IBM Proventia Management/ISS SiteProtector 2.0

Similar documents
Symantec AntiVirus の設定

コミュニケーション サービスの設定

シナリオ:DMZ の設定

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

アラートの使用

次 はじめに ブラウザーサポート デフォルトのIPアドレスについて

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Syslog、SNMPトラップ監視の設定

Syslog、SNMPトラップ監視の設定

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

Managed Firewall NATユースケース

TeamViewer マニュアル – Wake-on-LAN

マルチ VRFCE PE-CE リンクのプロビジョ ニング

SNMP トラップの処理

R80.10_FireWall_Config_Guide_Rev1

ディレクトリ ハンドラの管理

MIB サポートの設定

シナリオ:サイトツーサイト VPN の設定

TeamViewer 9マニュアル – Wake-on-LAN

DELL Digital Locker 使用手順書 August 2016

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

VNX ファイル ストレージの管理

SMTP ルーティングの設定

R76/Gaia ブリッジ構成設定ガイド

VNX ファイル ストレージの管理

ゲートウェイのファイル形式

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

WebSAM System Navigator JNS isadmin SNMP Trap 連携設定手順書 NEC 2012 年 12 月

VPN 接続の設定

実施していただく前に

付録

連絡先

8021.X 認証を使用した Web リダイレクトの設定

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

ユーザ デバイス プロファイルの ファイル形式

Title: Hik-Connect アカウントを登録する方法 Version: v1.0 Date: 01/03/2017 Product: Cameras, NVRs, DVRs 概要 Hik-Connect は Hikvision によって導入された新しいサービスで 動的ドメイン名サービスとア

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

Click to Call を使用したコールの 発信

スケジュールによるメール送信イベントの設定方法 ( ファームウエア v6.5x 以降 ) はじめに 本ドキュメントでは Axis ネットワークカメラのファームウエア v6.5x 以降で 指定された曜日と時間帯に 画像を添付したメールを送信するための設定方法を説明します 設定手順 手順 1:Axis

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Nagios XI Webサイトの改ざん監視

Microsoft Word - プリンター登録_Windows XP Professional.doc

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

障害およびログの表示

Windows Server 2003 のインストール

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Mobile Access簡易設定ガイド

WatchGuard XTMv スタートアップガイド

Microsoft iSCSI Software Targetを使用したクラスタへの共有ディスク・リソースの提供

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

ストレージ パフォーマンスのモニタリング

PowerPoint プレゼンテーション

(Veritas\231 System Recovery 16 Monitor Readme)

スライド 1

2

FQDN を使用した ACL の設定

Dell SupportAssist Agent 導入ガイド

Hyper-V 仮想マシンの設定

PowerPoint プレゼンテーション

クラスタ構築手順書

メールデータ移行手順

939061j

SiteProtector2.0:ServicePack6紹介(v1.2).ppt

SonicDICOM Cloud Connector インストール手順書 SonicDICOM Cloud Connector とは 検査装置が撮影した画像を自動的にクラウドへアップロー ドするためのソフトウェアです 1 前準備 クラウド上に PACS を作成する SonicDICOM Cloud

拠点間 VPN オプション設定手手順書 お客客様環境お客様様宅環境のネットワーク構成を下図図に記入しておきます 接続方法 ( )PPPoE ( )Static ( )DHCP IP アドレス ( グローバル )... 接続の詳細情情報ユーーザ ID パスワード 接続の詳細情情報 IP アドレスネット

Microsoft Word - ManagerIPChange.doc

CEM 用の Windows ドメイン コントローラ上の WMI の設定

2. 設定画面から 下記の項目について入力を行って下さい Report Type - 閲覧したい利用統計の種類を選択 Database Usage Report: ご契約データベース毎の利用統計 Interface Usage Report: 使用しているインターフェイス * 毎の利用統計 * 専用

プラン作成ガイド ~ 仮想環境をエージェントレスで バックアップするプランの作成 ~ 年 8 月

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

Linux のインストール

Transcription:

CHAPTER 10 IBM Proventia Management/ISS SiteProtector 2.0 この章は 次の内容で構成されています グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector (P.10-1) (P.10-5) グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector レポートデバイスとして SiteProtector を定義するには レポートデバイスとしての IBM Proventia Management/ISS SiteProtector 2.0 (P.10-5) を参照してください ( 注 ) ここでは SiteProtector を使用して ISS NIDS および HIDS を設定する方法について説明します SiteProtector は MARS の観点から ISS イベントデータの集約ポイントとして監視および使用できるデバイスタイプではありません 4.3.1 および 5.3.1 よりも前は 各イベントタイプにカスタムイベントパーサーを開発しない限り SiteProtector のイベントデータを MARS で解析できませんでした MARS は SNMP 経由の ISS NIDS および HIDS イベントの取得をサポートしています ただし ISS RealSecure センサー (NIDS) およびホスト (HIDS) を設定する場合 各アクティブシグニチャを設定して アラートを MARS Appliance に送信する必要があります このタスクはリダイレクト設定をリセットし センサーごと および各シグニチャのアップグレード後に実行する必要があるため 面倒なことがあります このタスクを単純化する 1 つの方法は SiteProtector 管理コンソールを使用して その変更をグローバルに定義し 各センサーに適用することです SiteProtector 2.0 を使用すると グループポリシーについて MARS Appliance など SNMP アラートの宛先を中央管理できます これらのグループポリシーは 必要なホストおよびネットワークセンサーすべてにプッシュできます ISS シグニチャの更新ごとに SNMP アラートの宛先として MARS Appliance を指定してから ダウンロード済みシグニチャを SiteProtector を使用してセンサーに適用する必要があります ( 注 ) デフォルトで グループポリシーの応答設定は Proventia G400 および G2000 モデルでだけサポートされます 前述の G100 など その他のすべてのモデルでは ファームウェアのアップグレードが必要です 詳細については SiteProtector に付属するマニュアルを参照してください 10-1

グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector SiteProtector を使用して センサーによって生成された SNMP アラートを MARS Appliance に転送するために必要な 主な設定手順を実行するには 次の手順を実行します ステップ 1 [Add Sensor Wizard] を使用して [SiteProtector Console] にセンサーを登録します SiteProtector にセンサーを登録するために 他の方法があります ウィザードとその他の方式の使用方法の詳細については 次の URL の Chapter 9, Registering Software Managed by SiteProtector (105 ページ ) を参照してください http://documents.iss.net/literature/siteprotector/spuserguideforsecuritymanagers20sp52.pdf ステップ 2 編集するセンサーを右クリックし ショートカットメニューの [Edit Settings] をクリックします [Edit Settings] ダイアログが表示されます 10-2

グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector ステップ 3 MARS Appliance の IP アドレスに対してメッセージを送信する新しい SNMP 応答を作成します a. 設定ツリーから [Response Objects] を選択します b. [SNMP] タブをクリックします c. [Add] をクリックし MARS Appliance の IP アドレスを使用して新しい SNMP 応答オブジェクトを作成します 10-3

グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector ステップ 4 新しい SNMP の送信先を設定するために [Security Events] を選択します a. センサーフォルダで [Security Events] を選択します b. [Security Events] タブから必要なセキュリティイベントを選択します [Group By] をクリックすると 任意の数のパラメータを使用してポリシーをグループ化できます ( 注 ) また グループレベルでポリシーの選択と編集を行うこともできます c. [Edit] をクリックして すべての選択したポリシーの SNMP 応答を設定します 10-4

ステップ 5 [SNMP] タブで [MARS Appliance] を選択します a. [Edit Security Events] ダイアログボックスの一番上にある [Enabled] チェックボックスを選択することで すべてのセキュリティイベントをイネーブルにします b. [Responses] の [SNMP] タブを選択し ステップ 3 で作成した MARS Appliance 名の横にある [Enabled] を選択します c. [OK] をクリックします セキュリティイベントと更新された応答ターゲットは 次の同期中に選択したセンサーに適用されます レポートデバイスとしての IBM Proventia Management/ISS SiteProtector 2.0 MARS は SNMP 経由の ISS NIDS および HIDS イベントの取得をサポートしています ただし ISS RealSecure センサー (NIDS) およびホスト (HIDS) を設定する場合 各アクティブシグニチャを設定して アラートを MARS Appliance に送信する必要があります このタスクはリダイレクト設定をリセットし センサーごと および各シグニチャのアップグレード後に実行する必要があるため 面倒なことがあります このタスクを簡素化する 2 つの方法があります 10-5

SiteProtector 管理コンソールを使用して これらの変更をグローバルに定義し それを各センサーに適用します この場合 管理対象の ISS NIDS および HIDS デバイスの SNMP イベントデータを MARS で解析します SiteProtector 2.0 を使用すると グループポリシーについて MARS Appliance など SNMP アラートの宛先を中央管理できます これらのグループポリシーは 必要なホストおよびネットワークセンサーすべてにプッシュできます ISS シグニチャの更新ごとに SNMP アラートの宛先として MARS Appliance を指定してから ダウンロード済みシグニチャを SiteProtector を使用してセンサーに適用する必要があります デフォルトで グループポリシーの応答設定は Proventia G400 および G2000 モデルでだけサポートされます 前述の G100 など その他のすべてのモデルでは ファームウェアのアップグレードが必要です 詳細については SiteProtector に付属するマニュアルを参照してください レポートデバイスとして SiteProtector を定義します これは ISS NIDS および HIDS データの集約ポイントとして動作します この場合 MARS は SiteProtector からの SNMP イベントデータを解析します ここでは SiteProtector をレポートデバイスとして設定および定義する方法について説明します MARS で SiteProtector をレポートデバイスとしてイネーブルにするには SiteProtector コンソールをレポートデバイスとして定義します SiteProtector は 監視する ISS エージェントからアラートを受信し そのアラートを SNMP 通知として MARS に転送します MARS が SNMP 通知を受信するとき 通知の発信元 IP アドレスは 転送した SiteProtector ではなく 元々そのイベントをトリガーした ISS エージェントの IP アドレスです そのため MARS には イベントをトリガーする可能性がある各 ISS エージェントのホスト定義が必要です これらの定義は SiteProtector コンソールのデバイス定義にサブコンポーネントとして追加されます MARS は アラートを生成するときに ISS エージェントを検出するため 手動で定義する必要がありません MARS はアラートを解析して ISS エージェントのホスト名を特定し ホストのオペレーティングシステム (OS) を検出します MARS はこの情報を使用し Generic Windows( すべての Windows) または Generic(Unix または Linux) オペレーティングシステム値を持つホストである SiteProtector の子として 未定義のエージェントを追加します さらに SiteProtector を定義する必要があります ただし 各エージェントを定義する必要はありません 検出された ISS エージェントのデフォルトのトポロジプレゼンテーションは クラウド内です 不明な ISS エージェントからの最初の SNMP 通知は SiteProtector から送信されたように見えます MARS は この通知を解析し 検出された設定を使用して SiteProtector の子を定義します エージェントを定義した以降は すべてのメッセージが ISS エージェントが送信されたように見えます ここでは 次の内容について説明します SNMP 通知を MARS に転送するための SiteProtector の設定 (P.10-6) MARS での SiteProtector デバイスの追加および設定 (P.10-10) SNMP 通知を MARS に転送するための SiteProtector の設定 唯一の必要な設定は エージェントから受信した SNMP 通知を SiteProtector から MARS に転送するようにすることです これらの通知から MARS はエージェントとそれに関連する設定を検出できます また これらのイベントから ネットワークで発生するホストレベルのアクティビティを認識できます すべての通知を MARS Appliance に転送するには 次の手順を実行します ステップ 1 ステップ 2 SiteProtector コンソールにログインします [Grouping] > [Site Management] > [Central Responses] > [Edit settings] をクリックします 10-6

[Edit Central response Settings Window] が表示されます ステップ 3 [Response Objects] > [SNMP] > [Add] をクリックして イベントを転送する先の MARS Appliance を示す新しい応答オブジェクトを追加します [Add SNMP] ダイアログボックスが表示されます 10-7

ステップ 4 ステップ 5 ステップ 6 MARS Appliance に対応する次のフィールドの値を入力します [Name]:( ホスト名 ) [Manager]:(IP アドレス ) [Community]:( パブリック ) [OK] をクリックします MARS Appliance は応答オブジェクトとして表示されます これで SNMP トラップをこのオブジェクトに転送する応答規則を定義できるようになりました デフォルトの SNMP ポートは 612 です 1 つまたは複数の応答オブジェクトが各応答規則に関連付けられます そのため イネーブルにされた応答規則と関連付けられるまで 応答オブジェクトは使用されません 応答規則を追加するには [Response Rules] > [Add] をクリックします [Add Response Rules] ダイアログが表示されます 10-8

ステップ 7 ステップ 8 次の値を指定します [Enable]: 選択すると 応答規則がイネーブルになります [Name]: 応答規則の名前を指定します [Comments]: 応答規則の説明を指定します [SNMP] タブをクリックし [Enabled] カラムで ステップ 4 に定義されている応答オブジェクトの横にあるチェックボックスを選択します ( 注 ) 応答規則ごとに複数の応答オブジェクトをイネーブルにできます ステップ 9 [OK] をクリックすると 規則が保存され イネーブルになり MARS Appliance を示す応答オブジェクトもイネーブルになります ステップ 10 ( 任意 ) デフォルトで 規則は任意の発信元または発信先 IP アドレスと一致します 特定の発信元 IP アドレスと一致するように規則を改善するには 規則を変更し [Source] タブを選択します 10-9

次の値を指定します [Use specific source addresses]: 発信元の IP アドレスに基づいて規則を制限するには このオプションを選択します ステップ 11 [Mode]: その IP アドレスからか そうではないかの規則を指定します [Click Add]: 規則の範囲を絞り込むために 1 つまたは複数の IP アドレスを定義します 同様に 発信先 IP アドレスに基づいて規則を変更できます プログラムを終了します MARS での SiteProtector デバイスの追加および設定 エージェントを特定する前に SiteProtector を MARS に追加する必要があります すべての ISS エージェントは通知を SiteProtector に転送し SiteProtector は SNMP 通知を MARS に転送します SiteProtector を定義し終わったら デバイスをアクティブにします MARS は その SiteProtector に管理されているエージェントを検出できます ただし エージェントは手動で追加することもできます SiteProtector を MARS に追加するには 次の手順を実行します ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします 10-10

ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 [Device Type] リストから 新しいホストでは [Add SW Security apps] 既存のホストでは [Add SW security apps] を選択します 新しいホストを追加する場合 [Device Name] および [IP addresses] を入力します [Apply] をクリックします [Reporting Applications] タブをクリックします [Select Application] リストから [ISS SiteProtector 2.x] を選択します [Add] をクリックします [Management Console] ページが表示されます 次のいずれかを実行します 変更内容を保存し ISS エージェントを自動的に検出できるようにするには [Submit] をクリックし [Done] をクリックします ( 注 ) バージョン情報が SNMP イベントに含まれないため 検出されるエージェントは名前付き Generic Real Secure エージェントです 単一の ISS RealSecure NIDS または ISS RealSecure HIDS エージェントを手動で追加するには 手動による ISS エージェントの追加 (P.10-11) の手順に進みます 手動による ISS エージェントの追加 MARS は ISS エージェントからイベントを受信したときに そのエージェントを自動的に検出します バージョン情報が SNMP イベントに含まれないため 検出されるエージェントは名前付き Generic Real Secure エージェントです ただし ISS エージェント (ISS RealSecure NIDS または ISS RealSecure HIDS デバイス ) を SiteProtector デバイスの子として手動で追加することもできます この機能を使用すると 通知が生成されていない場合でも エージェントのすべてを表現できます そのため この定義によって 結果をレポートしていないデバイスを特定できます 注意 エージェントの動的検出をサポートするモニタリングデバイスは モニタリングデバイスサーバ ( 適用できる場合 ) 上のエージェントを検出しません このエージェントは意図的に検出されません そのデバイスからのイベント処理時に問題が発生するためです また モニタリングデバイスサーバ上で実行されるエージェントは手動で定義しないでください ISS エージェントを手動で追加するには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 [Admin] > [Security and Monitoring Devices] をクリックします デバイスのリストから SiteProtector を実行しているホストを選択し [Edit] をクリックします [Reporting Applications] タブをクリックし [Device Type] リストの [ISS SiteProtector] を選択し [Edit] をクリックします [Add Agent] をクリックします 次のいずれかを実行します 既存のデバイスを選択し [Edit Existing] をクリックし ステップ 8 の手順に進みます 10-11

ホスト名 レポート IP アドレス および 1 つ以上のインターフェイスの値が設定されたページが表示されます ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ステップ 11 [Add New] をクリックし ステップ 6 の手順に進みます [Device Name] フィールドに この ISS エージェントが存在するホスト名を入力します この値には このデバイスの DNS エントリを反映する必要があります [Reporting IP] フィールドに SiteProtector にログを送信するためにエージェントが使用する IP アドレスを入力します インターフェイス名 IP アドレス およびネットワークマスクを指定して このホストに設定する各インターフェイスを定義します 新しいインターフェイスを追加するには [Add Interface] をクリックします インターフェイス設定は 攻撃パスの算出に使用されます 各インターフェイスを定義して デュアルホーム接続されているホストを特定することは重要です [Device Application] フィールドで 次の値のいずれかを選択します ISS RealSecure 6.5 ISS RealSecure 7.0 [NIDS] または [HIDS] オプションを選択します [HIDS] を選択すると [Monitored Networks] フィールドは非表示になります [NIDS] を選択する場合 ステップ 12 の手順に進みます それ以外の場合 ステップ 14 の手順に進みます ステップ 12 攻撃パスの算出および軽減のために センサーの監視対象のネットワークを指定します 次のいずれかを実行します ネットワークを手動で定義するには [Define a Network] オプションボタンを選択します 10-12

ステップ 13 ステップ 14 a. ネットワークアドレスを [Network IP] フィールドに入力します b. 対応するネットワークマスク値を [Mask] フィールドに入力します c. [Add] をクリックして 指定したネットワークを [Monitored Networks] フィールドに移動します d. 必要に応じて繰り返します デバイスに接続するネットワークを選択するには [Select a Network] オプションボタンをクリックします a. [Select a Network] リストからネットワークを選択します b. [Add] をクリックして 指定したネットワークを [Monitored Networks] フィールドに移動します c. 必要に応じて繰り返します ステップ 16 の手順に進みます 複数のインターフェイスの場合 [Add Inerfaces] をクリックし 新しいインターフェイス名 IP アドレス およびネットワークマスクを指定します 図 10-1 複数インターフェイスの追加 ステップ 15 ステップ 16 ステップ 17 [Apply] をクリックします [Submit] をクリックし [Done] をクリックします このデバイスをアクティブにするには [Activate] をクリックします 10-13

10-14

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック