SiteProtector User Guide for Security Managers, Version 2.0, Service Pack 5.2

Size: px

Start display at page:

Download "SiteProtector User Guide for Security Managers, Version 2.0, Service Pack 5.2"

こうだいたみや
5 years ago
Views:

1 Proventia Management SiteProtector User Guide for Security Managers Version 2.0, Service Pack 6.0

2 Internet Security Systems, Inc Barfield Road Atlanta, Georgia United States (404) インターネットセキュリティシステムズ株式会社東京都品川区上大崎 JR 東急目黒ビル 16F Internet Security Systems, Inc All rights reserved worldwide. この出版物の適切な数のコピーの作成は内部で使用する場合だけ許可されていますそれ以外の場合のこの出版物のすべてまたは一部のコピーまたは複製は Internet Security Systems, Inc. の事前の書面による同意なしにいかなる人物または企業にも許可されていません特許出願中 Internet Security Systems System Scanner Wireless Scanner SecurityFusion Module SiteProtector Proventia Web Filter Proventia Mail Filter Proventia Filter Reporter ADDME AlertCon ActiveAlert FireCell FlexCheck Secure Steps SecurePartner SecureU および X-Press Update は Internet Security Systems, Inc. の商標およびサービスマーク Internet Security Systems のロゴ X-Force SAFEsuite Internet Scanner Database Scanner Online Scanner Proventia および RealSecure は同社の登録商標です Network ICE Network ICE のロゴおよび ICEpac は Internet Security Systems, Inc. の完全所有子会社である Network ICE Corporation の商標 BlackICE は同社の許諾を受けた登録商標および ICEcap は同社の登録商標です SilentRunner は Raytheon Company の登録商標です Acrobat および Adobe は Adobe Systems Incorporated の登録商標です Certicom は Certicom Corp の商標 Security Builder は Certicom Corp の登録商標です Check Point FireWall-1 OPSEC Provider-1 および VPN-1 は Check Point Software Technologies Ltd. またはその関連会社の登録商標です Cisco および Cisco IOS は Cisco Systems, Inc. の登録商標です HP-UX および OpenView は Hewlett-Packard Company の登録商標です IBM および AIX は IBM Corporation の登録商標です InstallShield は米国またはその他の国あるいはその両方における InstallShield Software Corporation の登録商標およびサービスマークです Intel および Pentium は Intel の登録商標です Lucent は Lucent Technologies, Inc. の商標です ActiveX Active Directory Microsoft Windows および Windows NT は Microsoft Corporation の登録商標または商標です Net8 Oracle Oracle8 SQL*Loader および SQL*Plus は Oracle Corporation の登録商標または商標です Seagate Crystal Reports Seagate Info Seagate Seagate Software および Seagate の logo は Seagate Software Holdings, Inc. または Seagate Technology, Inc. ( あるいはその両方 ) の商標または登録商標です Secure Shell および SSH は SSH Communications Security の商標または登録商標です iplanet Sun Sun Microsystems Sun のロゴ Netra SHIELD Solaris SPARC および UltraSPARC は米国およびその他の国における Sun Microsystems, Inc. の商標または登録商標ですすべての SPARC 商標は許可の下に使用され米国またはその他の国における SPARC International, Inc. の商標または登録商標です Adaptive Server SQL SQL Server および Sybase は Sybase, Inc. その関連会社とライセンサーの商標です Tivoli は Tivoli Systems, Inc. の登録商標です VERISIGN および THAWTE は VeriSign の登録商標です UNIX は米国およびその他の国において X/Open Company, Ltd. が独占的にライセンスを管理している登録商標ですこの文書で言及されているその他の名称はすべて各所有者のブランド名製品名商標または登録商標であり権利侵害の意図なしに編集上の理由で使用されているものです明細事項は予告なしに変更されることがあります免責 : この文書に記載されている情報は予告なしに変更されることがありますこの文書を ISS または X-Force 以外のソースから入手した場合は改変または変更されている可能性がありますこの情報を使用することによりいかなる種類の保証もなく現状のままユーザーの自己責任において使用することに同意したものとみなされます ISS と X-Force は市場性および特定目的への適合性の保証をはじめとするいかなる保証も明示的にも暗黙的にも行いません ISS または X-Force はいかなる場合も本文書の使用または配布から生じる直接的間接的付随的結果的あるいは特別な損害についてたとえ ISS または X-Force がそのような損害の可能性について忠告を受けたとしても責任を負いません州によっては結果的または付随的な損害の責任を除外または限定することが許可されていないため前述の限定事項は適用されませんここに記されている商標名商標製造業者またはそれ以外による特定の商品プロセスまたはサービスなどの引用は必ずしも Internet Security Systems, Inc による保証や推奨または支持を表明したり暗示したりするものではありませんここに示されている作者の見解および意見は必ずしも Internet Security Systems, Inc. の主張または同社の見解および意見を反映するものではなく製品の保証や広告の目的で使用されてはなりませんインターネットリソースへのリンクとアドレスはリリース前に十分調査されていますが刻々と変化するインターネットの性質上 Internet Security Systems はリソースの内容やその存在について保証することはできません可能な場合には参照セクションには他の方法で目的の情報が獲得できる代わりのサイトやキーワードが記載されていますリンクの破損や不適切なリンクにお気づきの場合はトピック名リンクその動作状況を documentation@isskk.co.jp まで電子メールでご連絡ください 2006 年 6 月 1 日

3 目次第 1 章 : SiteProtector の概要概要 SiteProtector とは SiteProtector コンポーネント SiteProtector の追加モジュールサポート対象のエージェントエージェントの詳細情報第 2 章 : SiteProtector の設定プロセス概要設定プロセスの各ステージパート I: SiteProtector の設定とアップデート第 3 章 : 設定とアップデートのステージ概要ステージの概要このステージのチェックリスト第 4 章 : コンソールの設定概要一般オプションの設定ロギング設定の指定マニュアルオプションの設定プロキシオプションの設定サマリオプションの設定エージェントビューのオプションの設定アセットビューのオプションの設定ポリシービューのオプションの設定チケット / レポートビューのオプションの設定アナリシスビューのオプションの設定第 5 章 : ライセンスの設定概要ライセンスとはエージェントおよび Desktop のライセンスの入手エージェントまたは Desktop ライセンスの追加と削除 OneTrust トークンおよび OneTrust ライセンスとは Proventia OneTrust ライセンス OneTrust ライセンスのダウンロード OneTrust トークンの作業第 6 章 : Agent Manager の設定概要 Agent Manager とは Agent Manager プロパティの設定 Agent Manager プロパティの表示 Agent Manager アカウントの作成 SiteProtector User Guide for Security Managers Version 2.0, SP 6.0 3

4 目次エージェントへの Agent Manager の割り当てバックアップ Agent Manager の指定第 7 章 : SiteProtector のアップデート概要セクション A: アップデートの概要概要アップデートのプロセス X-Press Update Service Pack セクション B: SiteProtector のアップデート概要アップデートステータスの確認 SiteProtector コンポーネントへのアップデートの適用 SiteProtector Core コンポーネントへのアップデートの適用セクション C: インターネットアクセスのない XPU Server へのアップデート適用概要インターネットアクセスのない XPU Server でのアップデートプロセス ISS ダウンロードページからのアップデートファイルのダウンロード Manual Upgrader を使用したアップデートファイルのダウンロード XPU Server へのアップデートファイルのコピーコンポーネントまたはエージェントステータスの手動更新第 8 章 : X-Press Update Server の設定概要 X-Press Update Server とは Server Settings ポリシーの設定 XPU Settings ポリシーの設定追加のスタンドアロン型 XPU Server の設定別の XPU Server からダウンロードを行う XPU Server の設定 XPU Server の保護 XPU Server のクラスタ化手動アップデート用の XPU Server 設定第 9 章 : Event Collector の設定概要 Event Collector とは Event Collector の手動割り当て Event Collector のフェールオーバプロセスフェールオーバ用の Event Collector 設定第 10 章 : Event Viewer の有効化概要 Event Viewer とは Event Viewer の有効化 Event Viewer の起動 Event Viewer ログファイルの管理第 11 章 : Site Database の設定概要 Site Database プロパティの表示データベースメンテナンスオプションの設定データベースのデフラグログファイルのパージ

5 目次データベーステーブルのパージデータベース緊急パージデータベース自動バックアップ第 12 章 : ユーザー権限の設定概要セクション A: SiteProtector での権限管理概要権限管理の方法ユーザーとグループの検索アップグレードの影響を受ける権限アップグレードの要件グループポリシー権限の作業セクション B: SiteProtector ユーザーグループ概要 SiteProtector ユーザーグループとは SiteProtector ユーザーグループの作成 SiteProtector ユーザーグループへのメンバー追加セクション C: グローバル権限概要グローバル権限とはグローバル権限の割り当てと削除第 13 章 : Event Archiver の設定概要重要な要件と考慮事項イベントルール IP アドレスによってフィルタリングを行うルールの作成イベントの種類によってフィルタリングを行うルールの作成イベントルール順序の設定アーカイブ済みイベントの表示 Event Archiver ディレクトリ構造の変更第 14 章 : チケットの設定概要チケットとはチケットの作業通知設定の定義チケット優先度の定義カスタムカテゴリの定義第 15 章 : コンポーネントの作業概要コンポーネントの停止起動更新コンポーネントパスワードのリセット SiteProtector コンポーネントへのキーの配布パート II: グループの設定第 16 章 : グループ設定ステージ概要ステージの概要このステージのチェックリスト SiteProtector User Guide for Security Managers Version 2.0, SP 6.0 5

6 目次第 17 章 : グループの設定概要グループとはデフォルトグループ名グループとサブグループの体系化グループの作成 System Scanner グループの作成第 18 章 : グループレベル権限の設定概要グループレベル権限とは権限プロパティウィンドウの作業グループレベル権限の設定権限継承の作業 Include Subgroups をオンにした状態での権限設定パート III: エージェントの設定第 19 章 : エージェント設定ステージ概要ステージの概要 Desktop Protection Agent 設定のチェックリストアプライアンス設定のチェックリストスキャナー設定のチェックリスト Network Sensor と Server Sensor の設定チェックリスト第 20 章 : エージェントの設定概要セクション A: エージェントのインストール概要インストール方法 Deployment Manager を使用したエージェントのインストール Deployment Manager へのインストールパッケージの追加個別のインストールパッケージを使用したエージェントのインストールエージェントビルドを使用した Desktop Protection Agent のインストールセクション B: エージェントの登録概要 New Agent Wizard エージェントの自動登録エージェントのサイトへの手動登録セクション C: エージェントへのキーと証明書の配布概要キーの手動配布 Public Key Configuration Tool の使用セクション D: エージェントのアップデート概要エージェントのアップデートステータスの確認エージェントのアップデートアップデートの削除

7 パート IV: ポリシーとレスポンスの設定第 21 章 : ポリシー設定ステージ概要ステージの概要このステージのチェックリスト第 22 章 : サイトレベルのポリシーとレスポンスの設定概要目次セクション A: サイトレベルのポリシー概要ポリシーとはカスタムポリシーの設定個別エージェントへのポリシー適用グループへのポリシー適用ポリシーサブスクリプショングループを使用したポリシー適用 Desktop Protection Agent ポリシーの作業ユーザーへのポリシー変更権限の付与 Active Directory を使ったポリシー割り当てセクション B: サイトレベルレスポンスの設定概要レスポンスとはカスタムエージェントレスポンスの設定ユーザーへのレスポンス変更権限の付与第 23 章 : Network Objects ポリシーの定義概要 Network Objects ポリシーとは Network Objects ポリシーでの Address Name の定義 Network Objects ポリシーでの Address Group の定義 Network Objects ポリシーでの Port Name の定義 Network Objects ポリシーでの Port Group の定義 Network Objects ポリシーでの Dynamic Address Name の定義 Network Objects ポリシーでのデータのエクスポートとインポート第 24 章 : Response Objects ポリシーの定義概要 Response Objects ポリシーとは Response Objects ポリシーでのレスポンスの指定 Response Objects ポリシーでの SNMP レスポンスの指定 Response Objects ポリシーでのユーザー指定レスポンスの指定 Response Objects ポリシーでの Log Evidence 設定の指定 Response Objects ポリシーでの Quarantine 設定の指定第 25 章 : Response Rules ポリシーの定義概要セクション A: イベントルールの定義概要イベントルールとは Response Rules ポリシーへのイベントルールの追加イベントルール内でのイベントフィルタの定義イベントルールの発信元アドレスと発信元ポートの定義イベントルールの宛先アドレスと宛先ポートの定義イベントルール内でのレスポンスの定義 SiteProtector User Guide for Security Managers Version 2.0, SP 6.0 7

8 目次イベントルールの高度なフィルタの定義イベントルールの作業 Event Rules タブのカスタマイズセクション B: コンポーネントルールの定義概要コンポーネントルールとはコンポーネントルールの作成第 26 章 : ポリシー継承の管理概要セクション A: インストールの前に概要ポリシーの継承ポリシービューセクション B: ポリシービューでの継承の設定概要エージェントのタイプとバージョンのオプションポリシー継承のためのグループまたはエージェントの設定階層的ポリシーの編集上位レベルのグループへのポリシー昇格ポリシーの優先子優先の解除パート V: アセットの追加第 27 章 : アセット設定ステージ概要ステージの概要アセットとは第 28 章 : アセットの追加概要手動によるアセットの追加ホストファイルからのアセット追加アセット定義ファイルからのアセット追加 Active Directory からのアセット追加 Network Internet Scanner を使用したアセットの追加アセットプロパティの編集グループ化されていないアセットのグループ化パート VI: Reporting Module の設定第 29 章 : Reporting Module 概要レポートの作業イベントデータレポートの作業コンプライアンスとサマリのレポートコンプライアンスとサマリのレポートの作業

9 パート VII: トラブルシューティング第 30 章 : トラブルシューティング概要エージェントとコンポーネントに関連する問題 SiteProtector の操作に関連する問題 Reporting Module に関連する問題メモリ不足に関連する問題 SiteProtector の設定とアップデートに関連する問題 SiteProtector サービスに関連する問題用語集用語集索引索引目次 SiteProtector User Guide for Security Managers Version 2.0, SP 6.0 9

10 目次 10

11 第 1 章 SiteProtector の概要概要この章では Proventia Management SiteProtector の概要と次の内容について説明します SiteProtector コンポーネントと追加のモジュール SiteProtector と連携してセキュリティイベントの検出と防止を行うエージェントと呼ばれるその他 ISS 製品この章の内容この章では次のトピックについて説明しますトピックページ SiteProtector とは 12 SiteProtector コンポーネント 13 SiteProtector の追加モジュール 16 サポート対象のエージェント 17 エージェントの詳細情報 19 SiteProtector User Guide for Security Managers Version 2.0, SP

第 1 章 : SiteProtector の概要 SiteProtector とは SiteProtector は次のような Internet Security Systems (ISS) 製品すべての指揮統制監視を行う機能を備えた中央管理システムですデスクトップ防御製品スキャナーアプライアンスセンサー SiteProtector アーキテクチャ SiteProtector

12 第 1 章 : SiteProtector の概要 SiteProtector とは SiteProtector は次のような Internet Security Systems (ISS) 製品すべての指揮統制監視を行う機能を備えた中央管理システムですデスクトップ防御製品スキャナーアプライアンスセンサー SiteProtector アーキテクチャ SiteProtector システムは次のもので構成されています SiteProtector の中核となる機能を提供するコンポーネント SiteProtector コンポーネント (13 ページ ) を参照してください SiteProtector に追加機能を提供する追加モジュール SiteProtector の追加モジュール (16 ページ ) を参照してください SiteProtector と連携してセキュリティイベントの検出と防止を行うエージェントと呼ばれる ISS 製品サポート対象のエージェント (17 ページ ) を参照してください図図 1 は SiteProtector コンポーネントおよび SiteProtector と連携するエージェントを含む SiteProtector アーキテクチャを示したものです図 1: 標準的なサイトのコンポーネントとエージェント通信チャネル SiteProtector コンポーネントは特定のチャネルを使用して相互通信やその他 ISS 製品との通信を行います通信で使用されるポートの一覧については SiteProtector Installation Guide を参照してください 12

13 SiteProtector コンポーネント SiteProtector コンポーネント SiteProtector はさまざまなコンポーネントで構成されており各コンポーネントは SiteProtector システム内で明確に限定された機能を持っていますこのトピックではこれらコンポーネントについて説明します注記 : SiteProtector インターフェースでは SiteProtector コンポーネントをエージェントと呼びますコンポーネントの説明表 1 では SiteProtector コンポーネントについて説明しますコンポーネント Agent Manager ( 以前の Desktop Controller) Central Response コンソール説明 Agent Manager は次の SiteProtector コンポーネントおよびその他 ISS 製品を設定アップデート管理する機能を備えています X-Press Update Server Desktop Protection Agent Proventia G アプライアンス Network IPS アプライアンス Network Multi-Function Security アプライアンスこれらのエージェントがセキュリティデータを生成する一方 Agent Manager もコンソールにデータを表示するために必要なデータ処理を促進します Central Response コンポーネントは次のものに対するレスポンスを担当します SiteProtector システム内に入ってくるセキュリティイベントエージェントステータスおよびコンポーネントステータスの変化このレスポンスは Network Sensor などのエージェントからではなく SiteProtector から行われますコンソールは次のような SiteProtector のタスクすべてを行うインターフェースです SiteProtector を設定アップデート管理する Desktop Protector エージェントスキャナーアプライアンスセンサーなどその他 ISS 製品を設定アップデート管理するセキュリティポリシーとレスポンスを作成および管理する SiteProtector が監視する IT アセットのグループを設定体系化管理するユーザーとユーザー権限を設定するネットワーク上のセキュリティイベントと脆弱性を監視するスキャンジョブ製品アップデートデータベースメンテナンスジョブなどのコマンドジョブを実行およびスケジューリングするレポートを作成するチケットを作成する表 1: SiteProtector コンポーネントの説明 SiteProtector User Guide for Security Managers Version 2.0, SP

14 第 1 章 : SiteProtector の概要コンポーネントデータブリッジ Deployment Manager Event Archiver 説明データブリッジは SiteProtector が古い ISS 製品 (System Scanner など ) からセキュリティデータを収集して表示できるようにします Deployment Manager は SiteProtector やその他 ISS 製品をネットワークの中央からインストール場合に使用できる Web ペースのアプリケーションです Event Archiver はセキュリティイベントをリモートの場所にアーカイブする機能を備えています Event Collector Event Collector は ISS 製品によって生成されたセキュリティデータを収集し処理のために Site Database へ送信します処理の後そのデータは SiteProtector Console で閲覧できるようになります Event Collector はまた処理されてないセキュリティデータを Event Viewer へ送信します Event Viewer Site Database SiteProtector Application Server Event Viewer はセキュリティイベント閲覧用のもう 1 つのインターフェースを備えています Event Viewer は処理されていないイベントを Event Collector から直接受信しますこのインターフェースは主にトラブルシューティングに使用されますセキュリティ管理作業のほとんどはコンソールで行うことをお勧めします Site Database には次の情報が保管されますお使いの ISS 製品によって生成されたセキュリティデータセキュリティイベントの統計値グループ情報コマンドアンドコントロールデータすべてのエージェントの XPU 状況 SiteProtector ユーザーのアカウントと権限チケットカスタマイズされたビューレポートその他設定 Application Server は SiteProtector Console とその他エージェントの間の通信を促進します Application Server は複数のコンソールが次の機能を実行できるようにします SiteProtector Database と通信する同じ一連の Event Collector およびエージェントの監視と管理を行う注記 : Application Server には Sensor Controller と統合型 X-Press Update Server が含まれますこれら 3 つのコンポーネントは同じコンピュータへ自動的にまとめてインストールされますこの 3 コンポーネントは完全に統合されており分離することはできません追加でスタンドアロン型 X-Press Update Server を配置することができます表 1: SiteProtector コンポーネントの説明 ( 続き ) 14

15 SiteProtector コンポーネントコンポーネント Sensor Controller X-Press Update Server Web Access 説明 Sensor Controller はコンソールとその他エージェントとの間のコマンドアンドコントロールを促進しますたとえばコンソールから Network Internet Scanner へのコマンド ( スキャンの開始や停止など ) を中継します注記 : Sensor Controller は Application Server と統合されています Sensor Controller は Application Server と同じコンピュータへ自動的にインストールされますこれらのコンポーネントは完全に統合されており分離することはできません X-Press Update Server は連動するように設定されている SiteProtector と ISS 製品のアップデートを行うための主要ツールです X-Press Update Server は次の作業を行います ISS のダウンロードページに接続するソフトウェアアップデートをダウンロードするアップデートを配布して適用できる SiteProtector およびその他統合型 ISS 製品にアップデートを渡す注記 : X-Press Update Server は Application Server と統合されています統合型 X-Press Update Server は Application Server と同じコンピュータへ自動的にまとめてインストールされますこれらのコンポーネントは完全に統合されており分離することはできません追加でスタンドアロン型 X-Press Update Server を配置することができます SiteProtector Web Access は限定された SiteProtector 機能へのアクセスを提供する Web ベースの読み取り専用インターフェースです Web Access は主に SiteProtector アセットやセキュリティイベントの監視に使用されます表 1: SiteProtector コンポーネントの説明 ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

16 第 1 章 : SiteProtector の概要 SiteProtector の追加モジュール追加モジュールを購入して SiteProtector の機能を拡張することができますこのトピックでは SiteProtector の追加モジュールについて説明します注記 : SiteProtector インターフェースでは追加モジュールをエージェントと呼びますモジュールの説明表 2 では追加の SiteProtector モジュールについて説明しますモジュール SecurityFusion Module Third Party Module Reporting Module SecureSync Module 説明このアドオンモジュールは次のような機能を備えていますセキュリティイベントに関して影響の分析を行う攻撃パターンの認識を行う参照 : SecurityFusion Module Guide を参照してくださいこのアドオンモジュールは次のような機能を備えていますサードパーティ製ファイアウォールからセキュリティイベントやその他データを受信するセキュリティイベントやその他データをコンソールに表示する特定のファイアウォールにセキュリティイベントを関連付ける参照 : Third Party Module Guide を参照してくださいこのアドオンモジュールは次のような非常に広範囲にわたるレポートをさまざまな形式で作成する機能を備えています脆弱性評価レポート攻撃アクティビティレポートユーザー監査レポートコンテンツフィルタリングレポートユーザー権限レポート参照 : Reporting Module (393 ページ ) を参照してくださいこのアドオンモジュールは次のような機能を備えていますプライマリサイトとバックアップサイトの間でサイトデータを転送する 1 つのサイトから別のサイトへエージェント管理を移管するこの機能はフェールオーバシステムの実装に使用されます参照 : SecureSync Guide を参照してください表 2: SiteProtector 追加モジュールの説明 16

17 サポート対象のエージェントサポート対象のエージェント SiteProtector は次に示す ISS 製品すべてと連携するように設計されていますアプライアンス (Proventia G Network Multi-Function Security Network IPS など ) データブリッジ (System Scanner Databridge など ) デスクトップ防御製品 (RealSecure Desktop 7.0 Proventia Desktop など ) センサー (RealSecure Network Sensor RealSecure Server Sensor など ) スキャナー (Network Internet Scanner Network Enterprise Scanner System Scanner など ) エージェント SiteProtector と連携するように実装する ISS 製品はエージェントと総称されますエージェントは特定の製品ごとに異なる複雑な一連のセキュリティ機能を実行しますセキュリティ機能のいくつかは次のとおりですセキュリティイベントを阻止するセキュリティイベントを検出するセキュリティイベントに対応するセキュリティイベントを SiteProtector にレポートするセキュリティ上の脆弱性を特定する用語表 3 ではエージェントの一般的な呼称を説明し各タイプの例を挙げていきます用語アプライアンスデータブリッジ説明アプライアンスはソフトウェアとファームウェアを含むハードウェアデバイスですこれらのデバイスにはアプライアンスのモデルに基づいた次のようなさまざまなセキュリティ機能が備わっています侵入検知不正侵入防御アンチウィルスアンチスパム Virtual Private Network (VPN) Web フィルタリングファイアウォール例 : Proventia G Network IPS Network Multi-Function Security データブリッジは古い ISS 製品と SiteProtector の間を取り持つエージェントです例 : System Scanner Databridge 表 3: エージェントの一般的な呼称 SiteProtector User Guide for Security Managers Version 2.0, SP

18 第 1 章 : SiteProtector の概要用語 Desktop Protection Agent スキャナーセンサー説明 Desktop Protection Agent はネットワーク上にあるデスクトップのセキュリティを管理するエージェントです例 : Proventia Desktop 8.0 RealSecure Desktop 7.0 スキャナーは次のようなセキュリティ情報についてシステムをスキャンするエージェントですネットワークセキュリティの脆弱性ソフトウェアセキュリティの脆弱性ハードウェアセキュリティの脆弱性規制順守していないシステム内の設定要素システム上に存在するホストやサーバーなどのアセット例 : Network Internet Scanner System Scanner Network Enterprise Scanner センサーはネットワークおよびサーバーでのセキュリティイベントの特定と阻止を行うエージェントです例 : Network Sensor Server Sensor 表 3: エージェントの一般的な呼称 ( 続き ) サポート対象のエージェント SiteProtector で管理できる ISS 製品の最新リストについては ISS の製品マニュアル Web サイトにある Supported Agents and Appliances を参照してください 18

19 エージェントの詳細情報エージェントの詳細情報このトピックでは SiteProtector で管理できる ISS エージェントについて詳しく説明しますエージェントは次のカテゴリに分類されます脆弱性評価エージェント不正侵入防御エージェント不正侵入検知エージェント脆弱性評価エージェント表 4 では脆弱性評価を行うエージェントについて説明しますエージェント Network Internet Scanner System Scanner 説明ネットワークの脆弱点を分析し不正侵入試行に対してネットワークを無防備にするセキュリティリスクを特定しますソフトウェアおよびハードウェアに固有の脆弱点攻撃に対してシステムを脆弱にする構成要素および情報セキュリティポリシーに準拠しない構成要素を特定します表 4: 脆弱性評価エージェント不正侵入防御エージェント表 5 では不正侵入防御を行うエージェントについて説明しますエージェント RealSecure Desktop 7.0 Proventia Desktop 8.0 説明 Desktop エージェントは多数のさまざまな脅威からリモートユーザーを防御しますこれらは動的に攻撃をブロックしデスクトップ上での不正プログラムの実行を防止しますまたリモートまたはモバイルコンピュータ用のファイアウォール不正侵入防御およびアプリケーション防御サービスを統合します Proventia Desktop Enforcement for VPN Proventia G シリーズアプライアンス Network Multi-Function Security アプライアンスネットワーク不正侵入検知システムアプライアンスネットワークアクセスポイントのプライベート側に配置された場合そのネットワークアクセスポイントを通過するすべてのシステムに Desktop エージェントの使用を強制します対応していないクライアントに対してはネットワークまたは VPN へのアクセスを禁止することができます正当なトラフィックの通過を許可する一方で悪意のあるトラフィックを自動的に排除するインライン型不正侵入防御アプライアンスこのアプライアンスはネットワークの帯域幅と可用性を維持しながら悪意のある攻撃を自動的に遮断しますネットワークの帯域幅と可用性を損なうことなくゲートウェイおよびネットワークレベルで高度な防御を行うオールインワン型インターネットセキュリティアプライアンスこのアプライアンスはスタンドアロン型セキュリティ技術の必要性を減らします 1 ~ 4 つのネットワークセグメントの合計 200 Mbp ~ 1200 Mbp のネットワーク帯域幅における脅威を完全に防御するなどさまざまなニーズを満たします表 5: 不正侵入防御エージェント SiteProtector User Guide for Security Managers Version 2.0, SP

20 第 1 章 : SiteProtector の概要エージェント RealSecure Server Sensor 説明ログファイルのアクティビティカーネルレベルのアクティビティ 1 台のコンピュータを出入りするネットワークトラフィックを監視します不審なトラフィックがオペレーティングシステムに到達する前にこれを遮断しパケットを傍受します表 5: 不正侵入防御エージェント ( 続き ) 不正侵入検知エージェント表 6 では不正侵入検知製品について説明しますエージェント説明 RealSecure Network 10/100 RealSecure Network Gigabit RealSecure Network 10/100 for Nokia RealSecure Network for Crossbeam 10 または 100 メガビットセグメントでの疑わしい動作を認識してこれに対応するリアルタイムの不正侵入検知を行いますギガビットネットワークセグメントでの疑わしい動作を認識してこれに対応するリアルタイムの不正侵入検知を行います RealSecure Network 10/100 ソフトウェア IPSO プラットフォーム Nokia アプライアンスを統合した不正侵入検知および応答を行います拡張性の高い高可用性マルチセグメントアプリケーションプラットフォームで不正侵入検知および応答を行います表 6: 不正侵入検知エージェント 20

21 第 2 章 SiteProtector の設定プロセス概要 SiteProtector をインストールしたら SiteProtector の設定プロセスを完了する必要がありますこの章では SiteProtector 設定プロセスの概要を説明します目標 SiteProtector 設定プロセスの目標は次のとおりです SiteProtector 製品の設定とアップデートを行うネットワークアセットおよびアセットを監視するエージェントのグループを SiteProtector Console 内で設定して体系化するネットワークアセットを監視し SiteProtector 製品と連携するその他 ISS 製品 ( エージェント ) のインストールアップデート設定を行う統合された ISS 製品 ( エージェント ) のセキュリティポリシーおよびレスポンスをセキュリティ要件を満たすように設定して適用するエージェントによる監視と防御の対象とするネットワークアセットを SiteProtector Console 内で設定する前提このプロセスは次の内容を前提としています SiteProtector が既にインストールされているインストールの手順については SiteProtector Installation Guide を参照してください SiteProtector と連携させるその他 ISS 製品をまだインストールしていないこれらのタスクは本書のほか特定製品の製品マニュアルで取り上げられていますこの章の内容この章では次のトピックについて説明しますトピックページ設定プロセスの各ステージ 22 SiteProtector User Guide for Security Managers Version 2.0, SP

22 第 2 章 : SiteProtector の設定プロセス設定プロセスの各ステージ本書で説明する初期設定プロセスは SiteProtector とその他 ISS 製品の実装設定統合の構造的な方法を示したものですこのプロセスは複雑で漸進的ですつまり一部の設定タスクはその他タスクが完了してからでないと実行できませんプロセスはいくつかのステージに分かれておりそれぞれに具体的な目的と目標がありますこのトピックでは SiteProtector 初期設定プロセスの各ステージの概要について説明します注記 : 本書で説明する設定プロセスは SiteProtector を初期設定する場合の推奨方法です本書ではこれに代わる製品設定方法を扱いません関連情報本書では対応するセクションの冒頭で各ステージの概要とチェックリストを紹介しています SiteProtector の使用に慣れている場合または参考として本書をご利用の場合は設定プロセスに関する情報を読み飛ばしていただいてかまいません各章は SiteProtector を初めて設定するユーザーや製品使用上の参考に本書を使用するユーザーにとって役立つように構成されています段階表 7 では SiteProtector 設定プロセスの各ステージについて説明しますステージ説明 1 SiteProtector の設定とアップデート SiteProtector コンポーネントを設定する SiteProtector コンポーネントをアップデートする SiteProtector ユーザーとユーザー権限を設定する参照 : パート Ⅰ SiteProtector の設定とアップデート (25 ページ ) を参照してください 2 グループの設定 : ネットワークアセットおよびエージェントのグループ化プランを作成する組織プランに対応するグループとサブグループを作成するメンバーシップルールやグループレベルの権限などグループのプロパティを設定する参照 : パート Ⅱ グループの設定 (197 ページ ) を参照してください 3 エージェントの設定 : デスクトップ防御製品アプライアンスセンサースキャナーなど SiteProtector と併用するその他 ISS 製品 ( エージェント ) のインストールアップデート設定を行う製品が登録されたこと SiteProtector と連携するように設定されたことを確認する参照 : パート Ⅲ エージェントの設定 (229 ページ ) を参照してください 4 ポリシーの設定 : エージェントのセキュリティポリシーとレスポンスを設定する Central Response を設定するチケットを設定する参照 : パート Ⅳ ポリシーとレスポンスの設定 (271 ページ ) を参照してください表 7: SiteProtector 設定プロセスのステージ 22

23 設定プロセスの各ステージステージ説明 5 アセットの設定 : エージェントの監視対象となる重要なネットワークアセットを SiteProtector に追加するアセットのグループ分けを調整する参照 : パート Ⅴ アセットの追加 (367 ページ ) を参照してください表 7: SiteProtector 設定プロセスのステージ次の手順 SiteProtector の設定プロセスが完了したら SiteProtector と連携させるために購入した追加モジュールのインストールと設定を行う必要があります Reporting Module の使用については User Guide for Security Analysts を参照してくださいセキュリティイベントの幅広い分析を行う SecurityFusion Module の使用については SecurityFusion Module Guide を参照してくださいフェールオーバ向けの SecureSync 使用については SecureSync Guide を参照してくださいサードパーティ製ファイアウォールからのファイアウォールイベントを Third Party Module を使って SiteProtector で表示する方法については Third Party Module Guide を参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

24 第 2 章 : SiteProtector の設定プロセス 24

25 パート I SiteProtector の設定とアップデート

27 第 3 章設定とアップデートのステージ概要 SiteProtector 設定の最初のステージは SiteProtector の設定とアップデートのステージです本ステージでは SiteProtector コンポーネントを設定しコンポーネントを最新バージョンにアップデートし SiteProtector ユーザーを設定しますこの章では SiteProtector の設定とアップデートのステージの概要を説明します注記 : このステージの手順は具体的に SiteProtector を構成するコンポーネント (Agent Manager X-Press Update Server Site Database など ) の設定とアップデートを目的としています Network Sensor や Network Internet Scanner など SiteProtector と連携するその他製品の設定とアップデートについてはパート Ⅲ エージェントの設定 (229 ページ ) を参照してくださいこの章の内容この章では次のトピックについて説明しますトピックページステージの概要 28 このステージのチェックリスト 29 SiteProtector User Guide for Security Managers Version 2.0, SP

28 第 3 章 : 設定とアップデートのステージステージの概要このトピックでは設定とアップデートのステージの概要を説明します設定 SiteProtector は個々のセキュリティ要件を満たすための複雑な設定オプションを備えています SiteProtector を初めて設定する場合は設定タスクを特定の順序で実行する必要があります初期設定を行うときに推奨順序に従わないと一部のコンポーネントが正しく通信できない安全な通信ができないなどの可能性がありますこのパートの各章は SiteProtector の設定とアップデートを行う場合に従う必要のある推奨順序に沿ってまとめられています注記 : SiteProtector コンポーネントの初期設定が終わった後はセキュリティ上のニーズに合わせてコンポーネントの設定を調整することができますアップデート ISS は SiteProtector のアップデートを定期的にリリースしています製品のインストールを行っている間にアップデートがリリースされている可能性があります最新の安全なバージョンのソフトウェアを確保できるようにできるだけ早く初期設定プロセス中に SiteProtector をアップデートすることをお勧めしますこうしたアップデートはお客様の設定には影響を与えません SiteProtector コンポーネントをアップデートする前に X-Press Update Server を設定する必要がありますこの XPU Server がアップデートの受信と配布を行います注記 : SiteProtector コンポーネントを初めてアップデートした後は最新のソフトウェアアップデートをリリースされ次第必ず適用する必要があります SiteProtector ユーザー SiteProtector をインストールしたら SiteProtector にはユーザーが 1 人設定されますこの製品をインストールしたユーザーですこのユーザーには SiteProtector によってシステムへのフルアクセス権が付与されますそのためこのユーザーはシステムでの追加ユーザー設定のタスクなど本書で説明されている設定タスクをすべて実行することができます本書で説明される初期設定タスクすべてを SiteProtector をインストールしたのと同じユーザーが行うことをお勧めします本書の設定タスクの一部を別のユーザーに任せる場合はまずそのユーザーを SiteProtector で設定しタスクの実行に必要な権限を与える必要があります注記 : SiteProtector での権限の管理は複雑です別のユーザーへ設定タスクを任せる前に設定プロセス全体をよく確認することをお勧めします必要な設定タスクを十分に理解した後に該当のタスクを実行するための適切な権限をユーザーに設定してください 28

29 このステージのチェックリストこのステージのチェックリストこのトピックでは SiteProtector の設定とアップデートのチェックリストを紹介しますチェックリスト表 8 は SiteProtector の設定とアップデートに必要とされるすべてのタスクを確実に実行するためのタスクチェックリストですタスクコンソールを起動して設定するコンソールの設定 (31 ページ ) を参照してください次のものに対してライセンスとトークンを設定する SiteProtector SiteProtector で管理する予定のその他すべての ISS 製品ライセンスの設定 (47 ページ ) を参照してください Agent Manager を設定する Agent Manager の設定 (63 ページ ) を参照してください X-Press Update Server を設定する X-Press Update Server の設定 (97 ページ ) を参照してください SiteProtector コンポーネントをアップデートする SiteProtector のアップデート (71 ページ ) を参照してください Event Collector を設定する Event Collector の設定 (113 ページ ) を参照してください Event Viewer を有効にする Event Viewer の有効化 (119 ページ ) を参照してください Site Database のメンテナンスを設定する Site Database の設定 (125 ページ ) を参照してください SiteProtector ユーザーグループにユーザーとグループを追加するユーザー権限の設定 (141 ページ ) を参照してください Event Archiver を設定する Event Archiver の設定を参照してください表 8: SiteProtector の設定とアップデートのチェックリスト SiteProtector User Guide for Security Managers Version 2.0, SP

30 第 3 章 : 設定とアップデートのステージ 30

31 第 4 章コンソールの設定概要この章では次のコンソールオプションの設定について説明します General ( 一般 ) Logging ( ロギング ) Documentation ( マニュアル ) Proxy ( プロキシ ) Summary ( サマリ ) Agent ( エージェント ) Asset ( アセット ) Analysis ( アナリシス ) 注記 : この章で設定したオプションはコンソールを通じてアクセスする任意のサイトに適用されます別のサイトに対する別のコンソールのオプションを設定することはできません任意選択コンソールはカスタム設定がなくても動作するように設計されているためコンソールの設定は任意ですデフォルトのコンソール設定が要件を満たすものであればこの章のタスクを省略することができますこの章の内容この章では次のセクションについて説明しますトピックページ一般オプションの設定 33 ロギング設定の指定 34 マニュアルオプションの設定 35 プロキシオプションの設定 37 サマリオプションの設定 38 エージェントビューのオプションの設定 38 アセットビューのオプションの設定 42 ポリシービューのオプションの設定 43 チケット / レポートビューのオプションの設定 44 SiteProtector User Guide for Security Managers Version 2.0, SP

32 第 4 章 : コンソールの設定トピックページアナリシスビューのオプションの設定 45 32

33 一般オプションの設定一般オプションの設定 SiteProtector で一般オプションを設定してコンソールを起動したときに表示されるデフォルトビューデフォルトのタイムゾーンデフォルトの日時表示形式などコンソールの動作を設定することができます手順一般オプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [General] を選択します 3. 次の一般オプションを設定しますオプション Default View Time Zone Time Format Refresh Interval Prompt before console exit Auto Refresh in new view Include Subgroups Show Alert Con / refresh every Show message regarding View permission on Site Group 説明コンソールを起動したときに表示されるデフォルトのビューを選択します Summary Policy Ticket Agent Asset Report Analysis タイムゾーンを選択します日時の形式を選択します SiteProtector がコンソール内のデータを自動更新する頻度を選択しますコンソールを終了するたびに確認メッセージが表示されるようにするかどうかを選択します SiteProtector を自動更新するかどうかを選択しますグループのデータとそのグループのサブグループのデータを表示する場合にこのオプションをオンにします AlertCon 状況を表示する場合にこのオプションをオンにしますドロップダウンメニューで更新間隔を設定することができます変更内容は SiteProtector へ次回にアクセスしたときに有効になります現在のサイトグループに関する権限拒否の情報を表示させる場合はこのオプションをオンにします 4. 左側の列で [Tables] を選択します 5. コンソールに表示する最大行数とグリッド線を表示するかどうかを指定します 6. [Apply] をクリックし [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

34 第 4 章 : コンソールの設定ロギング設定の指定 SiteProtector がロギングを扱う場合の方法をロギングオプションを設定することができます手順ロギングオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Logging] を選択します 3. ログレベルを選択します Log Level Fatal Error ( デフォルト ) Warn Info Debug All 説明致命的なメッセージだけを記録しますエラーおよび致命的なメッセージを記録します警告エラー致命的なメッセージを記録します通知警告エラー致命的なメッセージを記録しますデバッグのほかすべてのレベルのトレースを記録します重要 : このレベルでは大量のメッセージが生成されますすべてのメッセージを記録します注意 : ログレベルの変更は ISS のテクニカルサポートの助力を得て問題のトラブルシューティングにあたっている場合に限って行ってください 4. [Output] セクションでログに使用する出力形式を選択しますオプション説明 Standard Output Text File ログ情報をオペレーティングシステムの標準の出力デバイスへ送信しますログ情報を指定されたテキストファイルへ送信します 5. [Text File] を選択した場合は [ 参照 ] をクリックしてファイル名またはファイルの場所を変更します 6. [ 適用 ] をクリックし [OK] をクリックします 34

35 マニュアルオプションの設定マニュアルオプションの設定詳細なセキュリティ情報およびユーザーマニュアルはデフォルトで Internet Security Systems の Web サイトに格納されていますこれらのドキュメントにローカルでアクセスしたい場合はこのトピックで説明するタスクと設定を行う必要がありますタスクの概要 : ローカルでのセキュリティ情報の保管コンソールはセキュリティ情報にインターネット経由ではなくローカルアクセスすることができます表 9 ではセキュリティ情報にローカルアクセスする場合のタスクを説明しますタスク説明 1 セキュリティ情報の zip ファイル (XForceHelpFiles.zip) をからローカルドライブへダウンロードする 2 ファイルを解凍する 3 次の手順に従ってフォルダのパスを指定する表 9: セキュリティ情報へのローカルアクセスのタスクタスクの概要 : ユーザーマニュアルをローカルで保管するコンソールはユーザーマニュアルにインターネット経由ではなくローカルアクセスすることができます表 10 ではユーザーマニュアルにローカルアクセスする場合のタスクを説明しますタスク説明 1 ユーザーマニュアルの ZIP ファイル (SPUserDoc20sp5.zip) をからローカルドライブへダウンロードする 2 SiteProtector Application Server のルートディレクトリに解凍する一般的にルートディレクトリは次のとおりです \Program Files\ISS\RealSecure SiteProtector\Application Server 3 次の手順に従ってフォルダのパスを指定する表 10: ユーザーマニュアルへのローカルアクセスのタスク手順マニュアル設定を指定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Documentation] を選択します 3. [Location of security information] セクションで次のいずれかを選択します場所 Local directory 説明セキュリティ情報をローカルに保管してアクセスする場合はこれを選択してからパスを指定します SiteProtector User Guide for Security Managers Version 2.0, SP

36 第 4 章 : コンソールの設定場所 Remote URL 説明リモートにあるセキュリティ情報へアクセスする場合はこれを選択してから URL を指定します注記 : デフォルト URL は次のとおりです 4. [Location of Documentation] セクションで次のいずれかを選択します場所 On SiteProtector Server On 説明 SiteProtector マニュアルを SiteProtector に保管してアクセスする場合はこれを選択してから Application Server のアドレスを次の形式で入力しますの _IP_ アドレスまたは _DNS_ 名 :3994/ ISS 製品のマニュアル Web サイトで SiteProtector マニュアルにアクセスする場合はこれを選択します 5. [Apply] をクリックし [OK] をクリックします 36

37 プロキシオプションの設定プロキシオプションの設定このトピックではプロキシオプションの設定について説明します手順プロキシオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Proxy] を選択します 3. [Use Proxy] オプションをオンにし次のオプションを指定しますオプション Proxy host Proxy port 説明プロキシサーバーが使用するホストの名前プロキシサーバーが使用するポート 4. [Apply] をクリックし [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

38 第 4 章 : コンソールの設定サマリオプションの設定このトピックではサマリビューのオプションについて説明しますサマリオプションの情報表 11 ではサマリビューに表示可能な情報について説明します情報 System Health 説明すべての SiteProtector コンポーネントが正しく機能しているかどうかを示しそのサイトにある各エージェントの詳細情報が表示される [Agent] タブへリンクしています Site Summary Group Summary Available Updates Event History by Day 次の情報が表示されますサイトの名前 ( 場合によってはサイトホストの IP アドレス ) サイトのポートアセットの数サイト内のエージェント数とアクティブなエージェントの数注記 : SiteProtector は左ウィンドウ枠でサイトを選択してある場合に限りサイトの概要情報を表示しますグループを選択してある場合はグループの概要情報が表示されます次の情報が表示されますグループ名グループの説明アセットの数グループ内のエージェント数とアクティブなエージェントの数注記 : SiteProtector は左ウィンドウ枠でサイトを選択してある場合に限りサイトの概要情報を表示しますグループを選択してある場合はグループの概要情報が表示されます次の情報が表示されますサイト内の各 SiteProtector コンポーネントおよびエージェントのバージョンサイト内の各 SiteProtector コンポーネントおよびエージェントの名前各種 SiteProtector コンポーネントおよびエージェントにつきすべてのアップデートが適用された状態のコンポーネントおよびエージェントの数各種 SiteProtector コンポーネントおよびエージェントにつき古くなりアップデートが必要な状態のコンポーネントおよびエージェントの数次の情報を示す棒グラフが表示されます高危険度セキュリティイベントの合計数 (1 日ごと ) 中危険度セキュリティイベントの合計数 (1 日ごと ) 低危険度セキュリティイベントの合計数 (1 日ごと ) すべてのセキュリティイベントの合計数 (1 日ごと ) 表 11: サマリビューの情報 38

39 サマリオプションの設定情報 Today s Event Summary by Target Today s Event Summary by Source Vulnerability History by Month Vulnerability History by Day Ticket Status Vulnerability Summary by OS Vulnerability History by Week 説明当日のすべてのセキュリティイベントがターゲット IP アドレスごとに一覧表示され各イベントについて次の情報が表示されますセキュリティイベントのターゲット IP アドレスターゲット IP アドレスでの高危険度セキュリティイベントの数ターゲット IP アドレスでの中危険度セキュリティイベントの数ターゲット IP アドレスでの低危険度セキュリティイベントの数当該ターゲット IP アドレスに関する全優先度カテゴリのセキュリティイベントの合計数当日のすべてのセキュリティイベントが発信元 IP アドレスごとに一覧表示され各イベントについて次の情報が表示されますセキュリティイベントの発信元 IP アドレス発信元 IP アドレスでの高危険度セキュリティイベントの数発信元 IP アドレスでの中危険度セキュリティイベントの数発信元 IP アドレスでの低危険度セキュリティイベントの数当該発信元 IP アドレスに関する全優先度カテゴリのセキュリティイベントの合計数次の情報を示す棒グラフが表示されます高危険度脆弱性の合計数 ( 当月 ) 中危険度脆弱性の合計数 ( 当月 ) 低危険度脆弱性の合計数 ( 当月 ) すべての脆弱性の合計数 ( 当月 ) 次の情報を示す棒グラフが表示されます高危険度脆弱性の合計数 (1 日ごと ) 中危険度脆弱性の合計数 (1 日ごと ) 低危険度脆弱性の合計数 (1 日ごと ) すべての脆弱性の合計数 (1 日ごと ) クリティカル高優先度中優先度低優先度のチケットがステータス別に表示されます各オペレーティングシステムの脆弱性が一覧表示され各オペレーティングシステムに関する次の情報が表示されます当該オペレーティングシステムでの高危険度脆弱性の合計数当該オペレーティングシステムでの中危険度脆弱性の合計数当該オペレーティングシステムでの低危険度脆弱性の合計数当該オペレーティングシステムでの全カテゴリの脆弱性の合計数次の情報を示す棒グラフが表示されます高危険度脆弱性の合計数 (1 週ごと ) 中危険度脆弱性の合計数 (1 週ごと ) 低危険度脆弱性の合計数 (1 週ごと ) すべての脆弱性の合計数 (1 週ごと ) 表 11: サマリビューの情報 ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

40 第 4 章 : コンソールの設定情報 Event History by Month Event History by Week Scan Progress 説明次の情報を示す棒グラフが表示されます高危険度セキュリティイベントの合計数 (1 月ごと ) 中危険度セキュリティイベントの合計数 (1 月ごと ) 低危険度セキュリティイベントの合計数 (1 月ごと ) すべてのセキュリティイベントの合計数 (1 月ごと ) 次の情報を示す棒グラフが表示されます高危険度セキュリティイベントの合計数 (1 週ごと ) 中危険度セキュリティイベントの合計数 (1 週ごと ) 低危険度セキュリティイベントの合計数 (1 週ごと ) すべてのセキュリティイベントの合計数 (1 週ごと ) 現在進行中のスキャンジョブの数を示しそのサイトのコマンドジョブすべてが表示される [Properties] タブへリンクしています表 11: サマリビューの情報 ( 続き ) 手順サマリオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Summary] を選択します 3. グループを変更した場合に表示内容が自動更新されるようにするには [Update content on context change] オプションをオンにしますそうしない場合はこのオプションをオフにします 4. [Available] セクションで [Summary] ページに追加する項目を選択し [Add] をクリックします [Displayed] セクションは [Summary] タブに表示される項目を示します項目はリストアップされている順に表示されます順序を変更するにはリスト内で項目を選択して [Up] または [Down] をクリックします項目を削除するには項目を選択して [Remove] をクリックします 5. 手順 6 を繰り返し Summary ビューに表示させる項目すべてを [Display] セクションに追加します 6. [Apply] をクリックし [OK] をクリックします 40

41 エージェントビューのオプションの設定エージェントビューのオプションの設定エージェントビューにはグループ内のエージェントに関する情報が表示されますエージェントビューをカスタマイズしカスタム設定を agentview.xml ファイルに保存することができます手順エージェントビューのオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Agent] を選択しますエージェントビューのオプションが表示されます 3. グループを変更した場合にエージェント情報が自動更新されるようにするには [Update content on context change] オプションをオンにしますそうしない場合はこのオプションをオフにします 4. [Agent Default View] セクションで使用するエージェントビューを選択します注意 : コンソールを初めて設定する場合はカスタムビューがまだ作成されていないのでエージェントビューには factory-default.xml を選択する必要がありますサイトに接続した後はカスタムビューを作成可能となるためデフォルトのエージェントビューを作成したカスタムビューのいずれかに変更することができます 5. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

42 第 4 章 : コンソールの設定アセットビューのオプションの設定アセットビューにはグループ内のアセットに関する情報が表示されますアセットビューをカスタマイズしカスタム設定を assetview.xml ファイルに保存することができます手順アセットビューのオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Asset] を選択しますアセットビューのオプションが表示されます 3. グループを変更した場合にアセット情報が自動更新されるようにするには [Update content on context change] オプションをオンにしますそうしない場合はこのオプションをオフにします 4. [Asset Default View] セクションで使用するアセットビューを選択します注意 : コンソールを初めて設定する場合はカスタムビューがまだ作成されていないのでアセットビューには factory-default.xml を選択する必要がありますサイトに接続した後はカスタムビューを作成可能となるためデフォルトのアセットビューを作成したカスタムビューのいずれかに変更することができます 5. [Risk Index] セクションで [Show Vulnerabilities for the Past] オプションを設定します 6. [OK] をクリックします 42

43 ポリシービューのオプションの設定ポリシービューのオプションの設定ポリシービューではグループのポリシー表示設定を調整することができますこのトピックではポリシービューのオプションの設定方法について説明します手順ポリシービューのオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Policy] を選択しますポリシービューのオプションが表示されます 3. 無効化されたポリシーが SiteProtector によって自動編集されるようにする場合は [Automatically edit overridden policies] オプションをオンにします 4. ポリシーを保存する前に確認メッセージが表示されるようにするには [Prompt before policy save] をオンにします 5. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

44 第 4 章 : コンソールの設定チケット / レポートビューのオプションの設定チケットビューとレポートビューには対応するグループに関する情報が表示されますこれらのビューをカスタマイズし後で使用できるようにカスタム設定を保存することができますこのトピックではチケットまたはレポートビューのオプションの設定方法について説明します手順注記 : チケットビューとレポートビューの情報は [Options] ウィンドウの別々の場所にありますがビューオプションの設定手順が同じであるためここではまとめて説明していますチケットまたはレポートビューのオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Ticket] ( または [Report]) を選択しますチケット ( またはレポート ) ビューのオプションが表示されます 3. [Ticketing Default View] ( または [Report Default View]) セクションで使用するチケット ( またはレポート ) ビューを選択します注意 : コンソールを初めて設定する場合はカスタムビューがまだ作成されていないのでアセットビューには factory-default.xml を選択する必要がありますサイトに接続した後はカスタムビューを作成可能となるためデフォルトのアセットビューを作成したカスタムビューのいずれかに変更することができます 4. [OK] をクリックします 44

45 アナリシスビューのオプションの設定アナリシスビューのオプションの設定アナリシスビューにはグループ内のアセットに関連するセキュリティイベントなどの情報が表示されます手順アナリシスビューのオプションを設定するには : 1. コンソールを起動して [Tools] [Options] の順に選択します [Options] ウィンドウが表示されます 2. 左側の列で [Analysis] を選択しますアナリシスビューのオプションが表示されます 3. グループを変更した場合にアナリシス情報が自動更新されるようにするには [Update content on context change] オプションをオンにしますそうしない場合はこのオプションをオフにします 4. [Apply] をクリックし [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

46 第 4 章 : コンソールの設定 46

47 第 5 章ライセンスの設定概要この章では SiteProtector のライセンス設定および SiteProtector と併用する次のような ISS 製品のライセンス設定について説明します Desktop Protection Agent Proventia アプライアンススキャナー Network Sensor Server Sensor 要件 SiteProtector およびその他 ISS 製品のライセンスとトークンをできるだけ早く初期設定プロセス中に設定する必要があります設定しないと SiteProtector の機能をすべて活用することができないか本書で説明されているタスクをすべて実行することができませんライセンスのアーカイブ SiteProtector を再インストールおよび再構成する必要に迫られた場合に備えて ISS からライセンスを受け取り次第安全なリモートの場所に保管することを強くお勧めしますこの章の内容この章では次のトピックについて説明しますトピックページライセンスとは 48 エージェントおよび Desktop のライセンスの入手 50 エージェントまたは Desktop ライセンスの追加と削除 51 OneTrust トークンおよび OneTrust ライセンスとは 53 Proventia OneTrust ライセンス 54 OneTrust ライセンスのダウンロード 57 OneTrust トークンの作業 60 SiteProtector User Guide for Security Managers Version 2.0, SP

48 第 5 章 : ライセンスの設定ライセンスとはライセンスは購入した ISS 製品ごとにお客様に対して発行されその製品の使用権利を証明しますライセンスはまた次のような情報を含みます製品を使用可能な期間使用可能なエージェントの数 ( タイプ別 ) Network Internet Scanner でスキャン可能な IP アドレスの数製品保守契約の有効期限日 ( 保守契約によって製品のアップデートを入手可能 ) 注意 : 保守契約はすべて 1 年ごとに更新する必要があります保守契約の日付を更新しないと有効期限日後は製品アップデートを入手できません種類 ISS では購入された製品に応じてさまざまな種類のライセンスを発行します表 12 では SiteProtector がサポートするライセンスの種類を説明します種類エージェントライセンス Desktop ライセンス OneTrust ライセンス説明ライセンスキーとその他ライセンス情報が含まれるファイルファイルには次のうちいずれかの拡張子が付きます.key ( ライセンスキーとその他ライセンス情報が含まれるテキストファイル ) 例 : IS500.key.isslicense ( ライセンスキーとその他ライセンス情報が含まれるテキストファイル ) 例 : ISSInternetScanner.isslicense 英数字のライセンスキー例 : ABCabc123A1B2C3aBcCb1 ISS 顧客 ID と関連付けられライセンス済み OneTrust 製品を識別するトークンと呼ばれる英数字の ID コンポーネントおよび製品次のもの以外すべての SiteProtector コンポーネントに対して発行 : X-Press Update Server Event Archiver 次のもの以外すべての ISS 製品に対して発行 : RealSecure Desktop 7.0 Proventia Network Enterprise Scanner 次の製品に対して発行 : RealSecure Desktop 7.0 次の SiteProtector コンポーネントに対して発行 : X-Press Update Server Event Archiver 次の ISS 製品に対して発行 : Proventia Network Enterprise Scanner 表 12: ライセンスの種類と該当するコンポーネントおよび製品個別のライセンス ISS では次の製品に関して個別のライセンスファイルを受け付けています ISS 製品 : Network Sensor (Gigabit Sensor) Server Sensor Network Internet Scanner RealSecure Desktop Proventia Desktop 48

49 ライセンスとはネットワーク不正侵入検知システムアプライアンス Proventia G アプライアンス Network Multi-Function Security アプライアンス SiteProtector コンポーネントと追加のモジュール Reporting Module SecurityFusion Module Third Party Module 注記 : 1 つのライセンスファイルに複数製品のライセンスを含めることが可能ですアップデートのライセンス要件 SiteProtector コンポーネントのアップデート前に最低でも 1 つのライセンスを SiteProtector に設定する必要があります SiteProtector User Guide for Security Managers Version 2.0, SP

50 第 5 章 : ライセンスの設定エージェントおよび Desktop のライセンスの入手エージェントおよび Desktop ライセンスの入手については本製品の保守契約を締結されている代理店までお問い合わせくださいライセンスの保管ライセンスを受け取り次第 SiteProtector のインストール場所とは別の安全なリモートの場所に保管することを強くお勧めしますこうしておくことで何らかの理由で万一 SiteProtector を再インストールおよび再構成する必要に迫られた場合ライセンスへすぐにアクセスすることができますエージェントまたは Desktop ライセンスを誤った場所に保管した場合やなくした場合は新しいライセンスを要求して発行を待つ必要がありますアップグレードライセンス RealSecure Desktop 3.6 または 7.0 から Proventia Desktop へアップグレードする場合は ISS にお問い合わせのうえアップグレードライセンスを入手する必要がありますアップグレードライセンスはライセンスファイルとして発行されますアップグレードライセンスを SiteProtector に追加すると製品の完全版アップグレードをダウンロード可能となります注記 : RealSecure Desktop 3.6 または 7.0 のライセンスは英数字のライセンスキーとして発行されていましたこれら製品を Proventia Desktop にアップグレードするプロセスでは Desktop 3.6 または 7.0 のライセンスキーを英数字のライセンスキーからライセンスファイルへ変換する必要がありますアップグレードプロセスを促進するために SiteProtector は英数字のライセンスキーをライセンスファイルへ自動的に変換し適切な場所に保存しますトークンの入手 Proventia Network Enterprise Scanner X-Press Update Server または Event Archiver のトークンを入手する方法については OneTrust トークンの作業 (60 ページ ) を参照してください 50

51 エージェントまたは Desktop ライセンスの追加と削除エージェントまたは Desktop ライセンスの追加と削除このトピックでは次の種類のライセンスを SiteProtector で追加および削除する方法について説明しますエージェントおよびモジュールのライセンス Desktop のライセンスエージェントまたはモジュールのライセンスの追加エージェントまたはモジュールのライセンスを SiteProtector に追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [Agent/Module] の順に選択しますファイルに基づいたライセンス情報のウィンドウが表示されます 3. [Licenses] タブを選択し [Add] をクリックします [Add License to SiteProtector] ウィンドウが表示されます 4. 追加するライセンスが含まれるフォルダに移動しライセンスファイルを選択して [OK] をクリックします注意 : ライセンスキーファイルには.key または.isslicense という拡張子が付いています [Software License Agreement] ウィンドウが表示されます 5. [Accept] をクリックしますライセンスが [Licenses] タブに表示されますエージェントおよびモジュールのライセンスの削除エージェントまたはモジュールのライセンスを SiteProtector から削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [Agent/Module] の順に選択しますファイルに基づいたライセンス情報のウィンドウが表示されます 3. [Licenses] タブを選択します 4. 削除するライセンスを選択し [Remove] をクリックしますライセンスの削除を確認するメッセージが表示されます 5. [ はい ] をクリックしますライセンスが削除されます Desktop ライセンスの追加 Desktop ライセンスは RealSecure Desktop 7.0 製品のみで使用されます Desktop ライセンスを SiteProtector に追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [RealSecure Desktop] の順に選択します [RealSecure Desktop License Information] ウィンドウが表示されます 3. [Add] をクリックします [Add RealSecure Desktop License] ウィンドウが開きます 4. ライセンスキーと説明を入力し [OK] をクリックします [Software License Agreement] ウィンドウが表示されます 5. [Accept] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

52 第 5 章 : ライセンスの設定ライセンスが [Licenses] タブに表示されます Desktop ライセンスの削除 Desktop ライセンスを SiteProtector から削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [RealSecure Desktop] の順に選択します [RealSecure Desktop License Information] ウィンドウが表示されます 3. [License Key] リストで削除対象のデスクトップライセンスを選択し [Remove] をクリックしますライセンスの削除を確認するメッセージが表示されます 4. [ はい ] をクリックしますライセンスが削除されます 52

53 OneTrust トークンおよび OneTrust ライセンスとは OneTrust トークンおよび OneTrust ライセンスとはこのトピックでは OneTrust トークンと OneTrust ライセンスについて説明しこれらが Proventia OneTrust ライセンスでどのように使用されるかについて説明しますトークン OneTrust トークンは次のいずれかの製品を購入した場合に ISS から配布される英数字の ID です SiteProtector (X-Press Update Server および Event Archiver で使用 ) Network Enterprise Scanner トークンはお使いの ISS OneTrust ライセンスに関連付けられていますライセンス OneTrust ライセンスはまた次のような情報を含みます購入した製品の一覧各製品の数製品のメンテナンスプランの有効期限日製品の使用説明ライセンス内の情報は暗号化されています SiteProtector はこの情報を抽出して復号化しコンソールに表示します新しい製品を購入するとコンソールに表示されている情報が自動的に更新されます複数のトークン通常お客様に与えられるのは 1 つの顧客 ID と 1 つのトークンです場合によっては組織内で部署ごとに製品を別々に購入している場合がありますこの場合 ISS からは部署ごとに異なる ID とトークンが発行されますその結果部署ごとに異なる複数のトークンが SiteProtector 内に存在することとなりますしかしこのサイトに対するすべてのライセンスを含むライセンスファイルは 1 つだけです SiteProtector User Guide for Security Managers Version 2.0, SP

54 第 5 章 : ライセンスの設定 Proventia OneTrust ライセンス Proventia OneTrust ライセンスは ISS 製品の新しいライセンスシステムです現時点では OneTrust ライセンスを使用するエージェントは次の SiteProtector コンポーネントおよび ISS 製品だけです SiteProtector コンポーネント X-Press Update Server Event Archiver ISS 製品 Proventia Network Enterprise Scanner 説明 OneTrust ライセンスはこれまでのライセンスシステムと異なりますこれまでのシステムでは ISS 製品の発注ごとに別個のライセンスキーが必要です OneTrust ライセンスでは 1 つのトークンしか必要ありません表 13 では ISS 製品の使用と管理に必要なキーの数が OneTrust ライセンスによってどれだけ簡素化されるのかを示しますこれまでのライセンスシステム OneTrust ライセンスシステム製品必要なキー製品必要なトークン Proventia Desktop Keylib6 key 1 Proventia Desktop Keylib6 key 2 keylib6 key 3 Proventia G Keylib6 key 1 Proventia G Keylib6 key 2 Keylib6 key 3 Server Sensor Keylib5 key 1 Server Sensor 1 つのトークン Network Multi- Function Security Keylib5 key 2 Keylib5 key 3 Keylib6 key 1 Keylib6 key 2 Keylib6 key 3 Network Multi- Function Security 表 13: これまでのシステムと OneTrust ライセンスシステムとの比較利点 OneTrust ライセンスには次の利点があります複数 ISS 製品の購入にあたり 1 つの簡単なライセンスプロセスで済む ISS 製品の配備にかかる時間が短縮されるキー管理にかかる時間が短縮される製品の使用とメンテナンスの運用が ISS に移される 54

55 Proventia OneTrust ライセンスプロセス : 自動表 14 では OneTrust ライセンス使用の自動プロセスについて説明しますステージ説明 1 OneTrust を利用可能な製品を購入します 2 ISS から次の情報が生成されます顧客アカウントに関連付けられた固有の顧客 ID 顧客 ID に関連付けられた固有のトークン顧客 ID に関連付けられたライセンス 3 SiteProtector に MyISS アカウントまたは製品発注番号を設定します SiteProtector は ISS からトークンを自動的にダウンロードして取り込みます 4 コンソールにライセンス情報が表示されます 5 OneTrust を利用可能な製品を配備しこれを SiteProtector に登録します 6 製品のアップデートを試みた場合 ISS ではその製品のアップデートをダウンロード可能かどうかライセンスに基づいて判断しますこのステージは ISS の Web サーバーで行われます表 14: OneTrust ライセンス使用の自動プロセスプロセス : 手動表 15 では OneTrust ライセンス使用の手動プロセスについて説明しますステージ説明 1 OneTrust を利用可能な製品を購入します 2 ISS から次の情報が生成されます顧客アカウントに関連付けられた固有の顧客 ID 顧客 ID に関連付けられた固有のトークン顧客 ID に関連付けられたライセンス 3 次のいずれかの手動による方法を使用してトークンを入手します電子メールを通じて ISS からトークンを入手する MyISS アカウントを使用してトークンをダウンロードする Manual Upgrader を使用してトークンをダウンロードする 4 トークンを手動で入力します 5 ISS のダウンロードページからライセンスを入手しライセンスインポート機能を使用してライセンスを SiteProtector の正しい場所へインポートします 6 コンソールにライセンス情報が表示されます 7 OneTrust を利用可能な製品を配備しこれを SiteProtector に登録します表 15: OneTrust ライセンス使用の手動プロセス SiteProtector User Guide for Security Managers Version 2.0, SP

56 第 5 章 : ライセンスの設定アクセスレベル表 16 では 4 つのアクセスレベルについて説明しますアクセスレベル Full Access Limited Access No Access Evaluation Access 説明このレベルでは次の作業が可能です購入済み製品のライセンス済み用途での使用すべての製品と機能に対するアクセス a 購入済み製品の数量限定のない使用購入済み製品のアップデートへのアクセスこのレベルには次の要件があります少なくとも 1 つの製品の保守契約が最新の状態である必要があるこのレベルでは次の作業が可能です購入済み製品のライセンス済み用途での使用購入済み製品の数量限定のない使用購入済み製品のアップデートへのアクセスこのレベルには次の要件があります少なくとも 1 つの製品の保守契約が最新の状態である必要がある各購入済み製品タイプのうち 1 つが最新の状態である必要があるこのレベルでは製品または製品アップデートに対するアクセス権がありませんこのレベルでは次の作業が可能ですすべての製品と機能に対するアクセス購入済み製品の数量限定のない使用購入済み製品のアップデートへのアクセスこのアクセスレベルには次の要件があります少なくとも 1 つの製品の保守契約が最新の状態である必要がある各購入済み製品タイプのうち 1 つが最新の状態である必要があるアクセス期間は 45 日間に限られる表 16: アクセスレベルの説明 a. サードパーティ契約輸出規制の問題その他の要因で一部の製品では含まれていません 56

57 OneTrust ライセンスのダウンロード OneTrust ライセンスのダウンロードこのトピックでは OneTrust ライセンスのダウンロード方法について説明します方法表 17 では OneTrust ライセンスをダウンロードする 2 つの方法について説明します方法説明自動自動的に ISS に問い合わせてライセンスをダウンロードするように SiteProtector を設定することができますこの方法では SiteProtector がインターネットアクセス可能である必要があり次のうちいずれかが必要ですトークン有効な MyISS ユーザー名とパスワード有効な Onyx ユーザー名とパスワード手動 Manual Upgrader を使用してライセンスをダウンロードし手動で SiteProtector にインポートすることができますこの方法では Manual Upgrader ソフトウェアが必要であり Manual Upgrader のインストール先コンピュータがインターネットアクセス可能である必要があります表 17: ライセンスダウンロードの方法ライセンスの自動ダウンロードライセンスアップデートを ISS のダウンロードページから自動的にダウンロードするように SiteProtector を設定するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを選択し [Download Options] をクリックします [Download Options] ウィンドウが表示されます 4. [Download licenses from the Internet] をオンにし SiteProtector がライセンスアップデートをチェックする間隔を時間単位で設定します 5. [OK] をクリックします 6. [Licenses] タブを選択し次のいずれかを入力しますトークン有効な MyISS ユーザー名とパスワード有効な Onyx ユーザー名とパスワード SiteProtector はこの情報を使用して ISS のダウンロードページにアクセスします 7. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

58 第 5 章 : ライセンスの設定タスクの概要 : ライセンスの手動ダウンロードお使いの SiteProtector がインターネットアクセス可能ではない場合は Manual Upgrader を使用してライセンスをダウンロードします表 18 ではライセンスの手動ダウンロードのタスクについて説明しますタスク説明 1 Manual Upgrader を使用して ISS からライセンスをダウンロードする Manual Upgrader に関する情報とそのインストール手順については Manual Upgrader を使用したアップデートファイルのダウンロード (90 ページ ) を参照してください 2 ライセンスを SiteProtector にインポートする表 18: ライセンスファイル手動ダウンロードのタスク Manual Upgrader を使用したライセンスのダウンロード Manual Upgrader を使用してライセンスをダウンロードするには : 注記 : この手順を完了するにはエージェントライセンスファイルが必要です 1. ManualUpgrader.exe をダブルクリックします 2. [Please select a valid Internet Security Systems sensor or agent license file] ウィンドウが表示されたでしょうか表示された場合は手順 3 に進みます表示されない場合は手順 6 に進みます 3. 有効なライセンスファイルを検索して選択します選択したファイルの名前が [ ファイル名 ] ボックスに表示されます 4. [ 開く ] をクリックします EULA のウィンドウが表示されます 5. ライセンス契約と輸出契約の内容を読み承諾します Manual Upgrader の警告ウィンドウが表示されます 6. 利用可能なアップデートの新しいカタログを Web から入手する場合は [Yes] 入手しない場合は [No] をクリックします注意 : 李異様可能なアップデートのカタログをまだダウンロードしていない場合は [No] をクリックすると操作が終了します 7. Manual Upgrader のメニューバーで [Licensing] [Request a One Trust License] の順に選択します [Token Requests] ウィンドウが表示されます 8. トークンを手動で入力しますか手動で入力する場合は [Manually enter a token] ボックスにトークンを入力して [Use Token] をクリックします手動で入力しない場合は [Download a Token from Internet Security Systems] セクションにユーザー名とパスワードを入力して [Download Token] をクリックします 9. 入力するトークンのそれぞれについて手順 8 を繰り返します注意 : トークンを追加するたびにトークンが [Current Token List] ボックスに表示されていきます 10. OneTrust ライセンスを置くディレクトリを選択します [OneTrust License directory] フィールドの右側にある [ ボタンをクリックしディレクトリを選択して [OK] をクリックしますこの手順を省略して現在のディレクトリを承認することもできます現在のディレクトリは [OneTrust License directory] ボックスにリストアップされています 58

59 OneTrust ライセンスのダウンロード注意 : 1 つのディレクトリに 1 つのトークンファイルしか保存できませんがトークンファイル内にはいくつかのトークンを含めることができます 11. [Download OneTrust License] をクリックします操作が成功すると OneTrust ライセンスが受信されたことを示すメッセージが表示されます 12. ライセンスを SiteProtector にインポートします SiteProtector へのライセンスのインポートについてはこのトピックのライセンスのインポートを参照してくださいライセンスのインポートライセンスを手動でインポートするには : 1. SiteProtector Console コンピュータにインポートするライセンスディレクトリをコピーしますライセンスディレクトリとはこのトピックの Manual Upgrader を使用したライセンスのダウンロードセクションの手順 10 で指定したディレクトリです 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを選択し [Remove] をクリックします古いライセンス情報が削除されます注意 : 古いライセンス情報が SiteProtector に存在しない場合 [Remove] ボタンは利用できません次の手順に進んでください 4. [Import] をクリックします [Choose Import Directory] ウィンドウが表示されます 5. ライセンスを含むディレクトリに移動し [ 開く ] をクリックしますライセンス情報が [Licenses] タブに表示されます 6. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

60 第 5 章 : ライセンスの設定 OneTrust トークンの作業このトピックでは次のタスクの実行方法について説明します ISS からのトークンの入手 SiteProtector への手動によるトークン追加 SiteProtector への自動的なトークン追加トークンの編集トークンの削除注記 : トークンを追加編集または削除した場合は OneTrust ライセンスの概要に変更内容が反映されます要件 OneTrust ライセンスをコンソールにダウンロードして内容を表示できるようにするには必要なトークンを SiteProtector に追加する必要がありますトークンの入手トークンを入手するために次のうちいずれかの方法を使用することができます license@iss.net にメールを送る有効なユーザー名とパスワードを使用して MyISS または Onyx にログインしトークンをコピーする ISS のダウンロードページにアクセスしてトークンを自動的にダウンロードするように SiteProtector を設定する自動的なトークンの追加 (60 ページ ) を参照してください Manual Upgrader を使用してトークンとライセンスをダウンロードする手動によるトークンの追加 SiteProtector がインターネットにアクセスできない場合はトークンを手動で SiteProtector に追加する必要がありますこのタスクを実行する前にトークンを入手しておく必要がありますトークンを SiteProtector に手動で追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを選択し [Add] をクリックします [Add Token(s)] ウィンドウが表示されます 4. [Token] オプションをオンにします桁のトークン番号クン番号を入力し [OK] をクリックします重要 : トークン番号を正しく入力してください入力された番号が有効かどうか SiteProtector はチェックしませんトークン番号が正しくないと [Summary] タブにライセンスが表示されません [Edit] ボタンを使用してトークン番号を正しく入力し直してください番号を正しく入力するためにコピーアンドペースト機能を使用することができます自動的なトークンの追加 SiteProtector がインターネットにアクセスできる場合は ISS のダウンロードページからトークンを自動的にダウンロードするように SiteProtector を設定することができますこの機能を使用するには MyISS または Onyx の有効なユーザー名とパスワードを SiteProtector に入力する必要があり 60

61 OneTrust トークンの作業ますトークンを ISS のダウンロードページから自動的にダウンロードするように SiteProtector を設定するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを選択し [Add] をクリックします [Add Token(s)] ウィンドウが表示されます 4. [ISS User Name/ OCN Password] オプションをオンにします 5. MyISS または Onyx の有効なユーザー名とパスワードを入力し [OK] をクリックします SiteProtector は入力されたユーザー名とパスワードを使用して ISS のダウンロードページに問い合わせトークンを SiteProtector に自動的にダウンロードしますトークンをダウンロードした後はライセンスに関する ISS ダウンロードページとの通信においてユーザー名とパスワードではなくこのトークンが使用されますトークンの編集トークンを編集するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを開きます 4. 編集するトークンを選択し [Edit] をクリックします [Edit Token(s)] ウィンドウが表示されます 5. 正しいトークン番号を入力し [OK] をクリックしますトークンの削除トークンを削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Licenses] [OneTrust] の順に選択します [OneTrust License Information] ウィンドウが開きます 3. [Licenses] タブを選択します 4. 編集するトークンを選択し [Remove] をクリックします確認メッセージが表示されます 5. [Yes] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

62 第 5 章 : ライセンスの設定 62

63 第 6 章 Agent Manager の設定概要この章では次のタスクについて説明します Agent Manager の設定 Agent Manager アカウントの設定エージェントへの Agent Manager の割り当てバックアップ Agent Manager の設定推奨 Agent Manager と通信するその他 SiteProtector コンポーネントを設定する前に Agent Manager アカウントを設定することを強くお勧めしますこうすることでコンポーネントと Agent Manager の間の通信が確実に保護されますこの章の内容この章では次のトピックについて説明しますトピックページ Agent Manager とは 64 Agent Manager プロパティの設定 66 Agent Manager プロパティの表示 67 Agent Manager アカウントの作成 68 エージェントへの Agent Manager の割り当て 69 バックアップ Agent Manager の指定 70 SiteProtector User Guide for Security Managers Version 2.0, SP

64 第 6 章 : Agent Manager の設定 Agent Manager とは説明 Agent Manager は SiteProtector コンポーネントおよびエージェントに次の機能を提供しますさまざまなコマンドアンドコントロールアクティビティを管理する Event Collector へのデータ転送を促進するハートビートを受け入れるアップデートを提供するエージェントとコンポーネント次の SiteProtector コンポーネントおよびエージェントは Agent Manager と通信します X-Press Update Server RealSecure Desktop 7.0 Proventia Desktop Network IPS アプライアンス Network Multi-Function Security アプライアンス Proventia Server Network Enterprise Scanner Event Archiver プロセス表 19 では SiteProtector コンポーネントおよびエージェントがポリシーやその他重要な情報を Agent Manager 経由で SiteProtector から入手する方法を説明します段階説明 1 エージェントが Agent Manager へのハートビートを開始します 2 Agent Manager がハートビートを受信します 3 Agent Manager はそのエージェントの設定をグループ設定と比較しエージェントへ送信するデータを決定します 4 Agent Manager が必要なデータをエージェントに送信します送信されるデータには次のうちいずれかが含まれます含まれるデータなしポリシーの変更アップデートポリシー変更とアップデート表 19: エージェントと Agent Manager との通信プロセスハートビートハートビートはポリシーと設定のアップデートに関するスケジューリングされた要求ですエージェントは Agent Manager へ定期的にハートビートを送信し Agent Manager はアップデートをエージェントへ送信しますハートビートは暗号化された HTTP または HTTPS 要求です RealSecure Desktop 7.0 は HTTP 要求を送信しますその他のエージェントはデフォルトで HTTPS 要求を送信します注記 : スケジューリングされたハートビートはセキュリティイベントには影響を与えません 64

65 Agent Manager とは Agent Manager を使用しないエージェントおよびコンポーネント次の SiteProtector コンポーネントおよびエージェントは Agent Manager を通じて SiteProtector と通信しませんこれらのコンポーネントおよびエージェントは Sensor Controller を通じて SiteProtector と通信します Network Sensor 6.5 および 7.0 Server Sensor 6.5 および 7.0 Network Internet Scanner Proventia G シリーズ Event Collector Deployment Manager Agent Manager SecurityFusion Module Third Party Module Proventia A Server System Scanner Databridge SiteProtector User Guide for Security Managers Version 2.0, SP

66 第 6 章 : Agent Manager の設定 Agent Manager プロパティの設定このトピックでは Agent Manager プロパティの設定方法について説明しますこれらの設定は Agent Manager の次のような動作を制御します Agent Manager が Desktop Protection Agent をインストールする方法 Agent Manager が Desktop Protection Agent からのイベントをレポートする方法 Site Database との接続が切断された場合に Agent Manager が応答する方法 Agent Manager との通信をエージェントが認証する方法 Agent Manager アカウントの作成 (68 ページ ) を参照してください手順 Agent Manager のプロパティを設定するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのドロップダウンメニューで [Agent] を選択します 3. 右ウィンドウ枠で Agent Manager を右クリックしポップアップメニューから [Properties] を選択します Agent Manager のプロパティタブが開きます 4. 左ウィンドウ枠で [Agent Properties] を選択し右ウィンドウ枠で [Edit Agent Properties] をクリックします Policy Editor が表示されます 5. 次のプロパティを必要に応じて編集します Communication Settings ( 通信の設定 ) Database Connection Loss Actions ( データベース接続切断時のアクション ) Accounts ( アカウント ) Proventia Desktop Access Control 注意 : これら設定の編集方法については Policy Editor のヘルプを参照してください 6. [Save] をクリックし [File] メニューの [Exit] を選択します 66

67 Agent Manager プロパティの表示 Agent Manager プロパティの表示このトピックでは Agent Manager プロパティの表示について説明します手順 Agent Manager のプロパティを表示するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で Agent Manager を右クリックしポップアップメニューから [Properties] を選択しますプロパティタブにプロパティが表示されます Agent Manager のプロパティの説明表 20 では Agent Manager のプロパティを説明しますプロパティ説明 License State Agent Manager のライセンスが有効かどうかを示します ( 例 : Key Good) Sensor Status Event Collector Connection Status Agent Manager のステータス ( 例 : Active) Agent Manager と Event Collector との通信のステータス ( 例 : Online) Version Agent Manager のバージョン ( 例 : 6.9 (SP 7.1 )) XPU Status Last Installed XPU ソフトウェアバージョンのステータス ( 例 : Current) インストールされている最新のソフトウェアアップデートのバージョン ( 例 : SP 7.1) Event Collector Assigned Agent Manager に割り当てられている Event Collector の名前 ( 例 : コンピュータ名 _EventCollector) Event Collector Keys Installed XPU Date Option Flag Logging Level Event Collector の必要な暗号化キーが Agent Manager にインストールされているかどうかを示します ( 例 : Yes) 最新のソフトウェアアップデートがインストールされた日時 ( 例 : October 1, :00PM) Agent Manager のオプションフラグ ( 例 : Default) Agent Manager のログファイルに生成される情報の種類を示します ( 例 : Informational) Event Port Agent Manager が通信で使用するイベントポート ( 例 : 914) Control Port Master Console Control Channel Engine UUID Last Modified by Agent Manager が使用する制御ポート ( 例 : Default) マスターステータスが割り当てられたコンソールの名前通信チャネルのステータス ( 例 : Closed) エンジンの ID Agent Manager へ最後に変更を加えたコンポーネントの名前と変更が行われた日時表 20: Agent Manager のプロパティの説明 SiteProtector User Guide for Security Managers Version 2.0, SP

68 第 6 章 : Agent Manager の設定 Agent Manager アカウントの作成 Agent Manager と通信するコンポーネントおよび製品に関して Agent Manager アカウントを作成することができます Agent Manager アカウントは Agent Manager との通信を試みるコンポーネントおよび製品の認証を行う手段を提供しますこのトピックでは Agent Manager アカウントの作成方法について説明します推奨 Agent Manager と安全に通信するできるようにすべてのエージェントで Agent Manager アカウントを使用することを強くお勧めします手順 Agent Manager アカウントを追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのドロップダウンメニューで [Agent] を選択します 3. 右ウィンドウ枠で Agent Manager を右クリックしポップアップメニューから [Properties] を選択しますプロパティタブが表示されます 4. 左ウィンドウ枠で [Agent Properties] を選択し右ウィンドウ枠で [Edit Agent Properties] をクリックします Policy Editor が表示されます 5. Policy Editor の左ウィンドウ枠で [Accounts] を選択しますアカウントのウィンドウ枠に現在のアカウント名と説明が一覧表示されます 6. [Add] をクリックします 7. 他と重複しないアカウント名を [Account Name] に入力し [Enter Password] をクリックします 8. [Password] にパスワードを入力して確認したら [ 了解 ] をクリックします 9. [Description] にアカウントの説明を入力し [OK] をクリックします 10. [File] メニューの [Save] をクリックし [Exit] を選択します 68

69 エージェントへの Agent Manager の割り当てエージェントへの Agent Manager の割り当てこのトピックでは Agent Manager をエージェントに割り当てる方法について説明します手順 Agent Manager をエージェントに割り当てるには : 1. 当該エージェントを含むグループを左ウィンドウ枠で右クリックし [Properties] を選択しますプロパティタブが表示されます 2. 左ウィンドウ枠で [Group Settings] を選択しますグループ設定のウィンドウが表示されます 3. [Agent Manager List] タブを選択します 4. 選択対象の Agent Manager は [Agent Manager Information] リストに表示されているでしょうか表示されている場合は手順 8 に進みます表示されていない場合は手順 5 に進みます 5. [Add] をクリックします 6. 別のサイトにある Agent Manager を選択する場合は各フィールドに情報を入力し手順 10 に進みます 7. [Choose an Agent Manager] をクリックします 8. 使用する Agent Manager を選択し [ 了解 ] をクリックします 9. [Add Agent Manager Information] ウィンドウで [OK] をクリックします 10. プライマリ Agent Manager を選択し上向き矢印をクリックしてプライマリ Agent Manager を一番上の行に移動します 11. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

70 第 6 章 : Agent Manager の設定バックアップ Agent Manager の指定次の製品およびコンポーネントについてバックアップ Agent Manager を指定することができます XPU Server RealSecure Desktop 7.0 Proventia Desktop Network IPS アプライアンス Network Multi-Function Security アプライアンス Proventia Server Network Enterprise Scanner 前提条件バックアップ Agent Manager を指定する前に次のタスクを完了しておく必要があります追加の Agent Manager をインストールする SiteProtector Installation Guide を参照してくださいすべての Agent Manager アカウントをバックアップ Agent Manager に複製する Agent Manager アカウントの作成 (68 ページ ) を参照してください手順 Agent Manager をバックアップに指定するには : 1. 当該エージェントを含むグループを左ウィンドウ枠で右クリックし [Properties] を選択しますプロパティタブが表示されます 2. [Action] メニューの [Add/Edit Group Settings] を選択しますグループ設定のウィンドウが表示されます 3. 左ウィンドウ枠で [Agent Manager List] を選択します 4. バックアップとして使用する Agent Manager がコントローラの情報リストに表示されたら手順 8 に進みます 5. [Add] をクリックします 6. 別のサイトにある Agent Manager を選択する場合は各フィールドに情報を入力して [OK] をクリックし手順 10 に進みます 7. [Choose an Agent Manager] をクリックします 8. バックアップとして使用する Agent Manager を選択し [OK] をクリックします 9. プライマリ Agent Manager を選択し上向き矢印をクリックしてプライマリ Agent Manager を一番上の行に移動します注意 : バックアップ Agent Manager は残りの行で優先度順に並びます 2 行目の Agent Manager は最初のバックアップ 3 行目は 2 番目のバックアップ ( 以下同様 ) となります 10. [OK] をクリックします 70

71 第 7 章 SiteProtector のアップデート概要この章では次のタスクについて説明しますアップデートとアップデートプロセス SiteProtector のアップデート SiteProtector の手動アップデート要件その他コンポーネントを設定する前に最新のソフトウェアアップデートで SiteProtector をアップデートする必要がありますこうすることで最も安全性と信頼性の高い最新の ISS ソフトウェアを確保することができますこの章の内容この章では次のセクションについて説明しますセクションページセクション A: アップデートの概要 73 セクション B: SiteProtector のアップデート 79 セクション C: インターネットアクセスのない XPU Server へのアップデート適用 85 SiteProtector User Guide for Security Managers Version 2.0, SP

72 第 7 章 : SiteProtector のアップデート 72

73 セクション A: アップデートの概要概要このセクションではアップデートプロセスに関する情報と ISS から提供されるアップデートの種類について説明します注記 : このセクションの情報は Network Sensor や Server Sensor などすべての ISS 製品に当てはまりますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページアップデートのプロセス 74 X-Press Update 76 Service Pack 78 SiteProtector User Guide for Security Managers Version 2.0, SP

74 第 7 章 : SiteProtector のアップデートアップデートのプロセスこのトピックでは次の内容について説明します一般的なアップデートプロセスのステージアップデートプロセスで必要になるアップデートファイルの種類コンポーネントおよびエージェントがアップデートプロセス中に表示する可能性のあるステータス注記 : このトピックの情報は XPU Server にインターネットアクセスが設定されていることを前提としていますインターネットアクセスできない場合のエージェントおよびコンポーネントアップデートについてはエージェントとコンポーネントの手動アップデートを参照してくださいプロセス表 21 では一般的なアップデートプロセスを説明しますステージ説明 1 SiteProtector が新しいカタログファイルがないかどうかデフォルトで 24 時間ごとに ISS の Web サイトをチェックします 2 新しいカタログファイルが入手可能になっている場合 SiteProtector はそのファイルを入手します 3 SiteProtector はカタログファイルの情報を取り出し利用可能な製品またはコンポーネントのアップデートを確認してこの情報を Site Database に渡します 4 コンソールがコンポーネントのステータスを更新しアップデートが入手可能かどうかを反映させますコンポーネントのアップデートが利用可能であればコンポーネントのステータスは Out of Date となります 5 SiteProtector は Application Server 上のレポジトリにアップデートファイルを ( スケジューリング設定に従って ) ダウンロードするかアップデートファイルがダウンロード可能であることを通知します 6 Sensor Controller は Out of Date のコンポーネントにアップデートファイルを ( スケジューリング設定に従って ) 適用するかプロセスが開始されたときにアップデートファイルを適用しますアップデート適用プロセスを開始するまで待機するように XPU 設定が指定されている場合 Sensor Controller はレポジトリからアップデートファイルを適用します XPU Server が ISS のダウンロードセンターからファイルをもう一度ダウンロードする必要はありません表 21: アップデートのプロセス必要なファイル表 22 ではアップデート中に必要となるファイルについて説明します必要なファイル説明ライセンスファイル ISS 製品の使用とアップデートを行うために必要なファイルすべてのアップデートおよびダウンロードが輸出規制法を順守しているかどうかを確認する SiteProtector Export Compliance チェックで必要です表 22: アップデートに必要なファイル 74

75 アップデートのプロセス必要なファイル説明カタログファイル製品またはコンポーネントに適用可能なアップデートに関する情報が含まれています SiteProtector はこのファイルに含まれる情報を使用してコンポーネントのステータスを確認します ISS のダウンロードページから入手可能ですサイトがインターネットに接続可能である場合自動的にダウンロードされますアップデートファイル製品またはコンポーネントに適用可能なアップデートに関する情報が含まれています SiteProtector はこのファイルに含まれる情報を使用してコンポーネントのステータスを確認します ISS のダウンロードページから入手可能ですサイトがインターネットに接続可能である場合自動的にダウンロードされます表 22: アップデートに必要なファイル SiteProtector User Guide for Security Managers Version 2.0, SP

76 第 7 章 : SiteProtector のアップデート X-Press Update X-Press Update (XPU) は次のような新規セキュリティコンテンツを含むソフトウェアリリースです新規シグネチャ新規チェック改訂されたシグネチャ改訂されたチェックセキュリティ上の問題点に対処する改訂済みポリシーエージェント ISS では次のようなすべてのエージェントに対して XPU を提供しています Desktop Protection Agent (Proventia Desktop など ) アプライアンス (Network Multi-Function Security G アプライアンスなど ) エージェント (Network Sensor Server Sensor Proventia Server など ) スキャナー (Network Internet Scanner Network Enterprise Scanner System Scanner など ) SiteProtector コンポーネント ISS では次の SiteProtector コンポーネントに対して XPU を提供しています Site Database XPU Server Event Archiver 累積型 XPU と増分 XPU 表 23 では累積型 XPU と増分 XPU の違いについて説明します XPU の種類説明累積型 XPU Network Sensor や Server Sensor などのエージェントに使用されます以前の XPU でリリースされた変更内容がすべて含まれます累積型 XPU をインストールする場合エージェントは最新のシグネチャおよびコードの変更をすべて反映してアップデートされます累積型 XPU を削除するとエージェントは XPU が適用される前の状態に戻ります増分 XPU Network Internet Scanner などのエージェントに使用されます前回の XPU 以降の変更内容だけが含まれます以前の XPU に含まれる変更内容は含まれません増分 XPU をインストールする場合まだインストールされていない以前の XPU も自動的にインストールされます増分 XPU を削除する場合は一番最後に適用された XPU だけが削除されますすべての変更を削除するにはこれまでに適用した XPU を個別に削除してエージェントを前の状態に戻す必要があります表 23: 累積型 XPU と増分 XPU 76

77 X-Press Update 命名規則 XPU は次の形式に従って名前と数字が振られています product name a.b product name は製品を表します b は各 XPU を表します a はソフトウェアのメジャーリリースごとに増えていき b で最初に戻ります例 RealSecure Server Sensor Policy Update for XPU RealSecure Server Sensor Policy Update for XPU RealSecure Server Sensor Policy Update for XPU 23.2 ポリシーを使用するエージェントに必要な XPU ポリシーを使用するエージェントをアップデートする場合 SiteProtector は XPU を 2 つ適用しますエージェントをアップデートする XPU ポリシーをアップデートする XPU XPU を手動でダウンロードする場合はこの種のエージェントに必要なファイルを両方ともダウンロードしてください例 Network Internet Scanner のアップデートファイルを手動でダウンロードすると仮定した場合次の XPU をダウンロードする必要があります Internet Scanner 7.0 SP2 - XPU という名前の XPU ( エージェントをアップデート ) Internet Scanner Policy XPU for Internet Scanner 7 (XPU ) という名前の XPU ( ポリシーをアップデート ) SiteProtector User Guide for Security Managers Version 2.0, SP

78 第 7 章 : SiteProtector のアップデート Service Pack Service Pack は次の内容を含むソフトウェアリリースです製品の fix 製品の機能拡張新規セキュリティコンテンツリリースには新規エージェント新規マネージャデーモンバイナリなんらかの組み合わせのファイルが含まれる場合もあります変更管理プロセスが厳密である場合はフルリリースを管理する場合と同じ方法で Service Pack を管理する必要がありますエージェント ISS では次のようなすべてのエージェントに対して Service Pack を提供しています Desktop Protection Agent (Proventia Desktop など ) センサー (Network Sensor Server Sensor など ) スキャナー (Network Internet Scanner System Scanner など ) SiteProtector コンポーネント ISS では次の SiteProtector コンポーネントに対して Service Pack を提供しています SiteProtector Core コンポーネント (Application Server Sensor Controller コンソール統合型 XPU Server など ) Event Collector Agent Manager SecurityFusion System Scanner Databridge データベース Service Pack の入手 Service Pack は次の場所から入手することができます製品のインターフェース ISS のダウンロードページプロダクト CD 命名規則 Service Pack は次の形式に従って名前と数字が振られています製品 / コンポーネント名バージョン Service Pack x.y.z 例 Agent Manager 6.9 Service Pack 6.23 SiteProtector Database 2.0 Service Pack 5.13 Event Collector 6.9 Service Pack

79 セクション B: SiteProtector のアップデート概要このセクションでは SiteProtector のアップデートについて説明しますアップデートの前に SiteProtector をアップデートする前に次のタスクを完了しておく必要があります SiteProtector のライセンスを設定するライセンスの設定 (47 ページ ) を参照してください XPU Server を設定する X-Press Update Server の設定 (97 ページ ) を参照してくださいこのセクションの内容このセクションでは次のトピックについて説明しますトピックページアップデートステータスの確認 80 SiteProtector コンポーネントへのアップデートの適用 81 SiteProtector Core コンポーネントへのアップデートの適用 83 SiteProtector User Guide for Security Managers Version 2.0, SP

80 第 7 章 : SiteProtector のアップデートアップデートステータスの確認このトピックでは SiteProtector コンポーネントおよびエージェントのアップデートステータス確認方法について説明しますアップデートステータス表 24 では SiteProtector コンポーネントのアップデートステータスについて説明しますコンポーネント SiteProtector Core Agent Manager Site Database Event Collector SecurityFusion Third Party Module ステータス Current Out of Date Error 説明このコンポーネントに対して利用可能なアップデートはありませんこのコンポーネントに対する利用可能なアップデートがありコンポーネントをアップデートする必要がありますエラーが発生しています In Progress 空白 SiteProtector は現在コンポーネントをアップデート中ですこのコンポーネントはアップデートステータスを SiteProtector にレポートしていません表 24: SiteProtector コンポーネントのアップデートステータス手順 SiteProtector コンポーネントのアップデートステータスを確認するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. コンポーネントを探し出し [Update Status] 列を参照しますこの列にはコンポーネントのアップデートステータスが表示されています 80

81 SiteProtector コンポーネントへのアップデートの適用 SiteProtector コンポーネントへのアップデートの適用このトピックでは SiteProtector コンポーネントへのアップデート適用方法について説明します注記 : SiteProtector コンポーネントからアップデートを削除することはできませんすべての SiteProtector コンポーネントのアップデート SiteProtector をインストールした後一部の SiteProtector コンポーネントが Out of Date ステータスとなっている場合がありますこれは製品のインストール以降にアップデートがリリースされたことを示しますこの場合すべての SiteProtector コンポーネントをアップデートする必要があります次の手順に従ってください 1. 次のコンポーネントをアップデートが利用可能であればアップデートします Site Database Event Collector Agent Manager 2. SiteProtector Core コンポーネントをアップデートしますこのアップデートにはコンソールのアップデートが含まれます Core コンポーネントをアップデートするとその他コンポーネントのステータスが Out of Date に変化する可能性がありますこれは Core コンポーネントをアップデートしたことで追加アップデートが利用可能となったことを示します 3. ステータスが Out of Date に変化したコンポーネントをアップデートします 1 つ以上のコンポーネントをアップデートする場合は次の順序でアップデートします Event Collector Database XPU Database Service Pack Agent Manager Deployment Manager SecurityFusion 注意 : 推奨順序はリリースによって異なります詳細についてはリリースノートを参照してください手順 SiteProtector コンポーネントにアップデートを適用するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します右ウィンドウ枠に Agent ビューが表示されます 3. 右ウィンドウ枠でアップデートするコンポーネントを右クリックし [Updates] [Apply XPU] の順に選択します [Schedule Update] ウィンドウが表示されます 4. エージェントをすぐにアップデートしますかすぐにアップデートする場合は [Recurrence pattern] セクションの [Run Once] オプションをオンにし [Next] をクリックして手順 5 に進みますすぐにアップデートしない場合はエージェントのアップデートを繰り返し行うようにコマンドジョブをスケジューリングして [Next] をクリックします [End User License Agreement] ウィンドウが表示されます 5. 使用許諾契約を確認し [I Accept] をクリックします [Select XPU] ウィンドウが表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

82 第 7 章 : SiteProtector のアップデート 6. インストールするアップデートの種類を選択します Full Upgrade Service Pack X-Press Update 7. アップデートをインストールする準備ができたら [Finish] をクリックしますアップデートをすぐにインストールするように [Run Once] オプションを選択した場合はインストールプロセスが開始します後でインストールするようにアップデートをスケジューリングした場合は指定した時間にインストールプロセスが開始しますすぐにインストールを行う場合 SiteProtector は進行状況を次のように表示しますインジケータ Overall Progress Current Step Progress 説明全体的なアップデートプロセスの進行状況を示しますアップデートプロセスの各手順の進行状況を個別に示しますテキストボックス内に現在進行中の手順の要約が表示されます SiteProtector Core コンポーネントをアップデートする場合プロセスは 45 分程度かかりますこの間は再起動しないでください 8. インストールプロセスが完了したら [Finish] をクリックします 82

83 SiteProtector Core コンポーネントへのアップデートの適用 SiteProtector Core コンポーネントへのアップデートの適用 SiteProtector Core コンポーネントのアップデートプロセスはその他 SiteProtector コンポーネントのアップデートプロセスとは異なりますプロセス表 25 では SiteProtector Core コンポーネントをアップデートする場合に発生するプロセスについて説明しますプロセス全体が完了するのには 45 分程度かかりますステージ説明 1 Sensor Controller サービス以外の SiteProtector サービスがすべて停止されます 2 SiteProtector が Site Database をアップデートします Site Database のアップデートに必要な時間はアップデートファイルの数とデータベースのサイズによって異なります 3 SiteProtector によってコンソールへの接続が切断され Sensor Controller が停止されます 4 SiteProtector が Application Server コンソール Sensor Controller XPU Server をアップデートしますこの間コンソールには接続できません 5 アップデートが完了した後コンソールを起動します 6 コンソールに対するアップデートが利用可能であることがコンソールに表示されます 7 コンソールのアップデートを選択します 8 コンソールがアンインストールされ最新バージョンが新しくインストールされます表 25: SiteProtector Core コンポーネントアップデートプロセスの各ステージ SiteProtector User Guide for Security Managers Version 2.0, SP

84 第 7 章 : SiteProtector のアップデート 84

85 セクション C: インターネットアクセスのない XPU Server へのアップデート適用概要このセクションでは SiteProtector およびその他 ISS 製品のアップデートを手動で行う方法について説明しますこのセクションで説明する方法は XPU Server にインターネットアクセスが設定されていないユーザーを対象としていますこの方法では必要なアップデートファイルを手動でダウンロードして正しいフォルダに保存し手動で適用する必要がありますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページインターネットアクセスのない XPU Server でのアップデートプロセス 86 ISS ダウンロードページからのアップデートファイルのダウンロード 88 Manual Upgrader を使用したアップデートファイルのダウンロード 90 XPU Server へのアップデートファイルのコピー 92 コンポーネントまたはエージェントステータスの手動更新 95 SiteProtector User Guide for Security Managers Version 2.0, SP

86 第 7 章 : SiteProtector のアップデートインターネットアクセスのない XPU Server でのアップデートプロセス SiteProtector コンポーネントおよびエージェントを手動アップデートするプロセスは複雑であり完了するまで非常に時間がかかる可能性がありますこのトピックでは手動アップデートプロセスの概要を説明しますプロセス表 26 ではコンポーネントとエージェントの手動アップデートに必要なタスクについて説明しますステージ説明 1 XPU Server の設定 XPU Server 設定で自動ダウンロードをオフにしますこうすることで Application Server に手動で置いたカタログファイルを SiteProtector が削除してしまうのを防ぎます Server Settings ポリシーの設定 (99 ページ ) を参照してください 2 ファイルのダウンロード次のいずれかの方法を使用して必要なアップデートファイルをポータブルメディアにダウンロードしますどちらの方法でもコンピュータはインターネットにアクセス可能である必要がありますこのコンピュータは SiteProtector がインストールされているコンピュータとは別のコンピュータでもかまいません ISS のダウンロードページからアップデートファイルを個別にダウンロードします ISS ダウンロードページからのアップデートファイルのダウンロード (88 ページ ) を参照してください Manual Upgrader ユーティリティを使用してアップデートファイルをダウンロードします Manual Upgrader を使用したアップデートファイルのダウンロード (90 ページ ) を参照してください 3 ファイルの保管必要なアップデートファイルを XPU Server の置かれているコンピュータにコピーします次のいずれかの場所にファイルをコピーすることができます Application Server 上の統合型 XPU Server スタンドアロン型 XPU Server XPU Server へのアップデートファイルのコピー (92 ページ ) を参照してください 4 ステータスの更新 Sensor Controller サービスを再起動して SiteProtector コンポーネントおよびエージェントのステータスを更新しますコンポーネントまたはエージェントステータスの手動更新 (95 ページ ) を参照してください注記 : このステージは SP Core のプロパティで設定されたスケジュールに従って自動的に ( 再起動されることなく ) 行われます表 26: エージェントとコンポーネントの手動アップデートのタスク 86

87 インターネットアクセスのない XPU Server でのアップデートプロセスステージ説明 5 コンポーネントとエージェントのアップデート SiteProtector コンポーネントおよびエージェントをダウンロードしたアップデートファイルを使用してアップデートします SiteProtector コンポーネントへのアップデートの適用 (81 ページ ) を参照してくださいエージェントのアップデート (265 ページ ) を参照してください表 26: エージェントとコンポーネントの手動アップデートのタスク SiteProtector User Guide for Security Managers Version 2.0, SP

88 第 7 章 : SiteProtector のアップデート ISS ダウンロードページからのアップデートファイルのダウンロードこのトピックでは ISS のダウンロードページからアップデートファイルをダウンロードする方法について説明しますファイル名の要件 Internet Explorer や WinZip などの一部プログラムではファイルをダウンロードするときに.zip という拡張子が自動的にファイル名に付けられます XPU Server は.zip 拡張子の付いたファイルを検出することができません Internet Explorer や WinZip などのプログラムを使用してアップデートファイルをダウンロードする場合はファイルのダウンロード後にファイル名から.zip 拡張子を削除する必要がありますライセンスの要件ダウンロードできるのはエージェントおよびコンポーネントの保守契約の有効期限日より前にリリースされたアップデートファイルに限られます ISS のダウンロードページに XPU が表示されないまたはファイアウォールをダウンロードした後に XPU が表示されなくなった場合はライセンスの保守契約の有効期限日をチェックして有効期限が切れていないかどうか確認してくださいファイルの検索表 27 では ISS のダウンロードページにおけるアップデートファイルの場所を説明しますファイル Agent XPU Policy XPU Service Pack 場所製品名およびバージョンごとに一覧表示されます SiteProtector セクションに製品名およびバージョンごとに一覧表示されます製品名およびバージョンごとに一覧表示されます表 27: アップデートファイルの場所 SiteProtector コンポーネントに必要なファイル表 28 は SiteProtector コンポーネントをアップデートする場合にダウンロードする必要のあるファイルを一覧にしたものですコンポーネント累積アップデート必要なファイル SiteProtector Core 不可 Service Pack Agent Manager 不可 Service Pack Site Database 不可 Service Pack XPU Event Collector 不可 Service Pack Deployment Manager 不可 Service Pack SecurityFusion 不可 Agent XPU Policy XPU 表 28: SiteProtector コンポーネントのアップデートに必要なファイル 88

89 ISS ダウンロードページからのアップデートファイルのダウンロードエージェントに必要なファイル表 29 はポリシーを使用するエージェントをアップデートする場合にダウンロードする必要のあるファイルを一覧にしたものです製品累積アップデート必要なファイル Network Sensor 可 Agent XPU Policy XPU Server Sensor 可 Agent XPU Policy XPU Proventia アプライアンス可 Database Service Pack Proventia Desktop 可 Database Service Pack Network Internet Scanner 不可 Agent XPU Policy XPU 表 29: ISS エージェントのアップデートに必要なファイル SiteProtector User Guide for Security Managers Version 2.0, SP

90 第 7 章 : SiteProtector のアップデート Manual Upgrader を使用したアップデートファイルのダウンロードこのトピックでは Manual Upgrader を使用したアップデートファイルのダウンロード方法について説明します Manual Upgrader Manual Upgrader は ISS のダウンロードページから次のようなアップデートファイルを入手するために使用するユーティリティですエージェント用の XPU ポリシー用の XPU Service Pack OneTrust ライセンス XPU Server がなんらかの理由で ISS のダウンロードページにアクセスできない場合に Manual Upgrader を使用しますこのユーティリティは ISS Download Center 内 SiteProtector の領域の [OTHER] セクションから入手できます Manual Upgrader のインストール Manual Upgrader をインストールするには : 1. 次のいずれかの場所から Manual Upgrader のインストールファイルを入手しますプロダクト CD ファイルは次のフォルダにあります \accessories\manualupgrader ISS のダウンロードページファイルは SiteProtector の領域の [OTHER] セクションにあります 2. このファイルをインターネットアクセスが可能なコンピュータにコピーします 3. ファイルを ISS のダウンロードページから入手した場合はこの zip ファイルをディレクトリに解凍する必要があります注意 : zip ファイルを解凍するときに [Use folder names] オプションをオンにすると ManualUpgrader という名前のディレクトリにファイルが解凍されます Manual Upgrader が使用可能になります Manual Upgrader の実行 Manual Upgrader を実行するには : 1. このユーティリティをインストールしたコンピュータ上でこのプログラムを含むフォルダへ移動します 2. ManualUpgrader.exe をダブルクリックします 3. 有効なライセンスファイルを検索しそのファイルを選択します 4. 使用許諾契約を読み [I Accept] をクリックします注意 : 輸出契約が表示されたら契約内容を読み [I Accept] をクリックします 5. [Manual Upgrader Tool] ダイアログで [Yes] をクリックし新しいカタログファイルをダウンロードします 6. Manual Upgrader のアップデートをダウンロードするように要求された場合は [Yes] をクリックしますアップデートがダウンロードされ最も新しいカタログファイルのダウンロードが要求されます 7. [Yes] をクリックします 90

91 Manual Upgrader を使用したアップデートファイルのダウンロード [Downloading XML Catalog] ダイアログが表示されます上のウィンドウ枠には ISS 製品ラインがすべて表示され下のウィンドウ枠には利用可能なオペレーティングシステムがすべて表示されます 8. アップデートのダウンロード対象となる ISS 製品ラインとオペレーティングシステムを選択します 9. 1 週間以上前のアップデートを入手する場合はボックスをオフにしてください 10. [Get Selected Updates] をクリックします重要 : SiteProtector Core と SiteProtector Database のアップデートをダウンロードしてくださいこれらのアップデートはその他のコンポーネントまたは製品アップデートを適用する前に適用する必要があります SiteProtector User Guide for Security Managers Version 2.0, SP

92 第 7 章 : SiteProtector のアップデート XPU Server へのアップデートファイルのコピーエージェントまたは SiteProtector コンポーネントのアップデートに必要なファイルをダウンロードしたら XPU Server がインストールされているコンピュータの適切なディレクトリにそのファイルをコピーする必要があります Application Server と同じコンピュータにインストールされている統合型 XPU Server または別のコンピュータにインストールされている XPU Server のいずれかを使用することができます必要なファイルを XPU Server がインストールされているコンピュータにダウンロードしていない場合は必要なファイルをそのコンピュータに移動する必要があります必要なディレクトリ XPU Server がインストールされているコンピュータにある特定のディレクトリに必要なファイルをコピーする必要がありますこのディレクトリが存在しない場合はアップデートの適用前に作成する必要がありますディレクトリを作成する場合はこのトピックで説明されているとおりのつづりで ( 大文字と小文字を区別 ) ディレクトリ名を作成してくださいこのトピックで説明するディレクトリは統合型 XPU Server 上にディレクトリを作成することを前提としていますこのサーバーは Application Server と同じコンピュータにインストールされています Application Server と同じコンピュータにインストールされていないリモートの XPU Server 上にディレクトリを作成する場合はリモート XPU Server がインストールされているコンピュータ上の次のディレクトリ内に作成してください \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2\htdocs\XPU\ SiteProtector コンポーネントに必要なディレクトリ表 30 は SiteProtector のアップデートファイルおよび OneTrust ライセンスファイルに必要なディレクトリを一覧にしたものですアップデートファイル Site Database のアップデート必要なディレクトリ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\SiteProtector ファイル名の例 DB_XPU_ DB_SP SiteProtector コンポーネントのアップデートおよび Service Pack カタログファイル \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\SiteProtector ファイル名の例 DepMan_ RSEvntCol69_ AgentManager69_ SP2_ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\SiteProtector ファイル名の例 XPU_2_6.xml RiskIndex.xml 表 30: アップデートファイルに必要なディレクトリ 92

93 XPU Server へのアップデートファイルのコピーアップデートファイル OneTrust ライセンス必要なディレクトリ \Program Files\ISS\SiteProtector\Application Server\License\ ファイル名の例 OneTrustLicenses.xml 表 30: アップデートファイルに必要なディレクトリ ( 続き ) エージェントに必要なディレクトリ表 31 はエージェントに必要なディレクトリを一覧にしたものですアップデートファイル Network Sensor のポリシー以外のアップデート必要なディレクトリ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\RealSecure ファイル名の例 RSNetSnsr70_MU_ Server Sensor のポリシー以外のアップデート Proventia A および Proventia G のアップデート Network IPS のポリシー以外のアップデート多機能型ネットワークセキュリティのポリシー以外のアップデート Network Internet Scanner のポリシー以外のアップデートカタログファイル \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\RealSecure ファイル名の例 RSSvrSnsr70_MU_ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\RealSecure \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\Proventia\G-Series \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\Proventia\M-Series \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\InternetScanner ファイル名の例 XPressUpdate7_ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\SiteProtector ファイル名の例 XPU_2_5.xml RiskIndex.xml 表 31: アップデートファイルに必要なディレクトリ SiteProtector User Guide for Security Managers Version 2.0, SP

94 第 7 章 : SiteProtector のアップデートアップデートファイルポリシーのアップデート必要なディレクトリ \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\htdocs\XPU\SiteProtector ファイル名の例 SPIS_POLICY_ SPNS_POLICY_ SPSS_POLICY_ SPIA_POLICY_ 表 31: アップデートファイルに必要なディレクトリ ( 続き ) 94

95 コンポーネントまたはエージェントステータスの手動更新コンポーネントまたはエージェントステータスの手動更新 Sensor Controller を再起動するとコンソール内でエージェントとコンポーネントが正しい Out of Date ステータスを示すようになります注記 : SiteProtector は SP Core のプロパティで設定されたスケジュールに従って自動的にステータスを更新します Sensor Controller の再起動を行うのは直ちにアップデートする必要がある場合に限ってください始める前に Sensor Controller を再起動する前にスケジューリングされたコマンドジョブが実行中でないかどうか確認してくださいコマンドジョブの実行中に Sensor Controller を再起動するとジョブが失敗します手順 Application Server 上で Windows のサービス管理機能を使用して Sensor Controller Service を再起動します注意 : Sensor Controller を再起動するとエージェントおよびコンポーネントのステータスが Out of Date になりますステータスが Unknown に変わった場合 Sensor Controller はカタログファイルを再度読み込み利用可能なアップデートを確認してステータスを更新します SiteProtector User Guide for Security Managers Version 2.0, SP

96 第 7 章 : SiteProtector のアップデート 96

97 第 8 章 X-Press Update Server の設定概要この章では次のタスクについて説明します Application Server と共にインストールされている統合型 XPU Server の設定リモートコンピュータ上での XPU Server のインストールと設定要件 SiteProtector をアップデートする前に XPU Server を設定する必要がありますこの章の内容この章では次のトピックについて説明しますトピックページ X-Press Update Server とは 98 Server Settings ポリシーの設定 99 XPU Settings ポリシーの設定 100 追加のスタンドアロン型 XPU Server の設定 101 別の XPU Server からダウンロードを行う XPU Server の設定 104 XPU Server の保護 106 XPU Server のクラスタ化 107 手動アップデート用の XPU Server 設定 109 SiteProtector User Guide for Security Managers Version 2.0, SP

98 第 8 章 : X-Press Update Server の設定 X-Press Update Server とは X-Press Update Server (XPU Server) は SiteProtector および SiteProtector を通じて管理されるその他 ISS 製品のアップデートを安全な能率化された方法で行います SiteProtector のインストールには Application Server の一部として統合型 XPU Server が 1 つ含まれていますが別のコンピュータにスタンドアロン型 XPU Server を追加インストールすることができます統合型 XPU Server 統合型 XPU Server は Application Server 上にインストールされ Application Server と完全に統合されます統合型 XPU Server は Application Server から分離できませんまた Application Server 全体をアンインストールしないと削除できませんさらに追加の XPU Server を同じ Application Server にインストールすることはできません 1 つの SiteProtector インスタンス上にある統合型 XPU Server は別の SiteProtector インスタンスのリモート XPU Server として使用可能ですたとえばサイト A 上の統合型 XPU Server はアップデートを行うためにサイト B 上の統合型 XPU Server に接続しますスタンドアロン型 XPU Server スタンドアロン型 XPU Server は Deployment Manager を使用して Application Server ではないコンピュータへ個別にインストール可能ですスタンドアロン型 XPU Server は Application Server に影響を与えることなく追加および削除することができますスタンドアロン型 XPU Server はアップデートを行うために統合型 XPU Server または別のスタンドアロン型 XPU Server によって使用可能ですたとえばサイト A 上の統合型 XPU Server がスタンドアロン型 XPU Server に接続しそのスタンドアロン型 XPU Server はアップデートを行うために別のスタンドアロン型 XPU Server に接続しますアップデートのダウンロード統合型およびスタンドアロン型の XPU Server は xpu.iss.net からアップデートを直接ダウンロードすることができますデフォルトでは XPU Server はアップデートをここから直接ダウンロードするように設定されていますこのデフォルト設定では XPU Server がインターネットアクセス可能である必要があります場合によっては XPU Server がインターネットアクセスできなかったりインターネットに接続しないように特別に設定してある場合がありますこうした場合は XPU カスケーディングを設定することができますこれによって XPU Server が別の XPU Server をポイントしその XPU Server がさらに別のサーバーをポイントするという具合に連鎖していくことができます最終的には 1 つの XPU Server がインターネットに接続してアップデートをダウンロードする必要があります SiteProtector 実装における XPU Server がどれもインターネットに接続できない場合は次のいずれかの方法でアップデートを手動ダウンロードする必要があります Manual Upgrader ISS のダウンロードページに接続するインターネットブラウザ 98

99 Server Settings ポリシーの設定 Server Settings ポリシーの設定このトピックでは Server Settings ポリシーの設定手順を説明します説明 Server Settings ポリシーは XPU Server の次のような動作を制御します XPU Server が別の XPU Server ( も含む ) からアップデートをダウンロード可能かどうか XPU Server が SiteProtector コンポーネントおよびエージェントにアップデートを送信する場合にどのくらいの帯域幅を使用可能か XPU Server がどのような種類の情報をログファイルに送信するのか手順 Server Settings ポリシーを設定するには : 1. 左ウィンドウ枠で X-Press Update Server を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で X-Press Update Server を右クリックし [Manage Policy] を選択します [Policy] タブが表示されます 4. 右ウィンドウ枠で [Server Settings] をクリックします 5. 次のオプションを設定しますオプション Download from other X- Press Update Servers Throttle downloads to Clients 説明 XPU Server が別の XPU Server または xpu.iss.net からアップデートをダウンロードできるようにする場合にこのオプションをオンにしますデフォルト設定 = オン XPU Server から XPU をダウンロードするために SiteProtector が使用可能な帯域幅を限定する場合にこのオプションをオンにしますこのオプションをオンにした場合は次の内容を設定する必要があります XPU Server に対して許可される接続の最大数 XPU Server が使用可能な 1 秒あたりの最大帯域幅 ( キロバイト単位 ) Logging XPU Server のログファイルに記録する情報の種類 : Debug ( デバッグ ) Info ( 通知 ) Warn ( 警告 ) Error ( エラー ) 6. [Save All] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

100 第 8 章 : X-Press Update Server の設定 XPU Settings ポリシーの設定 XPU Settings ポリシーは XPU Server が自身専用のアップデートをダウンロードインストールおよび管理する方法を制御しますアドバンストパラメータアドバンストパラメータはアップデートや特定の通信設定に関連する問題点のデバッグに使用されますアドバンストパラメータはほとんどのユーザーにとっては必要ありません手順 XPU Settings ポリシーを設定するには : 1. 左ウィンドウ枠で X-Press Update Server を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で X-Press Update Server を右クリックし [Manage Policy] を選択します [Policy] タブが表示されます 4. 右ウィンドウ枠で [XPU Settings] をクリックします 5. [XPU] タブを選択し次のオプションを設定します注意 : これらの設定はこの XPU Server が他の SiteProtector コンポーネントまたはエージェントに対するアップデートをダウンロードインストール管理する場合の方法を制御しませんこのトピックでは XPU 設定の指定手順を説明しますオプション Download updates automatically Install updates automatically Check for updates every X hours 説明このオプションをオンにするとアップデートが入手可能になったときに XPU Server がアップデートを自動的にダウンロードしますこのオプションをオンにするとアップデートがダウンロードされた後に XPU Server がアップデートを自動的にインストールします XPU Server に対するアップデートを手動でインストールする場合はこのオプションをオンにしないでください利用可能なアップデートを XPU Server がチェックする頻度を選択しますデフォルト値は 24 時間ごとです 6. [Server] タブを選択しこの XPU Server のアップデートダウンロード元となるサーバーを追加削除または編集します参照 : 別の XPU Server からアップデートをダウンロードする XPU Server の設定手順については別の XPU Server からダウンロードを行う XPU Server の設定 (104 ページ ) を参照してくださいを参照してください 7. [Save All] をクリックします 100

101 追加のスタンドアロン型 XPU Server の設定追加のスタンドアロン型 XPU Server の設定このトピックでは追加のスタンドアロン型 XPU Server の設定方法について説明しますこれらのサーバーは Application Server 上にインストールできませんスタンドアロン型 XPU Server を設定したらアップデートのために ISS へ接続するようにこのスタンドアロン型 XPU Server を設定できるようになりますさらにこのスタンドアロン型 XPU Server からアップデートをダウンロードするように統合型 XPU Server を設定することができますこれによって Application Server にインターネットアクセスを許可しなくても ISS からアップデートをダウンロードできるようになります重要 : SiteProtector をインストールするまでは追加のスタンドアロン型 XPU Server をインストールしないでください SiteProtector のインストール前にスタンドアロン型 XPU Server を追加インストールしようとした場合は XPU Server のインストール中に必要な情報が得られません始める前に XPU Server を追加インストールする場合一部の XPU Server 設定を自動設定するためにインストールプログラムによって特定の情報が要求されますインストールプロセス中にこの情報が得られるようにするために XPU Server を追加インストールする前に表 32 のタスクを実行することをお勧めしますタスク説明 1 XPU Server のライセンスを設定する Proventia OneTrust ライセンス (54 ページ ) を参照してください 2 XPU Server 用の Agent Manager アカウントを作成する ( オプション ) インストールでは次の情報が必要ですアカウント名パスワード Agent Manager アカウントの作成 (68 ページ ) を参照してください 3 XPU Server (Agent Manager 設定を含む ) を置くグループを作成して設定するかまたは既存グループの名前を入手する ( オプション ) インストールではグループの名前が必要ですグループの作成 (212 ページ ) を参照してください 4 XPU Server の接続先となる Agent Manager に関する情報を入手するインストールでは次の情報が必要です名前 ( オプション ) Agent Manager がインストールされている IP アドレスまたは DNS 名ポート Agent Manager アカウントのアカウント名とパスワード ( オプション ) 5 XPU Server がファイアウォールまたはプロキシサーバーを通じたアクセスを必要とする場合はファイアウォールまたはプロキシサーバーに関する情報を入手するインストールでは次の情報が必要です IP アドレスポート表 32: XPU Server 追加インストールの前に SiteProtector User Guide for Security Managers Version 2.0, SP

102 第 8 章 : X-Press Update Server の設定手順 XPU Server を追加インストールするには : 1. XPU Server のインストール先となるコンピュータ上で Deployment Manager に接続します注記 : Agent Manager がインストールされているのと同じコンピュータに XPU Server をインストールしないでくださいそのようにすると Agent Manager にパフォーマンス上の問題が生じる可能性があります 2. [Install SiteProtector] を選択します [SiteProtector Installation] ページが表示されます 3. [Additional X-Press Update Server Installation] を選択します [Prerequisites] ページが表示されます 4. 前提条件を確認し [Next] をクリックします [Prepare to Install] ウィンドウが表示されます 5. [Install] をクリックします [ 製品ダウンロード ] ページで [SiteProtector] をクリックします 6. [ 開く ] をクリックします [InstallShield Wizard Welcome] ウィンドウが表示されます 7. [Next] をクリックします [License Agreement] ウィンドウが表示されます 8. 使用許諾契約の条件を確認して [I Accept] をクリックし [Next] をクリックします [Choose Destination Location] ウィンドウが表示されます 9. インストール先フォルダを選択して [Next] をクリックします [X-Press Update Server Configuration (Specify Agent Manager location)] ウィンドウが表示されます 10. 次のフィールドに入力し [Next] をクリックしますフィールド Name 説明 XPU Server の接続先となる Agent Manager の名前例 : AgentManager_100 Address (IP or DNS) Agent Manager が置かれている場所の IP アドレスまたは DNS 名 Port Account Name Password XPU Server が Agent Manager との通信に使用するポート ( デフォルトポートは 3995) XPU Server が Agent Manager との通信の開始に使用するユーザー名 XPU Server が Agent Manager との通信の開始に使用するパスワード [X-Press Update Server Configuration (Specify SiteProtector Group Name)] ウィンドウが表示されます 11. 次のフィールドに入力し [Next] をクリックしますフィールド SiteProtector Group Name 説明 XPU Server を置くグループの名前このフィールドを空白にしておくと XPU Server は Ungrouped Assets グループに置かれます 102

103 追加のスタンドアロン型 XPU Server の設定フィールド X-Press Update Server security mode Primary IP Address (IP or DNS) Port 説明次のいずれかを選択します Trust all - その他サーバーが接続を試みるたびに XPU Server に接続できるようにします認証に証明書は使用されません First time trust - その他サーバーがこの XPU Server へ一度だけ接続できるようにします初回の接続後 XPU Server は接続中のサーバーの証明書を使用してその後のすべての接続を認証します Explicit trust - この XPU Server がローカルの証明書を使用して接続先のサーバーを認証するようにしますローカルコンピュータが 1 つ以上のネットワークインターフェースを持っている場合は XPU Server との通信に使用する IP アドレスを選択します XPU Server がファイアウォールまたはプロキシサーバーを通じたアクセスを必要とする場合はファイアウォールまたはプロキシサーバーの IP アドレスまたは DNS を入力する XPU Server がファイアウォールまたはプロキシサーバーにアクセスする場合に通過するポート [Archival: Private Key Archival] ウィンドウが表示されます 12. プライベートキーのアーカイブ先を [Folder] ボックスに入力し [Next] をクリックしますキーをリムーバブルメディアにアーカイブすることをお勧めします [Ready to Install the Program] ウィンドウが表示されます 13. [Install] をクリックします [InstallShield Wizard Complete] ウィンドウが表示されます 14. [Finish] をクリックします 15. この章で説明されているとおりに XPU Server 設定を指定します SiteProtector User Guide for Security Managers Version 2.0, SP

104 第 8 章 : X-Press Update Server の設定別の XPU Server からダウンロードを行う XPU Server の設定このトピックでは別の XPU Server からアップデートをダウンロードするように XPU Server を設定する手順を説明します重要 : Network Multi-Function Security または Proventia G シリーズアプライアンスの XPU Server を設定する場合はこのトピックの手順を使用しないでください目的スタンドアロン型 XPU Server を設定したら統合型 XPU Server が ISS のダウンロードページではなくスタンドアロン型 XPU Server からアップデートをダウンロードするように設定できるようになりますこの方法は Application Server をインターネットにアクセスさせたくないけれども ISS からアップデートをダウンロードしたい場合に役立ちますカスケーディング Application Server がインストールされているローカル XPU Server および Application Server がインストールされていないリモート XPU Server でカスケーディング機能を使用することができます注記 : 特定の SiteProtector インスタンスのリモート XPU Server は別の SiteProtector インスタンスの Application Server 上にインストールされている XPU Server となることもできますタスクの概要表 33 では別の XPU Server からアップデートをダウンロードするように XPU Server を設定する場合のタスクを説明しますタスク説明 1 XPU Server の [Download from other X-Press Update Servers] オプションがオンになっていることを確認するこのオプションはデフォルトでオンになっています 2 XPU Server のアップデートダウンロード元候補サーバーのリストに XPU Server を追加し追加したサーバーをサーバーリストの一番上に移動する表 33: 別の XPU Server からダウンロードを行う XPU Server の設定必要な情報別の XPU Server からアップデートをダウンロードするように XPU Server を設定する前に設定する XPU Server に関する次の情報を入手する必要があります IP アドレスまたは DNS 名ポート ( デフォルトポートは 3994) XPU Server リスト XPU Server 設定内で XPU Server のリストを設定しリスト内のサーバーからアップデートをダウンロードするように XPU Server を指定することができます XPU Server は一度に 1 つのサーバーからしかアップデートをダウンロードできません XPU Server はリストアップされている順番にサーバーへ接続しますたとえば XPU Server はリストの最初にあるサーバーに接続を試みますこのサーバーが利用可能でない場合 XPU Server はリスト中の次のサーバーに接続を試みますこのプロセスはリスト中にあるサーバーのいずれか 1 つと通信が確立されるまで続行されます XPU Server 設定内でこのリストを次のように管理することができますサーバーをリストに追加するサーバーをリストから削除するサーバーのリストアップ順序を変更する 104

105 別の XPU Server からダウンロードを行う XPU Server の設定 XPU Server が他のサーバーからダウンロード可能かどうかの確認別の XPU Server からアップデートをダウンロードするように XPU Server が設定されていることを確認するには : 1. 左ウィンドウ枠で X-Press Update Server を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で X-Press Update Server を右クリックし [Manage Policy] を選択します [Policy] タブが表示されます 4. 右ウィンドウ枠で [Server Settings] をクリックします [Policy] タブが表示されます 5. [Download from other XPU Servers] オプションがオンになっていることを確認します XPU Server リストへの XPU Server の追加 XPU Server がダウンロード元として使用可能なサーバーのリストに XPU Server を追加するには : 1. 左ウィンドウ枠で X-Press Update Server を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で X-Press Update Server を右クリックし [Manage Policy] を選択します [Policy] タブが表示されます 4. 右ウィンドウ枠で [XPU Settings] をクリックします [Policy] タブが表示されます 1. [Servers] タブを選択します [Download from these X-Press Update Servers] リストが表示されます 2. [Add] をクリックします XPU Server 追加のウィンドウが表示されます 3. 次のフィールドに情報を入力します Name Host or IP Port Proxy Host Proxy Port Proxy User Proxy Password Trust level 4. [OK] をクリックします XPU Server がリストに追加されます設定中の XPU Server はこの XPU Server からアップデートをダウンロードできるようになりました 5. 追加した XPU Server を選択し上向き矢印をクリックしてリストの一番上に移動します XPU Server はアップデートを行うときにこのサーバーへ最初に接続を試みます SiteProtector User Guide for Security Managers Version 2.0, SP

106 第 8 章 : X-Press Update Server の設定 XPU Server の保護保護されていない X-Press Update Server は悪意のある攻撃やソフトウェアの不正コピーに対して脆弱です ISS ソフトウェアの不正配布は使用許諾契約違反となります不正なリモートアクセスから XPU Server を防御することをお勧めします通信を保護するため次のものの実装を検討してください X-Press Update Server とインターネットの間にファイアウォールまたはプロキシ X-Press Update Server がインストールされているコンピュータに RealSecure Server Sensor 安全な信頼レベル SSL 証明書プロキシサーバープロキシサーバーは User-Agent 文字列に基づいて XPU Server のインターネットへのアクセスを許可または拒否することができます XPU Server がプロキシサーバーを使用してインターネットにアクセスする場合はプロキシサーバーが UpdateMirrorWorker という User-Agent 文字列を許可するように必ず設定してください XPU Server はプロキシサーバーを通じてインターネットへアクセスを試みる場合にこの User- Agent 文字列を使用します信頼レベル表 34 では XPU Server とその他 XPU Server との間で確立できる信頼レベルについて説明しますレベル Trust all First time trust 説明クライアントはサーバーを信頼し証明書の検証を試みませんクライアントはサーバーから受け取った最初の証明書を信頼しこの証明書をローカルに保存しますクライアントはこの証明書を使用してサーバーとのその後の通信すべてを検証します Explicit trust エージェントまたはコンポーネントがサーバーとの通信を開始するにはサーバーの証明書がローカルディレクトリに置かれている必要があります一般的にサーバーの証明書は標準の通信チャネル外でクライアントに転送されます表 34: XPU Server 間の信頼レベルサーバーの SSL 証明書 SSL 証明書は XPU Server がサーバーとの通信を試みる場合にそのサーバーのアイデンティティを確認するために使用されます一般的に XPU Server は証明書をローカルに保管し通信の起動中にサーバーから送信される証明書との一致を確認しますこれらの証明書が一致しない場合 XPU Server は接続をシャットダウンします証明書は XPU Server をインストールするときに作成されます 106

107 XPU Server のクラスタ化 XPU Server のクラスタ化 XPU Server のクラスタ化はパフォーマンスを向上させフェールオーバを提供することができますロードバランシングを実行してもしなくてもクラスタ化は可能ですロードバランシングロードバランシングは作業がより効果的に行われるようにまたフェールオーバがスムーズに行われるように使用可能なサーバーに対する作業負荷の均一な分配を試みます ISS ではロードバランシングを伴う X-Press Update Server のクラスタ化をサポートしていませんが Apache ソフトウェアに付属のフリーウェアである mod_rewrite プログラムの使用をお勧めしています注記 : 強固なロードバランシングが必要な場合は Cisco の Local Director や Microsoft Network Load Balancing など市販のソリューションの使用を検討してくださいオプション 1: ロードバランシングを行わないクラスタ化 X-Press Update Server のリストを構成する場合エージェントは一連の X-Press Update Server へ総当たり的に接続しますエージェントはリストの最初にあるサーバーへ接続を試みます最初の接続が失敗するとエージェントはリストの 2 番目にあるサーバーへ接続を試み図 2 に示すように次々と接続を試みていきます Update Server 1 Update Server 2 Update Server 3 Ist attempt 2 nd attempt 3 rd attempt Agent 図 2: ラウンドロビン方式で X-Press Update Server への接続を試みるエージェント SiteProtector User Guide for Security Managers Version 2.0, SP

108 第 8 章 : X-Press Update Server の設定オプション 2: ロードバランシングを行うクラスタ化 Apache ソフトウェアには作業負荷を分配できるようにエージェントを X-Press Update Server へリダイレクトする無料の mod_rewrite プログラムが備わっていますこのサーバーはグループ内の X-Press Update Server にエージェントをランダムにリダイレクトします Update Server 2 Update Server 1 Update Server 3 2 nd attempt 1st attempt 3rd attempt Contact Update Server (mod-rewrite) Agent 図 3: mod_rewrite を使用してエージェントをランダムにリダイレクトする X-Press Update Server 参照 : ロードバランシングを実行するための mod_rewrite モジュールの設定については Apache Web サーバーのマニュアルを参照してください 108

109 手動アップデート用の XPU Server 設定手動アップデート用の XPU Server 設定 X-Press Update Server は Internet Security Systems の Web サイトから配布される最新の機能と fix によって常にアップデートされるように設計されていますただしセキュリティ上の理由からユーザーによっては SiteProtector システムからインターネットにアクセスできませんこのトピックでは XPU Server からアップデートファイルをダウンロードする方法について説明しますこの手順は XPU Server が ISS のダウンロードページから直接アップデートを入手しないようにする場合に使用しますタスクの概要表 35 では XPU Server が自分自身を手動でアップデートするように設定する場合のタスクを説明しますタスク説明 1 ISS のダウンロードページから必要なアップデートファイルをダウンロードする 2 必要なライセンスファイルを XPU Server に追加し Update Server.conf ファイルを設定する 3 XPU Server のファイル構造を変更する表 35: 手動自己アップデート用の XPU Server 設定タスクアップデートパッケージ ISS のダウンロードページから次のファイルをダウンロードします XPU ファイル XPU_4_0.xml ファイル ( から入手可能 ) XPU 1.1 以前のバージョンの場合 Web アドレスの最終タグは \XPU_4_1.xml XPU 1.2 以降のバージョンの場合 Web アドレスの最終タグは \XPU_5_0.xml ライセンス XPU Server を手動でアップデートするには有効な ISS ライセンスが必要です必要な ISS ライセンスを追加するには : 注記 : アップデートサーバーを管理するサイトに OneTrust ライセンスがある場合この手順を実行する必要はありません 1. 有効なライセンスを X-Press Update Server のファイルシステムに置きます 2. このライセンスファイルへのパスをコピーします 3. 次の表を使用して次の手順を決定しますアップデート対象ット Application Server 上の統合型 XPU Server 手順メモ帳などのテキストファイルを使用して UpdateServer.conf ファイルを開きます Application Server コンピュータ上にあるこのファイルへのデフォルトパスは次のとおりです \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2\conf\Update Server.conf SiteProtector User Guide for Security Managers Version 2.0, SP

110 第 8 章 : X-Press Update Server の設定アップデート対象ット Application Server のインストールされていないコンピュータ上のスタンドアロン型 XPU Server 手順メモ帳などのテキストファイルを使用して Update Server.conf ファイルを開きますスタンドアロン型 XPU Server のインストールされているコンピュータ上にあるこのファイルへのデフォルトパスは次のとおりです \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2\conf\ UpdateServer.conf 4. テキストエディタ内で LicenseFile "None" というテキストを検索します 5. None をローカルライセンスファイルのフルパスに置き換えます 6. Update Server.conf ファイルを保存します 7. SiteProtector Web Server サーバーサービスを再開しますファイル構造 XPU Server はまた自己アップデートを行うために特定のファイル構造を必要とします統合型 XPU Server はスタンドアロン型 XPU Server とは異なるファイル構造を使用します XPU Server のファイル構造を変更するには : 1. XPU Server の Apache2 ディレクトリに移動しますサーバー統合型 XPU Server スタンドアロン型 XPU Server デフォルトパス \Program Files\ISS\SiteProtector\Application Server\webserver\Apache2 \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2 2. Apache2 ディレクトリ内に XpuSelf という名前のフォルダを作成します \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2\XpuSelf 3. XpuSelf ディレクトリ内に SiteProtector という名前のフォルダを作成します \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2\XpuSelf\SiteProtector 4. SiteProtector ディレクトリ内に XPU_4_0.xml というカタログファイルを置きます XPU 1.1 以前のバージョンの場合は XPU_4_1.xml というカタログファイルを使用します XPU 1.2 以降のバージョンの場合は XPU_5_0.xml というカタログファイルを使用します 5. SiteProtector ディレクトリ内に UpdateServer というディレクトリを作成します \Program Files\ISS\SiteProtector\X-Press Update Server\webserver\Apache2\XpuSelf\SiteProtector\UpdateServer 6. XPU ファイルを SiteProtector ディレクトリに移動します XPU Server が自分自身を手動でアップデートするように設定されます XPU Server のポリシー設定によっては自己アップデートに数時間以上かかる可能性があります今後の手動アップデート XPU Server の今後の手動アップデートでは次のタスクを実行する必要があります SiteProtector ディレクトリに XPU_4_0.xml ファイルを追加する XPU 1.1 以前のバージョンの場合は XPU_4_1.xml ファイルを追加します 110

111 手動アップデート用の XPU Server 設定 XPU 1.2 以降のバージョンの場合は XPU_5_0.xml ファイルを追加します XPU ファイルを UpdateServer ディレクトリに追加する SiteProtector User Guide for Security Managers Version 2.0, SP

112 第 8 章 : X-Press Update Server の設定 112

113 第 9 章 Event Collector の設定概要この章では Event Collector の設定と Event Collector のフェールオーバの設定について説明しますまた Event Collector をエージェントに手動で割り当てる手順についても説明します任意選択 Event Collector は追加設定なしでも機能するように構成されていますこの章のタスクはオプションですここでのタスクは Event Collector のフェールオーバを実装し Event Collector の設定をカスタマイズするユーザーを対象としていますこの章の内容この章では次のトピックについて説明しますトピックページ Event Collector とは 114 Event Collector の手動割り当て 115 Event Collector のフェールオーバプロセス 116 フェールオーバ用の Event Collector 設定 117 SiteProtector User Guide for Security Managers Version 2.0, SP

114 第 9 章 : Event Collector の設定 Event Collector とは Event Collector はエージェントに割り当てられエージェントによって生成されたセキュリティデータを収集し保管と処理のためにそのデータを SiteProtector Database へ誘導しますエージェントはセキュリティデータを Event Collector へリアルタイムに渡しますエージェントには永続的な格納場所がありませんエージェントが Event Collector との通信を失った場合セキュリティデータは Event Collector との通信が再度確立されるまでの間キャッシュされますエージェントとコンポーネント Event Collector は次の SiteProtector コンポーネントおよびエージェントに割り当てられますエージェント System Scanner Databridge Network Internet Scanner Network Sensor Proventia G シリーズアプライアンスネットワーク不正侵入検知システムアプライアンス Server Sensor SiteProtector コンポーネント Deployment Manager 別の Event Collector SecurityFusion Module Third Party Module Agent Manager Event Collector の割り当て表 36 ではエージェントへの Event Collector の割り当て方法について説明します方法説明手動 Deployment Manager を使用した自動割り当て New Agent Wizard Event Collector はいつでもエージェントに手動で割り当てることができます参照 : Event Collector の手動割り当て (115 ページ ) を参照してください Deployment Manager を使用してエージェントをインストールする場合エージェントは次のように自動的に Event Collector へ割り当てられます Deployment Manager がエージェントの登録ファイルを作成します Sensor Controller が登録ファイルを入手して処理しエージェントに Event Collector を割り当てます Event Collector が 1 つ以上ある場合 Site Database は最もエージェントの割り当て数が少ない Event Collector を選択します参照 : Deployment Manager を使用したエージェントのインストール (243 ページ ) を参照してください New Agent Wizard を使用してエージェントをサイトに登録するときに Event Collector を選択してエージェントに割り当てます参照 : New Agent Wizard (252 ページ ) を参照してください表 36: エージェントへの Event Collector の割り当て方法 114

115 Event Collector の手動割り当て Event Collector の手動割り当てこのトピックでは Event Collector を次のいずれかに手動で割り当てる方法について説明しますエージェント System Scanner Databridge Network Internet Scanner Network Sensor Proventia G シリーズアプライアンス Server Sensor SiteProtector コンポーネント Deployment Manager Event Collector SecurityFusion Module Third Party Module Agent Manager 注記 : エージェントが Event Collector との接続をなんらかの理由で切断された場合にこの手順を実行して Event Collector を再度割り当てることができます Event Collector がフェールオーバするように構成されている場合はこの手順を実行して復旧後のプライマリ Event Collector にフェールバックすることができます手順 Event Collector をエージェントに手動で割り当てるには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントを右クリックしポップアップメニューで [Configure Agents] [Assign Event Collector] の順に選択します 4. リストから Event Collector を選択し [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

116 第 9 章 : Event Collector の設定 Event Collector のフェールオーバプロセス SiteProtector では Event Collector のフェールオーバをサポートしていますこれはプライマリ Event Collector が使用できなくなった場合にイベントをセカンダリ Event Collector へ自動的に誘導するプロセスですデータの保存エージェントは Event Collector が使用できるようになるまでの間エージェントがインストールされているコンピュータにイベントをローカル保存することができますしたがって Event Collector が使用できない間に重要なセキュリティデータが失われることはありませんプロセス表 37 では Event Collector のフェールオーバプロセスについて説明しますステージ説明 1 Site Database がプライマリ Event Collector のステータスを 10 分に 1 度の頻度で初期チェックします初期チェックの頻度は Daily Frequency パラメータを使用して変更可能です 2 Site Database がプライマリ Event Collector のステータスが次のいずれかであることを検出すると Site Database はセカンダリ Event Collector へフェールオーバします応答しない不明停止または停止中一時停止または一時停止中エラーオフライン 3 Site Database はプライマリ Event Collector が再び使用可能となるまで 5 分に 1 度の頻度でその後もチェックを続行しプライマリ Event Collector に復旧します後続のチェックの頻度は WAITFORRDELAY パラメータを使用して変更可能です 4 プライマリ Event Collector が再び使用可能となったらエージェントを手動でプライマリ Event Collector へリダイレクトします表 37: Event Collector のフェールオーバプロセス 116

117 フェールオーバ用の Event Collector 設定フェールオーバ用の Event Collector 設定このトピックでは Event Collector をフェールオーバ用に設定する方法を説明します前提条件 Event Collector をフェールオーバ用に設定する前に次のタスクを完了しておく必要があります Deployment Manager を使用して Event Collector を追加インストールするこの Event Collector はセカンダリバックアップ Event Collector として機能します SiteProtector Installation Guide を参照してください Application Server がセカンダリ Event Collector の Key Administrator になっていることを確認する次のデータベーススクリプトを ISS プロダクト CD から入手し Site Database の任意のディレクトリに置く Accessories\ECAutoFailover\AutoChangeECid.sql Accessories\ECAutoFailover\CreateSP.bat Accessories\ECAutoFailover\ECJob.sql タスクの概要表 38 では Event Collector をフェールオーバ用に設定するために必要なタスクを説明しますタスク説明 1 プライマリ Event Collector とセカンダリ Event Collector を指定する 2 プライマリ Event Collector のステータスに関して Site Database が初期チェックを行う頻度を設定する 3 プライマリ Event Collector のステータスに関して Site Database が後続のチェックを行う頻度を設定する表 38: フェールオーバ用 Event Collector 設定のタスクパラメータ表 39 では Site Database がプライマリ Event Collector のステータスをチェックする頻度を制御するパラメータについて説明しますパラメータ Daily frequency WAITFORDELAY 説明 SiteProtector がプライマリ Event Collector の初期チェックを行う頻度を制御しますデフォルト : 10 分ごとに 1 回のチェックプライマリ Event Collector が使用できなくなった後 SiteProtector がプライマリ Event Collector の後続チェックを行う頻度を制御しますデフォルト : 5 分ごとに 1 回のチェック表 39: パラメータセカンダリ Event Collector の設定 Event Collector のフェールオーバを設定するには : 1. Site Database で Windows コマンドプロンプトを開き CreateSP.bat スクリプトを実行します 2. Microsoft SQL Enterprise Manager を起動します 3. [ ツリー ] タブを選択しサーバーグループと Site Database を含むサーバーを展開します SiteProtector User Guide for Security Managers Version 2.0, SP

118 第 9 章 : Event Collector の設定 4. [ 管理 ] フォルダ [SQL Server エージェント ] の順に展開し [ ジョブ ] を選択します 5. 右側のウィンドウで表中の AutoChangeECid.sql ジョブをダブルクリックします [AutoChangeECid のプロパティ ] ウィンドウが表示されます 6. [ ステップ ] タブをクリックし表の 1 行目 (ID 1) をダブルクリックします [ ジョブステップの編集 ] ウィンドウが表示されます 7. [ コマンド ] フィールドでプライマリおよびセカンダリの Event Collector を次のように指定し [OK] をクリックします Event_Collector_A をプライマリ Event Collector の名前に置き換える Event_Collector_B をセカンダリ Event Collector の名前に置き換える例 : ATL100_EC01 8. プライマリ Event Collector のステータスに関してデータベースが初期チェックを実行する頻度を変更するには : [ スケジュール ] タブをクリックし [ コマンド ] フィールドの 1 行目をダブルクリックします [ 変更 ] をクリックします [Occurs every minute] フィールドを必要に応じて設定し [OK] をクリックします 9. プライマリ Event Collector のステータスに関して Site Database が後続のチェックを実行する頻度を変更するには : [ ツリー ] タブを選択しサーバーグループと Site Database を含むサーバーを展開します [ データベース ] [RealSecureDB] [ ストアドプロシージャ ] の順に選択します [dbo.iss_autochangeecid] スクリプトを右クリックしメニューから [ 編集 ] を選択しますスクリプトから次の行を検索します 'WAITFORDELAY '00:05:00' Site Database が後続のチェックを実行する頻度を次のパラメータで設定します '00:05:00' 例 : 10 分に 1 回のチェックを行う場合は次のように入力します '00:10:00' [ クエリ ] [ 実行 ] の順に選択します 118

119 第 10 章 Event Viewer の有効化概要この章では Event Viewer の有効化と使用について説明します任意選択 Event Viewer の有効化は必須ではありません SiteProtector Console 外にある未処理のセキュリティイベントを表示する場合に限り Event Viewer を有効化します Event Viewer は主にトラブルシューティングの目的で設計されていますセキュリティ管理作業のほとんどはコンソールで行うことをお勧めします参照先 Event Viewer の使用方法については Event Viewer のヘルプを参照してくださいこの章の内容この章では次のトピックについて説明しますトピックページ Event Viewer とは 120 Event Viewer の有効化 121 Event Viewer の起動 123 Event Viewer ログファイルの管理 124 SiteProtector User Guide for Security Managers Version 2.0, SP

120 第 10 章 : Event Viewer の有効化 Event Viewer とは Event Viewer はコンソールとは別に実行するプログラムであり Event Collector から生成されたイベントを見るための代替方法を提供しますプロセス表 40 では Event Collector から Event Viewer にイベントを送信するプロセスについて説明しますステージ説明 1 Event Collector がイベントログファイルを生成します 2 Event Viewer が Event Collector に接続します 3 Event Viewer が Event Collector 上のイベントログファイルからイベントを取り出します 4 Event Viewer はユーザー定義の設定に基づいてイベントをフィルタリングしそれを Event Viewer 内で表示します表 40: Event Viewer のプロセス 120

121 Event Viewer の有効化 Event Viewer の有効化このトピックでは Event Viewer の有効化方法について説明します始める前に Event Viewer を有効化する前に Event Collector のイベントロギングオプションを有効にする必要があります安全な通信 Event Collector と Event Viewer の間の通信は常に認証を受け暗号化されている必要があります手順 Event Viewer を有効にするには : 1. 左ウィンドウ枠で Event Collector を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で Event Collector を右クリックしポップアップメニューから [Properties] を選択します Event Collector のプロパティタブが開きます 4. [Edit Agent Properties] ボタンをクリックします [Event Collector Properties] ウィンドウが表示されます 5. 適切なロギングレベルを選択しますレベル説明 0 なし 1 エラー 2 警告 3 通知 4 情報 5 デバッグ情報 6 フル ( すべてのレベルを含む ) 6. [General] タブを選択し [Advanced] ボタンをクリックします [Advanced Event Collector Configuration] ウィンドウが表示されます 7. [Event Collector logging] セクションで次のオプションをオンにしますオプション Enable event logging to log files E.C. log file directory Switch log files 説明 Event Viewer を使用してイベントを表示する場合はこのオプションをオンにしますイベントログファイルの保存先となる Event Collector 上の場所を指定します Event Collector が新しいログファイルを作成する頻度を指定します期間は MB または秒数で指定できます例新しいログファイルを 10 MB ごとまたは 120 秒ごとに作成する SiteProtector User Guide for Security Managers Version 2.0, SP

122 第 10 章 : Event Viewer の有効化オプション Automatically clean up old log files 説明古いログ項目を削除する場合はこのオプションをオンにし Event Collector が古いログファイルを削除する頻度を指定します期間は MB または秒数で指定できます例ログファイルディレクトリが 500 MB に達したときに古いログファイルを削除するログファイルの古さが 10 日を超えたときに古いログファイルを削除する 8. [OK] をクリックします [Event Collector Properties] ウィンドウが表示されます 9. [OK] をクリックします 10. [Event Collector Properties] タブを右クリックし [Close] を選択します 122

123 Event Viewer の起動 Event Viewer の起動このトピックでは Event Viewer をコンソールまたは Windows デスクトップから起動する方法について説明しますコンソールからの Event Viewer 起動コンソールから Event Viewer を起動するには : 1. 左ウィンドウ枠で Event Collector を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で Event Collector を右クリックしポップアップメニューから [Launch] [Event Viewer] の順に選択します SiteProtector Event Viewer が表示されますデスクトップからの Event Viewer 起動 Windows デスクトップから Event Viewer を起動するには : 1. タスクバーの [ スタート ] をクリックし [ プログラム ] [ISS] [SiteProtector] [Event Viewer] の順に選択します [Login to SiteProtector Event Viewer] ウィンドウが表示されます 2. フィールドへ次のように入力しますフィールド説明 Event Service Event Collector コンピュータの IP アドレスまたは URL Event Service Port Event Collector コンピュータで使用するポート番号デフォルトは 3993 になっています App Server Application Server コンピュータの IP アドレスまたは URL App Server Port User name Event Collector コンピュータで使用するポート番号デフォルトは 3998 になっています SiteProtector のユーザー名 Password SiteProtector のパスワード 3. [OK] をクリックします SiteProtector Event Viewer が表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

124 第 10 章 : Event Viewer の有効化 Event Viewer ログファイルの管理このトピックでは Event Viewer のログファイルの管理方法について説明しますログファイルの削除 Event Viewer はログファイルを使用して情報を保管します When a log file reaches its size limit, the Event Viewer creates a new log file. ログファイルがサイズの限界に達した場合 Event Viewer は新しいログファイルを作成します不要なログファイルを削除しないとログファイルはすぐにハードディスクの容量をいっぱいにしてしまいますイベントログを有効にした場合はファイルのサイズまたは古さに基づいてログファイルを自動的に削除するオプションを選択することができますこの機能を有効にしない場合はログファイルフォルダのサイズを手動で管理する必要がありますログファイル名の読み方 Event Viewer のログファイルの名前は日付と時刻に基づいて次の形式で表示されます YYYYMMDD_nnnnnn.log 例 : _ log は 2005 年 1 月 30 日 18:36:32 に作成されたログファイルです 124

125 第 11 章 Site Database の設定概要この章では Site Database の設定についてメンテナンスオプションも含めて説明しますサポート対象データベース SiteProtector は SQL または MSDE データベースをサポートしています要件 Site Database は最低限のメンテナンスタスクを自動的に行うように設計されています完全なメンテナンスを行うにはこの章で説明する Site Database メンテナンスオプションを設定する必要があります参照先データベースメンテナンスの詳細については Microsoft SQL のマニュアルを参照するか Microsoft の Web ページを参照してくださいこの章の内容この章では次のトピックについて説明しますトピックページ Site Database プロパティの表示 126 データベースメンテナンスオプションの設定 128 データベースのデフラグ 131 ログファイルのパージ 132 データベーステーブルのパージ 133 データベース緊急パージ 136 データベース自動バックアップ 138 SiteProtector User Guide for Security Managers Version 2.0, SP

126 第 11 章 : Site Database の設定 Site Database プロパティの表示このトピックでは Site Database プロパティの表示について説明します手順 Site Database プロパティを表示するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で SiteProtector Database を右クリックしポップアップメニューから [Properties] を選択しますプロパティタブにプロパティが表示されます Site Database プロパティの説明表 41 では Site Database のプロパティを説明しますプロパティ説明 License State このコンポーネントのライセンスが有効かどうかを示します ( 例 : Key Good) Sensor Status Data File Status Site Database のステータス ( 例 : Active) Site Database の使用済み容量のパーセンテージ ( 例 : 6% Full) Transaction Log Status Site Database ログファイルの使用済み容量のパーセンテージ ( 例 : 2% Full) SQL Server Agent Status Site Database と連携する SQL データベースのステータス ( 例 : Running) Data Load Status Purge Status Purge Status Last Updated Data Used (MB) Auto Maintenance Job Auto Purge Setting Defragment Index Setting Misc Maint Settings Health Status Last Checked At コンソールにロードされたデータ行の数 ( 例 : 5 rows were loaded on October 1, :00PM) パージの現在のステータス最後に実行されたパージ Site Database で使用されている容量 ( 例 : 146 MB) データベース自動メンテナンスジョブに関する情報データベース自動パージのスケジュール ( 例 : Daily) インデックスデフラグメンテナンスジョブのスケジュール ( 例 : Daily) その他データベースメンテナンスジョブに関する情報 ( 例 : Auto Backups: Off; Emergency Purge : On; Recovery Model: simple) データベース健全性チェックが最後に行われた日時 Version Site Database のバージョン ( 例 : SP 6.0:XPU 1.49) XPU Status ソフトウェアアップデートのステータス ( 例 : Out of Date) 表 41: Site Database プロパティの説明 126

127 Site Database プロパティの表示プロパティ Last Installed XPU Site Group Name Install Date XPU Date Option Flag 説明インストールされている最新のソフトウェアアップデートのバージョン ( 例 : XPU 1.49) サイトのトップレベルグループの名前 ( 例 : ComputerName) Site Database がインストールされた日時 ( 例 : Aug :00PM) XPU が最後に適用された日時 ( 例 : Aug :00PM) Site Database のオプションフラグ ( 例 : None) Logging Level Site Database に対して設定されているロギングの種類 ( 例 : Informational) Last Modified by Site Database へ最後に変更を加えたコンポーネントの名前 ( 例 : Sensor Controller) 表 41: Site Database プロパティの説明 ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

128 第 11 章 : Site Database の設定データベースメンテナンスオプションの設定このトピックではデータベースメンテナンスオプションの設定方法について説明します注記 : データベースメンテナンスを最初に設定した後はこの設定を特定の要件に合わせて後で調整できます始める前にこの手順ではデータベースバックアップをスケジューリングしますデータベースバックアップジョブをスケジューリングまたは実行する前にバックアップデバイスを設定する必要がありますバックアップジョブの実行前にバックアップデバイスを設定していないと SiteProtector はファイルを正しい位置に書き込めずバックアップジョブは失敗しますまたバックアップドライブが変更されるたびにバックアップデバイスを追加する必要がありますバックアップデバイスの追加方法についてはデータベース自動バックアップ (138 ページ ) を参照してくださいを参照してくださいデータベースメンテナンスの時刻ピークを外した時間帯 ( 業務に影響を与えない時間帯 ) にメンテナンスが発生するように設定してくださいデフォルト : デフォルトのメンテナンス時刻は日曜日深夜 ( 日本標準時 ) です [Time] タブ : [Time] タブではデータベースメンテナンスの時刻を設定することができます手順一般的なデータベースメンテナンスオプションを設定するには : 1. 左ウィンドウ枠で Site Database を含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で [SiteProtector Database] を右クリックし [Properties] を選択します SP Database のプロパティタブが開きます 4. [Database Maintenance] アイコンをクリックします [Database Maintenance] オプションが表示されます 5. [General] タブを選択し次のオプションを設定しますオプション Defragment Frequency Maximum Log Entry Age (in days) 説明 SiteProtector がデフラグジョブを実行する頻度を選択します 1 日 1 回週 1 回実行しない次のログ内に保存されるログ項目の最大有効期間を設定します Analysis log Message log Maintenance log 128

129 データベースメンテナンスオプションの設定 6. [Time] タブを選択し次のオプションを設定しますオプション Database Maintenance Time Weekly maintenance day Maintenance time of day 説明タイムゾーンを選択します日本標準時 Greenwich Mean Time (GMT) 週に 1 度ジョブを実行する場合はジョブを実行する曜日を選択します 1 日に 1 度ジョブを実行する場合はジョブを実行する時刻を選択します 7. [Purge] タブを選択し次のオプションを設定しますオプション Emergency purge Database size threshold Purge margin Frequency Maximum Item Age (in days) 説明データベースが [Database size threshold] に指定したサイズを超えた場合に緊急のデータベース自動パージを行う場合はこのオプションをオンにしますデータベースの最大占有率を設定します注記 : データベースのサイズがこのパーセンテージを超えると SiteProtector は緊急パージを実行してデータベースサイズをこのパーセンテージよりも下げますデータベースにもっと空き容量を作るために緊急パージジョブが必要に応じて削除可能なデータ量パーセンテージを指定します 2 回目の緊急パージの間データの古さに関係なくジョブによってデータが大量に削除されますデータベース緊急パージ (136 ページ ) を参照してくださいデータベーステーブルのパージ (133 ページ ) を参照してください SiteProtector がデータベースパージジョブを実行する頻度を選択します 1 日 1 回週 1 回実行しない次の表に示す項目の最大有効期間を設定します Audit Incidents Metrics Cleared observances Cleared agent data Resolved tickets Exceptions Job history Observances Agent data Unused assets 8. [Advanced Purge] タブを選択し次のオプションを設定します SiteProtector User Guide for Security Managers Version 2.0, SP

130 第 11 章 : Site Database の設定エージェントデータタイプ別の最大有効期間 ( 日単位 ) 観察タイプ別の最大有効期間 ( 日単位 ) 9. [Daily Backup] タブを選択し次のオプションを設定しますオプション Perform automatic daily backup Backup path Recovery model Log backup threshold 説明データベースを毎日自動的にバックアップするにはこのオプションをオンにしますデータベースバックアップファイルの作成場所を指定します使用する復旧モデルを選択します Simple Full Bulk Logged ログバックアップしきい値を指定します 10. [Save All] をクリックします 11. SP Database プロパティのタブを右クリックしポップアップメニューから [Close] を選択します 130

131 データベースのデフラグデータベースのデフラグデータベースデフラグジョブはデータベースインデックスの断片化を減らし最適なデータベースパフォーマンスを維持することを目的としていますこのジョブはユーザー定義された毎日または週 1 回のスケジュールに従って自動的に実行しますデフラグの基準を変更することはできませんデフラグジョブはシステムの使用中に実行され SiteProtector のパフォーマンスには影響を与えませんデフォルト設定デフラグのデフォルト設定はインストールの種類に関係なく同じです次のオプションがデフォルト設定されています有効週 1 回スキャン密度が 90% 未満の場合にインデックスをデフラグする論理断片化が 10% を超える場合にインデックスをデフラグする General タブ [General] タブではデフラグの頻度を設定することができますインデックスの再構築インデックスの再構築については ISS ナレッジベースを参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

132 第 11 章 : Site Database の設定ログファイルのパージログファイルパージジョブは次のログファイルから古い項目を削除しこれらのログファイルがデータベースパフォーマンスに悪影響を与えないようにすることを目的としています Analysis log Message log Maintenance log パージジョブはデフォルトでは 10 分に 1 度行われます無効化やスケジューリングの変更はできませんジョブは最大有効期間よりも古いログ項目を削除します最大有効期間はユーザー定義されますデフォルト設定表 42 ではインストールタイプ別のログファイルパージジョブのデフォルト設定を紹介しますインストールの種類 Express Recommended デフォルト設定次のオプションがデフォルト設定されています有効 10 分ごとに 1 回実行する 7 日を超えるアナリシスログ項目をパージする 30 日を超えるメッセージログ項目をパージする 7 日を超えるメンテナンスログ項目をパージする次のオプションがデフォルト設定されています有効 10 分ごとに 1 回実行する 7 日を超えるアナリシスログ項目をパージする 30 日を超えるメッセージログ項目をパージする 7 日を超えるメンテナンスログ項目をパージする表 42: ログファイルパージのデフォルト設定タブ [General] タブではログ項目の最大有効期限を設定しますログファイルの説明表 43 ではログファイルパージでパージされるログについて説明しますログファイル Analysis log Message log Maintenance log 説明アナリシスデータが含まれます SQL プロシージャが Site Database で生成したエラーおよび通知メッセージが含まれます自動メンテナンスプロシージャのアクティビティが含まれます表 43: ログファイルパージでパージされるログファイル 132

133 データベーステーブルのパージデータベーステーブルのパージデータベーステーブルパージジョブは次のデータベーステーブルから重要ではないデータを削除してデータベースパフォーマンスを向上させることを目的としています Audit Incidents Metrics Cleared observances Cleared agent data Resolved tickets Exceptions Job history Observances Agent data Unused assets このジョブはインシデントおよび例外と関連付けられたルールをパージしませんデフォルト設定表 44 ではインストールタイプ別のデータベーステーブルパージジョブのデフォルト設定を紹介しますインストールの種類 Express Recommended デフォルト設定最大有効期間 ( 日単位 ) はデフォルトで次のように設定されます Audit: 14 日 Incidents: 90 日 Metrics: 180 日 Cleared observances: 14 日 Cleared agent data: 14 日 Resolved tickets: 30 日 Exceptions: 14 日 Job history: 7 日 Observances: 90 日 Agent Data: 30 日 Unused assets: 30 日データベーステーブルパージジョブはデフォルトで無効になっています表 44: データベーステーブルパージのデフォルト設定 SiteProtector User Guide for Security Managers Version 2.0, SP

134 第 11 章 : Site Database の設定タブ表 45 ではデータベーステーブルパージオプションの設定を行うタブについて説明しますタブ Time Purge Advanced Purge 説明 [Time] タブを使用してジョブが実行する時刻を設定します [Purge] タブを使用して次のオプションを設定しますパージの頻度 (Never Daily Weekly) SiteProtector データベーステーブル内の項目の最大有効期間注記 : このジョブはユーザー定義の有効期間より古い項目をパージします [Advanced Purge] タブを使用してさまざまなカテゴリのデータに含まれる各項目の最大有効期間を設定します注記 : [Advanced Purge] タブで設定したこれらの値は [Purge] タブで設定した値よりも優先されますこのジョブはユーザー定義の有効期間より古い項目をパージします表 45: データベーステーブルパージオプション設定用のタブデータベーステーブル表 46 ではパージされるデータについて説明しデータが SiteProtector Console のどこに表示されるのかを示します項目 Audit Incidents Metrics Cleared observances Cleared sensor data Resolved tickets 説明 SiteProtector でのユーザーアクションに関する詳細な情報インシデントとして指定したイベントに関する詳細情報データベース容量をほとんど必要としない非常に手短にまとめられたメトリックデータ削除済みとして指定したイベントに関する概要情報削除済みとして指定した Network Sensor または Proventia Desktop などのエージェントによって生成されたイベント解決済みのチケット表示先 Audit レポートアナリシスビューサマリビュー表示されない表示されないチケットビュー Exceptions 例外として指定したイベントに関する概要情報アナリシスビュー Job history SiteProtector 内で実行するポリシー適用アップデート適用スキャンなどのコマンドジョブに関する情報サイトノードのプロパティ Observances イベントに関する概要情報アナリシスビュー Agent data Network Sensor または Proventia Desktop などのエージェントによって生成されたイベントアナリシスビュー表 46: スケジューリングされたデータパージでパージされるデータの種類 134

135 データベーステーブルのパージ項目説明表示先 Unused assets グループ化されていない未登録であるまたはどのイベントからも参照されていないホストの IP アドレス ( 発信元 IP ターゲット IP エージェント IP など ) パージジョブは次のものを削除します追加日がユーザー定義の最大有効期間よりも古いすべてのホストグループのメンバーではないすべてのホスト登録済みエージェントのないすべてのホスト関連付けられたイベントのないすべてのホストアセットビュー表 46: スケジューリングされたデータパージでパージされるデータの種類 ( 続き ) 推奨事項 Site Database が保管および処理するデータの量はデータベースのパフォーマンスに大きな影響を与えます情報の要求を受け取った場合データベースはデータを取り出す最上の方法を決定しテーブルからデータを読みとって結果を返しますこれらの操作は CPU メモリディスクアクセスの使用にかかわっていますデータベースパフォーマンス向上の最も良い方法は必要不可欠なデータだけをデータベースに保管することです最大保存期間のデフォルト設定を使用することをお勧めしますこの設定を変更する場合は次の推奨事項に従ってください観察 (Observance) はクリアされた観察 (Cleared observance) よりも長く保存します Observances = 90 日 Cleared observances = 14 日エージェントデータ (Agent data) はクリアされたエージェントデータ (Cleared agent data) よりも長く保存します Agent data = 90 日 Cleared agent data = 14 日項目の最大保存期間の変更項目の最大保存期間を変更するには : 1. 左ウィンドウ枠で Site Database を含むグループを選択しますビューのリストから [Agent] を選択します 2. 右ウィンドウ枠で [SiteProtector Database] を右クリックし [Properties] を選択します Site Database のプロパティタブが開きます 3. [Database Maintenance] アイコンをクリックしますデータベースメンテナンスのタブが表示されます 4. [Purge] タブを選択し [Maximum Item Age (in days)] の各フィールドを変更します 5. [Save All] をクリックします 6. Site Database のプロパティタブを右クリックしポップアップメニューから [Close] を選択します SiteProtector User Guide for Security Managers Version 2.0, SP

136 第 11 章 : Site Database の設定データベース緊急パージデータベース緊急パージジョブはデータベースがいっぱいになるのを防ぎデータベースサイズをユーザー定義した一定のサイズ制限内に収めることを目的としていますこのジョブはデータベースサイズがユーザー定義のサイズ制限を超える場合に限って実行されデータベースサイズがユーザー定義のサイズ制限内に収まるまで 10 分ごとに実行されますデフォルト設定表 47 ではインストールタイプ別のデータベース緊急パージジョブのデフォルト設定を紹介しますインストールの種類 Express Recommended デフォルト設定次のオプションがデフォルト設定されています有効 Database size threshold: 85% Purge margin: 5% このジョブはデフォルトでオフになっています a 表 47: データベース緊急パージのデフォルト設定 a. このジョブが有効になっていない場合データベースの使用率が 85% に達したときに SiteProtector は Event Collector と Agent Manager を自動的にシャットダウンしますこれらのコンポーネントはデータベースに空き容量を手動で作成するまで非アクティブのままとなりますタブ [Purge] タブを使用してデータベース緊急パージジョブを有効化または無効化し表 48 に説明されているオプションを設定しますオプション説明 Database size threshold 緊急データベースパージジョブが開始されるまでにデータベースサイズが超える必要のあるパーセンテージ Purge margin 緊急データベースパージジョブはまずデータの古さに基づいてデータベースからデータを削除しますこのパージによってもデータベースサイズがしきい値を下回らない場合はデータの古さに関係なくジョブによってデータの大量削除が開始されますパージマージンとは 1 回のパージで削除可能なデータのパーセンテージですたとえばパージマージンを 5% に設定した場合データベースの古さに関係なくデータの 5% がパージジョブによって削除されます表 48: データベース緊急パージオプション設定用のタブデータベース緊急パージの有効化データベース緊急パージを有効化するには : 1. 左ウィンドウ枠で Site Database を含むグループを選択しますビューのリストから [Agent] を選択します 2. 右ウィンドウ枠で [SiteProtector Database] を右クリックし [Properties] を選択します Site Database のプロパティタブが開きます 3. [Database Maintenance] アイコンをクリックします [Database Maintenance] タブが表示されます 4. [Purge] タブをクリックし [Emergency Purge] チェックボックスをオンにします 136

137 データベース緊急パージ 5. 次のオプションを設定しますオプション説明 Database size threshold 緊急データベースパージジョブが開始されるまでにデータベースサイズが超える必要のあるパーセンテージ Purge margin 緊急データベースパージジョブはまずデータの古さに基づいてデータベースからデータを削除しますこのパージによってもデータベースサイズがしきい値を下回らない場合はデータの古さに関係なくジョブによってデータの大量削除が開始されますパージマージンとは 1 回のパージで削除可能なデータのパーセンテージですたとえばパージマージンを 5% に設定した場合データベースの古さに関係なくデータの 5% がパージジョブによって削除されます 6. [Save All] をクリックします 7. Site Database のプロパティタブを右クリックしポップアップメニューから [Close] を選択します SiteProtector User Guide for Security Managers Version 2.0, SP

138 第 11 章 : Site Database の設定データベース自動バックアップデータベース自動バックアップジョブは RealSecureDB と呼ばれる Site Database にあるデータのアーカイブのみを目的としていますバックアップには次のデータベースの情報は含まれません MasterDB model msdb 重要 : これらデータベースをバックアップするシステムの実装を強くお勧めしますデータベースをバックアップしておくと次のものを復旧することができます自動データベースメンテナンスでパージされたデータ損傷または破損したデータベース要件データベースバックアップジョブをスケジューリングまたは実行する前にバックアップデバイスを設定する必要がありますバックアップジョブの実行前にバックアップデバイスを設定していないと SiteProtector はファイルを正しい位置に書き込めずバックアップジョブは失敗しますまたバックアップドライブが変更されるたびにバックアップデバイスを追加する必要がありますバックアップデバイスの追加方法についてはこのトピック内のバックアップデバイスの追加の手順を参照してくださいデフォルト設定表 51 ではインストールタイプ別のデータベース自動バックアップジョブのデフォルト設定を紹介しますインストールの種類 Express Recommended デフォルト設定データベース自動バックアップジョブはデフォルトで無効になっていますデータベース自動バックアップジョブはデフォルトで無効になっています表 49: データベース自動バックアップのデフォルト設定タブ表 50 ではデータベース自動バックアップオプションの設定を行うタブについて説明しますタブ Time Daily Backup 説明 [Time] タブを使用してジョブが実行する時刻を設定します a [Daily Backup] タブを使用して次のオプションを設定しますバックアップファイルを保存する場所 (Backup path) 必要な場合にデータベース復旧に使用する復旧モデル (Simple Full Bulk Logged) b ログバックアップしきい値表 50: データベース自動バックアップオプション設定用のタブ a. SiteProtector のパフォーマンスに悪影響が及ばないようにデータベース自動バックアップジョブをピーク以外の時間帯に実行するようにスケジューリングしてください 138

139 データベース自動バックアップ b. 復旧モデルは作成するデータベースバックアップの種類とバックアップ作成の頻度を決定します復旧モデルを参照してください復旧モデル表 51 ではデータベース自動バックアップジョブがサポートする SQL データベース復旧モデルについて説明しますモデル Simple Full Bulk Logged 説明この方法には次の利点があります高速なデータベースパフォーマンスバックアップファイルとトランザクションログに必要な容量が少ない実装が簡単である処理に必要な容量が少ないこの方法には次の不利点がありますルーチン処理時に大容量が必要となるバックアップファイルとトランザクションログに大容量が必要となる ( 最大でデータベースサイズの 4 倍 ) この方法には次の利点と不利点がありますルーチン処理時に中程度の容量が必要となるバックアップファイルとトランザクションログに大容量が必要となる ( 最大でデータベースサイズの 4 倍 ) バックアップと頻度ッ完全なバックアップが毎日 1 回作成されますバックアップは次のように作成されます完全なバックアップが週 1 回作成されます差分バックアップが毎日 1 回作成されますバックアップは次のように作成されます完全なバックアップが週 1 回作成されます差分バックアップが毎日 1 回作成されます表 51: SQL 復旧モデル参照 : この 3 つの復旧モデルに関するそれぞれの利点と不利点を含めた詳細については Microsoft SQL のマニュアルを参照してくださいバックアップデバイスの追加この手順では SQL Server データベースにバックアップデバイスを追加する方法について説明しますこの手順を実行するには SQL Server システム管理者 (SA) である必要があります MSDE を使用している場合は SQL Server の全バージョンは必要ありませんこの手順ではコマンドプロンプトを使って SQL Server スクリプトを実行してくださいバックアップデバイスを追加するには : 1. Site Database コンピュータに SQL Server システム管理者 (SA) としてログインします 2. Site Database コンピュータ上で SQL Server Analyzer ツールを開きます 3. [SQL Server] ウィンドウで次のように入力します USE RealSecureDB Go EXEC iss_addbackupdevice 4. [Execute] アイコンをクリックします下のウィンドウに出力が表示され削除されたデバイスと追加されたデバイスがリストアップされます 5. ウィンドウを閉じます 6. SiteProtector Console を起動しバックアップ対象のサイトにログインします 7. 左ウィンドウ枠で Site Database を含むグループを選択します SiteProtector User Guide for Security Managers Version 2.0, SP

140 第 11 章 : Site Database の設定 8. SiteProtector Database の [Status] フィールドが [Active] になっていることを確認します 9. Site Database コンピュータで [ スタート ] [ プログラム ] [Microsoft SQL Server] [ クエリアナライザ ] の順に選択します 10. exec sp_helpdevice コマンドを実行します 11. このページの下の方で RealSecureDB_ で始まるファイルを検索します注意 : これらはこのデータベース用のバックアップファイルです 12. これらのファイルが正しい場所を指していることを確認します 140

141 第 12 章ユーザー権限の設定概要この章では次の内容に関する情報など SiteProtector でのユーザー権限管理のさまざまな方法について説明します SiteProtector ユーザーグループグローバル権限グループレベル権限ポリシー権限要件 SiteProtector にはデフォルトの Administrators グループが 1 つ備わっておりこれには Application Server のローカル Administrators グループがメンバーとして含まれていますこれは SiteProtector 製品をインストールするのと同じユーザーですその他ユーザーがサイトへの接続とコンソールの使用を行えるようにするにはユーザーを SiteProtector に追加する必要があります注記 : グループレベル権限とポリシー権限はグループエージェントおよびポリシーの設定後に設定することをお勧めします権限の種類については次を参照してくださいグループレベル権限の設定 (217 ページ ) ユーザーへのポリシー変更権限の付与 (290 ページ ) ユーザーへのレスポンス変更権限の付与 (299 ページ ) この章の内容この章では次のセクションについて説明しますセクションページセクション A: SiteProtector での権限管理 143 セクション B: SiteProtector ユーザーグループ 151 セクション C: グローバル権限 157 SiteProtector User Guide for Security Managers Version 2.0, SP

142 第 12 章 : ユーザー権限の設定 142

143 セクション A: SiteProtector での権限管理概要このセクションでは SiteProtector の権限管理機能について説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ権限管理の方法 144 ユーザーとグループの検索 146 アップグレードの影響を受ける権限 147 アップグレードの要件 148 グループポリシー権限の作業 149 SiteProtector User Guide for Security Managers Version 2.0, SP

144 第 12 章 : ユーザー権限の設定権限管理の方法このトピックでは権限を管理するために SiteProtector で使用可能な方法について説明します方法表 52 では SiteProtector での権限管理方法を説明しそれぞれの例を紹介します方法 a SiteProtector ユーザーグループグローバル権限グループレベル権限ポリシー権限説明 SiteProtector ユーザーグループを使用して一連の権限をユーザーまたはユーザーグループに割り当てます個別のユーザーまたはユーザーグループを SiteProtector ユーザーグループに追加する場合そのユーザーまたはユーザーグループはその SiteProtector ユーザーグループに割り当てられたすべての権限を自動的に受け取りますこの方法では一連の権限がユーザーまたはユーザーグループにすばやく割り当てられますほとんどのユーザー権限については SiteProtector ユーザーグループを使用して管理することをお勧めします例 : jsmith というユーザーを Operator という SiteProtector ユーザーグループに割り当てますユーザー jsmith はユーザーグループ Operator に割り当てられている権限すべてを自動的に受け取ります権限を個別に割り当てる必要はありませんグローバル権限を使用してサイト全体の権限をユーザーまたはユーザーグループに割り当てますグローバル権限はサイトレベルで設定されます例 : Clear/Restore Events というグローバル権限を jsmith というユーザーに付与しますユーザー jsmith はサイト全体のイベントを消去または復元することができますグループレベル権限を使用してアセットグループに固有の権限を割り当てますグループレベル権限はアセットグループレベルで設定されます例 : Atlanta Servers というグループの場合に Scan-Control という Network Internet Scanner のグループレベル権限を jsmith というユーザーに付与しますユーザー jsmith はこのグループ内にあるアセットでスキャンを実行可能またはこのグループ内にある Network Internet Scanner を使用したスキャンを実行可能ですグループレベル権限の設定 (217 ページ ) を参照してください Modify ポリシー権限を使用して個別のポリシーまたはレスポンスを変更する資格をユーザーに与えます Modify ポリシー権限は個別のポリシーおよびレスポンスにしか与えられません詳細については次を参照してくださいユーザーへのポリシー変更権限の付与 (290 ページ ) ユーザーへのレスポンス変更権限の付与 (299 ページ ) 表 52: 権限管理の方法 a. 推奨ではありませんがここで説明する方法を組み合わせて使用し権限を管理することができますたとえば jsmith が SiteProtector ユーザーグループのメンバーとなりグローバル権限を持ちさらにグループレベル権限を持つことが可能ですフェールオーバソリューション SiteProtector にドメインユーザーおよびドメイングループを設定することまたはフェールオーバソリューションを実装することを計画中である場合はドメインへのアクセス権を持つコンピュー 144

145 権限管理の方法タに Application Server をインストールする必要があります Application Server がドメインへのアクセス権を得たら次の作業を行うことができます SiteProtector にドメインユーザーおよびドメイングループを追加する Check Names 機能を使用してドメインユーザーおよびドメイングループを検索するフェールオーバソリューションの実装 * ドメインへのアクセス権を持つコンピュータに Application Server がインストールされていない場合 SiteProtector にはローカルユーザーとローカルグループしか追加できません注記 : SiteProtector がセカンダリサイトへフェールオーバした場合は Site Database に格納されているドメインユーザーとドメイングループだけがセカンダリ Site Database にフェールオーバします SiteProtector 内にドメインユーザーまたはドメイングループが設定されていない場合はセカンダリサイトへのログインやセカンダリサイトの使用を行うことができません SiteProtector User Guide for Security Managers Version 2.0, SP

146 第 12 章 : ユーザー権限の設定ユーザーとグループの検索 SiteProtector には次のものの検索に役立つ Check Names 機能が備わっていますローカルユーザーおよびグループドメインユーザーおよびグループこの機能は次のタスクを実行する場合に使用できます SiteProtector ユーザーグループへのメンバー追加メンバーへのグローバル権限の追加メンバーへのグループレベル権限の追加検索オプション表 53 では Check Names 機能で使用できる検索オプションについて説明します行う作業う特定ドメイン内のすべてのユーザーおよびグループを表示する特定の文字で始まるすべてのユーザーおよびグループを表示する結果 domain name\ と入力し [Check Names] をクリックします例 : us\ この検索では us ドメイン内に存在するすべてのドメインユーザーおよびグループが表示されます該当の文字を入力し [Check Names] をクリックします例 : a この検索ではドメイン内の a で始まるすべてのドメインユーザーおよびグループが表示されます表 53: Check Names を使用したメンバーの検索 146

147 アップグレードの影響を受ける権限アップグレードの影響を受ける権限このトピックでは SiteProtector 2.0 Service Pack 6.0 以降にアップグレードすることで SiteProtector ユーザーおよび権限が受ける影響について説明します背景以前のリリースでは SiteProtector に security.xml という編集可能なファイルが含まれていましたこのファイルには次のようなデフォルトの SiteProtector ユーザーロールと各ロールのデフォルト権限が含まれていました Administrator Analyst Operator このファイルではユーザーロールの追加やユーザーロールに割り当てられたデフォルト権限の変更など SiteProtector でのユーザー権限を手作業で編集してカスタマイズできました保持されないもの SiteProtector では security.xml ファイルに対して行われた変更や編集のサポートまたは実装を行いません除外される変更内容は次のとおりです 3 つのデフォルトユーザーロール以外に追加作成したカスタムユーザーロールカスタムユーザーロールに追加したユーザーデフォルトユーザーロールに加えた変更 ( 名前の変更権限の追加権限の削除など ) 保持されるもの SiteProtector は次のものを保持します変更が加えられた security.xml ファイルただしこのファイルは SiteProtector システムでは使用されませんそれでも引き続きこのファイルへアクセスし新規システムでのセットアップで利用するために権限を表示することは可能です元の権限を備えた 3 つのデフォルトユーザーロール (Administrator Operator Analyst) 注意 : 元のとは編集前のユーザーロールに割り当てられていた権限を指しますたとえば Operator というユーザーロールに権限を追加または削除した場合この変更内容はアップグレードプロセスでも維持されます Atlanta Server Administrators というカスタムユーザーロールを作成してある場合このロールはアップデート中に失われます 3 つのデフォルトユーザーロールに追加したユーザーそれらのユーザーロール割り当てそのユーザーロールに割り当てられた元の権限たとえば jsmith というユーザーをユーザーロール Operator に追加した場合アップグレードプロセスでは jsmith が Operator という SiteProtector ユーザーグループのメンバーとして自動的に設定されますユーザー jsmith はユーザーロール Operator に割り当てられた元の権限を持つことになりこのロールに対して行われた変更内容は反映されませんカスタムユーザーロールの再作成 security.xml ファイル内にカスタムユーザーロールを作成した場合はそのユーザーロールをカスタム SiteProtector ユーザーグループとして SiteProtector 内で再作成する必要があります SiteProtector はこの編集版 security.xml ファイルを同じ場所に保持しますこのファイルを表示して SiteProtector 内でカスタム権限を再作成することができますカスタム SiteProtector ユーザーグループの作成については SiteProtector ユーザーグループの作成 (153 ページ ) を参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

148 第 12 章 : ユーザー権限の設定アップグレードの要件このトピックでは以前のバージョンの SiteProtector に登録されているユーザーをアップデート時に Service Pack 6 へ移行する場合の要件について説明します要件次のグループに属する管理者として XPU を適用する必要があります RSSP-Administrator (SiteProtector ユーザーロール ) BUILTIN\ ユーザーグループ (Windows ユーザーグループ ) そうしないと XPU の適用後にすべての SiteProtector ユーザーが削除されますプロセス XPU の適用後に SiteProtector ユーザーが削除されないようにするには : 1. ユーザーを RSSP-Administrator ユーザーロールに追加します 2. ユーザーを BUILTIN\ ユーザーグループに追加します注意 : このユーザーがこのユーザーグループ内に既に存在する場合がありますその場合はユーザーをそのままユーザーグループに残しておきますそのユーザーをこのグループから削除しないでください 3. このユーザーとしてログインしコア XPU を適用しますこの手順で SiteProtector 内で設定されたそのユーザーがアップデートプロセスでも維持されるようになります 148

149 グループポリシー権限の作業グループポリシー権限の作業このトピックではポリシーの依存関係と階層的共有ポリシーを扱う場合の考慮事項を説明しますポリシーの依存関係ポリシーを扱う場合は一部のポリシーが別のポリシーに依存している点に留意してくださいそのため自分が権限を持つポリシー機能に対するアクセスが SiteProtector によって拒否されるような事態が発生した場合はポリシーの依存関係に原因のある可能性がありますたとえば Update Settings ポリシーは 2 つのポリシー (Services および Notification) に依存しています依存関係にあるポリシーのいずれか 1 つに対して権限がない場合は Update Settings ポリシーに対する作業権限がある場合でもこのポリシーを作業することができない可能性があります階層的共有ポリシーの作業共有ポリシーは 1 つ以上の SiteProtector コンポーネントやエージェントによって使用されるポリシーですサイトレベルの共有ポリシーとは異なり階層的共有ポリシーは個別のポリシーではなくグループに基づいて設定されますしたがってグループ内の 1 つのポリシーに対してアクセス権を持っていればすべてのポリシーにアクセスすることができます例 : Group Settings ポリシーは階層的共有ポリシーです次の権限のうち最低 1 つの権限を持っているグループから Group Settings ポリシーにアクセスを試みた場合はアクセスが許可されます注意 : 次の権限のうち最低 1 つの権限を持っていない場合はアクセスが許可されません [RealSecure Desktop] [Policy] [Modify] [Network Multi-Function Security] [Policy] [Modify] [X-Press Update Server] [Policy] [Modify] [Network IPS] [Policy] [Modify] [Event Archiver] [Policy] [Modify] [Proventia Server] [Policy] [Modify] グループポリシーの権限チェック次の表はグループポリシーのアクションと対応する権限チェックを示したものです注記 : 次に示す Clear Child Overrides アクション以外のすべてのアクションを実行するには [Policy] [Modify] 権限が必要です Child Overrides アクションを実行するには Full Access To All Functionality の権限を持つユーザーである必要がありますアクション Open policy 権限チェック選択されたグループ Go To Inherited Group ( 該当なし ) Override Inherit 選択されたグループ選択されたグループ Clear Child Overrides (Full Access to All Functionality が必要 ) Promote 親グループおよび選択されたグループ Copy ( 該当なし ) Paste 対象のグループ表 54: グループポリシーの権限 SiteProtector User Guide for Security Managers Version 2.0, SP

150 第 12 章 : ユーザー権限の設定アクション Import Export 権限チェック選択されたグループ選択されたグループ表 54: グループポリシーの権限 150

151 セクション B: SiteProtector ユーザーグループ概要このセクションでは SiteProtector ユーザーグループの設定と管理について説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ SiteProtector ユーザーグループとは 152 SiteProtector ユーザーグループの作成 153 SiteProtector ユーザーグループへのメンバー追加 154 SiteProtector User Guide for Security Managers Version 2.0, SP

152 第 12 章 : ユーザー権限の設定 SiteProtector ユーザーグループとは SiteProtector ユーザーグループは同じ一連のグローバル権限およびグループレベル権限を持つ SiteProtector 内の一連のユーザーです SiteProtector ユーザーグループを使用すると組織内のユーザーロールに基づいてユーザーグループ全体の権限を同時に制御することができるので便利です個別のユーザーまたはユーザーグループを SiteProtector ユーザーグループに追加する場合そのユーザーまたはユーザーグループはその SiteProtector ユーザーグループに割り当てられたすべての権限を自動的に受け取りますこの方法では一連の権限がユーザーまたはユーザーグループにすばやく割り当てられますほとんどのユーザー権限については SiteProtector ユーザーグループを使用して管理することをお勧めします重要 : SiteProtector ユーザーグループとローカルグループまたはドメイングループの相違点と類似点をよく理解しておくことが非常に重要です SiteProtector ユーザーグループはローカルグループおよびドメイングループとはまったく別に管理されます定義済みユーザーグループ SiteProtector には次のような定義済みユーザーグループが備わっています各グループにはセキュリティ組織内のさまざまなロールに対して作成された特定の権限セットが割り当てられています Administrator Analyst Operator Network Manager Desktop Manager Server Manager Assessment Manager カスタムユーザーグループ定義済みの SiteProtector ユーザーグループに必要な権限セットが備わっていない場合は要件を満たす SiteProtector ユーザーグループを作成することができます表 55 ではカスタム SiteProtector ユーザーグループの設定タスクを説明しますタスク説明 1 SiteProtector ユーザーグループを作成する SiteProtector ユーザーグループの作成 (153 ページ ) を参照してください 2 SiteProtector ユーザーグループにメンバーを追加する SiteProtector ユーザーグループへのメンバー追加 (154 ページ ) を参照してください 3 SiteProtector ユーザーグループにグローバル権限を追加するグローバル権限の割り当てと削除 (161 ページ ) を参照してください 4 SiteProtector ユーザーグループにグループレベル権限を追加する重要 : Group-View という権限をサイトグループレベルで SiteProtector ユーザーグループに割り当ててくださいそのようにしないとこのグループ内のユーザーはサイトにログインできませんグループレベル権限の設定 (217 ページ ) を参照してください表 55: カスタム SiteProtector ユーザーグループ設定のタスク 152

153 SiteProtector ユーザーグループの作成 SiteProtector ユーザーグループの作成このトピックでは SiteProtector ユーザーグループの作成方法について説明します手順 SiteProtector ユーザーグループを作成するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Manage User Groups] の順に選択します [Manage User Groups] ウィンドウが表示されます 3. 左ウィンドウ枠で [Add] をクリックし新しいユーザーグループの名前を入力します 4. [OK] をクリックします左ウィンドウ枠に SiteProtector ユーザーグループが表示されます右ウィンドウ枠は SiteProtector ユーザーグループにメンバーを追加するまでは空白です SiteProtector ユーザーグループへのメンバー追加 (154 ページ ) を参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

154 第 12 章 : ユーザー権限の設定 SiteProtector ユーザーグループへのメンバー追加このトピックでは SiteProtector ユーザーグループへのメンバー追加について説明します次の項目を SiteProtector ユーザーグループに追加することができますローカルユーザーローカルグループドメインユーザードメイングループメンバー : 定義メンバーという言葉は個別のユーザーだけでなくユーザーのグループも指しますたとえば Server Administrators というドメイングループとそのドメイングループ内のメンバー全員は SiteProtector 内のメンバーと総称されます Windows 権限の管理 Windows での権限管理は SiteProtector での権限管理に大きな影響を与えますたとえば Windows グループにメンバーを追加するときその Windows グループが SiteProtector ユーザーグループのメンバーでもある場合はそのメンバーは SiteProtector ユーザーグループにも自動的に追加されます例 SiteProtector で Server Administrators というドメイングループを Administrators という SiteProtector ユーザーグループに追加しますこのアクションによって SiteProtector ユーザーグループ Administrators に割り当てられているすべての権限が Server Administrators というドメイングループに付与されます Windows コンピュータの管理で jsmith というメンバーを Server Administrators というドメイングループに追加しますこのアクションによって SiteProtector ユーザーグループ Administrators に割り当てられているすべての権限が jsmith に自動的に付与されます始める前に SiteProtector ユーザーグループにメンバーを追加する前に次のタスクを完了しておく必要がありますメンバーが Windows 上に存在するかどうかを検証する Windows 上に既に存在しているメンバーしか SiteProtector に追加できませんローカルユーザーおよびローカルグループの場合はそのローカルユーザーまたはローカルグループに関する正確なアカウント情報 ( マシン名ユーザー名など ) を Windows から入手する必要があります SiteProtector 内でローカルユーザーまたはローカルグループを検索することはできませんドメインユーザーとドメイングループの検索は可能です手順 SiteProtector ユーザーグループにメンバーを追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Manage User Groups] の順に選択します [Manage User Groups] ウィンドウが表示されます 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Manage User Groups] の順に選択します [Manage User Groups] ウィンドウが表示されます 3. 左ウィンドウ枠でメンバーの追加先となる SiteProtector ユーザーグループを選択します 4. [Members] セクションで [Add] をクリックします 154

155 SiteProtector ユーザーグループへのメンバー追加 5. 次の表を使用して次の手順を決定します追加する内容 SiteProtector ユーザーグループにローカルユーザーまたはグループを追加する SiteProtector ユーザーグループにドメインユーザーまたはグループを追加する手順次の構文を使用して正確なアカウントを入力し [OK] をクリックしますマシン名 \ ユーザー名マシン名 \ グループ名正確なアカウント情報がわからない場合は Windows コンピュータの管理を使用して検索してください次の構文を使用して正確なアカウント名を入力し [OK] をクリックしますドメイン名 \ ユーザー名ドメイン名 \ グループ名正確なアカウント名がわからない場合は Check Names を使用して検索してください [Select User and Groups] ウィンドウが表示されます 6. ユーザーグループに追加するメンバーをリストから選択し [OK] をクリックします [Members] セクションに SiteProtector ユーザーグループに追加したメンバーが表示されます SiteProtector ユーザーグループからのメンバー削除ローカルユーザーローカルグループドメインユーザードメイングループを SiteProtector ユーザーグループから削除することができます SiteProtector ユーザーグループからメンバーを削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] [Manage User Groups] の順に選択します [Manage User Groups] ウィンドウが表示されます 3. ユーザーグループリストで削除対象メンバーを含むユーザーグループを選択します [Members] セクションに SiteProtector ユーザーグループの現在のメンバーが表示されます 4. [Members] セクションで削除対象の個別メンバーを選択して [Remove] をクリックしますヒント : 複数のメンバーを同時に選択するには [CTRL] キーを押したままでメンバーを選択します確認メッセージが表示されます 5. [ はい ] をクリックします選択したメンバーが SiteProtector ユーザーグループから削除されます SiteProtector User Guide for Security Managers Version 2.0, SP

156 第 12 章 : ユーザー権限の設定 156

157 概要セクション C: グローバル権限概要グローバル権限このセクションではグローバル権限を定義しグローバル権限の付与と削除の手順を説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページグローバル権限とは 158 グローバル権限の割り当てと削除 161 SiteProtector User Guide for Security Managers Version 2.0, SP

158 第 12 章 : ユーザー権限の設定グローバル権限とはグローバル権限はサイト全体の権限であり次のものに割り当てることができます SiteProtector ユーザーグループローカルユーザーローカルグループドメインユーザードメイングループグローバル権限を使用するとサイトのどこでも関連のアクションを実行することができます権限のリスト SiteProtector にはユーザーに付与またはユーザーから削除可能な固定された一連のグローバル権限が備わっていますシステムでグローバル権限を追加作成することはできません表 56 では SiteProtector に備わっているグローバル権限について説明します権限 Active Directory Agent Manager Global Actions Clear/Restore Events Database Maintenance Setup Export Analysis Data Full Access to All Functionality Global Application List 説明この権限は次の作業をユーザーに許可します Active Directory からアセットやグループをインポートするエージェントのログイン情報を入手するこの権限はサイトでの Agent Manager Global Actions ポリシーの表示を許可しますまた Agent Manager のプロパティをダウンロードする場合の前提条件であり Proventia Desktop ポリシーを編集する場合の前提条件でもありますこの権限はアナリシスビューでのセキュリティイベントの消去と復元をユーザーに許可しますサイトレベルのエージェントビューで次のようなデータベースメンテナンスオプションを設定します定期メンテナンスをスケジューリングするデータベースパージオプションを設定するデータベースバックアップオプションを設定するこの権限はアナリシスビューでの次の作業をユーザーに許可しますデータを印刷するデータをエクスポートするデータベースエクスポートジョブをスケジューリングするこの権限は SiteProtector のすべての機能をユーザーに許可しますこの権限はグローバルアプリケーションリストの作成をユーザーに許可します表 56: グローバル権限 158

159 グローバル権限とは権限 Import Policy/Response Launch Event Viewer Manage Global Permissions Manage Global Responses Manage Incidents and Exceptions Manage Licenses Manage Session Properties Manage Ungrouped Assets Manage User Groups Manage SecureSync 説明この権限はポリシーおよびレスポンスのインポートをユーザーに許可します注記 : SiteProtector は管理者ではないユーザーへのグローバル権限 Import Policy/Response の付与を許可しますが付与しないことを強くお勧めします管理者ではないユーザーに Import Policy/ Response グローバル権限を付与すると制限された権限が迂回される場合がありますサイトレベルのエージェントビューで Event Viewer を開きますこの権限はユーザーおよびグループに対するグローバル権限の追加と削除をユーザーに許可しますこの権限はグローバルレスポンスの管理をユーザーに許可しますこの権限はアナリシスビューでのインシデントと例外の作成および編集をユーザーに許可しますサイトレベルで次の作業を行います製品ライセンスを追加および削除するライセンス情報 ( 警告概要情報など ) を表示する Proventia OneTrust ライセンスで使用可能な OneTrust トークンおよびライセンスの情報を表示するこの権限は Network Internet Scanner を使用したスキャンを実行するためのセッションプロパティファイルの設定をユーザーに許可しますこの権限は次の作業をユーザーに許可しますサイト範囲内のグループ化されていないアセットエージェントアナリシスイベントを表示するサイト範囲を追加または削除するグループ化されていない項目に対して Auto-Group Hosts 機能を実行するこの権限は次の作業をユーザーに許可します SiteProtector ユーザーグループを作成する SiteProtector ユーザーグループを削除する SiteProtector ユーザーグループにメンバーを追加する SiteProtector ユーザーグループからメンバーを削除するサイトレベルで次のような SecureSync 機能を使用します Site Management Transfer Wizard を使用するキーを配布するエージェントを管理するエージェントを解放する表 56: グローバル権限 ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

160 第 12 章 : ユーザー権限の設定権限 Ticketing Setup 説明サイトレベルで次の作業を行います次のようなチケッティングオプションを設定および変更する : メール通知設定 ( メールの送信時期受信者のメールアドレスなど ) チケットステータスのカテゴリチケット優先度のカテゴリチケットのカスタムカテゴリ表 56: グローバル権限 ( 続き ) 160

161 グローバル権限の割り当てと削除グローバル権限の割り当てと削除このトピックでは次のものに対するグローバル権限の割り当てと削除について説明します SiteProtector ユーザーグループローカルユーザーローカルグループドメインユーザードメイングループ注記 : サイトレベルの Policy Editor を使用する製品の場合は複数の権限を一度に割り当てることができません権限を個別に割り当てることで誤ったユーザーへ重要な権限を不用意に割り当てる可能性を減らすことができます始める前にグローバル権限を割り当てる前に次のタスクを完了しておく必要がありますグローバル権限を管理する権限を持っていることを確認します Administrators という SiteProtector ユーザーグループのメンバーであればこの権限はデフォルトで備わっていますメンバーではない場合は Manage Global Permissions というグローバル権限を管理者から入手する必要があります Windows メンバーにグローバル権限を割り当てる場合はそのメンバーが Windows 上に存在することを確認します SiteProtector ユーザーグループにグローバル権限を割り当てる場合はその SiteProtector ユーザーグループが SiteProtector 内に存在することを確認します Windows ローカルユーザーまたは Windows ローカルグループにグローバル権限を割り当てる場合はそのローカルユーザーまたはローカルグループに関する正確なアカウント情報 ( マシン名ユーザー名など ) を Windows から入手する必要があります SiteProtector 内でローカルユーザーまたはローカルグループを検索することはできませんドメインユーザーとドメイングループの検索は可能ですグローバル権限の割り当てグローバル権限を割り当てるには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Properties] を選択しますサイトのプロパティタブが表示されます 2. [Permissions] アイコンをクリックします 3. グローバル権限の管理セクションで割り当てるグローバル権限を右クリックし [Open Permission] を選択します [Manage Users and/or Groups] ウィンドウが表示されます 4. [Add] をクリックします [Search Users/Groups to Add] ウィンドウが表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

162 第 12 章 : ユーザー権限の設定 5. 次の表を使用して次の手順を決定します追加する内容 SiteProtector ユーザーグループにローカルユーザーまたはグループを追加する SiteProtector ユーザーグループにドメインユーザーまたはグループを追加する手順次の構文を使用して正確なアカウントを入力し [OK] をクリックしますマシン名 \ ユーザー名マシン名 \ グループ名正確なアカウント情報がわからない場合は Windows コンピュータの管理を使用して検索してください次の構文を使用して正確なアカウント名を入力し [OK] をクリックしますドメイン名 \ ユーザー名ドメイン名 \ グループ名正確なアカウント名がわからない場合は Check Names を使用して検索してください 6. [OK] をクリックしますこのメンバーにグローバル権限が与えられますこのメンバーの名前がグローバル権限の横に表示されますグローバル権限を SiteProtector ユーザーグループローカルグループまたはドメイングループに割り当てた場合これらのグループに追加されたメンバーはこのグローバル権限を自動的に受け取ります 1 人以上のメンバーがこの権限を持つ場合はメンバー名がセミコロン (;) で区切られますグローバル権限の削除ユーザーまたはグループからグローバル権限を削除するには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Properties] を選択しますサイトのプロパティタブが表示されます 2. [Permissions] アイコンをクリックします 3. グローバル権限の管理セクションでユーザーまたはグループから削除するグローバル権限を右クリックし [Open Permission] を選択します [Manage Users and/or Groups] ウィンドウが表示されます 4. 権限を削除するメンバーを選択し [Remove] をクリックしますヒント : 複数のメンバーを同時に選択するには [CTRL] キーを押したままでリスト内のメンバーを選択します確認メッセージが表示されます 5. [ はい ] をクリックします [Manage Users and/or Groups] ウィンドウが表示されます当該メンバーは権限リストに表示されなくなります 6. [OK] をクリックしますこのメンバーの名前はグローバル権限の横に表示されなくなります 162

163 第 13 章 Event Archiver の設定概要 Event Archiver は Site Database がイベントデータを保管する必要がないようにこのデータを別のコンピュータにアーカイブしますこの章で説明する背景情報と手順を使用して Event Archiver のイベントアーカイブ方法の制御と複数 Event Archiver の設定を行いますイベントアーカイバルコンポーネント Event Archiver は簡単にアクセスおよび表示できる定義済みディレクトリ内にイベントをアーカイブするスタンドアロンコンポーネントです Event Archiver は追加設定しなくてもインストール後からイベントの収集を開始します注記 : Event Archiver は SiteProtector の価格プランに含まれていません詳細についてはお使いの構成に該当する価格プランを参照してください参照先 Event Archiver のインストールについては次の情報を参照してください SiteProtector Installation Guide この章の内容この章では次のトピックについて説明しますトピックページ重要な要件と考慮事項 164 イベントルール 165 IP アドレスによってフィルタリングを行うルールの作成 166 イベントの種類によってフィルタリングを行うルールの作成 169 イベントルール順序の設定 170 アーカイブ済みイベントの表示 171 SiteProtector User Guide for Security Managers Version 2.0, SP

164 第 13 章 : Event Archiver の設定重要な要件と考慮事項このトピックでは Event Archiver の設定に関する要件と考慮すべき事項について説明します Event Archiver の設定前にこれらの項目を確認してください要件 Event Archiver をインストールし SiteProtector と通信するように設定する必要があります詳細については SiteProtector Installation Guide を参照してくださいアーカイブするイベントの決定デフォルトでは Event Archiver は Event Collector によって収集されたすべてのイベントを保管しますイベントフィルタルールを使用してアーカイブするイベントをいくつかの基準に従ってフィルタリングすることができます複数の Event Archiver イベントルールを使用してイベントのアーカイブ作業を複数の Event Archiver で分割することができますたとえば IDS イベントを Event Archiver へ転送するルールを作成し脆弱性イベントを別の Event Archiver へ転送する別のルールを作成することができますパフォーマンスの考慮事項 Event Archiver はコンポーネント間のトラフィックを増加させるためネットワークパフォーマンスに影響が及ぶ場合があります Event Archiver は特に Event Archiver ポリシーが複数イベントをアーカイブするように設定されている場合に Event Collector のパフォーマンスに影響を与える可能性があります複数イベントをアーカイブしないように Event Archiver ポリシーを設定することを検討してくださいイベントルール (165 ページ ) を参照してください Event Archiver のアップデート Event Archiver は X-Press Update Server を使用しますこのサーバーは xpu.iss.net ( ダウンロードセンター ) からアップデートを入手するために Application Server によってデフォルトでインストールされますこれらのアップデート設定 (Event Archiver の通信先として設定されている X-Press Update Server など ) は変更することができます X-Press Update Server の設定 (97 ページ ) を参照してください 164

165 イベントルールイベントルールイベントルールはアーカイブするイベントの種類を管理する場合やイベントアーカイブ作業を複数の Event Archiver で分割する場合に役立ちますこのトピックの背景情報を使用してイベントルールへの理解を深めてくださいイベントルールとは Central Responses ポリシーでのフィルタリングと同様にイベントルールを使用することでアーカイブされたイベントをイベントの種類ポート発信元および宛先のアドレスユーザー定義のパラメータに基づいてフィルタリングできます最大 4 つの基準を使用してフィルタリングを行う 1 つのルールを設定することができますたとえば表 57 に指定されている基準に基づいてイベントをアーカイブするイベントルールを作成することができます基準 Event Type 値 http Source IP Destination IP Source Port 8080 Destination Port 8081 表 57: 複数基準を使用するイベントルールの例ルールの順序イベントルールは [Add Event Rules] ウィンドウに一覧表示されますデフォルトではルールが作成された順 ( 古いものから新しいものの順 ) に一覧になっていますルールをリスト内で上下に移動することでこの順序を変更することができますイベントルールによるイベントフィルタリング方法 SiteProtector は収集された各イベントをリストの最初にあるイベントルールから順に照合します一致が見つかるとこのイベントは Event Archiver に転送されそこでディスクに書き込まれます SiteProtector User Guide for Security Managers Version 2.0, SP

166 第 13 章 : Event Archiver の設定 IP アドレスによってフィルタリングを行うルールの作成このトピックの手順を使用して次のものでフィルタリングを行うイベントルールを作成します発信元 IP アドレス宛先 IP アドレス発信元 IP アドレスによるイベントフィルタリングアーカイブされたイベントを発信元アドレスでフィルタリングするには : 1. エージェントビューで Event Archiver コンポーネントを右クリックしポップアップメニューから [Manage Policy] の順に選択します右ウィンドウ枠に [Policy] タブが表示されます 2. [Event Filter Rules] ポリシーを右クリックしリストから次のいずれかを選択します Open Policy Override 注意 : [Override] オプションが有効である場合設定中のポリシーはツリーの上位にあるポリシーから設定を継承します [Override] オプションを選択した場合はこの継承済みポリシーの設定継承を行わない新規インスタンスを作成することになります右ウィンドウ枠に [Event Filter Rules] タブが表示されます 3. [Add] をクリックします [Add Event Filter Rules] ウィンドウが表示されます 4. [Enable] ボックスをオンにします 5. [Name] ボックスにルール名を入力し [Comment] ボックスにオプションで説明を入力します注意 : ネットワークオブジェクトを使用してアドレスまたはアドレス範囲を定義する場合は [Network Objects] アイコンをクリックします 6. [Source] タブを選択します 7. すべての発信元アドレスからのイベントを含めるようにしますかそうする場合は [Any] をオンにして手順 10 に進みます ( これはデフォルトオプションです ) そうしない場合は [Use specific source address] をオンにして手順 8 に進みます 8. [Mode] リストから次のいずれかのオプションを選択します指定した発信元 IP アドレスからのイベントだけを含める場合は [From] 指定した発信元 IP アドレスからのイベントを除外する場合は [Not From] 9. 次のオプションのいずれかを選択します指定内容 1 つの発信元 IP アドレスネットワークマスクとしての発信元 IP アドレス範囲発信元 IP アドレスの範囲作業 [Single IP Address] をオンにし [Add] をクリックしてボックス内に IP アドレスを入力します [Network Address/#Network Bits (CIDR)] をオンにしボックス内に IP アドレスその後に続けてビット数を入力します [IP Address Range] をオンにしボックス内に範囲を入力します 166

167 IP アドレスによってフィルタリングを行うルールの作成指定内容アドレスリストの IP アドレス作業 [Address List Entry] をオンにし [Address List Entry Name] リストからアドレスを選択します 10. 特定のポートを発信元とするイベントを含める場合は次のいずれかを指定します指定内容作業 1 つのポート [Single Port] をオンにし [Port Number] ボックスにポートの値を入力しますポートの範囲 [Port Range] をオンにしボックス内に範囲を入力しますアドレスリストのポートまたはポート範囲 [Port List Entry] をオンにし [Port List Entry Name] リストからアドレスを選択します 11. [OK] をクリックします宛先 IP アドレスによるイベントフィルタリングアーカイブされたイベントを宛先 IP アドレスでフィルタリングするには : 1. エージェントビューで Event Archiver を右クリックしポップアップメニューから [Manage Policy] の順に選択します右ウィンドウ枠に [Policy] タブが表示されます 2. [Event Filter Rules] ポリシーを右クリックしリストから次のいずれかを選択します Open Policy Override 注意 : [Override] オプションが有効である場合設定中のポリシーはツリーの上位にあるポリシーから設定を継承します [Override] を選択した場合はこの継承済みポリシーの設定継承を行わない新規インスタンスを作成することになります右ウィンドウ枠に [Event Rules] タブが表示されます 3. [Add] をクリックします [Add Event] ウィンドウが表示されます 4. [Enable] ボックスをオンにします 5. [Name] ボックスにルール名を入力し [Comment] ボックスにオプションで説明を入力します注意 : ネットワークオブジェクトを使用してアドレスまたはアドレス範囲を定義する場合は [Network Objects] アイコンをクリックします 6. [Destination] タブを選択します 7. すべての宛先アドレスからのイベントを含めるようにしますかそうする場合は [Any] をオンにして手順 10 に進みます ( これはデフォルトオプションです ) そうしない場合は [Use specific destination addresses] をオンにして手順 8 に進みます 8. [Mode] リストから次のいずれかのオプションを選択します指定した宛先 IP アドレスを宛先とするイベントを含める場合は [From to] 指定した宛先 IP アドレスからのイベントを除外する場合は [Not From] SiteProtector User Guide for Security Managers Version 2.0, SP

168 第 13 章 : Event Archiver の設定 9. 次のうちいずれかのオプションを選択します指定内容作業 1 つの宛先 IP アドレス [Single IP Address] をオンにし [Add] をクリックしてボックス内に IP アドレスを入力します宛先 IP アドレス範囲を指定するネットワークマスク宛先 IP アドレスの範囲アドレスリストの宛先 IP アドレス [Network Address/#Network Bits (CIDR)] をオンにしボックス内に IP アドレスその後に続けてビット数を入力します [IP Address Range] をオンにしボックス内に範囲を入力します [Address List Entry] をオンにし [Address List Entry Name] リストからアドレスを選択します 10. 特定のポートを宛先とするイベントを含める場合は次のいずれかを指定します指定内容作業 1 つのポート [Single Port] をオンにし [Port Number] ボックスにポートの値を入力しますポートの範囲 [Port Range] をオンにしボックス内に範囲を入力しますアドレスリストのポートまたはポート範囲 [Port List Entry] をオンにし [Port List Entry Name] リストからアドレスを選択します 11. [OK] をクリックします 168

169 イベントの種類によってフィルタリングを行うルールの作成イベントの種類によってフィルタリングを行うルールの作成イベントフィルタは [Event Rules] ウィンドウに表示されるオプションです SecurityFusion Module のステータスまたはアプライアンスのステータスに基づいてアーカイブ済みイベントをフィルタリングできるようにしますイベントフィルタは IP アドレスによってフィルタリングするルールよりも正確にフィルタリングを行います手順イベントフィルタを追加するには : 1. エージェントビューで Event Archiver コンポーネントを右クリックしポップアップメニューから [Manage Policy] の順に選択します右ウィンドウ枠に [Policy] タブが表示されます 2. [Event Filter Rules] ポリシーを右クリックしリストから次のいずれかを選択します Open Policy Override 注意 : [Override] オプションが有効である場合設定中のポリシーはツリーの上位にあるポリシーから設定を継承します [Override] を選択した場合はこの継承済みポリシーの設定継承を行わない新規インスタンスを作成することになります [Event Rules] タブが表示されます 3. [ 追加のアイコンをクリックします [Add Event Rules] ウィンドウが表示されます 4. [Enabled] ボックスをオンにします 5. [Name] ボックスにルール名を入力し [Comment] ボックスにオプションで説明を入力します 6. [ Events] タブを選択し追加のアイコンをクリックします [Add Event Filters] ウィンドウが表示されます 7. [Enabled] ボックスをオンにします 8. [Event] ボックスにイベントの名前を入力しますヒント : 同じカテゴリに属する一連のイベントをフィルタリングするにはプレフィックスまたは名前の一部にワイルドカード (*) を加えて入力します ( 例 : http* ftp*) 9. 優先度 ( 高中低 ) によってイベントをフィルタリングする場合は [Priority] リストからオプションを選択します 10. SecurityFusion またはアプライアンスのステータスによってイベントをフィルタリングする場合は [ Status] リストで該当するチェックボックスをオンにします注意 : デフォルトではすべてのチェックボックスがオンになっています 11. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

170 第 13 章 : Event Archiver の設定イベントルール順序の設定サイト上のイベントルールの順序を変更することができますこのトピックではイベントルール順序設定の背景情報と手順について説明しますイベントルール順序設定のガイドラインイベントルールのパフォーマンスを向上させるには広範な基準でフィルタリングを行うルールがリストの最初に来るように順序変更することを検討してくださいたとえば IP アドレスのドメイン全体をフィルタリングするイベントルールを 1 つのアドレスをフィルタリングするルールよりも前に置きますイベントルールの順序新しいルールを作成するとリスト内で選択したルールの上に表示されますルールが選択されていないと新しいルールはリストの一番下に表示されますルールの順序はリスト内で変更できます手順イベントルールの順序を設定するには : 1. エージェントビューで Event Archiver コンポーネントを右クリックしポップアップメニューから [Manage Policy] の順に選択します右ウィンドウ枠に [Policy] タブが表示されます 2. [Event Filter Rules] ポリシーを右クリックしリストから次のいずれかを選択します Open Policy Override 注意 : [Override] オプションが有効である場合設定中のポリシーはツリーの上位にあるポリシーから設定を継承します [Override] を選択した場合はこの継承済みポリシーの設定継承を行わない新規インスタンスを作成することになります右ウィンドウ枠に [Event Rules] タブが表示されます 3. リスト内でイベントルールを選択し上向きまたは下向きの矢印を使用してルールの順序を変更します [Add Event Rules] ウィンドウ内の [Order] ボックスはリスト内のルールの位置を反映して更新されます 170

171 アーカイブ済みイベントの表示アーカイブ済みイベントの表示このトピックで説明する背景情報と手順を使用してアーカイブ済みのイベントを表示し Event Archiver がイベントを正しく収集していることを確認しますアーカイブ済みイベントの体系化 SiteProtector は Event Archiver コンピュータ上のテキストファイルにアーカイブ済みイベントを保管しますデフォルトでは 60 分ごとに新しいファイルが作成されますファイル名にはイベントがアーカイブされた日時が含まれますこれらのファイルは次のディレクトリ構造に従って体系化されます 1. イベントを送信したセンサーの IP アドレス 2. イベントがアーカイブされた年 3. イベントがアーカイブされた月 4. イベントがアーカイブされた日アーカイブ済みイベントへのアクセスに使用されたスクリプトアーカイブ済みイベントへ頻繁にアクセスする場合はサードパーティのスクリプティングツール (Perl など ) を使用してこれらファイルを検索可能なスクリプトを作成することを検討してくださいスクリプトはファイルをすぐに検索しアーカイブ済みイベントをより効率よく管理するのに役立ちます前提条件アーカイブ済みイベントを表示するには Event Archiver コンピュータにアクセス可能である必要があります手順アーカイブ済みイベントを表示するには : 1. Event Archiver がインストールされているコンピュータ上で次の場所に移動します C:\Program Files\ISS\SiteProtector\EventArchiver\ 2. EventLogDir フォルダを開き表示するイベントの送信元であるセンサーの IP アドレスを検索します 3. 個々のイベントファイルを参照し探しているイベントの日時に対応するファイルを特定します注意 : デフォルトパスの例は次のとおりです C:\Program Files\ISS\SiteProtector\EventArchiver\\ \2005\08\EventLog_2 005_8_3_ SiteProtector User Guide for Security Managers Version 2.0, SP

172 第 13 章 : Event Archiver の設定 Event Archiver ディレクトリ構造の変更 Event Archiver ログファイルの場所を Event Archiver ディレクトリ構造を変更することでカスタマイズすることができますこのトピックでこのタスクの実行に関連する情報について説明しますディレクトリ構造の変更 Event Archiver ディレクトリ構造を変更するには : 1. Event Archiver サービスを停止します Event Archiver サービスの停止方法についてはこのトピックの SiteProtector Event Archiver サービスの起動 / 停止セクションを参照してください 2. メモ帳を使用して EventArchiver.policy ファイルを開きます EventArchiver.policy ファイルのデフォルト場所は次のとおりです C:/Program Files/ISS/SiteProtector/Event Archiver/ 3. 使用可能なパラメータをすべて表示しますか表示する場合はこのトピックの使用可能なパラメータの一覧表示セクションにある手順 4 に進みます表示しない場合は手順 4 に進みます 4. EventArchiver.policy ファイルへのパラメータの追加 / 削除方法を参照しますか参照する場合はこのトピックの該当セクションにある手順 5 に進みます参照しない場合は手順 5 に進みます 5. ポリシーファイル内でパラメータを追加 / 削除して必要なディレクトリ構造を作成します 6. 変更内容を保存しポリシーファイルを閉じます 7. Event Archiver サービスを起動します Event Archiver サービスの起動方法についてはこのトピックの SiteProtector Event Archiver サービスの起動 / 停止セクションを参照してください SiteProtector Event Archiver サービスの起動 / 停止 SiteProtector Event Archiver サービスを起動 / 停止するには : 1. コントロールパネルで管理ツールを開き [ サービス ] をダブルクリックします [ サービス ] ウィンドウが表示されます 2. 右ウィンドウ枠の [ 名前 ] 列で [SiteProtector Event Archiver] を右クリックしポップアップメニューの [ 開始 ] をクリックします SiteProtector Event Archiver サービスを停止する場合はポップアップメニューの [ 停止 ] をクリックします使用可能なパラメータの一覧表示使用できるパラメータは SiteProtector と併用しているエージェントによって異なります一部のパラメータ名 (SensorAddress AlertDateTime など ) はすべてのエージェントに共通ですが多くのパラメータ名はすべてのエージェントに共通ではありません使用可能なパラメータは EventLog ファイルで見ることができます次に挙げるヒントは使用できるパラメータを確認する場合に役立ちますログファイル内ではパラメータ名が R と = の間にありますたとえば AlertFormatVersion パラメータはログファイル内で R AlertFormatVersion=85 と表示されます ( この場合 AlertFormatVersion の値は 85 です ) ワードラップがオフになっている場合は使用できるパラメータをメモ帳で表示した方が見やすくなります 172

173 Event Archiver ディレクトリ構造の変更パラメータの追加 EventArchiver.policy ファイルにパラメータを追加するには : 1. ファイルの下の方にある次のセクションを検索します [\Event Archiver\DirectoryStructure]; 注意 : パラメータ構造はこの行の後に表示されています各パラメータ構造は 3 行で構成されていますデフォルトでは Event Archiver には 2 つのパラメータ (SensorAddress と AlertDateTime) がリストアップされています 2. 3 行のパラメータ構造を切り取りリスト内の希望の場所へコピーしてからパラメータ番号を更新します希望の場所を決定する方法パラメータ番号は各 3 行構造の 1 行目の最後尾に表示されますこの番号はパラメータのディレクトリレベルを表しますたとえば番号が \3 である場合このパラメータはその他 2 つのディレクトリに続いてディレクトリ構造内 3 番目となりますこのパラメータがディレクトリ構造の 6 番目に表示されるようにする場合は \3 を \6 に置き換えます注意 : パラメータ番号は順番にふる必要がありますつまり番号をとばすことはできませんたとえばそれ以前のパラメータ構造でパラメータ番号として /1 や /2 を使用していない場合は /3 をパラメータ番号として使用しないでください注意 : Event Archiver はポリシーファイル内でのパラメータ順序ではなくパラメータ番号に基づいてディレクトリ構造を作成しますしかし混乱を避けるためにパラメータ番号順にパラメータを並べておくことをお勧めします 3. 貼り付けたディレクトリ構造の 2 行目で古いパラメータを希望のパラメータ名に変更します使用できるパラメータの検索方法についてはこのトピックの使用可能なパラメータの一覧表示を参照してください例 : パラメータの追加 AlertFormatVersion パラメータをディレクトリ構造の 3 番目の位置に追加する場合は次の作業を行います次のパラメータ構造を EventArchiver.policy ファイルの 3 番目に来るようにカットアンドペーストします [\Event Archiver\DirectoryStructure\2]; Field =S AlertDateTime; ParameterLoc =S Required; 新しいパラメータをディレクトリの 3 番目に置くために最初の行を [\Event Archiver\DirectoryStructure\2]; から [\Event Archiver\DirectoryStructure\3]; に変更する必要があります AlertDateTime パラメータの代わりに AlertFormatVersion パラメータを使用するために 2 番目の行を Field =S AlertDateTime; から Field =S AlertFormatVersion; に変更する必要がありますパラメータの削除 EventArchiver.policy ファイルからパラメータを削除するには : 1. ファイルの下の方にある次のセクションを検索します [\Event Archiver\DirectoryStructure]; 注意 : パラメータ構造はこの行の後に表示されています各パラメータ構造は 3 行で構成されていますデフォルトでは Event Archiver には 2 つのパラメータ (SensorAddress と AlertDateTime) がリストアップされています 2. 削除するパラメータを検索し 3 行の構造全体を削除します注意 : 必要に応じて残りの構造パラメータ番号を付けなおしてくださいパラメータ番号は各 3 行パラメータ構造の 1 行目の最後尾に表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

174 第 13 章 : Event Archiver の設定 174

175 第 14 章チケットの設定概要この章の内容この章では SiteProtector でのチケット機能の設定とチケットの作業について説明しますこの章では次のトピックについて説明しますトピックページチケットとは 176 チケットの作業 177 通知設定の定義 179 チケット優先度の定義 181 カスタムカテゴリの定義 183 SiteProtector User Guide for Security Managers Version 2.0, SP

176 第 14 章 : チケットの設定チケットとは SiteProtector のチケット機能を使用して問題点のチケット / イシューイベントエージェントおよびアセットを SiteProtector ユーザーに割り当てることができますイベントエージェントまたはアセットに関してイシューがある場合システムはチケットを作成しこれを割り当て先となるユーザーへ転送しますユーザーはそのイシューを調査して解決しますユーザーはその間チケットのステータスを変更 ( 例 : New から Open In Progress Closed など ) することができます Remedy Action Request System Remedy Action Request System (Remedy) は強力なサードパーティのチケットシステムですこれは重要なタスクの追跡や項目 ( チケット ) の記録を行う Web アクセス可能なワークフロー自動化オーガナイザです Remedy の詳細についてはを参照してください SiteProtector 2.0 Service Pack 6 の時点では Remedy を使用してチケットを追跡するように SiteProtector を設定可能となっていますこの統合によりユーザーは SiteProtector Console から Remedy チケットを作成することができます SiteProtector と Remedy は Remedy/Java Application Programming Interface (API) を使用してサーバーレベルで統合されていますチケットが SiteProtector 内に保存されるとその情報は Remedy にも保存されますしたがって Remedy を使用してチケットの編集メンテナンス追跡を行うことができます Remedy を使用してチケットのメンテナンスを行う場合は SiteProtector で編集を行うことができませんただし SiteProtector 内で作成された各チケットのコピーは SiteProtector Database 内に保存されます 176

177 チケットの作業チケットの作業このトピックではチケットの作成表示オープンおよび編集の方法と次のものに関するレスポンスログ情報について説明しますエージェントアセットイベントチケットの作成エージェントアセットまたはイベントのチケットを作成するには : 1. 左ウィンドウ枠でエージェントアセットまたはイベントを含むグループを選択します 2. ビューのリストから [Agent] [Asset] または[Analysis] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [New Ticket] を選択します [New Ticket] タブが表示されます 4. 次のオプションを選択します Priority ( 優先度 ) Responsibility ( 責任者 ) Category ( カテゴリ ) 注意 : 選択した優先度に基づいて [Due Date] が自動的に指定されます必要であれば [Due Date] を変更することができます 5. [Synopsis] セクションにイシューの概要を入力します 6. [Actions] セクションにこのイシューの解決に必要な手順を入力します 7. [Category] オプションでカスタムカテゴリを選択したでしょうか選択した場合は左ウィンドウ枠の [Custom Category] アイコンをクリックしユーザー定義フィールドにテキストを入力して手順 9 に進みます選択しない場合は手順 9 に進みます 8. [Save All] をクリックしますチケットが作成されてチケット ID 番号が付けられたことを示すメッセージが表示されます 9. メッセージの [OK] をクリックして [New Ticket] タブを閉じますチケットの表示エージェントアセットまたはイベントのチケットを表示するには : 1. 左ウィンドウ枠でエージェントまたはアセットを含むグループを選択します 2. ビューのリストから [Agent] または [Asset] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [List Tickets] を選択します [Tickets For Selected Items] タブが表示されその項目に関するチケットが一覧表示されますチケットのオープンエージェントまたはアセットのチケットを開くには : 1. 左ウィンドウ枠でエージェントまたはアセットを含むグループを選択します 2. ビューのリストから [Agent] または [Asset] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [List Tickets] を選択します [Tickets For Selected Items] タブが表示されその項目に関するチケットが一覧表示されます 4. 右ウィンドウ枠でチケットを右クリックし [Open Ticket] を選択します SiteProtector User Guide for Security Managers Version 2.0, SP

178 第 14 章 : チケットの設定 [Ticket ID] タブが表示されチケット情報が表示されますチケットの編集 SiteProtector 内で作成されたチケットしか編集できません Remedy 内で作成されたチケットについては Remedy 内で編集する必要がありますエージェントアセットまたはイベントのチケットを編集するには : 1. 左ウィンドウ枠でエージェントまたはアセットを含むグループを選択します 2. ビューのリストから [Agent] または [Asset] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [List Tickets] を選択します [Tickets for Selected Items] タブが表示されその項目に関するチケットが一覧表示されます 4. 右ウィンドウ枠でチケットを右クリックし [Open Ticket] を選択します [Ticket ID] タブが表示されチケット情報が表示されます 5. 必要に応じて次の情報を編集します Priority ( 優先度 ) Responsibility ( 責任者 ) Due Date ( 期日 ) Category ( カテゴリ ) 6. [Synopsis] セクションでイシューの概要を編集します 7. [Actions] セクションでこのイシューの解決に必要な手順を編集します 8. [Save All] をクリックします 9. メッセージの [OK] をクリックして [New Ticket] タブを閉じますチケットのレスポンスログの表示 [Log] タブにはチケットの内容を受けてシステムが実行したすべての操作が表示されますたとえばシステムがメールを送信しそれがシステムを通じて別のユーザーへ転送された場合こうしたすべての手順が表示されます [Log] タブには保留中のシステムステータスも表示されますチケットのレスポンスログを表示するには : 1. 左ウィンドウ枠でエージェントアセットまたはイベントを含むグループを選択します 2. ビューのリストから [Agent] または [Asset] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [List Tickets] を選択します [Tickets for Selected Items] タブが表示されその項目に関するチケットが一覧表示されます 4. 右ウィンドウ枠でチケットを右クリックし [Open Ticket] を選択します [Ticket ID] タブが表示されチケット情報が表示されます 5. 左ウィンドウ枠で [Response Logs] アイコンをクリックします次のレスポンスログ情報が表示されます Time stamp ( タイムスタンプ ) Reason ( 理由 ) Action ( アクション ) Status ( ステータス ) Error ( エラー ) Error Count ( エラー回数 ) 178

179 通知設定の定義通知設定の定義 SiteProtector はチケットのある部分に変化があった場合にメールでユーザーへ通知することができますたとえばチケットステータスが更新された場合にチケット作成者へ通知することができますこの機能はチケットに関係しているユーザーへチケットの変更を通知する手段を備えています通知設定通知設定は次の内容を制御しますチケットを作成したユーザーへシステムが通知を行う時期チケットを担当するユーザーへシステムが通知を行う時期 SiteProtector ユーザーのメールアドレス手順通知設定を定義するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Notification] タブを選択します 4. [ Ticket Creator] セクションで次のオプションをオンにしますオプション On latent ticket On change to the ticket status On change to the ticket due date On change to the ticket priority 説明チケットが期日を過ぎた場合にチケット作成者へ通知しますチケットステータスが変化した場合にチケット作成者へ通知しますチケットの期日が変更になった場合にチケット作成者へ通知しますチケットの優先度が変更になった場合にチケット作成者へ通知します 5. [ Responsible Party] セクションで次のオプションをオンにしますオプション On latent ticket On change to the ticket status On change to the ticket due date On change to the ticket priority When a ticket is assigned 説明チケットが期日を過ぎた場合にチケット担当者へ通知しますチケットステータスが変化した場合にチケット担当者へ通知しますチケットの期日が変更になった場合にチケット担当者へ通知しますチケットの優先度が変更になった場合にチケット担当者へ通知しますチケットが担当者であるユーザーに割り当てられた場合にチケット担当者へ通知します 6. ユーザーメールリストのセクションで SiteProtector ユーザーのメールアドレスを追加します SiteProtector User Guide for Security Managers Version 2.0, SP

180 第 14 章 : チケットの設定アドレスを手動で追加する場合はユーザー名の横にある [ Address] テキストボックスをダブルクリックしメールアドレスを入力しますメールアドレスを Active Directory から追加する場合はユーザーを選択して [Populate] をクリックしますチケット変更をユーザーへ通知する場合 SiteProtector はこれらのアドレスへメールを送信します 7. [Apply] をクリックし [Close] をクリックします 180

181 チケット優先度の定義チケット優先度の定義チケットの優先度はチケット解決のために割り当てられている時間ごとにチケットを分類するための手段ですチケットの解決に割り当てられた時間が少ないほど優先度は高くなりますこのトピックでは次の内容について説明します SiteProtector で使用可能なデフォルトのチケット優先度新しいチケット優先度の作成方法チケット優先度の削除方法チケット優先度の属性のアップデート方法デフォルトのチケット優先度 SiteProtector にはデフォルトのチケット優先度が 4 種類備わっていますデフォルトのチケット優先度に関連付けられた時間割り当ては編集可能ですがデフォルトのチケット優先度を削除することはできません表 58 ではデフォルトのチケット優先度について説明します優先度 Critical ( クリティカル ) High ( 高 ) Medium ( 中 ) Low ( 低 ) 説明チケットを 1 週間以内に解決する必要がありますチケットを 1 ヶ月以内に解決する必要がありますチケットを 2 ヶ月以内に解決する必要がありますチケットを 6 ヶ月以内に解決する必要があります表 58: デフォルトチケット優先度の説明チケット優先度の追加チケット優先度を追加するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Priority] タブを選択し [Add] をクリックします [Add a new priority] ウィンドウが表示されます 4. 次のチケット属性を入力します属性 Priority Maximum Latency ( 時間単位 ) Description 説明優先度 ( 例 : High) チケット解決のためにこの優先度に指定された割り当て時間 ( 例 : 24 hours) テキストによる優先度の説明 ( 例 : ticket must be resolved within 24 hours) 5. [OK] をクリックし次に [ 了解 ] をクリックしますチケット優先度の削除チケット優先度を削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します SiteProtector User Guide for Security Managers Version 2.0, SP

182 第 14 章 : チケットの設定 [Ticketing Setup] ウィンドウが表示されます 3. [Priority] タブを選択します 4. 削除する優先度を選択し [Delete] をクリックします確認メッセージが表示されます 5. [OK] をクリックし次に [ 了解 ] をクリックしますチケット優先度の属性のアップデートチケット優先度の属性をアップデートするには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Priority] タブを選択します 4. 編集する優先度を選択し [Modify] をクリックします [Update priority attributes] ウィンドウが表示されます 5. 次の属性を編集します属性 Priority Maximum Latency ( 時間単位 ) Description 説明優先度 ( 例 : High) チケット解決のためにこの優先度に指定された割り当て時間 ( 24 hours など ) テキストによる優先度の説明 ( ticket must be resolved within 24 hours など ) 6. [OK] をクリックし次に [ 了解 ] をクリックします 182

183 カスタムカテゴリの定義カスタムカテゴリの定義このトピックではカスタムカテゴリの作成編集削除の方法について説明しますカスタムカテゴリの作成カスタムカテゴリを作成するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Custom Category] タブを選択し [Add] をクリックします [Add a new Category] ウィンドウが表示されます 4. カテゴリ名と説明を入力します 5. [Custom Fields] セクションで [Add] ボタンをクリックします [Custom Category Field Attributes] ウィンドウが表示されます 6. フィールド名と説明を入力しフィールド内の文字が 25 文字を超える場合は [Large Field] オプションをオンにします 7. 必要に応じて手順 5 ~ 手順 6 を繰り返し追加のカスタムフィールドを作成します 8. カスタムフィールドの順序を変更する場合はカスタムフィールドを選択し [Move up] ボタンをクリックしてフィールドを上に移動するか [Move down] をクリックしてフィールドを下に移動します 9. [OK] をクリックし次に [ 了解 ] をクリックしますカスタムカテゴリの編集カスタムカテゴリを編集するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Custom Category] タブを選択します 4. [All Categories] セクションでカテゴリを選択して [Modify] をクリックします 5. [Update Category attributes] ウィンドウが表示されます 6. カテゴリ名説明カスタムフィールドを必要に応じて編集します 7. [OK] をクリックし次に [ 了解 ] をクリックしますカスタムカテゴリの削除カスタムカテゴリを削除するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. [Tools] メニューの [Ticketing Setup] を選択します [Ticketing Setup] ウィンドウが表示されます 3. [Custom Category] タブを選択します 4. [All Categories] セクションでカテゴリを選択して [Delete] をクリックします確認メッセージが表示されますこのカテゴリに作成されているチケットのカテゴリ情報が失われます 5. [OK] をクリックし次に [ 了解 ] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

184 第 14 章 : チケットの設定 184

185 第 15 章コンポーネントの作業概要この章では次のタスクについて説明します SiteProtector コンポーネントの停止起動更新 SiteProtector コンポーネントのステータスの確認 SiteProtector コンポーネントのプロパティの表示と編集 SiteProtector コンポーネントのパスワードのリセット必要な暗号化キーの SiteProtector コンポーネントへの手動配布注記 : この章で説明するタスクはいずれも SiteProtector の初期設定を必要としませんこれらのタスクはトラブルシューティングとメンテナンスを目的としていますこの章の内容この章では次のトピックについて説明しますトピックページコンポーネントの停止起動更新 186 コンポーネントパスワードのリセット 188 SiteProtector コンポーネントへのキーの配布 192 SiteProtector User Guide for Security Managers Version 2.0, SP

186 第 15 章 : コンポーネントの作業コンポーネントの停止起動更新このトピックでは次のタスクの手順を説明しますコンポーネントの停止 (issdaemon が停止 ) コンポーネントの起動 (issdaemon が停止 ) コンポーネントの更新注記 : コンポーネントは SiteProtector インターフェースではエージェントと呼ばれます始める前に SiteProtector コンポーネントを停止起動または更新する前にサイト内のすべてのコマンドジョブを確認しコンポーネントに関して進行中のコマンドジョブがないようにしてくださいコマンドジョブの実行中にコンポーネントを停止起動再起動または更新するとコマンドジョブが中断されてキャンセルされますサイト内の全コマンドジョブの表示サイト内のすべてのコマンドジョブを表示するには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Properties] を選択しますサイトのプロパティタブが表示されます 2. [Command Jobs] アイコンをクリックします右ウィンドウ枠にすべてのコンポーネントおよびエージェントに対するスケジューリング済みおよび実行中のコマンドジョブがすべて表示されますコンポーネントの停止コンポーネントを停止するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でコンポーネントを右クリックしポップアップメニューから [Stop Agent] を選択します [Stop] コマンドジョブウィンドウが表示されます 4. [Command Details] セクションでアクションアセットエージェント名を確認します 5. [Schedule] アイコンをクリックします 6. エージェントをすぐに停止しますかすぐに停止する場合は [Run Once] をオンにしますすぐには停止しない場合はエージェント停止のジョブをスケジューリングします 7. [OK] をクリックしますコンポーネントの起動コンポーネントを起動するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でコンポーネントを右クリックしポップアップメニューから [Start Agent] を選択します [Start] コマンドジョブウィンドウが表示されます 4. [Command Details] セクションでアクションアセットエージェント名を確認します 5. [Schedule] アイコンをクリックします 6. エージェントをすぐに起動しますか 186

187 コンポーネントの停止起動更新すぐに起動する場合は [Run Once] をオンにしますすぐには起動しない場合はエージェント起動のジョブをスケジューリングします 7. [OK] をクリックしますコンポーネントの再起動コンポーネントを再起動するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でコンポーネントを右クリックしポップアップメニューから [Restart Agent] を選択します [Restart] コマンドジョブウィンドウが表示されます 4. [Command Details] セクションでアクションアセットエージェント名を確認します 5. [Schedule] アイコンをクリックします 6. エージェントをすぐに再起動しますかすぐに再起動する場合は [Run Once] をオンにしますすぐには再起動しない場合はエージェント再起動のジョブをスケジューリングします 7. [OK] をクリックしますコンポーネントの更新コンポーネントを更新するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でコンポーネントを右クリックしポップアップメニューから [Refresh Agent] を選択します [Refresh] コマンドジョブウィンドウが表示されます 4. [Command Details] セクションでアクションアセットエージェント名を確認します 5. [Schedule] アイコンをクリックします 6. エージェントをすぐに更新しますかすぐに更新する場合は [Run Once] をオンにしますすぐには更新しない場合はエージェント更新のジョブをスケジューリングします 7. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

188 第 15 章 : コンポーネントの作業コンポーネントパスワードのリセット SiteProtector は各 SiteProtector コンポーネントに対するユーザーアカウントを保持します Site Database はこのアカウントを使用してコンポーネントを識別しコンポーネントはこのアカウントを使用して Site Database にログインしますユーザーアカウントには次の内容が含まれますコンポーネントがインストールされているコンピュータの名前に基づいたコンポーネントのユーザー名例 : ATL1000 という名前のコンピュータにインストールされている Event Collector のユーザー名は Event Collector_ATL1000 ですコンポーネント用の暗号化されたシステム生成パスワードシステム生成パスワードにはアクセスできませんパスワードメンテナンスユーティリティを使用してコンポーネントパスワードをリセットすることはできますこのトピックでは次のコンポーネント用パスワードのリセットについて説明します Event Collector Agent Manager SecurityFusion Module Application Server パスワードをリセットする場合状況によってはコンポーネントのパスワードをリセットする必要がありますたとえば次のような場合です既知のシステム生成パスワードを変更したい場合セキュリティ管理上の目的でパスワードを変更する必要がある場合 SiteProtector をフェールオーバ用に準備する場合コンポーネントパスワードメンテナンスユーティリティ表 59 では SiteProtector コンポーネント用のパスワードメンテナンスユーティリティについて説明しますユーティリティ Event Collector Login Utility 説明このユーティリティを使用して Event Collector のパスワードをリセットします Agent Manager Login Information Utility SecurityFusion Module Database Password Changing Utility このユーティリティを使用して Agent Manager のパスワードをリセットしますこのユーティリティを使用して SecurityFusion Module のパスワードをリセットします表 59: SiteProtector コンポーネント用パスワードメンテナンスユーティリティ Event Collector パスワードのリセット Event Collector パスワードをリセットするには : 1. Event Collector コンピュータで issdaemon サービスを停止します 2. Event Collector ログインユーティリティを起動しますこのユーティリティは次のディレクトリにあります \Program Files\ISS\SiteProtector\Event Collector\ECLogin.exe 188

189 コンポーネントパスワードのリセット [SiteProtector Event Collector Login Utility] ウィンドウが表示されます [Login] テキストボックスに Event Collector のユーザー名が表示されます 3. [Password] ボックスに新しいパスワードを入力します 4. [Confirm] ボックスに新しいパスワードをもう一度入力します 5. [Save] をクリックします 6. プライマリ Site Database コンピュータで [ スタート ] [ プログラム ] [Microsoft SQL Server] [Enterprise Manager] の順に選択します [SQL Server Enterprise Manager] ウィンドウが表示されます 7. [Microsoft SQL Server] [SQL Server グループ ] [(local)(windows NT)] [ セキュリティ ] [ ログイン ] の順に選択します 8. 右ウィンドウ枠で Event Collector の名前を右クリックし [ プロパティ ] を選択します 9. [ パスワード ] ボックスに Event Collector の新しいパスワードを入力します 10. [ 全般 ] タブで [OK] をクリックします [ パスワードの確認 ] ウィンドウが表示されます 11. [ 新パスワードの確認 ] ボックスに Event Collector のパスワードをもう一度入力し [OK] をクリックします SQL Server Enterprise Manager によってパスワードがリセットされます 12. Event Collector 上で issdaemon サービスを再起動します Agent Manager パスワードのリセット Agent Manager パスワードをリセットするには : 1. Agent Manager コンピュータで issdaemon サービスを停止します 2. 次のディレクトリにある Agent Manager Login Information Utility を起動します \Program Files\ISS\SiteProtector\Agent Manager\AMLogin.exe Agent Manager は以前は Desktop Controller と呼ばれていました名称変更の前にユーティリティをインストール済みである場合はユーティリティへのパスは次のようになります \Program Files\ISS\RealSecure SiteProtector\Desktop Controller\ 3. [Update database login] チェックボックスをオンにします 4. [Password] ボックスに新しいパスワードを入力します 5. [Confirm] ボックスに新しいパスワードをもう一度入力します 6. [ 保存 ] をクリックします 7. プライマリ Site Database コンピュータで [ スタート ] [ プログラム ] [Microsoft SQL Server] [Enterprise Manager] の順に選択します [SQL Server Enterprise Manager] ウィンドウが表示されます 8. [Microsoft SQL Server] [SQL Server グループ ] [(local)(windows NT)] [ セキュリティ ] [ ログイン ] の順に選択します 9. 右ウィンドウ枠で Agent Manager の名前を右クリックし [ プロパティ ] を選択します 10. [ パスワード ] ボックスに Agent Manager の新しいパスワードを入力します 11. [ 全般 ] タブで [OK] をクリックします [ パスワードの確認 ] ウィンドウが表示されます 12. [ 新パスワードの確認 ] ボックスにパスワードをもう一度入力し [OK] をクリックします SQL Server Enterprise Manager によってパスワードがリセットされます 13. Agent Manager コンピュータで issdaemon サービスを再起動します SiteProtector User Guide for Security Managers Version 2.0, SP

190 第 15 章 : コンポーネントの作業 SecurityFusion Module パスワードのリセット SecurityFusion Module パスワードをリセットするには : 1. SecurityFusion Module コンピュータで issdaemon サービスを停止します 2. 次のディレクトリにある SecurityFusion Module Database Password Changing Utility を起動します \SiteProtector\SecurityFusionModule\ChangeFusionPassword.exe [SecurityFusion Module Database Password Changing Utility] ウィンドウが表示されます 3. [New Password] ボックスに SecurityFusion Module の新しいパスワードを入力します 4. [Re-enter new password] ボックスに新しいパスワードをもう一度入力します 5. [OK] をクリックします 6. プライマリ Site Database コンピュータで [ スタート ] [ プログラム ] [Microsoft SQL Server] [Enterprise Manager] の順に選択します [SQL Server Enterprise Manager] ウィンドウが表示されます 7. [Microsoft SQL Server] [SQL Server グループ ] [(local)(windows NT)] [ セキュリティ ] [ ログイン ] の順に選択します 8. 右ウィンドウ枠で SecurityFusion Module の名前を右クリックし [ プロパティ ] を選択します 9. [ パスワード ] ボックスに SecurityFusion Module の新しいパスワードを入力します 10. [ 全般 ] タブで [OK] をクリックします [ パスワードの確認 ] ウィンドウが表示されます 11. [ 新パスワードの確認 ] ボックスに SecurityFusion Module のパスワードをもう一度入力し [OK] をクリックします SQL Server Enterprise Manager によってパスワードがリセットされます 12. SecurityFusion Module コンピュータで issdaemon サービスを再起動します Application Server パスワードのリセット Application Server パスワードをリセットするには : 1. タスクバーの [ スタート ] をクリックし [ 設定 ] [ コントロールパネル ] [ 管理ツール ] [ サービス ] の順に選択します [ コンポーネントサービス ] ウィンドウが表示されます 2. [SiteProtector Application Service] を右クリックしポップアップメニューの [ 停止 ] をクリックします 3. [SiteProtector Sensor Controller Service] を右クリックしポップアップメニューの [ 停止 ] をクリックします 4. タスクバーの [ スタート ] をクリックし [ プログラム ] [ アクセサリ ] [ コマンドプロンプト ] の順に選択します [ コマンドプロンプト ] ウィンドウが表示されます 5. Application Server がインストールされているディレクトリの下にある bin ディレクトリに移動しますたとえば Application Server がデフォルト位置にインストールされている場合は次のように入力して [ENTER] キーを押します cd "\Program Files\ISS\SiteProtector\Application Server\bin" 6. コマンドプロンプトで次のコマンドを入力します ccengine.bat -encrypt < 新しいパスワード > 190

191 コンポーネントパスワードのリセット 7. タスクバーの [ スタート ] をクリックし [ 設定 ] [ コントロールパネル ] [ 管理ツール ] [ サービス ] の順に選択します [ コンポーネントサービス ] ウィンドウが表示されます 8. [SiteProtector Application Service] を右クリックしポップアップメニューの [ 開始 ] をクリックします 9. [SiteProtector Sensor Controller Service] を右クリックしポップアップメニューの [ 開始 ] をクリックします 10. Site Database 内で ssapp ユーザーのパスワードを変更する必要があります SiteProtector User Guide for Security Managers Version 2.0, SP

192 第 15 章 : コンポーネントの作業 SiteProtector コンポーネントへのキーの配布このトピックでは次のコンポーネントへ必要な暗号化キーを手動で配布する方法について説明します Agent Manager Deployment Manager Event Collector SecurityFusion Module Third Party Module このトピックではまたコンポーネントへの Event Collector キーの適用方法についても説明しますコンポーネント上の既存のキーを置き換える必要のある場合にこの手順を使用することができます背景 SiteProtector はその他 SiteProtector コンポーネントと安全に通信するためにパブリックキー暗号化を使用しますコンポーネントがサイトと通信するにはそのサイトに対するパブリックキーのコピーをコンポーネントが所有している必要があります必要なキーは Deployment Manager を使用してコンポーネントをインストールするときにコンポーネントへ自動的に配布されますキーをコンポーネントへ手動で配布する場合場合によっては必要なキーをコンポーネントへ手動で配布する必要があります必要な暗号化キーをコンポーネントへ手動で配布する必要のある場合の例は次のとおりですコンポーネントを個別のインストールパッケージからインストールする場合 SiteProtector をインストールする前にコンポーネントをインストールする場合なんらかの理由でコンポーネントコンピュータ上にキーが存在しない場合 Application Server キーについてコンポーネントコンピュータ上のキーの日付が Application Server 上のキーの日付と一致しない場合 Event Collector キーについてコンポーネントコンピュータ上のキーの日付が Event Collector 上のキーの日付と一致しない場合必要なキー Application Server (Sensor Controller) キー \Program Files\ISS\SiteProtector\Application Server\Keys\CerticomNRA\sp_con_ コンピュータ名 _239.PubKey \Program Files\ISS\SiteProtector\Application Server\Keys\RSA\sp_con_ コンピュータ名 _1024.PubKey \Program Files\ISS\SiteProtector\Application Server\Keys\RSA\sp_con_ コンピュータ名 _1536.PubKey Event Collector キー \Program Files\ISS\SiteProtector\Event Collector\Keys\CerticomNRA\rs_eng_ コンピュータ名 _239.PubKey \Program Files\ISS\SiteProtector\Event Collector\Keys\RSA\rs_eng_ コンピュータ名 _1024.PubKey \Program Files\ISS\SiteProtector\Event Collector\Keys\RSA\rs_eng_ コンピュータ名 _1536.PubKey 192

193 SiteProtector コンポーネントへのキーの配布配布方法必要な暗号化キーを SiteProtector コンポーネントへ配布する方法は次のとおりですコンポーネントがインストールされているコンピュータ上の正しいディレクトリに必要なキーをコピーしますコンポーネントがサイトへ次回に接続したときに必要なキーをサイトから自動的に受信するように crypt.policy ファイルを編集します Public Configuration Tool を使用します Public Key Configuration Tool の使用 (263 ページ ) を参照してくださいコンポーネントへのキーのコピー Application Server および Event Collector 上にある CerticomNRA キーと RSA キーを SiteProtector コンポーネントに配布するには : コピーするキー Application Server および Event Collector 上の次のキーサブディレクトリ : \Program Files\ ISS\SiteProtector\Application Server\Keys\CerticomNRA \Program Files\ ISS\SiteProtector\Application Server\Keys\RSA \Program Files\ ISS\SiteProtector\Event Collector\Keys\CerticomNRA \Program Files\ ISS\SiteProtector\Event Collector\Keys\RSA コピー先 Agent Manager: \Program Files\ISS\SiteProtector\ Agent Manager\Keys Deployment Manager: \Program Files\ISS\SiteProtector\ Deployment Manager\Keys Event Collector: Program Files\ISS\SiteProtector\ Event Collector\Keys SecurityFusion Module: \Program Files\ISS\SiteProtector\ SecurityFusionModule\Keys\ 注記 : SecurityFusion では CerticomNRA がサポートされていません SecurityFusion Module には RSA キーだけをコピーしてください Third Party Module (CheckPoint): \Program Files\ISS\issSensors\ ThirdPartyModule_CheckPoint_1\Keys\ Third Party Module (Cisco): \Program Files\ISS\issSensors\ ThirdPartyModule_Cisco_1\Keys\ crypt.policy ファイルの編集コンポーネントの Allow First Connection 設定を手動でリセットし必要な暗号化キーを SiteProtector がコンポーネントへ送信できるようにするには : 1. コンポーネント上の次のフォルダを検索し削除します \Program Files\ISS\SiteProtector\Application Server\Keys\CerticomNRA \Program Files\ISS\SiteProtector\Application Server\Keys\RSA \Program Files\ISS\SiteProtector\Event Collector\Keys\CerticomNRA \Program Files\ISS\SiteProtector\Event Collector\Keys\RSA こうすることでコンポーネントコンピュータからすべての暗号化キーが削除されます 2. コマンドプロンプトで net stop issdaemon と入力します 3. 次のディレクトリにある crypt.policy ファイルを編集します SiteProtector User Guide for Security Managers Version 2.0, SP

194 第 15 章 : コンポーネントの作業 \Program Files\ISS\issDaemon\crypt.policy 4. crypt.policy ファイル内で次の文字列にある 0 を 1 に変更します編集前の文字列 : allowfirstconnection<tab> =L<tab>0; 編集後の文字列 : allowfirstconnection<tab> =L<tab>1; 5. ファイルを保存します 6. コマンドプロンプトで net start issdaemon と入力します 7. SiteProtector Console からコンポーネントを起動しますコンポーネントは SiteProtector への接続を試みますこの変更によってコンポーネントはサイトに接続して必要な暗号化キーを受信できるようになります 8. 必要なキーがコンポーネントコンピュータに保存されていることを確認します次に示すキーの場所を参照してくださいキーの場所 SiteProtector コンポーネントが暗号化キーを格納する具体的なディレクトリはコンポーネントによって異なります表 60 では SiteProtector コンポーネントが暗号化キーを格納するディレクトリについて説明しますコンポーネント任意の SiteProtector コンポーネント Agent Manager Deployment Manager Event Collector SecurityFusion Module SiteProtector Third Party Module (Check Point) SiteProtector Third Party Module (Cisco) ディレクトリ例 \Program Files\ISS\SiteProtector\ÉRÉìÉ Å[ÉlÉìÉgñº\Keys \Program Files\ISS\SiteProtector\ Agent Manager\Keys \Program Files\ISS\SiteProtector\ Deployment Manager\Keys \Program Files\ISS\SiteProtector\ Event Collector\Keys \Program Files\ISS\SiteProtector\SecurityFusionModule \Keys \Program Files\ISS\issSensors\ ThirdPartyModule_CheckPoint_1\Keys \Program Files\ISS\issSensors\ ThirdPartyModule_Cisco_1\Keys 表 60: 暗号化キーが格納されるディレクトリコンポーネントへのキーの適用 Event Collector キーをコンポーネントに適用するには : 1. 左ウィンドウ枠で [Site Node] を選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で Event Collector を停止し Event Collector のステータスが Stopped になるまで待ちます 4. 右ウィンドウ枠でコンポーネントを右クリックしポップアップメニューから [Properties] を選択します 5. [Event Collector] ボックスを [None] に変更し [OK] をクリックします 6. Event Collector を起動し Event Collector のステータスが Active になるまで待ちます 7. コンポーネントを右クリックしポップアップメニューから [Properties] を選択します 194

195 SiteProtector コンポーネントへのキーの配布 8. [Edit Agent Properties] をクリックします 9. [Event Collector] ボックスを [None] から適切な Event Collector に変更し [OK] をクリックしますこの手順によってコンポーネントステータスが Active に変わりますヒント : コンポーネントコンピュータ上のキーディレクトリを確認しキーが存在すること正しい場所にあることを確認します SiteProtector User Guide for Security Managers Version 2.0, SP

196 第 15 章 : コンポーネントの作業 196

197 パート II グループの設定

198

199 第 16 章グループ設定ステージ概要 SiteProtector 設定プロセスの 2 番目のステージはグループ設定ステージですこのステージではコンソールの左ウィンドウ枠に表示されるグループを作成しグループにアセットとエージェントを配置するためのシステムを実装しますこの章ではグループ設定ステージの概要を説明します注記 : SiteProtector は Agent Manager や Site Database などの SiteProtector コンポーネントをサイトノード内で自動的に体系化してグループ分けしますこれらのコンポーネントをこのグループの外に移動することはできないためこれらのコンポーネントをグループ化し直す必要はありませんこのステージの手順はそれ以外のアセットおよびエージェントのグループ化を目的としていますこの章の内容この章では次のトピックについて説明しますトピックページステージの概要 200 このステージのチェックリスト 201 SiteProtector User Guide for Security Managers Version 2.0, SP

200 第 16 章 : グループ設定ステージステージの概要このトピックではグループ設定ステージの概要を説明しますグループ構造グループ作成のプロセスを開始する前にお使いの環境とセキュリティ要件に基づいてグループ体系化のプランを立てる必要があります SiteProtector はセキュリティ管理上のニーズに合わせたどのようなグループ構造でもサポートしますこのプランがグループ設定ステージの指針となります注記 : Active Directory からアセットをインポートするとグループとサブグループも含めた Active Directory 構造がコンソール内に表示されますインポートされた Active Directory グループを編集または変更することはできません Active Directory 構造を保ったままでこのグループの編集や変更を行うにはこの Active Directory 構造をコンソール内で複製する必要がありますグループのプロパティグループ設定ステージの間に作成するグループについて次のようなプロパティを設定しますグループメンバーシップルール - エージェントによって識別されるネットワークアセットを SiteProtector が自動的にグループへ振り分ける場合に役立ちます SiteProtector および SiteProtector と統合されているその他 ISS 製品がセキュリティイベントとネットワーク上のアセットの識別を開始した場合 SiteProtector に入ってくる情報の量が膨大なものとなる可能性がありますグループメンバーシップルールは Group Ungrouped Assets ジョブと連動し情報がシステムに入ってきたときにこれを自動的に体系化しますグループメンバーシップルールを前もって設定しておくことでアセットがシステムに入ってきたときにそれを手動でグループ分けするという面倒な作業を避けることができますグループレベルのユーザー権限 - グループ内のアセットおよびエージェントに対して SiteProtector ユーザーが実行できるタスクを制御しますグループ管理のために必要とされるアセットエージェントタスクの数は膨大なものとなる可能性がありますこうした多様性のため同一グループに対してさまざまなユーザーが異なるタスクの実行を求められる可能性があります SiteProtector を使用するとユーザーのアクションを非常に細かく具体的なグループレベルで制御および制限することができますたとえばあるアセットグループに対するスキャン実行機能をあるユーザーに与えそれと同じグループ内のエージェントに対するポリシー適用機能を別のユーザーに与えることができますグループの調整コンソール内でグループを設定した後はセキュリティ要件の変化に対応するようにグループおよびグループプロパティの追加削除編集を行うことができます 200

201 このステージのチェックリストこのステージのチェックリストこのトピックではグループ設定のチェックリストを紹介しますチェックリスト表 61 はアセットとエージェントのグループの設定に必要とされるすべてのタスクを確実に実行するためのタスクチェックリストですタスクネットワークアセットおよびエージェントの体系化に関するプランと構造を作成するグループとサブグループの体系化 (210 ページ ) を参照してくださいこの構造に基づいてグループを作成しメンバーシップルールなどグループのプロパティを定義するグループの作成 (212 ページ ) を参照してくださいグループ内のアセットとエージェントに関するタスクを実行するための権限をユーザーに設定するグループレベル権限の設定 (217 ページ ) を参照してください表 61: グループ設定のチェックリスト SiteProtector User Guide for Security Managers Version 2.0, SP

202 第 16 章 : グループ設定ステージ 202

203 第 17 章グループの設定概要この章ではグループの設定について説明します要件インストールの後 SiteProtector にはデフォルトグループだけが含まれていますアセットやその他 ISS 製品用に追加のグループをセットアップする必要があります SiteProtector はそうしたグループを作成しませんこの章の内容この章では次のトピックについて説明しますトピックページグループとは 204 デフォルトグループ名 207 グループとサブグループの体系化 210 グループの作成 212 System Scanner グループの作成 215 SiteProtector User Guide for Security Managers Version 2.0, SP

204 第 17 章 : グループの設定グループとはグループはネットワークアセットおよび SiteProtector コンポーネントまたはそうしたアセット上にあるエージェントの集合ですたとえば IP 範囲が ~ である Atlanta Servers というグループを作成したとしますこのグループには次のメンバーが含まれますその IP 範囲内の IP アドレスを持つアセットそのアセットにインストールされているエージェントサブグループとは別のグループの下位に存在するグループですグループの重要性グループの重要性は次の点にあります SiteProtector およびその他 ISS 製品によって監視されるネットワークアセットに関する重要な情報の体系化と管理それら情報へのアクセスを行う方法を提供する SiteProtector と連携するその他 ISS 製品の体系化と管理の方法を提供するグループ内エージェントへのポリシー適用や特定アセットグループに関するセキュリティイベントの表示などアセットおよびエージェントのグループに対する SiteProtector のタスクを実行する方法を提供するセキュリティ管理タスクを実行する場合にネットワークアセットおよびエージェントのさまざまなグループの間を移動するのに使用できるコンソール内ナビゲーションツールを提供するデフォルトグループ名 SiteProtector を初期インストールした後はいくつかのデフォルトグループが含まれていますこれらグループの一覧と各グループの説明についてはデフォルトグループ名 (207 ページ ) を参照してくださいアセットおよびエージェントのグループへの追加方法表 62 ではアセットとエージェントがどのようにグループに追加されるのかを説明します状況説明 SiteProtector をインストールした場合その他 ISS 製品 ( エージェント ) をインストールした場合 ISS 製品 ( エージェント ) をサイトに登録した場合 SiteProtector はサイトノードグループとサイトグループを自動的に作成し次の項目をグループに追加します SiteProtector コンポーネントがインストールされているアセット SiteProtector コンポーネント登録済み Deployment Manager を使用してその他 ISS 製品 (Network Sensor など ) をインストールすると SiteProtector は次の内容をサイトグループへ自動的に追加しますエージェントのインストール先となったアセットエージェントエージェントの設定 (239 ページ ) を参照してください New Agent Wizard を使用して製品 ( エージェント ) をサイトに登録する場合エージェントとアセットはこのウィザードの実行場所であるグループへ自動的に追加されますエージェントの登録 (251 ページ ) を参照してください表 62: アセットおよびエージェントのグループへの追加方法 204

205 グループとは状況エージェントがセキュリティイベントを検出した場合アセットをサイトに追加する場合説明エージェントがセキュリティイベントを検出して SiteProtector へレポートした場合そのイベントが発生したアセットはサイトへ自動的に追加されて [Ungrouped Assets] に置かれますメンテナンスの目的で Group Ungrouped Assets ジョブを実行またはスケジューリングしこれらのアセットを [Ungrouped Assets] から別のグループに移動することができますグループ化されていないアセットのグループ化 (388 ページ ) を参照してくださいアセットをサイトに手動で追加することができます SiteProtector はアセットを指定のグループへ追加しますアセットの追加 (373 ページ ) を参照してください表 62: アセットおよびエージェントのグループへの追加方法 ( 続き ) グループの内容 SiteProtector Console ではグループのコンテンツにさまざまなビューが備わっています表 63 ではそうしたビューと各ビューで表示されるグループコンテンツについて説明しますビューエージェントビューアセットビューアナリシスビューポリシービューレポートビューチケットビュー内容このグループ内のアセットに a インストールされているエージェントと SiteProtector コンポーネントが表示されますグループのメンバーであるアセット b ( コンピュータサーバーその他デバイス ) が表示されますこのグループ内のエージェントによって生成されたセキュリティイベントが表示されますイベントはこのグループ内のアセットと関連していますこのグループ内のエージェントに対して設定されているセキュリティポリシーとレスポンスが表示されますこのグループ内の Desktop Protection Agent によって生成されたイベントを示すレポートなどこのグループに関するレポートを生成するためのオプションが備わっていますこのグループ内のエージェントコンポーネントアセットに関するオープンチケットとクローズドチケットが表示されますまたチケットのアクティビティと履歴さらにこのグループに関するチケットの管理オプションも表示されます表 63: グループコンテンツの表示 SiteProtector User Guide for Security Managers Version 2.0, SP

206 第 17 章 : グループの設定ビュープロパティ内容次の内容が表示されますグループのメンバーであるエージェントの場合そのエージェントに関する詳細やコマンドジョブなどのプロパティが表示されますグループのメンバーであるコンポーネントの場合詳細やコマンドジョブなどのプロパティが表示されますグループ自体の場合そのグループに関する権限セットやグループに対して設定されたメンバーシップルールなどのプロパティが表示されますサイトノードグループの場合サイト全体に対するグローバルなサイト権限やコマンドジョブなどのプロパティが表示されますサイトグループと呼ばれるグループの場合このグループのメンバーであるサイトレベルポリシーエージェントに関するコマンドジョブやポリシーなどのプロパティが表示されます注記 : プロパティビューを表示するにはエージェントコンポーネントグループまたはサイトを選択する必要がありますこのビューはビューのリストにありません表 63: グループコンテンツの表示 a. SiteProtector コンポーネント (Site Database Event Collector Application Server Agent Manager など ) はサイトグループ内に保持されますこれらのコンポーネントをこのグループから移動することはできませんが別のグループへコピーすることはできますサイトグループはサイト内のトップレベルにあるグループでありユーザー定義の名前が付いています SiteProtector コンポーネントをサイトグループ内で管理することをお勧めします b. 1 つのアセットは複数のグループのメンバーとなることができますグループのプロパティ表 64 では設定と管理が可能なグループプロパティについて説明しますプロパティ Details Membership Rules Permissions Command Jobs 説明グループに関する詳細情報 ( グループ名説明など ) を管理するために使用します Group Ungrouped Assets ジョブを実行してグループ化されていないアセットを自動的にグループ分けする場合に使用します SiteProtector がグループにアセットを追加可能となるにはグループのメンバーシップルールで設定した基準をアセットが満たしている必要がありますグループ内のアセットを表示変更制御するためのユーザー権限を管理するために使用しますグループに対して実行するスキャンジョブなど SiteProtector のジョブに関する次のような情報を表示するために使用しますこのグループに対して実行するようにスケジューリングされている SiteProtector ジョブこのグループに対して実行済みである SiteProtector ジョブこのグループに対して現在実行中である SiteProtector ジョブの進行状況表 64: グループのプロパティ 206

207 デフォルトグループ名デフォルトグループ名このトピックでは SiteProtector を初めてインストールした後に左ウィンドウ枠に表示されるデフォルトグループについて説明しますデフォルトグループ名表 65 ではコンソールの左ウィンドウ枠に表示されるデフォルトグループについて説明しますこの表では左ウィンドウ枠に表示される順に名前がリストアップされています名前 My Sites サイトノード説明アクティブなサイトがすべて [My Sites] の下に含まれますたとえば 5 つのサイトにログインした場合その 5 つのサイトが [My Sites] の下に表示されます My Sites という名前は SiteProtector をインストールしたときにデフォルトで作成され変更や削除はできません内容 [My Sites] にはアクティブなサイトがすべて含まれます許可されるタスク My Sites レベルではコンソールレベルのタスクを実行することができます ( 例 : コンソールオプションを設定する ) ノード名 My Sites はルートノードと呼ばれますアイコン ISS のアイコンが My Sites を表しますサイトノードはサイトが置かれているコンピュータですサイトノードの名前は SiteProtector をインストールしたときにシステム生成され変更や削除はできませんコンソール内の複数のサイトにログインすることが可能です複数のサイトにログインするとコンソールの左ウィンドウ枠に複数のサイトノードが表示されます内容サイトノードには SiteProtector コンポーネントだけが含まれますこれらのコンポーネントをこのサイトノードから削除することはできませんが別のグループへコピーすることはできます許可されるタスクサイトノードレベルではサイトレベルのタスクを実行することができます ( 例 : 一部 ISS 製品に対するグローバル権限やポリシーを管理する ) ノード名サイトノードはサイトノードと呼ばれますアイコン建物のアイコンがサイトノードを表します例 Atlanta Computer_01 Localhost 表 65: デフォルトグループの説明 SiteProtector User Guide for Security Managers Version 2.0, SP

208 第 17 章 : グループの設定名前サイトグループグループ説明サイトグループはサイト内で最初に作成されるグループですインストール中に SiteProtector によって自動的に作成されますサイトグループの名前は SiteProtector をインストールするときにユーザー定義しますサイトグループ名はサイトグループのプロパティで変更できますがサイトグループを削除することはできません内容サイトグループには SiteProtector コンポーネントとその他ネットワークアセットが含まれます許可されるタスクサイトグループレベルではグループレベルのタスクを実行することができます ( 例 : グループ権限を設定してポリシーを適用する ) ノード名サイトグループはサイトグループノードと呼ばれますアイコンフォルダのアイコンがサイトグループを表します例 Atlanta Site Site 01 Site East グループはアセットを保持するために SiteProtector 内で作成する任意のグループですグループを作成しなければサイト内にグループは存在しませんすべてのグループはサイトグループのサブグループですグループ名はグループを作成するときにユーザー定義しますサイト内にグループをいくつでも作成できるだけでなく要件に基づいて名前を付け体系化することができますサブグループは別のグループの下位に存在する点を除けばグループとまったく同じです内容グループは SiteProtector によって監視される SiteProtector コンポーネントおよびネットワークアセットです ( 例 : サーバールーターその他ネットワークデバイスなど ) グループには SiteProtector コンポーネントは含まれません許可されるタスクグループレベルではグループレベルのタスクを実行することができます ( 例 : グループ権限を設定してポリシーを適用する ) ノード名グループはグループノードと呼ばれますアイコンフォルダのアイコンがグループを表します例 DMZ Web Servers Event Collectors Desktop Agents 表 65: デフォルトグループの説明 ( 続き ) 208

209 デフォルトグループ名名前 Ungrouped Assets サイト範囲説明 Ungrouped Assets というグループは SiteProtector をインストールしたときにデフォルトで作成され変更や削除はできません SiteProtector がネットワーク上のアセットを検出したときアセットは通常 Group Ungrouped Assets ジョブの間に別のグループおよびサブグループに移動されますグループ化されないまま残ったアセットが [Ungrouped Assets] に保管されます内容 [Ungrouped Assets] には IP アドレス順に一覧となったグループ化されないアセットを含むサイト範囲が含まれます許可されるタスク Ungrouped Assets レベルでは次のタスクを実行することができます Group Ungrouped Assets ジョブを実行することでグループ化されていないアセットをグループメンバーシップルールに基づいて別のグループおよびサブグループへ自動的に移動するサイト範囲を作成するノード名 Ungrouped Assets は Ungrouped Assets ノードと呼ばれますアイコン世界のアイコンが Ungrouped Assets を表します注記 : グループ化されていないアセットをもっと意味のある名前を持つグループまたはサブグループへセットアップ中にできるだけ早く移動することをお勧めしますサイト範囲は [Ungrouped Assets] 内の独特なタイプのサブグループです最初のサイト範囲は SiteProtector をインストールしたときにデフォルトで作成され名前が付けられます必要に応じてこのサイト範囲を削除するかサイト範囲を追加作成することができます内容サイト範囲には IP アドレス順に一覧となったグループ化されていないアセットが含まれます例表 65: デフォルトグループの説明 ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

210 第 17 章 : グループの設定グループとサブグループの体系化グループやサブグループを作成する前にグループ体系化のプランを立てる必要がありますこのトピックではグループの体系化について説明します戦略グループ体系化戦略のほとんどはアセットの目的機能組織におけるセキュリティの位置付けを反映するアセットカテゴリに基づいています表 66 ではこのようなカテゴリの一部を取り上げカテゴリに基づいたグループ名の例を挙げていきますカテゴリ a 部署地理業務目的アセットタイプエージェントタイプコマンドジョブ例サイトノードサイトグループ Human Resources Accounting Customer Support Manufacturing サイトノードサイトグループ Atlanta Dallas Los Angeles サイトノードサイトグループ Development Web Sales サイトノードサイトグループ Servers Desktops Databases Routers サイトノードサイトグループ Network Sensors Network Internet Scanners Event Collectors Appliances サイトノードサイトグループ Monitor Scan 表 66: グループ体系化の戦略 210

211 グループとサブグループの体系化カテゴリ a 組み合わせサブグループとの組み合わせ例サイトノードサイトグループ Network Sensors Network Internet Scanners Event Collectors Appliances Scan Analyze Atlanta Servers Dallas Servers サイトノードサイトグループ Sensors Network Sensors Server Sensors Scanners System Scanners Network Internet Scanners Appliances Proventia G Network Multi-Function Security Atlanta Servers Routers Dallas Servers Routers 表 66: グループ体系化の戦略 ( 続き ) a. 1 つのアセットは複数のグループのメンバーとなることができますたとえば 1 つのアセットが Scan グループと Web Servers グループのメンバーとなることができます SiteProtector User Guide for Security Managers Version 2.0, SP

212 第 17 章 : グループの設定グループの作成アセットをグループに体系化するプランを作成したらグループを作成しグループのプロパティを定義して体系化プランを反映するようにグループを構造化する必要がありますたとえばジオグラフィ別にアセットをグループ化することにした場合は地理的な地域ごとにグループを作成する必要がありますタスクの概要表 67 ではグループ作成のタスクについて説明しますタスク説明 1 グループを作成する 2 グループに Agent Manager を割り当てる 3 グループにメンバーシップルールを定義する 4 グループにグループレベルの権限を設定する表 67: グループ作成のタスクグループの作成グループを作成するには : 1. 左ウィンドウ枠でグループを右クリックしポップアップメニューから [New] [Group] の順に選択します注意 : SiteProtector に初めてグループを追加する場合はトップレベルのグループを選択するところから始めてください最初のグループを追加した後はそうしたグループのサブグループとして別のグループを追加することができます選択されているグループの下に [New group] フォルダが表示されます 2. 反転表示されたボックスにグループ名を入力し [ENTER] キーを押します左ウィンドウ枠にグループが表示されます Agent Manager の割り当てグループに Agent Manager を割り当てるには : 1. 左ウィンドウ枠でグループを右クリックしポップアップメニューから [Properties] を選択しますプロパティタブが表示されます 2. 左ウィンドウ枠で [Group Settings] を選択します右ウィンドウ枠にグループ設定のウィンドウが表示されます 3. [Agent Manager List] タブを選択します 4. リストから Agent Manager を選択します注意 : 割り当てたい Agent Manager がリストにない場合は [Add] をクリックして Agent Manager をリストに追加します 5. [OK] をクリックします 6. [Properties] を右クリックしポップアップメニューから [Close] を選択しますメンバーシップルール Group Ungrouped Assets ジョブを実行またはスケジューリングしてグループ化されていないアセットをサイト内の別のグループに自動的に移動することができますこのジョブはメンバーシップルールを使用してアセットの移動先を決定します Group Ungrouped Assets ジョブを実行またはスケジューリングする前にメンバーシップルールを設定する必要があります 212

213 グループの作成メンバーシップルールを定義する場合はグループごとに 1 種類しか選択できません表 68 では利用可能な種類と各種類で許可されている形式とその例について説明します種類 IP Address 説明アセットの IP アドレスに基づいてメンバーシップを制限する場合にこの種類を使用します形式例単一の IP アドレス IP アドレス範囲ワイルドカードを使用した IP アドレス * DNS Name アセットの DNS 名に基づいてメンバーシップを制限する場合にこの種類を使用します単一の DNS 名ワイルドカードを使用した DNS 名 HR_01.Atlantabranch.com AP_*.Atlantabranch.com NetBIOS Name アセットの NetBIOS 名に基づいてメンバーシップを制限する場合にこの種類を使用します次の文字のうちいずれかを含む単一の NetBIOS 名 0-9 A-Z a-z AT-US_9A0Z@ ダッシュ (-)!@#$%^&()._~{} ワイルドカードを含む NetBIOS 名 AT-* Operating System Name アセットのオペレーティングシステムに基づいてメンバーシップを制限する場合にこの種類を使用します任意の文字を含む任意のオペレーティングシステム名ワイルドカードを含むオペレーティングシステム名 Windows 2000 Windows* 表 68: メンバーシップルールの種類メンバーシップルールの定義グループのメンバーシップルールを定義するには : 1. 左ウィンドウ枠でグループを右クリックしポップアップメニューから [Properties] を選択しますプロパティタブが表示されます 2. [Membership Rules] アイコンをクリックします 3. [Type] リストでこのグループに対して使用するメンバーシップルールの種類を選択します IP Address DNS Name NetBIOS Name Operating System Name 注意 : グループごとに 1 種類しか使用できませんが同じ種類を複数のルールに定義することは可能ですたとえば [IP Address] を選択した場合 IP アドレスに基づいたメンバーシップルールを 10 個定義することができます IP アドレスに基づいたルールを 1 つ定義しさらにオペレーティングシステムに基づいたルールを 1 つ定義することはできません SiteProtector User Guide for Security Managers Version 2.0, SP

214 第 17 章 : グループの設定 4. 1 列目のアスタリスクが付いている行にルールルールを入力し [ENTER] キーを押しますルールの詳細についてはルールの種類を参照するかコンソール内の [Type] ボックス下にある説明を参照してください注意 : ルールの種類が IP アドレスの場合無効なルールを入力するとアスタリスクが赤い X に変化します続行するにはそのメンバーシップルールを修正する必要があります 5. [Properties] を右クリックしポップアップメニューから [Close] を選択します 214

215 System Scanner グループの作成 System Scanner グループの作成 System Scanner Databridge から最初のイベントを受信したとき SiteProtector は System Scanner グループを自動的に作成しますこのトピックではこのグループに関する次のタスクの実行方法について説明しますグループを移動するグループ名を変更するデフォルトのサブグループ構造 SiteProtector は [Enterprise Groups] ウィンドウ枠の System Scanner グループに対して自動的に次のサブグループ構造を作成しますレベル説明 1 System Scanner 2 SystemScannerDNSName_SystemScannerDatabaseName 3 System Scanner Console に表示される System Scanner グループ名表 69: System Scanner のサブグループグループの移動 System Scanner グループを移動するには : 1. 左ウィンドウ枠でデフォルトの System Scanner グループを削除します 2. System Scanner という名前のグループを作成します SiteProtector システムは新しいイベントを受け取ったとき ( アセットをスキャンしたときなど ) に新しいグループ構造を作成しますグループ名の変更 System Scanner グループの名前を変更するには : 1. 左ウィンドウ枠で新しいグループを作成します 2. SQL Query Analyzer ( クエリアナライザ ) で次の SQL コマンドを実行します INSERT INTO VERSION (ATTRIBUTENAME, ATTRIBUTEVALUE) VALUES( SystemScannerGroupName, Custom_Group_Name 例 : System Scanner グループの名前を SystemScannerevents に変更するには次のコマンドを実行します INSERT INTO VERSION (ATTRIBUTENAME, ATTRIBUTEVALUE) VALUES( SystemScannerGroupName, SystemScannerevents ) 3. SiteProtector システムは新しいイベントを受け取ったとき ( アセットをスキャンしたときなど ) に新しいグループ構造を作成します SiteProtector User Guide for Security Managers Version 2.0, SP

216 第 17 章 : グループの設定 216

217 第 18 章グループレベル権限の設定概要このセクションではグループレベル権限の設定について説明します推奨デフォルトの SiteProtector ユーザーグループにはデフォルトのグループレベル権限がありますこれらのグループにユーザーを追加するとそのユーザーにはデフォルトのグループレベル権限が自動的に割り当てられます次のような場合にはグループレベル権限を設定する必要があります SiteProtector ユーザーグループに対して設定されたグループレベル権限がセキュリティ要件に合わない場合カスタム SiteProtector ユーザーグループを作成しそのグループに対してグループレベル権限を設定する場合アセットグループレベルでのユーザーアクションに対して細かく具体的な制御をかける場合 SiteProtector システムに対して非常に限られた限定的なアクセスしかユーザーに認めない場合この章の内容この章では次のトピックについて説明しますトピックページグループレベル権限とは 218 権限プロパティウィンドウの作業 220 グループレベル権限の設定 222 権限継承の作業 225 Include Subgroups をオンにした状態での権限設定 228 SiteProtector User Guide for Security Managers Version 2.0, SP

218 第 18 章 : グループレベル権限の設定グループレベル権限とは定義グループレベル権限はグローバル権限とは異なりますグローバル権限はライセンスの管理またはグローバルセキュリティレスポンスの管理などサイト全体に関する機能をユーザーに与えますグループレベル権限はサイト全体に関する機能を割り当てませんグループレベル権限は個別のグループまたは複数グループ内にあるアセットやエージェントに関してユーザーが実行可能なアクションに対する制御機能を提供します定義 : グループグループレベル権限でのグループとはアセットやエージェントを含む SiteProtector グループを指しますたとえば Atlanta Servers グループのグループレベル権限などと使用します管理者ユーザーグループなどという場合のユーザーグループを指すのではありませんグループレベル権限の所有者個別のユーザーユーザーのグループ SiteProtector ユーザーグループのメンバーなどすべての SiteProtector ユーザーがグループレベル権限を持ちます SiteProtector ユーザーグループに割り当てられる権限はグループ内ユーザーのロールによって異なります SiteProtector ユーザーグループのメンバーではない個別のユーザーまたはユーザーのグループにもグループレベル権限を割り当てることができますグループレベル権限の制御対象グループレベル権限は SiteProtector 内でのユーザーアクションを非常に細かく具体的に制御しますたとえばグループレベル権限は次のようなアクションを実行するユーザー資格を制御しますサイトにログインするグループプロパティを変更する ( 名前メンバーシップルールなど ) グループ内のアセットを追加変更削除するグループ内のエージェントを追加変更削除するグループ内のエージェントにアップデートやポリシーを適用するグループ内のアセットおよびエージェントのプロパティやログファイルを表示するグループ内のアセットおよびエージェントに関するレポートを印刷するグループ内のエージェントを起動停止再起動更新する SiteProtector がエージェントおよびグループ関連のタスクを数多くサポートしているので個別のグループレベル権限は多数あります各権限は SiteProtector 内での細かい具体的なアクションを制御しますグループレベル権限設定の時期グループレベル権限はいつでも設定することができますたとえばグループ内にアセットまたはエージェントを置く前にグループレベル権限を設定することもグループ内にアセットやエージェントを置いてから設定することもできますグループに対して権限を設定する前にグループの設定とグループ内へのアセット / エージェント配置を行うことをお勧めします表 70 では SiteProtector 設定プロセス中でグループレベル権限を設定する時期とその場合必要となるタスクについて説明します目的実際のグループを作成してそのグループにエージェントを置く前にグループレベル権限を設定する手順サイトグループと呼ばれるトップレベルグループでグループレベル権限を設定しすべてのサブグループで権限継承のオプションをオンにします注記 : このアクションでサイト内のすべてのサブグループに対してトップレベルのグループ権限が複製されますサイト内のグループはすべてこのサイトグループのサブグループであるためこのアクションによってサイト内のすべてのサブグループに対してトップレベルのグループ権限が実質的に複製されます表 70: グループレベル権限設定の時期 218

219 グループレベル権限とは目的実際のグループを作成してそのグループにエージェントを置いた後にグループレベル権限を設定する手順グループレベル権限を設定する前に次のセクションで説明されているタスクを完了します : グループの設定 (203 ページ ) エージェントの設定 (239 ページ ) 注記 : グループを作成してそのグループにエージェントを置いた後にグループレベル権限を設定することをお勧めします表 70: グループレベル権限設定の時期 ( 続き ) グループレベル権限の管理者グループオーナーが特定グループのグループレベル権限を設定および管理しますグループオーナーはグループ作成時に指定するかグループ作成後にグループプロパティで指定しますグループオーナーは次のタスクを実行できますグループレベル権限の付与と削除を行うグループオーナーを変更するデフォルトではグループを作成したユーザーまたはユーザーグループがそのグループのオーナーですグループオーナーは次のいずれかです個別のローカルユーザーローカルユーザーグループ個別のドメインユーザードメインユーザーグループ SiteProtector ユーザーグループ注記 : グループオーナーになることのできる実際のユーザー数に制限はありませんがグループオーナーとしては最大でも 1 人の個人ユーザーまたは 1 つのユーザーグループしか割り当てられませんたとえば Atlanta Administrators という名前の SiteProtector ユーザーグループを作成しそのグループ内に 5 人の個別ユーザーを置いたとします続いて Atlanta Administrators をグループのグループオーナーとして割り当てます 5 人の個別ユーザーはすべてグループオーナーとして認識されますグループレベル権限の管理場所グループレベル権限の設定と管理は権限のプロパティウィンドウにあるグループのプロパティで行います参照 : 権限プロパティウィンドウの作業 (220 ページ ) を参照してくださいグループレベル権限を持つことのできるユーザー数同一グループのグループレベル権限を持つことのできるユーザーの数に制限はありませんまた同一グループ内の異なるユーザーに異なる権限を設定することもできますたとえば同一のグループに対して 3 人のユーザーが異なる権限を持つようにグループレベル権限を設定することができます jsmith というユーザーがグループ内アセットを表示しグループ内アセットに関するレポートを実行する権限を持つ ataylor という別のユーザーはそのグループ内のアセットに対してスキャンを実行する権限を持つ pharris という別のユーザーはそのグループ内のアセットをアップデートする権限を持つサブグループへの権限引き渡し方法 1 つのグループに対してグループレベル権限を設定した後はこの権限をそのグループのサブグループすべてに渡すことができますこの機能は権限の継承と呼ばれます詳細については権限継承の作業 (225 ページ ) を参照してくださいを参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

220 第 18 章 : グループレベル権限の設定権限プロパティウィンドウの作業このトピックでは権限のプロパティウィンドウに関する情報と次のタスクの手順について説明します権限プロパティウィンドウのカラーインジケータの理解権限リスト内での権限の選択と選択解除権限リスト内での権限の展開と折り畳み権限プロパティウィンドウの説明アセットおよびエージェントの各グループについて権限プロパティウィンドウが備わっていますこのウィンドウではそのグループに関するすべてのグループレベル権限を表示および管理することができますウィンドウの領域表 71 権限プロパティウィンドウの左ウィンドウ枠にはグループ内に表示される可能性のある領域説明左ウィンドウ枠このグループに対する権限を持つすべてのユーザーおよびユーザーが一覧表示されますグループでユーザーの追加および削除を行うためのオプションがあります右ウィンドウ枠すべてのグループレベル権限が一覧表示されますこのリストにはグループにはないエージェントに対する権限も含め割り当ての可能性がある権限がすべて表示されます表 71: 権限プロパティウィンドウの領域エージェント (Network Internet Scanner など ) と各エージェントに対するグループレベル権限がすべてリストアップされています権限プロパティシートではそのグループに対して全種類のアクセス権を定義することができますまた異なるユーザーグループまたは SiteProtector グループに対して複数のアクセスプロファイルを設定することができますたとえば 1 つのグループに対して 2 つのアクセスプロファイルを設定することができますアセットグループに対する読み取り専用アクセス権と一部レポートに対するアクセス権をユーザーグループに与えるものグループをアップデートしグループ内のエージェントを実行する資格をユーザーグループに与えるもの特定タイプのアセットがグループにない場合それに関連するグループレベル権限はそのグループに適用されませんたとえばグループ内に Network Internet Scanner がない場合 Network Internet Scanner に関連するグループレベル権限はそのグループに適用されません 220

221 権限プロパティウィンドウの作業カラーインジケータについて表 72 では権限プロパティウィンドウに表示されるカラーインジケータについて説明しますインジケータの色説明黒白白と黒グレーこの色は次のいずれかを示します個別の権限の横に表示されている場合その権限はユーザーまたはグループに割り当てられていますトップレベル権限の横に表示されている場合はメインカテゴリ内にサブ権限があることを意味しますしたがってそのカテゴリ内にある個々の権限がすべてユーザーまたはグループに割り当てられていますこの権限は編集することができますこの色は次のいずれかを示します個別の権限の横に表示されている場合その権限はユーザーまたはグループに割り当てられていませんトップレベル権限の横に表示されている場合はメインカテゴリ内にサブ権限があることを意味しますしたがってそのカテゴリ内にある個々の権限はいずれもユーザーまたはグループに割り当てられていませんこの権限は編集することができますこの色の組み合わせはトップレベル権限の横にしか表示されませんトップレベル権限にはサブ権限が含まれますこの色はそのカテゴリ内にある個別権限のすべてではなくそのうちのいくつかがユーザーまたはグループに割り当てられていることを示しますこの権限は編集できませんこの色はこのアセットグループに対して権限継承がオンになっていることを示しますこの権限は編集できません表 72: 権限プロパティウィンドウのカラーインジケータ権限の選択と選択解除権限のリストから権限を選択または選択解除するには権限に対応する丸記号を選択します丸記号の色はその権限が選択されているかどうかを示します権限リストの展開個別のレポートまたはエージェントの権限を展開するには権限の横にある [+] ( プラス記号 ) をクリックしますリストアップされているすべての権限を展開するには任意の権限を右クリックし [Expand All] を選択します権限リストの折り畳み個別のレポートまたはエージェントの権限を折り畳むには権限の横にある [-] ( マイナス記号 ) をクリックしますリストアップされているすべての権限を折り畳むには任意の権限を右クリックし [Collapse All] を選択します SiteProtector User Guide for Security Managers Version 2.0, SP

222 第 18 章 : グループレベル権限の設定グループレベル権限の設定このトピックでは次のものに対するグループレベル権限の設定方法について説明します SiteProtector ユーザーグループローカルユーザーおよびグループドメインユーザーおよびグループ重要 : グループレベル権限を付与するときに [Inherit from parent group] をオンにするとそのグループの親グループに設定されている権限がこのグループに渡されますグループオーナーグループオーナーまたは Administrator だけがグループレベル権限を設定できます左ウィンドウ枠のグループレベルグループレベル権限は左ウィンドウ枠の次のグループレベルで付与することができますサイトグループレベルグループレベルグループレベル権限は左ウィンドウ枠の次のグループレベルでは付与できませんサイトノードレベル Ungrouped Assets レベル Administrator というグループにグループ分けされた SiteProtector ユーザーだけが Ungrouped Assets グループで作業することができますサイト範囲レベル要件すべての SiteProtector ユーザーはサイトにログインするためにサイトグループレベルで Group-View という権限を必ず持っている必要がありますこの要件は次のすべてに適用されますローカルユーザーおよびローカルグループドメインユーザーおよびドメイングループ SiteProtector ユーザーグループ始める前にグループレベル権限を設定する前にグループを設定することをお勧めしますグループの作成 (212 ページ ) を参照してくださいアセットとエージェントの設定前の権限設定グループレベル権限をエージェントやアセットの設定前に設定することができますエージェントやアセットの設定前にグループレベル権限を設定することは次のような場合にお勧めですグループのメンバーとなる予定のアセットおよびエージェントが正確に予期できる場合サイトグループレベル ( サイト内のトップレベルのグループ ) で権限を設定しそのサイト内のすべてのグループおよびサブグループにその権限を継承させる場合サイト内にエージェントまたはアセットがない場合サイト内グループに対する権限の要件を見越すのは非常に困難ですエージェントとアセットを初めて設定する場合はグループレベル権限を設定する前に次のトピックを参照してタスクを完了してくださいエージェントの設定 (239 ページ ). アセットの追加 (373 ページ ). 222

223 グループレベル権限の設定タスクの概要表 73 ではグループレベル権限の設定タスクについて説明しますタスク説明 1 アセットグループにユーザーまたはグループを追加する 2 そのユーザーまたはグループに対するグループレベル権限を付与 / 削除する表 73: グループレベル権限の設定タスクアセットグループへのユーザーまたはグループの追加アセットグループにユーザーまたはグループを追加するには : 1. 左ウィンドウ枠でサイトグループまたは別のグループを右クリックし [Properties] を選択しますグループのプロパティタブが表示されます 2. [Permissions] アイコンをクリックしますグループレベル権限管理のウィンドウが表示されます 3. [Users and/or Groups] 列で [Add] をクリックします [Search Users/Groups to Add] ウィンドウが表示されます 4. 次の表を使用して次の手順を決定します追加する内容 SiteProtector ユーザーグループにローカルユーザーまたはグループを追加する SiteProtector ユーザーグループにドメインユーザーまたはグループを追加する手順次の構文を使用して正確なアカウントを入力し [OK] をクリックしますマシン名 \ ユーザー名マシン名 \ グループ名正確なアカウント情報がわからない場合は Windows コンピュータの管理を使用して検索してください次の構文を使用して正確なアカウント名を入力し [OK] をクリックしますドメイン名 \ ユーザー名ドメイン名 \ グループ名正確なアカウント名がわからない場合は Check Names を使用して検索してください 5. [OK] をクリックします [Select Users and/or Groups] ウィンドウが表示されます 6. アセットグループに追加するメンバーを選択し [OK] をクリックしますメンバーが [Users and/or Groups] 列に表示されますこのメンバーに対しグループレベル権限を割り当てることができます 7. [Save] をクリックしますグループレベル権限の付与ユーザーまたはグループにグループレベル権限を付与するには : 1. 左ウィンドウ枠でサイトグループまたは別のグループを右クリックし [Properties] を選択しますグループのプロパティタブが表示されます 2. [Permissions] アイコンをクリックしますグループレベル権限管理のウィンドウが表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

224 第 18 章 : グループレベル権限の設定 3. [Users and/or Groups] 列でユーザーまたはグループを選択します 4. [Manage Security] セクションで付与する権限に対応する丸記号を選択します黒丸は権限が付与されたことを示します 5. [Save] をクリックします 6. グループプロパティのタブを右クリックしポップアップメニューから [Close] を選択しますグループレベル権限の削除ユーザーまたはグループからグループレベル権限を削除するには : 1. 左ウィンドウ枠でサイトグループまたは別のグループを右クリックし [Properties] を選択しますグループのプロパティタブが表示されます 2. [Permissions] アイコンをクリックしますグループレベル権限管理のウィンドウが表示されます 3. [Users and/or Groups] 列でユーザーまたはグループを選択します 4. [Manage Security] セクションで付与する権限に対応する丸記号を選択解除します白丸は権限が削除されたことを示します 5. [Save] をクリックします 6. グループプロパティのタブを右クリックしポップアップメニューから [Close] を選択します 224

225 権限継承の作業権限継承の作業このトピックでは権限継承を定義し権限継承がどのように機能するのかについて説明しますまた次のタスクの手順を説明します権限継承のオン権限継承のオフ権限が継承されたかどうかの確認継承済み権限の編集継承済み権限の削除定義権限の継承はアセットのサブグループが上の階層から権限設定を継承する場合に発生しますたとえばアセットグループ Atlanta Servers に Accounting Servers というサブグループが含まれるとします Accounting Servers というサブグループが Atlanta Servers というグループから権限設定を検証する場合に権限の継承が発生します権限の継承はアセットのサブグループに対してすばやく権限を設定できるようにしすべてのサブグループに権限を設定するという面倒な繰り返し作業を避けることができる強力な権限管理ツールです例 1: Atlanta Servers というアセットグループに対して権限を設定するとします Atlanta Servers グループの下位には 40 個のサブグループがあります権限の継承を使用すると Atlanta Servers グループから 40 個のサブグループすべてに対して権限設定を自動的に渡すことができますこの方法は 40 個のサブグループすべてに対して権限を設定していくよりも時間がかかりません例 2: jsmith という名前のユーザーに Atlanta Servers というグループ内のアセットに対するスキャン権限を与えるとします Atlanta Servers の下位に Accounting Servers というサブグループを作成しこのサブグループで権限継承をオンにします jsmith というユーザーは Accounting Servers サブグループ内のアセットに対してスキャンを実行することができますこの方法によって 1 つのアセットグループから別のアセットグループへ jsmith の権限を簡単に渡すことができますデフォルト設定デフォルトではすべてのグループとサブグループに対して権限継承オプションが有効になっています親グループから権限設定を継承しないようにする場合はこのオプションをオフにしてくださいグループの権限継承をオフにした場合は親グループからサブグループへ権限設定をコピーするかまたは親グループから得た権限設定をクリアするかを選択することになります権限継承のオフ権限継承をオフにするとこのオプションをオフにしたグループの下位にあるすべてのサブグループに影響しますこのオプションをオフにした場合は親グループからサブグループへ権限設定をコピーするかまたはサブグループで権限設定をクリアするかを選択することになります権限設定をサブグループにコピーするとその権限には黒丸が表示されますこれはこの権限を変更または削除可能であることを示しますグループの権限継承をオフにするには : 1. 左ウィンドウ枠でグループを右クリックし [Properties] を選択しますグループのプロパティタブが表示されます 2. [Permissions] アイコンをクリックします権限プロパティのウィンドウが表示されます 3. [Advanced] をクリックします [Advanced] ウィンドウが表示されます 4. [Inherit from parent group] チェックボックスをオフにします SiteProtector User Guide for Security Managers Version 2.0, SP

226 第 18 章 : グループレベル権限の設定警告ウィンドウに 3 つのオプションが表示されます権限継承をオフにするとき継承される権限をグループにコピーする権限継承をオフにするとき継承された権限をグループから削除するアクションをキャンセルする 5. 次のいずれかを選択します [Copy] をクリックして権限継承をオフにする前に継承される権限をグループにコピーします [Remove] をクリックして権限継承をオフにする前にグループの権限設定をすべてクリアします 6. [OK] をクリックします継承される権限がコピーまたはクリアされ権限継承がオフになります 7. [Save] をクリックします 8. グループプロパティのタブを右クリックしポップアップメニューから [Close] を選択します権限継承のオングループの権限継承をオンにするには : 1. 左ウィンドウ枠でグループを右クリックし [Properties] を選択しますグループのプロパティタブが表示されます 2. [Permissions] アイコンをクリックします権限プロパティのウィンドウが表示されます 3. [Advanced] をクリックします [Advanced] ウィンドウが表示されます 4. [Inherit from parent group] チェックボックスをオンにします 5. [OK] をクリックします 6. [Save] をクリックします 7. グループプロパティのタブを右クリックしポップアップメニューから [Close] を選択します権限継承の確認権限プロパティのウィンドウで権限継承を確認するには : 1. 左ウィンドウ枠でグループを右クリックしポップアップメニューから [Properties] を選択します 2. [Permissions] アイコンをクリックします権限プロパティのウィンドウが表示されます丸記号がグレーの場合権限は継承されています別の色の場合権限は継承されていません [Advanced Properties] タブで権限継承を確認するには : 1. 左ウィンドウ枠でグループを右クリックしポップアップメニューから [Properties] を選択します 2. [Permissions] アイコンをクリックします権限プロパティのウィンドウが表示されます 3. [Advanced] ボタンをクリックします [Advanced] ウィンドウが表示されます [Permissions] タブに権限が継承されたかどうかが表示されます [Inherit from parent group] チェックボックスがオンになっている場合権限は継承されていますオンになっていない場合権限は継承されていません 226

227 権限継承の作業継承済み権限の編集と削除継承済み権限を編集するには : 1. 左ウィンドウ枠でグループの親グループを検索します 2. そのアセットグループでグループレベル権限を必要に応じて編集しますグループレベル権限の設定 (222 ページ ) を参照してください継承済み権限を親レベルで削除するには : 1. 左ウィンドウ枠でグループの親グループを検索します 2. 親グループのレベルで権限を削除します継承済み権限をグループレベルで削除するには : 1. 権限継承をオフにします 2. グループから権限を削除します参照 : グループレベル権限の設定 (222 ページ ) を参照してください SiteProtector User Guide for Security Managers Version 2.0, SP

228 第 18 章 : グループレベル権限の設定 Include Subgroups をオンにした状態での権限設定このトピックでは [Include Subgroups] オプションをオンにした状態で行うグループレベル権限の設定について説明します Include Subgroups [Include Subgroups] オプションは以前のバージョンの SiteProtector では [Recursion] と呼ばれていましたこのオプションがオンになっている場合はすべてのサブグループに含まれるすべてのアセットとエージェントが表示されます例 [Include Subgroups] というオプションをオンにしますコンソールの左ウィンドウ枠には Atlanta というグループがあります Atlanta の下位には 2 つのサブグループがあります Servers というグループ Routers というグループ Atlanta グループを選択しエージェントビューを選択しますコンソールに 3 つのグループ内のエージェントがすべて表示されますこのオプションをオンにした状態でグループレベル権限を設定する場合実際にどこへ権限を設定しているのか判断が難しくなる可能性がありますこの例では Servers グループ内のアセットに Network Sensor がインストールされています [Include Subgroups] がオンになっているためコンソールにはこの Network Sensor が Atlanta グループの一部として表示されますポリシーを適用するユーザー権限を Network Sensor に与えるとします Network Sensor は実際には Servers グループ内にありますが Atlanta グループに権限を割り当てますこの権限は当該エージェントがインストールされているグループへ SiteProtector によって適用されますこの原則はすべてのグループレベル権限に当てはまります 228

229 パート III エージェントの設定

230

231 第 19 章エージェント設定ステージ概要 SiteProtector 設定プロセスの 3 番目のステージはエージェント設定ステージですこのステージでは SiteProtector と連携させるその他 ISS 製品をインストールおよび設定します設定が終わるとこれらの製品は SiteProtector 内のエージェントとなりコンソール内での管理やこれらエージェントが生成したセキュリティイベントの表示が可能になります注記 : 初期設定が済んだ後はいつでもお使いの環境へ ISS 製品を追加することができますこのセクションで説明されているプロセスと手順を使用して製品の実装を行いますこの章の内容この章では次のトピックについて説明しますトピックページステージの概要 232 ISS からリリースされる最新のソフトウェアリリースおよびセキュリティアップデートで製品を最新の状態に保つ必要があります 233 アプライアンス設定のチェックリスト 235 スキャナー設定のチェックリスト 237 Network Sensor と Server Sensor の設定チェックリスト 238 SiteProtector User Guide for Security Managers Version 2.0, SP

232 第 19 章 : エージェント設定ステージステージの概要このトピックではエージェント設定ステージの概要を説明しますライセンス ISS 製品を SiteProtector で使用するにはそのために必要となるライセンスを確保しておく必要があります製品を正しく連動させるには SiteProtector にライセンスを設定する必要がありますインストールと設定 SiteProtector にはその他 ISS 製品インストールの方法が 2 つあります Deployment Manager これを使用してアプライアンスと Desktop Protection Agent を除くすべての ISS 製品をインストールすることができますエージェントビルドと呼ばれる Agent Manager 機能これを使用して Desktop Protection Agent をインストールすることができます最初に SiteProtector をインストールしその後でこれらの方法を使用してその他製品をインストールすることを強くお勧めしますこれらの方法を使用することで製品を SiteProtector に登録する必要な暗号化キーを配布するなどの手動タスクを省くことができます製品の登録 ISS 製品インストールの方法に関係なく SiteProtector Console で製品を管理できるようになるには製品を SiteProtector に登録する必要があります SiteProtector より前にその他 ISS 製品をインストールすることを選択した場合またはその他の方法を使用して製品をインストールすることを選択した場合は製品を SiteProtector に手作業で登録する必要がありますグループ化 SiteProtector ではグループを使用して ISS 製品を体系化しますグループは製品を管理しやすい単位にまとめ関連した製品群に対してタスクを実行するための方法です ISS 製品をインストールする前に SiteProtector をインストールして製品管理用のグループを設定しておくことを強くお勧めしますそうしておけば SiteProtector は製品のインストール後にエージェントがインストールされている IP アドレスに基づいて設定済みのグループへ各製品を自動的に振り分けることができますキーの配布 SiteProtector は必要なキーが交換されていないとその他 ISS 製品と通信できません最初に SiteProtector をインストールしその後で Deployment Manager とエージェントビルドを使用してその他製品をインストールすることを強くお勧めしますこれらのツールを使用することで製品間の安全な通信に必要とされる暗号化キーが自動的に交換されます SiteProtector より前にその他製品をインストールすることを選択した場合または別の方法を使用した場合は必要な暗号化キーを手動で配布する必要がありますポリシーの設定 ISS 製品のポリシーの設定と管理は複雑な作業です本書では製品へのポリシー適用方法に関する基本情報を説明します各種 ISS 製品のポリシーに関する詳細については次のマニュアルを参照してください該当する製品の製品マニュアルポリシーに関する SiteProtector のヘルプアップデート ISS では製品のパフォーマンスや製品のセキュリティコンテンツに影響するアップデートなど製品のアップデートを定期的にリリースしています最新の Service Pack とアップデートをすべて適用し製品を最新の状態に保つことを強くお勧めします 232

233 ステージの概要エージェント設定プロセス SiteProtector と連携するその他 ISS 製品の正確な設定プロセスは製品ごとに異なります表 74 ではその他 ISS 製品設定の一般的なプロセスを説明しますステージ説明 1 ライセンス : SiteProtector を使用して製品の管理とアップデートを行えるように SiteProtector 内で製品のライセンスを設定する必要があります 2 インストールと設定 : 製品をインストールおよび設定する必要があります Desktop Protection Agent の場合 SiteProtector で完全に設定を行い SiteProtector のエージェントビルド機能を使用して組織に配布することができますアプライアンスの場合アプライアンスを別途インストールおよび設定してから SiteProtector に登録する必要がありますその他製品の場合 Deployment Manager を使用して製品をインストールし設定することができます 3 登録グループ化キーの配布 : 製品を SiteProtector に登録し正しいアセットグループにグループ分けし安全な通信のために SiteProtector の暗号化キーまたは証明書を製品に配布する必要があります Deployment Manager を使用してインストール可能な製品 (Network Internet Scanner や Network Sensor など ) の場合グループを事前に設定してあり Deployment Manager を使ったインストールプロセスの間に必要な情報をしてあればこれらのタスクは自動的に実行されます Desktop Protection Agent の場合 SiteProtector 内で製品を設定しエージェントビルドを使用してインストールしてあればこれらのタスクは省略されますアプライアンスの場合 SiteProtector に接続してこれらのタスクを実行するにはアプライアンス内でユーザー定義オプションを手動で設定する必要があります 4 ポリシーとレスポンス : セキュリティイベントの処理とそれに対するレスポンスの方法を制御するポリシーを定義する必要があります Desktop Protection Agent Network Internet Scanner Network Sensor などのほとんどの製品の場合製品に関するポリシーすべてを SiteProtector で設定しそれを製品へ自動的に配布することができますアプライアンスの場合製品のポリシーの一部だけが SiteProtector で設定可能でありその他ポリシーは製品内で設定します 5 アップデート : ISS からリリースされる最新のソフトウェアリリースおよびセキュリティアップデートで製品を最新の状態に保つ必要がありますアプライアンスの場合はアプライアンス自体でアップデートを行いますその他製品の場合は SiteProtector を使用して製品をアップデートすることができます表 74: その他 ISS 製品の設定プロセス SiteProtector User Guide for Security Managers Version 2.0, SP

234 第 19 章 : エージェント設定ステージ Desktop Protection Agent 設定のチェックリストこのトピックでは Desktop Protection Agent を設定するために必要なすべてのタスクを実行するためのタスクチェックリストを紹介します Desktop Protection Agent のチェックリスト表 75 では Desktop Protection Agent の設定に必要なタスクのチェックリストを紹介しますタスク Desktop Protection Agent のライセンスを SiteProtector に追加するエージェントまたは Desktop ライセンスの追加と削除 (51 ページ ) を参照してください Desktop Protection Agent の Agent Manager アカウントを作成する Agent Manager アカウントの作成 (68 ページ ) を参照してくださいポリシーサブスクリプショングループを伴う Desktop Protection Agent にポリシーを割り当てるポリシーサブスクリプショングループを使用したポリシー適用 (285 ページ ) を参照してください Desktop Protection のエージェントビルドを作成しエージェントビルドインストールパッケージを使用してネットワークコンピュータにエージェントをインストールするエージェントビルドを使用した Desktop Protection Agent のインストール (247 ページ ) を参照してください表 75: Desktop Protection Agent 設定のチェックリスト 234

235 アプライアンス設定のチェックリストアプライアンス設定のチェックリストこのトピックでは次のアプライアンスを設定するために必要なすべてのタスクを実行するためのタスクチェックリストを紹介します Proventia G Network Multi-Function Security Network IPS Proventia G のチェックリスト表 76 では Proventia G アプライアンスの設定に必要なタスクのチェックリストを紹介しますタスクアプライアンスのライセンスを SiteProtector に追加するライセンスの設定 (47 ページ ) を参照してくださいアプライアンスのグループを作成しグループ設定を定義するグループの作成 (212 ページ ) を参照してくださいアプライアンス用にカスタムポリシーを設定しアプライアンスグループに適用するサイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいアプライアンスをインストールおよび設定しアプライアンス上で SiteProtector 管理設定を設定する Proventia G Appliance User Guide を参照してくださいアプライアンスをアップデートする Proventia G Appliance User Guide を参照してください表 76: Proventia G アプライアンス設定のチェックリスト Network Multi- Function Security のチェックリスト表 77 では Network Multi-Function Security アプライアンスの設定に必要なタスクのチェックリストを紹介しますタスクアプライアンスの Agent Manager アカウントを作成する Agent Manager アカウントの作成 (68 ページ ) を参照してくださいアプライアンスのグループを作成しグループ設定を定義するグループの作成 (212 ページ ) を参照してくださいアプライアンスのカスタムポリシーを設定する注記 : Network Multi-Function Security アプライアンスに対するポリシーすべてを SiteProtector 内で設定することはできません一部のポリシーは Proventia Manager で設定する必要があります Proventia Network Multi-Function Security Appliances User Guide を参照してくださいアプライアンスをインストールおよび設定しアプライアンス上で SiteProtector 管理設定を設定する Proventia Network Multi-Function Security Appliances User Guide を参照してください表 77: Network Multi-Function Security アプライアンス設定のチェックリスト SiteProtector User Guide for Security Managers Version 2.0, SP

236 第 19 章 : エージェント設定ステージタスクアプライアンスをアップデートする Proventia Network Multi-Function Security Appliances User Guide を参照してください表 77: Network Multi-Function Security アプライアンス設定のチェックリスト ( 続き ) Network IPS のチェックリスト表 78 では Network IPS アプライアンスの設定に必要なタスクのチェックリストを紹介しますタスクアプライアンスの Agent Manager アカウントを作成する Agent Manager アカウントの作成 (68 ページ ) を参照してくださいアプライアンスのグループを作成しグループ設定を定義するグループの作成 (212 ページ ) を参照してくださいアプライアンスのカスタムポリシーを設定する注記 : Network Multi-Function Security アプライアンスに対するポリシーはすべて SiteProtector 内または Proventia Manager で設定します Proventia Network Intrusion Prevention System User Guide を参照してくださいアプライアンスをインストールおよび設定しアプライアンス上で SiteProtector 管理設定を設定する Proventia Network Intrusion Prevention System User Guide を参照してくださいアプライアンスをアップデートする Proventia Network Intrusion Prevention System User Guide を参照してください表 78: Network IPS アプライアンス設定のチェックリスト 236

237 スキャナー設定のチェックリストスキャナー設定のチェックリストこのトピックでは次のスキャナーを設定するために必要なすべてのタスクを実行するためのタスクチェックリストを紹介します Network Internet Scanner System Scanner Databridge ( このデータブリッジは System Scanner によって生成されたセキュリティイベントを SiteProtector 内で表示するために必要です System Scanner は SiteProtector 内で管理できません System Scanner が生成したイベントを見ることができるだけです ) Network Internet Scanner 表 79 では Network Internet Scanner の設定に必要なタスクのチェックリストを紹介しますタスクスキャナーのライセンスを SiteProtector に追加するライセンスの設定 (47 ページ ) を参照してくださいスキャナーのグループを作成しグループ設定を定義するグループの作成 (212 ページ ) を参照してください Deployment Manager を使用してスキャナーをインストールする詳細については次を参照してください Deployment Manager を使用したエージェントのインストール (243 ページ ) Network Internet Scanner Installation Guide スキャナーをアップデートするエージェントのアップデート (265 ページ ) を参照してください表 79: Network Internet Scanner 設定のチェックリスト System Scanner Databridge 表 80 では System Scanner Databridge の設定に必要なタスクのチェックリストを紹介しますタスク System Scanner Console と System Scanner Agent を含めた System Scanner をインストールする System Scanner Installation Guide を参照してください System Scanner のライセンスを SiteProtector に追加するライセンスの設定 (47 ページ ) を参照してくださいデータブリッジのグループを作成しグループ設定を定義する System Scanner グループの作成 (215 ページ ) を参照してください Deployment Manager を使用してデータブリッジをインストールする Deployment Manager を使用したエージェントのインストール (243 ページ ) を参照してくださいデータブリッジをアップデートするエージェントのアップデート (267 ページ ) を参照してください表 80: System Scanner Databridge 設定のチェックリスト SiteProtector User Guide for Security Managers Version 2.0, SP

238 第 19 章 : エージェント設定ステージ Network Sensor と Server Sensor の設定チェックリストこのトピックでは次のセンサーを設定するために必要なすべてのタスクを実行するためのタスクチェックリストを紹介します Network Sensor Server Sensor Network Sensor 表 81 では Network Sensor 6.5 および 7.0 の設定に必要なタスクのチェックリストを紹介しますタスクセンサーのライセンスを SiteProtector に追加するライセンスの設定 (47 ページ ) を参照してくださいセンサーのグループを作成するグループの作成 (212 ページ ) を参照してください Deployment Manager を使用してセンサーをインストールする Deployment Manager を使用したエージェントのインストール (243 ページ ) を参照してくださいセンサーのカスタムポリシーを設定しセンサーに適用するサイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいセンサーをアップデートするエージェントのアップデート (265 ページ ) を参照してください表 81: Network Sensor 設定のチェックリスト Server Sensor 表 82 では Server Sensor 6.5 および 7.0 の設定に必要なタスクのチェックリストを紹介しますタスクセンサーのライセンスを SiteProtector に追加するライセンスの設定 (47 ページ ) を参照してくださいセンサーのグループを作成するグループの作成 (212 ページ ) を参照してください Deployment Manager を使用してセンサーをインストールする Deployment Manager を使用したエージェントのインストール (243 ページ ) を参照してくださいセンサーのカスタムポリシーを設定しセンサーに適用するサイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいセンサーをアップデートするエージェントのアップデート (265 ページ ) を参照してください表 82: Server Sensor 設定のチェックリスト 238

239 第 20 章エージェントの設定概要この章では SiteProtector と連携する次のようなその他 ISS 製品 ( エージェント ) の設定手順について説明します Desktop Protection Agent アプライアンス Network Sensor Server Sensor スキャナーデータブリッジ始める前にエージェントを設定する前に次のタスクを完了しておく必要があります SiteProtector を設定してアップデートする SiteProtector の設定とアップデート (25 ページ ) を参照してくださいアセットとエージェントのグループを設定するグループの設定 (197 ページ ) を参照してください要件 SiteProtector はその他 ISS 製品と連動するようには事前設定されていません ISS 製品を SiteProtector で管理する場合はこの章の手順に従って製品を設定する必要があります参照先この章で取り上げる製品の詳しいマニュアルについては ISS の製品マニュアル Web サイト ( または support/documentation/) を参照してくださいこの章の内容この章では次のセクションについて説明しますセクションページセクション A: エージェントのインストール 241 セクション B: エージェントの登録 251 セクション C: エージェントへのキーと証明書の配布 259 セクション D: エージェントのアップデート 265 SiteProtector User Guide for Security Managers Version 2.0, SP

240 SiteProtector User Guide for Security Managers Version 2.0, SP

241 セクション A: エージェントのインストール概要このセクションでは次のタスクについて説明します Deployment Manager を使用したその他 ISS 製品のインストール製品は SiteProtector へ自動的に登録され必要な暗号化キーが製品へ自動的に配布されます個別インストールによるその他 ISS 製品のインストールエージェントビルドを使用した Desktop Protection Agent のインストールこのセクションの内容このセクションでは次のトピックについて説明しますトピックページインストール方法 242 Deployment Manager を使用したエージェントのインストール 243 Deployment Manager へのインストールパッケージの追加 245 個別のインストールパッケージを使用したエージェントのインストール 246 エージェントビルドを使用した Desktop Protection Agent のインストール 247 SiteProtector User Guide for Security Managers Version 2.0, SP

242 第 20 章 : エージェントの設定インストール方法このトピックでは ISS 製品のさまざまなインストール方法について説明します方法 ISS 製品インストールの方法はいくつかあります Deployment Manager を使用するエージェントビルドを使用する (Desktop Protection Agent の場合のみ ) 個別のインストールプログラムを使用する Deployment Manager SiteProtector をインストールおよび設定した後に Deployment Manager を使用してすべての ISS 製品をインストールすることを強くお勧めしますこうすることで次の設定タスクが自動的に行われます製品インストールの途中でサイト名を指定するときに製品が SiteProtector に登録され SiteProtector を設定するときに定義したグループメンバーシップルールに基づいて正しいグループへ製品がグループ分けされます注意 : SiteProtector をインストールして設定する前に Deployment Manager を使用して製品をインストールするとサイトへの製品の登録や必要な暗号化キーの製品への配布が自動的に行われません製品のインストール先コンピュータ上に Application Server が Key Administrator として追加され製品と SiteProtector との間で安全な通信を行うための暗号化キーが製品に配布されますエージェントに Event Collector が割り当てられます ( 該当する場合 ) エージェントに Agent Manager が割り当てられます ( 該当する場合 ) 製品と SiteProtector との間で安全な通信を行うために必要な証明書の配布オプションが設定されます重要 : アプライアンスに必要なソフトウェアを Deployment Manager を使用してインストールすることはできませんアプライアンスのインストールと設定についてはアプライアンスのインストールガイドを参照してくださいエージェントビルドエージェントビルドは Desktop Protection Agent のインストールでしか使用できません個別のインストールパッケージ個別のインストールパッケージを使用した製品のインストールはお勧めしません個別のインストールパッケージを使用して製品をインストールした場合は製品を手動で SiteProtector に登録し必要な暗号化キーを手動で製品に配布する必要があります 242

243 Deployment Manager を使用したエージェントのインストール Deployment Manager を使用したエージェントのインストールこのトピックでは Deployment Manager を使用したその他 ISS 製品のインストール方法について説明します実行するタスク ISS 製品のインストール以外にも Deployment Manager は次のタスクを実行することができます製品をサイトに登録するこの機能を使用するにはインストールの間にサイトグループを指定する必要があります製品がインストールされた後製品は指定のサイトグループ内に表示されますサイトへ初めて接続したとき必要な暗号化キーをサイトから受け取るように製品を設定するこの機能を使用するにはインストールの間に自動インポートオプションをオンにする必要があります始める前に Deployment Manager を使用して製品をインストールする前に表 83 で説明するタスクを完了しておく必要がありますタスク説明 1 SiteProtector をインストールし設定する ( インストールする製品に関するグループの設定など ) 参照 : SiteProtector の設定とアップデート (25 ページ ) を参照してください 2 エージェントの登録先となるサイトからサイトグループ名を入手するサイトグループ名は SiteProtector をインストールするときにユーザー定義します参照 : デフォルトグループ名 (207 ページ ) を参照してください 3 サイトの Application Server の登録先となるコンピュータの IP アドレスを入手する 4 インストールする製品のインストールパッケージが Deployment Manager で使用可能であることを確認する使用可能でない場合はパッケージをダウンロードします参照 : Deployment Manager へのインストールパッケージの追加 (245 ページ ) を参照してください 5 製品の登録先とするサイトに Deployment Manager が登録されていることを確認するサイトに Deployment Manager が登録されているかどうかはっきりしない場合はコンソールをサイトに接続しサイト内の登録済みエージェントとして Deployment Manager がリストアップされているかどうか確認してくださいリストアップされていない場合は Deployment Manager をサイトに登録します参照 : エージェントの登録 (251 ページ ) を参照してください 6 製品のインストール先となるコンピュータがシステム要件を満たしていることを確認する参照 : を参照してください 7 インストールする製品のインストールマニュアルを入手して読んでおくこのマニュアルには個別製品のインストールに関する SiteProtector のマニュアルではカバーしきれなかった重要な要件および考慮すべき事項が説明されています製品のインストール前にこの情報を確認しておくことを強くお勧めします参照 : を参照してください表 83: その他 ISS 製品のインストール前に SiteProtector User Guide for Security Managers Version 2.0, SP

244 第 20 章 : エージェントの設定手順 Deployment Manager を使用して製品 ( エージェント ) をインストールするには : 1. 製品 ( エージェント ) のインストール先となるコンピュータ上で Internet Explorer を開き Deployment Manager に移動しますアドレスまたはサーバー名 :3994/deploymentmanager/index.jsp Deployment Manager メインメニューが表示されます 2. [Install Agents] を選択しインストールする製品 ( エージェント ) を選択します 3. インストールするバージョンをリストから選択し [Next] をクリックします 4. [Install] をクリックします 5. 画面上の手順に従って必要な情報を入力します重要 : サイトへの製品の登録や必要な暗号化キーの製品への配布を Deployment Manager が自動的に行うようにするにはインストール中に次の作業を行う必要がありますサイトグループ名を指定する自動インポート機能を有効にする 244

245 Deployment Manager へのインストールパッケージの追加 Deployment Manager へのインストールパッケージの追加 Deployment Manager は製品のインストールパッケージが Deployment Manager 内にある場合に限りその製品をインストールすることができます Deployment Manager をインストールする場合 Deployment Manager と共にインストールする製品をすべて選択するように要求されます続いて Deployment Manager と共に選択した製品の必須インストールパッケージがインストールされます場合によっては Deployment Manager が必須のインストールパッケージを使用できないことがありますそのような場合は必須のインストールパッケージを Deployment Manager に手動で追加することができますこのトピックではインストールパッケージを Deployment Manager に手動で追加する方法について説明します手順最新のインストールパッケージをダウンロードして Deployment Manager が使用できるようにするには : 1. Deployment Manager がインストールされているコンピュータ上で ISS のダウンロードページ ( にアクセスします 2. 特定の製品 ( エージェント ) のダウンロードページを探します 3. 適切な Deployment Manager フォルダにインストールパッケージをダウンロードして設定します \Program Files\ISS\RealSecure SiteProtector\Application Server\webapps\dmdocroot\packages\êªïiñº 4. Application Server サービスを停止してから再起動しますエージェントのインストールパッケージがインストールのために Deployment Manager から利用できるようになります SiteProtector User Guide for Security Managers Version 2.0, SP

246 第 20 章 : エージェントの設定個別のインストールパッケージを使用したエージェントのインストールこのトピックではその他 ISS 製品を個別のインストールパッケージを使用してインストールする場合の利点と不利な点について説明します不利点個別のインストールパッケージを使用してインストールすると次の作業を自動的に行うことができません SiteProtector に製品を登録するこのタスクはインストール終了後に手動で行うことになります製品を正しいグループに配置する利点個別のインストールパッケージを使用してインストールすると次の作業を自動的に行うことができます Application Server をインストール対象エージェントの Key Administrator として設定するほとんどのエージェントの場合このタスクはインストールプロセスの一部ですがエージェントを Application Server にインストール済みでない場合は Application Server の名前を入力する必要があります SiteProtector がエージェントへ最初に接続するときに認証キーを自動的に送信できるように [Auto Import/Allow First Connection] をオンにするたとえば SiteProtector にエージェントを登録する場合 SiteProtector はそのときにキーの自動送信を試みます 246

247 エージェントビルドを使用した Desktop Protection Agent のインストールエージェントビルドを使用した Desktop Protection Agent のインストールこのトピックではエージェントビルドを使用した Desktop Protection Agent のインストール方法について説明しますこの手順は Desktop Protection Agent のインストールのみで使用しますエージェントビルドを使用して Desktop Protection Agent をインストールすることをお勧めしますエージェントビルドエージェントビルドは次のようなユーザー定義の情報とソフトウェアを含む事前設定されたインストールパッケージです Desktop Protection Agent が SiteProtector と通信する方法に関する情報レポート先となる Agent Manager の IP アドレス Agent Manager に接続する場合に使用するアカウント名とパスワードなど次の内容を管理するポリシー : Desktop Protection Agent が検出すべきセキュリティイベントセキュリティイベントに対する Desktop Protection Agent の対応方法デスクトップコンピュータ上で Desktop Protection Agent がブロックするトラフィックビルドがデスクトップコンピュータ上にインストールする実際の Desktop Protection ソフトウェア注意 : エージェントビルドの生成前に Desktop Protection ソフトウェアをインストールする必要はありませんエージェントビルドは必要なソフトウェアを Agent Manager から入手しますビルドの場所エージェントビルドを次の場所に置くことができます場所コンソール Agent Manager コンピュータ Agent Manager の [Available Downloads] Web ページネットワーク共有説明エージェントビルドは Agent Manager が含まれるグループの下位にある一時グループに自動的に置かれますこのグループを削除した場合または同じ名前の別のグループを作成した場合にはエージェントビルドは Ungrouped Assets グループに置かれます Agent Manager ではエージェントビルドが次の場所に保管されます Program Files\ISS\RealSecure SiteProtector\Desktop Controller\accounts\builds 次の Web ページにエージェントビルドがバージョン別にリストアップされますの _IP_ アドレス :8085 デフォルトのポートは 8085 ですこのデフォルト設定は Agent Manager のプロパティで変更することができますエージェントビルドをネットワーク共有で利用できるようにすることができますこの場所はユーザー定義されそのプロセスは手動で行われますエージェントビルドを Agent Manager の [Available Downloads] Web ページまたは Agent Manager コンピュータからネットワーク共有へコピーする必要があります表 84: エージェントビルドの場所 SiteProtector User Guide for Security Managers Version 2.0, SP

248 第 20 章 : エージェントの設定 NAT 環境での要件 Network Address Translation (NAT) 環境でのエージェントビルド作成を計画している場合はビルドを作成する前に設定ファイルを編集する必要があります SiteProtector Installation Guide の第 11 章セクション B: NAT ファイアウォールのためのコンポーネントの設定を参照してください始める前にエージェントビルドを生成する前に次のタスクを完了しておく必要があります Desktop Protection Agent のグループを作成しグループプロパティを定義するグループの作成 (212 ページ ) を参照してください Desktop Protection Agent のカスタムポリシーを設定しこのポリシーをグループに適用するサイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいタスクの概要表 85 ではエージェントビルドから Desktop Protection Agent をインストールする場合のタスクについて説明しますタスク説明 1 エージェントビルドを作成する 2 エージェントのインストール先となるコンピュータ上でエージェントビルドにアクセスしエージェントをインストールする表 85: エージェントビルドから Desktop Protection Agent をインストールする場合のタスクエージェントビルドの作成エージェントビルドを作成するには : 1. 左ウィンドウ枠で Desktop Protection Agent を含むグループを右クリックしポップアップメニューから [Generate Agent Build] を選択します [Generate Agent Build] ウィンドウが表示されます 2. 左ウィンドウ枠で [Details] を選択します 3. [Command Details] セクションで [Agent Type] リストから [Proventia Server] または [RealSecure Desktop] を選択します 4. [Build] アイコンをクリックします 5. [Agent Manager] リストで次のいずれかを行いますリストアップされている Agent Manager が正しい Agent Manager であることを確認しますリストから Agent Manager を選択しますエージェントは Agent Manager と連携してセキュリティイベントやその他重要な情報 ( アップデートなど ) をレポートします 6. [Description] にビルドの説明を入力します 7. [OK] をクリックしますエージェントビルドからの Desktop Protection Agent のインストール Desktop Protection Agent をエージェントビルドからインストールするには : 1. Desktop Protection Agent のインストール先となるコンピュータ上で Internet Explorer を起動し Agent Manager の [Available Downloads] Web ページへ移動しますこのページでエージェントビルドにアクセスできますの _IP_ アドレス : 正しいエージェントビルドを選択しインストールします 248

249 エージェントビルドを使用した Desktop Protection Agent のインストールエージェントビルドの削除 Agent Manager の [Available Downloads] Web ページからエージェントビルドを削除するには : 1. Web ページに移動し削除するエージェントビルドを含むフォルダを探します 2. そのフォルダ内にある html ファイルを開きますこのファイルにはエージェントビルドのポリシーグループ日付ファイル説明が含まれています 3. フォルダ全体を削除しますこれによってエージェントビルドが Web ページから削除されますエージェントビルドのトラブルシューティング表 86 ではエージェントビルドから Desktop Protection Agent をインストールする場合の問題点と解決法について説明します問題点コンピュータ上に既存の RealSecure または Desktop Agent が存在するためインストールが失敗する SiteProtector 2.0 によってサポートされているバージョンの Network Sensor または Server Sensor をホストが実行中であるためインストールが失敗するエージェントビルド用に選択されたグループに Desktop ポリシーが割り当てられていないためエージェントビルドの生成が失敗するポリシーにライセンスが選択されていないまたはエージェントのソフトウェアバージョンが選択されていないためエージェントビルドの生成が失敗する選択された Agent Manager がアカウントを持っていない解決方法既存のエージェントを完全にアンインストールしプロセスを再試行します Desktop をインストールする前に既存の Network Sensor または Server Sensor をアンインストールしますその後で Network Sensor または Server Sensor をインストールしますポリシーをグループに割り当てますサイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいポリシーのライセンスを追加し正しいバージョンのソフトウェアを選択します Agent Manager アカウントを設定します Agent Manager アカウントの作成 (68 ページ ) を参照してください表 86: エージェントビルド関連の問題点 SiteProtector User Guide for Security Managers Version 2.0, SP

250 第 20 章 : エージェントの設定 250

251 セクション B: エージェントの登録概要このセクションでは次のタスクの実行方法について説明します New Agent Wizard を使用してエージェントをサイトへ自動的に登録する New Agent Wizard を使用してエージェントをサイトへ手動で登録するエージェントをサイトから登録解除するこのセクションの情報は Event Collector を通じて SiteProtector と通信するエージェントだけに適用されます Agent Manager を通じて SiteProtector と通信するその他エージェントはサイトとの通信を開始するときに自己登録します SiteProtector コンポーネントごくまれなケースを除き SiteProtector コンポーネントは常に Deployment Manager を使用してインストールする必要があります SiteProtector コンポーネントは登録済み Deployment Manager を使用してインストールされるときにサイトへ自己登録します SiteProtector コンポーネントと SiteProtector の間の通信に問題があるなどの原因で SiteProtector コンポーネントを登録解除または再登録する必要がある場合は New Agent Wizard を使用して SiteProtector コンポーネントをサイトに登録することができます参照 : Deployment Manager を使用したエージェントのインストール (243 ページ ) を参照してくださいこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ New Agent Wizard 252 エージェントの自動登録 254 エージェントのサイトへの手動登録 256 SiteProtector User Guide for Security Managers Version 2.0, SP

252 第 20 章 : エージェントの設定 New Agent Wizard New Agent Wizard を実行して次のエージェントおよび SiteProtector コンポーネントをサイトに登録することができますエージェント System Scanner Databridge Network Internet Scanner Network Sensor Proventia G シリーズアプライアンス Server Sensor SiteProtector コンポーネント : Deployment Manager Event Collector SecurityFusion Module Third Party Module ウィザードを使用する場合ほとんどの場合エージェントはインストールされたときに自己登録しますつまりエージェントインストールプログラムによってエージェントの登録先となるサイトの名前の入力が要求され続いてエージェントがサイトに自動的に登録されますまれなケースですが次のような場合にウィザードを使用してエージェントをサイトに登録する必要がありますエージェントを個別のインストールパッケージからインストールする場合 SiteProtector をインストールする前にエージェントをインストールする場合サイトに登録されていない Deployment Manager を使用してエージェントをインストールする場合エージェントの登録先サイトを指定せずに Deployment Manager を使用してエージェントをインストールする場合自動登録と手動登録表 87 では New Agent Wizard で使用可能な登録オプションについて説明しますオプション Automatically Register Agent 説明ウィザードに次の作業を行わせる場合にこのオプションをオンにしますホストに問い合わせてホスト上のすべてのエージェントを識別するすべてのエージェントをサイトに登録するエージェントの登録情報を確認する重要 : 誤ったエージェント登録情報に関する問題を避けるためにこのオプションをオンにしておくことをお勧めします表 87: New Agent Wizard の登録オプション 252

253 New Agent Wizard オプション Manually Register Agent 説明エージェント登録に必要な情報 ( ホスト名エージェント名エージェントタイプなど ) がすべて揃っている場合にこのオプションをオンにします手動登録オプションをオンにするとエージェントに関して提供されている登録情報の確認が行われませんたとえば誤ったエージェントタイプが入力されていても New Agent Wizard は誤ったエージェントタイプのままでエージェントをサイトに登録しますこの問題を修正するにはエージェントを登録解除してから正しいタイプで登録し直す必要がありますこうした問題を避けるには [Automatically Register Agent] オプションを選択してください表 87: New Agent Wizard の登録オプション必要な情報 New Agent Wizard を実行する場合は次の情報を入力する必要がありますアセット名またはアセットの IP アドレス Event Collector 名エージェント登録時に Event Collector を指定しない場合は後でそのエージェントに対して Event Collector を割り当てる必要があります Event Collector の手動割り当て (115 ページ ) を参照してくださいエージェントタイプエージェント名 SiteProtector User Guide for Security Managers Version 2.0, SP

254 第 20 章 : エージェントの設定エージェントの自動登録このトピックでは New Agent Wizard を使用してエージェントをサイトに自動登録する方法について説明します説明 New Agent Wizard を実行するときに [Automatically Register Agent] オプションを選択すると次の作業が自動的に行われます指定のアセットへ問い合わせそのアセット上にあるすべてのエージェントを識別するエージェントに関する必須の登録情報 ( エージェント名エージェントタイプなど ) を抽出するウィザードを実行しているサイトにエージェントを登録する注記 : アセット上で識別されたすべてのエージェントが登録されますたとえばアセット上で Network Internet Scanner と Network Sensor が見つかった場合は両方のエージェントがサイトに登録されますまた場合によってはエージェントが 1 回以上登録されることがありますこのアクションによってシステムに悪影響が及ぶことはなくそのエージェントの項目が 1 つ以上作成されることもありませんたとえば Network Internet Scanner がサイトに登録されそのサイトで既に Network Internet Scanner が登録済みである場合このアクションによって Network Internet Scanner の項目が 2 つ作成されることはありません 1 つのアセットへのエージェント登録 1 つのアセット上にあるエージェントをサイトに自動登録するには : 1. 左ウィンドウ枠でエージェントを追加するグループを右クリックし [New] [Agent] の順に選択します New Agent Wizard が表示されます 2. アセット名またはアセットの IP アドレスを入力し [Add] をクリックしますアセットが一覧に表示されますこのアセットにインストールされているエージェントがサイトに登録されます 3. [Next] をクリックします [Choose Event Collector] ウィンドウが表示されます 4. 次のいずれかを選択しますエージェントのレポート先となる Event Collector None ( このオプションを選択した場合は後で Event Collector をエージェントに割り当てる必要がありますそうしないとコンソール内のエージェントステータスが [Not Managed] となります ) 5. [Automatically Register Agent] をオンにし [Next] をクリックしますウィザードはエージェントに関してアセットへ問い合わせ識別したエージェントをサイトに登録しますまた先ほど選択した Event Collector をエージェントに割り当てます複数アセット上のエージェントの登録複数のアセット上にあるエージェントをサイトに自動登録するには : 1. 左ウィンドウ枠でエージェントを追加するグループを右クリックし [New] [Agent] の順に選択します New Agent Wizard が表示されます 2. アセット名またはアセットの IP アドレスを入力し [Add] をクリックしますアセットが一覧に表示されます 3. 手順 2 を繰り返して他のアセットを一覧に追加します 254

255 エージェントの自動登録これらアセットのいずれかにインストールされているエージェントがサイトに登録されます 4. [Next] をクリックします [Choose Event Collector] ウィンドウが表示されます 5. 次のいずれかを選択しますエージェントのレポート先となる Event Collector None ( このオプションを選択した場合は後で Event Collector をエージェントに割り当てる必要がありますそうしないとコンソール内のエージェントステータスが [Not Managed] となります ) 6. [Automatically Register Agent] をオンにし [Next] をクリックしますウィザードはエージェントに関してアセットへ問い合わせ識別したエージェントをサイトに登録しますまた先ほど選択した Event Collector をエージェントに割り当てます SiteProtector User Guide for Security Managers Version 2.0, SP

256 第 20 章 : エージェントの設定エージェントのサイトへの手動登録このトピックでは New Agent Wizard を使用してエージェントをサイトに手動登録する方法について説明します説明 New Agent Wizard を実行するときに [Manually Register Agent] オプションを選択した場合は必須の登録情報 ( エージェント名やエージェントタイプなど ) を入力する必要があります推奨手動によるエージェント登録ではエージェントに関して入力した情報は検証されず登録の時点でアセットまたはエージェントが実際に存在するかどうかに関係なくエージェントがサイトに登録されますたとえば Network Internet Scanner を手動登録するときにエージェントタイプとしてデータブリッジを選択すると Network Internet Scanner はデータブリッジとしてサイトに登録されますこのため New Agent Wizard を実行する場合は [Automatically Register Agent] オプションを選択することを強くお勧めします手動によるエージェント登録で不正確な情報を入力した場合はエージェントを登録解除してから正しい情報で登録し直す必要がありますこうした問題を避けるには [Automatically Register Agent] オプションを選択してください参照 : エージェントの自動登録 (254 ページ ) を参照してくださいエージェント手動登録の理由エージェントを手動登録する妥当な理由はほとんどありません最も一般的な理由はアセット上にエージェントを実際にインストールする前にアセットまたはエージェントを設定したいというものです手動登録機能では入力した情報が検証されないのでこのタスクは実行可能ですたとえばアセットに EventCollector_01 を追加する場合この Event Collector またはアセットが手動登録の時点で存在していなくてもこのタスクを実行することができます 1 つのアセットへのエージェント登録エージェントを手動で登録するには : 1. 左ウィンドウ枠でエージェントを追加するグループを右クリックし [New] [Agent] の順に選択します New Agent Wizard が表示されます 2. アセット名またはアセットの IP アドレスを入力し [Add] をクリックしますアセットが一覧に表示されます 3. [Next] をクリックします [Choose Event Collector] ウィンドウが表示されます 4. 次のいずれかを選択しますエージェントのレポート先となる Event Collector None ( このオプションを選択した場合は後で Event Collector をエージェントに割り当てる必要がありますそうしないとコンソール内のエージェントステータスが [Not Managed] となります ) 5. [Manually Register Agent] をオンにし [Next] をクリックします [Register Agent] ウィンドウが表示されます 6. 次の内容を選択し [Add] をクリックします Agent type ( エージェントタイプ ) Asset ( アセット ) Agent name ( エージェント名 ) [Register the Following Agent] リストにエージェントが表示されます特定のアセットにインストールされているエージェントすべてを検索するにはアセットを選択して [Query] をクリックします 7. [Next] をクリックします 256

257 エージェントのサイトへの手動登録入力した情報でエージェントが登録されますウィザードは情報を検証しません SiteProtector User Guide for Security Managers Version 2.0, SP

258 第 20 章 : エージェントの設定 258

259 セクション C: エージェントへのキーと証明書の配布概要このセクションの内容このセクションでは次のトピックについて説明しますトピックページキーの手動配布 260 Public Key Configuration Tool の使用 263 SiteProtector User Guide for Security Managers Version 2.0, SP

260 第 20 章 : エージェントの設定キーの手動配布このトピックでは次のエージェントへ必要な暗号化キーを手動で配布する方法について説明します Server Sensor Network Sensor ネットワーク不正侵入検知システムアプライアンス Proventia G シリーズアプライアンス背景 SiteProtector 特に Application Server と Event Collector はいくつかの管理対象エージェントと安全に通信するためにパブリックキー暗号化を使用しますエージェントが SiteProtector コンポーネントと通信するためにはエージェントはコンポーネントからパブリックキーのコピーを受け取っている必要があります必要なキーは登録済み Deployment Manager を使用してエージェントをインストールするときにエージェントへ自動的に配布されますキーをコンポーネントへ手動で配布する場合場合によっては必要なキーをエージェントへ手動で配布する必要があります必要な暗号化キーをエージェントへ手動で配布する必要のある場合の例は次のとおりです製品を個別のインストールパッケージからインストールする場合 SiteProtector をインストールする前に製品をインストールする場合なんらかの理由でエージェントコンピュータ上にキーが存在しない場合 Application Server キーについてエージェントコンピュータ上のキーの日付が Application Server 上のキーの日付と一致しない場合 Event Collector キーについてエージェントコンピュータ上のキーの日付が Event Collector 上のキーの日付と一致しない場合必要なキー Application Server (Sensor Controller) \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\CerticomNRA\sp_con_computer_name_239.PubKey \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\RSA\\sp_con_computer_name_1024.PubKey \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\RSA\\sp_con_computer_name_1536.PubKey Event Collector \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\CerticomNRA\rs_eng_computer_name_239.PubKey \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\RSA\rs_eng_computer_name_1024.PubKey \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\RSA\rs_eng_computer_name_1536.PubKey 260

261 キーの手動配布方法必要な暗号化キーを SiteProtector コンポーネントへ配布する方法は次のとおりですコンポーネントがインストールされているコンピュータ上の正しいディレクトリに必要なキーをコピーしますコンポーネントがサイトへ次回に接続したときに必要なキーをサイトから自動的に受信するように crypt.policy ファイルを編集します Public Configuration Tool を使用します Public Key Configuration Tool の使用 (263 ページ ) を参照してください File Transfer Protocol (FTP) この方法は Solaris Network Sensor へキーを配布する場合に限って使用されます手順 Application Server および Event Collector 上にある CerticomNRA キーと RSA キーをその他エージェントに配布するには : コピー元 Application Server および Event Collector 上の次のキーサブディレクトリ : \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\CerticomNRA \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\RSA \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\CerticomNRA \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\RSA コピー先 Network Sensor: \Program Files\ISS\issSensors\ network_sensor_1\keys Server Sensor: \Program Files\ISS\issSensors\ server_sensor_1\keys Network Internet Scanner: Program Files\ISS\issSensors\ Scanner_1\Keys System Scanner Databridge: \Program Files\ISS\issSensors\ System_Scanner_Databridge\Keys\ 手順エージェントの Allow First Connection 設定を手動でリセットし必要な暗号化キーを SiteProtector がエージェントへ送信できるようにするには : 1. エージェント上の次のフォルダを検索し削除します \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\CerticomNRA \Program Files\ISS\RealSecure SiteProtector\Application Server\Keys\RSA \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\CerticomNRA \Program Files\ISS\RealSecure SiteProtector\Event Collector\Keys\RSA こうすることでエージェントコンピュータからすべての暗号化キーが削除されます 2. コマンドプロンプトで net stop issdaemon と入力します 3. 次のディレクトリにある crypt.policy ファイルを編集します \Program Files\ISS\issDaemon\crypt.policy 4. crypt.policy ファイル内で次の文字列にある 0 を 1 に変更します編集前の文字列 : allowfirstconnection<tab> =L<tab>0; SiteProtector User Guide for Security Managers Version 2.0, SP

262 第 20 章 : エージェントの設定編集後の文字列 : allowfirstconnection<tab> =L<tab>1; 5. ファイルを保存します 6. コマンドプロンプトで net start issdaemon と入力します 7. SiteProtector Console からエージェントを起動しますエージェントは SiteProtector への接続を試みますこの変更によってエージェントはサイトに接続して必要な暗号化キーを受信できるようになります 8. 必要なキーがエージェントコンピュータに保存されていることを確認します次に示すキーの場所を参照してくださいキーの場所エージェントが暗号化キーを格納する具体的なディレクトリはエージェントとオペレーティングシステムによって異なります表 88 ではエージェントが暗号化キーを格納するディレクトリについて説明しますエージェント任意の Windows エージェント任意の Linux エージェント任意の Nokia エージェント Network Sensor (Windows) Network Sensor (Linux) Network Sensor (UNIX) Server Sensor (Windows) Server Sensor (UNIX) System Scanner Databridge (Windows) Network Internet Scanner (Windows) ネットワーク不正侵入検知システム Proventia G シリーズディレクトリ \Program Files\ISS\IssSensors\AgentName\Keys /opt/iss/isssensors/agentname/keys /opt/iss/agentname/keys /opt/iss/isssensors/agentname/keys \Program Files\ISS\issSensors\Network_Sensor_1\Keys /opt/iss/isssensors/network_sensor_1/keys \opt\iss\isssensors\agent_name\ Keys\encryption_provider \Program Files\ISS\issSensors\server_sensor_1\Keys \opt\iss\isssensors\agent_name\ Keys\encryption_provider \Program Files\ISS\issSensors\ System_Scanner_Databridge\Keys \Program Files\ISS\issSensors\Scanner_1\Keys /opt/iss/isssensors/network_sensor_1/keys /opt/iss/isssensors/network_sensor_1/keys 表 88: 暗号化キーが格納されるディレクトリ 262

263 Public Key Configuration Tool の使用 Public Key Configuration Tool の使用 Public Key Configuration Tool Public Key Configuration Tool は SiteProtector インスタンスに既にインストールされて登録済みであるエージェントで次のタスクを実行するプログラムです SiteProtector インスタンスをエージェントの Key Administrator として設定するこのアクションによって SiteProtector インスタンスはエージェントに暗号化キーを配布できるようになります SiteProtector によって管理されているエージェントを解放するこのアクションによって SiteProtector がマスターステータスから解放されますつまりサイトはエージェントを管理しなくなりますエージェント上で自動インポートオプション ([Allow First Connection] オプション ) を有効にするこのアクションによって SiteProtector がエージェントに初めて接続を試みた場合にエージェントコンピュータ上の古い暗号化キーが正しいキーに置き換えられますほとんどの場合新しくインストールしたエージェント上で Public Key Configuration Tool を使用する必要はありませんエージェントのインストールプログラムによってこれらのタスクがインストール中に自動的に実行されるためですエージェントでのツールの使用このツールは次のエージェントに使用することができます Server Sensor Network Sensor ネットワーク不正侵入検知システムアプライアンス Proventia G シリーズアプライアンスコンポーネントでのツールの使用このツールは次の SiteProtector コンポーネントに使用することができます Agent Manager Deployment Manager Event Collector SecurityFusion Module Third Party Module 設定プログラムの実行 Public Key Configuration Tool の実行方法は 2 通りありますエージェントコンピュータにプログラムをインストールして実行する Deployment Manager からプログラムを実行するエージェントコンピュータにプログラムをインストールしたくない場合にこのオプションを使用します Public Key Configuration Tool を使用する場合 Public Key Configuration Tool は次のような状況下で使用することができますエージェントをインストールしたけれども SiteProtector をエージェントの Key Administrator として設定していない場合は Public Key Configuration Tool を使用して SiteProtector を Key Administrator としてエージェントに追加することができます別の SiteProtector インスタンスに登録されているエージェントがありそのエージェントをそれとは違う SiteProtector に登録し直したい場合はそのエージェント上で Public Key Configuration Tool を使用することができます重要 : 1 つのエージェントを SiteProtector の 2 つのインスタンスに登録しないでください SiteProtector User Guide for Security Managers Version 2.0, SP

264 第 20 章 : エージェントの設定 Deployment Manager からの Public Key Configuration Tool の実行エージェント上で Key Administrator を設定するには : 1. エージェントコンピュータ上で Deployment Manager を起動し [Install Agents] を選択します [Sensor Installation] ページが表示されます 2. [Install the Public Key Configuration Tool on my agent or Network Internet Scanner agent] を選択します [ 製品ダウンロード ] ページで [SiteProtector] をクリックします 3. [ このプログラムを現在の場所から実行する ] を選択します [ セキュリティの警告 ] ウィンドウが表示されます 4. [ はい ] をクリックします Public Key Configuration Wizard の Step 1 が表示されます 5. [Next] をクリックしますプログラムが IssDaemon サービスを停止します Public Key Configuration Wizard の Step 2 が表示されます 6. Application Server がインストールされているコンピュータの Key Administrator 名を入力し [Next] をクリックしますエージェントはこのコンピュータからパブリックキーを受け入れます Public Key Configuration Wizard の Step 3 が表示されます 7. [Auto-Import] チェックボックスをオンにし [Next] をクリックしますウィザードはキーの自動インポート機能をアクティブ化しますこの機能によってエージェントはパブリックキーを自動的に受け入れられるようになります Public Key Configuration Wizard の Step 4 が表示されます 8. [Yes] をクリックしますプログラムは ISSDaemon サービスを再起動し Public Key Configuration Wizard の Step 5 が表示されます 9. [Finish] をクリックします 264

265 セクション D: エージェントのアップデート概要製品をインストールしたら利用可能なアップデートを適用する必要がありますアップデートは製品に新規機能やセキュリティアップデートを追加するソフトウェアリリースですこの笑では次のタスクの実行方法について説明しますエージェントのアップデートステータスを確認する次のエージェントにアップデートを適用するおよびアップデートを削除する Server Sensor Network Internet Scanner Proventia G シリーズ Network Sensor 注記 : その他エージェントは自己アップデートを行いますつまりエージェントのポリシー内でパラメータを設定すればエージェントは自分自身をアップデートします関連情報アップデートアップデートプロセス XPU Server にインターネットアクセスが設定されていない場合のエージェントアップデート方法については次を参照してくださいアップデートの概要 (73 ページ ) インターネットアクセスのない XPU Server でのアップデートプロセス (86 ページ ) このセクションの内容このセクションでは次のトピックについて説明しますトピックページエージェントのアップデートステータスの確認 266 エージェントのアップデート 267 アップデートの削除 269 SiteProtector User Guide for Security Managers Version 2.0, SP

266 第 20 章 : エージェントの設定エージェントのアップデートステータスの確認このトピックではエージェントのアップデートステータス確認方法について説明しますアップデートステータス表 89 ではエージェントのアップデートステータスについて説明しますエージェント Server Sensor Network Sensor System Scanner Databridge Network Internet Scanner ネットワーク不正侵入検知システムアプライアンス Proventia G シリーズアプライアンスステータス Current Out of Date Error 空白説明このエージェントに対して利用可能なアップデートはありませんこのエージェントに対する利用可能なアップデートがありエージェントをアップデートする必要がありますエラーが発生していますこのエージェントは SiteProtector に応答していません Desktop Protection Agent (Proventia Desktop など ) Network IPS アプライアンス Network Multi-Function Security アプライアンス Network Enterprise Scanner Current Out of Date Scheduled In Progress Error Unknown 空白このエージェントに対して利用可能なアップデートはありませんこのエージェントに対する利用可能なアップデートがありエージェントをアップデートする必要がありますエージェントをアップデートするように SiteProtector がスケジューリングされています SiteProtector は現在エージェントをアップデート中ですエラーが発生しています Sensor Controller サービスがエージェント情報の更新を試みておりエージェントからの応答を待機中ですこのステータスは通常一時的なステータスでありエージェントが応答すれば Active エージェントがタイムリーに応答しなければ Offline に変化しますこのエージェントは SiteProtector に応答していません表 89: エージェントのアップデートステータス手順エージェントのアップデートステータスを確認するには : 1. 左ウィンドウ枠でサイトノードを選択します 2. ビューのリストから [Agent] を選択します 3. エージェントを探し出し [Update Status] 列を参照しますこの列にはエージェントのアップデートステータスが表示されています 266

267 エージェントのアップデートエージェントのアップデートこのトピックでは次のタスクの実行方法について説明します 1 つのエージェントをアップデートする複数のエージェントを同時にアップデートするライセンスの要件適用できるのはエージェントの保守契約の有効期限日より前にリリースされたエージェントアップデートに限られます複数エージェントのアップデート複数のエージェントを同時にアップデートすることができますエージェントはすべて同じタイプ同じバージョン同じ XPU レベルである必要があります SiteProtector は一度に 20 エージェントしかアップデートできませんしたがって 20 エージェントを超えてアップデートを適用すると Sensor Controller はプロセスが完了するまで一度に 20 エージェントずつ処理していきます重要 : 同一タイプのすべてのエージェントをアップデートする前にテストの目的で 1 つのエージェントにアップデートを適用することをお勧めします手順エージェントをアップデートするには : 1. 左ウィンドウ枠でアップデートするエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [Updates] [Apply XPU] の順に選択します [Schedule Update] ウィンドウが表示されます 4. エージェントをすぐにアップデートしますかすぐにアップデートする場合は [Recurrence pattern] セクションの [Run Once] オプションをオンにし [Next] をクリックしますすぐにアップデートしない場合はエージェントのアップデートを行うようにコマンドジョブをスケジューリングして [Next] をクリックします [End User License Agreement] ウィンドウが表示されます 5. [I Accept] をクリックします [Select XPU] ウィンドウが表示されます 6. インストールするアップデートの種類を選択します Full Upgrade Service Pack X-Press Update [Install the Following Updates] にインストールされるアップデートが一覧表示されます 7. これがインストールしたいアップデートであることを確認します特定アップデートのリリースノートを表示するにはそのアップデートのリリースノートを選択し [View Release Notes] をクリックします 8. アップデートをインストールする準備ができたら [Finish] をクリックしますアップデートをすぐにインストールするように [Run Once] オプションを選択した場合はインストールプロセスが開始します後でインストールするようにアップデートをスケジューリングした場合は指定した時間にインストールプロセスが開始します SiteProtector User Guide for Security Managers Version 2.0, SP

268 第 20 章 : エージェントの設定すぐにインストールを行う場合 SiteProtector は進行状況を次のように表示しますインジケータ Overall Progress Current Step Progress 説明全体的なアップデートプロセスの進行状況を示しますアップデートプロセスの各手順の進行状況を個別に示しますテキストボックス内に現在進行中の手順の要約が表示されます 268

269 アップデートの削除アップデートの削除このトピックではエージェントから 1 つのアップデートを削除する方法について説明します複数アップデートの削除この手順では最後に適用されたアップデートだけが削除されますたとえばエージェントに 3 つのアップデートを適用してある場合この手順によって 3 つのうち最後に適用された 1 つが削除されます複数のアップデートを削除するには削除するアップデートのそれぞれに対してこの手順を繰り返す必要があります許可されるアクション次のエージェントから XPU を削除することができます Network Sensor Server Sensor Network Internet Scanner 許可されていないアクション次のエージェントから XPU を削除することはできません Desktop Protection Agent Proventia G シリーズアプライアンス Network Multi-Function Security アプライアンス System Scanner Databridge アップデートの削除アップデートを削除するには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントを右クリックし [Updates] [Remove Last Update] の順に選択します [Create Command Job] ウィンドウが表示されます 4. 左ウィンドウ枠で [Schedule] アイコンをクリックします 5. アップデートをすぐに削除しますかすぐに削除する場合は [Recurrence pattern] セクションの [Run Once] オプションをオンにし [OK] をクリックしますすぐに削除しない場合はアップデートの削除を行うようにコマンドジョブをスケジューリングして [OK] をクリックしますアップデート削除の確認アップデートが削除されたことを確認するには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントのアップデートステータスが Out of Date となっていることを確認します SiteProtector User Guide for Security Managers Version 2.0, SP

270 SiteProtector User Guide for Security Managers Version 2.0, SP

271 パート IV ポリシーとレスポンスの設定

272

273 第 21 章ポリシー設定ステージ概要 SiteProtector 設定プロセスの 4 番目のステージはポリシー設定ステージですこのステージでは次のものに対するポリシーとレスポンスを設定します SiteProtector SiteProtector と連携するエージェント注記 : 初期設定の後でポリシーとレスポンスを調整することができますこの章の内容この章では次のトピックについて説明しますトピックページステージの概要 274 このステージのチェックリスト 276 SiteProtector User Guide for Security Managers Version 2.0, SP

274 第 21 章 : ポリシー設定ステージステージの概要このトピックではポリシー設定ステージの概要を説明します SiteProtector のレスポンスとポリシー SiteProtector は次のものに対応することができますその他エージェント (Network Sensor Server Sensor Proventia アプライアンスなど ) から SiteProtector システム内に入ってくるイベントエージェントや SiteProtector コンポーネントのステータスの変化 (Network Sensor ステータスまたは Event Collector ステータスの変化など ) これらのレスポンスは Central Response と呼ばれますこれらは SiteProtector で利用できる最もグローバルなタイプのレスポンスです例次に示すのは SiteProtector の Central Response の例です SNMP ユーザー定義 SiteProtector の Central Response を制御する次のポリシーを定義します Network Objects ポリシー Network Objects ポリシーの定義 (301 ページ ) を参照してください Response Objects ポリシー Response Objects ポリシーの定義 (315 ページ ) を参照してください Response Rules ポリシーイベントルールの作業 (339 ページ ) を参照してください注記 : その他の SiteProtector コンポーネントおよびエージェントも Network Objects ポリシーと Response Objects ポリシーを使用しますこれらのポリシーは共有ポリシーとすることができますサイトレベルのレスポンスとポリシー SiteProtector と連携するエージェントはエージェントに対して個別のレスポンスを独自に生成することができますこれらのレスポンスはエージェント固有であり個別タイプのエージェントに適用されます例次に示すのはサイトレベルレスポンスの例です Network Sensor はセキュリティイベントに対応して SiteProtector 管理者にメールを送信します Server Sensor は分析のためにイベントをコンソールに表示します SiteProtector に備わっている定義済みポリシーを使用してエージェント固有の検出動作とレスポンスを制御することができますまたはポリシーテンプレートに基づいてカスタムポリシーを定義してエージェントを制御することができます定義済みポリシーとカスタムポリシーは SiteProtector のポリシー (Network Objects ポリシーなど ) とは統合されませんサイトレベルのポリシーは目的別に 2 つのカテゴリに分かれていますイベントの種類とエージェントが検出するイベントの量を制御するポリシー 274

275 ステージの概要サイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してくださいイベントに対するエージェントの応答方法を制御するレスポンスポリシーサイトレベルのポリシー (279 ページ ) を参照してください注意 : サイトレベルのレスポンスポリシーをグローバルレスポンスとして指定することができますつまりレスポンスポリシーはサイト内のすべてのタイプのエージェントに適用されますたとえばグローバルレスポンスポリシーはセキュリティイベントに関して SiteProtector 管理者にメールを送ることをすべての Network Sensor に要求します Network Internet Scanner ポリシー Network Internet Scanner エージェントではなく Network Internet Scanner ジョブに対してポリシーを定義および適用しますこのエージェントはアクティブなアセットコンピュータサーバーその他ネットワークデバイスなどの情報に関してネットワークをスキャンするように設計されていますスキャンジョブに対するポリシーの適用については Network Internet Scanner を使用したアセットの追加 (383 ページ ) または Internet Scanner User Guide を参照してくださいその他エージェントのレスポンスとポリシー Security Fusion Module および Proventia アプライアンスなどのその他エージェントもこのトピックで説明するポリシーを使用します本書ではこれらエージェントに対するポリシーの定義と実装については説明しませんそうしたトピックの詳細については表 90 を参照してくださいエージェント参照 SecurityFusion Module 2.0 SecurityFusion Module Guide を参照してください Network IPS Network Multi-Function Security アプライアンス Proventia Network Intrusion Prevention System User Guide a Proventia Network Multi-Function Security Appliances User Guide 表 90: その他マニュアルの参照 a. このマニュアルでは Proventia G シリーズアプライアンスに対するポリシーの定義と適用について説明されています SiteProtector User Guide for Security Managers Version 2.0, SP

276 第 21 章 : ポリシー設定ステージこのステージのチェックリストこのトピックではポリシーとレスポンスの設定チェックリストを紹介しますチェックリスト表 91 はエージェントのポリシーとレスポンスの設定に必要とされるすべてのタスクを確実に実行するためのタスクチェックリストですタスクイベントに対する SiteProtector Central Response とコンポーネントステータスの変化に関して次のポリシーを設定します Network Objects ポリシー Network Objects ポリシーの定義 (301 ページ ) を参照してください Response Objects ポリシー Response Objects ポリシーの定義 (315 ページ ) を参照してください Response Rules ポリシーイベントルールの作業 (339 ページ ) を参照してください次の個別エージェントに対しポリシーとレスポンスを設定します Network Sensor 6.5 および 7.0 Proventia G シリーズ RealSecure Desktop 7.0 Server Sensor 7.0 サイトレベルのポリシーとレスポンスの設定 (277 ページ ) を参照してください表 91: ポリシーとレスポンスの設定のチェックリスト次の手順このチェックリストを完了したら必要に応じて SecurityFusion Module Network IPS アプライアンス Network Multi-Function Security アプライアンスに対するポリシーとレスポンスを設定する必要があります 276

277 第 22 章サイトレベルのポリシーとレスポンスの設定概要この章では次のエージェントに対するサイトレベルのポリシーとレスポンスを設定および適用する方法について説明します RealSecure Desktop 7.0 Proventia Desktop 8.0 Network Sensor 6.5 および 7.0 Server Sensor 7.0 Proventia G シリーズ重要 : この章の情報と手順はこれらのエージェントだけに当てはまりますこの章の内容この章では次のセクションについて説明しますセクションページセクション A: サイトレベルのポリシー 279 セクション B: サイトレベルレスポンスの設定 293 SiteProtector User Guide for Security Managers Version 2.0, SP

278 第 22 章 : サイトレベルのポリシーとレスポンスの設定 278

279 概要セクション A: サイトレベルのポリシー概要このセクションでは次のものに対するポリシーの設定と適用の方法について説明します RealSecure Desktop 7.0 Proventia Desktop 8.0 Network Sensor 6.5 および 7.0 Server Sensor 7.0 Proventia G シリーズ注記 : このセクションは次のエージェントには該当しません Event Archiver X-Press Update Server Network IPS アプライアンス Network Multi-Function Security アプライアンス Proventia Server このセクションの内容このセクションでは次のトピックについて説明しますトピックページポリシーとは 280 カスタムポリシーの設定 282 個別エージェントへのポリシー適用 283 グループへのポリシー適用 284 ポリシーサブスクリプショングループを使用したポリシー適用 285 ユーザーへのポリシー変更権限の付与 290 Active Directory を使ったポリシー割り当て 291 SiteProtector User Guide for Security Managers Version 2.0, SP

280 第 22 章 : サイトレベルのポリシーとレスポンスの設定ポリシーとはポリシーは次のエージェント動作を制御しますエージェントが検出するセキュリティイベントの種類と量エージェントが検出するセキュリティイベントの優先度セキュリティイベントに対するエージェントのレスポンスポリシー適用の方法表 92 では Network Sensor Server Sensor Proventia G アプライアンスへのポリシー適用方法について説明します方法ポリシーを個別のエージェントに適用するポリシーをグループに適用するポリシーサブスクリプショングループにポリシーを適用する説明ポリシーを個別エージェントに直接適用します個別エージェントへのポリシー適用 (283 ページ ) を参照してくださいエージェントを含むグループにポリシーを適用しますこのグループに含まれるすべてのエージェントにポリシーが適用されます注記 : サイトグループ ( 別名 : サイトのトップレベルグループ ) もグループと見なされますサイトグループにあるエージェントにポリシーを適用することができますグループへのポリシー適用 (284 ページ ) を参照してくださいエージェントのポリシーサブスクリプショングループとして機能するようにエージェントに割り当てられているグループへポリシーを適用することができますエージェントはこのポリシーサブスクリプショングループからポリシーを入手しますポリシーサブスクリプショングループを使用したポリシー適用 (285 ページ ) を参照してください表 92: Network Sensor Server Sensor Proventia G アプライアンスへのポリシー適用方法さまざまなエージェントのポリシー入手方法表 93 ではさまざまなエージェントのポリシー入手方法について説明しますエージェント Network Sensor Server Sensor Proventia G アプライアンス説明これらのエージェントにポリシーを適用する方法は 3 通りありますポリシーを個別エージェントに直接適用する個別エージェントへのポリシー適用 (283 ページ ) を参照してくださいポリシーをエージェントのグループに適用するグループへのポリシー適用 (284 ページ ) を参照してくださいポリシーサブスクリプショングループにポリシーを適用するポリシーサブスクリプショングループを使用したポリシー適用 (285 ページ ) を参照してください表 93: さまざまなエージェントのポリシー入手方法 280

281 ポリシーとはエージェント Desktop Protection Agent Network Internet Scanner 説明 Desktop Protection Agent はポリシーを受け取るために別のグループに加入 ( サブスクライブ ) しますこの機能はポリシーサブスクリプショングループと呼ばれますポリシーサブスクリプショングループを使用したポリシー適用 (285 ページ ) を参照してくださいスキャンを実行するたびに Network Internet Scanner ジョブにポリシーを適用します Network Internet Scanner またはスキャナーのグループにポリシーを直接適用することはしません表 93: さまざまなエージェントのポリシー入手方法サイトレベルの Policy Editor 次のエージェントの場合サイトレベルの Policy Editor を使用してカスタムポリシーの作成と管理を行います RealSecure Desktop 7.0 Network Sensor 6.5 および 7.0 Server Sensor 7.0 Proventia G シリーズ注記 : サイトレベルの Policy Editor を使用するとポリシーを個別に編集することができますただしサイトレベルの Policy Editor を使用して複数のポリシーを編集することはできませんサイトレベルの Policy Editor へのアクセスサイトレベルの Policy Editor にはコンソール内のサイトノードレベルまたは個別エージェントレベルでアクセスできますサイトレベルの Policy Editor にアクセスするには : 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Manage Policy] を選択します注意 : サイトノードは左ウィンドウ枠に次のいずれかとして表示されます localhost Application Server の IP アドレスサイトレベルの Policy Editor の使用表 94 ではサイトレベルの Policy Editor を使用したポリシーのカスタマイズプリント適用などに関するヘルプトピックの検索場所について説明します製品 Network Internet Scanner Network Sensor Proventia G アプライアンス Proventia Desktop RealSecure Desktop 7.0 SecurityFusion Module 2.0 Server Sensor 7.0 Policy Editor に関するヘルプ Network Internet Scanner Policy Editor Help Response, Policy, & Event Collector Help Response, Policy, & Event Collector Help Proventia Desktop Policy Editor Help SiteProtector Help SecurityFusion Module Policy Editor Help Response, Policy, & Event Collector Help 表 94: サイトレベルポリシーエージェントの Policy Editor に関するヘルプ SiteProtector User Guide for Security Managers Version 2.0, SP

282 第 22 章 : サイトレベルのポリシーとレスポンスの設定カスタムポリシーの設定このトピックでは SiteProtector に備わっている既存の定義済みポリシーに基づいたカスタムポリシーの設定手順を説明します重要 : 元の定義済みポリシーを変更することはできません環境 SiteProtector には次の環境に対応する定義済みポリシーが備わっています Windows Solaris Linux カスタムポリシーの設定カスタムポリシーを設定するには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. ポリシーを右クリックしポップアップメニューから [Derive New] を選択します [Derive Policy] ウィンドウが表示されます 3. カスタムポリシーの名前を入力し [ 了解 ] をクリックします Policy Editor が表示されます 4. Policy Editor でポリシーを編集します Policy Editor 使用の詳細については Policy Editor のヘルプを参照してください 5. ポリシーを保存しますこのポリシーはサイトレベルポリシーエージェントに適用可能です 282

283 個別エージェントへのポリシー適用個別エージェントへのポリシー適用このトピックでは次のエージェントへのポリシー適用方法について説明します Network Sensor Server Sensor Proventia G アプライアンスエージェントへのポリシー適用個別の Network Sensor Server Sensor Proventia G アプライアンスにポリシーを適用するには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントを右クリックしポップアップメニューから [Properties] [Policy] の順に選択します [Apply Policies] ウィンドウが表示されます [Command Details] セクションにアクション ([Apply Policy]) エージェントがインストールされているアセットエージェントタイプが一覧表示されます 4. [Policy] アイコンをクリックしリストからポリシーを選択します 5. [Schedule] アイコンをクリックし [Run Once] をオンにしてポリシーを直ちに適用するかポリシー適用のジョブをスケジューリングします 6. [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

284 第 22 章 : サイトレベルのポリシーとレスポンスの設定グループへのポリシー適用このトピックではグループへのポリシー適用について説明します参照 : タイプは同じだがグループが異なるエージェントにポリシーを適用する方法についてはポリシーサブスクリプショングループを使用したポリシー適用 (285 ページ ) を参照してくださいグループへのポリシー割り当て個別エージェントにポリシーを適用するだけでなく同一グループ内の複数エージェントにポリシーを適用することができます SiteProtector は次のポリシー割り当てタスクをグループレベルで行うことができます同じポリシーを同じグループ内にある同じタイプの複数エージェントに適用するたとえば Network Sensors という名前のグループ内にあるすべての Network Sensor へポリシーを適用します異なるポリシーを同じグループ内にある同じタイプの複数エージェントに適用するたとえば Network Sensors という名前のグループ内にある Network Sensor へ異なる 2 つのポリシーを適用します異なるポリシーを同じグループ内にある異なるタイプのエージェントに適用するたとえば Network Sensor ポリシーと Server Sensor ポリシーを両エージェントを含むグループに適用しますグループへのポリシー適用は同じグループ内にある複数のエージェントに関してポリシーの管理と適用を行う場合に効率のよい方法ですこの方法はそのグループ内にある個別のエージェントに対するポリシー適用を妨げることがありませんたとえば Network Sensor を含むグループに Network Sensor ポリシーを適用しさらに同じグループ内の個別の Network Sensor に対して追加の Network Sensor ポリシーを適用することができますロード配信エージェントのグループにポリシーを適用する場合 SiteProtector はそのポリシーをすべてのエージェントへ同時に適用するわけではありません SiteProtector はエージェントはグループ分けしそのグループへポリシーを一定の期間をかけて徐々に適用しますグループ内のエージェントに対するポリシー適用ポリシーをグループ内のエージェントに適用するには : 1. 左ウィンドウ枠でエージェントを含むグループを右クリックしポップアップメニューから [Apply] [Policy] の順に選択します [Apply Policies] ウィンドウが表示されます 2. [Agent Type] リストからポリシーの割り当てを受けるエージェントのタイプを選択します Network Sensor Proventia G-Series Server Sensor 3. [Policy] アイコンをクリックしリストからポリシーを選択します 4. 次のいずれかを行いますグループに加入しているエージェントだけにポリシーを適用するには [Only applies to subscribers] チェックボックスをオンにしますグループ内のすべてのエージェントにポリシーを適用するにはこのチェックボックスをオフにします 5. [Schedule] アイコンをクリックし [Run Once] をオンにしてポリシーを直ちに適用するかポリシー適用のジョブをスケジューリングします 6. [OK] をクリックします 284

285 ポリシーサブスクリプショングループを使用したポリシー適用ポリシーサブスクリプショングループを使用したポリシー適用このトピックではポリシーサブスクリプショングループに関する情報とポリシーサブスクリプショングループを使用したエージェントへのポリシー適用方法について説明しますポリシーサブスクリプショングループとはポリシーサブスクリプショングループはポリシーを受け取るためにエージェントがグループに参加するという点を除けば SiteProtector 内のその他グループと同じですポリシーサブスクリプショングループはポリシーの中央配信センターのように機能します多数エージェントのポリシーを中央で管理する効率のよい方法ですまた個別エージェントごとにポリシーを適用する手間が省かれますたとえば 10,000 の Desktop Protection Agent をポリシー割り当てのために 1 つのポリシーサブスクリプショングループに加入させることができますこのポリシーサブスクリプショングループ内でポリシーを管理および変更することができ 10,000 のサブスクライバエージェントが同時にアップデートされますポリシーサブスクリプショングループを示すものポリシーサブスクリプショングループはその他グループと共に左ウィンドウ枠に表示されますこのタイプのグループとその他グループはコンソール内で視覚的に区別されていませんそのためポリシーサブスクリプショングループにはグループの目的を示す名前を付ける必要があります ( Policy Group for Desktop Protection Agents など ) ポリシーサブスクリプショングループ作成手順は通常のグループ作成手順と同じですエージェント次のエージェントをポリシー割り当てのためにポリシーサブスクリプショングループに加入させることができます Desktop Protection Agent Network Sensor Server Sensor Proventia G アプライアンス例次の例はポリシーサブスクリプショングループを使用したエージェントへのポリシー適用方法を示したものです Policy Group for Desktop Protection Agents 8.0 というグループを作成しますネットワーク上に 10,000 の Desktop Protection Agent を配置します Desktop Protection Agent に対するポリシーを定義しそれを Policy Group for Desktop Protection Agents 8.0 グループに適用します Policy Group for Desktop Protection Agents 8.0 グループを 10,000 の Desktop Protection Agent のポリシーサブスクリプショングループとしてこれらエージェントのすべてに対して割り当てます 10,000 エージェントすべてがこの 1 つのグループからポリシーを入手します注意 : この機能が機能するにはすべてのエージェントが Policy Group for Desktop Protection Agents 8.0 グループ下位のサブグループ内に存在している必要がありますつまり Policy Group for Desktop Protection Agents 8.0 グループはすべてのエージェントに対するポリシーを伴う親グループである必要がありますエージェントはサブグループからではなく親グループまたは自分の位置するグループからしかポリシーを入手できませんポリシーを変更しそれを Policy Group for Desktop Protection Agents 8.0 グループに適用し直します 10,000 のサブスクライバエージェントすべてが同時に更新されますルールポリシーサブスクリプショングループを使用してポリシーを適用する場合は次のルールに従う必要があります SiteProtector User Guide for Security Managers Version 2.0, SP

286 第 22 章 : サイトレベルのポリシーとレスポンスの設定ポリシーサブスクリプショングループはサブスクライバグループを含むグループの親グループである必要がありますエージェントはポリシーに関してサブグループに加入することはできません 1 つのエージェントはポリシーの割り当てを受けるために 1 つのグループだけに加入できます 1 つのエージェントは異なるポリシーの割り当てを受けるために複数グループへ加入することはできません 1 つのエージェントが複数のグループに加入している場合そのエージェントは最後に加入したグループからポリシーを割り当てられます異なるバージョンのエージェントはカスタムポリシーの割り当てを受けるために異なるグループに加入する必要がありますたとえば RealSecure Desktop 7.0 と Proventia Desktop 8.0 はポリシー割り当てのために同じグループへ加入することはできません異なる 2 つのグループを作成しそれぞれに異なるポリシーを適用しバージョンに基づいて適切なグループに各エージェントを加入させる必要があります異なるタイプのエージェントはポリシーの割り当てを受けるために同じグループに加入することができますたとえば Network Sensor と Server Sensor はポリシー割り当てのために同じグループに加入することができますポリシーサブスクリプショングループに適用できるのは各エージェントタイプにつき 1 つのポリシーだけですたとえば異なる 2 つの Network Sensor ポリシーを同じポリシーサブスクリプショングループに適用することはできません Desktop Protection Agent に関してポリシーサブスクリプショングループに適用可能な 1 つのポリシーに加え次のいずれかに関する 1 つのポリシーも適用できます Network Sensor Server Sensor ネットワーク不正侵入検知システムおよび G アプライアンスタスクの概要表 95 ではポリシーサブスクリプショングループを使用したエージェントへのポリシー適用タスクについて説明しますタスク説明 1 グループを作成しグループ設定を定義する目的を表すグループ名を付けてください (Policy Group for Desktop Protection Agents など ) 注記 : このグループをエージェントのポリシーサブスクリプショングループとしてエージェントに割り当てますエージェントはこのグループからポリシーを入手しますグループはエージェントが存在するグループの親グループである必要がありますグループの作成 (212 ページ ) を参照してください 2 エージェントのカスタムポリシーを作成するカスタムポリシーの設定 (282 ページ ) を参照してください 3 カスタムポリシーをグループに適用する注記 : ポリシーはグループに加入している任意のエージェントに適用されますグループへのポリシー適用 (284 ページ ) を参照してください 4 このグループをエージェントのポリシーサブスクリプショングループとしてエージェントに割り当てる注記 : ポリシーを多数のエージェントに適用する場合はすべてのエージェントにポリシーサブスクリプショングループを割り当てる必要があります表 95: ポリシーサブスクリプショングループを使用したポリシー適用のタスク 286

287 ポリシーサブスクリプショングループを使用したポリシー適用エージェントへのポリシーサブスクリプショングループの割り当てポリシーサブスクリプショングループをエージェントに割り当てるには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠でエージェントを選択します 4. [Action] メニューから [Configure Agents] [Assign Policy Subscription Group] の順に選択します 5. [Assign Policy Subscription Group] ウィンドウが表示されます 6. エージェントタイプを確認します 7. [Select Policy Group] セクションで次のいずれかを選択します Current Group Parent Group with Policy 8. [OK] をクリックしますエージェントはポリシーの割り当てを受けるためにこのグループに加入しますエージェントを現在のグループから移動してもこのポリシーサブスクリプショングループから引き続きポリシーを入手しますポリシーサブスクリプショングループ設定の表示エージェントのポリシーサブスクリプショングループの設定を表示するには : 1. 左ウィンドウ枠でエージェントを含むグループを選択します 2. ビューのリストから [Agent] を選択します 3. 右ウィンドウ枠で [Get Policy From] 列を探しますこの列はエージェントがどのグループからポリシーを入手するのかを示していますこのグループはエージェントのポリシーサブスクリプショングループです SiteProtector User Guide for Security Managers Version 2.0, SP

288 第 22 章 : サイトレベルのポリシーとレスポンスの設定ポリシーサブスクリプショングループの割り当てエージェントを [Ungrouped Assets] フォルダから別のグループに移動する場合 SiteProtector はエージェントのポリシーサブスクリプショングループの自動設定を試みますこのプロセスが成功するかどうかはエージェントを追加したグループにポリシーが設定されているかどうかによります表 96 ではその他グループにエージェントを手動で追加した場合に SiteProtector がポリシーサブスクリプショングループを設定する方法について説明しますエージェントの追加先となるグループ正しい種類のポリシーセットを持つグループ正しい種類のポリシーセットを持たないグループ結果 SiteProtector はこのグループをエージェントのポリシーサブスクリプショングループとして設定します SiteProtector は正しいポリシーを持つグループが見つかるまでトップグループへ向かいながらグループ階層を検索します最初に見つかった正しいポリシーを持つグループがエージェントのポリシーサブスクリプショングループとして設定されます正しいポリシーを持つグループが見つからなかった場合エージェントのポリシーサブスクリプショングループは設定されません表 96: ポリシーサブスクリプショングループへのエージェント割り当て方法 288

289 Desktop Protection Agent ポリシーの作業 Desktop Protection Agent ポリシーの作業このトピックでは次のタスクについて説明します RealSecure Desktop 7.0 用カスタムポリシーの設定これらエージェントへのポリシー適用注意 : ポリシーをポリシーサブスクリプショングループに適用すると Desktop Protection Agent はポリシー割り当てのためにこのグループに加入しますコンソールの [Get Policy From] 列は Desktop Protection Agent のポリシー入手元を示します Desktop Protection ポリシーはグループ内のアセットに適用したいセキュリティレベルに基づいてポリシーサブスクリプショングループに割り当てる必要がありますたとえば人事部と経理部で異なるファイアウォールルールを実施したい場合は次のようにする必要があります各部署に対して別個のポリシーサブスクリプショングループを作成する各グループに異なる Desktop Protection ポリシーを割り当てるビルド要件エージェントビルドを作成する前に Desktop Protection ポリシーを作成してポリシーサブスクリプショングループに割り当てる必要があります SiteProtector には読み取り専用 Desktop Protection ポリシーがいくつか備わっており新しいポリシーを作成するためのテンプレートとして使用することができますただし読み取り専用 Desktop Protection ポリシーを使用してエージェントビルドを生成することはできません読み取り専用ポリシーにはエージェントのソフトウェアバージョンまたはライセンス文字列などの必須情報が含まれていません手順 Desktop Protection Agent のポリシーを設定するには : 1. Desktop Protection Agent を含むグループを左ウィンドウ枠で右クリックし [Properties] を選択しますプロパティのウィンドウが表示されます 2. 左ウィンドウ枠で [Details] をクリックします 3. 右ウィンドウ枠で [RealSecure Desktop] をクリックし [Set Policy] を選択します [Select Policy] ウィンドウが表示されます 4. 使用するポリシーがリストにあるでしょうかある場合はリスト内のポリシーを選択して手順 9 に進みますない場合は手順 5 に進みます 5. ポリシーを右クリックし [Derive New] を選択します [Derive Policy] ウィンドウが表示されます 6. ポリシー名を [New item name] ボックスに入力し [OK] をクリックします 7. 必要に応じてポリシーを編集し [Save] をクリックしますポリシーが一覧に表示されます 8. グループに適用するポリシーを選択します 9. [OK] をクリックしますポリシーがグループに適用されます SiteProtector User Guide for Security Managers Version 2.0, SP

290 第 22 章 : サイトレベルのポリシーとレスポンスの設定ユーザーへのポリシー変更権限の付与このトピックでは Policy Editor 内でポリシーを変更する権限をユーザーに与える方法について説明します重要 : この手順によって個別のポリシーに対する変更権限がユーザーに与えられますポリシー変更権限はサイト全体の権限ですつまりユーザーはサイト内のどこでもポリシーを変更できますこの権限はすべてのポリシーに適用されるわけではありません複数のポリシーを変更する資格をユーザーに与える場合は各ポリシーに対してこの権限を実行する必要があります SiteProtector にはすべてのポリシーの変更をユーザーに許可するグローバル権限がありません手順ポリシー変更の権限をユーザーに与えるには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. ポリシーを右クリックしポップアップメニューから [Properties] を選択しますポリシーの詳細を示すウィンドウが表示されます 3. [Permissions] をクリックします [Manage Permissions for ポリシー名 ] ウィンドウが表示されます 4. [Users and/or Groups] セクションで [Add ] をクリックしてメンバーを追加するか [Remove] をクリックしてメンバーを削除します一覧にはポリシーを変更可能なメンバーが表示されます 5. [Select Permission Action] セクションで [Modify] をオンにしますこの権限はこの個別ポリシーの変更だけをユーザーに許可します 6. サイトレベルポリシーのオーナーを設定または変更しますかする場合は [Advanced] をクリックして手順 7 に進みますしない場合は [OK] をクリックして終了します 7. [Change Owner] テキストボックスにオーナーのメンバー名を入力し [OK] をクリックします [Check Names] をクリックしてメンバー名を検索することもできます 8. [OK] をクリックしもう一度 [OK] をクリックして詳細ウィンドウを終了しますこれでユーザーは個別のレスポンスを変更できるようになりました 290

291 Active Directory を使ったポリシー割り当て Active Directory を使ったポリシー割り当て SiteProtector 内で Active Directory を使用してグループにアセットを置く場合エージェントへのポリシー割り当てに関する問題点が生じる可能性がありますこのトピックではそうした問題点に対するいくつかの解決方法を紹介します複数グループ内のアセット 1 つのアセットが Active Directory グループとポリシーサブスクリプショングループの両方にあり両方のグループにポリシーを割り当て可能である場合エージェントは [Reassign agent policy based on Active Directory grouping] オプションの設定に基づいてポリシーを入手します表 97 ではこのオプションの設定について説明します設定オフオン説明エージェントは引き続き SiteProtector グループからポリシーを受け取りますエージェントは Active Directory グループからポリシーを受け取ります表 97: 複数グループに属するアセットでのポリシー割り当て同一ドメイン内の別の Active Directory グループへのアセット移動表 98 ではエージェントがポリシーに関して Active Directory グループに加入していてエージェントのアセットがネットワーク上の別の Active Directory グループに移された場合の動作について説明します SiteProtector 内の Active Directory 情報が更新された場合の Reassign sensor policy チェックボックスオフエージェントの動作元の Active Directory グループから引き続きポリシーを受け取りますオン新しい Active Directory グループからポリシーを受け取ります表 98: ドメイン内での Active Directory アセットの移動同一フォレスト内の別のドメインへのコンピュータオブジェクト移動コンピュータオブジェクトを同一フォレスト内の別のドメインに移動すると元のコンピュータオブジェクトに割り当てられているポリシーは [Reassign sensor policy based on Active Directory grouping] オプションに基づいて表 99 のように割り当てられます Reassign sensor policy based on Active Directory grouping チェックボックスオフオンポリシーの動作元のコンピュータオブジェクトに割り当てられたままです割り当ては予測できません割り当てをはっきりさせるために古いドメインからコンピュータオブジェクトを削除してください表 99: 別のドメインへの Active Directory アセットの移動 SiteProtector User Guide for Security Managers Version 2.0, SP

292 第 22 章 : サイトレベルのポリシーとレスポンスの設定同一フォレスト内の別のドメインへのアセット移動表 100 ではアセットを同一フォレスト内の別のドメインに移動した場合の動作をアセットの移動方法別に説明します次の場合結果コンピュータのプロパティでドメイン名を変更することでコンピュータを新しいドメインに参加させる Active Directory 移行ツールを使用する Microsoft の MoveTree ユーティリティと Netdom ユーティリティを使用する新しいドメインに新しいコンピュータオブジェクトが作成されます古いドメインに古いコンピュータオブジェクトが残ります新しいコンピュータオブジェクトが新しい GUID を受け取ります古いドメインに古いコンピュータオブジェクトが残ります ( 操作を取り消したい場合のため ) 新しいコンピュータオブジェクトが新しい GUID を受け取ります新しいコンピュータオブジェクトが作成されたときに古いコンピュータオブジェクトが削除されます GUID は変更されません表 100: 同一フォレスト内の別のドメインへのアセット移動 - 結果 292

293 概要セクション B: サイトレベルレスポンスの設定概要このセクションでは次のものに対するエージェントレスポンスとグローバルレスポンスの設定方法について説明します Event Collector Network Sensor 6.5 および 7.0 Server Sensor 6.5 および 7.0 Proventia G シリーズアプライアンス注記 : このセクションは次の製品には該当しません Network IPS アプライアンス Network Multi-Function Security アプライアンス Proventia Server Proventia Desktop 8.0 RealSecure Desktop 7.0 参照 SiteProtector レスポンスの取り扱い方法に関する段階的な手順については SiteProtector のヘルプを参照してくださいこのセクションの内容このセクションでは次のトピックについて説明しますトピックページレスポンスとは 294 カスタムエージェントレスポンスの設定 297 カスタムエージェントレスポンスの設定 297 ユーザーへのレスポンス変更権限の付与 299 SiteProtector User Guide for Security Managers Version 2.0, SP

294 第 22 章 : サイトレベルのポリシーとレスポンスの設定レスポンスとはこのトピックではレスポンスについて説明します定義レスポンスはセキュリティイベントに対してエージェントがとるアクションですたとえばエージェントが次のアクションをとった場合エージェントはセキュリティイベントに対応していますエージェントはセキュリティイベントに関する情報を表示するようにコンソールへ通知しますエージェントはセキュリティイベントを Site Database に保存しますエージェントはセキュリティイベントに関するメールによる通知をユーザーに送信しますこれらのアクションはユーザー定義されレスポンス設定を通じて制御されます柔軟なレスポンス SiteProtector には柔軟なレスポンス管理と特定のセキュリティ要件およびネットワーク要件に合致する設定オプションが備わっていますたとえば次のものに対するレスポンスを設定できます同じ個別のセキュリティイベントに対して 1 つのレスポンスを送信するように 1 つのエージェントを設定する同じ個別のセキュリティイベントに対して複数のレスポンスを送信するように 1 つのエージェントを設定する同じ個別のセキュリティイベントに対して同じレスポンスを送信するように複数のエージェントを設定する同じ個別のセキュリティイベントに対して異なるレスポンスを送信するように複数のエージェントを設定する必要なユーザー入力レスポンスを設定する場合セキュリティイベントに対する次のようなエージェントの対応方法について決定する必要がありますコンソール内にセキュリティイベントを表示するかどうか Site Database にセキュリティイベントを保存するかどうかセキュリティイベントに関するメール通知を送信するかどうかエージェントがメールを送信する必要のあるメールアドレスはどれかどのくらいの頻度でレスポンスを生成するか決定する内容によってレスポンスオプションの設定方法が変わります一部のオプションはレスポンスポリシー内で設定しその他オプションはレスポンスポリシー外で設定しますレスポンスポリシー内で設定されたオプションはレスポンスファイルに保管されます 294

295 グローバルレスポンスとエージェントレスポンス表 101 ではレスポンスのカテゴリについて説明しますカテゴリ説明グローバルエージェントグローバルレスポンスはサイト全体のレスポンスでありサイト内のすべてのエージェントがセキュリティイベントに対応する方法を制御しますグローバルレスポンスは次のエージェントに適用可能です Network Sensor Server Sensor Proventia G シリーズアプライアンス Event Collector (SiteProtector コンポーネント ) エージェントレスポンスはサイトレベルのレスポンスであり個別のエージェントがセキュリティイベントに対応する方法を制御しますエージェントレスポンスはまたバージョンごとに固有ですつまり特定バージョンのエージェントだけに影響しますエージェントレスポンスは次のエージェントに適用可能です Network Sensor Server Sensor Proventia G シリーズアプライアンス Event Collector (SiteProtector コンポーネント ) 重要 : エージェントレスポンスはグローバルレスポンスよりも優先されますたとえばグローバルレスポンスとエージェントレスポンスをエージェントに適用した場合そのエージェントはグローバルレスポンスではなくエージェントレスポンスに基づいて対応します表 101: レスポンスのカテゴリ推奨レスポンスを設定する場合は次の順序に従うことをお勧めします最初にグローバルレスポンスを設定する次にグローバルレスポンスとエージェントレスポンスをマージするかエージェントレスポンスをグローバルレスポンスと完全に置き換えるエージェントによってサポートされているレスポンス表 102 では各エージェントでサポートされているレスポンスの種類を紹介しますエージェンェントレスポンスの種類 Event Collector Network Sensor これらのレスポンスは Event Collector で使用可能です SNMP ユーザー指定これらのレスポンスは Network Sensor で使用可能です Log Evidence Opsec Rskill SNMP ユーザー指定表 102: サポート対象のレスポンスタイプ SiteProtector User Guide for Security Managers Version 2.0, SP

296 第 22 章 : サイトレベルのポリシーとレスポンスの設定エージェンェント Network Sensor 6.5 Proventia G アプライアンス Server Sensor 7.0 レスポンスの種類これらのレスポンスは Network Sensor で使用可能です Opsec Rskill SNMP ユーザー指定これらのレスポンスは Network Sensor で使用可能です Opsec Rskill SNMP ユーザー指定これらのレスポンスは Network Sensor で使用可能です Banner Block Fusion Scripting Rskill SNMP Suspend ユーザー指定表 102: サポート対象のレスポンスタイプ ( 続き ) 296

297 カスタムエージェントレスポンスの設定カスタムエージェントレスポンスの設定このトピックでは定義済みレスポンスからのカスタムエージェントレスポンス作成について説明しますタスクの概要表 103 ではセキュリティイベントに対するレスポンスの設定タスクについて説明しますタスク説明 1 エージェントのカスタムポリシーを設定するこのタスクではエージェントに検出させるセキュリティイベントを指定しますこのタスクでは次の手順が必要ですポリシーを選択するエージェントに検出させるイベントを指定するポリシーを保存するエージェントにポリシーを適用するサイトレベルのポリシー (279 ページ ) を参照してください 2 エージェントレスポンスをカスタマイズするこのタスクではエージェントがセキュリティイベントを検出した場合に生成するレスポンスを指定します a 表 103: レスポンス設定のタスク a. SiteProtector には各セキュリティイベントに対するデフォルトレスポンスが備わっています一般的なデフォルトレスポンスではセキュリティイベントについてコンソールへ通知しセキュリティイベントを Site Database に記録するエージェントが必要です TCP リセットファイアウォール再設定ユーザー定義レスポンスなどのオプションはデフォルトレスポンスでは選択されていませんカスタムエージェントレスポンスの設定カスタムエージェントレスポンスを設定するには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. [Response] アイコンをクリックします右ウィンドウ枠にレスポンスが一覧表示されます 3. レスポンスを右クリックしポップアップメニューから [Derive New] を選択します [Derive Response] ウィンドウが表示されます 4. カスタムレスポンスの名前を入力し [ 了解 ] をクリックします Response Editor が表示されます 5. Response Editor を使用して必要に応じてレスポンスポリシーを編集し [OK] をクリックします Response Policy Editor の使用表 94 では Response Policy Editor を使用したレスポンスのカスタマイズなどに関するヘルプトピックの検索場所について説明しますエージェント Event Collector Network Sensor 7.0 および 6.5 Server Sensor 7.0 Response Policy Editor のヘルプ Response, Policy, & Event Collector Help Response, Policy, & Event Collector Help Response, Policy, & Event Collector Help 表 104: サイトレベルポリシーエージェントの Response Policy Editor のヘルプ SiteProtector User Guide for Security Managers Version 2.0, SP

298 第 22 章 : サイトレベルのポリシーとレスポンスの設定エージェント Proventia G アプライアンス Proventia Desktop Response Policy Editor のヘルプ Response, Policy, & Event Collector Help Proventia Desktop Policy Editor Help 表 104: サイトレベルポリシーエージェントの Response Policy Editor のヘルプ 298

299 ユーザーへのレスポンス変更権限の付与ユーザーへのレスポンス変更権限の付与このトピックではレスポンス変更の権限をユーザーに与える方法について説明します重要 : この手順によって個別のレスポンスに対する変更権限がユーザーに与えられますポリシー変更権限はサイト全体の権限ですつまりユーザーはサイト内のどこでもレスポンスを変更できますこの権限はすべてのレスポンスに適用されるわけではありません複数のレスポンスを変更する資格をユーザーに与える場合は各レスポンスに対してこの権限を実行する必要があります SiteProtector にはすべてのポリシーの変更をユーザーに許可するグローバル権限がありません手順レスポンス変更の権限をユーザーに与えるには : 1. 左ウィンドウ枠でサイトノードを右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. [Response] アイコンをクリックします右ウィンドウ枠にレスポンスが一覧表示されます 3. レスポンスを右クリックしポップアップメニューから [Properties] を選択しますプロパティのウィンドウが表示されます 4. [Permissions] をクリックします [Manage Permissions for レスポンスポリシー名 ] ウィンドウが表示されます 5. [Users and/or Groups] セクションで [Add ] をクリックしてメンバーを追加するか [Remove] をクリックしてメンバーを削除しますリストにはこのポリシーからユーザー定義ポリシーを作成することとこのポリシーを表示することが可能なメンバーが表示されます 6. [Select Permission Action] セクションで [Modify] をオンにしますこの権限はこの個別ポリシーの変更だけをユーザーに許可します 7. レスポンスポリシーのオーナーを設定または変更しますかする場合は [Advanced] をクリックして手順 8 に進みますしない場合は [OK] をクリックして終了します 8. [Change Owner] テキストボックスにオーナーのメンバー名を入力し [OK] をクリックします [Check Names] をクリックしてメンバー名を検索することもできます 9. [OK] をクリックしもう一度 [OK] をクリックしてプロパティウィンドウを終了しますこれでユーザーは個別のレスポンスを変更できるようになりました SiteProtector User Guide for Security Managers Version 2.0, SP

300 第 22 章 : サイトレベルのポリシーとレスポンスの設定 300

301 第 23 章 Network Objects ポリシーの定義概要この章では Network Objects ポリシーの定義について説明します次のエージェントはこのポリシーを使用します Event Archiver Central Response Network Multi-Function Security アプライアンス推奨これらのエージェントに対してポリシーを設定する前に Network Objects ポリシーを定義することをお勧めしますこの章の内容この章では次のトピックについて説明しますトピックページ Network Objects ポリシーとは 302 Network Objects ポリシーでの Address Name の定義 304 Network Objects ポリシーでの Address Group の定義 306 Network Objects ポリシーでの Port Name の定義 308 Network Objects ポリシーでの Port Group の定義 310 Network Objects ポリシーでの Dynamic Address Name の定義 312 Network Objects ポリシーでのデータのエクスポートとインポート 314 SiteProtector User Guide for Security Managers Version 2.0, SP

302 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーとは Network Objects ポリシーは頻繁に使用される IP アドレスポートその他情報を 1 つの再利用可能なオブジェクトに保管します Network Objects ポリシーはこの情報を一括管理する場所となります Network Objects ポリシーが 3 つのエージェントによって使用されている場合は情報を 1 回更新すればその情報が 3 つのエージェントすべてを同時に更新します次のエージェントでは Network Objects ポリシーを使用します Event Archiver Central Response Proventia Network Objects ポリシーは Site Database に保管されますポリシー情報 Network Objects ポリシーには次の情報が含まれます Address Name Address Group (Network Multi-Function Security レスポンスの場合のみ ) Port Name Port Group (Network Multi-Function Security レスポンスの場合のみ ) Dynamic Address List (Network Multi-Function Security レスポンスの場合のみ ) 利点 Network Objects ポリシーには次の利点があります頻繁に使用される情報 (IP アドレスなど ) の複雑なセットが 1 つの再利用可能なオブジェクトとして保存されますこのポリシーはポリシーやレスポンスの設定中いつでも使用できますセキュリティポリシーやレスポンスを作成するたびに大量の情報を繰り返し入力する必要がなくなりますポリシーやレスポンスで使用される情報 (IP アドレスやポートなど ) を更新する効率のよい方法ですネットワークオブジェクト内の情報を変更するとこの Network Objects ポリシーが使われているすべての場所に変更内容が反映されますシンプルまたは複雑なオブジェクト Network Objects ポリシーは要件に応じてシンプルにも複雑にもできます最もシンプルなポリシーには 1 つの IP アドレスとポートが含まれますたとえばという IP アドレスを頻繁に使用する場合はという 1 つの IP アドレスを含むポリシーを定義することができますより複雑な Network Objects ポリシーには一定範囲の IP アドレスと一定範囲のポートなど情報の組み合わせが含まれますたとえば次の情報すべてを含む Boston Web Servers という名前の Network Objects ポリシーを定義することができます IP アドレス範囲 : ポート範囲 : タスクの概要表 105 では Network Objects ポリシー定義のタスクについて説明しますタスク説明 1 ポリシー内で Address Name を定義する Network Objects ポリシーでの Address Name の定義 (304 ページ ) を参照してください表 105: Network Objects ポリシー定義のタスク 302

303 Network Objects ポリシーとはタスク説明 2 ポリシー内で Address Group を定義する Network Objects ポリシーでの Address Group の定義 (306 ページ ) を参照してください 3 ポリシー内で Port を定義する Network Objects ポリシーでの Port Name の定義 (308 ページ ) を参照してください 4 ポリシー内で Port Group を定義する Network Objects ポリシーでの Port Group の定義 (310 ページ ) を参照してください 5 ポリシー内で Dynamic Address Name を定義する Network Objects ポリシーでの Dynamic Address Name の定義 (312 ページ ) を参照してください表 105: Network Objects ポリシー定義のタスク ( 続き ) SiteProtector User Guide for Security Managers Version 2.0, SP

304 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでの Address Name の定義このトピックでは Network Objects ポリシーでの Address Name の追加編集削除について説明しますレスポンスルールに関連付けられている Address Name を編集または削除すると Address Name とレスポンスルールの関連づけが解除されます関連付けを復元するには次のいずれかを行う必要があります編集した Address Name をレスポンスルールと手動で関連付けるレスポンスと別の Address Name の間で新しい関連づけを行う説明 Address Name は次の情報を表します任意の IP アドレス 1 つの IP アドレス 1 つの IP アドレス範囲 1 つの IP アドレスと CIDR マスク 1 つのアドレスリストこれら情報の任意の組み合わせ Address Name の追加 Network Objects ポリシーに Address Name を追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Address Names] タブを選択し追加のアイコンをクリックします [Add Address Names] ウィンドウが表示されます 4. [Name] テキストボックスにアドレス名を入力します注意 : 名前にスペースは含めないでください 5. [Comment] テキストボックスに Address Name の説明を入力します 6. [Address] セクションで次のうちいずれかのオプションを選択しますオプション Single IP Address Network Address/ #Network Bits (CIDR) IP Address Range アクション Address Name に 1 つの IP アドレスを含めるにはこのオプションをオンにして次のいずれかを行いますリスト内で IP アドレスを選択するこのリストには Network Objects ポリシーで定義したアドレスが含まれています [Add] をクリックしてアドレスをリストに追加する Address Name に 1 つの IP アドレスとネットワークマスクを含めるにはこのオプションをオンにして必要な情報を入力します Address Name に 1 つの IP アドレス範囲を含めるにはこのオプションをオンにして IP アドレス範囲を入力します 304

305 Network Objects ポリシーでの Address Name の定義オプション IP Address List アクション Address Name に一連の IP アドレスを含めるにはこのオプションをオンにして次のいずれかを行います IP アドレス項目リスト名を入力するこの名前は Network Objects ポリシーに表示されるとおりに正確に入力する必要があります [Add Address Names] をクリックし Network Objects ポリシーに名前を追加する 7. [Source Port] セクションで次のうちいずれかのオプションを選択します Any Single Port Port Range Port List Entry 8. [OK] をクリックし [Save All] をクリックします Address Name の編集 Address Name を編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Address Names] タブを選択します 4. Address Name を選択し編集のアイコンをクリックします [Edit Address Names] ウィンドウが表示されます 5. 必要に応じて Address Name を変更し [OK] をクリックします 6. [Save All] をクリックします Address Name の削除 Network Objects ポリシーから Address Name を削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Address Names] タブを選択します 4. 削除する Address Name を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します SiteProtector User Guide for Security Managers Version 2.0, SP

306 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでの Address Group の定義このトピックでは Network Objects ポリシーでの Address Group の追加編集削除について説明します説明 Address Group は次の情報を表します 1 つの Address Name ネットワークオブジェクト複数の Address Name ネットワークオブジェクトその他の Address Group 注記 : Network Multi-Function Security アプライアンスだけが Address Group を使用します Address Group の追加 Network Objects ポリシーに Address Group を追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Address Groups] タブを選択し追加のアイコンをクリックします [Add Address Names] ウィンドウが表示されます 4. Address Group の名前と説明を入力します 5. [Add] をクリックします [Add Address] ウィンドウが表示されます 6. 次のいずれかを選択しますオプション Address Name Dynamic Address Address Group アクション Address Group にアドレス名を含めるにはこのオプションを選択しリストから名前を選択します注記 : [Address Names] ボタンを使用してリストでアドレス名を追加編集削除することができます Address Group にダイナミックアドレスを含めるにはこのオプションを選択しリストからグループ名を選択します注記 : [Dynamic Address Names] ボタンを使用してリストでアドレス名を追加編集削除することができます Address Group にアドレスグループを含めるにはこのオプションを選択しリストからグループ名を選択します注記 : [Address Groups] ボタンを使用してリストでアドレス名を追加編集削除することができます 7. [OK] をクリックし [Save All] をクリックします Address Group の編集 Network Objects ポリシーで Address Group を編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 306

307 Network Objects ポリシーでの Address Group の定義 3. [Address Groups] タブを選択します 4. Address Group を選択し編集のアイコンをクリックします [Edit Address Names] ウィンドウが表示されます 5. 必要に応じて Address Group を変更し [OK] をクリックします 6. [Save All] をクリックします Address Group の削除 Network Objects ポリシーから Address Group を削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Address Groups] タブを選択します 4. Address Group を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します SiteProtector User Guide for Security Managers Version 2.0, SP

308 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでの Port Name の定義情報このトピックでは Network Objects ポリシーでの Port Name の追加編集削除について説明します説明 Port Name は次の情報を表します 1 つのポート複数のポート 1 つのポート範囲複数のポート範囲次のエージェントでは Network Objects ポリシー内で Port Name を使用します Event Archiver Central Response Network Multi-Function Security アプライアンスレスポンス Port Name の追加 Network Objects ポリシーに Port Name を追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Names] タブを選択します注意 : [Port Names] タブには一般的に使用されるポートの一覧が表示されます 4. 次のいずれかを行いますリスト内でポートを選択し手順 8 に進みます追加のアイコンをクリックしてポートを追加し手順 5 に進みます 5. Port Name の名前とコメントを入力します注意 : 名前にスペースは含めないでください 6. [Protocol] リストから次のうちいずれかのプロトコルを選択しますプロトコル TCP (Transmission Control Protocol ) UDP (User Datagram Protocol) 説明追加するポートをホスト間でのデータストリームのやりとりで使用する場合にこのプロトコルを選択します追加するポートをコネクションレス型 IP ネットワーク上でのデータ送受信に使用する場合にこのプロトコルを選択しますこのプロトコルはまた Unix の traceroute コマンドでも使用されます注意 : プロトコルは必須です 7. [Address] セクションで次のうちいずれかのオプションを選択します [Single Port] をオンにし [Port Number] ボックスにポートの値を入力します [Port Range] をオンにし [Range] リストからポート範囲を選択します 308

309 Network Objects ポリシーでの Port Name の定義注意 : アイコンを使用して [Port Range] リストで項目を追加編集削除することができます 8. [OK] をクリックし [Save All] をクリックします Port Name の編集 Network Objects ポリシーで Port Name を編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Names] タブを選択します 4. Port Name を選択し編集のアイコンをクリックします 5. 必要に応じて Port Name を変更し [OK] をクリックします 6. [Save All] をクリックします Port Name の削除 Network Objects ポリシーから Port Name を削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Names] タブを選択します 4. Port Name を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します SiteProtector User Guide for Security Managers Version 2.0, SP

310 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでの Port Group の定義このトピックでは Network Objects ポリシーでの Port Group の追加編集削除について説明しますレスポンスルールに関連付けられている Port Group を編集または削除すると Port Group とレスポンスルールの関連づけが解除されます関連付けを復元するには次のいずれかを行う必要があります編集した Port Group をレスポンスルールと手動で関連付けるレスポンスと別の Port Group の間で新しい関連づけを行う説明 Port Group は次の情報を表します 1 つのポート名複数のポート名 1 つのポートグループ複数のポートグループこれら情報の任意の組み合わせ Network Multi-Function Security アプライアンスだけが Network Objects ポリシーで Port Group を使用します Port Group の追加 Port Group を追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Groups] タブを選択します 4. 右側の [Port Groups] タブを選択し [Add] アイコンをクリックします [Add Port Groups] ウィンドウが表示されます 5. Port Group の名前とコメントを入力します 6. [Ports] セクションで [Add] をクリックします 7. 次のいずれかを選択しますオプション Port Name Port Group アクション Port Group にポート名を含めるにはこのオプションを選択しリストから名前を選択します注記 : [Port Names] ボタンを使用してリストでアドレス名を追加編集削除することができます Port Group にポートグループを含めるにはこのオプションを選択しリストからグループ名を選択します 8. [OK] をクリックし [Save All] をクリックします 310

311 Network Objects ポリシーでの Port Group の定義 Port Group の編集 Network Objects ポリシーで Port Group を編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Groups] タブを選択します 4. Port Group を選択し編集のアイコンをクリックします 5. 必要に応じて Port Group を変更し [OK] をクリックします 6. [Save All] をクリックします Port Group の削除 Network Objects ポリシーから Port Group を削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Port Groups] タブを選択します 4. Port Group を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します SiteProtector User Guide for Security Managers Version 2.0, SP

312 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでの Dynamic Address Name の定義このトピックでは Network Objects ポリシーでの Dynamic Address Name の追加編集削除について説明します説明 : Dynamic Address Name Dynamic Address Name はさまざまな Network Multi-Function Security アプライアンスの複数の Dynamic Address List を表します Dynamic Address Name が複数のリストを表すためには Dynamic Address Name を異なる Dynamic Address List に関連付ける必要がありますこの作業は SiteProtector ではなく Network Multi-Function Security インターフェースで行います説明 : Dynamic Address List Dynamic Address List は Network Multi-Function Security アプライアンス固有のアドレスを表します Network Multi-Function Security アプライアンス固有のアドレスは Dynamic Address Name と関連づけられます Dynamic Address List は Proventia Manager を使用して Policy Editor にアクセスした場合にのみ表示されますデフォルトの Dynamic Address Name 表 106 では Network Objects ポリシーに含められるデフォルトの Dynamic Address Name について説明します名前 CORP DMZ 説明 CORP は Network Multi-Function Security 内部インターフェースの IP アドレスまたはサブネットマスクを自動的に保存します Network Multi-Function Security ファームウェアをアップグレードした場合アップグレードプロセスによってこの情報が新規システムに移行されます新規 Network Multi-Function Security アプライアンスについてはアプライアンス設定プロセスの間にこの情報を入力する必要があります DMZ は Network Multi-Function Security に関する任意の情報を自動的に保存します Network Multi-Function Security ファームウェアをアップグレードした場合アップグレードプロセスによってこの情報が自動的に新規システムに移行されます新規 Network Multi-Function Security アプライアンスについてはアプライアンス設定プロセスの間にこの情報を入力する必要があります表 106: デフォルト Dynamic Address Name の説明タスクの概要表 107 では複数の Dynamic Address List を表す 1 つの Dynamic Address Name の作成タスクについて説明しますタスク説明 1 Dynamic Address Name を追加する 2 各 Network Multi-Function Security アプライアンスの IP アドレスを含む Dynamic Address List を追加する 3 Network Multi-Function Security アプライアンスのそれぞれについてアプライアンスの IP アドレスと Dynamic Address List との関連づけを行う表 107: Dynamic Address List への Dynamic Address Name 関連付けのタスク 312

313 Network Objects ポリシーでの Dynamic Address Name の定義 Dynamic Address Name の追加 Network Objects ポリシーに Dynamic Address Name を追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Dynamic Address Names] タブを選択し追加のアイコンをクリックします [Add Dynamic Address Names] ウィンドウが表示されます 4. Dynamic Address Name の名前とコメントを入力します重要 : 名前にスペースは含めないでください 5. [OK] をクリックし [Save All] をクリックします Dynamic Address Name の編集 Network Objects ポリシーで Dynamic Address Name を編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Dynamic Address Names] タブを選択します 4. 名前を選択し編集のアイコンをクリックします 5. 必要に応じて情報を変更し [Save All] をクリックします Dynamic Address Name の削除 Dynamic Address Name を削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Dynamic Address Names] タブを選択します 4. 名前を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します SiteProtector User Guide for Security Managers Version 2.0, SP

314 第 23 章 : Network Objects ポリシーの定義 Network Objects ポリシーでのデータのエクスポートとインポートこのトピックでは Network Objects ポリシーでのデータ ( アドレス名やポート名など ) のエクスポートとインポートについて説明します Network Objects ポリシーからのデータのエクスポート Network Objects ポリシーからのデータをエクスポートするには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. エクスポートするデータの種類に対応するタブを選択します 4. エクスポートする項目を選択します 5. [Action] メニューから [Export] を選択します [ 保存 ] ウィンドウが開きます 6. [ ファイル名 ] にネットワークオブジェクトの名前を入力します 7. オブジェクトの保存先となる場所に移動します 8. [ 保存 ] をクリックしますネットワークオブジェクトがユーザー指定の場所に保存されます Network Objects ポリシーへのデータのインポート Network Objects ポリシーにデータをインポートするには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Network Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. インポートするデータの種類に対応するタブを選択します 4. インポートする項目を選択します 5. [Action] メニューから [Import] を選択します [ 開く ] ウィンドウが表示されます 6. 項目へ移動して選択し [ 開く ] をクリックします 7. 項目が Network Objects ポリシーにインポートされます 8. [Save All] をクリックします 314

315 第 24 章 Response Objects ポリシーの定義概要この章では Response Objects ポリシーの定義について説明します次のエージェントはこのポリシーを使用します Central Response Network IPS アプライアンスこの章の内容この章では次のトピックについて説明しますトピックページ Response Objects ポリシーとは 316 Response Objects ポリシーでのレスポンスの指定 317 Response Objects ポリシーでの SNMP レスポンスの指定 319 Response Objects ポリシーでのユーザー指定レスポンスの指定 321 Response Objects ポリシーでの Log Evidence 設定の指定 323 Response Objects ポリシーでの Quarantine 設定の指定 324 SiteProtector User Guide for Security Managers Version 2.0, SP

316 第 24 章 : Response Objects ポリシーの定義 Response Objects ポリシーとは Response Objects ポリシーは SiteProtector がセキュリティイベントに対応する場合に使用する情報をまとめて保存しますたとえばネットワーク上で特定のイベントが発生した場合にサイト管理者へメールを送信するように SiteProtector に要求するポリシーを設定することができますサイト管理者のメールアドレスを Response Objects ポリシー内で定義することができますポリシーは再利用可能ですつまりその他ポリシーを定義するときにこの Response Objects ポリシーの情報を含めることができますこれによってポリシーを定義するたびに情報を入力し直す手間が省けますまた中央で情報を一括して管理およびアップデートすることもできます Response Objects ポリシー内の情報をアップデートすると Response Objects ポリシーが使われている任意の場所でその情報がアップデートされますポリシー情報 Response Objects ポリシーには次の情報が含まれますレスポンスのメールアドレス SNMP レスポンスの設定ユーザー指定レスポンスの設定証拠を記録するレスポンスの設定 (Network IPS アプライアンスのみ ) イベントを検疫するレスポンスの設定 (Network IPS アプライアンスのみ ) Response Objects ポリシーは Site Database に保管されますタスクの概要表 108 では Response Objects ポリシー定義のタスクについて説明しますタスク説明 1 ポリシー内でメールアドレスを定義する Response Objects ポリシーでのレスポンスの指定 (317 ページ ) を参照してください 2 ポリシー内で SNMP 設定を指定する Response Objects ポリシーでの SNMP レスポンスの指定 (319 ページ ) を参照してください 3 ポリシー内でユーザー指定の設定を指定する Response Objects ポリシーでのユーザー指定レスポンスの指定 (321 ページ ) を参照してください 4 必要に応じて Log Evidence 設定を指定する (Network IPS アプライアンス用 ) Response Objects ポリシーでの Log Evidence 設定の指定 (323 ページ ) を参照してください 5 必要に応じて Network IPS アプライアンスの Quarantine 設定を指定する Response Objects ポリシーでの Quarantine 設定の指定 (324 ページ ) を参照してください表 108: Response Objects ポリシー定義のタスク 316

317 Response Objects ポリシーでのレスポンスの指定 Response Objects ポリシーでのレスポンスの指定このトピックでは Response Objects ポリシーでのメールアドレスの追加編集削除について説明します説明はセキュリティイベントに対応して SiteProtector が送信するメールですに含める次の項目を定義することができますの名前 SMTP ホスト送信元宛先件名本文注記 : メールの件名と本文には次のようなパラメータを含めることができますイベントを検出したエージェントの名前セキュリティイベントの宛先 IP アドレスセキュリティイベントのポートイベントを検出したエージェントのアドレスイベントを検出したエージェントのステータスイベントを検出したエージェントのバージョンメールの追加 Response Objects ポリシーにを追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [ ] タブを選択し追加のアイコンをクリックします注意 : 赤で囲まれたボックスは必要な情報を示します 4. [Name] ボックスにの名前を入力します 5. [SMTP Host] テキストボックスにこのを処理する SMTP ホストの IP アドレスまたは DNS 名を入力します 6. [From] テキストボックスにメッセージ発信元のメールアドレスを入力します注意 : From アドレスは 1 つしか入力できません SiteProtector はこのアドレスが正しい形式であるかどうか検証します 7. [To] テキストボックスに通知の送信先メールアドレスを入力します注意 : 複数の To アドレスを入力できますセミコロンを使ってメールアドレスを区切ってください 8. [Subject] セクションで必要に応じて次のタスクを実行しますの件名を入力する [Agent Parameters] ツリーからパラメータを選択する注意 : Central Response を扱う場合イベントルールについては [Common] フォルダからパラメータを追加する必要がありますコンポーネントルールを扱う場合は [Component] フォルダからパラメータを追加する必要があります SiteProtector User Guide for Security Managers Version 2.0, SP

318 第 24 章 : Response Objects ポリシーの定義 9. [Body] セクションで必要に応じて次のタスクを実行しますの本文を入力します [Common] フォルダから項目を選択し [Body] ボタンをクリックします注意 : 選択した共通パラメータはテキストを使用してラベリングすることをお勧めしますそうしておかないとメール通知に表示されるパラメータはパラメータの表す内容を参照しません 10. [OK] をクリックし [Save All] をクリックしますの編集 Response Objects ポリシーでを編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [ ] タブを選択します 4. を選択し編集のアイコンをクリックします 5. 必要に応じてを変更し [OK] をクリックします 6. [Save All] をクリックしますの削除 Response Objects ポリシーからを削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [ ] タブを選択します 4. を選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します 318

319 Response Objects ポリシーでの SNMP レスポンスの指定 Response Objects ポリシーでの SNMP レスポンスの指定このトピックでは Response Objects ポリシーでの SNMP レスポンスの追加編集削除について説明します説明 SNMP レスポンスは SiteProtector が SNMP マネージャに送信するレスポンスですこのレスポンスには次のタイプのエージェントに関して SNMP に準拠したデバイス ( エージェント ) から得たデータが含まれます接続イベントユーザー定義イベントセキュリティイベント背景 Simple Network Management Protocol (SNMP) はネットワーク管理のためのプロトコルセットです SNMP に準拠したデバイス ( エージェント ) は自分自身に関するデータを Management Information Bases (MIB) に保管しこのデータを OpenView などの SNMP 管理アプリケーションに返します SNMP エージェントは同じコミュニティ内に置かれた SNMP 管理アプリケーションだけと通信しますコミュニティは基本認証のユーザー定義の設定です Response Objects ポリシー内の SNMP 設定によって SNMP マネージャの IP アドレスとコミュニティが定義されます注記 : ISS MIB ファイル (iss.mib) は SNMP トラップの形式を定義しますまたトラップメッセージに含まれる数値のオブジェクト識別子 (OID) を解釈するために SNMP 管理アプリケーションによって使用されます SNMP トラップメッセージを表示するには SNMP 管理アプリケーション内の iss.mib をインポートまたはコンパイルします iss.mib ファイルは download からダウンロードできます SNMP レスポンスの追加 Response Objects ポリシーに SNMP レスポンスを追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [SNMP] タブを選択し追加のアイコンをクリックします 4. SNMP レスポンスの名前を入力します 5. [Manager] テキストボックスにトラップの送信先 IP アドレスを入力します 6. [Manager] テキストボックスに SNMP エージェントとの認証に使用される有効な名前を入力します 7. [OK] をクリックし [Save All] をクリックします SNMP レスポンスの編集 Response Objects ポリシーで SNMP レスポンスを編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [SNMP] タブを選択し SNMP レスポンスを選択します 4. 必要に応じて設定を変更し [OK] をクリックします 5. [Save All] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

320 第 24 章 : Response Objects ポリシーの定義 SNMP レスポンスの削除 Response Objects ポリシーから SNMP レスポンスを削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [SNMP] タブを選択します 4. SNMP レスポンスを選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します 320

321 Response Objects ポリシーでのユーザー指定レスポンスの指定 Response Objects ポリシーでのユーザー指定レスポンスの指定このトピックでは Response Objects ポリシーでのユーザー指定レスポンスの追加編集削除について説明します重要 : ユーザー指定レスポンスは Windows と互換性がある必要があります説明ユーザー指定レスポンスはイベントが発生した場合に SiteProtector が生成するカスタムレスポンスですこのレスポンスには次のうち任意のアクションが含まれますアプリケーションの起動スクリプトの実行その他コマンドの実行要件次の要件はユーザー指定レスポンスに対してのみ適用されますレスポンスは Windows 上でサポートされている必要がありますスクリプトは Application Server マシンに保管する必要がありますレスポンスには Application Server 上の保管場所への完全なパスを含める必要がありますユーザー指定レスポンスの追加 Response Objects ポリシーにユーザー指定レスポンスを追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [User Specified] タブを選択し追加のアイコンをクリックします 4. [Name] ボックスにユーザー指定レスポンスオブジェクトの名前を入力します 5. [Command] ボックスにユーザー指定レスポンスオブジェクトに関連するコマンドを入力します注意 : Application Server 上にあるコマンドスクリプトまたは実行ファイルのレスポンスに対するドライブを含む完全なパスを指定してください 6. [Agent Parameters] ツリーからパラメータを選択する注意 : Central Response を扱う場合イベントルールについては [Common] フォルダからパラメータを追加する必要がありますコンポーネントルールを扱う場合は [Component] フォルダからパラメータを追加する必要があります 7. [Remove] [Move Up] または [Move Down] ボタンを使用してパラメータを配列します 8. [OK] をクリックし [Save All] をクリックしますユーザー指定レスポンスの編集 Response Objects ポリシーでユーザー指定レスポンスを編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [User Specified] タブを選択します 4. レスポンスを選択し編集のアイコンをクリックします 5. 必要に応じてレスポンスを変更し [OK] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

322 第 24 章 : Response Objects ポリシーの定義 6. [Save All] をクリックしますユーザー指定レスポンスの削除 Response Objects ポリシーからユーザー指定レスポンスを削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [User Specified] タブを選択します 4. レスポンスを選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を確認します 322

323 Response Objects ポリシーでの Log Evidence 設定の指定 Response Objects ポリシーでの Log Evidence 設定の指定このトピックでは Response Objects ポリシーでの Log Evidence 設定の指定について説明します重要 : これらの設定は Network IPS アプライアンスの動作のみを制御します説明 Log Evidence を使用してイベントの概要を記録するようにアプライアンスを設定することができます Log Evidence レスポンスはイベントをトリガしたパケットのコピーを作成しそのパケットを特定する情報 ( イベント名イベント日時イベント ID など ) を記録します証拠ログにはネットワーク内で侵入者が何を試みたのかが記録されます手順 Response Objects ポリシーで Network IPS アプライアンスの Log Evidence 設定を指定するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Log Evidence] タブを選択します注意 : [Log Evidence] タブには Proventia G のデフォルトの証拠記録設定が表示されますこれらの設定はセキュリティ要件に会わせて変更できます 4. [Maximum Files] テキストボックスに証拠ログファイルの最大数を入力します注意 : ログがファイルの最大数に達すると 0 に戻り既存ファイルが上書きされていきます 5. [Maximum File Size] テキストボックスに証拠ログファイルの最大サイズを入力します 6. [Log File Prefix] テキストボックスに証拠ログファイルの名前を入力します 7. [Log File Suffix] テキストボックスに証拠ログファイルの拡張子を入力します 8. [OK] をクリックします 9. [Save All] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

324 第 24 章 : Response Objects ポリシーの定義 Response Objects ポリシーでの Quarantine 設定の指定このトピックでは Response Objects ポリシーでの Quarantine 設定の指定について説明します Network IPS アプライアンスは継続される攻撃を検疫することができます重要 : これらの設定は Network IPS アプライアンスの動作のみを制御しますデフォルト設定表 109 では Response Objects ポリシーでのデフォルト Quarantine 設定について説明します Quarantine 設定 Quarantine Intruder Quarantine Trojan Quarantine Worm 説明この設定は標的を定めて繰り返し発生する攻撃と攻撃に関わっている両方のコンピュータ ( 被害側のコンピュータと攻撃側のコンピュータ ) をブロックしますこの設定はオープンなバックドアトロイ (Back Orifice など ) に感染しているコンピュータに攻撃者が再アクセスするのを阻止しますこの設定は発信元からネットワークが攻撃を受けている場合に自動化されたワーム (Sasser など ) をブロックします表 109: Response Objects ポリシーのデフォルト Quarantine 設定注記 : デフォルトの Quarantine 設定は名前変更や削除ができません警告作成した Quarantine 設定を適用するとシステムに悪影響が及ぶ可能性があります Quarantine プロセスがどのように機能するのかをよく理解したうえでユーザー指定の Quarantine 設定を適用してくださいデフォルトの Quarantine 設定はほとんどのケースで機能するためこの設定の使用をお勧めします手順 Quarantine レスポンスオブジェクトを定義するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Objects] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Quarantine] タブを選択し [Add] をクリックします [Add Quarantine] ウィンドウが表示されます 4. Quarantine 設定の名前を入力します 5. 必要に応じて次のオプションを選択します Victim Address ( 攻撃対象側のアドレス ) Victim Port ( 攻撃対象側のポート ) Intruder Address ( 侵入側のアドレス ) Intruder Port ( 侵入側のポート ) ICMP Port (ICMP ポート ) ICMP Code (ICMP コード ) ICMP Type (ICMP タイプ ) 6. [OK] をクリックし [Save All] をクリックします 324

325 第 25 章 Response Rules ポリシーの定義概要この章では Response Rules ポリシーの定義方法について説明しますこのポリシーは Central Response の動作のみを制御します Central Response は次のものに関わっていますエージェントが Event Collector にレポートするイベントに対する SiteProtector のレスポンスイベントルールの定義 (327 ページ ) を参照してください SiteProtector コンポーネントおよびエージェントのステータス変更に対する SiteProtector のレスポンスコンポーネントルールの定義 (343 ページ ) を参照してくださいこの章の内容この章では次のセクションについて説明しますセクションページセクション A: イベントルールの定義 327 セクション B: コンポーネントルールの定義 343 SiteProtector User Guide for Security Managers Version 2.0, SP

326 第 25 章 : Response Rules ポリシーの定義 326

327 イベントルールの定義セクション A: イベント概要このセクションでは Response Rules ポリシー内でのイベントルールの定義について説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページイベントルールとは 328 Response Rules ポリシーへのイベントルールの追加 330 イベントルール内でのイベントフィルタの定義 332 イベントルールの発信元アドレスと発信元ポートの定義 333 イベントルールの宛先アドレスと宛先ポートの定義 335 イベントルール内でのレスポンスの定義 337 イベントルールの高度なフィルタの定義 338 イベントルールの作業 339 Event Rules タブのカスタマイズ 341 SiteProtector User Guide for Security Managers Version 2.0, SP

328 第 25 章 : Response Rules ポリシーの定義イベントルールとはこのトピックではイベントルールについて説明します定義イベントルールとは SiteProtector がイベントに対応して生成するために満たしておく必要のあるユーザー定義された一連の基準です最大 200 のイベントルールを作成することができます基準には次のものがありますイベント名イベントに関連する発信元 IP アドレスイベントに関連する発信元ポートイベントに関連する宛先 IP アドレスイベントに関連する宛先ポート基準が満たされた場合に生成されるレスポンス高度なパラメータイベントルールは特定のセキュリティ要件を満たすように必要に応じてシンプルにも複雑にもできますたとえば 1 つの IP アドレスまたは IP アドレス範囲を発信元または宛先の IP アドレスとして定義することができますまた同じイベントに対して異なるレスポンスを定義することもできますたとえば 1 つのイベントに対しメールの送信と SMNP レスポンスの生成を SiteProtector に要求することができます例次に示すのはイベントルールの例です Event_Name が IP アドレスで発生し IP アドレスを 60 秒に 1 回標的としている場合 SiteProtector はイベントに関する詳細情報を含むメールをサイト管理者に送信する必要がありますの範囲内にある任意の IP アドレスでイベントが発生した場合 SiteProtector はユーザー定義レスポンスで対応する必要があります Event_Name がの範囲内にある任意の IP アドレスのポート 339 で発生した場合 SiteProtector は SMNP レスポンスを生成する必要があります方法表 110 では Response Rules ポリシー内でイベントルールを定義する方法について説明します方法自動説明アナリシスビューでイベントを選択し Add Response Rules Wizard を実行することで選択したイベントに基づいたレスポンスルールを定義することができます注記 : 1 つのルールに対し最大 50 のイベントを選択することができます 50 イベントを超えて選択すると [Create Response Rule] メニューが利用できませんこの方法の利点はルール内にあるイベント関連の情報 ( イベント名発信元アドレス宛先アドレスなど ) が自動的に含まれることですこの方法の不利な点はレスポンスルール作成の前にイベントがシステムに入ってきている必要があることです表 110: レスポンスルール作成の方法 328

329 イベントルールとは方法手動説明ポリシービューで新しいレスポンスルールを含むように Response Rules ポリシーを編集することができますこの方法の利点はイベントがシステムへ入ってくる前にいつでもレスポンスルールを作成可能であることですこの方法の不利な点はイベントに関する必須情報を手動で入力する必要があることです必須情報が手元にない場合はワイルドカードを使用できます表 110: レスポンスルール作成の方法制約次の制約は Response Rules ポリシー内のレスポンスルールに適用されますポリシーには個別のレスポンスルールを最大で 200 個含めることができます個別のレスポンスルールはそれぞれ最大で 50 のイベントに関連付けることができます SiteProtector User Guide for Security Managers Version 2.0, SP

330 第 25 章 : Response Rules ポリシーの定義 Response Rules ポリシーへのイベントルールの追加このトピックでは次のタスクの実行方法について説明しますイベントルールを手動で Response Rules ポリシーに追加する Add Response Rules Wizard を実行しイベントルールを Response Rules ポリシーに自動的に追加する必要な情報イベントルールを手動で Response Rules ポリシーに追加する場合は次の情報を定義することができますイベント ( イベント名ステータス危険度を含む ) イベントルール内でのイベントフィルタの定義 (332 ページ ) を参照してくださいイベントに関連する発信元の IP アドレスおよびポートイベントルールの発信元アドレスと発信元ポートの定義 (333 ページ ) を参照してくださいイベントに関連する宛先の IP アドレスおよびポートイベントルールの宛先アドレスと宛先ポートの定義 (335 ページ ) を参照してくださいイベントルールで指定された基準とイベントが一致する場合に SiteProtector が生成するレスポンスイベントルール内でのレスポンスの定義 (337 ページ ) を参照してくださいイベントルールのカスタム ( ユーザー定義 ) パラメータイベントルールの高度なフィルタの定義 (338 ページ ) を参照してください手動によるイベントルールの追加イベントルールを手動で追加するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択し [Add] をクリックします 4. [Add Event Rules] ウィンドウが表示されます 5. [Enabled] チェックボックスをオンにします 6. 次のフィールドを定義しますフィールド Name コメント Rule Threshold 説明イベントルールの名前を 50 文字以内で入力しますイベントルールの説明を入力しますこのオプションはイベントルールの基準に何回合致したら SiteProtector がレスポンスを生成するのかを定義する場合にオンにします例ルールが 60 秒に 1 回トリガされた場合にレスポンスを送信する 330

331 Response Rules ポリシーへのイベントルールの追加 7. 必要に応じて次のタスクを完了しますタスクイベントの詳細を [Events] タブで定義する発信元のアドレスおよびポートを [Source] タブで定義する宛先のアドレスおよびポートを [Destination] タブで定義するイベントルールで指定された基準とイベントが一致する場合に SiteProtector が生成するレスポンスを [Responses] タブで定義するカスタム ( ユーザー定義 ) パラメータを [Advanced Filters] タブで定義する参照イベントルール内でのイベントフィルタの定義 (332 ページ ) を参照してくださいイベントルールの発信元アドレスと発信元ポートの定義 (333 ページ ) を参照してくださいイベントルールの宛先アドレスと宛先ポートの定義 (335 ページ ) を参照してくださいイベントルール内でのレスポンスの定義 (337 ページ ) を参照してくださいイベントルールの高度なフィルタの定義 (338 ページ ) を参照してください自動によるイベントルールの追加 Add New Response Rule Wizard を使用してイベントルールを自動的に追加するには : 1. 左ウィンドウ枠でサイトグループを選択します注意 : サイト内にすべてのイベントが表示されるように [Include Subgroups] がオンになっていることを確認してください 2. ビューのリストから [Analysis] を選択します 3. アナリシスビューのリストから [Event Analysis - Details] を選択します注意 : この手順を [Event Analysis - Details] ビューで実行することをお勧めしますこの手順を別のアナリシスビューで実行するとウィザードはイベントルールに必要なフィールドすべてに対して自動的にデータを提供することができません 4. レスポンスルールの土台となるイベントを最大 50 個選択します 5. 選択したイベントを右クリックしポップアップメニューから [New response rule] を選択します Add New Response Rule Wizard が開始します 6. [Name] にレスポンスルールの名前を入力し [Next] をクリックしますイベントに関する情報が含まれた [Event Rules] タブが表示されます注意 : 情報を編集するにはルールを選択して [Edit] をクリックします 7. [Finish] をクリックしてイベントルールを保存します SiteProtector User Guide for Security Managers Version 2.0, SP

332 第 25 章 : Response Rules ポリシーの定義イベントルール内でのイベントフィルタの定義サイト内のセンサーまたはアプライアンスでイベントが発生した場合そのイベントは作成してあるルールと照合されますイベントがルールの基準と一致すると SiteProtector はその他のパラメータも同様に一致するかどうか確認しますすべてのパラメータがルールに一致すると SiteProtector はレスポンスを生成します注記 : 各レスポンスルールに最大 50 のイベントを関連付けることができます例高危険度の HTTP イベントすべてを含むルールにイベントを追加することができます高危険度の HTTP イベントが発生すると SiteProtector はレスポンスを生成します手順イベントルール内でイベントフィルタを定義するには : 1. [Events] タブで [Add] をクリックします 2. [Enabled] チェックボックスをオンにします 3. イベント名を入力しますヒント : イベント名にはワイルドカード記号としてアスタリスク (*) を含めることができます次に示すのは有効な入力の例です http_get *http* *http http* 4. イベントの危険度を選択します SiteProtector がレスポンスを生成するには選択した危険度とイベントの危険度が一致する必要があります 5. [Status] セクションでイベントステータスの横にある [Enabled] チェックボックスをオンにします SiteProtector がレスポンスを生成するには選択したステータスとイベントのステータスが一致する必要があります 6. [OK] をクリックしもう一度 [OK] をクリックします 7. [Save All] をクリックします 332

333 イベントルールの発信元アドレスと発信元ポートの定義イベントルールの発信元アドレスと発信元ポートの定義このトピックではイベントルール内での発信元アドレスと発信元ポートの定義方法について説明します目的この手順の目的はイベントを発信元のアドレスおよびポートに関連付けることです SiteProtector がレスポンスを生成するにはこの手順で選択した情報がイベントの発信元アドレスおよびポートと一致する必要がありますバックドアレスポンスイベントについてバックドアレスポンスイベントを使用してルールを作成し発信元または宛先の IP アドレスを指定する場合はバックドアイベントの性質上 [Sensor Analysis] タブに表示される発信元 IP アドレスと宛先 IP アドレスが逆になります発信元 IP アドレスは宛先 IP アドレスの列に表示されます ( または被害者として表示されます ) 宛先 IP アドレスは発信元 IP アドレスの列に表示されます ( または攻撃者として表示されます ) 発信元アドレスの定義イベントルールに任意の IP アドレスまたはポートを含める場合は [Source] タブで [Any] オプションをオンにします特定の発信元 IP アドレスを定義するには : 1. [Source] タブで [Use specific source addresses] をオンにします 2. [Mode] リストから次のいずれかを選択しますオプション From Not From 説明指定した IP アドレスからのイベントを含める場合はこのオプションを選択します指定した IP アドレスからのイベントを除外する場合はこのオプションを選択します 3. [Specific sources] セクションで次のうちいずれかのオプションを選択しますオプション Single IP Address Network Address/ #Network Bits (CIDR) IP Address Range アクションアドレス名に 1 つの IP アドレスを含めるにはこのオプションをオンにして次のいずれかを行いますリスト内で IP アドレスを選択するこのリストには Network Objects ポリシーで定義したアドレスが含まれています [Add] をクリックしてアドレスをリストに追加するアドレス名に 1 つの IP アドレスとネットワークマスクを含めるにはこのオプションをオンにして必要な情報を入力しますアドレス名に 1 つの IP アドレス範囲を含めるにはこのオプションをオンにして IP アドレス範囲を入力します SiteProtector User Guide for Security Managers Version 2.0, SP

334 第 25 章 : Response Rules ポリシーの定義オプション Address List Entry アクションアドレス名に一連の IP アドレスを含めるにはこのオプションをオンにして次のいずれかを行いますドロップダウンリストからアドレス項目名を選択します [Add Address Names] をクリックし Network Objects ポリシーに名前を追加します 4. [OK] をクリックし [Save All] をクリックします発信元ポートの定義イベントルールに任意のポートを含める場合は [Source] タブで [Any] オプションをオンにしますイベントルール内で特定の発信元ポートを定義するには : 1. [Source] タブで [Source Port] セクションにある次のオプションのうちいずれかを選択しますオプション説明 Any Single Port Port Range Port List Entry サイト内のすべてのポートを含めますサイト内のポートを 1 つ指定しますポート範囲を含めます範囲の最初と最後のポートを入力します Port Name ネットワークオブジェクトを含めます [Port List Entry Name] リストから選択しますここに含める Port Name を新しく作成する場合は [Add Port Name] をクリックします [Add Port Name] ウィンドウが表示され新しいリスト項目を作成可能になります 2. [OK] をクリックし [Save All] をクリックします 334

335 イベントルールの宛先アドレスと宛先ポートの定義イベントルールの宛先アドレスと宛先ポートの定義このトピックではイベントルール内での宛先アドレスと宛先ポートの定義方法について説明します目的この手順の目的はイベントを宛先のアドレスおよびポートに関連付けることです SiteProtector がレスポンスを生成するにはこの手順で選択した情報がイベントの宛先アドレスおよびポートと一致する必要がありますバックドアレスポンスイベントについてバックドアレスポンスイベントを使用してルールを作成し発信元または宛先の IP アドレスを指定する場合はバックドアイベントの性質上 [Sensor Analysis] タブに表示される発信元 IP アドレスと宛先 IP アドレスが逆になります発信元 IP アドレスは宛先 IP アドレスの列に表示されます ( または被害者として表示されます ) 宛先 IP アドレスは発信元 IP アドレスの列に表示されます ( または攻撃者として表示されます ) 宛先アドレスの定義イベントルールに任意の宛先 IP アドレスを含める場合は [Destination] タブで [Any] オプションをオンにします特定の宛先アドレスを定義するには : 1. [Destination] タブの [Destination Address] セクションで次のうちいずれかのオプションを選択しますオプション Any Single IP Address Network Address/ #Network Bits (CIDR) IP Address Range Address List Entry 説明すべての IP アドレスからのイベントを含みます指定した IP アドレスからのイベントだけを含めますヒント : [Add] をクリックし IP アドレスを 1 つリストに追加しますサブネット上の IP アドレスを含めます IP アドレスとマスクを入力してくださいマスクはネットワーク識別子であり 1 ~ 32 の番号です例 : / 16. アドレス範囲を含めます範囲の最初と最後のアドレスを入力しますサイト範囲として ~ を使用しないでくださいこれをサイト範囲として使用すると [Ungrouped Assets] フォルダにランダムな IP アドレス (Web サイトの IP アドレスなど ) が追加されます Address Name ネットワークオブジェクトを含めますリストから選択してくださいここに含める Address Name を新しく作成する場合は [Add Address Name] をクリックします [Add Address Name] ウィンドウが表示され新しいリスト項目を作成可能になります宛先ポートの定義イベントルールに任意の宛先ポートを含める場合は [Destination] タブで [Any] オプションをオンにします SiteProtector User Guide for Security Managers Version 2.0, SP

336 第 25 章 : Response Rules ポリシーの定義イベントルール内で特定の宛先ポートを定義するには : 1. [Destination] タブで次のうちいずれかのオプションを選択しますオプション作業 Any Single Port Port Range Port List Entry サイト内のすべてのポートを含めますサイト内のポートを 1 つ指定しますポート範囲を含めます範囲の最初と最後のポートを入力します Port Name ネットワークオブジェクトを含めます [Port List Entry Name] リストから選択しますここに含める Port Name を新しく作成する場合は [Add Port Name] をクリックします [Add Port Name] ウィンドウが表示され新しいリスト項目を作成可能になります 2. [OK] をクリックし [Save All] をクリックします 336

337 イベントルール内でのレスポンスの定義イベントルール内でのレスポンスの定義レスポンスルールと一致するイベントが発生した場合 SiteProtector はインシデント対応チームやサイト管理者などの担当者にメールを送信したり SNMP レスポンスを生成したりユーザー指定のスクリプトを Application Server で実行したりすることができます注記 : レスポンス頻度のしきい値は使用している Application Server のローカル時刻を使用して決定されます Application Server のローカル時刻が何らかの理由でリセットされるとレスポンス頻度が一致して追加のレスポンスが生成される可能性があります手順レスポンスを選択するには : 1. [Responses] タブで [Response Frequency] チェックボックスをオンにし [Send at most [n] responses within [n] [ 期間 ]] で適切な値を入力または選択します注意 : デフォルトは 60 秒に 1 回のレスポンスですレスポンス頻度を指定しないとルールが一致するたびに通知が送信されます 2. 次のうち 1 つ以上を行います注意 : [Responses] タブの [Responses] に表示されるレスポンス SNMP レスポンスまたはユーザー指定のレスポンスを作成しますこのルールと関連付けたい SNMP またはユーザー指定の情報がリストにない場合は [Manage Responses] をクリックしてリストに情報を追加します [ ] タブを選択しこのルールに関連付けるレスポンスの [Enabled] 列にあるチェックボックスをオンにします [SNMP] タブを選択しこのルールに関連付ける SNMP レスポンスの [Enabled] 列にあるチェックボックスをオンにします [User-Specified] タブを選択し Response Objects ポリシーでのユーザー指定レスポンスの指定 (321 ページ ) の手順に従います 3. 別のタブを選択して作業を続行するか [OK] をクリックします注意 : いずれの場合も選択内容が保存されます SiteProtector User Guide for Security Managers Version 2.0, SP

338 第 25 章 : Response Rules ポリシーの定義イベントルールの高度なフィルタの定義このトピックではイベントルールに高度なフィルタを追加する方法について説明します定義アドバンストフィルタはイベント関連の情報を定義する属性と値のペア (Attribute-Value Pair: AVP) ですイベントルールを作成するときにいくつかの AVP が自動的に作成されますたとえばイベントルールを作成し発信元アドレスとしてを指定した場合次のような属性と値のペアを持つ AVP が自動的に作成されます属性 ( パラメータ ) が SourceAddress である値がである必要に応じてイベントルールに別の AVP を追加することができますたとえばユーザー名またはセンサー名の AVP を手動で追加することができます注記 : イベント詳細の一部は [Analysis] タブに表示されますこのため利用可能なパラメータ / 値を見ることができますウィザードを使用してルールを作成するとこれらの値が自動的にインポートされますガイドライン AVP を使用する場合は次のガイドラインを使用してください属性 ( パラメータ ) は固有である必要がありますワイルドカードは使用できません次の属性は使用しないでくださいこれらの属性は [Events] タブ [Source] タブ [Destination] タブで定義できます AlertName SourceAddress SourcePort DestinationAddress DestinationPort 手順アドバンストフィルタをイベントルールに追加するには : 1. [ Advanced Filters] タブで [Add] をクリックします [Add] ウィンドウが表示されます 2. [Enabled] チェックボックスをオンにします 3. アドバンストフィルタ固有のパラメータをスペースを使わずに [Parameter] に入力します例 : UserName 注意 : ワイルドカードや AlertName SourceAddress SourcePort DestinationAddress DestinationPort は使用しないでください 4. アドバンストフィルタの値をスペースを使わずに [Value] に入力します例 : BobW 注意 : ワイルドカードは使用しないでください 5. [OK] をクリックし [Save All] をクリックします 338

339 イベントルールの作業イベントルールの作業このトピックでは Response Rules ポリシー内での次のタスクの実行方法について説明しますイベントルールを有効または無効にするイベントルールを編集するイベントルールを削除するイベントルールの順序を決定するイベントルールの有効化と無効化 Response Rules ポリシー内でイベントルールを有効または無効にするには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. [Enabled] チェックボックスをオンにしてイベントルールを有効にするかボックスをオフにしてルールを無効にします 5. [Save All] をクリックしますイベントルールの編集レスポンスルールを編集するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. 編集するルールを選択し編集のアイコンをクリックします 5. 必要に応じてルールを編集します 6. [Save All] をクリックしますイベントルールの削除イベントルールを削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. 編集するルールを選択し削除のアイコンをクリックします 5. 警告ウィンドウで [ はい ] をクリックして変更内容を保存しますルールの順序 SiteProtector は指定した順序でイベントルールを実施しますリスト内でのイベントルールの場所はルールが実施される順序を決定します新しいイベントルールを作成する場合ルールはイベントルールリスト内で次の位置に自動的に置かれます新しいルールを作成する前にイベントルールを選択すると選択したルールの上に新しいイベントルールが作成されます SiteProtector User Guide for Security Managers Version 2.0, SP

340 第 25 章 : Response Rules ポリシーの定義イベントルール作成時にルールが選択されていないと新しいイベントルールはリストの最後に置かれますルールウィザードを使用してイベントルールを作成すると新しいイベントルールはリストの最初に置かれますイベントルールの順序付けレスポンスルールの順序を変更するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. リスト内でルールを選択しツールバーの上向き矢印上向き矢印および下向き矢印下向き矢印のアイコンをクリックしてリスト内のルール順序を変更します 5. [Save All] をクリックします 340

341 Event Rules タブのカスタマイズ Event Rules タブのカスタマイズ必要な場合に重要な情報を見つけられるように [Event Rules] タブでのルールの表示方法をカスタマイズすることができますこのトピックでは次のタスクについて説明します [Event Rules] タブでの列の追加と削除列での情報のソート列によるルールのグループ化列の追加または削除 [Event Rules] タブに列を追加または削除するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. [Select Columns] をクリックします 5. ビューで追加または削除する列の横にあるチェックボックスをオンにします 6. [OK] をクリックし [Save All] をクリックします列での情報のソート列内の情報をソートするには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. ソートする列の列見出しをクリックします情報が列内でアルファベット順または数値順にソートされます 5. [Save All] をクリックします列によるルールのグループ化列によってルールをグループ化するには : 1. 左ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. 右ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します 3. [Event Rules] タブを選択します 4. [Group By] をクリックします 5. [All Columns] リストでグループ情報に使用する列を選択します 6. [Add] をクリックします列名が [Group by These Columns] リストに表示されますヒント : 任意の列見出しを右クリックしポップアップメニューの [Group by] をクリックして列によるルールのグループ化を行うこともできますリストに追加する列はそれぞれ前の列の下にネストされます列のネスト方法を変更するには列をリストから削除し望ましい順序でリストに追加し直す必要があります 7. [Save All] をクリックします SiteProtector User Guide for Security Managers Version 2.0, SP

342 第 25 章 : Response Rules ポリシーの定義 342

343 コンポーネントルールの定義セクション B: コンポーネント概要このセクションでは Response Rules ポリシー内でのコンポーネントルールの定義について説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページコンポーネントルールとは 344 コンポーネントルールの作成 345 SiteProtector User Guide for Security Managers Version 2.0, SP

344 第 25 章 : Response Rules ポリシーの定義コンポーネントルールとはこのトピックではコンポーネントルールの前置き情報を説明します定義コンポーネントルールはエージェントまたはコンポーネントのステータスが変化したときに SiteProtector がレスポンスを送信するようにユーザー定義するパラメータです例 : 次に示すのはコンポーネントルールの例ですレポートの必要があるエージェントステータスエージェントステータスがレポートされる必要のある時間数制約最大 100 個のコンポーネントルールを作成することができますコンポーネントルールが 100 個を超えるとシステムパフォーマンスに悪影響が及ぶ可能性があります 344

345 コンポーネントルールの作成コンポーネントルールの作成コンポーネントルールを作成した場合コンポーネントのステータスまたは状態が変化すると作成したコンポーネントルールとの一致が確認されますコンポーネントのステータスがルールの基準に一致すると SiteProtector はその他のパラメータもすべて一致しているかどうか確認しますすべてのパラメータがルールに一致すると SiteProtector はレスポンスを生成しますタスクの概要表 111 ではコンポーネントルール作成に必要なタスクについて説明しますタスク説明 1 ルールの詳細 ( 名前など ) を設定する 2 ルールのフィルタを指定する 3 ルールに関するコンポーネントアドレスを指定する 4 ルールに関するレスポンスを指定する 5 ルールのアドバンストフィルタを指定する表 111: コンポーネントルール作成のタスクルール詳細の設定コンポーネントルールを作成するには : 1. 右ウィンドウ枠でサイトグループを右クリックしポップアップメニューから [Manage Policy] を選択します 2. [Central Responses] [Agent Version] [Agent Mode] の各ノードを展開します 3. 左ウィンドウ枠で [Response Rules] を右クリックしポップアップメニューから [Open Policy] を選択します [Policy] タブが表示されます 4. [Component Rules] タブを選択し [Add] をクリックします 5. [Enabled] チェックボックスをオンにし次のようなルール詳細を定義しますフィールド Order Name Comment 説明この値はルールリスト内でのルールの位置に基づいてシステム定義されますルールの名前を入力しますこのテキストボックスには 50 文字まで入力できますルールに関するユーザー定義のコメントを入力しますこのテキストボックスには 255 文字まで入力できます 6. 次の手順に進みルールフィルタを指定しますルールフィルタの指定ルールのフィルタを指定するには : 1. [Filters] タブを選択します 2. [Status] セクションでルールをトリガするコンポーネントステータスを選択します 3. [Type] セクションでルールをトリガするように指定したステータスを関連付けるコンポーネントの種類を選択します 4. 次の手順に進みコンポーネントアドレスを指定します SiteProtector User Guide for Security Managers Version 2.0, SP

346 第 25 章 : Response Rules ポリシーの定義コンポーネントアドレスの指定コンポーネントアドレスを指定するには : 1. [Component Address] タブを選択します 2. [Component Address] セクションで次のうちいずれかのオプションを選択し説明のとおりに情報を入力しますオプション Any Single IP Address Network Address/ #Network Bits (CIDR) 説明情報の入力は必要ありません次のいずれかを行いますリストから IP アドレスを選択する [Add] をクリックし IP アドレスを入力する ( 例 : ) IP アドレスとサブネットマスククを入力します ( 例 : /16) マスクはネットワーク識別子ですこれは 1 ~ 32 の番号です IP Address Range 範囲の最初と最後の IP アドレスを入力します ( 例 : ) Address List Entry 次のいずれかを行います [Address List Entry Name] リストから名前を選択する [Add Address Name] をクリックし名前を作成する 3. 次の手順に進みルールのレスポンスを指定しますコンポーネントルールのレスポンスの指定レスポンスを選択するには : レスポンスの指定 : 1. [Responses] タブで [Response Frequency] チェックボックスをオンにし [Send at most [n] responses within [n] [ 期間 ]] で適切な値を入力または選択します注意 : デフォルトは 60 秒に 1 回のレスポンスですレスポンス頻度を指定しないとルールが一致するたびに通知が送信されます 2. 次のうち 1 つ以上を行います注意 : [Responses] タブの [Responses] に表示されるレスポンス SNMP レスポンスまたはユーザー指定のレスポンスを作成しますこのルールと関連付けたい SNMP またはユーザー指定の情報がリストにない場合は [Manage Responses] をクリックしてリストに情報を追加します [ ] タブを選択しこのルールに関連付けるレスポンスの [Enabled] 列にあるチェックボックスをオンにします [SNMP] タブを選択しこのルールに関連付ける SNMP レスポンスの [Enabled] 列にあるチェックボックスをオンにします [User-Specified] タブを選択し Response Objects ポリシーでのユーザー指定レスポンスの指定 (321 ページ ) の手順に従います 3. 別のタブを選択して作業を続行するか [OK] をクリックします 4. いずれの場合も選択内容が保存されます SNMP レスポンスの指定 : 346

347 コンポーネントルールの作成 SNMP レスポンスを指定するには : 1. [Responses] タブを選択します 2. レスポンスの頻度を指定します 3. [SNMP] タブを選択します 4. リスト内にルールがあるでしょうかある場合はルールを選択し次の手順に進んでアドバンストフィルタを指定しますない場合は手順 5 に進みます 5. [Add] をクリックします [Add SNMP] ダイアログボックスが表示されます 6. SNMP レスポンスに関連付ける名前を [Name] ボックスに入力します 7. トラップの送信先 IP アドレスを [Manager] ボックスに入力します 8. SNMP エージェントとの認証に使用される有効なコミュニティ名を [Community] ボックスに入力します 9. [OK] をクリックし次の手順に進んでアドバンストフィルタを指定しますユーザー指定レスポンスの指定ユーザー指定レスポンスを指定するには : 1. [Responses] タブを選択します 2. レスポンスの頻度を指定します 3. [User Specified] タブを選択します 4. リスト内にルールがあるでしょうかある場合はルールを選択し次の手順に進んでアドバンストフィルタを指定しますない場合は手順 5 に進みます 5. [Add] をクリックします 6. [Name] にオブジェクトの名前を入力します 7. オブジェクトに関連付けるコマンドを [Command] ボックスに入力します 8. [Common] パラメータフォルダを展開しパラメータを選択します 9. [Add] をクリックします 10. [Move Up] または [Move Down] をクリックしてリストに追加したパラメータの順序を決定します 11. [OK] をクリックし次の手順に進んでアドバンストフィルタを指定しますコンポーネントルールのアドバンストフィルタの指定アドバンストフィルタを指定するには : 1. [Advanced Filters] タブを選択します 2. リスト内にアドバンストフィルタがあるでしょうかある場合はフィルタを選択し [OK] をクリックしてコンポーネントルール作成のプロセスを完了しますない場合は手順 3 に進みます 3. [Add] をクリックします [Add] をクリックした後 3 つの選択肢 (ComponentName ComponentHostName ComponentVersion) が与えられますカスタムパラメータを追加することはできません SiteProtector User Guide for Security Managers Version 2.0, SP

348 第 25 章 : Response Rules ポリシーの定義 348

349 第 26 章ポリシー継承の管理概要 SiteProtector を使用して複数のグループおよびエージェントの間で階層的なポリシーを柔軟に再利用することができますポリシー継承を利用することで親子の関係性に従ってポリシーを配布しこうした関係性を効率よく変更することができます注意 : 継承は階層的ポリシーを管理する効果的な方法ですしかし継承の効果は広く影響するため意図しない結果につながる可能性がありますポリシー継承を設定または優先させる前にこのセクションで説明する概念をよく理解しておいてください階層的ポリシーこの章の情報は階層的ポリシーのみに当てはまります階層的ポリシーを使用するエージェントおよびコンポーネントの例は次のとおりです Network IPS Event Archiver Network Multi-Function Security アプライアンス Central Response X-Press Update Server 注記 : Central Response は階層的ポリシーを使用しますがサブグループ内に Response Rules ポリシーを設定することはできませんこの章では次のセクションについて説明しますセクションページセクション A: インストールの前に 351 セクション B: ポリシービューでの継承の設定 355 SiteProtector User Guide for Security Managers Version 2.0, SP

350 第 26 章 : ポリシー継承の管理 350

351 セクション A: インストールの前に概要このセクションではこの章で取り上げる手順の実行前に確認しておくべきポリシー継承の概念と説明を紹介しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページポリシーの継承 352 ポリシービュー 353 SiteProtector User Guide for Security Managers Version 2.0, SP

352 第 26 章 : ポリシー継承の管理ポリシーの継承ポリシー継承を使用すると親子の関係性を利用して階層的ポリシーを効率よく再利用することができますこのトピックの情報を使用して継承の概念への理解を深めてくださいポリシー継承を使用する理由ポリシー継承はポリシーをツリー内の各レベルで定義し直さないまま再利用できるという点でオブジェクト指向プログラミングと似ていますポリシー継承を使って次の内容を実行できますより広範に適用される上位のポリシーから特定のエージェントまたは機能に合わせた下位レベルのポリシーを派生させるその他のエージェントやグループがそうしたポリシーを継承できるようにエージェントレベルからツリーの上位レベルへポリシーを昇格させる継承の機能ポリシー継承では下位レベルのエージェントおよびグループまたは子が親グループからポリシーを継承するように設定されますまた継承されたポリシーが優先されるようにし子エージェントまたはグループのレベルでポリシーを定義できるようにします子エージェントまたはグループがポリシーを継承するように設定されると子エージェントまたはグループは次のいずれかが発生するまでこのポリシーの使用を継続しますポリシーが子エージェントまたはグループで優先され定義される親または子が現在の階層の外に移動される継承の例表 112 ではツリー内でポリシーがどのように定義されるのかを示します SiteProtector はデフォルトポリシーを各サイトのトップレベルのフォルダで定義しますチェックマークはポリシーがツリー内のどこで定義されているのかを示しますファイアウォールルールはエージェントごとに異なるためこの例のファイアウォールポリシーは各グループで定義されていますネットワークオブジェクトは通常特定タイプのすべてのポリシーで利用可能となるためこのポリシーはトップレベルでしか定義されません左ウィンドウ枠内のフォルダファイアウォールアンチウィルスネットワークオブジェクト My Sites a Group 1 Group 2 a Agent 1 a 表 112: ツリー内でのポリシー継承と優先の例 a. Agent 1 で使用される有効なポリシーを示します Agent 1 は Group 2 で定義されているアンチウィルスポリシーと My Sites で定義されているネットワークオブジェクトポリシーを継承しますファイアウォールポリシーは Agent で定義されます 352

353 ポリシービューポリシービューコンソール内でポリシーを表示するまたはポリシー継承オプションを設定するにはポリシービューを選択する必要がありますポリシービューにはビューのリストからアクセスするかメニューの [Manage Policy] を選択してアクセスすることができますポリシー継承のオプションポリシー継承のオプションはグループまたはポリシーを右クリックしたときのポップアップメニューに表示されますポリシー継承のオプションを使用して継承と継承関係の表示を設定し優先させることができますポリシービューが選択されている場合は次の 2 箇所から継承オプションを選択できます左ウィンドウ枠のツリー右ウィンドウ枠の表左ウィンドウ枠ツリーに表示されるポリシー特定のグループまたはエージェントでポリシーが定義されている場合ツリー内でグループまたはエージェントを展開するとこのポリシーはこのグループまたはエージェントのメンバーとして表示されますツリー内でポリシーを選択するとそのポリシーの内容が右ウィンドウ枠に表示されますツリーからは [Override] と [Edit] を除くすべてのポリシー継承オプションを設定できます右ウィンドウ枠の表に表示されるポリシーツリー内でグループまたはエージェントを選択した場合選択したオブジェクトで使用されるポリシーの一覧が右ウィンドウ枠に表示されますこの一覧はポリシーテーブルと呼ばれますこの場所からは [Override] オプションを含むすべてのポリシー継承オプションを設定することができますまた複数のポリシーを選択することで複数のポリシーに継承オプションを適用することもできますポリシービューでの継承の表示ツリーまたはポリシーテーブルで選択したポリシーに適用される継承関係をハイライトで示すことができますこのオプションは親からポリシーを継承する子グループまたはエージェントを確認するのに役立ちますオプション Show Usages Hide Usages 説明ツリーまたはポリシーテーブルで選択されたポリシーから継承を受けているグループおよびエージェントがハイライトされます継承済みポリシー ( このポリシーを継承する子エージェントまたは子グループを含む ) は青くハイライトされます選択されているポリシーは赤くハイライトされますツリーでの [Show Usages] によるハイライトを解除します表 113: ポリシービューでの継承使用 SiteProtector User Guide for Security Managers Version 2.0, SP

354 第 26 章 : ポリシー継承の管理 354

355 ポリシービューでの継承の設定セクション B: ポリシー概要このセクションではポリシービューでのポリシー継承オプションの背景情報と手順について説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページエージェントのタイプとバージョンのオプション 356 ポリシー継承のためのグループまたはエージェントの設定 357 上位レベルのグループへのポリシー昇格 360 ポリシーの優先 362 子優先の解除 365 SiteProtector User Guide for Security Managers Version 2.0, SP

356 第 26 章 : ポリシー継承の管理エージェントのタイプとバージョンのオプション設定によっては特定のグループまたはエージェントで使われるポリシーを多数抱えることになりますポリシー管理のプロセスを簡単にするため SiteProtector ではいくつかの基準に従って表示するポリシーのタイプを制御することができますこの章で説明する手順を実行するにあたってはこのトピックをしばしば参照する必要がありますポリシービューでのエージェントオプション図 4 はポリシービューに表示される [Agent Type] [Agent Version] [Agent Mode] リストを示したものですこれらのリストはツリーとポリシーテーブルの両方に表示されるポリシーを制御しますたとえば [Agent Type] リストでバージョン 3.3 を選択するとバージョン 3.3 のポリシーだけが右ウィンドウ枠に表示されます指定したバージョンタイプモードの基準に一致するポリシーだけが表示されます図 4: 右ウィンドウ枠の Agent Type Agent Version Agent Mode リスト注記 : [Agent Mode] は [Agent Type] リストで [Network Multi-Function Security] が選択されている場合にしか利用できませんエージェントのタイプバージョンモード表 114 ではポリシービューが選択されている場合に右ウィンドウ枠に表示されるリストについて説明しますリスト Agent Type Agent Version Agent Mode 表示されるポリシーのフィルタリング基準リエージェントまたはコンポーネントのタイプポリシーのバージョン番号 Network Multi-Function Security アプライアンスがトラフィックを監視または通過させる場合の方法 (Network Multi-Function Security アプライアンスのみに適用 ) 表 114: エージェントのタイプバージョンモード 356

357 ポリシー継承のためのグループまたはエージェントの設定ポリシー継承のためのグループまたはエージェントの設定エージェントまたはグループが上位レベルのグループからポリシーを継承するように設定することができますこのトピックの背景情報と手順を使用して継承を設定します注記 : 特定エージェントに固有の設定を制御する特定のポリシーはポリシーを継承するように設定できませんたとえば Network Multi-Function Security アプライアンス用の Dynamic Blocking ポリシーはポリシーを継承するように設定できずエージェントレベルでしか定義できませんポリシーを継承するようにエージェントまたはグループを設定した場合ポリシーを継承するようにエージェントまたはグループを設定すると次のアクションが発生しますそのエージェントまたはグループは同じタイプのポリシーが定義されている最も近い親グループのポリシーの使用を開始するポリシーを継承するように設定された選択済みエージェントまたはグループのすべての子グループおよび子エージェントが選択したグループまたはエージェントからのポリシー継承を開始するポリシーが継承されているかどうかの確認方法表 115 を使用してポリシービューに表示されているポリシーが継承されているのかどうかを確認しますポリシーの状態継承されている継承されておらず左ウィンドウ枠で選択したエージェントまたはグループのレベルで定義済みである Inheriting From 列このポリシーの継承元である親グループが表示されます空白です表 115: ポリシーが継承されているかどうかの確認方法注記 : [Inheriting From] 列に UNCONFIGURED と表示されている場合はそのエージェントまたはグループは空白のポリシーまたは設定が有効になってないポリシーを使用していると考えられます次のいずれかの場合に [Inheriting From] 列に UNCONFIGURED が表示される可能性があります選択された子グループまたはエージェントが親からポリシーを継承するように設定されていない選択された子グループまたはエージェントでポリシーが定義されていないポリシー継承のためのエージェントまたはグループの設定エージェントまたはグループがポリシーを継承するように設定するには : 1. 次の表からオプションを選択します目的ポリシーを継承するようにエージェントを設定するポリシーを継承するようにグループを設定する作業エージェントビューを選択し設定するエージェントを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します設定するグループを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されそのエージェントまたはグループに関連するポリシーの一覧が右ウィンドウ枠に表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

358 第 26 章 : ポリシー継承の管理 2. 次のドロップダウンリストを使用して設定するポリシーまたはポリシーグループを表示します Agent Type Agent Version Agent Mode 注記 : 詳細についてはエージェントのタイプとバージョンのオプション (356 ページ ) を参照してください 3. 右ウィンドウ枠のポリシーテーブルで次のいずれかを行います親グループから継承させるポリシーを右クリックしポップアップメニューから [Inherit] を選択します [SHIFT] キーを使用して複数のポリシーを選択し右クリックしてポップアップメニューから [Inherit] を選択します 4. 次の点に注意してください右ウィンドウ枠の [Inheriting From] 列には同じタイプのポリシーが定義されている最も近い親グループが表示されます選択されたエージェントまたはグループでポリシーが定義されている場合そのポリシーは削除されます 5. ポリシーテーブル内でポリシーの継承済みグループに移動するにはポリシーを右クリックしポップアップメニューから [Go To Inherited Group] を選択しますツリー内にあるポリシーに対するポリシー継承の設定左ウィンドウ枠にあるポリシーに対して継承を設定するには : 1. ポリシービューを選択します 2. 左ウィンドウ枠で設定するポリシーの置かれているグループまたはエージェントを展開します 3. ポリシーを右クリックしポップアップメニューから [Inherit] を選択します注記 : 次の点に注意してください右ウィンドウ枠の [Inheriting From] 列には同じタイプのポリシーが定義されている最も近い親グループが表示されます選択したポリシーはツリーから削除されます 358

359 階層的ポリシーの編集階層的ポリシーの編集階層的ポリシーは右ウィンドウ枠のポリシーテーブルから編集できます階層的ポリシーを編集するときポリシーの内容が右ウィンドウ枠に表示されますポリシー編集によって発生する事象階層的ポリシーを右クリックしてポップアップメニューの [Open Policy] を選択すると次のアクションが発生します選択したエージェントまたはグループでポリシーが定義されていればこのポリシーが開きます選択したエージェントまたはグループでポリシーが定義されていなければ継承済みポリシーが開きます手順ポリシーテーブルからポリシーを編集するには : 1. ポリシービューを選択し編集するポリシーをポリシーテーブルで探します 2. ポリシーを右クリックしポップアップメニューから [Open Policy] を選択します右ウィンドウ枠に選択したポリシーの内容が表示されます 3. 特定のポリシー設定の詳細については編集中の特定のエージェントまたはコンポーネントのポリシーに関するマニュアルを参照してくださいヒント : ツリー内でポリシーを選択することでそのポリシーが定義されているレベルでポリシーを編集することができますポリシーの内容は右ウィンドウ枠に表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

360 第 26 章 : ポリシー継承の管理上位レベルのグループへのポリシー昇格 SiteProtector では定義したポリシーをツリーの 1 つ以上上のレベルへ簡単に移動することができますこのトピックの手順を使用して次の場所からポリシーを昇格させることができます右ウィンドウ枠にあるポリシーテーブル左ウィンドウ枠にあるツリーポリシー昇格によって発生する事象エージェントまたはグループからポリシーを昇格させると次のアクションが発生します同じタイプのポリシーが定義されている最も近い親グループでポリシーが定義される選択したエージェントまたはグループが親グループからのポリシー継承を開始するグループまたはエージェントからのポリシー昇格グループまたはエージェントからポリシーを昇格させるには : 1. 次の表からオプションを選択します目的エージェントポリシーを昇格させるグループポリシーを昇格させる作業エージェントビューを選択し設定するエージェントを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します設定するグループを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. 次のドロップダウンリストを使用して設定するポリシーまたはポリシーグループを表示します Agent Type Agent Version Agent Mode 注記 : 詳細についてはエージェントのタイプとバージョンのオプション (356 ページ ) を参照してください 3. 右ウィンドウ枠のポリシーテーブルで次のいずれかを行います昇格させるポリシーを右クリックしポップアップメニューから [Promote] を選択します [SHIFT] キーを使用して複数のポリシーを選択し右クリックしてポップアップメニューから [Promote] を選択します注記 : 次の点に注意してください選択したポリシーの [Inheriting From] 列には同じタイプのポリシーが定義されている最も近い親グループが表示されますポリシーは選択されたグループから削除され選択されたものと同じポリシーが親グループに表示されます 360

361 上位レベルのグループへのポリシー昇格ツリー内にあるポリシーの昇格ツリー内にあるポリシーを昇格させるには : 1. ポリシービューを選択します 2. 左ウィンドウ枠のツリーで設定するポリシーの置かれているフォルダを展開します 3. 表示するポリシーを右クリックしポップアップメニューから [Promote] を選択します 4. 次の点に注意してください選択したポリシーの [Inheriting From] 列には同じタイプのポリシーが定義されている最も近い親グループが表示されますポリシーは選択されたグループから削除され選択されたものと同じポリシーが親グループに表示されます SiteProtector User Guide for Security Managers Version 2.0, SP

第 26 章 : ポリシー継承の管理ポリシーの優先 SiteProtector では親グループから継承されるポリシーを優先させることができます [Override] オプションはポリシーテーブル内でポリシーを選択した場合にしか利用できませんこのトピックの手順を使用してエージェントまたはグループのレベルでポリシーを優先させますポリシー優先によって発生する事象ポリシーを優先させると

362 第 26 章 : ポリシー継承の管理ポリシーの優先 SiteProtector では親グループから継承されるポリシーを優先させることができます [Override] オプションはポリシーテーブル内でポリシーを選択した場合にしか利用できませんこのトピックの手順を使用してエージェントまたはグループのレベルでポリシーを優先させますポリシー優先によって発生する事象ポリシーを優先させると次のアクションが発生します選択したエージェントまたはグループの権限継承が停止され選択したレベルでポリシーが定義される選択したエージェントまたはグループのレベルでポリシーがこれまでに定義されていた場合そのポリシーが再度有効化される親からすべてのポリシーを継承するグループの例図 5 では親グループからすべての Network Multi-Function Security ポリシーを継承するグループの例を示しますツリー内のこのグループの下位にはポリシーが表示されない点に注意してください図 5: 親グループからすべての Network Multi-Function Security ポリシーを継承するグループの例優先されたポリシーを含むグループの例図 6 は図 5 で示したのと同じグループですが優先された Network Multi-Function Security ファイアウォールポリシーが含まれている点が異なりますファイアウォールポリシーが左ウィンドウ枠の [Atlanta] フォルダ内に表示されこのポリシーの [Inheriting From] 列が空白である点に注意してください 362

363 ポリシーの優先図 6: 優先されてグループレベルで定義されたファイアウォールポリシーの例ポリシーの優先ポリシーを優先させるには : 1. 次の表からオプションを選択します目的エージェントポリシーを優先させるグループポリシーを優先させる作業エージェントビューを選択し設定するエージェントを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します優先させるグループを右ウィンドウ枠で右クリックしポップアップメニューから [Manage Policy] を選択します [Policy] タブが表示されます 2. 次のドロップダウンリストを使用して設定するポリシーまたはポリシーグループを表示します Agent Type Agent Version Agent Mode 注記 : 詳細についてはエージェントのタイプとバージョンのオプション (356 ページ ) を参照してください 3. 右ウィンドウ枠のポリシーテーブルで次のいずれかを行います優先させるポリシーを右クリックしポップアップメニューから [Override] を選択します [SHIFT] キーを使用して複数のポリシーを選択し右クリックしてポップアップメニューから [Override] を選択します注記 : 次の点に注意してください右ウィンドウ枠で選択したポリシーの [Inheriting From] 列は空白です SiteProtector User Guide for Security Managers Version 2.0, SP

すべて見る

実施していただく前に

実施していただく前に SiteProtector 2.0 Service Pack 5 Service Pack 6 2006 4 7 1.... 2 Event Collector Service Pack 1.13... 3 2. SiteProtector Core SP6... 4 3. Console... 10 4. Service Pack 6... 11 5. 1 Deployment Manager...