FireSIGHT 仮想インストレーション ガイド 5.4.1

仮想アプライアンスのインストール

---

シスコは VMware ESXi ホスト環境用にパッケージ化した仮想アプライアンスを、圧縮アーカイブ（.tar.gz ）ファイルとしてサポート サイトで提供します。シスコ仮想アプライアンスは、仮想ハードウェアのバージョン 7 の仮想マシンとしてパッケージ化されています。

仮想アプライアンスは、仮想インフラストラクチャ（VI）または ESXi Open Virtual Format（OVF）テンプレートを使用して展開します。

• VI OVF テンプレートを使用して展開する場合、展開時にセットアップ ウィザードを使用して、FireSIGHT システムで必要な設定（管理者アカウントのパスワードおよびアプライアンスをネットワーク上で通信可能にする設定など）を構成できます。
• 管理プラットフォーム（VMware vCloud Director または VMware vCenter のいずれか）に展開する必要があります。
• ESXi OVF テンプレートを使用して展開する場合、インストール後に仮想アプライアンスの VMware コンソールでコマンド ライン インターフェイス（CLI）を使用して設定を構成する必要があります。
• 管理プラットフォーム（VMware vCloud Director または VMware vCenter）に展開するか、またはスタンドアロン アプライアンスとして展開できます。

（注） シスコ仮想アプライアンスの VMware スナップショットはサポートされていません。

この章の手順を使用して、シスコ仮想アプライアンスのダウンロード、インストール、および設定を行います。仮想ホスト環境の作成については、VMware ESXi のマニュアルを参照してください。

次の手順に従って仮想アプライアンスをインストールして構成したら、電源を入れて初期設定し、次の章で説明するように、初期設定プロセスを開始します。仮想アプライアンスのアンインストールの詳細については、仮想アプライアンスのアンインストールを参照してください。

シスコ仮想アプライアンスのインストールと展開を行うには：

ステップ 1 計画した展開が動作環境の前提条件で説明されている前提条件を満たしていることを確認します。

ステップ 2 サポート サイトから正しいアーカイブ ファイルを取得し、適切なストレージ メディアにコピーして、圧縮解除します。インストール ファイルの取得を参照してください。

ステップ 3 VMware vCloud Director Web ポータルまたは vSphere Client を使用して、仮想アプライアンスをインストールしますが、電源をオンにしないでください。仮想アプライアンスのインストールを参照してください。

ステップ 4 ネットワーク、ハードウェア、およびメモリの設定を確認して調整します。インストール後の重要な設定の更新を参照してください。

ステップ 5 任意で、デフォルトの e1000 インターフェイスを vmxnet3 インターフェイスに置き換えるか、追加の管理インターフェイスを作成するか、またはその両方を実行することもできます。詳細については、インターフェイスの追加と構成を参照してください。

ステップ 6 仮想デバイス上のセンシング インターフェイスが ESXi ホスト仮想スイッチに正しく接続されていることを確認します。仮想デバイスのセンシング インターフェイスの設定を参照してください。

インストール ファイルの取得

シスコは仮想アプライアンスをインストールするために圧縮アーカイブ（.tar.gz ）ファイルを提供します。1 つは防御センター用で、1 つはデバイス用です。各アーカイブには次のファイルが含まれています。

• ファイル名に - ESXi - が含まれている Open Virtual Format（.ovf ）テンプレート
• ファイル名に -VI- が含まれている Open Virtual Format（.ovf ）テンプレート
• ファイル名に - ESXi - が含まれているマニフェスト ファイル（.mf ）
• ファイル名に -VI が含まれているマニフェスト ファイル（.mf ）
• 仮想マシン ディスク形式（.vmdk ）

仮想アプライアンスをインストールする前に、サポート サイトから正しいアーカイブ ファイルを取得してください。シスコは、常に最新のパッケージを使用することを推奨します。仮想アプライアンスのパッケージは、通常、システム ソフトウェアのメジャー バージョンに関連付けられています（たとえば 5.3 または 5.4 など）。

仮想アプライアンスのアーカイブ ファイルを取得するには：

ステップ 1 サポート アカウントのユーザ名とパスワードを使用して、サポート サイト（https://support.sourcefire.com/ [英語]）にログインします。

ステップ 2 [ダウンロード（Downloads）] をクリックし、表示されるページの [3D システム（3D System）] タブを選択し、インストールするシステム ソフトウェアのメジャー バージョンをクリックします。

たとえば、バージョン 5.4.1 アーカイブ ファイルをダウンロードするには、[ダウンロード（Downloads）] > [3D システム（3D System）] > [5.4.1] をクリックします。

ステップ 3 次の命名規則を使用して、仮想デバイスまたは仮想防御センターのいずれかに対してダウンロードするアーカイブ ファイルを検索します。

Sourcefire_3D_Device_Virtual64_VMware-X.X.X-xxx.tar.gz

Sourcefire_Defense_Center_Virtual64_VMware-X.X.X-xxx.tar.gz

ここで、 X.X.X-xxx は、ダウンロードするアーカイブ ファイルのバージョンとビルド番号を表します。

ページの左側にあるリンクの 1 つをクリックして、ページの該当するセクションを表示します。たとえば、[ 5.4.1 仮想アプライアンス（Version 5.4.1 Virtual Appliances）] をクリックすると、FireSIGHT システムのバージョン 5.4.1 用のアーカイブ ファイルが表示されます。

ステップ 4 ダウンロードするアーカイブをクリックします。

ファイルのダウンロードが開始されます。

ヒント サポート サイトにログインしている間、シスコは、仮想アプライアンスの使用可能なすべての更新をダウンロードすることを推奨します。こうすることで、仮想アプライアンスをメジャー バージョンにインストールした後で、システム ソフトウェアを更新できるようになります。アプライアンスによってサポートされるシステム ソフトウェアの最新バージョンを常に実行する必要があります。防御センター向けに、新しい侵入ルールと脆弱性データベース（VDB）の更新もダウンロードする必要があります。

ステップ 5 vSphere Client または VMware vCloud Director Web ポータルを実行中のワークステーションまたはサーバからアクセス可能な場所に、アーカイブ ファイルをコピーします。

注意 アーカイブ ファイルを電子メールで転送 しないでください。ファイルが破損することがあります。

---

ステップ 6 任意のツールを使用してアーカイブ ファイルの圧縮を解除し、インストール ファイルを抽出します。

仮想デバイスの場合：

Sourcefire_3D_Device_Virtual64_VMware-X.X.X-xxx-disk1.vmdk

Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.ovf

Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.mf

Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf

Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.mf

仮想防御センターの場合：

Sourcefire_Defense_Center_Virtual64_VMware-X.X.X-xxx-disk1.vmdk

Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.ovf

Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.mf

Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf

Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.mf

ここで、 X.X.X-xxx は、ダウンロードしたアーカイブ ファイルのバージョンとビルド番号を表します。

必ずすべてのファイルを同じディレクトリ内に保持してください。

ステップ 7 仮想アプライアンスのインストールに進み、仮想アプライアンスを展開します。

仮想アプライアンスのインストール

仮想アプライアンスをインストールするには、プラットフォーム インターフェイス（VMware vCloud Director Web ポータルまたは vSphere Client）を使用して、管理プラットフォーム（VMware vCloud Director または VMware vCenter）に OVF（VI または ESXi）テンプレートを展開します。

• VI OVF テンプレートを使用して展開する場合、インストール時に FireSIGHT システムの必須設定を構成できます。この仮想アプライアンスは VMware vCloud Director または VMware vCenter を使用して管理する必要があります。
• ESXi OVF テンプレートを使用して展開する場合、インストール後に FireSIGHT システム の必須設定を構成する必要があります。この仮想アプライアンスは VMware vCloud Director または VMware vCenter のどちらかを使用して管理するか、スタンドアロン アプライアンスとして使用できます。

計画した展開が前提条件（動作環境の前提条件を参照）を満たしていることを確認し、必要なアーカイブ ファイルをダウンロードしたら、VMware vCloud Director Web ポータルまたは vSphere Client を使用して仮想アプライアンスをインストールします。

仮想アプライアンスをインストールするために、次のインストール オプションがあります。

• 仮想防御センターの場合：

• 仮想デバイスの場合：

ここで、 X.X.X-xxx は、使用するファイルのバージョンとビルド番号を表します。

次の表に、展開に必要な情報を示します。

VI OVF テンプレートを使用して展開する場合、インストール プロセスで、仮想防御センターの基本設定、および仮想デバイスの初期設定全体を実行できます。次を指定することができます。

• 管理者アカウントの新しいパスワード
• アプライアンスが管理ネットワークで通信することを許可するネットワーク設定
• 仮想デバイスについてのみ、最初の検出モード
• 仮想デバイスについてのみ、管理元の防御センター

ESXi OVF テンプレートを使用して展開する場合、またはセットアップ ウィザードを使用する構成を選択しない場合、VMware コンソールを使用して仮想アプライアンスの初期設定を実行する必要があります。指定する構成内容に関するガイダンスを含む、初期設定の実行の詳細については、仮想アプライアンスの設定を参照してください。

次のオプションのいずれかを使用して、仮想アプライアンスをインストールします。

• VMware vCloud Director Web ポータルを使用したインストールでは、仮想アプライアンスを VMware vCloud Director に展開する方法について説明します。
• vSphere Client を使用したインストールでは、仮想アプライアンスを VMware vCenter に展開する方法について説明します。

ネットワーク設定と検出モードの詳細については、CLI を使用した仮想デバイスの設定と仮想防御センターの設定を参照してください。

vApp テンプレートの使用

vApp テンプレートを使用して仮想アプライアンスを作成し、セットアップ ウィザードを使用したインストール時に FireSIGHT システムの必須設定を構成できます。ウィザードの各ページで設定を指定してから、[次へ（Next）] をクリックして続行します。ユーザの利便性のために、ウィザードの最終ページでは、手順を完了する前に、設定を確認することができます。

vApp テンプレートを使用して仮想アプライアンスを作成するには：

---

ステップ 1 VMware vCloud Director Web ポータルで、[個人用クラウド（My Cloud）] > [vApps] を選択します。

ステップ 2 [vAppメディア（vApps media）] タブで、追加アイコン（ ）をクリックし、カタログから vApp を追加します。

[カタログから vApp を追加（Add vApp from Catalog）] ポップアップ ウィンドウが表示されます。

ステップ 3 テンプレートのメニュー バーの [すべてのテンプレート（All Templates）] をクリックします。

使用可能なすべての vApp テンプレートのリストが表示されます。

ステップ 4 追加する vApp テンプレートを選択し、仮想アプライアンスの説明を表示します。

• 仮想防御センターの場合：

Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf

 

• 仮想デバイスの場合：

Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf

 

• ここで、 X.X.X-xxx は、アーカイブ ファイルのバージョンとビルド番号を表します。

エンドユーザ ライセンス契約（EULA）が表示されます。

ステップ 5 EULA を読んで同意します。

[この vApp の名前（Name this vApp）] 画面が表示されます。

ステップ 6 名前およびオプションで vApp の説明を入力します。

[リソースの設定（Configure Resources）] 画面が表示されます。

ステップ 7 [リソースの設定（Configure Resources）] 画面で、仮想データセンターを選択し、コンピュータ名を入力して（またはデフォルトのコンピュータ名を使用して）、ストレージ プロファイルを選択します。

[ネットワークのマッピング（Network Mapping）] 画面が表示されます。

ステップ 8 外部、管理、および内部の送信元に対する宛先と IP の割り当てを選択することにより、OVF テンプレートで使用されるネットワークをインベントリのネットワークにマッピングします。

[カスタム プロパティ（Custom Properties）] 画面が表示されます。

ステップ 9 オプションで、[カスタムプロパティ（Custom Properties）] 画面で、セットアップ ウィザードの FireSIGHT システムの必須設定を入力し、アプライアンスの初期設定を実行します。初期設定をすぐに実行しない場合、仮想アプライアンスの設定の手順を使用して、後で行うことができます。

仮想アプライアンスの設定を示す [終了準備の完了（Ready to Complete）] 画面が表示されます。

ステップ 10 設定を確認し、[完了（Finish）] をクリックします。

---

（注） 仮想デバイスの [展開後に電源を入れる（Power on after deployment）] オプションを有効化しないでください。センシング インターフェイスをマッピングする必要があります。必ず、アプライアンスの電源を投入する前にセンシング インターフェイスが接続するように設定してください。詳細については、仮想アプライアンスの初期化を参照してください。

---

ステップ 11 インストール後の重要な設定の更新に進みます。

---

 

vSphere Client を使用したインストール

vSphere Client を使用して、VI OVF テンプレートまたは ESXi OVF テンプレートによる展開が可能です。

• VI OVF テンプレートを使用して展開する場合、アプライアンスは VMware vCenter または VMware vCloud Director で管理する必要があります。
• OVF ESXi テンプレートを使用して展開する場合、アプライアンスを VMware vCenter または VMware vCloud Director で管理するか、またはスタンドアロン ホストに展開できます。いずれの場合も、インストール後に FireSIGHT システムの必須設定を構成する必要があります。

ウィザードの各ページで設定を指定してから、[次へ（Next）] をクリックして続行します。ユーザの利便性のために、ウィザードの最終ページでは、手順を完了する前に、設定を確認することができます。

vSphere Client を使用して仮想アプライアンスをインストールするには：

---

ステップ 1 vSphere Client を使用して、[ファイル（File）] > [OVF テンプレートの展開（Deploy OVF Template）] をクリックし、以前にダウンロードした OVF テンプレートを展開します。

[ソース（Source）] 画面が表示されます。この画面では、展開するテンプレートをドロップダウン リストから参照できます。

ステップ 2 ドロップダウン リストから、展開する OVF テンプレートを選択します。

• 仮想防御センターの場合：

Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf

Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.ovf

 

• 仮想デバイスの場合：

Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf

Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.ovf

 

• ここで、 X.X.X-xxx は、ダウンロードしたアーカイブ ファイルのバージョンとビルド番号を表します。

[OVF テンプレートの詳細（OVF Template Details）] 画面が表示されます。

ステップ 3 以下のように、適切な仮想マシンを選択したことを確認します。

• ESXi OVF テンプレートの場合：
• [名前と場所（Name and Location）] 画面が表示されます。
• VI OVF テンプレートの場合：
• [エンド ユーザ ライセンス契約（EULA）（End User License Agreement（EULA））] 画面が表示されます。
• EULA を読み、承認します。次に、[名前と場所（Name and Location）] 画面が表示されます。

ステップ 4 テキスト フィールドに仮想アプライアンスの名前を入力し、アプライアンスを展開するインベントリの場所を選択します。

[ホスト/クラスタ（Host/Cluster）] 画面が表示されます。

ステップ 5 テンプレートを展開するホストまたはクラスタを選択します。

[特定のホスト（Specific Host）] 画面が表示されます。

ステップ 6 テンプレートを展開するクラスタ内の特定のホストを選択します。

[ストレージ（Storage）] 画面が表示されます。

ステップ 7 仮想マシンの宛先ストレージを選択します。

[ディスクのフォーマット（Disk Format）] 画面が表示されます。

ステップ 8 次の選択肢から、仮想ディスクを保存するフォーマットを選択します。

• thick provision lazy zeroed
• thin provision eager zeroed
• thin provision

[ネットワークのマッピング（Network Mapping）] 画面が表示されます。

ステップ 9 以下のように、テンプレートを展開するネットワークを選択します。

• ESXi OVF テンプレートの場合：
• [ESXi の終了（ESXi Finish）] 画面が表示されます。
• VI OVF テンプレートの場合：
• [プロパティ（Properties）] 画面が表示されます。
• アプライアンス用に FireSIGHT システムの必須設定を入力するか、後でセットアップを完了するためにそのままクリックし、設定を確認して、[完了（Finish）] をクリックします。

---

（注） 仮想デバイスの [展開後に電源を入れる（Power on after deployment）] オプションを有効化しないでください。センシング インターフェイスをマッピングする必要があります。必ず、アプライアンスの電源を投入する前にセンシング インターフェイスが接続するように設定してください。詳細については、仮想アプライアンスの初期化を参照してください。

---

ステップ 10 インストールが完了したら、ステータス ウィンドウを閉じます。

ステップ 11 インストール後の重要な設定の更新に進みます。

---

 

インストール後の重要な設定の更新

仮想アプライアンスをインストールしたら、仮想アプライアンスのハードウェアおよびメモリの設定が展開の要件を満たしていることを確認する必要があります。デフォルトの設定は、システム ソフトウェアの実行の最小要件であるため、 減らさない でください。ただし、使用可能なリソースによっては、パフォーマンスを向上させるために仮想アプライアンスのメモリと CPU の数を増やすことができます。次の表に、デフォルトのアプライアンス設定を示します。

次の手順は、仮想アプライアンスのハードウェアとメモリの設定を確認して調整する方法を説明しています。

仮想アプライアンスの設定を確認するには：

ステップ 1 新しい仮想アプライアンスの名前を右クリックし、コンテキスト メニューから [設定の編集（Edit Settings）] を選択するか、メイン ウィンドウの [作業の開始（Getting Started）] タブから [仮想マシン設定の編集（Edit virtual machine settings）] をクリックします。

[ハードウェア（Hardware）] タブが表示されている [仮想マシンのプロパティ（Virtual Machine Properties）] ポップアップ ウィンドウが表示されます。

ステップ 2 デフォルトの仮想アプライアンス設定に示すように、[メモリ（Memory）] 、[CPU（CPUs）] 、および [ハードディスク1（Hard disk 1）] の設定がデフォルト値以上になっていることを確認します。

アプライアンスのメモリ設定および仮想 CPU の数は、ウィンドウの左側に表示されます。ハード ディスクの プロビジョニング サイズ を表示するには、[ハードディスク1（Hard disk 1）] をクリックします。

ステップ 3 オプションで、ウィンドウの左側の適切な設定をクリックしてメモリと仮想 CPU の数を増やし、ウィンドウの右側で変更します。

ステップ 4 [ネットワークアダプタ1（Network adapter 1）] 設定が次のようになっていることを確認し、必要に応じて変更します。

• [デバイスのステータス（Device Status）] の下で、[パワーオン時に接続（Connect at power on）] チェックボックスを有効にします。
• [MACアドレス（MAC Address）] の下で、仮想アプライアンスの管理インターフェイスの MAC アドレスを手動で設定します。
• 仮想デバイスに手動で MAC アドレスを割り当て、ダイナミック プール内の他のシステムによる MAC アドレスの変更または競合を回避します。
• また、仮想防御センターの場合、MAC アドレスを手動で設定することにより、アプライアンスの再イメージ化が必要になった場合に、シスコからライセンスを再要求しなくて済みます。
• [ネットワーク接続（Network Connection）] の下で、[ネットワークラベル（Network label）] に仮想アプライアンスの管理ネットワーク名を設定します。

ステップ 5 [OK] をクリックします。

変更が保存されます。

ステップ 6 任意で、アプライアンスの電源を入れる前に、デフォルトの e1000 インターフェイスを vmxnet3 インターフェイスに置き換えるか、追加の管理インターフェイスを作成するか、またはその両方を実行することもできます。詳細については、インターフェイスの追加と構成を参照してください。

ステップ 7 次の手順は、インストールしたアプライアンスのタイプにより異なります。

• 仮想防御センターの場合、初期化する準備が整っています。仮想アプライアンスの設定に進みます。
• 仮想デバイスの場合、いくつかの追加の構成が必要になります。仮想デバイスのセンシング インターフェイスの設定に進みます。

インターフェイスの追加と構成

デフォルトの e1000（1 Gbit/s）インターフェイスを vmxnet3（10 Gbit/s）インターフェイスに置き換えるには、e1000 インターフェイスのすべてを削除して、vmxnet3 インターフェイスに置き換えます。

展開内でインターフェイスを混在させることはできますが（仮想防御センターで e1000 インターフェイス、管理対象仮想デバイスで vmxnet3 インターフェイスなど）、同じアプライアンスでインターフェイスを混在させることはできません。アプライアンス上のすべてのセンシング インターフェイスと管理インターフェイスは同じである必要があります（e1000 または vmxnet3 のいずれか）。

e1000 インターフェイスを vmxnet3 インターフェイスに置き換えるには、まず、vSphere クライアントを使用して既存の e1000 インターフェイスを削除した後、新しい vmxnet3 インターフェイスを追加し、適切なアダプタ タイプとネットワーク接続を選択します。

同じ仮想防御センターに 2 つ目の管理インターフェイスを追加して、2 つの異なるネットワークのトラフィックを別々に管理することもできます。2 つ目の管理インターフェイスを 2 つ目のネットワーク上の管理対象デバイスに接続するように、追加の仮想スイッチを構成します。仮想アプライアンスに 2 つ目の管理インターフェイスを追加するには、vSphere クライアントを使用します。

vSphere クライアントの使用に関する詳細については、VMware Web サイト（http://vmware.com）を参照してください。複数の管理インターフェイスの詳細については、『FireSIGHT System User Guide』の「Managing Devices」を参照してください。

ヒント アプライアンスの電源を入れる前に、インターフェイスに対するすべての変更を実行します。インターフェイスを変更するには、アプライアンスの電源をオフにして、インターフェイスを削除し、新しいインターフェイスを追加してから、アプライアンスの電源をオンにします。

仮想デバイスのセンシング インターフェイスの設定

仮想デバイスのインターフェイスには、無差別モードを受け入れる ESXi ホストの仮想スイッチ上のポートへのネットワーク接続が必要です。

ヒント 仮想スイッチにポート グループを追加し、無差別モードの仮想ネットワーク接続を実稼動トラフィックから分離します。ポート グループの追加とセキュリティ属性の設定の詳細については、VMware のマニュアルを参照してください。

無差別モードを許可するには：

ステップ 1 vSphere Client を使用してサーバにログインし、サーバの [設定（Configuration）] タブをクリックします。

[ハードウェア（Hardware）] 選択リストと [ソフトウェア（Software）] 選択リストが表示されます。

ステップ 2 [ハードウェア（Hardware）] リストで、[ネットワーキング（Networking）] をクリックします。

仮想スイッチの図が表示されます。

ステップ 3 仮想デバイスのセンシング インターフェイスを接続するスイッチおよびポート グループの [プロパティ（Properties）] をクリックします。

[スイッチのプロパティ（Switch Properties）] ポップアップ ウィンドウが表示されます。

ステップ 4 [スイッチのプロパティ（Switch Properties）] ポップアップ ウィンドウで、[編集（Edit）] をクリックします。

[詳細プロパティ（Detailed Properties）] ポップアップ ウィンドウが表示されます。

ステップ 5 [詳細プロパティ（Detailed Properties）] ポップアップ ウィンドウで、[セキュリティ（Security）] タブを選択します。

[ポリシー例外（Policy Exceptions）] > [無差別モード（Promiscuous Mode）] の下で、無差別モードが [承認（Accept）] に設定されていることを確認します。

ヒント 仮想環境で VLAN トラフィックを監視するには、無差別ポートの VLAN ID を 4095 に設定します。

ステップ 6 変更を保存します。

デバイスが初期化できる状態になります。

ステップ 7 次の章の仮想アプライアンスの設定に進みます。

仮想アプライアンスのアンインストール

仮想アプライアンスをアンインストールまたは削除する必要が生じることがあります。仮想アプライアンスをシャット ダウンし、削除することにより、仮想アプライアンスをアンインストールします。

ヒント 仮想デバイスを削除した後、必ず検知接続の仮想スイッチ ポート グループをデフォルトの設定である、[無差別モード（Promiscuous Mode）]：[拒否（Reject）] に戻してください。詳細については、仮想デバイスのセンシング インターフェイスの設定を参照してください。