカイブ ファイルのダウンロード、または動的分析のための Collective Security Intelligence クラウドへのファイルの送信を実行できます。
侵入イベントに対しても、コンテキスト メニューを使用して、侵入ルール エディタまたは侵入ポリシーで実行できるものと類似のタスクを実行できます。これには、トリガー ルールを編集する、ルール状態を設定する(ルールの無効化を含む)、しきい値と抑制のオプションを設定する、ルールのドキュメンテーションを表示するなどのタスクがあります。
侵入イベントのパケット ビューには、IP アドレスのホットスポットが含まれます。パケット ビューでは、右クリック メニューではなく、左クリックのコンテキスト メニューを使用することに注意してください。
多くのダッシュボード ウィジェットには、関連する情報を Context Explorer で表示するためのホットスポットが含まれます。ダッシュボード ウィジェットには、IP アドレスと SHA-256 値のホットスポットも含めることができます。
Context Explorer には、図、表、およびグラフのホットスポットが含まれます。Context Explorer よりも詳細なグラフまたはリストのデータを調べたい場合は、関連するデータのテーブル ビューにドリルダウンすることができます。また、関連するホスト、ユーザ、アプリケーション、ファイル、および侵入ルールの情報を表示できます。
Context Explorer でも左クリックのコンテキスト メニューを使用することに注意してください。これには、Context Explorer に特有のフィルタリングおよび他のオプションも含まれています。詳細については、Context Explorer データのドリルダウンを参照してください。
手順 1 Web インターフェイスのホットスポット対応ページで、ポインタをホットスポットの上に置きます。
Context Explorer 以外では、「 右クリックでメニューを表示(Right-click for menu) 」というメッセージが表示されます。
ポップアップ コンテキスト メニューが表示され、ホットスポットに適したオプションが示されます。
手順 3 オプションの名前を左クリックして、いずれかのオプションを選択します。
アクセス コントロール ポリシー エディタまたは NAT ポリシー エディタを使用している場合、ルールが変更されます。それ以外の場合は、選択したオプションに基づいて新しいブラウザ ウィンドウが開きます。
フィードバック