CHAPTER 29 Symantec AntiVirus エージェントを MARS でレポートデバイスとしてイネーブルにするためには Symantec System Center コンソールをレポートデバイスとして指定する必要があります Symantec System Center コンソールはモニタ対象の AV エージェントからアラートを受信し このアラートを SNMP 通知として MARS に転送します MARS が SNMP 通知を受信したとき 通知内の送信元 IP アドレスは 転送した Symantec System Center コンソールではなく イベントのトリガー元である AV エージェントの IP アドレスです このため イベントをトリガーする可能性のある各 AV エージェントのホスト定義が MARS に必要です これらの定義は Symantec System Center コンソールのデバイス定義のサブコンポーネントとして追加されます MARS アプライアンスは AV エージェントがアラートを生成するときに AV エージェントを検出するので 手動で AV エージェントを定義する必要はありません MARS はアラートを解析して AV エージェントのホスト名を識別したり ホスト OS( オペレーティングシステム ) を検出したりします MARS はこの情報を使用して 定義されていないエージェントを Symantec System Center コンソールの子として追加します Symantec System Center コンソールは Generic Windows( すべての Windows) または Generic(Unix または Linux) オペレーティングシステム値を持つホストとなります Symantec System Center コンソールを定義する必要はありますが 各エージェントを定義する必要はありません 検出された AV エージェントのデフォルトのトポロジ表現はクラウド内にあります ( 注 ) 未知の AV エージェントから送信された最初の SNMP 通知は Symantec System Center コンソールから送信されたように認識されます MARS はこの通知を解析し 検出済みの設定を使用して Symantec System Center コンソールの子エージェントを定義します このエージェントが定義されると 以降のすべてのメッセージは AV エージェントから送信されたように認識されます 4.2.1 よりも前のリリースでは 各エージェントの追加を手動で行うか エクスポートされたエージェントファイル ( AntiVirus エージェントリストのエクスポート (P.29-7) で定義 ) を使用して行う必要がありました リリース 4.2.1 以降では MARS アプライアンスは AV エージェントがアラートを生成したときに AV エージェントを検出します Symantec AntiVirus 統合を設定する作業は 次の 2 つです (P.29-2) MARS へのデバイスの追加 (P.29-8) また 次の作業を行って MARS でエージェントリストの構築を効率よく実行できます AntiVirus エージェントリストのエクスポート (P.29-7) 29-1
イベントを MARS にパブリッシュするように AV サーバを設定する手順は 次のとおりです ステップ 1 Symantec AV が実行されている Windows サーバにログインします ステップ 2 Local Controller を有効な SNMP トラップの宛先として指定するために [Administrative Tools] > [Services] > [SNMP Service] > [Traps] > [Trap destinations] の順にクリックします ステップ 3 ステップ 4 ステップ 5 ステップ 6 [Trap Destination] ページで Local Controller の IP アドレスを入力し [OK] をクリックして 開いているウィンドウをすべて閉じます [Start] > [All Programs] > [Symantec System Center Console] の順にクリックします [Symantec System Center] ウィンドウで [System Hierarchy] をクリックします [System Hierarchy] で 該当するサーバグループの名前を右クリックし 設定されたパスワードを入力してサーバグループのロックを解除します サーバのロックを解除すると サーバを設定できる状態になります 図 29-1 Symantec サーバのロック解除 ステップ 7 SNMP トラップを MARS に送信するように Symantec サーバ (AMS-Alert Management System) を設定します ロックを解除したサーバグループの名前を右クリックし [All Tasks] > [AMS] > [Configure] の順にクリックします 29-2
図 29-2 Symantec AV の AMS ステップ 8 [Alert Action] のそれぞれで [Send SNMP Trap] を選択してから [Configure] をクリックします 図 29-3 Symantec AV のトラップ ステップ 9 [Send SNMP trap] をクリックし [Next] をクリックします 29-3
図 29-4 Symantec AV の Send SNMP Trap ステップ 10 ステップ 11 ステップ 3 で定義したように SNMP トラップの送信先の Local Controller を選択し [Next] をクリックして [Action Message] ウィンドウを表示します 次の情報に従って [Alert message] リストにアラートパラメータを追加します 図 29-5 Symantec AV の Action Msg MARS が AV トラップを解析するためには 次の必須フィールドに入力する必要があります これらのフィールドが任意のフィールドの間にある場合は 必須フィールドを順に定義してから 任意のフィールドを定義する必要があります 29-4
( 注 ) MARS アプライアンスモデル 25 55 110 210 GC2 では アクションメッセージに CR/LF(Enter キー ) を追加する必要はありません Action: <Actual Action > Description: <Description > ( 注 ) この順序が必要なのは 必須のフィールドがアトリビュートのリストの最初に表示されない場合にそのフィールドを MARS が正しく解析できないほど長い任意のフィールドがいくつかあるためです 次の任意のフィールドは 必須フィールドをすべて定義した後で定義できます User: <User > Virus Name: < Virus Name > File Path: <File Path > 次のリストは トラップタイプおよび使用可能なフィールドの完全なリストを示しています Alert: Virus Found 29-5
Action: <Actual Action > File Path: <File Path > Logger: <Logger > Requested Action: < Requested Action > User: <User > Virus Name: <Virus Name > Alert: Virus Definition File Update Description: <Description > Alert: Symantec AntiVirus Startup/Shutdown Description: <Description > Alert: Scan Start/Stop Logger: <Logger > User: <User > Alert: Scan Start/Stop 29-6
AntiVirus エージェントリストのエクスポート ステップ 12 Description: <Description > Logger: <Logger > Alert: Default Alert Failed Alert: <Failed Alert > Alert: Configuration Change Failed Alert: <Failed Alert > Alert: Configuration Change Description: <Description > アラートイベントごとにステップ 8 ~ ステップ 11 を繰り返します AntiVirus エージェントリストのエクスポート MARS は Symantec System Center に対して報告を行う AntiVirus エージェントのリストを自動的に検出できますが Symantec AntiVirus クライアントおよびエージェントのリストを CSV ファイル (*.csv) としてエクスポートできます こうすると この CSV ファイルを使用して エージェントを MARS に手動でロードすることが可能になります このファイルからエージェントを追加する方法の詳細については CSV ファイルからのエージェントの追加 (P.29-9) を参照してください この方 29-7
MARS へのデバイスの追加 法は エージェントを手動で指定した場合よりも 作業時間がはるかに短くなります CSV ファイルを生成する手順は 次のとおりです ステップ 1 ステップ 2 ステップ 3 [View] > [Default Console View] の順に選択して CVS ファイルが [Console Default View] に基づいて生成されるようにします エクスポートするサーバの名前を右クリックして [Export List] を選択し カンマ区切りのテキスト (*.csv) ファイルとして保存します このファイルを MARS アプライアンスがアクセスできる FTP サーバにコピーします このファイルは HTML インターフェイス内に AntiVirus エージェントを追加するときに使用します MARS へのデバイスの追加 エージェントを指定する前に Symantec System Center コンソールを MARS に追加する必要があります すべての AntiVirus エージェントは通知を Symantec System Center コンソールに転送し Symantec System Center コンソールは SNMP 通知を MARS に転送します Symantec System Center コンソールを定義したら デバイスをアクティブにします MARS はその Symantec System Center コンソールで管理されるエージェントを検出できます ただし エージェントは手動で追加することもできます ヒント Symantec AntiVirus の場合 Symantec エージェントのホスト名 (AV クライアントのコンピュータ名 ) はイベントデータの [Reported User] カラムに表示されます したがって このエージェントに関連するクエリー レポート 規則は [Reported User] 値に基づいて定義することができます ホストおよびアプリケーションの設定情報を追加する手順は 次のとおりです ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします 新しいホストでは [Add SW Security apps] 既存のホストで [Add SW security apps] を [Device Type] リストから選択します 新しいホストを追加するために デバイスの名前と IP アドレスを入力します [Apply] をクリックします [Reporting Applications] タブをクリックします [Select Application] リストから 次の値のいずれかを選択します Symantec AntiVirus 9.x Symantec AntiVirus 10.x [Add] をクリックして エージェントを追加します 次のいずれかを実行します 変更内容を保存し AntiVirus エージェントが自動的に検出されるようにする場合は [Submit] をクリックし [Done] をクリックします エクスポートされたシードファイルを使用してエージェントを追加する場合は CSV ファイルからのエージェントの追加 (P.29-9) の手順に進みます 29-8
MARS へのデバイスの追加 単一のエージェントを手動で追加するには 手動でのエージェントの追加 (P.29-9) の手順に進みます 手動でのエージェントの追加 MARS はエージェントを自動的に検出できます また エージェントを一度に 1 つずつ追加したり CSV ファイルを使用して一括して追加したりすることも可能です ( CSV ファイルからのエージェントの追加 (P.29-9) を参照 ) ここでは 1 つのエージェントを手動で追加する方法を説明します エージェントを定義すると 検出処理が高速になるという見返りが得られますが この作業は必須ではありません エージェントを手動で追加する手順は 次のとおりです ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 [Add Agent] をクリックします 既存のデバイスを選択するか [Add New] をクリックします 新しいデバイスに対しては 次の情報を入力します [Device Name]: このデバイスの DNS エントリ [Reporting IP]: ログをコンソールに送信するためにエージェントが使用する IP アドレス [Interfaces] リストで エージェントが実行されているホストにインストールされた各インターフェイスの IP アドレスおよびネットマスク値を指定します MARS はインターフェイス情報を使用して攻撃パスを計算します [Submit] をクリックします CSV ファイルからのエージェントの追加 AntiVirus エージェントリストのエクスポート (P.29-7) の定義に従って Symantec AV サーバで管理されるエージェントのリストを含む CSV ファイルを生成できます ファイルを生成したら このファイルを使用して Symantec AV サーバの子モジュールとして MARS Web インターフェイスにエージェントリストをインポートできます ( 注 ) それ以外の方法としては MARS でエージェントを自動的に検出したり ( デフォルト ) エージェントを一度に 1 つずつ追加したりする方法があります ( 手動でのエージェントの追加 (P.29-9) を参照 ) AV エージェントリストをインポートする手順は 次のとおりです ステップ 1 ステップ 2 ステップ 3 [Load From CSV] をクリックします FTP サーバ情報と CSV( カンマ区切り形式 ) ファイルの場所を入力します [Submit] をクリックします 29-9
MARS へのデバイスの追加 29-10