構成

初期設定および構成ウィザードについては、『Cisco Secure Malware Analytics アプライアンスの設定およびコンフィギュレーションガイド』を参照してください。新しい Secure Malware Analytics アプライアンスでは、管理者が追加の設定を行う必要があります。また、時間の経過に伴い、Admin UI の設定の更新が必要になることがあります。この章では、Admin UI を使用してアプライアンスの設定を変更する方法について説明します。

構成

Admin UI の [構成（Configuration）] メニューは、次のようなさまざまな Cisco Secure Malware Analytics アプライアンス設定を構成および管理するために使用します。


セクション	説明
Authentication
認証	Cisco Secure Malware Analytics アプライアンス Admin UI にログインするための LDAP および RADIUS 認証を設定する方法について説明します。
CA 証明書	アプライアンスのアウトバウンド SSL 接続に CA 証明書を追加して Cisco Secure Endpoint プライベートクラウドを信頼する方法について説明します。
Password	Admin UI のパスワードを変更する方法について説明します。
SSH の設定	SSH を使用していくつかのキー要素をセットアップするための SSH の設定方法について説明します。
SSH キー	SSH 経由でAdmin TUI にアクセスできるようにするための SSH キーの設定方法について説明します。
[SSL]	E メールセキュリティアプライアンス（ESA）、Web セキュリティアプライアンス（WSA）、Cisco Secure Endpoint プライベートクラウド、およびその他の統合とのセキュアなマルウェア分析アプライアンスの接続をサポートするための SSL 証明書の構成方法について説明します。 SSL 証明書の置き換え。
アプリケーションの設定
統合	サードパーティの検出および強化サービス（OpenDNS、Titacloud、VirusTotal）の構成方法について説明します。 ClamAV 自動更新を有効または無効にします。
ライセンス	Cisco Secure Malware Analytics アプライアンスのライセンスをアップロードする方法、またはサーバーからライセンスを取得する方法について説明します。
Network Exit	分析用のサンプルを送信するときに、Cisco Secure Malware Analytics ポータルで使用可能なネットワークイグジットのオプションを構成する方法について説明します。
プロキシの更新	更新をダウンロードするように SOCKS5 プロキシを構成する方法について説明します。
全般
コンテンツの更新	コンテンツ更新を有効にする方法について説明します。
日付および時刻（Date and Time）	Network Time Protocol（NTP）サーバーを追加して日付と時刻を構成する方法について説明します。
電子メール	システム通知の電子メール設定（SMTP）の構成方法について説明します。
通知（Notifications）	通知受信者を管理する方法について説明します。
Syslog	syslog メッセージおよび通知を受信するようにシステムログサーバーを設定する方法について説明します。
ネットワーキング
[ネットワーク（Network）]	DHCP から永続的な静的 IP アドレスへの IP 割り当てを調整する方法と、DNS を構成する方法について説明します。
NFS	NFS 要件、バックアップストレージ要件、バックアップ期待、厳密な保持期間制限の設定など、アプライアンスバックアップについて説明します。バックアップの実行方法。
クラスタリング	Cisco Secure Malware Analytics アプライアンスのクラスタリングの機能、制限事項、および要件について説明します。ネットワークおよび NFS ストレージの要件クラスタの構築、クラスタへのアプライアンスの参加、クラスタノードの削除、タイブレーカーノードの指定方法。耐障害性と障害回復クラスタの API と運用の使用方法と特性、および削除例の詳細を表示します。

（注）

構成時に IP アドレスが遮断される可能性を減らすために、Admin UI での構成の更新は 1 回のセッションで完了する必要があります。
Admin UI はゲートウェイエントリを検証しません。誤ったゲートウェイを入力して保存すると、Admin UI にアクセスできなくなります。ネットワーク設定を管理インターフェイスで実行した場合は、コンソールを使用してネットワーク設定を修正する必要があります。Admin がまだ有効であればい、Admin UI でそれを修正して、再起動できます。
Cisco Secure Malware Analytics アプライアンス（v2.7 以降）は、ホスト名としてシリアル番号を使用することにより、一部の NFS v4 サーバーとの相互運用性を向上させます。

重要	Admin UI は HTTPS を使用するため、ブラウザのアドレスバーに HTTPS を入力する必要があります。Admin IP をポイントするだけでは十分ではありません。ブラウザに次のアドレスを入力します。 https://adminIP/ または https://adminHostname/

構成変更の適用

構成の設定に変更が加えられるたびに、 [構成（Configuration）] ページの上部にあるバナーに、薄いオレンジ色のアラートメッセージが表示されます。

Admin UI の構成に対する変更は、保存する必要があり、いくつかには変更をアクティブ化する手順も含まれています。ただし、別の手順で再構成して変更を確定する必要もあります。設定の変更は、再構成が完了するまで有効になりません。

（注）

再構成すると、Cisco Secure Malware Analyticsポータルおよび Admin UIにログインしている他のユーザーに影響を与える可能性があります。

手順

ステップ 1	アラートメッセージの [再構成（Reconfigure）] をクリックして、再構成プロセスを開始します。それ以外の場合は、再構成するには、 [操作（Operations）] > [アクティブ化（Activate）]をクリックします。
ステップ 2	[構成のアクティブ化（Activate Configuration）] ページで、 [再構成（Reconfigure）] をクリックして再構成ジョブを実行します。
ステップ 3	確認ダイアログで、 [再構成（Reconfigure）] をクリックして再構成ジョブを開始します。構成がアクティブ化され、その進行状況に関するメッセージが [ジョブ（Jobs）] ウィンドウに表示されます。エラーメッセージやその他の情報を確認する必要がある場合は、詳細が [ジョブ（Jobs）] ページに保持されます。完了すると、再構成が成功したことを示す確認メッセージが表示されます。
ステップ 4	[Continue] をクリックします。

認証

Cisco Secure Malware Analytics アプライアンスでは、管理 UI および管理 TUI にログインするための LDAP 認証および許可がサポートされています。また、RADIUS 認証もサポートされています。これにより、v2.10 以降で管理 UI にシングルサインオンが可能になります。

LDAP 認証

Secure Malware Analytics アプライアンスでは、管理 UI および管理 TUI ログインの LDAP 認証および許可がサポートされています。ドメインコントローラまたは LDAP サーバーで管理されるさまざまなログイン情報を使用して、複数のアプライアンス管理者を認証できます。認証モードは、[System Password Only]、[System Password or LDAP]、[LDAP Only] のいずれかです。

3 つの LDAP プロトコルオプション、[LDAP]、[LDAPS]、[LDAP with STARTLS] があります。

次の点を考慮する必要があります。

デュアル認証モード（LDAP またはシステムパスワード）は、LDAP の設定時に、Secure Malware Analytics アプライアンスから誤ってロックアウトされないようにするために必要です。

最初から [LDAP のみ（LDAP Only）] を選択することはできません。まずデュアルモードを実行して、動作することを確認する必要があります。初期設定後に Admin UI からログアウトした後、LDAP ログイン情報を使用して再度ログインして [LDAP Only] に切り替える必要があります。
認証を [LDAP のみ（LDAP Only）] に設定した場合、Admin TUI ダイアログにログインするには LDAP を使用する必要があります。認証モードが [LDAP またはシステムパスワード（LDAP or System Password）] に設定されている場合、Admin TUIのログインで許可されるのはシステムログインのみです。
Secure Malware Analytics アプライアンスが LDAP 認証のみ（[LDAP のみ（LDAP Only）]）に設定されている場合は、リカバリモードでパスワードをリセットして、認証モードを再設定し、システムパスワードによるログインを許可することもできます。
メンバーシップを制限するための認証フィルタが設定されていることを確認します。
Admin TUI と Admin UI では、[LDAP のみ（LDAP Only）] モードの場合にのみ LDAP ログイン情報が必要です。[LDAP のみ（LDAP Only）] に設定されている場合、Admin TUIでは、システムパスワードではなく、LDAP ユーザー/パスワードの入力のみが求められます。
認証が [システムパスワードまたは LDAP（System Password or LDAP）] に設定されている場合、Admin TUI では、これら両方ではなく、システムパスワードのみを入力するように求められます。
LDAP の問題をトラブルシューティングするには、リカバリモードでパスワードをリセットして LDAP を無効にします。
SSH を使用して Admin TUI ダイアログにアクセスするには、[LDAP のみ（LDAP Only）] モードの場合、LDAP ログイン情報に加えて、システムパスワードまたは設定済みの SSH キーが必要です。
LDAP はクリーンインターフェイスからの発信です。

Admin UI で LDAP 認証を構成するには、次の手順を実行します。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [認証（Authentication）] を展開し、 [認証（Authentication）]を選択します。

ステップ 3

[認証モード（Authentication Mode）] ドロップダウンから [LDAP] または [システムパスワード（System Password）] を選択して、[LDAP 設定（LDAP configuration）] ページを開きます。

（注）

LDAP 認証を最初に構成するときは、[LDAP またはシステムパスワード（LDAP or System Password)] を選択し、Admin UI からログアウトしてから、LDAP ログイン情報を使用して再度ログインする必要があります。その後、 [LDAP ] を実装するように設定を変更できます。

図 3. [LDAP 認証構成（LDAP Authentication Configuration）] ページ

ステップ 4

適宜、ページのフィールドに入力します。

ホスト名（Hostname） ：LDAP 経由で接続するホスト名。
[ポート（Port）]：LDAP 経由で接続するポート番号（デフォルトは 389）。
[認証モード（Authentication Mode）]：ログイン時に使用される認証モード。
[LDAP プロトコル（LDAP Protocol）]：使用されている LDAP プロトコル。
[バインドパスワード（Bind Password）]：LDAP 経由のバインドに使用するパスワード。
[バインド DN（Bind DN）] ：LDAP 経由でバインドするための識別名。例：cn=admin,dc=foo,dc=com。
[ベース（Base）] ：LDAP 経由でバインドするベース。例：ou=users,dc=foo,dc=com（LDAP のみ）。
[認証フィルタ（Authentication Filter）] ：ログイン時の認証に適用されるフィルタ。例：(&(cn=%LOGIN%) (memberOf=cn=admingroup, ou=groups,dc=foo,dc=com))。

ステップ 5

[保存（Save）] をクリックします。

ユーザーは管理 UI または管理 TUI にログインすると、LDAP 認証を求められます。

RADIUS 認証

Cisco Secure Malware Analytics アプライアンス（v2.10 以降）は、DTLS が有効な Cisco Identity Services Engine を使用する RADIUS 認証をサポートしています。RADIUS 認証が有効になっている場合、ユーザーは適切なシングルサインオンパスワードを使用して、メインの Secure Malware Analytics アプリケーション UI および OpAdmin にログインできます。

次の点を考慮する必要があります。

デュアル認証モード（RADIUS またはシステムパスワード）は、RADIUS の設定時に、Secure Malware Analytics アプライアンスから誤ってロックアウトされないようにするために必要です。

最初から [RADIUS のみ（RADIUS Only）] を選択することはできません。まずデュアルモードを実行して、動作することを確認する必要があります。初期設定後に Admin UI からログアウトした後、RADIUS ログイン情報を使用して再度ログインして [RADIUS のみ（RADIUS Only）] に切り替える必要があります。
[RADIUS のみ（RADIUS Only） ] 認証に設定されている場合のみ、RADIUS を使用して管理 TUI にログインできます。認証モードが [RADIUS またはシステムパスワード（RADIUS or System Password）] に設定されている場合、Admin TUIのログインで許可されるのはシステムログインのみです。
Secure Malware Analytics アプライアンスが RADIUS 認証のみ（[RADIUS のみ（RADIUS Only）]）に設定されている場合は、リカバリモードでパスワードをリセットして、認証モードを再設定し、システムパスワードによるログインを許可することもできます。
管理 TUI および管理 UI は [RADIUS のみ（RADIUS Only）] モードでのみ RADIUS ログイン情報を必要とします。RADIUS のみが 設定されている場合、管理 TUI は RADIUS ユーザー/パスワードのプロンプトのみを表示します。システムパスワードではありません。
認証が [RADIUS またはシステムパスワード（RADIUS or System Password）] に設定されている場合、Admin TUI では、これら両方ではなく、システムパスワードのみを入力するように求められます。
RADIUS の問題をトラブルシューティングするには、リカバリモードでパスワードをリセットして LDAP を無効にします。
SSH を使用して Admin TUI ダイアログにアクセスするには、[RADIUS のみ（RADIUS Only）] モードの場合、RADIUS ログイン情報に加えて、システムパスワードまたは設定済みの SSH キーが必要です。
RADIUS はクリーンインターフェイスからの発信です。

Admin UI で RADIUS 認証を構成するには、次の手順を実行します。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [認証（Authentication）] を展開し、 [認証（Authentication）]を選択します。

ステップ 3

[認証モード（Authentication Mode）] ドロップダウンから [RADIUS] または [システムパスワード（System Password）] を選択して [RADIUS設定（RADIUS configuration）] ページを開きます。

（注）

RADIUS 認証を最初に構成するときは、[RADIUS またはシステムパスワード（RADIUS or System Password)] を選択し、Admin UI からログアウトしてから、LDAP ログイン情報を使用して再度ログインする必要があります。その後、設定を [RADIUS]に変更できます。RADIUS とシステムパスワードを設定した後に 2 回めのログインを行うと、フォールバックログイン方式としてシステムパスワードを削除する前に RADIUS の設定が検証されます。

図 4. [RADIUS 認証構成（RADIUS Authentication Configuration）] ページ

ステップ 4

適宜、ページのフィールドに入力します。

ホスト名 ：RADIUS 経由で接続するホスト名。
[ポート（Port）]：RADIUS 経由で接続する DTLS ポート番号（デフォルトは 2083）。従来の RADIUS とは異なり、DTLS では認証とアカウンティングの両方に単一のポートを使用します。DTLS ベースの RADIUS 認証のみがサポートされています。
最初の管理者 ：プライマリ Cisco Secure Malware Analytics UI の初期/デフォルトの管理ユーザーがマッピングされる RADIUS ユーザー。このアカウントは、Cisco Secure Malware Analytics で他のユーザーアカウントを作成し、権限を設定する当事者である必要があります。
[CA証明書（CA Certificate ）]：認証に使用される RADIUS サーバーの認証に使用する PEM 形式の CA 証明書。次に変更します<VALID>正常に保存されました。フィールドを空にするには、これをクリアします。
クライアント証明書 ：認証に使用される RADIUS サーバに対してこのホストを認証するために使用する PEM 形式のクライアント証明書。この値は次に変更されます。<VALID>正常に保存されたとき。これをクリアしてフィールドを空にすることができます。
[クライアント秘密キー（Client Private Key ）]：認証に使用される RADIUS サーバーに対して、このホストを認証するために使用する PEM 形式のキー。この値は、上記のクライアント証明書に対応している必要があります。値が次に変更されます<VALID>正常に保存されたとき。これをクリアしてフィールドを空にすることができます。新しい管理 UI では、PEM エンコード PKCS#8 形式の秘密キーがサポートされています。

ステップ 5

[保存（Save）] をクリックします。

（注）

NAS 識別子は、Security Malware Analytics UI および OpAdmin からの認証要求で送信されます。

SMA ポータルからの認証要求で送信されるNAS 識別子は次のとおりです： Threat Grid UI。
OpAdmin からの認証要求で送信されるNAS 識別子は次のとおりです：Threat Grid Admin。

NAS-identifierを介して送信される特定の値の詳細については、 https://www.rfc-editor.org/rfc/rfc2865.html#section-5.32を参照してください。

CA 証明書

Admin UI の [CA Certificate] ページは、アウトバウンド SSL 接続用の CA 証明書信頼ストアを管理するために使用されるため、Secure Malware Analytics アプライアンスは、Cisco Secure Endpoints プライベートクラウドを信頼して、悪意があると見なされた分析済みサンプルについて通知することができます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [認証（Authentication）] を展開し、 [CA 証明書（CA Certificates）] を選択して [CA 証明書（CA Certificates）] ページを開きます。図 5. [CA 証明書（CA Certificates）] ページ
ステップ 3	Cisco Secure Endpoint プライベートクラウドのアウトバウンド SSL 接続（CA 証明書）を含む .pem ファイルを作成し、内容をコピーして [証明書（Certificate）] フィールドに貼り付けます。
ステップ 4	[証明書の追加（Add Certificate）] をクリックして確認します。CA 証明書を変更しても、再構成は必要ありません。

パスワード

アプライアンスパスワードを、Cisco Secure Malware Analyticsアプライアンス Admin UI とアプライアンスコンソールへの認証に使用します。 [Password] ページを使用して、Admin UI からパスワードを変更できます。

（注）

キーボードにない文字を使用した複雑なパスワードは、コンソールに貼り付けられない場合がありますので、パスワードの変更の際には気を付けてください。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [認証（Authentication）] を展開し、 [パスワード（Password）]を選択します。図 6. パスワード
ステップ 3	現在のパスワード、新しいパスワードを入力し、パスワードを確認を入力します。
ステップ 4	[パスワードの変更（Change Password）] をクリックし、変更を確認します。パスワードを変更しても、再構成の必要はありません。

SSH の設定

[SSH 設定（SSH Configuration）] を設定すると、Cisco Secure Malware Analytics アプライアンス管理者は、管理 UI の [SSH設定（SSH Configuration）] ページを使用して、アプライアンスで ClientAliveInterval、 ClientAliveCountMax 、および motd （Message of the Day）を設定するためのアクセス権が付与されます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [Authentication] を展開し、 [SSH Configuration] を選択して [SSH Configuration] ページを開きます。図 7. SSH の設定
ステップ 3	[クライアント間隔（Client Interval）]を入力します。Client Interval または ClientAliveInterval コマンド：タイムアウト間隔を秒単位で設定します。この時間が経過してもクライアントからデータが受信されない場合、sshd は暗号化されたチャネルを介してメッセージを送信し、クライアントからの応答を要求します。デフォルトは 0 で、これらのメッセージはクライアントに送信されません。
ステップ 4	[Client Alive Count Max]を入力します。Client Alive Count Max または ClientAliveCountMax：SSH がクライアントからメッセージを受信せずに送信されるクライアントアライブメッセージの数を設定します。クライアントアライブメッセージの送信中にこのしきい値に達すると、sshd はクライアントを切断し、セッションを終了します。
ステップ 5	Motd (本日のメッセージ) を入力します。リモートユーザーが SSH を使用して Cisco Secure Malware Analyticsアプライアンスにログインしたときに、メッセージを表示するために使用されます。

SSH キー

SSH キーを設定すると、Cisco Secure Malware Analytics アプライアンスの管理者は、SSH を介して管理 TUI にアクセスできます（threatgrid@<host> ）。ルートアクセスまたはコマンドシェルは提供しません。管理 UI の [SSHキー（SSH keys）] ページを使用して、アプライアンスで SSH キーを追加およびリモートできます。

（注）

Cisco Secure Malware Analytics アプライアンスにアクセスするための SSH 公開キーを設定すると、SSH を使用したパスワードベースの認証が無効になります（v2.7.2 以降）。そのため、2 つの SSH 認証方式は、両方ではなくどちらか一方のみが有効になります。キーベース認証を使用して SSH 接続が成功すると、Admin TUI プロンプトで、両方のトークンが必要なパスワードの入力を求められます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [認証（Authentication）] を展開し、 [SSHキー（SSH keys）] を選択して [SSHキー（SSH keys）] ページを開きます。図 8. SSH キー
ステップ 3	[新しいキーを追加（Add New Key）] をクリックします。図 9. キーの追加
ステップ 4	[キー名（Key Name）] を入力し、キーを [キー（Key）] フィールドに貼り付けます。
ステップ 5	[キーを追加（Add Key）] をクリックします。

SSL

Cisco Secure Malware Analytics アプライアンスを通過するネットワークトラフィックは、SSL を使用してすべて暗号化されます。次の情報は、E メールセキュリティアプライアンス（ESA）、Web セキュリティアプライアンス（WSA）、Secure Endpoints プライベートクラウドといった統合先との Cisco Secure Malware Analytics アプライアンスの接続をサポートするように SSL 証明書を設定する手順の実行に役立ちます。

（注）

SSL 証明書を管理する方法の詳細は、このガイドの説明範囲に含まれていません。

SSL を使用するインターフェイス

Cisco Secure Malware Analytics アプライアンスには、SSL を使用する 2 つのインターフェイスがあります。

Cisco Secure Malware Analytics ポータルの UI と API、および統合先（ESA/WSA アプライアンス、Secure Endpoint プライベートクラウド配置更新サービス）用のクリーン インターフェイス。
Admin UI の管理インターフェイス。

サポートされている SSL/TLS バージョン

Cisco Secure Malware Analytics アプライアンスでは、次のバージョンの SSL/TLS がサポートされています。

TLS v1.0：管理インターフェイスでは無効（v2.7 以降）
TLS v3.0：管理インターフェイスでは無効（v2.7 以降）
TLS v1.2

（注）

TLS v1.0 と TLS v3.0 は、管理インターフェイスでは無効になっており（v2.7 以降）、メインアプリケーションでもデフォルトでは無効になっています。これらのプロトコルのいずれかが統合の互換性のために必要な場合は、tgsh から再有効化できます（メインアプリケーションの場合のみ）。

サポートされているお客様提供の CA 証明書

お客様提供の CA 証明書がサポートされており（v2.0.3 以降）、お客様独自の信頼できる証明書または CA 証明書をインポートすることができます。

自己署名デフォルト SSL 証明書

Cisco Secure Malware Analytics アプライアンスは、自己署名 SSL 証明書とキーのセットがインストールされて出荷されます。1 つのセットがクリーンインターフェイス用で、もう一つのセットが管理インターフェイス用です。管理者はこれらの SSL 証明書を置き換えることができます。

デフォルトの Cisco Secure Malware Analytics アプライアンスの SSL 証明書のホスト名（共通名）は、アプライアンスのシリアル番号（IP アドレスの追加の subjectAltName フィールドを持つ）で、1 年間有効です。v2.11 より前のリリースでは、デフォルトの SSL 証明書のホスト名は pandem です。

設定時に別のホスト名が Cisco Secure Malware Analytics アプライアンスに割り当てられた場合、証明書内のホスト名と共通名は一致しなくなります。

証明書内のホスト名は、接続先の ESA や WSA、または他の統合先のシスコデバイスやサービスによって想定されるホスト名とも一致している必要があります。多くのクライアントアプリケーションは、証明書で使用される共通名が接続するアプライアンスのホスト名と一致する SSL 証明書を必要とするためです。

SSL 証明書の構成

ESA、WSA、Cisco Secure Endpoint プライベートクラウドなどのシスコのセキュリティ製品は、Cisco Secure Malware Analytics アプライアンスに接続（インバウンド接続）して、サンプルを送信できます。これを実現するには、接続されるアプライアンスまたは他のデバイスが Cisco Secure Malware Analytics アプライアンスの SSL 証明書を信頼できる必要があります。

まず、ホスト名が共通名と一致していることを確認する必要があります。一致していない場合は、再生成するか置き換える必要があります。その後、Cisco Secure Malware Analytics アプライアンスから SSL 証明書をエクスポートし、接続されるアプライアンスまたはデバイスにインポートする必要があります。

インバウンド SSL 接続に使用される Threat Grid アプライアンスの証明書は、[SSL Certificate] ページで設定されます。クリーンインターフェイスと管理インターフェイス用の SSL 証明書は別々に設定することができます。

（注）

Cisco Secure Malware Analytics アプライアンスが Cisco Secure Endpoint プライベートクラウドを信頼できるようにするアウトバウンド SSL 接続については、「CA 証明書」を参照してください。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [認証（Authentication）] を展開し、 [SSL] を選択して [SSLキー（SSL Keys）] ページを開きます。

この例では、Admin インターフェイス用の「OpAdmin」クリーンインターフェイス用の「Pandem」という 2 つの SSL 証明書を取り上げます。

ステップ 3

ホスト名が SSL で使用されている SAN（サブジェクト代替名）と一致していることを確認します。ホスト名は、Cisco Secure Malware Analytics アプライアンスの SSL 証明書で使用される SAN と一致している必要があります。一致しない場合は、SSL 証明書を再生成できます。「SSL の再生成」を参照してください。

SSL 証明書の置き換え

通常、SSL 証明書は、証明書が期限切れになった、ホスト名が変更された、または他のシスコデバイスやサービスとの統合をサポートするためなど、さまざまな理由からいずれかの時点で置き換える必要があります。

Cisco ESA、WSA およびその他の CSA シスコ統合デバイスでは、共通名が Cisco Secure Malware Analytics アプライアンスのホスト名と一致するコモンネームの SSL 証明書が必要な場合があります。デフォルトの SSL 証明書を、同じホスト名を使用して Cisco Secure Malware Analytics アプライアンスにアクセスする、新たに生成された証明書に置き換える必要があります。

Cisco Secure Malware Analytics アプライアンスを Cisco Secure Endpoint プライベートクラウドと統合して、その配置更新サービスを使用する場合は、Cisco Secure Malware Analytics アプライアンスが接続を信頼できるように、Secure Endpoint プライベートクラウド SSL 証明書をインストールする必要があります。

Cisco Cisco Secure Malware Analytics アプライアンスで SSL 証明書を交換するには、複数の方法があります。

SAN に現在のホスト名を使用する SSL 証明書を再生成します。
SSL 証明書のダウンロード
これは商用の SSL や企業向けの SSL の場合もあれば、OpenSSL を使用して作成したものである場合もあります。
OpenSSL を使用した SSL 証明書の作成

SSL 証明書の再生成

ホスト名が証明書の SAN と一致しない場合は、[SSL キー（SSL Keys）] ページで SSL 証明書を再生成できます。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [認証（Authentication）] を展開し、 [SSL] を選択して [SSLキー（SSL Keys）] ページを開きます。

ステップ 3

[アクション（Actions）] 列で、（...）メニューをクリックして、新しい証明書を必要とするインターフェイスのための [再生成（Regenerate）] をクリックします。

証明書の SAN フィールドでアプライアンスの現在のホスト名を使用する新しい自己署名 SSL 証明書が Secure Malware Analytics アプライアンス上で生成されます。再生成された証明書（.certファイル）をダウンロードして、統合するアプライアンスにインストールできるようになりました。

SSL 証明書のダウンロード

Cisco Secure Malware Analytics で生成された SSL 証明書（キーはダウンロードできません）はダウンロードできます。ダウンロードした証明書は、クラスタを設定するときに使用できます。また、統合デバイスにインストールして、Cisco Secure Malware Analytics アプライアンスからの接続を信頼できるようにすることもできます。（この手順のためには .cert ファイルのみが必要です。）

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [認証（Authentication）] を展開し、 [SSL] を選択して [SSLキー（SSL Keys）] ページを開きます。
ステップ 3	[アクション（Actions）]（[...]）メニューから、適切なインターフェイスの [ダウンロード（Download）] を選択します。SSL 証明書がダウンロードされます。

SSL 証明書のアップロード

組織で商用または企業向けの SSL 証明書をすでに運用している場合は、その証明書を使用して Cisco Secure Malware Analytics アプライアンス用の新しい SSL 証明書を生成し、統合先のデバイスに対して CA 証明書を使用することができます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [認証（Authentication）] を展開し、 [SSL] を選択して [SSLキー（SSL Keys）] ページを開きます。
ステップ 3	[アクション（Actions）] 列で、(...) メニューをクリックして、適切なインターフェイスの [アップロード（Upload）] をクリックします。[SSL 証明書のアップロード（Upload SSL Certificate）] ページが開きます。
ステップ 4	[証明書（Certificate）] および [秘密キー（Private Keys）] フィールドに入力し、 [証明書の追加（Add Certificate）]をクリックします。

OpenSSL を使用した SSL 証明書の作成

OpenSSL は、OpenSSL 証明書、キー、その他のファイルを作成および管理するための標準的なオープンソース SSL ツールです。オンプレミスの SSL 証明書インフラストラクチャが設置されていない場合、OpenSSL を使用して SSL 証明書を手動で生成し、Cisco Secure Malware Analytics アプライアンスにアップロードすることができます（「SSL 証明書のアップロード」を参照）。.

（注）

OpenSSL は Cisco 製品ではないため、テクニカルサポートは提供されません。OpenSSL の使用方法の詳細については、Web を検索することをお勧めします。シスコは、SSL 証明書を生成するための SSL ライブラリ Cisco SSL を提供しています。

手順

ステップ 1

次のコマンドを実行して、新しい自己署名 SSL 証明書を生成します。

（注）

次の例では、より新しい SAN（サブジェクト代替名）ではなく、CN（共通名）を使用しています。

openssl req -x509 -days 3650 -newkey rsa:4096 -keyout tgapp.key -nodes -out 
tgapp.cert -subj "/C=US/ST=New York/L=Brooklyn/O=Acme Co/CN=tgapp.acmeco.com"

openssl：OpenSSL

req：X.509 証明書署名要求（CSR）管理の使用を指定します。X.509 は、キーおよび証明書の管理に SSL と TLS が使用する公開キーインフラストラクチャの標準規格です。次の例では、このパラメータを使用して、新しい X.509 証明書を作成します。

-x509：証明書署名要求を生成せずに、自己署名証明書を作成するように req パラメータ X.509 を変更します。

-days 3650：このオプションは、証明書が有効と見なされる期間を設定します。この例では、10 年間に設定されています。

-newkey rsa: 4096：新しい証明書と新しいキーを同時に生成するように指定します。必要なキーが事前に作成されなかったため、証明書を使用して作成する必要があります。パラメータ「rsa:4096」は、4096 ビット長の RSA キーを作成することを示します。

-keyout：このパラメータは、作成中の秘密キーファイルが OpenSSl によって保存される場所を示します。

-nodes：このパラメータは、パスフレーズを使用して証明書を保護するためのオプションを OpenSSL がスキップする必要があることを示します。サーバーの起動時に、アプライアンスは、ユーザーの介入なしでファイルを読み取ることができる必要があります。パスフレーズで保護されている証明書の場合、サーバーの再起動のたびにユーザーがパスフレーズを入力する必要があります。

-out：このパラメータは、作成中の証明書が OpenSSL によって保存される場所を示します。

-subj（例）：

C=US：国
ST=New York：州
L=Brooklyn：場所
O=Acme Co：所有者の名前

CN=tgapp.acmeco.com：Cisco Secure Malware Analytics アプライアンスの FQDN（完全修飾ドメイン名）を入力します。この名前には、Cisco Secure Malware Analytics アプライアンスのホスト名（この例では tgapp）と、関連するドメイン名（この例では acmeco.com）が含まれます。

重要	Cisco Secure Malware Analytics アプライアンスのクリーンインターフェイスの FQDN と一致するように、少なくとも共通名を変更する必要があります。

ステップ 2

新しい SSL 証明書が生成されたら、[SSL キー（SSL Keys）] ページから Cisco Secure Malware Analytics アプライアンスに証明書をアップロードします（「SSL 証明書のアップロード」を参照）。これらのデバイスで統合されない場合、E メールセキュリティアプライアンスまたは Web セキュリティアプライアンスに証明書（.cert ファイルのみ）をアップロードする必要もあります。

アプリケーション設定

Cisco Secure Malware Analytics アプライアンスのアプリケーション設定は、このパネルで行います。

統合

TitaniumCloud、Umbrella（OpenDNS）、VirusTotal といった複数のサードパーティ検出およびエンリッチメントサービスとの統合を [Integration] ページを使用してアプライアンスで構成できます。

クラウド検索フェデレーション機能 (v2.8 以降で利用可能) では、クラウドエンドポイントが以下のように構成されている場合、Secure Malware Analytics ポータル UI で、Secure Malware Analytics クラウドインスタンスに対して検索クエリを再実行するオプションがユーザーに提供されます。

（注）

Umbrella (OpenDNS) が構成されない場合、分析レポート（Cloud UI）のドメインエンティティページの whois 情報は表示されません。

手順

ステップ 1

[構成（Configuration）] > [アプリケーション設定（Application Settings）] > [統合（Integrations）]に移動します。

[統合（Integrations）] 画面が表示されます。

ステップ 2

[Malware Analytics Cloud] で、 [US Cloud] または [EU Cloud]を選択します。選択したクラウドサービス（US クラウドまたは EU クラウド）のアカウントがあることを確認します。

（注）

デフォルトでは、マルウェア分析クラウドのリージョンは [なし（None）]に設定されています。クラウドベースの分析を有効にするには、最初に更新の確認を実行する必要があります。更新チェックの実行に関する情報は、「更新」を参照してください。

Cisco Secure Malware Analytics（SMA）から、Cisco Secure Malware Analytics クラウドに接続するためのプロビジョニングが提供されます。クラウド接続を介して、 サンプル配置ルックアップを活用できます。この機能により、SMA アプライアンスは Secure Malware Analytics クラウド内の中央データベースを検索できます。このデータベースには、SMA ユーザーコミュニティ全体によって送信された、以前に分析されたファイル（サンプル）に関する情報が保存されます。

図 12. サンプルダッシュボード：Cisco Secure Malware Analytics クラウドのリンク

図 13. 基本検索：Cisco Secure Malware Analytics クラウドのリンク

（注）

Cisco Secure Malware Analytics アプライアンスではデータセキュリティが優先されます。マルウェア分析クラウドでサンプル処理ルックアップを実行しても、実際のサンプルファイル自体はクラウドにアップロードまたは転送され ません 。

この機能では、次の 2 つのインテリジェンスソースでの検索を有効にすることで、アプライアンスの機能を拡張します。

ローカルインテリジェンスストア： このアプライアンス上のデータベースには、以前に分析されたファイルに関する情報が保存されます。
クラウドインテリジェンスストア： Cisco Secure Malware Analytics クラウド内のこの集中型リポジトリでは、SMA ユーザーベース全体からの脅威データが集約されます。

ステップ 3

各統合に必要なログイン情報を入力します。

（注）

ClamAV シグネチャは、毎日自動的に更新でき、デフォルトで有効になっています。マルウェア分析で ClamAV シグニチャを有効にすると、ClamAV のウイルスシグニチャのデータベースを使用して、既知のマルウェアを検出できるようになります。 [ClamAV] セクションで [自動更新（Automatic Updates） ] 設定を無効にできます。

チタンクラウド（ReversingLabs TitaniumCloud™）

さまざまなクラウドサービスの統合マルウェア分析プラットフォームを使用し、60 億ファイルを超えるグローバル提供およびマルウェアデータベースを利用してファイルを特定することにより、検出、分析、および対応の効率性を向上させます。

統合を構成するには、次のものが必要です。

URL： TitaniumCloud の URL。
[ユーザー名（Username）]： TitaniumCloud アカウントのユーザー名。
[パスワード（Password）]： TitaniumCloud アカウントのパスワード。

Umbrella（Cisco - 以前の名前は OpenDNS）

Cisco Umbrella を既存のセキュリティインフラストラクチャに統合することで、DNS 層で悪意のあるドメインと IP をブロックし、リアルタイムの脅威インテリジェンスを提供し、他のセキュリティツールと統合することで、マルウェア検出を改善できます。これにより、ユーザーが悪意のあるリンクをクリックしたり、感染した添付ファイルを開いたりした場合でも、マルウェアがコマンドアンドコントロールサーバーに接続したり、悪意のあるペイロードをダウンロードしたりすることを防ぐことができます。Cisco Umbrellaとの統合を設定するには、Cisco Umbrella ポータルで[管理]に移動して トークンを取得します。

（注）

Cisco Umbrella 統合には、階層 2 または階層 3 の Investigate ライセンスが必要です。

VirusTotal

VirusTotalは、疑わしいファイルと URL を分析し、ウイルス、ワーム、トロイの木馬、およびあらゆる種類のマルウェアを検出する無料のサービスです。セキュリティ運用と簡単に統合できます。VirusTotal をセキュリティインフラストラクチャに統合することで、大規模で包括的なマルウェアデータベースへのアクセス、新しいマルウェアや出現するマルウェアを検出する機能、および疑わしい URL やファイルをサンドボックスで分析する機能により、マルウェア検出を改善できます。VirusTotal 統合を使用する前に、プラグインをアクティブ化し、適切な API キーとともにアクティブ化されたインスタンスの URL を提供する必要があります。

ステップ 4

[保存（Save）] をクリックします。

ライセンス

新しいアプライアンスを購入すると、ライセンスが生成され、 [構成（Configuration）] > [ライセンス（License）] ページの [サーバーからライセンスを取得（Retrieve License From Server）] ボタンが有効になります。ただし、それが機能しない場合、または特殊なケース（ライセンスがカスタムのワンオフであるなど）がある場合、ライセンスはパスワードとともに暗号化されたファイルとして直接提供されます。

[ライセンス（License）] ページを使用して、ライセンス情報を表示または更新できます。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [アプリケーション設定（Application Settings）] を展開し、 [ライセンス（License）] を選択して [ ライセンス（License）] ページを開きます。

ステップ 3

ライセンスをアップロードするか、サーバーから取得します。通常、エアギャップアプライアンスのライセンスをアップロードする必要があります。

ライセンスのアップロード方法：

[ライセンスのアップロード（Upload License）] をクリックして、 [新しいライセンスのアップロード（Upload New License）] ページを開きます。

図 15. 'ライセンスのアップロード'
[ライセンスの選択（Choose License）] をクリックして ファイルマネージャを開き、Cisco Secure Malware Analytics から受け取ったライセンスファイル（ファイルの拡張子が .lic）を選択して、 [開く（Open）] をクリックします。

ライセンスの内容が [ライセンスファイル（License File）] フィールドに追加されます。
Cisco Secure Malware Analytics が（.lic ファイルで）提供したパスワードを [パスフレーズ（Passphrase ）] フィールドに入力し、 [保存（Save）] をクリックします。

再構成が必要であることを示すアラートが表示されます。「構成変更の適用」を参照してください。

サーバーからのライセンスの取得方法：

[サーバーからライセンスを取得（Retrieve License From Server）] をクリックして、ライセンスを取得して追加します。
[保存（Save）] をクリックします。

再構成が必要であることを示すアラートが表示されます。「構成変更の適用」を参照してください。

Network Exit

地理的な場所は、マルウェア分析において重要な問題になることがよくあります。マルウェアのいくつかの種類は、地理的な場所によって異なる方法で動作しますが、その他の種類は特定の領域をターゲットにする可能性があります。VPN の概念と同様に、Network Exits モード（v2.4.3 以降で利用可能）により、サンプル分析中に生成されるすべての発信ネットワークがその場所で終了したように表示されます。構成ファイルが自動的に配布されるため、サポートスタッフが手動でインストールまたは更新する必要はありません。

（注）

tg-tunnel and v2.4.3： 以前に tg-tunnel を使用していた場合は、v2.4.3 をインストールする前に、Network Exit に必要な特定の IP アドレスとポートへのアウトバウンドトラフィックを許可する必要があります。それ以外の場合は、リモート終了の使用を有効にする前に、該当するトラフィックのみを許可する必要があります。必要な IP アドレスとポートはときどき変更されます。最新のリストについては、「Threat Grid に必要な IP およびポート」を参照してください。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [アプリケーション設定（Application Settings）] を展開し、 [Network Exit] を選択して [Network Exits] の構成ページを開きます。

このページの設定によって、分析用のサンプルの送信時に Cisco Secure Malware Analytics ポータルで使用可能な [Network Exit] オプションが決まります。

ステップ 3

[モード（Mode）] ドロップダウンリストから、 [ローカルのみ（Local Only）]、 [リモートのみ（Remote Only）]、 [ローカルとリモートの両方（Both Local and Remote）]、または [シミュレーションのみ（Simulation Only）]を選択します。

[ローカルのみ（Local Only）] または [リモートのみ（Remote Only）]を選択した場合、アプリケーションでユーザーはそれらのオプションのみを使用できます。 [ローカルとリモートの両方（Both Local and Remote）]を選択すると、ユーザーは両方のオプションを使用できます。

[シミュレーションのみ（Simulated Only）] を選択した場合、API ユーザーと UI ユーザーは、仮想マシンからローカル Cisco Secure Malware Analytics アプライアンス外の接続先にネットワークトラフィックを送信するオプションを選択できません。

プライベートネットワークへのアクセスは、DNS ルックアップやネットワーク終了が目的であっても許可されません。すべてのマルウェアトラフィックは、設定済みのダーティ DNS サーバーを使用して、ダーティインターフェイスから発信されます。

（注）

分析中にネットワーク接続をシミュレートする必要が生じることがあります。ネットワークシミュレーションは、それ以外の方法では（または他の理由で）使用できない可能性があるマルウェアサンプルにネットワークリソースを提示する方法をアナリストに提供します。たとえば、アップストリームサーバーにアクセスできない場合、サーバーがダウンしている場合、DNS レコードが失われた場合、またはサンプルの実行率と判定率を向上させるためにアウトバウンド接続に対する他の制限が適用されている場合に、ネットワーク接続をシミュレートするネットワークシミュレーションオプションを選択できます。

さらに、ネットワークシミュレーションは、エアギャップアプライアンスへの接続方法を少なくともいくつか提供し、それらのアプライアンスに対するサンプルの実行率を改善することができます。

サンプル分析のネットワークシミュレーションオプションは、Cisco Secure Malware Analytics Appliance v2.7.1 以降で使用できます。詳細については、Cisco Secure Malware Analytics ポータル UI のオンラインヘルプトピックを参照してください。

プロキシの更新

SOCK5 は、プロキシサーバーを介してクライアントとサーバー間でネットワークパケットを交換するインターネットプロトコルです。アプライアンスのダーティインターフェイスが更新サーバーに到達できない場合。SOCKS5 プロキシは、更新をダウンロードするように構成されている。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [アプリケーション設定（Application Settings）] を展開し、ダーティ経由でプロキシを選択して、 [認証（Authentication）] 構成ページを開きます。このページの設定によって、更新プログラムのダウンロードに使用される [更新プロキシ（Updates proxy）] のオプションが決まります。図 18. プロキシ設定の更新
ステップ 3	[プロキシモード（Proxy Mode）] ドロップダウンリストから、 [Socks5 プロキシ（Socks5 Proxy）]を選択します。
ステップ 4	[ホスト（Host）] フィールドにホストを入力します。
ステップ 5	[ポート（Port）] フィールドにポートを入力します。

全般

Cisco Secure Malware Analytics アプライアンスの一般的な構成設定は、[一般（General）] サイドナビゲーションの下にあります。

コンテンツの更新

[コンテンツの更新（Content Update）] により、アプライアンスはアプライアンスの更新中に最新の動作インジケータを自動的に受信できます。BI を自動的に受信するには、[コンテンツ更新（Content Update）] スイッチを [有効（Enabled）] の 位置に切り替える必要があります。[コンテンツの更新（Content Update）] を有効にするには、次の手順を実行します。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [一般（General）] を展開し、 [コンテンツの更新（Content Update）] を選択して [コンテンツの更新（Content Update）] ページを開きます。

（注）

[Content Update] を有効にすると、クラスタ内のすべてのアプライアンスが更新されます。

ステップ 3

スイッチを [無効（Disabled）] から [有効（Enabled）] に切り替えます。

（注）

有効にすると、夜間のアプライアンス更新チェック中にコンテンツ更新がダウンロードされ、適用されます。

ステップ 4

[保存（Save）] をクリックします。

日時

Cisco Secure Malware Analytics アプライアンスを最初に設定する際に、Network Time Protocol（NTP）サーバーを指定して日付と時刻を設定します。 [日付と時間（Date and Time）] ページを使用して、NTP サーバを追加または削除できます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [一般（General）] を展開し、 [日付と時間（Date and Time）] を選択して [日付と時間（Date and Time）] ページを開きます。図 20. 日時
ステップ 3	NTP サーバーの追加または削除 [+] アイコンをクリックして別のフィールドを追加し、NTP サーバ名または IP アドレスを入力します。必要に応じて繰り返します。サーバを削除するには、 [x] アイコンをクリックします。
ステップ 4	[保存（Save）] をクリックします。

E メール

Cisco Secure Malware Analytics アプライアンスの初期セットアップ時に、電子メールの設定を行います。これらの設定は、[電子メール（Email）] ページで変更できます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [一般（General）] を展開し、 [電子メール（Email）] を選択して [SMTPの構成（SMTP Configuration）] ページを開きます。図 21. SMTPの設定
ステップ 3	変更を加えて、 [保存（Save）]をクリックします。再構成が必要であることを示すアラートが表示されます。「構成変更の適用」を参照してください。
ステップ 4	[テストメールの送信（Send Test Email）] をクリックして、SMTP 構成をテストします。

通知

Cisco Secure Malware Analytics アプライアンスの初期設定時に、電子メールで通知を受信するように構成します。 [通知（Notifications）] ページを使用して、受信者を追加または削除したり、通知頻度を変更したりできます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [一般（General）] を展開し、 [通知（Notifications）] を選択して [通知（Notifications）] ページを開きます。図 22. 通知
ステップ 3	[受信者（Recipients）] で、少なくとも 1 人の通知受信者の [電子メールアドレス（Email Address）] を入力します。複数の電子メールアドレスを追加する必要がある場合は、[+] アイコンをクリックして別のフィールドを追加します。必要に応じて繰り返します。
ステップ 4	[通知頻度（Notification Frequency）] で、ドロップダウンリストから [重大（Critical）] および [非重大（Non-critical）] の設定を選択します。
ステップ 5	[保存（Save）] をクリックします。

Syslog

[システムログサーバー情報（System Log Server Information）] ページは、Syslog メッセージおよび Thread Grid 通知を受信するためのシステムログサーバーの設定に使用されます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [一般（General）] を展開し、 [Syslog] を選択して [システムログ（System Log）] [サーバー情報（Server Information）] ページを開きます。図 23. システムログサーバー情報
ステップ 3	このページのフィールドに入力します。ホスト URL（Host URL ）：システムログサーバのホスト名または URL を入力します。ホストポート：サーバのポート番号を入力します。プロトコル：ドロップダウンリストから TCP または UDP を選択します。
ステップ 4	[保存（Save）] をクリックします。

ネットワーキング

Cisco Secure Malware Analytics アプライアンスのネットワーク構成設定は、[ネットワーキング（Networking）] サイドのナビゲーションの下にあります。

ネットワーク

初期設定に DHCP を使用した後、3 つのネットワークすべてに関して、IP 割り当てを DHCP から固定的な静的 IP アドレスに調整する必要がある場合は、次の手順を実行します。

（注）

Admin UI はゲートウェイエントリを検証しません。誤ったゲートウェイを入力して保存すると、Admin UI にアクセスできなくなります。ネットワーク設定を管理インターフェイスで実行した場合は、コンソールを使用してネットワーク設定を修正する必要があります。Admin がまだ有効であればい、Admin UI でそれを修正して、再起動できます。

手順

ステップ 1

[構成（Configuration）] タブをクリックします。

ステップ 2

サイドナビゲーションで [ネットワーキング（Networking）] を展開し、 [ネットワーク（Network）] を選択して [ネットワーク構成（Network Configuration）] ページを開きます。

ステップ 3

次のフィールドに入力します。

（注）

Admin ネットワークの設定は、Secure Malware Analytics アプライアンスの初期セットアップおよび構成中に、Admin TUI を使用して行われています。

[IP 割り当て] - 3 つすべてのインターフェイスのドロップダウンリスト（Clean、Dirty、および Admin）から、Static を選択します。
[IP Address]：クリーンまたはダーティネットワークインターフェイスの静的 IP アドレスを入力します。
[サブネットマスクとゲートウェイ（Subnet Mask and Gateway）] - ネットワークインターフェイスのタイプに応じて入力されます。
[ホスト名（Host Name ）]：サーバーのホスト名を入力します。
[プライマリ DNS サーバー（Primary DNS Server）]：プライマリ DNS サーバーアドレスを入力します。
[セカンダリ DNS サーバー（Secondary DNS Server）]：セカンダリ DNS サーバーの情報を入力します。

（注）

ADMIN Interface： 正常を 通過するように Admin からトラフィックを再ルーティングするには、 [IP 割り当て（IP Assignment）] で [DISABLED] を選択します。

ステップ 4

[保存（Save）] をクリックしてネットワーク設定を保存してから、 [アクティブ化（Activate）]をクリックします。

再設定が必要であることを示すメッセージが表示されます（「設定変更の適用」を参照）。

DNS の設定

デフォルトで、DNS はダーティインターフェイスを使用します。Secure Endpoint プライベートクラウドなど、統合先のアプライアンスまたはサービスのホスト名がダーティインターフェイスで解決できない（統合にクリーンインターフェイスが使用されるため）場合は、クリーンインターフェイスを使用する別の DNS サーバーを Admin UI で構成できます。

手順

ステップ 1	[構成（Configuration）] タブをクリックします。
ステップ 2	サイドナビゲーションで [ネットワーキング（Networking）] を展開し、 [ネットワーク（Network）] を選択して [ネットワーク構成（Network Configuration）] ページを開きます。
ステップ 3	ダーティネットワークとクリーンネットワークの [DNS] フィールドに入力します。
ステップ 4	[保存（Save）] をクリックします。

NFS

Cisco Secure Malware Analytics アプライアンス（v2.2.4 以降）は、NFS 対応ストレージへの暗号化されたバックアップ、NFS 対応ストレージからのデータの初期化、さらに、データベースを空の状態にリセットして前述のバックアップのロードを可能にする機能をサポートしています。

（注）

リセットは、アプライアンスのワイププロセスとは異なっており、アプライアンスが情報漏えいなしで顧客構内に出荷されるようにするために使用され、バックアップ準備のためにも使用されます。その目的に適したワイププロセスは、リカバリブートローダーにすでに存在していますが、バックアップを復元するためのシステムの準備には適していません。

コンテンツは、サードパーティ製オープンソース製品である gocryptfs を使用して暗号化されます。

（注）

パフォーマンス上の理由から、ファイル名の暗号化は無効になっています。Cisco Secure Malware Analytics 内のサンプルとその他のコンテンツは、どのような状況でも元の名前では保存されないため、顧客の所有データが漏洩することはありません。

ご使用の前に、ドキュメントをよくお読みいただくことを強くお勧めします。バックアップの機能に関する詳細ドキュメントを入手できます。使用する前によくお読みいただくことを強くお勧めします。追加の技術情報と手順については、『Cisco Secure Malware Analytics Appliance Backup Notes and FAQ』を参照してください。

NFS 要件

NFS バックアップストレージへの暗号化されたバックアップを実現するには、次の NFS 要件を満たす必要があります。

Cisco Secure Malware Analytics アプライアンスの管理インターフェイスからアクセス可能な、TCP を介した NFSv4 プロトコルを実行する必要があります。

ルートユーザー（UID 0）のみがマウントできます。マウント時に UID 0 が許可されていることを確認してください。Windows NFS 管理者には、その場所に書き込みできる UID 0 のユーザーが必要です。

（注）

Linux サーバーの場合、 root_squash はデフォルトで使用可能なので重要ではありません。ただし、厳密な環境では、 no_root_squash を追加できません。

構成されているディレクトリは、nfsnobody（UID 65534）で書き込み可能である必要があります。
- nfsnobody による書き込みへのファイルの公開は安全です。nfsnobody または nfsnobody として実行されている Cisco Secure Malware Analytics アプライアンスでの唯一のプロセスは、データの暗号化に関するプロセスです。プレーンテキストデータは、最小権限の原則に基づいて、さまざまなサブツリーの個別のユーザーアカウントで公開されます。アプライアンス上の PostgreSQL サービスは、Elasticsearch データやフリーザにアクセスできません。Elasticsearch サービスは、PostgreSQL やフリーザデータにアクセスできません。
- nfsnobody アカウントを使用すると、設定が簡素化され、カスタマーサイトごとに idmap.conf を構築する必要がなくなり、ローカルとリモートのアカウント名が一緒にマッピングされます。
NFSv4 サーバーは、10 GB 管理インターフェイス経由でアクセス可能である必要があります。
十分なストレージが使用可能である必要があります（「バックアップストレージの要件」を参照）。

システムは次のパラメータを使用します。rw、 sync、 nfsvers=4、 nofail

（注）

競合するパラメータを入力しないでください。これらと競合するパラメータを手動で入力することがサポートされないのは明白で、未定義の動作が発生する可能性があります。

無効な NFS 設定（または誤って設定された NFS サーバーへのサービスをポイントした設定）の結果として、多くの場合、設定を適用するプロセスに失敗します。Admin UI でのこの設定を修正して再適用すると成功します。

バックアップストレージ要件

バックアップストアに合計で 5.6 TB を超えるストレージは必要ありません。バックアップストアは、次のコンポーネントで構成されています。

オブジェクトストア：通常、使用されるストレージの大部分を占めています。バックアップストアの一括コンポーネントでのデータ保持は、使用中の Cisco Secure Malware Analytics アプライアンスリリース向けに文書化されたものと同じポリシーと制限に従っており、このコンポーネントの最大ストレージ使用量は 4.1 TB です。「Cisco Secure Malware Analytics アプライアンスデータの保持に関する注意事項」を参照してください。
PostgreSQL データベースストア：PostgreSQL ストアの 2 つの完全バックアップと、保持されている完全バックアップのうち一番古いものから再生するのに十分な一連の WAL ログが含まれます。合計 500 GB 未満にする必要があります。
Elasticsearch スナップショットストア：合計 1 TB 未満にする必要があります。

バックアップで予想される成果

次のバックアップで予想される成果を考慮する必要があります。

バックアップに含まれる：Cisco Secure Malware Analytics アプライアンスのバックアッププロセスの最初のリリースには、次の顧客独自の一括データが含まれます。
- Samples
- 分析結果、アーティファクト、フラグ付き
- アプリケーション層の（Admin UI ではない）組織およびユーザーアカウントのデータ。
- データベース（ユーザーおよび組織を含む）
- Cisco Secure Malware Analytics ポータル UI 内で設定を行います。
バックアップに含まれない - 次のものは、Secure Malware Analytics アプライアンスバックアッププロセスに含まれていません。
- [System logs]
- 以前にダウンロードおよびインストールした更新
- SSL キーと CA 証明書を含む、アプライアンス OpAdmin インターフェイスでの構成
その他の期待：バックアッププロセスに関するその他の考慮事項は次のとおりです。
- PostgreSQL ベースバックアップは 24 時間サイクルで実行されます。データベースのバックアップの復元はできません。少なくとも 1 回正常に完了するまで警告が表示されます。
- Elasticsearch バックアップは 5 分ごとに段階的に行われます。
- Freezer バックアップは、進行中のバックアップから失われたオブジェクトを処理するために、24 時間ごとに後続のジョブを使用して継続的に実行されます。
- 新しいキーを生成すると、新しい独立したバックアップストアが作成されます。オリジナルのように、この新しいストアは、24 時間サイクルのベースバックアップが行われるまで有効になりません。

バックアップデータの保持

バックアップの際、次のようにデータが保持されます。

PostgreSQL：最後の 2 つの正常なバックアップと、それらのバックアップ以降のすべての WAL セグメントが保持されます。
Elasticsearch：最新の 5 分ごとのスナップショット 2 回分が保持されます。
一括ストレージ - 単一の Secure Malware Analytics アプライアンス向けに使用され文書化されるものと同じ保持ポリシーが、共有ストアに対して使用されます。

長期間にわたって履歴データを保持する場合は、ファイルシステムレイヤまたはブロックレイヤのスナップショットをサポートする NFS サーバーを使用することを強くお勧めします。

データベースのベースバックアップは、新しいベースバックアップが正常に作成されるまで保持されます。

（注）

バルクストレージでの障害発生後のリセット時に使用するため、仮想マシンイメージのバックアップコピーが RAID-1 ストレージアレイ上に作成されます。初期の Cisco Secure Malware Analytics アプライアンスモデル（UCS C220-M3 プラットフォームをベースとする）は、後のモデルよりもストレージが小さく、Secure Malware Analytics アプライアンス v2.9 のインストール後に、他のユニットが使用できる空き容量が、RAID-1 ファイルシステムのディスク容量の 25 % 未満になる可能性が高くなります。その場合、サービス通知がトリガーされます。

後のモデルのハードウェアで、v2.9 リリースのインストール後に、RAID-1 アレイの空きストレージが 25 % 未満になる場合、これは正常な状態ではないため、カスタマーサポートに問い合わせる必要があります。

保持期限の厳密な適用

TGSH（v2.6 以降）の strict_retention オプションを使用すると、分析済みのアーティファクトを 15 日間を超えて保存しないことにより、保持期間の制限を厳密に適用することができます。このオプションを有効にすると、最初の夜間プルーニングの際に、15 日間を超えて保存されているファイルが削除されます。

（注）

15 日の期間を設定または変更することはできません。

アーティファクトとは、サンプル自体と、サンプルから生成されたその他のものを意味します。アーティファクトには分析レポートの HTML が含まれていません。分析レポートの HTML は、別途記載されているとおり、最初から制限の対象となります。アーティファクトには、データベースエントリや検索インデックスも含まれません。

strict_retention オプションは、デフォルトでは無効（false）になっています。15 日後のアーティファクトのハードプルーニングを有効にするには、TGSH でこのオプションを true に設定します。

configure set strict_retention true

バックアップ頻度

データのバックアップ頻度は次のとおりです。

サンプル、アーティファクト、レポートのバルクストレージの場合、コンテンツは継続的にバックアップされます。さらに、パスが実行されると、24 時間サイクルで不足しているコンテンツが検索されて転送されます。
PostgreSQL データベースの場合、ベースバックアップが 24 時間サイクルで作成され、その後は、新たに書き込まれたデータベースコンテンツが 16 MB のしきい値に達するごとに、または 5 分ごとに、増分コンテンツが継続的に追加されます。
Elasticsearch データベースの場合、コンテンツはバックアップストアに 5 分間サイクルで段階的に追加されます。

バックアップの頻度を制御または調整することはできません。頻度を変更すると、ストレージ使用率、復元の処理時間、パフォーマンスのオーバーヘッドに関する想定が無効になるためです。

バックアップ関連のサービス通知

バックアッププロセス中に、次のサービス通知が表示される場合があります。

「ネットワークストレージがマウントされていません（Network storage not mounted）」：バックエンドとして使用されているネットワークファイルシステムが完全に動作していることを確認して、Admin UIOpAdmin で設定を再適用するか、アプライアンスを再起動します。
「Network storage not working（ネットワークストレージが動作していません）」：バックエンドとして使用されているネットワークファイルシステムが完全に動作していることを確認します。システムが NFS サーバーの問題の修正から 15 分以内に回復しない場合は、アプライアンスを再起動してください。
「Backup file system access failure（バックアップファイルシステムのアクセスに失敗しました）」：カスタマーサポートまでお問い合わせください。
PostgreSQL のバックアップが見つかりません：これは、バックアップストアが設定された時間内のポイントと（自動的に 24 時間サイクルで実行される）最初のベースバックアップが行われる時間内のポイント間で正常な状態です。これが完了するまで、バックアップ完了とは見なされず、復元することはできません。このメッセージが 48 時間を超えて続く場合または続く場合に限り、カスタマーサポートに連絡してください。
「Newest PostgreSQL base backup more than two days old（最新の PostgreSQL ベースバックアップは 3 日以上前です）」：システムが PostgreSQL の新しいベースバックアップの生成に成功していないことを示します。修正されない場合、（古くなりつつあるバックアップポイントから復元するために必要な書き込みの完全なチェーンを保持するための）バックアップストアでの使用が制限されなくなり、行われる復元に必要な処理時間が許容できる長さを超えます。サポートにお問い合わせください。
「Backup Creation Messages（バックアップ作成メッセージ）」：バックアップの開始またはトリガーの際に検出されたエラーを反映しています。
非アクティブの ES バックアップ（作成）：Elasticsearch が開始して、バックアップストアが使用不可能であることを示します。この状態は、アプライアンスを再起動するか、（NFS と暗号化サービスが機能している場合）TGSH にログインして restart elasticsearch.service コマンドを実行することで改善できます。
バックアップのメンテナンスメッセージ：以前に作成されたバックアップのステータスを確認するときにこれらのリフレクトエラーが検出されました。
「ES Backup (Maintenance) snapshot (...) status FAILED（ES バックアップ（メンテナンス）スナップショット（...）のステータスが [FAILED] になっています）」：Elasticsearch データベースのバックアップの最近の更新で、インデックスが正常に書き込まれなかったことを示します。NFS サーバーが機能していて空き領域があることを確認します。問題を特定できず、解決しない場合は、カスタマーサポートにお問い合わせください。
「ES Backup (Maintenance) snapshot (...) status INCOMPATIBLE（ES バックアップ（メンテナンス）スナップショット（...）のステータスが [INCOMPATIBLE] になっています）」：アプライアンスのアップグレードで新しいバージョンの Elasticsearch がインストールされた直後にのみ発生します。バックアップストアがアップグレードされて、新しいリリースとの互換性を持つようになるまで表示されます。この状態の間に障害が発生した場合、互換性のないバックアップからの復元には、カスタマーサービスの支援が必要になることがあります。
「ES Backup (Maintenance) snapshot (...) status PARTIAL（ES バックアップ（メンテナンス）スナップショット（...）のステータスが [PARTIAL] になっています）」：本文に次の 2 つのメッセージのうちのいずれかが含まれています。「No prior successful backups seen, so retaining（以前に成功したバックアップが見つからないため、そのまま保持します）」（バックアップは存在するものの部分的でしかない場合）。または「Prior successful backups exist, so removing（以前に成功したバックアップが存在するため、削除します）」（後で再試行するために部分的なバックアップを破棄しようとしている場合）。
「ES Backup (Maintenance) - Backup required (...) ms（ES バックアップ（メンテナンス）：バックアップに（...）分間かかります）」：バックアップに 60 秒を超える時間が必要な場合に発生します。これは必ずしもエラーとは限りません。Elasticsearch では定期的なメンテナンスを実行し、これがアイドル状態のシステムにも重要な書き込み負荷を発生させることがあります。ただし、これが負荷が少ない期間で一貫して発生する場合は、ストレージパフォーマンスを調査するか、サポートが必要な場合はカスタマーサービスに連絡してください。
「ES Backup (Maintenance) - Unable to query Elasticsearch snapshot status（ES バックアップ（メンテナンス）：Elasticsearch スナップショットステータスのクエリを実行できませんでした）」：Elasticsearch に接続できませんでした。この障害は、バックアップの作成が正常に開始された後に発生します。一般に、他のアプライアンスの障害と同時に発生するため、それらの問題の修復に重点を置く必要があります。アプライアンスが他の点では完全に機能しているときにこのエラーが発生し、自分では解決できない場合は、カスタマーサポートに問い合わせてください。

[Appliance Backup]

Cisco Secure Malware Analytics アプライアンスのバックアップを実行するには、次の手順を実行します。

手順

ステップ 1

「NFS の要件」に従って、バックアップのターゲットディレクトリを作成します。

ステップ 2

[構成（Configuration）] タブをクリックします。

ステップ 3

サイドナビゲーションで [Networking] を展開し、 [NFS] を選択して [NFSの構成（NFS Configuration）] ページを開きます。

（注）

アプライアンスの初期設定時に NFS の設定を完了し、暗号キーを持っている場合は、ステップ 3 からステップ 5 までを省略できます。そうでない場合は、バックアップデータを復元するために暗号化キーを取得する必要があります。

ステップ 4

次の情報を入力します。

[Host]：NFSv4 ホストサーバー。IP アドレスを使用することをお勧めします。
[Path]：NFS ホストサーバー上のロケーションへの絶対パス。ここにファイルが保存されます。
オプション：このサーバーで NFSv4 に対する標準 Linux のデフォルト値を変更する必要がある場合に使用される NFS マウントオプション。デフォルトは rw です。
[FS暗号化キーハッシュ（FS Encryption Key Hash）]：[キーの生成（Generate Key）] をクリックして、新しい暗号化キーを生成します。後でバックアップを復元するには、このキーが必要になります。（その時点で、[アップロード（Upload）] をクリックして、バックアップに必要なキーをアップロードします。）

ステップ 5

[保存（Save）] をクリックします。ページが更新され、FS 暗号化パスワードキー ID が表示されます。

このページを最初に設定するときに、暗号化キーを削除またはダウンロードするオプションが表示されます。NFS が有効になっているがキーが作成されていない場合は、[Upload] オプションが表示されます。キーを作成すると、[Upload] ボタンが [Download] ボタンに変わります。（キーを削除すると、[ダウンロード（Download）] ボタンが再び [アップロード（Upload）] になります。）

（注）

キーがバックアップを作成するために使用されたキーと正確に一致する場合、アップロードが設定されたパスのディレクトリ名と一致した後、キー ID が管理 UI に表示されます。暗号キーを使用せずにバックアップを復元することはできません。

ステップ 6

キーをアクティブ化するには、 [アクティブ化（Activate）] をクリックします。

重要	ユーザーが暗号キーをバックアップして安全に保管する責任。 Cisco Secure Malware Analytics はコピーを保持しません。このキーを使用せずにバックアップを完了することはできません。

ステップ 7

「Reset Threat Grid Appliance as Backup Restore Target」の説明に従って、アプライアンスをバックアップ復元ターゲットとしてリセットします。

ステップ 8

バックアップコンテンツの復元の説明に従って、バックアップデータを復元します。

バックアップ復元ターゲットとしての Cisco Secure Malware Analytics アプライアンスのリセット

アプライアンスを復元ターゲットとして使用する前に、事前設定された状態にする必要があります。アプライアンスは、この状態で出荷されます。ただし、設定した後に事前設定された状態に戻すには、明示的な管理操作が必要になります。

注意	このプロセスを実行すると、お客様が所有するデータが破棄されます。タスクを実行する前にすべてのマニュアルを読み、慎重に作業を続行してください。.

（注）

リセットは、リカバリモードで使用できるセキュアワイプと同じものではありません。DLP 再イメージ化センターに発送する前に、お客様が所有するデータをアプライアンスから完全に削除するのに適しているのは、リカバリモードでのセキュアワイプのみです。ただし、リカバリモードでのセキュアワイプは、リセットに代わるものではありません。セキュアワイプでは、再イメージ化されるまで使用できなくなるアプライアンスが処理され、リセットでは、アプライアンスがバックアップを復元する準備が行われます。

データのリセット

データリセットプロセスが Cisco Secure Malware Analytics アプライアンス v2.7 以降で更新され、さらに包括的になりました。すべての顧客関連データの確実な破壊を保証するため、（リカバリブートローダーメニューの）ワイププロセスは依然として必要ですが、リセットプロセスにより、オペレーティングシステムのログや、そのまま残されていた他の状態がクリアされるようになりました。

Cisco Secure Malware Analytics アプライアンスが正常にリセットされると、新しいランダム生成のパスワードがコンソールに表示されるようになりました（新規インストール時の動作と同じです）。この改善されたプロセスでは、複数回再起動するようになっています。また、リカバリモードからの起動が可能になりました（以前のプロセスでは、通常の操作で起動した場合にのみ正常に起動することが可能でした）。

Cisco Secure Malware Analytics アプライアンス（v2.7 以降）は、プライマリファイルシステムとして XFS を使用します。Cisco Secure Malware Analytics アプライアンスのデータがリセットされると、データストアは、XFS ファイルシステムに変更されます。これにより、前方互換性が向上し、サービス単位の I/O 使用率のモニタリングに OS レベルのサポートが提供されるようになります。

また、更新されたデータリセットプロセスでは、システム SDD への新規インストールに必要なすべてのコンテンツを格納するのに十分なストレージが必要です。既存のデータは、このコンテンツの存在と有効性が確認された後にのみ削除されます。長期間にわたって使用されているシステム（特に第 1 世代のハードウェア）の場合、すぐに使用できる十分な空き容量がない可能性があります。その場合は、必要に応じてカスタマーサポートの支援を受けることができます。

ターゲットのアプライアンスを事前設定された状態に戻す

メーカーから届いたばかりのシステムで復元するわけではない場合、既存のデータと NFS 関連の設定をシステムから消去することによって、復元のターゲットアプライアンスを事前設定された状態に戻す必要があります。

手順

ステップ 1

Cisco Secure Malware Analytics アプライアンスの TTY または SSH 経由で Admin TUI にアクセスします。

ステップ 2

[コンソール（Console）] オプションを選択して、「tgsh」と入力します。

（注）

リカバリモードによる「tgsh」の入力は、この使用例には適していません。

ステップ 3

tgsh プロンプトで、コマンド destroy-data を入力します。プロンプトをよく読んで、指示に従ってください。

注意	このコマンドを実行すると、元に戻すことはできません。すべてのデータが破棄されます。

図 26. destroy-data REALLY_DESTROY_MY_DATA コマンドと引数

次のデータが破棄されます。

Samples
分析結果、アーティファクト、フラグ付き
アプリケーション層の（Admin UI ではない）組織およびユーザーアカウントのデータ。
データベース（ユーザーおよび組織を含む）
ネットワーク情報を含むすべてのタイプの構成
Cisco Secure Malware Analytics ポータル UI 内で設定を行います。
NFS の設定とログイン情報
NFS に使用される暗号キーのローカルコピー

ターゲットでないアプライアンスを事前設定された状態に戻す

別のシステムまたは Secure Malware Analytics アプライアンスが、復元中のバックアップにアクティブに書き込みを行っている場合（実稼働でアクティブに使用されている第 2 マスター Secure Malware Analytics アプライアンスが書き込んでいるコンテンツのテスト復元など）、その Secure Malware Analytics アプライアンスを事前設定された状態に戻します。

手順

ステップ 1

データストアの一貫した書き込み可能なコピーを生成します。

ステップ 2

テスト復元を実行している Secure Malware Analytics アプライアンスを、継続的に書き込まれているストアではなく、書き込み可能なコピーにポイントします。

Secure Malware Analytics アプライアンスが事前設定された状態の場合は、「バックアップコンテンツの復元」で説明されているとおり、バックアップストアのターゲットとして機能します。

バックアップコンテンツの復元

重要

復元プロセスの間、システムをサンプル送信に使用することはできません。
特定のアクティブなバックアップストアのデータを使用して一度に実行できるのは、1 台のサーバーのみです。
バックアップは Admin UI からのみ復元できます。
以前に使用したものと同じ NFS ストアと暗号キーを、最初のプロセスと同じプロセスで設定します。以前の NFS ストアと暗号キーを使用して Cisco Secure Malware Analytics アプライアンスを設定すると、復元がトリガーされます。
プライマリ Cisco Secure Malware Analytics アプライアンスの動作中に別の Cisco Secure Malware Analytics アプライアンスで復元プロセスをテストするには、バックアップストアの一貫したスナップショットのコピーを作成し、（アップロードされた暗号化キーを使用して）新しい Cisco Secure Malware Analytics アプライアンスをポイントします。

バックアップコンテンツを復元するには、次の手順を実行します。

手順

ステップ 1

[構成（Configuration）] タブをクリックし、[NFS] を選択して [NFS 構成（NFS Configuration）] ページを開きます。

ステップ 2

[Upload] をクリックして、バックアップが作成されたサーバーの設定時に生成されたバックアップキーを取得します。

このキーがバックアップの作成に使用されたキーと正確に一致する場合、Admin UI ポータルに表示されるキー ID は、設定されたパス内のディレクトリ名と一致している必要があります。インストールウィザードによってバックアップキーと一致するディレクトリが検索され、そのディレクトリが検出されると、検出された場所へのデータの復元が開始されます。

（注）

経過表示バーは表示されません。データの復元に必要な時間は、バックアップのサイズや他の要因によって異なります。テストによると、1.2 GB の復元は迅速ですが、1.2 TB の復元には 16 時間以上かかります。大規模な復元の場合、インストールがハングしているように見えることがありますが、しばらくお待ちください。Admin UI に復元が成功したとレポートされ、アプライアンスが起動します。

ステップ 3

復元されたデータが元のデータと同じであることを確認します。

クラスタ

クラスタリングは、2 ～ 7 のノードで構成されるクラスタに一緒にいくつかの Cisco Secure Malware Analytics アプライアンスを結合することで、単一のシステムのキャパシティを増やします。またクラスタのサイズに応じて、クラスタ内の 1 つ以上のアプライアンスが障害から回復するのをサポートする点でも役立ちます。クラスタ内の各 Cisco Secure Malware Analytics アプライアンスは、共有ファイルシステムにデータを保存し、クラスタ内の他のノードと同じデータを保持します。

重要	クラスタのインストールまたは再設定について不明な点がありましたら、データの破壊を避けるため、シスコサポートまでお問い合わせください。

機能

Cisco Secure Malware Analytics アプライアンスのクラスタリングは、次の機能を提供します。

共有データ：クラスタ内のすべての Cisco Secure Malware Analytics アプライアンスは、スタンドアロンであるかのように使用できます。それぞれが同じデータにアクセスして表示することができます。
サンプル送信処理：送信されたサンプルは、いずれかのクラスタメンバーで処理され、他のメンバーは分析結果を確認できます。
レート制限：各メンバーの送信レート制限を積算した値がクラスタの制限になります。
クラスタサイズ：推奨されるクラスタのサイズは、3、5、または7 メンバーです。4 および 6 ノードのクラスタはサポートされますが、ノードが 1 つ多いものの機能が低下したクラスタ（1 つ以上のノードが動作していないクラスタ）と同様の可用性になります。
タイブレーカー：クラスタに偶数のノードを含めるように設定すると、タイブレーカーとして指定されたノードは、どのノードがプライマリデータベースを持つかを決定するイベントで二番手に位置付けられます。

クラスタ内の各ノードにはデータベースが含まれていますが、プライマリノードのデータベースのみが実際に使用されます。プライマリノードがダウンした場合、他のノードがその役割を引き継ぐ必要があります。条件を設定していると、ノードがちょうど半分失敗したとき、ただし、条件が失敗したノード上ではない場合のみ、クラスタがダウンするのを防止できます。

奇数クラスタには、関連付けられた投票はありません。奇数クラスタでは、（タイブレーカーではない）ノードがクラスタからドロップされた場合にのみ、タイブレーカーロールが関係することになります。その場合、クラスタは偶数クラスタになります。

制限事項

Cisco Secure Malware Analytics アプライアンスのクラスタリングには、次の制限があります。

既存のスタンドアロンの Cisco Secure Malware Analytics アプライアンスのクラスタを作成するとき、第 1 ノード（最初のノード）のみがそのデータを保持できます。クラスタに既存のデータをマージすることは許可されないため、他のノードは手動でリセットする必要があります。

「バックアップ復元ターゲットとしてのアプライアンスのリセット」に記載されているとおり、destroy-data コマンドを使用して既存のデータを削除します。

重要	シスコに返却してイメージを再作成しない限りアプライアンスが稼働しなくなるため、ワイプアプライアンス機能は使用しないでください。

ノードを追加または削除すると、クラスタのサイズとメンバーノードのロールによって、短時間停止することがあります。
M3 サーバーのクラスタリングはサポートされていません。ご不明な点がありましたら、Threat Grid サポートまでお問い合わせください。
2.20 SMA アプライアンスリリース以降、2 ノードクラスタはサポートされていません。ノードが予期せずダウンした場合、2 つのノードではクォーラムを十分に維持できず、タイブレーカーノードの以前のサポートがあっても、可用性の保証はありません。

要　件

重要	エアギャップ展開でのクラスタリングは強く非推奨：デバッグの複雑さが増大するため、エアギャップ展開や、顧客がデバッグへの L3 サポートアクセスを提供できない、または提供を望まないシナリオでは、アプライアンスのクラスタリングは推奨されません。

Cisco Secure Malware Analytics アプライアンスをクラスタリングする場合は、次の要件を満たす必要があります。

バージョン：サポートされている設定でクラスタをセットアップするには、すべての Cisco Secure Malware Analytics アプライアンスが同じバージョンを実行している必要があります。常に使用可能な最新のバージョンにしておきます。
Clust インターフェイス：各 Cisco Secure Malware Analytics アプライアンスには、クラスタ内の他の Cisco Secure Malware Analytics アプライアンスへのダイレクトインターコネクトが必要です。クラスタ内の各 Cisco Secure Malware Analytics アプライアンスの Clust インターフェイススロットに SFP+ を設置する必要があります（スタンドアロン構成の場合には該当しません）。

ダイレクトインターコネクトとは、すべての Cisco Secure Malware Analytics アプライアンスが同じレイヤ 2 ネットワークセグメント上にあり、他のノードに到達するためのルーティングが不要で、大幅な遅延やジッターがないことを意味します。ノードが単一の物理ネットワークセグメント上にないネットワークトポロジはサポートされていません。

データ： Cisco Secure Malware Analytics アプライアンスは、データが含まれていない場合にのみクラスタに結合できます（初期ノードのみがデータを保持できます）。既存の Cisco Secure Malware Analytics アプライアンスをデータのない状態に移行するには、データベースリセットプロセスを使用する必要があります（v2.2.4 以降で使用可能）。

重要	破壊的なワイプアプライアンスプロセスを使用しないでください。このプロセスにより、すべてのデータが削除され、シスコに返却してイメージを再作成しない限りアプライアンスが稼働しなくなります。

SSL 証明書：1 つのクラスタノードにカスタム CA によって署名された SSL 証明書をインストールする場合、他のノードすべての証明書も同じ CA によって署名されている必要があります。

ネットワーキングと NFS ストレージ

Cisco Secure Malware Analytics アプライアンスをクラスタリングするには、ネットワーキングおよび NFS ストレージに関して次の点を考慮する必要があります。

Cisco Secure Malware Analytics アプライアンスクラスタでは、NFS ストアを有効にして設定する必要があります。NFS ストアが管理インターフェイス経由で使用可能で、すべてのクラスタノードからアクセス可能になっている必要があります。
各クラスタは、キーが 1 つある 1 つの NFS ストアによってバックアップする必要があります。既存の Cisco Secure Malware Analytics アプライアンスのデータを使用して NFS ストアを初期化することはできますが、クラスタの動作中は、クラスタのメンバーではないシステムからアクセスすることはできません。
NFS ストアはシングルポイント障害であり、そのロールに見合った、冗長性があり信頼性の高い機器を使用することが不可欠です。
クラスタリングに使用される NFS ストアは、遅延を常に低い状態に保つ必要があります。

Cisco Secure Malware Analytics アプライアンスクラスタの構築

サポートされている方法で Cisco Secure Malware Analytics クラスタを構築するには、すべてのメンバーが同じバージョンである必要があります。バージョンは利用可能な範囲で常に最新のものにする必要があります。これは、すべてのメンバーが完全に更新されるように最初にスタンドアロンを構築する必要があることを意味します。

クラスタリングの前に Cisco Secure Malware Analytics アプライアンスがスタンドアロンアプライアンスとして使用されている場合、最初のメンバーのデータのみを保持できます。その他は構築の一部としてリセットする必要があります。

最初のノードで新しいクラスタを開始し、他の Cisco Secure Malware Analytics アプライアンスを結合します。新しいクラスタを構築するために使用できる 2 つの異なるパスがあります。

既存のスタンドアロンの Cisco Secure Malware Analytics アプライアンスを使用
新しい Cisco Secure Malware Analytics アプライアンスの使用

Clust インターフェイスの設定

クラスタ内の各アプライアンスには、Clust インターフェイス用の SFP+ を追加する必要があります。4 番目の（非管理）SFP ポートに SFP+ モジュールを取り付けます。M5 では、これは左から 2 番目の SPF インターフェイスです（詳細については、『 Cisco Threat Grid M5 Hardware Installation Guide』を参照してください）。

クラスタの設定

クラスタは、[クラスタ構成（Cluster Configuration）] ページ（[構成（Configulation）] > [ネットワーキング（Networking）] > [クラスタリング（Clustering）]）でAdmin UI で構成され、管理されます。このセクションでは、アクティブで正常なクラスタを理解するためのこのページのフィールドについて説明します（スクリーンショットには 3 つのノードを含むクラスタが示されます）。

クラスタの前提条件

アプライアンスは完全に設定され、構成される必要があります。
[NFS 状態（NFS State）] が [現用系（Active）] でなければなりません。

クラスタの状態

[非構成（Unconfigured）]：クラスタの一部として、またはスタンドアロンの Cisco Unconfigured アプライアンスとして明確に設定されていません。クラスタリングの前提条件が満たされている場合は、初期セットアップウィザードでこの選択を行います。
[Pending_NFS_Enable：クラスタは NFS の有効化を保留中です。
Pending_NFS_Key：クラスタは NFS キーを保留中です。
スタンドアロン（Standalone） - アプライアンスはスタンドアロンノードとして構成されています。リセットしないとクラスタの一部として設定できません。
[クラスタ化（Clustered）]：他の 1 つ以上の Cisco Secure Malware Analytics アプライアンスでクラスタ化されています。
[不明（Unknown）]：ステータスを特定できません。

コンポーネントステータスのクラスタリング

[Elasticsearch]：検索機能を必要とするクエリに使用されるサービス。
[PostgreSQL]：最新の確定的なデータ（アカウントルックアップなど）が必要なクエリに使用されるサービス。

両方のサービスは、次のステータス値のいずれかで説明されます。

[Replicated]：すべてが正常に動作しています。また、障害時に引き継ぎに必要なすべてのものも所定の位置にあります。アプライアンスは障害を許容して操作を続行できます。複製済みの状態は、障害発生時のダウンタイムがゼロになるという意味ではありません。むしろ、障害には、ゼロのデータ損失と制約ダウンタイムが伴います（通常の状況で 1 分未満、失敗した特定のクラスタノードでのアクティブな分析を除く）。

ノードがダウンするメンテナンス操作は、クラスタが複製された状態のときにのみ実行する必要があります。

完全に複製されたクラスタの場合、リカバリは自動的に行われ、通常のシナリオで完了するのに必要な時間は 1 分未満です。
[Available]：すべてが正常に動作しており、参照サービスを使用できます（API およびユーザー要求を処理できます）が、複製されません。
[Unavailable]：非機能サービスとして知られています。

詳細については、Cisco.com の「Cisco Secure Malware Analytics アプライアンス Clustering FAQ」を参照してください。

クラスタノードステータス

[Pulse]：（初期設定中ではなく、サービスを実行している間に）ノードがアクティブに接続されていて、NFS ストアを使用しているかどうかを示します。
[Ping]：Clust インターフェイス上でクラスタノードを認識できるかどうかを示します。
[Consul]：ノードがコンセンサスストアに参加しているかどうかを示します。参加には、Clust でのネットワーク接続と互換性のある暗号キーの両方が必要です。
[Postgres プライマリ（Postgres Primary）] - ノードが PostgreSQL プライマリノードであるかどうかを示します。

既存のスタンドアロンアプライアンスからのクラスタ構築の開始

Cisco Secure Malware Analytics Appliance のクラスタの構築を開始するときは、最初のノードを既存のスタンドアロン Cisco Secure Malware Analytics Appliance または新しいアプライアンスにしてクラスタを開始する必要があります。ここでは、既存のスタンドアロン Cisco Secure Malware Analytics アプライアンスからクラスタを構築する方法について説明します。これにより、あるアプライアンスから既存のデータを保持し、そのアプライアンスを使用して新しいクラスタを開始できます。

（注）

クラスタが開始される NFS で、既存のバックアップが使用可能になっている必要があります。
クラスタに結合される他のすべてのノードから、結合前にデータを削除する必要があります。追加されるノードのデータをクラスタにマージすることはできません。
v2.4.3 よりも前のリリースで、NFS にバックアップされたデータを含むスタンドアロン Cisco Secure Malware Analytics アプライアンスの場合、新しいクラスタの初期ノードにするために、データベースのリセットとバックアップからの復元を行う必要がなくなりました。以前のバージョンの Cisco Secure Malware Analytics アプライアンスをお持ちの場合、新しいクラスタを開始する前に、v2.4.3 以降にアップグレードしてからリセット操作を実行することをお勧めします。

既存のスタンドアロンアプライアンスからクラスタ内の最初のノードの構築を開始するには、次の手順を実行します。

手順

ステップ 1

Cisco Secure Malware Analytics アプライアンスを最新バージョンに完全に更新します。現在実行されているバージョンによっては、最新バージョンになるまでに複数の更新サイクルが必要になる場合があります。

ステップ 2

まだ完了していない場合は、アプライアンスのバックアップのための NFS を設定します。

（注）

この手順では、デフォルトの Linux NFS サーバーの実装について説明します。お使いのサーバーのセットアップによって異なる場合があります。

[構成（Configuration）] タブをクリックします。
サイドナビゲーションで [ネットワーキング（Networking）] を展開し、 [NFS] を選択して [NFSの構成（NFS Configuration）] ページを開きます。

図 30. NFS の設定
次のフィールドに入力します。
- [Host]：NFSv4 ホストサーバー。IP アドレスを使用することをお勧めします。
- [Path]：ファイルが保存される NFS ホストサーバー上の場所への絶対パス。これにはキー ID サフィックスは含まれません。自動的に追加されます。
- オプション：このサーバーで NFSv4 に対する標準 Linux のデフォルト値を変更する必要がある場合に使用される NFS マウントオプション。

[保存（Save）] をクリックします。

ページが更新され、[キーの生成（Generate Key）] ボタンが使用可能になります。

このページを初めて構成するときに、暗号キーの削除とダウンロードのための暗号キーの [削除（Remove）] ボタンと [ダウンロード（Download）] ボタンが表示されます。

[アップロード（Upload）] ボタンは、NFS が有効になっているものの、キーが作成されていない場合に使用できます。キーを作成すると、[Upload] ボタンが [Download] ボタンに変わります。キーを削除すると、[ダウンロード（Download）] ボタンが [アップロード（Upload）] ボタンに戻ります。

（注）

このキーがバックアップの作成に使用されたキーと正確に一致する場合、アップロード後に Admin UI に表示されるキー ID は、設定されたパス内のディレクトリ名と一致している必要があります。暗号キーを使用せずにバックアップを復元することはできません。設定プロセスには、NFS ストアおよび暗号化データをマウントするプロセスと、NFS ストアのコンテンツからアプライアンスのローカルデータストアを初期化するプロセスが含まれます。

[キーの生成（Generate Key）] をクリックして、新しい NFS 暗号キーを作成します。
[保存（Save）] をクリックします。

ページが更新されて [キー ID] が表示され、[Activate] ボタンと [ダウンロード（Download）] ボタンが使用可能になります。
[Activate] をクリックします。

数秒後、[状態（State）] が[現用系（Active）] になります。

図 31. [Active] になった NFS

[Download] をクリックして、バックアップの暗号キーをダウンロードします。安全な場所に生成したファイルを保存します。クラスタに追加のノードを結合するためのキーが必要です。

重要	この手順を実行しないと、次の手順ですべてのデータが失われます。

ステップ 3

必要に応じて設定を完了し、Cisco Secure Malware Analytics アプライアンスを再起動して、NFS バックアップ設定を適用します。

ステップ 4

バックアップを実行します。

（注）

推奨どおりに、前もって少なくとも 48 時間バックアップを実行し、バックアップに問題が発生したことを示すサービス通知がなかった場合、次の手動による手順は不要です。

バックアップなどのサービス通知は、Cisco Secure Malware Analytics Portal UI の右上隅にあるアイコンで表示できます。「There is no PostgreSQL backup yet（PostgreSQL バックアップがまだありません）」というサービス通知が表示された場合は、手順を先に進めないでください。

48 時間待たずにバックアップを使用できるようにする場合は、NFS へのすべてのデータのバックアップを手動で開始して、完了を確認します。手動バックアップの実行は、スタンドアロンアプライアンスをクラスタに再構築する直前にバックアップを設定する場合にのみ必要です。

TGSH を開き、次のコマンドを入力します。

service start tg-database-backup.service
service start freezer-backup-bulk.service 
service start elasticsearch-backup.service

最後のコマンドが返された後、約 5 分間待機します。

ステップ 5

Cisco Secure Malware Analytics ポータル UI で、サービス通知を確認します。任意の通知に、PostgreSQL バックアップがまだありませんという警告などのバックアッププロセスの障害が示されている場合は、続行しないでください。

重要	上述のプロセスが正常に完了しない限り、手順を先に進めないでください。

ステップ 6

[構成（Configuration）] タブをクリックします。

ステップ 7

サイドナビゲーションで [ネットワーキング（Networking）] を展開し、 [クラスタリング（Clustering）] を選択して [クラスタリングの構成（Clustering Configuration）] ページを開きます。

ステップ 8

[Start Cluster] をクリックします。

ステップ 9

確認ダイアログで、[OK] をクリックします。

[Clustering Status] が [Clustered] に変わります。

ステップ 10

インストールを終了します。この操作により、クラスタモードでデータの復元が開始されます。

次のタスク

「クラスタへのアプライアンスの結合」で説明されているように、他の Cisco Secure Malware Analytics アプライアンスの新しいクラスタへの結合を開始できます。

新しいアプライアンスを使用したクラスタ構築の開始

Cisco Secure Malware Analytics アプライアンスのクラスタの構築を開始する場合、最初のノードが新しい Cisco Secure Malware Analytics アプライアンスであるクラスタを開始できます。このクラスタ構築の方法は、ソフトウェアのクラスタ対応バージョンに同梱されている新しいアプライアンス、またはデータをリセットした既存のアプライアンスに使用できます。

（注）

「バックアップ復元ターゲットとしての Secure Malware Analytics アプライアンスのリセット」に記載されているとおり、destroy-data コマンドを使用して既存のデータを削除します。アプライアンスのワイプ機能は使用しないでください。

手順

ステップ 1

通常どおり Admin UI 構築を設定および開始します。

ステップ 2

[Network] と [License] を設定します。

ステップ 3

[構成（Configuration）] タブをクリックします。

ステップ 4

サイドナビゲーションで [Networking] を展開し、 [NFS] を選択して [NFSの構成（NFS Configuration）] ページを開きます。

（注）

「既存のスタンドアロンアプライアンスからのクラスタ構築の開始」の図を参照してください。

ステップ 5

次のフィールドに入力します。

[Host]：NFSv4 ホストサーバー。IP アドレスを使用することをお勧めします。
[Path]：ファイルが保存される NFS ホストサーバー上の場所への絶対パス。これにはキー ID サフィックスは含まれません。自動的に追加されます。
オプション：このサーバーで NFSv4 に対する標準 Linux のデフォルト値を変更する必要がある場合に使用される NFS マウントオプション。

ステップ 6

[保存（Save）] をクリックします。

ページが更新されます。[キーの生成（Generate Key）] ボタンと [アクティブ化（Activate）] ボタンが使用できるようになります。

ステップ 7

[キーの生成（Generate Key）] をクリックして、新しい NFS 暗号キーを作成します。

ステップ 8

[Activate] をクリックします。

[状態（State）] が [アクティブ（Active）] に変わります。

ステップ 9

[Download] をクリックして、保管のために暗号キーのコピーをダウンロードします。クラスタに追加のノードを結合するためのキーが必要です。

ステップ 10

[クラスタの構成（Cluster Configuration）] ページで [クラスタの開始（Start Cluster）] をクリックしてから、確認ダイアログで [OK] をクリックします。

[クラスタの状態（Clustering State）] が [クラスタ化（Clustered）] に変わります。

ステップ 11

ウィザードの残りの手順を完了し、[Start Installation] をクリックします。この操作により、クラスタモードでデータの復元が開始されます。

ステップ 12

[クラスタの構成（Cluster Configuration）] ページを開き、新しいクラスタの正常性を確認します。

次のタスク

「クラスタへの Cisco Secure Malware Analytics アプライアンスの参加」に進みます。

クラスタへの Cisco Secure Malware Analytics アプライアンスの結合

このセクションでは、新規または既存の Cisco Secure Malware Analytics アプライアンスをクラスタに結合する方法について説明します。

（注）

Cisco Secure Malware Analytics アプライアンスは、データが含まれていない場合にのみ、既存のクラスタに結合できます。データが含まれている可能性のある最初のアプライアンスの場合とは異なります。

また、クラスタに結合している Cisco Secure Malware Analytics アプライアンスに最新のソフトウェアバージョンがインストールされていることは非常に重要です（クラスタ内のすべてのノードが同じバージョンを実行している必要があります）。これは、最初に Cisco Secure Malware Analytics アプライアンスを設定することが必要です。その後そのデータをリセットして、クラスタに結合します。

一度に 1 つのノードを追加するようにし、次のノードを追加する前に、Elasticsearch と PostGres が [レプリケーション済み（Replicated）] の状態になるまで待機します。[Replicated] のステータスは、2 つ以上のノードを含むクラスタで想定されています。

（注）

Elasticsearch および PostgreSQL の状態が [レプリケーション済み（Replicated）] に変更されるまでの待機時間は、単一ノードの場合には当てはまりません。バックアップから単一ノードクラスタを初期化する場合は、復元が完了し、アプリケーションが UI に表示されるのを待ってから、2 番目のノードを追加する必要があります。

クラスタに Secure Malware Analytics アプライアンスを結合するとき、初期設定時に NFS とクラスタリングが構成される必要があります。

既存のアプライアンスのクラスタへの結合

Perform the following steps to join an 既存の Secure Malware Analytics アプライアンスをクラスタに結合するには、次の手順を実行します。

手順

ステップ 1

Secure Malware Analytics アプライアンスを最新バージョンに更新します。この手順では、インストールされている現在のバージョンに応じて、複数の更新サイクルが必要になる場合があります。クラスタ内のすべてのノードを同じバージョンにする必要があります。

ステップ 2

すべてのデータを削除するには、tgsh で destroy-data コマンドを実行します。既存の Secure Malware Analytics アプライアンスをクラスタに結合する際、クラスタにマージする前に、すべてのデータを削除する必要があります。「Cisco Secure Malware Analytics アプライアンスをバックアップの復元ターゲットとしてリセットする」を参照してください。

既存の Secure Malware Analytics アプライアンスで destroy-data コマンドを実行した後、このアプライアンスは基本的に新しいノードになるため、クラスタに結合するには、新しいアプライアンスを結合する場合と同じ手順に従います。

新しいアプライアンスのクラスタへの結合

既存の Cisco Secure Malware Analytics アプライアンスをクラスタに結合するには、次の手順を実行します。

手順

ステップ 1	『Cisco Secure Malware Analytics アプライアンススタートガイド』の説明に従って、新しい Admin UI の構成を開始します。
ステップ 2	[NFSの設定（NFS Configuration）] ページで、クラスタ内の最初のノードに入力した設定と一致するように [ホスト（Host）] と [パス（Path）] を指定します。
ステップ 3	FS Encryption Key Hash の[アップロード] をクリックし、新しいクラスタを開始した際の最初のノードからダウンロードした NFS 暗号キーを選択します。
ステップ 4	[保存（Save）] をクリックします。ページが更新されます。[Key ID] が表示され、[Activate] ボタンが有効になります。
ステップ 5	[続行（Continue）] をクリックします。 [クラスタ構成（Cluster Configuration）] 画面が最初のノードで表示されます。
ステップ 6	[Join Cluster] をクリックしてから、確認ダイアログで [OK] をクリックします。図 33. クラスタの設定 [クラスタの状態（Cluster State）] が [クラスタ化（Clustered）] に変わります。
ステップ 7	クラスタに結合するノードごとに、手順 1 ～手順 10 を繰り返します。

クラスタノードの削除

クラスタからノードを削除するには、 [クラスタ設定（Cluster Configuration ）] ページ（[設定（Configuration）] > [クラスタリング（Clustering）]）に移動し、削除するノードの [アクション（Action） ] 列で [ 削除（Remove）] をクリックします。

クラスタからノードを削除するとは、ノードが一時的にダウンするということではなく、クラスタの一部と見なされなくなることを意味します。Cisco Secure Malware Analytics アプライアンスは、使用を停止している間に削除する必要があります。削除されたアプライアンスは、別のハードウェアに置き換えられるか、データがリセットされた後にのみクラスタに再度結合されます。
ノードの削除は、ノードを再度追加しないユーザーの意向をシステムに伝えることに相当します。再度追加しようとすると、ノードがリセットされます。
ノードは、パルスがある（NFS にアクティブに書き込まれている）場合、または consul（合意ストアの一部）でアクティブになっている場合、クラスタから完全に削除されたものとしてマークされません。

（7 ノード未満のクラスタ内の）ライブになっているノードを置き換えるには、新しいノードを追加し、クラスタが緑色になるのを待ってから、[Remove] ボタンを使用して古いノードをオフラインにします。この操作は、ノードを戻さない意向をシステムに伝えることに相当します。

ノードをオフラインにすると、クラスタのステータスは黄色に変わります。[Remove] をクリックすると、ステータスが緑色に戻ります（削除されたばかりのノードの存在が想定されなくなり、クラスタのサイズが変更されるため）。

ヒント

欠落している（障害があるか、電源が切れている）ノードは、最終的にタイムアウトになり、削除できるようになります。

クラスタのサイズ変更

[削除（Remove）] ボタンを使用してクラスタからノードが削除されると、クラスタのサイズが変更されます。その結果、許容される障害の数に影響が及ぶ場合があります。許容される障害の数（Failure Tolerancesで定義）が変わるほど大きくクラスタのサイズが変更されると、Elasticsearch が強制的に再起動され、サービスが一時的に中断されます。

例外：上記には、再起動中か、一時的な障害が発生している PostgreSQL マスター以外のシステムは含まれません。中断は、そのノードをアクティブに使用したクライアントを除くケースで、またはサンプルを実行している場合は、最小限にする必要があります。

すでにクラスタの一部ではない Secure Malware Analytics アプライアンスを追加する場合、または [削除（Remove）] をクリックする場合、許容される障害の数が変更されるなどクラスタのサイズが変更され、クラスタの残りが再設定するときに一時的に中断されます。

障害許容範囲

障害が発生した場合、クラスタ化された Cisco Secure Malware Analytics アプライアンスは、失敗したノードによってアクティブに実行されている分析の例外でデータを失うことはありません。最小限（1 分未満）のサービス中断期間でユーザーの関与なくサービスを回復します。

使用可能なノードの数が [Failure Tolerances] テーブルの [Nodes Required] 列に表示されている数以上である場合、ほとんどの障害は 1 分未満で回復します。または、使用可能なノードの数が増えて前述の数を満たすようになると回復します。この条件は、障害発生前にクラスタが正常な状態だった場合に当てはまります（[Clustering] ページで [Replicated] と表示されるサービスによって示される）。

特定のサイズのクラスタが許容すると想定される障害の数を次の表に示します。

表 1. 障害許容範囲
クラスタサイズ	許容される障害	必要なノード
1	0	1
3	1	2
4	1	3
5	2	3
6	2	4
7	3	4

次の図は、最良のシナリオを表します。すべてのノードがアップするときにクラスタがボード上で緑色に表示されない場合、示された完全な障害の数を許容できない場合があります。

たとえば、2 つの障害が許容される 5 ノードのクラスタサイズを使用しており、3 つのノードが必要で、5 台のアプライアンスすべてがアクティブにデータを処理しているときに、2 つまでの障害が発生した場合、クラスタは自動的に再設定され、手動による管理アクションなしで動作を続行できます。

別の考慮事項として、5、6、または 7 ノードのクラスタの場合、許容される障害の数が 1 つ増えるごとに、障害が発生し得るノードの比率が高くなることを意味します。この事実は、ノードの数が障害発生率の乗数となるため、特に重要です。（2 つのノードを使用していて、各々にハードウェア障害が 10 年ごとに発生している場合は、ハードウェアの障害発生率を 5 年間に 1 回に変更します）。

障害の回復

多くの場合、障害が発生しても自動的に回復します。回復しない場合は、Cisco サポートに連絡するか、バックアップからデータを復元する必要があります。詳細については、「バックアップコンテンツの復元」を参照してください。

API/使用の特性

クラスタ内の任意のノードに送信されたサンプルのステータスは、クラスタ内の他のノードからクエリされることがあります。送信が行われる個々のノードを追跡する必要はありません。

1 つのノードに行われたサンプル送信の処理は、クラスタ内のすべてのノード間で分割されます。クライアント側からアクティブに負荷分散する必要はありません。

運用/管理の特性

フェールオーバーが発生している間にサービスが一時的に中断される可能性があります。フェールオーバー中にアクティブに実行されているサンプルは自動的に再実行されません。

クラスタリングのコンテキストでは、キャパシティとは、ストレージではなくスループットを意味します。3 つのノードを持つクラスタは、単一の Cisco Secure Malware Analytics アプライアンスと同じ最大ストレージレベルまでデータをプルーニングします。その結果、5000 サンプルアプライアンス 3 台を含むクラスタ（合計 15,000 サンプル/日のレート制限）は（フルキャパシティで使用されている場合）、Cisco.com の『Threat Grid Appliance Data Retention Notes』に記載されている 10,000 サンプル/日の想定よりも、最短保持期間が 33 % 短くなります。

サンプルの削除

Cisco Secure Malware Analytics アプライアンス（v2.5.0 以降）では、サンプルの削除がサポートされます。

[Delete] オプションは、サンプルリストの [Actions] メニューにあります。
[Delete] ボタンは、サンプル分析レポートの右上隅にあります。

（注）

削除されたサンプルのバックアップコピーがすべてのノードから削除されるまでに、最大 24 時間かかる場合があります。

削除されたサンプルは、ただちに共有 NFS ストアから削除されます。削除要求を処理しているノードからはすぐに削除されますが、他のノードでは、夜間の cron ジョブが実行されるまで保留になります。クラスタモードでは、NFS ストアはサンプルのプライマリソースと見なされます。そのため、サンプルが他のノードから物理的に削除されていない場合でも、いずれのノードからも取得できなくなります。

Secure Malware Analytics アプライアンスバージョン2.7 以降では、クラウド製品の動作に合わせて、サンプルの削除にアーティファクトが含まれるように拡張されています。

Cisco Secure Malware Analytics アプライアンス管理者ガイド バージョン 2.19

偏向のない言語

翻訳について

検索結果

章のタイトル： 構成

構成

構成

構成変更の適用

手順

認証

LDAP 認証

手順

RADIUS 認証

手順

CA 証明書

手順

パスワード

手順

SSH の設定

手順

SSH キー

手順

SSL

SSL を使用するインターフェイス

サポートされている SSL/TLS バージョン

サポートされているお客様提供の CA 証明書

自己署名デフォルト SSL 証明書

SSL 証明書の構成

手順

SSL 証明書の置き換え

SSL 証明書の再生成

手順

SSL 証明書のダウンロード

手順

SSL 証明書のアップロード

手順

OpenSSL を使用した SSL 証明書の作成

手順

アプリケーション設定

統合

手順

ライセンス

手順

Network Exit

手順

プロキシの更新

手順

全般

コンテンツの更新

手順

日時

手順

E メール

手順

通知

手順

Syslog

手順

ネットワーキング

ネットワーク

手順

DNS の設定

手順

NFS

NFS 要件

バックアップ ストレージ要件

バックアップで予想される成果

バックアップ データの保持

保持期限の厳密な適用

バックアップ頻度

バックアップ関連のサービス通知

[Appliance Backup]

手順

バックアップ復元ターゲットとしての Cisco Secure Malware Analytics アプライアンスのリセット

データのリセット

ターゲットのアプライアンスを事前設定された状態に戻す

手順

ターゲットでないアプライアンスを事前設定された状態に戻す

手順

バックアップコンテンツの復元

Cisco Secure Malware Analytics アプライアンス管理者ガイドバージョン 2.19

章のタイトル：構成

バックアップストレージ要件

バックアップデータの保持

要　件

Cisco Secure Malware Analytics アプライアンスクラスタの構築

コンポーネントステータスのクラスタリング

クラスタノードステータス

既存のスタンドアロンアプライアンスからのクラスタ構築の開始

クラスタノードの削除