...

McAfee Enterprise Security Manager 9.6.0 製品ガイド

by user

on
Category: Documents
504

views

Report

Comments

Transcript

McAfee Enterprise Security Manager 9.6.0 製品ガイド
製品ガイド
McAfee Enterprise Security Manager 9.6.0
著作権
© 2016 Intel Corporation
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Enterprise Security Manager 9.6.0
製品ガイド
目次
9
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ローカライズされた情報を検索する . . . . . . . . . . . . . . . . . . . . . . . . . 10
よくある質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1
13
概要
McAfee Enterprise Security Manager の仕組み . . . . . . . . . . . . . . . . . . . . . .
13
デバイスと機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
ESM ヘルプを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
よくある質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
ローカライズされた情報を検索する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2
17
はじめに
ハードウェアおよびソフトウェアの要件 . . . . . . . . . . . . . . . . . . . . . . . . . .
17
FIPS モードについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
FIPS モード情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
FIPS モードの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
FIPS 整合性のチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
キーが指定されたデバイスを FIPS モードで追加 . . . . . . . . . . . . . . . . . . . . 22
FIPS モードのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . .
25
共通条件により評価された設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
ログオンとログオフ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
ログオン ページをカスタマイズする . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
ESM ソフトウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ルールの更新の認証情報の取得と追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ルールの更新のチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
イベント ログの言語を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
デバイスの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ESM コンソールにデバイスを追加する . . . . . . . . . . . . . . . . . . . . . . .
31
31
表示タイプの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
カスタム表示タイプを管理する . . . . . . . . . . . . . . . . . . . . . . . . . .
32
コンソールの優先設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
ESM コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
コンソールのカラー テーマの操作 . . . . . . . . . . . . . . . . . . . . . . . . .
34
コンソール ビュー設定の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
コンソール タイムアウト値の設定 . . . . . . . . . . . . . . . . . . . . . . . . .
3
ESM の設定
39
デバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.6.0
36
40
42
製品ガイド
3
目次
デバイス キーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
デバイスのソフトウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . 51
デバイスの編成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
複数のデバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
すべてのデバイスの URL リンクを管理 . . . . . . . . . . . . . . . . . . . . . . .
64
デバイス サマリー レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . .
65
システムまたはデバイス ログの表示 . . . . . . . . . . . . . . . . . . . . . . . .
66
デバイスの正常性ステータス レポート . . . . . . . . . . . . . . . . . . . . . . . . 68
グループまたはデバイスを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 71
デバイスを更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
デバイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
[Event Receiver] の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
Enterprise Log Manager (ELM) の設定 . . . . . . . . . . . . . . . . . . . . . .
141
Advanced Correlation Engine (ACE) の設定 . . . . . . . . . . . . . . . . . . . .
164
Application Data Monitor (ADM) の設定 . . . . . . . . . . . . . . . . . . . . . . 171
Database Event Monitor (DEM) の設定 . . . . . . . . . . . . . . . . . . . . . . 187
分散型 ESM (DESM) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ePolicy Orchestrator 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
202
Nitro Intrusion Prevention System (Nitro IPS) の設定 . . . . . . . . . . . . . . . . 209
McAfee Vulnerability Manager 設定 . . . . . . . . . . . . . . . . . . . . . . .
215
McAfee Network Security Manager の設定 . . . . . . . . . . . . . . . . . . . .
217
補助サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
一般システム情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Remedy サーバー設定を設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
221
ESM システム ツリーの自動更新を停止する . . . . . . . . . . . . . . . . . . . . .
222
メッセージ設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
222
デバイスで NTP を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
ネットワーク設定を構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
226
システム時刻の同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
新しい証明書をインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
データベースを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
ESM データ ストレージを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 258
ESM VM データ ストレージを設定 . . . . . . . . . . . . . . . . . . . . . . . .
259
使用可能なアキュムレーター インデックスの数を増やす . . . . . . . . . . . . . . . . . 259
非アクティブ状態のパーティションのアーカイブを設定 . . . . . . . . . . . . . . . . .
260
データ保持制限を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
データ割り当て制限を定義する . . . . . . . . . . . . . . . . . . . . . . . . . . 262
データベースのインデックス設定を管理 . . . . . . . . . . . . . . . . . . . . . . . 262
アキュムレータのインデックス作成を管理 . . . . . . . . . . . . . . . . . . . . . . 264
データベースのメモリ使用率を表示 . . . . . . . . . . . . . . . . . . . . . . . .
264
ユーザーとグループの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
ユーザーの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
266
ユーザー設定の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
セキュリティのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
McAfee ePO のユーザー認証情報をセットアップする . . . . . . . . . . . . . . . . .
277
ユーザーの無効化または再有効化 . . . . . . . . . . . . . . . . . . . . . . . . .
278
LDAP サーバーでユーザーを認証する . . . . . . . . . . . . . . . . . . . . . . .
278
ユーザー グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
279
アクセス制限のあるグループを追加する . . . . . . . . . . . . . . . . . . . . . . . 284
システム設定のバックアップおよびリストア . . . . . . . . . . . . . . . . . . . . . . . .
4
285
ESM の設定とシステム データのバックアップ . . . . . . . . . . . . . . . . . . . .
285
ESM 設定のリストア . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
287
McAfee Enterprise Security Manager 9.6.0
製品ガイド
目次
バックアップされた設定ファイルをリストアする . . . . . . . . . . . . . . . . . . .
288
ESM でバックアップ ファイルを使用 . . . . . . . . . . . . . . . . . . . . . . .
288
ファイルの維持を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
冗長 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
289
290
冗長 ESM の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
冗長 ESM を置換する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
292
共有クエリーを無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . .
292
ESM の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
ログを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
295
IP アドレスをマスクする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
ESM ロギングを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
298
通信キーをエクスポートおよびリストアする . . . . . . . . . . . . . . . . . . . . .
299
SSH キーを再生成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
クエリー タスク マネージャー . . . . . . . . . . . . . . . . . . . . . . . . . .
300
ESM で実行されるクエリーを管理する . . . . . . . . . . . . . . . . . . . . . . .
300
プライマリまたは冗長 ESM を更新する . . . . . . . . . . . . . . . . . . . . . . . 301
リモート デバイスにアクセス . . . . . . . . . . . . . . . . . . . . . . . . . .
301
Linux コマンドを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . .
303
使用できる Linux コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . .
303
グローバル ブラックリストを使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
グローバル ブラックリストを設定 . . . . . . . . . . . . . . . . . . . . . . . . . 305
データ エンリッチメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . . . . . . . .
™
4
306
307
McAfee Real Time for McAfee ePO データ エンリッチメントをセットアップする . . . . . .
310
Hadoop HBase データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . .
311
Hadoop Pig データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . . .
311
ユーザー名の Active Directory データ エンリッチメントを追加する . . . . . . . . . . . .
312
315
サイバー脅威の管理
サイバー脅威の管理をセットアップする . . . . . . . . . . . . . . . . . . . . . . . . . . 315
サイバー脅威フィードの結果を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . 316
5
対応のインジケーター タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
317
IOC STIX XML ファイルの手動アップロードで発生するエラー . . . . . . . . . . . . . . . . .
318
319
コンテンツ パックの使い方
コンテンツ パックをインポートする . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
319
321
アラーム ワークフロー
アラームの作成準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
アラーム メッセージをセットアップする . . . . . . . . . . . . . . . . . . . . . .
321
アラームの音声ファイルを管理する . . . . . . . . . . . . . . . . . . . . . . . .
326
アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
アラーム監視を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . .
327
アラームをコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
アラームをモニタリングして対応する . . . . . . . . . . . . . . . . . . . . . . . . . .
332
トリガーされたアラームの表示と確認 . . . . . . . . . . . . . . . . . . . . . . .
333
アラーム レポート キューを管理する . . . . . . . . . . . . . . . . . . . . . . . . 335
アラームを調整する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
UCAPL アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
正常性モニター イベント アラームを追加する . . . . . . . . . . . . . . . . . . . .
339
フィールドの一致アラームを追加する . . . . . . . . . . . . . . . . . . . . . . .
346
トリガーされたアラームとケースのサマリーをカスタマイズする . . . . . . . . . . . . . . 348
ルールにアラームを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
McAfee Enterprise Security Manager 9.6.0
製品ガイド
5
目次
7
アラーム アクションとして SNMP トラップを作成する . . . . . . . . . . . . . . . . .
349
電源障害通知アラームを追加する . . . . . . . . . . . . . . . . . . . . . . . . .
350
同期されていないデータ ソースを管理する . . . . . . . . . . . . . . . . . . . . .
350
353
イベントの操作
イベント、フロー、ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
353
イベント、フロー、ログのダウンロードを設定する . . . . . . . . . . . . . . . . . . . 354
データの収集時間を制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
非アクティブのしきい値設定の定義 . . . . . . . . . . . . . . . . . . . . . . . .
356
イベントとフローを取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
イベントのチェック、フロー、ログ . . . . . . . . . . . . . . . . . . . . . . . .
358
位置情報と ASN 設定を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
イベントまたはフローを集計する . . . . . . . . . . . . . . . . . . . . . . . . .
360
イベント転送を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
364
レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
372
四半期レポートの開始月を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 372
レポートの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
373
レポート レイアウトの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . .
375
PDF とレポートに画像を含める . . . . . . . . . . . . . . . . . . . . . . . . . . 378
レポート条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
レポートにホスト名を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . 380
contains フィルターと regex フィルターの説明 . . . . . . . . . . . . . . . . . . . . . . 381
ESM ビューの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
384
ESM ビューの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
385
セッションの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
ビュー ツールバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
386
定義済みビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
387
カスタム ビューを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
390
ビュー コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
クエリー ウィザードの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . .
402
ビューの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407
イベントを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
イベントの IP アドレスの詳細を表示する . . . . . . . . . . . . . . . . . . . . . .
409
デフォルト ビューを変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
410
ビューのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . .
410
ウォッチリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
415
文字列の正規化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
421
カスタム タイプ フィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
カスタム タイプを作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
定義済みのカスタム タイプ テーブル . . . . . . . . . . . . . . . . . . . . . . . . 426
時間カスタム タイプを追加する . . . . . . . . . . . . . . . . . . . . . . . . .
426
名前/値カスタム タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
426
名前/値グループ カスタム タイプを追加する . . . . . . . . . . . . . . . . . . . . . 427
®
McAfee Active Response 検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
427
Active Response 検索を実行する . . . . . . . . . . . . . . . . . . . . . . . . . 428
Active Response 検索の結果を管理する . . . . . . . . . . . . . . . . . . . . . .
429
Active Response データ エンリッチメント ソースを追加する . . . . . . . . . . . . . .
430
Active Response ウォッチリストを追加する . . . . . . . . . . . . . . . . . . . . . 430
イベント時間を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
431
433
ケースの管理
ケースを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
イベントからケースを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
イベントを既存のケースに追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Enterprise Security Manager 9.6.0
434
製品ガイド
目次
ケースを編集または閉じる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
436
ケースの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
ケースのステータス レベルを追加する . . . . . . . . . . . . . . . . . . . . . . . . . .
439
ケースを電子メールで送信する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
すべてのケースの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
440
ケース管理レポートを生成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
9
443
資産マネージャー の使用方法
資産を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
444
古い資産を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
447
設定管理の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
447
取得された設定ファイルを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . 448
ネットワーク検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
449
ネットワークを検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
IP 除外リストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
エンドポイントを検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
453
ネットワーク マップの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
453
ネットワーク検出の動作を変更する . . . . . . . . . . . . . . . . . . . . . . . .
454
資産ソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
資産ソースを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
脆弱性評価ソースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
457
ゾーン管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
458
ゾーンの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
458
ゾーンの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
459
ゾーン設定のエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . .
460
ゾーン設定のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . .
460
サブゾーンの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
10
資産、脅威、リスク評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
463
既知の脅威を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
464
465
ポリシーとルールの管理
ポリシー エディター について . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
465
ポリシー ツリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
ポリシー ツリー でポリシーを管理する . . . . . . . . . . . . . . . . . . . . . . . 467
ルール タイプとプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
471
472
プリプロセッサ ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
ファイアウォール ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
477
詳細なパケット検査のルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
内部ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
フィルター ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
アドバンスド Syslog パーサー (ASP) ルール . . . . . . . . . . . . . . . . . . . .
485
データ ソース ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
490
Windows イベント ルール . . . . . . . . . . . . . . . . . . . . . . . . . . .
492
ADM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
DEM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
相関ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
500
カスタム ADM、データベース、または相関ルールを追加 . . . . . . . . . . . . . . . .
502
ESM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
正規化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
パケットをコピー を有効にする . . . . . . . . . . . . . . . . . . . . . . . . .
514
デフォルトのポリシー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
514
アラート専用モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
オーバーサブスクリプション モードの設定 . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.6.0
516
製品ガイド
7
目次
デバイスのポリシー更新ステータスを表示 . . . . . . . . . . . . . . . . . . . . . . 516
ルールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
517
ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
517
ルールのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
変数をインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
ルールのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
520
自動ブラックリストへのルールの設定 . . . . . . . . . . . . . . . . . . . . . . .
521
既存ルールのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
ルールのシグネチャの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
523
ルールの更新の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
更新されたルール ステータスのクリア . . . . . . . . . . . . . . . . . . . . . . .
524
ルール ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
ルールの変更履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
525
ルールの新しいウォッチリストの作成 . . . . . . . . . . . . . . . . . . . . . . .
526
ウォッチリストへのルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . .
526
ルールまたは資産へのタグの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . .
527
[タグの選択] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
集計設定を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
528
ダウンロードしたルールの上書きアクション . . . . . . . . . . . . . . . . . . . . . . . .
529
重大度の加重 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
530
重大度の加重の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
ポリシーの変更履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
531
ポリシー変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
優先トラフィックの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
索引
8
McAfee Enterprise Security Manager 9.6.0
533
535
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。
•
ユーザー - このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機
能にアクセスできるユーザー。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
イタリック
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
太字
特に強調するテキストを表します。
モノスペース
コマンド、ユーザーが入力するテキスト、コードのサンプル、画面に表示されるメッセージを表
します。
[やや狭い太字]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品インターフェースのテキストを
表します。
青色のハイパー
テキスト
トピックまたは外部サイトへのリンクを表します。
注: 読み手に注意を促す場合や、別の操作手順を提示する場合に使用します。
ヒント: ベストプラクティスの情報を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データの保護
に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項を表しま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
9
まえがき
製品マニュアルの検索
製品マニュアルの検索
[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。
タスク
1
[ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。
2
[Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。
3
製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。
タスク
•
10 ページの「ローカライズされた情報を検索する」
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に
翻訳されています。
•
11 ページの「よくある質問」
ここでは、よくある質問について紹介します。
ローカライズされた情報を検索する
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されて
います。
•
中国語 (簡体字)
•
日本語
•
中国語 (繁体字)
•
韓国語
•
英語
•
ポルトガル語 (ブラジル)
•
フランス語
•
スペイン語
•
ドイツ語
ローカライズされたオンライン ヘルプにアクセスする
ESM で言語設定を変更すると、オンライン ヘルプの言語も自動的に変更されます。
1
ESM にログオンします。
2
ESM コンソールのシステム ナビゲーション ペインで、[オプション] を選択します。
3
言語を選択し、[OK] をクリックします。
4
ESM ウィンドウの右上隅にある ヘルプ アイコンをクリックするか、[ヘルプ] メニューを選択します。 選択した
言語でヘルプが表示されます。
ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。 今後の更新で、ローカライ
ズされたヘルプをインストールする予定です。
翻訳された製品マニュアルをナレッジ センターで検索する
10
1
ナレッジ センターを表示します。
2
翻訳された製品マニュアルを以下の条件で検索します。
•
検索語句 - 製品ガイド、インストール ガイドまたはリリース ノート
•
製品 - SIEM Enterprise Security Manger
•
Version — 9.6.0
McAfee Enterprise Security Manager 9.6.0
製品ガイド
まえがき
製品マニュアルの検索
3
検索結果で、関連するドキュメントのタイトルをクリックします。
4
PDF アイコンのあるページで、右側に言語リンクが表示されるまで下にスクロールします。 関連する言語をクリ
ックします。
5
PDF リンクをクリックします。翻訳された製品マニュアルが表示されます。
関連トピック:
15 ページの「ESM ヘルプを使用する」
よくある質問
ここでは、よくある質問について紹介します。
ESM の情報を他の言語で見ることはできますか?
ESM のリリース ノート、ヘルプ、製品ガイド、インストール ガイドには翻訳版があります。ローカライズさ
れた情報を検索する 10 ページの「」
McAfee ESM の情報はどこで入手できますか?
•
ESM ヘルプを使用する15 ページの「」
•
ナレッジ センターを利用する
•
エキスパート センターを利用する
•
McAfee ESM の動画を見る
サポートされている SIEM デバイスを教えてください。
McAfee ESM の Web サイトを見る
データソースの設定方法を教えてください。
ナレッジ センターで最新のデータソースの設定ガイドを参照してください。
データ ソース、カスタム タイプ、ルール、およびコンテンツ パックに対する変更や追加はどこで確認できますか?
•
ナレッジ センターにログオンして KB75608 記事を登録してください。この記事が変更されたときに通
知が届くようになります。
•
コンテンツ パックについては、ナレッジ センターで KB 記事を参照してください。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
11
まえがき
製品マニュアルの検索
12
McAfee Enterprise Security Manager 9.6.0
製品ガイド
1
概要
®
McAfee Enterprise Security Manager (McAfee ESM) を使用すると、セキュリティ担当者やコンプライアンス担
当者は、リスクと脅威に関する情報を収集し、保存や分析、アクションの実行を行うことができます。これらの操作
は 1 つの場所から実行できます。
目次
McAfee Enterprise Security Manager の仕組み
デバイスと機能
ESM ヘルプを使用する
よくある質問
ローカライズされた情報を検索する
McAfee Enterprise Security Manager の仕組み
McAfee ESM は、セキュリティ デバイス、ネットワーク インフラ、システム、アプリケーションからデータとイベ
ントを収集して集計します。 ユーザー、資産、脆弱性、脅威などのコンテキスト情報を組み合わせて有益な情報を生
成します。 この情報を相関分析して、関連するインシデントを検出します。 カスタマイズ可能な対話型のダッシュ
ボードを使用して、特定のイベントをドリルダウンし、インシデントを調査できます。
ESM は、次の 3 つのレイヤーで構成されます。
•
インターフェース - システムへのユーザーのインターフェースを提供するブラウザー プログラム (ESM コン
ソールともいいます)。
•
データ ストレージ、管理、および分析 - 設定、報告、視角化、検索など、すべての必要なデータ操作サービス
を提供するデバイス。 ESM (必須)、Advanced Correlation Engine (ACE)、分散型 ESM (DESM)、Enterprise
Log Manager (ELM) がこれらの機能を実行します。
•
データ取得 - ユーザーのネットワーク環境からデータを取得するインターフェースとサービスを提供するデバ
イス。 Nitro Intrusion Prevention System(IPS)、Event Receiver(Receiver)、Application Data Monitor
(ADM)、および Database Event Monitor(DEM)がこれらの機能を実行します。
コンポーネント間のすべてのコマンド、制御、および通信機能は、セキュアな通信チャネルを通じて調整されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
13
1
概要
デバイスと機能
デバイスと機能
ESM では、セキュリティ環境内のブル地デバイスと仮想デバイスを管理し、デバイスとの接続を制御できます。
関連トピック:
73 ページの「[Event Receiver] の設定」
141 ページの「Enterprise Log Manager (ELM) の設定」
171 ページの「Application Data Monitor (ADM) の設定」
187 ページの「Database Event Monitor (DEM) の設定」
164 ページの「Advanced Correlation Engine (ACE) の設定」
201 ページの「分散型 ESM (DESM) の設定」
202 ページの「ePolicy Orchestrator 設定」
209 ページの「Nitro Intrusion Prevention System (Nitro IPS) の設定」
14
McAfee Enterprise Security Manager 9.6.0
製品ガイド
1
概要
ESM ヘルプを使用する
ESM ヘルプを使用する
ESM の使い方が分からない場合には、 オンライン ヘルプを使用してください。概念、リファレンス、ESM の操作
方法などを確認できます。
タスク
1
2
ESM ヘルプを開くには、次のいずれかを行います。
•
メニュー オプションで [ヘルプ]、[ヘルプの目次] の順に選択します。
•
ESM 画面の右上にある ? マークをクリックします。その画面に固有のコンテキスト ヘルプが表示されま
す。
[ヘルプ] ウィンドウ:
•
ヘルプ内の語句を検索するには、[検索] フィールドを使用します。 [検索] フィールドの下に結果が表示され
ます。 関連するリンクをクリックすると、右側のペインにヘルプ トピックが表示されます。
•
ヘルプ トピックを順番に確認するには、[目次] タブを使用します。
•
ヘルプ内の特定の語句を探すには、[索引] を使用します。 キーワードが英字順に表示されます。必要なキー
ワードが見つかるまでリストをスクロールしてください。 キーワードをクリックすると、ヘルプ トピックが
表示されます。
•
現在のヘルプ トピックを印刷するには (スクロール バーを除く)、ヘルプ トピックの右上にあるプリンター
のアイコンをクリックします。
•
関連するヘルプ トピックのリンクを探すには、下にスクロールしてヘルプ トピックの最後に移動してくださ
い。
関連トピック:
10 ページの「ローカライズされた情報を検索する」
よくある質問
ここでは、よくある質問について紹介します。
ESM の情報を他の言語で見ることはできますか?
ESM のリリース ノート、ヘルプ、製品ガイド、インストール ガイドには翻訳版があります。ローカライズさ
れた情報を検索する 10 ページの「」
McAfee ESM の情報はどこで入手できますか?
•
ESM ヘルプを使用する 15 ページの「」
•
ナレッジ センターを利用する
•
エキスパート センターを利用する
•
McAfee ESM の動画を見る
サポートされている SIEM デバイスを教えてください。
McAfee ESM の Web サイトを見る
データソースの設定方法を教えてください。
ナレッジ センターで最新のデータソースの設定ガイドを参照してください。
データ ソース、カスタム タイプ、ルール、およびコンテンツ パックに対する変更や追加はどこで確認できますか?
McAfee Enterprise Security Manager 9.6.0
製品ガイド
15
1
概要
ローカライズされた情報を検索する
•
ナレッジ センターにログオンして KB75608 記事を登録してください。この記事が変更されたときに通
知が届くようになります。
•
コンテンツ パックについては、ナレッジ センターで KB 記事を参照してください。
ローカライズされた情報を検索する
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されて
います。
•
中国語 (簡体字)
•
日本語
•
中国語 (繁体字)
•
韓国語
•
英語
•
ポルトガル語 (ブラジル)
•
フランス語
•
スペイン語
•
ドイツ語
ローカライズされたオンライン ヘルプにアクセスする
ESM で言語設定を変更すると、オンライン ヘルプの言語も自動的に変更されます。
1
ESM にログオンします。
2
ESM コンソールのシステム ナビゲーション ペインで、[オプション] を選択します。
3
言語を選択し、[OK] をクリックします。
4
ESM ウィンドウの右上隅にある ヘルプ アイコンをクリックするか、[ヘルプ] メニューを選択します。 選択した
言語でヘルプが表示されます。
ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。 今後の更新で、ローカライ
ズされたヘルプをインストールする予定です。
翻訳された製品マニュアルをナレッジ センターで検索する
1
ナレッジ センターを表示します。
2
翻訳された製品マニュアルを以下の条件で検索します。
•
検索語句 - 製品ガイド、インストール ガイドまたはリリース ノート
•
製品 - SIEM Enterprise Security Manger
•
Version — 9.6.0
3
検索結果で、関連するドキュメントのタイトルをクリックします。
4
PDF アイコンのあるページで、右側に言語リンクが表示されるまで下にスクロールします。 関連する言語をクリ
ックします。
5
PDF リンクをクリックします。翻訳された製品マニュアルが表示されます。
関連トピック:
15 ページの「ESM ヘルプを使用する」
16
McAfee Enterprise Security Manager 9.6.0
製品ガイド
2
はじめに
ESM 環境が最新で準備ができていることを確認します。
目次
ハードウェアおよびソフトウェアの要件
FIPS モードについて
共通条件により評価された設定
ログオンとログオフ
ログオン ページをカスタマイズする
ESM ソフトウェアを更新する
ルールの更新の認証情報の取得と追加
ルールの更新のチェック
イベント ログの言語を変更
デバイスの接続
コンソールの優先設定
ハードウェアおよびソフトウェアの要件
ご使用のシステムが、次に示す最小限のハードウェアおよびソフトウェア要件を満たしている必要があります。
システムの要件
•
プロセッサー - P4 クラス (Celeron 以外) 以上 (Mobile/Xeon/Core2、Corei3/5/7)、または AMD AM2 クラ
ス以上 (Turion64/Athlon64/Opteron64、A4/6/8)
•
RAM - 1.5 GB
•
Windows OS - Windows 2000、Windows XP、Windows 2003 Server、Windows Vista、Windows 2008
Server、Windows Server 2012、Windows 7、Windows 8、Windows 8.1
•
ブラウザー - Internet Explorer 9.x 以降、Mozilla Firefox 9 以降、Google Chrome 33 以降
•
Flash Player - バージョン 11.2.x.x 以降
ファイルをアップロードまたはダウンロードすると、ESM 機能のポップアップ ウィンドウが表示されます。 ESM の
IP アドレスまたはホスト名のポップアップ ブロッカーを無効にしてください。
仮想マシンの要件
•
プロセッサー - 8 コア、64 ビット Dual Core2/Nehalem 以上または AMD Dual Athlon64/Dual
Opteron64 以上
•
RAM - 4 GB 以上 (モデルによって異なります)
McAfee Enterprise Security Manager 9.6.0
製品ガイド
17
2
はじめに
FIPS モードについて
•
ディスク容量 - 250 GB 以上 (モデルによって異なります)
•
ESXi 5.0 以上
•
シック プロビジョニングとシン プロビジョニング - サーバーのハードディスク要件を決める必要があります。
最小限の要件は 250 GB です (購入した仮想マシンがこのサイズを超えている場合は除く)。 仮想マシン製品の
仕様を確認してください。
ENMELM 仮想マシンでは、CPU と RAM を必要とする多くの機能が使用されています。 ESXi 環境と他の仮想マシ
ンの CPU/RAM 要件が同じ場合、ENMELM 仮想マシンのパフォーマンスに影響を及ぼします。 これらの要件を満た
す CPU と RAM を用意してください。
FIPS モードについて
Federal Information Processing Standard(FIPS)は、米国連邦政府が策定した公式発表済みの規格で構成され
ています。これらの規格を満たす必要がある場合は、このシステムを FIPS モードで動作させる必要があります。
FIPS モードは初めてシステムにログオンしたときに選択する必要があり、後から変更することはできません。
関連トピック:
19 ページの「FIPS モード情報」
目次
FIPS モード情報
FIPS モードの選択
FIPS 整合性のチェック
キーが指定されたデバイスを FIPS モードで追加
FIPS モードのトラブルシューティング
18
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
FIPS モードについて
2
FIPS モード情報
FIPS 規制により、一部の ESM 機能は使用できません。また、規制に準拠していない使用可能機能もあり、FIPS モ
ードの場合のみ使用できる機能もあります。ここにリストされた機能については、ドキュメント全体で説明していま
す。
機能ステータス
説明
[削除された機
能]
• 高可用性 Receiver。
• GUI ターミナル。
• SSH プロトコルによるデバイスとの通信機能。
• デバイス コンソールで、ルート シェルがデバイス管理メニューに置き換えられています。
[FIPS モードで
のみ使用できる
機能]
• 重ならない 4 つのユーザー ロール、[ユーザー]、[パワー ユーザー]、[監査の管理]、[キーと
証明書の管理] があります。
• すべての [プロパティ] ページには [セルフ テスト] オプションがあり、システムが FIPS モ
ードで正常に動作していることを確認できます。
• FIPS で障害が発生すると、その障害を反映してステータス フラグがシステム ナビゲーション
ツリーに追加されます。
• すべての [プロパティ] ページには [ビュー] オプションがあり、クリックすると [FIPS ID ト
ークン] ページが開きます。ここに表示される値と、ドキュメントの各セクションに表示され
る値を比較して、FIPS のセキュリティが侵害されていないかどうかを確認します。
• [システムのプロパティ] 、 [ユーザーとグループ] 、 [特権] 、 [グループを編集] の順に移動
します。このページに [FIPS 暗号化セルフ テスト] 特権が含まれ、グループ メンバーに
FIPS セルフ テストの実行が認証されます。
• [キーをインポート] または [キーをエクスポート] を選択して、[IPS プロパティ] 、 [キー管
理] の順にクリックすると、インポートまたはエクスポートするキーのタイプを選択するよう
に求められます。
• [デバイス ウィザードを追加] で、TCP プロトコルは常にポート 22 に設定されています。
SSH ポートは変更できます。
関連トピック:
19 ページの「FIPS モードの選択」
20 ページの「FIPS 整合性のチェック」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
22 ページの「FIPS モードのデバイスの情報をバックアップおよびリストア」
23 ページの「FIPS モードで複数の ESM デバイスとの通信を有効化」
25 ページの「FIPS モードのトラブルシューティング」
FIPS モードの選択
初めてシステムにログオンすると、システムを FIPS モードで操作するかどうかを選択するように促されます。一度
選択すると、変更できません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
19
2
はじめに
FIPS モードについて
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
初めて ESM にログオンしたときは、以下の手順に従います。
a
[ユーザー名] フィールドに NGCP と入力します。
b
[パスワード] フィールドに security.4u と入力します。
パスワードを変更するように促されます。
2
新しいパスワードを入力して確認します。
3
[FIPS を有効化] ページで [はい] をクリックします。
[FIPS を有効化] では、このシステムを FIPS モードで永続的に操作するかどうかを確認する警告メッセージが表
示されます。
4
[はい] をクリックして選択内容を確認します。
関連トピック:
19 ページの「FIPS モード情報」
20 ページの「FIPS 整合性のチェック」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
22 ページの「FIPS モードのデバイスの情報をバックアップおよびリストア」
23 ページの「FIPS モードで複数の ESM デバイスとの通信を有効化」
25 ページの「FIPS モードのトラブルシューティング」
FIPS 整合性のチェック
FIPS モードで操作している場合は、FIPS 140-2 により、ソフトウェアの整合性テストを定期的に行う必要があり
ます。このテストは、システムと各デバイスで実行する必要があります。
20
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
FIPS モードについて
2
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
以下のいずれかの操作を行います。
フィ
ール
ド
操作
[FIPS ESM で実行された最新の FIPS セルフ テストの結果を表示します。
ステ
ータ
ス:]
[テス 暗号実行可能ファイル内で使用されるアルゴリズムの整合性をテストする FIPS セルフ テストを実行しま
ト]
す。結果は、[メッセージ ログ] に表示できます。
また
は
FIPS セルフ テストが失敗した場合、FIPS が危険にさらされているか、デバイス エラーが発生しています。
[FIPS
McAfee サポートに連絡してください。
セル
フテ
スト]
[表
[FIPS ID トークン] ページを開いて、起動ソフトウェア整合性テストを実行します。このページに表示され
示]
るパブリック キーと以下の値を比較します。
また
は
[FIPS
ID]
この値とパブリック キーが一致しない場合、FIPS は危険にさらされています。McAfee サポートに連絡してく
ださい。
関連トピック:
19 ページの「FIPS モード情報」
19 ページの「FIPS モードの選択」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
22 ページの「FIPS モードのデバイスの情報をバックアップおよびリストア」
23 ページの「FIPS モードで複数の ESM デバイスとの通信を有効化」
25 ページの「FIPS モードのトラブルシューティング」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
21
2
はじめに
FIPS モードについて
キーが指定されたデバイスを FIPS モードで追加
FIPS モードでは、すでに ESM に対してキーが指定されたデバイスを 2 つの方法で追加できます。 この用語とファ
イル拡張子は、以下のプロセスを進める上で役立ちます。
用語
•
[デバイス キー] - デバイス用に ESM が持つ管理権限が含まれています。暗号化には使用されません。
•
[パブリック キー] - デバイスの認証済みキー テーブルに格納されている ESM パブリック SSH 通信キー。
•
[プライベート キー] - ESM でデバイスとの SSH 接続を確立するために SSH 実行ファイルによって使用され
る、ESM プライベート SSH 通信キー。
•
[プライマリ ESM] - 最初にデバイスを登録するために使用した ESM。
•
[セカンダリ ESM] - デバイスと通信を行う追加の ESM。
各種のエクスポート ファイルのファイル拡張子
•
.exk — デバイス キーが含まれています。
•
.puk — 公開鍵が含まれています。
•
.prk — 秘密鍵とデバイス キーが含まれています。
関連トピック:
19 ページの「FIPS
19 ページの「FIPS
20 ページの「FIPS
22 ページの「FIPS
23 ページの「FIPS
25 ページの「FIPS
モード情報」
モードの選択」
整合性のチェック」
モードのデバイスの情報をバックアップおよびリストア」
モードで複数の ESM デバイスとの通信を有効化」
モードのトラブルシューティング」
FIPS モードのデバイスの情報をバックアップおよびリストア
この方法は、ESM のデバイスの通信情報をバックアップおよびリストアするために使用します。
この機能は、主に ESM の置換を必要とするエラーが発生した場合に使用します。 エラーが発生する前に通信情報が
エクスポートされていなかった場合は、デバイスとの通信を再確立することはできません。 この方法では、.prk フ
ァイルがエクスポートおよびインポートされます。
プライマリ ESM のプライベート キーは、セカンダリ ESM がデバイスとの通信を最初に確立するために使用されま
す。 通信が確立すると、セカンダリ ESM はデバイスの認証済みキー テーブルにパブリック キーをコピーします。
セカンダリ ESM はプライマリ ESM のプライベート キーを消去し、独自のパブリック キーまたはプライベート キ
ーのペアによって通信を確立します。
22
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
FIPS モードについて
2
アクション
手順
プライマリ ESM か
ら .prk ファイルをエク
スポートします。
1 プライマリ ESM のシステム ナビゲーション ツリーで、バックアップする通信情報が
あるデバイスを選択し、[プロパティ] アイコンをクリックします。
2 [キー管理] を選択し、[キーをエクスポート] をクリックします。
3 [SSH 秘密鍵をバックアップ] を選択し、[次へ] をクリックします。
4 パスワードを入力して確認し、有効期限日を設定します。
有効期限日が経過すると、将来の有効期限日と合わせて別のキーがエクスポートされ
るまで、キーをインポートしてもデバイスと通信することができなくなります。[期限
なし] を選択すると、別の ESM にインポートされたキーが期限切れになることがなく
なります。
5 [OK] をクリックし、ESM で削除された .prk ファイルを保存する場所を選択して、プ
ライマリ ESM をログアウトします。
セカンダリ ESM にデバ 1 セカンダリ デバイスのシステム ナビゲーション ツリーで、デバイスを追加するシス
イスを追加し、.prk ファ
テムまたはグループ レベル ノードを選択します。
イルをインポートしま
2 アクション ツールバーで [デバイスを追加] をクリックします。
す。
3 追加するデバイスのタイプを選択し、[次へ] をクリックします。
4 このグループ内で一意のデバイス名を入力し、[次へ] をクリックします。
5 デバイスのターゲット IP アドレスを入力し、FIPS 通信ポートを入力して、[次へ] を
クリックします。
6 [キーをインポート] をクリックし、以前エクスポートした .prk ファイルを参照し、
[アップロード] をクリックします。
このキーを最初にエクスポートしたときに指定したパスワードを入力します。
7 セカンダリ ESM からログアウトします。
関連トピック:
19 ページの「FIPS モード情報」
19 ページの「FIPS モードの選択」
20 ページの「FIPS 整合性のチェック」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
23 ページの「FIPS モードで複数の ESM デバイスとの通信を有効化」
25 ページの「FIPS モードのトラブルシューティング」
FIPS モードで複数の ESM デバイスとの通信を有効化
.puk および .exk ファイルのエクスポートとインポートによって、複数の ESM が、同じデバイスと通信できるよう
にすることができます。
この方法では、2 つのエクスポートおよびインポート プロセスを使用します。最初に、プライマリ ESM を使用し
て、セカンダリ ESM デバイスがエクスポートした .puk ファイルをインポートし、それに含まれているセカンダリ
ESM パブリック キーをデバイスに送信することで、両方の ESM デバイスがデバイスと通信できるようになります。
次に、プライマリ ESM からデバイスの .exk ファイルがエクスポートされ、セカンダリ ESM にインポートされる
ことで、セカンダリ ESM がデバイスと通信できるようになります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
23
2
はじめに
FIPS モードについて
アクション
手順
セカンダリ ESM か
ら .puk ファイルをエ
クスポートします。
1 セカンダリ ESM の [システムのプロパティ] ページで、[ESM 管理] を選択します。
2 [SSH をエクスポート] をクリックし、.puk ファイルを保存する場所を選択します。
3 [保存] をクリックしてログアウトします。
.puk ファイルをプライ 1 プライマリ ESM のシステム ナビゲ
マリ ESM にインポー
ーション ツリーで、設定するデバイ
ト
スを選択します。
2 [プロパティ] アイコンをクリックし、
[キー管理] を選択します。
4 [インポート] をクリックし、.puk フ
ァイルを選択し、[アップロード] をク
リックします。
5 [OK] をクリックして、プライマリ
ESM からログアウトします。
3 [SSH キーを管理] をクリックしま
す。
プライマリ ESM から
デバイスの .exk ファ
イルをエクスポート
1 プライマリ ESM のシステム ナビゲーション ツリーで、設定するデバイスを選択しま
す。
2 [プロパティ] アイコンをクリックし、[キー管理] を選択します。
3 [キーをエクスポート] をクリックし、バックアップ デバイス キーを選択して、[次へ]
をクリックします。
4 パスワードを入力して確認し、有効期限日を設定します。
有効期限日が経過すると、将来の有効期限日と合わせて別のキーがエクスポートされる
まで、キーをインポートしてもデバイスと通信することができなくなります。[期限な
し] を選択すると、別の ESM にインポートされたキーが期限切れになることがなくな
ります。
5 .exk ファイル特権を選択し、[OK] をクリックします。
6 このファイルを保存する場所を選択し、プライマリ ESM からログアウトします。
セカンダリ ESM ファ
イルに .exk ファイル
をインポート
1 セカンダリ デバイスのシステム ナビゲーション ツリーで、デバイスを追加するシステ
ムまたはグループ レベル ノードを選択します。
2 アクション ツールバーで [デバイスを追加] をクリックします。
3 追加するデバイスのタイプを選択し、[次へ] をクリックします。
4 グループ内で一意のデバイス名を入力し、[次へ] をクリックします。
5 [キーをインポート] をクリックし、.exk ファイルを参照します。
6 [アップロード] をクリックし、このキーを最初にエクスポートしたときに指定したパス
ワードを入力します。
7 セカンダリ ESM からログアウトします。
関連トピック:
19 ページの「FIPS モード情報」
19 ページの「FIPS モードの選択」
20 ページの「FIPS 整合性のチェック」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
22 ページの「FIPS モードのデバイスの情報をバックアップおよびリストア」
25 ページの「FIPS モードのトラブルシューティング」
24
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
共通条件により評価された設定
2
FIPS モードのトラブルシューティング
ESM を FIPS モードで動作させると問題が発生する可能性があります。
問題
説明と解決
ESM と通信で
きない
• デバイス前面の LCD を確認します。[FIPS エラー] を示している場合は、McAfee サポートに
連絡してください。
• ブラウザーに McAfee ESM FIPS セルフ テスト Web ページを表示して、HTTP インターフェ
ースを介してエラー状態を確認します。
- 1 桁の [0] が表示された場合は、デバイスが FIPS セルフ テストに失敗したことを示してい
るため、ESM デバイスを再起動して問題の解消を試みてください。 エラーの状態が解消されな
い場合は、対処方法についてサポートに問い合わせてください。
- 1 桁の [1] が表示される場合は、FIPS エラー以外の理由で通信に問題が発生しています。
トラブルシューティングの手順についてサポートに問い合わせてください。
デバイスと通
信できない
• システム ナビゲーション ツリーのデバイスの横にステータス フラグがある場合は、フラグにカ
ーソルを合わせます。 [FIPS エラー] を示している場合は、サポート ポータルにアクセスして
McAfee サポートに連絡してください。
•『ESM と通信できない』の説明に従います。
デバイスを追
非 FIPS デバイスからキーをエクスポートできず、FIPS モードで動作するデバイスにインポート
加すると [ファ できません。 FIPS デバイスからキーをエクスポートできず、非 FIPS モードで動作するデバイス
イルが無効で
にインポートできません。 このエラーは、いずれかの場合に発生します。
す] エラー
関連トピック:
19 ページの「FIPS モード情報」
19 ページの「FIPS モードの選択」
20 ページの「FIPS 整合性のチェック」
22 ページの「キーが指定されたデバイスを FIPS モードで追加」
22 ページの「FIPS モードのデバイスの情報をバックアップおよびリストア」
23 ページの「FIPS モードで複数の ESM デバイスとの通信を有効化」
共通条件により評価された設定
McAfee アプライアンスは、共通条件により評価された設定に準拠するために、特定の方法でインストール、設定、
および操作する必要があります。システムを設定するときに、これらの要件を考慮してください。
タイ
プ
要件
物理
McAfee アプライアンスは次のように設定する必要があります。
• 権限のない物理的な変更が加えられないように保護する。
• アクセスが制御された設備内に設置し、権限のない物理的なアクセスを防止する。
目的
に合
った
使用
方法
McAfee アプライアンスは次のようにする必要があります。
• 機能の実行に必要な、すべてのネットワーク トラフィックにアクセスできる。
• Target of Evaluation(TOE)が監視するネットワーク トラフィックでのアドレス変更ができるように
管理する。
• 監視対象のネットワーク トラフィックに合わせてサイズ変更する。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
25
2
はじめに
ログオンとログオフ
タイ
プ
要件
担当
者
• McAfee アプライアンスとそれに含まれる情報のセキュリティを管理するために、1 人以上の適格性のあ
る担当者を割り当てる必要があります。それぞれの McAfee カスタマー向けに、McAfee エンジニアに
よって、インストールおよび設定に関するオンサイト アシスタンスと、アプライアンスの操作に関する
オンサイト トレーニングが提供されています。
• 認証済み管理者は、不注意、怠慢、反抗的な姿勢を持たず、McAfee アプライアンスのドキュメントに記
載されている指示に従う必要があります。
• McAfee アプライアンスには、認証済みユーザーのみがアクセスできます。
• McAfee アプライアンスの担当者は、IT セキュリティと整合性のある方法で、ユーザーのすべてのアク
セス認証情報が保護されるようにしなければなりません。
その
他
• 共通条件により評価された設定以外の設定の原因になるため、ソフトウェア更新は McAfee アプライア
ンスには適用しないでください。認証済みの更新を取得するには、McAfee サポートまでお問い合わせく
ださい。
• Nitro IPS デバイスで、[ウォッチドッグ タイマー] および [バイパスを強制] 設定を [ネットワーク イ
ンターフェース設定] ページで有効にすると、共通条件により評価された設定以外の設定の原因になりま
す。
• Nitro IPS デバイスで、[ドロップ] 以外のオーバーサブスクリプション モード設定を使用すると、共通
条件により評価された設定以外の設定の原因になります。
• RADIUS サーバーで [ログインのセキュリティ] 機能を有効にすると、セキュアな通信が実現します。こ
の IT 環境では、TOE と外部のエンティティやソースとのセキュアなデータ送信が可能になります。
RADIUS サーバーでは外部の認証サービスを提供できます。
• チェック ポイント ファイアウォール コンソールの [Smart Dashboard] 機能は、TOE には含まれてい
ません。
• Snort Barnyard の使用は TOE には含まれていません。
• MEF クライアントの使用は TOE には含まれていません。
• Remedy チケット システムの使用は TOE には含まれていません。
ログオンとログオフ
デバイスのインストールと設定が済むと、初めて ESM コンソールにログオンできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
26
1
クライアント コンピューターで Web ブラウザーを開き、ネットワーク インターフェースを設定したときに設定
した IP アドレスに移動します。
2
[ログイン] をクリックし、コンソールの言語を選択してから、デフォルトのユーザー名とパスワードを入力しま
す。
•
デフォルトのユーザー名: NGCP
•
デフォルトのパスワード: security.4u
3
[ログイン] をクリックし、[使用許諾契約]を参照してから、[受諾] をクリックします。
4
ユーザー名とパスワードを変更して [OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
ログオン ページをカスタマイズする
5
2
FIPS モードを有効にするかどうかを選択します。
FIPS モードで作業する必要がある場合、システムに初めてログオンするときに FIPS モードを有効にして、その
後の McAfee デバイスの操作がすべて FIPS モードで行われるようにします。 必要がない場合は、FIPS モードを
有効にしないでください。詳細については、『FIPS モードについて』を参照してください。
6
表示された手順を実行して、ルールの更新にアクセスするために必要なユーザー名とパスワードを取得します。
7
初期 ESM 設定を実行します。
a
システム ログで使用する言語を選択します。
b
この ESM が属するタイム ゾーンとこのアカウントで使用する日付形式を選択し、[次へ] をクリックします。
c
[初期 ESM 設定] ウィザードのページで設定を定義します。 各ページで [ヘルプを表示] アイコン
リックして、手順を確認します。
をク
8
[OK] をクリックします。スタート ガイドのヘルプ リンクをクリックして、このバージョンの ESM の新機能を
確認します。
9
作業セッションを完了したら、次のいずれかの方法でログオフします。
•
開いているページがない場合は、コンソールの右上にあるシステム ナビゲーション バーの [ログアウト] を
クリックします。
•
ページが開いている場合は、ブラウザを閉じます。
関連トピック:
27 ページの「ログオン ページをカスタマイズする」
30 ページの「イベント ログの言語を変更」
ログオン ページをカスタマイズする
ログオン ページは、企業のセキュリティ ポリシーなどの文字や企業ロゴなどを追加して、カスタマイズすることが
できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [カスタム設定] の順に選択します。
2
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
27
2
はじめに
ログオン ページをカスタマイズする
これを...
実行するには...
カスタム テキ
ストを追加
1 ページの上部にあるテキスト ボックスをクリックします。
2 [ログイン] ページに追加するテキストを入力します。
3 [ログイン画面にテキストを含めます] を選択します。
カスタム画像を 1 [画像を選択] をクリックします。
追加
2 使用する画像をアップロードします。
3 [ログイン画面に画像を含めます] を選択します。
新しいカスタム ロゴをアップロードしても、[ログイン] ページに古いロゴが表示されている場
合は、ブラウザーのキャッシュをクリアします。
カスタム画像を [画像を削除] をクリックします。デフォルトのロゴが表示されます。
削除
関連トピック:
26 ページの「ログオンとログオフ」
30 ページの「イベント ログの言語を変更」
28 ページの「カスタム設定 ページ」
カスタム設定 ページ
ログインと印刷設定のカスタマイズ、カスタム デバイス リンクの編集、Remedy 電子メール サーバーの設定の構成
を行います。
表 2-1 オプションの定義
オプション
定義
[追加テキストを入力します]
コンソール ログイン ページとデバイスの LCD ディスプレイに会社のセキュリ
ティ ポリシーなどのカスタム テキストを追加します。
[カスタム ロゴを選択します]
ログイン ページに表示する画像を選択します(『ログイン ページのカスタマイ
ズ』を参照)。
[ログイン画面にテキストを含め 追加したテキストをログイン ページに表示する場合に選択します(『PDF とレポ
ます]
ートへの画像の挿入』を参照)。
[ログイン画面に画像を含めま
す]
選択した画像をログイン ページに表示する場合に選択します。
[ビューまたは出力レポートから 選択した画像をエクスポートする PDF と出力するレポートに表示する場合に選
エクスポートされた PDF に画
択します。
像を含めます]
[システム ツリーの自動更新]
システム ツリーは 5 分間隔で自動的に更新されます。 この機能を無効にするに
は、このオプションの選択を解除します (『システム ツリーの自動更新を停止す
る』を参照)。
[デバイス リンク]
システムの各デバイスの URL リンクを変更します(『デバイスの URL の編集』
を参照)。
[Remedy]
Remedy システムが設定されている場合にイベントを送信できるように
[Remedy 電子メール サーバー] 設定を構成します。『Remedy 設定の構成』を
参照してください。
[月を指定]
四半期ごとにレポートを実行する場合に 第 1 四半期の開始月を定義します (『四
半期レポートの開始月を設定する』を参照)。
関連トピック:
27 ページの「ログオン ページをカスタマイズする」
28
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
ESM ソフトウェアを更新する
2
ESM ソフトウェアを更新する
更新サーバーまたはセキュリティ エンジニアからソフトウェア更新を入手し、ESM にアップロードします。
プライマリまたは冗長 ESM を更新するには、「プライマリまたは冗長 ESM を更新する」を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで、[ESM を更新] をクリックします。
3
ESM の更新に使用するファイルを選択して、[OK] をクリックします。
ESM が再起動します。更新のインストール中、現在のセッションはすべて切断されます。
関連トピック:
29 ページの「ルールの更新の認証情報の取得と追加」
30 ページの「ルールの更新のチェック」
29 ページの「[ソフトウェア更新ファイルを選択] ページ」
[ソフトウェア更新ファイルを選択] ページ
ESM のソフトウェア更新ファイルを選択します。
表 2-2 オプションの定義
オプション
定義
ソフトウェア更新
のテーブル
ファイルをクリックしてから、[OK] をクリックします。ESM が再起動されて現在のすべての
セッション接続が切断されることを示す警告が表示されます。続行するには [はい] をクリッ
クします。
[参照]
McAfee セキュリティ エンジニアまたは McAfee ルールおよび更新サーバーから取得したソ
フトウェア更新ファイルを参照します。[アップロード] をクリックして、警告ページで [は
い] をクリックします。
関連トピック:
29 ページの「ESM ソフトウェアを更新する」
ルールの更新の認証情報の取得と追加
ESM ではポリシー、パーサー、ルールの更新の提供がメンテナンス契約に含まれています。 恒久的な認証情報が必
要になるまで 30 日間アクセスすることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
認証情報を取得するには、電子メール メッセージに次の情報を記載して [email protected] に送信しま
す。
•
McAfee 承認番号
•
アカウント名
•
住所
McAfee Enterprise Security Manager 9.6.0
製品ガイド
29
2
はじめに
ルールの更新のチェック
•
連絡先の名前
•
連絡先の電子メール アドレス
2
McAfee からカスタマー ID とパスワードを受信したら、システム ナビゲーション ツリーで、 [システムのプロ
パティ] 、 [システム情報] 、 [ルールの更新] の順に選択します。
3
[認証情報] をクリックして、カスタマー ID とパスワードを入力します。
4
[検証] をクリックします。
関連トピック:
29 ページの「ESM ソフトウェアを更新する」
30 ページの「ルールの更新のチェック」
ルールの更新のチェック
Nitro IPS がネットワーク トラフィックの調査に使用するルール シグネチャは、McAfee シグネチャ チームが常時
更新しており、McAfee のセントラル サーバーからダウンロードできます。 これらのルール更新は自動または手動
で取得できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[ルールの更新] フィールドで、ライセンスの有効期限が切れていないことを確認します。
ライセンスの有効期限が切れている場合は、『ルールの更新の認証情報の取得と追加』を参照してください。
3
ライセンスが有効な場合は、[ルールの更新] をクリックします。
4
次のいずれかのオプションを選択します。
5
•
[自動確認間隔] には、システムが更新を確認する頻度を選択します。
•
[今すぐ確認] は、更新を今すぐ確認する場合に使用します。
•
[手動更新] は、ローカル ファイルからルールを更新します。
[OK] をクリックします。
関連トピック:
29 ページの「ESM ソフトウェアを更新する」
29 ページの「ルールの更新の認証情報の取得と追加」
イベント ログの言語を変更
最初に ESM に最初にログオンしたときに、正常性モニター ログやデバイス ログなどのイベント ログで使用される
言語を選択しました。この言語設定は変更できます。
30
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
デバイスの接続
2
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ESM 管理]を選択します。
2
[システム ロケール] をクリックし、ドロップダウン リストから言語を選択して、[OK] をクリックします。
関連トピック:
26 ページの「ログオンとログオフ」
27 ページの「ログオン ページをカスタマイズする」
デバイスの接続
リアルタイム フォレンジック、アプリケーションとデータベースのモニタリング、高度なルール/リスク ベースの相
関分析、コンプライアンス レポートを行うには、物理デバイスと仮想デバイスの両方を McAfee ESM に接続しま
す。
システム上のデバイス数を増やすときは、デバイスを論理的に編成してください。 たとえば、様々な場所にオフィス
がある場合は、そのゾーンごとにデバイスを表示します。 事前定義された表示を使用することも、カスタム表示を設
計することもできます。 カスタム表示内でグループ化してデバイスをさらに編成することもできます。
目次
ESM コンソールにデバイスを追加する
表示タイプの選択
カスタム表示タイプを管理する
ESM コンソールにデバイスを追加する
物理デバイスと仮想デバイスをセットアップしてインストールした後で、これらのデバイスを ESM コンソールに追
加する必要があります。
開始する前に
デバイスをセットアップしてインストールします (『McAfee Enterprise Security Manager 9.4.0 イ
ンストール ガイド』を参照)。
タスク
1
2
システム ナビゲーション ツリーで、[ローカル ESM] またはグループをクリックします。
アクション ツールバーの [デバイスを追加] アイコン
をクリックします。
3
追加するデバイスのタイプを選択し、[次へ] をクリックします。
4
[デバイス名] フィールドにグループ内の一意の名前を入力し、[次へ] をクリックします。
5
次の情報を入力します。
•
McAfee ePO デバイス - Receiver を選択します。Web インターフェースのログオン情報を入力して、[次
へ] をクリックします。 データベースとの通信に使用する設定を入力します。
[ユーザー認証が必要] を選択します。デバイスのユーザー名とパスワードを持っているユーザーにのみアク
セスを許可します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
31
2
はじめに
デバイスの接続
•
その他のデバイス - デバイスのターゲット IP アドレスまたは URL を入力し、その IP アドレスで使用でき
るターゲット SSH ポート番号を入力します。
6
デバイスで Network Time Protocol (NTP) 設定を使用するかどうかを選択し、[次へ] をクリックします。
7
インポートしたいキーがある場合は、[キーをインポート] (ELM または Receiver/Log Manager の組み合わせ
デバイスでは使用できない) を選択します。インポートするキーがない場合は、[デバイスのキーを指定する] を
クリックします。
8.3.x より前の ESM からエクスポートされたデバイス キーは、8.4.0 通信モデルを認識できません。アップグレ
ード時には、デバイスのキーを再指定する必要がありました。バージョン 9.0.0 以上でデバイスにアクセスするに
は、8.5.0 以上の ESM からこのデバイス用のキーを再エクスポートする必要があります。[仮想デバイスを設定]
特権など、デバイスで必要な特権があれば設定します。
8
デバイスのパスワードを入力し、[次へ] をクリックします。
ESM はデバイスの通信をテストし、接続のステータスを報告します。
関連トピック:
32 ページの「表示タイプの選択」
32 ページの「カスタム表示タイプを管理する」
62 ページの「カスタム表示タイプでグループを管理する」
表示タイプの選択
システム ナビゲーション ツリーにデバイスを表示する方法を選択します。
開始する前に
カスタム表示を選択するには、最初にシステムに追加します (『カスタム表示タイプを管理する』を参
照)。
タスク
1
システムのナビゲーション ペインで、表示タイプ フィールドのドロップダウン矢印をクリックします。
2
表示タイプの 1 つを選択します。
ナビゲーション ツリーのデバイスの組織が変更され、現在のワーク セッションに選択したタイプが反映されます。
関連トピック:
31 ページの「ESM コンソールにデバイスを追加する」
32 ページの「カスタム表示タイプを管理する」
62 ページの「カスタム表示タイプでグループを管理する」
カスタム表示タイプを管理する
カスタム表示タイプを追加、編集または削除して、システム ナビゲーション ツリーでのデバイスの編成を定義でき
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
32
1
システム ナビゲーション ペインで、表示タイプのドロップダウン矢印をクリックします。
2
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
2
はじめに
コンソールの優先設定
操作
手順
カスタム表示タイプを追加する
1 [表示を追加] をクリックします。
2 フィールドに入力し、[OK] をクリックします。
カスタム表示タイプを編集する
1
編集する表示タイプの横にある [編集] アイコン
をクリックします。
2 設定を変更して [OK] をクリックします。
カスタム表示タイプを削除する
削除する表示タイプの横にある [削除] アイコン
をクリックします。
関連トピック:
31 ページの「ESM コンソールにデバイスを追加する」
32 ページの「表示タイプの選択」
62 ページの「カスタム表示タイプでグループを管理する」
コンソールの優先設定
ESM コンソールでは、カラー テーマ、日付と時間の形式、タイムアウト値、複数のデフォルト設定を変更すること
で、複数の機能をカスタマイズすることができます。 McAfee ePolicy Orchestrator (McAfee ePO ) 認証情報を
セットアップすることもできます。
®
®
™
関連トピック:
34 ページの「ESM コンソール」
34 ページの「コンソールのカラー テーマの操作」
36 ページの「コンソール ビュー設定の選択」
36 ページの「コンソール タイムアウト値の設定」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
33
2
はじめに
コンソールの優先設定
ESM コンソール
ESM コンソールでは、デバイスに関するアクティビティをリアルタイムに把握できます。アラーム通知や割り当て
られたコードに迅速にアクセスできます。
1
一般的な設定を行うシステム ナビゲーション バ
ーのツールバー。
5
アラーム通知と割り当て済みのオープン ケース
を表示する [アラームとケース] ペイン。
2
頻繁に使用するページにアクセスするためのアイ
コン。
6
イベント、フロー、ログ データの [ビュー] ペイ
ン。
3
各デバイスを設定するために必要な機能を選択す
るためのアクション ツールバー。
7
ビューを作成、編集、管理する [ビュー] ツール
バー。
4
システム上のデバイスを表示するためのシステム
ナビゲーション ペイン。
8
データのイベントベースまたはフローベースのフ
ィルタリングを適用する [フィルター] ペイン。
関連トピック:
33 ページの「コンソールの優先設定」
34 ページの「コンソールのカラー テーマの操作」
36 ページの「コンソール ビュー設定の選択」
36 ページの「コンソール タイムアウト値の設定」
コンソールのカラー テーマの操作
既存のカラー テーマを選択するか固有のカラー テーマを設計して、ESM コンソールをカスタマイズします。カスタ
ム カラー テーマを編集、削除することもできます。
34
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
コンソールの優先設定
2
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
既存のカラー テーマを選択するか、カスタム テーマを追加、編集、削除します。
3
[追加] または [編集] をクリックした場合、カスタム テーマの色を選択して [OK] をクリックします。
新しいテーマを追加した場合、その色のサムネイルが [テーマを選択] セクションに追加されます。
4
[OK] をクリックして設定を保存します。
関連トピック:
33 ページの「コンソールの優先設定」
34 ページの「ESM コンソール」
36 ページの「コンソール ビュー設定の選択」
36 ページの「コンソール タイムアウト値の設定」
35 ページの「[色] ページ」
35 ページの「[テーマの色を選択] ページ」
[色] ページ
既存のカラー テーマを選択したり、カスタム設計を行ったり、カスタム テーマを編集または削除します。
表 2-3 オプションの定義
オプション
定義
[テーマを選択]
テーマのサムネイルをクリックして選択します。コンソールに選択内容が反映されます。
[追加]
新規テーマを作成します。クリックすると、[テーマの色を選択] ページが開きます。
[編集]
カスタム カラー テーマの変更を行います。
[削除]
カスタム カラー テーマを削除します。
関連トピック:
34 ページの「コンソールのカラー テーマの操作」
[テーマの色を選択] ページ
ESM コンソールのカスタム カラー テーマを追加または編集します。コンソールには、設定した変更が随時反映され
ます。
表 2-4 オプションの定義
オプション
定義
[テーマ名]
テーマの名前を入力します。
[アプリケーション]
コンソール背景の上部と下部の背景色とテキストの色を選択します。色は上部から下部
に溶け込みます。
[ワークスペース]
コンソール上のワークスペースの背景色とテキストの色、そして背景の透過性を選択しま
す。
[コンポーネントを表示] ビュー コンポーネントの背景色とテキストの色を選択し、コンポーネントの背景の透過
性を設定します。
[ダイアログ]
ダイアログの背景色とテキストの色を選択し、ダイアログの背景の透過性を設定します。
[リセット]
色をデフォルト設定に戻します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
35
2
はじめに
コンソールの優先設定
関連トピック:
34 ページの「コンソールのカラー テーマの操作」
コンソール ビュー設定の選択
ESM コンソールでビューのデフォルトを設定します。
このページでは、次の設定を行うことができます。
•
オープン ビューでデータを自動的に更新します。
•
システムの起動時にデフォルトで表示されるビューを変更します。
•
イベントまたはフロー ビューで [サマリー] を選択したときに表示されるビューを変更します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
[ビュー] ページで優先設定を選択して、[OK] をクリックします。
関連トピック:
33 ページの「コンソールの優先設定」
34 ページの「ESM コンソール」
34 ページの「コンソールのカラー テーマの操作」
36 ページの「コンソール タイムアウト値の設定」
36 ページの「[ビュー] ページ」
[ビュー] ページ
デフォルト ビューの設定と、オープン ビューでのデータの自動更新の設定を行います。
表 2-5 オプションの定義
オプション
定義
[次の間隔でビューを自動更 オープン ビューでデータを自動更新するかどうか、またどのような頻度でそれを行う
新]
かを設定する場合にこのオプションを選択します。
[デフォルトのシステム ビ
ュー]
[ビュー] ペインにデフォルトで表示されるビューは [デフォルト サマリー] です。
これを変更するには、ドロップダウン リストからビューを選択します。
[イベント サマリー ビュ
ー] または [フロー サマリ
ー ビュー]
ビューをドリルダウンするときに [要約] または [要約の条件] オプションを選択し
た場合(『コンポーネント メニュー オプション』 を参照)、これらの各フィールドで
選択するビューはデフォルト ビューになります。
関連トピック:
36 ページの「コンソール ビュー設定の選択」
コンソール タイムアウト値の設定
ESM コンソールの現在のセッションは、アクティビティが存在する限り開いています。セッションを終了する前の
非アクティブ期間を定義します。
36
McAfee Enterprise Security Manager 9.6.0
製品ガイド
はじめに
コンソールの優先設定
2
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ログインのセキュリティ] の順に選択します。
2
[UI タイムアウト値] で、アクティビティがなくなってからタイムアウトするまでの時間数 (分) を選択して、
[OK] をクリックします。
ゼロ (0) を選択すると、コンソールは開いたままです。
関連トピック:
33 ページの「コンソールの優先設定」
34 ページの「ESM コンソール」
34 ページの「コンソールのカラー テーマの操作」
36 ページの「コンソール ビュー設定の選択」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
37
2
はじめに
コンソールの優先設定
38
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ESM は、データ、設定、更新、構成を管理します。 複数のデバイスと同時に通信を行います。 ESM 環境を構築す
る場合には、組織の要件とコンプライアンスを十分に検討し、組織のセキュリティ管理ライフサイクルに合うように
設計してください。
目次
デバイスの管理
デバイスの設定
補助サービスの設定
データベースを管理
ユーザーとグループの操作
システム設定のバックアップおよびリストア
冗長 ESM
ESM の管理
グローバル ブラックリストを使用
データ エンリッチメント
McAfee Enterprise Security Manager 9.6.0
製品ガイド
39
3
ESM の設定
デバイスの管理
デバイスの管理
システム ナビゲーション ペインには、システムに追加したデバイスが表示されます。 1 つまたは複数のデバイス上
で機能を実行したり、必要に応じてそれらを編成することができます。また、システムにフラグが立てられたときに、
既存の問題を解決するために正常性ステータス レポートを表示することもできます。
表 3-1 機能の定義
機能
説明
1 アクション ツールバー
システム ナビゲーション ツリーで、デバイス上で実行するアクションを選択しま
す。
プロパティ アイコン
システム ナビゲーション ツリーで選択したシステムまたはデバイスの設定を行い
ます。
デバイスを追加アイコン
システム ナビゲーション ツリーにデバイスを追加します。
正常性ステータス フラグ
デバイス ステータス アラートを表示します。
複数デバイス管理
複数のデバイスを個別に起動、停止、再起動および更新します。
イベントとフローを取得
選択したデバイスのイベントとフローを取得します。
デバイスを削除
選択したデバイスを削除します。
すべてのデバイスのデータを更新します。
更新
40
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの管理
表 3-1 機能の定義 (続き)
機能
説明
2 表示タイプ
ツリー上でデバイスを編成する方法を選択します。ESM では次の 3 つのタイプが
事前定義されています。
• 物理表示 - デバイスが階層状にリストされます。 第 1 レベルはシステム ノー
ドです (物理表示、ローカル ESM、ローカル ESM ベース デバイス)。 第 2 レベ
ルは個々のデバイスであり、他のすべてのレベルはデバイスに追加したソースで
す(データ ソース、仮想デバイス、その他)。ベース デバイスは、ローカル ESM、
データ ソース、仮想デバイス、およびデータベース サーバー ノードの下に自動
的に追加されます。 これらのアイコンは淡色表示され、カッコで囲まれていま
す。
• デバイス タイプ表示 - デバイスはデバイス タイプごとに分けられます (Nitro
IPS、ADM、DEM)。
• ゾーン表示 — デバイスは、[ゾーン管理] 機能を使って定義したゾーン別に編成
されます。
カスタム表示タイプを追加することもできます(『デバイスの編成』 を参照)。
3 クイック検索
システム ナビゲーション ツリーで、デバイスのクイック検索を実行できます。
4 システム ナビゲーション
ツリー
システム上のデバイスを表示します。
関連トピック:
41 ページの「各デバイスの 管理 ページ」
各デバイスの 管理 ページ
各デバイスの [管理] ページでは、詳細な管理オプションを使用できます。 使用できるオプションは、選択したデバ
イスに応じて異なります。
表 3-2 オプションの定義
オプション
定義
[接続]
システムへのアクセスを許可します。
[接続]
DEM とのアクティブ接続を表示します。
[デバイス データ]
デバイスのステータスに関する情報が含まれる .tgz ファイルをダウンロードします。
このファイルには、暗号化されたパスワードや、重要なデータ ソースの設定情報が含まれる
場合があります。
[クエリー エージェ
ント]
DEM とエージェントのステータス情報をダウンロードします。
[ストリーム]
クリックすると、選択したデバイスによって生成されたイベントのストリームが表示されま
す。
[TCP ダンプ]
デバイスを通過するトラフィックを監視します。
[ターミナル]
デバイスで Linux コマンドを入力します。
[時間差]
設定した間隔よりも長く ESM と同期していないデータ ソースのリストを表示し、編集また
はエクスポートします。
[転送]
クリックすると、[NitroFile 形式でエクスポート] オプションが選択されたデータ ソースが
含まれた Receiver にインポートされるファイルが作成されます。
[デバイスを更新]
ソフトウェアの新しいバージョンをアップロードします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
41
3
ESM の設定
デバイスの管理
表 3-2 オプションの定義 (続き)
オプション
定義
[マネージャーを表
示]
データベース監視サービスのログ ファイル情報を表示し、DEM とエージェント間の通信イ
ベントを確認できます。
[統計を表示]
デバイスのパフォーマンスに関する統計を表示します。
関連トピック:
40 ページの「デバイスの管理」
デバイス情報を表示
デバイスに関連する一般的な情報を表示します。デバイスの [情報] ページを開いて、システム ID、シリアル番号、
モデル、バージョン、ビルドなどを確認します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
使用可能な情報を表示し、[OK] をクリックします。
タスク
•
44 ページの「URL リンクを追加する」
URL でデバイス情報を表示するために、デバイスごとに [名前と説明] ページでリンクを設定できます。
追加したリンクは、各デバイスの [イベント分析] および [フロー分析] ビューで、ビュー コンポーネン
トの下部にある [デバイス URL を起動] アイコン
をクリックすると表示されます。
•
44 ページの「デバイス統計をを表示する」
デバイス固有の CPU、メモリー、キュー、他のデバイス情報を表示します。
•
45 ページの「メッセージ ログとデバイスの統計を表示する」
システムによって生成されたメッセージを表示したり、デバイスのパフォーマンスに関する統計を表示
したり、デバイスのステータス情報が含まれた .tgz ファイルをダウンロードできます。
•
46 ページの「デバイス名を変更する」
システム ツリーにデバイスを追加する場合、ツリーに表示されるときの名前を付けます。この名前とシ
ステム名、URL、および説明は、変更できます。
関連トピック:
44 ページの「URL リンクを追加する」
44 ページの「デバイス統計をを表示する」
45 ページの「メッセージ ログとデバイスの統計を表示する」
46 ページの「デバイス名を変更する」
43 ページの「[デバイス情報[]] ページ」
43 ページの「[名前と説明][] ページ」
42
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
[デバイス情報[]] ページ
デバイスに関連する一般的な情報を表示します。選択したデバイスに応じてオプションが異なります。
表 3-3 オプションの定義
オプション
定義
[マシン ID]
デバイス識別番号。マシンの再登録が必要な場合、ただしファイルを送信するため、McAfee
サポートがこの番号を確認します。
[シリアル番号]
デバイス シリアル番号。
[モデル]
デバイス モデル番号。
[バージョン]
デバイスで現在実行されているソフトウェアのバージョン
[ビルド]
ソフトウェア バージョンのビルド番号
[クロック (GMT)]
デバイスを前回開いたかまたは更新した日付と時刻
[デバイス クロック このデバイスのクロックを ESM と同期します。
を同期]
[アノマリ検出ウィ
ザード]
IPS または仮想デバイスで、選択したデバイスで使用可能なすべての変数を表示します。 多
くの複雑な計算によって、レート ベースのアノマリ パラメーターの推奨値が求められ、ネッ
トワーク トラフィックのパターンのビジュアルな分析が提示されます。
[ゾーン]
デバイスが割り当てられているゾーン。[ゾーン] をクリックすると、[ゾーン ポリシー マネ
ージャー] が開きます (「ゾーンを追加する」を参照)。
[ポリシー]
このデバイス上のポリシーの現在の状態。[ポリシー] をクリックすると、[ポリシー エディタ
ー] が開きます (「ポリシー エディター」を参照)。
[ステータス]
デバイス上のプロセスのステータスと FIPS セルフ テスト実行後の FIPS ステータス (デバ
イスを FIPS モードで実行している場合)。
[モード]
IPS で、デバイスのモード (IPS または IDS) を通知します。 IPS モードの場合、不正なト
ラフィック (受信および送信) を自動的にドロップします。 IDS モードの場合、不正なトラ
フィックを警告しますが、アクションは実行しません。
[バイパス]
IPS の場合、デバイスがバイパス モードかどうかを通知します。 バイパス モードの場合、す
べてのトラフィック (不正なトラフィックも含む) が通過を許可されます。
[開始]
デバイスを起動します。デバイスがすでに起動されている場合は何も行われません。
[停止]
デバイスを停止します。すべてのデータ収集が停止するという警告が表示されます。
[再起動]
デバイスを再起動します。システムが再起動される間、データ収集が停止するという警告が表
示されます。
[更新]
ページ上の情報が更新されます。
関連トピック:
42 ページの「デバイス情報を表示」
[名前と説明][] ページ
デバイス ID、デバイス名とシステム名、URL、および説明を表示して変更します。
表 3-4 オプションの定義
オプション
定義
[デバイス ID] デバイスに割り当てられた ID 番号。この番号を変更することはできません。
[名前]
システムに追加したときにデバイスに付けた名前。
[システム名]
LCD または SSH 表示に示される名前。名前では英数字とダッシュだけを使用でき、先頭文字はア
ルファベットにする必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
43
3
ESM の設定
デバイスの管理
表 3-4 オプションの定義 (続き)
オプション
定義
[URL]
イベントまたはフローの詳細を表示できるアドレス。最大 512 文字の入力が可能です。URL アド
レスにサードパーティ製アプリケーションのアドレスが含まれていて、イベントまたはフロー内の
データを表す変数を追加する必要がある場合は、変数アイコンをクリックして変数を選択します。
URL にアクセスするには、イベントまたはフロー ビューのテーブル コンポーネントの下にある
[デバイス URL を起動] アイコンをクリックします。 それによってサードパーティ製アプリケー
ションが開き、関連付けられたイベント データまたはフロー データが URL を介して渡されます。
[説明]
デバイスの説明。
関連トピック:
42 ページの「デバイス情報を表示」
URL リンクを追加する
URL でデバイス情報を表示するために、デバイスごとに [名前と説明] ページでリンクを設定できます。追加したリ
ンクは、各デバイスの [イベント分析] および [フロー分析] ビューで、ビュー コンポーネントの下部にある [デバイ
ス URL を起動] アイコン
をクリックすると表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[名前と説明] をクリックし、URL を入力します。
3
[OK] をクリックして変更を保存します。
をクリックします。
関連トピック:
42 ページの「デバイス情報を表示」
44 ページの「デバイス統計をを表示する」
45 ページの「メッセージ ログとデバイスの統計を表示する」
46 ページの「デバイス名を変更する」
デバイス統計をを表示する
デバイス固有の CPU、メモリー、キュー、他のデバイス情報を表示します。
開始する前に
デバイス管理権限があることを確認してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーで関連デバイスを選択し、[プロパティ] アイコン
をクリックします。
デバイスの [管理] をクリックし、[統計を表示] をクリックします。
デバイスの統計情報がグラフで表示されます。更新間隔は 10 分です。 データを表示するには、最低でも 30 分以上
のデータが必要です。 各メトリック タイプに複数のメトリックが存在し、その一部がデフォルトで有効になってい
ます。 [表示] をクリックして、メトリックスを有効にします。 4 番目の列に該当するメトリックの単位が表示され
ます。
44
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
関連トピック:
44 ページの「URL リンクを追加する」
42 ページの「デバイス情報を表示」
45 ページの「メッセージ ログとデバイスの統計を表示する」
46 ページの「デバイス名を変更する」
45 ページの「デバイス統計の [パフォーマンス モニター] タブ」
デバイス統計の [パフォーマンス モニター] タブ
選択した ESM またはデバイスの統計を表示します。
表 3-5 オプションの定義
オプション
定義
[期間]
統計を表示する時間を選択します。
[メトリックス]
表示するメトリックス タイプを選択します。
[更新]
選択したメトリックスの統計でグラフとテーブルを更新します。
グラフ
選択した統計をグラフ形式で表示します。
テーブル
選択した統計をテーブル形式で表示します。
[グループ] 列
メトリックス グループのタイプが表示されます。
[メトリックス] 列 メトリックスが表示されます。これは、メトリックス グループのサブカテゴリにな
ります。
[表示済み] 列
現在グラフに表示されているメトリックスかどうかを表します。 メトリックスを選
択または選択解除すると、グラフに変更が反映されます。
[スケール] 列
対応するメトリックのスケールが表示されます。
[カラー] 列
グラフで各メトリックスを表す色が表示されます。
関連トピック:
44 ページの「デバイス統計をを表示する」
メッセージ ログとデバイスの統計を表示する
システムによって生成されたメッセージを表示したり、デバイスのパフォーマンスに関する統計を表示したり、デバ
イスのステータス情報が含まれた .tgz ファイルをダウンロードできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [管理] をクリックし、次のいずれかを選択します。
オプション
説明
[ログを表示] クリックすると、システムによって記録されたメッセージが表示されます。[ファイル全体をダ
ウンロード] をクリックすると、データがファイルにダウンロードされます。
[統計を表示] クリックすると、Ethernet インターフェース、ifconfig、iptables フィルターなどのデバイス
のパフォーマンスに関する統計が表示されます。
[デバイス デ クリックすると、デバイスのステータスに関するデータが含まれる .tgz ファイルがダウンロー
ータ]
ドされます。これは、McAfee サポートとともにシステム上の問題を解決する場合に使用できま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
45
3
ESM の設定
デバイスの管理
関連トピック:
44 ページの「URL リンクを追加する」
44 ページの「デバイス統計をを表示する」
42 ページの「デバイス情報を表示」
46 ページの「デバイス名を変更する」
デバイス名を変更する
システム ツリーにデバイスを追加する場合、ツリーに表示されるときの名前を付けます。この名前とシステム名、
URL、および説明は、変更できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[名前と説明] をクリックし、名前、システム名、URL、および説明を変更するか、[デバイス ID] 番号を確認し
ます。
3
[OK] をクリックします。
関連トピック:
44 ページの「URL リンクを追加する」
44 ページの「デバイス統計をを表示する」
45 ページの「メッセージ ログとデバイスの統計を表示する」
42 ページの「デバイス情報を表示」
デバイス キーについて
ESM がデバイスと通信するには、デバイスにキーが指定されたときに作成された通信キーを使用して、すべての通
信を暗号化する必要があります。
すべてのキーは、パスワードで暗号化された別のファイルにエクスポートすることをお勧めします。 それをインポー
トすることで、緊急時にデバイスとの通信をリストアし、また別のデバイスにキーをエクスポートすることが可能に
なります。
すべての設定が ESM に格納されており、ESM コンソールは ESM で維持されているキーを認識できるため、ESM
がすでにデバイスと正常に通信している場合には、デバイス キーをインポートする必要はありません。
たとえば、設定 (デバイス キーを含む) のバックアップを月曜に作成し、いずれかのデバイスのキーを火曜に再指定
することができます。 水曜に月曜の設定をリストアする必要性を認識した場合には、設定のリストアが完了した後
で、火曜に作成したキーをインポートする必要があります。 リストアによってデバイス キーが月曜の状態に戻って
も、デバイスでは火曜のキーによってエンコードされたトラフィックのみリッスンされます。 このキーは、デバイス
との通信が可能になる前にインポートする必要があります。
デバイス キーは、別の ESM にインポートしないことをお勧めします。エクスポート キーは、デバイス管理権限に
基づいて、デバイスの管理 ESM にデバイスを再インストールするために使用します。デバイスを 2 番目の ESM に
インポートすると、ポリシー管理、ELM のロギングと管理、データ ソースと仮想デバイスの設定を含め、デバイス
のいくつかの機能が使用できなくなります。デバイス管理者は、別の ESM からデバイスの設定を上書きすることが
できます。接続されているデバイスを管理するには、単一の ESM を使用することをお勧めします。DESM は、別の
ESM に接続されているデバイスからデータ収集を処理できます。
46
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの管理
デバイスのキーを指定する
ESM にデバイスを追加したら、デバイスのキーを指定して通信を有効にする必要があります。デバイスのキーを指
定すると、通信のすべての外部ソースが無視されるため、セキュリティが向上します。
デバイス名に次の文字を使用することはできません。! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < > , / ? ` ~ + = \
|
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[キー管理] 、 [デバイスのキーを指定する] の順にクリックします。
デバイスで接続が確立されていて、ESM と通信できる場合は、[デバイス キーの指定ウィザード] が開きます。
3
デバイスの新しいパスワードを入力し、[次へ] をクリックします。
4
[キーをエクスポート] をクリックし、[キーをエクスポート] ページに必要な情報を入力します。この時点でエク
スポートしない場合は、[完了] をクリックします。
関連トピック:
48 ページの「キーをエクスポートする」
49 ページの「キーをインポートする」
50 ページの「SSH キーを管理」
47 ページの「デバイス キーの指定ウィザード」
47 ページの「[キー管理] ページ」
デバイス キーの指定ウィザード
デバイスのキーを指定して通信を有効にします。
表 3-6 オプションの定義
オプション
定義
[新しいパスワードを入
力]
デバイスの新しいパスワードを入力して確認します。
[次へ]
パスワードを入力して確認した後でクリックします。デバイスのキーが正常に指定さ
れると、通知されます。
[キーをエクスポート]
このキーのコピーをエクスポートします。このデバイスを再度追加する場合に必要に
なるため、コピーをエクスポートしておくことを強くお勧めします。
関連トピック:
47 ページの「デバイスのキーを指定する」
[キー管理] ページ
[キー管理] ページでは、デバイスのキー指定、キーのインポート、キーのエクスポート、SSH キーの管理を行うこ
とができます。
表 3-7 オプションの定義
オプション
定義
[デバイスのキーを指定する] デバイスのキーを指定して、ESM が通信できるようにしセキュリティが向上するよ
うにします。
[キーをインポート]
McAfee Enterprise Security Manager 9.6.0
キーをインポートして ESM を以前の設定にリストアするか、別の ESM またはレガ
シー コンソールで使用します。
製品ガイド
47
3
ESM の設定
デバイスの管理
表 3-7 オプションの定義 (続き)
オプション
定義
[キーをエクスポート]
キーをエクスポートして、将来使用できるように別のファイルに保存します。
[SSH キーを管理]
このデバイスの SSH 通信キーを表示または削除します。
関連トピック:
47 ページの「デバイスのキーを指定する」
キーをエクスポートする
デバイスのキーを指定したら、キーをファイルにエクスポートします。
システムが FIPS モードの場合、以下の操作は行わないでください。 正しいプロセスについては、
「キーが指定された
デバイスの FIPS モードでの追加」を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[キー管理] 、 [キーをエクスポート] の順にクリックします。
3
[キーをエクスポート] ページで設定を定義し、[OK] をクリックします。
をクリックします。
ESM でエクスポート キー ファイルが作成され、エクスポートするかどうかを尋ねられます。
4
[はい] をクリックし、ファイルを保存する場所を選択します。
この場合、デバイス キーの個人用のバックアップ コピーをエクスポートすることをお勧めします。このデバイス
キーは [期限なし] に設定し、すべての特権を含めます。
関連トピック:
47 ページの「デバイスのキーを指定する」
49 ページの「キーをインポートする」
50 ページの「SSH キーを管理」
48 ページの「[キーをエクスポート] ページ」
[キーをエクスポート] ページ
デバイスを再度追加する場合に使用できるように、デバイスのキーをエクスポートします。
表 3-8 セクションのオプションの定義
オプション
定義
[エクスポート パスワードを入力して確認します。このパスワードは、将来キーをインポートする場合に必要にな
ファイルのパス ります。
ワード]
[有効期限日の
設定]
有効期限日を設定します。この期限日は、別の ESM またはレガシー コンソールにインポートし
たキーを使用できる期間を示します。日付を設定しない場合は、[期限なし] を選択します。
この場合、デバイス キーの個人用のバックアップ コピーをエクスポートすることをお勧めします。
このデバイス キーは [期限なし] に設定し、すべての特権を含めます。
48
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
表 3-8 セクションのオプションの定義 (続き)
オプション
定義
[キー制限]
特定の ESM だけでキーを有効にする場合は、[指定された ESM でのみデバイス キーを有効化]
を選択し、システムの ID を入力します。それによって、キーのセキュリティが向上します。
[特権設定]
キーに割り当てる特権を選択します。使用できる特権は、デバイス タイプに応じて異なります。
これらの特権について以下に説明します。
キーを別の ESM にインポートする場合は、これらの特権を慎重に選択してください。その場合は、
他の ESM に付与されている特権によって、望ましくない機能が実行されないようにしてください。
表 3-9 特権のオプションの定義
オプション
定義
[ルールを適用]
デバイスに新しいポリシー ルールを適用します。
[データ アーカイブを設定]
Receiver のデータ アーカイブ設定を変更します。
[データ ソースを設定]
Receiver のデータ ソース設定を変更します。
[データベース サーバーを設定]
DEM デバイスのデータベース サーバー設定を変更します。
[マネージャーを設定]
リスク相関マネージャーの設定を変更します。
[ネットワーク インターフェースを設定]
デバイスのネットワーク インターフェース設定を変更します。
[SNMP を設定]
デバイスの SNMP 設定を変更します。
[仮想デバイスを設定]
デバイスの仮想デバイス設定を変更します。
[DEM の管理]
DEM デバイスの管理に必要な機能を実行します。
[ELM アーカイブ管理]
ELM ログのアーカイブを管理します。
[エクスポート]
キーを再エクスポートします。
[デバイスを再起動]
デバイスの電源を切ってから再度投入します。
[キーを再指定する]
McAfee トークンを変更します。
[集計を設定]
イベントとフローの集計設定を設定し、変更します。
[デバイスを起動]
トラフィック監視を開始します。
[デバイスを停止]
トラフィック監視を停止します。
[時計を同期]
デバイスのクロック設定を同期します。
[ターミナル]
ターミナル機能にアクセスします。
[ソフトウェアを更新]
デバイスのソフトウェアのバージョンを更新します。
[標準ルールを書き込み]
ポリシーに標準ルールを追加します。
[ファイアウォールに書き込み]
ポリシーにファイアウォール ルールを追加します。
関連トピック:
48 ページの「キーをエクスポートする」
キーをインポートする
キーをインポートして ESM を以前の設定にリストアするか、別の ESM またはレガシー コンソールで使用します。
デバイスのバージョンが 9.0 以上である場合は、バージョン 8.5 以上の ESM からのみキーをインポートできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
49
3
ESM の設定
デバイスの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[キー管理] 、 [キーをインポート] の順にクリックします。
3
保存されているキー ファイルを特定して選択します。
4
[アップロード] をクリックし、このキーをエクスポートしたときに設定したパスワードを入力します。
キーが正常にインポートされると、ページにステータスが表示されます。
関連トピック:
47 ページの「デバイスのキーを指定する」
48 ページの「キーをエクスポートする」
50 ページの「SSH キーを管理」
50 ページの「[キーをインポート] オプション」
[キーをインポート] オプション
キーをインポートして、ESM を以前の設定にリストアします。
表 3-10 オプションの定義
オプション
定義
[ファイルのアップロード] ESM にアップロードするデバイス キー ファイルを特定します。
[アップロード]
クリックして ESM にファイルをアップロードし、このキーを最初にエクスポートした
ときに設定したパスワードを入力します。
関連トピック:
49 ページの「キーをインポートする」
SSH キーを管理
デバイスには、安全に通信する必要があるシステムの SSH 通信キーを設定できます。キーを削除して、これらのシ
ステムとの通信を停止できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[キー管理] をクリックし、[SSH キーを管理] をクリックします。
[SSH キーを管理] ページに、デバイスが通信する ESM の ID がリストされます。
3
リスト内のいずれかのシステムとの通信を停止するには、ID を強調表示して [削除] をクリックします。
4
削除を確認し、[OK] をクリックします。
関連トピック:
47 ページの「デバイスのキーを指定する」
48 ページの「キーをエクスポートする」
49 ページの「キーをインポートする」
51 ページの「[SSH キーを管理] ページ」
50
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
[SSH キーを管理] ページ
このデバイスと通信できる SSH 通信キーを表示または削除します。
表 3-11 オプションの定義
オプション
定義
[認証済みキー] テー このデバイスの SSH 通信キーの対象になるマシンを表示します。SSH を有効にすると、こ
ブル
のリスト内のマシンとの通信が可能になります。
[既知のホスト]
デバイスの場合、このデバイスがやり取りした SSH 対応デバイスのキーを管理します(た
とえば Receiver から SCP データ ソース)。ESM の場合、ESM がやり取りする、システム
ツリーにあるすべてのデバイスのキーを表示します。
[既知のホスト] テー known_hosts ファイル(root/.ssh/known_hosts)で使用できるホスト データによって
ブル
入力された、IP アドレス、デバイス名、フィンガープリントを表示します。
[デバイスのフィンガ デバイスの公開 SSH キーから生成された、このデバイスのフィンガープリントを表示しま
ープリント]
す。
[削除]
選択したアイテムを ESM から削除します。
[キーを表示]
選択したアイテムのキーを表示します。
関連トピック:
50 ページの「SSH キーを管理」
デバイスのソフトウェアを更新する
デバイス上のソフトウェアが最新の状態でなくなった場合は、ESM またはローカル コンピューターのファイルから
新しいバージョンのソフトウェアをアップロードします。
開始する前に
30 日を超えてシステムを使用している場合は、恒久的な認証情報を取得してインストールし更新にアク
セスする必要があります (「ルール更新認証情報を取得および追加する」を参照)。
共通条件と FIPS 規制に準拠する必要がある場合は、この方法で ESM を更新しないでください。 認証
済みの更新を取得するには、McAfee サポートまでお問い合わせください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [管理] 、 [デバイスを更新] の順にクリックします。
3
テーブルから更新を選択するか、[参照] をクリックしてローカル システム内の場所を指定します。
ソフトウェアのバージョンが更新されてデバイスが再起動します。
関連トピック:
52 ページの「ソフトウェア更新ファイルの選択ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
51
3
ESM の設定
デバイスの管理
ソフトウェア更新ファイルの選択ページ
1 つ以上のデバイスでソフトウェアを更新するために使用するファイルを選択します。
表 3-12 オプションの定義
オプション
定義
[ファイル名] リストされている更新のいずれかを選択します。
[参照]
McAfee セキュリティ エンジニア、または McAfee ルールおよび更新サーバーから取得したファイ
ルを参照します。
[OK]
デバイス管理の [デバイスを更新] オプションを使用してデバイスを更新すると、更新プロセスが開
始されます。[複数デバイス管理] オプションを使用して複数のデバイスを更新すると、[複数デバイ
ス管理] ページに戻ります。
関連トピック:
51 ページの「デバイスのソフトウェアを更新する」
デバイスの編成
システム ナビゲーション ツリーは、システム上のデバイスをリストします。表示タイプ機能を使用することで、ど
のように表示するかを選択できます。
システム上のデバイス数を増やすときは、作業するデバイスを見つけやすくするため、デバイスを論理的に編成する
ことをお勧めします。 たとえば、さまざまな場所にオフィスがある場合は、そのゾーンごとに表示すると効果的で
す。
事前定義された 3 つの表示を使用できます。また、カスタム表示を設計することもできます。それぞれのカスタム表
示内でグループを追加して、デバイスをさらに編成することもできます。
デバイスでネットワーク トラフィック制御を設定する
Receiver、ACE、ELM、Nitro IPS、ADM、DEM デバイスの最大データ出力値を定義します。
この機能は、帯域幅に制限があり、各デバイスから送信されたデータの量を制限する必要がある場合に便利です。 オ
プションは、キロビット (Kb)/秒、メガバイト (Mb/秒)、ギガバイト(Gb/秒) です。
この機能を使用する場合には十分に注意してくださ。トラフィックを制限すると、データ漏えいが発生する可能性があ
ります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
をクリックします。
デバイスの [設定] オプションをクリックして [インターフェース] をクリックし、[トラフィック] タブをクリッ
クします。
既存のコントロールが表に表示されます。
3
デバイスにコントロールを追加するには、[追加] をクリックして、ネットワーク アドレスとマスクを入力し、評
価を設定して [OK] をクリックします。
マスクを 0 (ゼロ) に設定すると、送信済みのすべてのデータが制御されます。
4
[適用] をクリックします。
指定したネットワーク アドレスの送信トラフィックの速度が制御されます。
52
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
関連トピック:
53 ページの「[トラフィック] タブ」
53 ページの「[スループット率の追加] ページ」
[トラフィック] タブ
ネットワークとマスクにデータ出力の最大値を定義し、トラフィックの送信レートを制御します。
表 3-13 オプションの定義
オプション
定義
[ネットワーク] 列
定義に従ってシステムが送信トラフィックを制御するネットワーク アドレスを表示しま
す。
[マスク] 列
(任意) ネットワーク アドレスのマスクを表示します。
[最大スループット] 列
各ネットワークに定義した最大スループットを表示します。
[追加]、[編集]、[削除] 制御するネットワーク アドレスを管理します。
関連トピック:
52 ページの「デバイスでネットワーク トラフィック制御を設定する」
240 ページの「ESM でネットワーク トラフィック制御を設定する」
[スループット率の追加] ページ
ネットワークとマスクにデータ出力の最大値を定義し、送信トラフィックの送信レートを制御します。
表 3-14 オプションの定義
オプション
定義
[ネットワーク] 送信トラフィックを制御するネットワークのアドレスを入力します。
[マスク]
(任意) ネットワーク アドレスのマスクを選択します。
[レート]
キロバイト (Kb)、メガバイト (Mb) またはギガバイト (Gb) を選択して、1 秒あたりのトラフィ
ック送信率を選択します。
関連トピック:
52 ページの「デバイスでネットワーク トラフィック制御を設定する」
240 ページの「ESM でネットワーク トラフィック制御を設定する」
SNMP 通知を設定する
デバイスで生成される SNMP 通知を設定するには、送信されるトラップとトラップの宛先を定義する必要がありま
す。
HA Receiver で SNMP をセットアップすると、プライマリ Receiver のトラフィックが共有 IP アドレス経由で送信
されます。 リスナーをセットアップする場合には、共有 IP アドレスにセットアップしてください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [SNMP] の順にクリックします。
3
設定を定義して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
をクリックします。
製品ガイド
53
3
ESM の設定
デバイスの管理
デバイスと ESM を同期する
ESM を置換する場合は、各デバイスのキーをインポートして設定をリストアします。最新のデータベース バックア
ップがない場合は、さらにデータ ソース、仮想デバイス、およびデータベース サーバーの設定と ESM を同期し、
プル イベントを再開できるようにする必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [デバイスを同期] の順にクリックします。
3
同期が完了したら、[OK] をクリックします。
をクリックします。
ELM との通信を設定する
このデバイスから ELM にデータを送信する場合は、[ELM IP] と [SYNC ELM] がデバイスの [設定] ページに表示
され、IP アドレスを更新して ELM とデバイスを同期することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[設定] をクリックして、次のいずれかを実行します。
クリックす
る
実行するには...
[ELM IP]
デバイスがリンクされる ELM の IP アドレスを更新します。これは、ELM の IP アドレスを変更
する場合、またはデバイスが ELM と通信する際に使用する ELM 管理インターフェースを変更す
る場合に必要です。
[ELM を同
期]
いずれかのデバイスを交換した場合に、デバイスと ELM を同期します。この機能を使用すると、
以前の設定の下で新しいデバイスのキーを使用して、2 つのデバイス間の SSH 通信が再確立さ
れます。
デフォルトのロギング プールを設定する
システムに ELM デバイスがある場合は、受信したイベント データが ELM デバイスに送信されるようにデバイスを
設定できます。その場合は、デフォルトのロギング プールを設定する必要があります。
集計期限が過ぎるまでは、デバイスはイベントを ELM に送信しません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [ロギング] の順にクリックします。
3
開いたページで適切な選択を行います。
をクリックします。
このデバイスから ELM に対するデータのロギングが有効になると通知されます。
関連トピック:
87 ページの「Receiver データ ソース」
55 ページの「[ロギング] ページ」
54
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
[ロギング] ページ
このデバイスによって生成されたイベントが ELM デバイスに送信されるように、デフォルトのロギング プールを設
定します。表示されるページは、システム上の現在のロギング設定に応じて異なります。
表 3-15 オプションの定義
オプション
定義
[ログ設定] ページ
[ロギング] を選択して有効にします。
[ロギング] リンク
クリックすると [ELM ロギング オプション] ページにアクセスできます。
[ELM ロギング オプション] ページ ELM でデータを記録するストレージ プールを選択します。
[デバイス - ELM の関連付け] ペー
ジ
データを記録する ELM を選択していない場合は、選択することを確認しま
す。一度この関連付けを行うと、変更することができなくなります。
[ロギングを行う ELM を選択しま
す] ページ
システム内に複数の ELM がある場合は、データを記録する ELM を選択しま
す。
[ELM IP アドレスを選択] ページ
デバイスが ELM との通信に使用する IP アドレスを選択します。
[ELM プールがありません] ページ
ELM にストレージ プールがない場合は、[ELM のプロパティ] 、 [ストレー
ジ プール] を選択して追加します。
関連トピック:
54 ページの「デフォルトのロギング プールを設定する」
デバイスで Linux コマンドを入力する
[ターミナル] オプションを使用して、デバイスで Linux コマンドを入力します。 この機能は上級ユーザー向けのた
め、緊急事態の際に McAfee サポート担当者の指示に従って使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
デバイスで [管理] 、 [ターミナル] の順にクリックします。
3
システム パスワードを入力して、[OK] をクリックします。
4
Linux コマンドを入力して、ファイルをエクスポートするかまたは転送します。
5
[閉じる] をクリックします。
をクリックします。
システムへのアクセスを許可する
McAfee にサポート コールを行う場合には、テクニカル サポート エンジニアがシステムを見ることができるように、
アクセス許可の付与が必要になる場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [管理] 、 [接続] の順にクリックします。
ボタンが [切断] に変わり、IP アドレスが表示されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
55
3
ESM の設定
デバイスの管理
3
この IP アドレスをテクニカル サポート エンジニアに提示します。
パスワードなど、追加情報の提供が必要になる場合があります。
4
[切断] をクリックして接続を終了します。
トラフィックを監視する
DEM、ADM、または IPS デバイスを通過するトラフィックを監視する必要がある場合は、[TCP ダンプ] を使用し
て、デバイスで実行されている Linux プログラムのインスタンスをダウンロードできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスの [管理] をクリックします。
3
ページの [TCP ダンプ] セクションで、インスタンスをダウンロードする手順を実行します。
関連トピック:
56 ページの「[TCP ダンプ] セクション」
[TCP ダンプ] セクション
[TCP ダンプ] を使用して、デバイスで実行されている Linux プログラムのインスタンスをダウンロードします。
表 3-16 オプションの定義
オプション
定義
[コマンド ライン引
数]
TCP ダンプ コマンドに渡す引数を入力します。たとえば、デバイスの最初のネットワーク
インターフェースに対するすべてのトラフィックを表示するには、-nni eth0 と入力しま
す。
[開始]
クリックすると、デバイスのダンプが開始されます。
[停止]
目的のトラフィックがデバイスを通過した時点でクリックします。
[エクスポート]
クリックして、結果をファイルにエクスポートします。
関連トピック:
56 ページの「トラフィックを監視する」
デバイスを起動、停止、再起動、または更新
[情報] ページで、デバイスを起動、停止、再起動、または更新します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
56
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [情報] が選択されていることを確認し、[開始]、[停止]、[再起動]、または [更新] をクリックしま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
ESM との接続を変更する
ESM にデバイスを追加する場合は、ESM との接続を設定します。 IP アドレスとポートを変更したり、SSH 通信を
無効にできます。また、接続のステータスを確認できます。
これらの設定を変更しても、デバイス自体には影響しません。ESM がデバイスと通信する方法のみ変更されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[接続] をクリックして変更を行います。
3
[適用] をクリックします。
をクリックします。
関連トピック:
57 ページの「ESM との接続を変更する」
57 ページの「McAfee ePO の [接続] ページ」
57 ページの「ESM との接続を変更する」
[接続] ページ
デバイスと ESM 間の接続を設定します。
表 3-17 オプションの定義
オプション
定義
[ターゲット IP アドレス/名前] ESM がデバイスとの通信に使用する IP アドレスまたはホスト名を入力します。
[ターゲット ポート]
通信を試行するポートを選択します (デフォルトのポートは 22)。
[デバイス ID]
デバイスの ID 番号を表示します。
[このデバイスを無効とマーク] ESM との SSH 通信を停止する場合に選択します。システム ナビゲーション ツ
リーでは、このデバイスが無効であることがアイコンで示されます。
[ステータス]
(オプション) クリックして、接続を確認します。
McAfee ePO の [接続] ページ
このページには、コンソールに McAfee ePO デバイスを追加したときに入力した情報が表示されます。 これらの設
定を変更しても、デバイス自体には影響しません。デバイスが ESM と通信する方法にのみ影響します。
表 3-18 オプションの定義
オプション
定義
[関連付けられた Receiver]
デバイスに関連付けられている Receiver を選択します。リンクをクリックする
と、Receiver の [プロパティ] ページが開きます。
[データベースのログイン パラ
メーター]
イベントをプルできるように、データベースのログイン パラメーターを変更しま
す。
[Web サイトの UI 認証情報]
Web ユーザー インターフェースにアクセスできるように、設定を変更します。
[ユーザー認証が必要]
選択すると、すべてのユーザーがデバイスにアクセスする前にユーザー名とパス
ワードを入力し、認証を受ける必要があります。
[接続]
いずれかをクリックして、データベースまたは Web との接続をテストします。
関連トピック:
57 ページの「ESM との接続を変更する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
57
3
ESM の設定
デバイスの管理
仮想デバイス
Nitro IPS と ADM デバイス モデルに仮想デバイスを追加すると、トラフィックを監視してパターンを比較し、レポ
ートを作成できます。
目的と利点
仮想デバイスは、次の目的に使用できます。
•
トラフィック パターンをルール セットと比較します。 たとえば、Web トラフィックを Web ルールと比較しま
す。Web トラフィック ポートのみ参照する仮想デバイスを設定して、異なるルールを有効または無効にできるポ
リシーを設定できます。
•
レポート このように使用するのは、自動フィルター設定を行うことに相当します。
•
一度に複数のトラフィック パスをモニターできます。 仮想デバイスを使用して、トラフィック パスごとに別の
ポリシーを設定して、異なるトラフィックを異なるポリシーにソートできます。
モデルあたりのデバイスの最大数
ADM または Nitro IPS に追加できる仮想デバイスの数はモデルに基づきます。
デバイス最大数
モデル
2
APM-1225
NTP-1225
APM-1250
NTP-1250
4
APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8
NTP-2250
NTP-4245
NTP-5400
0
APM-VM
NTP-VM
選択ルールの使用方法
選択ルールは、仮想デバイスが処理するパケットを決定するフィルターとして使用されます。
パケットが選択ルールに一致するには、そのルールにより定義されるすべてのフィルター条件に一致する必要があり
ます。パケットの情報が単一の選択ルールのすべてのフィルター条件に一致する場合、一致する選択ルールを含む仮
想デバイスにより処理されます。 条件に一致しない場合は、リスト内の次の仮想デバイスに渡され、いずれの仮想デ
バイスにも一致する選択ルールがない場合は、デフォルトとして、ADM または Nitro IPS 自体により処理されます。
58
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
IPv4 仮想デバイスについての注意事項を示します。
•
1 つの接続のすべてのパケットは、接続の先頭パケットのみに基づいてソートされます。接続の先頭パケットが
リストの 3 番目の仮想デバイスの選択ルールに一致した場合、その接続の後続のパケットは、リストの 1 番目ま
たは 2 番目の仮想デバイスに一致するパケットがあっても、すべてのパケットが 3 番目の仮想デバイスに進みま
す。
•
無効なパケット (接続を確立していない、または確立された接続に含まれないパケット) は、基本デバイスにソー
トされます。 たとえば、仮想デバイスを使用して、ソース ポートまたは宛先ポートが 80 のパケットを検出する
とします。 ソース ポートまたは宛先ポート 80 から無効なパケットが届くと、ポート 80 のトラフィックを監視
する仮想デバイスではなく、基本デバイスにソートされます。 このため、基本デバイスのイベントが、仮想デバ
イスで発生したように表示されます。
パケットが最初にルールに一致すると、そのパケットは自動的にその仮想デバイスに回され処理されるため、選択ル
ールのリスト順序は重要です。たとえば、4 つの選択ルールを追加して、4 番目のルールが、トラフィックが最もよ
くトリガーするフィルターであるとします。 このように、この仮想デバイスのその他のフィルターは、最もよくトリ
ガーされる選択ルールに到達する前に各パケットにより渡される必要があります。 効率よく処理するため、最もよく
トリガーされるフィルターを先に処理します。
仮想デバイスの順序
ADM または Nitro IPS デバイスが受け取るパケットは、仮想デバイスが設定された順序で各仮想デバイスの選択ル
ールと比較されるため、仮想デバイスのチェックされる順序は重要です。パケットが最初のデバイスの選択ルールと
一致しない場合のみ、2 番目の仮想デバイスの選択ルールと比較されます。
•
ADM デバイスでこの順序を変更するには、[仮想デバイスを編集] ページに移動します ([ADM のプロパティ] 、
[仮想デバイス] 、 [編集])。矢印を使用して正しい位置に起きます。
•
Nitro IPS デバイスでこの順序を変更するには、[仮想デバイス] ページの矢印を使用します ([IPS プロパティ] 、
[仮想デバイス])。
ADM 仮想デバイス
ADM 仮想デバイスは、インターフェース上のトラフィックをモニターします。システムに許可される ADM インタ
ーフェース フィルターは 4 つまでです。各フィルターは、一度に 1 つの ADM 仮想デバイスに対してのみ適用でき
ます。 フィルターが ADM 仮想デバイスに割り当てられる場合、そのデバイスから削除されるまで、使用可能なフィ
ルターのリストに表示されません。
無効なパケット (接続を確立していない、または確立された接続に含まれないパケット) は、基本デバイスにソート
されます。 たとえば、ソースまたは宛先ポート 80 でパケットを検索している ADM 仮想デバイスがあり、無効なパ
ケットがソースまたは宛先ポート 80 を通る場合、ポート 80 トラフィックを検索する ADM 仮想デバイスではなく、
基本デバイスにソートされます。このため、基本デバイスのイベントが、ADM 仮想デバイスに進んだように表示さ
れます。
関連トピック:
60 ページの「仮想デバイスの追加」
59 ページの「内部ルールを管理する」
内部ルールを管理する
選択ルールは、仮想デバイスが処理するパケットを決定するフィルターとして使用されます。 選択ルールを追加、編
集または削除できます。
パケットが最初にルールに一致すると、そのパケットは自動的にその仮想デバイスに回され処理されるため、選択ル
ールのリスト順序は重要です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
59
3
ESM の設定
デバイスの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
IPS または ADM デバイス ノードを選択して、[プロパティ] アイコン
をクリックします。
[仮想デバイス] をクリックして [追加] をクリックします。
[仮想デバイスを追加] ウィンドウが開きます。
3
テーブル内で選択ルールの追加、名前の変更、順序の変更を行います。
関連トピック:
58 ページの「仮想デバイス」
60 ページの「[選択ルールを追加] ページ」
[選択ルールを追加] ページ
仮想デバイスに選択ルールを追加することで、デバイスが処理するパケットを設定できます。
表 3-19 オプションの定義
オプション
定義
ADM の [選択ルール いずれかのインターフェース フィルターを選択し、[OK] をクリックします。
を追加] ページ
最大 4 つの ADM インターフェース フィルターを設定できます。各フィルターは、一度に 1
つの ADM 仮想デバイスに対してのみ適用できます。
IPS の [選択ルール
を追加] ページ
次の 1 つ以上のフィールドに値を入力します。
• [ソース IP/マスク] および [宛先 IP/マスク] — 単一の IP アドレスを IPv4 表記で入力
します。これらの IP アドレスにはマスクを指定できます。
• [プロトコル] — 文字列(tcp など)を入力します。すべてのプロトコルについて、対応す
る数字(tcp に対して 6 など)を入力することもできます。
• [ソース ポート] および [宛先ポート] — 単一のポート値、コロンで区切った一定範囲のポ
ート、または先頭または末尾にコロンを置いた包括的な範囲のポートを入力します。
• [VLAN] — 0 ~ 4095 の範囲の値を入力または選択します。0 は、この選択ルールでは
VLAN でフィルタリングが実行されないことを意味します。
• [インターフェース] — フィルタリングを行う、単一のインターフェースのパブリックまた
はプライベート部分を選択します。
関連トピック:
59 ページの「内部ルールを管理する」
仮想デバイスの追加
各デバイスにより処理されるパケットを決定する選択ルールを設定して、仮想デバイスを複数の ADM および IPS デ
バイスに追加できます。
開始する前に
選択したデバイスに仮想デバイスを追加できることを確認します (「仮想デバイスについて」を参照)。
60
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで ADM または IPS デバイスを選択し、[プロパティ] アイコン
クします。
2
[仮想デバイス] 、 [追加] の順にクリックします。
3
必要な情報を入力し、[OK] をクリックします。
4
[書き込み] をクリックして、デバイスに設定を追加します。
をクリッ
関連トピック:
58 ページの「仮想デバイス」
61 ページの「[仮想デバイス] ページ」
61 ページの「[仮想デバイスを追加] ページ」
[仮想デバイス] ページ
[仮想デバイス] ページは、ADM または IPS デバイスですべての仮想デバイスを設定する開始点になります。各仮想
デバイスで処理されるパケットを決定するデバイスと選択ルールを追加、編集、および削除できます。
表 3-20 オプションの定義
オプション
定義
[仮想デバイス] テーブ 現在 IPS または ADM にある仮想デバイスがリストされます。
ル
[ロギング]
すべての仮想デバイスでのロギングをアクティブまたは非アクティブにします。
[ストレージ プールを
設定] アイコン
[ELM ロギング オプション] ページが開き、選択した仮想デバイスにストレージ プールを
追加できます。
[追加]
[仮想デバイスを追加] ページが開きます。
[編集]
[仮想デバイスを編集] ページが開き、選択した仮想デバイスの設定を変更できます。
[削除]
選択したデバイスをテーブルから削除します。
[上へ移動] および [下
へ移動] 矢印
システム内のデバイスのリストで、選択した仮想デバイスを上または下に移動できます。
これらの順序が重要であるのは、リスト内の最初の仮想デバイスから下に向けて順にパケ
ットが処理されるためです。
[書き込み]
仮想デバイスに対して行われた変更を IPS または ADM に書き込みます。
関連トピック:
60 ページの「仮想デバイスの追加」
[仮想デバイスを追加] ページ
IPS または ADM に仮想デバイスを追加します。
表 3-21 オプションの定義
オプション
定義
[名前]
仮想デバイスの名前を入力します。
[URL]
この仮想デバイスの情報を表示する URL アドレスを入力します(設定している場合)。アド
レスに変数を追加する必要がある場合は、[変数] アイコン
[有効]
をクリックします。
デバイスを有効にする場合に選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
61
3
ESM の設定
デバイスの管理
表 3-21 オプションの定義 (続き)
オプション
定義
[ストレージ プール]
システムに ELM があり、このデバイスが受信したデータを ELM にロギングする場合は、
このリンクをクリックしてストレージ プールを選択します。
[IPv4] または
[IPv6]
IPS 仮想デバイスの場合は、IPv4 または IPv6 トラフィックを検出するかどうかを選択し
ます。
[ゾーン]
システムでゾーンが定義されている場合は(『ゾーン管理』を参照)、この仮想デバイスを割
り当てるゾーンを選択します。
[説明]
デバイスに関するメモまたは重要な情報を追加します。
[追加]
処理するパケットを決定する選択ルールをデバイスに追加する場合にクリックします。
[編集]
[選択ルール] の設定を変更する場合にクリックします。
[削除]
選択したルールを削除する場合にクリックします。
[上へ移動] および
[下へ移動] 矢印
ルールの順序を変更します。
関連トピック:
60 ページの「仮想デバイスの追加」
カスタム表示タイプを管理する
カスタム表示タイプを追加、編集または削除して、システム ナビゲーション ツリーでのデバイスの編成を定義でき
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン矢印をクリックします。
2
次のいずれかを行います。
操作
手順
カスタム表示タイプを追加する
1 [表示を追加] をクリックします。
2 フィールドに入力し、[OK] をクリックします。
カスタム表示タイプを編集する
1
編集する表示タイプの横にある [編集] アイコン
をクリックします。
2 設定を変更して [OK] をクリックします。
カスタム表示タイプを削除する
削除する表示タイプの横にある [削除] アイコン
をクリックします。
関連トピック:
31 ページの「ESM コンソールにデバイスを追加する」
32 ページの「表示タイプの選択」
62 ページの「カスタム表示タイプでグループを管理する」
カスタム表示タイプでグループを管理する
カスタム表示タイプでグループを使用すると、デバイスを論理的なグループに分けることができます。
開始する前に
カスタム表示タイプを追加します (「カスタム表示タイプを管理する」を参照)。
62
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
カスタム表示を選択し、次のいずれかを実行します。
これを...
実行するには...
新しいグルー 1 システム ノードまたはグループ ノードをクリックし、アクション ツールバーの [グループを
プを追加
追加] アイコン
をクリックします。
2 フィールドに入力し、[OK] をクリックします。
3 表示されているデバイスをドラッグ アンド ドロップしてグループに追加します。
デバイスが表示されているツリーの一部になっている場合は、重複するデバイス ノードが作成さ
れます。システム ツリー上の重複するノードは削除できます。
グループを編
グループを選択し、[プロパティ] アイコン
集
で変更を行います。
をクリックし、[グループのプロパティ] ページ
グループを削 グループを選択し、[グループを削除] アイコン
をクリックします。グループおよび含まれて
除
いるデバイスがカスタム表示から削除されます。この場合、デバイスがシステムから削除される
ことはありません。
関連トピック:
31 ページの「ESM コンソールにデバイスを追加する」
32 ページの「表示タイプの選択」
32 ページの「カスタム表示タイプを管理する」
システム ナビゲーション ツリー上の重複するデバイスを削除する
システム ツリーからグループにデバイスをドラッグ アンド ドロップするか、グループを設定して ESM ソフトウェ
アをアップグレードした場合には、システム ナビゲーション ツリーでデバイス ノードが重複して表示されることが
あります。重複するノードは、混乱を避けるために削除することをお勧めします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
重複するデバイスが含まれた表示の横にある [編集] アイコン
3
重複するデバイスの選択を解除し、[OK] をクリックします。
をクリックします。
重複があったデバイスが、割り当てられたグループのみにリストされるようになります。
複数のデバイスの管理
[複数デバイス管理] オプションでは、複数のデバイスを起動、停止、再起動したり、複数のデバイスのソフトウェア
を一度で更新することもできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
63
3
ESM の設定
デバイスの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システム ナビゲーション ツリーで、管理するデバイスを選択します。
アクション ツールバーで [複数デバイス管理] アイコン
をクリックします。
実行する操作とその実行対象になるデバイスを選択し、[開始] をクリックします。
関連トピック:
64 ページの「[複数デバイス管理] ページ」
[複数デバイス管理] ページ
複数のデバイス上のソフトウェアを一度に開始、停止、再起動、または更新します。
表 3-22 オプションの定義
オプション
定義
[操作]
実行する操作を選択します。
• [開始] - 選択したデバイスを起動します。
• [停止] - 選択したデバイスを停止します。
• [再起動] - 選択したデバイスを停止して再起動します。
• [更新] - [ソフトウェア更新ファイルを選択] ページで選択したソフトウェアによって、選択し
たデバイスが更新されます。
[デバイス名]
管理可能なデバイスのリストを表示します。
[含む] 列
デバイスを選択します。
[すべてを選択]
すべてのデバイスを選択します。
[選択解除]
すべてのデバイスの選択を解除します。
[開始]
クリックすると操作が開始されます。
[ステータス] 列 各デバイスの操作のステータスを表示します。
[閉じる]
[複数デバイス管理] ページが閉じます。 この操作は完了するまで続行されます。
関連トピック:
63 ページの「複数のデバイスの管理」
すべてのデバイスの URL リンクを管理
URL でデバイス情報を表示できるように、各デバイスのリンクを設定できます。
開始する前に
デバイスの URL サイトを設定します。
64
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[カスタム設定] 、 [デバイス リンク]
をクリックします。
2
URL を追加または編集するには、デバイスを強調表示して [編集] をクリックし、URL を入力します。
URL フィールドには 512 文字の制限があります。
3
[OK] をクリックします。
URL にアクセスするには、各デバイスの [イベント分析] および [フロー分析] ビューの下部にある [デバイス URL
を起動] アイコン
をクリックします。
関連トピック:
65 ページの「[カスタム デバイス リンク] ページ」
[カスタム デバイス リンク] ページ
デバイスの URL リンクを設定または削除します。
表 3-23 オプションの定義
オプション
定義
[デバイス名] 列
ESM のすべてのデバイスを一覧表示します。
[URL] 列
各デバイスにすでに設定されている URL アドレスを表示します。
[編集]
URL アドレスを入力できる [URL を編集] ページを開きます。
[URL を削除]
選択したデバイスの URL を削除します。
関連トピック:
64 ページの「すべてのデバイスの URL リンクを管理」
[URL を編集] ページ
選択したデバイスの URL アドレスを追加します。
表 3-24 オプションの定義
オプション
定義
[URL]
このデバイスの URL サイトのアドレスを入力します。
[変数] アイコン 入力した URL アドレスにサードパーティ アプリケーションのアドレスが含まれ、イベントとフ
ローに存在するデータを表す変数を URL アドレスに追加する必要がある場合、変数の挿入が必要
な URL アドレス内の場所をクリックしてから、変数アイコンをクリックして変数を選択します。
デバイス サマリー レポートの表示
デバイス サマリー レポートは、ESM のデバイスのタイプおよび数、各デバイスがイベントを受信した最後の時刻を
示します。これらのレポートは、カンマ区切り値(CSV)形式でエクスポートできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
65
3
ESM の設定
デバイスの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [レポートを表示]
をクリックします。
2
[デバイス タイプ数] または [イベント時間] レポートを表示またはエクスポートします。
3
[OK] をクリックします。
関連トピック:
66 ページの「[デバイス サマリー レポート] ページ」
[デバイス サマリー レポート] ページ
システムのすべてのデバイスに関するレポートを表示、エクスポートします。
表 3-25 オプションの定義
オプション
定義
[デバイス タイプ数]
デバイス タイプのリストと ESM 上のタイプごとの数を表示します。
[イベント時間]
ESM 上の各デバイスがイベントを受信した最後の時刻を表示します。
[CSV にエクスポート]
この情報が含まれる CSV 形式のレポートを指定した場所にエクスポートします。
関連トピック:
65 ページの「デバイス サマリー レポートの表示」
システムまたはデバイス ログの表示
システムおよびデバイス ログは、デバイスで実行されたイベントを示します。サマリー ページを表示して、ESM ま
たはデバイスのイベント数、最初のイベントの時刻、最後のイベントの時刻を示したり、[システム ログ] または [デ
バイス ログ] ページにイベントの詳細リストを表示したりできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
以下のイベント データのサマリーを表示します。
•
システム データ - [システムのプロパティ] で、[システム ログ] をクリックします。
•
デバイス データ - デバイスの [プロパティ] ページで、[デバイス ログ] をクリックします。
イベントのログを表示するには、時間範囲を入力して [表示] をクリックします。
[システム ログ] または [デバイス ログ] ページに、指定した期間内に生成されたすべてのイベントが一覧表示され
ます。
関連トピック:
67 ページの「[システム
67 ページの「[システム
67 ページの「[デバイス
68 ページの「[デバイス
66
ログ] ページ」
ログのサマリー] ページ」
ログのプレビュー] ページ」
ログ] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの管理
[システム ログ] ページ
指定した範囲の時間に変更された ESM 上のイベントとセキュリティの設定の詳細リストを表示します。
表 3-26 オプションの定義
オプション
定義
[開始時刻]、[停止時刻]
イベント リストの時間範囲を変更して、[更新] をクリックします。
[エクスポート]
ログの一部または全体をプレーン テキスト ファイルにエクスポートする場合にクリ
ックします。一度に最大 50,000 レコードをエクスポートできます。
先頭(ステータス)列の [フ すべてのログ イベント、ステータス関連のログ イベントのみ、または非ステータス関
ィルター] アイコン
連のログ イベントのみを表示する場合に選択します。ステータス関連ログ イベント
は個々のデバイスに生成され、イベント、フロー、ログがデバイスからプルされる際に
取得されます。
[カテゴリ]、[名前]、[デバ イベントをカテゴリ、ユーザー名、デバイスでフィルタリングする場合にクリックしま
イス名] 列の [フィルター] す。
アイコン
関連トピック:
66 ページの「システムまたはデバイス ログの表示」
[システム ログのサマリー] ページ
ESM 上に生成されたイベントとセキュリティ設定のすべての変更のサマリーを表示します。
表 3-27 オプションの定義
オプション
定義
[イベント数]
システムで生成されたイベントの数を表示します。
[最初のイベント]
最初のイベントが生成された時刻を表示します。
[前回のイベント]
最後のイベントが生成された時刻を表示します。
[開始時刻]、[停止時刻]
イベントの詳細リストを表示するには、表示する時間範囲を選択します。
[表示]
[システム ログ] を開く場合にクリックします。
関連トピック:
66 ページの「システムまたはデバイス ログの表示」
[デバイス ログのプレビュー] ページ
ESM からデバイスに対して行われたすべての変更のサマリーを表示します。
表 3-28 オプションの定義
オプション
定義
[イベント数]
デバイスに記録されたイベントの合計数。
[最初のイベント]
最初のログ イベントが発生した日付と時刻。
[前回のイベント]
前回のログ イベントが発生した日付と時刻。
[開始時刻]、[停止時刻] 特定の時間範囲のイベントを表示するには、これらのフィールドに開始時刻と停止時刻を
入力します。
[表示]
クリックすると、指定した時間範囲内のイベントが表示されます。
関連トピック:
66 ページの「システムまたはデバイス ログの表示」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
67
3
ESM の設定
デバイスの管理
[デバイス ログ] ページ
デバイスについて、指定した時間枠の中で発生したイベントの詳細を表示します。
表 3-29 オプションの定義
オプション
定義
[開始時刻]、[停止時刻]
表示するイベントの時間範囲を設定します。
[更新]
クリックすると、テーブル内のデータが更新されます。
[エクスポート]
クリックすると、ログにリストされているイベントがプレーン テキスト ファイル
にエクスポートされます。
テーブル ヘッダー内のフィル
アイコンをクリックすると、ログに含まれているデータがフィルタリングされま
す。各フィルターでは、フィルタリング対象のオプションを選択できます。
ター アイコン
関連トピック:
66 ページの「システムまたはデバイス ログの表示」
デバイスの正常性ステータス レポート
正常性ステータス レポートを使用できる場合、システム ナビゲーション ツリーにシステム ノード、グループ ノー
ド、またはデバイス ノードの横に、白 (情報)、黄 (非アクティブまたはデバイス ステータス)、または赤 (重大) の
68
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの管理
3
正常性ステータス フラグ
が表示されます。 フラグをクリックすると、[デバイス ステータス アラート] ページ
が開き、情報を表示したり、問題を解決することができます。
ノードのタ フラグをクリックすると開く対象...
イプとフラ
グ...
システムま [Device Status Alerts Summary] ページ。これは、システムまたはグループに関連付けられている
たはグルー デバイスの、ステータス アラートのサマリーです。これには次のステータス アラートが表示されま
プ
す。
• [パーティションの削除] — イベント、フロー、またはログ データが含まれているデータベース テ
ーブルが最大サイズに達したため、パーティションを削除し、新しいレコード用の領域を追加しま
した。恒久的なデータ漏えいを回避するために、イベント データ、フロー データ、およびログ デ
ータをエクスポートできます。
• [ドライブ領域] — ハード ドライブがいっぱいになっているか、空き領域が不足しています。これ
には、ESM、冗長 ESM、またはリモート マウント ポイントのハード ドライブが含まれる場合があ
ります。
• [重大] — デバイスが正しく動作していないため、修理が必要です。
• [警告] — デバイス上に、正しく機能していない部分があります。
• [情報] — デバイスは正しく動作していますが、デバイスのステータス レベルが変更されています。
• [同期されていません] — ESM の仮想デバイス、データ ソース、またはデータベース サーバー設定
が、デバイス上の実際の状態と同期されていません。
• [ロール オーバー] — このデバイスのログ テーブルの空き領域が不足しているため、ロール オーバ
ーされました。したがって、古いログが新しいログによって上書きされます。
• [非アクティブ] — 非アクティブのしきい値期間内に、デバイスがイベントまたはフローを生成しま
せんでした。
• [不明] — ESM がデバイスに接続できませんでした。
[パーティションの削除]、[ドライブ領域]、[ロール オーバー]、および [情報] フラグは、フラグの横
のボックスをオンにし、[選択内容をクリア] または [すべてクリア] をクリックしてクリアできます。
デバイス
[デバイス ステータス アラート] ページには、問題を解決できる場所が表示されるボタンがあります。
次のようなボタンがあります。
• [ログ] — [システム ログ] (ローカル ESM 用) または [デバイス ログ] ページに、システムまたは
デバイスで実行されたすべてのアクションのサマリーが表示されます。
• [仮想デバイス]、[データ ソース]、[VA ソース]、または [データベース サーバー] — システム内
にあるこのタイプのデバイスがリストされ、問題を確認できます。
• [非アクティブ] — [非アクティブのしきい値] ページには、すべてのデバイスのしきい値設定が表
示されます。このフラグは、指定された時間間隔でデバイスがイベントを生成していないことを示
します。
警告または重大ステータスからサブシステムが復旧すると、必ず情報フラグが表示されます。次にそれぞれのタイプ
の情報フラグについて説明します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
69
3
ESM の設定
デバイスの管理
ステータス
説明および手順
バイパス モード
Network Interface Controller (NIC) はバイパス モードになっています。原因
としては、重大なシステム プロセスのエラー、デバイスを手動でバイパス モード
に設定したなどのエラーが考えられます。デバイスのバイパス モードを解除する
場合は、デバイスで [プロパティ] 、 [設定] 、 [インターフェース] の順に選択し
ます。
ディープ パケット インスペ
クターが実行されていない
ディープ パケット インスペクター (DPI) が正常に動作していません。これは介
入の必要なく復旧する可能性があります。復旧しない場合はデバイスを再起動し
てください。
ファイアウォール アラート
ファイアウォール アラート アグリゲーター (FAA) が正常に動作していません。
プログラム (ngulogd) が実行 これは介入の必要なく復旧する可能性があります。復旧しない場合はデバイスを
再起動してください。
されていない
データベースが実行されてい
ない
McAfee Extreme Database (EDB) サーバーが正常に動作していません。デバイ
スを再起動すると問題が解決される可能性がありますが、データベースを再構築し
なければならない場合があります。
オーバーサブスクリプション
モード
監視対象のネットワークの負荷が、Nitro IPS が処理できる範囲を超えている場合
は、ネットワーク パケットが検査されない場合があります。正常性モニターが、
Nitro IPS がオーバーサブスクリプションされていることを示すアラートを生成し
ます。デフォルトでは、オーバーサブスクリプション モードの値はドロップに設定
されています。値を変更するには、[ポリシー エディター] に移動し、[ルール タイ
プ] ペインの [変数] をクリックし、[パケット検査] 変数を展開し、
[OVERSUBSCRIPTION _MODE] 変数について [継承] を選択します。 この変数
については、[通過] と [ドロップ] が許可されています。
制御チャネルが実行されてい
ない
ESM を使用して通信チャネルのサービスを行うプロセスが失敗しました。デバイ
スを再起動することで問題が解決する場合があります。
RDEP または Syslog プログ
ラムが実行されていない
サードパーティのデータ ソース (Syslog や SNMP など) を処理するサブシステ
ムが正常に機能していない場合は、重大なアラートが出されます。コレクターがサ
ードパーティのデータ ソースから特定の時間内にデータを受信していない場合に
は、警告レベルのアラートが出されます。これは、データ ソースが停止している
か、Receiver に正常にデータを送信していない可能性を示しています。
正常性モニターがディープ パ
ケット インスペクター コン
トローラー プログラムと通信
できない
正常性モニターがディープ パケット インスペクターと通信してステータスを取得
できません。これは、制御プログラムが実行されておらず、ネットワーク トラフィ
ックが Nitro IPS を通過していない可能性を示しています。ポリシーを再度適用
することで、問題が解決する場合があります。
システム ロガーが実行されて システム ロガーが応答していません。デバイスを再起動することで問題が解決す
いない
る場合があります。
ハード ドライブのパーティシ 空きディスク領域の容量が著しく低下しています。
ョンの空き領域が不足してい
る
70
ファン速度アラート
ファンの速度が大幅に低下しているか、ファンが停止しています。ファンを交換す
るまでは、適切な空調がなされた室内にデバイスを保管して、損傷を防止してくだ
さい。
温度アラート
重大なコンポーネントの温度が特定のしきい値を超えています。適切に空調が行
われている室内にデバイスを保管して、恒久的な損傷を防止してください。デバイ
ス内の空気の流れをブロックしているものがないかどうかを確認します。
ネットワーク エラー
ネットワーク上でエラーまたは過剰な衝突が発生しています。大きい衝突ドメイ
ンまたはネットワーク ケーブルの不良が原因である可能性があります。
リモート マウント ポイント
の問題
リモート マウント ポイントの問題が発生しています。
リモート マウント ポイント
の空きディスク領域が低下
リモート マウント ポイントの空きディスク領域が低下しています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
ステータス
3
説明および手順
データ ソースからの通信を
Receiver がデータ ソースからの通信を 10 分以上受信していません。
10 分以上受信していない、す
べてのデータ ソース コレク
ター
データ ソース コレクターが
実行されていない
サードパーティのデータ ソース (Syslog や SNMP など) を処理するサブシステ
ムが正常に機能していません。コレクターがサードパーティのデータ ソースから
特定の時間内にデータを受信していません。データ ソースが停止しているか、
Receiver に正常にデータを送信していません。
正常性モニターがサブシステ
ムから有効なステータスを取
得できない
正常性モニターがサブシステムから有効なステータスを取得できませんでした。
警告または重大ステータスか
らのサブシステムのリカバリ
ー
正常性モニターを起動して停止すると、情報アラートが生成されます。正常性モニ
ターとデバイス上の他のサブシステムとの通信に問題がある場合にも、アラートが
生成されます。イベント ログを表示すると、警告アラートや重大アラートの原因の
詳細が表示される場合があります。
グループまたはデバイスを削除する
デバイスがシステムの一部ではなくなった場合、または特定のグループを使用しなくなった場合は、システム ナビゲ
ーション ツリーから削除します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、削除するデバイスまたはグループを強調表示し、アクション ツールバーの
[削除] アイコンをクリックします。
2
確認を求められたら、[OK] をクリックします。
デバイスを更新
情報が ESM の情報と一致するように、システム上のデバイスを手動で更新できます。
•
アクション ツールバーで、[デバイスを更新] アイコン
をクリックします。
デバイスの設定
リアルタイム フォレンジック、アプリケーションとデータベースのモニタリング、高度なルール/リスク ベースの相
関分析、コンプライアンス レポートを行うには、物理デバイスと仮想デバイスの両方を McAfee ESM に接続しま
す。
関連トピック:
72 ページの「[デバイス設定] ページ」
目次
[デバイス設定] ページ
[Event Receiver] の設定
Enterprise Log Manager (ELM) の設定
Advanced Correlation Engine (ACE) の設定
Application Data Monitor (ADM) の設定
Database Event Monitor (DEM) の設定
分散型 ESM (DESM) の設定
McAfee Enterprise Security Manager 9.6.0
製品ガイド
71
3
ESM の設定
デバイスの設定
ePolicy Orchestrator 設定
Nitro Intrusion Prevention System (Nitro IPS) の設定
McAfee Vulnerability Manager 設定
McAfee Network Security Manager の設定
[デバイス設定] ページ
デバイス設定を行い、デバイスに適用します。使用できる設定は、デバイス タイプに応じて異なります。
表 3-30 オプションの定義
オプション
定義
[ACL 設定]
デバイスへのアクセスを制限するアクセス制御を設定します。
[DEM の詳細設定]
DEM ログの設定を定義します。
[適用]
DEM に構成情報を書き込みます。
[圧縮]
ELM が受信するすべてのデータに適用される圧縮レベルを設定します。
[データ]
ESM からデバイスに送信されるデータのタイプを選択します。
[データ アーカイブ]
RAW データのバックアップをストレージ デバイスに転送して長期的に保存できるよう
に、Receiver を設定します。
[ELM IP]
このデバイスから ELM にデータを送信するように選択した場合には、このデバイスがリン
クされている ELM の IP アドレスを更新できます。
[フロー]
フロー データのロギングを有効または無効にします。
[インターフェース]
ESM で、デバイスのネットワーク インターフェースを設定します。
[ライセンス]
DEM ライセンス情報を表示し、更新します。
[ロギング]
システムに ELM デバイスがある場合に、受信したデータを ELM に送信できるようにする
には、デバイスにデフォルトのロギング プールを設定します。
[DB を移行]
ELM デバイスで、生成されたレコードを格納する代替の場所を設定します。
[ネットワーク タイム
プロトコル (NTP) の
設定]
デバイスの時刻と NTP サーバーを同期させます。
[パスワード]
セッション データを表示しているイベントのルールがパスワード関連である場合は、イベ
ントに関連付けられているパスワードが [セッション ビューアー] に表示されるようにす
るかどうかを選択します。
[設定のリストア]
ESM バックアップ プロセスで保存されたデバイスの設定ファイルをリストアします。 こ
のバックアップには、SSH、ネットワーク、SNMP、他の .conf ファイルが含まれます。
[SNMP トラップ]
デバイスによって生成された SNMP トラップを設定します。
[デバイスを同期]
デバイス データ ソースまたは仮想デバイス設定を ESM での設定と同期します。
Receiver を同期すると、Receiver に依存するデバイスもデバイスとして McAfee ESM
に追加されます。
[ELM を同期]
このデバイスから ELM にデータを送信するように選択した場合には、ELM とデバイスを
同期します。
[ファイルを同期]
すべての DEM 設定ファイルを同期します。
[タイム ゾーン]
ADM をタイム ゾーンに設定します。
関連トピック:
71 ページの「デバイスの設定」
72
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
[Event Receiver] の設定
[Event Receiver] は、ファイアウォール、仮想プライベート ネットワーク (VPN)、ルーター、Nitro IPS/IDS、
NetFlow、sFlow などのマルチベンダー ソースから、セキュリティ イベントとネットワーク フロー データを収集
します。
[Event Receiver] では、このデータの収集を行って、単一の管理可能なソリューションに正規化できます。この機
能では、Cisco、Check Point、Juniper など複数のベンダーのデバイスを 1 つのビューに表示することができます。
また、Receiver にデータ フィードを送信する Nitro IPS デバイスとルーターから、イベント データとフロー デー
タを収集することが可能になります。
高可用性 Receiver (Receiver-HA) はプライマリおよびセカンダリ モードで使用でき、相互のバックアップとして
機能します。 セカンダリ Receiver (B)はプライマリ Receiver (A)を継続的に監視し、新しい設定またはポリ
シー情報を両方のデバイスに送信します。Receiver B は Receiver A が故障していると判断した場合、Receiver A
のデータ ソース NIC をネットワークから切り離し、新しいプライマリとして引き継ぎます。手動で介入して
Receiver A をプライマリとしてリストアするまで、そのプライマリのままとなります。
関連トピック:
73 ページの「ビュー ストリーミング イベント」
74 ページの「高可用性 Receiver」
85 ページの「Receiver の未加工データのアーカイブ」
ビュー ストリーミング イベント
®
[ストリーミング ビューアー] は、McAfee ePO、McAfee Network Security Manager、Receiver、データ ソー
ス、子データ ソース、または選択したクライアントによって生成されたイベントのリストを表示します。 リストを
フィルターして、ビューに表示するイベントを選択できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、表示するデバイスを選択して、アクション ツールバーの [ビュー ストリー
ミング イベント] アイコン
をクリックします。
2
ストリーミングを開始するには、[開始] をクリックし、停止するには [停止] をクリックします。
3
ビューアー上で使用できるアクションを選択します。
4
[閉じる] をクリックします。
関連トピック:
73 ページの「[Event Receiver] の設定」
73 ページの「ストリーミング ビューアー ページ」
ストリーミング ビューアー ページ
®
McAfee ePO、McAfee Network Security Manager、Receiver、データ ソース、子データ ソース、または選択
したクライアントによって生成されたイベントのストリームを表示します。
表 3-31 オプションの定義
オプション
定義
[開始]
ストリーミングを開始します。
[停止]
ストリーミングを停止します。
テーブル
デバイスに送信されたイベントを表示します。
[パケット] セクション
選択したイベントの詳細を表示します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
73
3
ESM の設定
デバイスの設定
表 3-31 オプションの定義 (続き)
オプション
定義
[フィルター] アイコン
生成されているイベントをフィルターするには、クリックして、フィルターする情報を
入力します。フィルターに一致するイベントのみが表示されます。
[列] アイコン
ストリーミング テーブルに表示される列を変更します。
[すべてクリア] アイコン イベントの現在のリストをクリアします。
[ビューを起動] アイコン ビューで選択したイベントを表示します。表示するには、ビューアーを閉じます。イベ
ントはコンソールのビュー セクションに表示されます。
関連トピック:
73 ページの「ビュー ストリーミング イベント」
高可用性 Receiver
高可用性 Receiver は、プライマリ Receiver で障害が発生した場合にセカンダリ Receiver が機能を引き継げるよ
うに、プライマリ モードとセカンダリ モードで使用します。 これにより、1 つの Receiver を使用している場合よ
りも継続してデータの収集を行うことができます。
高可用性 Receiver の機能は FIPS 準拠ではありません。 FIPS 規則に準拠する必要がある場合は、この機能を使用し
ないでください。
この構成では、2 つの Receiver をセットアップします。片方がプライマリまたは優先プライマリとして動作し、も
う一方がセカンダリとして機能します。 セカンダリ Receiver は、プライマリ Receiver を常時監視しています。セ
カンダリは、プライマリが故障していると判断すると、プライマリを停止して機能を引き継ぎます。
プライマリが修復されると、セカンダリに戻るか、引き続きプライマリとして機能します。 この動作は、[HA
Receiver] タブの [優先プライマリ デバイス] フィールドで選択したオプションによって決まります
(『Receiver-HA デバイスをセットアップする』を参照)。
Receiver の下記のモデルは、高可用性機能を付加して購入できます。
•
ERC-1225-HA
•
ERC-1250-HA
•
ERC-2230-HA
•
ERC-1260-HA
•
ERC-2250-HA
•
ERC-2600-HA
•
ERC-4245-HA
•
ERC-4600-HA
•
ERC-4500-HA
これらのモデルには、HA 機能に必要な Intelligent Platform Management Interface (IPMI) ポートと 4 つ以上
の NIC が備わっています (『Receiver-HA のネットワーク ポート』 を参照)。
IPMI カードは、故障した Receiver をシャットダウンすることによって、両方の DS NIC が共有 IP と MAC を同
時に使用する可能性をなくします。IPMI カードは、クロスオーバー ケーブルまたはストレートスルー ケーブルで他
の Receiver と接続します。Receiver は、ハートビート NIC 上でクロスオーバー ケーブルまたはストレートスル
ー ケーブルと接続します。ESM との通信用には管理 NIC、データ収集用にはデータ ソース NIC があります。
プライマリ Receiver が正常に動作していて、セカンダリ Receiver がセカンダリ モードの場合、
74
•
Receiver は専用ハートビート NIC と管理 NIC 上で常に通信を行います。
•
受信した OPSEC や Estreamer などの証明書は、ペアで他の Receiver に渡されます。
•
すべてのデータ ソースは、データ ソース NIC を使用します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
•
各 Receiver は、それ自体の正常性を監視し、報告します。具体的には、ディスク エラー、データベース フリー
ズ、NIC 上のリンク喪失などの内部正常性アイテムが含まれます。
•
ESM は定期的に Receiver と通信し、ステータスと正常性を判定します。
•
新しい設定情報はすべて、プライマリとセカンダリの両方の Receiver に送信されます。
•
ESM は、プライマリとセカンダリの両方の Receiver にポリシーを送信します。
•
停止/再起動/ターミナル/コール ホームは、各 Receiver に個別に適用されます。
以下のセクションでは、Receiver-HA に問題が発生した場合の状況について説明します。
プライマリ Receiver の故障
プライマリ Receiver が故障しているかどうかを判断するのは、セカンダリ Receiver の役割です。データの損失を
最小限に抑えるため、故障は迅速かつ正確に判定する必要があります。フェールオーバー時は、ESM および ELM へ
最後にデータを送信した後のデータがすべて失われます。失われるデータの量は、Receiver のスループットと、ESM
が Receiver からデータをプルする速度に応じて異なります。これらの競合するプロセス間のバランスを慎重に取
り、データの可用性を最適化します。
プライマリ Receiver が完全に故障している場合 (停電、CPU 故障) は、プライマリ Receiver とのハートビート通
信はありません。Corosync は通信が失われたことを認識し、プライマリ Receiver を故障としてマークします。セ
カンダリ Receiver 上の Pacemaker は、プライマリ Receiver 上の IPMI カードがプライマリ Receiver をシャッ
トダウンするよう要求します。このときセカンダリ Receiver が共有 IP と MAC アドレスを引き受け、すべてのコ
レクターを開始します。
セカンダリ Receiver の故障
セカンダリの故障プロセスは、セカンダリ Receiver がハートビート通信に応答しなくなったときに発生します。こ
れは、管理インターフェースおよびハートビート インターフェースを使用して一定期間試みた後に、システムがセカ
ンダリ Receiver と通信できていないことを意味します。
プライマリがハートビート信号と整合性信号を受信できない場合、corosync はセカンダリを故障とマークし、
Pacemaker はセカンダリの IPMI カードを使ってこれをシャットダウンします。
プライマリの正常性問題
プライマリ Receiver の正常性が著しく損なわれることがあります。正常性の重大な損失としては、データベースの
無応答、データ ソース インターフェースの無応答、過剰なディスク エラーなどがあります。
プライマリ Receiver はこれらのいずれかの状態に関する healthmon アラートを認識すると、corosync を停止し
ます。Pacemaker が healthmon アラートを処理および設定します。これらのプロセスを中止すると、データ収集
作業がセカンダリ Receiver へ移行します。
セカンダリの正常性問題
セカンダリ Receiver の正常性が著しく損なわれると、以下が発生します。
•
セカンダリ Receiver はクエリーに対して正常性問題を ESM に報告し、corosync と Pacemaker のプロセスを
中止します。
•
セカンダリ Receiver がそのままクラスターの一部になっている場合は、それ自体をクラスターから削除し、プ
ライマリ Receiver が故障した場合に使用できなくなります。
•
正常性問題が分析され、修理が試みられます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
75
3
ESM の設定
デバイスの設定
•
正常性問題が解決すると、Receiver は『サービスに戻す』の手順を使って正常動作に戻されます。
•
正常性問題が解決しない場合は、『故障した Receiver を交換する』のプロセスが開始します。
サービスに戻す
Receiver が故障から復旧してサービスに戻ると (例: 停電、ハードウェア修理、またはネットワーク修復後の再起
動)、以下が発生します。
•
高可用性モードの Receiver は起動時にデータ収集を開始しません。 プライマリに設定されるまでセカンダリ
モードで動作します。
•
優先プライマリ デバイスはプライマリの役割を果たし、共有データ ソースの IP を使用してデータの収集を開始
します。 優先プライマリ デバイスがない場合、現在プライマリ モードのデバイスが共有データ ソースを使用し
てデータの収集を開始します。
このプロセスについての詳細は、『故障した Receiver を交換する』を参照してください。
Receiver-HA のアップグレード
Receiver-HA のアップグレード プロセスでは、セカンダリ Receiver から順番に、両方の Receiver をアップグレ
ードします。 次のようになります。
1
アップグレード tarball ファイルを ESM にアップロードし、セカンダリ Receiver に適用します。
2 『Receiver-HA の役割を切り替える』のプロセスに従って、プライマリとセカンダリの Receiver の役割を切り
替えます。今回アップグレードした Receiver がプライマリ Receiver になり、まだアップグレードしていない
ほうがセカンダリとなります。
3
アップグレード tarball が新しいセカンダリ Receiver に適用されます。
4 『Receiver-HA の役割を切り替える』のプロセスに従って、再度プライマリとセカンダリの Receiver の役割を
切り替えます。これで元の Receiver の役割に戻ることになります。
アップグレードする場合には、優先プライマリ Receiver を使用しないでください。 参照
Receiver-HA を優先プライマリで設定している場合には、アップグレード前に設定を変更してください。 [HA
Receiver] タブ (『Receiver-HA デバイスをセットアップする』を参照) で、[優先のプライマリ デバイス] フィー
ルドに [なし] を選択します。 これにより、[フェールオーバー] オプションが使用可能になります。このオプション
は、優先プライマリ設定で使用できません。 両方の Receiver がアップグレードされたら、優先プライマリの設定を
再度適用できます。
関連トピック:
73 ページの「[Event Receiver] の設定」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
76
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
Receiver-HA のネットワーク ポート
これらの図は、Receiver-HA 上のネットワーク ポートの接続方法を示しています。
1U HA Receiver 間の接続を確立する
McAfee Enterprise Security Manager 9.6.0
製品ガイド
77
3
ESM の設定
デバイスの設定
2U HA Receiver 間の接続を確立する
Receiver-HA デバイスの設定
Receiver-HA デバイスの設定を定義します。
開始する前に
プライマリ デバイスとして機能する Receiver を追加します(『ESM コンソールにデバイスを追加』 を
参照)。 3 つ以上の NICS が必要です。
高可用性 Receiver の機能は FIPS 準拠ではありません。 FIPS 規則に準拠する必要がある場合は、この
機能を使用しないでください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、プライマリ HA デバイスにする Receiver を選択し、[プロパティ] アイコ
ン
78
をクリックします。
2
[Receiver の設定]、[インターフェース] の順にクリックします。
3
[HA Receiver] タブをクリックし、[高可用性のセットアップ] を選択します。
4
要求された情報を入力し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
これで、2 番目の Receiver をキー設定し、データベースを更新し、globals.conf を適用し、2 つの Receiver を
同期させるためのプロセスが開始されます。
関連トピック:
74 ページの「高可用性 Receiver」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
セカンダリ デバイスを再初期化
セカンダリ Receiver を何らかの理由でサービスから外していた場合は、再インストールして再初期化してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、プライマリ Receiver の [Receiver プロパティ] を選択し、[Receiver の
設定] 、 [インターフェース] 、 [HA Receiver]をクリックします。
2
[セカンダリ管理 IP] フィールド内の IP アドレスが正しいことを確認します。
3
[セカンダリを再初期化] をクリックします。
ESM は、Receiver を再初期化するのに必要な手順を実行します。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
IPv6 で Receiver HA を設定する
以下の手順に従って IPV6 での高可用性を設定します。LCD を使用して IPv6 アドレスを手動で設定することはで
きません。
開始する前に
•
ESM が手動または自動のいずれかで IPv6 を使用していることを確認します ([システムのプロパテ
ィ] 、 [ネットワーク設定])。
•
ネットワーク管理者が作成する共有 IP アドレスを確認します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
79
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
HA ペアの 2 つの Receiver で以下の設定を行います。
a
Receiver をオンにしてから、LCD を使用して IPv6 を有効にします。
b
[Mgt IP Configr (IP 設定の管理)] 、 [Mgt1 (管理 1)] 、 [IPv6] に移動して、管理 IP アドレスをメモしま
す。ネットワークの遅延により多少時間がかかることがあります。
一方の Receiver を ESM に追加します (『ESM コンソールにデバイスを追加する』を参照してください)。
•
[名前] — HA ペアの名前。
•
[ターゲット IP アドレスまたは URL] — この HA Receiver の管理 IPv6 アドレス (前の手順でメモしたア
ドレス)。
3
システム ナビゲーション ツリーで新しく追加したデバイスを選択し、[Receiver のプロパティ] 、 [Receiver
の設定] 、 [インターフェース] をクリックします。
4
[IPv6 モード] フィールドで、[手動] (HA で唯一サポートされているモード) を選択します。
5
1 番のインターフェースの横にある [セットアップ] をクリックし、[IPv6] フィールドに共有 IP アドレスを入力
して [OK] をクリックします。
このアドレスは、HA の設定時に共有インターフェースに割り当てられます。この設定を行っていない場合、HA
は適切にフェールオーバーできません。
6
[Receiver のプロパティ] で [接続] をクリックし、[ターゲット IP アドレス/名前] に共有 IPv6 アドレスを入力
して [OK] をクリックします。
7
続いて、『Receiver-HA デバイスの設定』に記載されている手順に従って HA の設定を行います。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
HA デバイスをリセットする
HA Receiver を HA デバイスとして設定する前の状態にリセットする必要がある場合、ESM コンソール上でその操
作を行えます。Receiver との通信に失敗した場合は、LCD メニューで行います。
•
80
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
操作
手順
ESM コンソールで
1 システム ナビゲーション ツリーで [Receiver プロパティ] をクリックし、[Receiver
Receiver をリセット
の設定] 、 [インターフェース] の順にクリックします。
します。
2 [高可用性のセットアップ] を選択解除し、[OK] をクリックします。
3 警告ページで [Yes] をクリックし、[閉じる] をクリックします。
両方の Receiver が、約 5 分のタイムアウト後、MAC アドレスをそれぞれの元の値に戻
します。
プライマリまたはセ
カンダリ Receiver
を LCD メニューで
リセット
1 Receiver の LCD メニューで [X] を押します。
2 [HA を無効化] が表示されるまで下矢印を押します。
3 右矢印を 1 回押します。LCD 画面に [プライマリの無効化] が表示されます。
4 プライマリ Receiver をリセットするには、チェックマークを押します。
5 セカンダリ Receiver をリセットするには、下向き矢印を 1 回押してからチェックマ
ークを押します。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
Receiver-HA の役割を切り替える
ユーザーが開始するスイッチオーバー プロセスにより、プライマリとセカンダリの Receiver を切り替えることがで
きます。
これは、Receiver をアップグレードしたり、Receiver をメーカーに返送する準備をしたり、Receiver のケーブル
を移動するときなどに必要になります。この切り替えにより、失われるデータの量を最小限にします。
コレクター (McAfee ePO デバイスを含む) と Receiver-HA が関連付けられている場合、Receiver-HA でフェールオ
ーバーが発生すると、この 2 つの間にあるスイッチがフェールオーバー Receiver の新しい MAC アドレスと共有 IP
アドレスを関連付けるまで、コレクターは Receiver-HA と通信できません。 ネットワークの設定状態によって、この
処理には数分から数日かかる場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーで、Receiver-HA デバイスを選択し、[プロパティ] アイコン
します。
をクリック
[高可用性] 、 [フェールオーバー] の順に選択します。 以下が行われます。
•
ESM はセカンダリ Receiver に対し、共有データ ソース IP の使用を開始し、データを収集するよう指示し
ます。
•
セカンダリ Receiver は、Cluster Resource Manager (CRM) コマンドを発行し、共有 IP と MAC を切り
替え、コレクターを起動します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
81
3
ESM の設定
デバイスの設定
•
ESM は、プライマリ Receiver からすべてのアラートとフロー データをプルします。
•
ESM は、セカンダリ Receiver をプライマリ、またプライマリ Receiver をセカンダリとしてマークします。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
HA Receiver のアップグレード
Receiver-HA のアップグレード プロセスでは、セカンダリ Receiver から順番に、両方の Receiver をアップグレ
ードします。
アップグレード プロセスを開始する前に、「Receiver の高可用性ステータスを確認する」のプロセスを実行し、
Receiver-HA デバイスでアップグレードの準備が整っていることを確認してください。この確認を行わないと、デバ
イスのアップグレードとダウンタイムの問題が発生することがあります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーで、Receiver-HA デバイスを選択し、[プロパティ] アイコン
します。
をクリック
以下の手順でセカンダリ Receiver をアップグレードします。
a
[Receiver の管理] をクリックし、[セカンダリ] を選択します。
b
[デバイスを更新] をクリックし、使用するファイルを選択または参照して、[OK] をクリックします。
Receiver が再起動し、ソフトウェアのバージョンが更新されます。
c
[Receiver のプロパティ] で [高可用性] 、 [サービスに戻す] の順にクリックします。
d
セカンダリ Receiver を選択し、[OK] をクリックします。
3
セカンダリ Receiver をプライマリに変更するには、[高可用性] 、 [フェールオーバー] の順にクリックします。
4
手順 2 を繰り返して、新しいセカンダリ Receiver をアップグレードします。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
82
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
Receiver の高可用性ステータスを確認する
アップグレードを実行する前に、HA Receiver ペアのステータスを確認します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、プライマリ Receiver-HA デバイスを選択し、[プロパティ] アイコン
をクリックします。
2
[ステータス] および [セカンダリ ステータス] フィールドで、ステータスが [OK; HA Status: online] である
かを確認します。
3
各 HA Receiver に対してセキュアなシェル、つまり SSH を確保して、両方の Receiver のコマンドライン イン
ターフェースから ha_status コマンドを実行します。結果の情報には、この Receiver のステータスと、この
Receiver が他の Receiver のステータスをどのように捉えているかが示されます。次のように表示されます。
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
4
この情報から以下を確認します。
•
応答の 1 行目は OK です。
•
Hostname はコマンドラインのホスト名から Receiver のモデル番号を引いた値と同じです。
•
Mode は sharedIP の値がこの Receiver のホスト名である場合はプライマリです。そうなっていない場合、
モードはセカンダリです。
•
次の 2 行は HA ペアの Receiver のホスト名を示しており、各 Receiver の実行ステータスをリストしてい
ます。両方のステータスは [online] です。
•
corosync= は実行中である corosync の実行ステータスを示します。
•
hi_bit は Receiver 上では no、その他の Receiver 上では yes です。どれがどれということを問いませ
ん。
HA Receiver の 1 つだけが hi_bit 値で設定されていることを確認します。両方の HA Receiver が同じ値に
設定されている場合、この誤った設定を修正しようとしてアップグレードする前に McAfee サポートに問い合
わせる必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
83
3
ESM の設定
デバイスの設定
5
各 HA Receiver に対してセキュアなシェル、つまり SSH を確保して、両方の Receiver のコマンドライン イン
ターフェースから ifconfig コマンドを実行します。
6
生成されたデータで以下を確認します。
•
eth0 および eth1 の MAC アドレスは両方の Receiver で一意です。
•
プライマリ Receiver は eth1 で 共有 IP アドレスを持っていますが、セカンダリ Receiver は eth1 で IP
アドレスを持っていません。
両方の HA Receiver が同じ値に設定されている場合、この誤った設定を修正しようとしてアップグレードす
る前に McAfee サポートに問い合わせてください。
このスポット チェックは、システムが機能しており IP アドレスの重複が存在していないかを確認します。つまり、
デバイスをアップグレードできることを意味します。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
84 ページの「故障した Receiver の交換」
85 ページの「故障した Receiver のトラブルシューティング」
故障した Receiver の交換
セカンダリ Receiver に解決不能な正常性の問題がある場合、Receiver の交換が必要になる可能性があります。新
しい Receiver を受け取ったら、McAfee ESM Setup and Installation Guide の手順に従ってインストール
します。IP アドレスを設定し、ケーブルのプラグを差し込んだら、Receiver を HA クラスターに戻す作業に進むこ
とができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで HA Receiver の [Receiver プロパティ] を選択し、[Receiver の設定] 、
[インターフェース]をクリックします。
2
[HA Receiver] タブをクリックし、[高可用性のセットアップ] が選択されているかを確認します。
3
IP アドレスが正しいかを確認し、[セカンダリを再初期化] をクリックします。
新しい Receiver がクラスターに組み込まれ、HA モードが有効になります。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
85 ページの「故障した Receiver のトラブルシューティング」
84
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
故障した Receiver のトラブルシューティング
HA セットアップの Receiver が何らかの理由で故障すると、データ ソースの書き込み、グローバル設定、集計設
定、その他が失敗し、SSH エラーが表示されます。
実際には、機能が続行されている Receiver に設定がロールアウトされますが、故障している Receiver とは同期で
きないので、エラーが表示されます。ただし、ポリシーはロールアウトしません。このような状況では、以下のよう
な選択肢があります。
•
セカンダリ Receiver が利用可能になって同期されるまでポリシーのロールアウトを待機します。
•
Receiver を HA モードから削除します。これにより HA クラスターのダウン タイムが 2~5 分間発生し、この
間イベントは収集されません。
関連トピック:
74 ページの「高可用性 Receiver」
78 ページの「Receiver-HA デバイスの設定」
79 ページの「セカンダリ デバイスを再初期化」
79 ページの「IPv6 で Receiver HA を設定する」
80 ページの「HA デバイスをリセットする」
81 ページの「Receiver-HA の役割を切り替える」
82 ページの「HA Receiver のアップグレード」
83 ページの「Receiver の高可用性ステータスを確認する」
84 ページの「故障した Receiver の交換」
Receiver の未加工データのアーカイブ
長期保存のためストレージ デバイスに未加工データのバックアップを転送するように Receiver を設定します。
ESM がサポートしている 3 種類のストレージは、Server Message Block/Common Internet File System
(SMB/CIFS)、Network File System (NFS)、および Syslog Forwarding です。 SMB/CIFS と NFS がデータ フ
ァイルの形態で格納するのは、email、estream、http、SNMP、SQL、Syslog、およびリモート エージェント プ
ロトコルを使用するデータ ソースによって Receiver へ送信されるすべての未加工データのバックアップです。 こ
れらのデータ ファイルは、5 分おきにアーカイブへ送信されます。Syslog Forwarding は、Syslog プロトコルの
未加工データを、結合 Syslog の連続ストリームとして、[データ アーカイブ設定] ページの [Syslog Forwarding]
セクションで設定したデバイスへ送信します。Receiver は、一度に 1 種類のストレージのみに転送できます。3 種
類すべてを設定できますが、データをアーカイブするために有効化できるのは 1 種類のみです。
この機能は、Netflow、sflow、および IPFIX のデータ ソース タイプをサポートしていません。
関連トピック:
73 ページの「[Event Receiver] の設定」
85 ページの「アーカイブ設定を定義」
アーカイブ設定を定義
Syslog メッセージの未加工データを格納するには、Receiver がアーカイブに使用する設定を構成する必要がありま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
85
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[Receiver の設定] 、 [データ アーカイ
ブ]をクリックします。
2
共有タイプを選択して、リクエストされた情報を入力します。
ポート 445 を CIFS 共有のあるシステム上で開き、CIFS 共有接続を有効にする必要があります。同様に、ポート
135 を SMB 共有のあるシステム上で開き、SMB 接続を確立する必要があります。
3
Receiver デバイスに変更を適用する準備が整ったら、[OK] をクリックします。
関連トピック:
85 ページの「Receiver の未加工データのアーカイブ」
86 ページの「[データ アーカイブ設定] ページ」
[データ アーカイブ設定] ページ
Receiver がアーカイブに使用する設定を構成します。
表 3-32 SMB/CIFS 共有オプションの定義
オプション
定義
[共有タイプ]
SMB または CIFS 共有タイプを選択します。
[IP アドレス]
共有の IP アドレスを入力します。
[共有名]
共有の名前を入力します。
[パス]
アーカイブしたデータを格納する共有のサブディレクトリを入力します(例: TMP/
Storage)。ストレージが共有のルート ディレクトリ内にある場合、パスは不要です。
[ユーザー名] と [パ
スワード]
共有に接続するための有効なユーザー名を入力し、共有との接続中に使用するユーザー ア
カウントのパスワードを入力します。
SMB/CIFS 共有との接続時は、パスワードにカンマを使用しないでください。
[接続]
クリックして、接続をテストします。
表 3-33 NFS 共有オプションの定義
オプション
定義
[IP アドレス]
マウント ポイントの IP アドレスを入力し、次にマウント ポイントの名前を入力します。
[マウント ポイント] マウント ポイントの名前を入力します。
[パス]
アーカイブしたデータを格納する共有のサブディレクトリを入力します(例: TMP/
Storage)。ストレージが共有のルート ディレクトリ内にある場合、パスは不要です。
[接続]
クリックして、接続をテストします。
表 3-34 Syslog Forwarding 共有オプションの定義
86
オプション
定義
[IPv4 アドレス] または [IPv6 アドレ
ス]
データ ストリームの転送先である Syslog サーバーの IP アドレスを入
力します。
[IPv4 パス] または [IPv6 パス]
データ ストリームの転送先である Syslog サーバーのポートを入力し
ます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
関連トピック:
85 ページの「アーカイブ設定を定義」
相関イベントのソース イベントを表示する
[イベント分析] ビューで、相関イベントのソース イベントを表示できます。
開始する前に
相関データ ソースが ESM に存在している必要があります (「相関データ ソース」と「データ ソースを
追加する」を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで Receiver を展開し、[相関エンジン] アイコンをクリックします。
2
ビュー リストで [イベント ビュー] をクリックして、[イベント分析] を選択します。
3
[イベント分析] ビューで、相関イベントの隣の最初の列にあるプラス記号 (+) をクリックします。
プラス記号が表示されるのは、相関イベントのソース イベントが存在する場合だけです。
相関イベントの下にソース イベントが表示されます。
Receiver スループットの統計情報を表示する
過去 10 分間、過去 1 時間、過去 24 時間の受信 (コレクター) と送信 (パーサー) のデータ ソース レートなどの
Receiver 使用統計を表示します。
開始する前に
デバイス管理権限があることを確認してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで Receiver を選択して、プロパティ アイコン
2
[Receiver の管理]、[統計情報の表示]、[スループット] の順にクリックします。
3
Receiver の統計情報を表示します。
をクリックします。
受信レートが送信レートよりも 15% 大きい場合、その行に「クリティカル」 (過去 24 時間) または「警告」
(過去 1 時間) というフラグが付きます。
4
[すべて]、[クリティカル]、[警告] オプションを選択して、データ ソースをフィルタリングします。
5
メトリックスを表示する測定単位を KB またはレコード数で選択します。
6
10 秒間隔でデータを自動的に更新するには、[自動更新] チェックボックスを選択します。
7
関連する列のタイトルをクリックして、データをソートします。
Receiver データ ソース
McAfee Event Receiver は、ファイアウォール、仮想プライベート ネットワーク(VPN)、ルーター、Nitro IPS/
IDS、NetFlow、sFlow などを含むマルチベンダー ソースからのセキュリティ イベントおよびネットワーク フロー
McAfee Enterprise Security Manager 9.6.0
製品ガイド
87
3
ESM の設定
デバイスの設定
データの収集を可能にします。データ ソースは、Receiver がログやイベント データをどのように収集するかを制御
するのに使用されます。データ ソースを追加し、必要なデータを収集するための設定を定義する必要があります。
[データ ソース] ページは、Receiver デバイスのデータ ソースを管理する出発点です。データ ソースを追加、編集、
削除するほか、インポート、エクスポート、移行する方法も提供します。子データ ソースおよびクライアント デー
タ ソースも追加できます。
関連トピック:
88 ページの「データ ソースを追加」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
54 ページの「デフォルトのロギング プールを設定する」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「データ ソースによって生成されたファイルを表示する」
データ ソースを追加
データ収集のために Receiver に追加する必要のあるデータ ソースの設定を構成します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、データ ソースを追加する Receiver を選択し、[プロパティ] アイコン
をクリックします。
2
[Receiver のプロパティ] で[データ ソース] 、 [追加]をクリックします。
3
ベンダーとモデルを選択します。
入力するフィールドは、選択内容によって異なります。
4
要求された情報を入力し、[OK] をクリックします。
データ ソースが Receiver 上のデータ ソースのリストに追加されるとともに、選択した Receiver のシステム ナビ
ゲーション ツリーにも追加されます。
関連トピック:
87 ページの「Receiver データ ソース」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
123 ページの「データ ソースによって生成されたファイルを表示する」
90 ページの「データ ソースを追加 ページ」
89 ページの「[データ ソース] ページ」
91 ページの「[ユーザー定義のルール割り当てタイプの名前を変更] ページ」
88
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
[データ ソース] ページ
Receiver 上のすべてのデータ ソースの設定を構成します。
表 3-35 オプションの定義
オプション
定義
データ ソース テ システム上のデータ ソース、クライアントの有無、データ ソースのタイプを表示します。 さら
ーブル
に、Receiver によるこのデータ ソース データの処理方法やデータの処理方法も表示します。
次のオプションがあります。
• [解析中] - 収集されたデータは解析され、データベースに挿入されます。
• [ロギング] - データは ELM へ送信されます。 これはシステム上に ELM デバイスがある場
合にのみ使用できます。
• [SNMP トラップ] - データ ソースは SNMP トラップの送信機能を持つ管理可能なネットワ
ーク デバイスから、標準の SNMP トラップを受け入れます。 標準トラップには、認証失敗、
コールド スタート、EGP ネイバー ロス、リンク ダウン、リンク アップ、ウォーム スタート
などがあります。これらのトラップを受信すると、データ ソースにイベントが生成されます。
SNMP トラップを IPv6 経由で送受信する必要がある場合、IPv6 アドレスを IPv4 変換アド
レスとして定式化しなくてはなりません。 たとえば、10.0.2.84 を IPv6 に変換すると次のよ
うになります: 2001:470:B:654:0:0:10.0.2.84 または 2001:470:B:654::A000:0254。
これらの設定は、テーブル上で選択または選択解除することによって変更できます。さらに、[ロ
アイコンか [SNMP]
アイコンをクリックして、ストレージ プールまたは SNMP
ギング]
プロファイルを追加することもできます。
[追加]
Receiver に新しいデータ ソースを追加します。
[子を追加]
既存のデータ ソースに子データ ソースを追加します。そのようにするとデータ ソースを編成
しやすくなります。
[クライアント]
クライアント データ ソースを追加して、Receiver 上で許可されるデータ ソースの数を増やし
ます。
[編集]
選択したデータ ソースの設定を変更します。
[削除]
選択したデータ ソースを削除します。
[インポート]
.csv 形式で保存されているデータ ソースのリストをインポートします (「データ ソースのリス
トをインポートする」を参照)。
[エクスポート]
システム上にある一連のデータ ソースをエクスポートします。
[移行]
Receiver 間で、データ ソースを再割り当てまたは再分布させることができます。
[詳細設定]
カスタム データ ソース定義をアップロードまたは表示します。
[自動学習]
不明な IP アドレスを自動的に学習するように Receiver を設定します。
[名前を変更]
ユーザー定義のデータ ソース エントリの名前を変更します。
[アップロード]
選択したデータ ソースのファイルをアップロードします。これは Syslog 専用です。
[書き込み]
Receiver にデータ ソース設定への変更を書き込みます。
関連トピック:
88 ページの「データ ソースを追加」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
89
3
ESM の設定
デバイスの設定
データ ソースを追加 ページ
データ ソースは、Receiver がログやイベント データをどのように収集するかを制御するのに使用されます。データ
ソースを追加し、必要なデータを収集するための設定を定義する必要があります。
表 3-36 オプションの定義
オプション
定義
[システム プ
ロファイルを
使用]
このデータ ソースを設定するためにプロファイルを使用する場合は、これを選択します。 SNMP
および Syslog プロトコルベースのデバイスのみ、プロファイルからの設定とともにあらかじめ入
力されます。
[データ ソー
ス ベンダー]、
[データ ソー
ス モデル]
このデータ ソースのベンダーとモデルを選択します。
[データ形式]
解析方法を選択します。
[データの取
得]
データ収集方法を選択します。SCP を使用する場合、LANG 環境変数を [lang=C] に設定する必
要があります。
追加するアドバンスド Syslog パーサー (ASP) データ ソースが UTF-8 以外でエンコーディング
されるデータを生成する場合、ベンダーに [汎用] を選択し、モデルに [アドバンスド Syslog パー
サー] を選択します。
[SCP ファイル ソース] を選択した場合、相対パスはサポートされません。フルパスを正確に定義
する必要があります。
[CIFS ファイル ソース] または [NFS ファイル ソース] を選択した場合は、収集方法を選択する
必要があります。このフィールドの詳細については、『[ファイルのテーリング] データ ソース収集
方法を選択する』を参照してください。
[有効]
Receiver がデータを処理する方法を選択します。
• [ロギング] を選択した場合は、詳細を尋ねられます (『デフォルト ロギング プールを設定する』
を参照)。
• [SNMP トラップ] を選択した場合 (『SNMP トラップのデータソースを処理する』を参照)、
[SNMP データソースのプロファイル] ページで使用するプロファイルを選択します。必要なプ
ロファイルがドロップダウン リストにない場合は、[システムのプロファイル] リンクをクリック
してプロファイルを追加します (『プロファイルを設定する』を参照)。
[名前]
データ ソースの名前を入力します。
[IP アドレ
ス]、[ホスト
名]、[参照]
単一の IP アドレスまたはホスト名を入力します。[参照] をクリックして、IP アドレスを入力した
場合はホスト名、ホスト名を入力した場合は IP アドレスを追加します。ホスト名だけで IP アドレ
スがない WMI データ ソースをセットアップできます。
残りのフィー
ルド
残りのフィールドを入力します。入力が必要なフィールドは、ベンダー、デバイス モデル、データ
の取得方法、または選択したデバイス モデルのプロトコルによって異なります。
[インターフェ いずれかの親 Receiver 設定を構成します (『インターフェースを設定する』 を参照)。データ収集
ース]
に使用するポートが [通信] タブ上で開いているかを確認します。これらのポートはデフォルトで
は閉じられているので、開く必要があります。
[詳細設定]
URL の追加や、CEF 転送の設定を行ったり、このデータ ソースをユーザー ID 管理情報の信頼で
きるコレクターとして設定したり、このデータ ソースを別の Receiver へのエクスポート用に設定
します。
関連トピック:
88 ページの「データ ソースを追加」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
90
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
[ユーザー定義のルール割り当てタイプの名前を変更] ページ
ユーザー定義のデータ ソース項目の名前を分かりやすい名前に変更します。
表 3-37 オプションの定義
オプション
定義
テーブル
ユーザー定義ルールの一覧を表示します。
[編集]
選択したデータ ソースの名前を変更します。
関連トピック:
88 ページの「データ ソースを追加」
SNMP トラップのデータ ソースの処理
SNMP トラップを使用すると、データ ソースは SNMP トラップの送信機能を持つ管理可能なネットワーク デバイ
スから、標準の SNMP トラップを受け入れます。
標準的なタイプは次のとおりです。
•
認証失敗
•
リンク停止
•
コールド スタート
•
リンク アップ/ウォーム スタート
•
EGP 近隣切断
IPv6 を介して SNMP トラップを送信するには、IPv6 アドレスを IPv4 変換アドレスで表す必要があります。たとえ
ば、10.0.2.84 を IPv6 に変換すると次のようになります。
2001:470:B:654:0:0:10.0.2.84 または 2001:470:B:654::A000:0254
[SNMP トラップ] を選択すると、3 つのオプションが表示されます。
•
以前にプロファイルを選択していない場合には、[SNMP データ ソース プロファイル] ダイアログ ボックスが開
き、使用するプロファイルを選択できます。
•
プロファイルを選択している場合には、[SNMP データ ソース プロファイル] ダイアログ ボックスが開きます。
プロファイルを変更するには、[システム プロファイル] フィールドの下矢印をクリックし、新しいプロファイル
を選択します。
•
以前に選択したプロファイルを変更するときに、必要なプロファイルが [SNMP データ ソース プロファイル] ダ
イアログ ボックスのドロップダウン リストに表示されない場合には、データ ソースの SNMP プロファイルを作
成します。
関連トピック:
91 ページの「[SNMP データ ソースのプロファイル] ページ」
[SNMP データ ソースのプロファイル] ページ
データ ソースとともに使用する既存の SNMP プロファイルを選択するか、新しい SNMP プロファイルを追加しま
す。
表 3-38 オプションの定義
オプション
定義
[システム プロファイル]
既存のプロファイル リストからプロファイルを選択するか、リンクをクリック
して、選択できる新しいプロファイルを追加します。
[既存のプロファイル割り当てを
上書き]
既存の SNMP プロファイル割り当てを削除してこのプロファイルで置き換える
場合に、選択します。
関連トピック:
91 ページの「SNMP トラップのデータ ソースの処理」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
91
3
ESM の設定
デバイスの設定
データ ソースの管理
[データ ソース] ページで、データ ソースを追加、編集、削除、インポート、エクスポート、移行することのほか、
子データ ソースやクライアント データ ソースを追加することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
Receiver 上でデータ ソースのリストを表示して管理でき、利用可能なオプションのいずれかを実行します。
3
[適用] または [OK] をクリックします。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
123 ページの「データ ソースによって生成されたファイルを表示する」
SIEM コレクター
SIEM コレクターは、暗号化された接続を介して Windows イベント ログを Receiver に送信します。
SIEM コレクターを使用しない場合、Windows イベントの収集は、WMI プロトコルまたはサードパーティのエージ
ェントによって行われます。 多くの環境では、セキュリティ ポリシーでシステムに対するアクセスがロックされて
いるので、WMI を使用することはできません。
WMI トラフィックはテキスト形式で、Windows イベントログに書き込まれたログ以外にはアクセスできません。
DNS、DHCP、IIS などの他のサービスやサードパーティ エージェントで作成されたログ ファイルにはアクセスで
きません。
SIEM コレクターをスタンドアロンまたは既存の McAfee ePolicy Orchestrator の一時として使用すると、既存の
McAfee Agent に WMI の機能を追加できます。
SIEM コレクターをハブとして使用すると、それぞれのシステムに SIEM コレクター パッケージを追加することな
く、他のシステムから RPC 経由でログを収集できます。
以下の機能も追加されます。
•
ユーザー定義の SQL データベースから収集するプラグイン (SQL Server と Oracle に対応)。
•
evt または .evtx 形式でエクスポートされた Windows イベントを解析するプラグイン。
•
SQL Server C2 監査 (.trc 形式) をサポートするプラグイン
Vulnerability Assessment データを統合する
DEM および Receiver の Vulnerability Assessment (VA) は、多くの VA ベンダーから取得したデータを統合でき
ます。
このデータは複数の方法で使用できます。
92
•
特定のイベントに対するエンドポイントの既知の脆弱性に基づいて、イベントの重大度を上げます。
•
資産とその属性 (検出されたオペレーティング システムとサービス) が自動的に認識されるようにシステムを設
定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
•
ユーザー定義の資産グループのメンバーシップを作成して操作します。
•
ネットワーク資産のサマリーおよびドリルダウン情報にアクセスします。
•
MySQL の実行中に資産が検出された場合に MySQL シグネチャをオンにするなど、[][][ポリシー エディター]
の設定を変更します。
定義済みのビューまたは作成したカスタム ビューでは、システムによって生成された VA データにアクセスできま
す。定義済みのビューには、次のものがあります。
•
[ダッシュボード ビュー] 、 [資産脆弱性ダッシュボード]
•
[コンプライアンス ビュー] 、 [PCI] 、 [セキュリティ システムおよびプロセッサのテスト] 、 [11.2 ネットワ
ークの脆弱性スキャン]
•
[エグゼクティブ ビュー] 、 [規制資産の重大な脆弱性]
カスタム ビューの作成方法については、『カスタム ビューを追加する』を参照してください。
[脆弱性の合計数]、[カウント]、[ダイアル] を含むビューを作成すると、大量の脆弱性が表示される場合があります。
これは、McAfee Threat Intelligence Services (MTIS) フィードが、VA ソースから報告された元の脆弱性に基づい
て脅威を追加しているためです (「資産、脅威、リスク評価」を参照)。
McAfee ルール チームは、VIN に対する McAfee sigID を、Common Vulnerabilities and Exposure (CVE) ID、
BugTraq ID、Open Source Vulnerability Database (OSVDB) ID、および Secunia ID に対する 1 つ以上の参
照にマッピングする、ルール ファイルを維持しています。これらのベンダーは、脆弱性の中で CVE および BugTraq
ID を報告するため、このリリースには CVE と BugTraq ID が含まれています。
VA システム プロファイルを定義
eEye REM ソースを追加する場合、[Vulnerability Assessment ソースを追加] ページでは、以前定義したシステム
プロファイルを使用することができます。この機能を使用するには、最初にプロファイルを定義する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで DEM または Receiver デバイスを選択し、[プロパティ] アイコン
クリックします。
2
次に[Vulnerability Assessment] 、 [追加]をクリックします。
3
[VA ソース タイプ] フィールドで、[eEye REM] を選択します。
4
[システム プロファイルを使用] をクリックします。
5
[追加] をクリックし、[プロファイル タイプ] フィールドで [Vulnerability Assessment] を選択します。
6
[プロファイル エージェント] フィールドで、このプロファイルの SNMP バージョンを選択します。
を
ページ上のフィールドは、選択したバージョンに基づいてアクティブになります。
7
要求された情報を入力し、[OK] をクリックします。
関連トピック:
94 ページの「[脆弱性評価] タブまたはページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
93
3
ESM の設定
デバイスの設定
[脆弱性評価] タブまたはページ
ESM の脆弱性評価 (VA) ソースを使用すると、VA ベンダーからデータを取得できます。 これらのソースはここで
管理します。
表 3-39 オプションの定義
オプション
定義
テーブル
システム上の Receiver と DEM、および VA ソースを表示します。
[追加]
ソースを追加します。
[編集]
選択したソースを変更します。
[削除]
選択した VA ソースを削除します。
[取得]
選択したソースの VA データを取得します。
[書き込み]
デバイスに加えた変更を書き込みます。
[アップロード] (Qualys) VA ソースを追加するときに [方法] フィールドで [手動アップロード] を選択した場
合、このオプションをクリックしてファイルをアップロードします。
Qualys QualysGuard ログ ファイルのアップロードで処理可能なファイル サイズは 2 GB まで
です。
関連トピック:
93 ページの「VA システム プロファイルを定義」
94 ページの「VA ソースを追加」
VA ソースを追加
VA ソースと通信するには、システムにソースを追加し、VA ベンダーの通信パラメーターを設定し、データを取得す
る頻度を示すパラメーターをスケジュールし、イベント重大度の計算を変更する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで DEM または Receiver デバイスを選択し、[プロパティ] アイコン
クリックします。
2
[Vulnerability Assessment] をクリックします。
3
VA ソースを追加、編集、削除、または取得し、デバイスに対する変更を書き込みます。
4
[適用] または [OK] をクリックします。
関連トピック:
94 ページの「[脆弱性評価] タブまたはページ」
95 ページの「[脆弱性評価ソースを追加] ページ」
94
McAfee Enterprise Security Manager 9.6.0
製品ガイド
を
ESM の設定
デバイスの設定
3
[脆弱性評価ソースを追加] ページ
ESM に VA ソースを追加します。 入力が必要なフィールドは、選択した VA ソース タイプによって異なります。
入力可能なフィールドは次のとおりです。
表 3-40 オプションの定義
オプション
定義
[クライアント ID]
Frontline のクライアント ID 番号を入力します。このフィールドは Digital Defense
Frontline で必要です。
[会社名]
FusionVM で、スキャンする会社名を入力します。 このフィールドを空白のままにすると、
ユーザーが属するすべての会社がスキャンされます。複数の会社名を入力する場合はカンマ
で区切ります。
[データの取得]
(Qualys QualysGuard) VA データの取得方法を選択します。 デフォルトは [HTTP/
HTTPS] です。 この他に、[SCP]、[FTP]、[NFS]、[CIFS]、[手動アップロード] を選択で
きます。
Qualys QualysGuard ログ ファイルの手動アップロードで処理可能なファイル サイズは 2
GB までです。
[ドメイン]
Windows ボックスのドメインを入力します (オプション。ただしドメイン コントローラー
またはサーバーがドメイン内に存在する場合を除く)。
[エクスポートされた エクスポートされたスキャン ファイルが存在するディレクトリ。
スキャン ファイル
ディレクトリ]
[エクスポートされた エクスポートされたスキャン ファイル形式 (XML、NBE)。
スキャン ファイル形
式]
[インストール ディ
レクトリ]
サーバーで Saint がインストールされた場所。 Saint アプライアンス スキャナーのインス
トール ディレクトリは /usr/local/sm/ です。
[IP アドレス]
• eEye REM の場合: トラップ情報を送信する eEye サーバーの IP アドレス。
• eEye Retina の場合: エクスポートされたスキャン ファイル (.rtd) を保持しているクラ
イアントの IP アドレス。
• McAfee Vulnerability Manager の場合: インストールされているサーバーの IP アドレ
ス。
®
• Nessus、OpenVAS、LanGuard、Rapid7 Metasploit Pro の場合: エクスポートされた
スキャン ファイルを保持しているクライアントの IP アドレス。
• NGS の場合: Squirrel レポートが格納されているシステムの IP アドレス。
• Rapid7、Lumension、nCircle、Saint の場合: それぞれのサーバーの IP アドレス。
[ディレクトリをマウ [方法] フィールドで [nfs] を選択すると、[ディレクトリをマウント] フィールドが追加され
ント]
ます。 [nfs] の設定時のマウント ディレクトリを入力します。
[方法]
エクスポートされたスキャン ファイルの取得に使用する方法 ([SCP]、[FTP]、[NFS]、ま
たは [CIFS] マウント)。LanGuard では常に [CIFS] が使用されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
95
3
ESM の設定
デバイスの設定
表 3-40 オプションの定義 (続き)
オプション
定義
[パスワード]
• McAfee Vulnerability Manager の場合: SQL Server 用の Windows 認証モードを使
用する場合は、Windows ボックスのパスワード。 それ以外の場合は SQL Server のパス
ワード。
• Nessus、OpenVAS、LanGuard、Rapid7 Metasploit Pro の場合: SCP または FTP の
パスワード (ユーザー名を参照)。
• NGS の場合: SCP および FTP で使用するパスワード。
• Qualys および FusionVM の場合: Qualys Front Office のパスワードまたは Fusion
VM のユーザー名 (ユーザー名を参照)。
• Rapid7 Nexpose、Lumension、nCircle、Saint の場合: Web サーバーとの接続に使用
するパスワード (ユーザー名を参照)。
• Digital Defense Frontline の場合: Web インターフェースのパスワード。
[ポート]
Rapid7 Nexpose、Lumension、nCircle、McAfee Vulnerability Manager または Saint
Web サーバーが待機するポート。 デフォルトは、Rapid7 Nexpose は 3780、Lumension
は 205、nCircle は 443、McAfee Vulnerability Manager は 1433、Saint は 22 です。
[プロジェクト/ワー
クスペース名]
特定のプロジェクトまたはワークスペースの名前を入力するか、空白にしてすべてのプロジ
ェクトまたはワークスペースを取得します。
®
[プロキシ IP アドレ HTTP プロキシの IP アドレス
ス]
[プロキシ パスワー
ド]
プロキシ ユーザー名のパスワード。
[プロキシ ポート]
HTTP プロキシがリッスンするポート。
[プロキシ ユーザー
名]
プロキシのユーザー名。
[Qualys または
FusionVM サーバー
の URL]
クエリーを行う Qualys または FusionVM サーバーの URL。
[リモート パスと共
有名]
CIFS の場合、Nessus、OpenVAS、eEye Retina、Metasploit Pro、LanGuard、NGS。
パス名では、バックスラッシュまたはスラッシュを使用できます (たとえば Program Files
\CIFS\va または /Program Files/CIFS/va)。
[Receiver データ取 Receiver または DEM から VA データを取得する頻度を示します。
得をスケジュール]
• [毎日] — 毎日データを取得する時間を選択します。
または [DEM データ
取得をスケジュール] • [毎週] — データを取得する曜日と時間を選択します。
• [毎月] — データを取得する日付と時間を選択します。
事前設定した時間にデータを取得しない場合は、[無効] を選択します。
eEye REM ではソースからのデータ取得がサポートされていないため、Receiver または
DEM からデータを取得する必要があります。
[VA データ取得をス VA ソースから VA データを取得する頻度を示します。詳細については、Receiver データ
ケジュール]
取得をスケジュールまたは DEM データ取得をスケジュールを参照してください。
[セッション]
96
Saint: セッション データを収集します。 すべてのセッションを含めるには、[すべて] を選
択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
表 3-40 オプションの定義 (続き)
オプション
定義
[SNMP 認証パスワ
ード]
[authNoPriv] または [authPriv] を [SNMP セキュリティ レベル] フィールドで選択する
と、このフィールドがアクティブになります。[SNMP 認証プロトコル] フィールドで選択し
た認証プロトコルのパスワードを入力します。
[SNMP 認証プロト
コル]
[authNoPriv] または [authPriv] を [SNMP セキュリティ レベル] フィールドで選択する
と、このフィールドがアクティブになります。このソースのプロトコルのタイプとして、
[MD5] または [SHA1] を選択します (SHA1 と SHA は同じプロトコル タイプ)。REM
Events Server の設定がこの選択と合致することを確認してください。
[SNMP コミュニテ
ィ]
REM Events Server の設定時に設定した SNMP コミュニティ。
[SNMP プライバシ
ー パスワード]
[authPriv] を [SNMP セキュリティ レベル] フィールドで選択すると、このフィールドがア
クティブになります。DES または AES プライバシー プロトコルのパスワードを入力しま
す。FIPS モードでは、選択できるオプションは [AES] だけです。
[SNMP プライバシ
ー プロトコル]
[authPriv] を [SNMP セキュリティ レベル] フィールドで選択すると、このフィールドがア
クティブになり、DES または AES を選択できます。FIPS モードでは、選択できるオプシ
ョンは [AES] だけです。
[SNMP セキュリテ
ィ レベル]
このソースに対して設定するセキュリティ レベル。
• [noAuthNoPriv] — 認証プロトコルおよびプライバシー プロトコルがない
• [authNoPriv] — 認証プロトコルはあるがプライバシー プロトコルがない
• [authPriv] — 認証プロトコルとプライバシー プロトコルの両方がある
SNMP 認証フィールドとプライバシー フィールドは、選択したセキュリティ レベルに応じ
てアクティブになります。REM Events Server の設定がこの選択と合致することを確認し
てください。
[SNMP ユーザー名]
[REM Events Server Configuration] のセキュリティ名。
[SNMP バージョン]
ソースの SNMP のバージョン。SNMP フィールドは、選択したバージョンに応じてアクテ
ィブになります。
[SNMPv3 エンジン
ID]
(オプション) SNMPv3 プロファイルを使用している場合の、トラップ送信元の SNMPv3 エ
ンジン ID。
[Sudo パスワード]
(オプション) Saint のインストール ディレクトリへのアクセスに必要なパスワードを入力
します (「sudo を使用」を参照)。
[タイムアウト]
このフィールドでは、ソースにデフォルトのタイムアウト値を使用したり、特定のタイムア
ウト値を設定できます。 これは、ベンダーから多数の VA データがあり、デフォルトのタイ
ムアウトでは必要なデータを取得できない場合に役立ちます。 タイムアウトの値を増やす
ことで、VA データの取得時間を増やすことができます。入力した値はすべての通信で使用
されます。
[トークン]
(オプション) Metasploit Global Settings で設定できる認証トークン。
[URL]
Digital Defense Frontline サーバーの URL を入力します。
[HTTP プロキシを使 HTTP プロキシを使用するように選択すると、[プロキシ IP アドレス]、[プロキシ ポート]、
用]
[プロキシ ユーザー名]、[プロキシ パスワード] フィールドがアクティブになります。
[パッシブ モードを
使用]
[方法] フィールドで [ftp] を選択すると、このフィールドがアクティブになります。 次に、
パッシブ モードをいつ使用するかを選択します。
[sudo を使用]
Saint のインストール ディレクトリへのアクセス権限があり、このアクセスを使用する場合
に、このオプションを選択します (「sudo パスワード」を参照)。
[システム プロファ
イルを使用] (eEye
REM)
以前に定義したプロファイルを使用するかどうかを選択します。 このオプションを選択す
ると、すべての SNMP フィールドが非アクティブになります。既存のシステム プロファイ
ルのいずれかを選択すると、選択したプロファイル内の情報がフィールドに入力されます。
プロファイルを定義する方法については、「VA システム プロファイルを定義」を参照して
ください。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
97
3
ESM の設定
デバイスの設定
表 3-40 オプションの定義 (続き)
オプション
定義
[ユーザー名]
McAfee Vulnerability Manager のユーザー名を入力します。 SQL Server 用の
Windows 認証モードを使用する場合には、Windows ボックスのユーザー名を入力します。
それ以外の場合には、SQL Server のユーザー名を使用します。
®
• Nessus、OpenVAS、Rapid7 Metasploit Pro の場合: SCP または FTP のユーザー名。
• NGS の場合: SCP および FTP で使用するユーザー名。
• Qualys または FusionVM の場合: 認証に使用する、Front Office または FusionVM の
ユーザー名。
• Rapid7 Nexpose、Lumension、nCircle、Saint の場合: Web サーバーに接続する場合
に使用するユーザー名。
• Digital Defense Frontline の場合: Web インターフェースのユーザー名。
[VA ソース名]
このソースの名前を入力します。
[ワイルドカード式]
ワイルドカード式は、エクスポートされたスキャン ファイルの名前を示すために使用しま
す。ワイルドカード式では、アスタリスク (*) または疑問符 (?) と、ファイル名での「ワイ
ルドカード」の標準的な定義を使用できます。
NBE ファイルと XML ファイルの両方がある場合は、このフィールドで NBE または XML
ファイルを使用するかどうかを指定する必要があります (たとえば *.NBE または *.XML)。
アスタリスク (*) だけを使用するとエラーが発生します。
関連トピック:
94 ページの「VA ソースを追加」
VA データを取得する
ソースを追加すると、VA データを取得できるようになります。ソースから VA データを取得するには、スケジュー
ルによる方法と、直ちに取得する方法の 2 つがあります。どちらのタイプの取得も、eEye REM (スケジュールのみ)
を除くすべての VA ソースで実行できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [DEM] または [Receiver のプロパティ] を選択し、[Vulnerability
Assessment] をクリックします。
2
VA ソースを選択して、オプションの 1 つを選択します。
目的
手順
[すぐに取得す • [取得] をクリックします。
る場合]
ジョブがバックグラウンドで実行され、取得が正常に完了すると通知されます (正常に完了しな
かった場合は「VA 取得のトラブルシューティング」を参照)。
[取得をスケジ 1 [編集] をクリックします。
ュールする場
2 [VA データ取得をスケジュール] フィールドで、頻度を選択します。
合]
3 [OK] をクリックします。
4 [Vulnerability Assessment] ページで [書き込み] をクリックし、デバイスに対する変更を
書き込みます。
98
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
4
3
[OK] をクリックします。
データを表示するには、[資産マネージャー] のクイック起動アイコン
Assessment] タブを選択します。
をクリックし、[Vulnerability
VA 取得のトラブルシューティング
VA データの取得が正常に完了しなかった場合には通知されます。取得が失敗する理由としては、次のようなものが
あります。
リソース
問題
Nessus、
OpenVAS、
Rapid7
Metasploit Pro
• ディレクトリが空。
Qualys、
FusionVM、
Rapid7 Nexpose
ディレクトリ内のデータがすでに取得されたため、データが最新ではない。
Nessus
新しい Nessus ファイルを FTP サイトにアップロードしたときに既存の Nessus ファイルを
上書きしても、ファイルの日付は同じままになります。そのため、VA 取得を実行したときに、
古いデータとして認識されるためデータが戻されません。この状況を防ぐには、新しい
Nessus ファイルをアップロードする前に古い Nessus ファイルを FTP サイトから削除する
か、アップロードするファイルの名前を変更します。
• 設定エラー。
• ディレクトリ内のデータがすでに取得されたため、データが最新ではない。
利用できる VA ベンダー
ESM は、これらの VA ベンダー製品との統合が可能です。
VA ベンダー
バージョン
Digital Defense Frontline
5.1.1.4
eEye REM (REM イベント サーバー)
3.7.9.1721
eEye Retina
5.13.0、Audits: 2400
eEye Retina VA ソースは、Nessus データ ソースに似ていま
す。scp、ftp、nfs、cifs のいずれかを使用して .rtd ファイル
を取得できます。.rtd ファイルは、scp、ftp、または nfs 共有
に手動でコピーしてプルする必要があります。.rtd ファイル
は、通常は Retina Scans ディレクトリにあります。
McAfee Vulnerability Manager
6.8, 7.0
Critical Watch FusionVM
4-2011.6.1.48
LanGuard
10.2
Lumension
Support PatchLink Security Management
Console 6.4.5 以上
nCircle
6.8.1.6
Nessus
Tenable Nessus バージョン 3.2.1.1 および
4.2 と、ファイル形式 NBE、.nessus
8XMLv2)、.nessus (XMLv1)、OpenNessus
3.2.1 XML をサポート
NGS
OpenVAS
3.0, 4.0
Qualys
McAfee Enterprise Security Manager 9.6.0
製品ガイド
99
3
ESM の設定
デバイスの設定
VA ベンダー
バージョン
Rapid7 Nexpose
Rapid7 Metasploit Pro
4.1.4-Update 1、ファイル形式 XML
同じ Receiver に Rapid7 VA ソースを追加することで、名前
が Nexpose で始まる Metasploit エクスプロイトの重大度を
推定できます。推定できない場合、デフォルトの重大度は 100
です。
Saint
データ ソースを自動的に作成する
Receiver に付属の 5 つの標準ルールまたは独自に作成したルールに従ってデータソースを自動的に作成するように
Receiver を設定できます。
開始する前に
Ensure that auto check is selected on the [イベント、フロー、ログ] ダイアログ ([システム プロ
パティ | イベント、フロー、ログ]) で自動検査を選択するか、アクション ツールバーで [イベントとフ
ローを取得] アイコン
をクリックして、イベントまたはフローをプルします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Receiver プロパティ] で、[データソース | 自動学習] をクリックします。
2
[自動学習] ウィンドウで、[設定] をクリックします。
3
[ルール エディターの自動追加] ウィンドウで、[自動作成を有効化] が選択され、Receiver が使用するルールの
自動追加が選択されていることを確認します。
4
選択したルールを既存の自動学習データに適用するには、[実行] をクリックし、[閉じる] をクリックします。
関連トピック:
102 ページの「データ ソース自動学習の設定」
100 ページの「新しい自動作成ルールを追加する」
新しい自動作成ルールを追加する
Receiver で使用するカスタム ルールを追加して、データ ソースを自動作成できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Receiver プロパティ] で、[データソース | 自動学習 | 設定 | 追加] をクリックします。
2
[自動追加ルールを設定] ダイアログ ボックスで、必要なデータを追加してルールを定義し、[OK] をクリックし
ます。
[ルール エディターの自動追加] ダイアログ ボックスの自動追加ルール リストに新しいルールが追加されます。 選
択すると、自動学習データがルールに定義された条件を満たしたときにデータ ソースが作成されます。
100
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
関連トピック:
100 ページの「データ ソースを自動的に作成する」
102 ページの「データ ソース自動学習の設定」
101 ページの「ルール エディターの自動追加 ページ」
101 ページの「[自動追加ルールを設定] ページ」
ルール エディターの自動追加 ページ
自動学習データからデータ ソースを作成するための自動追加ルールを表示、選択、適用します。
表 3-41 オプションの定義
オプション
定義
[自動作成を有効 自動学習データからデータ ソースを自動的に作成する場合は、これを選択します。ESM によっ
化]
て手動または自動で Receiver からアラートが引き出されるたびに、自動作成が行われます。
テーブル
現在 Receiver 上にある自動追加ルールおよびそれらが有効かどうかを表示します。このリスト
上のルールを有効または無効にできます。
[追加]
新しい自動追加ルールを追加します。
[編集]
選択した自動追加ルールを変更します。
[削除]
選択した自動追加ルールを削除します。
[今すぐ実行]
自動学習データの現在のリストに、有効なルールを適用します。
矢印ボタン
リスト上で選択した自動追加ルールを上下に移動して、順序を変更します。自動学習データはリ
ストの順序に従ってルールと照合され、一致した最初のルールに基づいてデータ ソースが作成さ
れるので、これは重要です。
関連トピック:
100 ページの「新しい自動作成ルールを追加する」
[自動追加ルールを設定] ページ
データソースを自動的に作成するルールの条件を定義します。
表 3-42 オプションの定義
オプション
定義
[説明]
このルールを説明する名前を入力します。
[タイプ]
ドロップダウン リストからルールのタイプを選択します。
[有効]
このルールを有効にする場合に選択します。
[自動学習の一致
条件] 列
データソースまたはクライアントとして追加するデータの条件を定義します。
[データソース/ク データが条件に一致した場合に作成するデータソースの設定を定義します。
ライアント作成パ • データソースの名前を入力します。 このフィールドは、IP アドレス、モデル、ホスト名を表
ラメーター] 列
す変数をサポートします。 たとえば、Data source - {MODEL}_{HOST}_{IP} と入力で
きます。
• データソースまたはクライアントを選択します
• クライアントの場合、その親を選択してからクライアント タイプを選択します。
• ベンダー、モデル、タイム ゾーン、ゾーンを選択します。
• データ ソース (クライアントではない) によって生成されたデータを ELM に格納する場合、
[ストレージ プール] をクリックし、ストレージ プールを選択します。
関連トピック:
100 ページの「新しい自動作成ルールを追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
101
3
ESM の設定
デバイスの設定
データ ソース自動学習の設定
IP アドレスを自動的に学習するように ESM を設定します。
開始する前に
Syslog、MEF、およびフローについてポートが定義されているかを確認します(『インターフェースの設
定』 を参照)。
Receiver のファイアウォールは指定した時間に開くので、システムは一連の不明な IP アドレスを学習できます。そ
の後に、データ ソースとしてシステムに追加できます。
アップグレードすると、自動学習結果は [自動学習] ページから削除されます。アップグレード前に何も行っていない
自動学習結果がある場合は、アップグレード後に自動学習を実行して、それらの結果を再度収集する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [自動学習]をクリック
します。
2
必要に応じて設定を定義し、[閉じる] をクリックします。
関連トピック:
100 ページの「データ ソースを自動的に作成する」
100 ページの「新しい自動作成ルールを追加する」
103 ページの「[自動学習] ページ」
104 ページの「[自動学習ソース] ページ」
105 ページの「[データ ソース クライアントを編集] ページ」
102
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
[自動学習] ページ
データ ソースを自動的に学習するように Receiver を設定します。
表 3-43 オプションの定義
オプショ
ン
定義
[有効] ま 自動学習を有効または無効にします。
たは [無
Receiver ポートが、データを送信するソースと一致しなければ、自動学習は実行されません。
効]
• 該当する [時間] フィールドで自動学習を行う時間の長さ(最大は 24 時間、0 は連続)を選択し、
[有効] をクリックします。自動学習が開始され、ボタンが [無効] に変わります。時間が満了すると
自動学習機能が無効化され、検出された IP アドレスがテーブルに入力されます。
MEF に自動学習を使用するときは、ホスト ID を使って自動学習したデータ ソースを追加できません。
• 収集が完了する前にプロセスを停止する — [無効] をクリックします。データ収集は停止します
が、その時点までに収集したデータは処理されます。
• 処理が完了するまで待つ — 指定された期間、データは収集されます。データは処理され、テーブ
ルに追加されます。
取得された情報はすべて、自動学習を再度有効にするまで ESM に格納されます。
[自動学習] ページから移動しても、選択した期間中は自動学習が継続されます。[現在のステータス] フ
ィールドは、自動学習プロセスで発生したものを表示します。
• [自動学習が停止しました] — 現時点では行われません。これは、自動学習がリクエストされておら
ず、リクエストされた学習と処理が既に完了していることを意味します。
• [データ収集] — 自動学習が有効になり、現在データを収集しています。これは指定された期間に渡
って行われます。
• [自動学習データの処理] — システムは収集したデータを処理しています。これは指定された期間に
渡ってデータを収集した後に行われます。
• [エラーが発生しました] — データの収集中または処理中にエラーが発生しました。
[設定]
収集した IP アドレスが、ルール内で定義した条件を満たす場合に、自動的にデータ ソースとして追加
できるようにするルールを設定します。
テーブル
自動学習したデータ ソースの IP アドレスを表示します。それぞれに IP アドレスと自動学習済みで構
成される名前が与えられ、ログの形式がリストされます。またシステムは、データ ソース タイプの照
合を試みます。
[追加]
自動学習済み IP アドレスをデータ ソースとして追加します。
1 テーブル上で同じタイプの IP アドレスを 1 つ以上選択し、 [追加] をクリックします。
2 [自動学習ソース] ページで、オプションの 1 つを選択します。
3 [OK] をクリックします。次のいずれかが行われます。
• 選択した IP アドレスに関連付けられた名前がない場合は、選択したアドレスにプレフィックスを
追加するかどうかを尋ねられます。
– [No] をクリックした場合、IP アドレスがこれらのデータ ソースの名前として使用されます。
– [Yes] をクリックした場合、[名前の接頭辞] ページが開きます。名前を入力し、[OK] をクリッ
クします。これらのデータ ソース名は、追加した名前と IP アドレスで構成されます。
• 選択した IP アドレスに名前がある場合、データ ソースは [データ ソース] ページのリストに追加
されます。
[名前を編 選択したアイテムのデフォルト名を編集します。名前フィールドは最大 50 字です。それぞれの名前は
集]
一意にする必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
103
3
ESM の設定
デバイスの設定
表 3-43 オプションの定義 (続き)
オプショ
ン
定義
[削除]
選択した IP アドレスをリストから削除します。[自動学習] を終了するまで、リストは保存されません。
[タイプを 選択した IP アドレスのタイプを変更します。システムが提示したタイプが誤っている場合に、これを
変更]
行います。パケットを表示することで、適切なタイプを判断するのに必要な情報が得られます。
[更新]
ページのデータを再読み込みし、自動学習データ、Syslog、MEF、または Netflow 自動学習のステー
タスを変更します。
[パケット クリックして、選択したデータ ソースのパケットを表示します。
を表示]
関連トピック:
102 ページの「データ ソース自動学習の設定」
[自動学習ソース] ページ
データ ソースとして Receiver に自動学習ソースを追加するときに、追加するソースのオプションを選択します。
表 3-44 オプションの定義
オプション
定義
[選択した自動学習アイテムに 選択した自動学習ソースごとに新しいデータ ソースを作成します。 ソースの 1 つ
対してデータ ソースを作成す に詳しい情報が必要な場合、[データ ソースを追加] ページが開き、情報を追加でき
る]
ます。
[既存のデータ ソースに対し 次のオプションが使用できます。
てクライアントを作成するか、 • [タイプが一致するクライアント]: 選択した IP に一致するデータ ソースが存在
クライアントを持つ新しいデ
すると、match-by-type クライアント データ ソースとして項目が追加されま
ータ ソースを作成します]
す。 選択した IP と一致するデータ ソースが存在しない場合、データ ソースが
作成されます。 残りの項目は、match-by-type クライアント データ ソースと
して追加されます。
• [IP が一致するクライアント]: このオプションを使用すると、この IP をクライ
アントとして追加するデータ ソースを選択します。 このオプションを選択する
と、ドロップダウン リストが使用可能になります。 この IP に一致するデータ
ソースが 1 つ以上存在する場合、すべてのソースが表示されます。 何も一致し
ない場合、使用可能オプションは [なし - 新しいデータ ソースの作成] だけで
す。 この IP にクライアントとして追加するデータ ソースを選択し、[OK] をク
リックします。
関連トピック:
102 ページの「データ ソース自動学習の設定」
データ ソースの日付形式を設定する
データ ソースに含まれる日付形式を選択します。
104
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システム ナビゲーション ツリーで Receiver を選択し、[データソースを追加] アイコン
をクリックします。
[詳細] をクリックし、[日付の順序] フィールドで選択します。
•
[デフォルト ] - デフォルトの日付順 (月/日 の形式) を使用します。 クライアントのデータ ソースを使用
する場合、この設定を使用するクライアントは、親データ ソースの日付順を継承します。
•
[月/日] - 日にちの前に月が表示されます (例: 04/23/2014)。
•
[日/月] - 日にちの後に月が表示されます (例: 23/04/2014)。
[OK] をクリックします。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
92 ページの「データ ソースの管理」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
123 ページの「データ ソースによって生成されたファイルを表示する」
子データ ソースを追加する
データ ソースを編成しやすいように子データ ソースを追加できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
データ ソース テーブルで、子を追加するデータ ソースをクリックします。
3
[子を追加] をクリックしてから、親データ ソースの場合と同じようにフィールドに入力します。
4
[OK] をクリックします。
データ ソースはテーブルの親データ ソースの下に子として追加され、システム ナビゲーション ツリーでも追加され
ます。
[データ ソース クライアントを編集] ページ
自動学習データ ソースのタイプ、ベンダー、モデル、タイム ゾーンを変更します。
表 3-45 オプションの定義
オプション
定義
[データ ソース ベンダー]
自動学習データ ソースまたはクライアントにベンダーを選択します。
[データ ソース モデル]
データ ソースまたはクライアントにモデルを選択します。
[タイム ゾーン]
データ ソースまたはクライアントにタイム ゾーンを選択します。
関連トピック:
102 ページの「データ ソース自動学習の設定」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
105
3
ESM の設定
デバイスの設定
クライアント データ ソース
クライアント データ ソースを追加して、Receiver 上で許可されるデータ ソースの数を増やすことができます。
Syslog、ASP、CEF、MEF、NPP、WMI コレクターを備えたデータ ソースの場合、最大 32,766 のデータ ソース
クライアントを追加できます。
データ ソースがすでに親か子になっている場合、または WMI データ ソースであり [RPC を使用] が選択されている
場合、このオプションは使用できません。
このリリースでは、IP アドレスが同じ複数のクライアント データ ソースを追加できます。これらのソー
スはポート番号で区別します。 たとえば、データ タイプごとに異なるポートを使用してデータを分離し、
受信と同じポートを使用してデータを転送します。
クライアント データ ソースを追加するときに (『クライアント データ ソース』と『クライアント デー
タ ソースを追加する』を参照)、親データ ソースのポートを使用するかどうかを選択します。
クライアント データ ソースには次の特徴があります。
•
VIPS、ポリシーまたはエージェント権限がありま
せん。
•
親データ ソースと同じポリシーおよび権限を共
有しています。
•
[データ ソース] テーブルに表示されません。
•
親の設定を使用するため、同じタイム ゾーンに属
している必要があります。
•
システム ナビゲーション ツリーに表示されま
す。
クライアント WMI データ ソースは独立したタイム ゾーンに属すことができます。これは、タイム ゾーンが WMI サ
ーバーに送信されるクエリーによって決定されるためです。
関連トピック:
106 ページの「クライアント データ ソースを追加」
クライアント データ ソースを追加
既存のデータ ソースにクライアントを追加し、Receiver 上で許可されるデータ ソース数を増やします。
開始する前に
データ ソースを Receiver に追加します(『データ ソースを追加』 を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
クライアントの追加先であるデータ ソースを選択し、[クライアント] をクリックします。
[データ ソース クライアント] ページには、現在選択されたデータ ソースの一部であるクライアントがリストさ
れます。
3
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
イベントは、より特定されたデータ ソース(親またはクライアント)に移動します。例えば、2 つのクライアント
データ ソースがあるとします。1 つは IP アドレスが 1.1.1.1、もう 1 つは IP アドレスが 1.1.1.0/24(範囲を示
す)です。どちらも同じタイプです。イベントが 1.1.1.1 と一致する場合、イベントはより特定された最初のクライ
アントに移動します。
106
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
関連トピック:
106 ページの「クライアント データ ソース」
107 ページの「データ ソース クライアント ページ」
107 ページの「データ ソース クライアントを追加 ページ」
データ ソース クライアント ページ
データ ソースのクライアントを管理します。
表 3-46 オプションの定義
オプション
定義
クライアント テーブル [データ ソース] テーブルで選択したデータ ソースの一部であるクライアントを表示しま
す。
[検索]
特定のクライアントを検索するには、フィールドにクライアント名を入力するか、[検索]
をクリックします。
[追加]
クライアントをデータソースに追加します。
[編集]
クリックして、選択したクライアントを編集します。
[削除]
クリックして、選択したクライアントを削除します。
関連トピック:
106 ページの「クライアント データ ソースを追加」
データ ソース クライアントを追加 ページ
クライアントをデータ ソースに追加します。
表 3-47 オプションの定義
オプション
定義
[名前]
このクライアントの名前を入力します。
[タイム ゾーン]
このクライアント データ ソースが存在するタイム ゾーンを選択します。
[日付の順序]
日付の形式 (月日または日月) を選択します。
[IP アドレス]、[ホスト名] クライアントの IP アドレスまたはホスト名を入力します。同じ IP アドレスの複数の
クライアント データ ソースを設定できます。 これらの識別にはポートが使用されま
す。
[Syslog TLS が必要です] Syslog に TLS 暗号化プロトコルを使用します。
[ポート]
クライアントが親と同じポートを使用するのか、他のポートを使用するのかを選択しま
す。
[タイプが一致]
クライアントをタイプによって照合する場合に選択し、このクライアントのベンダーお
よびモデルを選択します。
関連トピック:
106 ページの「クライアント データ ソースを追加」
クライアントを特定
[データ ソース クライアント] ページには、システム上のすべてのクライアントがリストされます。クライアント数
は 65,000 以上にも及ぶ場合があるので、必要に応じて特定のクライアントを検索できるように検索機能が用意され
ています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
107
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [クライアント]をクリ
ックします。
2
検索する情報を入力し、[検索] をクリックします。
データ ソースのリストをインポート
[データ ソース] ページの [インポート] オプションでは、.csv 形式で保存したデータ ソースのリストをインポート
できるので、各データ ソースを個別に追加、編集、削除する必要がありません。
このオプションを使用する状況は 2 つ考えられます。
•
安全な場所にある Receiver からコピーした未加工のデータ ソース データを、安全でない場所にある Receiver
にインポートする場合。これを行う予定の場合は、「データ ソースの移動」を参照してください。
•
既存のリストにデータ ソースを追加したり、既存のデータ ソースを編集したり、既存のデータ ソースを削除す
ることによって、Receiver 上でデータ ソースを編集する場合。これを行う必要がある場合は、次の手順に従っ
てください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
現在 Receiver 上にあるデータ ソースのリストをエクスポートします。
a
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリック
します。
b
[エクスポート] をクリックしてから、[Yes] をクリックしてダウンロードを確認します。
c
ダウンロードの場所を選択し、必要に応じてファイル名を変更して [保存] をクリックします。
既存のデータ ソースのリストが保存されます。
d
アクセスしてこのファイルを開きます。
現在 Receiver 上にあるデータ ソースのデータをリストしたスプレッドシートが開きます (『データ ソース
をインポートするスプレッドシート フィールド』を参照)。
2
リスト上のデータ ソースを追加、編集、または削除します。
a
A 列で、そのデータ ソースに対して行う操作を追加、編集、削除から指定します。
b
データ ソースを追加または編集する場合は、スプレッドシートの列にその情報を入力します。
ポリシーやデータ ソースの名前を編集することはできません。
c
スプレッドシートに対して行った変更を保存します。
データソースを編集して、クライアント データ ソースまたは他のソースのデータにすることはできません。
108
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
3
リストを Receiver にインポートします。
a
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリック
します。
b
[インポート] をクリックして、ファイルを選択し、[アップロード] をクリックします。
ポリシーやデータ ソースの名前を変更することはできません。
[データ ソースをインポート] ページが開き、スプレッドシートに対して行った変更がリストされます。
c
変更をインポートするには、[OK] をクリックします。
正しくフォーマットされた変更が追加されます。
d
変更のフォーマットにエラーがある場合は、[メッセージ ログ] にエラーの説明が記載されています。
e
[ファイル全体をダウンロード] をクリックし、さらに [Yes] をクリックします。
f
ダウンロードの保存場所を選択し、必要に応じてファイル名を変更して [保存] をクリックします。
g
ダウンロードしたファイルを開きます。
エラーのあるデータ ソースがリストされています。
h
エラーを修正してから、ファイルを保存して閉じます。
i
[メッセージ ログ] と [データ ソースをインポート] を閉じ、次に [インポート] をクリックして、保存済みフ
ァイルを選択します。
[データ ソースをインポート] には、修正したデータ ソースがリストされます。
j
[OK] をクリックします。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
123 ページの「データ ソースによって生成されたファイルを表示する」
109 ページの「[カスタム データ ソースデータをアップロード] ページ」
[カスタム データ ソースデータをアップロード] ページ
ファイルをアップロードしてカスタム データ ソース定義をシステムに追加し、インストール済みの定義の一覧を表
示します。
表 3-48 オプションの定義
オプション
定義
[アップロード] ESM に追加するカスタム データ ソース定義の .npd ファイルを選択します。 このファイルは
McAfee が生成します。
[表示]
インストール済みのデータ ソース定義を表示します。
関連トピック:
108 ページの「データ ソースのリストをインポート」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
109
3
ESM の設定
デバイスの設定
データ ソースをインポートするスプレッドシート フィールド
データ ソースのインポートに使用するスプレッドシートには複数の列があり、必須列と、特定のソース タイプにの
み使用される列があります。
すべてのデータ ソースで必要なフィールド
列
説明
詳細
op
データ ソースで実行
される操作
[op] 列に次の機能の 1 つを入力します。
• [add] = データ ソースを追加します。
• [edit] = 既存のデータ ソースを変更します。
• [remove] = 再割り当てなしで削除します。
この列が空白のままの場合、データ ソースで実行するアクションはありません。
rec_id
Receiver ID
このデバイス ID 番号は、Receiver の [名前と説明] ページで確認できます。
dsname データ ソースの名前
Receiver で一意である必要があります。
すべてのデータ ソースが使用するフィールド
列
説明
詳細
ip
データ ソース • protocol = 'corr' である場合を除き、必須です。
の有効な IP
• 検証は有効化されたデータ ソースでのみ実行されます。除外:
アドレス
• プロトコル: cifs、nfs、ftp、scp、http
• コレクター = 'curl' または 'mount'
• SNMPTrap - 他のデータ ソースが SNMP トラップと IPAddress の比較を使
用する場合には無効です。
• nfxsql - IPAddress、'dbname'、'port' の組み合わせが見つかった場合は無
効です。
• netflow または opsec - IPAddress と 'port' の組み合わせが見つかった場
合は無効です。
• mef - コレクター (parser が mef の場合、collector は自動的に mef になり
ます)。mef とプロトコルが見つかった場合は無効です。
model
MatchByFlag = 1 のクライアントを除き、完全一致である必要があります
(IPAddress が一致)
vendor
MatchByFlag = 1 のクライアントを除き、完全一致である必要があります
(IPAddress が一致)
parent_id
親データ ソー エージェントまたはクライアントの場合は必須です。 名前の場合、指定した
スの ID
Receiver の子であるこの名前で、データ ソースの親が検索されます。
child_type
データ ソース 必須: 0 = 子ではない、1 = エージェント、2 = クライアント
子のタイプ
match_type クライアント
一致
parsing
110
データ ソースの追加または編集時に必須: 1 = IP アドレスが一致、2 = サードパー
ティ タイプが一致
データ ソース 有効化フラグ (yes/no)、デフォルトは yes
有効化フラグ
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
クライアントではないデータ ソースが使用するフィールド
列
説明
詳細
snmp_trap_id SNMP トラップのプロファ
イル ID
デフォルトは [0] です。
elm_logging
ELM へのログ送信
(yes/no)
デフォルトは [no] です。
pool
ELM プール名
デフォルトは空白です。
meta-vendor
デフォルトは空白です。
meta-product
デフォルトは空白です。
meta_version
デフォルトは空白です。
url
イベントの詳細 URL
デフォルトは空白です。
parser
データ形式の解析方法
デフォルトは [Default] です。
collector
データ取得方法
デフォルトは [Default] です。 [parser] が [mef] の場合、
[collector] は [mef] に設定されます。 プロトコルにフラット フ
ァイル形式がサポートされている場合、scp、http、ftp、nfs、cifs
を使用できます。
形式が CEF または MEF の場合に必須のフィールド
列
説明
詳細
encrypt
データ ソース
暗号化フラグ
デフォルトは [F] です。また、[フォーマット] が [デフォルト]、[取得] が [mef]、
[プロトコル] が [gsyslog] の場合に使用されます。 暗号化は、IP アドレスが同じ
すべての mef で同じである必要があります。
hostname ホスト名または デフォルトは空白です。[プロトコル] が [gsyslog] または [syslog] の場合はオプ
ホスト ID
ション - 一意である必要があります。[プロトコル] が [nas] の場合、オプションで
す。
aggregate Syslog のリレ
ー
有効な値は空白と [syslogng] です。デフォルトは空白です。また、[フォーマット]
が [デフォルト]、[取得] が [デフォルト]、[プロトコル] が [gsyslog] の場合に使
用されます。
tz_id
デフォルトは空白です。[形式] が[デフォルト]で、以下のいずれの条件を満たしてい
る場合に使用されます。
タイム ゾーン
ID
• [プロトコル]が [syslog]、[モデル]が [Adiscon Windows Events] でない場合、
あるいは
• [プロトコル] が [nfxsql]、または
• [プロトコル] が [nfxhttp]、または
• [プロトコル] が [email]
• [プロトコル] が [estream]
また、一部のフラット ファイル サポートに使用されます
その他のフィールド
列
説明
詳細
profile_id
プロファイルの名前ま
たは ID
デフォルトは空白です。プロファイル名でプロファイル
のレコードが見つからない場合、エラーがログに記録さ
れます。
exportMcAfeeFile
データ ソース転送フラ デフォルトは no です。yes の場合、このデータ ソース
グ
はデータ ソース転送に含まれます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
111
3
ESM の設定
デバイスの設定
列
説明
詳細
exportProfileID
リモート共有プロファ
イル名
デフォルトは空白です。
mcafee_formated_file
RAW データ ファイル
フラグを解析
デフォルトは no です。yes の場合、解析方法では
RAW データ ファイルを使用します。
mcafee_formated_file_xsum チェック サム フラグ
を使用
デフォルトは no です。yes の場合、RAW データ ファ
イルを解析する前にチェック サムを使用します。
mcafee_formated_file_ipsid
元の Nitro IPS ID
RAW データ ファイルを使用する場合は必須です。
zoneID
ゾーンの名前
デフォルトは空白です。
Policy_Name
ポリシーの名前または
ID
デフォルトは空白です。新しいデータ ソースを追加す
る場合にのみ使用されます。この値は、編集操作では更
新されません。
特定のプロトコルで検証されるフィールド
フォーマットが [デフォルト] または [CEF] であり、[取得] が [デフォルト] または [MEF] ではない場合を除き、
ベンダーとモデルによってプロトコルが決まります。 プロトコルは [取得] 値です。プロファイルが指定されない場
合、これらのフィールドは特定のプロトコルで検証されます。
表 3-49 Netflow フィールド - 開始列 AF
列
説明
詳細
netflow_port
デフォルトは 9993 です。
netflow_repeat_enabled 転送が有効
デフォルトは F です。
netflow_repeat_ip
転送 IP アドレス repeat_enabled = T の場合は必須です。デフォルトは空白です。
netflow_repeat_port
転送ポート
デフォルトは 9996 です。
表 3-50 rdep フィールド - 開始列 AJ
列
説明
詳細
rdep_sdee_username
必須
rdep_sdee_password
必須
rdep_sdee_interval
デフォルトは 60 秒です。
表 3-51 opsec フィールド - 開始列 AM
列
説明
詳細
opsec_parent
親フラグ (デバイ
ス タイプ)
必須 (T/F)。T = データ ソースは親です。F = データ ソー
スは親ではありません。
opsec_authentication
認証フラグを使用
Parent = T の場合に使用され、デフォルトは F です
opsec_appname
アプリケーション
名
authentication = T の場合は必須、F の場合はオプション、
デフォルトは空白です
opsec_actkey
アクティベーショ
ン キー
authentication = T の場合は必須、F の場合はオプション、
デフォルトは空白です
opsec_parent_id
データ ソースの親 親の名前 - parent = F の場合は必須です。データ ソースの
の名前
親の名前で親のデータ ソースが見つからない場合、エラーが
ログに記録されます。
opsec_port
opsec_encryption
112
parent = T の場合に使用され、デフォルトは 18184 です
暗号化フラグを使
用
McAfee Enterprise Security Manager 9.6.0
parent = T の場合に使用され、デフォルトは F です
製品ガイド
3
ESM の設定
デバイスの設定
表 3-51 opsec フィールド - 開始列 AM (続き)
列
説明
詳細
opsec_comm_method
通信方法
parent = T の場合に使用され、デフォルトは空白です。以下
の値が有効です
• '' (blank)
• 'sslca'
• 'asym_sslca'
• 'sslca_clear'
• 'asym_sslca_comp'
• 'sslca_comp'
• 'asym_sslca_rc4'
• 'sslca_rc4'
• 'asym_sslca_rc4_co
mp'
• 'sslca_rc4_comp'
• 'ssl_clear'
opsec_server_entity_dn
サーバー エンティ デフォルトは空白です。parent = T の場合に使用されます。
ティの識別名
DeviceType = ログ サーバー/CLM またはセカンダリ
SMS/CMA の場合は必須です。
opsec_collect_audit_events イベント収集タイ
プの監査イベント
フラグ
parent = T の場合に使用され、デフォルトは "yes"です
opsec_collect_log_events
イベント収集タイ parent = T の場合に使用され、デフォルトは "yes"です。
プのログ イベント
フラグ
opsec_type
デバイス タイプ
必須。 このフィールドには次の値を使用できます。
値
シンクライアント ドロップダウン内の名前
0
SMS/CMA
1
セキュリティ デバイス
2
ログ サーバー/CLM
3
セカンダリ SMS/CMA
表 3-52 wmi フィールド - 開始列 AY
列
説明
詳細
wmi_use_rpc
RPC フラグを使
用
デフォルトは [no] です。
wmi_logs
イベント ログ
デフォルトは [SYSTEM,APPLICATION,SECURITY] です。
wmi_nbname
NetBIOS 名
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_username ユーザー名
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_password パスワード
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_interval
デフォルトは [600] です。
wmi_version
デフォルトは [0] です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
113
3
ESM の設定
デバイスの設定
表 3-53 gsyslog フィールド - 開始列 BF
列
説明
詳細
gsyslog_autolearn 汎用 Syslog フラグをサポ
ート
有効な値: [T]、[F]、[COUNT]。 デフォルトは [F] です。
gsyslog_type
[autolearn] = [T] の場合は必須、その他の場合はオプション、
デフォルトは空白です。 デフォルトは [49190] です。
汎用ルールの割り当て
gsyslog_mask
[取得] が[デフォルト] の場合に使用されます。 デフォルトは
[0] です。
表 3-54 corr フィールド - BI 列
列
説明
詳細
corr_local ローカル データ フラ
グを使用
デフォルトは [F] です。Receiver モデルが ERC-VM-25 または
ERC-VM-500 の場合、データ ソースは追加されません。その他のモデルの場
合、このプロトコルを使用する他のデータ ソースはありません。
表 3-55 sdee フィールド - 開始列 BJ
列
説明
詳細
sdee_username
必須
sdee_password
必須
sdee_uri
デフォルトは [cgi-bin/sdee-server] です。
sdee_interval
デフォルトは [600 秒]です。
sdee_port
デフォルトは [443] です。
sdee_proxy_port
デフォルトは [8080] です。
sdee_use_ssl
デフォルトは [T] です。
sdee_proxy_ip
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_proxy_username
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_proxy_password
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_use_proxy
デフォルトは [F] です。
表 3-56 mssql フィールド - 開始列 BF
114
列
説明
詳細
mssql_parent
デバイス タイ
プ
デフォルトは [T] です。 [サーバー] = [T]. [管理対象デバイス] = [F]
mssql_port
parent = [T] の場合に使用されます。 デフォルトは [1433] です。
mssql_interval
parent = [T] の場合に使用されます。 デフォルトは [600 秒]です。
mssql_username
parent = [T] の場合は必須です。 デフォルトは空白です。
mssql_password
parent = [T] の場合は必須です。 デフォルトは空白です。
mssql_parent_id 親の名前
parent = [F] の場合は必須です。 親の名前でデータ ソースが見つからない
場合、エラーがログに記録されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
表 3-57 syslog フィールド - 開始列 CA
列
説明
詳細
syslog_untrust_iface
最も信頼されてい
ないインターフェ
ース
[ベンダー]が [CyberGuard] の場合は必須です。
syslog_burb
インターネット
Burb 名
[ベンダー] が McAfee で、[モデル] が McAfee Firewall
Enterprise の場合は必須です。
syslog_sg_mc
管理センター フラ [ベンダー]が Stonesoft Corporation の場合はオプション
グ
で、デフォルトは no です。
syslog_nsm
セキュリティ マネ [ベンダー]が Juniper Networks、モデルが Netscreen
ージャー フラグ
Firewall/Security Manager または Netscreen IDP の場合
はオプション、デフォルトは no です。
syslog_wmi_syslog_format
[ベンダー]が Microsoft、モデルが Adiscon Windows
Events の場合はオプション、デフォルトは 0 です。
syslog_wmi_version
[ベンダー] が Microsoft、モデルが Adiscon Windows
Events の場合はオプション、デフォルトは Windows 2000
です。
syslog_aruba_version
[ベンダー]が Aruba の場合はオプション、デフォルトは 332
です。
syslog_rev_pix_dir
ネットワーク値を
反転
[ベンダー]が Cisco、モデルが PIX/ASA または Firewall
Services Module の場合はオプション、デフォルトは no で
す。
syslog_aggregate
Syslog のリレー
有効な値は空白と [ベンダー] です。 デフォルトは空白です。
syslog_require_tls
T/F
TLS がこのデータ ソースに使用されているかどうかを示しま
す。
syslog_syslog_tls_port
syslog_mask
McAfee Enterprise Security Manager 9.6.0
使用されている場合、syslog TLS に使用されるポートです。
IP アドレスのマス (オプション) IP アドレスにマスクを適用して、IP アドレスの
ク
範囲を受け入れることができます。 ゼロ ([0]) はマスクが使
用されていないことを示します。 デフォルトは [0] です。
製品ガイド
115
3
ESM の設定
デバイスの設定
表 3-58 nfxsql フィールド - 開始列 CM
列
説明
nfxsql_port
詳細
デフォルトはベンダーとモデルによって以下のように異なります。
デフォルト
ベンダー
9117
Enterasys Networks Dragon Sensor または Dragon Squire
1433
IBM
ISS Real Secure Desktop Protector
か ISS Real Secure Network または
ISS Real Secure Server Sensor
1433
McAfee
ePolicy Orchestrator またが ePolicy
Orchestrator Firewall または ePolicy
Orchestrator ホスト IPS
3306
Symantec
Symantec Mail Security for SMTP
1433
Websense
Websense Enterprise
1433
Microsoft
Operations Manager
1433
NetIQ
NetIQ Security Manager
1433
Trend Micro
Control Manager
1433
Zone Labs
Integrity Server
1433
Cisco
Security Agent
1127
Sophos
Sophos Antivirus
1433
Symantec
Symantec Antivirus Corporate
Edition Server
443
その他すべて
nfxsql_userid
必須
nfxsql_password
必須
nfxsql_dbname
データベー (オプション) デフォルトは空白です。
ス名
nfxsql_splevel
サービス
パック レ
ベル
nfxsql_version
モデル
[ベンダー]が [IBM]、[モデル]が [ISS Real Secure Desktop Protector]、[ISS
Real Secure Network] または [ISS Real Secure Server Sensor] の場合に
使用されます。 デフォルトは [SP4] です。
(オプション)
• [ベンダー]が [Oracle]、[モデル]が [Oracle Audits] の場合、デフォルトは
[9i] です。
• [ベンダー] が McAfee で、[モデル] が ePolicy Orchestrator、ePolicy
Orchestrator [Firewall]、ePolicy Orchestrator [Host IPS] の場合、デフォ
ルトは [3.6] になります。
nfxsql_logtype
ロギング
タイプ
nfxsql_sid
データベー [ベンダー]が [Oracle]、[モデル]が [Oracle Audits] の場合はオプションです。
ス SID
デフォルトは空白です。
[ベンダー]が [Oracle]、[モデル] が [Oracle Audits] (FGA、GA、または両方)
の場合は必須です。
表 3-59 nfxhttp フィールド - 開始列 CU
列
116
説明
詳細
nfxhttp_port
デフォルトは [433] です。
nfxhttp_userid
必須
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
表 3-59 nfxhttp フィールド - 開始列 CU (続き)
列
説明
詳細
nfxhttp_password
必須
nfxhttp_mode
デフォルトは [secure] です。
表 3-60 email フィールド - 開始列 CY
列
説明
詳細
email_port
デフォルトは [993] です。
email_mailbox
メール プロトコル
デフォルトは [imap pop3] です。
email_connection
接続タイプ
デフォルトは [ssl clear] です。
email_interval
デフォルトは [600 秒]です。
email_userid
必須
email_password
必須
表 3-61 estream フィールド - 開始列 DE
列
説明
詳細
次のフィールドがスプレッドシートに含まれていますが、認定ファイルが必要なため、現在は無視されます。
jestream_port
デフォルトは [993] です。
jestream_password
必須
jestream_estreamer_cert_file
必須
jestream_collect_rna
表 3-62 ファイル ソース フィールド - 開始列 DI
列
説明
詳細
cifs、ftp、http、nfs、scp プロトコルに使用されます。
fs_record_lines
レコードあたり
の行数
[フラット ファイル サポート] の場合に使用されます。 デフォルトは
[1] です。
fs_file_check
間隔
デフォルトは [15 分]です。
fs_file_completion
デフォルトは [60 秒]です。
fs_share_path
デフォルトは空白です。
fs_filename
ワイルドカード
式
必須
fs_share_name
[プロトコル] が [cifs] または [nfs] の場合は必須 (その他の場合は使用
されない) です。
fs_username
[プロトコル] が [cifs]、[ftp] または [scp] の場合に使用されます。 デフ
ォルトは空白です。
fs_password
[プロトコル] が [cifs]、[ftp] または [scp] の場合に使用されます。 デフ
ォルトは空白です。
fs_encryption
[プロトコル] が [ftp] または [http] の場合に使用されます。 デフォル
トは [no] です。 [フラット ファイル サポート] の場合にも使用され、
[プロトコル] は [ftp] です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
117
3
ESM の設定
デバイスの設定
表 3-62 ファイル ソース フィールド - 開始列 DI (続き)
列
説明
詳細
fs_port
fs_verify_cert
[プロトコル] が [ftp] の場合に使用されます。デフォルトは [990] で
す。 [プロトコル] が [http] の場合に使用されます。デフォルトは
[443] です。 [フラット ファイル サポート] の場合にも使用され、[プロ
トコル] は [ftp] です。 デフォルトは [80] です。
SSL 証明書を確
認
[プロトコル] が [ftp] または [http] の場合に使用されます。 デフォル
トは [no] です。 [フラット ファイル サポート] の場合にも使用され、
[プロトコル] は [ftp] です。
fs_compression
[プロトコル] が [scp] または [sftp] の場合に使用されます。 デフォル
トは [no] です。
fs_login_timeout
[プロトコル] が [scp] の場合に使用されます。 デフォルトは [1 秒] で
す。
fs_copy_timeout
[プロトコル] が [scp] の場合に使用されます。 デフォルトは [1 秒] で
す。
fs_wmi_version
[フラット ファイル サポート] で、[ベンダー]が [Microsoft]、[モデル]
が [Adiscon Windows Events] の場合に使用されます。 デフォルトは
[Windows 2000] です。
fs_aruba_version
[フラット ファイル サポート] で、[ベンダー] が [Aruba] の場合に使用
されます。 デフォルトは [332] です。
fs_rev_pix_dir
ネットワーク値
を反転
[フラット ファイル サポート]、[ベンダー]が [Cisco]、[モデル] が [PIX/
ASA] または [Firewall Services Module] の場合に使用されます。 デ
フォルトは [no] です。
fs_untrust_iface
最も信頼されて
いないインター
フェース
[フラット ファイル サポート] で、[ベンダー] が [CyberGuard] の場合
は必須です。
fs_burb
インターネット
Burb 名
[フラット ファイル サポート] で、[ベンダー] が McAfee で、[モデル]
が McAfee Firewall Enterprise の場合は必須です。
fs_nsm
セキュリティ マ
ネージャー フラ
グ
[フラット ファイル サポート] で、[ベンダー] が [Juniper Networks]、
[モデル] が [Netscreen Firewall/Security Manager] または
[Netscreen IDP] の場合はオプションです。 デフォルトは [no] です。
fs_autolearn
汎用 Syslog を
サポート
[フラット ファイル サポート] で、[取得] が [gsyslog] の場合はオプショ
ンです。 有効な値: [T]、[F]、[COUNT]。 デフォルトは [F] です。
fs_type
汎用ルールの割
り当て
[autolearn] = [T] の場合は必須、その他の場合はオプション、デフォル
トは空白です。 デフォルトは [49190] です。
fs_binary
デフォルトは [no] です。
fs_protocol
デフォルトは ' [ - parser がデフォルト、collector が nfs ファイル ソ
ースの場合に使用されます]。
fs_delete_files
表 3-63 sql_ms フィールド - 開始列 EH
列
詳細
sql_ms_port
デフォルトは [1433] です。
sql_ms_userid
必須
sql_ms_password
必須
sql_ms_dbname
118
説明
データベース名
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
表 3-64 nas フィールド - EL 列
列
説明 詳細
nas_type
デフォルトは [49190] です (ユーザー定義 1)。 このフィールドは、McAfee/PluginProtocol デ
ータ ソースにのみ使用されます。
表 3-65 ipfix フィールド - EM 列
列
説明
ipfix_transport
詳細
必須。有効な値は [TCP]、[UDP] です。 [TCP] がデフォルトです。
表 3-66 snmp フィールド - 開始列 EN
列
説明
詳細
snmp_authpass
認証パスワード
以下の場合は必須です。
• [traptype] = [v3trap]。[secLevel] = [authPriv] または
[authNoPriv]。
• [traptype] = [v3inform]。[secLevel] = [authPriv] または
[authNoPriv]。
snmp_authproto
認証プロトコル
有効な値は [MD5] または [SHA1] です。 以下の場合は必須です。
• [traptype] = [v3trap]。[secLevel] = [authPriv] または
[authNoPriv]。
• [traptype] = [v3inform]。[secLevel] = [authPriv]、[authNoPriv
以外の traptypes]。 デフォルトは [MD5] です。
snmp_community コミュニティ名
[traptype] = [v1trap]、[v2trap]、[v2inform] の場合は必須です。
snmp_engineid
[traptype] = [v3trap] の場合は必須
snmp_privpass
プライバシー パ
スワード
以下の場合は必須です。
• [traptype] = [snmpv3trap]、[secLevel] = [authPriv]
• [traptype] = [snmpv3inform]、[secLevel] = [authPriv]
snmp_privproto
プライバシー プ
ロトコル
有効な値は [DES]、[AES] です。 以下の場合は必須です。
• [traptype] = [snmpv3trap]、[secLevel] = [authPriv]
• [traptype] = [snmpv3inform]、[secLevel] = [authPriv]
その他の [traptypes]。デフォルトは [DES] です。
snmp_seclevel
セキュリティ レ
ベル
有効な値は [noAuthNoPriv]、[authNoPriv]、[authPriv] です。
[traptype] = [v3trap] または [v3inform] の場合は必須です。
その他の [traptypes]。デフォルトは [noAutNoPriv] です。
snmp_traptype
必須。有効な値: [v1trap]、[v2trap]、[v2inform]、[v3trap]、
[v3inform]。
snmp_username
[traptype] = [snmpv3] または [snmpv3inform] の場合は必須です。
type
デフォルトのルー 必須。デフォルトは [49190] です。
ルの割り当て
snmp_version
McAfee Enterprise Security Manager 9.6.0
自動的に設定されます
製品ガイド
119
3
ESM の設定
デバイスの設定
表 3-67 sql_ws - 開始列 EY
列
説明
詳細
sql_ws_port
(オプション) デフォルトはベンダーによって異なります。
[Websense] のデフォルトは [1433] です。
sql_ws_userid
必須
sql_ws_password
必須
sql_ws_dbname
(オプション) デフォルトは空白です。
sql_ws_db_instance データベース インス
タンス名
必須
表 3-68 sql - 開始列 FD
列
説明
詳細
sql_port
データベースの接続に使用されるポート
sql_userid
データベース ユーザー ID
sql_password
データベース パスワード
sql_dbinstance
データベース インスタンスの名前
sql_config_logging
有効な値: [0] ([SQL Server Express
Database] の場合)、[1] ([SQL Database] の場
合)
sql_protocol
[sql_config_logging] の値が [1] の場合、[gsql]
になります。
sql_dbname
データベース名
表 3-69 oracleidm - 開始列 FK
列
説明
詳細
oracleidm_port
Oracle Identify Manager データベースの接続に使用されるポート
oracleidm_userid
Oracle Identify Manager データベースのユーザー ID
oracleidm_password
Oracle Identify Manager データベースのパスワード
oracleidm_ip_address
Oracle Identify Manager データベースの IP アドレス
oracleidm_dpsid
使用される接続の TNS 名
表 3-70 text - 開始列 FP
列
説明
詳細
ePolicy Orchestrator データ ソースが使用するフィールド
120
text_dbinstance
ePolicy Orchestrator データベースが実行しているデータベース インスタンス
text_dbname
ePolicy Orchestrator データベースの名前
text_password
ePolicy Orchestrator データベースのパスワード
text_port
ePolicy Orchestrator データベースの接続に使用されるポート
text_userid
ePolicy Orchestrator データベースのユーザー ID
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
表 3-71 gsql - 開始列 FU
列
説明
詳細
gsql_port
(オプション) デフォルトはベンダーによって異なります。
[Websense] のデフォルトは [1433] です。
gsql_userid
必須
gsql_password
必須
gsql_dbname
(オプション) デフォルトは空白です。
gsql_db_instance データベース インスタ
ンス名
必須
gsql_nsmversion NSM バージョン
必須。空白のままの場合、デフォルトはバージョン 6.x です。
別の Receiver へデータ ソースを移行
同じシステム上の Receiver 間で、データ ソースを再割り当てまたは再分布させることができます。
新しい Receiver を購入して、2 つの Receiver 間でデータ ソースと関連データのバランスを取りたい場合、または
より大きな交換用 Receiver を購入し、現在の Receiver から新しい Receiver へデータ ソースを転送する必要があ
る場合に、これは特に役立ちます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、データ ソースを備えた Receiver の [Receiver のプロパティ] を選択して
から、[データ ソース] をクリックします。
2
移行するデータ ソースを選択し、[移行] をクリックします。
3
[宛先 Receiver] フィールドで新しい Receiver を選択し、[OK] をクリックします。
関連トピック:
121 ページの「[データ ソースを移行] ページ」
[データ ソースを移行] ページ
データ ソースの転送先にする Receiver を選択します。
表 3-72 オプションの定義
オプション
定義
[宛先 Receiver] ESM 上の Receiver をすべてリストします。選択したデータ ソースの移動先となる Receiver
を選択します。
関連トピック:
121 ページの「別の Receiver へデータ ソースを移行」
データ ソースを別のシステムに移動する
データ ソースをある Receiver から別のシステムの Receiver へ移動するには、移動するデータ ソースを選択して、
それらのデータと未加工のデータをリモートの場所へ保存してから、他の Receiver へインポートします。
開始する前に
この機能を実行するには、両方の Receiver でデバイス管理権限を持っている必要があります。
データ ソースを安全な場所にある Receiver から安全でない場所にある Receiver に移動するには、このプロセスを
使います。
データ ソース情報をエクスポートするときには、次のような制限があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
121
3
ESM の設定
デバイスの設定
•
フロー データ ソースは転送できません (例: IPFIX、NetFlow、sFlow)。
•
相関イベントのソース イベントは表示されません。
•
2 台目の Receiver の相関ルールに変更を加えた場合、相関エンジンはそれらのルールを処理しません。 相関デ
ータが転送されると、それらのイベントはファイルから挿入されます。
操作
手順
[データ ソー
1 システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース]
スとリモート
をクリックします。
の場所を選択]
2 データ ソースを選択し、[編集] をクリックします。
3 [詳細設定] をクリックし、[NitroFile 形式でエクスポート] を選択します。
データはリモートの場所にエクスポートされ、プロファイルを使用して設定されます。
4 [OK] をクリックします。
その後、このデータ ソースによって生成された未加工のデータは、リモート共有の場所にコピーさ
れます。
[未加工のデー 1 未加工のデータが保存されるリモート共有の場所にアクセスします。
タ ファイルを
2 ファイルを 2 台目の Receiver に移動できる場所で生成された未加工のデータを保存します
作成]
(安全でない場所に運ぶジャンプ ドライブなど)。
[データ ソー
スを説明する
ファイルを作
成]
1 システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [イン
ポート] の順にクリックします。
2 移動したデータ ソースのファイルを特定し、[アップロード] をクリックします。
3 [リモート共有プロファイル] リストで、未加工のデータ ファイルを保存した場所を選択します。
プロファイルがリストにない場合は、[リモート共有プロファイル] をクリックしてプロファイル
を追加します。
4 [OK] をクリックします。
データ ソースが 2 台目の Receiver に追加され、リモート共有プロファイルを介して未加工のデ
ータにアクセスします。
[未加工のデー 1 システム ナビゲーション ツリーで 2 台目の Receiver の [データ ソース] にアクセスし、[イン
タとデータ ソ
ポート] をクリックします。
ース ファイル
をインポート] 2 移動したデータ ソースのファイルを特定し、[アップロード] をクリックします。[データ ソース
をインポート] ページに、インポートするデータ ソースがリストされます。
3 [リモート共有プロファイル] リストで、未加工のデータ ファイルを保存した場所を選択します。
プロファイルがリストにない場合は、[リモート共有プロファイル] をクリックしてプロファイル
を追加します (「プロファイルの設定」を参照)。
4 [OK] をクリックします。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
123 ページの「データ ソースによって生成されたファイルを表示する」
122
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
ファイルのテーリング データ ソース収集方法を選択する
データ ソースを追加するときに [データの取得] フィールドで [NFS ファイル ソース] または [CIFS ファイル ソ
ース] を選択する場合は、収集方法を選択する必要があります。
次のオプションがあります。
•
[ファイルのコピー] — ログ全体がリモート共有から Receiver にコピーされ、処理されます。ログ ファイルの
サイズが大きく、新しい情報がある状態で更新されることがほとんどない場合、ログファイル全体をコピーする
のは効率が悪い上に時間もかかります。
•
[ファイルのテーリング] — ログはリモートで読み込まれ、新しいイベントのみ読み込まれます。ログが読み込ま
れるときは常に、前回終了した場所から読み込まれます。ファイルが大きく変更されている場合は自動的に検出
され、ファイル全体が改めて最初から読み込まれます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで Receiver をクリックし、アクション ツールバーで [データソースを追加] ア
イコン
をクリックします。
2
必要な情報を入力し、[データの取得] フィールドで [CIFS ファイル ソース] または [NFS ファイル ソース] を
選択します。
3
[収集方法] フィールドで [ファイルのテーリング] を選択し、以下のフィールドに入力します。
4
•
[Multiline Delimited Logs] (ログを複数行に区切る) — イベントの長さが変動することを指定する場合に
選択します。
•
[イベントの区切り記号] — イベントの最後と別のイベントの先頭を示す文字列を入力します。この区切り記
号は、ログ ファイルのタイプに応じて大きく異なります。
•
[区切り記号に正規表現を使用] — Select if the value in the [イベントの区切り記号] フィールドの値が静
的な値ではなく正規表現として解析されるようにする場合に選択します。
•
[テーリング モード] — 最初の実行時に検出されたファイル全体を解析する場合は [開始] を選択し、ファイ
ル サイズに注意して新しいイベントのみを収集する場合は [終了] を選択します。
•
[サブディレクトリも処理する] — 子ディレクトリ (サブディレクトリ) から収集したデータを読み込み、ワイ
ルドカード式との一致を検索する場合に選択します。選択しない場合は、親ディレクトリのファイルのみが検
索されます。
その他のフィールドに入力し、[OK] をクリックします。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「データ ソースによって生成されたファイルを表示する」
90 ページの「データ ソースを追加 ページ」
データ ソースによって生成されたファイルを表示する
データ ソースによって生成されたファイルを表示するには、[ファイルを表示] ページにアクセスする必要がありま
す。ESM ビューでは表示できません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
123
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで McAfee データ ソースを選択します。
2
アクション ツールバーで、[ファイルを表示] アイコン
3
次のいずれかを行います。
4
をクリックします。
•
[ファイル名フィルター] フィールドにファイル名を入力して、特定のファイルを探します。
•
[時間範囲] フィールドの設定を変更して、その時間内に生成されたファイルのみを表示します。
•
[更新] をクリックして、ファイルのリストを更新します。
•
リストからファイルを選択し、[ダウンロード] をクリックしてファイルをダウンロードします。
[キャンセル] をクリックしてページを閉じます。
関連トピック:
87 ページの「Receiver データ ソース」
88 ページの「データ ソースを追加」
92 ページの「データ ソースの管理」
104 ページの「データ ソースの日付形式を設定する」
108 ページの「データ ソースのリストをインポート」
121 ページの「データ ソースを別のシステムに移動する」
123 ページの「ファイルのテーリング データ ソース収集方法を選択する」
ユーザー定義のデータ ソース タイプ
次の表は、ユーザー定義のタイプと、データ ソース エディターに表示されるその名前またはエントリを表します。
ID
デバイス モデル
ベンダー
プロトコル
ルール名の接頭辞
ルール エディター タイプ
49190
ユーザー定義 1
該当なし
syslog
UserDefined1_
Generic
49191
ユーザー定義 2
該当なし
syslog
UserDefined2_
Generic
49192
ユーザー定義 3
該当なし
syslog
UserDefined3_
Generic
49193
ユーザー定義 4
該当なし
syslog
UserDefined4_
Generic
49194
ユーザー定義 5
該当なし
syslog
UserDefined5_
Generic
49195
ユーザー定義 6
該当なし
syslog
UserDefined6_
Generic
49196
ユーザー定義 7
該当なし
syslog
UserDefined7_
Generic
49197
ユーザー定義 8
該当なし
syslog
UserDefined8_
Generic
49198
ユーザー定義 9
該当なし
syslog
UserDefined9_
Generic
49199
ユーザー定義 10
該当なし
syslog
UserDefined10_
Generic
サポート対象のデータ ソース
McAfee では、新しいデータ ソースに対するサポートを定期的に追加しています。 Receiver では、最大で 2000、
200 または 50 のデータ ソースを使用できます。
最新のデータソース設定ガイドを参照するには、ナレッジ センターに移動します。
次のデバイスは、2,000 個のデータ ソースを関連付けることができます。
124
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
•
ERC-1225
•
ENMELM-5600
•
ERC-1250
•
ENMELM-5750
•
ERC-2230
•
ENMELM-6000
•
ERC-2250
•
ELMERC-2230
•
ERC-2600
•
ELMERC-2250
•
ERC-3450
•
ELMERC-2600
•
ERC-4245
•
ELMERC-4245
•
ERC-4600
•
ELMERC-4600
•
ENMELM-2250
•
ESMREC-4245
•
ENMELM-4245
•
ESMREC-5205
•
ENMELM-4600
•
ESMREC-5510
•
ENMELM-5205
3
ERC-110 は 50 個まで、その他のデバイスは最大 200 個のデータ ソースが許可されます。
次にデータ ソース範囲のマップを示します。
•
データ ソース タイプ: 1 ~ 48,999
•
ユーザー定義タイプ: 49,001 ~ 49,999
•
McAfee 予約済み (ルール セットなど): 50,001 ~ 65,534
McAfee Firewall Enterprise Event Reporter (ERU) を使用している場合、McAfee データソース以外は使用できま
せん。
特定のデータ ソースの設定
データ ソースによっては、さらに詳細な情報と特別な構成設定が必要になる場合があります。
詳細については、次のセクションを参照してください。
•
チェック ポイント
•
Big Fix
•
IBM Internet Security Systems
SiteProtector
•
共通イベント形式
•
McAfee ePolicy Orchestrator
•
ArcSight
•
ePolicy Orchestrator 4.0
•
Security Device Event Exchange
•
NSM-SEIM
•
アドバンスド Syslog パーサー
•
Syslog リレーのサポート
•
WMI イベント ログ
•
Adiscon
これらのデータソースの最新の設定ガイドについては、ナレッジ センターで確認してください。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
125
3
ESM の設定
デバイスの設定
WMI イベント ログ
Distributed Management Task Force (DMTF) の定義では、WMI は Web-Based Enterprise Management
(WBEM) の Microsoft インプリメンテーションです。
これは Windows オペレーティング システムのプライマリ管理技術であり、管理情報を管理アプリケーション間で
共有することが可能です。リモート コンピューターから管理データを取得できることが WMI の特長です。
WMI は FIPS に対応していません。FIPS 規則に準拠する必要がある場合は、この機能を使用しないでください。
WMI イベント ログはデータ ソースとして設定され、Receiver を介して送信されます。Receiver は設定された時
間間隔で Windows サーバーをポーリングし、イベントを収集します。WMI コレクターは、Windows ボックス上
の任意のイベント ログからイベントを収集できます。デフォルトでは、Receiver はセキュリティ、管理、およびイ
ベント ログを収集します。Directory Service や Exchange などのその他のログ ファイルに入ることができます。
イベント ログ データは、パケット データ内で収集され、イベント テーブルの詳細を介して表示できます。
Windows 2008 または 2008 R2 を使用していて、データ ソースとユーザーが正しく設定されている場合を除き、
WMI イベント ログには管理またはバックアップ オペレーター権限が必要です(『Windows セキュリティ ログをプ
ル』 を参照)。
これらの追加のデバイスは、WMI データ ソースからサポートされています。
•
McAfee アンチウイルス
•
Microsoft SQL Server
•
Windows
•
RSA Authentication Manager
•
Microsoft ISA Server
•
Symantec Antivirus
•
Microsoft Active Directory
•
Microsoft Exchange
Adiscon を介した Syslog WMI の設定方法については、『Adiscon の設定』 を参照してください。
WMI データ ソースを設定する場合、ベンダーは [Microsoft]、モデルは [WMI イベント ログ] です。
Windows セキュリティ ログをプルするように設定します。
Windows 2008 または 2008 R2 を使用するときは、WMI イベント ログ データ ソースとユーザーが正しく設定さ
れている場合、Windows セキュリティ ログは管理者権限を持っていないユーザーがプルできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
イベント ログを読み込む Windows 2008 または 2008 R2 システムに新しいユーザーを作成します。
2
Windows システム上のイベント ログ リーダーにユーザーを割り当てます。
3
McAfee Event Receiver 上で新しい Microsoft WMI イベント ログ データ ソースを作成します。手順 1 で作
成したユーザーの認証情報を入力します (「データ ソースを追加する」を参照)。
4
[RPC を使用] ボックスを選択し、[OK] をクリックします。
相関データ ソース
相関データ ソースは ESM から流れるデータを分析し、データ フロー内の不審なパターンを検出し、これらのパタ
ーンを表現する相関アラートを生成し、Receiver のアラート データベースにこれらのアラートを挿入します。
不審なパターンは、作成および変更できる相関ポリシー ルールによって解釈されるデータで表現されます。これらの
ルール タイプは Nitro IPS やファイアウォール ルールとは別のもので、それらの動作を指定する属性を備えていま
す。
126
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
Receiver 上で設定できる相関データ ソースは 1 つだけで、設定方法は Syslog や OPSEC と同様です。Receiver
の相関データ ソースを設定すると、相関のデフォルト ポリシーをロールアウトしたり、この相関のデフォルト ポリ
シーのベース ルールを編集したり、カスタム ルールとコンポーネントを追加してポリシーをロールアウトしたりで
きます。各ルールを有効または無効にしたり、各ルールのユーザー定義可能パラメーターの値を設定できます。相関
ポリシーの詳細については、『相関ルール』 を参照してください。
相関データ ソースを追加するとき、ベンダーは [McAfee] であり、モデルは [相関エンジン] です。
相関データ ソースが有効なとき、ESM は Receiver 上の相関エンジンにアラートを送信します。
重大度とアクション マップ
重大度とアクションのパラメーターは使い方が若干異なります。これらの目標は、Syslog メッセージからの値をシ
ステムの方式に合った値にマッピングすることです。
•
severity_map — 重大度は、ルールに一致したイベントに割り当てられている 1 (重大度低) から 100 (重大度
高) までの値として示されます。メッセージを送信するデバイスによっては、重大度を 1~10 の数字またはテキ
スト(高、中、低)で表すことがあります。これに該当した場合は重大度としてキャプチャされないので、マッ
ピングを作成する必要があります。ここで、重大度をテキスト形式で示す McAfee IntruShield からのメッセー
ジを一例として示します。
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
重大度マッピングを使ったルールの構文は次のようになります(重大度のマッピングを強調のために太字で示し
ています)。
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10.これは、テキストを使用できる形式の数字でマップします。
setparm : severity=3.これは、3 番目のキャプチャを行い、重大度と等しく設定していることを示しています。
setparm 修飾子はすべてこのように機能します。
•
action_map — 重大度と同じように使用されます。アクションは、サードパーティのデバイスが行うアクション
を表します。アクションの目的は、エンド ユーザーにとって役立つマッピングを作成することです。たとえば、
OpenSSH からの失敗したログオン メッセージを次に示します。
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
アクション (失敗) が数字に関連付けられています。 この数字は、システムで使用できる各種のアクションを表
します。使用可能なアクション タイプの全リストを次に示します。
•
0 = null
•
20 = stop
•
1 = pass
•
21 = noticed
•
2 = reject
•
22 = trusted
•
3 = drop
•
23 = untrusted
McAfee Enterprise Security Manager 9.6.0
製品ガイド
127
3
ESM の設定
デバイスの設定
•
4 = sdrop
•
24 = false positive
•
5 = alert
•
25 = alert-reject
•
6 = default
•
26 = alert-drop
•
7 = error
•
27 = alert-sdrop
•
8 = success
•
28 = restart
•
9 = failure
•
29 = block
•
10 = emergency
•
30 = clean
•
11 = critical
•
31 = clean-fail
•
12 = warning
•
32 = continue
•
13 = informational
•
33 = infected
•
14 = debug
•
34 = move
•
15 = health
•
35 = move-fail
•
16 = add
•
36 = quarantine
•
17 = modify
•
37 = quarantine-fail
•
18 = remove
•
38 = remove-fail
•
19 = start
•
39 = denied
この例では、Syslog メッセージの 9 が Failed に関連付けられ、システムはこれを Failure として報告しま
す。
ルールの構造の細部を示します。
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
アドバンスド Syslog パーサー
アドバンスド Syslog パーサー (ASP) は、ユーザー定義のルールに基づき、Syslog メッセージからデータを解析す
るメカニズムを提供します。このルールは ASP に対して、特定のメッセージを認識する方法と、シグネチャ ID、IP
アドレス、ポート、ユーザー名、アクションなど、メッセージ固有のイベント データの場所を示します。
ASP は、[データ ソースを追加] ページで特定していない Syslog デバイスに対して、または Source Specific
Parser が正しくメッセージを解釈していないか、受信イベントに関連したデータ ポイントを完全に解釈できない場
合に活用できます。Linux サーバーや UNIX サーバーなどの複雑なログ ソースをソートする場合にも最適です。こ
の機能では、ユーザーの Linux または UNIX 環境に合わせたルールを書き込む必要があります (「アドバンスド
Syslog パーサーにルールを追加する」を参照)。
Syslog をベンダーとして選択することで、ASP データ ソースを Receiver に追加できます (「データ ソースを追加
する」を参照)。これを完了したら、デバイス メーカーの指示に従って、Syslog データを Receiver の IP アドレス
に送信するように Syslog デバイスを設定します。
128
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
ASP ソースを追加するときは、イベント データを収集する前にポリシーを適用する必要があります。[汎用 Syslog
をサポート] を有効にした場合は、ルールなしでポリシーを適用したり、汎用的にイベント データの収集を開始でき
ます。
Linux および UNIX サーバーを含む一部のデータ ソースは、一様でない大量のデータを生成する可能性があり、その
場合、Receiver は同じようなイベントの発生を正しくまとめてグループ化しません。その結果、実際には同じイベン
トが単純に繰り返されているときに、さまざまな Syslog データが Receiver に送信され、一見して非常に多様なイベ
ントが発生しているように見えます。
ASP にルールを追加することで、イベント データを最大限に活用できます。ASP は Snort に非常に類似した形式を
使用します。
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
バージョン 9.0.0 以降でリテラル値と PCRE サブキャプチャーを連結するとき、リテラルにスペースやその他の文字
が含まれている場合はリテラルをそれぞれ引用符で囲み、PCRE サブキャプチャーのリファレンスは引用符で囲まない
ようにします。
ルールは次のように定義されます。
セクシ
ョン
フィールド
説明
ルール ヘッダーには、アラート アクションと「any any any」形式が含まれます。ルー
ルは次のとおりです。
ルール
ヘッダ
ー
ALERT any any any -> any any
[アクション]
一致が発生した場合のイベントへの対処方法。次のオプションがあります。
• ALERT — イベントをログする
• DROP — イベントをログするが転送はしない
• SDROP — イベントのログも転送もしない
• PASS — 定義されていれば転送するが、ログはしない
[プロトコル]
イベントがプロトコルを定義している場合、プロトコルに基づいて有効な一致をフィル
ターします。
[ソース/宛先
IP]
イベントがソース/宛先 IP アドレスを定義している場合、そのアドレスに基づいて有効
な一致をフィルターします。
[ソース/宛先ポ イベントがソース/宛先ポートを定義している場合、そのポートに基づいて有効な一致を
ート]
フィルターします。
ルール本文には大半の一致条件が記載され、データを解析したり ESM データベースにロ
グする方法が定義されています。ルール本文の要素は、キーワードとオプションのペア
で定義されます。一部のキーワードには、次のオプションがありません。
ルール
本文
[msg]
(必須) このルールと関連付けられるメッセージ。これは、pcre/setparm 検出メッセー
ジ (下記参照) で上書きされない限り、報告目的で ESM シン クライアントに表示される
文字列です。msg の最初の作業は、実際のメッセージがその後に続くカテゴリ名です
(msg: "category rule message")。
[content]
(オプション — 1 つ以上) コンテンツ キーワードは非ワイルドカードのテキスト修飾
子で、イベントがルール セットを通過するとき、事前にフィルターします。これにはス
ペースも含まれます (例: content: "search 1"; content "something else")。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
129
3
ESM の設定
デバイスの設定
セクシ
ョン
フィールド
説明
[procname]
多くの UNIX および Linux システムでは、プロセス名 (およびプロセス ID) は標準
Syslog メッセージ ヘッダーの一部です。procname キーワードは、ルールのイベント
一致をフィルターするのに使用できます。Linux または UNIX サーバーの 2 つのプロ
セスが類似または同じメッセージ テキストを持っている可能性がある場合、イベント一
致を除外またはフィルターするのに使用されます。
[adsid]
使用するデータ ソース ID。この値は、データ ソース エディターの [デフォルトのルー
ルの割り当て] を上書きします。
[sid]
ルールのシグネチャ ID。これは、pcre/setparm が検出した sid によって上書きされな
い限り、ESM シン クライアントで使用される照合 ID です。
[改訂]
ルール改訂。変更の追跡に使用します。
[severity]
ルールに一致したイベントに、1 (重大度低) から 100 (重大度高) までの値が割り当て
られます。
[PCRE]
PCRE キーワードは、受信イベントに対する Perl 互換正規表現の一致です。PCRE は引
用符によって区切られ、出現する "/" はすべて通常文字として扱われます。カッコで囲
んだ内容は、setparm キーワード用に保持されます。 PCRE キーワードは、nocase、
nomatch、raw、および setparm キーワードによって変更できます。
[nocase]
大文字と小文字を区別せずに PCRE の内容を照合します。
[nomatch]
PCRE 照合を反転します (Perl の「!~ 」に相当)。
[raw]
ヘッダー データ (設備、デーモン、日付、ホスト/IP、プロセス名、プロセス ID) を含
めて Syslog メッセージ全体と PCRE を照合します。通常、ヘッダーは PCRE 照合で使
用されません。
[setparm]
2 回以上発生することがあります。PCRE 内の各カッコの組み合わせには、出現順の番
号が割り当てられます。それらの番号は、データ タグに割り当てることができます (例:
setparm:username=1)。これにより、一組目のカッコでキャプチャしたテキストをユ
ーザー名データ タグに割り当てます。認識されるタグを次のテーブルに示します。
タグ
説明
* sid
このキャプチャされたパラメーターは、一致したルールの sid を上書きします。
* msg
このキャプチャされたパラメーターは、一致したルールのメッセージまたは名前を上書きし
ます。
* action
このキャプチャされたパラメーターは、サードパーティのデバイスがどのように動作するか
を示します。
* protocol
* src_ip
これは、イベントのデフォルト ソース IP である Syslog ソースの IP を置き換えます。
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
130
* genid
これは、sid をデータベースに格納し、snort プリプロセッサで非 McAfee snort 照合に使
うよう変更するのに使用されます。
* url
予約されていますが、未使用です。
* src_username
第 1/ソース ユーザー名。
* username
src_username の代替名。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タグ
説明
* dst_username
第 2/宛先ユーザー名。
* domain
* hostname
* application
* severity
整数であること。
* アクション マップ 製品の特定のアクションを McAfee のアクションにマッピングできます。アクション マッ
プは大文字と小文字を区別します。 例: alert any any any -> any any
(msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S
+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:
31; rev:1;)).詳細は「重大度とアクション マップ」を参照してください。
* 重大度マップ
製品の特定の重大度を McAfee の重大度にマッピングできます。アクション マップと同様、
重大度マップも大文字と小文字を区別します。 例: alert any any any -> any any
(msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s
+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";
setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+).詳細
は「重大度とアクション マップ」を参照してください。
* var
これは setparm を使用する別の方法です。ただし、複数の PCRE の複数のキャプチャから
1 つの値を作成する方法のほうが優れています。複数のキャプチャを持つ 1 つの大きな
PCRE よりも、文字列の小さな部分のみをキャプチャする PCRE を 2 つ以上作成したほうが
よいでしょう。ユーザー名、ドメインをキャプチャし、objectname フィールドに格納する
電子メール アドレスを作成する一例を示します。
• 構文 = var:field=${PCRE:Capture}
• PCRE = 実際の PCRE ではなく pcre の番号。ルールに 2 つの PCRE がある場合、1 ま
たは 2 の PCRE となります。
• キャプチャ = 実際のキャプチャではなく、番号 (第 1、第 2、第 3 のキャプチャ
[1,2,3]。
• サンプル メッセージ: McAfee に勤務する Jim という男性。
• PCRE: (Jim).*?(McAfee)
• ルール: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=
${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown;
adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• マッピングされたソース ユーザー: Jim
• マッピングされたドメイン: McAfee
• マッピングされた objectname: [email protected]
* sessionid
これは整数です。
* commandname
これは文字列値です。
* objectname
これは文字列値です。
* event_action
このタグは、デフォルト アクションの設定に使用されます。同じルールの中で
event_action と action_map を一緒に使用できません。たとえば、ログイン成功のイベン
トがある場合は、event_action タグを使用して、アクションの成功をデフォルトにします
(例: event_action:8;)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
131
3
ESM の設定
デバイスの設定
タグ
説明
* firsttime_fmt
最初のイベントの設定に使用します。フォーマット リストを参照してください。
* lasttime_fmt
最後のイベントの設定に使用します。フォーマット リストを参照してください。これは
setparm または var (var:firsttime="${1:1}" または setparm:lasttime="1") ととも
に使用できます。例:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT
%H:%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
現在サポートされている形式の詳細については、http://pubs.opengroup.org/
onlinepubs/009695399/functions/strptime.html を参照してください。
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y は西暦 4 桁
%m は月 (1~12)
%d は日 (1~31)
%H は時 (1~24)
%M は分 (0~60)
%S は秒 (0~60)
%b は月の略語 (jan、feb)
これは、OpenSSH ログインに基づくパスワードを識別し、イベントのソース IP アドレス、ソース ポート、および
ユーザー名から引き出すルールの一例です。
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
PCRE リソース オンラインについては、http://perldoc.perl.org/perlre.html をご覧ください。
異なるエンコーディングの ASP データ ソースを追加する
ESM は、UTF-8 でエンコードされたデータを読み取ります。 ASP データソースが別のエンコーディングのデータ
を生成する場合、データ ソースの追加時にエンコーディングを指定する必要があります。
132
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで Receiver をクリックし、[データソースを追加] アイコン
ます。
をクリックし
2
[データ ソース ベンダー] フィールドで [汎用] を選択し、次に [データ ソース モデル] フィールドで [アドバン
スド Syslog パーサー] を選択します。
3
必要な情報を入力して、[エンコーディング] フィールドで正しいエンコーディングを選択します。
このデータ ソースのデータが Receiver で認識可能な形式にフォーマットされます。
Security Device Event Exchange (SDEE)
SDEE 形式は、各種のセキュリティ デバイスによって生成されたイベントを表現する標準的方法を記述します。
SDEE 仕様は、SDEE イベントが HTTP または HTTPS プロトコルを使用して転送されることを示します。SDEE を
使用してイベント情報をクライアントに提供する HTTP サーバーは SDEE プロバイダーと呼ばれ、HTTP リクエス
トのイニシエーターは SDEE クライアントと呼ばれます。
Cisco は、SDEE 規格の拡張機能を定義して CIDEE 規格と呼んでいます。Receiver は Cisco 侵入防止システムに
よって生成された CIDEE データをリクエストする SDEE クライアントとして機能します。
Receiver がサポートしている他のタイプのデータ ソースとは異なり、SDEE では「プッシュ」モデルではなく「プ
ル」モデルを使用します。これは、Receiver が定期的に SDEE プロバイダーに問い合わせ、最後にリクエストされ
たイベント以降に生成されたイベントをリクエストすることを意味します。イベントは SDEE プロバイダーからリ
クエストされるたびに処理されて Receiver のイベント データベースに格納され、ESM によって取得される準備が
整います。
Cisco をベンダーとして選択し、IOS IPS (SDEE) をデータ ソース モデルとして選択することにより、SDEE プロ
バイダーをデータ ソースとして Receiver に追加できます(『データ ソースを追加』 を参照)。
Receiver は SDEE/CIDEE イベントからこの情報を抽出できます。
•
ソースおよび宛先 IP アドレス
•
ソースおよび宛先ポート
•
プロトコル
•
イベント時間
•
イベント数(CIDEE がイベント集計の形態を提供し、Receiver が引き受けます)
•
シグネチャ ID とサブ ID
•
ESM イベント ID は、SDEE シグネチャ ID と CIDEE サブシグネチャ ID から、次の式を使って計算します。
ESMI ID = (SDEE ID * 1000) + CIDEE sub-ID
したがって、SDEE シグネチャ ID が 2000 で CIDEE サブシグネチャ ID が 123 の場合、ESMI イベント ID
は 2000123 となります。
•
VLAN
•
重大度
•
イベントの説明
•
パケット内容(該当する場合)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
133
3
ESM の設定
デバイスの設定
Receiver が初めて SDEE プロバイダーに接続する場合に、イベント リクエストの開始点として現在の日時が使用さ
れます。その後の接続では、最後に成功したプル以降のすべてのイベントをリクエストします。
ArcSight データ ソースを追加
ArcSight デバイスのデータ ソースを追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーで Receiver ノードを選択します。
アクション ツールバーで [データ ソースを追加] アイコン
をクリックします。
3
[データ ソース ベンダー] フィールドで [ArcSight] を選択し、次に [データ ソース モデル] フィールドで [共
通イベント形式] を選択します。
4
データ ソース名を入力してから ArcSight IP アドレスを入力します。
5
残りのフィールドを入力します(『データ ソースを追加』 を参照)。
6
[OK] をクリックします。
7
ArcSight デバイスにデータを転送する各ソースにデータ ソースを設定します。
ArcSight から受信したデータは、ESM コンソールに表示できるように解析されます。
共通イベント形式(CEF)
ArcSight は現在、270 のデータ ソースからのイベントを、スマート コネクターを使用して共通イベント形式 (CEF)
に変換します。CEF は、イベント生成またはログ生成デバイスの相互運用性標準です。最も関連するデバイス情報が
含まれていて、簡単にイベントを解析したり使用できるようになります。
イベント メッセージは、イベント プロデューサーによって明示的に生成する必要がありません。メッセージは、バ
ー(|)文字によって区切られたフィールドからなる共通接頭辞を使用してフォーマットされます。接頭辞は必須であ
り、指定されたすべてのフィールドが存在する必要があります。追加のフィールドは Extension で指定されます。
形式は次のとおりです。
CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|
Severity|Extension
メッセージの Extension 部分は、追加フィールドのプレースホルダーです。以下は接頭辞フィールドの定義です。
134
•
[バージョン] は整数であり、CEF 形式のバージョンを特定します。イベント コンシューマーは、この情報を使用
して、フィールドが何を表しているかを判断します。現在、バージョン 0(ゼロ)のみが上記の形式で確立され
ています。経験上、その他のフィールドを「接頭辞」に追加するため、バージョン番号の変更が必要となる場合
があります。新しい形式の追加は、標準化団体を通じて扱われます。
•
[デバイス ベンダー]、[デバイス製品]、[デバイス バージョン] は、送信デバイスのタイプを一意に識別する文字
列です。2 つの製品でデバイスベンダーとデバイス製品の同じペアを使うことはできません。これらのペアを管
理する中央認証機関がありません。イベント プロデューサーは、一意の名前のペアを割り当てているかを確認す
る必要があります。
•
[DeviceEventClassId] は、イベントタイプごとの一意の識別子です。これは文字列または整数です。
DeviceEventClassId は、報告されるイベントのタイプを識別します。侵入検知システム (IDS) の場合、特定の
アクティビティを検出する各シグネチャやルールには、一意の deviceEventClassId が割り当てられます。これ
は他のデバイス タイプの要件でもあり、相関エンジンがイベントを扱いやすくします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
•
[名前] は、人間が読みやすく理解しやすい、イベントの説明を表現する文字列です。イベント名には、他のフィ
ールドで特に説明するような情報を含めることができません。例えば、「Port scan from 10.0.0.1 targeting
20.1.1.1」は良いイベント名ではありません。これは「Port scan」とする必要があります。他の情報は冗長で
あり、他のフィールドから収集できます。
•
[重大度] は整数であり、イベントの重要性を反映します。0~10 の数字のみが使用可能で、10 が最も重要なイ
ベントを示します。
•
[拡張] は、キー値のペアの集合です。キーは、事前定義されたセットの一部です。後述するように、標準は追加
キーを含めることを考慮に入れています。イベントには、任意の数のキー値ペアをスペースで区切り、任意の順
序で含めることができます。ファイル名のようにフィールドにスペースが含まれている場合、これは問題なく、
そのとおりにログインできます。例:
fileName=c:\Program Files\ArcSight is a valid token.
サンプル メッセージを次に示します。
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|
10|src=10.0.0.1 dst=2.1.2.2 spt=1232
NetWitness を使用する場合、CEF を Receiver へ送信するようにデバイスを正しく設定する必要があります。デフ
ォルトでは、NetWitness を使用するとき、CEF 形式は次のようになります。
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
正しい形式では、上記の「dport」を「dpt」に変更する必要があります。
Adiscon の設定
Syslog WMI は Adiscon によってサポートされています。
Microsoft Adiscon Windows Events Data Source 用 Event Reporter が正常に動作するには、次のフォーマット
文字列を使用する必要があります。
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Syslog リレーのサポート
Syslog リレー サーバーを経由して各種デバイスからイベントを Receiver に転送するには、追加の手順が必要です。
データのストリームおよび追加のデータ ソースを受け入れるには、単一の Syslog リレー データ ソースを追加する
必要があります。これによって Receiver はデータのストリームを発信元のデータ ソースに分岐させることができ
ます。Sylog-ng と Splunk がサポートされています。次の図はこのシナリオを説明しています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
135
3
ESM の設定
デバイスの設定
1
Cisco ASA デバイス
5
データ ソース 1 — Syslog のリレー
2
SourceFire Snort デバイス
6
データ ソース 2 — Cisco ASA
3
TippingPoint デバイス
7
データ ソース 3 — SourceFire Snort
4
Syslog のリレー
8
データ ソース 4 — TippingPoint
このシナリオを一例として、Syslog のリレーのデータ ソース(5)を Syslog のリレー(4)からのデータ ストリ
ームを受信するように設定する必要があります。[Syslog のリレー] フィールドで [Syslog] を選択します。
Syslog のリレーのデータ ソースを設定し終えたら、個別デバイス(6、7、8)のデータ ソースを追加します。この
デバイスは Syslog のリレー サーバーではないので、[Syslog のリレー] フィールドでは [なし] を選択します。
[Syslog メッセージをアップロード] 機能は、Syslog リレー設定では機能しません。
Syslog のヘッダーは次の例のように設定する必要があります: 1 <123> 345 Oct 7 12:12:12 2012
mcafee.com httpd[123]
ここでは次のようになります
1=
Syslog のバージョン(オプション)
345 =
Syslog の長さ(オプション)
<123> =
設備(オプション)
Oct 7 12:12:12 2012 =
日付、数百の形式をサポート(必須)
mcafee.com
ホスト名または IP アドレス(ipv4 または ipv6)(必須)
httpd =
アプリケーション名(オプション)
[123]
アプリケーション PID(オプション)
:=
コロン(オプション)
ホスト名とデータ フィールドは、いずれかの順序で表示できます。IPv6 アドレスは角カッコ [ ] で囲むことができま
す。
NSM-SIEM 設定ツールの実行
NSM データ ソースを設定する前に、NSM-SIEM 設定ツールを実行する必要があります。
136
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
設定ツールをダウンロードします。
a
McAfee 製品ダウンロード Web サイトを参照します。
b
[マイ製品をダウンロード] 検索ボックスに、提供されたカスタマー承認番号を入力します。
c
[検索] をクリックします。MFE [<product name> <version>] ダウンロード リンクの下に、製品の更新
ファイルがあります。
d
McAfee EULA を一読し、[同意する] をクリックします。
e
[NSM-SIEM 設定ツール] ファイルをダウンロードします。
NSM サーバーで設定ツールを実行します。
ツールは NSM へのデフォルト パスを検出します。ツールがパスを検出できない場合は、パスを参照してくださ
い。
3
NSM SQL ユーザー、パスワード、および NSM のインストールで入力したデータベース名を入力します。
4
データ ソース上の SIEM ユーザー名とパスワード、およびデータ ソースが追加された Receiver IP アドレスを
入力します。
これらはデータ ソース画面で入力します。
ePolicy Orchestrator の設定
データベース名フィールドで異なる名前を持ち、すべて同一の IP アドレスをポイントする複数の ePolicy
Orchestrator データ ソースを設定することができます。
選んだ数の ePolicy Orchestrator データ ソースを設定し、そのすべてにセントラル サーバー上の異なるデータベ
ースをポイントさせることができます。[ユーザー ID] と [パスワード] のフィールドには ePolicy Orchestrator
データベースへのアクセスを可能にするための情報を入力し、[バージョン] フィールドには ePolicy Orchestrator
デバイスのバージョンを入力します。デフォルトのポートは 1433 です。
[データベース名] は必須です。データベース名にダッシュが含まれている場合は、名前を各カッコで囲む必要があり
ます (例: [ePO4_WIN-123456])。
[ePO クエリー] オプションでは ePolicy Orchestrator デバイスをクエリーし、クライアント データ ソースを作成
することができます。デフォルトの [タイプが一致] が [クライアント データ ソースを使用] フィールドで選択され
ており、さらに [ePO クエリー] をクリックすると、ePolicy Orchestrator デバイスがクエリーされ、サポートされ
ている ePolicy Orchestrator 製品がクライアント データ ソースとして追加されます。
ePolicy Orchestrator に完全に統合されている場合、次の製品がサポートされます。
•
ANTISPYWARE
•
MNAC
•
DLP
•
POLICYAUDITOR
•
EPOAGENT
•
SITEADVISOR
•
GSD
•
VIRUSCAN
•
GSE
•
SOLIDCORE
•
HOSTIPS
McAfee Enterprise Security Manager 9.6.0
製品ガイド
137
3
ESM の設定
デバイスの設定
[IP が一致] が選択されている場合、ePolicy Orchestrator デバイスがクエリーされ、ePolicy Orchestrator デー
タベース内の全エンドポイントのクライアント データ ソースが作成されます。ePolicy Orchestrator データベー
ス内に 256 を超えるエンドポイントが存在する場合、複数のデータ ソースがクライアントとともに作成されます。
McAfee リスク評価日は ePolicy Orchestrator サーバーから取得されます。ePolicy Orchestrator データの取得
元になる複数の McAfee Risk Advisor サーバーを指定できます。McAfee Risk Advisor データは、データベース
クエリーを介して ePolicy Orchestrator SQL Server データベースから取得されます。データベース クエリーに
よって IP 対照レピュテーション スコア リストが表示され、低レピュテーションおよび高レピュテーションの一定の
値が得られます。すべての ePolicy Orchestrator および McAfee Risk Advisor のリストはマージされ、重複 IP の
リストが最高スコアを獲得します。この高低の値を含むマージされたリストは、SrcIP および DstIP フィールドのス
コアを集計するために任意の ACE デバイスへ送られます。
ePolicy Orchestrator データ ソースを追加し、[OK] をクリックして保存するときに、McAfee Risk Advisor デー
タを設定するのにこのデータ ソースを使用するかどうかを尋ねられます。[Yes] をクリックすると、データ エンリ
ッチメント ソースと 2 つの ACE スコアリング ルール (該当する場合) が作成され、ロールアウトされます。これら
を表示するには、[データ エンリッチメントを有効化] ページと [リスク相関スコアリング] ページに移動します。ス
コアリング ルールを使用するには、リスク相関マネージャーを作成する必要があります (「リスク相関マネージャー
を追加を参照する」を参照)。
IBM Internet Security System SiteProtector
Receiver は、イベントの格納に使用される Microsoft SQL Server データベース SiteProtector にクエリーするこ
とにより、Internet Security Systems (ISS) SiteProtector サーバーからイベントを取得できます。
Receiver がサポートしている他の一部のタイプのデータ ソースとは異なり、SiteProtector サーバーからのイベン
ト取得は「プッシュ」モデルではなく「プル」モデルを使って行われます。これは、Receiver が定期的に SiteProtector
データベースに問い合わせ、最後にプルされたイベント以降の新しいイベントをリクエストすることを意味します。
イベントが SiteProtector サーバーからイベントを取得するたびに、イベントは処理されて Receiver のイベント
データベースに格納され、ESM によって取得される準備ができます。
[サーバー] と [管理対象デバイス] の 2 つのデバイス タイプ オプションを使用できます。選択したサーバー デバ
イス タイプでデータ ソースを設定することは、SiteProtector サーバーからイベントを収集するための最低要件で
す。
SiteProtector サーバーのデータ ソースを設定すると、SiteProtector サーバーにイベントを報告した実際の資産と
は関係なく、SiteProtector から収集したすべてのイベントがそのデータ ソースに属しているものとして示されま
す。SiteProtector にイベントを報告した管理対象資産に基づいてイベントをさらに細分化するために、[管理対象デ
バイス] のデバイス タイプを選択した状態で追加の SiteProtector データ ソースを設定することができます。
ページの下側にある [詳細設定] オプションでは、イベント データを表示する際の特定 URL の起動に使用する URL
を定義できます。共通イベント形式 (CEF) イベントの転送に使用されるベンダー、製品、バージョンも定義できま
す。これらの設定はオプションです。
Receiver がイベント用の SiteProtector データベースにクエリーするには、SiteProtector によって使用されるデ
ータベースをホストする Microsoft SQL Server インストールが TCP/IP プロトコルからの接続を受け入れる必要
があります。
このプロトコルを有効化する方法とこれらの接続に使用されるポート(デフォルトはポート 1433)を定義する方法に
ついては、お手持ちの Microsoft SQL Server ドキュメントを参照してください。
Receiver が初めて SiteProtector データベースと接続するときは、現時点より後に生成された新しいイベントが取
得されます。将来の接続では、取得に成功した最後のイベント後に発生したすべてのイベントをリクエストします。
138
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
Receiver は、SiteProtector イベントからこの情報を抽出します。
•
ソースおよび宛先 IP アドレス(IPv4)
•
イベント数
•
ソースおよび宛先ポート
•
VLAN
•
プロトコル
•
重大度
•
イベント時間
•
イベントの説明
チェック ポイントの設定
プロバイダー 1、チェック ポイント高可用性、および最も標準的なチェック ポイント環境をカバーするデータ ソー
スを設定します。
最初のステップとして、親チェック ポイント データ ソースを追加します(『データ ソースを追加』 を参照)。親デ
ータ ソースがログ サーバーとして機能していないときに専用ログ サーバーがある場合は、ログ サーバーにデータ
ソースを追加する必要があります。また、必要に応じて子データ ソースを追加します。高可用性環境の場合は、各セ
カンダリ SMS/CMA に子データ ソースを追加する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
OPSEC アプリケーション/証明書が格納されている SMS/CMA、また Receiver-HA の場合はプライマリ
SMS/CMA に、親データ ソースを追加します。
OPSEC は FIPS に対応していません。FIPS 規則に準拠する必要がある場合は、この機能は使用しないでください
(『付録 A』 を参照)。
2
[オプション] をクリックします。
3
[詳細設定] ページで、通信方法を選択し、このデータ ソースの [サーバー エンティティの識別名] を入力しま
す。
4
[OK] を 2 回クリックします。
5
必要に応じて以下を行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
139
3
ESM の設定
デバイスの設定
発生するエラー…
対処法
[SIC Error for lea:
1 チェック ポイント データ ソースを追加したときに、[認証を使用] と [暗号化を使
クライアントがサービ
用] で正しい設定を選択したかを確認します。
ス LEA の認証方法を
選択できませんでし
[認証を使用] のみを選択した場合、OPSEC クライアントは「sslca_clear」を使用
た]
してログ サーバーとの通信を試みます。[認証を使用] と [暗号化を使用] を選択し
た場合、OPSEC クライアントは「sslca」を使用してログ サーバーとの通信を試み
ます。どちらも選択していない場合、OPSEC クライアントは「none」を使用して
ログ サーバーとの通信を試みます。
2 チェック ポイント ログ サーバーとの通信に使用する OPSEC アプリケーションが、
[クライアント エンティティ] セクションで [LEA] を選択しているかを確認します。
3 これらの手順のどちらも正しく行われていることが確認されたら、チェック ポイン
ト ログ サーバーのインストールで sic_policy.conf ファイルを探します。例えば、
Linux ベースの R65 システムでは、ファイルは /var/opt/CPshrd-R65/conf にあ
ります。
4 どの通信方法(ファイル内の認証方法)でログ サーバーとの LEA 通信方法が有効か
を特定するには、[詳細設定] ページで通信方法を [通信方法] として選択します。
[SIC Error for lea:
Peer sent wrong
DN: <expected
dn>]
• エラー メッセージで "<expected dn>" を表している文字列を入力することによ
り、[サーバー エンティティの識別名] テキスト ボックスに文字列を指定します。
スマート ダッシュボード UI でチェック ポイント ログ サーバーのネットワーク オブ
ジェクトを調べることにより、チェック ポイント ログ サーバーの識別名を見つけ出す
という方法もあります。
SMS/CMA の DN は OPSEC アプリケーションの DN と同様であり、最初のエントリ
が CN=cp_mgmt に置き換わっているだけです。例えば、OPSEC アプリケーション
DN を CN=mcafee_OPSEC,O=r75..n55nc3 と考えます。SMS/CMA DN は
CN=cp_mgmt,O=r75..n55nc3 になります。ログ サーバーの DN もこれと同様で、
CN=CPlogserver,O=r75..n55nc3 です。
6
セットアップした親データ ソースによって管理される、各ファイアウォール、ログ サーバー、またはセカンダリ
SMS/CMA に子データ ソースを追加します(『子データ ソースを追加』 を参照)。
すべてのファイアウォール/ゲートウェイ データ ソースのデバイスタイプは、[セキュリティ デバイス] です。[親レ
ポート コンソール] は、デフォルトで親データ ソースになります。
McAfee ルールセット
このテーブルには、外部データ ソース ID とともに McAfee ルールセットがリストされています。
140
データ ソース ID
表示名
対応 RSID
ルール範囲
50201
ファイアウォール
0
2,000,000~2,099,999
50202
カスタム ファイアウォール
0
2,200,000~2,299,999
50203
カスタム シグネチャ
0
5,000,000~5,999,999
50204
内部
0
3,000,000~3,999,999
50205
脆弱性とエクスプロイト
2
該当なし
50206
アダルト コンテンツ
5
該当なし
50207
チャット
8
該当なし
50208
ポリシー
11
該当なし
50209
ピア ツー ピア
14
該当なし
50210
マルチメディア
17
該当なし
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
データ ソース ID
表示名
対応 RSID
ルール範囲
50211
Alpha
25
該当なし
50212
ウイルス
28
該当なし
50213
Perimeter Secure Application
31
該当なし
50214
ゲートウェイ
33
該当なし
50215
マルウェア
35
該当なし
50216
SCADA
40
該当なし
50217
MCAFEESYSLOG
41
該当なし
3
Receiver の資産ソース
資産とは、ネットワーク上で IP アドレスを持つデバイスです。[Asset Manager] 上の [資産] タブでは、資産の作
成、タグの変更、資産グループの作成、資産ソースの追加、および資産グループへの資産の割り当てを行うことがで
きます。また、VA ベンダーの 1 つから学習した資産を操作することも可能です。
[Receiver のプロパティ] の [資産ソース] 機能では、[Active Directory](使用できる場合)からデータを取得する
ことができます。このプロセスが完了したら、[ソース ユーザー] および [宛先ユーザー] のビュー クエリー フィル
ター フィールドで、取得ユーザーまたはグループを選択することにより、イベント データをフィルターできます。
これにより、PCI などの要件に応じてコンプライアンス データを提供する機能が強化されます。ESM が持つことが
できる資産ソースは 1 つのみです。Receiver は複数の資産ソースを持つことができます。
2 つの資産検出ソース(Vulnerability Assessment や Network Discovery など)が同じ資産を検出した場合は、
最も優先順位の高い検出方法がその資産をテーブルに追加します。2 つの検出ソースが同じ優先順位であれば、最後
に資産を検出したソースが最初に検出したソースよりも優先されます。
関連トピック:
141 ページの「資産ソースの追加」
資産ソースの追加
[Active Directory] からデータを取得するには、Receiver を設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[資産ソース] をクリックします。
2
[追加] をクリックし、要求された情報を入力します。
3
[OK] をクリックし、[資産ソース] ページで [書き込み] をクリックします。
関連トピック:
141 ページの「Receiver の資産ソース」
Enterprise Log Manager (ELM) の設定
ELM は、ログ データの保存と管理、アクセス、レポートをサポートします。
ELM によって受信されたデータは、複数のストレージ デバイスで構成されたそれぞれのストレージ プールで編成さ
れます。 保持時間は各ストレージ プールに関連付けられており、データは指定された期間、プールに保持されます。
政府、業界、企業による規制では、異なる期間ログを保管することを義務付けています。
ELM では、検索および整合性チェック ジョブを設定できます。これら各ジョブは、格納されているログにアクセス
し、ジョブで定義されたデータを取得または確認します。その後に、結果を表示し、情報をエクスポートすることが
できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
141
3
ESM の設定
デバイスの設定
ELM を設定するには、次のことを把握している必要があります。
•
ELM にログを格納するソース
•
必要なストレージ プールとデータ保持時間
•
データの格納に必要なストレージ デバイス
一般に、ELM でログを格納するソースと、必要なストレージ プールは確認できますが、データの格納に必要なスト
レージ デバイスは不明です。この状況に対応する方法としては、次のようなものがあります。
1
ストレージ要件について控えめに推定します。
9.0.0 以降、ELM ストレージ プールではミラーリングのオーバーヘッド用に、割り当てられた領域の 10% が必
要になります。必要な領域を計算する場合は、この 10% を考慮してください。
2
推定される要件に合致するように ELM ストレージ デバイスを設定します。
3
ELM での短期間のログを確認します。
4
ELM のストレージ統計情報を使用して、実際のデータ ストレージ要件に合致するようにストレージ デバイス設
定を変更します。
ELM でのデータ格納を準備する
データを格納するように ELM を設定するには、必要な手順がいくつかあります。
142
手
順
アクション
説明
1
データ保持
時間を定義
する。
ELM のインストール要件に基づいて、必要な複数のデータ保持時間を定義します。共通のデー
タ保持時間は次のとおりです。
• SOX – 7 年
• Basel II – 7 年
• PCI – 1 年
• HIPAA – 6 年または 7 年
• GLBA – 6 年
• NERC – 3 年
• EU DR 指令 – 2 年
• FISMA – 3 年
2
ログ データ
のソースを
定義する。
ここでは、ELM に格納されているログのすべてのソースを定義し、ログの平均バイト サイズ
と、1 日に生成される平均ログ数を推定することが目標になります。ここで必要とされるのは
推定値だけです。平均ログ バイト サイズと 1 日に生成される平均ログ数の推定は、まずソー
スのタイプ (ファイアウォール、ルーター、Nitro IPS、ADM、DEM、ELM など) 別に推定し、
次に各タイプについてソース数を推定するほうが簡単かもしれません。次の手順では、各ソー
スと、手順 1 で定義された保持時間の関連付けが必要になるため、ソース タイプ (SOX
Firewall、PCI DEM など) の推定の際にはそれを考慮する必要があります。
3
ストレージ
プールを定
義する。
ELM のインストール要件に基づいて、ログの各ソース、またはソースをデータ保持時間と関連
付け、ELM のインストールに必要なストレージ プールのセットを定義します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
手
順
アクション
説明
4
ストレージ
プールのサ
イズ要件を
推定
各ストレージ プールについて、次のいずれかの方程式を使用してストレージ要件を推定する。
• 個々のソースを使用:
IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024)
説明
IRSGB= Initial required storage in gigabytes (最初に必要なストレージ、GB))
DRTD = Data retention time in days (データ保持時間、日数))
SUM() = すべてのデータ ソースの合計
DSAB = Data source average bytes per log (ログごとのデータ ソース平均バイト数)
DSALPD = Data source average logs per day (1 日あたりのデータ ソース平均ログ数)
• ソース タイプを使用:
IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1024*1024*1024)
説明
IRSGB= Initial required storage in gigabytes (最初に必要なストレージ、GB)
DRTD = Data retention time in days (データ保持時間、日数)
NDS = Number of data sources of a data source type (データ ソース タイプのデー
タ ソース数)
SUM() = すべてのデータ ソース タイプの合計
DSTAB = Data source type average bytes per log (ログごとのデータ ソース タイプ平
均バイト数)
DSTALPD = Data source type average logs per day (1 日あたりのデータ ソース タイ
プ平均ログ数)
5
最初のスト
レージ デバ
イスを作成
する。
各 IRSGB に相当するデータを格納できるだけの、1 つ以上の ELM ストレージ デバイスを作
成します (「ストレージ デバイスを追加する」を参照)。
6
ストレージ
プールを作
成
手順 3 で定義した各ストレージ プールについて、手順 1 で関連付けた保持時間、手順 4 で関
連付けた IRSGB 値、手順 5 で関連付けたストレージ デバイスを使用して ELM ストレージ プ
ールを作成します (「ストレージ プールを追加する」を参照)。
7
データのロ
ギングを開
始する。
ELM にログを送信するソースを設定し、送信を 1 ~ 2 日間継続させます。
8
ストレージ
プールのサ
イズ要件推
定値の絞り
込む。
手順 6 で作成した各ストレージ プールについて、次の方程式を使用してストレージ要件の推定
値を絞り込みます。
RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024)
説明
RSGB = Required storage in gigabytes (必要なストレージ、GB)
DRTD = Data retention time in days (データ保持時間、日数)
SPABRPD = 統計レポートから得られたストレージ プールの 1 日の「平均バイト率」の値
McAfee Enterprise Security Manager 9.6.0
製品ガイド
143
3
ESM の設定
デバイスの設定
手
順
アクション
説明
9
ストレージ
デバイスを
変更または
作成する。
手順 8 の各 RSGB 値について、RSGB に相当するデータを格納できるだけの ELM ストレー
ジ デバイスを変更または作成します。
10
ストレージ
プールを変
更する。
必要に応じて、手順 9 で作成したストレージ デバイスを追加して、手順 6 で作成した各スト
レージ プールを変更するか、または既存のストレージ デバイス割り当てを増やします。
ELM ストレージを設定
ログを格納するために、ELM は 1 つ以上のストレージ デバイスに対するアクセス権限を持っている必要がありま
す。
ELM インストールのストレージ要件には、データソースの数、ロギング特性、データ保持時間の要件などの要素があ
ります。 ELM インストールの使用期間中にあらゆる要素が変化する可能性があるため、ストレージ要件は、時間の
経過とともに変動します。
システムのストレージ要件の推定および調整に関する詳細については、『ELM 設定』 を参照してください。
ELM ストレージの用語
ELM ストレージに関する用語を確認してください。
•
ストレージ デバイス — ELM にアクセス可能なデータ ストレージ デバイス。ELM モデルによっては、内蔵のス
トレージ デバイス、SAN 接続機能、あるいはそれら両方を備えている場合があります。すべての ELM モデルに
は NAS 接続機能があります。
•
ストレージ割り当て - 特定のストレージ デバイス上の特定の量のデータ ストレージ (NAS ストレージ デバイ
スに対して 1 TB など)。
•
データ保持時間 — ログが格納される期間。
•
ストレージ プール — 1 つ以上のストレージ割り当て。それらの割り当てによってストレージの合計量が指定さ
れます。その際にログが格納される最長日数を指定するデータ保持時間と組み合わせられます。
•
ログ ソース — ELM に格納されるログのソース。
ELM ストレージ デバイスのタイプ
ELM にストレージ デバイスを追加する場合は、デバイスのタイプを選択する必要があります。デバイスを追加また
は編集する場合には、考慮すべき点がいくつかあります。
デバイス 詳細
タイプ
NFS
ELM 管理データベースを含むストレージ デバイスのリモート マウント ポイントを編集するには、[DB
を移行] オプションを使用して、データベースを別のストレージ デバイスに移動させます (『ELM デー
タベースを移行する』を参照)。 その後に、リモート マウント ポイント フィールドを安全に変更し、
更新されたストレージ デバイスにデータベースを戻すことができます。
CIFS
• 3.2 よりも後のバージョンの Samba サーバーと一緒に CIFS 共有タイプを使用すると、データ損失
が発生する可能性があります。
• CIFS 共有に接続する場合は、パスワードにカンマを使用しないでください。
• Windows 7 コンピューターを CIFS 共有として使用する場合は、
『HomeGroup ファイル共有を無効
化』を参照してください。
144
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
デバイス 詳細
タイプ
iSCSI
• iSCSI 共有に接続する場合は、カンマを含むパスワードは使用しないでください。
• 複数のデバイスを 1 つの IQN に接続しようとすると、データ損失などの設定上の問題が発生する可
能性があります。
SAN
SAN オプションは、ELM に SAN カードがインストールされていて、SAN ボリュームを使用できる場
合のみ使用できます。
仮想ロー このオプションは、仮想ローカル デバイスが仮想 ELM に追加されている場合にのみ使用できます。 ス
カル
トレージとして使用する前にデバイスをフォーマットする必要があります (『仮想ローカル ドライブを
セットアップしてデータを保管する』を参照)。
HomeGroup ファイル共有を無効化
Windows 7 では、HomeGroup ファイル共有を使用する必要があります。これは他の Windows 7 コンピューター
でも機能しますが、Samba では使用できません。Windows 7 コンピューターを CIFS 共有として使用するには、
HomeGroup ファイル共有を無効にする必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Windows 7 の [コントロール パネル] を開き、[ネットワークと共有センター] を選択します。
2
[共有の詳細設定の変更] をクリックします。
3
[ホームまたは社内] プロファイルをクリックし、現在のプロファイルとしてラベル付けされていることを確認し
ます。
4
ネットワーク検出、ファイルとプリンタの共有、パブリック フォルダーを有効にします。
5
CIFS を使用して共有するフォルダーを特定し(最初にパブリック フォルダーを確認)、右クリックします。
6
[プロパティ] を選択し、[共有] タブをクリックします。
7
[詳細な共有] をクリックし、[フォルダーの共有] を選択します。
8 (オプション)共有名を変更して [権限] をクリックします。
権限が適切に設定されていることを確認します(変更 = 書き込み可にチェックマーク)。パスワードで保護され
た共有を有効にしている場合は、ここで設定を微調整して Ubuntu ユーザーが権限に含まれるようにします。
ストレージ プールにリンクするストレージ デバイスを追加
ストレージの場所のリストにストレージ デバイスを追加するには、パラメーターを定義する必要があります。
ストレージ デバイスを編集する場合は、サイズを大きくすることはできますが、小さくすることはできません。デー
タが格納されているデバイスを削除することはできません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
上部のテーブルの横にある [追加] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
145
3
ESM の設定
デバイスの設定
3
[ストレージ デバイスを追加] ページで、必要な情報を入力します。
4
[OK] をクリックして設定を保存します。
使用できる ELM ストレージ デバイスのリストにデバイスが追加されます。
[ストレージ プール] ページのテーブルで、ストレージ デバイスを編集または削除できます。
関連トピック:
146 ページの「[ストレージ デバイスを追加] ページ」
147 ページの「[ストレージ デバイスを選択します] ページ」
[ストレージ デバイスを追加] ページ
ストレージ プールでデータ保持用に使用されるストレージ デバイスの接続パラメーターを定義します。
表 3-73 オプションの定義
オプション
定義
[デバイス タイプ]
ストレージ デバイスのタイプを選択します。ELM データベースを移行するには、ディ
スクに 506 GB 以上の空き容量が必要です。 各タイプの詳細については、
『ELM ストレ
ージを設定する』の『ELM ストレージ デバイスのタイプ』を参照してください。
[名前]
ストレージ デバイスの名前を入力します。
[最大サイズ]
このデバイスに割り当てるストレージ領域の最大容量を選択します。
• リモート ストレージ デバイスを ELM に追加する場合、[最大サイズ] のデフォルトは
4 GB になります。 ストレージ領域の 1% は、リモート ストレージの管理用に予約
されます。
• 仮想ローカル ストレージ デバイスを追加する場合、[最大サイズ] のデフォルトあ、
ストレージ デバイスの総容量になります。 6 GB は仮想ストレージの管理用に予約
されます。 このフィールドは調整できません。
[IP アドレス]、[リモート NFS デバイスに関するこの情報を入力します。
マウント ポイント]、[リ
モート パス]
[IP アドレス]、[リモート CIFS デバイスに関するこの情報を入力します。
共有名]、[パス]、[ユーザ
ー名]、[パスワード]
[iSCSI デバイス]
追加したデバイスを選択します (『iSCSI デバイスを追加する』を参照)。
[iSCSI IQN]
IQN を選択します。
[SAN]
追加した SAN ボリュームを選択します (『ELM データを格納するために SAN ストレ
ージ デバイスをフォーマットする』を参照)。
[仮想ローカル ボリュー
ム]
仮想ローカル ストレージ デバイスを選択します。 このオプションは、デバイス タイプ
が [仮想ローカル] の場合にのみ使用できます。
関連トピック:
145 ページの「ストレージ プールにリンクするストレージ デバイスを追加」
146
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
[ストレージ デバイスを選択します] ページ
ストレージ プールにリンクするストレージ デバイスを選択します。
表 3-74 オプションの定義
オプション
定義
[データ ストレージ
デバイス]
追加するデバイスを選択します。選択したいデバイスがリスト内にない場合は、追加する必
要があります(『ストレージ デバイスを追加』を参照)。
デバイスは一度に複数のプールに割り当てることができます。
[ストレージ領域]
このデバイスでデータを格納するための領域の最大容量を選択します。
ストレージ領域の 10% はオーバーヘッドとして使用されます。ストレージ領域フィールド
で 4GB を選択した場合、実際にデータの格納に使用できるのはそのうち 3.6GB です。
[ミラー データ スト このストレージ デバイスのデータを別のデバイスにミラーリングする場合は、2 つ目のスト
レージ デバイス]
レージ デバイスを選択します(『ミラー ELM データ ストレージを追加』を参照)。
関連トピック:
145 ページの「ストレージ プールにリンクするストレージ デバイスを追加」
ストレージ プールを追加または編集
ストレージ プールには、1 つ以上のストレージ割り当てとデータ保持時間が含まれています。これらを ELM に追加
して、ELM ログの格納場所と保持期間を定義します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルの横にある [追加] または [編集] をクリックし、必要な情報を入力するか変更します。
3
[OK] をクリックします。
パラメーターは保存後に編集することができます。ストレージ プールとそれに割り当てられているデバイスは、デー
タが格納されていない限り削除できます。
関連トピック:
147 ページの「[ストレージ プール] ページ」
148 ページの「[ストレージ プールを追加] ページ」
[ストレージ プール] ページ
ELM データを格納するためにストレージ デバイスとストレージ プールを管理します。
表 3-75 オプションの定義
オプション
定義
ストレージ デバイスを[追
加]
データ保持用のストレージ プールとともに使用するストレージ デバイスを追加し
ます。
ストレージ デバイスを [編
集]
既存のストレージ デバイスの設定を変更します。
ストレージ デバイスを [削
除]
システムからストレージ デバイスを削除します。
[追加]
特定の期間に最大量のデータを保持するために、ストレージ プールを追加します。
ストレージ プールを [編集]
既存のストレージ プールの設定を変更します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
147
3
ESM の設定
デバイスの設定
表 3-75 オプションの定義 (続き)
オプション
定義
ストレージ プールを [削除]
システムからストレージ プールを削除します。
[再構築]
いずれかのストレージ デバイスとの接続が切断された、ミラー ストレージ プール
を修復します。このオプションは、ミラー ストレージ プールに問題が発生している
場合のみ使用できます。
[サイズを縮小]
各割り当てに対して定義されている領域の容量を縮小します。
[更新]
テーブルの情報を更新します。
関連トピック:
147 ページの「ストレージ プールを追加または編集」
[ストレージ プールを追加] ページ
ELM ロギング データを格納するために、ストレージ プールを追加します。
表 3-76 オプションの定義
オプション
定義
[ストレージ プール名] このプールの名前を入力します。
[データ保持時間]
このデータを格納する期間を選択します。
[このストレージ プー
ルにリンクされたデー
タ ストレージ デバイ
ス]
このストレージ プールにリンクされたデバイスをリストします。デバイスを追加するに
は、[追加] をクリックします。
ネットワーク プロトコル(CIFS、NFS、および iSCSI)を使用する場合、ミラー デバイ
スの割り当てに際しては、同じスイッチ上のデバイスに割り当て、かつ待ち時間を少なく
するなど、特別な設定が必要になります。推奨されるネットワーク仕様は次のとおりです。
• 合計待ち時間(サーバーとネットワーク)— 10 ms
• 合計スループット(サーバーとネットワーク)— 20 Mb/sec
ミラーリングでは共有の可用性 100% を前提としています。
[有効] 列
データを格納するために有効にするデバイスを選択します。ミラー ストレージ デバイス
は、ミラーリング プロセスが完了するまで無効になります。
ESM 9.0.0 以降で作成されたストレージ プール デバイス割り当ては、割り当てごとに 1 TB に制限されています。1
TB を超えるプールを作成するには、複数の 1 TB デバイスを追加する必要があります。
関連トピック:
147 ページの「ストレージ プールを追加または編集」
ストレージ プールを移動
ストレージ プールは、1 つのデバイスから別のデバイスに移動させることができます。
開始する前に
ストレージ プールの移動先にするストレージ デバイスを、現在プールを保持しているデバイスのミラー
として設定します(『ミラー ELM データ ストレージを追加』を参照)。
148
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで、ストレージ プールを保持している ELM デバイスを選択し、[プロパティ]
アイコン
をクリックします。
2
[ストレージ プール] をクリックします。
3
[ストレージ プール] テーブルで、移動するプールの下にリストされているミラー デバイスをクリックします。
4
[編集] をクリックし、[データ ストレージ デバイス] ドロップ リストから、移動するストレージ プールをミラ
ーリングするデバイスを選択します。
これがメインのデータ ストレージ デバイスになっています。
5
新しいデータ ストレージ デバイスをミラーリングするには、[ミラー データ ストレージ デバイス] ドロップダ
ウン リストからデバイスを選択し、[OK] をクリックします。
ストレージ割り当てサイズを縮小
ストレージ プールに割り当てられている領域によりストレージ デバイスがいっぱいになった場合は、各割り当てに
定義されている領域の容量を縮小する必要があります。 この操作は、ストレージ プールの追加でデバイス上の領域
の割り当てるときに必要になる可能性があります。
割り当てサイズの縮小によってデータが影響を受ける場合、データをプール内の他の割り当てに移動します(そのため
の領域が使用可能な場合)。使用可能な領域がない場合は、最も古いデータが削除されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルで、縮小するプールを選択し、[サイズを縮小] をクリックします。
3
ストレージを縮小する量を入力し、[OK.] をクリックします。
ELM データ ストレージをミラーリング
2 つ目の ELM ストレージ デバイスを設定して、メインのデバイスで収集されたデータをミラーリングすることがで
きます。
メインのデバイスが何らかの理由で停止した場合には、受信したデータの格納がバックアップ デバイスで継続されま
す。メインのデバイスがオンラインに復帰すると、バックアップと自動的に同期され、受信したデータの格納が再開
されます。メインのデバイスが恒久的に停止した場合には、バックアップを ESM のメインとして割り当て直し、別
のデバイスをミラーリング用に指定することができます。
両方のデバイスが停止した場合には、システム ナビゲーション ツリーの ELM デバイスの横に正常性ステータス フ
ラグ
が表示されます。
ミラーリングされたストレージ プールとストレージ デバイスとの接続が切断される可能性があります。これは次の
ような原因によります。
•
ELM とファイル サーバー間のファイル サーバーまたはネットワークに障害が発生した。
•
ファイル サーバーまたはネットワークがメンテナンスのためにシャットダウンされた。
•
割り当てファイルが誤って削除された。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
149
3
ESM の設定
デバイスの設定
ミラーに問題が発生した場合には、ストレージ デバイスの [ストレージ プール] テーブルに警告アイコン
示されます。これは [再構築] 機能を使用して修復できます。
が表
ミラー ELM データ ストレージを追加する
使用できるデバイスのリストに追加された、必要な領域を備えたストレージ デバイスは、ELM ストレージ デバイス
に保存されるデータのミラーリングに使用できます。
開始する前に
相互にミラーリングするのに使用する 2 つのデバイスを ESM に追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルの横にある [追加] をクリックします。
3
[ストレージ プールを追加] ページで必要な情報を入力し、[追加] をクリックして、ストレージ デバイスとミラ
ーリング デバイスを選択します。
デバイスは一度に複数のプールに割り当てることができます。
4
[OK] を 2 回クリックします。
ミラー ストレージ プールを再構築
ミラー ストレージ プールとストレージ デバイスとの接続が切断された場合は、[再構築] 機能を使用して修復できま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
警告アイコンが表示されているミラー デバイスの上にカーソルを置きます。
ツール チップで、ELM 割り当てが再構築されているか、ミラー デバイスの再構築が必要であるかが示されます。
3
ミラー デバイスを再構築するには、デバイスをクリックし、[再構築] をクリックします。
プロセスが完了すると、割り当てが正常に再構築されたことが通知されます。
ミラーリング デバイスを無効化する
デバイスをストレージ プールのミラーリング デバイスとして使用するのを停止する場合は、それと置き換える別の
デバイスを選択するか、[なし] を選択します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、現在ミラーリング ストレージ プールを保持している ELM を選択し、[プロ
パティ] アイコン
2
150
をクリックします。
[ストレージ プール] をクリックし、[ストレージ プール] テーブルでミラー デバイスを選択し、[編集] をクリッ
クします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
4
3
以下のいずれかを実行します。
•
[ミラー データ ストレージ デバイス] フィールドで選択したデバイスを無効にする場合は、そのフィールド
のドロップダウン矢印をクリックして、データ ストレージ デバイスをミラーリングする別のデバイスを選択
するか、[なし] を選択します。
•
[データ ストレージ デバイス] フィールドで選択したデバイスを無効にする場合は、そのフィールドのドロッ
プダウン矢印をクリックして、データ ストレージ デバイスとして機能する別のデバイスを選択します。
[OK] をクリックして変更を保存します。
デバイスがミラーリング デバイスではなくなっても、[ストレージ デバイス] テーブルには引き続き表示されます。
外部データ ストレージを設定
外部ストレージには、iSCSI、SAN、DAS、仮想ローカルの 4 つのタイプがあり、ELM データを格納するように設
定できます。 これの外部ストレージ タイプを ESM に接続すると、ELM からのデータが格納されるように設定でき
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
該当するタブに使用可能なストレージ デバイスがすべて表示されます。
2
[iSCSI]、[SAN]、[DAS] または [仮想ローカル] タブをクリックし、必要な手順に従います。
3
[適用] または [OK] をクリックします。
iSCSI デバイスを追加する
ELM ストレージ用に iSCSI デバイスを使用するには、デバイスとの接続を設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
2
[iSCSI] タブで、[追加] をクリックします。
3
要求された情報を入力して、[OK] をクリックします。
接続が正常に行われると、デバイスとその IQN が [iSCSI の設定] リストに追加され、また [ストレージ デバイ
スを追加] ページの [デバイス タイプ] リストにも追加されます (「ストレージ デバイスを追加する」を参照)。
IQN が ELM ログの格納を開始すると、iSCSI ターゲットは削除できなくなります。 この制限があるため、ELM
ストレージ用に十分な領域を確保してから、iSCSI ターゲットを設定してください。
4
ELM ストレージ用に IQN を使用する前に、リストで選択し、[フォーマット] をクリックします。
5
フォーマット中にステータスを確認するには、[ステータスを確認] をクリックします。
6
IQN を検出または再検出するには、iSCSI デバイスをクリックして、[検出] をクリックします。
複数のデバイスを IQN に割り当てると、データ損失を招く可能性があります。
関連トピック:
152 ページの「[iSCSI] タブ」
152 ページの「iSCSI の設定 ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
151
3
ESM の設定
デバイスの設定
[iSCSI] タブ
iSCSI ストレージ デバイスを ESM に接続し、ELM からのデータを格納できるようにします。
表 3-77 オプションの定義
オプション
定義
[追加]
iSCSI デバイスへの接続に必要なパラメーターを追加します。
[削除]
選択した iSCSI 接続を削除します。
[検出]
選択した iSCSI について、IQN を検出または再検出します。
[ステータスを確認]
フォーマット中の IQN のステータスを確認します。
[フォーマット]
ELM ストレージで使用する前に、選択した IQN をフォーマットします。
関連トピック:
151 ページの「iSCSI デバイスを追加する」
iSCSI の設定 ページ
iSCSI デバイスへの接続に必要なパラメーターを追加します。
表 3-78 オプションの定義
オプション
定義
[名前]
iSCSI デバイスの名前を入力します。
[IP アドレス]
iSCSI デバイスの IP アドレスを入力します。
[ポート]
iSCSI デバイスのポートを選択します。
関連トピック:
151 ページの「iSCSI デバイスを追加する」
258 ページの「ESM データ ストレージを設定」
ELM データを格納するために SAN ストレージ デバイスをフォーマットする
システムに SAN カードが搭載されている場合は、ELM データの格納に使用できます。
開始する前に
システムに SAN カードをインストールします。『McAfee ESM インストール ガイド』の「qLogic
2460 または 2562 SAN アダプターをインストールする」を参照するか、McAfee サポートに問い合
わせてください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
152
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
2
[SAN] タブをクリックして、検出された SAN ボリュームのステータスを確認します。
•
[フォーマットが必要] — ボリュームをフォーマットする必要があります。[ストレージ デバイスを追加] ペ
ージの、使用可能なボリュームのリストには表示されません。
•
[フォーマット] — ボリュームがフォーマット中です。使用可能なボリュームのリストには表示されません。
•
[準備完了] — ボリュームがフォーマットされ、認識可能なファイル システムが作成されました。これらのボ
リュームは、ELM データの格納に使用できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
3
フォーマットされていないボリュームにデータを格納する場合は、ボリュームをクリックして[フォーマット] を
クリックします。
ボリュームをフォーマットすると、格納されていたすべてのデータが削除されます。
4
フォーマットが完了したかどうかを確認するには、[更新] をクリックします。
フォーマットが完了すると、ステータスが [準備完了] に変わります。
5
ボリュームの詳細をページの下部に表示するには、ボリュームをクリックします。
これで、フォーマットされた SAN ボリュームを、ELM ストレージ用のストレージ デバイスとして設定できます。
データを格納する DAS デバイスを割り当て
ELM データを格納するために、使用可能な DAS デバイスを割り当てることができます。
開始する前に
DAS デバイスを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで、DAS デバイスを割り当てる ELM を選択し、[プロパティ] アイコン
をクリックします。
一体型のデバイスで ESM に DAS を割り当てるには、ESM を選択し、[プロパティ] アイコンをクリックします。
2
[データ ストレージ] をクリックし、[DAS] タブをクリックします。
[DAS] テーブルに、ストレージに使用できるデバイスがリストされます。
3
テーブルで、ELM または ESM データを格納するために割り当てられていない、いずれかのデバイスをクリック
します。
4
[割り当て] をクリックし、警告ページで [はい] をクリックします。
デバイスを一度割り当てると、変更することができなくなります。
ELM が再起動されます。
仮想ローカル ドライブをセットアップしてデータを保管する
仮想 ELM の仮想ストレージ デバイスを検出し、フォーマットします。 これらのデバイスは、データベースの移行や
ストレージ プールとして使用できます。
開始する前に
仮想環境の仮想ローカル ストレージ デバイスを仮想 ELM に追加します。 ストレージの追加方法につ
いては、仮想マシン環境のマニュアルを参照してください。
対応仮想環境
•
VMWare
•
KVM
•
Amazon Web Service
McAfee Enterprise Security Manager 9.6.0
製品ガイド
153
3
ESM の設定
デバイスの設定
対応ドライブ フォーマット
•
SCSI
•
SATA
IDE には対応していません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで仮想 ELM を選択し、[プロパティ] アイコン
トレージ] をクリックします。
をクリックして [データ ス
使用可能なストレージ デバイスがすべて表示されるまで、読み込み中のアイコンが表示されます。 システムに冗
長 ESM がある場合、デバイスが [冗長] タブに表示されます。
ルート パーティションとブート パーティションは、ストレージ オプションとして使用できません。
2
[仮想ローカル] タブをクリックして、使用可能な仮想デバイスのリストからデバイスを選択します。
[仮想ローカル] タブが使用できるのは、システムが仮想ストレージを検出した場合だけです。
3
[ステータス] 列に [フォーマットが必要] が表示された場合には、[フォーマット] をクリックし、デバイスを
ext4 形式でフォーマットしてください。
ステータスが [準備完了] に変わります。
このデバイスをデータベースの移行やストレージ プールとして使用できます。
ELM の冗長性
システムの現在のスタンドアロン ELM にスタンバイ ELM を追加すると、ロギングの冗長性を実現できます。
冗長性を有効にするには、2 つの ELM に IP アドレスと他のネットワーク情報を定義します (『ELM 冗長性をセッ
トアップする』を参照)。 スタンバイ ELM のストレージ デバイスの容量は、アクティブ ELM のストレージよりも
大きくする必要があります。 両方の ELM の設定が同期され、スタンバイ ELM が両方のデバイスの同期データを保
持します。
ELM 冗長性を操作する場合、切り替え、サービス状態への復元、削除、統計の表示など、いくつかのアクションを実
行します。 これらのアクションを実行するには、 [ELM のプロパティ] 、 [ELM の冗長性] の順に移動します。
切り替え
プライマリ ELM が停止したり、交換が必要になった場合には、[ELM を切り替える] を選択します。 スタンバイ
ELM がアクティブになり、すべてのロギング デバイスが関連付けられます。 切り替えが完了するまで、ロギングと
設定アクションはロックされます。
サービス状態に戻す
スタンバイ ELM で問題が発生した場合には、サービス状態に戻す必要があります。 設定ファイルに対する変更がな
ければ、冗長性が継続します。 ファイルで相違が検出されると、問題のないストレージ プールの冗長性は継続しま
すが、エラー ステータスが戻され、1 つ以上のプールが設定外になります。 これらのプールは手動で修正する必要
があります。
スタンバイ ELM を交換または再構成すると、システムがこの状況を検出し、スタンバイ ELM のキーを再作成するよ
うに指示されます。 アクティブな ELM がすべての設定ファイルとスタンバイの同期を実行し、以前と同様に冗長性
を継続します。
154
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
中断
何らかの理由でスタンバイ ELM が停止した場合、この ELM との通信を中断できます。 すべての通信が停止し、冗
長のエラー通知がマスキングされます。 スタンバイ ELM が再起動したらサービス状態に脅します。
ELM で冗長を無効にする
[削除] を選択すると、ELM 冗長性を無効にできます。 アクティブな ELM が冗長性の設定ファイルのコピーを保存
します。 ELM 冗長性を有効にするときにバックアップ ファイルが見つかると、保存済みの設定ファイルを復元する
かどうか確認されます。
ステータスを表示
[ステータス] を選択すると、アクティブな ELM とスタンバイ ELM 間のデータ同期ステータスの詳細を確認できま
す。
関連トピック:
155 ページの「ELM 冗長性をセットアップする」
ELM 冗長性をセットアップする
システムでスタンドアロンの ELM デバイスを使用している場合、スタンバイ ELM を追加すると、ロギングの冗長性
を実現できます。
開始する前に
スタンドアロンの ELM をインストールして (『McAfee Enterprise Security Manager 9.5.0 インス
トール ガイド』を参照)、ESM コンソールに追加する必要があります (『デバイスを ESM コンソール
に追加する』を参照)。 また、スタンバイ ELM をインストールする必要がありますが、コンソールには
追加しません。 スタンバイ ELM にデータが存在しないようにします。 工場出荷時の設定に戻す場合
には、McAfee サポートに連絡してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで ELM をクリックし、[プロパティ] アイコン
をクリックします。
2
[ELM のプロパティ] ページで、[ELM 冗長]、[有効] の順にクリックします。
3
スタンバイ ELM の IP アドレスとパスワードを入力して、[OK] をクリックします。
4
[ELM のプロパティ] ページで [ストレージ プール] をクリックして、[アクティブ] タブが選択されていることを
確認します。
5
ストレージ デバイスをアクティブな ELM に追加します (『ストレージ プールにリンクするストレージ デバイス
を追加する』を参照)。
6
[スタンバイ] タブをクリックして、合計の空き容量がアクティブ ELM のストレージよりも大きくなるようにス
トレージ デバイスを追加します。
7
それぞれの ELM に 1 つ以上のストレージ プールを追加します。(『ストレージ プールを追加または編集する』
を参照)。
両方の ELM の設定が同期され、スタンバイ ELM が両方のデバイスの同期データを保持します。
関連トピック:
154 ページの「ELM の冗長性」
156 ページの「[ELM 冗長性] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
155
3
ESM の設定
デバイスの設定
[ELM 冗長性] ページ
ELM 冗長性を有効にして管理します。
表 3-79 オプションの定義
オプション
定義
ELM 冗長性が有効でない場合にのみ使用できます。
[有効]
スタンバイ ELM のデータを追加し、ELM 冗長性を有効にします。
ELM 冗長性が有効な場合にのみ使用できます。
[削除]
ELM で冗長を無効にします。
[ELM を切り替える]
ELM を切り替えて、スタンバイ ELM をプライマリ ELM にします。 この ELM にすべての
ロギング デバイスが関連付けられます。 切り替えが完了するまで、ロギングと設定アクシ
ョンはロックされます。
[中断]
問題が発生した場合、スタンバイ ELM との通信を中断します。 すべての通信が停止し、冗
長のエラー通知がマスキングされます。 スタンバイ ELM を切り替える場合には、[サービ
スに戻す] をクリックします。
[ステータス]
アクティブな ELM とスタンバイ ELM 間のデータ同期ステータスの詳細を表示します。
[サービス状態に戻す] 修復または交換したスタンバイ ELM をサービス状態に戻します。 ELM の切り替えが完了
し、設定ファイルに相違がなければ、以前と同様に冗長性が維持されます。 相違が検出さ
れた場合、問題のないストレージ プールを使用して冗長プロセスが継続します。1 つ以上
のプールで設定が異なることが通知されます。 これらのプールの問題を手動で修正しま
す。
スタンバイ ELM を交換または再設定すると、システムが変更を検出し、キーの再設定を要
求します。 アクティブな ELM がすべての設定ファイルとスタンバイ ELM の同期を実行
し、以前と同様に冗長プロセスを継続します。
関連トピック:
155 ページの「ELM 冗長性をセットアップする」
ELM の圧縮を管理
ディスク領域を節約したり、毎秒のログの処理数を増やすために、ELM が受信するデータを圧縮します。
3 つのオプションは、[低](デフォルト)、[中]、[高] です。このテーブルには、各レベルの詳細が表示されます。
レベル
圧縮率
最大圧縮率
毎秒処理されるログの最大比率
[低]
14:1
72%
100%
[中]
17:1
87%
75%
[高]
20:1
100%
50%
実際の圧縮率は、ログのコンテンツに応じて異なります。
•
毎秒処理可能なログ数よりも、ディスク領域の節約を重視する場合は、高い圧縮率を選択します。
•
ディスク領域の節約よりも、毎秒処理可能なログ数を重視する場合は、低い圧縮率を選択します。
関連トピック:
156 ページの「ELM の圧縮を設定」
ELM の圧縮を設定
ディスク領域を節約したり、より多くのログを処理するために、ELM が受信するデータの圧縮レベルを選択します。
156
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM の設定] 、 [圧縮]をクリックします。
2
ELM 圧縮レベルを選択し、[OK] をクリックします。
レベルが更新されると通知されます。
関連トピック:
156 ページの「ELM の圧縮を管理」
157 ページの「[ELM の圧縮] ページ」
[ELM の圧縮] ページ
この ELM によって処理されたデータに適用する圧縮レベルを選択します。
表 3-80 オプションの定義
オプション
定義
[ELM 圧縮レベル] [低]、[中]、または [高] を選択します。これら各設定の詳細については、
『ELM の圧縮を設定』
を参照してください。
関連トピック:
156 ページの「ELM の圧縮を設定」
ELM をバックアップおよびリストア
システム障害またはデータ損失が発生した場合は、ELM デバイスの現在の設定をバックアップする必要があります。
ELM ロギング データベースを含む、すべての構成設定が保存されます。ELM に格納されている実際のログはバック
アップされません。
ELM にログ データを格納するデバイスをミラーリングし、ELM 管理データベースをミラーリングしておくことをお
勧めします。ミラーリング機能により、リアルタイムのログ データ バックアップが可能になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択します。
2
[ELM 情報] が選択されていることを確認し、[バックアップとリストア] をクリックします。
3
次のいずれかを行います。
目的
手順
ELM を今すぐバックアップ
必要な情報を入力し、[今すぐバックアップ] をクリックします。
ELM 設定を自動的にバックアップ 頻度を選択して情報を入力します。
バックアップを今すぐリストア
[バックアップを今すぐリストア] をクリックします。ELM データベース
が、以前のバックアップからの設定にリストアされます。
タスク
•
158 ページの「ELM 管理データベースとログ データをリストアする」
ELM を置換するには、管理データベースとログ データを新しい ELM にリストアします。これを行うに
は、データベースとログ データのミラーリングが必要になります。
関連トピック:
158 ページの「[バックアップとリストア] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
157
3
ESM の設定
デバイスの設定
[バックアップとリストア] ページ
ELM デバイスの現在の設定をバックアップし、システム障害またはデータ損失の発生時にリストアできるようにしま
す。
表 3-81 オプションの定義
オプション
定義
[バックアップの頻度]
設定を自動的にバックアップするには、このオプションを選択して頻度を入力します。
[バックアップの場所]
共有のタイプを選択し、情報が保存されるリモートの場所の情報を入力します。
[接続]
クリックして、接続をテストします。
[今すぐバックアップ]
クリックして今すぐデータをバックアップします。
[バックアップをリストア] クリックして、以前のバックアップからの設定に ELM データベースをリストアしま
す。ELM データ ストレージは格納されません。
[ELM をリストア]
管理データベースと ELM データ ストレージをリストアします。
関連トピック:
157 ページの「ELM をバックアップおよびリストア」
ELM 管理データベースとログ データをリストアする
ELM を置換するには、管理データベースとログ データを新しい ELM にリストアします。これを行うには、データベ
ースとログ データのミラーリングが必要になります。
古い ELM から新しい ELM にデータをリストアするには、[デバイスを追加] ウィザードを使用して新しい ELM を作
成しないでください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、置換が必要な ELM について [ELM のプロパティ] を選択します。
システムが ELM を特定できない場合は、警告ページで通知されます。
2
警告ページを閉じて、[接続] をクリックします。
3
新しい ELM の IP アドレスを入力して、[キー管理] 、 [デバイスのキーを指定する] の順にクリックします。
新しいデバイスのキーが正常に指定されると、通知されます。
4
このデバイスに関連付けるパスワードを入力し、[次へ] をクリックします。
5
[ELM 情報] 、 [バックアップとリストア] 、 [ELM をリストア] の順にクリックします。
6
各デバイスで、[プロパティ] 、 [設定] の順に移動し、[Sync ELM] をクリックし、ELM でロギングを行ってい
る各デバイスを再同期します。
管理データベースと ELM データ ストレージが、新しい ELM でリストアされます。このプロセスには数時間かかる
ことがあります。
代替のストレージ場所を定義
ELM 管理データベース レコードを ELM 以外の場所に格納するには、代替のストレージ場所を定義する必要がありま
す。格納するデータのミラーリング用に、2 つ目のデバイスを選択することもできます。
158
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM の設定] 、 [DB を移行]をクリック
します。
2
ストレージ デバイスとミラー デバイスを選択します。
3
[OK] をクリックします。
関連トピック:
160 ページの「ELM データベースを移行」
160 ページの「ELM ミラー管理データベースを置き換え」
159 ページの「データベースの場所を選択します ページ」
データベースの場所を選択します ページ
ELM 管理データベース レコードを格納する代替の場所と、バックアップ場所を定義します。
表 3-82 オプションの定義
オプション
定義
GB 単位の領域
管理データベースに割り振る容量を設定します。
[データ ストレージ
デバイス]
管理データベースを格納する場所を選択します。
リストにデバイスを追加するか、すでにリストされているデバイスを編集する場合は、
『スト
レージ デバイスを追加』を参照してください。
[ミラー データ スト
レージ デバイス]
データ ストレージ デバイスをミラーリングする 2 つ目のストレージ場所を選択します。
9.0 より前のバージョンからシステムをアップグレードした場合は、既存のデバイスのミラ
ーリングを最初に選択したときに、プロセスに長い時間がかかります。
関連トピック:
158 ページの「代替のストレージ場所を定義」
ELM ストレージの使用率を表示
ELM 上のストレージの使用率を表示することは、デバイスでの領域割り当てに関する決定に役立ちます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM 管理] をクリックします。
2
[使用率を表示] をクリックします。
[使用率の統計] ページが開き、ELM のストレージ デバイスとプールの統計が表示されます。
3
[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
159
3
ESM の設定
デバイスの設定
ELM データベースを移行
ELM 管理データベースには、ELM に送信されたログを追跡するレコードが格納されます。ELM デバイスで管理デー
タベースの格納に使用できるディスク領域は、モデルに応じて異なります。
デバイスを最初に追加するときに、レコードを格納できるだけのディスク領域があるかどうかが確認されます。ディ
スク領域が不足している場合は、管理データベースを格納する別の場所を定義するように求められます。デバイスに
十分なディスク領域があっても、別の場所にデータベースを保存したい場合は、[ELM のプロパティ] ページの [DB
を移行] を使用して、保存場所を設定することができます。
[DB を移行] はいつでも使用することができます。ただし、レコードが格納された管理データベースを移行する場合
には、レコード数に応じて、移行が完了するまで ELM セッションが数時間停止します。ELM デバイスを最初に設定
するときに、この別の場所を定義することをお勧めします。
関連トピック:
158 ページの「代替のストレージ場所を定義」
160 ページの「ELM ミラー管理データベースを置き換え」
ELM ミラー管理データベースを置き換え
ミラー管理データベースのストレージ デバイスに問題が発生した場合は、デバイスを置き換える必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで、問題が発生している管理データベース ストレージ デバイスがある ELM デ
バイスを選択し、[プロパティ] アイコン
をクリックします。
2
[ELM の設定] をクリックし、[DB を移行] を選択します。
3
[データ ストレージ デバイス] フィールドで、[ミラー データ ストレージ デバイス] ドロップダウン リストから
デバイスを選択します。
4
[ミラー データ ストレージ デバイス] フィールドで新しいデバイスを選択するか、[なし] を選択してミラーリン
グを停止します。
必要なデバイスがドロップダウン リストに含まれていない場合は、先に [ストレージ デバイス] テーブルにデバイ
スを追加しておきます。
関連トピック:
160 ページの「ELM データベースを移行」
158 ページの「代替のストレージ場所を定義」
ELM データを取得する
ELM からデータを取得するには、[データ] ページで検索ジョブと整合性チェック ジョブを作成する必要があります。
整合性チェック ジョブでは、定義したファイルが最初に格納されてから変更されたかどうかが確認されます。 重大
なシステムまたはコンテンツ ファイルに対する権限のない変更については、アラートが出されます。このチェックの
結果では、どのファイルが変更されたかが示されます。どのファイルも変更されていない場合は、チェックが正常に
実行されたことが通知されます。
一度に実行できる検索ジョブと整合性チェック ジョブの数は、合計 50 に制限されています。 システム上に 50 を
超えるジョブがある場合は、検索を実行できないことが通知されます。システム上に既存の検索がある場合は、それ
らを削除して新しい検索を実行することができます。既存の検索がない場合は、システム管理者が、他のユーザーが
開始した既存の検索ジョブまたは整合性チェック ジョブを削除して、検索を実行可能にすることができます。
160
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
一度検索を開始すると、[データ] ページを閉じても、検索が完了するまで、または設定した制限に達するまで継続し
て実行されます。この画面に戻り、ステータスを確認できます。ステータスは、[検索結果] テーブルに表示されま
す。
関連トピック:
161 ページの「検索ジョブを作成」
161 ページの「整合性チェック ジョブを作成する」
162 ページの「検索または整合性チェックの結果を表示」
163 ページの「ELM クエリーでの正規表現の使用」
検索ジョブを作成
ELM で条件に合致するファイルを検索するには、[データ] ページで検索ジョブを定義する必要があります。この画
面のフィールドはどれも必須ではありませんが、検索を詳細に定義すれば、それだけ短時間で必要なデータを取得で
きるようになります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ] をクリックします。
2
[ログとファイルを検索] タブで必要な情報を入力し、[検索] をクリックします。
関連トピック:
160 ページの「ELM データを取得する」
161 ページの「整合性チェック ジョブを作成する」
162 ページの「検索または整合性チェックの結果を表示」
163 ページの「ELM クエリーでの正規表現の使用」
整合性チェック ジョブを作成する
[データ] ページで整合性チェック ジョブを作成することで、格納されたファイルが変更されているかどうかを確認
できます。 [整合性チェック] タブのフィールドはどれも必須ではありませんが、検索を詳細に定義すれば、それだ
け短時間で必要なデータの整合性を確認できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ] をクリックします。
2
[整合性チェック] タブをクリックして必要な選択を行い、[検索] をクリックします。
関連トピック:
160 ページの「ELM データを取得する」
161 ページの「検索ジョブを作成」
162 ページの「検索または整合性チェックの結果を表示」
163 ページの「ELM クエリーでの正規表現の使用」
162 ページの「[整合性チェック] タブ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
161
3
ESM の設定
デバイスの設定
[整合性チェック] タブ
ファイルが最初に格納されてから変更されたかどうかを確認するパラメーターを定義します。
表 3-83 オプションの定義
オプション
定義
[ログ]、[ファイル]
ELM ログまたは ELM ファイル、あるいはその両方を確認するかを選択します。
[時間枠]
確認するデータの時間枠を選択します。
[デバイス]
フィルター アイコン
をクリックして、確認するデバイスを選択します。
[デバイス タイプ]
フィルター アイコン
をクリックして、確認するデバイスのタイプを選択します。
[ファイル名]
特定のファイルを確認するには、そのファイルの名前を入力します。
[ファイル名の大文 ファイル名で大文字と小文字が区別されないようにするには、このオプションを選択します。
字と小文字を区別し
ない]
[検索時間を制限]
検索の所要時間を制限するには、時間数を選択します。0 を選択すると、制限時間がなくな
ります。
[結果ファイルの最
大サイズ]
結果ファイルのサイズを制限するには、MB の最大数を選択します。
フィールドを開く
このジョブの説明的な名前を入力します。
[検索]
クリックするとジョブが開始されます。
[検索結果]
完了したジョブのリストを表示します。 各ジョブのステータスは [ステータス] 列に表示さ
れます。
• [待機しています] — ジョブの処理が開始されていません。システムが一度に処理できる
ジョブ数は最大 10 であり、受け取った順序で処理されます。
• [実行中] — ジョブが処理中です。
• [完了] — ジョブが完了しました。結果を表示するか、エクスポートをダウンロードできま
す。
• [制限に達しました] — 時間またはサイズの制限に達しました。結果を表示することはで
きますが、不完全です。
[表示]
選択したジョブの結果を表示します。
[エクスポート]
選択したジョブの結果をエクスポートします。
複数の追加 VM ドライブを ESM から一度に削除すると、すべての ELM 検索結果が失われる
場合があります。検索結果が失われないようにするには、ELM の検索結果をエクスポートし
ます。
[削除]
選択したジョブを削除するためにマークします。
[検索を再読み込み] 選択したジョブを再度実行します。
関連トピック:
161 ページの「整合性チェック ジョブを作成する」
検索または整合性チェックの結果を表示
検索ジョブまたは整合性チェック ジョブが完了すると、結果を表示できます。
開始する前に
検索ジョブまたは整合性チェック ジョブを実行し、結果を表示します。
162
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択します。
2
[データ] をクリックして、[ログとファイルを検索] または [整合性チェック] タブを選択します。
3
[検索結果] テーブルに表示させるジョブを強調表示し、[表示] をクリックします。
[ELM の検索結果] ページにジョブの結果が表示されます。
複数の追加 VM ドライブを ESM から一度に削除すると、すべての ELM 検索結果が失われる場合があります。検索結
果が失われないようにするには、ELM の検索結果をエクスポートします。
関連トピック:
160 ページの「ELM データを取得する」
161 ページの「検索ジョブを作成」
161 ページの「整合性チェック ジョブを作成する」
163 ページの「ELM クエリーでの正規表現の使用」
163 ページの「[ELM の検索結果] ページ」
[ELM の検索結果] ページ
ELM 検索の結果を表示して管理します。
表 3-84 オプションの定義
オプション
定義
[パラメーター]
ページ上で結果を生成するために使用したパラメーターを表示します。
[エクスポート]
データのサマリーをエクスポートします。
複数の追加 VM ドライブを ESM から一度に削除すると、すべての ELM 検索結果が失われ
る場合があります。検索結果が失われないようにするには、ELM の検索結果をエクスポー
トします。
[ファイルをダウンロ
ード]
特定のファイルのデータを保存するには、テーブルのファイルを強調表示してこのオプシ
ョンをクリックします。
[値]
リスト内で選択したアイテムの値を表示します。
関連トピック:
162 ページの「検索または整合性チェックの結果を表示」
ELM クエリーでの正規表現の使用
ELM は、ブルーム インデックスを使用してクエリーを最適化します。 Perl 互換正規表現 (PCRE) の大半は ELM 検
索に使用できますが、すべての PCRE がブルームの最適化で利用できるわけではありません。
ブルームの最適化では、事前に調整が行われ、検索が最適化されます。ただし、いくつかの点に注意すると、クエリ
ーのパフォーマンスをさらに向上させることができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
163
3
ESM の設定
デバイスの設定
•
ブルーム フィルタリングに使用できるのは、正規表現の必須部分だけです。 ブルーム フィルターは、比較する
文字列に含まれる正規表現の部分文字列だけを使用します。 唯一の例外は、1 階層深い OR グループを使用でき
る点です。たとえば、(seth|matt|scott|steve) を使用できます。
•
4 文字未満の正規表現の必須部分は使用できません。 たとえば、seth.*grover の場合、ブルームで seth と
grover が使用されますが、tom.*wilson の場合、tom が長さの要件を満たしていないため、wilson だけが
使用されます。
•
定数以外の部分文字列を含む OR グループや、短すぎる部分文字列を含む OR グループは使用できません。 たと
えば、(start|\w\d+|ending) の場合、OR リストの真ん中の項目がブルームで検索可能な定数でないため、
この表現は使用できません。 また、tom が短すぎるため、(seth|tom|steve) も使用できません。(seth|
matt|steve) は使用できます。
ブルームの最適化は、データベースの最適化プロセスで実行されます。 この最適化で正規表現を分解し、必須部分の
文字列定数を検索します。
この例では、元の正規表現は次のとおりです。
\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|
この正規表現でブルームが使用するのは bbphk だけです。 これにより、検索対象のファイルが数百万から 20,000
に減少します。
この正規表現はさらに次のように最適化されます。
(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|
この例では、\|\| が最初のグループの前後だけでなく、グループの各要素の前後にも追加されています。これによ
り、次のことが可能になります。
•
パイプ文字を追加できます。
•
4 文字未満のために無視された最初の要素を使用できます。
また、bbphk を囲む括弧を削除し、新しいサブ グループであることをブルーム フィルターに通知しています。 この
ように正規表現を手動で調整すると、検索対象を 2,000 ファイルにまで効率的に減らすことができます。
関連トピック:
160 ページの「ELM データを取得する」
161 ページの「検索ジョブを作成」
161 ページの「整合性チェック ジョブを作成する」
162 ページの「検索または整合性チェックの結果を表示」
Advanced Correlation Engine (ACE) の設定
McAfee Advanced Correlation Engine (ACE) は、ルール ベースとリスク ベースの両方のロジックを使用して脅
威イベントをリアルタイムに識別し、評価します。
評価対象 (ユーザーまたはグループ、アプリケーション、特定のサーバーまたはサブネット) を指定します。資産で
脅威が発生すると、ACE が警告します。 監査証跡と履歴再生でフォレンジック、コンプライアンス対応、ルールの
調整を行うことができます。
リアルタイム モードまたは履歴モードを使用して ACE を設定します。
•
リアルタイム モード - 直近の脅威とリスク検出のために収集したイベントを分析されます。
•
履歴モード - 収集されたすべてのデータをいずれかまたは両方の相関エンジンで再現し、履歴分析とリスク検出
を行います。 ACE が新しいゼロデイ攻撃を検出すると、過去に同じ攻撃を受けていないかどうか確認し、サブゼ
ロデイ の脅威検出を行います。
ACE デバイスは、2 つの専用の相関エンジンによって、ESM の既存のイベント相関機能を補完します。 ACE デバ
イスは、独自のポリシー、接続、イベント、ログ取得設定、リスク マネージャーを使用して設定できます。
164
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
•
3
ルール相関 - ルールのない相関を使用してリスク スコアを生成します。 リスクベースの相関分析では、既知の
脅威パターンしか検出できません。有効な分析を行うには、シグネチャの更新を常に行う必要があります。 ルー
ルのない相関分析では、検出シグネチャではなくワンタイム設定を使用して、ビジネスで重要な対象 (特定のサー
ビスまたはアプリケーション、ユーザーのグループ、特定のタイプのデータ) を特定します。 [リスク相関]では、
それらのアイテムに関連するすべてのアクティビティが追跡され、リアルタイムのアクティビティに基づいて上
下する動的なリスク スコアが構築されます。
リスク スコアが特定のしきい値を超えると、ACE がイベントを生成し、脅威条件をアラートで通知します。 従
来のルール ベースのエンジンは、大規模なインシデントの条件としてイベントを使用します。 ACE ではリスク
スコアの完全な監査証跡が保持されるため、脅威条件の完全な分析と調査を長期に渡って行うことができます。
•
ルールベースの相関分析 - 従来のルール ベースのイベント相関を使用して脅威を検出し、収集された情報をリ
アルタイムで分析します。 ACE は、ID、役割、脆弱性などのコンテキスト情報と一緒にすべてのログ、イベン
ト、ネットワーク フローを相関分析し、より大きな脅威の兆候を表すパターンを検出します。
イベントの Receiver は、ネットワーク全体のルール ベースの相関分析に対応しています。 ACE は、専用の処
理リリソースで大量のデータを関連付け、この機能を補完します。既存の相関レポートを補完するだけでなく、
完全にオフロードします。
ACE デバイスは、独自のポリシー、接続、イベント、ログ取得設定、リスク マネージャーを使用して設定できます。
ACE データ タイプを選択する
ESM は、イベント データとフロー データの両方を収集します。 ACE に送信するデータを選択します。 デフォルト
ではイベント データだけが送信されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[ACE の設定] をクリックします。
2
[Data] をクリックして、[イベント データ]、[フロー データ]、または両方を選択します。
3
[OK] をクリックします。
リスク相関マネージャーを追加する
ルールまたはリスク相関を使用するには、ルールまたはリスク相関マネージャーを追加する必要があります。
開始する前に
ESM に ACE デバイスが必要です (『ESM コンソールにデバイスを追加する』を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ACE のプロパティ] を選択します。
2
[相関管理] をクリックして [追加] をクリックします。
3
作成するマネージャーの種類を選択し、[OK] をクリックします。
マネージャーの種類については、『Advanced Correlation Engine (ACE) の設定』を参照してください。
4
必要な情報を入力し、[完了] をクリックします。
リスク相関マネージャーを追加
指定したフィールドのリスク レベルを計算するには、マネージャーを追加する必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
165
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ACE のプロパティ] を選択し、[リスク相関管理] をクリックします。
2
[追加] をクリックして、各タブで必要な情報を入力します。
3
[完了]、次に [書き込み] をクリックして、マネージャーをデバイスに書き込みます。
関連トピック:
166 ページの「[相関管理] ページ」
166 ページの「相関マネージャーを追加 ウィザード」
[相関管理] ページ
リスク レベルの計算に使用する相関マネージャーを管理します。
表 3-85 オプションの定義
オプション
定義
テーブル
ACE の既存の相関マネージャーを表示します。
[追加]
新しい相関マネージャーを追加します。
[編集]
選択した相関マネージャーを編集します。
[削除]
選択したマネージャーを削除します。
[有効]
選択したマネージャーを有効にします。
[フィールドの組み合わせ マネージャーが保持できるフィールドの組み合わせの最大数を選択します。この制限
は、システムの処理時間の短縮に役立ちます。この数は千単位で指定します。
の最大数]
[書き込み]
相関マネージャーをデバイスに書き込みます。
関連トピック:
165 ページの「リスク相関マネージャーを追加」
相関マネージャーを追加 ウィザード
リスク レベルの計算に使用する相関マネージャーを追加します。
表 3-86 オプションの定義
タブ
オプション
定義
[メイン]
[名前]
マネージャーの名前を入力します。
[有効]
選択を解除すると、マネージャーが無効になります。
[イベント データ いずれかまたは両方を選択して、使用するデータ型を指定します。
を使用]、[フロー
データを使用]
[ロギング]、[スト ELM でログを保存するには、[ロギング] を選択します。 ログを保存する ELM のス
レージ プール]
トレージ プールを選択します。
データを格納する ELM を選択していない場合は、
『デフォルトのロギング プールを
設定』を参照してください。
[ゾーン]
166
データをゾーンに割り当てるには、ドロップダウン リストからゾーンを選択します
(『ゾーン管理』を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
表 3-86 オプションの定義 (続き)
タブ
[フィー
ルド]
オプション
定義
[時間順序の許容
範囲]
([ルール相関] のみ) ルール相関によって、イベントの順序の入れ替えが許容される
時間数を選択します。 たとえば、設定が 60 分の場合、59 分遅延しているイベント
はそのまま使用されます。
[フィールド]
マネージャーがイベントの相関に使用するフィールドを選択します (マネージャー
あたり最大 5 つ)。
[比率]
各フィールドに割り当てる比率を選択します。 比率は、合計して 100% になるよう
に指定します。
リスクの更新では、100% の臨界未満で、FYI、非重要、警告、重要、重大 ([しき
い値] タブを参照) として定義した基準に従って重要度が報告されます。 たとえば、
FYI のコンセプトが臨界値の 50% で、リスクが臨界値の 50% である場合、実際
の重大度は 50 ではなく 20 になります。
[相関する]
フィールドを一意性の識別に使用しない場合に選択します。多量のメモリを必要と
するため、複数のカーディナリティ度の高いフィールドを相関させることはお勧めし
ません。
生成されるリスク行の数は、すべての相関フィールドの一意の組み合わせの数によ
って異なります。
[しきい
値]
[フィル
ター]
上部セクション
重要度ごとにイベントがトリガーされるスコアのしきい値を設定します。
下部セクション
スコアの減退率を設定します。 デフォルトの設定では、スコアが 5 似なるまで 120
秒ごとに 10 % 減退します。 この値に達すると、固有のフィールド値のバケットが
削除されます。
[論理 AND]、[論 論理要素を使用してフィルターのフレームワークを設定します (『論理要素』を参
理 OR]
照)。
[フィルター フィ
[一致コンポーネント] アイコン
を論理要素にドラッグ アンド ドロップし、[フ
ールドのコンポ
ィルター フィールドを追加] ページに入力します。
ーネント]
論理要素に追加した後でコンポーネントの条件を編集するには、コンポーネントの
[メニュー] アイコン
変更が可能になります。
をクリックして、[編集] を選択します。 これで設定の
関連トピック:
165 ページの「リスク相関マネージャーを追加」
リスク相関スコアを追加
ターゲット フィールドにスコアを割り当てる条件付きステートメントを追加する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[リスク相関スコアリング] をクリックしま
す。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックします。
関連トピック:
168 ページの「[リスク相関スコアリング] ページ」
168 ページの「リスク相関スコアリング ウィザード」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
167
3
ESM の設定
デバイスの設定
[リスク相関スコアリング] ページ
リスク相関スコアリングでは、スコアリングの条件付きステートメントを追加できます。これらは、ターゲット リス
クフィールドのスコアを定義する値が含まれているリスク フィールドに基づいています。
表 3-87 オプションの定義
オプション 定義
テーブル
既存のリスク相関スコアを表示します。
[追加]
リスク相関スコアを追加します。
[編集]
選択したスコアの設定を変更します。
[削除]
選択したスコアを削除します。
[有効]
選択した条件文でリスク相関スコアを有効にします。 この設定は、テーブルの[有効] 列に反映されま
す。
[書き込み] デバイスに新しい設定を書き込みます。
関連トピック:
167 ページの「リスク相関スコアを追加」
リスク相関スコアリング ウィザード
スコアを割り当てる条件付きステートメントを追加します。
表 3-88 オプションの定義
オプション
定義
[スコアリング有効]
この条件文を有効にする場合に選択します。
[データ タイプ]
条件文を表示するデータのタイプを選択します。 イベント、フローあるいはその両方を選択
できます。
[スコア フィールド] 必要なスコアを取得するためフィールドを検索します。
[参照フィールド]
ソース タイプを照合するフィールドを検索します。
[ソース タイプ]
比較に使用するソースのタイプを選択します。 選択したソース タイプに比較値とスコア値
が含まれている場合、このスコアが適用されます。手動で入力したスコアを使用するには、
[スコアを使用] 列のチェックボックスを選択します。
[値]
比較する値を入力または選択します。 この列で使用できるオプションは、前の列で選択した
ソースのタイプによって異なります。
[スコアを使用]
手動で入力したスコアを使用する場合にチェックボックスを選択します。
[スコア]
[スコア フィールド] で選択するスコア。 グリッドに複数のルールを入力すると、スコア フ
ィールドに混合スコアが適用されます。
[加重]
条件文の混合スコアで行またはソース タイプに適用される加重。 100% 以下にする必要が
あります。
[行を追加] ボタン
全体の条件文に新しい条件行を追加します。
[総加重]
行またはソース タイプの加重列の合計
[現在のリスク スコ
ア範囲]
スコア フィールドに選択したフィールドに条件行の結果に応じて適用されるスコアの範囲。
関連トピック:
167 ページの「リスク相関スコアを追加」
168
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
履歴相関を使用
履歴相関オプションでは、過去のイベントを相関させることができます。
新たな脆弱性が検出された場合には、履歴イベントとログを確認して、それまでにエクスプロイトがあったかどうか
を確認することが重要です。ACE の簡単なネットワーク再生機能を使用すれば、ルールのない [リスク相関] 相関エ
ンジン、および標準のルールベースのイベント相関エンジンによって履歴イベントを再生して、現在の脅威の状況に
基づいて履歴イベントを調べることができます。これは次のような状況で役立ちます。
•
特定のイベントがトリガーされた時点で相関を設定していなかったが、相関させることで有益な情報が得られる
可能性に気づいた場合。
•
過去にトリガーされたイベントに基づいて新しい相関を設定するときに、新しい相関をテストして目的の結果が
得られることを確認する場合。
履歴相関を使用する場合は、次のことに注意してください。
•
リアルタイムの相関は、履歴相関を無効にするまで中断されます。
•
リスク分布はイベント集計によって非対称になります。
•
リスク マネージャーをリアルタイムのリスク相関に戻す場合は、しきい値を調整する必要があります。
履歴相関を設定して実行する場合は、次のことが必要になります。
1
履歴相関フィルターを追加する。
2
履歴相関を実行する。
3
履歴相関イベントをダウンロードして表示する。
関連トピック:
169 ページの「履歴相関の追加と実行」
170 ページの「履歴相関イベントをダウンロードして表示する」
履歴相関の追加と実行
過去のイベントを相関させるには、履歴相関フィルターを設定して、相関を実行する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[ACE のプロパティ] を選択して、[履歴] をクリックします。
2
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
3
[履歴相関を有効化] を選択して、[適用] をクリックします。
リアルタイムの相関は、履歴相関を無効にするまで中断されます。
4
実行するフィルターを選択して、[今すぐ実行] をクリックします。
ESM は、イベントの確認、フィルターの適用、適用するイベントのパッケージ化を行います。
関連トピック:
169 ページの「履歴相関を使用」
170 ページの「履歴相関 ページ」
170 ページの「[履歴相関フィルター] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
169
3
ESM の設定
デバイスの設定
履歴相関 ページ
過去のイベントの相関を行えるようにフィルターを設定します。
表 3-89 オプションの定義
オプション
定義
[履歴相関を有効化] ACE で履歴相関を有効にする場合に選択します。
履歴相関を有効にすると、リアルタイム相関が中断します。
テーブル
現在 ACE に適用されているフィルターを表示します。
[追加]
履歴相関イベント データを取得するフィルターを追加します。
[編集]
選択したフィルターのフィルター設定を変更します。
[削除]
フィルターを削除します。
[今すぐ実行]
選択したフィルターを今すぐ実行します。ESM はイベントを確認し、フィルターを適用し、
適用するイベントをパッケージ化します。
関連トピック:
169 ページの「履歴相関の追加と実行」
[履歴相関フィルター] ページ
過去のイベントを相関させる履歴相関フィルターを追加します。
表 3-90 オプションの定義
オプション
定義
[名前]
このフィルターの名前を入力します。
[時間枠]
履歴イベントを相関させる時間枠を選択します。
残りのフィールド フィルターの条件を選択または入力します。クリックした各フィールドのヒントがページ下部
に表示されます。
関連トピック:
169 ページの「履歴相関の追加と実行」
履歴相関イベントをダウンロードして表示する
履歴相関を実行すると、生成されたイベントをダウンロードして表示することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[イベントとログ] 、 [イベントを取得]をク
リックします。
履歴相関の実行結果として得られるイベントは、ESM にダウンロードされます。
2
[ACE のプロパティ] を閉じます。
3
データを表示するには、次の手順に従います。
a
システムのナビゲーション ツリーで、履歴データを実行した ACE デバイスを選択します。
b
表示ツールバーの期間ドロップダウン リストで、実行を設定したときに指定した期間を選択します。
表示ペインにクエリーの結果が表示されます。
関連トピック:
169 ページの「履歴相関を使用」
170
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
Application Data Monitor (ADM) の設定
McAfee Application Data Monitor (ADM) は、ネットワーク上の重要なデータを追跡し、プロトコル、セッション
の整合性、アプリケーションのコンテンツを分析します。
違反を検出すると、ADM がアプリケーション セッションのすべての詳細を保存します。この情報は、インシデント
対応とフォレンジック、コンプライアンス監査に使用されます。 ADM では、正規のアプリケーションを装う脅威も
核に寝きます。
電子メールの添付ファイル、インスタント メッセージ、ファイル転送、HTTP 送信、他のアプリケーションで重要情
報が転送されると、ADM がこの状況を検知します。 重要情報のディレクトリを独自に定義すると、ADM の検出機
能をカスタマイズできます。 ADM がこのような重要情報を検出すると、担当者に警告したり、監査証跡を保守しま
す。
ADM は、次のアプリケーション プロトコルを使用して、異常を監視、デコード、検出します。
•
ファイル転送: FTP、HTTP、SSL (設定および証明書のみ)
•
電子メール: SMTP、POP3、NNTP、MAPI
•
チャット: MSN、AIM/Oscar、Yahoo、Jabber、IRC
•
Web メール: Hotmail、Hotmail DeltaSync、Yahoo メール、AOL メール、Gmail
•
P2P: Gnutella、bitTorrent
•
シェル: SSH (検出のみ) Telnet
ADM はルール式を受け入れ、監視対象のトラフィックに対してテストし、トリガーされた各ルールについて、デー
タベースのイベント テーブルにレコードを挿入します。 ルールをトリガーしたパケットが、イベント テーブルのパ
ケット フィールドに格納されます。さらに、トリガーされたすべてのルールについて、dbsession とデータベース
のクエリー テーブルにアプリケーション レベルのメタデータが追加されます。プロトコル スタックのテキストが、
クエリー テーブルのパケット フィールドに格納されます。
ADM では、次のタイプのイベントを生成できます。
•
メタデータ - ADM は、ネットワーク イベントごとに 1 つのメタデータを生成します。このイベントには、ア
ドレス、プロトコル、ファイル タイプ、ファイル名などの詳細が含まれています。 このアプリケーションは、メ
タデータ イベントをクエリー テーブルに記録し、セッション テーブルでイベントをグループ化します。 たとえ
ば、1 つの FTP セッションで 3 つのファイルが転送された場合、これらのイベントが 1 つにまとめられます。
•
プロトコル アノマリ - プロトコル アノマリはプロトコル モジュールにハードコードされます。これには、
Transmission Control Protocol (TCP) パケットが短いために有効なヘッダーが含まれないイベントや、Simple
Mail Transfer Protocol (SMTP) サーバーが無効な応答コードを返すなどのイベントが含まれます。 プロトコ
ル アノマリ イベントは稀に発生し、イベント テーブルに配置されます。
•
ルール トリガー - ルール トリガー イベントは、Internet Communications Engine (ICE) エンジンによって
生成されたメタデータ内の異常を検出するルール式によって生成されます。 このイベントには、営業時間外に使
用されたプロトコルや、SMTP サーバーと FTP との予期しない通信などの異常が含まれる可能性があります。
ルール トリガー イベントは稀に発生し、イベント テーブルに配置されます。
イベント テーブルには、検出されたプロトコル異常またはルール トリガー イベントについて、それぞれ 1 つのレコ
ードが記録されます。イベント レコードは、sessionid を通じてセッションとクエリー テーブルにリンクされ、イ
ベントをトリガーしたネットワーク転送 (メタデータ イベント) に関する詳細が得られます。 各イベントはパケッ
ト テーブルにもリンクされ、イベントをトリガーしたパケットの RAW パケット データが得られます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
171
3
ESM の設定
デバイスの設定
セッション テーブルには、関連するネットワーク転送のグループ (同じセッションの FTP ファイル転送のグループ
など) について、それぞれ 1 つのレコードが含まれています。 セッション レコードは、sessionid を通じてクエリ
ーテーブルにリンクされ、個々のネットワーク転送(メタデータ イベント)に関する詳細が得られます。さらに、セ
ッション内の転送によってプロトコル異常が発生するか、ルールがトリガーされた場合は、イベント テーブルにリン
クされます。
クエリー テーブルには、メタデータ イベント (ネットワーク上のコンテンツ転送) についてそれぞれ 1 つのレコー
ドが含まれています。クエリー レコードは、sessionid によってセッション テーブルにリンクされます。レコード
によるネットワーク転送によってプロトコル異常またはルールがトリガーされた場合は、イベント テーブルにリンク
されます。またテキスト フィールドを使用してパケット テーブルにリンクすると、完全なプロトコルまたはコンテ
ンツ スタックを表すテキストが得られます。
ADM タイム ゾーンを設定
ADM デバイスは GMT に設定されていますが、ADM コードではデバイスが特定のタイム ゾーンに設定されること
を想定しています。そのため、ルールでは GMT としてタイム トリガーが設定され、想定されていない時間にトリガ
ーされます。
ADM は、任意のタイム ゾーンに設定できます。これは、ルールを評価する場合に考慮されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [ADM のプロパティ] を選択し、[ADM の設定] をクリックします。
2
[タイム ゾーン] をクリックし、タイム ゾーンを選択します。
3
[OK] をクリックします。
関連トピック:
172 ページの「[ADM タイム ゾーンを設定] ページ」
[ADM タイム ゾーンを設定] ページ
この ADM によって記録されるイベントに使用するタイム ゾーンを設定します。
関連トピック:
172 ページの「ADM タイム ゾーンを設定」
セッション ビューアー でパスワードを表示する
[セッション ビューアー] では、セッション内の 25,000 の最新 ADM クエリーについて、詳細を表示できます。 一
部のイベントのルールはパスワード関連である場合があります。パスワードを [セッションビューアー] に表示する
かどうかを選択できます。 デフォルトではパスワードは表示されません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ADM のプロパティ] を選択し、[ADM の設定] をクリックします。
[パスワード] オプションでは、ロギングが [オフ] になることが示されます。
2
[パスワード] をクリックし、[パスワード ロギングを有効化] を選択して、[OK] をクリックします。
コマンドが実行され、完了すると通知されます。
[パスワード] オプションでは、ロギングが [オン] になることが示されます。
172
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
Application Data Monitor (ADM) ディクショナリ
ADM ルールを作成するときに、ネットワークから取得したキーを変換するディクショナリを使用します。 あるいは、
デフォルトでブールの true になる値がないキーをリストすることもできます。
ADM ディクショナリを使用すると、単語ごとに個別のルールを作成する必要がないため、ファイルのキーを簡単に
指定できます。 たとえば、特定の単語を含む電子メールを選択するルールを設定する場合、不適切な単語を含むディ
クショナリを編集してインポートします。 次のように、ディクショナリ内の語句が含まれたコンテンツの有無につい
て、電子メールを確認するルールを作成できます。
protocol == email && naughtyWords[objcontent]
ADM ルール ディターでルールを作成すると、ルールが参照するディクショナリを選択できます。
ディクショナリでは何百万ものエントリを作成できます。
ルールにディクショナリを追加するには、次の手順に従います。
1
キーと必要に応じて値をリストするディクショナリを設定して保存します。
2
ESM でディクショナリを管理します。
3
ルールにディクショナリを割り当てます。
関連トピック:
173 ページの「ADM
176 ページの「ADM
178 ページの「ADM
175 ページの「ADM
ディクショナリを設定する」
ディクショナリを管理」
ディクショナリを参照」
ディクショナリの例」
ADM ディクショナリを設定する
ディクショナリは、1 行あたり 1 エントリで構成されたプレーン テキスト ファイルです。 ディクショナリには、1
列と 2 列のものがあります。2 列のディクショナリには、キーと値が含まれています。
キーは、IPv4、MAC、数字、正規表現、または文字列の場合があります。値のタイプには、ブール、IPv4、IPv6、
MAC、数字、文字列があります。値はオプションで、値がない場合はデフォルトでブールの true になります。
1 列または 2 列のディクショナリの値は、サポートされているいずれかの ADM タイプ (文字列、正規表現、数字、
IPv4、IPv6、または MAC) である必要があります。 ADM ディクショナリは、以下のフォーマット ガイドラインに
従う必要があります。
タイプ 構文ルール
例
一致するコンテンツ
文字列 • 文字列は二重引用符で囲む必要がありま
す。
“Bad Content”
Bad Content
“He said, \”Bad Content\””
He said, “Bad
Content”
/[Aa]pple/
Apple or apple
/apple/i
Apple or apple
• 文字列内の二重引用符は、それぞれの引用
符の前でバックスラッシュ文字でエスケ
ープする必要があります。
正規表 • 正規表現は、一重のスラッシュで囲みま
現
す。
• 正規表現では、スラッシュと予約された正 / [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\. IP アドレス:
規表現文字をバックスラッシュ文字でエ [0-9]/
1.1.1.1
スケープする必要があります。
/1\/2 of all/
127.0.0.1
1/2 of all
McAfee Enterprise Security Manager 9.6.0
製品ガイド
173
3
ESM の設定
デバイスの設定
タイプ 構文ルール
数字
例
一致するコンテンツ
• 10 進値 (0 ~ 9)
10 進値
123
• 16 進値 (0x0-9a-f)
16 進値
0x12ab
• 8 進値 (0 ~ 7)
8 進値
0127
ブール リテラル
true
ブール • true または false
false
• すべて小文字
IPv4
• 標準のドット区切り表記での記述が可能
192.168.1.1
192.168.1.1
• CIDR 表記での記述が可能
192.168.1.0/24
• フルマスクの長い形式での記述が可能
192.168.1.0/255.255.255.0
192.168.1.[0 –
255]
192.168.1.[0 –
255]
ディクショナリについては次の原則があります。
•
リスト (複数の値を角かっこで囲んだカンマで区切る) はディクショナリでは使用できません。
•
列では、サポートされている 1 つの ADM タイプのみ使用できます。つまり、1 つの ADM ディクショナリ ファ
イル内で、異なるタイプ (文字列、正規表現、IPv4) を混在させ、照合することはできません。
•
コメントを含めることができます。シャープ記号 (#) が先頭に付いた行は、ADM ディクショナリ内ですべてコ
メントとして認識されます。
•
名前では英数字とアンダースコアのみ使用し、長さは 20 文字以下にする必要があります。
•
リストはサポートされていません。
•
ADM 8.5.0 より前のバージョンでは、ESM の外部で任意のテキスト エディターを使用して編集または作成する
必要があります。これらを ESM からインポートするかエクスポートして、新しい ADM ディクショナリの変更ま
たは作成を簡単に行えます。
関連トピック:
173 ページの「Application Data Monitor (ADM) ディクショナリ」
176 ページの「ADM ディクショナリを管理」
178 ページの「ADM ディクショナリを参照」
175 ページの「ADM ディクショナリの例」
174
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
ADM ディクショナリの例
ADM エンジンは、オブジェクトのコンテンツまたはその他のメトリックスあるいはプロパティと、単一列のディク
ショナリを照合して、true または false(ディクショナリに存在するかしないか)を判定できます。
表 3-91 単一列ディクショナリの例
ディクショナリのタイプ
例
一般的なスパム語句が含まれた文字列
ディクショナリ
“Cialis”
“cialis”
“Viagra”
“viagra”
“adult web”
“Adult web”
“act now! don’t hesitate!”
認証キーワードの正規表現ディクショ
ナリ
/(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
user)/i
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]
{1,3}number/i
/fund[^a-z0-9]{1,3}transaction/i
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i
既知の不正な実行ファイルのハッシュ
値が含まれた文字列ディクショナリ
"fec72ceae15b6f60cbf269f99b9888e9"
"fed472c13c1db095c4cb0fc54ed28485"
"feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
重要な資産の IP アドレス
192.168.1.12
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240
McAfee Enterprise Security Manager 9.6.0
製品ガイド
175
3
ESM の設定
デバイスの設定
表 3-92 2 列ディクショナリの例
ディクショナリのタイプ
例
一般的なスパム語句とカテゴリが含ま “Cialis” “pharmaceutical”
れた文字列ディクショナリ
“cialis” “pharmaceutical”
“Viagra” “pharmaceutical”
“viagra” “pharmaceutical”
“adult web” “adult”
“Adult web” “adult”
“act now! don’t hesitate!” “scam”
認証キーワードとカテゴリの正規表現 /(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
ディクショナリ
user)/i “credentials”
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]
{1,3}number/i “pii”
/fund[^a-z0-9]{1,3}transaction/i “sox”
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i “sox”
既知の不正な実行ファイルのハッシュ "fec72ceae15b6f60cbf269f99b9888e9" “Trojan”
値とカテゴリが含まれた文字列ディク
"fed472c13c1db095c4cb0fc54ed28485" “Malware”
ショナリ
"feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “Trojan”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
重要な資産とグループの IP アドレス
192.168.1.12 “Critical Assets”
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Critical Assets”
関連トピック:
173
173
176
178
ページの「Application Data Monitor (ADM) ディクショナリ」
ページの「ADM ディクショナリを設定する」
ページの「ADM ディクショナリを管理」
ページの「ADM ディクショナリを参照」
ADM ディクショナリを管理
新しいディクショナリを設定して保存したら、ESM にインポートする必要があります。ディクショナリは、エクス
ポート、編集、削除することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で [ツール] をクリックし、[ADM ディクショナリ マネージャー] を選択します。
[ADM ディクショナリを管理] 画面に、4 つのデフォルトのディクショナリ(botnet、foullanguage、
icd9_desc、spamlist)と、システムにインポートされたディクショナリがリストされます。
176
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
2
3
使用できるいずれかの操作を実行し、[閉じる] をクリックします。
関連トピック:
173 ページの「Application Data Monitor (ADM) ディクショナリ」
173 ページの「ADM ディクショナリを設定する」
178 ページの「ADM ディクショナリを参照」
175 ページの「ADM ディクショナリの例」
177 ページの「[ADM ディクショナリを管理] ページ」
177 ページの「[ADM ディクショナリを編集] ページ」
178 ページの「[ADM ディクショナリをインポート] ページ」
[ADM ディクショナリを管理] ページ
ADM ルールで使用できるように、ESM 上で使用可能な ADM ディクショナリのリストを管理します。
表 3-93 オプションの定義
オプション
定義
[インポート]
クリックして、ADM ディクショナリを ESM へインポートします。
[エクスポート] クリックして、選択した ADM ディクショナリをローカル ファイルへエクスポートします。
[編集]
クリックして、選択したディクショナリを編集します。
[削除]
選択したディクショナリを削除します。
ディクショナリを削除すると、このディクショナリを参照するルールを含むルール セットをロール
アウトしようとしても、コンパイルに失敗します。このディクショナリがルールに割り当てられて
いる場合は、ディクショナリを参照しないようにルールを書き換えるか(『ディクショナリを参照』
を参照)
、削除を続行しないでください。
関連トピック:
176 ページの「ADM ディクショナリを管理」
[ADM ディクショナリを編集] ページ
ADM ディクショナリの変更を行います。
表 3-94 オプションの定義
オプション 定義
[検索]
特定のエントリを検索する場合は、フィールドに入力してクリックします。
テーブル
既存のエントリを表示します。新しいエントリを追加したり、既存のエントリを変更または削除するこ
ともできます。
関連トピック:
176 ページの「ADM ディクショナリを管理」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
177
3
ESM の設定
デバイスの設定
[ADM ディクショナリをインポート] ページ
ADM ディクショナリを ESM へインポートします。
表 3-95 オプションの定義
オプション
定義
[ディクショナリ] ディクショナリ ファイルを参照し、アップロードします。
[キー タイプ]
ディクショナリで使用されるキー タイプを選択します。
[キー タイプ] および [値タイプ] フィールドで選択した内容とファイルに含まれている内容と
の間に不一致があると、データが無効であるという通知を受けます。
[値タイプ]
ディクショナリで使用される値のタイプを選択します。
関連トピック:
176 ページの「ADM ディクショナリを管理」
ADM ディクショナリを参照
ESM にディクショナリをインポートすると、ルールを書くときに参照することができます。
開始する前に
ESM にディクショナリをインポート
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[新規] 、 [ADM ルール]をクリックします。
2
必要な情報を追加し、論理要素を [式のロジック] 領域にドラッグ アンド ドロップします。
3
[式のコンポーネント] アイコン
を論理要素にドラッグ アンド ドロップします。
4
[式のコンポーネント] ページの [ディクショナリ] フィールドで、ディクショナリを選択します。
5
その他のフィールドに入力し、[OK] をクリックします。
関連トピック:
173 ページの「Application Data Monitor (ADM) ディクショナリ」
173 ページの「ADM ディクショナリを設定する」
176 ページの「ADM ディクショナリを管理」
175 ページの「ADM ディクショナリの例」
ADM ルールに関する参考資料
この付録には、ADM ルールを [ポリシーエディター] に追加する場合に役立つ資料が含まれています。
関連トピック:
179 ページの「ADM ルール構文」
181 ページの「ADM ルールの項タイプ」
183 ページの「ADM ルール メトリックス参照」
185 ページの「プロトコル固有のプロパティ」
186 ページの「プロトコル異常」
178
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
ADM ルール構文
ADM ルールは C 言語の式に非常に似ています。
主な違いは、使用できるリテラルのセットがより広範になることです(数字、文字列、正規表現、IP アドレス、MAC
アドレス、ブール)。文字列項は、文字列リテラルと正規表現リテラルと比較することでコンテンツをテストできます
が、数字と比較することで長さをテストすることもできます。数字、IP アドレス、および MAC アドレス項は、同じ
タイプのリテラル値とのみ比較できます。唯一の例外は、どの項もブールとして扱うことで存在をテストできること
です。一部の項は複数の値を持つことができます。たとえば、.zip ファイル内の PDF ファイルについては次のルー
ルがトリガーされます: type = = application/zip && type = = application/pdf
表 3-96 演算子
演算子
説明
例
&&
論理 AND
protocol = = http && type = = image/gif
||
論理 OR
time.hour < 8 || time.hour > 18
^^
論理 XOR
email.from = = "[email protected]" ^^email.to = = "[email protected]"
!
単項 NOT
! (protocol = = http | | protocol = = ftp)
==
等しい
type = = application/pdf
!=
等しくない
srcip ! = 192.168.0.0/16
>
より大きい
objectsize > 100M
>=
以上
time.weekday > = 1
<
より少ない
objectsize < 10K
<=
以下
time.hour < = 6
表 3-97 リテラル
リテラル
例
数字
1234、0x1234、0777、16K、10M、2G
文字列
"a string"
正規表現
/[A-Z] [a-z]+/
IPv4
1.2.3.4、192.168.0.0/16、192.168.1.0/255.255.255.0
MAC
aa:bb:cc:dd:ee:ff
ブール
true、false
表 3-98 タイプ演算子の互換性
タイプ 演算子
数字
メモ
= =、! =、>、> =、<、< =
文字列 = =、! =
文字列のコンテンツを String/Regex と比較
文字列 >、> =、<、<=
文字列の長さを比較
IPv4
= =、! =
MAC
= =、! =
ブール = =、! =
McAfee Enterprise Security Manager 9.6.0
true/false に対して比較でき、true との暗黙の比較もできます。たとえ
ば次のように、email.bcc 項が発生するかどうかをテストします:
email.bcc
製品ガイド
179
3
ESM の設定
デバイスの設定
表 3-99 ADM 正規表現文法
基本演算子
|
交代(または)
*
0 以上
+
1 つ以上
?
0 または 1
()
グループ分け(a | b)
{}
繰り返し範囲 {x} または {,x} または {x,} または {x,y}
[]
範囲 [0-9a-z] [abc]
[^ ]
除外範囲 [^abc] [^0-9]
.
任意の文字
\
エスケープ文字
エスケープ
\d
数字 [0-9]
\D
非数字 [^0-9]
\e
エスケープ(0x1B)
\f
フォーム フィード(0x0C)
\n
ライン フィード(0x0A)
\r
キャリッジ リターン(0x0D)
\s
空白
\S
非空白
\t
タブ(0x09)
\v
垂直タブ(0x0B)
\w
語句 [A-Za-z0-9_]
\W
非語句
\x00
16 進表現
\0000
8 進表現
^
行頭
S
行末
行頭および行末アンカー(^ および $)は objcontent に対しては無効です。
180
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
POSIX 文字クラス
[:alunum:]
数字および文字
[:alpha:]
すべての文字
[:ascii:]
ASCII 文字
[:blank:]
空白およびタブ
[:cntrl:]
制御文字
[:digit:]
数字
[:graph:]
表示文字
[:lower:]
小文字
[:print:]
表示文字および空白
[:punct:]
句読点または記号
[:space:]
すべての空白文字
[:upper:]
大文字
[:word:]
単語文字
[:xdigit:]
16 進値
関連トピック:
178 ページの「ADM ルールに関する参考資料」
181 ページの「ADM ルールの項タイプ」
183 ページの「ADM ルール メトリックス参照」
185 ページの「プロトコル固有のプロパティ」
186 ページの「プロトコル異常」
ADM ルールの項タイプ
ADM ルール内の項にはすべて特定のタイプがあります。
それぞれの項は、IP アドレス、MAC アドレス、数字、文字列、ブールのいずれかになります。さらに、正規表現と
リストという 2 つのリテラル タイプがあります。特定のタイプの項は、一般的に同じタイプのリテラルまたは同じ
タイプのリテラルのリスト (あるいはリストのリスト) とのみ比較されます。 このルールには 3 つの例外がありま
す。
1
文字列項は、数字リテラルと比較して長さをテストすることができます。パスワードの長さが 8 文字未満である
場合は、次のルールがトリガーされます (password は文字列項)。 password < 8
2
文字列項は正規表現と比較することができます。パスワードが小文字だけで構成されている場合は、次のルール
がトリガーされます: password == /^[a-z]+$/
3
すべての項はブール リテラルに対してテストすることで、それらが発生するかどうかをテストできます。電子メ
ールに CC アドレスが含まれている場合は、次のルールがトリガーされます (email.cc は文字列項)。email.cc
== true
McAfee Enterprise Security Manager 9.6.0
製品ガイド
181
3
ESM の設定
デバイスの設定
タイプ
形式の説明
IP アド • IP アドレス リテラルは、標準のドット区切り表記で記述し、引用符では囲みません: 192.168.1.1
レス
• IP アドレスには、標準の CIDR 表記で記述したマスクを指定できます。アドレスとマスクの間に空白
を入れてはなりません: 192.168.1.0/24
• IP アドレスでは、長い形式でマスクを記述することもできます: 192.168.1.0/255.255.255.0
MAC ア • MAC アドレス リテラルは標準の表記を使用して記述します。IP アドレスと同様に、引用符では囲みま
ドレス
せん: aa:bb:cc:dd:ee:ff
数字
• ADM ルールの数字はすべて 32 ビットの整数です。10 進数で記述できます: 1234
• 16 進数で記述できます: 0xabcd
• 8 進数で記述できます: 0777
• 乗数を付加することで、1024 (K)、1048576 (M)、または 1073741824 (G) で乗算できます: 10M
文字列
• 文字列は二重引用符で囲みます: "this is a string"
• 文字列では標準の C エスケープ シーケンスを使用できます: "\tThis is a \"string\" containing
\x20escape sequences\n"
• 項と文字列を比較する場合は、項全体が文字列に一致する必要があります。電子メール メッセージに送
信元アドレス [email protected] がある場合、次のルールはトリガーされません:
email.from == “@somewhere.com”
• 項の一部だけを照合する場合は、正規表現リテラルを使用する必要があります。可能な場合は、より効
率的な文字列リテラルを使用します。
すべての電子メール アドレスと URL 項は一致の前に正規化されるため、電子メール アドレス内のコメント
などについて考慮する必要はありません。
ブール
182
• ブール リテラルは true および false です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タイプ
形式の説明
正規表
現
• 正規表現リテラルでは、Javascript や Perl などの言語と同じ表記を使用して、正規表現をスラッシュ
で囲みます: /[a-z]+/
• 正規表現には標準の修飾子フラグを付加することができますが、現在認識されるのは「i」のみです (大
文字と小文字の区別なし)。/[a-z]+/i
• 正規表現リテラルでは、POSIX 拡張構文を使用する必要があります。Perl 拡張子は、現時点ではコン
テンツ項を除くすべての項に対して機能しますが、これは将来のバージョンでは変更される可能性があ
ります。
• 項と正規表現を比較する場合は、正規表現内でアンカー演算子が適用されない限り、正規表現は項内の
サブ文字列と照合されます。アドレスが「[email protected]」の電子メールが検出された
場合には、次のルールがトリガーされます。email.from == /@somewhere.com/
リスト
• リスト リテラルは、角かっこで囲まれてカンマで区切られた 1 つ以上のリテラルで構成されます: [1,
2, 3, 4, 5]
• リストには、他のリストを含め、あらゆる種類のリテラルが含まれる可能性があります: [192.168.1.1,
[10.0.0.0/8, 172.16.128.0/24]]
• リストに含めることができるのは 1 種類のリテラルだけであり、文字列と数字、数字と正規表現、IP
アドレスと MAC アドレスなどを混在させることはできません。
• リストで not-equal (!=) 以外の関係演算子を使用した場合は、項がリスト内のいずれかのリテラルに
一致した場合に、式が true になります。ソース IP アドレスがリスト内のいずれかの IP アドレスに一
致した場合には、次のルールがトリガーされます: srcip == [192.168.1.1, 192.168.1.2,
192.168.1.3]
• これは次のルールと同等です: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• not-equal (!=) 演算子を使用した場合は、リスト内のすべてのリテラルに項が一致しない場合に、式
が true になります。ソース IP アドレスが 192.168.1.1 または 192.168.1.2 でない場合には、次の
ルールがトリガーされます: srcip != [192.168.1.1, 192.168.1.2]
• これは次のルールと同等です: srcip != 192.168.1.1 && srcip != 192.168.1.2
• リストは他の関係演算子と合わせて使用することもできますが、あまり有効な方法ではありません。オ
ブジェクトのサイズが 100 より大きい場合、またはオブジェクトのサイズが 200 より大きい場合に
は、次のルールがトリガーされます: objectsize > [100, 200]
• これは次のルールと同等です: objectsize > 100 || objectsize > 200
関連トピック:
178 ページの「ADM ルールに関する参考資料」
179 ページの「ADM ルール構文」
183 ページの「ADM ルール メトリックス参照」
185 ページの「プロトコル固有のプロパティ」
186 ページの「プロトコル異常」
ADM ルール メトリックス参照
ADM ルールを追加したときに [式のコンポーネント] ページで使用できる、ADM ルール式に対するメトリックス参
照のリストを示します。
Common Properties と Common Anomalies では、それぞれについて入力できるパラメーター タイプの値が、メ
トリックス参照の後のかっこ内に示されます。
共通のプロパティ
McAfee Enterprise Security Manager 9.6.0
製品ガイド
183
3
ESM の設定
デバイスの設定
プロパティまたは用語
説明
プロトコル (数字)
アプリケーション プロトコル (HTTP、FTP、SMTP)
オブジェクト コンテンツ (文字 オブジェクトのコンテンツ (ドキュメント、電子メール メッセージ、チャット メ
列)
ッセージ内のテキスト)。コンテンツ一致はバイナリ データでは使用できません。
ただしバイナリ オブジェクトは、オブジェクト タイプ (objtype) を使用して検
出できます。
オブジェクト タイプ (数字)
ADM によって決定されるコンテンツのタイプを指定します (Office ドキュメン
ト、メッセージ、ビデオ、音声、画像、アーカイブ、実行ファイル)。
オブジェクト サイズ (数字)
オブジェクトのサイズ。数字の後に乗数 K、M、G を追加できます (10K、10M、
10G)。
オブジェクト ハッシュ (文字
列)
コンテンツのハッシュ (現在は MD5)
オブジェクト ソース IP アドレ コンテンツのソース IP アドレス。IP アドレスは、192.168.1.1、
ス (数字)
192.168.1.0/24、192.168.1.0/255.255.255.0 と指定できます。
オブジェクト宛先 IP アドレス
(数字)
コンテンツの宛先 IP アドレス。IP アドレスは、192.168.1.1、
192.168.1.0/24、192.168.1.0/255.255.255.0 と指定できます。
オブジェクト ソース ポート
(数字)
コンテンツのソース TCP/UDP ポート
オブジェクト宛先ポート (数字) コンテンツの宛先 TCP/UDP ポート
オブジェクト ソース IP v6 ア
ドレス (数字)
コンテンツのソース IPv6 アドレス
オブジェクト宛先 IPv6 アドレ
ス (数字)
コンテンツの宛先 IPv6 アドレス
オブジェクト ソース MAC アド コンテンツのソース MAC アドレス (aa:bb:cc:dd:ee:ff)
レス (MAC 名)
オブジェクト宛先 MAC アドレ
ス (MAC 名)
コンテンツの宛先 MAC アドレス (aa:bb:cc:dd:ee:ff)
フロー ソース IP アドレス
(IPv4)
フローのソース IP アドレス IP アドレスは、192.168.1.1、192.168.1.0/24、
192.168.1.0/255.255.255.0 と指定できます。
フロー宛先 IP アドレス (IPv4) フローの宛先 IP アドレス。IP アドレスは、192.168.1.1、192.168.1.0/24、
192.168.1.0/255.255.255.0 と指定できます。
184
フロー ソース ポート (数字)
フローのソース TCP/UDP ポート
フロー宛先ポート (数字)
フローの宛先 TCP/UDP ポート
フロー ソース IPv6 アドレス
(数字)
フローのソース IPv6 アドレス
フロー宛先 IPv6 アドレス (数
字)
フローの宛先 IPv6 アドレス
フロー ソース MAC アドレス
(MAC 名)
フローのソース MAC アドレス
フロー宛先 MAC アドレス
(MAC 名)
フローの宛先 MAC アドレス
VLAN (数字)
仮想 LAN ID
曜日 (数字)
曜日。有効な値は 1 から 7 です。1 は月曜です。
時間 (数字)
GMT に設定された時間。有効な値は 0 から 23 です
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
プロパティまたは用語
説明
宣言されたコンテンツ タイプ
(文字列)
サーバーによって指定されたコンテンツのタイプ。理論上はオブジェクト タイ
プ (objtype) は常に実際のタイプであり、宣言されたコンテンツ タイプ
(content-type) は、サーバーまたはアプリケーションによるスプーフィングの可
能性があるため信頼されません。
パスワード (文字列)
アプリケーションによって認証用に使用されるパスワード。
URL (文字列)
Web サイトの URL。HTTP プロトコルだけに適用されます。
ファイル名 (文字列)
転送されるファイル名。
表示名 (文字列)
ホスト名 (文字列)
DNS 参照で指定されたホスト名。
Common Anomalies
•
ユーザーのログオフ (ブール)
•
認証エラー (ブール)
•
認証が成功 (ブール)
•
認証が失敗 (ブール)
関連トピック:
178 ページの「ADM ルールに関する参考資料」
179 ページの「ADM ルール構文」
181 ページの「ADM ルールの項タイプ」
185 ページの「プロトコル固有のプロパティ」
186 ページの「プロトコル異常」
プロトコル固有のプロパティ
ほとんどのプロトコルで共通するプロパティを提供するのに加え、ADM は ADM ルールとともに使用できるプロト
コル固有のプロパティも提供します。すべてのプロトコル固有のプロパティは、ADM ルールの追加時に [式のコンポ
ーネント] ページでも使用できます。
プロトコル固有のプロパティの例
これらのプロパティは、次のテーブルに適用されます。
* 検出のみ
** 復号なし、X.509 証明書と暗号データをキャプチャ
*** RFC822 モジュール経由
表 3-100 ファイル転送プロトコル モジュール
FTP
HTTP
SMB*
SSL**
表示名
表示名
表示名
表示名
ファイル名
ファイル名
ファイル名
ファイル名
ホスト名
ホスト名
ホスト名
ホスト名
URL
リファラー
URL
すべての HTTP ヘッダー
McAfee Enterprise Security Manager 9.6.0
製品ガイド
185
3
ESM の設定
デバイスの設定
表 3-101 電子メール プロトコル モジュール
DeltaSync
MAPI
NNTP
POP3
SMTP
Bcc***
Bcc
Bcc***
Bcc***
Bcc***
Cc***
Cc
Cc***
Cc***
Cc***
表示名
表示名
表示名
表示名
表示名
差出人***
差出人
差出人***
差出人***
差出人***
ホスト名
ホスト名
ホスト名
ホスト名
ホスト名
件名***
件名
件名***
件名***
宛先***
宛先***
宛先
宛先***
宛先***
件名***
ユーザー名
ユーザー名
表 3-102 Web メール プロトコル モジュール
AOL
Gmail
Hotmail
Yahoo
添付ファイル名
添付ファイル名
添付ファイル名
添付ファイル名
Bcc***
Bcc***
Bcc***
Bcc***
Cc***
Cc***
Cc***
Cc***
表示名
表示名
表示名
表示名
ファイル名
ファイル名
ファイル名
ファイル名
ホスト名
ホスト名
ホスト名
ホスト名
差出人***
差出人***
差出人***
差出人***
件名***
件名***
件名***
件名***
宛先***
宛先***
宛先***
宛先***
関連トピック:
178 ページの「ADM ルールに関する参考資料」
179 ページの「ADM ルール構文」
181 ページの「ADM ルールの項タイプ」
183 ページの「ADM ルール メトリックス参照」
186 ページの「プロトコル異常」
プロトコル異常
共通プロパティとプロトコル固有プロパティのほか、ADM は低レベル、転送、およびアプリケーションの各プロト
コルで数百の異常を検出します。すべてのプロトコル異常プロパティはブール型であり、ADM ルールを追加すると
きの [式のコンポーネント] ページに表示されます。
表 3-103 IP
186
用語
説明
ip.too-small
IP パケットは、有効なヘッダーを含めるには小さすぎます。
ip.bad-offset
IP データ オフセットがパケットの終端を過ぎています。
ip.fragmented
IP パケットがフラグメント化しています。
ip.bad-checksum
IP パケット チェックサムがデータに一致しません。
ip.bad-length
IP パケット totlen フィールドがパケットの終端を過ぎています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
表 3-104 TCP
用語
説明
tcp.too-small
TCP パケットは、有効なヘッダーを含めるには小さすぎます。
tcp.bad-offset
TCP パケットのデータ オフセットがパケットの終端を過ぎています。
tcp.unexpected-fin
TCP FIN フラグが未確立の状態で設定されています。
tcp.unexpected-syn
TCP SYN フラグが未確立の状態で設定されています。
tcp.duplicate-ack
TCP パケットが ACK 済みのデータを ACK しています。
tcp.segment-outsidewindow
TCP パケットがウィンドウ外部にあります(TCP モジュールの小さな
ウィンドウであり、実際のウィンドウでありません)。
tcp.urgent-nonzero-withouturg- フラグ TCP 緊急フィールドは非ゼロですが、URG フラグが設定されていま
せん。
表 3-105 DNS
用語
説明
dns.too-small
DNS パケットは、有効なヘッダーを含めるには小さすぎます。
dns.question-name-past-end
DNS 質問名がパケットの終端を過ぎています。
dns.answer-name-past-end
DNS 回答名がパケットの終端を過ぎています。
dns.ipv4-address-length-wrong
DNS 応答の IPv4 アドレスは 4 バイト長ではありません。
dns.answer-circular-reference
DNS 回答に循環参照があります。
関連トピック:
178 ページの「ADM ルールに関する参考資料」
179 ページの「ADM ルール構文」
181 ページの「ADM ルールの項タイプ」
183 ページの「ADM ルール メトリックス参照」
185 ページの「プロトコル固有のプロパティ」
Database Event Monitor (DEM) の設定
McAfee Database Event Monitor (DEM) は、データベース アクティビティを中央の監査リポジトリに統合し、ア
クティビティの正規化、相関分析、レポート作成を実行します。 ネットワークまたはデータベース サーバーのアク
ティビティが悪意のあるデータ アクセスを示す既知のパターンに一致すると、アラートが生成されます。 さらに、
コンプライアンスのために使用できるように、すべてのトランザクションが記録されます。
DEM では、分析やレポートと同じインターフェースで、データベース モニタリング ルールを管理、編集、調整する
ことができます。 特定のデータベース モニタリング プロファイル (ルールの施行対象、記録するトランザクション
など) を簡単に調整できるので、誤検知を減らし、全体のセキュリティを向上させることができます。
DEM は、侵入検知システムに類似するネットワーク パケットを監視することで、ユーザーとアプリケーションによ
るデータベースとのインタラクションを非侵入的に監査できるように設計されています。 ネットワーク全体のデー
タベース サーバー アクティビティをすべてモニタリングするには、ネットワーク、セキュリティ、コンプライアン
ス、データベースの担当チームと調整して最初の DEM を配備してください。
ネットワーク チームは、スイッチ、ネットワーク TAP、またはハブで SPAN ポートを使用して、データベース トラ
フィックを複製します。 それによって、データベース サーバーのトラフィックを待機または監視し、監査ログを作
成することができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
187
3
ESM の設定
デバイスの設定
対応のデータベース サーバー プラットフォームとバージョンについては、McAfee Web サイトを参照してくださ
い。
オペレーティング システム
データベース
DEM アプライアンス
Windows (すべてのバージョン)
Microsoft SQL Server¹
MSSQL 7、2000、2005、2008、
2012
Windows、UNIX/Linux (すべてのバージョ
ン)
Oracle²
Oracle 8.x、9.x、10g、11g
(c)、11 g R2³
Sybase
11.x、12.x、15.x
DB2
8.x、9.x、10.x
Informix (8.4.0 以降で使用可
能)
11.5
MySQL
はい、4.x、5.x、6.x
PostgreSQL
7.4.x、8.4.x、9.0.x、9.1.x
Teradata
12.x、13.x、14.x
InterSystems Cache
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
メインフレーム
DB2/zOS
すべてのバージョン
AS400
DB2
すべてのバージョン
Windows、UNIX/Linux (すべてのバージョ
ン)
UNIX/Linux (すべてのバージョン)
1 Microsoft SQL Server のパケットの復号化機能は、バージョン 8.3.0 以降で使用できます。
2 Oracle のパケットの復号化機能は、バージョン 8.4.0 以降で使用できます。
3 Oracle 11 g は、バージョン 8.3.0 以降で使用できます。
これらのサーバーとバージョンには、次のことが該当します。
•
オペレーティング システムとデータベース プラットフォームについては、32 ビットと 64 ビットの両方のバー
ジョンがサポートされています。
•
MySQL は、Windows 32 ビット プラットフォームでのみサポートされています。
•
パケットの復号化は MSSQL および Oracle 用にサポートされています。
DEM ライセンスを更新
DEM にはデフォルトのライセンスが付属しています。DEM の機能を変更すると、McAfee から電子メール メッセー
ジで新しいライセンスが送信されるので、更新を行う必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
次に[ライセンス] 、 [ライセンスを更新]をクリックし、McAfee から送信された情報をフィールドに貼り付けま
す。
3
[OK] をクリックします。
ライセンスが更新され、完了すると通知されます。
4
188
ポリシーを DEM にロールアウトします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
関連トピック:
189 ページの「[DEM ライセンスを更新] ページ」
[DEM ライセンスを更新] ページ
現在の DEM ライセンス制限を表示し、ライセンスを更新します。
表 3-106 オプションの定義
オプション
定義
[ライセンスを更新]
クリックして DEM ライセンスを更新します。
[ライセンスを更新] ページ McAfee から送信されたライセンスをコピーしてここに貼り付け、[OK] をクリックし
ます。
関連トピック:
188 ページの「DEM ライセンスを更新」
DEM 設定ファイルを同期
DEM 設定ファイルと DEM デバイスが同期されていない場合は、設定ファイルを DEM に書き込む必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[ファイルを同期] をクリックします。
同期のステータスを示すメッセージが表示されます。
DEM の詳細設定を構成
これらの詳細設定により、DEM のパフォーマンスが変化または向上します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[詳細] をクリックして、設定を定義するか、DEM で負荷が過大になり始めた場合にはオプションの選択を解除し
ます。
3
[OK] をクリックします。
関連トピック:
190 ページの「高度な DEM オプション ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
189
3
ESM の設定
デバイスの設定
高度な DEM オプション ページ
DEM のパフォーマンスが変化または向上します。
表 3-107 オプションの定義
オプション
定義
必要に応じて設定を定義します。
[ログ ファイルの詳
細レベル]
DEM Agent から DEM Manager に送信されたログ情報の詳細レベルを設定します。これ
には [情報]、[警告]、[デバッグ] の 3 つのオプションがあります。
[デバッグ] を選択すると、情報が非常に詳細になるため、多量のディスク領域を消費する可
能性があります。
[エージェント レジ
ストリ ポート] およ
び [エージェント サ
ービス ポート]
デフォルトのエージェント レジストリとサービス ポートを変更します。これらは、エージ
ェントとの通信に使用されるポートです。
[暗号化を使用]
DEM Agent から DEM マネージャーに送信された情報を暗号化するかどうかを選択しま
す。このログは、受信された時点で復号化されます。
[Kerberos サーバー
IP]
Windows Integrated Security を使用したデータベース認証のための Kerberos プロト
コル分析からユーザー名を取得する場合は、Kerberos サーバーの IP アドレスを入力しま
す。
複数の IP、ポート、および VLAN 設定は、IP;PORT;VLAN;IP;PORT の形式で指定できま
す (たとえば 10.0.0.1;88;11,10.0.0.2;88;12)。IPv6 は、これと同じ形式でサポートさ
れています。
[共有メモリ]
DEM がデータベース イベントの処理に使用するバッファーのサイズを選択します。バッ
ファーのサイズを増やすことでパフォーマンスが向上します。
[イベント リポジト
リ]
イベントを取得する場所を選択します。[ファイル] を選択すると、ローカル DEM 上のファ
イルが読み取られ、それらのイベントが解析されます。[EDB] を選択すると、イベントが
データベースから収集されます。
表 3-108 オプションの定義
オプション
定義
DEM で負荷が過大になり始めた場合には、これらのオプションの選択を解除します。
190
[McAfee Firewall のパケッ
ト キャプチャ]
DEM がデータベース データを高速で解析する方法を提供します。
[トランザクション追跡]
データベース トランザクションと自動調整の変更を追跡します。DEM の速度を上
げるには選択を解除します。
[ユーザー ID の追跡]
データベースへのアクセスに汎用ユーザー名が使用されるため、データベースに伝播
されないユーザーの ID を追跡します。DEM の速度を上げるには選択を解除しま
す。
[機密データのマスク]
機密情報を、マスクと呼ばれるユーザー定義の汎用の文字列に置き換えることで、機
密データが許可なく表示されることを防止します。DEM の速度を上げるには選択
を解除します。
[ローカル ホストの監査]
データベースに対する不明なアクセス パスを追跡するためにローカル ホストを監
査し、イベントをリアルタイムで送信します。DEM の速度を上げるには選択を解除
します。
[クエリーの解析]
クエリー検査を実行します。DEM の速度を上げるには選択を解除します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
表 3-108 オプションの定義 (続き)
オプション
定義
[最初の結果行のキャプチャ] イベントのパケットを取得したときに、SELECT ステートメントの重大度が 95 未
満に設定されている場合に、クエリーの最初の結果行を表示できます。DEM の速度
を上げるには選択を解除します。
[変数サポートをバインド]
コマンドを実行するたびに再解析するというオーバーヘッドを生じさせずに、
Oracle バインド変数を繰り返し再利用できます。
関連トピック:
189 ページの「DEM の詳細設定を構成」
DEM の構成設定を適用
DEM の構成設定に対する変更は、DEM に適用する必要があります。設定変更が適用されないままになっている場合
は、[DEM の設定] の [適用] オプションによって、すべての DEM 構成設定に対して変更を適用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[適用] をクリックします。
構成設定が DEM に書き込まれると、メッセージによって通知されます。
DEM イベントのアクションを定義
DEM の [アクション管理] 設定では、DEM のフィルター ルールとデータ アクセス ポリシーで使用する、イベント
のアクションと操作を定義します。カスタム アクションを追加し、デフォルト アクションとカスタム アクションの
[操作] を設定できます。
DEM にはデフォルトのアクションが設定されており、[アクション管理] ページで [グローバルを編集] をクリックす
ると表示できます。次のデフォルト操作があります。
•
[なし]
•
[スクリプト]
•
[無視]
•
[リセット]
•
[破棄]
操作として [スクリプト] 選択すると、別名(SCRIPT ALIAS)が要求され、重要度イベントが発生した場合に実行
する必要がある実際のスクリプト(SCRIPT NAME)がポイントされます。このスクリプトには、2 つの環境変数
ALERT_EVENT と ALERT_REASON が渡されます。ALERT_EVENT には、コロンで区切られたメトリックスのリ
ストが含まれています。DEM には、重要度アクションがスクリプトでどのようにキャプチャされるかを示す、バッ
シュ スクリプトのサンプル /home/auditprobe/conf/sample/process_alerts.bash が用意されています。
アクションと操作については、次のことに注意してください。
•
アクションは優先順位に従ってリストされます。
•
アラート アクションとして指定しない限り、イベントでは SNMP トラップまたはページの送信などのアクショ
ンを実行しません。
•
ルールが複数のアラート レベルに該当する場合は、最高のアラート レベルだけが実行可能になります。
•
イベントは、どのようなアクションであってもイベント ファイルに書き込まれます。唯一の例外が [破棄] 操作
です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
191
3
ESM の設定
デバイスの設定
関連トピック:
192 ページの「DEM アクションの追加」
192 ページの「DEM カスタム アクションを編集」
193 ページの「DEM アクションの操作を設定」
DEM アクションの追加
DEM アクション管理にアクションを追加すると、[ポリシー エディター] の DEM ルールに使用できるアクションの
リストに表示されます。その後はルールのアクションとして選択できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ポリシー エディター] アイコン
ション マネージャー] の順にクリックします。
をクリックし、[ツール] 、 [DEM アク
[DEM アクション管理] ページには、既存のアクションが優先順で表示されます。
デフォルト アクションの優先順位は変更できません。
2
[追加] をクリックし、このアクションの名前と説明を入力します。
追加したら、カスタム アクションを削除することはできません。
3
[OK] をクリックします。
新しいアクションが [DEM アクション管理] リストに追加されます。
カスタム アクションのデフォルト操作は [なし] です。これを変更するには、「DEM アクションの操作を設定する」
を参照してください。
関連トピック:
191 ページの「DEM イベントのアクションを定義」
192 ページの「DEM カスタム アクションを編集」
193 ページの「DEM アクションの操作を設定」
192 ページの「[DEM アクション ルール] ページ」
[DEM アクション ルール] ページ
DEM アクションの設定を定義します。
表 3-109 オプションの定義
オプション
定義
[アクション名]
このアクションの名前を入力します。
[説明]
(オプション)このアクションの説明を入力します。
関連トピック:
192 ページの「DEM アクションの追加」
DEM カスタム アクションを編集
DEM アクション管理リストにアクションを追加したら、必要に応じて名前または優先度を変更します。
192
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システム ナビゲーション ツリーで [ポリシー エディター] アイコン
ション マネージャー]をクリックします。
をクリックし、[ツール] 、 [DEM アク
変更するカスタム アクションをクリックし、次のいずれかを実行します。
•
優先順位を変更するには、上向きまたは下向きの矢印をクリックして適切な順位にします。
•
名前または説明を変更するには、[編集] をクリックします。
[OK] をクリックして設定を保存します。
関連トピック:
191 ページの「DEM イベントのアクションを定義」
192 ページの「DEM アクションの追加」
193 ページの「DEM アクションの操作を設定」
DEM アクションの操作を設定
すべてのルール アクションには、デフォルトの操作があります。カスタム DEM アクションを追加する場合には、デ
フォルトの操作は [なし] です。アクションの操作は、[無視]、[破棄]、[スクリプト]、または [リセット] に変更す
ることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[アクション管理] をクリックします。
2
編集するアクションを強調表示し、[編集] をクリックします。
3
操作を選択し、[OK] をクリックします。
関連トピック:
191 ページの「DEM イベントのアクションを定義」
192 ページの「DEM アクションの追加」
192 ページの「DEM カスタム アクションを編集」
194 ページの「アクション管理 ページ」
194 ページの「[DEM アクション管理] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
193
3
ESM の設定
デバイスの設定
アクション管理 ページ
ルール アクションの操作を変更します。
表 3-110 オプションの定義
オプション
定義
[操作]
ルールによってイベントがトリガーされた場合のアクションの動作を選択します。次のオプション
があります。
• [なし] — 何もしません。
• [無視] — イベントがデータベース内に保持されますが、ユーザー インターフェースには表示され
ません。
• [破棄] — イベントがデータベース内に保持されず、ユーザー インターフェースにも表示されませ
ん。
• [スクリプト] — 定義したスクリプトが実行されます。
• [リセット] — クライアントとサーバーに TCP RST パケットを送信することで、データベース接
続の切断を試みます。
[スクリプト
名]
操作として [スクリプト] を選択した場合は、スクリプト名を設定します。ドロップダウン リストに
スクリプトが含まれていない場合は、[スクリプト名] をクリックし、[スクリプト ファイル管理] ペ
ージでスクリプト ファイルを選択します。
関連トピック:
193 ページの「DEM アクションの操作を設定」
[DEM アクション管理] ページ
ルールのアクションとして選択できるように、グローバル アクションを追加したり並べ替えます。
表 3-111 オプションの定義
オプション
定義
[追加]
クリックして新しいアクションを追加します。
いったん追加したら、カスタム アクションを削除することはできません。
[編集]
選択したカスタム アクションの名前または説明を変更します。
[上へ移動] および [下へ移動] 矢印
カスタム アクションの順序を変更します。
デフォルト アクションの優先順位は変更できません。
関連トピック:
193 ページの「DEM アクションの操作を設定」
機密データのマスクを使用
機密データのマスクは、機密情報をマスクと呼ばれる汎用的な文字列に置き換えることで、機密データが許可なく表
示されることを防止します。システムに DEM デバイスを追加すると、3 つの標準の機密データ マスクが ESM デー
194
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
タベースに追加されますが、新しいデータ マスクを追加して、既存のデータ マスクを編集または削除することもで
きます。
標準のマスクには次のものがあります。
•
機密マスク名: Credit Card Number Mask
式: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
サブ文字列インデックス: \0
マスク パターン: ####-####-####-####
•
機密マスク名: Mask First 5 Chars of SSN
式: (\d\d\d-\d\d)-\d\d\d\d
サブ文字列インデックス: \1
マスク パターン: ###-##
•
機密マスク名: Mask User Password in SQL Stmt
式: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
サブ文字列インデックス: \2
マスク パターン: ********
関連トピック:
195 ページの「機密データのマスクを管理」
機密データのマスクを管理
システムに入力された機密情報を保護するために、機密データのマスクを追加して、既存のマスクを編集または削除
できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[機密データのマスク] をクリックします。
2
オプションを選択し、必要な情報を入力します。
3
[OK] をクリックし、[書き込み] をクリックして DEM に設定を追加します。
関連トピック:
194 ページの「機密データのマスクを使用」
195 ページの「機密データのマスク ページ」
機密データのマスク ページ
機密データのマスクを追加して、ESM で入力した機密情報を保護します。
表 3-112 オプションの定義
オプション
定義
[機密データのマスク
名]
機密データのマスクの名前を入力します。
[式]
Perl-Compatible Regular Expression (PCRE) 構文に従った正規表現を入力します
(「機密データのマスクを使用する」の例を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
195
3
ESM の設定
デバイスの設定
表 3-112 オプションの定義 (続き)
オプション
定義
[サブ文字列インデック オプションを選択します。
ス]
オプションは、式で使用されている括弧 () の数に基づいて追加されます。 1 組の括弧が
ある場合、オプションは \0 と \1 になります。\0 を選択すると、文字列全体がマスクに
置き換えられます。\1 を選択すると、文字列だけがマスクに置き換えられます。
[マスク パターン]
元の値の代わりに表示する必要があるマスク パターンを入力します。
関連トピック:
195 ページの「機密データのマスクを管理」
ユーザー識別を管理
セキュリティの大部分は、各ユーザーを識別しながら、データベースへのアクセスには多くの場合一般的なユーザー
名を使用するという、簡単な原則に基づいています。識別子管理では、正規表現パターンを使用して、クエリー内に
存在する可能性がある実際のユーザー名をキャプチャできます。
アプリケーションは、このセキュリティ機能を利用できるように簡単に設定できます。システムに DEM デバイスを
追加すると、定義済みの 2 つの識別子ルールが ESM データベースに追加されます。
•
識別子ルール名: Get User Name from SQL Stmt
式: select\s+username=(\w+)
アプリケーション: Oracle
サブ文字列インデックス: \1
•
識別子ルール名: Get User Name from Stored Procedure
式: sessionStart\s+@appname='(\w+)', @username='(\w+)',
アプリケーション: MSSQL
サブ文字列インデックス: \2
DEM、アプリケーション、Web サーバー、システム、そして ESM の ID およびアクセス管理ログを相関させること
で、高度なユーザー相関が可能です。
関連トピック:
196 ページの「ユーザー識別子ルールを追加」
ユーザー識別子ルールを追加
データベース クエリーと個人を関連付けるには、既存のユーザー識別子ルールを使用するか、新しいルールを追加し
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
196
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[識別子管理] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックし、[書き込み] をクリックして DEM に設定を書き込みます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
関連トピック:
196 ページの「ユーザー識別を管理」
197 ページの「[ユーザー識別子ルール] ページ」
[ユーザー識別子ルール] ページ
データベース クエリーと個人を関連付けるユーザー識別子ルールを追加します。
表 3-113 オプションの定義
オプション
定義
[識別子ルール名]
この識別子ルールの名前を入力します。
[式]
PCRE 構文に従った正規表現を入力します(『ユーザー識別子を管理』の例を参照)。
正規表現演算子によって、Perl 5 と同じセマンティクスを使用したパターン一致のために、
PCRE ライブラリが実装されます。一般的な構文は <"metric name"> REGEX
<"pattern"> です。PCRE の詳細については、http://www.pcre.org を参照してください。
[アプリケーション]
情報を監視するアプリケーション(データベース タイプ)を選択します。
[サブ文字列インデッ サブ文字列を選択します。
クス]
オプションは、式で使用されている括弧()の数に基づいて追加されます。1 組の括弧があ
る場合、オプションは \0 と \1 になります。
関連トピック:
196 ページの「ユーザー識別子ルールを追加」
データベース サーバーについて
データベース サーバーは、データベースのアクティビティを監視します。データベース サーバー上のアクティビテ
ィが、悪意のあるデータ アクセスを示す既知のパターンに一致した場合には、アラートが生成されます。DEM では、
それぞれ最大 255 台のデータベース サーバーを監視できます。
DEM は現在、次のデータベース サーバーとバージョンに対応しています。
OS
データベース
Windows (すべてのバージョン)
Microsoft SQL Server¹ MSSQL 7、2000、2005、2008、2012
Windows、UNIX/Linux (すべてのバージョ Oracle²
ン)
UNIX/Linux (すべてのバージョン)
メインフレーム
McAfee Enterprise Security Manager 9.6.0
DEM アプライアンス
Oracle 8.x、9.x、10g、11g³、11g R2
Sybase
11.x、12.x、15.x
DB2
8.x、9.x、10.x
Informix (注 4)
11.5
MySQL
はい、4.x、5.x、6.x
PostgreSQL
7.4.x、8.4.x、9.0.x、9.1.x
Teradata
12.x、13.x、14.x
InterSystems Cache
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
DB2/zOS
すべてのバージョン
製品ガイド
197
3
ESM の設定
デバイスの設定
OS
データベース
DEM アプライアンス
AS 400
DB2
すべてのバージョン
1 Microsoft SQL Server のパケットの復号化機能は、バージョン 8.3.0 以降で使用できます。
2 Oracle のパケットの復号化機能は、バージョン 8.4.0 以降で使用できます。
3 Oracle 11g は、バージョン 8.3.0 以降で使用できます。
4 Informix のサポートは、バージョン 8.4.0 以降で使用できます。
•
OS とデータベース プラットフォームについては、32 ビットと 64 ビットの両方のバージョンがサポートされて
います。
•
MySQL は、Windows 32 ビット プラットフォームでのみサポートされています。
•
パケットの復号化は MSSQL および Oracle 用にサポートされています。
関連トピック:
198 ページの「データベース サーバーを管理する」
200 ページの「データベース検出通知を管理」
データベース サーバーを管理する
[データベース サーバー] ページは、DEM デバイスで使用するすべてのデータベース サーバーの設定を管理する開
始点になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [DEM のプロパティ] を選択し、[データベース サーバー] をクリックしま
す。
2
使用可能なオプションの 1 つを選択します。
3
[OK] をクリックします。
関連トピック:
197 ページの「データベース サーバーについて」
200 ページの「データベース検出通知を管理」
198 ページの「[データベース サーバー] ページ」
199 ページの「データベース サーバーを追加 ページ」
[データベース サーバー] ページ
DEM デバイスは、データベース サーバー内で定義されているデータベースを監視します。
表 3-114 オプションの定義
198
オプション
定義
テーブル
DEM 上のデータベース サーバーのリストを表示します。
[追加]
新しいデータベース サーバーを追加します。
[エージェントを追
加]
McAfee DEM Agent の販売は終了しています。9.2 より前のバージョンの DEM Agent ラ
イセンスを購入していて、サポートが必要な場合は、McAfee サポートまでお問い合わせくだ
さい。
[編集]
選択したデータベース サーバーに変更を加えます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
表 3-114 オプションの定義 (続き)
オプション
定義
[削除]
選択したデータベース サーバーを削除します。
[コピー]
選択したデータベース サーバーのコピーを作成します。
[書き込み]
データベース サーバーの設定を DEM に適用します。
[有効]
新しいデータベース サーバーが検出されたときにアラート通知を受信する場合にクリックし
ます。
[無効]
通知を無効にする場合にクリックします。
関連トピック:
198 ページの「データベース サーバーを管理する」
データベース サーバーを追加 ページ
データベース アクティビティを監視するためにデータベース サーバーを追加します。単一の DEM に、最大 255 台
のデータベース サーバーを関連付けることができます。
表 3-115 オプションの定義
オプション
定義
[有効]
DEM がこのデータベース サーバーのデータを処理できるようにする場合に選択します。無
効にすると、後で使用できるように構成設定が ESM に保存されます。
[ストレージ プー
ル]
受信したデータが ELM デバイスに送信されるようにするには、ストレージ プールをクリック
して選択します。
[ゾーン]
システムでゾーンが定義されている場合は、このデータベース サーバーを割り当てるゾーン
を選択します。システムにゾーンを追加するには、[ゾーン] をクリックします。
[データベース タイ データベースのタイプを選択します。その他のフィールドは、このフィールドで選択した内容
によって異なります。
プ]
DEM は PI JDBC Driver を実装して PI System に接続します。PI SQL Data Access
Server (DAS) は、PI JDBC Driver と PI OLEDB 間のゲートウェイとして機能します。また
PI JDBC とのセキュアなネットワーク通信 (https) を確立して、PI OLEDB コンシューマー
(クライアント) としてクエリーを実行します。
[データベース サー このデータベース サーバーの名前を入力します。
バー名]
[データベース タイプ] フィールドで PIServer を選択した場合は、このフィールドが [DAS
データソース名] になります。これは Data Access Server (DAS) ゲートウェイによってア
クセスされる PI Server の名前です。これは、DAS 設定で指定されている名前と正確に一致
している必要があります。DAS サーバーが PI Server と同じホストにインストールされてい
る場合には、DAS ホスト名と同じになる場合があります。
[デバイスの URL]
データベース サーバーの情報を表示できる URL がある場合は、そのアドレスを入力します。
入力した URL アドレスにサードパーティ製アプリケーションのアドレスが含まれている場
合は、変数アイコン
をクリックして、URL アドレスに変数を追加します。
[IP アドレス]
IP アドレス フィールドに、このデータベース サーバーまたは DAS の単一の IP アドレスを
入力します。このフィールドには、IPv4 ドット表記の単一の IP アドレスのみ入力できます。
これらの IP アドレスにマスクを指定することはできません。
[優先グループ]
優先グループにデータベース サーバーを割り当てます。それによって、DEM によって処理さ
れるデータの負荷を分散することができます。[データベース サーバー] テーブルには、デー
タベース サーバーとそれらが属する優先グループのリストが示されます。
[仮想 LAN ID]
必要に応じて仮想 LAN ID を入力します。入力した値「0」は、すべての VLAN を表します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
199
3
ESM の設定
デバイスの設定
表 3-115 オプションの定義 (続き)
オプション
定義
[エンコーディング
オプション]
[なし]、[UTF8]、[BIG5] のいずれかのオプションを選択します。
[特殊オプションを
選択]
次のいずれかを選択します (使用できるオプションは選択したデータベース タイプによって
異なります)。
• Windows プラットフォームで実行されている Oracle サーバーを監視している場合は、
[ポートのリダイレクト] を指定する必要があります。
• データベース サーバーで Named Pipes SMB プロトコルが使用されている場合は、[サー
バーで名前付きパイプを使用] を選択する必要があります。MSSQL のデフォルトのパイ
プ名は \\.\pipe\sql\query、デフォルトのポートは 445 です。
• データベース サーバーで TCP Dynamic Ports が有効になっている場合は、[動的ポート]
を選択する必要があります。データベース サーバーのポート番号、または DAS を [ポー
ト] フィールドに入力します。このポートは、データベース サーバーが接続をリッスンす
るサービス ポートです。共通のデフォルト ポート番号は、Microsoft SQL Server
(MSSQL) は 1433、Oracle は 1521、MySQL は 3306、Data Access Server (DAS)
は 5461、DB2/UDB は 50000 です。
[Kerberos 認証]
SQL サーバーで Kerberos 認証が実行されるようにする場合に選択します。
[RSA 暗号化タイ
プ]
[なし] または [RSA] を選択します。
[RSA 暗号化レベ
ル]
強制暗号化に対する選択内容に基づいて、適切なオプションを選択します。[強制暗号化] が
[いいえ] の場合は [ログイン パケットを復号化]、[強制暗号化] が [はい] の場合は [すべて
のパケットを復号化] を選択します。
[RSA キー]
[参照] をクリックして [RSA キー] ファイルを選択するか、ファイルからキーをコピーして
[RSA キー] フィールドに貼り付けます。
ESM コンソールでは、パスワードのない .pem ファイル形式の RSA 証明書のみ受け入れら
れます。
[ユーザー名]
PI DAS ログインのユーザー名を入力します。PI DAS は Windows にインストールされて
いるため、Windows 統合セキュリティが使用されます。ユーザー名は domain\login とし
て指定します。
[パスワード]
DAS ユーザー名のパスワードを入力します。
[アーカイブ ログを PI Server Archives データベースがすべてのポイントに対する変更についてポーリングさ
取得]
れるようにする場合に選択します。
[監視するポイント] 監視されるポイントだけを示す、カンマ区切りのポイントのリストを入力します。
関連トピック:
198 ページの「データベース サーバーを管理する」
データベース検出通知を管理
DEM には、監視されていないデータベース サーバーの例外リストを表示する、データベース検出機能があります。
セキュリティ管理者はこの機能によって、環境に追加された新しいデータベース サーバーと、データベースのデータ
にアクセスできる不正なリスナー ポートを検出できます。これを有効にすると、[イベント分析] ビューにアラート
通知が表示されます。それによって、システムで監視されているサーバーに特定のサーバーを追加するかどうかを選
択できます。
200
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[データベース サーバー] 、 [有効]をクリ
ックします。
有効になると通知が表示されます。
2
[OK] をクリックして [DEM のプロパティ] を閉じます。
3
通知を表示するには、システム ナビゲーション ツリーで DEM デバイスをクリックし、[イベント ビュー] 、 [イ
ベント分析]を選択します。
4
システムにサーバーを追加するには、[イベント分析] ビューを選択し、[メニュー] アイコン
て [サーバーを追加] を選択します。
をクリックし
関連トピック:
197 ページの「データベース サーバーについて」
198 ページの「データベース サーバーを管理する」
分散型 ESM (DESM) の設定
分散型 ESM (DESM) は、親 ESM が最大 100 のデバイスに接続してデータを収集できる、分散型アーキテクチャ
を実現します。 定義したフィルターに基づいて、親がデバイスからデータをプルします。さらに、デバイス ESM で
生成されて残っているデータにシームレスにドリルダウンすることもできます。
親 ESM がイベントを取得できるように、DESM は親を承認する必要があります。 親は、フィルターの設定、データ
ソースの同期、カスタム タイプのプッシュを実行できます。 承認されるまで、DESM からルールやイベントを取得
できません。
管理者権限で DESM にログインすると、
「この ESM は、別のサーバーの分散 ESM として追加されています。 接続
承認を待機しています。」という通知が表示されます。 [階層 ESM の承認] をクリックすると、親 ESM と DESM の
通信タイプを選択できます。
親 ESM は、デバイス ESM に属するデバイスを管理しません。 親の ESM には、直接接続しているデバイスの ESM
がシステム ツリーに表示されます。 デバイスの子 ESM からイベントをプルしたり、表示することはありません。
ツールバーはすべての子 DESM について無効になります。
親は、デバイス ESM に存在するデータを管理しません。 代わりに、ESM データから取得したデバイスのサブセッ
トが、定義したフィルターに従って親 ESM に転送され、格納されます。
DESM フィルターを追加
デバイス ESM から親 DESM に転送されるデータは、ユーザー定義のフィルターによって決まります。これらのフィ
ルターを保存することは、デバイス ESM にフィルターが適用されることと同等であるため、適切なハッシュまたは
ビットセットが生成されます。DESM 機能は、デバイス ESM から特定のデータ(すべてのデータではない)を収集
することを目的としているため、デバイス ESM から取得するデータに対するフィルターを設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [DESM のプロパティ] を選択し、[フィルター] をクリックします。
2
要求されたデータを入力し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
201
3
ESM の設定
デバイスの設定
ePolicy Orchestrator 設定
ESM に ePolicy Orchestrator デバイスを追加できます。デバイスのアプリケーションは、システム ナビゲーショ
ン ツリーで子要素として表示されます。 認証に成功すると、ESM の機能の一部にアクセスできます。また、ePolicy
Orchestrator タグをソースまたは宛先の IP アドレスに直接割り当てたり、アラームが生成したイベントに割り当て
ることができます。
イベントが ePolicy Orchestrator からではなく Receiver からプルされるため、ePolicy Orchestrator は
Receiver に関連付ける必要があります。
ePolicy Orchestrator を使用するには、マスター データベースと ePolicy Orchestrator データベースに対する読み
取り特権が必要です。
®
McAfee ePO デバイスに McAfee Threat Intelligence Exchange (TIE) サーバーがある場合、McAfee ePO デバ
イスを ESM に追加すると、自動的に追加されます (『Threat Intelligence Exchange の統合』を参照)。
ePolicy Orchestrator を起動
ESM に ePolicy Orchestrator デバイスまたは 1 つ以上のデータ ソースがあり、ローカル ネットワークに ePolicy
Orchestrator の IP アドレスがある場合には、ESM から ePolicy Orchestrator インターフェースを起動できます。
開始する前に
ESM に ePolicy Orchestrator デバイスまたはデータ ソースを追加します。
この機能は、ePolicy Orchestrator 4.6 以降で使用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーでビューを選択します。
2
棒、リスト、円、グラフ、またはテーブルのコンポーネントから、ソース IP または宛先 IP データを返す結果を
選択します。
3
コンポーネントのメニュー
で、[アクション] 、 [ePO を起動] の順にクリックします。
•
システムに ePolicy Orchestrator デバイスまたはデータ ソースが 1 つだけ存在し、手順 1 でソース IP ま
たは宛先 IP を選択した場合には、ePolicy Orchestrator が起動します。
•
システム内に複数の ePolicy Orchestrator デバイスまたはデータ ソースがある場合は、アクセスするデバイ
スを選択すると、ePolicy Orchestrator が起動します。
•
手順 1 でテーブル コンポーネントのイベントまたはフローを選択していた場合は、ソース IP または宛先 IP
アドレスにアクセスするかどうかを選択すると、ePolicy Orchestrator が起動します。
McAfee ePO デバイスの認証
McAfee ePO でタグ付けやアクションを実行したり、McAfee Real Time for McAfee ePO を使用する前に、認証
が必要になります。
認証には 2 つの種類があります。
•
単一のグローバル アカウント — McAfee ePO デバイスへのアクセス権限があるグループに属している場合、グ
ローバルの認証情報を入力した後にこれらの機能を使用できます。
•
ユーザーごとに異なるデバイス アカウント - デバイス ツリーでデバイスを表示する権限が必要です。
アクション、タグ付け、または McAfee Real Time for McAfee ePO を使用する際に、選択した認証方法を使用し
ます。認証情報が見つからない、または無効な場合、有効な認証情報を入力するようにプロンプトが表示されるので、
その後のデバイスとの通信のために認証情報を保管しておく必要があります。
202
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
McAfee Real Time for McAfee ePO を通じてバックグラウンドでレポート、データ エンリッチメント、動的ウォ
ッチリストを実行する場合、最初に指定した McAfee ePO の認証情報が使用されます。
別のアカウント認証のセットアップ
デフォルトの設定はグローバル アカウント認証です。 個別のアカウント認証を設定する場合は、2 つの操作を実行
する必要があります。
1
McAfee ePO デバイスを ESM に追加するか、接続設定をセットアップするときに (「デバイスを ESM コンソー
ルに追加する」または「ESM との接続を変更する」を参照)、[ユーザー認証が必要] が選択されていることを確
認します。
2
[オプション] ページで認証情報を入力します (「McAfee ePO 認証情報を追加する」を参照)。
McAfee ePO の認証情報を追加する
McAfee ePO でタグ付けやアクションを実行したり、McAfee Real Time for McAfee ePO を使用する前に、ESM
に認証情報を追加する必要があります。
開始する前に
ESM に McAfee ePO デバイスをインストールします (「ESM コンソールにデバイスを追加する」を参
照)。
デバイスのユーザー名やパスワードが分からない場合には、システム管理者に確認してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックし、[ePO 認証情報] をクリック
します。
2
デバイスをクリックして、[編集] をクリックします。
3
ユーザー名とパスワードを入力して、[テスト接続] をクリックします。
4
[OK] をクリックします。
IP アドレスに ePolicy Orchestrator タグを割り当てる
[ePO タグ付け] タブには、使用できるタグがリストされます。 アラームによって生成されたイベントにタグを割り
当て、ePolicy Orchestrator タグが付いたアラームを表示できます。 このページで 1 つ以上のタグを選択し、IP
アドレスに適用することもできます。
タグ付け機能を使用するには、ePolicy Orchestrator で [タグを適用、除外、クリア] 権限と [ウェークアップ エージ
ェント、エージェント アクティビティ ログを表示] 権限が必要です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [ePO プロパティ] を選択し、[タグ付け] をクリックします。
2
必要な情報を入力し、[割り当て] をクリックします。
選択したタグが IP アドレスに適用されます。
関連トピック:
204 ページの「[タグ付け] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
203
3
ESM の設定
デバイスの設定
[タグ付け] ページ
IP アドレスにタグを割り当てます。
表 3-116 オプションの定義
オプション
定義
タグ付けテーブル
デバイスで使用できるタグがリストされます。
[割り当てる IP アドレ
ス]
ホスト名または IP アドレスを入力し(カンマ区切りリストを使用可能)、[タグ] リストで
1 つ以上のタグを選択します。
タグ付け機能を使用するには、[タグを適用、除外、クリア] 権限と [ウェークアップ エー
ジェント、エージェント アクティビティ ログを表示] 権限が必要です。
[クライアントをウェー 選択すると、アプリケーションをウェークアップしてタグが直ちに適用されます。
クアップ]
[割り当て]
クリックすると、選択したタグが IP アドレスに適用されます。
関連トピック:
203 ページの「IP アドレスに ePolicy Orchestrator タグを割り当てる」
McAfee Risk Advisor のデータ取得
McAfee Risk Advisor データを取得する、複数の ePolicy Orchestrator サーバーを指定できます。データは、
ePolicy Orchestrator SQL Server データベースからデータベース クエリーによって取得されます。
データベース クエリーによって IP 対照レピュテーション スコア リストが表示され、低レピュテーションおよび高
レピュテーションの一定の値が得られます。すべての ePolicy Orchestrator および McAfee Risk Advisor リスト
が結合され、重複する IP のスコアが最高になります。高い値と低い値が結合されたリストが、SrcIP および DstIP
フィールドのスコアリングに使用される ACE デバイスに送信されます。
ePolicy Orchestrator を追加すると、McAfee Risk Advisor データを設定するかどうかを尋ねられます。[はい] を
クリックすると、データ エンリッチメント ソースと 2 つの ACE スコアリング ルール(該当する場合)が作成さ
れ、ロールアウトされます。それらを表示するには、[データ エンリッチメント] および [リスク相関スコアリング]
ページに移動します。スコアリング ルールを使用する場合は、リスク相関マネージャーを作成する必要があります。
McAfee Risk Advisor のデータ取得を有効化
ePolicy Orchestrator で McAfee Risk Advisor のデータ取得を有効にすると、スコア リストが生成され、SrcIP
および DstIP フィールドのスコアリングに使用される ACE デバイスに送信されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[ePO プロパティ] 、 [デバイス管理]を選択し、[有効] をクリックします。
取得が有効になると通知されます。
2
[OK] をクリックします。
関連トピック:
205 ページの「[ePO 管理] ページ」
204
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
[ePO 管理] ページ
ELM ロギング、ゾーン割り当て、アプリケーション更新、優先度、McAfee Risk Advisor のデータ取得を管理しま
す。
表 3-117 オプションの定義
オプション
定義
[ELM ロギングを管 選択したデバイスのデフォルト ロギング プールを設定します(『デフォルト ロギング プール
理]
を設定する』 を参照)。 このオプションは、ESM 上に ELM がある場合にのみ使用できます。
[ゾーン]
ゾーンに McAfee ePO を割り当てるか、現在の設定を変更します(『ゾーン管理』を参照)。
[デバイスを手動で
更新]
McAfee ePO デバイスからアプリケーションのリストを更新し、各アプリケーション用のクラ
イアント データ ソースを構築します。
[最終更新時刻]
アプリケーションが最後に更新された時刻を表示します。
[MRA を有効化]
McAfee Risk Advisor のデータ取得を有効にします(『McAfee Risk Advisor のデータ取得』
を参照)。
[優先度]
同じ資産または脅威を受信するために、複数の McAfee ePO デバイス、資産ソースまたは脆
弱性評価デバイスがセットアップされている場合があります。 複数のデバイスが同じ情報を
受信する場合、この McAfee ePO デバイスからの情報の優先度を選択します。
たとえば、ePO-1 と VA-1 でコンピューターを管理し、 ePO-1 がコンピューターからソフ
トウェアとハードウェアの情報を収集し、VA-1 がコンピューターに Windows がインストー
ルされていることを確認したとします。 ePO-1 に VA-1 より高い優先度を設定すると、
ePO-1 が収集した情報が VA-1 の情報で上書きされることはありません。
[アプリケーション
の更新をスケジュ
ール]
ePolicy Orchestrator デバイスのアプリケーション リストを自動的に更新するには、ドロッ
プダウン リストから頻度を選択します。
関連トピック:
204 ページの「McAfee Risk Advisor のデータ取得を有効化」
McAfee Real Time for McAfee ePO のアクションを実行する
ビューに IP アドレスが表示されている ESM とコンポーネントのクエリー結果に McAfee Real Time for McAfee
ePO のアクションを実行します。
開始する前に
McAfee Real Time for McAfee ePO クエリーを作成して実行します (「McAfee Real Time for
McAfee ePO ダッシュボードの McAfee ePO クエリ」を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、McAfee Real Time for McAfee ePO クエリーの結果を表示しているビュー コンポーネン
トのメニュー アイコン
をクリックします。
2
[アクション] を強調表示して、[Real Time for ePO のアクション] をクリックします。
3
[デバイス] タブで、アクションを実行する McAfee ePO デバイスを選択します。
4
[アクション] タブで、選択したデバイスで使用可能なアクションのリストでアクションをクリックします。
5
[フィルター] タブで、クエリーに適用するフィルター セットを指定し、[完了] をクリックします。
フィルターは McAfee ePO のダッシュボードやコンポーネントからは使用できません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
205
3
ESM の設定
デバイスの設定
Threat Intelligence Exchange の統合
Threat Intelligence Exchange は、接続しているエンドポイントにある実行ファイルのレピュテーションを確認し
ます。
ESM に McAfee ePO デバイスを追加すると、Threat Intelligence Exchange Server がデバイスに接続している
かどうか確認されます。 接続している場合、ESM は DXL での待機とイベントのロギングを開始します。
ESM が DXL に接続するときに、遅延が発生する可能性があります。
Threat Intelligence Exchange Server が検出されると、Threat Intelligence Exchange のウォッチリスト、デ
ータ エンリッチメント、相関ルールが自動的に追加され、Threat Intelligence Exchange アラームが有効になりま
す。 変更が発生すると、変更サマリーのリンクと一緒に視覚的な通知が送信されます。 デバイスを Threat
Intelligence Exchange に追加した後で McAfee ePO Server が ESM サーバーに追加された場合にも、この通知
が発生します。
Threat Intelligence Exchange で生成されたイベントは実行履歴で確認できます (『View Threat Intelligence
Exchange 実行履歴を表示してアクションを設定する』を参照)。また、不正なデータに対するアクションも選択で
きます。
相関ルール
Threat Intelligence Exchange データ用に 6 個の相関ルールが最適化されています。 これにより、検索とソート
が可能なイベントが生成されます。
•
TIE - 正常から不正に変更された GTI レピュテ
ーション
•
TIE - 単一のホストで見つかった複数の不正な
ファイル
•
TIE - ホスト数の増加で見つかった不正なファ
イル (SHA-1)
•
TIE - 正常から不正に変更された TIE レピュテ
ーション
•
TIE - ホスト数の増加で見つかった不正なファ
イル名
•
TIE - すべてのホストで見つかった不正なファ
イルの増加
アラーム
ESM には 2 つのアラームが用意されています。重要な Threat Intelligence Exchange イベントが検出されると、
トリガーされます。
•
[TIE で不正なファイルのしきい値を超過] が、[TIE - ホスト数の増加で見つかった不正なファイル (SHA-1)]
という相関ルールからトリガーされます。
•
[TIE で不明なファイルの実行] が特定の TIE イベントからトリガーされ、情報を [TIE データソース IP] のウォ
ッチリストに追加されます。
ウォッチリスト
[TIE データソース IP] ウォッチリストに、[TIE で不明なファイルの実行] アラームをトリガーするシステムが記録
されます。 これは統計用のウォッチリストで、有効期限は設定されていません。
Threat Intelligence Exchange 実行履歴
任意の Threat Intelligence Exchange イベントの実行履歴を表示できます (『Threat Intelligence Exchange 実
行履歴を表示してアクションを設定する』を参照)。ファイルの実行を試みた IP アドレスのリストも表示されます。
このページで、項目を選択すると、以下のアクションを実行できます。
206
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
•
ウォッチリストを作成する。
•
ブラックリストに情報を追加します。
•
ウォッチリストに情報を追加します。
•
情報を .csv ファイルにエクスポートします。
•
アラームを作成する。
3
関連トピック:
207 ページの「Threat Intelligence Exchange 実行履歴を表示してアクションをセットアップする」
Threat Intelligence Exchange 実行履歴を表示してアクションをセットアップする
Threat Intelligence Exchange の実行履歴ページには、選択したイベントに関連するファイルを実行したシステム
の一覧が表示されます。
開始する前に
ePolicy Orchestrator デバイスが Threat Intelligence Exchange サーバーに接続している必要があ
ります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、ePolicy Orchestrator デバイスをクリックします。
2
ビュー ドロップダウン リストで、 [イベント ビュー] 、 [イベント分析]の順に選択して、イベントをクリック
します。
3
メニュー アイコン
をクリックして、 [アクション] 、 [TIE 実行履歴]の順に選択します。
4
[TIE 実行履歴] ページで、Threat Intelligence Exchange ファイルを実行したシステムを確認します。
5
このデータをワークフローに追加するには、[アクション] ドロップダウン メニューをクリックしてオプションを
選択し、ESM のページを開きます。
6
選択したアクションをセットアップします (詳細については、オンライン ヘルプを参照)。
関連トピック:
206 ページの「Threat Intelligence Exchange の統合」
レポートまたはビューに表示する McAfee ePO デバイスを照会する
McAfee Real Time for McAfee ePO に統合されている場合、レポートやビューに表示する複数の McAfee ePO デ
バイスを照会できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでシステムをクリックし、[プロパティ] アイコン
ト] をクリックします。
をクリックして [レポー
[追加] をクリックしてセクション 1 から 4 に必要な情報を入力し、セクション 5 で[追加] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
207
3
ESM の設定
デバイスの設定
3
[レポート レイアウト] エディターを開き、ドラッグ アンド ドロップ操作で[テーブル]、[棒グラフ] または [円
グラフ] コンポーネントを配置します。
4
[クエリー ウィザード] で、ドロップダウン リストから [Real Time for McAfee EPO] を選択し、クエリーの要
素または質問を選択します。
5
[次へ] をクリックし、[デバイス] をクリックします。クエリーを実行する McAfee ePO デバイスを選択します。
6
(オプション) [フィルター] をクリックしてクエリーのフィルター値を追加し、[OK] をクリックします。
7
ドロップダウン リストで [カスタム ePO 質問] を選択した場合には、[フィールド] をクリックして、問題に追
加する要素を選択し、[OK] をクリックします。
8
[完了] をクリックして、[クエリー ウィザード] を終了します。[プロパティ] ペインでプロパティを定義し、レ
ポートを保存します。
データ エンリッチメントで McAfee ePO デバイスを照会する
McAfee Real Time for McAfee ePO に統合されている場合、レポートやビューに表示する複数の McAfee ePO デ
バイスを照会できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
リッチメント] をクリックします。
をクリックし、[データ エン
2
[メイン] タブで、[追加] をクリックして名前を入力し、項目を選択します。
3
[ソース] タブの [タイプ] フィールドで、McAfee Real Time for McAfee ePO を選択し、[デバイス] フィール
ドでデバイスを選択します。
4
[クエリー]、[スコア]、[宛先] の各タブで残りの設定を行い、[完了] をクリックします。
McAfee Real Time for McAfee ePO ダッシュボードで McAfee ePO デバイスを照会
する
McAfee Real Time for McAfee ePO デバイス ビューで、複数の McAfee ePO デバイスを照会するクエリーを実行
できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
208
1
システム ナビゲーション ツリーで、クエリーが実行される McAfee ePO デバイスをクリックします。
2
ESM コンソールでビュー リストをクリックし、McAfee Real Time for McAfee ePO を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
4
3
[フィルター] ペインでフィルターを選択します。
a
[要素] セクションでオープン フィールドをクリックして、照会する要素を選択します。
b
[フィルター] セクションでフィルターのタイプを選択し、オープン フィールドにフィルターを入力します。
c
フィルター アクションを選択して、値を入力します。
[クエリーを実行] アイコン
をクリックします。
Nitro Intrusion Prevention System (Nitro IPS) の設定
McAfee Nitro Intrusion Prevention System (Nitro IPS) デバイスは、巧みなネットワーク侵入の試行を検出した
り、これらの試行を積極的に記録および阻止するインテリジェントなパケットフィルタ システムです。 Nitro IPS
デバイスは、管理、データ取得、解析に使用される組み込みのデータ マネージャーと、アノマリ検出などの詳細な侵
入解析を統合しています。
デバイスは、業界標準ルール言語によって指定されるユーザー定義のルール セットに基づき、到着したパケットを選
択的に渡したり、ドロップおよびログします。 それぞれの Nitro IPS デバイスには、業界標準のファイアウォール
ルールによって制御される、完全な機能を持つファイアウォール コンポーネントが含まれており、低レベルのパケッ
ト検査機能と業界標準のシステム ログを使用できます。
アノマリ検出ウィザード
アノマリ検出は、どの Nitro IPS または仮想デバイスでも可能ですが、実際に大きい効果が得られるのはフロー デ
ータが収集されている場合のみです。[レート ベースのアノマリ検出ウィザード] では、選択したデバイスで使用で
きるすべての変数のリストと説明が表示されます。
一部のファイアウォール ルールはレートベースです。レートベースのルールは、ネットワーク トラフィックが [ポ
リシー エディター] 内のファイアウォールカテゴリの変数によって定義されるしきい値を超えたときにのみアラー
トをトリガーするルールです。これらの変数のデフォルト値は、ネットワーク トラフィックによっては意味をなさな
い場合もあるので、[レートベースのアノマリ検出ウィザード] はこれらのパラメーターと関連付けられるネットワー
ク フロー データのグラフを分析する機能を提供します。次にデフォルト値を選択するか、独自の値を指定するか、
または ESM がデータを分析するように選択し、ネットワークのトラフィックの履歴に基づいてこれらの値に何が適
しているかおおよその見当をつけることができます。 ネットワークはそれぞれ異なるので、これらの視覚的分析レポ
ートを見直し、ニーズに合った値を選択することでトラフィックの履歴を十分把握しておくことをお勧めします。
このウィザードでは、多数の複雑な計算によって、レート ベースのアノマリ パラメーターの推奨値が求められ、ネ
ットワーク トラフィックのパターンのビジュアルな分析が提示されます。Nitro IPS、仮想デバイス、Receiver、お
よびデータ ソースに多量のフロー データがある場合は、これらの計算で使用される時間範囲を制限することをお勧
めします。これらの値を計算するには、数日間または数週間の通常のネットワーク アクティビティをベースラインと
して使用します。これよりも期間を長くすると、予想以上に長い時間が計算にかかる場合があります。
レートベースのアノマリ ファイアウォール ルールと、それらの運用に影響する変数のリストを次に示します。
ルール
変数
値の大きい受信バイト レート
LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
値の大きい受信バイト
LARGE_INBOUND_BYTES_LIMIT
値の大きい受信ネットワーク接続レート LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT
値の大きい受信パケット レート
LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
大量受信パケット
LARGE_INBOUND_PACKETS_LIMIT
値の大きい送信バイト レート
LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
McAfee Enterprise Security Manager 9.6.0
製品ガイド
209
3
ESM の設定
デバイスの設定
ルール
変数
値の大きい送信ネットワーク接続レート LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
値の大きい送信パケット レート
LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
値の大きい送信パケット
LARGE_OUTBOUND_PACKETS_LIMIT
長い接続期間
LONG_DURATION_SECONDS
関連トピック:
210 ページの「アノーマリ検出変数の編集」
210 ページの「分析レポート を生成する」
アノーマリ検出変数の編集
[レートベースのアノーマリ検出ウィザード] は、アノーマリ検出変数をリストし、レートベースのアノーマリ検出デ
ータ分析に使用できるいくつかのオプションを提供します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、Nitro IPS またはフロー データを収集する仮想デバイスを選択し、[プロパ
ティ] アイコン
をクリックします。
2
[アノーマリ検出ウィザード] フィールドで [編集] をクリックします。
3
使用できるいずれかの機能を実行し、[OK] をクリックします。
関連トピック:
209 ページの「アノマリ検出ウィザード」
210 ページの「分析レポート を生成する」
分析レポート を生成する
[分析レポート] では、ネットワーク トラフィックのさまざまな側面のビジュアルな分析を実行できます。
このレポートは、目視検査によってネットワーク トラフィックのパターンの感触をつかむのに役立ちます。 収集す
るデータは、レートベースのアノマリ ルール パラメーターの値を選択して決定するときに役立ちます。
レポートを生成するには、デバイスで少なくとも 10,000 フローが生成されている必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、フロー データを収集していた Nitro IPS を選択し、[プロパティ] アイコン
をクリックします。
2
[アノマリ検出ウィザード] フィールドで [編集] をクリックします。
3
[分析] 、 [分析レポート] の順にクリックし、レポートの時間範囲と変数を選択します。
4
[OK] をクリックします。
レポートが生成されます。縦軸および横軸の目盛りは、グラフの軸上の円形アイコンをクリックしてドラッグするこ
とで、ズーム イン/ズーム アウトできます。
210
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
関連トピック:
209 ページの「アノマリ検出ウィザード」
210 ページの「アノーマリ検出変数の編集」
ファイアウォール ルールと標準ルールへのアクセス
ルールの追加と保守は [ポリシー エディター] で行います。ただし、ファイアウォール ルールと標準ルールの読み取
り、書き込み、表示、エクスポートおよびインポートは、IPS や IPS 仮想デバイスから行うことができます。
ルールは通常、このページから保守しないでください。この方法でルールを変更すると、デバイス ポリシー設定が [ポ
リシー エディター] での設定と同期しなくなります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ファイアウォール ルール] または [標準ルー
ル] をクリックします。
2
いずれかのオプションを選択し、[OK] をクリックします。
関連トピック:
211 ページの「ファイアウォール ルール」
212 ページの「[標準ルール] または [ファイアウォール ルール] ページ」
ファイアウォール ルール
ファイアウォール ルールは、プロトコル、ポート、Nitro IPS の IP アドレスなどのパケット情報に基づいてネット
ワーク イベントを検出するために使用されます。
ファイアウォール ポリシーは受信パケットをスキャンし、パケットが詳細なパケット検査エンジンに渡される前に、
特定された初期情報に基づいて判断を行います。ファイアウォール ルールは、スプーフィングされた IP アドレスや
無効な IP アドレスなどをブロックします。またネットワーク トラフィックのレートとサイズも追跡します。
ファイアウォール ルールには次のタイプがあります。
•
[アノーマリ] — アノーマリを検出します。多くのアノーマリ ベースのルールは相互に関係があり、[変数] タブ
で設定された値と合わせて使用されます。たとえば、[Long Connection Duration] ルールと [Long Duration
Seconds] 変数は、ルールがトリガーされるまでの秒数を決定するために使用されます。各ルールの詳細につい
ては、ページの下部にある詳細セクションを参照してください。
•
[アンチスプーフィング] — 無効な IP アドレスを検出します。たとえば、予約された内部 IP アドレスがデバイ
スを通じてネットワークに入ったことが確認されると、アンチスプーフィング ルールがトリガーされます。
•
[ブラックリスト] — ブラックリスト対象になった IP アドレスまたはポートに対して送受信されたパケットに対
して実行するアクションが決定されます。
•
[DHCP] — デバイスを通じた DHCP トラフィックを許可する機能のオンとオフを切り替えます。
•
[IPv6] — IPv6 トラフィックを検出します。
•
[ポート ブロック] — 特定のポートをブロックします。
アノーマリ検出
一部のファイアウォール ルールはレート ベースです。レート ベースのルールは、[ポリシー エディター] でファイ
アウォール カテゴリ変数によって定義されたしきい値をネットワーク トラフィックが超えた場合のみ、アラートを
トリガーするルールです。これらの変数のデフォルト値は、ネットワーク トラフィックによっては意味をなさない可
能性があるため、[レート ベースのアノーマリ検出ウィザード] では、これらのパラメーターに関連してネットワー
ク フロー データのグラフを分析する機能があります(『アノーマリ検出ウィザード』を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
211
3
ESM の設定
デバイスの設定
ファイアウォール例外
特定のタイプのトラフィックがファイアウォールを通過できるようにし、それ以外のトラフィックをブロックするた
めに、ファイアウォール例外が必要になる場合があります。たとえば、有効な内部アドレスが VPN などの外部ネッ
トワークから送信されると、Incoming Bogons アラートがトリガーされます。アラートを停止するには、ファイア
ウォール ルールの例外を設定する必要があります。
また 1 つの例外を、他の例外で定義されたパターンの例外として扱い、例外リストの例外とする(アドレスまたはア
ドレスのブロックを含める)こともできます。あるアドレスを 1 つのファイアウォール ルールに照らしてチェック
する必要があり、IP アドレスがすでに承認されたアドレス ブロックに含まれる場合は、IP アドレス(またはマス
ク)を入力してボックスを選択することで、例外リストから除外することができます。
例として、例外リストにすでにアドレス ブロック 10.0.0.0/24 が含まれているとします。この範囲のすべてのアド
レスが、ルールの例外になります。ソース アドレス 10.0.0.1 がこのルールについてアクティブな場合は、[これを
他の例外で定義??たパターンの例外として処理します] を選択し、ソース フィールドに 10.0.0.1 と入力します。フ
ァイアウォール ルールは 10.0.0.1 に適用されますが、10.0.0.1 が例外リストの例外になったため、10.0.0.0/24
ブロック内の他のアドレスには適用されません。
関連トピック:
211 ページの「ファイアウォール ルールと標準ルールへのアクセス」
478 ページの「カスタム ファイアウォール ルールを追加」
479 ページの「ファイアウォール例外を追加」
[標準ルール] または [ファイアウォール ルール] ページ
ルールの追加と保守は [ポリシー エディター] で行います。ただし、ファイアウォール ルールと標準ルールの読み取
り、書き込み、表示、エクスポートおよびインポートは、IPS から行うことができます。
表 3-118 オプションの定義
オプション
定義
[読み取り]
デバイスからルールを取得します。ルールは ESM データベース内のバッファーに格納されてい
ます。
[書き込み]
ESM データベースのバッファー コピーからルールをデバイスに書き込みます。
[表示]
ESM バッファー コピーに現在格納されているルールを表示します。
[エクスポート] ESM バッファー コピーからローカル ファイルにルールをエクスポートします。
[インポート]
ローカル ファイルからルールをインポートして、ESM バッファー コピーに上書きします。これら
のルールをデバイスに書き込む場合は、[書き込み] をクリックします。
関連トピック:
211 ページの「ファイアウォール ルールと標準ルールへのアクセス」
IPS または仮想デバイス ブラックリスト
ブラックリストは、トラフィックがデバイスを通過し、詳細なパケット検査エンジンによる解析を受ける前に、トラ
フィックをブロックします。
[ブラックリスト エディター] を使用して、ブロック対象のソース、ブロック対象の宛先、デバイスの除外設定を手
動で管理できます。このデバイスを[グローバル ブラックリスト]設定の対象にするかどうかを選択することもでき
ます。 このデバイスにこれらの設定を含めるには、エディター最上部の [グローバル ブラックリストを含む] チェッ
クボックスを選択する必要があります。
[ブラックリスト エディター] 画面には、次の 3 つのタブがあります。
212
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
•
[ブロック対象のソース] — デバイスを通過するトラフィックのソース IP アドレスとの一致を確認します。
•
[ブロック対象の宛先] — デバイスを通過するトラフィックの宛先 IP アドレスとの一致を確認します。
•
[除外] — いずれかのブラックリストに自動的に追加される対象から除外されます。重大な IP アドレス 8DNS
とその他のサーバー、またはシステム管理者のワークステーションなど) を除外に追加することで、どのようなイ
ベントが生成されても、自動的にブラックリスト対象にならないようにできます。
[ブロック対象のソース] タブと [ブロック対象の宛先] タブのエントリは、どちらも特定の宛先ポートに対するブラ
ックリストを絞り込むように設定できます。
ホストを手動でブラックリストに追加したり削除することもできます。 [ブラックリスト エディター] 内のタブの 1
つを選択すると、エントリを追加したり変更することができます。エントリを追加する必要があるフィールドとして、
[IP アドレス]、[ポート] (バージョン 6.2.x 以上)、[期間] (恒久的または一時的) などがあります。 オプションの
[説明] フィールドもあります。
エントリを追加するときは、以下に留意してください。
•
[追加] および [変更] は、変更した情報に応じて有効になります。IP アドレスまたはポートを変更すると、[追
加] が有効になります。期間または説明を変更すると、[変更] が有効になります。
•
[ブロック対象のソース] と [ブロック対象の宛先] リストのエントリは、すべてのポートまたは特定のポートをブ
ラックリストの対象にするように設定できます。
•
IP アドレスのマスクした範囲を使用するエントリは、ポートを [any] (0) に設定し、期間を「恒久的」に設定す
る必要があります。
•
エントリは、一時的 (分、時間、日単位で指定) または恒久的に追加できます。ただし、[除外] は恒久的なエント
リのみです。
•
これらのリストでは、IP アドレス形式が要求されますが、それらのアドレスに意味を加えるために役立つツール
が用意されています。 [IP アドレス] フィールドに IP アドレスまたはホスト名を入力した後、そのコントロール
の隣のボタンは入力した値に応じて [解決] または [参照] と表示されます。 [解決] を選択すると、入力したホス
ト名を解決し、[IP アドレス] フィールドにその情報を入力して、ホスト名を [説明] フィールドに移動します。
[参照] を選択すると、IP アドレスの参照を実行し、[説明] フィールドに参照結果の値を入力します。Web サイ
トによっては、2 つ以上の IP アドレスがあるか、常に同じではない IP アドレスがあるので、一部の Web サイ
トをブロックするときはこのツールに依存しないでください。
リスト上で IP アドレスを選択し、生成されたイベントをサマリー レポート上に表示できます。これにより、攻撃者
がトリガーしたイベント、ブラックリストに追加されたイベント、またはブラックリスト対象になる前に試みられた
可能性があるその他の攻撃を確認できます。
また[ブラックリスト エディター]を使って、イベントの適用、再読み込み、削除を行うこともできます。
関連トピック:
213 ページの「IPS ブラックリストの管理」
215 ページの「自動ブラックリストの設定」
IPS ブラックリストの管理
IPS ブラックリストは [ブラックリスト エディター] 上で管理できます。アイテムの追加、変更、削除、ブラックリ
ストへの変更の書き込み、デバイスからの新規および更新情報の読み取り、違反している IP アドレスによって生成
されたイベントの表示、そしてホスト名または IP アドレスの参照または解決を行えます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
213
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ブラックリスト] 、 [エディター]をクリックし
ます。
2
[ブロック対象のソース]、[ブロック対象の宛先]、または [除外] タブを選択します。
3
必要な操作を行い、[閉じる] をクリックします。
関連トピック:
212 ページの「IPS または仮想デバイス ブラックリスト」
215 ページの「自動ブラックリストの設定」
214 ページの「[ブラックリスト エディター] ページ」
[ブラックリスト エディター] ページ
ブロック対象のソース、ブロック対象の宛先、除外ブラックリストの各設定を管理します。
表 3-119 オプションの定義
オプション
定義
[グローバル ブラッ グローバル ブラックリスト エントリをこのブラックリストに追加する場合に選択します。
クリストを含む]
[ブロック対象のソ
ース] タブ
ブロックするソース IP アドレスを管理します。
[ブロック対象の宛
先] タブ
ブロックする宛先 IP アドレスを管理します。
[除外] タブ
DNS とその他のサーバーまたはシステム管理者のワークステーションなど、自動的にはブラ
ックリストの対象にしない IP アドレスのリストを管理します。
[IP アドレス]
リストにアイテムを追加するときは、IP アドレスを入力します。
[参照]
クリックして、入力した IP アドレスの説明を参照します。
[追加]
IP アドレスの入力後、クリックするとリストに追加されます。
[ポート]
ブラックリスト対象を特定の宛先ポートに絞り込むには、ポート番号を入力します。デフォル
ト設定はどのポートも許可するゼロ(0)です。
[変更]
既存のブラックリスト アイテムの説明を変更して、このオプションをクリックします。
[説明]
(オプション)IP アドレスの説明を入力するか、[参照] をクリックして説明を特定します。既
存のアドレスの説明を変更するには、変更内容を入力して [変更] をクリックします。
[期間]
ブラックリストが継続する期間を選択します。
[書き込み] アイコ
ン
新しいアイテムを ESM に保存できる状態になったときにクリックします。変更内容を書き
込む前にブラックリスト ページを終了すると、変更内容は保存されません。
[読み取り] アイコ
ン
クリックして、ブロック対象のソース、ブロック対象の宛先、および除外を更新します。
[削除] アイコン
クリックして、選択したアイテムをブラックリストから削除します。[ステータス] フィールド
が [次回の書き込み時に削除] に変わります。
[イベントを表示]
アイコン
クリックして、違反している IP アドレスからイベント レポートを生成します。レポートは、
コンソール上のビューとして表示されます。
関連トピック:
213 ページの「IPS ブラックリストの管理」
214
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
デバイスの設定
自動ブラックリストの設定
[自動ブラックリスト設定] ページでは、デバイスの自動ブラックリスト構成設定を管理できます。
自動ブラックリスト設定は、デバイスごとに行われます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ブラックリスト] 、 [設定]をクリックします。
2
必要に応じて設定を定義し、[OK] をクリックします。
関連トピック:
212 ページの「IPS または仮想デバイス ブラックリスト」
213 ページの「IPS ブラックリストの管理」
215 ページの「[自動ブラックリスト設定] ページ」
[自動ブラックリスト設定] ページ
選択したデバイスの自動ブラックリスト構成設定を定義します。
表 3-120 オプションの定義
オプション
定義
[イベント数が次の回数
に達したらブラックリ
スト アラートをトリガ
ーする]
イベント集計数を使って、ルールが指定された回数トリガーされた後にのみブラックリス
ト対象にします。この値のデフォルトは 10 です。1 回の自動ブラックリスト ルール違
反の後にのみブラックリスト対象にするには、この値を 1 に設定します。
[自動ブラックリストの
期間]
違反している IP アドレスを削除するまでブラックリストに残しておく時間の長さを設
定します。値は分、時間、または日数で指定できます。
[応答によりアラートが
トリガーされた場合、ブ
ロック対象の宛先リス
トに追加する]
違反しているイベントのホストを、ソース ブラックリストとブロック対象の宛先リスト
に追加します。これが必要なのは、一部のイベントが接続のイニシエーターによって生成
され、他のイベントがイニシエーターのリクエストに応答する接続のもう一端でホストに
よって生成されるためです。
ホストがブラックリストに追加されると、デバイスを介してデータを送信しようとするこ
のホストによる追加試行では、BLACKLIST Inbound Destination (2000050)、
BLACKLIST Inbound Source (2000049)、BLACKLIST Outbound Destination
(2000052)、または BLACKLIST Outbound Source (2000051) の 4 つのイベントの
うちの 1 つが生成されます。これらのイベントのデフォルトの用途はブロックです。つ
まり、ブラックリスト対象のソースから、またはブラックリスト対象の宛先へのトラフィ
ックは、すべてデバイスを通過しないことを意味します。ただし、これら 4 つのブラッ
クリスト イベントに対して実行されたアクションは、他のルールと同じ方法で変更でき
ます。この 4 つのブラックリスト固有ルールを探すには、[ポリシー エディター] の [ル
ール タイプ] ペインで [ファイアウォール] を選択します。
関連トピック:
215 ページの「自動ブラックリストの設定」
McAfee Vulnerability Manager 設定
McAfee Vulnerability Manager は ESM にデバイスとして追加できます。それにより、ESM から McAfee
Vulnerability Manager 上でスキャンを開始できます。McAfee Vulnerability Manager デバイスを購入して、
ESM から実行する場合にこれは役立ちます。
イベントは McAfee Vulnerability Manager ではなく Receiver から引き出されるので、McAfee Vulnerability
Manager を Receiver と関連付ける必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
215
3
ESM の設定
デバイスの設定
関連トピック:
216 ページの「McAfee Vulnerability Manager 証明書とパスフレーズの取得」
216 ページの「McAfee Vulnerability Manager スキャンの実行」
217 ページの「McAfee Vulnerability Manager 接続の設定」
McAfee Vulnerability Manager 証明書とパスフレーズの取得
McAfee Vulnerability Manager 接続を設定する前に McAfee Vulnerability Manager 証明書とパスフレーズを取
得する必要があります。このタスクは ESM 上では行いません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Foundstone Certificate Manager を実行するサーバー上で、Foundstone Certificate Manager.exe を実行し
ます。
2
[SSL 証明書を作成] タブをクリックします。
3
[ホスト アドレス] フィールドで、McAfee Vulnerability Manager の Web インターフェースをホストするシス
テムのホスト名または IP アドレスを入力し、[解決] をクリックします。
4
[コモン ネームを使用して証明書を作成] をクリックして、パスフレーズと .zip ファイルを生成します。
5
.zip ファイルをアップロードし、生成されたパスフレーズをコピーします。
関連トピック:
215 ページの「McAfee Vulnerability Manager 設定」
216 ページの「McAfee Vulnerability Manager スキャンの実行」
217 ページの「McAfee Vulnerability Manager 接続の設定」
McAfee Vulnerability Manager スキャンの実行
[スキャン] ページは、McAfee Vulnerability Manager から実行中または実行済みのすべての脆弱性スキャンと、そ
れらのステータスを表示します。このページを開くと、API はデフォルトの Web ログイン認証情報があるかどうか
を確認します。認証情報がある場合、スキャン リストはそれらの認証情報に基づいて入力され、60 秒ごとに更新さ
れます。このページから新しいスキャンを開始することも可能です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [MVM プロパティ] を選択し、次に [スキャン] をクリックします。
2
[新しいスキャン] をクリックして、リクエストされた情報を入力します。
3
[OK] をクリックします。
スキャンは、完了するとスキャン リストに追加されます。
関連トピック:
215 ページの「McAfee Vulnerability Manager 設定」
216 ページの「McAfee Vulnerability Manager 証明書とパスフレーズの取得」
217 ページの「McAfee Vulnerability Manager 接続の設定」
216
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
デバイスの設定
3
McAfee Vulnerability Manager 接続の設定
McAfee Vulnerability Manager で、McAfee Vulnerability Manager から脆弱性評価データを引き出すためのデー
タベースへの接続、および McAfee Vulnerability Manager でスキャンを実行するための Web ユーザー インター
フェースへの接続を設定する必要があります。
開始する前に
McAfee Vulnerability Manager 証明書とパスフレーズを取得する必要があります。
これらの設定を変更しても、デバイス自体には影響しません。デバイスが ESM と通信する方法にのみ影響します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [MVM プロパティ] を選択し、次に [接続] をクリックします。
2
要求された情報を入力し、[OK] をクリックします。
関連トピック:
215 ページの「McAfee Vulnerability Manager 設定」
216 ページの「McAfee Vulnerability Manager 証明書とパスフレーズの取得」
216 ページの「McAfee Vulnerability Manager スキャンの実行」
McAfee Network Security Manager の設定
McAfee Network Security Manager は ESM にデバイスとして追加できます。それにより、ESM から各機能にア
クセスできます。 これは、デバイスを購入して、ESM からアクセスする場合に役立ちます。
McAfee Network Security Manager デバイスを ESM に追加すると、デバイス上のセンサーは、システム ナビゲ
ーション ツリーのデバイスの下に子としてリストされます。 イベントは McAfee Network Security Manager で
はなく Receiver から引き出されるので、デバイスを Receiver と関連付ける必要があります。
関連トピック:
217 ページの「ブラックリスト エントリを追加する」
218 ページの「削除済みのブラックリスト エントリを追加または削除」
219 ページの「NSM デバイスでのレイヤー 7 の収集」
ブラックリスト エントリを追加する
McAfee Network Security Manager はセンサーを介してブラックリストを適用します。 [ブラックリスト] ペー
ジは、選択したセンサーについて定義したブラックリスト エントリを表示します。このページから、ブラックリスト
アイテムを追加、編集、および削除できます。
ブラックリスト機能を使用するには、スーパー ユーザーである必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
217
3
ESM の設定
デバイスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [NSM のプロパティ] を選択してから、[ブラックリスト] をクリックし、セ
ンサーを選択します。
2
グローバル ブラックリスト エントリをこのセンサーに適用するには、[グローバル ブラックリストを含む] を選
択します。
グローバル ブラックリスト アイテムがリストに追加されます。重複した IP アドレスがある場合は、グローバル
ブラックリストによって McAfee Network Security Manager アドレスが上書きされます。
このオプションを一度選択すると、自動的に元に戻すことはできません。アイテムは、手動で削除する必要があり
ます。
3
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
有効期限に達するまでは、エントリがブラックリストに表示されます。
関連トピック:
217 ページの「McAfee Network Security Manager の設定」
218 ページの「削除済みのブラックリスト エントリを追加または削除」
219 ページの「NSM デバイスでのレイヤー 7 の収集」
218 ページの「[NSM ブラックリスト エントリを追加] ページ」
[NSM ブラックリスト エントリを追加] ページ
ブラックリスト エントリの設定を定義します。
表 3-121 オプションの定義
オプション
定義
[IP アドレス]
ブラックリスト対象にする IP アドレスを入力します。
[期間]
このアドレスをブラックリスト対象にする期間を選択します。
[説明]
このエントリの説明を入力します。
関連トピック:
217 ページの「ブラックリスト エントリを追加する」
削除済みのブラックリスト エントリを追加または削除
まだ期限切れになっていない ESM で開始されたエントリで、McAfee Network Security Manager (Manager) に
クエリーが行われたときにブラックリスト エントリのリストに返されていないものは、[削除済み] のステータスに
フラグ アイコン付きで表示されます。
この状態になるのは、エントリが削除済みでも、ESM 上で削除が開始されていない場合です。その場合は、このエ
ントリをブラックリストに再度追加するか、またはブラックリストから削除できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
218
1
システム ナビゲーション ツリーで [NSM プロパティ] を選択し、次に [ブラックリスト] をクリックします。
2
ブラックリスト エントリのリストで削除済みエントリを選択し、[追加] または [削除] をクリックします。
3
[適用] または [OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
関連トピック:
217 ページの「McAfee Network Security Manager の設定」
217 ページの「ブラックリスト エントリを追加する」
219 ページの「NSM デバイスでのレイヤー 7 の収集」
NSM デバイスでのレイヤー 7 の収集
NSM イベントが NSM データベースに書き込まれると、レイヤー 7 データがデータベースに記録されます。 これ
は、イベントと一緒に取得できません。
NSM からレイヤー 7 情報を取得するため、イベントの取得時に遅延を発生させ、レイヤー 7 データを追加できま
す。 この遅延は、レイヤー 7 データに関連するイベントだけでなく、すべての NSM イベントに適用されます。
この遅延は、NSM 関連の次のアクションを実行するときに設定できます。
•
コンソールへの McAfee NSM デバイスの追加
•
NSM デバイスの設定
•
NSM データソースの追加
McAfee NSM デバイスの追加
NSM デバイスを ESM に追加するときに (『ESM コンソールにデバイスを追加する』を参照)、[レイヤー 7 の収集
を有効にする] を選択して、[デバイスの追加ウィザード] の 4 番目のページで遅延を設定します
NSM デバイスの設定
NSM デバイスを ESM コンソールに追加するときに、デバイスの接続設定を行うことができます ([ESM との接続を
変更する]を参照)。 [レイヤー 7 の収集を有効にする] を選択して、[接続] ページで遅延を設定できます。
NSM データソースの追加
NSM データソースを Receiver に追加するには (『データソースを追加する』を参照)、[データソース ベンダー] フ
ィールドで McAfee を選択し、[データソース モデル] フィールドで [Network Security Manager - SQL プル
(ASP)] を選択します。 [レイヤー 7 の収集を有効にする] を選択して、[データソースを追加] ページで遅延を設定
できます。
関連トピック:
217 ページの「McAfee Network Security Manager の設定」
217 ページの「ブラックリスト エントリを追加する」
218 ページの「削除済みのブラックリスト エントリを追加または削除」
補助サービスの設定
補助サービスとしては、Remedy サーバー、ネットワーク タイム プロトコル (NTP) サーバー、DNS サーバーなど
があります。 ESM を通信を行うように、これらのサービスを設定します。
目次
一般システム情報
Remedy サーバー設定を設定
ESM システム ツリーの自動更新を停止する
メッセージ設定の定義
デバイスで NTP を設定する
ネットワーク設定を構成
システム時刻の同期
McAfee Enterprise Security Manager 9.6.0
製品ガイド
219
3
ESM の設定
補助サービスの設定
新しい証明書をインストール
プロファイルの設定
SNMP 設定
一般システム情報
[システムのプロパティ] 、 [システム情報] の順に移動し、システムおよび各種機能のステータスの一般情報を参照
できます。[システム ログ] ページで、システムまたはデバイスで行われたイベントを参照できます。
この情報は、システムについて McAfee サポートに問い合わせる、イベントまたはフロー集計などの機能を設定す
る、ルールの更新またはシステム バックアップのステータスをチェックする際に参照できます。
•
[システム]、[カスタマー ID]、[ハードウェア]、[シリアル番号] は、システムおよびシステムの現在の操作ステ
ータスの情報を提供します。
•
[データベース ステータス] は、データベースがその他の機能 (データベース再構築やバックグラウンド再構築な
ど) を実行している時間とそれらの機能のステータスを示します。[OK] ステータスは、データベースが正常に動
作していることを示します。
•
[システム クロック] は [システムのプロパティ] が最後に開かれたか更新された日時を示します。
•
[ルールの更新]、[イベント、フロー、ログ]、[バックアップとリストア] はそれぞれ、ルールの更新、イベント、
フロー、ログの取得、バックアップとリストアが最後に実行された時刻を示します。
•
FIPS モードでは、[FIPS セルフ テスト] と [ステータス] が FIPS セルフ テストが最後に実行された時刻とステ
ータスを示します。
•
[レポートを表示] は、[ESM デバイス タイプ数] レポートと [イベント時間] レポートを示します。
関連トピック:
220 ページの「[システム情報] ページ」
[システム情報] ページ
システムおよび各種機能のステータスの一般情報を表示します。この情報は、システムについて McAfee サポートに
問い合わせる、イベントまたはフロー集計などの機能を設定する、ルールの更新またはシステム バックアップの現在
のステータスをチェックする際に役立ちます。
表 3-122 オプションの定義
オプション
定義
[システム]
デバイス タイプ、ソフトウェアのバージョンとビルド番号、各デバイスに一意に割り当
てられているマシン ID 番号。
[カスタマー ID]
McAfee に永続的な認証情報を設定するときに付与される番号。
[ハードウェア]
ハードウェアとメモリに関する情報。
[シリアル番号]
このデバイスのメーカーのシリアル番号。
[システム クロック
(GMT)]
[システムのプロパティ] ページを最後に開いたか、更新した日時。リンクをクリックす
ると、システム クロックと NTP 設定を変更できます。
[デバイス クロックを同 ESM 時刻と NTP サーバーをデバイスに同期します。
期]
220
[ルールの更新]
ルールの最終更新時刻、更新方法、永続的な認証情報を設定していない場合は、ライセン
スの有効期限日(『ルールの更新のチェック』または『ルール ダウンロードの認証情報の
取得』 を参照)。
[イベント、フロー、ロ
グ]
システムでイベント、フロー、ログを最後に確認した時刻と次回の確認時刻。リンクをク
リックして今すぐダウンロードするか、自動確認を設定できます(『イベント、フロー、
ログ』を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
表 3-122 オプションの定義 (続き)
オプション
定義
[バックアップとリスト
ア]
システム バックアップが最後に実行された時刻と、バックアップが手動で実行されたか
または自動的に実行されたかどうか。バックアップとリストア設定を定義する場合にリ
ンクをクリックします(『システム設定のバックアップとリストア』を参照)。
[データベース ステータ データベースのステータス。データベースやバックグラウンドの再構築など、実行してい
ス]
る機能のステータスが表示されます。[OK] ステータスは、機能が正常に動作しているこ
とを示します。
[システム情報を更新]
ページに表示されているデータを更新します。
[デバイス サマリー レ
ポート]
[デバイス タイプ数] レポートと [イベント時間] レポートを表示します。このデータ
の .csv ファイルをエクスポートできます。
関連トピック:
220 ページの「一般システム情報」
Remedy サーバー設定を設定
Remedy システムを設定している場合は、ESM との通信が可能になるように Remedy を設定する必要があります。
開始する前に
Remedy システムを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[カスタム設定] 、 [Remedy]をクリ
ックします。
2
[Remedy の設定] ページで Remedy システムの情報を入力し、[OK] をクリックします。
[イベントを Remedy に送信]
ルで送信されます。
を [イベント分析] ビューで選択すると、このページに入力した情報が電子メー
関連トピック:
221 ページの「[Remedy の設定] ページ」
[Remedy の設定] ページ
ESM が Remedy システムと通信できるように [Remedy 電子メール サーバー] 設定を構成します。
表 3-123 オプションの定義
オプション
定義
[ホスト]
Remedy システムのホストを入力します。
[ポート]
必要に応じて、ポート番号を変更します。
[TLS を使用]
TLS を暗号化プロトコルとして使用する場合に選択します。
[ユーザー名]
必要に応じて、Remedy システムのユーザー名を入力します。
[パスワード]
必要に応じて、Remedy システムのパスワードを入力します。
[送信者のアドレス]
Remedy メッセージの送信者の電子メール アドレスを入力します。
[宛先のアドレス]
Remedy メッセージの送信先の電子メール アドレスを入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
221
3
ESM の設定
補助サービスの設定
関連トピック:
221 ページの「Remedy サーバー設定を設定」
ESM システム ツリーの自動更新を停止する
ESM のシステム ツリーは 5 分間隔で自動的に更新されます。 必要であれば、自動更新を停止できます。
開始する前に
この設定を変更するには、[システム管理] 権限が必要です。
更新中はツリーでデバイスを選択できません。 ESM でデバイスの数が多いと、デバイスの [プロパティ] ページにア
クセスできなくなる場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ツリーで ESM を選択し、[プロパティ] アイコン
をクリックします。
[カスタム設定] をクリックして、[システム ツリーの自動更新] の選択を解除します。
システム ツリーを手動で更新するには、システム ツリーのアクション ツールバーで [デバイスの更新] アイコン
をクリックします。
メッセージ設定の定義
アラームのアクションを定義したり、レポートの配信方法をセットアップするときに、メッセージを送信するように
選択できます。 ただし、その前に ESM をメール サーバーに接続し、電子メール、SMS、SNMP または Syslog に
よるメッセージの受信者を指定する必要があります。
ESM は、SNMP v1 プロトコルでアラーム通知を送信します。 SNMP は UDP を転送プロトコルとして使い、マネ
ージャーとエージェント間でデータをやりとりします。 SNMP の設定では、ESM などのエージェントはトラップと
いうデータのパケットを使用して SNMP サーバー (ネットワーク管理ステーション、NMS) にイベントを転送しま
す。 ネットワーク内の他のエージェントは、通知の受信と同じ方法でイベント レポートを受信できます。 SNMP ト
ラップ パケットのサイズ制約により、ESM はレポートの各行を個別のトラップで送信します。
Syslog は、ESM で生成されたクエリーの CSV レポートも送信できます。 Syslog は、クエリー CSV レポートを
Syslog メッセージごとに 1 行ずつ、カンマ区切りフィールドに配置されたクエリー結果の各行のデータと一緒に送
信します。
関連トピック:
222 ページの「メール サーバーとの接続」
223 ページの「受信者の管理」
224 ページの「電子メールの受信者グループを追加する」
322 ページの「アラーム メッセージ テンプレートを作成する」
324 ページの「相関アラームにソース イベントを追加する」
325 ページの「アラーム受信者を管理する」
メール サーバーとの接続
アラームを送信し、メッセージを報告できるようにメール サーバーとの接続を設定します。
開始する前に
管理者権限を持っているか、ユーザー管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
222
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[電子メール設定] をクリックし、メール サーバーとの接続に必要な情報を入力します。
オプション
説明
[ホスト] と [ポート]
メール サーバーのホストとポートを入力します。
[TLS を使用]
TLS 暗号化プロトコルを使用するかどうかを選択します。
[ユーザー名] と [パス メール サーバーのアクセスに必要なユーザー名とパスワードを入力します。
ワード]
[タイトル]
メール サーバーから送信されるすべての電子メールに使用する汎用的なタイトルを入
力します。たとえば、メッセージを生成した ESM を識別できるように ESM IP アドレ
スを入力します。
[送信者]
自分の名前を入力します。
[受信者を設定]
受信者を追加、編集、削除クリックします (アラーム受信者を管理する325 ページの
「」を参照)。
3
テスト メールを送信して設定を確認します。
4
受信者を追加、編集、削除クリックします (アラーム受信者を管理する325 ページの「」を参照)。
5
[適用] または [OK] をクリックして設定を保存します。
関連トピック:
222 ページの「メッセージ設定の定義」
223 ページの「受信者の管理」
224 ページの「電子メールの受信者グループを追加する」
受信者の管理
アラームまたはレポートのメッセージは複数の形式で送信でき、それぞれに管理可能な受信者リストがあります。電
子メール アドレスをグループ化することで、複数の受信者へ一度にメッセージを送信できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[電子メール設定] をクリックしま
す。
2
[受信者を設定] をクリックし、追加したいタブを選択します。
3
[追加] をクリックし、要求された情報を追加します。
4
[OK] をクリックします。
受信者が ESM に追加され、ESM 内で受信者が使用されるどのような場所でも受信者を選択できます。
関連トピック:
222 ページの「メッセージ設定の定義」
222 ページの「メール サーバーとの接続」
224 ページの「電子メールの受信者グループを追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
223
3
ESM の設定
補助サービスの設定
電子メールの受信者グループを追加する
複数の受信者に同時にメッセージを送信できるように、電子メールの受信者をグループ化します。
開始する前に
受信者とそのメール アドレスがシステムに登録されている必要があります (『ユーザーを追加する』を
参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[電子メール設定]、[受信者を設定] の順にクリックし、[電子メール グループ] 、 [追加] の順にクリックします。
3
グループの名前を入力し、このグループのユーザーを選択して [OK] をクリックします。
グループが [電子メール グループ] ページの [電子メール受信者グループ] セクションに追加されます。
関連トピック:
222 ページの「メッセージ設定の定義」
222 ページの「メール サーバーとの接続」
223 ページの「受信者の管理」
デバイスで NTP を設定する
Network Time Protocol (NTP) サーバーを使用して、デバイスの時刻と ESM を同期させます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [NTP] の順にクリックします。
3
要求された情報を入力し、[OK] をクリックします。
をクリックします。
タスク
•
225 ページの「NTP サーバーのステータスを表示する」
ESM 上のすべての NTP サーバーのステータスを表示します。
関連トピック:
225 ページの「NTP サーバーのステータスを表示する」
224 ページの「NTP サーバーを設定 ページ」
NTP サーバーを設定 ページ
デバイスの NTP サーバーを管理し、時刻の同期に NTP サーバーを使用するかどうかを指定します。
表 3-124 オプションの定義
オプション
定義
[時刻の同期に NTP システム クロックを使用する代わりに、NTP サーバーをデバイスの時刻の同期に使用する場
サーバーを使用]
合、このオプションを選択します。
テーブル
224
デフォルトの NTP サーバーとデバイスに追加されているサーバーを表示します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
表 3-124 オプションの定義 (続き)
オプション
定義
[NTP サーバー列]
この列をクリックして、デバイスに追加する NTP サーバーの IP アドレスを追加します。 最
大 10 台までサーバーを追加できます。
IPS クラス デバイスの NTP サーバー アドレスは IP アドレスである必要があります。
[認証キー] および
[キー ID] 列
各 NTP サーバーの認証キーとキー ID を入力します (不明な場合はネットワーク管理者にお
問い合わせください)。
[ステータス]
クリックすると、リスト内の NTP サーバーのステータスが表示されます。サーバーのリスト
に変更を加えている場合は、[OK] をクリックして変更を保存し、ページを閉じて再度開いて
から [ステータス] をクリックしてください。
関連トピック:
224 ページの「デバイスで NTP を設定する」
NTP サーバーのステータスを表示する
ESM 上のすべての NTP サーバーのステータスを表示します。
開始する前に
ESM またはデバイスに NTP サーバーを追加します (「システム時刻の同期」または「デバイスで NTP
を設定する」を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーで、次のいずれかを実行します。
•
次に[システムのプロパティ] 、 [システム情報] の順にクリックし、[システム クロック] をクリックします。
•
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコンをクリックして [設定] 、
[NTP]の順に選択します。
[ステータス] をクリックし、NTP サーバー データを確認し、[閉じる] をクリックします。
関連トピック:
224 ページの「デバイスで NTP を設定する」
226 ページの「NTP サーバーのステータス[] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
225
3
ESM の設定
補助サービスの設定
NTP サーバーのステータス[] ページ
NTP サーバーのステータスを表示します。[システム クロック] ページまたは [NTP サーバーを設定] ページで
NTP サーバー リストを変更した場合、このページに変更が反映されるまでに最大で 10 分かかる可能性があります。
表 3-125 オプションの定義
オプション
定義
[NTP サーバ
ー] 列
NTP サーバーの IP アドレスの一覧が表示されます。 アドレスの前に次の記号が表示される場合
があります。
• * - サーバーが現在参照している
• x - ソースの FalseTicker
• + - 選択され、最終セットに含まれてい
る
• 。- 候補リストの最後から選択
• # - 選択されているが、距離が最大値を
超えている
• - クラスター アルゴリズムにより破棄
• o - 選択され、パルス/秒 (PPS) が使用
されている
[到達可能] 列
[はい] は、サーバーが到達可能であることを、[いいえ] は到達不可能であることを示します。
[認証] 列
[なし] は認証情報が提供されていない、[不正] は認証情報が正しくない、[はい] は正しい認証情
報が提供されたことを示します。
[条件] 列
条件は、[NTP サーバー] 列の記号に対応しています。 [候補] は可能な選択肢であること、
[sys.peer] は現在の選択肢であること、[拒否] は到達不可能を示します。すべてのサーバーが
[拒否] とマークされている場合、NTP 設定が再起動している可能性があります。
関連トピック:
225 ページの「NTP サーバーのステータスを表示する」
ネットワーク設定を構成
ESM サーバー ゲートウェイおよび DNS サーバー IP アドレスの追加、プロキシ サーバー設定の定義、SSH の設
定、静的ルートの追加を行って、ESM でのネットワークへの接続方法を設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ネットワーク設定] をクリックし
ます。
2
ネットワークへの接続を設定するための情報を入力します。
3
[適用] または [OK] をクリックします。
タスク
226
•
238 ページの「ESM またはデバイスで IPMI ポートを設定する」
IPMI ポートにネットワークを設定して、ESM またはデバイスで IPMI をセットアップします。
•
240 ページの「ESM でネットワーク トラフィック制御を設定する」
ESM にデータ出力の最大値を定義します。
•
243 ページの「DHCP をセットアップする」
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメータ
ー (インターフェースとサービスの IP アドレスなど) を動的に分散するために使用します。
•
244 ページの「VLAN で DHCP をセットアップする」
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメータ
ー (インターフェースとサービスの IP アドレスなど) を動的に分散するために使用します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
ネットワーク設定 ページ
ESM とネットワークの間の接続設定を定義します。
表 3-126 オプションの定義
タブ
オプション
定義
[メイ
ン]
[インターフェー [インターフェース 1]、[インターフェース 2] または両方を選択して、[セットアップ]
ス 1] と [インタ をクリックします。 常に 1 つ以上のインターフェースが有効である必要があります。
ーフェース 2]
Firefox バージョン 4 と 5 では証明書の検証時にアドレスから "[ ]" を削除すること
ができないため、IPv6 で証明書を取得する際に IPv6 アドレスを解決できません。 こ
の問題を回避するには、/etc/hosts ファイル(Linux)または C:\WINDOWS
\system32\drivers\etc\hosts(Windows)に IPv6 アドレスのレコードを追加し
て、IPv6 アドレスではなくホスト名を使用して ESM に移動します。
[SSH を有効化]
(FIPS モードで
は使用できませ
ん)
SSH 接続を許可する場合に選択します。SSH を有効にするには、1 つ以上のインター
フェースを定義する必要があります。
ESM とデバイスは、SSH の FIPS 対応バージョンを使用します。SSH クライアント
OpenSSH、Putty、dropbear、Cygwin ssh、WinSCP、TeraTerm はテスト済みで、
機能することが確認されています。Putty を使用する場合は、バージョン 0.62 に互換
性があり、http://www.chiark.greenend.org.uk/~sgtatham/putty/
download.html からダウンロードできます。
[SSH ポート]
アクセスに使用できる特定のポートを入力します。
[SSH キーを管
理]
[SSH キー] をクリックします。SSH 接続を有効にした場合、一覧表示されているマシ
ンが通信します。通信を中断するには、リストからマシン ID を削除します。
[IPv6 設定]
IPv6 モードを有効にするには、[手動] または [自動] を選択します。
• 設定が [オフ] の場合、IPv6 モードは無効になります。
• [自動] を選択した場合、[プライマリ] と [セカンダリ IPv6] フィールドは無効にな
ります。各ホストは、受信したユーザー広告の内容からアドレスを判定します。その
場合、IEEE EUI-64 規格を使用して、アドレスのネットワーク ID 部分が定義され
ます。
• [手動] を選択した場合、[プライマリ] と [セカンダリ IPv6] フィールドが有効にな
ります。これらのフィールドで IPv6 アドレスを追加します。
[詳細
設定]
ESM またはデバイスに Internet Control Message Protocol (ICMP) メッセージと Intelligent
Platform Management Interface (IPMI) をセットアップします。
[ICMP メッセー
ジ]
ICMP について、次のいずれかのオプションを選択します。
• [リダイレクト] - ESM はリダイレクト メッセージを無視します。
• [宛先に到達不能] - パケットが輻輳以外の理由で宛先に送信されない場合に、ESM
がメッセージを生成します。
• [ping を有効化] - IPv6 multicast/anycast アドレスに送信された Echo
Request メッセージに応答して、ESM が Echo Reply メッセージを送信します。
[IPMI 設定]
IPMI NIC をスイッチにプラグインし、IPMI カードを使用して ESM デバイスをリモ
ートから管理する場合には、IPMI の設定を追加します。
• [IPMI 設定を有効にする] - IPMI コマンドへのアクセスを可能にします。
• [VLAN]、[IP アドレス]、[ネットマスク]、[ゲートウェイ] - IPMI ポートのネット
ワーク設定を入力します。
[プロ
キシ]
ネットワークでプロキシ サーバーを使用する場合、ESM への接続を設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
227
3
ESM の設定
補助サービスの設定
表 3-126 オプションの定義 (続き)
タブ
オプション
定義
[IPv4] または
[IPv6]
デバイスで、IPv6 アドレスを使用しているインターフェースがある場合、IPv6 を選
択できます。ない場合は、IPv4 が選択されます。
[IP アドレス]、 プロキシ サーバーへの接続に必要な情報を入力します。
[ポート]、[ユー
ザー名]、[パスワ
ード]
[Basic 認証]
[トラ
フィッ
ク]
Basic 認証検査を実装する場合に選択します。
ネットワークとマスクにデータ出力の最大値を定義し、送信トラフィックの送信レートを制御します。
テーブル
セットアップされている既存のコントロールを表示します。
[ネットワーク]
列
定義に従ってシステムが送信トラフィックを制御するネットワーク アドレスを表示し
ます。
[マスク] 列
(任意) ネットワーク アドレスのマスクを表示します。
[最大スループッ
ト] 列
各ネットワークに定義した最大スループットを表示します。
[追加]、[編集]、 制御するネットワーク アドレスを管理します。
[削除]
[静的
ルー
ト]
[静的ルート]
静的ルートを追加、編集、または削除します。静的ルートは、デフォルトのゲートウェ
イを通じて使用できないホストまたはネットワークに到達する方法を示す、指定された
1 組の手順です。静的ルートを追加した場合、変更が ESM にプッシュされ、[適用] を
クリックするとすぐに有効になります。変更を適用すると、ESM 自体が再初期化され
て現在のすべてのセッションが失われます。
関連トピック:
238 ページの「ESM またはデバイスで IPMI ポートを設定する」
[プロキシ] タブ
ネットワークでプロキシ サーバーを使用する場合、ESM への接続を設定します。
表 3-127 オプションの定義
オプション
定義
[IPv4 または IPv6](一部のプロキシタブで IPv6 アドレスを使用しているインターフェースがある場合、IPv6 を
は使用できない)
選択できます。ない場合は、IPv4 が選択されます。
[IP アドレス、ポート、ユーザー名、パスワ プロキシ サーバーへの接続に必要な情報を入力します。
ード]
[Basic 認証]
Basic 認証検査を実装する場合に選択します。
デバイスの [ネットワーク] タブ
各デバイスのネットワーク インターフェース設定を定義します。 このページのフィールドは、デバイスによって異
なります。
表 3-128 [ネットワーク] タブのオプションの定義
オプション
定義
[バイパス NIC 設定] 悪意のあるトラフィックを含め、すべてのトラフィックがデバイスを通過するようにバイパ
ス NIC を設定します (『バイパス NIC をセットアップする』を参照)。 IDS モードのデバ
イスにはバイパス機能がないため、ステータスが [通常動作] になります。
[フローを収集]
228
(オプション) デバイスで送受信されるトラフィックのフローを収集するかどうかを選択し
ます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
表 3-128 [ネットワーク] タブのオプションの定義 (続き)
オプション
定義
[ELM EDS SFTP]
[ELM SFTP アクセス] ユーザー特権がある場合には、デバイスに保存された ELM ログ ファ
イルを表示したり、ダウンロードすることができます。 [デバイス管理] 特権がある場合に
は、[ELM EDS SFTP] フィールドで、ファイルにアクセスするポートを変更できます。 ポ
ート 1、22、111、161、695、1333、1334、10617、13666 は使用しないでください。
この機能は、WinSCP 5.11、Filezilla、CoreFTP LE、FireFTP のいずれかの FTP クライア
ントと合わせて使用することをお勧めします。
[HOME_NET]
デバイスが収集するフロー トラフィックの方向を決定する組織によって所有されている IP
アドレスを入力します。
[インターフェース]
使用するインターフェースを選択し、IPv4 または IPv6 タイプの IP アドレスを入力しま
す。 IPv4 アドレスを入力する場合は、ネットマスク アドレスも追加します。 IPv6 アドレ
スを入力する場合は、アドレスにネットマスクを含めないとエラーが表示されます。
複数のネットワークからデバイスを使用可能にするには(MGT 1 <プライマリ インターフ
ェース> と MGT 2 <最初のドロップダウン インターフェース> に限定)、インターフェー
スを追加します。
NIC ボンディングを有効にするには、最初のフィールドで [管理] を選択して、メインの NIC
(このダイアログ ボックスの最初の行) と同じ IP アドレスとネットマスクを入力します。
[IPv6 モード]
IPv6 モードを有効にするかどうかを選択します。
• [オフ]: IPv6 モードが有効になりません。IPv6 のフィールドが無効になります。
• [自動]: IPv6 モードが有効になります。各ホストは、受信したユーザー広告の内容からア
ドレスを判定します。その場合、IEEE EUI-64 規格を使用して、アドレスのネットワーク
ID 部分が定義されます。 IPv6 のフィールドが無効になります。
• [手動]: IPv6 モードが有効になります。IPv6 のフィールドが有効になります。
[モード]
(オプション) モードを IDS に変更します。 この設定は、Nitro IPS デバイスでのみ変更で
きます。
[SSH ポート]
ESM とデバイス間のアクセスに使用できるポートを選択します。
[トラフィック パス] デバイスを通過するネットワーク トラフィックのパス数を設定します。この値は Nitro
IPS でのみ変更できます。Nitro IPS は IPS モードにする必要があります。 各パスでは、
管理インターフェースとして使用されていないインターフェースが、それぞれ 2 つ必要で
す。
関連トピック:
232 ページの「ネットワーク インターフェースを設定する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
229
3
ESM の設定
補助サービスの設定
[インターフェース プロパティ] ページ
インターフェース 1 または 2 を設定します。
表 3-129 オプションの定義
オプション
定義
[DHCP]
クラウド環境で使用しない場合には、DHCP サービスを有効にします。 DHCP は、ネットワー
クの IP アドレスをリセットする場合に便利な機能です。
冗長 ESM または ELM を使用している場合、冗長デバイスの IP アドレスを変更すると、冗長性
が機能しなくなります。
[IPv4]、[ネット IPv4 の IP アドレスとネットマスクを入力します。
マスク]、[IPv6]
Firefox バージョン 4 と 5 では証明書の検証時にアドレスから "[ ]" を削除することができない
ため、IPv6 で証明書を取得する際に IPv6 アドレスを解決できません。 この問題を回避するに
は、/etc/hosts ファイル(Linux)または C:\WINDOWS\system32\drivers\etc\hosts
(Windows)に IPv6 アドレスのレコードを追加して、IPv6 アドレスではなくホスト名を使用し
て ESM に移動します。
[ゲートウェイ]
ネットワーク設定と連携するゲートウェイを入力します。IPv4 アドレスを指定してください。
[DNS サーバー
1] と [2]
DNS サーバーを 1 つ以上指定します。DNS サーバーがない場合、ESM は McAfee サーバーか
ら署名とソフトウェア更新を確認できません。 電子メールや WHOIS などの機能も、有効な
DNS サーバーがないと使用できません。これらは、IPv4 および IPv6 のアドレスの AND/OR
フィールドです。IPv6 アドレスを DNS サーバー アドレスとして使用するには、インターフェ
ース 1 または 2 に IPv6 アドレスが定義されている必要があります。
[VLAN と別名の [詳細設定] をクリックします。
設定]
• VLAN を使用している場合は、ESM に追加します。
• ネットワーク デバイスの IP アドレスが複数ある場合は、別名を追加します。
通信 タブ
デバイスと ESM 間のインターフェースの通信設定を定義します。 このページのフィールドは、デバイスによって異
なります。
表 3-130 Receiver デバイスの [通信] タブのオプション定義
オプション
定義
[SNMP ポート、 受信プロトコル データ ソース情報をリッスンするために、Receiver のファイアウォールが開
Syslog ポート、 くポートを選択します。ポート 0 は、収集がオフになっていることを示します。
sFlow ポート]
Receiver は、UDP および TCP Syslog 収集を実行します。
[Syslog TLS ポ
ート]
受信 TLS プロトコル データソース情報をリッスンするために、Receiver のファイアウォール
が開くポートを選択します。 デフォルトのポートは 10514 です。ポート 0 は、TLS Syslog
収集がオフになっていることを示します。データソースを追加する場合には、このポートが有効
であるときに、データソースからのみ Syslog TLS を受け入れるように指定できます。 TLS で
は自己署名証明書のみサポートされています。
[MEF ポート]
受信 MEF データ ソース情報をリッスンするために、Receiver のファイアウォールが開くポー
トを選択します。デフォルトのポートは 8081 です。ポート 0 は、MEF 収集がオフになってい
ることを示します。
同じ IP アドレスを持つ MEF データソースは、すべて暗号化または暗号化解除されているとして
マークする必要があります。
230
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
表 3-130 Receiver デバイスの [通信] タブのオプション定義 (続き)
オプション
定義
[IPFIX ポート]
受信 IPFIX プロトコル データ ソース情報をリッスンするために、Receiver のファイアウォー
ルが開くポートを選択します。デフォルトのポートは 4739 です。デフォルトのポートは 0
で、IPFIX 収集がオフになっていることを示します。
[NetFlow ポー
ト]
受信 NetFlow プロトコル データ ソース情報をリッスンするために、Receiver のファイアウォ
ールが開くポートを選択します。このリストには、カンマ区切りで複数のポートが含まれる場合
があります。フィールドの値が空白の場合は、NetFlow 収集がオフになっていることを示しま
す。
[DHCP アドレ
ス]
一定の範囲の DHCP IP アドレス。この範囲の DHCP データ ソースから Event Receiver に
送信されたログを収集することができます。DHCP データ ソースでは、McAfee Labs
Windows Event Collector を通じて Receiver に送信される、サポートされている任意のデー
タ形式を使用できます。
ネットワーク インターフェースを管理
デバイスとの通信は、トラフィックパスのパブリック インターフェースとプライベート インターフェースを使用し
て実行できます。そのため IP アドレスを必要としないことから、デバイスがネットワーク内で不可視になります。
管理インターフェース
またネットワーク管理者は、ESM とデバイス間の通信用の IP アドレスを使用して、管理インターフェースを設定で
きます。デバイスのこれらの機能では、管理インターフェースを使用する必要があります。
•
バイパス ネットワーク カードの完全な制御
•
NTP 時刻同期の使用
•
デバイスでの Syslog の生成
•
SNMP 通知
デバイスには 1 つ以上の管理インターフェースがあり、それによってデバイスに IP アドレスが与えられます。IP ア
ドレスによって、別のターゲット IP アドレスまたはホスト名に対する通信を行うことなく、ESM からデバイスに直
接アクセスできるようになります。
パブリック ネットワークから見えるようになり、セキュリティが侵害される可能性があるため、管理ネットワーク イ
ンターフェースはパブリック ネットワークに接続しないでください。
Nitro IPS モードで実行されているデバイスについては、ネットワーク トラフィックの各パスにそれぞれ 2 つのイ
ンターフェースが必要です。IDS モードの場合は、デバイスに 2 つ以上のネットワーク インターフェースが必要に
なります。デバイスでは、複数の管理ネットワーク インターフェースを設定できます。
バイパス NIC
デバイスをバイパス モードにすると、悪意のあるトラフィックを含むすべてのトラフィックがデバイスを通過しま
す。 通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたと
きに 18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒
数が変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたと
きに、接続が 33 秒切断されます。
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。 4 つのすべてのポート (Nitro IPS および
その他のデバイスのスイッチ) を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります (『バイパス NIC をセットアップする』を参照)。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
231
3
ESM の設定
補助サービスの設定
ESM インターフェース ボンディング
ESM は、同じ IP アドレスを使用する 2 つの管理インターフェースを検出すると、NIC ボンディング モードを自動
的に有効にします。 ボンディング モードが有効になると、両方のインターフェースに同じ IP と MAC アドレスが割
り当てられます。 使用されるボンディング モードは、モード 1 (アクティブ/バックアップ) です。
NIC ボンディングを無効にするには、インターフェースのいずれかの IP アドレスを変更し、両方のアドレスが一致
しないようにします。 NIC ボンディング モードが自動的に無効になります。
関連トピック:
232 ページの「ネットワーク インターフェースを設定する」
234 ページの「VLAN と別名を追加する」
236 ページの「静的ルートを追加する」
237 ページの「バイパス NIC」
237 ページの「バイパス NIC を設定する」
ネットワーク インターフェースを設定する
インターフェース設定によって、ESM がデバイスに接続する方法が決定されます。インターフェース設定は、デバ
イスごとに定義する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [設定] オプションをクリックし、[インターフェース] をクリックします。
3
要求されたデータを入力し、[適用] をクリックします。
すべての変更はデバイスにプッシュされ、直ちに有効になります。 変更を適用すると、デバイスが再初期化され、現
在のすべてのセッションが失われます。
関連トピック:
231 ページの「ネットワーク インターフェースを管理」
234 ページの「VLAN と別名を追加する」
236 ページの「静的ルートを追加する」
237 ページの「バイパス NIC」
237 ページの「バイパス NIC を設定する」
228 ページの「デバイスの [ネットワーク] タブ」
234 ページの「デバイスの [詳細設定] タブ」
234 ページの「高度なインターフェース ページ」
デバイスの [ネットワーク] タブ
各デバイスのネットワーク インターフェース設定を定義します。 このページのフィールドは、デバイスによって異
なります。
表 3-131 [ネットワーク] タブのオプションの定義
オプション
定義
[バイパス NIC 設定] 悪意のあるトラフィックを含め、すべてのトラフィックがデバイスを通過するようにバイパ
ス NIC を設定します (『バイパス NIC をセットアップする』を参照)。 IDS モードのデバ
イスにはバイパス機能がないため、ステータスが [通常動作] になります。
[フローを収集]
232
(オプション) デバイスで送受信されるトラフィックのフローを収集するかどうかを選択し
ます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
表 3-131 [ネットワーク] タブのオプションの定義 (続き)
オプション
定義
[ELM EDS SFTP]
[ELM SFTP アクセス] ユーザー特権がある場合には、デバイスに保存された ELM ログ ファ
イルを表示したり、ダウンロードすることができます。 [デバイス管理] 特権がある場合に
は、[ELM EDS SFTP] フィールドで、ファイルにアクセスするポートを変更できます。 ポ
ート 1、22、111、161、695、1333、1334、10617、13666 は使用しないでください。
この機能は、WinSCP 5.11、Filezilla、CoreFTP LE、FireFTP のいずれかの FTP クライア
ントと合わせて使用することをお勧めします。
[HOME_NET]
デバイスが収集するフロー トラフィックの方向を決定する組織によって所有されている IP
アドレスを入力します。
[インターフェース]
使用するインターフェースを選択し、IPv4 または IPv6 タイプの IP アドレスを入力しま
す。 IPv4 アドレスを入力する場合は、ネットマスク アドレスも追加します。 IPv6 アドレ
スを入力する場合は、アドレスにネットマスクを含めないとエラーが表示されます。
複数のネットワークからデバイスを使用可能にするには(MGT 1 <プライマリ インターフ
ェース> と MGT 2 <最初のドロップダウン インターフェース> に限定)、インターフェー
スを追加します。
NIC ボンディングを有効にするには、最初のフィールドで [管理] を選択して、メインの NIC
(このダイアログ ボックスの最初の行) と同じ IP アドレスとネットマスクを入力します。
[IPv6 モード]
IPv6 モードを有効にするかどうかを選択します。
• [オフ]: IPv6 モードが有効になりません。IPv6 のフィールドが無効になります。
• [自動]: IPv6 モードが有効になります。各ホストは、受信したユーザー広告の内容からア
ドレスを判定します。その場合、IEEE EUI-64 規格を使用して、アドレスのネットワーク
ID 部分が定義されます。 IPv6 のフィールドが無効になります。
• [手動]: IPv6 モードが有効になります。IPv6 のフィールドが有効になります。
[モード]
(オプション) モードを IDS に変更します。 この設定は、Nitro IPS デバイスでのみ変更で
きます。
[SSH ポート]
ESM とデバイス間のアクセスに使用できるポートを選択します。
[トラフィック パス] デバイスを通過するネットワーク トラフィックのパス数を設定します。この値は Nitro
IPS でのみ変更できます。Nitro IPS は IPS モードにする必要があります。 各パスでは、
管理インターフェースとして使用されていないインターフェースが、それぞれ 2 つ必要で
す。
関連トピック:
232 ページの「ネットワーク インターフェースを設定する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
233
3
ESM の設定
補助サービスの設定
デバイスの [詳細設定] タブ
選択したデバイスにネットワークの詳細設定を定義します。 このページのフィールドは、使用しているデバイスによ
って異なります。
表 3-132 オプションの定義
オプション
定義
[][ICMP メッ
セージ]
ICMP について、次のいずれかのオプションを選択します。
[リダイレクト] - 選択すると、ESM はリダイレクト メッセージを無視します。
[宛先に到達不能] — 選択すると、パケットが輻輳以外の理由で宛先に送信されない場合に、ESM
がメッセージを生成します。
[ping を有効化] — 選択すると、IPv6 multicast/anycast アドレスに送信された Echo
Request メッセージに応答して、ESM が Echo Reply メッセージを送信します。
[IPMI 設定]
IPMI NIC がスイッチに装着されているときに ESM デバイスを IPMI カードでリモートから管
理するには、IPMI の設定を追加します。
• [IPMI 設定を有効にする] - IPMI コマンドへのアクセスを可能にします。
• [VLAN]、[IP アドレス]、[ネットマスク]、[ゲートウェイ] - IPMI ポートのネットワーク設定
を入力します。
関連トピック:
232 ページの「ネットワーク インターフェースを設定する」
高度なインターフェース ページ
VLAN と別名をインターフェースに追加します。
表 3-133 オプションの定義
オプション
定義
[別名を追加]
別名を追加する VLAN を強調表示してからクリックします。 DHCP が選択されている場合、この
オプションは使用できません。
[VLAN を追加] VLAN をインターフェースに追加する場合にクリックします。
[編集]
設定を変更する場合、テーブルの別名または VLAN を強調表示してからクリックします。
[削除]
削除する場合、テーブルの別名または VLAN を強調表示してからクリックします。
関連トピック:
232 ページの「ネットワーク インターフェースを設定する」
VLAN と別名を追加する
VLAN と別名を ACE または ELM インターフェースに追加します。 別名は、ネットワーク デバイスに複数の IP ア
ドレスが割り当てられている場合に追加する割り当て済みの IP アドレスとネットマスクのペアです。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
234
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
[設定] をクリックします。
をクリックして、デバイスの
2
[ネットワーク] タブの [インターフェース] セクションで [セットアップ] をクリックして [詳細設定] をクリッ
クします。
3
[VLAN を追加] をクリックし、必要な情報を入力して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
4
別名を追加する VLAN を選択し、[別名を追加] をクリックします。
5
必要な情報を入力し、[OK] をクリックします。
3
関連トピック:
231 ページの「ネットワーク インターフェースを管理」
232 ページの「ネットワーク インターフェースを設定する」
236 ページの「静的ルートを追加する」
237 ページの「バイパス NIC」
237 ページの「バイパス NIC を設定する」
235 ページの「[別名を追加] ページ」
235 ページの「VLAN を追加 ページ」
[別名を追加] ページ
ネットワーク デバイスに複数の IP アドレス がある場合は、IP アドレスとネットマスクのペアを別名として追加し
ます。
表 3-134 オプションの定義
オプション
定義
[VLAN]
この別名が存在する VLAN を表示します。このフィールドには、この別名が追加される VLAN
の番号が事前に設定されます。[タグ付けなし] VLAN の場合、この数は 0 です。
[IP のバージョン] IP アドレスの形式に IPv4 または IPv6 を選択します。
[IP アドレス]
別名の IP アドレスを入力します。
[ネットマスク]
アドレスが IPv4 形式の場合は、ネットマスクを入力します。
関連トピック:
234 ページの「VLAN と別名を追加する」
VLAN を追加 ページ
VLAN をインターフェースに追加します。
表 3-135 オプションの定義
オプション
定義
[VLAN]
VLAN の番号を入力します。
[DHCP]
クラウド環境で使用しない場合には、DHCP サービスを有効にします。 DHCP は、ネットワ
ークの IP アドレスをリセットする場合に便利な機能です。
冗長 ESM または ELM を使用している場合、冗長デバイスの IP アドレスを変更すると、冗長
性が機能しなくなります。
[IPv4] または
[IPv6]
IP のバージョンを選択します。デフォルトでは IPv4 が選択されます。[ネットワーク設定]
ページで IPv6 を [手動] または [自動] に設定した場合、[IPv6] ラジオ ボタンが有効になり
ます。IP アドレスが IPv6 形式の場合に選択します。選択すると、[ネットマスク] フィール
ドは無効になります。
[IP アドレス]
VLAN の IP アドレスを入力します。
[ネットマスク]
IP アドレスが IPv4 形式の場合は、ネットマスクを追加します。
関連トピック:
234 ページの「VLAN と別名を追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
235
3
ESM の設定
補助サービスの設定
静的ルートを追加する
静的ルートは、デフォルトのゲートウェイを通じて使用できないホストまたはネットワークに到達する方法を示す 1
組の手順です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [インターフェース] の順にクリックします。
3
[静的ルート] テーブルの横の [追加] をクリックします。
4
情報を入力し、[OK] をクリックします。
をクリックします。
関連トピック:
231 ページの「ネットワーク インターフェースを管理」
232 ページの「ネットワーク インターフェースを設定する」
234 ページの「VLAN と別名を追加する」
237 ページの「バイパス NIC」
237 ページの「バイパス NIC を設定する」
236 ページの「静的ルート タブ」
236 ページの「[静的ルートを追加] ページ」
静的ルート タブ
静的ルートは、デフォルトのゲートウェイを通じて使用できないホストまたはネットワークに到達する方法を示す、
指定された 1 組の手順です。ESM またはデバイスがネットワークとの通信に静的ルートを必要とする場合は、ここ
で管理します。
表 3-136 オプションの定義
オプション
定義
[静的ルート] テーブル
システム上の静的ルートを表示します。
[追加]
クリックして、静的ルートの情報を追加します。
[編集]
クリックして、選択した静的ルートの設定を変更します。
[削除]
選択した静的ルートを削除する場合にクリックします。
関連トピック:
236 ページの「静的ルートを追加する」
[静的ルートを追加] ページ
静的ルートを追加することで、デフォルトのゲートウェイを通じて使用できないホストまたはネットワークに到達す
る方法を示します。
表 3-137 オプションの定義
オプション
定義
[IPv4] または [IPv6]
この静的ルートが IPv4 または IPv6 トラフィックを検出するかどうかを
選択します。
[ネットワーク] および [ゲートウェイ] このルートのネットワークおよびゲートウェイ IP アドレスを入力しま
す。
[マスク]
マスクを選択します。
関連トピック:
236 ページの「静的ルートを追加する」
236
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
バイパス NIC
デバイスをバイパス モードにすると、悪意のあるトラフィックを含むすべてのトラフィックがデバイスを通過しま
す。
通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたときに
18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒数が
変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたとき
に、接続が 33 秒切断されます。
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。4 つのすべてのポート(Nitro IPS および
その他のデバイスのスイッチ)を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
ESM インターフェース ボンディング
ESM は、同じ IP アドレスを使用する 2 つの管理インターフェースを検出すると、NIC ボンディング モードを自動
的に有効にします。 ボンディング モードが有効になると、両方のインターフェースに同じ IP と MAC アドレスが割
り当てられます。 使用されるボンディング モードは、モード 1 (アクティブ/バックアップ) です。
NIC ボンディングを無効にするには、インターフェースのいずれかの IP アドレスを変更し、両方のアドレスが一致
しないようにします。 NIC ボンディング モードが自動的に無効になります。
関連トピック:
231 ページの「ネットワーク インターフェースを管理」
232 ページの「ネットワーク インターフェースを設定する」
234 ページの「VLAN と別名を追加する」
236 ページの「静的ルートを追加する」
237 ページの「バイパス NIC を設定する」
バイパス NIC を設定する
IPS デバイスで、すべてのトラフィックが通過するようにバイパス NIC 設定を定義できます。
ADM と DEM デバイスは常に IDS モードで実行されます。 バイパス NIC タイプとステータスは確認できますが、設
定の変更はできません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[設定] 、 [インターフェース] の順にクリックします。
3
[ネットワーク インターフェース設定] ページの下部にある、[バイパス NIC 設定] セクションに移動します。
4
IPS でタイプとステータスは確認できますが、設定は変更できません。
5
[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
237
3
ESM の設定
補助サービスの設定
関連トピック:
231 ページの「ネットワーク インターフェースを管理」
232 ページの「ネットワーク インターフェースを設定する」
234 ページの「VLAN と別名を追加する」
236 ページの「静的ルートを追加する」
237 ページの「バイパス NIC」
ESM またはデバイスでの IPMI ポートのセットアップ
ESM またはデバイスで IPMI ポートをセットアップできます。
これにより、次のアクションを実行できます。
•
スイッチに IPMI ネットワーク インターフェース コントローラー (NIC) を装着し、IPMI ソフトウェアで使用で
きます。
•
IPMI を使用したカーネル ベースの仮想マシン (KVM) にアクセスできます。
•
ESM 9.4.0 にアップグレードした後に、デフォルト ユーザーに IPMI パスワードを設定できます。
•
電源オンや電源状態の確認などの IPMI コマンドを実行できます。
•
IPMI カードをリセットできます。
•
ワーム リセットまたはコールド リセットを実行できます。
ESM またはデバイスで IPMI ポートを設定する
IPMI ポートにネットワークを設定して、ESM またはデバイスで IPMI をセットアップします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システム ナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
[ネットワーク設定] の [詳細設定] タブにアクセスします。
•
ESM で、 [ネットワーク設定] 、 [詳細設定]の順にクリックします。
•
デバイスで [設定] オプションをクリックし、[インターフェース] 、 [詳細設定] の順にクリックします。
[IPMI 設定を有効にする], を選択して、IPMI の VLAN、IP アドレス、ネットマスク、ゲートウェイを入力しま
す。
デバイスの BIOS で [IPMI 設定を有効にする] がグレー表示になっている場合、システムの BIOS を更新する必
要があります。 デバイスに SSH で接続し、/etc/areca/system_bios_update/Contents‑README.txt フ
ァイルを開きます。
4
[適用] または [OK] をクリックします。
デバイスをアップグレードすると、パスワードの変更やデバイス キーの再作成を促すメッセージが送信される場合
があります。 このメッセージを受信したら、システム パスワードを変更するか、デバイスのキーを再入力します。
新しいパスワードを設定して、IPMI を設定します。
関連トピック:
227 ページの「ネットワーク設定 ページ」
238
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
ネットワーク設定 ページ
ESM とネットワークの間の接続設定を定義します。
表 3-138 オプションの定義
タブ
オプション
定義
[メイ
ン]
[インターフェー [インターフェース 1]、[インターフェース 2] または両方を選択して、[セットアップ]
ス 1] と [インタ をクリックします。 常に 1 つ以上のインターフェースが有効である必要があります。
ーフェース 2]
Firefox バージョン 4 と 5 では証明書の検証時にアドレスから "[ ]" を削除すること
ができないため、IPv6 で証明書を取得する際に IPv6 アドレスを解決できません。 こ
の問題を回避するには、/etc/hosts ファイル(Linux)または C:\WINDOWS
\system32\drivers\etc\hosts(Windows)に IPv6 アドレスのレコードを追加し
て、IPv6 アドレスではなくホスト名を使用して ESM に移動します。
[SSH を有効化]
(FIPS モードで
は使用できませ
ん)
SSH 接続を許可する場合に選択します。SSH を有効にするには、1 つ以上のインター
フェースを定義する必要があります。
ESM とデバイスは、SSH の FIPS 対応バージョンを使用します。SSH クライアント
OpenSSH、Putty、dropbear、Cygwin ssh、WinSCP、TeraTerm はテスト済みで、
機能することが確認されています。Putty を使用する場合は、バージョン 0.62 に互換
性があり、http://www.chiark.greenend.org.uk/~sgtatham/putty/
download.html からダウンロードできます。
[SSH ポート]
アクセスに使用できる特定のポートを入力します。
[SSH キーを管
理]
[SSH キー] をクリックします。SSH 接続を有効にした場合、一覧表示されているマシ
ンが通信します。通信を中断するには、リストからマシン ID を削除します。
[IPv6 設定]
IPv6 モードを有効にするには、[手動] または [自動] を選択します。
• 設定が [オフ] の場合、IPv6 モードは無効になります。
• [自動] を選択した場合、[プライマリ] と [セカンダリ IPv6] フィールドは無効にな
ります。各ホストは、受信したユーザー広告の内容からアドレスを判定します。その
場合、IEEE EUI-64 規格を使用して、アドレスのネットワーク ID 部分が定義され
ます。
• [手動] を選択した場合、[プライマリ] と [セカンダリ IPv6] フィールドが有効にな
ります。これらのフィールドで IPv6 アドレスを追加します。
[詳細
設定]
ESM またはデバイスに Internet Control Message Protocol (ICMP) メッセージと Intelligent
Platform Management Interface (IPMI) をセットアップします。
[ICMP メッセー
ジ]
ICMP について、次のいずれかのオプションを選択します。
• [リダイレクト] - ESM はリダイレクト メッセージを無視します。
• [宛先に到達不能] - パケットが輻輳以外の理由で宛先に送信されない場合に、ESM
がメッセージを生成します。
• [ping を有効化] - IPv6 multicast/anycast アドレスに送信された Echo
Request メッセージに応答して、ESM が Echo Reply メッセージを送信します。
[IPMI 設定]
IPMI NIC をスイッチにプラグインし、IPMI カードを使用して ESM デバイスをリモ
ートから管理する場合には、IPMI の設定を追加します。
• [IPMI 設定を有効にする] - IPMI コマンドへのアクセスを可能にします。
• [VLAN]、[IP アドレス]、[ネットマスク]、[ゲートウェイ] - IPMI ポートのネット
ワーク設定を入力します。
[プロ
キシ]
ネットワークでプロキシ サーバーを使用する場合、ESM への接続を設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
239
3
ESM の設定
補助サービスの設定
表 3-138 オプションの定義 (続き)
タブ
オプション
定義
[IPv4] または
[IPv6]
デバイスで、IPv6 アドレスを使用しているインターフェースがある場合、IPv6 を選
択できます。ない場合は、IPv4 が選択されます。
[IP アドレス]、 プロキシ サーバーへの接続に必要な情報を入力します。
[ポート]、[ユー
ザー名]、[パスワ
ード]
[Basic 認証]
[トラ
フィッ
ク]
Basic 認証検査を実装する場合に選択します。
ネットワークとマスクにデータ出力の最大値を定義し、送信トラフィックの送信レートを制御します。
テーブル
セットアップされている既存のコントロールを表示します。
[ネットワーク]
列
定義に従ってシステムが送信トラフィックを制御するネットワーク アドレスを表示し
ます。
[マスク] 列
(任意) ネットワーク アドレスのマスクを表示します。
[最大スループッ
ト] 列
各ネットワークに定義した最大スループットを表示します。
[追加]、[編集]、 制御するネットワーク アドレスを管理します。
[削除]
[静的
ルー
ト]
[静的ルート]
静的ルートを追加、編集、または削除します。静的ルートは、デフォルトのゲートウェ
イを通じて使用できないホストまたはネットワークに到達する方法を示す、指定された
1 組の手順です。静的ルートを追加した場合、変更が ESM にプッシュされ、[適用] を
クリックするとすぐに有効になります。変更を適用すると、ESM 自体が再初期化され
て現在のすべてのセッションが失われます。
関連トピック:
238 ページの「ESM またはデバイスで IPMI ポートを設定する」
ESM でネットワーク トラフィック制御を設定する
ESM にデータ出力の最大値を定義します。
この機能は、帯域幅に制限があり、各 ESM から送信されたデータの量を制限する必要がある場合に便利です。 オプ
ションは、キロビット (Kb)/秒、メガバイト (Mb/秒)、ギガバイト(Gb/秒) です。
この機能を使用する場合には十分に注意してくださ。トラフィックを制限すると、データ漏えいが発生する可能性があ
ります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[ネットワーク設定] をクリックし、[トラフィック] タブをクリックします。
既存のコントロールが表に表示されます。
3
デバイスにコントロールを追加するには、[追加] をクリックして、ネットワーク アドレスとマスクを入力し、評
価を設定して [OK] をクリックします。
マスクを 0 (ゼロ) に設定すると、送信済みのすべてのデータが制御されます。
4
[適用] をクリックします。
指定したネットワーク アドレスの送信トラフィックの速度が制御されます。
240
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
関連トピック:
53 ページの「[トラフィック] タブ」
53 ページの「[スループット率の追加] ページ」
[トラフィック] タブ
ネットワークとマスクにデータ出力の最大値を定義し、トラフィックの送信レートを制御します。
表 3-139 オプションの定義
オプション
定義
[ネットワーク] 列
定義に従ってシステムが送信トラフィックを制御するネットワーク アドレスを表示しま
す。
[マスク] 列
(任意) ネットワーク アドレスのマスクを表示します。
[最大スループット] 列
各ネットワークに定義した最大スループットを表示します。
[追加]、[編集]、[削除] 制御するネットワーク アドレスを管理します。
関連トピック:
52 ページの「デバイスでネットワーク トラフィック制御を設定する」
240 ページの「ESM でネットワーク トラフィック制御を設定する」
[スループット率の追加] ページ
ネットワークとマスクにデータ出力の最大値を定義し、送信トラフィックの送信レートを制御します。
表 3-140 オプションの定義
オプション
定義
[ネットワーク] 送信トラフィックを制御するネットワークのアドレスを入力します。
[マスク]
(任意) ネットワーク アドレスのマスクを選択します。
[レート]
キロバイト (Kb)、メガバイト (Mb) またはギガバイト (Gb) を選択して、1 秒あたりのトラフィ
ック送信率を選択します。
関連トピック:
52 ページの「デバイスでネットワーク トラフィック制御を設定する」
240 ページの「ESM でネットワーク トラフィック制御を設定する」
ホスト名の使用方法
デバイスのホスト名は、通常は IP アドレスよりも便利です。ホスト名は、対応する IP アドレスと関連付けられるよ
うに管理できます。
[ホスト] ページでは、ホスト名を追加、編集、削除、参照、更新、インポートし、また自動学習されたホスト名が期
限切れになる時間を設定できます。
イベント データを表示する場合には、ビュー コンポーネントの下部にある [ホスト名を表示] アイコン
クすると、イベント内の IP アドレスに関連付けられたホスト名を表示できます。
をクリッ
既存のイベントにホスト名がタグ付けされていない場合、システムは ESM でホスト テーブルを検索し、IP アドレ
スにホスト名をタグ付けします。IP アドレスがホスト テーブルにリストされていない場合、システムは DNS 参照
を実行してホスト名を特定します。 ビューに検索結果が表示され、ホスト テーブルに追加されます。
ホスト テーブルで、このデータは [自動学習] としてマークされ、[エントリの有効期限] フィールドで指定された時
間が経過すると期限切れになります。このフィールドにアクセスするには、[システムのプロパティ] 、 [ホスト] の
順に移動します。 データが期限切れになると、ビューで次回 [ホスト名を表示] を選択したときに別の DNS 参照が
実行されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
241
3
ESM の設定
補助サービスの設定
ホスト テーブルには、自動学習されて追加されたホスト名と IP アドレスがリストされます。ホスト名と IP アドレ
スを個別に入力するか、ホスト名と IP アドレスのタブ区切りのリストをインポートすることで、ホスト テーブルに
手動で情報を追加できます (『ホスト名のリストをインポートする』を参照)。 この方法で入力したデータが増える
ほど、DNS 参照にかかる時間も短縮されます。 ホスト名を手動で入力した場合には、期限切れはなく、編集や削除
も可能です。
関連トピック:
242 ページの「ホスト名を管理する」
243 ページの「ホスト名のリストをインポート」
ホスト名を管理する
追加、編集、インポート、削除、参照など、[ホスト] ページでホスト名を管理するために必要なすべてのアクション
を実行します。自動学習したホストについて、有効期限を設定することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ホスト] をクリックします。
2
オプションを選択し、必要な情報を入力します。
3
[適用] または [OK] をクリックします。
関連トピック:
241 ページの「ホスト名の使用方法」
243 ページの「ホスト名のリストをインポート」
242 ページの「ホスト ページ」
243 ページの「[ホストを追加] ページ」
ホスト ページ
ESM でホスト名のリストを管理します。
表 3-141 オプションの定義
オプション
定義
[追加]
ホスト名を追加するか、ホスト名と IP アドレスを追加します。 [ホスト] テーブルに追加され
ます。
[編集]
IP アドレスに関連付けられたホスト名を変更します。
[削除]
選択したアイテムをテーブルから削除します。
[参照]
IP アドレスのホスト名を参照します。これは、内部ネットワークの情報を設定する場合に有用
です。参照が完了すると、結果がテーブルに表示されます。
[ホストを更新]
テーブルを更新して、リストと期限が切れたエントリの変更内容を反映します。
[インポート]
ホスト名と IP アドレスのタブ区切りリストをインポートします (『ホスト名のリストのインポ
ート』を参照)。
[エントリの有効
期限]
自動学習したホスト名をテーブルに残す期間を設定します。 期限が切れないようにするには、
すべてのフィールドに (0) を選択します。
関連トピック:
242 ページの「ホスト名を管理する」
242
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
[ホストを追加] ページ
個々のホストをホスト テーブルに追加します。
表 3-142 オプションの定義
オプション
定義
[ホスト名]
ホストの名前を入力します。100 文字まで入力できます。
[IP アドレス] ホストの IP アドレスを IPv4 または IPv6 の有効な表記で入力します。マスクを含めることがで
きます。
関連トピック:
242 ページの「ホスト名を管理する」
ホスト名のリストをインポート
IP アドレスと対応するホスト名が含まれたテキスト ファイルを、ホスト テーブルにインポートします。
開始する前に
IP アドレスとホスト名のタグ区切りのファイルを作成します。
ファイル内の各レコードは別個の行にリストし、IPv4 または IPv6 表記で IP アドレスを最初にします。例:
102.54.94.97 rhino.acme.com
08c8:e6ff:0100::02ff x.acme.com
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ホスト] 、 [インポート] の順にクリッ
クします。
2
テキスト ファイルを参照し、[アップロード] をクリックします。ホスト テーブルに別のホスト名で記載されて
いる IP アドレスがファイルに含まれている場合は、[重複] ページに重複しているレコードがリストされます。
•
テーブル上のホスト名をテキスト ファイル内のホスト名に変更するには、[使用] 列の中で選択し、[OK] を
クリックします。
•
既存のホスト データを維持するには、チェックボックスを選択せずに [OK] をクリックします。
新しいホスト データがテーブルに追加されます。 データが手動で入力され、有効期限がないため、このデータの [自
動学習済み] 列に [いいえ] が表示されます。
関連トピック:
241 ページの「ホスト名の使用方法」
242 ページの「ホスト名を管理する」
DHCP をセットアップする
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメーター (インター
フェースとサービスの IP アドレスなど) を動的に分散するために使用します。
ESM をセットアップしてクラウド環境に配備すると、DHCP が自動的に有効になり、IP アドレスが割り当てられま
す。 クラウド環境でない場合、デバイス管理権限があれば、ESM、非 HA Receiver、ACE、ELM で DHCP サーバ
ーを有効または無効にできます。 これは、ネットワークの IP アドレスをリセットする場合に便利な機能です。
DHCP を有効にすると、別名が無効になります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
243
3
ESM の設定
補助サービスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システムのナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
次のいずれかを行います。
•
ESM の場合、[ネットワーク設定] をクリックして、[メイン] タブをクリックします。
•
デバイスの場合、デバイスの [設定] オプションを選択し、[インターフェース] をクリックします。次に、[ネ
ットワーク] タブをクリックします。
[インターフェース 1] フィールドの [セットアップ] をクリックして、[DHCP] をクリックします。
Receiver 以外のデバイスの場合、変更後に ESM サーバーを再起動するように指示されます。
4
[OK] をクリックします。
VLAN で DHCP をセットアップする
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメーター (インター
フェースとサービスの IP アドレスなど) を動的に分散するために使用します。
ESM をセットアップしてクラウド環境に配備すると、DHCP が自動的に有効になり、IP アドレスが割り当てられま
す。 クラウド環境でない場合、デバイス管理権限があれば、VLAN、ESM、非 HA Receiver、ACE、ELM で DHCP
サーバーを有効または無効にできます。 これは、ネットワークの IP アドレスをリセットする場合に便利な機能で
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システムのナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
次のいずれかを行います。
•
ESM の場合、[ネットワーク設定] をクリックして、[メイン] タブをクリックします。
•
デバイスの場合、デバイスの [設定] オプションを選択し、[インターフェース] をクリックします。次に、[ネ
ットワーク] タブをクリックします。
3
[インターフェース 1] フィールドの [セットアップ] をクリックして、[詳細] をクリックします。
4
[VLAN の追加] をクリックして [VLAN] と入力し、[DHCP] を選択します。
5
[OK] をクリックして [ネットワーク設定] ページに戻り、[適用] をクリックします。
Receiver 以外のデバイスの場合、変更後に ESM サーバーを再起動するように指示されます。
システム時刻の同期
ESM とそのデバイスにより生成されるアクティビティにはタイム スタンプが設定されるため、ESM とデバイスを同
期して収集するデータの基準を一定に保つことが重要です。ESM システム時刻を設定、または ESM とデバイスを
NTP サーバーに同期させるように選択できます。
関連トピック:
245 ページの「システム時間の設定」
245 ページの「デバイス クロックの同期」
244
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
3
システム時間の設定
開始する前に
NTP サーバーを ESM に追加するには、NTP サーバーを設定して、承認キーとキー ID を用意します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[システム クロック (GMT)] をクリックして設定を定義し、[OK] をクリックします。
IPS クラス デバイスの NTP サーバー アドレスは IP アドレスである必要があります。
サーバー情報は設定ファイルに保存されます。NTP サーバーのリストに再度アクセスしてステータスをチェックで
きます。
関連トピック:
244 ページの「システム時刻の同期」
245 ページの「システム クロック ページ」
システム クロック ページ
ESM の時刻の同期にシステム クロックまたは NTP サーバーを選択します。
表 3-143 オプションの定義
オプション
定義
[ESM システム時刻
(GMT) の設定値]
システム時刻の同期に NTP サーバーを使用しない場合、この日時が GMT に設定されてい
ることを確認します。
[時刻の同期に NTP サ システム時刻の同期にシステム クロックではなく NTP サーバーを使用する場合にこのオ
ーバーを使用]
プションを選択します。
[NTP サーバー] 列
NTP サーバーの IP アドレスを追加するには、この列をクリックします。最大 10 台まで
サーバーを追加できます。
IPS クラス デバイスの NTP サーバー アドレスは IP アドレスである必要があります。
[認証キー] 列と [キー 各 NTP サーバーの認証キーとキー ID を入力します (不明な場合はネットワーク管理者に
ID] 列
お問い合わせください)。
[ステータス]
クリックすると、リスト内の NTP サーバーのステータスが表示されます。サーバー リス
トを変更した場合は、[OK] をクリックして変更を保存し、ページを閉じた後に開き直して
から [ステータス] をクリックしてください。
関連トピック:
245 ページの「システム時間の設定」
デバイス クロックの同期
各種システムで生成されるデータが同じ時刻設定になるように ESM クロックを使用してデバイス クロックを同期
できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
245
3
ESM の設定
補助サービスの設定
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] またはデバイスの [プロパティ] を選択して、[デ
バイス クロックを同期] フィールドの [同期] をクリックします。
同期が完了または問題が発生すると、通知されます。
2
[更新] をクリックして、[システム情報] またはデバイスの [情報] ページのデータを更新します。
関連トピック:
244 ページの「システム時刻の同期」
新しい証明書をインストール
ESM には、esm.mcafee.local に対する自己署名セキュリティ証明書が、デフォルトで付属しています。ほとんど
の Web ブラウザーでは、証明書の信頼性を確認できない場合に警告が表示されます。ESM に対して使用する SSL
鍵と証明書のペアを取得したら、インストールする必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[キー管理] タブで、[証明書] をクリックします。
3
必要な選択を行い、[閉じる] をクリックします。
関連トピック:
246 ページの「[証明書の管理] ページ」
[証明書の管理] ページ
ESM に SSL 証明書をインストールします。
オプション
定義
[証明書をアップロー
ド]
証明書、キー、オプションのチェーン ファイルがある場合はインストールします。.crt フ
ァイル、.key ファイル、チェーン ファイルの順にアップロードするように求められます。
[自己署名証明書]
ESM の自己署名セキュリティ証明書を生成してインストールします。[生成] をクリック
して、[証明書の管理] ページに情報を入力します。[OK] をクリックしてから、[生成] を
クリックします。
[署名された証明書のリ シグネチャ用に証明機関に送信する証明書のリクエストを生成します。
クエスト]
• [生成] をクリックして、[証明書の管理] ページに情報を入力してから [OK] をクリック
します。
• .crt ファイルと .key ファイルを含む .zip ファイルをダウンロードします。
• .crt ファイルを展開して、証明機関に送信します。
[デフォルトの McAfee 元の証明書を再生成します。
証明書を再生成します]
関連トピック:
246 ページの「新しい証明書をインストール」
246
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
プロファイルの設定
syslog ベース トラフィックにプロファイルを定義します。これにより、詳細情報を毎回入力しなくても、共通情報
を使用するセットアップを実行できます。 リモート コマンド プロファイル (URL またはスクリプト) を追加して、
ビューやアラームで実行できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[プロファイル管理] をクリックします。
2
プロファイルを追加するには、[システム プロファイル] タブで [追加] をクリックし、プロファイル データを入
力します。
3
リモート コマンドを追加するには、[リモート コマンド] タブをクリックし、要求された情報を入力します。
4
[OK] をクリックします。
関連トピック:
247
247
249
249
ページの「プロファイル マネージャー ページ」
ページの「[システム プロファイルを追加] ページ」
ページの「[リモート コマンド] タブ」
ページの「[リモート コマンド] ページ」
プロファイル マネージャー ページ
イベント転送、データソースの設定、ネットワーク検出、脆弱性評価、SNMP トラップ、リモート共有で使用できる
ようにシステムのプロファイルを管理します。
表 3-144 オプションの定義
オプション
定義
[システム プロファイル] テーブル
システムの現在のプロファイルを表示します。
[追加]
プロファイルを追加します。
[編集]
選択したプロファイルを変更します。
[削除]
選択したプロファイルを削除します。
関連トピック:
247 ページの「プロファイルの設定」
[システム プロファイルを追加] ページ
イベント転送、データソースの設定、ネットワーク検出、脆弱性評価、SNMP トラップ、リモート共有で使用できる
ようにシステム プロファイルを追加します。
表 3-145 オプションの定義
オプション
定義
[認証パスワー
ド]
このフィールドは、[セキュリティ レベル] フィールドで [authNoPriv] または [authPriv] を選
択した場合にアクティブになります。 [認証プロトコル] フィールドで選択した認証プロトコル
のパスワードを入力します。
[認証プロトコ
ル]
このフィールドは、[セキュリティ レベル] フィールドで [authNoPriv] または [authPriv] を選
択した場合にアクティブです。このソースのプロトコルのタイプに [MD5] または [SHA1] を選
択します。 [SHA1] と [SHA] は同じプロトコル タイプを表します。
[コミュニティ
名]
SNMP トラップのコミュニティ文字列を入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
247
3
ESM の設定
補助サービスの設定
表 3-145 オプションの定義 (続き)
オプション
定義
[圧縮]
リモート共有 SCP の場合には、圧縮を使用するかどうか選択します。
[暗号化]
リモート共有 FTP の場合には、暗号化を使用するかどうか選択します。
[エンジン ID]
トラップ送信元の SNMPv3 エンジン ID を入力します。これは必須フィールドではありません。
[イベント ロ
グ]
デフォルトの WMI イベント ログは SYSTEM、APPLICATION、SECURITY ですが、その他の
ログもサポートされます。 追加の名前を入力する際、大文字と小文字を区別すること、カンマで
区切ること、名前と名前の間に空白を挿入してはいけないことに注意します。ログの読み取り権
限が必要です。 管理者の場合、セキュリティ ログの取得のみ実行可能です。 正しくセットアッ
プされていれば、管理者権限がなくても WMI データソース ログを取得できます。
[設備]
イベント転送メッセージが送信される設備を選択します。
[間隔]
Receiver が新しいイベントの WMI プロバイダーを確認する必要がある間隔(分)を選択しま
す。
[IP アドレス]
[SNMP トラップ]: トラップ情報を送信する eEye サーバーの IP アドレスを入力します。
[イベント転送]: イベント転送先の IP アドレスを入力します。
[パスワード]
WMI プロバイダーへの接続に使用されるパスワード。
[プライバシー
プロトコル]
[SNMP セキュリティ レベル] フィールドで [authPriv] を選択すると、このフィールドがアクテ
ィブになります。 [DES] または [AES] を選択します。 FIPS モードでは、選択できるオプショ
ンは [AES] だけです。
[プロファイル
エージェント]
このプロファイルのエージェントを選択します。残りのフィールドは、このフィールドの選択内
容によって異なります。
[プロファイル
名]
このプロファイルのわかりやすい名前を入力します。
[プロファイル
タイプ]
プロファイルのタイプを選択します。 このページの残りのフィールドは、このフィールドの選択
内容によって異なります。 ほとんどのフィールドは、名前からすぐに内容を理解できます。
[ポート]
デフォルトが正しくない場合、接続ポートを変更します。
[プロトコル]
転送プロトコルを選択します。
[リモート IP ア プロファイル エージェントに [CIFS] または [NFS] を選択した場合は、ストレージ デバイスの
ドレス、リモー この情報を入力します。
ト マウント ポ
イント、リモー
ト パス]
[セキュリティ
レベル]
この SNMPv3 プロファイルのセキュリティ レベルを選択します。
• [noAuthNoPriv] - 認証プロトコルとプライバシー プロトコルなし
• [authNotPriv] - 認証プロトコルあり、プライバシー プロトコルなし
• [authPriv] - 認証プロトコルあり、プライバシー プロトコルあり
[認証] フィールドと [プライバシー] フィールドは選択したセキュリティ レベルに基づいてアク
ティブになります。
[パケットを送
信]
イベント パケットを送信する場合に選択します。
[重大度]
転送される情報の重大度を選択します。
[ユーザー名]
WMI プロバイダーへの接続に使用されるユーザー名。ドメイン ユーザーの場合は、domain
\user の形式でユーザー名を入力します。
関連トピック:
247 ページの「プロファイルの設定」
248
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
[リモート コマンド] タブ
ビューまたはアラームで実行できるリモート コマンドのプロファイルを管理します。スクリプトは、クエリーまたは
イベントの変数を参照できます。
表 3-146 オプションの定義
オプション
定義
[リモート コマンド] テーブル
システムの現在のリモート コマンドを表示します。
[追加]
新しいリモート コマンドを追加します。
[編集]
選択したリモート コマンドを変更します。
[削除]
選択したリモート コマンドを削除します。
関連トピック:
247 ページの「プロファイルの設定」
[リモート コマンド] ページ
リモート コマンドの設定は、SSH 接続を受け入れるデバイス (ESM の McAfee デバイスを除く) でコマンドを実行
するときに使用されます。 プロファイルを追加すると、リモート コマンドの追加が必要なときにいつでもアクセス
できます。
表 3-147 オプションの定義
オプション
定義
[名前]
このリモート コマンド プロファイルの名前を入力します。
[説明]
このコマンドの説明を入力します。
[タイプ]
リモート コマンドのタイプを選択します。
[タイム ゾーン]
使用するタイム ゾーンを選択します。
[日付形式]
日付の形式を選択します。
[ホスト]、[ポート]、[ユーザー SSH 接続の情報を入力します。
名]、[パスワード]
[コマンド文字列]
SSH 接続のコマンド文字列を入力します。コマンド文字列に変数を挿入するに
は、[変数を挿入します] アイコン
をクリックして変数を選択します。
関連トピック:
247 ページの「プロファイルの設定」
SNMP 設定
ESM および各デバイスからのリンク アップ、リンク ダウン、コールド スタート トラップ、ウォーム スタート ト
ラップの送信、Management Information Base (MIB)-II システムとインターフェース テーブルの取得、SNMP
ウォークによる ESM の検出を可能にするように ESM によって使用される設定を構成します。
SNMPv3 では NoAuthNoPriv、AuthNoPriv、AuthPriv オプションがサポートされ、認証に MD5 またはセキュア
ハッシュ アルゴリズム (SHA)、暗号化に Data Encryption Standard (DES) または Advanced Encryption
Standard (AES) を使用します (MD5 と DES は FIPS コンプライアンス モードでは使用できません)。
ESM、Receiver、Nitro IPS 正常性情報の SNMP リクエストを ESM に作成できます。また、SNMPv3 トラップを
ESM に送信して管理対象の 1 つ以上の Nitro IPS デバイスのブラックリストに追加できます。 リンク アップ、リ
ンク ダウン、ウォーム ブート トラップ、コールド ブート トラップを、選択した 1 つ以上の宛先に送信するように
すべての McAfee アプライアンスを設定することもできます(『SNMP と McAfee MIB』を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
249
3
ESM の設定
補助サービスの設定
関連トピック:
250 ページの「SNMP 設定の構成」
252 ページの「電源障害通知の SNMP トラップを設定する」
253 ページの「SNMP と McAfee MIB」
257 ページの「ESM から MIB を取得する」
SNMP 設定の構成
受信および送信 SNMP トラフィックで ESM により使用される設定を定義します。SNMP クエリーは、ユーザー名
にスペースが含まれないユーザーのみが実行できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[SNMP 設定] をクリックします。
2
[SNMP 要求] タブと [SNMP トラップ] タブに必要な情報を入力します。
3
[OK] をクリックします。
関連トピック:
249 ページの「SNMP 設定」
252 ページの「電源障害通知の SNMP トラップを設定する」
253 ページの「SNMP と McAfee MIB」
257 ページの「ESM から MIB を取得する」
250 ページの「SNMP 設定 ページ」
251 ページの「[SNMP 設定] ページ」
SNMP 設定 ページ
ESM によって SNMP トラフィックに使用される設定を設計します。
表 3-148 オプションの定義
タブ
オプション
定義
[SNMP リク
エスト]
[リクエスト ポート]
トラフィックが通過するポートを選択します。
[受諾]
受諾するトラップ タイプを選択します。
[SNMPv1/2c を許可] SNMP バージョン 1 とバージョン 2 のトラフィックを許可する場合に選
択して、コミュニティ タイプを入力します。
[SNMPv3 を許可]
SNMP バージョン 3 のトラフィックを許可する場合に選択して、セキュリ
ティ レベル、認証プロトコル、プライバシー プロトコルを選択します。
[信頼された IP アドレ ESM が信頼されているとみなすか許可する IP アドレスを表示します。新
ス]
しいアドレスの追加と既存のアドレスの編集または削除を実行できます。
IP アドレスにはマスクを含めることができます。
[SNMP トラ
ップ]
250
[デバイス ID を表示]
SNMP 要求の送信時に使用できるデバイス ID のリストを表示します。
[MIB を表示]
各オブジェクトのオブジェクト識別子 (OID) や対象の特性を定義する
McAfee MIB を表示します。
[トラップ ポート]
[SNMP トラップ] タブで、コールドまたはウォーム トラップ トラフィッ
クとブラックリスト エントリ、上/下にリンクするトラフィックが通過す
るポートを設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
表 3-148 オプションの定義 (続き)
タブ
オプション
定義
[トラップを上/下にリ
ンク]
上下にリンクするトラップを送信する場合に選択します。この機能を選択
して複数のインターフェースを使用している場合、インターフェースがダ
ウンまたはアップすると通知されます。
コールドおよびウォーム トラップ トラフィックは自動的に許可されま
す。SNMP サービスが再起動すると、コールド スタート トラップが生成
されます。 SNMP サービスは、SNMP の設定が変更された場合、ユーザ
ーが変更された場合、グループが変更された場合、リモート認証でユーザ
ーがログインした場合、ESM が再起動した場合、cpservice が再起動し
た場合、あるいはその他の状況で再起動します。 ウォーム スタート トラ
ップは、システムの再起動時に生成されます。
[データベースの上/下
トラップ]
データベース (cpservice、IPSDBServer) が開始または停止したときに
SNMP トラップを送信するかどうかを選択します。
[セキュリティ ログ失
敗トラップ]
ログがログ テーブルに書き込まれなかったときに SNMP トラップを送信
するかどうかを選択します。
[ハードウェア全般エ
ラー]
いずれかの ESM 電源で障害が発生すると通知されます (全般ハードウェ
アまたは DAS)。 これにより、電源障害によるシステムのシャットダウン
を回避できます。
[宛先]
通知の宛先にするシステムのプロファイル名を選択します。テーブルに
は、システムで使用可能なすべての SNMP トラップ プロファイルが示さ
れます。 このリストを編集するには、[プロファイルを編集] をクリックし
て、[プロファイル マネージャー] リストにプロファイルを追加、編集、削
除します。
関連トピック:
250 ページの「SNMP 設定の構成」
[SNMP 設定] ページ
送信する SNMP トラップとトラップの宛先を定義します。
タブ
オプション
定義
[SNMP 要
求]
[要求ポート]
トラフィックが通過するポートを選択します。
[受諾]
デバイスの正常性要求を受け入れるかどうかを選択します。
[SNMPv1 を許
可]
SNMP バージョン 1 とバージョン 2 のトラフィックを許可する場合に選択し
て、コミュニティ文字列を入力します。
[SNMPv3 を許
可]
SNMP バージョン 3 のトラフィックを許可する場合に選択して、セキュリティ
レベル、認証プロトコル、プライバシー プロトコルを選択します。
[信頼された IP ア デバイスが許可または信用と見なす IP アドレスを表示します。 新しいアドレス
ドレス]
の追加と既存のアドレスの編集または削除を実行できます。IP アドレスにはマ
スクを含めることができます。
信頼された IP アドレスを使用する必要があります。
[SNMP ト
ラップ]
[MIB を表示]
各オブジェクトのオブジェクト識別子 (OID) や対象の特性を定義する McAfee
MIB を表示します。
[トラップ ポー
ト]
コールドまたはウォーム トラップ トラフィックとブラックリスト エントリ、上/
下にリンクするトラフィックが通過するポートを設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
251
3
ESM の設定
補助サービスの設定
タブ
オプション
定義
[トラップを上/下
にリンク]
上下にリンクするトラップを送信する場合に選択します。 この機能を選択して
複数のインターフェースを使用している場合、インターフェースがダウンまたは
アップすると通知されます。
コールドおよびウォーム トラップ トラフィックは自動的に許可されます。コー
ルド スタート トラップは、ハード シャット ダウンまたはハード リセット時に
生成されます。 ウォーム スタート トラップは、システムの再起動時に生成され
ます。
[データベースの
上/下トラップ]
データベース (cpservice、IPSDBServer) が開始または停止したときに SNMP
トラップを送信するかどうかを選択します。
[セキュリティ ロ
グ失敗トラップ]
ログがログ テーブルに書き込まれなかったときに SNMP トラップを送信するか
どうかを選択します。
[宛先]
通知の宛先にするシステムのプロファイル名を選択します。 テーブルには、シス
テムで使用できるすべての SNMP トラップ プロファイルが表示されます。 こ
のリストを編集するには、[プロファイルを編集] をクリックして、[プロファイル
マネージャー] リストにプロファイルを追加、編集、削除します。
HA Receiver で SNMP をセットアップすると、プライマリ Receiver のトラフィックが共有 IP アドレス経由で送信
されます。 リスナーをセットアップする場合には、共有 IP アドレスにセットアップしてください。
関連トピック:
250 ページの「SNMP 設定の構成」
電源障害通知の SNMP トラップを設定する
ハードウェア障害と DAS 電源障害を通知する SNMP トラップを選択します。これにより、電源障害によるシステム
のシャットダウンを回避できます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合に必要)。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
252
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
3
[トラップ ポート] で 162 を入力し、[ハードウェア全般エラー] を選択して [プロファイルを編集] をクリック
します。
4
[追加] をクリックし、必要な情報を入力します。
•
[プロファイル タイプ] - [SNMP トラップ] を選択します。
•
[IP アドレス] - トラップ送信先のアドレスを入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
•
[ポート] - 162 を入力します。
•
[コミュニティ名] - パブリック と入力します。
3
[ポート] と [コミュニティ名] フィールドに入力した情報を忘れないように覚えてください。
5
[OK] をクリックし、[プロファイル マネージャー] ページで [閉じる] をクリックします。
プロファイルが [宛先] テーブルに追加されます。
6
[使用] 列でプロファイルを選択し、[OK] をクリックします。
電源装置が故障すると、SNMP トラップが送信され、システムのナビゲーション ツリーのデバイスの横に正常性ス
テータスのフラグが表示されます。
関連トピック:
249 ページの「SNMP 設定」
250 ページの「SNMP 設定の構成」
253 ページの「SNMP と McAfee MIB」
257 ページの「ESM から MIB を取得する」
SNMP と McAfee MIB
McAfee 製品ラインのいくつかの機能は SNMP を使用してアクセスできます。McAfee MIB には、各オブジェクト
のオブジェクト識別子 (OID) や対象の特性を定義します。
MIB は以下のオブジェクト グループを定義します。
•
アラート - ESM はイベント転送を使用してアラート トラップを生成、送信できます。 Receiver は McAfee
SNMP データ ソースを設定してアラート トラップを受信できます。
•
フロー - Receiver は McAfee SNMP データ ソースを設定してフロー トラップを受信できます。
•
ESM 正常性要求 - ESM は自身と管理対象デバイスの正常性要求を受信して応答できます。
•
ブラックリスト - ESM はブラックリストのエントリを定義するトラップを受信して、管理する Nitro IPS デバ
イスに適用するリストを隔離できます。
McAfee MIB では、以下の値にテキスト規則 (列挙型) が定義されています。
•
アラートの受信時に実行されたアクション
•
フローの方向と状態
•
データソース タイプ
•
ブラックリスト アクション
構文的には、McAfee MIB は SNMPv2 管理情報構造 (SMI) に準拠しています。 SNMP を使用する McAfee 製品を
SNMPv1、SNMPv2c、SNMPv3 (認証とアクセス制御を含む) 上で動作するように設定できます。
正常性要求は、SNMP GET 操作を使用して作成されます。 SNMP GET 操作は、SNMP マネージャー アプリケーシ
ョンによって使用され、SNMP エージェント (この場合は ESM) によって維持される管理対象オブジェクトから値を
取得します。 アプリケーションは通常、ESM のホスト名と OID を OID の特定のインスタンスと一緒に提供して
SNMP GET 要求を実行します。
ESM は、戻り値またはエラーを返して応答します。たとえば、正常性要求と Nitro IPS ID 2 による Nitro IPS の正
常性の応答は次のようになります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
253
3
ESM の設定
補助サービスの設定
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.2.1.2
内部 Nitro IPS
Nitro IPS 名
1.3.6.1.4.1.23128.1.3.2.2.2
2
Nitro IPS の ESM 一意識別子
1.3.6.1.4.1.23128.1.3.2.3.2
1
Nitro IPS との通信が使用可能
(1) であるか、使用不可 (0) で
あるかを示します
1.3.6.1.4.1.23128.1.3.2.4.2
OK
Nitro IPS のステータス
1.3.6.1.4.1.23128.1.3.2.5.2
off
Nitro IPS のバイパス NIC の
ステータス
1.3.6.1.4.1.23128.1.3.2.6.2
Nitro IPS
Nitro IPS モード (Nitro IPS
または IDS)
1.3.6.1.4.1.23128.1.3.2.7.2
パーセント
2
瞬間的な CPU 負荷を合わせた
比率
1.3.6.1.4.1.23128.1.3.2.8.2
MB
1010
Nitro IPS RAM 合計
1.3.6.1.4.1.23128.1.3.2.9.2
MB
62
使用可能な RAM
1.3.6.1.4.1.23128.1.3.2.10.2 MB
27648
Nitro IPS データベース用にパ
ーティションが区切られた
HDD 容量の合計
1.3.6.1.4.1.23128.1.3.2.11.2 MB
17408
Nitro IPS データベースに使用
可能な HDD 空き容量
1.3.6.1.4.1.23128.1.3.2.12.2 1970 年 1 月 1
日
00:00:00.0
(GMT) からの経
過秒数
120793661
Nitro IPS の現在のシステム時
刻
1.3.6.1.4.1.23128.1.3.2.13.2
7.1.3
20070518091421a
Nitro IPS バージョン情報とビ
ルドスタンプ
1.3.6.1.4.1.23128.1.3.2.14.2
ABCD:1234
Nitro IPS マシン ID
1.3.6.1.4.1.23128.1.3.2.15.2
Nitro IPS
Nitro IPS モデル番号
1.3.6.1.4.1.23128.1.3.2.16.2 1 分あたりのアラ
ート
140
最後の 10 分間のアラート率
(1 分あたり)
1.3.6.1.4.1.23128.1.3.2.17.2 1 分あたりのフロ
ー
165
最後の 10 分間のフロー率 (1
分あたり)
上記の例では、SNMP マネージャーは SNMP エージェント ESM への要求を作成します。 数字の意味:
•
1.3.6.1.4.1.23128 - McAfee Internet Assigned Numbers Authority (IANA) で割り当てられているエン
タープライズ番号
•
1.3.2 - Nitro IPS 正常性要求
•
その次の数字 (上記の例では 1 から 17) は Nitro IPS 正常性の各種機能の要求を示します。
•
最後の数字 (2) は、OID の特定インスタンス Nitro IPS ID を示します。
ESM は、OID バインドに正常性要求の結果を設定して応答します。
254
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
補助サービスの設定
次の表は、ESM と Receiver OID の意味を示します。
表 3-149 ESM 正常性
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.1.1 パーセント
4
瞬間的な CPU 負荷を合わせた比率
1.3.6.1.4.1.23128.1.3.1.2 MB
3518
RAM 合計
1.3.6.1.4.1.23128.1.3.1.3 MB
25
使用可能な RAM
1.3.6.1.4.1.23128.1.3.1.4 MB
1468006
ESM データベース用にパーティションが
区切られた HDD 容量の合計
1.3.6.1.4.1.23128.1.3.1.5 MB
1363148
ESM データベースに使用可能な HDD 空
き容量
1.3.6.1.4.1.23128.1.3.1.6 1970 年 1 月 1 日
00:00:0.0 (GMT) か
らの経過秒数
1283888714 ESM の現在のシステム時刻
1.3.6.1.4.1.23128.1.3.1.7
8.4.2
ESM のバージョンとビルドスタンプ
1.3.6.1.4.1.23128.1.3.1.8
4EEE:6669
ESM のマシン ID
1.3.6.1.4.1.23128.1.3.1.9
ESM
ESM モデル番号
表 3-150 Receiver の正常性
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.3.1.x
Receiver
Receiver 名
1.3.6.1.4.1.23128.1.3.3.2 .x
2689599744
Receiver の ESM 一意識別子
1.3.6.1.4.1.23128.1.3.3.3.x
1
Receiver との通信が使用可能
(1) であるか、使用不可 (0) で
あるかを示します
1.3.6.1.4.1.23128.1.3.3.4.x
OK
Receiver のステータスを示し
ます
1.3.6.1.4.1.23128.1.3.3.5.x
パーセント
2
瞬間的な CPU 負荷を合わせ
た比率
1.3.6.1.4.1.23128.1.3.3.6.x
MB
7155
RAM 合計
1.3.6.1.4.1.23128.1.3.3.7.x
MB
5619
使用可能な RAM
1.3.6.1.4.1.23128.1.3.3.8.x
MB
498688
Receiver データベース用にパ
ーティションが区切られた
HDD 容量の合計
1.3.6.1.4.1.23128.1.3.3.9.x
MB
472064
Receiver データベースに使用
可能な HDD 空き容量
1.3.6.1.4.1.23128.1.3.3.10.x 1970 年 1 月 1 日 1283889234
00:00:0.0 (GMT)
からの経過秒数
1.3.6.1.4.1.23128.1.3.3.11.x
McAfee Enterprise Security Manager 9.6.0
7.1.3
20070518091421a
Receiver の現在のシステム時
刻
Receiver バージョンとビルド
スタンプ
製品ガイド
255
3
ESM の設定
補助サービスの設定
表 3-150 Receiver の正常性 (続き)
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.3.12.x
5EEE:CCC6
Receiver のマシン ID
1.3.6.1.4.1.23128.1.3.3.13.x
Receiver
Receiver モデル番号
1.3.6.1.4.1.23128.1.3.3.14.x 1 分あたりのアラ
ート
1
最後の 10 分間のアラート率
(1 分あたり)
1.3.6.1.4.1.23128.1.3.3.15.x 1 分あたりのフロ
ー
2
最後の 10 分間のフロー率 (1
分あたり)
x = デバイス ID デバイス ID のリストにアクセスするには、[システムのプロパティ]、[SNMP 設定] の順に移動し、
[デバイス ID を表示] をクリックします。
イベント、フロー、ブラックリスト エントリは、SNMP トラップまたは通知要求を使用して送信されます。 イベン
ト転送を実行するように設定された ESM から送信されるアラート トラップは、次のようになります。
OID
値
意味
1.3.6.1.4.1.23128.1.1.1
780
ESM アラート ID
1.3.6.1.4.1.23128.1.1.2
6136598
デバイス アラート ID
1.3.6.1.4.1.23128.1.1.3
内部 Nitro IPS
デバイス名
1.3.6.1.4.1.23128.1.1.4
2
デバイス ID
1.3.6.1.4.1.23128.1.1.5
10.0.0.69
ソース IP
1.3.6.1.4.1.23128.1.1.6
27078
ソース ポート
1.3.6.1.4.1.23128.1.1.7
AB:CD:EF:01:23:45 ソース MAC
1.3.6.1.4.1.23128.1.1.8
10.0.0.68
宛先 IP
1.3.6.1.4.1.23128.1.1.9
37258
宛先ポート
1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF 宛先 MAC
1.3.6.1.4.1.23128.1.1.11 17
プロトコル
1.3.6.1.4.1.23128.1.1.12 0
VLAN
1.3.6.1.4.1.23128.1.1.13 1 フローの方向
256
1.3.6.1.4.1.23128.1.1.14 20
イベント数
1.3.6.1.4.1.23128.1.1.15 1201791100
最初の時刻
1.3.6.1.4.1.23128.1.1.16 1201794638
最後の時刻
1.3.6.1.4.1.23128.1.1.17 288448
最後の時刻 (マイクロ秒)
1.3.6.1.4.1.23128.1.1.18 2000002
シグネチャ ID
1.3.6.1.4.1.23128.1.1.19 異常受信高
シグネチャの説明
1.3.6.1.4.1.23128.1.1.20 5
実行されたアクション
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
補助サービスの設定
OID
値
3
意味
1.3.6.1.4.1.23128.1.1.21 1
重大度
1.3.6.1.4.1.23128.1.1.22 201
データ ソース タイプまたは結果
1.3.6.1.4.1.23128.1.1.23 0
正規化されたシグネチャ ID
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0
IPv6 ソース IP
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0
IPv6 宛先 IP
1.3.6.1.4.1.23128.1.1.26
アプリケーション
1.3.6.1.4.1.23128.1.1.27
ドメイン
1.3.6.1.4.1.23128.1.1.28
ホスト
1.3.6.1.4.1.23128.1.1.29
ユーザー (ソース)
1.3.6.1.4.1.23128.1.1.30
ユーザー (宛先)
1.3.6.1.4.1.23128.1.1.31
コマンド
1.3.6.1.4.1.23128.1.1.32
オブジェクト
1.3.6.1.4.1.23128.1.1.33
シーケンス番号
1.3.6.1.4.1.23128.1.1.34
信頼されている環境で生成されたか、信頼されていない環境
で生成されたかを示します
1.3.6.1.4.1.23128.1.1.35
アラートを生成したセッションの ID
数字の意味:
•
1.3.6.1.4.1.23128 - McAfee IANA で割り当てられているエンタープライズ番号
•
1.1 - Nitro IPS 正常性要求
•
最後の番号 (1–35) - アラートの様々な特性を報告します)。
McAfee MIB 定義の詳細については、https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt を参
照してください (x.x.x.x は ESM の IP アドレス)。
関連トピック:
249 ページの「SNMP 設定」
250 ページの「SNMP 設定の構成」
252 ページの「電源障害通知の SNMP トラップを設定する」
257 ページの「ESM から MIB を取得する」
ESM から MIB を取得する
ESM で送受信されるオブジェクトと通知を確認します。
この MIB で定義されたオブジェクトと通知が次の要求を送信する場合に使用されます。
•
1 つ以上の IPS デバイスのブラックリストと隔離リストを ESM に要求する場合
•
ESM 自身または IPS と Receiver デバイスの正常性ステータス情報を ESM に要求する場合
•
正常性ステータス情報をデバイスに要求する場合
McAfee Enterprise Security Manager 9.6.0
製品ガイド
257
3
ESM の設定
データベースを管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[SNMP 設定] をクリックし、[MIB を表示] をクリックします。
ベース MIB 定義のリストが表示されます。
関連トピック:
249 ページの「SNMP 設定」
250 ページの「SNMP 設定の構成」
252 ページの「電源障害通知の SNMP トラップを設定する」
253 ページの「SNMP と McAfee MIB」
データベースを管理
ESM データベースを管理して、システム上の機能を設定する場合に情報と設定を提供できるようにします。
データベースのインデックス設定を管理し、イベントおよびフローのデータベース メモリ使用率に関する情報を表示
および出力し、非アクティブ状態のパーティションのストレージ場所を設定し、イベントおよびフローのデータ保持
ポリシーを設定し、データベースがイベント データとフロー データの領域を割り当てる方法を設定できます。
VM に CPU が 5 つ以上ある場合は、システム ストレージ、データ ストレージ、および高パフォーマンス ストレー
ジ用にストレージ領域を追加できます。
ESM VM で一度に複数のドライブを削除すると、それ以前のすべての ELM 検索結果が失われます。これを防ぐには、
このプロセスを実行する前に ELM 検索結果をエクスポートします。
ESM データ ストレージを設定
Internet Small Computer System Interface (iSCSI)、Storage Area Network (SAN)、または
Direct-attached storage (DAS) デバイスを ESM に接続してある場合、そのデバイスをデータ ストレージ用に設
定することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データ ストレー
ジ]をクリックします。
2
いずれかのタブをクリックし、アクションを選択し、必要な情報を入力します。
使用できるタブは、ESM に接続されているストレージのタイプによって異なります。
3
[キャンセル] をクリックしてページを閉じます。
関連トピック:
152 ページの「iSCSI の設定 ページ」
258
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
データベースを管理
iSCSI の設定 ページ
iSCSI デバイスへの接続に必要なパラメーターを追加します。
表 3-151 オプションの定義
オプション
定義
[名前]
iSCSI デバイスの名前を入力します。
[IP アドレス]
iSCSI デバイスの IP アドレスを入力します。
[ポート]
iSCSI デバイスのポートを選択します。
関連トピック:
151 ページの「iSCSI デバイスを追加する」
258 ページの「ESM データ ストレージを設定」
ESM VM データ ストレージを設定
ESM VM に CPU が 5 つ以上ある場合は、[データベース] ページの [VM データ] オプションを使用して、VM のシ
ステム ストレージ、データ ストレージ、および高パフォーマンス ストレージ用の追加ストレージを使用できます。
[データの割り当て] ページの各ドロップダウン リストには、VM にマウントされている使用可能なストレージ ドラ
イブが表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [VM データ]をク
リックします。
2
各フィールドで、データを格納するドライブを選択します。ドライブはそれぞれ 1 回だけ選択できます。
3
[OK] をクリックします。
使用可能なアキュムレーター インデックスの数を増やす
ESM で有効な標準インデックスの数に制限があるため、アキュムレーター フィールドには 5 つのインデックスしか
追加できません。 5 つ以上のインデックスが必要な場合には、現在使用していない標準インデックスを無効にできま
す (たとえば、sessionid、src/dst mac、src/dst port、src/dst zone、src/dst geolocation、など、最大で 42
個まで)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
ESM は、クエリ、レポート、アラーム、ビューの生成時に標準インデックスを使用します。 標準インデックスを無効
にして、これらのインデックスを使用するクエリ、レポート、アラームまたはビューを生成すると、インデックスが無
効なため処理を実行できないことが通知されます。 プロセスに影響を及ぼすインデックスは通知されません。 このた
め、必要でない限り、標準インデックスを無効にしないでください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[データベース] をクリックします。
2
[設定] をクリックし、[アキュムレータのインデックス作成] タブをクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
259
3
ESM の設定
データベースを管理
3
ドロップダウン リストから [標準インデックス] をクリックして、[標準インデックスを表示する] を選択します。
標準インデックスが [有効] 領域に表示されます。
4
無効にする標準インデックスをクリックして矢印をクリックし、[使用可能] 領域に移動します。
標準インデックスを無効にすると、ページの右上隅にある [残り] の数が増加します。
選択したアキュムレーター フィールドで 5 つ以上のアキュムレーター インデックスを有効にできます (「アキュム
レーター インデックスを管理する」を参照)。
非アクティブ状態のパーティションのアーカイブを設定
ESM では、データをパーティションに分割しています。 パーティションが最大サイズに達すると、非アクティブに
なり、削除されます。非アクティブなパーティションが削除されないように、ストレージ場所を設定することができ
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [アーカイブ]をク
リックします。
2
フィールドに入力します。フィールドは、選択したタイプによって異なります。
3
[OK] をクリックして設定を保存します。
パーティションは、非アクティブになるとこの場所にコピーされ、[イベントパーティション] および [フロー パーテ
ィション] タブにリストされます。
関連トピック:
260 ページの「[非アクティブ状態のパーティション] ページ」
[非アクティブ状態のパーティション] ページ
非アクティブ状態のパーティションがシステムから削除されないように格納場所を設定します。
表 3-152 オプションの定義
オプション
定義
[有効]
非アクティブ状態のパーティションのアーカイブを有効にする場合に選択します。
[タイプ]
ストレージのタイプを選択します。CIFS、NFS、iSCSI のほか、SAN カードが取り付けら
れている場合は SAN を選択できます。
CIFS 共用タイプをバージョン 3.2 以降の Samba サーバーと一緒に使用するとデータ損
失を招く可能性があります。
[サイズ]
このデバイスに割り当てるストレージ領域の最大容量を選択します。
[SAN ボリューム]
SAN タイプを選択した場合は、SAN ボリュームを選択します。データの保存が可能なすべ
てのボリュームが一覧表示されます。
[編集]
その他のボリュームをフォーマットして、SAN ボリューム リストに追加できます。
[リモート IP アドレ
CIFS または NFS を選択した場合は、各フィールドにストレージ デバイスの情報を入力し
ス、リモート マウント ます。
ポイント、リモート パ
ス]
260
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データベースを管理
3
表 3-152 オプションの定義 (続き)
オプション
定義
[ユーザー名、パスワー CIFS を選択した場合は、ストレージ デバイスのユーザー名とパスワードを入力する必要
ド]
があります。
CIFS 共有に接続する場合、パスワードにカンマを使用しないでください。
[iSCSI デバイス] と
[iSCSI IQN]
iSCSI ストレージ デバイスと iSCSI 修飾名(IQN)を選択します。
複数のデバイスを 1 つの IQN に接続しようとすると、データ損失などの設定上の問題が発
生する可能性があります。
オールインワンの ESM/Receiver/ELM デバイスでは、ELM で iSCSI SAN との接続を設
定済みの場合、デバイスとその iSCSI 修飾名(IQN)が、これらのフィールドに一覧表示
されます(『iSCSI デバイスの設定』を参照)。専用の ESM と ELM デバイスがある場合、
iSCSI デバイスへの接続を設定します(『iSCSI デバイスの設定』を参照)。
[接続]
クリックして、接続をテストします。
[データの割り当て]
[イベント]、[フロー]、[ログ] の各フィールドにこのデバイスに保存できるイベント、フ
ロー、ログ レコードの合計数を調整します。
[イベント パーティシ イベント、フロー、ログの非アクティブ状態のパーティションを表示します。[アクティブ]
ョン]、[フロー パーテ 列で最大 10 個のパーティションを選択して再度有効にすることができます。
ィション]、[ログ パー
ティション] タブ
関連トピック:
260 ページの「非アクティブ状態のパーティションのアーカイブを設定」
データ保持制限を設定
システムに履歴データが送信されるように設定されている場合は、イベントとフローが保持される時間を選択し、挿
入される履歴データの量を制限することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データの保持]を
クリックします。
2
イベントとフローが保持される時間を選択し、履歴データを制限するかどうかを指定します。
3
[OK] をクリックします。
関連トピック:
262 ページの「[データの保持] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
261
3
ESM の設定
データベースを管理
[データの保持] ページ
イベントとフローを保持する期間と履歴データを制限するかどうかを選択します。
表 3-153 オプションの定義
オプション
定義
[システムにより許容されるすべての システムが許容するイベントまたはフローの最大数を保持する場合に選択
します。
データを保持します]
[次の期間のデータを保持]
指定した期間のみ、イベントとフローを保持する場合に選択します。
[履歴データの挿入を制限]
履歴データを制限する場合に選択します。また、[次のものより古いデータを
挿入しない:] フィールドでデータを対象とする期間を選択します。
関連トピック:
261 ページの「データ保持制限を設定」
データ割り当て制限を定義する
システムによって維持されるイベント レコードとフロー レコードの最大数は、固定値です。データ割り当てでは、
クエリーを最適化するために、各レコードに割り当てる領域と、検索するレコード数の制限を設定できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データの割り当
て] の順にクリックします。
2
数字行のマーカーをクリックし、目的の数字にドラッグするか、[イベント] および [フロー] フィールドの矢印を
クリックします。
3
[OK] をクリックします。
関連トピック:
262 ページの「[データの割り当て] ページ」
[データの割り当て] ページ
イベントとフローに割り当てる容量と、検索を最適化するために割り当てるレコード数を設定します。
表 3-154 オプションの定義
オプション
定義
上スライダー
イベントおよびフローに割り当てる総容量を示します。
下スライダー
クエリー実行時に検索するイベントとフローのレコード数を設定します。
このスライダーは、SSD デバイスが存在しない場合は表示されません。
関連トピック:
262 ページの「データ割り当て制限を定義する」
データベースのインデックス設定を管理
データベースにあるデータの特定のフィールドのインデックス作成オプションを設定します。インデックスが作成さ
れていないデータも格納できますが、ほとんどのクエリー結果に表示されなくなります。
262
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データベースを管理
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [設定]をクリック
します。
2
[イベント] および [フロー] 列で現在の設定を変更するには、変更するアイテムをクリックして、ドロップダウン
リストから新しい設定を選択します。
3
[ポート] 列で [カスタム] を選択すると、[ポート値] 画面が開き、新しいポート値を選択または追加することが
できます。
4
[OK] をクリックします。
関連トピック:
263 ページの「[データベースのインデックス作成] ページ」
263 ページの「[ポート値] ページ」
[データベースのインデックス作成] ページ
MAC アドレスとポート情報をデータベース インデックスに保存するかどうかを選択します。
表 3-155 オプションの定義
オプション
定義
テーブル
ESM とそのデバイスのインデックス設定を表示します。
[MAC アドレス] 列 現在の設定を選択して、オプションの 1 つを選択します。デバイスの設定が [継承] の場合、
システム設定を使用します。
[ポート] 列
現在の設定をクリックして、オプションの 1 つを選択します。[カスタム] を選択した場合、
[ポート値] ページが開いてポート値を選択または追加できます。
関連トピック:
262 ページの「データベースのインデックス設定を管理」
[ポート値] ページ
既存のポートを選択するか、新しいポート値を追加します。
表 3-156 オプションの定義
オプション 定義
[値を追加] 選択した値を [現在の値] フィールドに追加します。
[新規]
名前と値を入力して、新しいポート値を追加します。リストに追加され、後で使用することができま
す。
[編集]
カスタム ポートの名前または値を変更します。
[削除]
ポートのリストからカスタム ポートを削除します。
[現在の値] ポート値は、直接入力するか、強調表示してから [値を追加] をクリックして入力します。
関連トピック:
262 ページの「データベースのインデックス設定を管理」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
263
3
ESM の設定
データベースを管理
アキュムレータのインデックス作成を管理
ソースから数値データをプルするカスタム フィールドがある場合は、アキュムレータのインデックス作成によって、
特定期間のデータの合計または平均を計算できます。複数のイベントを累積して、値の平均を計算、または傾向値を
生成することができます。
開始する前に
アキュムレータのインデックス作成のカスタム タイプを設定します(『カスタム タイプを作成』を参
照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[データベース] をクリックします。
2
[設定] をクリックし、[アキュムレータのインデックス作成] タブをクリックします。
3
インデックスを選択し、[OK] をクリックします。
アキュムレータ クエリーを設定して結果を表示することができます。
関連トピック:
264 ページの「アキュムレータのインデックス作成 タブ」
アキュムレータのインデックス作成 タブ
アキュムレータのインデックスを選択します。 選択したアキュムレータ フィールドには 5 つのインデックスを選
択できます。 これより多くのインデックスが必要な場合には、標準のインデックスを無効にして、アキュムレーター
インデックスをフィールドに追加できます。
表 3-157 オプションの定義
オプション
定義
ドロップダウン
リスト
インデックスを追加するアキュムレーター インデックスを選択します。 6 つ以上のインデック
スが必要な場合には、[標準インデックス] を選択します。
[標準インデック
スを表示する]
[有効] リストと [使用可能] リストに標準インデックスを表示する場合に選択します。
[使用可能] リス
ト
アキュムレーター フィールドを選択した場合には、有効にするインデックスを選択し、矢印を
クリックして [有効] リストに移動します。 ページの右上隅の[残り] に、このフィールドに選択
可能なインデックス数が表示されます。
[有効] リスト
有効なインデックスを表示します。 [標準インデックスを表示する]を選択すると、標準インデ
ックスが表示されます。 インデックスを 1 つ削除するには、インデックスを選択してから矢印
をクリックして、[使用可能] リストに移動します。標準インデックスを削除すると、アキュム
レーター フィールドに追加可能なインデックスの数が増えます。
[この時点以降]
これらのインデックスをこの時点以降に生成されたデータに使用する場合に選択します。
[過去のデータを
再構築]
これらのインデックスを過去のデータに使用する場合に選択して、開始日を選択します。
選択した場合は、データが含まれるパーティションの再構築が必要です。
関連トピック:
264 ページの「アキュムレータのインデックス作成を管理」
データベースのメモリ使用率を表示
データベース メモリの使用詳細を示すテーブルを表示、印刷します。
264
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ユーザーとグループの操作
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [メモリの使用]を
クリックします。
[イベント] および [フロー] テーブルに、データベースのメモリ使用率がリストされます。
2
レポートを出力するには、[印刷] アイコン
をクリックします。
関連トピック:
265 ページの「[データベース情報] ページ」
[データベース情報] ページ
データベース メモリ使用率を示すテーブルを表示または印刷します。
表 3-158 オプションの定義
オプション
定義
[イベント] テーブル
インデックス名別にイベントのメモリ使用率を表示します。
[フロー] テーブル
インデックス名別にフローのメモリ使用率を表示します。
メモリ使用率レポートを印刷します。
関連トピック:
264 ページの「データベースのメモリ使用率を表示」
ユーザーとグループの操作
ユーザーとグループをシステムに追加して、ESM、そのデバイス、ポリシーへのアクセス権および関連の特権を付与
する必要があります。
FIPS モードの場合、ESM has には、[ユーザー]、[パワー ユーザー]、[キーと証明書の管理]、[監査の管理] の 4
つのユーザー役割があります。 FIPS 以外のモードでは、[システム管理者] と [一般ユーザー] の 2 つのタイプのユ
ーザー アカウントがあります。
[ユーザーとグループ] ページには次の 2 つのセクションがあります。
•
[ユーザー] - ユーザーの名前、各ユーザーが現在開いているセッションの数、所属しているグループ。
•
[グループ] - グループの名前と各グループに割り当てられている特権の説明。
[ユーザー名]、[セッション数]、[グループ名] をクリックしてテーブルをソートできます。
グループ特権
グループをセットアップするときに、グループのメンバーに特権を設定します。
[グループの追加] の [特権] ページで ([システム プロパティ] 、 [グループの追加] の順に移動)、[このグループの
アクセスを制限する] を選択した場合、これらの機能に対するアクセスが制限されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
265
3
ESM の設定
ユーザーとグループの操作
•
アクション ツールバー - デバイス管理、複数デバイスの管理、イベントのストリーミング ビューアーにアクセ
スできません。
•
[アラーム] - グループ内のユーザーは、アラーム管理の受信者、ファイル、テンプレートにアクセスできませ
ん。 アラームの作成、編集、有効化、無効化は許可されません。
•
[資産マネージャー] と [ポリシー エディター] — これらの機能にはアクセスできません。
•
[ケース管理] — [組織] 以外のすべての機能にアクセスできます。
•
[ELM] — は高度な ELM 検索を実行できますが、ELM 検索の保存や ELM デバイス プロパティへのアクセスは実
行できません。
•
[フィルター] — [文字列の正規化]、[Active Directory]、[資産]、[資産グループ]、[タグ] のフィルター タブに
アクセスできません。
•
[レポート] — レポートを実行して出力を電子メールで送信できます。
•
[システムのプロパティ] — [レポート] と [ウォッチリスト] にのみアクセスできます。
•
[ウォッチリスト] — 動的ウォッチリストを追加できません。
•
[ゾーン] — ゾーン リストでアクセス権限のあるゾーンのみを表示できます。
ユーザーの追加
システム管理者特権を持っている場合、ユーザーをシステムに追加して、ユーザーに ESM、そのデバイスとポリシ
ーへのアクセス権限および関連する特権を付与できます。追加したユーザー設定は、編集または削除することができ
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ユーザーとグループ] を選択します。
2
システム管理者のパスワードを入力して、[OK] をクリックします。
3
[ユーザー] セクションで、[追加] をクリックして必要な情報を入力します。
4
[OK] をクリックします。
システムにユーザーが追加され、ユーザーが所属しているグループに割り当てられている特権が与えられます。ユー
ザー名が [ユーザーとグループ] ページの [ユーザー] セクションに表示されます。各ユーザー名の横にアカウント
が有効かどうかを示すアイコンが表示されます。ユーザーに管理者特権がある場合は、ロイヤルティ アイコン
名前の横に表示されます。
関連トピック:
267 ページの「[ユーザーを追加] ページ」
268 ページの「[ユーザーとグループ] ページ」
266
McAfee Enterprise Security Manager 9.6.0
製品ガイド
が
ESM の設定
ユーザーとグループの操作
3
[ユーザーを追加] ページ
ESM へのアクセス権限を付与するユーザーを追加します。
表 3-159 オプションの定義
オプション
定義
[ユーザー名]
ユーザー名を入力します。CAC 設定を使用している場合 (「CAC ログインの設定」を参照)、ユ
ーザー名はユーザーの 10 桁の EDI-PI です。
[ユーザーの別
名]
(オプション) ユーザー名を表示しない場合は、別名を入力します。CAC 設定を使用している場
合は、ユーザーの名前にすることもできます。
[パスワード]
[パスワードを設定] をクリックして、アカウントの固有のパスワードを入力して確認し、[OK]
をクリックします。
[役割] (FIPS モ このユーザーの役割を選択します。 次のオプションがあります。
ードのみ)
• [ユーザー] - これらのユーザーは [パワー ユーザー] 特権を持つグループに追加できません。
• [パワー ユーザー] - これらのユーザーはすべての UCAPL 目的のシステム管理者とみなされ
ますが、システム管理者の一部の特権を持っていない可能性があります。この役割は、次のい
ずれかの特権を持つグループに割り当てられるユーザーに必要です。
• システム管理
• ポリシーを追加/削除
• ユーザーの管理
• カスタムのルールおよび変数
• ポリシー管理
• グローバル ブラックリスト
• [キーと証明書の管理] - この役割は、キー管理機能の実行に必要です。この役割を持つユーザ
ーは、[パワー ユーザー] 特権を持つグループに追加できません。
• [監査の管理] - この役割はログの設定に必要です。この役割を持つユーザーは、[パワー ユー
ザー] 特権を持つグループに追加できません。
[管理者権限]
(FIPS モード以
外)
ユーザーに管理者特権を付与する場合に選択します。システム管理者は、アクセス グループを作
成してユーザーを割り当てることにより、一般ユーザーに特権を付与できます。システム管理者
は、ユーザーとグループ領域を含む、システムのすべての領域へのアクセス権限を持つ唯一のユ
ーザーです。
[アカウントを無 ユーザーが ESM でアカウントにアクセスできないようにする場合に選択します (「ユーザー ア
効化]
カウントの無効化または再有効化」を参照)。
[電子メール ア
ドレス]
ユーザーの電子メール アドレスを追加します。これは、ユーザーがレポートまたはアラーム通知
を受け取る場合を除きオプションです。
• すでにシステムに存在する電子メール アドレスは、[電子メール アドレス] ドロップダウン リ
ストから選択します。
• アドレスがシステムに存在しない場合は、[電子メール アドレス] をクリックしてアドレスをシ
ステムに追加します。
[モバイル SMS] ユーザーの SMS (テキスト) アドレスを追加します。
• すでにシステムに存在する SMS 番号は、[モバイル SMS] ドロップダウン リストから選択し
ます。
• アドレスがシステムに存在しない場合は、[モバイル SMS] をクリックしてアドレスをシステ
ムに追加します。
[ユーザーがメン このユーザーがメンバーとなっているグループを選択します。
バーとなってい
る所属先]
関連トピック:
266 ページの「ユーザーの追加」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
267
3
ESM の設定
ユーザーとグループの操作
[ユーザーとグループ] ページ
システム管理者特権を持っている場合、ユーザーをシステムに追加して、指定した特権を持つグループに編成するこ
とができます。これらの特権は、アクセスできる機能を制限します。
表 3-160 オプションの定義
オプション
定義
[ユーザー] テーブ
ル
ESM へのアクセス権限があるユーザーを一覧表示します。
[グループ] テーブ
ル
ESM に設定されるグループを一覧表示します。
[追加]、[編集]、[削 • [ユーザー] テーブルの右側に新しいユーザーを追加します。既存ユーザーの編集または削
除]
除もできます。
ユーザーを削除する前に、そのユーザーがアラームの割り当て先として設定されていないこ
とを核にしてください。
• [グループ] テーブルの右側に新しいグループを追加して、ユーザーと特権を割り当てます。
関連トピック:
266 ページの「ユーザーの追加」
ユーザー設定の選択
[ユーザー設定:] ページには、複数のデフォルト設定を変更するオプションがあります。タイム ゾーン、日付形式、
パスワード、デフォルトの表示、コンソール言語を変更できます。無効なデータ ソース、[アラーム] タブ、[ケース]
タブを表示するかどうかも選択できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
[ユーザー設定:] が選択されていることを確認します。
3
必要に応じて設定を変更して、[OK] をクリックします。
設定に基づいて、コンソールの表示形式が変更されます。
関連トピック:
269 ページの「[ユーザー設定] ページ」
268
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ユーザーとグループの操作
[ユーザー設定] ページ
自分にとって最も使いやすくなるように ESM コンソールの設定をいくつか定義します。
表 3-161 オプションの定義
オプション
定義
[タイムゾーンと日
付形式を選択]
1 つ目のドロップダウン リストでタイムゾーンを変更するか、2 つ目のドロップダウン リス
トで日付形式を変更します。
特に明示している場合を除き、すべてのビュー、クエリー、設定は、このタイムゾーンおよび
この日付形式に基づいて、イベント、フロー、ログ データを表示します。このタイムゾーンを
変更した場合、不正確なデータが生成されることがあります。したがって、これは常に GMT
に設定しておくことをお勧めします。
[パスワードを変更] [ユーザー名とパスワードを変更] ページで、ESM コンソールにアクセスする際に使用するユ
ーザー名とパスワードを変更します。コンソール ナビゲーション バーに名前を表示しない
場合は、[別名] フィールドに異なるユーザー名を入力します。
[デフォルトの表示] システムが開いたときにデフォルトで表示されるようにするシステム ナビゲーション ツリ
ーの表示タイプを選択します。
[言語]
コンソールの言語を選択します。
[システム ツリーの システム ナビゲーション ツリーに無効なデータ ソースを表示する場合、このオプションを選
無効なデータ ソー 択します。それらはこのアイコン
によって示されます。
スを表示]
[アラーム ペインを [アラーム] ペインをコンソールに表示する場合は、このオプションを選択します。
表示]
[ケース管理ペイン
を表示]
[ケース] ペインをコンソールに表示する場合は、このオプションを選択します。
関連トピック:
268 ページの「ユーザー設定の選択」
セキュリティのセットアップ
標準ログイン設定の設定、アクセス制御リスト (ACL) の構成、共通アクセス カード (CAC) 設定の定義を行うには、
ログインのセキュリティを使用します。また、Remote Authentication Dial In User Service (RADIUS)、Active
Directory、および Lightweight Directory Access Protocol (LDAP) 認証(システム管理者権限を持っている場合
のみ)を有効にすることもできます。
ESM のセキュリティ機能
McAfee ファミリーの Nitro IPS ソリューションは、ネットワーク上で発見されにくいように設計されており、攻撃
はさらにむずかしくなっています。Nitro IPS デバイスにはデフォルトで IP スタックがないため、パケットを Nitro
IPS に直接アドレス指定することができません。
Nitro IPS との通信は、McAfee Secure Encrypted Management (SEM) 技術によって実現されています。 SEM
は、帯域内 Advanced Encryption Standard (AES) で暗号化されたチャネルであり、プレイバック攻撃や中間者タ
イプの攻撃のリスクを軽減します。
Nitro IPS デバイスは、SEM チャネルを介して認証済み ESM によってアドレス指定された場合のみ通信できます。独
自に通信を開始することはありません。ESM と ESM コンソールの通信は、FIPS 準拠の暗号化で保護されます。
ESM は、認証され暗号化されたシグネチャとソフトウェア更新を、暗号化された通信メカニズムによって McAfee
セントラル サーバーから取得します。ハードウェアベースとソフトウェアベースのメカニズムによって、適切に認証
された ESM からのみデバイスが管理されるようになっています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
269
3
ESM の設定
ユーザーとグループの操作
標準ログイン設定の定義
指定された時間内にログイン試行できる回数、システムを非アクティブな状態にできる時間の長さ、パスワード設定、
ログイン時に最後のユーザー ID を表示するかどうかを定義して、標準ログイン手順の設定を調整します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[標準] タブでオプションを設定します。
3
[OK] または [適用] をクリックします。
関連トピック:
270 ページの「[標準] タブ」
[標準] タブ
システムの全般的なログイン セキュリティ設定を定義します。
表 3-162 オプションの定義
オプション
定義
[許容されるログ
イン試行失敗回
数]
1 回のセッションでログインが連続して失敗しても許容される回数を指定します。指定した回
数を超えるとアカウントはブロックされ、システム管理者が [ユーザーとグループ] を使用して
ロックを解除する必要があります。値 0 は、無限のログイン試行回数が許可されることを表し
ます。
マスター アカウントをロックすることはできません。
[ログイン試行失
敗の時間枠]
連続したログイン試行失敗の時間枠を定義します。範囲は 0 ~ 1440 分です。このフィール
ドは、[許容されるログイン試行失敗回数] と連携して動作します。指定した時間枠内で許容さ
れるログイン試行失敗回数に達した場合、ターゲット アカウントがロックされます。[失敗した
ログインのロックアウト期間] で設定した期間またはシステム管理者がロックを解除するまで
ロックされたままです。
[失敗したログイ ログイン失敗によりアカウントが自動ロックされた場合にロックされる期間を指定します。最
ンのロックアウト 大値は 1440 分です。0 は自動でロック解除しないことを示します。この時間が経過すると、
期間]
アカウントは自動的にロックが解除されます。この設定は、手動でロックされているアカウント
には影響を与えません。管理者はいつでもアカウントのロックを解除できます。
[UI タイムアウト アクティビティがなくなってから、現在のセッションを続行する前にログイン画面の指定が必要
になるまでの時間を指定します。たとえば、この値が 30 分に設定されている場合は、非アクテ
値]
ィブの期間が 30 分継続すると自動的にログイン画面が表示され、アクティビティを再開する前
に再度ログインする必要があります。値 0 は制限がないことを示します。
[非アクティブの 非アクティブの指定した日数が経過した後、管理者権限を持たないユーザー アカウントをロッ
アカウントが自動 クするように ESM を設定します。最大値は 365 日です。最小値は 0 で機能が無効になりま
ロックされる日
す。管理者がアカウントのロックを解除するまでロックされたままです。
数]
[1 人のユーザー 1 回に 1 人のユーザーに許容されるアクティブなセッションの数を設定します。最大値は 10
によるアクティブ です。0 は制限を無効にします。
セッション]
270
[ログイン時に前
回のユーザー ID
を表示]
最後にログインが成功したときに使用されたユーザーをユーザー名フィールドに事前に設定す
るかどうかを選択します。
[ACL 設定]
システムへのアクセスを許可されるまたはシステムからブロックされる IP アドレスのリスト
を設定する場合に選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ユーザーとグループの操作
関連トピック:
270 ページの「標準ログイン設定の定義」
ログオン パスワードの設定を定義する
システムのログオン パスワードは、いくつかの方法で定義できます。
開始する前に
システムの管理者権限が必要です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ログインのセキュリティ] をクリックし
ます。
2
[パスワード] タブをクリックします。項目を選択して [適用] または [OK] をクリックします。
関連トピック:
271 ページの「[パスワード] タブ」
[パスワード] タブ
管理者権限がある場合には、システム パスワードの設定を定義できます。
表 3-163 オプションの定義
オプション
定義
[高度なパスワード
が必要]
文字と長さについて、すべてのパスワードが次の要件を満たす必要がある場合に選択します。
最小:
• 15 文字
• 2 個の小文字
• 2 個の数字
• 2 個の大文字
• 2 個の句読記号
• 同じ文字を続けて 4 つ以上使用できま
せん
この要件を満たしていないと、パスワードは拒否されます。
[パスワードの有効
期限]
ログイン パスワードの変更頻度を指定します。 範囲は 0 日から 365 日です。 0 を選択す
ると、パスワードの有効期限は設定されません。
[パスワードの有効
期限が切れる前の
通知]
パスワードが期限切れになる前に、ユーザーに変更通知を表示する日数を選択します。 最大
値は 30、最小値は 1 です。
[パスワードの有効
期限が切れるまで
の猶予期間]
パスワードの有効期間が終了した後にユーザーにログオンを許可する時間を選択します。 猶
予期間を過ぎると、アカウントがロックされます。ロックを解除するには管理者権限が必要で
す。
[猶予期間のログイ
ン]
パスワードの有効期間が終了してから指定した期間内にユーザーがログオンできる回数を選
択します。 猶予期間のログイン回数を超過すると、アカウントがロックされます。ロックを
解除するには管理者権限が必要です。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
271
3
ESM の設定
ユーザーとグループの操作
表 3-163 オプションの定義 (続き)
オプション
定義
[パスワード履歴の
数]
個々のユーザーが使用したパスワードをシステムに保存するかどうかを指定します。また、ユ
ーザーごとに保存するパスワードの数も選択します。 範囲は 0 個から 100 個です。 0 に設
定すると、履歴は保存されません。 履歴が存在する場合、ユーザーがパスワードを変更する
ときに履歴が確認されます。 パスワードが固有でない場合、エラーが戻され、パスワードは
更新されていません。 パスワードが固有の場合、パスワードが変更され、新しい履歴項目が
追加されます。 ストレージの制限に達すると、最も古いパスワードから順に削除されます。
[パスワード変更を
制限する間隔]
ユーザーが自分のパスワードを変更する頻度を設定します。 たとえば、12 を選択すると、12
時間が経過するまでパスワードを変更できません。
関連トピック:
271 ページの「ログオン パスワードの設定を定義する」
RADIUS 認証設定の構成
RADIUS サーバーにユーザーを認証するように ESM を設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[RADIUS] タブを選択し、プライマリ サーバーのフィールドを入力します。セカンダリ サーバーはオプション
です。
3
[OK] または [適用] をクリックします。
サーバーを有効にすると、システム管理者を除くすべてのユーザーが RADIUS サーバーによって認証されます。認
証を無効にした場合、RADIUS 認証に設定したユーザーは ESM にアクセスできません。
関連トピック:
272 ページの「[RADIUS 認証設定] ページ」
[RADIUS 認証設定] ページ
RADIUS サーバーにユーザーを認証するように ESM を設定します。
RADIUS は FIPS に準拠していません。FIPS 規制に準拠する必要がある場合は、この機能を使用しないことをお勧め
します。
表 3-164 オプションの定義
オプション
定義
[有効]
RADIUS 認証を有効にする場合に選択します。有効にした場合、システム管理
者を除くすべてのユーザーが RADIUS サーバーで認証します。認証が無効な
場合、RADIUS 認証が設定されているユーザーはシステムにアクセスできませ
ん。
[プライマリ サーバーの IP アド RADIUS サーバーの IP アドレスを入力します。セカンダリ サーバーの IP ア
レス] と [セカンダリ サーバーの ドレス、サーバー ポート、共有のシークレットは必要ありません。
IP アドレス]
272
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ユーザーとグループの操作
3
表 3-164 オプションの定義 (続き)
オプション
定義
[プライマリ] と [セカンダリ サ
ーバーのポート]
RADIUS サーバーのポートを入力します。
[プライマリ] と [セカンダリ共有 RADIUS サーバーの共有シークレット(パスワードのような情報)を入力しま
のシークレット]
す。
関連トピック:
272 ページの「RADIUS 認証設定の構成」
アクセス制御リストの設定
ESM へのアクセスを許可するか、アクセスをブロックできる IP アドレスのリストを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[ACL 設定] をクリックし、IP アドレスをリストに追加します。
3
[OK] をクリックし、設定を保存して [アクセス制御リスト] を閉じます。
ACL リストから IP アドレスを編集したり、削除することができます。
関連トピック:
273 ページの「[アクセス制御リスト] ページ」
[アクセス制御リスト] ページ
ESM またはデバイスへのアクセスを許可またはブロックできる IP アドレスのリストを設定します。
表 3-165 オプションの定義
オプション
定義
[これらのアドレスを許可します]
IP アドレスからシステムへのアクセスを許可する場合に選択します。
[これらのアドレスを拒否します]
ESM から IP アドレスをブロックする場合に選択します。
[IP アドレス/マスク] テーブル
リストに追加されている IP アドレスを表示します。
[追加]
IP アドレスまたはマスクをリストに追加する場合にクリックします。
[編集]
リストで強調表示されている IP アドレスを変更する場合にクリックします。
[削除]
リストで強調表示されている IP アドレスを削除する場合にクリックします。
関連トピック:
273 ページの「アクセス制御リストの設定」
CAC 設定
ESM の認証は、ユーザー名とパスワードを入力するのではなく、ブラウザーから CAC 認証情報を指定することによ
って行えます。
CAC には、サーバー証明書が Web サイトを識別するのと同様の方法でユーザーを識別するクライアント証明書が含
まれています。CAC 機能を有効にした場合は、CAC ベースの認証を熟知しているものとみなします。どのブラウザ
ーがこの機能をサポートしているかを把握していて、CAC と関連付けられた Electronic Data Interchange
Personal Identifier (EDI-PI) についても熟知しているということです。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
273
3
ESM の設定
ユーザーとグループの操作
証明書は取り消されることがあります。証明書失効リスト (CRL) は、システムでこのような失効を認識できる方法
を提供します。CRL ファイルが含まれている .zip ファイルを手動でアップロードできます。
ActivClient は、Windows 上で唯一サポートされている CAC ミドルウェアです。Windows から Internet
Explorer を使って ESM で CAC 認証を使用するには、クライアント コンピューターに ActivClient をインストー
ルする必要があります。 ActivClient をインストールした場合、CAC 認証情報の管理には、Windows のネイティブ
Smart Card マネージャーではなく ActivClient が使用されます。クライアントが他の CAC が有効な Web サイト
にアクセスする場合、すでにインストールされている可能性が高いソフトウェアは ActivClient です。ActivClient
のセットアップ方法や、ソフトウェアのダウンロード場所についての情報は、http://militarycac.com/
activclient.htm または所属している組織のイントラネットをご覧ください。
CAC 検証に依存してアプリケーション認証を行う場合、システムのセキュリティは証明機関 (CA) のセキュリティに
依存します。CA が危険にさらされると、CAC 有効化ログインも危険にさらされます。
関連トピック:
274 ページの「CAC ログオンを設定する」
CAC ログオンを設定する
CAC ログオンを設定するには、CA ルート証明書をアップロードして CAC ログオン機能を有効にし、ユーザー名を
カード ホルダーの完全修飾ドメイン名 (FQDN) に設定して CAC ユーザーを有効にする必要があります。これ以
降、カード ホルダーは、ユーザー名またはパスワードの入力を要求されることなく、CAC 対応のブラウザーで ESM
にアクセスできます。
ESM は、Gemalto と Oberthur ID One カード リーダーに対応しています。カード リーダーに関するヘルプが必要
な場合には、テクニカル サポートに連絡してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
CA ルート証明書をアップロードします。
a
コンピューターのコントロール パネルで、[インターネット オプション] 、 [コンテンツ] 、 [証明書] 、 [信
頼されたルート証明機関] の順にクリックします。
b
現在のルート CA を選択して、[エクスポート] をクリックします。
c
[証明書のエクスポート ウィザード] で [次へ] をクリックし、[Base-64 encoded X.509] を選択して [次
へ] をクリックします。
d
エクスポート先の場所とファイル名を入力し、[次へ] をクリックして [完了] をクリックします。
e
ESM コンソールのシステム ナビゲーション ツリーで [システムのプロパティ] に移動し、[ログインのセキュ
リティ] をクリックして [CAC] タブを選択します。
f
[アップロード] をクリックし、エクスポートしたファイルを選択して ESM にアップロードします。
2
[ログインのセキュリティ] 、 [CAC] タブで情報を入力し、必要な項目を選択してから [OK] をクリックします。
3
それぞれの CAC ユーザーを有効にします。
a
[システムのプロパティ] で [ユーザーとグループ] をクリックし、システム パスワードを入力します。
b
[ユーザー] テーブルでユーザーの名前を強調表示し、[編集] をクリックします。
c
[ユーザー名] フィールドの名前を FQDN に置き換えます。
d (オプション)[ユーザーの別名] フィールドにユーザー名を入力し、[OK] をクリックします。
274
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ユーザーとグループの操作
関連トピック:
273 ページの「CAC 設定」
275 ページの「共通アクセス カード設定 ページ」
共通アクセス カード設定 ページ
CAC 対応ブラウザーを使用してユーザー名とパスワードを入力しなくても ESM コンソールにアクセスできるよう
にユーザーを設定します。
表 3-166 オプションの定義
オプション
定義
[CAC モードは現在次
に設定されています]
共通アクセス カード設定 (CAC) モードを選択します。 次のオプションがあります。
• [オフ] - これはデフォルト設定です。CAC ログインが無効化されるため、ユーザーは
ESM ログイン プロンプトを使用してログインする必要があります。
• [オプション] - CAC 認証を使用できますが、ユーザーが証明書を提供しないと、CAC
モードがオフの場合と同様に ESM ログイン プロンプトが表示されます。
• [必須] - CAC 対応ログインのみによってシステムにアクセスできます。ログイン プ
ロンプトは表示されません。このオプションを選択した場合、[モード セキュリティ
PIN 番号が必要 (IPv4)] にセキュリティ PIN 番号を入力します。 これは、すべてのユ
ーザーがシステムからロックアウトされた場合に CAC モードを [オプション] に切り
替える必要がある場合に LCD パネルに入力する PIN 番号です。PIN 番号は LCD パネ
ルで認識されるため、IPv4 形式 (10.0.0.0) である必要があります。
証明書と証明機関には有効期限があるため、[必須] モードではすべてのユーザーが ESM
からロックアウトされる可能性があります。CAC モードを [オプション] に切り替えるフ
ェールセーフ ボタンが ESM 前面の LCD パネルに配置されています。
[証明書の認証情報]
ESM に証明書へのアクセス権を付与する CA ルート証明書チェーンをアップロードしま
す。証明書ファイルを表示したり、選択した場所にダウンロードしたりできます。
[証明書失効リスト]
失効した証明書のリストをアップロードするか、選択した場所にダウンロードします。
[取得スケジュールを設 URL アドレスと ESM が失効ファイルの更新をポーリングする頻度を入力して、自動取得
定します]
スケジュールを設定します。
関連トピック:
274 ページの「CAC ログオンを設定する」
Active Directory 認証設定を設定
ESM では、[Active Directory] に対してユーザーを認証するように設定できます。有効にすると、システム管理者
を除くすべてのユーザーが [Active Directory] で認証されます。認証を無効にすると、[Active Directory] での認
証が設定されたユーザーはシステムにアクセスできなくなります。
開始する前に
•
ESM からアクセスできる [Active Directory] を設定します。
•
Create a group (see 『Set up user groups』) with the same name as the [Active
Directory] group that has access to the ESM. たとえば、グループの名前を「McAfee Users」
にする場合は、 [システムのプロパティ] 、 [ユーザーとグループ]の順に移動して、
「McAfee Users」
という名前のグループを追加します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
275
3
ESM の設定
ユーザーとグループの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ログインのセキュリティ] をクリック
します。
2
[Active Directory] タブをクリックし、[Active Directory 認証を有効化] を選択します。
3
[追加] をクリックし、接続の設定に必要な情報を追加します。
4
[Active Directory 接続] ページで [OK] をクリックします。
関連トピック:
276 ページの「[Active Directory 認証] ページ」
276 ページの「Active Directory 接続 ページ」
[Active Directory 認証] ページ
Active Directory のドメイン リストを表示して、ユーザーを Active Directory に認証するように ESM を設定しま
す。
表 3-167 オプションの定義
オプション
定義
[Active Directory 認証を
有効化]
Active Directory でユーザー認証を有効にする場合に選択し、無効にする場合に選択
を解除します。認証の選択を解除すると、Active Directory 認証が設定されているユ
ーザーは、システムにアクセスできません。
[追加]
Active Directory との接続を設定する場合にクリックします。
[編集]
リストで選択したドメインを変更します。
[削除]
リストで選択したドメインを削除します。
関連トピック:
275 ページの「Active Directory 認証設定を設定」
Active Directory 接続 ページ
ESM と Active Directory の間に接続をセットアップします。
表 3-168 オプションの定義
オプション
定義
[デフォルトとし このドメインをデフォルトとして使用する場合に選択します。
て使用]
[ドメイン名]
ドメイン名を入力します。
システムにログオンするときに、このドメイン名をユーザー名として使用できます。ユーザー名を
使用してログオンする場合、デフォルトとして指定されているドメインが使用されます。
276
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ユーザーとグループの操作
3
表 3-168 オプションの定義 (続き)
オプション
定義
[追加] ボタン
Active Directory に使用する IP アドレスを追加します。
• [管理サーバー] - これが管理サーバーのアドレスである場合に選択します。異なる場合は、
選択を解除します。
入力するアドレスの 1 つが、管理サーバーが実行されているホストを識別する必要があります。
• [IP アドレス] - Active Directory の IP アドレスを入力します。
• [ポート] と [LDAP ポート] - 必要に応じてデフォルトを変更します。
• [TLS を使用] - データに TLS 暗号化プロトコルを使用します。
[編集] ボタン
既存の IP アドレス設定を変更します。
[削除] ボタン
既存の IP アドレスを削除します。
関連トピック:
275 ページの「Active Directory 認証設定を設定」
McAfee ePO のユーザー認証情報をセットアップする
ユーザー認証情報をセットアップすると、McAfee ePO デバイスへのアクセスを制限できます。
開始する前に
グローバル ユーザー認証を要求するように McAfee ePO デバイスをセットアップしないでください
([グローバル ユーザー認証をセットアップする]を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックし、[ePO 認証情報] を選択しま
す。
2
デバイスをクリックして、[編集] をクリックします。
デバイスのステータス列が [必要ありません] の場合、このデバイスはグローバル ユーザー認証用にセットアップ
されています。 デバイスの [接続] ページでステータスを変更できます (「ESM との接続を変更する」を参照)。
3
ユーザー名とパスワードを入力して、[OK] をクリックします。
このデバイスにアクセスするには、追加したユーザー名とパスワードを使用します。
関連トピック:
278 ページの「McAfee ePO の [認証情報] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
277
3
ESM の設定
ユーザーとグループの操作
McAfee ePO の [認証情報] ページ
ユーザーの認証情報をセットアップして、McAfee ePO デバイスへのアクセスを制限します。
表 3-169 オプションの定義
オプション 定義
テーブル
ESM 上の McAfee ePO デバイスを表示します。 [ステータス] 列が [] の場合、このデバイスはグロ
ーバル ユーザー認証用にセットアップされています。 [認証情報がありません] の場合、このデバイス
は個々のユーザー認証情報を要求するようにセットアップされています。
ユーザー認証情報の設定を変更するには、McAfee ePO デバイスの [プロパティ] ダイアログ ボックス
に移動して [接続] をクリックし、[ユーザー認証が必要] フィールドの設定を変更します。
[編集]
選択した McAfee ePO デバイスに個々のユーザーがアクセスするときに要求される認証情報を追加ま
たは変更します。 ユーザー名とパスワードを入力して、[テスト接続] をクリックします。
[削除]
選択したデバイスの認証情報を削除します。 確認のメッセージが表示されます。
関連トピック:
277 ページの「McAfee ePO のユーザー認証情報をセットアップする」
ユーザーの無効化または再有効化
ユーザーが [ログインのセキュリティ] に設定した時間枠内の許容されるログイン試行失敗回数を超えた場合、この
機能を使用してアカウントを再有効化します。ユーザー アクセスを一時的または永続的にブロックする必要がある
場合もこの機能を使用すると、ユーザーをシステムから削除する必要がありません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ユーザーとグループ] を選択します。
2
[ユーザー] テーブルで、ユーザー名を強調表示して [編集] をクリックします。
3
[アカウントを無効化] を選択または選択解除して、[OK] をクリックします。
[ユーザーとグループ] のユーザー名の横にあるアイコンは、アカウントのステータスを反映しています。
LDAP サーバーでユーザーを認証する
ユーザーを LDAP サーバーで認証するように ESM を構成することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[LDAP] タブをクリックします。
3
フィールドに入力し、[適用] または [OK] をクリックします。
これを有効にすると、システム管理者を除くすべてのユーザーは LDAP サーバーによって認証される必要がありま
す。 認証を無効にした場合、LDAP 認証に設定したユーザーはシステムにアクセスできません。
関連トピック:
279 ページの「[LDAP 認証] ページ」
278
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ユーザーとグループの操作
[LDAP 認証] ページ
LDAP サーバーで認証するユーザーを設定します。
表 3-170 オプションの定義
オプション
定義
[有効]
システム管理者を除くすべてのユーザーを LDAP サーバーで認証するには、[有効] を選
択します。認証を無効にした場合、LDAP 認証に設定したユーザーはシステムにアクセス
できません。
[IP アドレス]
LDAP サーバーの IP アドレスを入力します。
[ポート]
必要に応じて、サーバーのポートを変更します。
[TLS を使用] または
[SSL を使用]
データに対して暗号化プロトコルを使用する場合に選択します。
[基本ドメイン名]
認証情報を確認するドメインを入力します。
[グループ属性]
ユーザーのグループ情報が格納される属性。 通常、このフィールドを変更する必要はあ
りません。
[グループ フィルター]
グループ情報の収集に使用するフィルター。 検索結果から特定のグループを除外した
り、検索結果にグループを追加できます
[ユーザー フィルター]
ユーザー情報の収集に使用するフィルター。 検索結果から特定のユーザーを除外した
り、検索結果にユーザーを追加できます
関連トピック:
278 ページの「LDAP サーバーでユーザーを認証する」
ユーザー グループの設定
グループはグループの設定を継承するユーザーで構成されます。グループを追加する場合、デバイス、ポリシー、特
権を割り当てる必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[ユーザーとグループ] 、 [追加] をク
リックします。
2
各タブに必要な情報を入力して、[OK] をクリックします。
グループは、[ユーザーとグループ] ページの [グループ] テーブルに追加されます。
関連トピック:
280
280
281
281
282
282
282
283
283
283
284
284
284
ページの「グループを追加 ページ」
ページの「[ユーザー] ページ」
ページの「特権 ページ」
ページの「権限 ページ」
ページの「[デバイス] ページ」
ページの「ポリシー ページ」
ページの「[IP アドレス フィルター] ページ」
ページの「[グループ ゾーンを追加] ページ」
ページの「[イベント転送] ページ」
ページの「[グループの時間制限] ページ」
ページの「[レポート] ページ」
ページの「[ビュー] アクセス ページ」
ページの「[ウォッチリスト] アクセス ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
279
3
ESM の設定
ユーザーとグループの操作
グループを追加 ページ
特定の特権を持つグループを設定して、必要な機能へのアクセス権限を持つユーザーを割り当てられるようにします。
表 3-171 オプションの定義
オプション
定義
[名前と説明]
このグループの名前と説明を入力します。
[ユーザー]
このグループのメンバーにするユーザーを選択します。
[特権]
このグループに関連付ける特権を選択します。特権を強調表示して、[説明] ボックスに説明を表
示できます。
[デバイス]
ユーザーがアクセスできるデバイスを選択します。すべてのデバイスを選択した場合、システムに
追加される新しいデバイスのアクセス権限もユーザーに付与されます。
[ポリシー]
ユーザーが使用、変更できるポリシーを選択します。
[IP アドレス
フィルター]
ユーザーのアクセス権限を特定の IP アドレスのレポートまたはアラーム データに制限するに
は、[追加] をクリックしてアドレスを入力します。
[ゾーン]
ユーザーがアクセス、変更できるゾーンを選択します。
[イベント転送] ユーザーがアクセス、変更できるイベント転送先を選択します。このグループもイベント転送特権
を持っている場合、ユーザーがイベントを転送できる転送元のデバイスを定義し、転送されるイベ
ントのタイプを指定するフィルターも定義します。イベント転送先を特定のユーザーに追加する
と、このユーザーが所属するグループのうち、イベント転送特権を持っているグループに追加され
ます。
イベント転送先がアクセス グループに属さない場合、すべてのデバイスへのアクセス権限を持って
います。
[グループの時
間制限]
グループの ESM へのアクセスを制限する日時制限を追加します。
[レポート]
このグループのユーザーが表示、変更できるレポートを選択します。グループに [レポート] 特権
が必要です。
[ビュー]
このグループのユーザーが表示および変更できるビューを選択します。 他のユーザーやグループ
と同じ設定にすることもできます。
[ウォッチリス
ト]
このグループのユーザーが表示および変更できるウォッチリストを選択します。 他のユーザーや
グループと同じ設定にすることもできます。
[フィルター]
このグループが表示または変更できるフィルター セットを選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
[ユーザー] ページ
このグループのメンバーにするユーザーを選択します。
表 3-172 オプションの定義
オプション
定義
テーブル
システムに追加されているすべてのユーザーを表示します。 このグループに追加するユーザーを
選択します。
[すべてを選択] すべてのユーザーを選択します。 グループのメンバーでないユーザーは、選択を解除できます。
[選択解除]
すべてのユーザーの選択を解除します。 このグループに追加するユーザーを選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
280
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ユーザーとグループの操作
3
特権 ページ
このグループに関連付けられる特権を追加または削除します。
表 3-173 オプションの定義
オプション
定義
[このグループのアクセスを制 このグループのアクセスを制限します (「ユーザーとグループの操作」を参照)。
限する]
[特権] リスト
ESM で使用できるすべての特権を一覧表示します。個別に選択または選択解除す
るか、[すべてを選択] または [選択解除] をクリックします。
[説明]
選択した特権の説明を表示します。
関連トピック:
279 ページの「ユーザー グループの設定」
権限 ページ
強調表示されているビュー、ウォッチリスト、レポートの読み取りと変更を許可するユーザーとグループを選択しま
す。 読み取り専用のカスタム項目に対する権限を変更できる脳は、項目の作成者だけです。
表 3-174 オプションの定義
オプション
(ビューのみ)
[親フォルダー
から権限を継
承]
(レポートとウ
ォッチリスト
のみ) [変更設
定を継承]
[グループ] タ
ブ
定義
このオプションを有効または無効にするには、[マスター] または [管理者] 特権が必要です。
デフォルトでは選択されています。 親から特権を継承しない場合には、このオプションの選択を
解除します。 [グループ] タブと [ユーザー] タブがアクティブになります。
このオプションを有効または無効にするには、[マスター] または [管理者] 特権が必要です。
デフォルトでは選択されています。 ユーザーは [変更] 特権を継承します。 デフォルトの設定を
変更するには、このオプションの選択を解除します。
所属するグループに応じて、アクセス可能なグループが表示されます (「ユーザー グループを設定
する」を参照)。 選択した項目にアクセス権を付与するグループを示します。 [読み取り専用] ま
たは [変更] を選択できます。 いずれのオプションも選択しないと、グループには拒否権限が付与
されます。 [変更] を選択すると、[読み取り専用] が自動的に選択されます。
[マスター] または [管理者]ユーザーに、[デフォルト] という疑似グループが表示されます。 今後
作成するグループにこの権限が付与されます。
[ユーザー] タ
ブ
所属するグループに応じて、アクセス可能なユーザーが表示されます (「ユーザー グループを設定
する」を参照)。選択した項目にアクセス権を付与するユーザーを示します。 [読み取り専用] また
は [変更] を選択できます。 いずれのオプションも選択しないと、ユーザーには拒否権限が付与さ
れます。 [変更] を選択すると、[読み取り専用] が自動的に選択されます。
ユーザーの特権はグループの特権に優先します。 たとえば、ユーザーがリソースに対する[読み取
り] アクセスを許可され、グループに [変更] アクセスが許可されている場合、ユーザーが実行でき
る操作は、選択した項目の[読み取り]だけです。
リストにユーザーを追加したり、リストからユーザーを削除できます。
1 [追加] をクリックしてユーザーをクリックし、[OK] をクリックします。
2 ユーザーごとに、[読み取り] または [変更] を選択し、[OK] をクリックします。
ユーザーがリストにない場合、システムはそのユーザーのグループ特権を使用します。 ユーザー
がリストにあっても、[読み取り] または [変更] がチェックされていない場合、ユーザーにはこの
リソースに対する拒否権限が付与されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
281
3
ESM の設定
ユーザーとグループの操作
複数のビュー、ウォッチリスト、レポートを選択すると、[グループ] または [ユーザー] タブの[読み取り] または [変
更] 列に 3 状態のチェックボックス
が表示されます。これは、選択した項目の設定に矛盾があることを示します。
この矛盾を解決するまで、ページを保存したり、閉じることができません。 チェックボックスをクリックして、選択し
た項目の設定を修正します。
関連トピック:
279 ページの「ユーザー グループの設定」
[デバイス] ページ
このグループがアクセスできるデバイスを選択します。
表 3-175 オプションの定義
オプション
定義
デバイス リスト ESM のすべてのデバイスを一覧表示します。このグループがアクセスできる必要があるデバイ
スを選択します。
[すべてを選択]
リスト上のすべてのデバイスを選択します。
すべてのデバイスを選択した場合、ESM に追加される新しいデバイスのアクセス権限がこのグル
ープのメンバーに自動的に付与されます。
[選択解除]
リスト上のすべてのデバイスを選択解除します。
関連トピック:
279 ページの「ユーザー グループの設定」
ポリシー ページ
このグループのユーザーがアクセスできるポリシーを選択します。
表 3-176 オプションの定義
オプション
定義
ポリシー リスト
ESM のポリシーを一覧表示します。このグループがアクセスできるポリシーを選択します。
[すべてを選択]
すべてのポリシーを選択します。
[選択解除]
すべてのポリシーを選択解除します。
関連トピック:
279 ページの「ユーザー グループの設定」
[IP アドレス フィルター] ページ
IP アドレス フィルターをグループに適用します。レポートの実行時またはユーザーがレポートまたはアラームの受
信者として選択されている場合にユーザーに表示されるデータを制限します。
表 3-177 オプションの定義
オプション
定義
[リスト]
リストの IP アドレスを表示します。
[追加]
IP アドレスをリストに追加する場合にクリックします。
[編集]
選択した IP アドレスを変更します。
[削除]
選択したアドレスをリストから削除します。
関連トピック:
279 ページの「ユーザー グループの設定」
282
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ユーザーとグループの操作
[グループ ゾーンを追加] ページ
このグループがアクセスできるゾーンを選択します。
表 3-178 オプションの定義
オプション
定義
ゾーン リスト
ESM に追加されているゾーンを一覧表示します。このグループがアクセスできるゾーンを選択し
ます。
[すべてを選択] リスト上のすべてのゾーンを選択します。
[選択解除]
リスト上のすべてのゾーンを選択解除します。
関連トピック:
279 ページの「ユーザー グループの設定」
[イベント転送] ページ
このグループがアクセスできるイベント転送先を指定します。ユーザーがイベントを転送できる転送元のデバイスと
転送できるイベントのタイプを指定するフィルターを定義します。
表 3-179 オプションの定義
オプション
定義
イベント転送先リスト ESM に追加された転送先を一覧表示します。このグループがアクセスできる転送先を選択
します。
アクセス グループに属していない転送先は、すべてのデバイスへのアクセス権限が必要で
す。
[すべてを選択]
リスト上のすべての転送先を選択します。
[選択解除]
リスト上のすべての転送先を選択解除します。
関連トピック:
279 ページの「ユーザー グループの設定」
[グループの時間制限] ページ
このグループが ESM にアクセスできる日時を制限する場合に設定します。ユーザーは、セッションがタイムアウト
になる 15 分、5 分、1 分前にビジュアル通知を受け取ります。
表 3-180 オプションの定義
オプション
定義
[制限を有効化]
このグループの制限を有効にする場合に選択します。
[タイム ゾーン]
このグループの属するタイム ゾーンを選択します。
[開始時刻] と [終了時刻] グループ アクセスの開始および終了時刻を選択します。選択した日に 24 時間アクセ
スできる必要がある場合は、両方のフィールドに 00:00 を選択します。
[曜日]
グループ メンバーが ESM にアクセスできる曜日を選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
283
3
ESM の設定
ユーザーとグループの操作
[レポート] ページ
このグループのユーザーが表示、変更できるレポートを選択します。 レポートを共有するグループまたはユーザーを
選択することもできます。
表 3-181 オプションの定義
オプション
定義
[名前] 列
ESM のレポートを一覧表示します。
[読み取り] 列 このグループで読み取り可能なレポートを選択します。 [変更] を選択すると、[読み取り] も自動的
に選択されます。
[変更] 列
このグループで変更可能なレポートを選択します。
[共有]
選択したレポートの表示状態を共有する他のグループまたはユーザーを選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
[ビュー] アクセス ページ
選択したグループが読み取り/変更可能なビューを選択します。
表 3-182 オプションの定義
オプション
定義
[名前] 列
ESM のすべてのビューが表示されます。
[読み取り] 列
このグループで読み取り可能なビューを選択します。
[変更] 列
このグループで変更可能なビューを選択します。
[共有]
選択した項目の表示状態を共有する他のグループまたはユーザーを選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
[ウォッチリスト] アクセス ページ
選択したグループが読み取り/変更可能なウォッチリストを選択します。
表 3-183 オプションの定義
オプション
定義
[名前] 列
ESM のすべてのウォッチリストが表示されます。
[読み取り] 列 このグループで読み取り可能なウォッチリストを選択します。 [変更] を選択すると、[読み取り] も
自動的に選択されます。
[変更] 列
このグループで変更可能なウォッチリストを選択します。
[共有]
選択した項目の表示状態を共有する他のグループまたはユーザーを選択します。
関連トピック:
279 ページの「ユーザー グループの設定」
アクセス制限のあるグループを追加する
特定のユーザーに対して、ESM の機能へのアクセスを制限するには、そのユーザーを含むグループを作成します。
このオプションにより、アラーム、ケース管理、ELM、レポート、ウォッチリスト、資産管理、ポリシー エディタ
ー、ゾーン、システム プロパティ、フィルター、アクション ツールバーへのアクセスが制限されます (ユーザーと
グループの操作を参照)。 他の機能はすべて無効になります。
284
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
システム設定のバックアップおよびリストア
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
2
[ユーザーとグループ] をクリックし、システム パスワードを入力します。
3
次のいずれかを行います。
4
をクリックします。
•
グループをすでに設定している場合は、[グループ] テーブルでグループを選択し、[編集] をクリックします。
•
グループを追加する場合は、[グループ] の横にある [追加] をクリックし、名前と説明を入力してユーザーを
選択します。
[特権] をクリックし、[このグループのアクセス権限を制限] 選択します。
ほとんどの特権が無効になります。
5
特権リストから、このグループに付与する特権を選択します。
6
各タブをクリックして、グループの残りの設定を定義します。
システム設定のバックアップおよびリストア
現在のシステム構成設定を自動的にまたは手動で保存して、システム障害またはデータ漏えいが発生した場合にリス
トアできるようにします。現在の設定は、冗長 ESM に設定して保存することもできます。
標準的なバックアップでは、すべての設定が保存されます。ポリシーだけでなく、SSH、ネットワーク、SNMP ファ
イルも保存されます。 新しい ESM デバイスを追加すると、[バックアップとリストア] が有効になり、7 日ごとにバ
ックアップが実行されます。 システムが受け取ったイベント、フロー、ログをバックアップできます。イベント、フ
ロー、またはログ データを最初にバックアップする場合には、現在の日付の開始時点からのデータだけが保存されま
す。以降のバックアップでは、最後のバックアップ時点からのデータが保存されます。
イベント、フロー、またはログを ESM にバックアップすると、ESM の空きディスク領域が減ります。ローカルの ESM
から、バックアップ ファイルを定期的にダウンロードするか削除することをお勧めします。
システムをリストアするには、ESM、ローカル コンピューター、またはリモートの場所にある 1 つ以上のバックア
ップ ファイルを選択して、すべての設定とデータを元の状態に戻します。この機能を実行すると、バックアップの作
成後に設定に加えたすべての変更が失われます。たとえば、毎日のバックアップを行っていて、過去 3 日間のデータ
をリストアする場合には、最後の 3 つのバックアップ ファイルを選択します。3 つのバックアップ ファイルからの
イベント、フロー、およびログが、現在 ESM にあるイベント、フロー、およびログに追加されます。それによって、
すべての設定が、最新のバックアップに含まれている設定によって上書きされます。
関連トピック:
285 ページの「ESM の設定とシステム データのバックアップ」
287 ページの「ESM 設定のリストア」
288 ページの「バックアップされた設定ファイルをリストアする」
288 ページの「ESM でバックアップ ファイルを使用」
289 ページの「ファイルの維持を管理」
ESM の設定とシステム データのバックアップ
ESM のデータをバックアップするには複数の方法があります。 新しい ESM を追加すると、[バックアップとリスト
ア] が有効になり、7 日ごとにバックアップが実行されます。 この機能を無効にすることも、デフォルトの設定を変
更することもできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
285
3
ESM の設定
システム設定のバックアップおよびリストア
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [バックアップと
リストア] の順にクリックします。
2
いずれかのアイテムの設定を定義します。
3
•
自動バックアップ
•
手動バックアップ
•
冗長 ESM
•
以前のバックアップにシステムをリストアします。
[OK] をクリックして [バックアップとリストア] ページを閉じます。
関連トピック:
285 ページの「システム設定のバックアップおよびリストア」
287 ページの「ESM 設定のリストア」
288 ページの「バックアップされた設定ファイルをリストアする」
288 ページの「ESM でバックアップ ファイルを使用」
289 ページの「ファイルの維持を管理」
286 ページの「バックアップとリストア ページ」
バックアップとリストア ページ
システム設定のバックアップまたはシステムの以前の設定へのリストアを行うように ESM を設定します。
表 3-184 オプションの定義
オプション
定義
[バックアップ
の頻度]
システムに新しい ESM デバイスを追加すると、[バックアップとリストア] 機能が有効になり、
7 日間隔でバックアップを実行できます。 バックアップの頻度を変更したり、機能を無効にする
こともできます。
[次のバックア
ップ データ]
バックアップの対象を選択します。
[バックアップ
の場所]
バックアップの保存場所を選択します。
• [ESM] - ESM に保存され、[ファイルの維持] ページでアクセスされます。
• [リモートの場所] - アクティブになるフィールドに定義した場所に保存されます。ESM のコ
ピーとすべてのシステム データを手動で保存する場合、このオプションを選択する必要があり
ます。
CIFS 共有にバックアップする場合には、リモート パス フィールドで (/) を使用します。
[今すぐバック
アップ]
ESM 設定とイベント、フロー、ログ (選択した場合) を手動でバックアップします。バックアッ
プが正常に完了したら、[閉じる] をクリックします。
[今すぐ完全バ
ックアップ]
デバイス設定のコピーとシステム データを手動で保存します。 これは ESM に保存できないた
め、[バックアップの場所] フィールドに [リモートの場所] を選択して場所情報を入力する必要
があります。
Common Internet File System (CIFS) 共用タイプをバージョン 3.2 より後の Samba サーバ
ーと一緒に使用するとデータ漏えいを招く可能性があります。
286
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
システム設定のバックアップおよびリストア
3
表 3-184 オプションの定義 (続き)
オプション
定義
[バックアップ
をリストア]
設定を以前のバックアップにリストアします。[リストア] ページが開いて、バックアップを選択
できます。
[冗長]
冗長 ESM, をセットアップし、プライマリ ESM のすべてのデータをバックアップします (「冗
長 ESM」を参照)。
関連トピック:
285 ページの「ESM の設定とシステム データのバックアップ」
ESM 設定のリストア
システム障害またはデータ損失発生時に、バックアップ ファイルを選択して、システムを以前の状態にリストアでき
ます。
タスク
データベースに最大許容数のレコードが含まれ、リストアされるレコードが ESM の現在のデータの範囲に含まれない
場合、レコードはリストアされません。その範囲外のデータを保存してアクセスするには、非アクティブ状態のパーテ
ィションのアーカイブを設定する必要があります(『データ保持制限の設定』を参照)。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [バックアップと
リストア] 、 [バックアップをリストア] をクリックします。
2
実行する必要があるリストアのタイプを選択します。
3
リストアするファイルを選択するかリモートの場所の情報を入力して、[OK] をクリックします。
バックアップのリストアは、リストア ファイルのサイズによっては時間がかかる可能性があります。ESM は完全リ
ストアが完了するまでオフラインです。その間、システムは 5 分ごとに再接続を試行します。プロセスが完了する
と、[ログイン] ページが表示されます。
関連トピック:
285 ページの「システム設定のバックアップおよびリストア」
285 ページの「ESM の設定とシステム データのバックアップ」
288 ページの「バックアップされた設定ファイルをリストアする」
288 ページの「ESM でバックアップ ファイルを使用」
289 ページの「ファイルの維持を管理」
288 ページの「[リストア] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
287
3
ESM の設定
システム設定のバックアップおよびリストア
[リストア] ページ
システムを以前のバックアップの設定にリストアします。これは、システム障害またはデータ損失の場合に有用です。
表 3-185 オプションの定義
オプション
定義
リストア タイ 実行が必要なリストアのタイプを選択します。
プ
• [ローカル ESM バックアップ ファイル] - ESM のバックアップ ファイルにリストアします。
リストからファイルを 1 つ選択して、[OK] をクリックします。
• [リモート バックアップ ファイル] - リモートの場所にある ESM 設定のコピーとデータの差
分バックアップをリストアします。
• [リモートの完全バックアップ フォルダー] - ESM 設定のコピーとデータの完全バックアップ
をリモートの場所に保存します。
• [アップロードするファイルを参照] - システムに保存されているバックアップ ファイルを検索
します。
[詳細]
ローカルの ESM バックアップ ファイルのリストで選択したバックアップ ファイルの詳細を表示
します。このファイルをダウンロードできます。
関連トピック:
287 ページの「ESM 設定のリストア」
バックアップされた設定ファイルをリストアする
バックアップした SSH、ネットワーク、SNMP、他の設定ファイルを各デバイスの ESM にリストアできます。
開始する前に
設定ファイルを ESM にバックアップします (『ESM 設定とシステム データをバックアップする』を参
照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでデバイスをクリックし、[プロパティ] アイコン
を選択します。
デバイスの [設定] オプションをクリックして [設定のリストア] をクリックし、[はい] をクリックします。
関連トピック:
285 ページの「システム設定のバックアップおよびリストア」
285 ページの「ESM の設定とシステム データのバックアップ」
287 ページの「ESM 設定のリストア」
288 ページの「ESM でバックアップ ファイルを使用」
289 ページの「ファイルの維持を管理」
ESM でバックアップ ファイルを使用
ESM に保存したバックアップ ファイルは、ダウンロード、削除、または表示することができます。アップロードし
たファイルは、バックアップ ファイルのリストに追加することもできます。
288
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
システム設定のバックアップおよびリストア
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ファイルの維持] をクリックします。
2
[タイプを選択] ドロップダウン リストで、[ファイルをバックアップ] を選択します。
3
実行するアクションを選択します。
4
[OK] をクリックします。
関連トピック:
285 ページの「システム設定のバックアップおよびリストア」
285 ページの「ESM の設定とシステム データのバックアップ」
287 ページの「ESM 設定のリストア」
288 ページの「バックアップされた設定ファイルをリストアする」
289 ページの「ファイルの維持を管理」
ファイルの維持を管理
ESM では、バックアップ ファイル、ソフトウェア更新ファイル、アラーム ログ ファイル、レポート ログ ファイル
が格納されます。これら各リストでは、ファイルのダウンロード、アップロード、および削除ができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ファイルの維持] をクリックします。
2
[ファイル タイプを選択] フィールドで、[ファイルをバックアップ]、[ソフトウェア更新ファイル]、[アラーム
ログ ファイル]、または [レポート ファイル] を選択します。
3
ファイルを選択し、いずれかのオプションをクリックします。
4
[適用] または [OK] をクリックします。
関連トピック:
285 ページの「システム設定のバックアップおよびリストア」
285 ページの「ESM の設定とシステム データのバックアップ」
287 ページの「ESM 設定のリストア」
288 ページの「バックアップされた設定ファイルをリストアする」
288 ページの「ESM でバックアップ ファイルを使用」
289 ページの「[ファイルの維持] ページ」
[ファイルの維持] ページ
バックアップ、ソフトウェア更新、アラーム ログ、レポート ログ ファイルを管理します。
表 3-186 オプションの定義
オプション
定義
[ファイル タイプを選択]
管理するファイルのタイプを選択します。
[ダウンロード]
選択したファイルを ESM 以外の場所に保存します。
[アップロード]
ファイルを ESM に追加します。
[削除]
選択したファイルが ESM に存在しないように削除します。
[更新]
ファイルのリストを更新して最近の変更を反映します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
289
3
ESM の設定
冗長 ESM
表 3-186 オプションの定義 (続き)
オプション
定義
[詳細] (バックアップ ファイルの 選択したバックアップの詳細を表示します。
み)
[設定] (バックアップ ファイルの [バックアップとリストア] ページにアクセスします (「ESM 設定とシステム
み)
データのバックアップ」を参照)。
関連トピック:
289 ページの「ファイルの維持を管理」
冗長 ESM
冗長 ESM 機能では、現在の ESM 設定を冗長 ESM に保存して、システム障害またはデータ損失の場合にプライマ
リ ESM に変換できます。 この機能は、システム管理者の特権があるユーザーのみ使用できます。
冗長 ESM を設定した場合、プライマリ ESM の設定とポリシー データは 5 分ごとに冗長 ESM と自動的に同期され
ます。 冗長 ESM を設定するには、冗長デバイスがプライマリ デバイスから設定およびデータを受信し、プライマ
リ デバイスがバックアップ設定およびデータを冗長デバイスに送信するように定義する必要があります。プライマ
リ ESM を接続する前に、冗長 ESM を設定する必要があります。
ESM 冗長機能は、ESMREC 組み合わせデバイスでは使用できません。
関連トピック:
290 ページの「冗長 ESM の設定」
292 ページの「冗長 ESM を置換する」
冗長 ESM の設定
冗長 ESM にシステム設定を保存するには、各 ESM が相互に通信するように設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
プライマリとそれぞれの冗長 ESM で SSH を有効にします。
a
システム ナビゲーション ツリーで [システムのプロパティ] に移動し、[ネットワーク設定] をクリックしま
す。
b
[SSH を有効化] が選択されていることを確認して、[OK] をクリックします。
それぞれの冗長 ESM をセットアップします。
a
ログオンして、システム ナビゲーション ツリーの [システムのプロパティ] に移動し、[システム情報] 、 [バ
ックアップとリストア] 、 [冗長] の順にクリックします。
b
[ESM タイプ] フィールドで [冗長] を選択し、プライマリ ESM の IP アドレスと SSH ポートを入力して
[OK] をクリックします。
c
サービスの再起動が必要なことが警告されたときに、再起動を行うと、すべてのユーザーが ESM から切断さ
れます。[はい] をクリックします。
冗長 ESM のコンソールがシャットダウンします。
3
290
プライマリ ESM にログオンします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
冗長 ESM
3
4
システム ナビゲーション ツリーで [システムのプロパティ] に移動し、[システム情報] 、 [バックアップとリス
トア] 、 [冗長] の順にクリックします。
5
[ESM タイプ] フィールドで [プライマリ] を選択し、プライマリ ESM の SSH ポートを選択します。メール ア
ドレスを追加して、表で冗長 ESM を選択または追加します。
最大で 5 つまでの冗長 ESM を追加できます。
6
[OK] をクリックします。
サービスの再起動が必要なことが警告されます。再起動すると、すべてのユーザーが ESM から切断されます。
7
8
[はい] をクリックして、同期を続行します。
•
通知先のメール アドレスを指定した場合、ESM の最終処理の準備が完了したときに電子メールが送信されま
す。
•
メール アドレスを指定していない場合には、再度ログインしてステータスを確認してください。
セットアップの最終処理を行います。
a
[冗長設定] ページに再度アクセスします (手順 2a)。
b
[最終処理] をクリックします。
プライマリと 冗長 ESM が最終同期に入ります。 プロセスが完了すると、システムが起動します。
関連トピック:
290 ページの「冗長 ESM」
292 ページの「冗長 ESM を置換する」
291 ページの「[冗長設定] ページ」
[冗長設定] ページ
プライマリおよび冗長 ESM を設定して、システム設定を保存します。
表 3-187 オプションの定義
オプション
定義
[ESM タイプ]
この ESM がプライマリまたは冗長 ESM であるかどうかを選択します。プライマリの場合、残
りのフィールドを入力します。冗長の場合、SSH ポートとプライマリ ESM の IP アドレスを
入力します。
[SSH ポート]
デバイスが通信に使用する SSH ポートを選択します。
[通知メール]
ESM で最終同期の準備が整ったときに通知する担当者の電子メール アドレスを入力します。
[プライマリ ESM ([冗長] を選択した場合) 冗長 ESM と同期するプライマリ ESM の IP アドレスを入力します。
の IP アドレス]
テーブル
([プライマリ] を選択した場合) 冗長 ESM のリストを管理します。 プライマリ ESM と同期
する ESM を 5 つまで追加できます。 最終同期の通知を受信したら、ESM をクリックして [最
終処理] をクリックします。
最終同期の処理中、ユーザーは ESM から切断されます。
[増分ファイルを
エクスポートす
る]
この機能は、プライマリと冗長の ESM が相互に通信できない場合にのみ使用します。
([プライマリ] を選択した場合) プライマリ ESM ファイルをリモートにエクスポートします。
その後、冗長 ESM に手動で転送できます。 リモートのプロファイルが定義済みの場合、ドロ
ップダウン リストから選択できます。 定義されていない場合には、[増分ファイルをエクスポ
ートする] をクリックして、プロファイルを ESM に追加します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
291
3
ESM の設定
冗長 ESM
関連トピック:
290 ページの「冗長 ESM の設定」
冗長 ESM を置換する
冗長 ESM が停止した場合には、新しいものと置き換えることができます。
開始する前に
システムに新しい冗長 ESM を追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[バックアップとリストア] 、 [冗長] の順にクリックし、[プライマリ] を選択して、[冗長 ESM IP アドレス] フ
ィールドに新しい冗長 IP アドレスを入力します。
3
[冗長] を選択して、プライマリ ESM IP アドレスが正しいことを確認します。
4
[プライマリ] を選択し、[接続] をクリックして、2 つのデバイスが通信していることを確認します。
5
[ESM 全体を同期] を選択し、[OK] をクリックします。
関連トピック:
290 ページの「冗長 ESM」
290 ページの「冗長 ESM の設定」
292 ページの「冗長 ESM を置換する」
共有クエリーを無効にする
共有クエリー機能は、冗長システムのプライマリ ESM の負荷を軽減します。
指定されたクエリーの期間から冗長 ESM にクエリー データが含まれていることがわかる場合に、冗長 ESM でクエ
リーを実行することで、プライマリ ESM の負荷を軽減できます。
この機能では、冗長 ESM から提供されるリソースを効果的に使用します。[共有クエリー] が有効なときは、要求さ
れたデータが 30 日以上にわたる場合、またはクエリーの開始時間が ESM での現在の時間から 12 時間以上後であ
る場合に、クエリーが冗長 ESM に送信されます。このクエリーの結果は、常にプライマリ ESM に返されます。
[共有クエリー] はデフォルトで有効になっています。冗長 ESM が古いモデルの場合、クエリーの処理に時間がかか
ることがあります。クエリーの処理時間を短縮する必要がある場合は、この機能を無効にすることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで ESM を選択し、[プロパティ] アイコン
をクリックします。
2
[システム情報] 、 [バックアップとリストア] 、 [冗長] をクリックします。
3
[冗長設定] ページで [共有クエリー] の選択を解除し、[OK] をクリックします。
CPService が再起動します。
292
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ESM の管理
3
ESM の管理
ESM では、ソフトウェア、ログ、証明書、機能ファイル、通信キーをいくつかの方法で管理できます。
タブ オプション
定義
[設
定]
[ログを管理]
イベント ログに記録されるイベントのタイプを設定します。
[ESM 階層]
ESM デバイスを階層的に使用する場合のデータ オプションを設定します。
[暗号化]
グローバル設定を定義し、イベント転送で送信されるか、親 ESM に送信されるアラート レ
コードのフィールドをマスクします。
[ロギング]
内部イベントを ELM に送信して格納します。このデータは監査用に使用できます。
[システム ロ
ケール]
正常性モニターやデバイス ログなどのロギング イベントで使用されるシステム言語を選択
します。
[名前マップ]
ポートとプロトコルの選択を解除し、名前ではなく Raw 値を表示します。 たとえば、[ソ
ース ポート] または [宛先ポート] の選択を解除すると、http:80 が 80 と表示されます。
プロトコル を選択すると、RAW 番号の 17 が udp と表示されます。
[キ
[証明書]
ー管
理]
[SSH を再生
成]
新しい Secure Socket Layer (SSL) 証明書をインストールします。
すべてのデバイスとの通信に使用する秘密/公開 SSH 鍵ペアが再生成されます。
[すべてのキー システムのすべてのデバイスの通信キーを 1 つずつエクスポートするのではなく、まとめて
をエクスポー エクスポートします。
ト]
[すべてのキー [すべてのキーをエクスポート] 機能を使用してエクスポートした通信キーを、すべてのデバ
をリストア]
イスまたは選択したデバイス用にリストアします。
[メ
[ESM を更新]
ンテ
ナン
ス]
ESM ルールと更新サーバー、または McAfee セキュリティ エンジニアから McAfee ソフ
トウェアを更新します。
[ESM データ]
ESM のステータス情報が含まれる .tgz ファイルをダウンロードします。このステータス
は、McAfee サポートが問題の解決を行うときに役立ちます。
[タスク マネ
ージャー]
ESM で実行中のクエリーを表示し、必要に応じて停止します。
[シャットダウ ESM をシャットダウンします。このアクションを行うとすべてのユーザーが ESM との通
ン]
信を失うことを示す警告メッセージが表示されます。
[再起動]
ESM を停止して再起動します。このアクションを行うとすべてのユーザーが ESM との通
信を失うことを示す警告メッセージが表示されます。
[ターミナル]
この機能は上級ユーザー向けです。
ESM で Linux コマンドを入力します。ターミナルは部分的なバッチ モード エミュレータ
ーとしてのみ機能するため、使用できないコマンドもあります。
• ターミナルは現在の作業ディレクトリを維持しません。
• cd を使用して別のディレクトリに移動することはできません。
• フル パス名を使用する必要があります。
• > または >> 演算子は機能しません。すべての結果は画面に戻されます。
[機能を取得]
追加機能を購入している場合は、ESM でサポートされている機能に関する情報が含まれた
暗号化ファイルをダウンロードして、ESM で有効にします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
293
3
ESM の設定
ESM の管理
タブ オプション
定義
[機能を設定]
[機能を取得] を使用してダウンロードしたファイルをインストールします。
[接続]
サポートに連絡する場合には、システムにアクセスできる権限を McAfee サポートに付与し
てください。
このオプションは FIPS に対応していないため、FIPS モードで動作している場合は使用でき
ません。
[統計を表示]
ESM デバイスの以下の情報を使用できます。
• メモリーとスワップ領域の使用統計
• 入出力と転送率の統計
• CPU 使用率
• キューのサイズと負荷の平均
• システムの切り替えアクティビティ
関連トピック:
294 ページの「[ESM 管理] ページ」
[ESM 管理] ページ
ESM のソフトウェア、ログ、デバイス統計、証明書、機能ファイル、通信キーを管理します。
タブ
オプション
説明
[設
定]
タブ
[ログを管理]
イベント ログに記録されるイベントのタイプを設定します。
[ESM 階層]
ESM デバイスを階層的に使用する場合のデータ オプションを設定します。
[暗号化]
イベント転送で送信されるか、または親 ESM に送信されるアラート レコードで、選択した
フィールドをマスクします。
[ロギング]
内部イベントを ELM に送信して格納します。このデータは監査用に使用できます。
[システム ロ
ケール]
正常性モニター ログやデバイス ログなどのイベント ログの言語を選択します。
[名前マップ]
ポートとプロトコルの選択を解除し、名前ではなく Raw 値を表示します。 たとえば、[ソ
ース ポート] または [宛先ポート] の選択を解除すると、http:80 が 80 と表示されます。
プロトコル を選択すると、RAW 番号の 17 が udp と表示されます。
[証明書]
新しい SSL 証明書をインストールします。
[SSH を再生
成]
すべてのデバイスとの通信に使用するプライベート/パブリック SSH キー ペアが再生成さ
れます。 キーが再生成されると、ESM によって管理されているすべてのデバイス上の古い
キー ペアが置き換わります。
[すべてのキー
をエクスポー
ト]
システムのすべてのデバイスの通信キーを 1 つずつエクスポートするのではなく、まとめ
てエクスポートします。
[すべてのキー
をリストア]
[すべてのキーをエクスポート] 機能を使用してエクスポートした通信キーを、すべてのデバ
イスまたは選択したデバイス用にリストアします。
[ESM を更新]
ESM ルールおよび更新サーバーまたは McAfee セキュリティ エンジニアから McAfee ソ
フトウェアを更新します。
[キ
ー管
理]
タブ
[メ
ンテ
ナン
ス]
294
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ESM の管理
タブ
オプション
説明
[ESM データ]
ESM のステータス情報が含まれる .tgz ファイルをダウンロードします。このステータス
は、McAfee サポートが問題の解決を行うときに役立ちます。
[タスク マネ
ージャー]
ESM で実行されるクエリーを表示し、管理します。
[シャットダウ
ン]
ESM をシャットダウンします。このアクションを行うとすべてのユーザーが ESM との通
信を失うことを示す警告メッセージが表示されます。
[再起動]
ESM を起動します。このアクションを行うとすべてのユーザーが ESM との通信を失うこ
とを示す警告メッセージが表示されます。
[ターミナル]
ESM で Linux コマンドを入力します。ターミナルは部分的なバッチ モード エミュレータ
ーにすぎないため、一部のコマンドは使用できません(『使用可能な Linux コマンド』を参
照)。ターミナルは現在の作業ディレクトリを認識しません。 cd を使用して別のディレク
トリに移動することはできません。完全修飾のパス名を使用する必要があります。 > また
は >> 演算子は機能しません。 すべての結果が画面に戻されます。
この機能は上級ユーザー向けです。
[機能を取得]
新しく購入した ESM の機能を有効にするには、現在サポートされている ESM 機能の情報
を含む暗号化ファイルをダウンロードします。
[機能を設定]
[機能を取得] を使用してダウンロードしたファイルをインストールします。
[接続] または
[切断]
McAfee に連絡してサポートを受ける場合、お使いのシステムのアクセス権限をテクニカル
サポートに付与します。
このオプションは FIPS に対応していないため、FIPS モードで動作している場合は使用で
きません。
[統計を表示]
ESM デバイスの以下の情報を使用できます。
• メモリーとスワップ領域の使用統計
• 入出力と転送率の統計
• CPU 使用率
• キューのサイズと負荷の平均
• システムの切り替えアクティビティ
関連トピック:
293 ページの「ESM の管理」
ログを管理
ESM で生成されるイベントには、いくつかのタイプがあります。イベント ログに保存するタイプを選択することが
できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[ログを管理] をクリックし、記録するイベント タイプを選択します。
3
[OK] をクリックします。
関連トピック:
296 ページの「[ログ イベントの管理] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
295
3
ESM の設定
ESM の管理
[ログ イベントの管理] ページ
このデバイスで生成するイベント ログのタイプを選択します。
表 3-188 オプションの定義
オプション
定義
[このデバイスで生成するイベント ログ
タイプを指定します]
ESM が収集するイベント ログのタイプを指定する場合に選択し、指定
しない場合に選択解除します。タイプをクリックすると、説明が表示さ
れます。
関連トピック:
295 ページの「ログを管理」
イベントのタイプ
これらは、ESM で生成されるイベント ログ タイプです。
イベントのタイプ
記録されるイベント
[認証]
ログイン、ログアウト、およびユーザー アカウントが変更されます。
FIPS 規制に準拠するために、[認証モード] は常に [なし] に設定されます。
[バックアップ]
データベースのバックアップ プロセス。
[ブラックリスト]
デバイスに送信されたブラックリスト エントリ。
[デバイス]
デバイス変更、またはイベント、フロー、ログの取得などの通信。
[イベント転送]
イベント転送の変更またはエラー。
[正常性モニター]
デバイス ステータス イベント。
[通知]
通知の変更またはエラー。
[ポリシー]
ポリシー管理およびポリシー適用。
[ルール サーバー]
ルール サーバーからルールをダウンロードして検証します。
FIPS モードの場合は、ルール サーバーを通じてルールを更新しないでください。
[システム]
システム設定の変更およびテーブル ロールオーバーのロギング。
[ビュー]
ビューとクエリーに対する変更。
IP アドレスをマスクする
イベント転送で送信されるイベント レコードまたは親 ESM に送信されるイベント レコードで、特定のデータをマ
スクできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[ESM 管理] 、 [ESM 階層] の順にク
リックします。
2
データをマスクする ESM に [暗号化] を選択します。
[暗号化フィールドの選択] ページが開きます。
296
McAfee Enterprise Security Manager 9.6.0
製品ガイド
3
ESM の設定
ESM の管理
3
マスクするフィールドを選択します。
4
[OK] をクリックします。
セットアップが完了し、親 ESM が子 ESM からパケットを要求すると、選択したデータがマスクされます。
関連トピック:
297 ページの「階層 ESM ページ」
297 ページの「[暗号化フィールドの選択] ページ」
298 ページの「[暗号化設定] ページ」
298 ページの「ローカル ネットワーク ページ」
階層 ESM ページ
親 ESM がイベントを取得できるように、DESM は親を承認します。 この承認がない場合、親で実行できる操作は、
フィルターの設定、データ ソースの同期、DESM へのカスタム タイプのプッシュだけです。
表 3-189 オプションの定義
オプション
定義
階層 ESM テーブル 子 ESM にアクセスする親 ESM の一覧を表示します。
承認済み
親 ESM と DESM の間の SSH 通信を承認します。
暗号化
選択したデータを暗号化します。 [暗号化フィールドの選択] ダイアログ ボックスが開きま
す。
暗号化の設定を編集します。
このテーブルから親 ESM を削除します。 この操作を行うと、DESM からデータを取得でき
なくなります。 システム管理者は、親 ESM と DESM の通信をいつでも設定できます。
関連トピック:
296 ページの「IP アドレスをマスクする」
[暗号化フィールドの選択] ページ
親 ESM で表示が許可されていない DESM イベント データを選択します。
表 3-190 オプションの定義
オプション
定義
[暗号化可能] リスト
非表示が可能なフィールドの一覧を表示します。 このリストには、重要なデータや
すべてのカスタム タイムを含むフィールドが追加されます。 リスト内のフィール
ドを検索するには、検索フィールドに名前を入力します。
[選択したフィールド] リス
ト
現在非表示のフィールド一覧を表示します。
矢印
リストで選択したフィールドを別の場所に移動します。
[暗号化のグローバル設定を
行う] リンク
システムで使用可能な暗号化設定を追加または変更します。
関連トピック:
296 ページの「IP アドレスをマスクする」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
297
3
ESM の設定
ESM の管理
[暗号化設定] ページ
ローカル ネットワークに存在しない IP アドレスをマスクします。
表 3-191 オプションの定義
オプション
定義
[シード値]
毎回同じ方法で暗号化を確実に実行するには、[シード値] フィールドにシード値を入力
します。ランダム シードを生成するには [生成] をクリックします。 これは、複数の
ESM 間で IP アドレスを暗号化して、値の同期を保持する場合に便利です。
[ローカル ネットワーク ローカル ネットワークの内側または外側の IP アドレスを表示/非表示にします。 展開
を含む]
すると、IPv4 や IPv6 アドレスなどと同様に IP カスタム タイムが表示されます。
[ローカル ネットワーク ローカル ネットワーク上の IP アドレスを編集します。
の設定を変更]
関連トピック:
296 ページの「IP アドレスをマスクする」
ローカル ネットワーク ページ
ローカル ネットワークの詳細を設定します。
表 3-192 オプションの定義
オプション
定義
[ローカル ネットワ
ーク] フィールド
ローカル ネットワークに含まれている IP アドレスまたはサブネットのカンマ区切りリス
トを入力します。 このフィールドには最大 2,000 文字の入力が可能です。ローカル ネッ
トワークがこれより長い場合は、Classless Inter-Domain Routing (CIDR) 表記によって、
複数のサブネットを短いローカル ネットワークに統合できます。
関連トピック:
296 ページの「IP アドレスをマスクする」
449 ページの「ネットワークを検出」
ESM ロギングを設定
システムに ELM デバイスがある場合は、生成された内部イベント データが ELM デバイスに送信されるように、ESM
を設定できます。その場合は、デフォルトのロギング プールを設定する必要があります。
開始する前に
システムに ELM デバイスを追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[設定] タブで、[ロギング] をクリックします。
3
必要な選択を行い、[OK] をクリックします。
関連トピック:
299 ページの「[ロギング] ページ」
298
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ESM の管理
3
[ロギング] ページ
デフォルトのロギング オプションと ESM の内部イベント データを格納するストレージ プールを選択します。
表 3-193 オプションの定義
オプション
定義
[ログ設定] ページ
[ロギング] を選択します。
[デバイス - ELM の関連付け]
ページ
ELM をこの ESM に関連付けていない場合は、関連付けるかどうかを確認するメ
ッセージが表示されます。[はい] をクリックします。
[ロギングを行う ELM を選択し システムに複数の ELM デバイスがある場合は、データを格納する ELM を選択し
ます] ページ
ます。この ESM は常に、選択した ELM にログオンします。
[ELM IP アドレスを選択] ペー
ジ
ESM が ELM との通信に使用する IP アドレスを選択します。選択した ELM が
デバイスと正常に関連付けられると通知されます。
[ELM プールがありません] ペ
ージ
ストレージ プールが ELM に設定されていない場合、ロギングを有効にする前に
ストレージ プールを ELM に追加する必要があるというメッセージが表示されま
す。
[ELM ロギング オプション] ペ
ージ
データを記録するストレージ プールを選択します。
関連トピック:
298 ページの「ESM ロギングを設定」
通信キーをエクスポートおよびリストアする
システム内のすべてのデバイスについて、通信キーを 1 つのファイルにエクスポートします。通信キーをエクスポー
トすると、必要なときにリストアすることができます。
•
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ESM 管理] の順に選択し、[キー管理] タブを
クリックします。
目的
手順
すべての通信キーをエクス 1 [すべてのキーをエクスポート] をクリックします。
ポート
2 キー ファイルのパスワードを設定し、[OK] をクリックします。
3 ファイルを保存する場所を選択し、[保存] をクリックします。
すべての通信キーをリスト 1 [すべてのキーをリストア] をクリックします。
ア
2 キーのエクスポート時に設定したファイルを特定し、[開く] をクリックします。
3 [アップロード] をクリックし、設定したパスワードを入力します。
4 リストアする必要があるデバイスを選択し、[OK] をクリックします。
SSH キーを再生成する
すべてのデバイスとの通信に使用する秘密/公開 SSH 鍵ペアが再生成されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
299
3
ESM の設定
ESM の管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[キー管理] タブで、[SSH を再生成] をクリックします。
古いキーが新しいキーによって置換されることが警告されます。
3
[はい] をクリックします。
キーが再生成されると、ESM によって管理されているすべてのデバイス上の古い鍵ペアが置き換わります。
クエリー タスク マネージャー
管理者またはマスター ユーザー権限があるユーザーは、[タスク マネージャー] にアクセスして ESM で実行中のク
エリー リストを表示できます。 システムのパフォーマンスが低下した場合、ここで特定のクエリーを終了すること
ができます。 長時間実行されているクエリはパフォーマンスに影響を及ぼす可能性が高くなります。
この機能の目的は、クエリを終了することではなく、ESM の実行時に発生した問題のトラブルシューティングを行う
ことです。 この機能は、McAfee サポートの指示に従って使用してください。
タスク マネージャーの機能は次のとおりです。
•
システムでレポート、ビュー、ウォッチリスト、実行、エクスポート、アラーム、外部 API のクエリーを終了で
きます。 システム クエリーは終了できません。
•
クエリーをクリックすると、[クエリーの詳細] 領域に詳細が表示されます。
•
デフォルトでは、このリストは 5 分ごとに自動的に更新されます。 クエリーとリストの自動更新を選択すると、
選択状態が維持され、詳細が更新されます。 完了したクエリーはリストに表示されません。
•
リストの自動更新を無効にするには、[自動更新リスト] の選択を解除します。
•
まだ識別されていないシステム タスクを表示するには、[システム タスクを表示しない] の選択を解除します。
•
テーブルの列はソート可能です。
•
[クエリーの詳細] 領域のデータを選択してコピーできます。
•
クエリーが終了可能な場合、最後の列に削除アイコン
アログ ボックスが表示されます。
が表示されます。 これをクリックすると、確認のダイ
ESM で実行されるクエリーを管理する
[タスク マネージャー]に ESM で実行されるクエリーの一覧を表示し、管理します。 ステータスを表示して、システ
ム パフォーマンスを阻害する要因を解決できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[ESM 管理] をクリックし、[メンテナンス] タブをクリックして [タスク マネージャー] をクリックします。
3
実行中のクエリー リストを確認して、アクションを実行します。
関連トピック:
301 ページの「タスク マネージャー ページ」
300
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ESM の管理
3
タスク マネージャー ページ
ESM で実行されるクエリーを表示し、管理します。
表 3-194 オプションの定義
オプション
定義
テーブル
ESM で実行されるクエリーの一覧を表示し、管理します。 テーブルの列はソート可能です。
[クエリーの詳細]
テーブルで選択したタスクの詳細を表示します。 このテキストを選択してコピーできます。
[システム タスクを 選択を解除すると、システム タスクを表示します。これらのタスクはまだ識別されていませ
表示しない]
ん。
[自動更新リスト]
リストを 5 秒ごとに自動更新しない場合には、選択を解除します。 クエリーとリストの自動
更新を選択すると、選択状態が維持され、詳細が更新されます。 完了したクエリーはリスト
に表示されません。
クリックして、タスクを終了します。
タスクを終了する場合には十分に注意してください。
関連トピック:
300 ページの「ESM で実行されるクエリーを管理する」
プライマリまたは冗長 ESM を更新する
プライマリまたは冗長 ESM を更新する場合、イベント、フロー、ログ データの損失を防ぐために、特定の手順に従
う必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
アラート、フロー、ログの収集を無効にします。
a
システムのナビゲーション ツリーで [システム情報] を選択し、[イベント、フロー、ログ] をクリックしま
す。
b
[自動確認間隔] の選択を解除します。
2
プライマリ ESM を更新します。
3
冗長 ESM を更新します。 処理が必要な冗長ファイルがある場合、処理時間が長くなります。
4
[自動確認間隔] を再度選択して、アラート、フロー、ログの収集を有効にします。
更新が失敗した場合には、「バージョン 9.3 に更新する」を参照してください。
リモート デバイスにアクセス
リモートの場所でデバイスを設定した場合、デバイスを表示するには、[ターミナル] オプションを使用して Linux
コマンドを実行します。この機能は上級ユーザー向けのため、緊急事態の際に McAfee サポート担当者の指示に従っ
て使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
301
3
ESM の設定
ESM の管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで、[ターミナル] をクリックします。
3
システム パスワードを入力して、[OK] をクリックします。
4
必要に応じて Linux コマンドを入力し、コンテンツをエクスポートしてファイルに保存します。
このエクスポートには、現在のターミナル セッション中に [ターミナル] ページからクリアされた結果は含まれま
せん。
5
[閉じる] をクリックします。
関連トピック:
302 ページの「[ターミナル] ページ」
302 ページの「[デバイスのターミナル] ページ」
[ターミナル] ページ
リモート デバイスにアクセスするための Linux コマンドを実行します。この機能は上級ユーザー向けのため、
McAfee サポート担当者の指示に従って使用してください。
表 3-195 オプションの定義
オプション
定義
[コマンドを入力] Linux コマンドを入力して、Enter を押します。
これはバッチ モード エミュレーターにすぎないため、一部のコマンドは使用できません(『使用
可能な Linux コマンド』を参照)。
[クリア]
[ターミナル] テキスト ボックスのコンテンツをクリアする場合にクリックします。
[エクスポート]
テキスト ボックスのコンテンツを保存する場合にクリックします。
関連トピック:
301 ページの「リモート デバイスにアクセス」
[デバイスのターミナル] ページ
McAfee Support を使用している高度なユーザーは、このオプションを使用して、選択したデバイスで Linux コマ
ンドを入力できます。
表 3-196 オプションの定義
オプション
定義
[コマンドを入力] コマンドを入力します。[Return] キーを押すと、コマンドが [ターミナル] ページに追加されま
す。使用できるコマンドのリストについては、[使用できる Linux コマンド] を参照してくださ
い。
[クリア]
クリックして、ページのコンテンツを削除します。
[エクスポート]
クリックして、ページのコンテンツをファイルに保存します。このエクスポートには、現在のタ
ーミナル セッション中にターミナル ページからクリアされた結果は含まれません。
[ファイル転送]
ESM とこのデバイス間でファイルを転送します。
関連トピック:
301 ページの「リモート デバイスにアクセス」
302
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
ESM の管理
3
Linux コマンドを使用する
[ターミナル] オプションを使用すると、ESM で Linux コマンドを入力できます。 この機能は上級ユーザー向けで
す。 緊急事態の際には、McAfee サポート担当者の指示に従ってのみ使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで [ターミナル] をクリックし、システム パスワードを入力して [OK] をクリックします。
3
Linux コマンドを入力します (「使用できる Linux コマンド」を参照)。
4
必要に応じて、[クリア] をクリックしてページのコンテンツを削除します。
5
(オプション) [エクスポート] をクリックして、コンテンツをファイルに保存します。
このエクスポートには、現在のターミナル セッション中にターミナル ページからクリアされた結果は含まれませ
ん。
使用できる Linux コマンド
[ターミナル] ページでは、次のコマンドを使用できます。
[ターミナル] ページのコマンド
•
getstatsdata
•
echo
•
ps
•
date
•
grep
•
ethtool
•
ifconfig
•
df
•
kill
•
tar
•
sensors
•
netstat
•
service
•
sar
•
cat
•
tail
•
rm
•
locate
•
iptables
•
tcpdump -c -w
•
updatedb
•
ip6tables
•
cp
次に示すのは、実行前に変更される使用可能コマンドです。
変更前のコマンド
変更後のコマンド
II
ll--classify
ping
ping -c 1
ls
ls--classify
McAfee Enterprise Security Manager 9.6.0
製品ガイド
303
3
ESM の設定
グローバル ブラックリストを使用
変更前のコマンド
変更後のコマンド
top
top -b -n 1
ping6
ping6 -c 1
getstatsdata コマンドの詳細については、付録 D の『トラブルシューティング用に統計データを収集』 を参照して
ください。その他すべてのコマンドの詳細については、http://www.linuxmanpages.com を参照してください。
グローバル ブラックリストを使用
ブラックリストは、Nitro IPS または仮想デバイスを通過するトラフィックを、詳細なパケット検査エンジンによっ
て分析される前にブロックする方法です。
[Nitro IPS ブラックリスト] オプションを使用して、ESM の個別の Nitro IPS デバイスについてブラックリストを
設定することができます。[グローバル ブラックリスト] によって、ESM が管理するすべての Nitro IPS デバイスに
適用されるブラックリストを設定できます。この機能では、恒久的なブラックリスト エントリだけが可能です。一時
エントリを設定するには、[Nitro IPS ブラックリスト] オプションを使用する必要があります。
各 Nitro IPS および仮想デバイスでは、グローバル ブラックリストを使用できます。この機能は、有効にするまで
すべてのデバイスで無効になっています。
[グローバル ブラックリスト エディター] ページには、次の 3 つのタブがあります。
•
[ブロック対象のソース] — デバイスを通過するトラフィックのソース IP アドレスとの一致を確認します。
•
[ブロック対象の宛先] — デバイスを通過するトラフィックの宛先 IP アドレスとの一致を確認します。
•
[除外] — いずれかのブラックリストに自動的に追加される対象から除外されます。重大な IP アドレス(たとえ
ば DNS およびその他のサーバー、またはシステム管理者のワークステーション)を除外対象に追加すれば、生
成するイベントにかかわらず、自動的にブラックリストに追加されることがなくなります。
[ブロック対象のソース] と [ブロック対象の宛先] のエントリは、ブラックリストの効果を特定の宛先ポートに限定す
るように設定できます。
エントリを追加する場合:
•
IP アドレスまたはポートを変更すると [追加] が有効になります。
•
[ブロック対象のソース] と [ブロック対象の宛先] リストのエントリは、すべてのポートまたは特定のポートをブ
ラックリストの対象にするように設定できます。
•
マスクされた範囲の IP アドレスを使用するエントリは、ポートを任意のポート(0)に設定し、期間を恒久的に
して設定する必要があります。
•
これらのリストでは、IP アドレス形式が要求されますが、それらのアドレスに意味を加えるために役立つツール
がいくつか用意されています。[IP アドレス] フィールドに IP アドレスまたはホスト名を入力すると、入力した
値に基づいて、コントロールの横のボタンに [解決] または [参照] と表示されます。[解決] と表示された場合
は、ボタンをクリックすると、入力したホスト名が解決され、[IP アドレス] フィールドにその情報が入力され、
ホスト名が [説明] フィールドに移動されます。その他の場合は、[参照] をクリックすると、IP アドレスに対す
る参照が行われ、その結果が [説明] フィールドに入力されます。
一部の Web サイトでは複数の IP アドレスが指定されていたり、IP アドレスが切り替わる場合があります。この
ツールでは必ずしもブロックできない Web サイトもあるので注意してください。
関連トピック:
305 ページの「グローバル ブラックリストを設定」
304
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
グローバル ブラックリストを使用
3
グローバル ブラックリストを設定
選択したすべてのデバイスに共通のグローバル ブラックリストを設定することで、同じ情報を複数のデバイスで入力
する必要がなくなります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[グローバル ブラックリスト] をクリッ
クします。
2
[ブロック対象のソース]、[ブロック対象の宛先]、または [除外] タブを選択し、ブラックリスト エントリを管理
します。
3
グローバル ブラックリストを使用する必要があるデバイスを選択します。
4
[適用] または [OK] をクリックします。
タスク
•
306 ページの「[グローバル ブラックリストの管理] ページ」
グローバル ブラックリストを使用する Nitro IPS デバイスを選択します。
関連トピック:
304 ページの「グローバル ブラックリストを使用」
305 ページの「[グローバル ブラックリスト] ページ」
306 ページの「[グローバル ブラックリストの管理] ページ」
[グローバル ブラックリスト] ページ
グローバル ブラックリストを設定して、すべての Nitro IPS と仮想デバイスから特定のトラフィックをブロックし
ます。
表 3-197 オプションの定義
オプション
定義
[ブロック対象の
ソース] タブ
ブロックするソース IP アドレスを管理します。
[ブロック対象の
宛先] タブ
ブロックする宛先 IP アドレスを管理します。
[除外] タブ
DNS とその他のサーバーまたはシステム管理者のワークステーションなど、自動的にはブラッ
クリストの対象にしない IP アドレスのリストを管理します。
[IP アドレス]
リストにアイテムを追加するときは、IP アドレスを入力します。
[参照]
クリックして、入力した IP アドレスの説明を参照します。
[追加]
IP アドレスの入力後、クリックするとリストに追加されます。
[ポート]
ブラックリスト対象を特定の宛先ポートに絞り込むには、ポート番号を入力します。デフォルト
設定はどのポートも許可するゼロ(0)です。
[変更]
既存のブラックリスト アイテムの説明を変更して、このオプションをクリックします。
[説明]
(オプション)IP アドレスの説明を入力するか、[参照] をクリックして説明を特定します。既
存のアドレスの説明を変更するには、変更内容を入力して [変更] をクリックします。
[管理]
ESM の Nitro IPS と仮想デバイスのリストを開いて、グローバル ブラックリストを使用するデ
バイスを選択する場合にクリックします。
[書き込み] アイ
コン
新しいアイテムを ESM に保存できる状態になったときにクリックします。変更内容を書き込
む前にブラックリスト ページを終了すると、変更内容は保存されません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
305
3
ESM の設定
データ エンリッチメント
表 3-197 オプションの定義 (続き)
オプション
定義
[読み取り] アイ
コン
クリックして、ブロック対象のソース、ブロック対象の宛先、および除外を更新します。
[削除] アイコン
クリックして、選択したアイテムをブラックリストから削除します。[ステータス] フィールド
が [次回の書き込み時に削除] に変わります。
[イベントを表示] クリックして、違反している IP アドレスからイベント レポートを生成します。レポートは、コ
アイコン
ンソールにビューとして表示されます。
関連トピック:
305 ページの「グローバル ブラックリストを設定」
[グローバル ブラックリストの管理] ページ
グローバル ブラックリストを使用する Nitro IPS デバイスを選択します。
表 3-198 オプションの定義
オプション 定義
テーブル
ESM の Nitro IPS デバイスのリスト、および各デバイスでグローバル ブラックリストを有効にするか
どうかを表示します。
[有効] 列
グローバル ブラックリストを使用するデバイスを選択します。
関連トピック:
305 ページの「グローバル ブラックリストを設定」
データ エンリッチメント
元のイベントにはないコンテキスト情報 (メール アドレス、電話番号、ホストの場所など) を追加して、上位のデー
タソースから送信されたイベントを拡張できます。拡張したデータは、解析するイベントの一部となり、元のフィー
ルドと同様にイベントと一緒に保存されます。
データ エンリッチメント ソースを設定するには、データベースの接続方法と、データベース内の 1 つ以上のテーブ
ル列にアクセスする方法を定義します。 次に、データを受信するデバイスと、そのイベントとフロー両方のデータの
エンリッチメントを行う方法を定義します。
データ エンリッチメント ソースを編集または削除することに加えて、[データ エンリッチメント] ページでクエリー
を実行することもできます。
ESM でトリガーされるイベントについては、エンリッチメントは行われません。データ取得は、デバイスではなく
ESM で行われます。
Hadoop HBase のリレーショナル データ ソースへのコネクターでは、エンリッチメント用にソースからのキー値の
ペアを使用します。イベントを拡張するために HBase の識別マッピングを定期的に Receiver にプルすることがで
きます。
関連トピック:
307 ページの「データ エンリッチメント ソースを追加する」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
310 ページの「McAfee Real Time for McAfee ePO™ データ エンリッチメントをセットアップする」
311 ページの「Hadoop Pig データ エンリッチメント ソースを追加する」
312 ページの「ユーザー名の Active Directory データ エンリッチメントを追加する」
306
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データ エンリッチメント
3
データ エンリッチメント ソースを追加する
データ エンリッチメント ソースを追加し、データを受信するデバイスを定義します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データ エンリッチメント] 、 [追加]
の順にクリックします。
[データ エンリッチメント ウィザード] のタブとフィールドは、選択したエンリッチメント タイプによって異な
ります。
2
それぞれのタブのフィールドに入力し、[次へ] をクリックします。
3
[完了] をクリックし、[書き込み] をクリックします。
4
データ エンリッチメント ルールを書き込むデバイスを選択し、[OK] をクリックします。
関連トピック:
306 ページの「データ エンリッチメント」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
310 ページの「McAfee Real Time for McAfee ePO™ データ エンリッチメントをセットアップする」
311 ページの「Hadoop Pig データ エンリッチメント ソースを追加する」
312 ページの「ユーザー名の Active Directory データ エンリッチメントを追加する」
307 ページの「[データ エンリッチメント] ページ」
308 ページの「[データ エンリッチメント ウィザード] ページ」
310 ページの「[デバイスとルール] ページ」
[データ エンリッチメント] ページ
データ エンリッチメント ソースを管理します。システム上のソースをソースのプル頻度およびソースが有効である
かどうかを含めて表示します。
表 3-199 オプションの定義
オプション
定義
[追加]
新しいデータ エンリッチメント ソースを追加します。
[編集]
既存のソースを変更します。
[削除]
既存のソースを削除します。
[今すぐ実行] 選択したデータ エンリッチメント ソースでクエリーを実行します。
[有効]
選択したデータ エンリッチメント ソースを有効または無効にします。
[書き込み]
ソースを追加または編集する際に [宛先] タブで選択したデバイスに設定を書き込む場合にクリック
します。
関連トピック:
307 ページの「データ エンリッチメント ソースを追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
307
3
ESM の設定
データ エンリッチメント
[データ エンリッチメント ウィザード] ページ
データ エンリッチメント ソースを追加するには、データベースの接続方法と、データベース内の 1 つ以上のテーブ
ル列にアクセスする方法を定義します。これにより、元のイベントにはないコンテキスト情報を追加して、上位のデ
ータソースから送信されたイベントを拡張できます。
表 3-200 オプションの定義
タブ
オプション
定義
[メイ
ン] []
タブ
[名前]
ソースの名前を入力します。
[有効]
このソースを有効にするかどうかを選択します。
[参照タイプ]
参照に使用するデータ タイプを選択します。
[エンリッチメント 拡張するデータ タイプを選択します。
タイプ]
[プル頻度]
[ソー
ス] タ
ブ
このデータ エンリッチメント ソースを実行する頻度を選択します。
• ソース タイプが CIFS、NFS、FTP、SFTP、および SCP の場合、エンリッチメントには外部ファイル
のみ使用できます。その他のソース タイプでは、データベース用のクエリーまたは正規表現を指定する
必要があります。
• データ エンリッチメント用にプルするファイルは、LookupValue=EnrichmentValue の形式にする
必要があります。
• 各エントリーはそれぞれ独立した行にします。
• 単一列のエンリッチメントの場合は LookupValue のエントリーのみ必要です。
• 2 列で構成されるエンリッチメントの場合、LookupValue と EnrichmentValue を等号記号 (=) で分
ける必要があります。
たとえば、ホスト名に対して IP アドレスを使用するファイルでは、次のようになります。
10.5.2.3=New York
10.5.2.4=Houston
[タイプ]
データベース ドライバーまたはソースのタイプ。
[認証]
[基本] を選択した場合、ログオン時に Web サイトのユーザー名とパスワードが必要
になります。デフォルトの設定は、[なし] です。
[DB 名]
データベースの名前。
[ホスト]
データベースを実行しているコンピューターの名前。
[無効な証明書を無 検索する Web サイトの URL が https で始まる場合、このオプションを選択すると、
視]
無効な SSL 証明書を無視できます。
[IP アドレス]
データベースの IP アドレス。
[Job Tracker ホス Apache Hadoop Job Tracker ホストのアドレスまたは IP アドレス。必須ではあり
ト]
ません。空白にすると、Node Name ホストが使用されます。
[Job Tracker ポー Job Tracker ホストが待機するポート。 必須ではありません。空白にすると、Node
ト]
Name ホストが使用されます。
308
[方法]
[POST] を選択した場合、検索するコンテンツを含む Web ページに移動するために、
送信コンテンツまたは引数が必要になります。デフォルトの設定は、[GET] です。
[マウント ポイン
ト]
このファイルのディレクトリ。
[Node Name ホ
スト]
Apache Hadoop Node Name ホストのアドレスまたは IP アドレス。プロトコル
は指定しないでください。
[Node Name ポ
ート]
Node Name ホストが待機するポート。必須ではありません。空白にすると、Node
Name ホストが使用されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データ エンリッチメント
3
表 3-200 オプションの定義 (続き)
タブ
[解析]
タブ
オプション
定義
[パスワード]
データベースへのアクセスで使用するパスワード。
[パス]
データベースのパス。 [タイプ] フィールドで [FTP] を選択した場合、パスはホーム
ディレクトリの相対パスです。FTP サーバーで絶対パスを指定するには、パスの先頭
にスラッシュ (/) を追加します。たとえば、//var/local/path のようにします。
[ポート]
データベースのポート。
[共有名]
このファイルのディレクトリ。
[ユーザー名]
データベースにアクセスできるユーザーの名前。LDAP の場合は、完全修飾ドメイン
名を (スペースを含めずに) 入力します。たとえば、
uid=bob,ou=Users,dc=example,dc=com や
[email protected] などです。
[未加工データ]
ソース タイプとして HTTP/HTTPS を選択した場合、[ソース] タブの [URL] フィー
ルドに入力された URL の HTML ソース コードの最初の 200 行が表示されます。
これは Web サイトのプレビューになりますが、比較する正規表現を作成するには十
分な量です。
[今すぐ実行] を選択するか、データ エンリッチメント ソースのスケジュール更新
で、正規表現に一致したすべての項目が表示されます。この機能は RE2 構文の正規
表現に対応しています。たとえば、(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) のよ
うに記述します。
[スキップするヘッ インターネット サイトのヘッダー コードには、検索に関係のない情報が含まれてい
ダー行]
ます。 サイトの先頭からの行数を指定すると、ヘッダー データの検索を回避できま
す。
[改行区切り記号]
サイトの検索で文字列を区切る場所を入力します。 デフォルトでは、改行を表す \n
が区切り文字になっています。 区切り文字としてよく利用されるのはカンマです。
[式を無視]
正規表現の検索結果から不要な値を排除する正規表現を入力します。
[正規表現]
(必須) 一致する文字列を検索してサイトから値を抽出するロジックを入力します。
既知の不正な IP アドレスやサイトの MD5 の合計を検出する式がよく作成されてい
ます。
正規表現に 2 つの比較グループを記述している場合、それぞれの正規表現の結果を
[値の検索] または [エンリッチメント値] に関連付けることができます。
[値の検索] または
より多くの値を追加する必要がある場合に、ESM から収集されたイベント内で検索
する値。この値は、[宛先] タブの [参照フィールド] に関連付けられます。
[エンリッチメント 参照値が一致したソース イベントで拡張または挿入する値。 この値は、[宛先] タブ
値]
の [エンリッチメント フィールド] に関連付けられます。
[クエ
リー]
タブ
Hadoop HBase (REST)、Hive、LDAP、MSSQL、MySQL、Oracle、PIG または McAfee Real Time
for McAfee ePO のクエリーを設定します。
[スコ
アリン
グ] タ
ブ
単一列のクエリーから返されるそれぞれの値のスコアを設定します。スコアリングするソースおよびター
ゲット フィールドを選択して、[クエリーを実行] をクリックします。
[宛先]
タブ
[値]
戻り値が表示されます。
[スコア]
値のリスク スコアの設定に使用できる数値ステッパーが表示されます。 必要に応じ
て変更を行い、[リストを更新] をクリックします。
デバイスと、このデータ エンリッチメント ソースが設定するデバイスのフィールド マッピング ルールを
表示します。
[追加]
McAfee Enterprise Security Manager 9.6.0
デバイスとルールを選択します。
製品ガイド
309
3
ESM の設定
データ エンリッチメント
表 3-200 オプションの定義 (続き)
タブ
オプション
定義
[編集]
デバイスまたはルール設定を変更します。
[削除]
デバイスとルール設定を削除します。
関連トピック:
307 ページの「データ エンリッチメント ソースを追加する」
[デバイスとルール] ページ
拡張するデバイスを選択して、デバイスのフィールド マッピング ルールを作成します。
表 3-201 オプションの定義
オプション
定義
[参照フィールド]
参照条件とするフィールドを選択します。
[エンリッチメント フィールド] 拡張するフィールドを選択します。
[静的な値を使用]
静的な値を使用する場合に選択します。
[エンリッチメント値]
[静的な値を使用] を選択した場合、エンリッチメント値を入力する必要がありま
す。
[重大度を変更]
重大度をエンリッチメント フィールドとして使用する場合に選択して、増分また
は減少分のパーセントを選択します。
関連トピック:
307 ページの「データ エンリッチメント ソースを追加する」
McAfee Real Time for McAfee ePO データ エンリッチメントをセットア
ップする
™
[データ エンリッチメント ウィザード] で McAfee Real Time for McAfee ePO のソースを選択すると、クエリー
をテストし、[参照] と [エンリッチメント] の列を選択できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[データ エンリッチメント] をクリックして、[追加] をクリックします。[メイン] タブに情報を入力します。
3
[ソース] タブの [タイプ] フィールドで [Real Time for ePO] を選択してデバイスを選択します。[クエリー]
タブをクリックします。
4
必要な情報を追加して、[テスト] をクリックします。
必要な情報が生成されない場合には、設定を調整してください。
関連トピック:
306 ページの「データ エンリッチメント」
307 ページの「データ エンリッチメント ソースを追加する」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
311 ページの「Hadoop Pig データ エンリッチメント ソースを追加する」
312 ページの「ユーザー名の Active Directory データ エンリッチメントを追加する」
310
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データ エンリッチメント
3
Hadoop HBase データ エンリッチメント ソースを追加する
データ エンリッチメント ソースとして Hadoop HBase を追加して、Receiver から HBase 識別マッピングをプル
し、イベントを拡張します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[データ エンリッチメント] をクリック
します。
2
[データ エンリッチメント ウィザード] の [メイン] タブのフィールドを入力して、[ソース] タブをクリックしま
す。
3
[タイプ] フィールドで [Hadoop HBase (REST)] を選択し、ホスト名、ポート、テーブルの名前を入力します。
4
[クエリー] タブで、参照列とクエリーの情報を入力します。
a
[参照列] の形式を columnFamily:columnName にします。
b
クエリーにスキャナー フィルターを入力し、値を Base64 エンコードにします。 例:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
[スコアリング] タブと [宛先] タブに情報を入力します。
関連トピック:
306 ページの「データ エンリッチメント」
307 ページの「データ エンリッチメント ソースを追加する」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
310 ページの「McAfee Real Time for McAfee ePO™ データ エンリッチメントをセットアップする」
311 ページの「Hadoop Pig データ エンリッチメント ソースを追加する」
312 ページの「ユーザー名の Active Directory データ エンリッチメントを追加する」
Hadoop Pig データ エンリッチメント ソースを追加する
Apache Pig クエリーの結果を利用して、Hadoop Pig イベントを拡張できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システム プロパティ] を選択します。
2
[データ エンリッチメント] をクリックして [追加] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
311
3
ESM の設定
データ エンリッチメント
3
[メイン] タブでフィールドを入力し、[ソース] タブをクリックします。 [タイプ] フィールドで [Hadoop Pig]
を選択して、Namenode ホスト、Namenode ポート、Jobtracker ホスト、Jobtracker ポートを入力します。
Jobtracker の情報は必要ありません。 Jobtracker の情報を空白にすると、NodeName のホストとポートがデフ
ォルトで使用されます。
4
[クエリー] タブで、[基本] モードを選択して以下の情報を入力します。
a
[タイプ] で [テキスト ファイル] を選択して、[ソース] フィールドにファイルのパスを入力します (例: /
user/default/file.csv)。 あるいは、[Hive DB] を選択して HCatalog テーブルを入力します (例:
sample_07)。
b
[列] で、列データの拡張方法を指定します。
たとえば、テキスト ファイルで SSN、名前、性別、住所、電話番号の列に従業員情報が存在する場合、[列]
フィールドに emp_Name:2, emp_phone:5 と入力します。 Hive DB の場合には、HCatalog テーブルの列
名を使用します。
c
[フィルター] で、Apache Pig 組み込み式を使用してデータをフィルタリングできます。 Apache Pig のド
キュメントを参照してください。
d
上の列値を定義している場合には、列データをグループ化して集計できます。 ソースと列情報は必須です。
他のフィールドは空白にできます。 集計機能を使用するには、グループの指定が必要です。
5
[クエリー] タブで、[詳細] モードを選択して Apache Pig スクリプトを入力します。
6
[スクロール] タブで、単一列クエリーから戻された値のスコアを設定します。
7
[宛先] タブで、エンリッチメントを適用するデバイスを選択します。
関連トピック:
306 ページの「データ エンリッチメント」
307 ページの「データ エンリッチメント ソースを追加する」
310 ページの「McAfee Real Time for McAfee ePO™ データ エンリッチメントをセットアップする」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
312 ページの「ユーザー名の Active Directory データ エンリッチメントを追加する」
ユーザー名の Active Directory データ エンリッチメントを追加する
Microsoft Active Directory を利用して、ユーザーの完全な表示名を Windows イベントに追加できます。
開始する前に
システム管理権限があることを確認してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
312
1
システムのナビゲーション ツリーで [システム プロパティ] を選択します。
2
[データ エンリッチメント] をクリックして [追加] をクリックします。
3
[メニュー] タブで、[エンリッチメント名] に Full_Name_From_User_ID の形式で分かりやすい名前を入力し
ます。
4
[参照タイプ] と [エンリッチメント タイプ] に [文字列] を設定します。
5
Active Directory がより頻繁に更新されない限り、[プル頻度] を [毎日] に設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ESM の設定
データ エンリッチメント
6
7
8
3
[次へ] または [ソース] タブをクリックします。
a
[タイプ] フィールドで [LDAP] と選択します。
b
IP アドレス、ユーザー名、パスワードを入力します。
[次へ] または [クエリー] タブをクリックします。
a
[参照属性] フィールドで sAMAccountName を入力します。
b
[エンリッチメント属性] フィールドで displayName を入力します。
c
[クエリー] で (objectClass=person) を入力し、Active Directory で person として分類されているオ
ブジェクトのリストを取得します。
d
クエリーをテストします。実際のエントリ数に関係なく、最大で 5 つの値が戻されます。
[次へ] または [宛先] タブをクリックします。
a
[追加] をクリックします。
b
Microsoft Windows データソースを選択します。
c
[参照フィールド] で [ソース ユーザー] フィールドを選択します。
このフィールドには、イベントに存在し、参照のインデックスとして使用される値が表示されます。
d
9
[エンリッチメント フィールド] を選択します。このエンリッチメント値が User_Nichname または
Contact_Name の形式で書き込まれます。
[完了] をクリックして保存します。
10 エンリッチメント設定をデバイスに書き込んだら、[毎日のトリガー時間] 値が発生するまで、[今すぐ実行] をク
リックしてデータソースからエンリッチメント値を取得します。
[フルネーム] が [Contact_name] フィールドに書き込まれます。
関連トピック:
306 ページの「データ エンリッチメント」
307 ページの「データ エンリッチメント ソースを追加する」
310 ページの「McAfee Real Time for McAfee ePO™ データ エンリッチメントをセットアップする」
311 ページの「Hadoop HBase データ エンリッチメント ソースを追加する」
311 ページの「Hadoop Pig データ エンリッチメント ソースを追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
313
3
ESM の設定
データ エンリッチメント
314
McAfee Enterprise Security Manager 9.6.0
製品ガイド
4
サイバー脅威の管理
McAfee ESM を使用すると、リモート ソースから侵入の痕跡 (IOC) を取得し、環境内で関連する IOC アクティビ
ティを迅速に確認できます。
サイバー脅威管理を使用すると、自動フィードをセットアップしてウォッチリスト、アラーム、レポートを生成し、
有効なデータを取得することができます。 たとえば、フィードをセットアップすると、不審な IP アドレスをウォッ
チリストに自動的に追加して以降のトラフィックをモニタリングできます。 このフィードで、過去のアクティビティ
を含むレポートを生成して送信することもできます。 [イベント ワークフロー] ビューと [[サイバー脅威の痕跡]]
ビューでは、ドリルダウン機能を使用して、環境内の特定のイベントとアクティビティをすぐに見つけることができ
ます。
目次
サイバー脅威の管理をセットアップする
サイバー脅威フィードの結果を表示する
対応のインジケーター タイプ
IOC STIX XML ファイルの手動アップロードで発生するエラー
サイバー脅威の管理をセットアップする
リモート ソースから侵入の痕跡 (IOC) (STIX 形式の XML) を取得するフィードを設定します。 これらのフィール
ドにより、ウォッチリスト、アラーム、レポートを生成し、環境内で関連する IOC アクティビティを確認できます。
開始する前に
次の権限があることを確認します。
•
サイバー脅威の管理 - サイバー脅威フィードをセットアップできます。
•
サイバー脅威ユーザー - フィードで生成されたデータを表示できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システム プロパティ] をクリックします。
2
[サイバー脅威フィード] をクリックして、[追加] をクリックします。
3
[メイン] タブで、フィード名を入力します。
4
[ソース] タブで、ソース データのタイプと接続の認証情報を選択します。 [接続] をクリックして、接続をテス
トします。
McAfee Advanced Threat Defense、MITRE Threat Information Exchange (TAXII) などのソースがサポー
トされています。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
315
4
サイバー脅威の管理
サイバー脅威フィードの結果を表示する
5
[頻度] タブで、フィードが IOC ファイルをプルする頻度 (プル頻度) を指定します。 設定可能なプル頻度は、x
分後と、毎日、毎時、毎週、毎月です。 毎日のトリガー時間を指定します。
6
[ウォッチリスト] タブで、既存のウォッチリストに IOC ファイルのプロパティまたはフィールドを選択します。
サポートされるプロパティまたはフィールドをウォッチリストに追加できます。
必要なウォッチリストがない場合には、[新しいウォッチリストの作成] をクリックします。
7
[バックトレース] タブで、分析するイベント (デフォルト) とフロー、分析対象のデータ、フィードに対してデー
タを分析する期間を指定します。
a
イベント、フローまたはその両方を分析できます。
b
イベントとフローを分析する期間 (日数) を指定します。
c
バックとレースでデータの一致が見つかった場合に ESM が実行するアクションを指定します。
d
アラームの場合、割り当て先と重大度を選択します。
8
[メニュー] タブに戻って [有効] を選択し、このフィードを有効にします。
9
[完了] をクリックします。
プロセスが正常に完了すると、通知されます。
新しいファイルとインジケーターの検証結果が手動アップロードのソース タイプに追加されています。 このソース
タイプを選択したときにエラーが発生した場合には、『IOC STIX XML ファイルの手動アップロードで発生するエラ
ー』を参照して問題を解決してください。
関連トピック:
316 ページの「サイバー脅威フィードの結果を表示する」
317 ページの「対応のインジケーター タイプ」
318 ページの「IOC STIX XML ファイルの手動アップロードで発生するエラー」
サイバー脅威フィードの結果を表示する
組織のサイバー脅威フィードで識別した外部データ ソースの侵入の痕跡 (IOC) を表示します。 ドリルダウンする
と、脅威の詳細、ファイルの説明、痕跡のソースに対するイベントをすぐに確認できます。
開始する前に
[サイバー脅威ユーザー] 権限があることを確認します。組織のサイバー脅威フィードの結果を表示する
には、この権限が必要です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
316
1
ESM コンソールでビュー リストをクリックし、[イベント ワークフロー ビュー] 、 [サイバー脅威インジケータ
ー] の順に選択します。
2
時間枠リストで、ビューの期間を選択します。
3
フィード名または対応する IOC データ タイプでフィルタリングします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
4
サイバー脅威の管理
対応のインジケーター タイプ
4
5
標準のビュー アクションを実行します。例:
•
ウォッチリストを作成または追加する。
•
アラームを作成する。
•
リモート コマンドを実行する。
•
ケースを作成する。
•
検索する。
•
痕跡を CSB または HTML ファイルにエクスポートする。
[説明]、[詳細]、[ソース イベント]、[ソース フロー] タブでドリルダウンして、脅威の詳細を確認します。
関連トピック:
315 ページの「サイバー脅威の管理をセットアップする」
317 ページの「対応のインジケーター タイプ」
318 ページの「IOC STIX XML ファイルの手動アップロードで発生するエラー」
対応のインジケーター タイプ
手動アップロードのサイバー脅威フィードを追加すると、ESM は Structured Threat Information Expression
(STIX) ファイルを侵入痕跡 (IOC) エンジンに送信し、処理します。 ESM 用に正規化されたインジケーターがファ
イルに含まれていないと、エラー メッセージが表示されます。
表 4-1
ESM 用に正規化されたインジケーター タイプ
インジケーター タイプ
ウォッチリスト タイプ
メール アドレス
宛先、差出人、Bcc、Cc、メール ID、受信者 ID
ファイル名、ファイル パス
ファイル パス、ファイル名、宛先ファイル名、宛先ディレクトリ、ディ
レクトリ
(フロー) IPv4、IPv6
IP アドレス、送信元 IP、宛先 IP
(フロー) MAC アドレス
MAC アドレス、送信元 MAC、宛先 MAC
完全修飾ドメイン名、ホスト名、ドメイン ホスト、宛先ホスト名、外部ホスト名、ドメイン、Web ドメイン
名
IPv4、IPv6
IP アドレス、送信元 IP、宛先 IP、攻撃者の IP、グリッド マスター
IP、デバイスの IP、攻撃対象の IP
MAC アドレス
MAC アドレス、送信元 MAC、宛先 MAC
MD5 ハッシュ
ファイル ハッシュ、親ファイル ハッシュ
SHA1 ハッシュ
SHA1
サブジェクト
サブジェクト
URL
URL
ユーザー名
送信元ユーザー、宛先ユーザー、ユーザーのニックネーム
Windows レジストリ キー
レジストリ キー、レジストリ.キー (レジストリ サブタイプ)
Windows レジストリ値
レジストリ値、レジストリ.値 (レジストリ サブタイプ)
関連トピック:
315 ページの「サイバー脅威の管理をセットアップする」
316 ページの「サイバー脅威フィードの結果を表示する」
318 ページの「IOC STIX XML ファイルの手動アップロードで発生するエラー」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
317
4
サイバー脅威の管理
IOC STIX XML ファイルの手動アップロードで発生するエラー
IOC STIX XML ファイルの手動アップロードで発生するエラー
手動アップロードのサイバー脅威フィードを追加すると、ESM は Structured Threat Information Expression
(STIX) ファイルを侵入痕跡 (IOC) エンジンに送信し、処理します。
アップロードで問題が発生すると、次のいずれかのエラーが戻されます。
表 4-2
サイバー脅威の手動アップロードで発生するエラー
エラー
説明
トラブルシューティング
ER328 - 無効
な STIX 形式で
す
ファイル形式が無
効です。
• アップロード ファイルが STIX ファイルであることを確認してくださ
い。 エンジンが対応しているのは STIX バージョン 1.1 です。
• STIX のドキュメントを参照して、スキーマが有効かどうか確認してくだ
さい。
• Open Standards for Information Society (OASIS) - STIX 規格
を定義する組織 https://www.oasis-open.org/)
• STIX プロジェクト - 様々な STIX データ モデル、xsd 文書
(https://stixproject.github.io/)
ER329 - サポ
ートされる IOC
が見つかりませ
ん
アップロードされ
た STIX ファイル
に、ESM 用に正規
化されたインジケ
ーターが含まれて
いません。
特定のインジケーターを処理する必要がある場合には、McAfee サポート
に連絡して、ESM 用に正規化できるようにしてください。 ESM で使用可
能なインジケーターのタイプについては、『対応のインジケーター タイプ』
を参照してください。
関連トピック:
315 ページの「サイバー脅威の管理をセットアップする」
316 ページの「サイバー脅威フィードの結果を表示する」
317 ページの「対応のインジケーター タイプ」
318
McAfee Enterprise Security Manager 9.6.0
製品ガイド
5
コンテンツ パックの使い方
ルール サーバーから関連するコンテンツ パックをインポートしてインストールすると、特定の脅威状況が発生した
場合に迅速に対応できます。 コンテンツ パックには、ユースケースに基づく相関ルール、アラーム、ビュー、レポ
ート、変数、ウォッチリストが含まれています。これにより、特定のマルウェアまたは脅威のアクティビティに対応
することができます。 コンテンツ パックを使用すると、ツールを一から作成することなく、脅威に対応することが
できます。
コンテンツ パックをインポートする
McAfee では、ユース ケースからコンテンツ パックを作成し、相関ルール、アラーム、ビュー、レポート、変数、
ウォッチリストを組み込み、特定のマルウェアのアクティビティを解決します。
開始する前に
次の権限があることを確認します。
•
システム管理
•
ユーザーの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ルールの更新のチェック 30 ページの「」
ルールが更新されると、使用可能なコンテンツ パックがオンライン ユーザーに自動的に送信されます。 オフライ
ンの場合、ルールをホスティング サイトから個々のコンテンツ パックを手動でダウンロードする必要があります。
2
システムのナビゲーション ツリーで システム プロパティ をクリックします。
3
[コンテンツ パック] をクリックします。
4
新しいコンテンツ パックをインポートしてインストールするには、[参照] をクリックします。
ルールの更新を検査すると、新しいコンテンツ パックまたは更新されたコンテンツ パックが自動的にダウンロー
ドされます。
a
[インポート] をクリックして、インポートするコンテンツ パック ファイルを選択します。
b
[アップロード] をクリックします。
インポートのステータスを示すメッセージが表示されます。
c
コンテンツ パックをクリックして、パックの内容を確認します。
d
必要なパックを選択して、コンテンツ パックをインストールします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
319
5
コンテンツ パックの使い方
コンテンツ パックをインポートする
5
既存のコンテンツ パックを更新または削除するには、該当するパックをチェックして [更新] または [削除] をク
リックします。
既存のコンテンツ パックを更新する場合には十分に注意してください。 コンテンツ パックの要素をカスタマイ
ズしている場合、更新を実行すると、カスタマイズした要素が上書きされます。
6
320
既存のコンテンツ パックを削除するには、該当するパックをチェックして [削除] または 削除 をクリックしま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームのワークフローを理解しましょう。 関連するタスクのリンクをクリックして、詳しい情報を確認してくださ
い。
目次
アラームの作成準備
アラームを作成する
アラームをモニタリングして対応する
アラームを調整する
アラームの作成準備
アラームを作成する前に、ESM 環境にアラーム メッセージ テンプレート、メッセージ受信者グループ、メール サ
ーバーの接続、アラーム音声ファイル、アラーム レポートキュー、ダッシュボードのアラーム タブが存在すること
を確認してください。
開始する前に
トリガーされたアラームをダッシュボードに表示する場合には、「ユーザー設定の選択 268 ページの
「」」を参照してください。
以下のタスクを参照して、アラーム環境の準備方法を確認してください。
タスク
•
321 ページの「アラーム メッセージをセットアップする」
トリガーされたアラーム メッセージを電子メール、SMS、SNMP または Syslog で送信するように ESM
を設定します。
•
326 ページの「アラームの音声ファイルを管理する」
音声ファイルをアップロードまたはダウンロードして、音声アラームによるアラートに使用します。
アラーム メッセージをセットアップする
トリガーされたアラーム メッセージを電子メール、SMS、SNMP または Syslog で送信するように ESM を設定し
ます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
321
6
アラーム ワークフロー
アラームの作成準備
タスク
•
322 ページの「アラーム メッセージ テンプレートを作成する」
メール、SMS、SNMP (Simple Network Management Protocol) または Syslog のアラーム メッセ
ージ テンプレートを作成します。 このテンプレートは、特定のアラーム アクションやメッセージの受
信者に関連付けることができます。
•
324 ページの「相関アラームにソース イベントを追加する」
アラームの結果にソース イベント情報を追加するには、比較条件に相関イベントを使用して [内部イベ
ントの比較] または [フィールド一致] アラームをセットアップします。
•
325 ページの「アラーム受信者を管理する」
アラーム メッセージの受信者を確認し、アラーム メッセージの送信方法 (SMS、SNMP または Syslog)
を設定します。
メッセージ設定の定義
アラームのアクションを定義したり、レポートの配信方法をセットアップするときに、メッセージを送信するように
選択できます。 ただし、その前に ESM をメール サーバーに接続し、電子メール、SMS、SNMP または Syslog に
よるメッセージの受信者を指定する必要があります。
ESM は、SNMP v1 プロトコルでアラーム通知を送信します。 SNMP は UDP を転送プロトコルとして使い、マネ
ージャーとエージェント間でデータをやりとりします。 SNMP の設定では、ESM などのエージェントはトラップと
いうデータのパケットを使用して SNMP サーバー (ネットワーク管理ステーション、NMS) にイベントを転送しま
す。 ネットワーク内の他のエージェントは、通知の受信と同じ方法でイベント レポートを受信できます。 SNMP ト
ラップ パケットのサイズ制約により、ESM はレポートの各行を個別のトラップで送信します。
Syslog は、ESM で生成されたクエリーの CSV レポートも送信できます。 Syslog は、クエリー CSV レポートを
Syslog メッセージごとに 1 行ずつ、カンマ区切りフィールドに配置されたクエリー結果の各行のデータと一緒に送
信します。
関連トピック:
222 ページの「メール サーバーとの接続」
223 ページの「受信者の管理」
224 ページの「電子メールの受信者グループを追加する」
322 ページの「アラーム メッセージ テンプレートを作成する」
324 ページの「相関アラームにソース イベントを追加する」
325 ページの「アラーム受信者を管理する」
アラーム メッセージ テンプレートを作成する
メール、SMS、SNMP (Simple Network Management Protocol) または Syslog のアラーム メッセージ テンプ
レートを作成します。 このテンプレートは、特定のアラーム アクションやメッセージの受信者に関連付けることが
できます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
2
322
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[アラーム] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームの作成準備
3
[設定] タブをクリックし、[テンプレート] をクリックします。
•
カスタム テンプレートを作成するには、[追加] をクリックします。
•
カスタム テンプレートを変更するには、テンプレートを選択して [編集] をクリックします。
事前定義のテンプレートは編集できません。
•
カスタム テンプレートを削除するには、テンプレートを選択して [削除] をクリックします。
事前定義のテンプレートは削除できません。
4
•
既存のテンプレートをコピーするには、テンプレートを選択して [コピー] をクリックします。 コピーしたテ
ンプレートを新しい名前で保存します。
•
すべてのアラーム メッセージのデフォルトに設定するには、テンプレートを選択して [デフォルトにする] を
クリックします。
次のテンプレート情報を追加または変更します。
オプショ
ン
説明
[種類]
このテンプレートが電子メール メッセージ用か、SMS メッセージ用かを選択します。
SMS メッセージを電子メールとしてスマートフォンに送信すると、電話会社側で SMS に変換され
ます。 SMS メッセージは 140 文字以内に制限されています。
[名前]
このテンプレートの名前を入力します。
[説明]
このテンプレートに入れる内容の説明を入力します。
[デフォル
トにする]
現在のテンプレートをメッセージ送信のデフォルトに設定します。
[件名]
電子メール テンプレートの場合、メッセージの件名を選択します。[フィールドを挿入] アイコンを
クリックして、メッセージの件名に含める情報を選択します。
[メッセー
ジ本文]
メッセージの本文に含めるフィールドを選択します。
Syslog メッセージのテンプレートの場合、メッセージの本文を 950 バイトより小さくする必要があ
ります。 ESM は、950 バイトを超える Syslog を送信できません。
• デフォルトで含まれるフィールドをメッセージに含めない場合は削除します。
• 本文内でデータ フィールドを挿入する位置にカーソルを置きます。 [件名] フィールドの上にあ
る [フィールドを挿入] アイコンをクリックします。 このフィールドに表示する情報の種類を選
択します。
• [繰り返しブロック] を選択すると、ESM がレコードのループに必要な構文を追加します。
[$REPEAT_START] と [$REPEAT_END] のマーカー間の各レコードに含めるフィールドを挿
入します。ESM がこの情報をメッセージに追加します (最大 10 レコードまで)。
• 相関アラームにソース イベントを追加する324 ページの「」 相関イベントに使用するアラーム
にソース イベントを追加するには、[フィールドを挿入] アイコンをクリックして [ソース イベ
ント ブロック] を選択します。
アラームの種類として [内部イベントの比較] または [フィールド一致] を選択すると、ESM が電子
メールにイベント フィールド データを追加します。 ESM ではなく Receiver で実行されるデータ
ソース アラームには、[フィールド一致] を選択します。 [内部イベントの比較] アラームを選択しま
す。このアラームは ESM で実行され、アラームの頻度を超えるたびにクエリーが強制的に実行され
ます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
323
6
アラーム ワークフロー
アラームの作成準備
関連トピック:
222 ページの「メッセージ設定の定義」
324 ページの「相関アラームにソース イベントを追加する」
325 ページの「アラーム受信者を管理する」
相関アラームにソース イベントを追加する
アラームの結果にソース イベント情報を追加するには、比較条件に相関イベントを使用して [内部イベントの比較]
または [フィールド一致] アラームをセットアップします。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[設定] タブをクリックし、[テンプレート] をクリックします。
4
[テンプレート管理] ページで [追加] をクリックし、必要な情報を入力します。
5
6
[メッセージ本文] セクションで、タグの挿入位置にカーソルを置き、[フィールドを挿入] アイコン
クして [ソース イベント ブロック] を選択します。
をクリッ
タグの内側にカーソルを置き、[フィールドを挿入] アイコンをもう一度クリックします。相関アラームのトリガ
ー時に追加する情報を選択します。
以下の例は、イベントのソース IP アドレス、宛先 IP アドレス、重大度のフィールドを挿入したアラーム メッセー
ジのテンプレートです。
Alarm: [$Alarm Name]
Assignee: [$Alarm Assignee] Trigger Date: [$Trigger Date] Summary: [$Alarm Summary]
[$SOURCE_EVENTS_START] Source IP: [$Source IP] Dest IP: [$Destination IP] Severity:
[$Average Severity] [$SOURCE_EVENTS_END]
相関イベントがアラームをトリガーしない場合、メッセージにデータは含まれません。
関連トピック:
222 ページの「メッセージ設定の定義」
322 ページの「アラーム メッセージ テンプレートを作成する」
325 ページの「アラーム受信者を管理する」
324
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームの作成準備
6
アラーム受信者を管理する
アラーム メッセージの受信者を確認し、アラーム メッセージの送信方法 (SMS、SNMP または Syslog) を設定しま
す。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
使用するプロファイルが存在することを確認します。 「SNMP 設定 249 ページの「」」と「プロフ
ァイルの設定 247 ページの「」」を参照してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックします。
3
[設定] タブをクリックし、[受信者] をクリックします。
アイコンをクリックします。
•
個々の受信者のメール アドレスを表示または更新するには、[電子メール] をクリックします。
•
ユーザー名とメール アドレスを表示するには、[ユーザー] をクリックします。
•
SMS の受信者とアドレスを表示または更新するには、[SMS] をクリックします。
•
次の SNMP 情報を表示または更新するには、[SNMP] をクリックします。
オプション
説明
[プロファイ
ル]
ドロップダウン リストから既存の SNMP 受信者プロファイルを選択します。 プロファイル
を追加するには、[プロファイル] をクリックします。
[特定のトラ 特定のトラップ タイプを選択します。 一般的なトラップ タイプは通常 6 (エンタープライ
ップ タイプ] ズ固有) に設定されます。
[エンタープ トラップを送信する完全なエンタープライズ オブジェクト識別子 (OID) を入力します。 最
ライズ OID] 初の 1 からエンタープライズ番号までのすべてを追加します (エンタープライズ内のサブツ
リーも含む)。
[コンテン
ツ]
[情報データのバインドを含める] - トラップに、変数バインド情報 (処理されるレポートの
行番号、トラップ ソースを識別する文字列、トラップを生成する通知の名前、トラップを送
信する ESM の ID など) が含まれます。
[レポート データのみ含める] - 追加の変数バインドはトラップに含まれません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
325
6
アラーム ワークフロー
アラームの作成準備
オプション
説明
[フォーマッ
ト]
レポートから生成される各 SNMP トラップには、そのレポートのデータの 1 行が含まれま
す。
• [各レポート行をそのまま送信] - レポート行のデータが単一変数バインドとしてそのま
まの状態で送信されます。 エンタープライズ OID、特定のトラップ タイプ、1 で始まる自
動増分番号が連結され、データ バインド OID が構築されます。
• [結果を解析し、これらのバインド OID を使用する] - レポート行が解析され、各フィー
ルドが異なるデータ バインドで送信されます。
[バインド
OID のリス
ト]
[結果を解析し、これらのバインド OID を使用する] - カスタム データ バインド OID を指
定します。
• このオプションを選択した場合は、[追加] をクリックしてバインド OID 値を入力します。
• レポートのすべてのデータ フィールドに変数 OID が指定されていないと、ESM はリスト
に指定された最後の OID から増分を開始します。
4
次の Syslog 情報を表示または更新するには、[Syslog] をクリックします。
オプション
説明
[ホスト IP] と [ポート]
受信者のホスト IP アドレスとポートを入力します。
[設備] と [重大度]
設備とメッセージの重大度を選択します。
関連トピック:
222 ページの「メッセージ設定の定義」
322 ページの「アラーム メッセージ テンプレートを作成する」
324 ページの「相関アラームにソース イベントを追加する」
アラームの音声ファイルを管理する
音声ファイルをアップロードまたはダウンロードして、音声アラームによるアラートに使用します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[設定] タブをクリックし、[音声] をクリックします。
3
音声ファイルをダウンロード、アップロード、削除、または再生します。[閉じる] をクリックします。
ESM が事前にインストールされた 3 つの音声ファイルを追加します。 カスタム音声ファイルをアップロードで
きます。
326
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームを作成する
6
アラームを作成する
特定の脅威イベントに対してアラームを生成し、アクションを実行できます。 アラームのトリガー頻度が適切でない
と、ノイズになる可能性があります。 組織に重要なイベントをエスカレートするようにアラームを作成してくださ
い。
McAfee ESM では、様々な方法でアラームを作成できます。たとえば、事前に作成されたアラームを有効にしたり、
既存のアラームをコピーして変更することもできます。また、組織に固有のアラームの作成も可能です。
以下のタスクを参照して、アラームの作成方法を確認してください。
タスク
•
327 ページの「アラーム監視を有効または無効にする」
システム全体または個々のアラームでアラーム モニタリングを有効または無効にします。 ESM のデフ
ォルトでは、アラーム モニタリングが有効になっています。
•
328 ページの「アラームをコピー」
既存のアラームをコピーして別の名前で保存し、新しいアラームのテンプレートとして使用します。
•
328 ページの「アラームを作成する」
定義した条件を満たしたときにトリガーされるようにアラームを作成します。
アラーム監視を有効または無効にする
システム全体または個々のアラームでアラーム モニタリングを有効または無効にします。 ESM のデフォルトでは、
アラーム モニタリングが有効になっています。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
システムのアラーム モニタリングを無効にすると、ESM はアラームを生成しません。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
システム全体でアラーム モニタリングを無効または有効にするには、[設定] タブをクリックして [無効] または
[有効] をクリックします。
4
個々のアラームを無効または有効にするには、[アラーム] タブをクリックします。 [ステータス] 列にアラームの
状態 (有効または無効) が表示されます。
5
•
特定のアラームを有効にするには、アラームを強調表示して [有効] を選択します。
•
特定のアラームを無効にするには、アラームを強調表示して [有効] の選択を解除します。 これ以降、ESM は
このアラームを生成しません。
[OK] をクリックします。
関連トピック:
328 ページの「アラームをコピー」
328 ページの「アラームを作成する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
327
6
アラーム ワークフロー
アラームを作成する
アラームをコピー
既存のアラームをコピーして別の名前で保存し、新しいアラームのテンプレートとして使用します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックします。
3
有効なアラームを選択して、[コピー] をクリックします。
アイコンをクリックします。
[アラーム名] ページに、 _copy が付いた現在のアラーム名が表示されます。
コピーできるのは、有効なアラームだけです。 無効になっているアラームはコピーできません。
4
名前を変更し、[OK] をクリックします。
5
アラーム設定を変更するには、コピーしたアラームを選択して [編集] をクリックします。
6
必要に応じて設定を変更します。
関連トピック:
327 ページの「アラーム監視を有効または無効にする」
328 ページの「アラームを作成する」
アラームを作成する
定義した条件を満たしたときにトリガーされるようにアラームを作成します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
328
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックして、[追加] をクリックします。
3
[サマリー] タブをクリックして、アラームの全般設定を定義します。
アイコンをクリックします。
•
アラームの名前を設定します。
•
このアラームを割り当てるユーあーまたはグループを [割り当て先] リストから選択します。このリストに
は、[アラーム管理] 権限のあるすべてのユーザーとグループが表示されます。
•
[重大度] で、アラーム ログのアラーム優先度 (高 66–100、中 33–65、低 1–32) 選択します。
•
[有効] を選択して、このアラームを有効にします。アラームを無効にするボックスの選択を解除します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを作成する
4
[条件] タブで、アラームをトリガーする条件を指定します。
条件
説明
[チェック システムがこの条件をチェックする頻度を選択します。
レート]
[偏差]
ベースラインに対して上回った場合にチェックされるしきい値を比率で指定し、下回った場合のし
きい値も比率で指定します。
• [クエリー] - クエリーで送信するデータのタイプを選択します。
• [フィルター] アイコン - このアラームのデータをフィルタリングする値を選択します。
• [時間枠] - 数値フィールドで選択した前回または以前の期間をクエリーで確認するかどうかを
選択します。
• [次の値のときにトリガー] - ESM がアラームをトリガーする条件として、ベースラインに対す
る上下の偏差を選択します。
[イベント • [イベント数] - ESM がアラームを生成するのに必要なイベント数を入力します。
レート]
• [フィルター] アイコン - データをフィルタリングする値を選択します。
• [時間枠] - ESM のアラーム トリガー条件となる特定のイベント数を計測する間隔を選択しま
す。
• [オフセット] - 計測の最後に集計イベントによる急増を発生させないようにオフセットを選択
します。 たとえば、ESM が 5 分ごとにイベントをプルする場合、最後の 1 分間に取得されるイ
ベントには集計イベントが含まれます。 最後の 1 分間がデータ測定期間に含まれないように 1
分間の時間枠をオフセットできます。 オフセットを設定しない場合、集計データの値がイベント
数に含まれるため、ESM で誤検知が発生します。
[フィール 1 ドラッグ アンド ドロップで[AND] または [OR] アイコン (「論理要素347 ページの「」」を参
ドの一致]
照) を移動し、アラーム条件の論理を設定します。
2 ドラッグ アンド ドロップで [一致コンポーネント] アイコンを論理要素の上に移動し、[フィルタ
ー フィールドを追加] ページに情報を入力します。
3 [条件トリガーの最大頻度] を設定して、受信する通知の数を制限します。 各トリガーには、トリ
ガー条件に一致する最初のソース イベントだけが含まれます。トリガー頻度期間内に発生した
イベントは含まれません。 トリガー条件に一致する新しいイベントが発生しても、トリガー頻度
の最大期間が終わるまでアラームはトリガーされません。 たとえば、頻度を 10 分に設定し、10
分以内にアラームが 5 回トリガーされた場合、ESM はこの 5 回のアラームをまとめて通知しま
す。
間隔を 0 に設定すると、条件に一致するイベントが発生するたびにアラームがトリガーされます。
頻度の高いアラームの場合、間隔を 0 にすると大量のアラームが発生する可能性があります。
[正常性モ デバイス ステータスの変化のタイプを選択します。たとえば、[重大] のみを選択した場合、[警告]
ニター ス レベルの正常性モニター ステータスの変更があっても通知されません (「正常性モニターのシグネ
テータス] チャ ID339 ページの「」」を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
329
6
アラーム ワークフロー
アラームを作成する
条件
説明
[内部イベ • [値が一致しない場合にトリガー] - 値が設定に一致しない場合にアラームをトリガーさせると
ントの比
きに選択します。
較]
• [ウォッチリストを使用] - このアラームの値をウォッチリストに設定する場合に選択します。
カンマを含む値はウォッチリストに追加するか、引用符で囲む必要があります。
• [フィールド] - このアラームがモニタリングするデータのタイプを選択します。
正常性モニター イベントが生成されたときにアラームをトリガーするには、
「正常性モニター イベ
ント アラームを追加する339 ページの「」」を参照してください。
• [値] - [フィールド] で選択したタイプの特定の値を入力します (最大 1,000 文字まで)。 たと
えば、[ソース IP] を選択した場合、このアラームをトリガーする実際のソース IP アドレスを入
力します。
[条件トリ 大量の通知が発生しないように、各条件間で許容する時間を選択します。
ガーの最
大頻度]
[しきい
値]
イベント デルタ条件タイプのみ - アラームのトリガー前に分析するイベントで許容する最大デル
タを選択します。
[タイプ]
アラームのタイプを選択します。タイプによって入力するフィールドが異なります。
5
[デバイス] タブで、このアラームがモニタリングするデバイスを選択します。
6
[アクション] タブで、アラーム トリガー時に実行するアクションを指定します。
アクション
説明
[ログ イベント]
ESM でイベントを作成します。
[自動認識アラー トリガー後すぐにアラームを自動的に認識します。 アラームは [アラーム] ペインに表示さ
ム]
れませんが、[トリガー アラーム] ビューに追加されます。
[ビジュアル ア
ラート]
コンソールの右下にアラーム通知を生成します。 音声通知を含めるには、[設定]、[音声を再
生] の順にクリックして、音声ファイルを選択します。
[ケースを作成]
選択したユーザーまたはグループにケースを作成します。 [設定] をクリックして、ケース所
有者を指定し、ケース サマリーに表示するフィールドを選択します。
アラームをエスカレートする場合には、ケースを作成しないでください。
[ウォッチリスト アラーム トリガー イベントの情報を使用して値を追加または削除し、ウォッチリストを変更
を更新]
します。最大 10 個のアラーム トリガー イベントを使用できます。 [設定] をクリックし
て、選択したウォッチリストに追加または削除するトリガー イベント フィールドを選択しま
す これらの設定によってウォッチリストが変更されると、[トリガーされたアラーム] ビュー
の [アクション] タブに変更内容が示されます。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
330
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを作成する
アクション
説明
[メッセージを送 選択した受信者に電子メールまたは SMS メッセージを送信します。
信]
• [受信者を追加] をクリックして、メッセージの受信者を選択します。
• [設定] をクリックして、メッセージに使用するテンプレート (電子メール、SMS、SNMP
または Syslog メッセージ)、タイムゾーン、日付形式を選択します。
アラーム名にカンマ (,)、引用符 (")、括弧 ( )、スラッシュまたはバックスラッシュ (/ \)、
セミコロン (;)、疑問符 (?)、アットマーク (@)、角括弧 ([ ])、不等号 (< >)、等号 (=)
を使用すると、SMS メッセージの送信で問題が発生する可能性があります。
[レポートを生
成]
レポート、ビュー、クエリーを生成します。 [設定] をクリックして [レポートの設定] ペー
ジでレポートを選択するか、[追加] をクリックして新しいレポートを作成します。
レポートを電子メールに添付して送信する場合には、電子メールの管理者に添付ファイルの最
大サイズを確認してください。 添付ファイルのサイズが大きくなると、レポートを送信でき
ない場合があります。
[リモート コマ
ンドを実行]
SSH 接続を受け入れるデバイス (McAfee の ESM デバイスを除く) でリモート コマンドを
実行します。 [設定] をクリックして、SSH 接続のコマンド タイプとプロファイル、タイム
ゾーンと日付形式、ホスト、ポート、ユーザー名とパスワード、コマンド文字列を選択しま
す。
アラーム条件が [内部イベントの比較] の場合、特定のイベントを追跡できます。 [変数を挿
入] アイコン
をクリックして、変数を選択します。
[Remedy に送
信]
トリガーされたアラームごとに最大 10 個のイベントを Remedy に送信します。 [設定] を
クリックして、Remedy との接続に必要な情報をセットアップします。たとえば、[開始] と
[終了] データ、プレフィックス、キーワード、ユーザー ID (EUID) を設定します。 イベン
トが Remedy に送信されると、ESM は [イベントを Remedy に送信] を [トリガーされた
アラーム] ビューの [アクション] タブに追加します。 このアクションを実行するには、条件
タイプで [内部イベントの比較] を指定する必要があります。
[ePO でタグを
割り当て]
このアラームをトリガーする IP アドレスに McAfee ePolicy Orchestrator タグを適用し
ます。 [設定] をクリックして、次の情報を選択します。
• [ePO デバイスを選択] - タグ付けに使用するデバイス
• [名前] - 適用するタグ (選択したデバイスに適用可能なタグだけがリストに表示されま
す)
• [フィールドを選択] - タグ付けの基準になるフィールド
• [クライアントをウェークアップ] - タグをすぐに適用します。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
[Real Time for 選択した McAfee Real Time for McAfee ePO デバイスで、McAfee ePO からアクション
ePO のアクショ を実行します。
ン]
このオプションを使用するには、McAfee Real Time for McAfee ePO プラグイン (バージョ
ン 2.0.0.235 以降) がインストールされ、McAfee ePO サーバーがエンドポイントの 1 つと
してデバイスを認識している必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
331
6
アラーム ワークフロー
アラームをモニタリングして対応する
アクション
説明
[ブラックリス
ト]
アラームのトリガー時にブラックリストに登録する IP アドレスを選択します。 [設定] をク
リックして、次の情報を選択します。
• [フィールド] - ブラックリストに追加する IP アドレスのタイプを選択します。 [IP ア
ドレス] に指定すると、送信元と宛先の両方の IP アドレスがブラックリストに登録されま
す。
• [デバイス] - IP アドレスをブラックリストに登録するデバイスを選択します。 [グロー
バル] を選択すると、デバイスが [グローバル ブラックリスト] に追加されます。
• [期間] - IP アドレスをブラックリストに登録する期間を選択します。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
[アラーム サマ
リーのカスタマ
イズ]
7
[フィールド一致] または [内部イベントの比較] アラームのサマリーに表示するフィールド
をカスタマイズします。
[エスカレート] タブで、一定の期間内に確認されなかったアラームをエスカレートする方法を指定します。
エスカレート
説明
[次の後でエスカレー
ト]
アラームをエスカレートするまでの時間を入力します。
[エスカレートされる
割当先]
エスカレートした通知を受信する個人またはグループを選択します。
[エスカレートされる
重大度]
エスカレートするアラームの重大度を選択します。
[ログ イベント]
このエスカレーションをイベントとして記録するかどうかを選択します。
[ビジュアル アラート] 通知をビジュアル アラートにするかどうかを選択します。 音声にビジュアル通知を
添付する場合は、[音声を再生] をクリックしてファイルを選択します。
[メッセージを送信]
割り当て先にメッセージを送信するかどうかを選択します。 [受信者を追加] をクリ
ックしてメッセージのタイプを選択してから、受信者を選択します。
[レポートを生成]
レポートを生成するかどうかを選択します。 [設定] をクリックして、レポートを選択
します。
[リモート コマンドを
実行]
SSH 接続を受け入れるデバイスでスクリプトを実行するかどうかを選択します。 [設
定] をクリックして、ホスト、ポート、ユーザー名、パスワード、コマンド文字列を入
力します。
関連トピック:
327 ページの「アラーム監視を有効または無効にする」
328 ページの「アラームをコピー」
アラームをモニタリングして対応する
ダッシュボード ビュー、アラームの詳細、フィルター、レポートを使用して、トリガーされたアラームの表示、承
認、削除を行います。
以下のタスクを参照して、トリガーされたアラームのモニタリングと対応の方法を確認してください。
332
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームをモニタリングして対応する
•
6
トリガーされたアラームの表示 - ダッシュボードの [アラーム] ログ ペインにアラームの総数が重大度別に表
示されます。
記号
重大度
範囲
高
66-100
中
33-65
低
1-32
•
トリガーされたアラームの承認 - [アラーム] ペインから削除されます。 承認されたアラームは、トリガーされ
たアラーム ビューに残ります。
•
トリガーされたアラームの削除 - [アラーム] ペインと [トリガーされたアラーム] ビューから削除されます。
ビジュアル アラートを使用している場合、トリガーされたアラートのクローズ、承認、削除を行わないと、30 秒後に
ビジュアル アラートが終了します。 音声アラートは、ビジュアル アラートがクローズ、承認または削除されるまで再
生されます。音声アイコンをクリックすると、音声アラートが停止します。
タスク
•
333 ページの「トリガーされたアラームの表示と確認」
トリガーされ、削除されていないアラームを表示し、対応します。
•
335 ページの「アラーム レポート キューを管理する」
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上
のレポートをキャンセルできます。
トリガーされたアラームの表示と確認
トリガーされ、削除されていないアラームを表示し、対応します。
開始する前に
•
アラーム ユーザー特権を持つアクセス グループに所属しているかどうかを管理者に確認します。
•
コンソールに [アラーム] ログ ペインが表示される設定になっているかどうか管理者に確認してく
ださい (「ユーザー設定の選択 268 ページの「」」を参照)。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
ESM の次のいずれかの場所で、トリガーされたアラームにアクセスします。
•
[アラーム] ログ ペイン - ダッシュボードの左下隅で、システム ナビゲーション ツリーの下にあります。
•
ビジュアル ポップアップ アラート — アラームがトリガーされると開きます。
•
2
[詳細] ページ - [アラーム] ログ ペインで [詳細] アイコン
をクリックすると開きます。
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
333
6
アラーム ワークフロー
アラームをモニタリングして対応する
処理
操作
アラームを承
認する
• 1 つのアラームを承認するには、承認するトリガーされたアラームの先頭列のチェックボッ
クスをクリックします。
• 複数のアラームを承認するには、アイテムを強調表示して、ビュー下部にある [アラームを承
認] アイコン
をクリックします。
承認されたアラームは [アラーム] ペインから削除されますが、[トリガーされたアラーム] ビ
ューには表示されたままです。
システムから
アラームを削
除する
•
アラームをフ
ィルタリング
する
•
アラームの割
り当て先を変
更する
1
削除するトリガー済みのアラームを選択して、[アラームを削除] アイコン
します。
をクリック
[フィルター] ペインにフィルターとして使用する情報を入力して、[更新] アイコン
クリックします。
[データの詳細を表示] アイコン
の詳細が表示されます。
を
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[割当先] をクリックして新しい割り当て先を選択します。
アラームのケ
ースを作成す
る
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[ケースを作成] をクリックして必要な項目を選択します。
アラームの詳
細を表示する
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択して、次のいずれかを行います。
• [トリガー イベント] タブをクリックして、選択したアラームをトリガーしたイベントを確
認します。 イベントをダブルクリックして、説明を表示します。
アラーム条件を満たしていないイベントが 1 つでも存在すると、[トリガーされたイベン
ト] タブが表示されない場合があります。
• [条件] タブをクリックして、イベントをトリガーした条件を確認します。
• [アクション] タブをクリックして、アラームの結果として行われたアクションとイベント
に割り当てられた ePolicy Orchestrator タグを確認します。
トリガーされ
たアラーム設
定を編集する
1
トリガーされたアラームをクリックしてから、[メニュー] アイコン
[アラームを編集] を選択します。
をクリックして
2 [アラーム設定] ページで変更を行い、[完了] をクリックします。
関連トピック:
335 ページの「アラーム レポート キューを管理する」
334
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームをモニタリングして対応する
6
アラーム レポート キューを管理する
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上のレポートを
キャンセルできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[設定] タブをクリックします。
4
実行待機中のレポートを表示するには、[表示] をクリックします。 ESM は最大 5 つのレポートを同時に実行し
ます。
•
アラームが生成したレポートを表示します。
•
特定のレポートの実行を停止するには、レポートを選択して [キャンセル] をクリックします。 残りのレポー
トはキューに移動します。
管理者またはマスター ユーザーの場合、このリストには ESM で実行待ちのすべてのレポートが表示され、任
意のレポートをキャンセルできます。
5
[ファイル] をクリックし、リスト内のレポートのダウンロード、アップロード、削除または更新を選択します。
6
[閉じる] をクリックします。
関連トピック:
333 ページの「トリガーされたアラームの表示と確認」
335 ページの「[レポートを表示] ページ」
336 ページの「[ファイル リスト] ページ」
[レポートを表示] ページ
現在実行中または実行待ちの生成済みレポートのキューを表示します。
表 6-1 オプションの定義
オプション
定義
テーブル
ESM によって生成された実行待ちのレポートを表示します。
[キャンセル] 選択したレポートを実行しない場合にクリックします。選択したレポートはキャンセルされ、残りの
レポートがキュー内で上に移動します。
関連トピック:
335 ページの「アラーム レポート キューを管理する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
335
6
アラーム ワークフロー
アラームを調整する
[ファイル リスト] ページ
ESM で生成されたレポートのリストを表示、管理します。
表 6-2 オプションの定義
オプション
定義
テーブル
生成されたレポート ファイルのリストを表示します。
[ダウンロード]
選択したレポートを別の場所に保存します。
[アップロード]
レポートをリストに追加します。
[削除]
リストからレポートを削除します。
[更新]
リストを更新して変更内容を反映します。
関連トピック:
335 ページの「アラーム レポート キューを管理する」
アラームを調整する
アラームを見直し、組織の要件に合わせて調整します。
以下のタスクを参照して、アラームの調整方法を確認してください。 以下のタスクでは、特定のアラートの作成方法
を説明します。
タスク
336
•
337 ページの「UCAPL アラームを作成する」
統合機能認定製品リスト (UCAPL) 要件を満たすアラームを作成します。
•
339 ページの「正常性モニター イベント アラームを追加する」
正常性モニター イベントに基づいてアラームを作成します。これにより、[正常性モニター イベント サ
マリー] レポートを生成できます。
•
346 ページの「フィールドの一致アラームを追加する」
[フィールドの一致] アラームは、イベントの複数のフィールドで使用できます。デバイスがイベントを
受信して解析するとトリガーされます。
•
348 ページの「トリガーされたアラームとケースのサマリーをカスタマイズする」
[フィールド一致] アラームと [内部イベントの比較] アラームのアラーム サマリーとケース サマリー
に追加するデータを選択します。
•
348 ページの「ルールにアラームを追加する」
特定のルールによってイベントが生成された場合に通知を受けるために、それらのルールにアラームを
追加することができます。
•
349 ページの「アラーム アクションとして SNMP トラップを作成する」
アラーム アクションとして SNMP トラップを送信します。
•
350 ページの「電源障害通知アラームを追加する」
ESM のいずれかの電源で障害が発生した場合に通知するようにアラームを追加します。
•
350 ページの「同期されていないデータ ソースを管理する」
非同期のデータソースがイベントを生成したときに警告するようにアラームをセットアップします。こ
れにより、データソースのリストを確認して設定を編集したり、リストをエクスポートできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
UCAPL アラームを作成する
統合機能認定製品リスト (UCAPL) 要件を満たすアラームを作成します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
アラームを作成する 328 ページの「」手順を確認してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
•
適用するアラーム タイプをセットアップします。
アラーム タイプ
説明
調整可能なログオ
ン失敗しきい値に
到達
同じユーザーのログオン失敗回数が調整可能なしきい値に達したときにアラームをトリガ
ーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-36 の値を入力します。
非アクティブのし
きい値に到達
非アクティブしきい値に達してユーザー アカウントがロックされた場合にアラームをト
リガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-35 の値を入力します。
許可されている同
時セッション数に
到達
許可された同時セッション数に達した後にユーザーがシステムへのログオンを試みた場合
にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-37 の値を入力します。
システム ファイル
整合性チェックの
失敗
システム ファイルの整合性検査に失敗した場合にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-50085 の値を入力します。
証明書の有効期限
が切れる
共通アクセス カード設定 (CAC) や Web サーバー証明書が間もなく期限切れになる場合
にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-50081、306-50082、306-50083、306-50084 の値を入力します。
アラームは証明書が期限切れになる 60 日前にトリガーされ、以降は毎週トリガーされま
す。 日数は変更できません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
337
6
アラーム ワークフロー
アラームを調整する
アラーム タイプ
説明
システムの状態が
システムが承認済みまたはセキュアな状態で動作していないことが検出された場合にトラ
承認されない場合
ップが NMS に送信されるように、SNMP トラップを設定します。
に SNMP トラップ
1 任意の条件でアラームの一致を作成し、[アクション] タブで [メッセージを送信] を選
を送信
択します。
2 [受信者を追加] 、 [SNMP] の順にクリックして受信者を選択し、[OK] をクリックしま
す。
3 [メッセージを送信] フィールドで [設定] をクリックし、[テンプレート]、[追加] の順
にクリックします。
4 [タイプ] フィールドで [SNMP テンプレート] を選択し、メッセージのテキストを入力
して [OK] をクリックします。
5 [テンプレート管理] ページで新しいテンプレートを選択し、[OK] をクリックします。
6 その他のアラーム設定を完了します。
システムの状態が
承認されない場合
に Syslog メッセ
ージを送信
システムが承認済みまたはセキュアな状態で動作していないことが検出された場合に
Syslog メッセージが NMS に送信されるように、Syslog メッセージを設定します。
1 任意の条件と比較するアラームを作成し、[アクション] タブで [メッセージを送信] を
選択します。
2 [受信者を追加] 、 [Syslog] の順にクリックして受信者を選択し、[OK] をクリックし
ます。
3 [メッセージを送信] フィールドで [設定] をクリックし、[テンプレート]、[追加] の順
にクリックします。
4 [タイプ] フィールドで [Syslog テンプレート] を選択し、メッセージのテキストを入力
して [OK] をクリックします。
5 [テンプレート管理] ページで新しいテンプレートを選択し、[OK] をクリックします。
6 その他のアラーム設定を完了します。
セキュリティ ログ
に必要なイベント
が記録されない
セキュリティ ログに必要なイベントが記録されなかった場合に、適切なネットワーク運用
センター (NOC) に 30 秒以内に通知するように SNMP トラップを設定します。
1 [システムのプロパティ] 、 [SNMP の設定] 、 [SNMP トラップ] の順に移動します。
あるいは、[デバイスのプロパティ] 、 [デバイスの設定] 、 [SNMP] の順に移動しま
す。
2 セキュリティ ログ失敗トラップを選択し、送信先のトラップについて 1 つ以上のプロ
ファイルを設定して、[適用] をクリックします。
ESM が、「セキュリティ ログへの書き込みに失敗しました」というメッセージと一緒に
SNMP トラップを SNMP プロファイル受信者に送信します。
監査機能の起動ま
たはシャットダウ
ン
監査機能 (データベース、cpservice、IPSDBServer など) が起動またはシャットダウン
されたときに SNMP トラップを送信するように設定します。[SNMP トラップ] または
[SNMP 設定] にアクセスして [データベースの上/下トラップ] を選択します。 送信先の
トラップについて 1 つ以上のプロファイルを設定し、[適用] をクリックします。
管理役割別にセッ
ションが存在する
定義された管理者輪区割りごとに管理セッションが存在する場合にアラームをトリガーし
ます。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 監査管理者の場合には 306–38、暗号化管理者の場合には 306–39、パワー ユーザーの
場合には 306–40 を入力します。 別個のアラームを設定することもできます。
338
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
正常性モニター イベント アラームを追加する
正常性モニター イベントに基づいてアラームを作成します。これにより、[正常性モニター イベント サマリー] レポ
ートを生成できます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
使用可能な正常性モニターのシグネチャ ID339 ページの「」 を確認してください。
•
アラームを作成する 328 ページの「」手順を確認してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
正常性モニター イベントが生成される前にアラームをセットアップするには:
a
[内部イベントの比較] タイプを指定して、アラームの [条件] をセットアップします。
b
[フィールド] 行で、[シグネチャ ID] を選択します。
c
[値] フィールドで、正常性モニター ルールのシグネチャ ID を入力します。
d
アラームのその他の設定を入力します。
正常性モニター イベントが存在する場合にアラームをセットアップするには:
a
b
の基本デバイスをクリックし、正
システム ナビゲーション ツリーで、システム
常性モニター イベントを表示するビュー ([イベント分析] または [デフォルトのサマリー]) を選択します。
イベントをクリックし、[メニュー] アイコン
をクリックします。
c
[アクション] 、 [新しいアラームの作成元] の順に選択して、[シグネチャ ID] をクリックします。
d
アラームのその他の設定を入力します。
関連トピック:
339 ページの「正常性モニターのシグネチャ ID」
正常性モニターのシグネチャ ID
このリストでは、正常性モニター ルールとそのシグネチャ ID、デバイス、重大度を説明します。 これらのルールを
使用して、正常性モニター ルール イベントの発生を通知するアラームを作成します。
ルール名
シグネチャ
ID
物理ネットワーク インター 306-50080
フェース接続が確立または
削除されました
RAID エラーが発生しまし
た
306-50054
説明
種類
デバイス
重
大
度
SSH セッション経由でネットワー
ソフトウェ
ク インターフェースの設定が変更さ ア モニター
れました。
ESM
中
RAID エラーが発生しました。
すべて
高
ハードウェ
ア モニター
アクティブでないため、アカ 306-35
ウントが無効になりました
アクティブでないため、ユーザー ア ソフトウェ
ア モニター
カウントが無効になりました。
ESM
中
ログオン試行回数が最大数 306-36
に達したため、アカウントが
無効になりました
ログオン試行回数が最大数に達した ソフトウェ
ため、ユーザー アカウントが無効に ア モニター
なりました。
ESM
高
306-60
アラーム: リモート コマンドが追加 ソフトウェ
ア モニター
または削除されました。
ESM
低
製品ガイド
339
リモート コマンドの追加/
編集
McAfee Enterprise Security Manager 9.6.0
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
アドバンスド Syslog パー 306-50029
サー コレクターの状態変化
アラート
種類
デバイス
重
大
度
ASP パーサーが停止または開始しま ソフトウェ
ア モニター
した。
Receiver
中
APM ディスティラー プロ
セス
306-50066
ADM PDF/DOC テキスト抽出エン
ジンが停止または開始しました。
ソフトウェ
ア モニター
APM
中
設定の不一致が承認されま
した
146-7
ネットワーク検出デバイスの変更が
承認されました。
ソフトウェ
ア モニター
ESM
低
アーカイブ設定の変更
306-3
ESM アーカイブの設定が変更され
ました。
ソフトウェ
ア モニター
ESM
低
Receiver のアーカイブ プロセスが
停止または開始しました。
ソフトウェ
ア モニター
APM/REC/ 中
IPS/DBM
脆弱性イベントが作成されました。
ソフトウェ
ア モニター
ESM
低
UCAPL イベント、管理者ログオンの ソフトウェ
ア モニター
監査。
ESM
低
アーカイブ プロセスの状態 306-50051
変化アラート
脆弱な資産
146-10、
306-10
管理者ユーザー ログオンの 306-38
監査
340
説明
バックアップ設定の変更
306-1
ESM のバックアップ設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
低
バックアップの実行
306-2
システムでバックアップが実行され
ました。
ソフトウェ
ア モニター
ESM
低
中
Blue Martini パーサーのア 306-50071
ラート
Blue Martini パーサーが停止または ソフトウェ
ア モニター
開始しました。
Receiver
バイパス NIC の状態アラー 306-50001
ト
NIC のバイパス状態に入ったか、バ ソフトウェ
ア モニター
イパス状態を終了しました。
IPA/ADM/ 中
IPS
CA 証明書の期限切れ
306-50082
ESM CAC 証明書が期限切れになり
ました。
ソフトウェ
ア モニター
ESM
高
CA 証明書がまもなく期限
切れ
306-50081
ESM CAC 証明書がまもなく期限切
れになります。
ソフトウェ
ア モニター
ESM
中
ケースの変更
306-70
ケースが変更されました。
ソフトウェ
ア モニター
ESM
低
ケース ステータスの追加/
変更/削除
306-73
ケース ステータスが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
通信チャネルの状態変化ア
ラート
306-50013
制御チャネルが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
設定収集失敗 (デバイス エ
ラー)
146-4
ネットワーク検出デバイス エラー。 ソフトウェ
ア モニター
ESM
低
設定収集失敗 (デバイス接
続不能)
146-3
ネットワーク検出デバイスに接続で
きません。
ソフトウェ
ア モニター
ESM
低
設定収集
146-5
ネットワーク検出の設定が正常に確
認されました。
ソフトウェ
ア モニター
ESM
低
設定ポリシー失敗
146-8
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
設定ポリシー成功
146-9
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
データ割り振り設定の変更
306-7
ESM データ割り振り設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
高
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
データ パーティションの空 306-50005
きディスク領域アラート
説明
種類
デバイス
重
大
度
各パーティションの空き容量が少な ソフトウェ
くなっています (例: hada_hd の空 ア モニター
き容量が 10%)。
すべて
中
データ保存設定の変更
306-6
ESM データ保存設定が変更されま
した。
ソフトウェ
ア モニター
ESM
高
データベース検出サービス
の状態アラート
306-50036
DBM 自動検出サービスが停止また
は開始しました。
ソフトウェ
ア モニター
すべて
中
ディープ パケット インス
ペクターの状態変化アラー
ト
306-50008
IPS または ADM の詳細なパケット
検査エンジンが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
リモート コマンドの削除
306-61
アラーム: リモート コマンドが削除 ソフトウェ
ア モニター
されました。
ESM
低
イベントの削除
306-74
ユーザーが ESM イベントを削除し
ました。
ソフトウェ
ア モニター
ESM
低
フローの削除
306-75
ユーザーが ESM フローを削除しま
した。
ソフトウェ
ア モニター
ESM
低
デバイスの追加
306-18
新しいデバイスがシステムに追加さ
れました。
ソフトウェ
ア モニター
ESM
低
デバイスの削除
306-19
システムからデバイスが削除されま
した。
ソフトウェ
ア モニター
ESM
低
デバイス停止の可能性
146-2
デバイス停止の可能性を表すネット
ワーク検出イベント。
ソフトウェ
ア モニター
ESM
低
デバイス接続不能
146-1
ESM に追加されたネットワーク検
出デバイスに接続できません。
ソフトウェ
ア モニター
ESM
低
ディスク ドライブ エラー
アラート
306-50018
すべてのハードディスク (内部また
は DAS) の整合性を検査します。
ハードウェ
ア モニター
すべて
高
ELM アーカイブ プロセス
の状態変化アラート
306-50045
ELM 圧縮エンジンが停止または開始 ソフトウェ
ア モニター
しました。
APM/REC/ 中
IPS/DBM
ELM EDS FTP
306-50074
ELM SFTP プログラムが停止または ソフトウェ
ア モニター
開始しました。
ELM
中
ELM ファイル プロセス
306-50065
ELM 再挿入エンジンが停止または開 ソフトウェ
ア モニター
始しました。
ELM
中
何らかの理由でログに失敗すると、
再度挿入を試みます。 再挿入プロセ
スに失敗すると、このルールがトリ
ガーされます。
ELM マウント ポイントの
状態変化アラート
306-50053
ELM リモート ストレージ (CIFS、 ソフトウェ
NFS、ISCSI、SAN) が停止または開 ア モニター
始しました。
ELM
中
ELM クエリー エンジンの
状態変化アラート
306-50046
ELM ジョブ プロセス - ELM クエ ソフトウェ
リー、挿入などの ELM ジョブが停止 ア モニター
または開始しました。
ELM
中
ELM 冗長ストレージ
306-50063
ELM ミラーが停止または開始しまし ソフトウェ
ア モニター
た。
ELM
中
ELM システムのデータベー 306-50044
ス エラー
ELM ミラーが停止または開始しまし ソフトウェ
ア モニター
た。
ELM
高
製品ガイド
341
McAfee Enterprise Security Manager 9.6.0
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
電子メール コレクターの状 306-50040
態変化アラート
種類
デバイス
重
大
度
Cisco MARS コレクターが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
低
EPO タグの適用
306-28
McAfee ePO タグが適用されまし
た。
ソフトウェ
ア モニター
ESM
ELM との通信エラー
306-50047
ELM との通信に失敗しました。
ソフトウェ
ア モニター
APM/REC/ 高
IPS/DBM
SSH 通信でエラーが発生し 306-50077
ました
デバイスで問題 (バージョンの相違、 ソフトウェ
キーの変更など) が発生しました。 ア モニター
すべて
高
ESM の再起動
306-32
ESM が再起動しました。
ソフトウェ
ア モニター
ESM
中
ESM のシャットダウン
306-33
ESM がシャットダウンしました。
ソフトウェ
ア モニター
ESM
中
eStreamer コレクターの
アラート
306-50070
eStreamer コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
eStreamer コレクターの
状態変化アラート
306-50041
eStreamer コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
パーティション除去イベン
ト
306-4
パーティションが除去されました。
ソフトウェ
ア モニター
ESM
低
リモート コマンドを実行
306-62
アラーム: リモート コマンドが実行 ソフトウェ
ア モニター
されました。
ESM
低
セッションの同時接続数に 306-37
達したため、ログオンに失敗
しました
セッションの同時接続数に達したた ソフトウェ
め、ユーザーがログオンできません。 ア モニター
ESM
高
SAN デバイスをフォーマッ 306-50057
トできませんでした
ELM の SAN をフォーマットできま ハードウェ
せん。ユーザーが再試行する必要が ア モニター
あります。
ESM
高
ユーザーがログオンに失敗しまし
た。
ESM
中
マウントコレクター プログラムが停 ソフトウェ
ア モニター
止または開始しました。
Receiver
中
ESM ログや音声ファイルなど、追加 ソフトウェ
または削除可能なファイルが削除さ ア モニター
れました。
ESM
低
フィルター プロセスの状態 306-50050
変化アラート
デバイスのフィルター プログラムが ソフトウェ
停止または開始しました (フィルタ ア モニター
ー ルール)。
Receiver
中
ファイアウォール アラート 306-50009
アグリゲーターの状態変化
アラート
IPS または ADM のファイアウォー ソフトウェ
ル アグリゲーターが停止または開始 ア モニター
しました。
IPS/ADM/ 中
IPS
ユーザー ログオン失敗
306-31
ファイル コレクターの状態 306-50049
変化アラート
ファイルの削除
342
説明
306-50
ソフトウェ
ア モニター
パーティション除去フロー
306-5
パーティションが除去されました。
ソフトウェ
ア モニター
ESM
低
VA データ取得失敗
306-52
ESM が VA データの取得に失敗し
ました。
ソフトウェ
ア モニター
ESM
中
VA データ取得成功
306-51
ESM が VA データを取得しました。 ソフトウェ
ア モニター
ESM
低
正常性モニターの内部アラ
ート
306-50027
正常性モニター プロセスが停止また ソフトウェ
ア モニター
は開始しました。
すべて
中
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
HTTP コレクターの状態変
化アラート
306-50039
HTTP コレクターが停止または開始
しました。
ソフトウェ
ア モニター
Receiver
中
インデックス設定の変更
306-8
ESM インデックスの設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
中
無効な SSH キー
306-50075
デバイスと ELM と通信で問題 (バ
ソフトウェ
ージョンの相違、キーの変更など) が ア モニター
発生しました。
すべて
高
IPFIX コレクターの状態変
化アラート
306-50055
IPFIX (フロー) コレクターが停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
管理者のログオンで使用さ
れたキーと証明書
306-39
UCAPL イベント、管理者ログオンの ソフトウェ
ア モニター
暗号化。
ESM
低
ログ パーティションのロー 306-34
ルオフ
データベース ログ テーブルで最も
古いパーティションがロールオフし
ました。
ソフトウェ
ア モニター
ESM
低
ログ パーティションの空き 306-50004
ディスク領域アラート
ログ パーティション (/var) の空き
容量が少なくなっています。
ソフトウェ
ア モニター
すべて
中
McAfee EDB データベース 306-50010
サーバーの状態変化アラー
ト
データベースが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
McAfee ePO コレクターの 306-50069
アラート
McAfee ePO コレクターが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
McAfee Event Format の
状態変化アラート
306-50031
McAfee Event Format コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
McAfee SIEM デバイス通
信エラー
306-26
ESM が別のデバイスと通信できま
せん。
ソフトウェ
ア モニター
ESM
高
Microsoft Forefront
Threat Management
Gateway のアラート
306-50068
Forefront Threat Management
Gateway コレクターが停止または
開始しました。
ソフトウェ
ア モニター
Receiver
中
Microsoft SQL コレクターが停止ま ソフトウェ
たは開始しました (Microsoft SQL ア モニター
の場合、任意のデータソース)。
Receiver
中
MS-SQL 取得ツールの状態 306-50035
変化アラート
マルチイベント ログ アラ
ート
306-50062
jEMAIL コレクターが停止または開
始しました。
ソフトウェ
ア モニター
Receiver
中
MVM スキャンの開始
306-27
MVM スキャンが開始しました。
ソフトウェ
ア モニター
ESM
低
NetFlow コレクターの状態 306-50024
変化アラート
NetFlow (フロー) コレクターが停
止または開始しました。
ソフトウェ
ア モニター
Receiver
中
新しいユーザー アカウント 306-13
新しいユーザーがシステムに追加さ
れました。
ソフトウェ
ア モニター
ESM
低
NFS/CIFS コレクターの状
態変化アラート
306-50048
NFS または CIFS のリモート マウ
ントが停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
NitroFlow コレクターの状
態変化アラート
306-50026
NitroFlow (デバイス上のフロー) が ソフトウェ
ア モニター
停止または開始しました。
Receiver
中
SSH キーが見つかりません 306-50076
でした
デバイスと ELM と通信で問題 (バ
ソフトウェ
ージョンの相違、キーの変更など) が ア モニター
発生しました。
すべて
高
NSM ブラックリストのエントリが
追加または編集されました。
ESM
低
製品ガイド
343
NSM ブラックリストの追
加/編集
306-29
McAfee Enterprise Security Manager 9.6.0
ソフトウェ
ア モニター
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
NSM ブラックリストの削
除
306-30
NSM ブラックリストのエントリが
削除されました。
ソフトウェ
ア モニター
ESM
低
OPSEC 取得ツールの状態
変化アラート
306-50028
OPSEC (Check Point) コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
OPSEC 取得ツールの状態
変化アラート
306-50034
OPSEC (Check Point) コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
Oracle IDM コレクターの
アラート
306-50072
Oracle IDM コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
オーバーサブスクリプショ
ンのアラート
306-50012
ADM または IPS がオーバーサブス ソフトウェ
クリプション モードに入ったか、モ ア モニター
ードを終了しました。
IPS/ADM/ 中
IPS
プラグイン コレクター/パーサーが
停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
プラグインのコレクター/パ 306-50073
ーサーのアラート
ポリシーの追加
306-15
システムにポリシーが追加されまし
た。
ソフトウェ
ア モニター
ESM
低
ポリシーの削除
306-17
ポリシーがシステムから削除されま
した。
ソフトウェ
ア モニター
ESM
低
ポリシーの変更
306-16
システムでポリシーが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
前の設定との不一致
146-6
ネットワーク検出デバイスの設定が
変更されました。
ソフトウェ
ア モニター
ESM
低
Receiver HA
306-50058
HA プロセス (Corosync、HA 制御
スクリプト) が停止または開始しま
した。
ソフトウェ
ア モニター
Receiver
中
Receiver HA OPSEC の設
定
306-50059
使用されていません。
ソフトウェ
ア モニター
Receiver
低
冗長 ESM の非同期
306-76
冗長 ESM が同期されていません。
ソフトウェ
ア モニター
ESM
高
リモート NFS マウント ポ
イントの状態変化アラート
306-50020
NFS ELM マウントが停止または開
始しました。
ソフトウェ
ア モニター
ELM
中
リモート共有/マウント ポ
イントの空きディスク領域
アラート
306-50021
リモート マウント ポイントの空き
容量が少なくなっています。
ソフトウェ
ア モニター
ESM
中
リモート SMB/CIFS 共有
の状態変化アラート
306-50019
リモート SMB/CIFS マウント ポイ
ントが停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
リスク相関状態変更アラー
ト
306-50061
リスク相関エンジンが停止または開
始しました。
ソフトウェ
ア モニター
ACE
中
ルート パーティションの空き容量が ソフトウェ
ア モニター
少なくなっています。
すべて
中
ルート パーティションの空 307-50002
きディスク領域アラート
344
ルールの追加
306-20
システムにルール (ASP、フィルタ
ー、相関など) が追加されました。
ソフトウェ
ア モニター
ESM
低
ルールの削除
306-22
ルールがシステムから削除されまし
た。
ソフトウェ
ア モニター
ESM
低
ルールの変更
306-21
システムでルールが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
ルール更新エラー
306-9
ESM ルールの更新に失敗しました。 ソフトウェ
ア モニター
ESM
中
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
SDEE 取得ツールの状態変
化アラート
306-50033
SDEE コレクターが停止または開始
しました。
ソフトウェ
ア モニター
Receiver
中
sFlow コレクターの状態変
化アラート
306-50025
sFlow (フロー) コレクターが停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
SNMP コレクターの状態変
化アラート
306-50023
SNMP コレクターが停止または開始 ソフトウェ
ア モニター
しました。
Receiver
中
SQL コレクターの状態変化 306-50038
アラート
SQL コレクター (旧 NFX) が停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
Symantec AV コレクター
の状態変化アラート
306-50056
Symantec MARS コレクターが停
止または開始しました。
ソフトウェ
ア モニター
Receiver
中
Syslog コレクターの状態
変化アラート
306-50037
Syslog コレクターが停止または開
始しました。
ソフトウェ
ア モニター
Receiver
中
システム管理者のログオン
306-40
システム管理者がシステムにログオ
ンしました。
ソフトウェ
ア モニター
ESM
低
システムの整合性チェック
が失敗しました
306-50085
ISO 以外の外部プログラムまたはプ ソフトウェ
ロセスがシステムで実行されていま ア モニター
す。これらのプログラム/プロセスに
フラグが設定されました。
すべて
高
システム ロギング プロセスが停止
または開始しました。
すべて
中
システム ロガーの状態変化 306-50014
アラート
ソフトウェ
ア モニター
タスク (クエリー) の終了
306-54
タスク マネージャーのタスクが終了 ソフトウェ
ア モニター
しました。
ESM
低
一時パーティションの空き
ディスク領域アラート
306-50003
一時パーティション (/tmp) の空き
容量が少なくなっています。
ソフトウェ
ア モニター
すべて
中
テキスト ログ パーサーの
状態変化アラート
306-50052
テキスト パーサー プロセスが停止
または開始しました。
ソフトウェ
ア モニター
Receiver
中
ユーザー アカウントの変更 306-14
ユーザー アカウントが変更されまし ソフトウェ
ア モニター
た。
ESM
低
ユーザー デバイスのログオ 306-50079
ン失敗
SSH ユーザーがログオンに失敗し
ました。
ソフトウェ
ア モニター
ESM
低
ユーザー デバイス ログオ
ン
306-50017
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
ユーザー デバイス ログア
ウト
306-50078
SSH ユーザーがログアウトしまし
た。
ソフトウェ
ア モニター
ESM
低
ユーザー ログオン
306-11
ユーザーがシステムにログオンしま
した。
ソフトウェ
ア モニター
ESM
低
ユーザー ログアウト
306-12
ユーザーがシステムからログアウト
しました。
ソフトウェ
ア モニター
ESM
低
VA データ エンジンのステ
ータス アラート
306-50043
VA (vaded.pl) エンジンが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
変数の追加
306-23
ポリシー変数が追加されました。
ソフトウェ
ア モニター
ESM
低
変数の削除
306-25
ポリシー変数が削除されました。
ソフトウェ
ア モニター
ESM
低
変数の変更
306-24
ポリシー変数が変更されました。
ソフトウェ
ア モニター
ESM
低
製品ガイド
345
McAfee Enterprise Security Manager 9.6.0
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
Web サーバー証明書の期限 306-50084
切れ
ESM Web サーバー証明書が期限切
れになりました。
ソフトウェ
ア モニター
ESM
高
Web サーバー証明書がまも 306-50083
なく期限切れ
ESM Web サーバー証明書がまもな
く期限切れになります。
ソフトウェ
ア モニター
ESM
中
Websense コレクターのア 306-50067
ラート
Websense コレクターが停止または ソフトウェ
ア モニター
開始しました。
Receiver
中
WMI イベント ログ コレク 306-50030
ターの状態変化アラート
WMI コレクターが停止または開始
しました。
Receiver
中
ソフトウェ
ア モニター
関連トピック:
339 ページの「正常性モニター イベント アラームを追加する」
フィールドの一致アラームを追加する
[フィールドの一致] アラームは、イベントの複数のフィールドで使用できます。デバイスがイベントを受信して解析
するとトリガーされます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
論理要素347 ページの「」の使用方法を確認してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[追加] をクリックしてアラーム名を入力し、割り当て先を選択して [条件] タブをクリックします。
4
[タイプ] フィールドで、[フィールドの一致] を選択してアラームの条件を設定します。
a
ドラッグ アンド ドロップで [AND] または [OR] を移動し、アラーム条件の論理を設定します。
b
ドラッグ アンド ドロップで [一致コンポーネント] アイコンを論理要素の上に移動し、[フィルター フィール
ドを追加] ページに情報を入力します。
c
[条件トリガーの最大頻度] フィールドで、大量の通知が発生しないように各条件間で許容する時間を選択しま
す。 各トリガーには、トリガー条件に一致する最初のソース イベントだけが含まれます。トリガー頻度期間
内に発生したイベントは含まれません。 トリガー条件に一致する新しいイベントが発生しても、トリガー頻
度の最大期間が終わるまでアラームはトリガーされません。
間隔を 0 に設定すると、条件に一致するイベントが発生するたびにアラームがトリガーされます。 頻度の高いア
ラームの場合、間隔を 0 にすると大量のアラームが発生する可能性があります。
5
346
[次へ] をクリックし、このアラームで監視するデバイスを選択します。 このアラーム タイプは、Receiver、ロ
ーカルの Receiver-Enterprise Log Manager (ELM)、Receiver/ELM の組み合わせ、ACE、Application Data
Monitor (ADM) に使用できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームを調整する
6
[アクション] タブと [エスカレート] タブで設定を定義します。
7
[完了] をクリックします。
6
アラームがデバイスに書き込まれます。
アラームの書き込みに失敗すると、システム ナビゲーション ツリーでデバイスの横に非同期フラグが表示されます。
フラグをクリックして、[アラームの同期] をクリックします。
関連トピック:
348 ページの「トリガーされたアラームとケースのサマリーをカスタマイズする」
347 ページの「論理要素」
347 ページの「[論理要素を編集] ページ」
[論理要素を編集] ページ
論理要素の設定を編集します。
表 6-3 オプションの定義
オプション
定義
ラジオ ボタン
論理要素タイプを変更します。複数レイヤーの論理要素が含まれるルールまたはコンポーネン
トがあり、論理ダイアグラムの開始部分のいずれかの要素が異なるタイプであるべきだと認識し
ているときに役立ちます。
[条件]
2 つ以上の条件について、[SET] で満たす必要のある条件の数を選択します。
[シーケンス]
トリガーするルールについて、[相関ロジック] フィールドで設定した順序で AND または SET
論理要素の条件が発生するようにしたい場合に、これを選択します。
[しきい値]
トリガーするルールについて、条件が発生する回数を設定します。
[時間ウィンドウ] トリガーするルールについて、しきい値が発生する時間制限を設定します。
関連トピック:
346 ページの「フィールドの一致アラームを追加する」
論理要素
Application Data Monitor (ADM)、データベース、相関ルールまたはコンポーネントを追加するときに、[式のロジ
ック] または [相関ロジック] を使用してルールのフレームワークを作成します。
要素
説明
AND コンピューター言語の論理演算子と同じように機能します。条件を true にするには、この論理要素
の下でグループ化されるものがすべて true になっている必要があります。この論理要素の下ですべ
ての条件が満たされてからルールがトリガーされるようにするには、このオプションを使用します。
OR
コンピューター言語の論理演算子と同じように機能します。この条件を true にするには、この要素
の下でグループ化される条件のうち 1 つのみが true である必要があります。1 つのみの条件が満た
されてからルールがトリガーされるようにするには、この要素を使用します。
SET 相関ルールまたはコンポーネントの場合、SET を使用すると条件を定義し、true の場合にルールをト
リガーする条件の数を選択できます。 たとえば、セット内に 3 つの条件があり、ルールのトリガー
にこの中の 2 つの条件を満たす必要がある場合、セットは 2/3 となります。
これらの要素ごとに、以下のオプションうち 2 つ以上が含まれたメニューがあります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
347
6
アラーム ワークフロー
アラームを調整する
•
[編集] — デフォルト設定を編集できます (『論理要素のデフォルト設定を編集する』を参照)。
•
[論理要素を削除] — 選択した論理要素を削除できます。 子がある場合には論理要素は削除されず、階層の上位
に移動します。
これはルート要素 (階層内の最初の要素) には適用されません。 ルート要素を削除すると、すべての子も削除され
ます。
•
[論理要素とそのすべての子を削除] — 選択した要素とすべての子を階層から削除できます。
ルールのロジックを設定する場合は、コンポーネントを追加して、ルールの条件を定義する必要があります。相関ル
ールの場合は、実行されたルールまたはコンポーネントの動作を制御するパラメータを追加することもできます。
関連トピック:
346 ページの「フィールドの一致アラームを追加する」
506 ページの「論理要素を編集」
トリガーされたアラームとケースのサマリーをカスタマイズする
[フィールド一致] アラームと [内部イベントの比較] アラームのアラーム サマリーとケース サマリーに追加するデ
ータを選択します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックして、[追加] をクリックします。
3
[条件] タブで、[フィールド一致] または [内部イベントの比較] を選択します。
4
5
6
[アクション] タブで [次のケースを作成] をクリックして、変数アイコン
ーに追加するフィールドを選択します。
をクリックします。ケース サマリ
[トリガーされたアラームのサマリーをカスタマイズする] をクリックして変数アイコン
ガーされたアラームのサマリーに追加するフィールドを選択します。
をクリックし、トリ
アラームの作成に必要な情報を入力して、[完了] をクリックします。
関連トピック:
346 ページの「フィールドの一致アラームを追加する」
ルールにアラームを追加する
特定のルールによってイベントが生成された場合に通知を受けるために、それらのルールにアラームを追加すること
ができます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
348
McAfee Enterprise Security Manager 9.6.0
製品ガイド
6
アラーム ワークフロー
アラームを調整する
タスク
1
システムのナビゲーション ツリーで、アクション ツールバーの [ポリシーエディター] アイコン
します。
2
[ルール タイプ] ペインで、ルールのタイプを選択します。
3
ルール表示領域で 1 つ以上のルールを選択します。
4
5
[アラーム] アイコン
をクリック
をクリックします。
アラームを作成します。
アラーム アクションとして SNMP トラップを作成する
アラーム アクションとして SNMP トラップを送信します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合のみ必要)。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
SNMP プロファイルを作成して、SNMP トラップの送信先を ESM に通知します。
a
2
3
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
b
[プロファイル管理] をクリックして、[プロファイル タイプ] フィールドで [SNMP トラップ] を選択します。
c
残りのフィールドを入力して、[適用] をクリックします。
ESM で SNMP を設定します。
a
[システム プロパティ] で [SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
b
ポートを選択して、送信するトラップのタイプを選択します。手順 1 で追加したプロファイルを選択します。
c
[適用] をクリックします。
アラームのアクションに [SNMP トラップ] を定義します。
a
[システム プロパティ] で [アラーム] をクリックし、[追加] をクリックします。
b
Fill in the information requested on the [サマリー]、[条件]、[デバイス] の各タブで必要な情報を入力し
ます。条件タイプに [内部イベントの比較] を選択し、[アクション] タブをクリックします。
c
[メッセージを送信] を選択して [設定] をクリックし、SNMP メッセージのテンプレートを選択または作成し
ます。
d
[SNMP] フィールドで [基本的な SNMP テンプレート] を選択します。あるいは、[テンプレート] をクリッ
クして既存のテンプレートを選択するか、[追加] をクリックして新しいテンプレートを定義します。
e
[アラーム設定] ページに戻り、アラームのセットアップに続けます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
349
6
アラーム ワークフロー
アラームを調整する
電源障害通知アラームを追加する
ESM のいずれかの電源で障害が発生した場合に通知するようにアラームを追加します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
電源障害通知の SNMP トラップを設定する 252 ページの「」
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[追加] をクリックし、必要なデータを [サマリー] タブに入力して [条件] タブをクリックします。
4
[タイプ] フィールドで [内部イベントの比較] を選択します。
5
[フィールド] フィールドで [シグネチャ ID] を選択し、[値] フィールドに 306-50086 を入力します。
6
それぞれのタブで必要に応じて残りの情報を入力し、[完了] をクリックします。
電源装置に障害が発生すると、アラームがトリガーされます。
同期されていないデータ ソースを管理する
非同期のデータソースがイベントを生成したときに警告するようにアラームをセットアップします。これにより、デ
ータソースのリストを確認して設定を編集したり、リストをエクスポートできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
この診断ツールは、データソースがイベントを収集する時間を識別します。これにより、Receiver に赤いフラグが
表示される場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
350
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
ESM と同期していないデータソースが生成したイベントを Receiver が受信したときに通知するようにアラー
ムを設定します。
a
[アラーム] 、 [追加]の順にクリックして、[サマリー] タブに必要な情報を入力し、[条件] タブをクリックし
ます。
b
[タイプ] フィールドで [イベント デルタ] を選択して、ESM が非同期データ ソースを確認する頻度を選択
し、アラームをトリガーする時間差を選択します。
c
残りのタブで情報を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
アラーム ワークフロー
アラームを調整する
3
6
同期していないデータソースの表示、編集、エクスポートを行います。
a
システム ナビゲーション ツリーで Receiver を選択し、[プロパティ] アイコンをクリックします。
b
[Receiver の管理] をクリックして [時間差] をクリックします。
関連トピック:
351 ページの「同期されていないデータ ソース」
351 ページの「[時間差] ページ」
同期されていないデータ ソース
いくつかの設定を行うと、データ ソースの時間が ESM と同期しなくなる場合があります。 同期されていないデー
タ ソースがイベントを生成すると、システム ナビゲーション ツリーの Receiver の横に赤いフラグが表示されま
す。
この状況の発生を通知するようにアラームを設定できます。 [時間差] ページにアクセスすると、同期されていない
データ ソースを管理できます (『同期されていないデータ ソースを管理する』を参照)。
同期されていないイベントは、古いイベントの場合もあれば、新しいイベントの場合もあります。
データ ソースが ESM と同期していない場合、いくつかの理由が考えられます。
1
ESM でタイムゾーンが正しく設定されていない
(『ユーザー設定を選択する』を参照)。
4
システムを意図的にこのような設定にしている。
2
データ ソースの追加時に待ちあったゾーンを設
定した (『データ ソースを追加する』を参照)。
5
システムがインターネットに接続していない。
3
システムが長時間稼動し、タイミングがずれてい
る。
6
Receiver での受信時にイベントが同期されてい
ない。
関連トピック:
350 ページの「同期されていないデータ ソースを管理する」
[時間差] ページ
イベントの発生時間と最終時間が設定した間隔よりも離れたイベントを生成するデータ ソースを管理します。 [イ
ベント デルタ] アラームを追加するときに設定した頻度でイベントが検査されます。
表 6-4 オプションの定義
オプション
定義
テーブル
データ ソース、データ ソースの IP アドレス、ホスト名、タイプ、イベントの時間差が表示され
ます。
[編集]
選択したデータ ソースの [データ ソースの編集] ページを開きます。 データ ソースが正しい時
間のイベントを生成するように、タイムゾーンの設定を変更できます。
[エクスポート] テーブル形式にリストをエクスポートします。
[更新]
テーブルの情報を更新して、最近の変更を反映させます。
[間隔]
データベース イベントの分析間隔を指定します。
関連トピック:
350 ページの「同期されていないデータ ソースを管理する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
351
6
アラーム ワークフロー
アラームを調整する
352
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM では、数十億のイベントとフローの識別、収集、処理、相関分析、保存を行うことができます。これらの情報
は、クエリー、フォレンジック、ルールの検証、コンプライアンスで使用できます。
目次
イベント、フロー、ログ
レポートの管理
contains フィルターと regex フィルターの説明
ESM ビューの操作
カスタム タイプ フィルター
McAfee Active Response 検索
イベント時間を表示する
®
イベント、フロー、ログ
イベント、フロー、ログ には、デバイスで発生した様々なアクティビティが記録されます。
イベントは、システムのルールの結果としてデバイスが記録するアクティビティです。 フローは IP 間の接続のレコ
ードであり、少なくとも 1 つが HOME_NET 上にあります。 ログは、システムのデバイスに発生したイベントのレ
コードです。 イベントとフローには、ソースおよび宛先 IP アドレス、ポート、MAC アドレス、プロトコル、最初
および最後の時刻 (接続の開始から終了までの時間) が含まれます。 ただし、イベントとフローには以下の相違点が
あります。
•
フローは異常なトラフィックまたは悪意のあるトラフィックを示すものではないため、イベントよりも多くなり
ます。
•
フローは、イベントとは異なり、ルール シグネチャ (SigID) と関連付けられません。
•
フローは、アラート、ドロップ、拒否などのイベント アクションと関連付けられません。
•
特定のデータは、ソースおよび宛先バイト、ソースおよび宛先パケットを含み、フローに一意です。ソースのバ
イトとパケットはフローのソースが送信するバイトとパケットの数であり、宛先のバイトとパケットはフローの
宛先が受信するバイトとパケットの数です。
•
フローには方向があります。インバウンド フローは、HOME_NET の外側から流れるフローです。 アウトバウン
ド フローは、HOME_NET の内部から送信されるフローです。 この変数は、Nitro IPS のポリシーで定義されま
す。
システムにより生成されるイベントとフローはビューに表示され、ビュー ドロップダウン リストで選択できます。
ログは、システムまたは各デバイスの [プロパティ] ページからアクセスする [システム ログ] または [デバイス ロ
グ] に一覧表示されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
353
7
イベントの操作
イベント、フロー、ログ
関連トピック:
354
355
356
357
358
359
ページの「イベント、フロー、ログのダウンロードを設定する」
ページの「データの収集時間を制限する」
ページの「非アクティブのしきい値設定の定義」
ページの「イベントとフローを取得する」
ページの「イベントのチェック、フロー、ログ」
ページの「位置情報と ASN 設定を定義」
イベント、フロー、ログのダウンロードを設定する
イベント、フロー、ログを手動で確認するか、自動的に確認するようにデバイスを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント、フロー、ログ]、[イベントとログ] または [ログ] をクリックします。
3
ダウンロードを設定し、[適用] をクリックします。
をクリックします。
関連トピック:
353
355
356
357
358
359
354
ページの「イベント、フロー、ログ」
ページの「データの収集時間を制限する」
ページの「非アクティブのしきい値設定の定義」
ページの「イベントとフローを取得する」
ページの「イベントのチェック、フロー、ログ」
ページの「位置情報と ASN 設定を定義」
ページの「[イベント、フロー、ログ] ページ」
[イベント、フロー、ログ] ページ
イベント、フロー、ログのダウンロード設定を定義します。 IPS、ADM、Receiver デバイスにはイベント、フロー、
ログがあり、ACE、DEM デバイスにはイベントとログがあります。また、DESM デバイスにはイベントがあり、ELM
デバイスにはログがあります。 このページで使用できるオプションは、選択したデバイスによって異なります。
表 7-1 オプションの定義
オプション
定義
[ルールの自動更新]
ESM によってルール サーバーからルールが自動的にダウンロードされた場合に、ダウンロ
ードされたルールをデバイスにロールアウトするには、このオプションを選択します。
[自動ダウンロード]
ESM がイベント、フロー、またはログを自動的に確認できるようにする場合に選択します。
[取得]
ESM がイベント、フロー、またはログを直ちに確認できるようにする場合にクリックしま
す。これらのジョブのステータスを確認する方法については、『イベントとフローを取得す
る』を参照してください。
[毎日データ プルを実 ESM が毎日各デバイスからデータを取得し、各デバイスから ELM にデータを送信する時
行する時間の範囲を
間の範囲を設定します (『データの収集時間を制限する』を参照)。
定義する]
この機能を使用する場合には十分に注意してくださ。イベント、フロー、ログ収集のスケジ
ュールを設定すると、ログ相関のデータが失われる可能性があります。
[脆弱性のイベントを
生成]
354
システムに追加された脆弱性評価ソース データに一致するイベント (『脆弱性評価を使用
する』を参照) が脆弱性イベントになり、ローカル ESM でアラートが生成されるようにす
る場合に選択します。 [ポリシー エディター] のポリシー プロパティは、これら各イベン
トについて同一であり、変更できません (たとえば重大度が常に 100 になるなど)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント、フロー、ログ
7
表 7-1 オプションの定義 (続き)
オプション
定義
[前回のイベント ダウ 前回のイベントまたはフローがデバイスから取得されたこと、プロセスが正常に実行された
かどうか、および取得されたイベント数またはフロー数を確認します。
ンロード プロセス]
または [前回のフロー
ダウンロード プロセ
ス]
[前回ダウンロードさ
れたイベント レコー
ド]、[前回ダウンロー
ドされた文字列レコ
ード]、または [前回ダ
ウンロードされたフ
ロー レコード]
前回取得されたイベント レコード、文字列レコード、またはフロー レコードの日付と時刻
を確認します。この値を変更することで、イベント、文字列、またはフローの取得を開始す
る日付と時刻を設定できます。たとえば、[前回ダウンロードされたイベント レコード] フ
ィールドに November 13, 2010 の 10:30:00 AM と入力し、[適用] をクリックして [イ
ベントを取得] をクリックすると、デバイス上で、ESM がその日付および時刻以降のすべ
てのイベントを取得します。
[データベース設定]
ESM でデータベース インデックス設定を管理する場合にクリックします。
[非アクティブの設定] ESM によって管理されている各デバイスについて、非アクティブのしきい値設定を表示し
て変更します(『非アクティブのしきい値設定を定義』を参照)。
[位置情報]
各デバイスの位置情報と ASN データが記録されるように ESM を設定します (『位置情報
と ASN 設定を定義』を参照)。
関連トピック:
354 ページの「イベント、フロー、ログのダウンロードを設定する」
360 ページの「イベントまたはフローを集計する」
データの収集時間を制限する
毎日実行する処理 (ESM が各デバイスからデータを取得する時間や各デバイスが ELM に送信する時間) に時間帯を
制限できます。
開始する前に
[動的集計] を無効にして、[レベル 1 の集計] に 240 秒から 360 秒までの値を設定します (『イベント
またはフローの集計設定を変更する』を参照)。
この機能を使用すると、ネットワークのピーク時間を避け、他のアプリケーションが使用できる帯域幅を確保するこ
とができます。 これにより、ESM と ELM へのデータ配信が遅延します。この遅延が許容範囲かどうか判断する必
要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
この機能を使用する場合には十分に注意してくださ。イベント、フロー、ログ収集のスケジュールを設定すると、ログ
相関のデータが失われる可能性があります。
1
2
3
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
をクリックします。
次のいずれかを選択します。
•
[イベント、フロー、ログ]
•
[イベントとログ]
•
[ログ]
[毎日データ プルを実行する時間の範囲を定義する] を選択して、時間枠の開始時間と数量時間を設定します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
355
7
イベントの操作
イベント、フロー、ログ
定義した時間枠の中で、ESM はデバイスからデータを収集して ELM に送信します。 この機能を ELM でセットアッ
プすると、ESM が ELM にロギング用のデータを送信し、ESM が ELM からデータを収集します。
関連トピック:
353
354
356
357
358
359
ページの「イベント、フロー、ログ」
ページの「イベント、フロー、ログのダウンロードを設定する」
ページの「非アクティブのしきい値設定の定義」
ページの「イベントとフローを取得する」
ページの「イベントのチェック、フロー、ログ」
ページの「位置情報と ASN 設定を定義」
非アクティブのしきい値設定の定義
デバイスの非アクティブのしきい値を設定すると、指定した期間内にイベントとフローが生成されない場合に通知さ
れます。しきい値に達すると、黄色の正常性ステータス フラグがシステム ナビゲーション ツリーのデバイス ノード
の横に表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認してから、[イベント、フロー、ログ] をクリックします。
2
[非アクティブの設定] をクリックします。
3
デバイスを強調表示して、[編集] をクリックします。
4
設定を変更して [OK] をクリックします。
関連トピック:
353
354
355
357
358
359
356
357
ページの「イベント、フロー、ログ」
ページの「イベント、フロー、ログのダウンロードを設定する」
ページの「データの収集時間を制限する」
ページの「イベントとフローを取得する」
ページの「イベントのチェック、フロー、ログ」
ページの「位置情報と ASN 設定を定義」
ページの「[非アクティブのしきい値] ページ」
ページの「非アクティブ状態のしきい値を編集 ページ」
[非アクティブのしきい値] ページ
指定した期間にデバイスがイベントまたはフローを受信しなかった場合に通知される非アクティブのしきい値をデバ
イスごとに設定します。
表 7-2 オプションの定義
オプション
定義
[デバイス] 列 システム上のすべてのデバイスが一覧表示されます。
[しきい値] 列 各デバイスのしきい値が表示されます。
[継承] 列
子デバイスが親のしきい値設定を継承するかどうかを示します。選択または選択解除して設定を変
更します。
[編集]
[非アクティブ状態のしきい値を編集] ページを開いて、しきい値設定を変更できます。
関連トピック:
356 ページの「非アクティブのしきい値設定の定義」
356
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント、フロー、ログ
7
非アクティブ状態のしきい値を編集 ページ
[非アクティブのしきい値] ページで選択したデバイスのしきい値設定を編集します。 ゼロ (0) に設定すると、デバ
イスに非アクティブ状態のしきい値は設定されません。
関連トピック:
356 ページの「非アクティブのしきい値設定の定義」
イベントとフローを取得する
システム ナビゲーション ツリーで選択したデバイスについて、イベントとフローを取得します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステム、グループまたはデバイスをクリックし、アクション ツールバーで
[イベントとフローを取得] アイコン
2
をクリックします。
上のテーブルで、取得するイベントとフローを選択し、[開始] をクリックします。
取得のステータスが [ステータス] 列に反映されます。 下のテーブルに、上のテーブルで強調表示したデバイス
の詳細が表示されます。
3
ダウンロードが完了したら、これらのイベントとフローを表示するビューを選択し、ビュー ツールバーの [現在
のビューを更新] アイコン
をクリックします。
関連トピック:
353 ページの「イベント、フロー、ログ」
354 ページの「イベント、フロー、ログのダウンロードを設定する」
355 ページの「データの収集時間を制限する」
356 ページの「非アクティブのしきい値設定の定義」
358 ページの「イベントのチェック、フロー、ログ」
359 ページの「位置情報と ASN 設定を定義」
357 ページの「イベントとフローを取得 ページ」
イベントとフローを取得 ページ
選択したデバイスについて、イベントとフローを手動で取得します。
表 7-3 オプションの定義
オプション
定義
イベントまたはフローの取得中に、[イベントとフローを取得] ページを最小化します。
上のテーブル
[デバイス名] 列 システムのナビゲーション ツリーでの選択に基づいて、イベントまたはフローを取得できるデバ
イスを表示します。 テーブルの下部に詳細を表示する 1 つ以上のデバイスを選択します。
[イベント] 列
イベントを取得するデバイスを選択します。
[フロー] 列
フローを取得するデバイスを選択します。
[ステータス] 列 取得の開始後にステータスを表示します。デバイスで実行された挿入ジョブと取得ジョブの数が
表示されます。ウィンドウが開いている間に実行された前回の取得ページも表示されます。 この
情報は 2 秒ごとに更新されます。
[開始]
クリックすると取得が開始されます。このオプションを使用するには、1 つ以上のチェックボッ
クスを選択する必要があります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
357
7
イベントの操作
イベント、フロー、ログ
表 7-3 オプションの定義 (続き)
オプション
定義
[キャンセル]
開始されたプロセスをキャンセルします。現在の操作が完了すると、プロセスが停止します。
下のテーブル
[デバイス名] 列 上のテーブルで選択したデバイスの名前が表示されます。
[操作] 列
デバイスで現在実行中の操作を表示します。
[開始時間] 列
ジョブの作成時間が表示されます。ESM でジョブが処理を開始している場合には不要です。
[ステータス] 列 ジョブのステータスを表示します。
[更新]
テーブルを更新します。 5 分間隔で自動的に更新されます。
関連トピック:
357 ページの「イベントとフローを取得する」
イベントのチェック、フロー、ログ
イベント、フロー、ログのチェックを自動的に行うか手動で行うかを ESM に設定できます。チェックの割合は、シ
ステムのアクティビティのレベルとステータス更新の受信頻度によって異なります。また、情報タイプごとにチェッ
クの必要なデバイスを指定して、ESM で管理されるデバイスの非アクティブのしきい値設定を設定できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[イベント、フロー、ログ] をクリッ
クします。
2
イベント、フロー、ログを選択して取得を変更します。
3
[OK] をクリックします。
関連トピック:
353 ページの「イベント、フロー、ログ」
354 ページの「イベント、フロー、ログのダウンロードを設定する」
355 ページの「データの収集時間を制限する」
356 ページの「非アクティブのしきい値設定の定義」
357 ページの「イベントとフローを取得する」
359 ページの「位置情報と ASN 設定を定義」
358 ページの「イベント、フロー、ログ ページ」
359 ページの「[デバイス] ページ」
イベント、フロー、ログ ページ
イベント、フロー、ログの設定を定義します。
表 7-4 オプションの定義
358
オプション
定義
[自動確認間隔]
システムでイベント、フロー、ログを自動的に確認する場合に選択します。確認の頻度を設
定します。
[今すぐ確認]
イベント、フロー、ログを今すぐ確認します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント、フロー、ログ
7
表 7-4 オプションの定義 (続き)
オプション
定義
[デバイスを表示]
各デバイスのイベント、フロー、ログの自動ダウンロード設定を選択します。
[非アクティブの設定] デバイスがある期間に渡ってイベントまたはフローを生成しない場合に通知するようにす
るには、このオプションを選択して、デバイスを強調表示してから [編集] をクリックしま
す。
関連トピック:
358 ページの「イベントのチェック、フロー、ログ」
[デバイス] ページ
システムの各デバイスのイベント、フロー、ログ取得を設定します。
表 7-5 オプションの定義
オプション
定義
[デバイス名] 列
システム上のすべてのデバイスが一覧表示されます。
[イベント] 列
イベントを自動的にダウンロードするデバイスを選択します。
[フロー] 列
フローを自動的にダウンロードするデバイスを選択します。
[ログ] 列
ログを自動的にダウンロードするデバイスを選択します。
関連トピック:
358 ページの「イベントのチェック、フロー、ログ」
位置情報と ASN 設定を定義
位置情報によって、インターネットに接続しているコンピューターの、現実世界での地理的な位置が得られます。自
律システム番号(ASN)は、自律システムに割り当てられる番号であり、インターネット上の各ネットワークを一意
に識別します。
これら両方のデータ タイプが、脅威の物理的な位置の特定に役立ちます。各イベントについて、ソースおよび宛先の
位置情報データを収集できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[イベント、フロー、ログ] または [イベントとログ] をクリックし、[位置情報] をクリックします。
3
必要な情報が生成されるように項目を選択し、[OK] をクリックします。
この情報を使用してイベント データをフィルタリングできます。
関連トピック:
353 ページの「イベント、フロー、ログ」
354 ページの「イベント、フロー、ログのダウンロードを設定する」
355 ページの「データの収集時間を制限する」
356 ページの「非アクティブのしきい値設定の定義」
357 ページの「イベントとフローを取得する」
358 ページの「イベントのチェック、フロー、ログ」
360 ページの「位置情報設定 ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
359
7
イベントの操作
イベント、フロー、ログ
位置情報設定 ページ
位置情報データや ASN データが格納されるようにデバイスを設定します。
表 7-6 オプションの定義
オプション
定義
[位置情報データを収集]
イベントまたはフローについて位置情報データを収集するには、このオプションを選択
します。
[ソース データ]、[宛先デ [位置情報データを収集] をクリックした場合は、これらのいずれかを収集するか両方
ータ]
を収集するかを選択します。
[ASN データを収集]
イベントまたはフローについて ANB データを収集するには、このオプションを選択し
ます。
[ソース データ]、[宛先デ [ASN データを収集] をクリックした場合は、これらのいずれかを収集するか両方を収
ータ]
集するかを選択します。
[オフ]
イベントまたはフローの位置情報または ASN データの収集を停止するかどうかを選
択します。
[更新]
クリックすると、現在のデバイス設定に戻ります。
関連トピック:
359 ページの「位置情報と ASN 設定を定義」
イベントまたはフローを集計する
イベントまたはフローは何千回も生成される可能性があります。何千もの同一のイベントから取捨選択するのではな
く、集計ではそれらが単一のイベントまたはフローとして、発生回数と合わせて表示されます。
集計を使用すると、各パケットを格納する必要がなくなるため、デバイスと ESM の両方でディスク領域が効率良く
消費されます。 この機能は、[ポリシーエディター] で集計が有効になっているルールに対してのみ適用されます。
ソース IP アドレスと宛先 IP アドレス
ソース IP アドレスと宛先 IP アドレスの「not-set」値または集計値は、すべての結果セットで「0.0.0.0」ではな
く「::」として表示されます。 例:
•
::ffff:10.0.12.7 は 0:0:0:0:0:FFFF:A00:C07 として挿入されます (A00:C07 は 10.0.12.7)。
•
::0000:10.0.12.7 は 10.0.12.7 になります。
集計イベントおよびフロー
集計イベントおよびフローでは、集計の期間と量を示すために、最初、最後、および合計のフィールドが使用されま
す。たとえば、同じイベントが正午から 10 分間の間に 30 回発生した場合、[最初の時刻] フィールドには 12:00
(イベントの最初のインスタンスの時刻)、[最後の時刻] フィールドには 12:10 (イベントの最後のインスタンスの時
刻)、[合計] フィールドには 30 という値が入力されます。
デバイスのデフォルトのイベントまたはフロー集計設定は全体として変更でき、また各イベントについては、個々の
ルールに対するデバイスの設定に例外を追加することができます (「イベント集計の例外を管理する」を参照)。
デフォルトでは動的集計も有効になっています。これを選択すると、[レベル 1] の集計設定が置き換えられ、[レベ
ル 2] と [レベル 3] の設定が増加します。それによって、イベント、フロー、ログの取得設定に基づいてレコードが
取得されます。自動取得に設定すると、デバイスでは ESM によって初めてプルされるまでの間のみ、レコードが圧
縮されます。手動取得に設定すると、最大 24 時間、または新しいレコードが手動でプルされるまでのどちらか早い
時点まで、レコードが圧縮されます。圧縮時間が 24 時間制限に達すると、新しいレコードがプルされ、その新しい
レコードに対する圧縮が開始されます。
360
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント、フロー、ログ
7
関連トピック:
362 ページの「イベントまたはフローの集計設定を変更」
363 ページの「イベント集計設定の例外の追加」
364 ページの「イベント集計の例外を管理」
354 ページの「[イベント、フロー、ログ] ページ」
[イベント、フロー、ログ] ページ
イベント、フロー、ログのダウンロード設定を定義します。 IPS、ADM、Receiver デバイスにはイベント、フロー、
ログがあり、ACE、DEM デバイスにはイベントとログがあります。また、DESM デバイスにはイベントがあり、ELM
デバイスにはログがあります。 このページで使用できるオプションは、選択したデバイスによって異なります。
表 7-7 オプションの定義
オプション
定義
[ルールの自動更新]
ESM によってルール サーバーからルールが自動的にダウンロードされた場合に、ダウンロ
ードされたルールをデバイスにロールアウトするには、このオプションを選択します。
[自動ダウンロード]
ESM がイベント、フロー、またはログを自動的に確認できるようにする場合に選択します。
[取得]
ESM がイベント、フロー、またはログを直ちに確認できるようにする場合にクリックしま
す。これらのジョブのステータスを確認する方法については、『イベントとフローを取得す
る』を参照してください。
[毎日データ プルを実 ESM が毎日各デバイスからデータを取得し、各デバイスから ELM にデータを送信する時
行する時間の範囲を
間の範囲を設定します (『データの収集時間を制限する』を参照)。
定義する]
この機能を使用する場合には十分に注意してくださ。イベント、フロー、ログ収集のスケジ
ュールを設定すると、ログ相関のデータが失われる可能性があります。
[脆弱性のイベントを
生成]
システムに追加された脆弱性評価ソース データに一致するイベント (『脆弱性評価を使用
する』を参照) が脆弱性イベントになり、ローカル ESM でアラートが生成されるようにす
る場合に選択します。 [ポリシー エディター] のポリシー プロパティは、これら各イベン
トについて同一であり、変更できません (たとえば重大度が常に 100 になるなど)。
[前回のイベント ダウ 前回のイベントまたはフローがデバイスから取得されたこと、プロセスが正常に実行された
かどうか、および取得されたイベント数またはフロー数を確認します。
ンロード プロセス]
または [前回のフロー
ダウンロード プロセ
ス]
[前回ダウンロードさ
れたイベント レコー
ド]、[前回ダウンロー
ドされた文字列レコ
ード]、または [前回ダ
ウンロードされたフ
ロー レコード]
前回取得されたイベント レコード、文字列レコード、またはフロー レコードの日付と時刻
を確認します。この値を変更することで、イベント、文字列、またはフローの取得を開始す
る日付と時刻を設定できます。たとえば、[前回ダウンロードされたイベント レコード] フ
ィールドに November 13, 2010 の 10:30:00 AM と入力し、[適用] をクリックして [イ
ベントを取得] をクリックすると、デバイス上で、ESM がその日付および時刻以降のすべ
てのイベントを取得します。
[データベース設定]
ESM でデータベース インデックス設定を管理する場合にクリックします。
[非アクティブの設定] ESM によって管理されている各デバイスについて、非アクティブのしきい値設定を表示し
て変更します(『非アクティブのしきい値設定を定義』を参照)。
[位置情報]
各デバイスの位置情報と ASN データが記録されるように ESM を設定します (『位置情報
と ASN 設定を定義』を参照)。
関連トピック:
354 ページの「イベント、フロー、ログのダウンロードを設定する」
360 ページの「イベントまたはフローを集計する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
361
7
イベントの操作
イベント、フロー、ログ
イベントまたはフローの集計設定を変更
イベント集計とフロー集計はデフォルトで有効になっており、[高] に設定されています。この設定は必要に応じて変
更することができます。各設定のパフォーマンスについては、[集計] ページで説明されています。
開始する前に
これらの設定を変更するには、[ポリシー管理者] と[デバイス管理] 権限、あるいは [ポリシー管理者]
と[カスタム ルール] 権限が必要です。
イベント集計は ADM、IPS、および Receiver デバイスでのみ可能で、フロー集計は IPS および Receiver デバイス
でのみ可能です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] または [フロー集計] をクリックします。
3
設定を定義して、[OK] をクリックします。
をクリックします。
関連トピック:
360 ページの「イベントまたはフローを集計する」
363 ページの「イベント集計設定の例外の追加」
364 ページの「イベント集計の例外を管理」
362 ページの「イベント集計またはフロー集計 ページ」
イベント集計またはフロー集計 ページ
同じイベントや似たイベントのグループを 1 つのレコードに集計することで、ディスク領域を節約します。
表 7-8 オプションの定義
オプション
定義
[更新]
クリックすると、デバイスの現在の集計設定が読み取られ、集計率が使用されます。
[動的集計を使用]
選択すると、ESM での挿入のパフォーマンスが向上します。これを選択することでレベル 1
の集計設定が置き換えられ、レベル 2 とレベル 3 の集計設定が増加します。[イベント、フロ
ー、ログ] の取得設定に基づいて、レコードが取得されます。自動取得に設定すると、デバイ
スでは ESM によって初めてプルされるまでの間のみ、レコードが圧縮されます。手動取得に
設定すると、最大 24 時間、または新しいレコードが手動でプルされるまでのどちらか早い時
点まで、レコードが圧縮されます。圧縮時間が 24 時間に達すると、新しいレコードがプルさ
れ、その新しいレコードに対する圧縮が開始されます。
スライディング ス インジケーターの矢印をクリックして、設定にドラッグします。各レベルの説明は、選択した
設定に応じて変わります。
ケール
スライディング ス [動的集計を使用] の選択を解除すると、レベル 1 の最初の値と 2 番目の値を設定します。 イ
ケールの [カスタ
ベント、フロー、ログ、相関のスケジュールを設定する前に (『データの収集時間を制限する』
ム] 設定
を参照)、最初の値を 240 秒から 360 秒の間に設定する必要があります。
[適用]
この画面上のすべての設定によってデバイスを更新します。
[表示] (イベント
のみ)
[イベント集計の例外] ページを開きます(『イベント集計設定に例外を追加』を参照)。
[ポート](フローの 維持する必要があるフロー ポート集計値を設定します(『フロー ポート集計値を設定』を参
み)
照)。
関連トピック:
362 ページの「イベントまたはフローの集計設定を変更」
364 ページの「イベント集計の例外を管理」
362
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント、フロー、ログ
7
イベント集計設定の例外の追加
集計設定は、デバイスにより生成されるすべてのイベントに適用されます。ルールにより生成されるイベントに一般
的な設定が当てはまらない場合は、個々のルールに例外を作成できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
ビュー ペインで、例外を追加するルールにより生成されるイベントを選択します。
[メニュー] アイコン
をクリックして、[集計設定を変更] を選択します。
[フィールド 2] および [フィールド 3] ドロップダウン リストから、集計するフィールド タイプを選択します。
[フィールド 2] と [フィールド 3] にはタイプが異なるフィールドを選択してください。タイプが同じ場合、エラ
ーが発生します。これらのフィールド タイプを選択する場合、各集計レベルの説明は、選択内容によって変化しま
す。各レベルの時間制限は、デバイスに定義したイベント集計設定によって異なります。
4
[OK] をクリックして設定を保存してから、[はい] をクリックして続行します。
5
デバイスに変更をロールアウトしない場合は、デバイスの選択を解除します。
6
[OK] をクリックして、選択したデバイスの変更をロールアウトします。
変更がロールアウトされると、更新のステータスが [ステータス] 列に示されます。
関連トピック:
360 ページの「イベントまたはフローを集計する」
362 ページの「イベントまたはフローの集計設定を変更」
364 ページの「イベント集計の例外を管理」
363 ページの「イベント集計の例外 ページ」
363 ページの「集計例外の ロールアウト ページ」
イベント集計の例外 ページ
イベント集計の例外は、[イベント分析] ビューで設定されます。[イベント集計の例外] ページでは、設定の変更や
例外の削除を行うことができます。
表 7-9 オプションの定義
オプション
定義
[編集]
選択した例外に変更を加える場合にクリックします。
[削除]
選択した例外を削除します。
[ロールアウト]
デバイスに対する変更をロールアウトします。
関連トピック:
363 ページの「イベント集計設定の例外の追加」
集計例外の ロールアウト ページ
集計の例外に対して行った変更をロールアウトします。
表 7-10 オプションの定義
オプション
定義
[デバイス] 列
システム上のデバイスを表示します。
2 列目
変更のロールアウト先にするデバイスを選択します。
[ステータス] 列
各デバイスのロールアウトのステータスを表示します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
363
7
イベントの操作
イベント、フロー、ログ
関連トピック:
363 ページの「イベント集計設定の例外の追加」
イベント集計の例外を管理
システムに追加されたイベント集計の例外のリストを表示できます。例外を編集または削除することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] をクリックし、画面下部の [表示] をクリックします。
3
必要な変更を行い、[閉じる] をクリックします。
をクリックします。
関連トピック:
360 ページの「イベントまたはフローを集計する」
362 ページの「イベントまたはフローの集計設定を変更」
363 ページの「イベント集計設定の例外の追加」
362 ページの「イベント集計またはフロー集計 ページ」
イベント転送を設定する
イベント転送では、Syslog または SNMP (有効な場合) によって、ESM から別のデバイスまたは設備にイベントを
送信することができます。宛先を定義し、パケットを含めるかどうか、IP データを暗号化するかどうかを選択できま
す。フィルターを追加して、イベント データが転送される前にフィルターを適用することができます。
これは、環境内の各デバイスからのデジタル署名されたログの完全なセットではないため、ログ管理の代替にはなり
ません。
関連トピック:
367 ページの「イベント転送エージェント」
371 ページの「標準イベント形式での送信と転送」
364 ページの「イベント転送を設定」
365 ページの「イベント転送先を追加」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
370 ページの「イベント転送フィルター設定を編集する」
イベント転送を設定
イベント転送先を設定して、Syslog サーバーまたは SNMP サーバーにイベント データを転送できます。
使用中のイベント転送先の数と、ESM によって取得されているイベントのレートと数は、ESM の全体的なパフォーマ
ンスに影響する場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
364
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[イベント転送先] ページで、[追加]、[編集]、または [削除] を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
イベント、フロー、ログ
3
宛先を追加または編集することを選択した場合は、設定を定義します。
4
[適用] または [OK] をクリックします。
関連トピック:
364 ページの「イベント転送を設定する」
367 ページの「イベント転送エージェント」
371 ページの「標準イベント形式での送信と転送」
365 ページの「イベント転送先を追加」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
370 ページの「イベント転送フィルター設定を編集する」
365 ページの「[イベント転送] ページ」
[イベント転送] ページ
イベント データを Syslog に転送できるようにイベント転送設定を構成します。
表 7-11 オプションの定義
オプション
定義
[イベント転送先]
システムに追加されている転送先を表示します。
[追加]
新しい転送先をシステムに追加します。
[編集]
選択した転送先の設定を変更します。
[削除]
システムから転送先を削除します。
[設定]
すべてのイベント転送先に適用する設定を指定します。
関連トピック:
364 ページの「イベント転送を設定」
イベント転送先を追加
ESM にイベント転送先を追加して、Syslog サーバーまたは SNMP サーバーにイベント データを転送します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックします。
関連トピック:
364 ページの「イベント転送を設定する」
367 ページの「イベント転送エージェント」
371 ページの「標準イベント形式での送信と転送」
364 ページの「イベント転送を設定」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
370 ページの「イベント転送フィルター設定を編集する」
366 ページの「[イベント転送先を追加] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
365
7
イベントの操作
イベント、フロー、ログ
[イベント転送先を追加] ページ
新しいイベント転送先を ESM に追加します。
表 7-12 オプションの定義
オプション
定義
[名前]
この転送先の名前を入力します。
[有効]
この宛先のイベント転送を有効にする場合に選択します。
[システム プロ
ファイルを使
用]
既存のプロファイルを使用する場合に選択してドロップダウン リストからプロファイルを選択
するか、[システム プロファイルを使用] をクリックして新しいプロファイルを追加します。
[フォーマット]
ドロップダウン リストでフォーマットを選択します。エージェントの詳細リストおよびパケッ
トに含まれる情報については、『イベント転送エージェント』を参照してください。
[宛先 IP アドレ Syslog の宛先 IP アドレスを入力します。
ス]
[宛先ポート]
Syslog がリッスンする宛先ポートを選択します。
[プロトコル]
UDP または TCP 転送プロトコルを選択します。UDP は標準 Syslog が基準とするプロトコル
です。TCP 上の Syslog を介して送信されるパケットは、メッセージの終わりに追加される改行
文字 (ASCII 文字コード 10) を除き、設備、重大度、メッセージを含めて、UDP とまったく同
じようにフォーマットされます。
コネクションレス プロトコルの UDP とは異なり、TCP は ESM と転送イベントをリッスンする
サーバーの間に接続を確立する必要があります。接続が確立できないかまたは切断された場合、
ESM は正常に転送された最後のイベントを追跡して、数分後に再接続の確立を試行します。 接
続を再確立すると、ESM は中断していた転送イベントから始めます。
UDP を選択した場合は、[モード] フィールドで SSH または TLS を選択できなくなります。
[設備]
Syslog パケットの設備を選択します。
[重大度]
Syslog パケットの重大度を選択します。
[時刻形式]
Syslog イベント転送のヘッダーの時刻形式を選択します。[レガシー] を選択した場合、9.3.0
より前のバージョンと同様、GMT 形式になります。[標準] を選択した場合、タイム ゾーンを選
択できます。
[タイム ゾーン] [標準] を選択した場合は、イベント転送ログの送信に使用されるタイム ゾーンを選択します。
366
[データを暗号
化]
この宛先に転送されるデータに含まれる特定のデータをマスクする場合に選択します。 データ
を選択するには、[設定] をクリックします。
[パケットを送
信]
ポリシーにパケットのコピーが設定されている場合、パケット情報を転送するにはこのオプショ
ンを選択します。 パケットが使用できる場合、この情報は、Base 64 エンコーディングの
Syslog メッセージの終わりに挿入されます。
[イベント フィ
ルター]
Syslog に転送されるイベント データにフィルターを適用する場合にクリックします。
[モード]
メッセージのセキュリティ モードを選択します。SSH を選択した場合は、残りの情報を入力し
ます。TCP (プロトコル) 上で Syslog を使用するように選択したときに、SSH または TLS を使
用して TCP 接続を確立する場合に選択します。 Syslog は暗号化されていないプロトコルであ
るため、SSH または TLS を使用して、イベント転送メッセージが第三者によって調べられない
ようにします。FIPS モードの場合、TLS を使用してログ データを転送できます。
[ローカル リレ
ー ポート]
SSH 接続の ESM 側で使用するポートを入力します。
[リモート SSH
ポート]
SSH サーバーが SSH 接続のもう一方の側でリッスンするポートを入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
イベント、フロー、ログ
表 7-12 オプションの定義 (続き)
オプション
定義
[SSH ユーザー
名]
SSH 接続の確立に使用する SSH ユーザー名を入力します。
[SSH DSA キ
ー]
SSH 認証に使用されるパブリック DSA 認証キーを入力します。このフィールドの内容を
authorized_keys ファイルまたは SSH サーバーを実行するマシン上の同等のファイルに追加
する必要があります。
関連トピック:
365 ページの「イベント転送先を追加」
370 ページの「[イベント フィルター] ページ」
370 ページの「[レポートをフィルタリングする] ページ」
イベント転送エージェント
次に、イベント転送エージェントと、転送されるパケットに含まれている情報について説明します。[イベント転送先
を追加] ページの [フォーマット] フィールドで、エージェントを選択します。
エージェン コンテンツ
ト
Syslog
(McAfee
9.2)
ESM IP McAfee ESM (Syslog ヘッダーの一部)、SigID、SigMessage、SrcIP、DstIP、SrcPort、
DstPort、SrcMac、DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイ
ベントを生成したか)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、
LastTime_usec、Event Subtype、Severity、InternalID (ESM のイベント ID)、EventID、IPSID、
IPSName (データソース名: IP アドレス)、DSID (データソース ID)、Source IPv6、Dest IPv6、
Session ID、Sequence、Trusted flag、Normalized ID、GUID Source、GUID Dest、Agg 1
Name、Agg 1 Value、Agg 2 Name、Agg 2 Value、Agg 3 Name、Agg 3 Value。
セミコロンが含まれている場合があるため、次の文字列フィールドも引用符で囲まれています:
Application、Command、Domain、Host、Object、Destination User、Source User、User-defined
type 8、User-defined type 9、User-defined type 10、User-defined type 21、User-defined
type 22、User-defined type 23、User-defined type 24、User-defined type 25、User-defined
type 26、User-defined type 27。
パケット (ポリシー エディター内のルールについて、ESM でイベント転送の設定中に [パケットをコ
ピー] オプションがオンになった場合のみ、パケット コンテンツは Base 64 エンコードに従います)。
Syslog
(McAfee
8.2)
ESM IP McAfee ESM (Syslog ヘッダーの一部)、SigID、SigMessage、SrcIP、DstIP、SrcPort、
DstPort、SrcMac、DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイ
ベントを生成したか)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、
LastTime_usec、Event Subtype、Severity、InternalID (ESM のイベント ID)、EventID、IPSID、
IPSName (データソース名: IP アドレス)、DSID (データソース ID)、Source IPv6、Dest IPv6、
Session ID、Sequence、Trusted flag、Normalized ID。
セミコロンが含まれている場合があるため、次の文字列フィールドも引用符で囲まれています:
Application、Command、Domain、Host、Object、Destination User、Source User、User-defined
type 8、User-defined type 9、User-defined type 10。
パケット (ポリシー エディター内のルールについて、ESM でイベント転送の設定中に [パケットをコ
ピー] オプションがオンになった場合のみ、パケット コンテンツは Base 64 エンコードに従います)。
Syslog
(Nitro)
ESM IP、"McAfee ESM"、SigID、SigMessage、SrcIP、DstIP、SrcPort、DstPort、SrcMac、
DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイベントを生成した
か)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、LastTime_usec、
Event Subtype、Severity、internalID (ESM のイベント ID)、event ID、IPSID、IPSName、
DSID (データソース ID)、Packet (パケット コンテンツは Base 64 エンコードに従う)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
367
7
イベントの操作
イベント、フロー、ログ
エージェン コンテンツ
ト
Syslog
McAfee、" MachineID、"ArcSite Notification"、"Line 1"、Group Name、IPS Name、LastTime
(ArcSight) mm/dd/yyy HH:nn:ss.zzz、LastTime usec、FirstTime mm/dd/yyy HH:nn:ss.zzz、SigID、
Class Name、Event Count、Src IP、Src Port、Dst IP、Dst Port、Protocol、Event Subtype、
Event Device ID (デバイスからのイベントの内部 ID)、Event ESM ID (ESM からのイベントの内
部 ID)、Rule Message、Flow (接続のイニシエーターまたは受信者のどちらがイベントを生成した
か)、VLAN、Src MAC、Dst MAC、Packet (パケット コンテンツは Base 64 エンコードに従う)。
Syslog
(Snort)
snort:, [sigid:smallsigid:0]、Signature Message または "Alert"、[Classification:
ClassName]、[Priority: ClassPriority]、{Protocol}、SrcIP:SrcPort -> DstIP:DstPort、SrcIP ->
DstIP、Packet(パケット コンテンツは Base 64 エンコードに従う)。
Syslog(監 time(epoch 以降は秒)、status flag、user name、log category name(8.2.0 では空白、8.3.0+
査ログ)
ではデータあり)、device group name、device name、log message。
Syslog(共 Current date and time, ESM IP, CEF version 0, vendor = McAfee, product = ESM model
通イベント from /etc/McAfee Nitro/ipsmodel, version = ESM version from /etc/buildstamp, sig id, sig
message, severity (0 to 10), name/value pairs, deviceTranslatedAddress
形式)
Syslog (標 <#>YYYY-MM-DDTHH:MM:SS.S [IP Address] McAfee_SIEM:
準イベント { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
形式)
"subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
関連トピック:
364 ページの「イベント転送を設定する」
371 ページの「標準イベント形式での送信と転送」
364 ページの「イベント転送を設定」
365 ページの「イベント転送先を追加」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
370 ページの「イベント転送フィルター設定を編集する」
イベント転送を有効化または無効化
ESM でイベント転送を有効または無効にします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
368
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[設定] をクリックし、[イベント転送が有効] を選択または選択解除します。
3
[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
イベント、フロー、ログ
関連トピック:
364
367
371
364
365
369
369
370
ページの「イベント転送を設定する」
ページの「イベント転送エージェント」
ページの「標準イベント形式での送信と転送」
ページの「イベント転送を設定」
ページの「イベント転送先を追加」
ページの「すべてのイベント転送先の設定を変更」
ページの「イベント転送フィルターを追加する」
ページの「イベント転送フィルター設定を編集する」
すべてのイベント転送先の設定を変更
既存のすべてのイベント転送先について、一部の設定を一度で変更します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[設定] をクリックしてオプションを設定します。
3
[OK] をクリックします。
関連トピック:
364
367
371
364
365
368
369
370
ページの「イベント転送を設定する」
ページの「イベント転送エージェント」
ページの「標準イベント形式での送信と転送」
ページの「イベント転送を設定」
ページの「イベント転送先を追加」
ページの「イベント転送を有効化または無効化」
ページの「イベント転送フィルターを追加する」
ページの「イベント転送フィルター設定を編集する」
イベント転送フィルターを追加する
ESM の Syslog サーバーまたは SNMP サーバーに転送されるイベント データを制限するフィルターを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[追加] をクリックし、[イベント フィルター] をクリックします。
3
フィルター フィールドに入力し、[OK] をクリックします。
関連トピック:
364
367
371
364
365
368
369
370
ページの「イベント転送を設定する」
ページの「イベント転送エージェント」
ページの「標準イベント形式での送信と転送」
ページの「イベント転送を設定」
ページの「イベント転送先を追加」
ページの「イベント転送を有効化または無効化」
ページの「すべてのイベント転送先の設定を変更」
ページの「イベント転送フィルター設定を編集する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
369
7
イベントの操作
イベント、フロー、ログ
[イベント フィルター] ページ
Syslog サーバーに転送されるイベント データをフィルタリングする値を追加します。
表 7-13 オプションの定義
オプション
定義
[デバイス]
フィルター アイコン
をクリックします。
[宛先 IP]
フィルタリングに使用する個別の宛先 IP アドレス(161.122.15.13)または IP アドレスの範
囲(192.168.0.0/16)を入力します。
[宛先ポート]
フィルター ポートを入力します。1 つのみ許可されます。
[プロトコル]
フィルター プロトコルを入力します。1 つのみ許可されます。
[ソース IP]
フィルタリングに使用する個別のソース IP アドレスまたは IP アドレスの範囲を入力します。
[デバイス タイ
プ]
フィルター アイコンをクリックして、最大 10 個のデバイス タイプを選択してから [OK] をク
リックします。
[正規化 ID]
フィルタリングするための正規化 ID を選択します(『正規化 ID とは』を参照)。
[重大度]
イベント重大度でフィルタリングするには、[以上] と 0 から 100 までの重大度を選択します。
をクリックして、フィルタリングするデバイスを選択してから [OK]
関連トピック:
366 ページの「[イベント転送先を追加] ページ」
[レポートをフィルタリングする] ページ
Receiver によって生成されたイベント データをフィルターし、[ストリーミング ビューアー] に確認するデータを
表示します。各フィールドの説明は、フィールドを選択したときにページの下に表示されます。
関連トピック:
366 ページの「[イベント転送先を追加] ページ」
イベント転送フィルター設定を編集する
保存後にイベント転送のフィルター設定を変更します。
開始する前に
デバイス フィルターを編集する場合、フィルター内のすべてのデバイスに対するアクセス権限が必要で
す。 デバイスへのアクセスを可能にする方法については、「ユーザー グループを設定する」を参照して
ください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
370
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[編集] をクリックし、[イベント フィルター] をクリックします。
3
変更を行い、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
イベント、フロー、ログ
関連トピック:
364 ページの「イベント転送を設定する」
367 ページの「イベント転送エージェント」
371 ページの「標準イベント形式での送信と転送」
364 ページの「イベント転送を設定」
365 ページの「イベント転送先を追加」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
標準イベント形式での送信と転送
標準イベント形式 (SEF) は Java Script Object Notation (JSON) ベースのイベント フォーマットで、汎用的なイ
ベント データを表します。
ESM から別の ESM の Receiver にイベントを転送する場合や、ESM からサードパーティにイベントを転送する場
合に SEF 形式を使用できます。 データ ソースの作成時にデータ形式として SEF を選択すると、サードパーティか
ら Receiver にイベントを送信する場合にもこの形式を使用できます。
ESM から ESM, に SEF 形式でイベントを転送するには、次の 4 つの手順を行う必要があります。
1
イベントを転送する ESM からデータ ソース、カスタム タイプ、カスタム ルールをエクスポートします。
- データ ソースをエクスポートするには、「データ ソースを別のシステムに移動する」の手順に従います。
- カスタム タイプをエクスポートするには、[システム プロパティ] を開き、[カスタム タイプ] をクリックし
て [エクスポート] をクリックします。
- カスタム ルールをエクスポートするには、「ルールをエクスポートする」の手順に従います。
2
エクスポートしたデータ ソース、カスタム タイプ、カスタム ルールを転送先の Receiver に接続している ESM
にインポートします。
- データ ソースをインポートするには、「データ ソースを別のシステムに移動する」の手順に従います。
- カスタム タイプをインポートするには、[システム プロパティ] を開き、[カスタム タイプ] をクリックして
[インポート] をクリックします。
- カスタム ルールをインポートするには、「ルールをインポートする」の手順に従います。
3
別の ESM からイベントを受信する ESM で、ESM データ ソースを追加します。
- システム ナビゲーション ツリーで、データ ソースを追加する Receiver デバイスをクリックし、[データ ソ
ースを追加] アイコン
をクリックします。
- [データ ソースを追加] ページの [データ ソース ベンダー] フィールドで [McAfee] を選択し、 [データ ソー
ス モデル] フィールドで [Enterprise Security Manager (SEF)] を選択します。
- 必要な情報を入力し、[OK] をクリックします。
4
送信側の ESM でイベント転送先を追加します。
- システム ナビゲーション ツリーでシステムをクリックし、[プロパティ] アイコン
をクリックします。
- [イベント転送], をクリックし、[追加] をクリックします。
- [イベント転送先を追加] ページの[フォーマット] フィールドで、[Syslog (標準イベント形式)] を選択しま
す。残りのフィールドに転送先の ESM に関する情報を入力して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
371
7
イベントの操作
レポートの管理
関連トピック:
364 ページの「イベント転送を設定する」
367 ページの「イベント転送エージェント」
364 ページの「イベント転送を設定」
365 ページの「イベント転送先を追加」
368 ページの「イベント転送を有効化または無効化」
369 ページの「すべてのイベント転送先の設定を変更」
369 ページの「イベント転送フィルターを追加する」
370 ページの「イベント転送フィルター設定を編集する」
レポートの管理
レポートには、ESM 上で管理するイベントとフローのデータが表示されます。固有のレポートを設計したり、定義
済みレポートの 1 つを実行して、PDF、HTML、CSV 形式のレポートを送信できます。
定義済みレポート
定義済みレポートは、次のカテゴリに分類されます。
•
コンプライアンス
•
McAfee Database Activity Monitoring (DAM)
•
実行
•
McAfee DEM
•
McAfee ADM
•
McAfee Event Reporter
イベントに基づいてデータが生成されます。
ユーザー定義レポート
レポートを作成する場合、[レポート レイアウト] エディターで向き、サイズ、フォント、余白、ヘッダー、フッタ
ーを選択してレイアウトを設計します。コンポーネントを追加して、必要なデータを表示するように設定することも
できます。
すべてのレイアウトは保存して複数のレポートに使用できます。レポートを追加するときは、新しいレイアウトを設
計する、既存のレイアウトをそのまま使用する、または既存のレイアウトをテンプレートとして使用して機能を編集
するオプションを選択できます。また、不要になったレポート レイアウトを削除できます。
関連トピック:
372 ページの「四半期レポートの開始月を設定」
373 ページの「レポートの追加」
375 ページの「レポート レイアウトの追加」
378 ページの「PDF とレポートに画像を含める」
379 ページの「レポート条件の追加」
380 ページの「レポートにホスト名を表示する」
四半期レポートの開始月を設定
レポートを四半期ごとに実行している場合は、四半期 1 の最初の月を定義する必要があります。最初の月を定義して
システム テーブルに格納すると、その開始日に基づいて四半期レポートが実行されます。
372
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
レポートの管理
7
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで [システムのプロパティ] を選択し、[カスタム設定] をクリックします。
2
[使用する月を指定] フィールドで、月を選択します。
3
[適用] をクリックして設定を保存します。
関連トピック:
372 ページの「レポートの管理」
373 ページの「レポートの追加」
375 ページの「レポート レイアウトの追加」
378 ページの「PDF とレポートに画像を含める」
379 ページの「レポート条件の追加」
380 ページの「レポートにホスト名を表示する」
レポートの追加
レポートを ESM に追加して、定義した間隔で定期的に実行するように設定するか、または手動で選択して実行しま
す。既存のレポート レイアウトを選択するか、または [レポート レイアウト] エディターを使用して新しいレイアウ
トを作成できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[追加] をクリックして、[レポートを追加] ページで設定を定義します。
3
[保存] をクリックします。
レポートが [レポート] ページのテーブルに追加され、[条件] フィールドの定義に従って実行されます。
関連トピック:
372 ページの「レポートの管理」
372 ページの「四半期レポートの開始月を設定」
375 ページの「レポート レイアウトの追加」
378 ページの「PDF とレポートに画像を含める」
379 ページの「レポート条件の追加」
380 ページの「レポートにホスト名を表示する」
373 ページの「レポート ページ」
374 ページの「[レポートを追加] ページ」
レポート ページ
ESM 上の定義済みレポートとユーザー定義レポートを管理します。
表 7-14 オプションの定義
オプション
定義
[レポート] テーブル
ESM に現在設定されているレポートを表示します。
[追加]
新しいレポートの設定を定義して、ESM に追加します。
[編集]
既存レポートの設定を変更します。
[削除]
既存のレポートを ESM から削除します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
373
7
イベントの操作
レポートの管理
表 7-14 オプションの定義 (続き)
オプション
定義
[今すぐ実行]
選択したレポートを今すぐ実行します。
[共有]
選択したグループまたはユーザーとレポートを共有します。
[インポート]
以前にエクスポートしたレポートをインポートします。
[エクスポート]
レポートをエクスポートします。
[有効]
テーブルで選択したレポートを有効にします。
[有効] または [無効]
ボタン
レポート機能を有効または無効にします。無効にすると、リストのレポートは生成されま
せん。
[条件]
レポートに使用できる条件のタイプを管理します。
[受信者]
ESM で定義されている受信者を管理します。
[表示]
必要に応じて、実行およびキャンセルのキューに登録されているレポートを表示します。
[ファイル]
生成されたレポート ファイルを管理します。
関連トピック:
373 ページの「レポートの追加」
[レポートを追加] ページ
レポートの設定を定義します。
表 7-15 オプションの定義
オプション
定義
[レポート名]
レポートの名前を入力します。
[説明]
レポートが生成する情報の説明を入力します。
[条件]
このレポートをオプションのリストから実行する場合に選択します。条件をオプションのリ
ストに追加するには、[条件を編集] をクリックします。
[タイム ゾーン]
クエリーの実行に使用するタイム ゾーンを選択します。
[日付形式]
日付に使用する形式を選択します。
[フォーマット]
生成するレポートのフォーマットを選択します。
• 新しいレポートを設計する場合、PDF または HTML を選択できます。
• レポートにビューを含めるには、[PDF で表示] を選択します。
• クエリーの結果の CSV ファイルを生成するには、[CSV をクエリー] を選択します。
[ユーザーまたはグ
ループに送信され
る電子メール]
レポートをユーザーまたはグループに送信するには、[受信者を追加] をクリックして選択し
ます。レポート形式が [HTML でレポートを作成] または [CSV をクエリー] の場合、レポー
トを添付ファイルにして電子メール送信するかインライン送信するかを選択します。
[ESM に保存され
たファイル]
ESM にレポート ファイルを保存する場合に選択します。[接頭辞] はファイルの名前のデフ
ォルトの接頭辞を示します。接頭辞は変更できます。
ファイルが生成されたら、[レポート] ページの [ファイル] をクリックします。
[次のリモートの場
所にファイルを保
存しました]
374
レポートをリモートの場所に保存する場合に選択します。ドロップダウン リストから場所を
選択します。リストにない場合は、[場所を管理します...] をクリックします。リモートの場
所のプロファイルを追加します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
レポートの管理
7
表 7-15 オプションの定義 (続き)
オプション
定義
[既存のレイアウト
を選択/新しいレイ
アウトを作成]
PDF または HTML 形式を選択した場合、既存のレイアウトを選択するか、新しいレイアウト
を作成します。レイアウトを管理することもできます。
• [既存のレイアウトを選択する] - リスト上で検索してクリックします。
• [追加] - [レポート レイアウト] エディターを開いて新しいレイアウトを作成する場合に
クリックします。
• [編集] - 既存のレイアウトを変更します。
• [フォルダーを追加] - レイアウトを編成できるようにフォルダーを追加します。新しいレ
イアウトをフォルダーに追加したり、既存のレイアウトをフォルダーにドラッグ アンド ド
ロップしたり、サブフォルダを追加したりできます。
• [インポート] - レイアウトをインポートするには、インポートするファイルをクリックし
て参照します。
インポートするレイアウトに ESM にすでに存在する画像が含まれる場合、[レポート レイ
アウトをインポート] が開いて、競合していることと以下の選択肢があることが通知されま
す。
• [ローカル バージョンを保持] - ESM の画像を保持して、レポート レイアウトの画像を
削除します。ESM の画像がレイアウトに使用されます。
• [ローカル バージョンを置換] - ESM の画像をレポート レイアウトの画像に置換しま
す。ESM から削除する画像を現在使用しているレイアウトは、インポートされるレイア
ウトの画像を使用するようになります。
• [名前を変更] - レポート レイアウトの画像の名前を自動的に変更し、新しい名前の画像
を使用してレイアウトがインポートされます。
• [エクスポート] - レイアウトをエクスポートする場合にクリックします。
• [レポートにフィルターのサマリーを含めます] - このレポートに定義されているグローバ
ルおよび個々のコンポーネント フィルターのサマリーを含める場合に選択します。 使用
されるフィルターは、レポートの下部に一覧表示されます。 これは、レポートのデータに
定義されている制限を知る場合に便利です。
[ビューを選択]
フォーマットに [PDF で表示] を選択した場合、ドロップダウン リストからレポートに含め
るビューを選択します。
[定義済みクエリー
を選択]
[CSV をクエリー] を選択した場合、定義済みクエリーを選択します。
[フィルターの値を
入力]
このレポートのすべてのコンポーネントに適用するフィルターを選択します (「[クエリー フ
ィルター] ページ」を参照)。 これらのフィールドでは、contains フィルターと regex フ
ィルターを使用できます (「contains フィルターと regex フィルターの説明」を参照)。
関連トピック:
373 ページの「レポートの追加」
レポート レイアウトの追加
レポートの定義済みレイアウトが要求を満たしていない場合は、レイアウトを設計します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
375
7
イベントの操作
レポートの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[追加] をクリックして [レポートを追加] ページを開き、セクション 1、2、3 に入力します。
3
セクション 4 で、[PDF でレポートを作成] または [HTML でレポートを作成] を選択します。
4
セクション 5 で、[追加] をクリックして [レポート レイアウト] エディターを開きます。
5
レポートで生成されるデータを表示するレイアウトを設定します。
保存されたレイアウトは、他のレポートにそのまま使用したり、編集可能なテンプレートとして使用したりできます。
関連トピック:
372 ページの「レポートの管理」
372 ページの「四半期レポートの開始月を設定」
373 ページの「レポートの追加」
378 ページの「PDF とレポートに画像を含める」
379 ページの「レポート条件の追加」
380 ページの「レポートにホスト名を表示する」
376 ページの「レポート レイアウト エディター」
レポート レイアウト エディター
レポート レイアウトを追加または編集します。レポートを設定する際に使用できます。
表 7-16 オプションの定義
オプション
定義
インジケーターを前後にスライドして、エディター ページのサイズを調
整します。
[
]
[ドキュメントのプロパティ]
エディター ページの幅をページ幅に合わせる場合に選択します。
レイアウトの基本書式設定を定義します。
• [名前] と [説明] - レイアウトの名前と機能の説明を入力します。名
前は必須です。
• [向き] - レポートを印刷する際、ページを縦向きにするか横向きにす
るかを選択します。
• [サイズ] - レポート ページのデフォルト サイズは 8.5 x 11 です。
変更するには、ドロップダウン リストで適切なサイズを選択します。
エディター ページに変更が反映されます。
• [デフォルトのフォント] - レポートのテキストのフォントの種類、サ
イズ、色を選択します。変更すると、エディター ページのテキストに
変更が反映されます。テキストを太字、斜体、下線付きにする、また
はページの中央や右に揃える場合も選択できます。
• [余白] - レポートの上下左右の余白を選択します。
• [ヘッダーとフッター] - レポートのヘッダーとフッターが必要かど
うかを選択します。
376
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
レポートの管理
7
表 7-16 オプションの定義 (続き)
オプション
定義
[ヘッダーのプロパティ]
エディター ページのヘッダー領域をクリックして、[ヘッダーのプロパテ
ィ] セクションで以下の処理を実行します。
• [レポート名のフォント] - ヘッダーのレイアウト名に使用するフォ
ントを選択します。
• [含まれるアイテム] - ヘッダーに含めるアイテムを選択しますこれ
らのアイテムのフォントを変更するには、[ドキュメントのプロパテ
ィ] に移動します。
• [ロゴ] - ヘッダーにロゴを入れる場合に選択します。その場合、ロゴ
をヘッダーの右側に入れるか左側に入れるかを選択してから、[ファイ
ル] フィールドのリンクをクリックして画像を選択します。
[フッターのプロパティ]
エディター ページのフッター領域をクリックします。[フッターのプロ
パティ] セクションで、挿入するアイテムを選択します。
[保存]
レイアウトを保存する場合にクリックします。未定義の必須設定がある
場合は通知されます。
[名前を付けて保存]
新しいファイル名を付けてレイアウトを保存します。
[コピー]
レイアウト内の選択したコンポーネントをコピーする場合にクリックし
ます。コピーされたコンポーネントのタイプを示すクリップボード ア
イコンが左側に追加されます。次の 2 つの方法のいずれかを使用して
貼り付けることができます。
• コンポーネントを追加する場所にアイコンをドラッグ アンド ドロッ
プします。
• レイアウトのコンポーネントを強調表示して、[貼り付け] をクリック
します。コピーしたコンポーネントが強調表示したコンポーネントの
下に挿入されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
377
7
イベントの操作
レポートの管理
表 7-16 オプションの定義 (続き)
オプション
定義
コンポーネントのプロパティ
エディター ページの [テキスト]、[画像]、[テーブル]、[棒グラフ]、[円
グラフ]、[分布図] コンポーネントをドラッグ アンド ドロップして、以
下の設定を定義します。
• [クエリー ウィザード] - 選択したコンポーネントのクエリーを定義
します。
• [フォント] - フォントの種類、サイズ、色を設定します。太字、斜
体、下線付きにするかどうか、左、中央、右揃えにするかどうかを設
定します。
• [画像] - [画像の選択] ページで画像を選択します。
• [タイトル] - 必要に応じてタイトルを変更し、タイトルのフォントを
設定して、その位置揃えを選択します。
• [クエリー] - 必要に応じてクエリーを変更して、テーブルに表示する
結果の最大数を選択します。レポートでソースと宛先の IP アドレス
の DNS を解決する場合には、[テーブル]、[棒グラフ] または [円グ
ラフ] コンポーネントで、[IP をホスト名に変換する] を選択します。
• [テーブル ヘッダー] - テーブルのヘッダー行のフォントを設定しま
す。
• [テーブル] - テーブルのデータのフォントを設定します。
• [境界線] - テキスト ボックス、画像、テーブルの周りに境界線を設
定するかどうか、また設定する場合は太さと色を選択します。
• [1 行おきに色付け] - テーブルの行を交互に色付けするには、使用す
る 2 つの色を選択します。
• [列] - テーブルの各列の列名と書式設定を設定します。
• [小計の設定] - テーブルに小計を表示する場合に選択します。
• [その他] - 円グラフで、ラベルと凡例を表示する場合に選択します。
• コンポーネントのサイズを調整するには、エディター ページのコンポ
ーネントをクリックして、境界線を示す黄色の正方形
リックしてから必要なサイズまでドラッグします。
[改ページ]
の 1 つをク
改ページを挿入する場所にドラッグ アンド ドロップします。太い黒線
が改ページの場所に示されます。
関連トピック:
375 ページの「レポート レイアウトの追加」
PDF とレポートに画像を含める
ESM では、エクスポートされた PDF と出力されたレポートに [ログイン] 画面に示された画像が含まれるように設
定できます。
開始する前に
[カスタム設定] ページに画像を追加します (「ログイン ページをカスタマイズする」を参照)。
378
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
レポートの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[カスタム設定] をクリックします。
2
[ビューまたは出力レポートからエクスポートされた PDF に画像を含めます] を選択します。
3
[OK] をクリックします。
関連トピック:
372 ページの「レポートの管理」
372 ページの「四半期レポートの開始月を設定」
373 ページの「レポートの追加」
375 ページの「レポート レイアウトの追加」
379 ページの「レポート条件の追加」
380 ページの「レポートにホスト名を表示する」
379 ページの「画像の選択 または 背景画像 ページ」
画像の選択 または 背景画像 ページ
画像を ESM に追加するか、既存の画像を選択します。
表 7-17 オプションの定義
オプション
定義
[画像の選択] テーブル ESM 上の画像を表示します。1 つを選択し、[OK] をクリックします。
[追加]
新しい画像を ESM に追加します。
[名前を変更]
ESM に現在ある画像の名前を変更します。リスト上の各画像の名前は一意である必要が
あります。
[削除]
画像を ESM から削除します。
関連トピック:
378 ページの「PDF とレポートに画像を含める」
レポート条件の追加
レポート設定時に使用できる条件を追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[条件] をクリックして、必要な情報を入力します。
3
[OK] をクリックして設定を保存します。
このオプションは、レポートの条件を選択する際に使用可能な条件のリストに表示されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
379
7
イベントの操作
レポートの管理
関連トピック:
372 ページの「レポートの管理」
372 ページの「四半期レポートの開始月を設定」
373 ページの「レポートの追加」
375 ページの「レポート レイアウトの追加」
378 ページの「PDF とレポートに画像を含める」
380 ページの「レポートにホスト名を表示する」
380 ページの「[条件] ページ」
380 ページの「[条件を追加] ページ」
[条件] ページ
レポート条件を追加すると、指定した条件に一致した場合にレポートが生成されます。
表 7-18 オプションの定義
オプション
定義
[条件] テーブル
既存の条件を表示します。
[追加]
新しい条件の設定を指定します。
[編集]
既存の条件の設定を変更します。
[削除]
既存の条件を削除します。
関連トピック:
379 ページの「レポート条件の追加」
[条件を追加] ページ
新しい条件を ESM に追加します。一度追加すると、レポート設定の定義時に選択できます。
表 7-19 オプションの定義
オプション
定義
[名前]
この条件の名前を入力します。
[タイプ]
条件をトリガーする頻度を選択します。
[メモ]
この条件を説明するメモを入力します。
[プロパティ]
トリガー時間の詳細を定義します。オプションは、選択したタイプによって異なります。
関連トピック:
379 ページの「レポート条件の追加」
レポートにホスト名を表示する
レポートで送信元と宛先の IP アドレスに DNS 解決を使用するように、レポートを設定できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
380
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
[レポート] をクリックして [追加] をクリックします。セクション 1 から 4 に必要な情報を入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
contains フィルターと regex フィルターの説明
7
3
セクション 5 で [追加] をクリックし、ドラッグ アンド ドロップ操作で [テーブル]、[棒グラフ] または [円グ
ラフ] コンポーネントを移動し、[クエリー ウィザード] を完了します。
4
[レポート レイアウト] エディターを開き、[プロパティ] ペインの [クエリー] セクションで [IP をホスト名に変
換する] を選択します。
レポート以外に、[ホスト] テーブルの DNS 参照結果を表示できます ([システムのプロパティ] 、 [ホスト])。
関連トピック:
372 ページの「レポートの管理」
372 ページの「四半期レポートの開始月を設定」
373 ページの「レポートの追加」
375 ページの「レポート レイアウトの追加」
378 ページの「PDF とレポートに画像を含める」
379 ページの「レポート条件の追加」
contains フィルターと regex フィルターの説明
contains フィルターと regex フィルターでは、インデックス文字列データとインデックス未作成文字列データの
両方にワイルドカードを使用できます。 これらのフィルターには構文用件があります。
これらのコマンドは、テキストまたは文字列データが入るフィールドで使用できます。テキスト フィールドの大半
は、フィルター フィールド名の横に
アイコンが表示されています。これは、大文字と小文字が区別されないこと
を意味します。contains を使用できる他のフィールドにはこのアイコンが表示されません。フィールドの完全な
リストについては、『contains 機能が使用できるフィールド』を参照してください。
構文と例
contains の基本構文は contains(somevalue) です。regex の基本構文は regex(someregularexpression)
です。
をクリックするか、regex(/somevalue/i) のように、
大文字と小文字を区別しないようにするには、アイコン
正規表現に /i を追加します。検索を実行すると、大文字小文字に関係なく、somevalue を含む値が戻されます。
NOT と OR
は regex と contains の値に適用されます。 値を含まない結果を表示する場合には、値を入力し
て NOT アイコンをクリックします。 何らかの値を含む結果を表示する場合には、値を入力して OR アイコンをクリ
ックします。
例 #1 - 簡単な検索
インデックス付きフィールド:
contains(stra)、regex(stra)
インデックスのないフィールド: stra
結果:
stra を含む任意の値が戻されます。例: administrator、gmestrad、straub な
ど。
例 #2 - OR 検索
インデックス付きフィールド:
contains(admin,NGCP)、regex((admin|NGCP))
インデックスのないフィールド: admin,NGCP
結果:
McAfee Enterprise Security Manager 9.6.0
フィールドに admin を含む文字列か NGCP を戻します。regex で OR を使用
するには括弧が必要です。
製品ガイド
381
7
イベントの操作
contains フィルターと regex フィルターの説明
例 #3 - 特殊文字の検索 (サービス アカウントなど)
ドル記号:
インデックス付きフィールド:
contains($)、regex(\x24) または regex(\$)
インデックスのないフィールド: $
結果:
フィールドに $ を含む文字列を戻します。文字の HEX 値については、http://
www.ascii.cl を参照してください。
regex の場合、スケーリングせずに $ を使用すると、空の結果が戻されます。PCRE のエスケープ シーケンスのほ
うが良い結果が得られます。
パーセント記号:
インデックス付きフィールド:
contains(%)、regex(\x25) または regex(\%)
インデックスのないフィールド:
%
バックスラッシュ:
インデックス付きフィールド:
contains(\)、regex(\x5c) または regex(\\)
インデックスのないフィールド:
\
二重のバックスラッシュ
インデックス付きフィールド:
contains(\\)、regex(\x5c\x5c) または regex(\\\)
インデックスのないフィールド:
\\
HEX 値を使用しなかったり、regex でスラッシュを使用しないと、『無効な正規表現 (ER5-0015)』 エラーが発生
する場合があります。
例 #4 - * ワイルドカードを使用した検索
インデックス付きフィールド:
contains (ad*)
インデックスのないフィールド:
ad*
結果:
ad で始まる文字列が戻されます。例: administrator、address など。
例 #5 - 正規表現を使用した検索
これらのドメインは、Microsoft DNS イベントから使用しました。
regex(nitroguard\x28[3-4]\x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
382
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
contains フィルターと regex フィルターの説明
7
(3)www(10)nitroguard(7)oddball(0)
結果:
この正規表現は特別な文字列を取得します。ここでは、nitroguard、3 または 4 文字のプライ
マリー ドメイン、com または info です。この正規表現は、最初の 2 つの式に一致しますが、残
りの式には一致しません。これらの例は、この機能が正規表現を処理する方法を説明するためのも
のです。実際はこれよりも複雑になります。
注意
•
3 文字以下の値で regex を使用すると、オーバーヘッドが高くなり、クエリーのパフォーマンスが低下します。
4 文字以上でクエリーを実行してください。
•
このフィルターは、相関ルールまたはアラームで使用できません。 ただし、名前/値カスタム タイプの相関ルー
ルでは使用できます。
•
contains または regex で NOT を使用すると、オーバーヘッドが高くなり、クエリーのパフォーマンスが低下
する場合があります。
Bloom フィルターの説明
Bloom フィルターの詳細については、http://en.wikipedia.org/wiki/Bloom_filter を参照してください。
contains 機能と regex 機能を使用できるフィールド
Access_Resource
File_Operation_Succeeded
Referer
Application
File_Path
Registry_Key
Application_Protocol
File_Type
Registry_Value
Area
Filename
Request_Type
Authoritative_Answer
Forwarding_Status
Response_Code
Bcc
From
Return_Code
Caller_Process
From_Address
RTMP_Application
Catalog_Name
FTP_Command
Sensor_Name
Category
Host
Sensor_Type
Cc
HTTP_Req_Cookie
Sensor_UUID
Client_Version
HTTP_Req_Host
Session_Status
Command
HTTP_Req_Method
Signature ID
Contact_Name
HTTP_Req_Referer
Signature_Name
Contact_Nickname
HTTP_Req_URL
SNMP_Error_Code
Cookie
HTTP_User_Agent
SNMP_Item
Creator_Name
Incomtin_ID
SNMP_Item_Type
Database_ID
Interface
SNMP_Operation
Database_Name
Interface_Dest
SNMP_Version
Datacenter_ID
Job_Name
Source User
Datacenter_Name
Job_Type
Source_Context
DB2_Plan_Name
Language
Source_Logon_ID
Delivery_ID
Local_User_Name
Source_Network
Description
Logical_Unit_Name
Source_UserID
Destination User
Logon_Type
Source_Zone
McAfee Enterprise Security Manager 9.6.0
製品ガイド
383
7
イベントの操作
ESM ビューの操作
Destination_Directory
LPAR_DB2_Subsystem
SQL_Command
Destination_Filename
Mail_ID
SQL_Statement
Destination_Hostname
Mailbox
Step_Count
Destination_Logo_ID
Mainframe_Job_Name
Step_Name
Destination_Network
Malware_Insp_Action
Subject
Destination_UserID
Malware_Insp_Result
SWF_URL
Destination_Zone
Management_Server
Table_Name
Detection_Method
Message_ID
Target_Class
Device_Action
Message_Text
Target_Context
Direction
Method
Target_Process_Name
Directory
NTP_Client_Mode
TC_URL
DNS_Class
NTP_Opcode
Threat_Category
DNS_Name
NTP_Request
Threat_Handled
DNS_Type
NTP_Server_Mode
Threat_Name
Domain
Object
To
Event_Class
Object_Type
To_Address
External_Application
Operating_System
URL
External_DB2_Server
Policy_Name
URL_Category
External_Hostname
Privileged_User
User_Agent
External_SessionID
Process_Name
User_Nickname
Facility
Query_Response
Version
File_Operation
Reason
Virtual_Machine_ID
Virtual_Machine_Name
次のカスタム タイプでは、contains と regex を使用できます。
ビュー
ケース管理
• 文字列
• メモ
• ランダム文字列
• サマリー
• 名前/値
• 履歴
• ハッシュ文字列
ESM ビューの操作
ESM は、デバイスがログに記録するイベント、フロー、資産、脆弱性の情報を取得します。 情報は相関が設定され、
McAfee Security Event Aggregation and Correlation(MSEAC)エンジンに挿入されます。
目次
ESM ビューの使用
セッションの詳細を表示する
ビュー ツールバー
定義済みビュー
カスタム ビューを追加する
ビュー コンポーネント
384
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
クエリー ウィザードの操作
ビューの管理
イベントを確認する
イベントの IP アドレスの詳細を表示する
デフォルト ビューを変更
ビューのフィルタリング
ウォッチリスト
文字列の正規化
ESM ビューの使用
MSEAC エンジンを使用して、ESM が取得するデータを分析して、強力で柔軟性のあるレポート ビューアーで確認
できます。このビューアーは、ESM コンソールの中央に表示されます。ビューには、システム ナビゲーション ツリ
ーで選択したデバイスのデータが示されます。
ESM コンソールが起動されると、デフォルトのビューが表示されます(『デフォルトのビューの変更』を参照)。ビ
ュー機能を使用して別の定義済みのビューを選択(『定義済みビュー』を参照)するか、新しいビューを作成(『カス
タム ビューの追加』を参照)して、ネットワーク上の状況を確認できるクエリーを実行できます(『ESM ビューのツ
ールバー』を参照)。また、ビューのツールバー、コンポーネント メニュー、コンポーネント ツールバーの各種オプ
ションを使用して、ビューおよびビューのデータと連携できます。
進捗状況バーは、クエリーが実行されるビュー ペインの各コンポーネントに表示されます。カーソルを合わせると、
各コンポーネントのクエリーの実行の経過時間と割合が示されます。ESM リソースを解放するためにクエリーをキ
ャンセルするには、進捗状況バーの右側の削除アイコンをクリックします。
ソース IP アドレスと宛先 IP アドレスの非セット値または集計値は、すべての結果セットに「0.0.0.0」の代わりに
「::」がビューに表示されます。たとえば ::ffff:10.0.12.7 の場合、0:0:0:0:0:FFFF: A00:C07(A00:C07 は
10.0.12.7)が挿入され、::0000:10.0.12.7 は 10.0.12.7 になります。
セッションの詳細を表示する
[セッション ビューアー] でセッション ID とイベントの詳細を表示し、csv ファイルに保存できます。
セッション ID を表示するには、イベントがセッションで発生している必要があります。 セッションは、ソースと宛
先の接続で確立します。 デバイスまたは ESM 内部のイベントにセッション ID はありません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ビュー ドロップダウン リストで、表示するセッションのビューを選択します。
2
イベントを選択して、コンポーネントのタイトル バーにあるメニュー アイコンをクリックし、 [イベント ドリル
ダウン] 、 [イベント]の順に選択します。
3
イベントをクリックし、[詳細情報] タブをクリックします。[セッション ID] フィールドの横にある [セッション
データを表示] アイコン
をクリックします。
[セッション ビューアー] が開き、セッションの詳細が表示されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
385
7
イベントの操作
ESM ビューの操作
ビュー ツールバー
ビュー ペインの上部にあるビュー ツールバーには、ビューの設定時に使用する複数のオプションが用意されていま
す。
表 7-20
オプション
説明
1 - [デバイス ツリーを非表示]
デバイス ツリー ペインを非表示にして現在のビューを拡張
する場合にクリックします。
2 - ビュー ナビゲーション
以前のビューを前後に移動します。
3 - ビュー リスト
ドロップダウン リストからビューを選択します。このリス
トに表示するように選択した定義済みビューとカスタム ビ
ューがすべて表示されます。
4 - [表示を管理]
すべてのビューを管理します(『ビューの管理』を参照)。ビ
ュー リストに含めるビューの選択、フォルダーの追加、ビ
ューの名前の変更、削除、コピー、インポート、エクスポー
トを行うことができます。
5 - [現在のビューを更新]
ビュー ペインに現在表示されているすべてのデータを更新
します。
6 - デフォルトのビュー
デフォルトのビューに戻します。
7 - [現在のビューを印刷]
現在のビューのコピーを印刷します。次の印刷オプション
があります。
• [すべてのコンポーネントをページに合わせてサイズ変
更] - ビューに含まれるコンポーネントがページに合わ
せてサイズ変更されます。
• [各コンポーネントを別のページに印刷] - ビューに含ま
れる各コンポーネントが別のページに印刷されます。[ペ
ージに合わせてコンポーネントのサイズを変更する] をク
リックした場合、各コンポーネントのサイズがページに合
わせて変更されます。
• [表示領域のみ印刷] - 画面に表示されるビュー部分のみ
印刷されます。
• [PDF にエクスポート] - ビューが PDF ファイルとして
保存されます。
386
8 - [現在のビューを編集]
現在表示されているビューがカスタム ビューの場合に変更
します。このオプションをクリックすると、[編集ツールバ
ーを表示] が開きます(『カスタム ビューの作成』を参照)。
9 - [新しいビューを作成]
新しいカスタム ビューを作成します(『カスタム ビューの作
成』を参照)。
10 - 時間枠
ビューに表示する情報の時間枠を指定します。
11 - [フィルターを非表示]
フィルター ペインを非表示にして現在のビューを拡張する
場合にクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
定義済みビュー
ビューのドロップダウン リストから、システムに用意されているビューと後から追加したカスタム ビューにアクセ
スできます。
定義済みビューには複数のタイプがあります。
•
[資産、脅威、リスク] ビューには、資産、脅威、リスク データのサマリーが表示されます。システム対する影響
も確認できます。
•
[コンプライアンス ビュー] - 規制遵守アクティビティの合理化を支援します。
•
[ダッシュボード ビュー] - システムの特定の側面に関するクイック ビューを提供します。
•
[デバイス ステータス] - システム ナビゲーション ツリーで選択したデバイスのステータスを表示します。 こ
のビューでデバイスをクリックすると、選択したデバイスに関する正常性情報がビューの下半分に表示されます。
•
[高度な ELM 検索] では、検索の処理状況と結果をリアルタイムで追跡できます。 このビューは、システム上に
ELM が存在する場合にのみ使用できます (『高度な ELM 検索ビュー』 を参照)。
•
[イベント ビュー] - システム ナビゲーション ツリーで選択したデバイス関連イベントによって生成された情
報を細分化します。
•
[エグゼクティブ ビュー] - 非 IT 従事者にとって最も関心の高いシステムの側面について概要を提供します。
•
[フロー ビュー] - Nitro IPS によって作成した各フロー (または接続) に関して記録した情報を細分化します
(『フロー ビュー』 を参照)。
•
[McAfee Event Reporter] - 各種 McAfee 製品の製品別ビューが含まれています。
•
[リスク ビュー] は、ACE デフォルト マネージャーで使用されます。 カスタム マネージャーのデータを適切に
表示するには、カスタム ビューを構築する必要があります。
•
[イベント ワークフロー ビュー] には次のビューが表示されます。
•
[トリガーされたアラーム] — アラーム条件を満たしたときにトリガーされたすべてのアラームを表示し、管
理します (『トリガーされたアラーム ビュー』 を参照)。
•
[ケース管理] - システムのケースを表示して管理ます (『すべてのケースを表示する』を参照)。
関連トピック:
387 ページの「フロー ビュー」
388 ページの「フローのロギングを有効化」
388 ページの「[高度な ELM 検索] ビュー」
389 ページの「高度な ELM 検索の実行」
フロー ビュー
フローとは、デバイスを通じて行われた接続のレコードです。Nitro IPS でフロー分析を有効にすると、Nitro IPS
を通じて行われた各フローまたは接続に関するデータが記録されます。
フローには、ソースおよび宛先 IP アドレス、ポート、MAC アドレス、プロトコル、最初および最後の時刻 (接続の
開始から終了までの時間) が含まれます。
フローは異常なトラフィックまたは悪意のあるトラフィックを示すものではないため、フローの数はイベントよりも
多くなります。 フローはイベントのようにルール シグネチャ(SigID)には関連付けられていません。フローは、ア
ラート、ドロップ、拒否などのイベント アクションと関連付けられません。
特定のデータは、ソースおよび宛先バイト、ソースおよび宛先パケットを含み、フローに一意です。 ソース バイト
とパケットは、フローのソースから転送されたバイト数とパケット数を表します。 宛先バイトとパケットは、フロー
の宛先から転送されたバイト数とパケット数を表します。 フローには方向があります。インバウンド フローは、
HOME_NET の外側から流れるフローです。 アウトバウンド フローは、HOME_NET の内部から送信されるフロー
です。 この変数は、Nitro IPS のポリシーで定義されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
387
7
イベントの操作
ESM ビューの操作
フロー データを表示するには、フロー データが記録されるようにシステムを設定する必要があります。その後に、
[フロー分析] ビューにフローを表示できるようになります。
関連トピック:
387
388
388
389
ページの「定義済みビュー」
ページの「フローのロギングを有効化」
ページの「[高度な ELM 検索] ビュー」
ページの「高度な ELM 検索の実行」
フローのロギングを有効化
Nitro IPS のフロー分析データを表示するには、2 つのファイアウォール変数を有効にする必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システムのナビゲーション ツリーでデバイスを選択します。
[ポリシー エディター] アイコン
をクリックし、[ルール タイプ] ペインで [変数] を選択します。
3
ルール表示ペインで [ファイアウォール] カテゴリを展開します。
4
[INBOUND_CONNECTION_STATISTICS] 行で [継承] を選択解除して継承値を無効にし、はい と入力して
[OK] をクリックします。
5
[OUTBOUND_CONNECTION_STATISTICS] では、[継承] を選択解除して継承値を無効にし、はい と入力して
[OK] をクリックします。
関連トピック:
387
387
388
389
ページの「定義済みビュー」
ページの「フロー ビュー」
ページの「[高度な ELM 検索] ビュー」
ページの「高度な ELM 検索の実行」
[高度な ELM 検索] ビュー
システムに ELM デバイスがある場合は、[高度な ELM 検索] ビューを使用できます。 これにより、詳細な検索を実
行したり、ELM 内のログの検索時に検索の状況と結果をリアルタイムで追跡できます。
このビューでは、ELM アーカイブの統計レポート機能を利用して検索が必要なデータ量をリアルタイムで確認できま
す。これにより、クエリーを制限して検索対象のファイル数を最小限に抑えることができます。
検索の実行中は、グラフに推定される結果が表示されます。
•
[結果時間の分布] グラフ — 時間分布に基づく推定値と結果が表示されます。下部の軸は、時間枠ドロップダウ
ン リストの変更内容に応じて変化します。
•
[データ ソースの結果] グラフ — システム ナビゲーション ツリーで選択したデバイスのデータ ソースに基づい
て、データ ソースごとの推定値と結果が表示されます。
•
[デバイス タイプの結果] グラフ — システム ナビゲーション ツリーで選択したデバイスに基づいて、デバイス
タイプごとの推定値と結果が表示されます。
これらのグラフのデータは検索が開始する前に入力され、見つかった検索結果に応じて更新されます。[データ ソー
スの結果] または [デバイス タイプの結果] グラフで 1 つ以上の棒を選択するか、[結果時間の分布] グラフのセクシ
ョンを強調表示します。[フィルターを適用] をクリックして、検索結果の表示が開始されるとともに検索を絞り込み
ます。その方法で検索結果にドリルダウンし、検索が必要なデータ量を制限することができます。検索が完了すると、
これらのグラフに実際の結果が表示されます。
388
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
関連トピック:
387 ページの「定義済みビュー」
387 ページの「フロー ビュー」
388 ページの「フローのロギングを有効化」
389 ページの「高度な ELM 検索の実行」
高度な ELM 検索の実行
1 つ以上の ELM デバイスでログを検索し、定義する情報を確認します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ビュー ペインで、ドロップダウン リストから [高度な ELM 検索] を選択します。
2
システム上に 2 つ以上の ELM デバイスがある場合、検索するデバイスをテキスト フィールドの隣のドロップダ
ウン リストから選択します。
3
テキスト フィールドに通常のテキスト検索または正規表現を入力します。
4
[現在の日付] 以外の時間枠にする場合は、ドロップダウン リストで選択します。
5
システム ナビゲーション ツリーで、検索するデバイスを選択します。
6
必要であれば、次のオプションを 1 つまたは複数選択します。
7
•
[大文字と小文字を区別しない] — 検索で大文字と小文字を区別しません。
•
[正規表現] — 検索フィールド内の用語を正規表現として扱います。
•
[検索用語が含まれていません] — 検索フィールドに用語が含まれていない一致を返します。
[検索] をクリックします。
結果はビューの [検索結果] セクションに表示されます。
8
検索時または完了後に、次のいずれかを行います。
オプション
定義
[検索を保存]
ビューから移動した場合でも、この検索の結果を保存します。保存した検
索結果は、[ELM のプロパティ] 、 [データ] の順に移動すると表示できま
す。
[検索結果ファイルをダウンロード 結果を指定した場所にダウンロードします。
します]
[選択したアイテムをクリップボー 選択したアイテムをクリップボードにコピーして、ドキュメントにペース
トできるようにします。
ドにコピー]
[データ詳細を表示]
選択したログの詳細を [検索結果] テーブルに表示します。
関連トピック:
387 ページの「定義済みビュー」
387 ページの「フロー ビュー」
388 ページの「フローのロギングを有効化」
388 ページの「[高度な ELM 検索] ビュー」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
389
7
イベントの操作
ESM ビューの操作
カスタム ビューを追加する
カスタム ビューには、必要な情報を表示できるコンポーネントが含まれています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
をクリックし、[編集ツールバーを表示] からコンポー
ビュー ツールバーの [新しいビューを作成] アイコン
ネントをクリックしてドラッグします (「コンポーネントを表示する」を参照)。
[クエリー ウィザード] で、表示するデータがビューで生成されるように選択し (「[クエリ ウィザード]の使い
方」を参照)、[完了] をクリックします。
追加したコンポーネントにデータが表示されます。
3
次のいずれかを行います。
これを...
実行するには...
コンポーネントを移動し
コンポーネントのタイトル バーをクリックし、ドラッグ アンド ドロップします。
デフォルトで IP アドレ
スではなくホスト名を表
示する
IP アドレスが表示されるコンポーネントのツールバーで、[ホスト名を表示]
イコンをクリックします (「ホスト名を管理する」を参照)。
コンポーネントをカスタ
マイズ
コンポーネントをクリックし、[プロパティ] ペインで設定を変更します (「コンポ
ーネントをカスタマイズする」を参照)。
ビューにコンポーネント
を追加
1 コンポーネントをクリックしてドラッグします。
ビューを保存
1 [保存] または [名前を付けて保存] をクリックし、ビューの名前を入力します。
ア
2 [クエリー ウィザード] で、表示するデータがビューで生成されるように選択し、
[完了] をクリックします。
既存のフォルダーに保存する場合は、フォルダーを選択します。
2 [OK] をクリックします。
コンポーネントをコピー
して貼り付けます。
1 コピーするコンポーネントをクリックします。
コンポーネントを削除
コンポーネントを選択して [削除] をクリックします。
2 [コピー] をクリックし、[貼り付け] をクリックします。
ビューを保存せずにビュ すべてのコンポーネントを削除し、[ビューの編集] ツールバーを閉じます。
ー エディターを終了する
ビュー コンポーネント
カスタム ビューを作成して、イベント、フロー、資産、脆弱性データを最も役立つ方法で表示します。
各ビューは、[ビューの編集ツールバー] で選択して、データを表示するように設定するコンポーネントで構成されま
す。選択すると、[クエリー ウィザード] が開き、コンポーネントに表示されるデータの詳細を定義できます。
390
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
ビュー コンポーネントの説明
カスタム ビューに追加できるコンポーネントは 13 種類あります。 最適な形式でデータが表示されるように、これ
らのコンポーネントを使用してビューをセットアップできます。
コンポーネント
[制御ダ
イヤル]
説明
データが一覧表示されます。これは動的な機能であり、コンソール内の他のコンポーネントに
リンクできます。ESM コンソールとのインタラクションに応じて更新されます。
) があります。ダイヤル周囲の傾斜のベー
各ダイヤルにはベースライン インジケーター (
スライン インジケーターから上の部分が赤色になります。オプションで、異常な動作があった
場合にダイヤル全体の色が変わるように設定することもできます。その場合、ベースラインの
特定のしきい値内にある場合は黄色、しきい値を超えると赤色になります。
[レート] オプションを選択すると、表示中のデータのレートを調整できます。たとえば、[現
在の日付] と [イベント合計数] を表示しているときにレートを時間に変更すると、その日付の
1 時間あたりのイベント数が表示されます。このオプションは、表示しているクエリーの平均
が、[平均重大度] や [平均バイト数] などによってすでに計算されている場合には無効になり
ます。
[ソース
イベントまたはフローの IP アドレスの概要アクティビティが表示されます。イベント オプシ
と宛先の ョンを選択すると、IP アドレスを指定して、指定した IP アドレスに対して実行されたすべて
グラフ]
の攻撃を表示するとともに、指定した IP アドレスが他のアドレスに対して実行したすべての
攻撃も表示できます。フロー オプションを選択すると、IP アドレスを指定してそれらに接続
されている IP アドレスを表示するとともに、その IP アドレスからの接続を表示することがで
きます。
このグラフではコンポーネントの下部に空白のフィールドがあり、ソースイベントと宛先イベ
ント、または特定の IP アドレスのフローを表示できます。フィールドにアドレスを入力する
か、以前使用したアドレスを選択し、[更新] アイコン
をクリックします。
[円グラ
フ]
クエリーされた情報が円グラフで表示されます。これは、表示するカテゴリが比較的少ない場
合に便利です (たとえばプロトコルまたはアクション クエリー)。
[テーブ
ル]
クエリー情報が複数の列で表示されます。このコンポーネントは、イベント データとフロー
データを最高の精度で表示する場合に便利です。
[棒グラ
フ]
クエリーされた情報が棒グラフで表示され、特定の時間範囲について、それぞれの結果のサイ
ズを比較できます。
[リスト]
選択したクエリー データがリスト形式で表示されます。このコンポーネントは、より詳細なア
イテムのリストを小さい領域で表示する場合に便利です。
[分布]
特定の時間範囲のイベントとフローの分布が表示されます。データを形成する特定のタイム
スライスを表示する間隔を設定できます。
[メモ領
域]
テキストベースのメモに使用される空白のコンポーネント。現在のビューに関連するメモを書
き込むことができます。
[カウン
ト数]
特定のビューについてクエリーされたイベント、資産、脆弱性、またはフローの合計数が表示
されます。
[タイト
ル]
ビューのタイトルまたは見出しを作成できます。ビューの任意の場所に配置できます。
[ネット
ワーク
トポロ
ジ]
ネットワーク全体のデータを表示することができます。また、ネットワーク検出データと一緒
に表示するように、カスタム ビューを構築できます (「ネットワーク トポロジ コンポーネン
トにデバイスを追加する」を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
391
7
イベントの操作
ESM ビューの操作
コンポーネント
説明
[位置情
報マッ
プ]
アラートとフローの宛先とソースの場所が、位置情報マップに表示されます。このコンポーネ
ントのオプションを選択すると、都市、州、国、および世界の地域のマーク、ズーム イン/ズ
ーム アウトを切り替え、Ctrl キーと Shift キーを使用して場所を選択できます。
[フィル
ター リ
スト]
Active Directory 内のユーザーとグループのリストが表示されます。[フィルター リスト] コ
ンポーネントを追加すると、[クエリー ウィザード] の [ソース ユーザー] または [宛先ユーザ
ー] フィルター フィールドで下向き矢印をクリックし、[Active Directory リストにバインド]
を選択することで、その他のコンポーネントをバインドできます。メニュー アイコンをクリッ
クすると、[Active Directory] に関連付けられているイベント データとフロー データを表示
することもできます。
関連トピック:
392 ページの「コンポーネントをカスタマイズする」
394 ページの「ネットワーク トポロジ コンポーネントのデバイスの詳細」
395 ページの「コンポーネント ツールバー」
398 ページの「コンポーネントのメニュー オプション」
コンポーネントをカスタマイズする
コンポーネントを追加または編集する場合は、[プロパティ] ペインで、カスタマイズに使用するオプションを選択す
ることができます。使用できるオプションは、選択したコンポーネントによって異なります。
392
オプション
定義
[タイトル]
コンポーネントのタイトルを変更します。
[幅/高さ]
コンポーネントの寸法を設定します。境界線をクリックしてドラッグすることもできます。
[X/Y]
ビュー上のコンポーネントの場所を設定します。コンポーネントのタイトル バーをクリックし
て、ドラッグ アンド ドロップすることもできます。
[クエリの編集]
現在のクエリーに変更を加えます。このボタンをクリックすると、[クエリー ウィザード] が開き
ます (「[クエリー ウィザード] の使用方法」を参照)。
[制御バーを表
示]
コンポーネントの下部に制御バーを表示するかどうかを設定します。
[ページ サイ
ズ]
データ量が多いため一度に表示できない場合に、ページごとに表示されるレコード数を設定しま
す。
[その他の値を
表示]
このオプションを選択すると、グラフまたはリスト コンポーネントの下部に [その他] の値が表
示されます。現在のページに表示されていないレコードの合計数を示します。たとえば、レコー
ド セットの 2 ページ目を表示している場合、[その他] カテゴリは、1 ページ目と、3 ページ目
以降のすべてのページの値の合計になります。
[凡例を表示]
円グラフの下または右に凡例を表示します。
[値を表示]
各アイテムの値を棒グラフに表示します。
[ラベルを表示]
棒グラフの各棒のラベルを表示します。ラベルに表示できる最大文字数を設定できます。0 に設
定すると、ラベルの最大文字数制限が適用されません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
オプション
定義
[ベースライン
の平均を表示]
分布グラフまたは棒グラフ、あるいは制御ダイヤルで、現在のデータと履歴データを比較するか
どうかを選択します。ベースライン データを表示する場合には、異なる 2 つのオプションを選択
できます。
• [自動時間範囲] — このオプションを選択すると、過去 5 回の間隔に対する現在のクエリーで
使用されている期間と同じ期間で、ベースライン データが相関されます。たとえば、月曜に当
日のクエリーを行うと、過去 5 回の月曜と同じ時間でベースライン データが計算されます。特
定の間隔についてデータが存在しない場合は、使用する間隔の数が少なくなります。各間隔か
ら収集された値は、平均値によって現在のベースライン値が計算されます。
• [特定の時間範囲を使用] — この時間範囲を選択して、平均値の計算に使用する開始時間と終了
時間を指定できます。このオプションでは、単一の期間として計算されます。分布レポートの
場合は、フラットな平均が計算されます。
ベースライン データは、分布グラフでは青い線で表示されます。[特定の時間範囲を使用] オプシ
ョンを選択した場合、または相関値を計算できるだけのデータがない場合には、線がフラットに
なります。相関値が計算されると、線が曲線になります (各期間について異なる値が表示されると
仮定)。棒グラフでは、各棒のベースラインのポイントに矢印のインジケーターが表示されます。
現在の値がベースライン値よりも大きい場合は、棒のベースライン マーカーから上の部分が赤く
なります。棒グラフにルールの重大度が表示されている場合は、ベースラインの値によって棒の
色が変わることはありません。
また、ベースライン データと合わせて、マージンの値が表示されるように設定するオプションも
あります。マージンの値は、ベースライン値から計算されます。たとえば、ベースライン値が 100
でマージンが 20% である場合には、計算されたマージン値は 120 になります。この機能をオン
にすると、棒グラフ内の各棒について、マージン領域が表示されます。分布グラフでは、ベース
ラインの平均値が計算され、ベースラインの上下にマージン領域を示すシェード領域が表示され
ます。
[デバイス リス
ト]
[ネットワーク トポロジ] コンポーネントまたは [論理デバイスのグループ] ツリーに、デバイス
をドラッグ アンド ドロップします。
[論理デバイス
のグループ]
[ネットワーク トポロジ] コンポーネント用のデバイスをグループ化するフォルダーを作成しま
す。
[バックグラウ
ンド]
ビューの背景色を選択します。[背景画像の URL] では、背景として使用する画像をインポートで
きます。
関連トピック:
391 ページの「ビュー コンポーネントの説明」
394 ページの「ネットワーク トポロジ コンポーネントのデバイスの詳細」
395 ページの「コンポーネント ツールバー」
398 ページの「コンポーネントのメニュー オプション」
ネットワーク トポロジ コンポーネントにデバイスを追加する
ネットワーク トポロジによって、デバイスまたはデバイス ツリーからイベント データとフロー データを取得し、ネ
ットワーク全体のデータを表示することができます。
開始する前に
デバイスのリストを表示するには、先にネットワークを検出する必要があります (「ネットワーク検出」
を参照)。
ネットワーク検出データで使用するカスタム ビューを構築することもできます。ネットワーク トポロジ ビューを
作成したら、イベント情報またはフロー情報が表示されるようにカスタマイズする必要があります (「カスタム ビュ
ーを追加する」を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
393
7
イベントの操作
ESM ビューの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ビューを追加または編集する場合には、[イベント ネットワーク トポロジ] コンポーネントをクリックしてドラ
ッグし、必要な場所にドロップします。
[プロパティ] ペインに [デバイス リスト] と [論理デバイスのグループ] ツリーが表示されます。
2
3
[デバイス リスト] または [フォルダー リスト] でデバイスまたはフォルダーを選択し、次のいずれかを実行しま
す。
•
デバイスまたはフォルダーをコンポーネントに追加するには、コンポーネントにドラッグ アンド ドロップし
ます。
•
[論理デバイスのグループ] ツリーのグループにデバイスまたはフォルダーを追加するには、[追加] をクリッ
クし、フォルダーの名前を入力して [OK] をクリックし、デバイスをフォルダーにドラッグ アンド ドロップ
します。
デバイスを並び替えます。
システムに物理的に接続されているデバイスは、コンポーネント上で黒い直線で接続します。青または赤の曲線はデ
ータ パスを示します。
ネットワーク トポロジ コンポーネントのデバイスの詳細
デバイスをダブルクリックすると、[ネットワーク トポロジ] コンポーネントにある特定のデバイスの詳細を表示で
きます。 この画面には、ポートのサマリー、デバイスの合計数、デバイスのステータスなど、インターフェースとエ
ンドポイントに関する情報が表示されます。
オプション
定義
[次のポートのサマリー]
現在表示されているポートを示します。
[合計]
デバイスの合計数を示します。
[ベースラインの平均以上] 現在のベースラインの平均を超えるデバイス数を示します。
ワークステーションを表します。
インターフェースにアラート データが関連付けられていて、データがベースラインの
平均未満であることを示します。
インターフェースにアラート データが関連付けられていて、データがベースラインの
平均を超えていることを示します。
インターフェースにアラート データが関連付けられていないことを示します。
動作だけでなく管理状態が停止中であることを示します。
ルーターを表します。
スイッチ ポートが動作中であることを示します。
394
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
オプション
定義
不明なデバイスを表します。
管理対象外デバイスを表します。
ESM が SNMP、ネットワーク検出、または ping を通じてデバイスと通信できないこ
とを示します。
関連トピック:
391 ページの「ビュー コンポーネントの説明」
392 ページの「コンポーネントをカスタマイズする」
395 ページの「コンポーネント ツールバー」
398 ページの「コンポーネントのメニュー オプション」
コンポーネント ツールバー
ビュー内の各コンポーネントの下部にあるコンポーネント ツールバーには、コンポーネント上のデータに対して実行
できる複数のアクションが用意されています。使用できるアクションは、コンポーネントのタイプによって異なりま
す。
オプション
定義
[イベントを確認済みとしてマーク] — 確認した特定のイベントをマ
ークします。 その後に、[イベント状態フィルターを変更] ドロップ
ダウン リストを使用して、確認済みのイベントのみ、または未確認
のイベントのみを表示することができます。
[イベントをケースまたは Remedy に割り当てる] — イベントをケ
ースに割り当てます (「ケースを管理する」)。または、電子メールを
Remedy システムに送信します (セットアップされている場合)。
このアイコンをクリックすると、次を選択できます。
• 新規ケースを作成
• イベントをケースに追加
• イベントを Remedy に送信 (「Remedy 電子メールを送信する」
を参照)
[デバイス URL を起動] - デバイスに URL を追加している場合に、
選択したイベントに関連する URL を起動します (「URL を追加す
る」を参照)。 URL を定義していない場合は、追加するように求めら
れます。
[ホスト名を表示] または [ホスト名を非表示] - ビューの IP アド
レスに関連付けられているホスト名を表示または非表示にします
(「ホスト名の管理」を参照)。
グラフ タイプ アイコン
McAfee Enterprise Security Manager 9.6.0
[グラフ タイプを変更] - データを表示するグラフのタイプを変更
します。 この機能のアイコンは、現在のグラフ タイプのコンポーネ
ント アイコンになります。
製品ガイド
395
7
イベントの操作
ESM ビューの操作
オプション
定義
[データ詳細を表示] または [データ詳細を非表示] - 選択したイベ
ントに関する詳細を表示または非表示にします。 このセクションに
は複数のタブがあります。
• [詳細]: 選択したイベントまたはフローについて得られる情報が表
示されます。
• [詳細情報]: ソース ネットワーク デバイス、宛先ネットワーク デ
バイス、Remedy に関する情報が表示されます。イベントやフロ
ーはそれぞれの ID によって検索できます。それぞれのレコード
を表示できる権限を持っている場合は、[イベント ID] または [フ
ロー ID] フィールドの右にある虫眼鏡アイコンをクリックしま
す。
• [位置情報]: 選択したイベントのソースおよび宛先の場所が示され
ます。
• [説明]: イベントに関連付けられている名前、説明、シグネチャま
たはルールが表示されます。
• [メモ]: イベントまたはフローに、特定のアイテムを表示するたび
に表示されるメモを追加することができます。
• [パケット]: 選択したイベントを生成したパケットのコンテンツを
取得します。このタブでは次の機能を実行できます。
• パケットを表示する形式を選択します。
•
•
をクリックしてパケット データを取得します。
をクリックして、コンピューターにパケットを保存します。
これがパケット キャプチャ (PCAP) (Receiver からの Nitro
IPS イベント、ADM イベント、Estreamer イベントなど) であ
る場合は、.pcap 拡張子付きで保存され、任意の PCAP 表示プ
ログラムで表示できます。パケット キャプチャでない場合は、
テキスト ファイルとして保存されます。
• イベントをクリックしたときにパケットが自動的に取得される
ように設定します。
• パケット内の情報を検索するには、[テキストを検索] フィールド
にキーワードを入力して
をクリックします。
[テキストを検索] フィールドには、角かっこやかっこなどの特
殊文字は入力しないでください。
• [ソース イベント]: 相関イベントまたは脆弱性イベントを選択す
ると、イベント生成の原因になったイベントのセットが表示されま
す。
• [ELM アーカイブ]: [テキストを検索] フィールドにテキストを入
力すると、ELM でアーカイブされたデータが取得されます。イベ
ントが集計されると、Receiver または ACE デバイスに最大 100
の集計イベントが表示されます。
• [カスタム タイプ]: カスタム タイプを定義している場合 (「カスタ
ム タイプ フィルター」を参照)、カスタム タイプ フィールドと、
396
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
オプション
定義
それらのフィールドに属するイベントからのデータが表示されま
す。
• [情報]: デバイス名、IP アドレス、オペレーティング システム、
デバイスのバージョン、システムの説明、システムの担当者、シス
テムの物理的な場所などの情報が表示されます。
• [インターフェース]: ポート名、ポート速度、VLAN、管理状態、
動作状態が表示されます。
• [近隣]: ローカル インターフェース、近隣デバイス、近隣インター
フェースなど、近隣のデバイスに関する情報が表示されます。
[間隔および間隔比率を変更] - グラフ内のデータを更新する頻度を
設定します。
[比率を設定] - 表示されるデータの比率を選択します (なし、毎秒、
毎分、毎時、毎日、毎週、毎月)。
[IP アドレス] - 特定の IP アドレスについて、ソース イベントおよ
び宛先イベント、またはフローを表示します。 フィールドにアドレ
スを入力するか、以前使用したアドレスを選択し、[更新] アイコン
をクリックします。
[位置情報オプション] - 都市、州、国、および世界の地域のマーク、
ズーム イン/ズーム アウトを切り替え、Ctrl キーと Shift キーを使
用して場所を選択します。
[ページを変更] - ページが複数ある場合に、データ間を移動します。
[イベント状態フィルターを変更] - 分析リストに表示するイベント
またはフローのタイプを選択します。 すべてのイベント、確認済み
のイベントのみ、未確認のイベントのみ、修復されたイベント、すべ
てのフロー、オープンになっているフローのみ、クローズになってい
るフローのみを表示できます。
履歴ボタン - ビューで行った変更を前後にスクロールします。
または
[データ パスを表示] または [データ パスを非表示] - イベントま
たはフロー データ接続と 2 つのデバイスを接続する行を表示または
非表示にします。
[テキストを非表示] - ネットワーク トポロジ ビューで、デバイス
のラベルを表示または非表示にします。
関連トピック:
391 ページの「ビュー コンポーネントの説明」
392 ページの「コンポーネントをカスタマイズする」
394 ページの「ネットワーク トポロジ コンポーネントのデバイスの詳細」
398 ページの「コンポーネントのメニュー オプション」
Remedy 電子メールの送信
Remedy システムを設定した場合、Remedy が必要なイベントをシステムに通知する電子メール メッセージを送信
できます。この処理を実行すると、イベント レコードに追加する Remedy ケース番号を受信します。
Remedy システムはユーザーにより設定され、McAfee Nitro IPS には接続しません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
397
7
イベントの操作
ESM ビューの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
イベント ビューで、Remedy のアクションが必要なイベントを強調表示します。
[イベントをケースまたは Remedy に割り当てる]アイコン
を選択します。
をクリックして、[イベントを Remedy に送信]
[接頭辞]、[キーワード]、[Enterprise ユーザー ID] を追加します。
4 (オプション)[詳細] の下に情報を追加して、システムにより生成されるイベント関連情報を含めます。
5
[送信] をクリックします。
コンポーネントのメニュー オプション
ビューのほとんどのコンポーネントには、使用可能なオプションを選択できるメニュー
使用できるアイテムを示します。
があります。 次の表に、
オプション
定義
[ドリルダウン] (イベント、
フロー、資産)
ドリルダウン リストで選択したデータ型の詳細を表示します。新しいビューに詳細
が表示されます。
[要約] または [要約の条件]
選択したイベントの特性を共有する他のイベントまたはフロー データが表示されま
す。たとえば、分析画面にポート スキャン イベントが表示されているときに、同じ
攻撃者によって生成された他のイベントを表示するには、イベントをクリックして
[要約の条件] を選択し、[ソース IP] をクリックします。
[集計設定を変更]
個々のルールについて、一般的な集計設定に対する例外を作成します(『イベント集
計設定に例外を追加』を参照)。
[アクショ
ン]
[新しいウォッ
チリストを作
成]
ビューでイベントを選択し、新しいウォッチリストに追加します (『ウォッチリス
ト』を参照)。
[ウォッチリス
トに追加]
ビューでイベントを選択し、既存のウォッチリストに追加します。
[新しいアラー
ムを作成]
ビューでイベントを選択し、値に基づいてアラームを作成します(『アラームを作成』
を参照)。
[MVM スキャ
ンを実行]
システムに McAfee Vulnerability Manager デバイスが存在する場合、McAfee
Vulnerability Manager スキャンを開始します。
[ePO を起動]
ePolicy Orchestrator インターフェースを開きます(『ePolicy Orchestrator を起
動する』を参照)。
[TIE 実行履歴] TIE イベントを選択した場合、[TIE 実行履歴] ページを開き、選択したファイルの
実行を試行した IP アドレスを確認できます。 このページでは、新しいウォッチリ
ストの作成、ウォッチリストへのファイルの追加、新しいアラームの作成、ブラック
リストへのファイルの登録、ファイルの CSV へのエクスポート、ファイルへの
ePolicy Orchestrator タグの追加を実行できます。
398
[ルールを表示]
イベントを発生させたルールを表示します。
[IP アドレスの詳細]
ソース/宛先の IP アドレスまたはポートに関する情報を検索します。 選択した IP
アドレスの脅威の詳細と WHOIS 参照の結果を確認できます。
[ASN 参照]
ASN 識別子を使用して WHOIS レコードを取得します。
[リファレンスを参照]
デフォルトの Web ブラウザーを開いて McAfee オンライン シグネチャ データベ
ースに接続します。選択したイベントを生成させたシグネチャに関する情報が表示
されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
オプション
定義
[Remedy ケース ID を設
定]
Remedy システムにイベント電子メールを送信したときに取得した Remedy ケー
ス ID を参照用としてイベント レコードに追加します (『Remedy ケース ID をイ
ベント レコードに追加する』を参照)。
[ブラックリスト]
選択したイベントから、IP アドレスをブラックリストに追加します。このオプショ
ンを選択すると [ブラックリスト エディター] が開き、IP アドレス フィールドに選
択したイベントのデータが入力されます (『IPS または仮想デバイスのブラックリス
ト』を参照)。
[ELM を検索]
選択したイベントに関する情報を ELM で検索します。 [高度な ELM 検索] ページ
が開き、選択したデータが入力されます (『高度な ELM 検索を実行する』を参照)。
[VLAN を変更]
選択したデバイスの VLAN を変更します。 1 台から 12 台のデバイスを選択でき
ます。
[ポートを無効化/有効化]
1 つまたは複数のインターフェースまたはエンドポイントを選択します。選択した
項目に応じて、無効化または有効化オプションが表示されます。 たとえば、5 つの
インターフェースを選択して、その中の 1 つを有効にし、残りの 4 つを無効にした
場合、有効になっているポートを無効にできますが、それ以外の操作はできません。
ただし、無効なポートを 1 つ選択すると、[ポートを有効化] オプションを使用でき
ます。
[イベントを表示/フローを表 フローによって生成されたイベント、またはイベントによって生成されたフローを表
示します。
示]
[エクスポート]
PDF、テキスト、CSV または HTML 形式でビュー コンポーネントをエクスポート
します (『ビューをエクスポートする』を参照)。
[削除]
データベースからイベントまたはフローを削除します。削除するには、イベント特権
を持つグループに属している必要があります。削除できるのは、現在選択されている
レコード、現在のページのデータ、または 1 ページからの最大ページ数だけです。
[確認済みとしてマーク]
イベントに確認済みのフラグを付けます。結果セットまたは現在のページのすべて
のレコード、または選択したレコードにマークできます。
[カスタム ファイアウォール 選択したイベントまたはフローのプロパティに基づいて、カスタム ファイアウォー
ルールを作成]
ル ルールを作成します。[カスタム ファイアウォール ルールを作成] をクリックす
ると、[新しいルール] ページが開きます (『カスタム ADM、データベースまたは相
関ルールを追加する』を参照)。
[カスタム ルールを作成]
特定のアラートを開始点としてトリガーするシグネチャを使用して、カスタム ルー
ルを作成します。このオプションは、標準の (非ファイアウォール) ルールによって
生成されたアラートを選択した場合に使用できます。 [カスタム ルールを作成] を
クリックすると、[新しいルール] ページが開きます (『カスタム ADM、データベー
スまたは相関ルールを追加する』を参照)。
関連トピック:
391 ページの「ビュー コンポーネントの説明」
392 ページの「コンポーネントをカスタマイズする」
394 ページの「ネットワーク トポロジ コンポーネントのデバイスの詳細」
395 ページの「コンポーネント ツールバー」
399 ページの「WHOIS または ASN 参照の実行」
400 ページの「Remedy ケース ID をイベント レコードに追加」
401 ページの「コンポーネントをエクスポートする」
WHOIS または ASN 参照の実行
テーブル コンポーネント上で WHOIS 参照を実行し、ソースまたは宛先 IP アドレスに関する情報を探すことができ
ます。棒グラフの ASN クエリーや、ASN データを含むテーブル コンポーネント上のフロー レコードで実行できる
[ASN 参照] は、ASN 識別子を使って WHOIS レコードを検索します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
399
7
イベントの操作
ESM ビューの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
IP アドレスまたは ASN データがテーブル コンポーネントにリストされているフロー レコードを選択するか、棒
グラフ コンポーネント上の ASN クエリーのバーを選択します。
メニュー
をクリックし、[IP アドレスの詳細] または [ASN 参照] を選択します。
他の IP アドレスまたは識別子を参照するには、次の手順に従います。
•
[WHOIS] タブで、ドロップダウン リストから IP アドレスを選択し、ホスト名を入力します。
•
[ASN 参照] ページで、番号を入力するか、ドロップダウン リストから番号を選択します。
関連トピック:
398 ページの「コンポーネントのメニュー オプション」
400 ページの「Remedy ケース ID をイベント レコードに追加」
401 ページの「コンポーネントをエクスポートする」
400 ページの「[WHOIS と DNS の参照] ページ」
[WHOIS と DNS の参照] ページ
ソース/宛先の IP アドレスまたはポートに関する情報を検索します。
表 7-21 オプションの定義
オプション
定義
[ホスト名]
IP アドレスのホスト名がある場合にホスト名を入力します。
[IP アドレス]
ホスト名を入力すると、このフィールドに IP アドレスが表示されます。 ホスト名がない場合
には、IP アドレスを入力します。
[参照]
DNS 参照を開始して、WHOIS レコードを取得します。
[WHOIS レコード] 参照の結果を表示します。
関連トピック:
399 ページの「WHOIS または ASN 参照の実行」
Remedy ケース ID をイベント レコードに追加
イベント電子メールを Remedy システムに送信すると、ケース ID 番号を受け取ります。この番号は、参照のため
にイベント レコードに追加できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[イベント分析] ビューでイベントを強調表示し、メニュー
をクリックします。
[Remedy ケース ID を設定] を選択して番号を入力し、[OK] をクリックします。
関連トピック:
398 ページの「コンポーネントのメニュー オプション」
399 ページの「WHOIS または ASN 参照の実行」
401 ページの「コンポーネントをエクスポートする」
401 ページの「[Remedy ケース ID を設定] ページ」
400
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
[Remedy ケース ID を設定] ページ
Remedy システムにイベント メールを送信したときに受信した Remedy ケース ID を追加します。
表 7-22 オプションの定義
オプション
定義
[イベント ID]
ビューでイベントを選択してこのページにアクセスすると、このフィールドにイベントの
ID 番号が表示されます。
[Remedy ケース ID] 受信した ID を入力します (「Remedy 電子メールを送信する」を参照)。
関連トピック:
400 ページの「Remedy ケース ID をイベント レコードに追加」
コンポーネントをエクスポートする
データは、ESM ビュー コンポーネントにエクスポートすることができます。 グラフ コンポーネントはテキストま
たは PDF 形式でエクスポートでき、テーブル コンポーネントは CSV または HTML でエクスポートできます。
ビューに表示されているグラフ、分布、テーブル コンポーネントの現在のページをエクスポートすると、エクスポー
トされたデータがエクスポート開始時のデータと完全に一致するようになりました。 複数のページをエクスポート
すると、データのエクスポート時にクエリーが実行されるため、コンポーネントに表示される内容と異なる場合があ
ります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
4
ビューで、エクスポートするコンポーネントのメニュー
す。
をクリックして、[エクスポート] をクリックしま
次のいずれかの形式を選択します。
•
[テキスト] — データをテキスト形式でエクスポートします。
•
[PDF] — データと画像をエクスポートします。
•
[PDF にする画像] — 画像だけをエクスポートします。
•
[CSV] — カンマ区切り形式でリストをエクスポートします。
•
[HTML] — データをテーブルでエクスポートします。
[エクスポート] ページで、エクスポートするデータを指定します。
•
[テキスト] または [PDF] を選択すると、データの現在のページ、または先頭ページから最後のページまでエ
クスポートします。
•
[PDF にする画像] を選択すると、画像が生成されます。
•
[CSV] または [HTML] を選択すると、選択したアイテムのみ、データの現在のページのみ、または先頭ペー
ジから最終ページまでをエクスポートできます。
[OK] をクリックします。
エクスポート ファイルが生成され、結果ファイルをダウンロードするように指示されます。
関連トピック:
398 ページの「コンポーネントのメニュー オプション」
399 ページの「WHOIS または ASN 参照の実行」
400 ページの「Remedy ケース ID をイベント レコードに追加」
402 ページの「エクスポート ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
401
7
イベントの操作
ESM ビューの操作
エクスポート ページ
エクスポートするデータを選択します。
表 7-23 オプションの定義
オプション
定義
[選択したアイテム]
エクスポートする項目を強調表示し、このオプションを選択します。
[現在のページ]
現在ビューに表示可能な項目をエクスポートします。 エクスポートの開始時に表示された
データがエクスポートされます。
[次の最終ページまで] エクスポートする最大ページ数を選択します。 データのエクスポート時にクエリーが実行
されるため、コンポーネントに表示される内容と異なる場合があります。
関連トピック:
401 ページの「コンポーネントをエクスポートする」
クエリー ウィザードの操作
ESM の各レポートまたはビューは、各コンポーネントのクエリー設定に基づいてデータを収集します。
ビューまたはレポートを追加または編集する際、クエリー タイプ、クエリー、追加フィールド、使用フィールドを選
択して、[クエリー ウィザード] の各コンポーネントのクエリー設定を定義します。システムのクエリーは定義済み
とカスタムの両方を含めてすべてウィザードに一覧表示され、コンポーネントが収集するデータを選択できます。ま
た、クエリーの編集または削除、テンプレートとして使用する既存のクエリーのコピーによる新しいクエリーの設定
を行えます。
関連トピック:
402 ページの「クエリーを管理する」
405 ページの「コンポーネントをバインドする」
405 ページの「値を比較」
406 ページの「グラフ値を比較する」
406 ページの「ビューとレポートにスタック分布を設定する」
クエリーを管理する
ESM には、レポートやビューを追加または編集したときに [クエリー ウィザード] で選択できる定義済みクエリーが
用意されています。これらのクエリーで一部の設定を編集したり、カスタム クエリーを追加または削除することがで
きます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
402
[クエリー ウィザード] にアクセスするには、次のいずれかを行ってください。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
操作
手順
新しいビュ
ーを追加す
る
1
ビュー ツールバーにある [新しいビューを作成] アイコン
7
をクリックします。
2 [ビューの編集ツールバー] からコンポーネントをビュー ペインにドラッグ アンド ドロップし
ます。
[クエリー ウィザード] が開きます。
既存のビュ
ーを編集
1 編集するビューを選択します。
2
ビュー ツールバーにある [現在のビューを編集] アイコン
をクリックします。
3 編集するコンポーネントをクリックします。
4 [プロパティ] ペインで [クエリーを編集] をクリックします。
2 ページ目に [クエリー ウィザード] が開きます。
新しいレポ
ートのレイ
アウトを設
計
1 [システムのプロパティ] で [レポート] をクリックします。
2 [追加] をクリックします。
3 [レポートを追加] ページのセクション 5 で [追加] をクリックします。
4 レポート レイアウト セクションでコンポーネントをドラッグ アンド ドロップします。
[クエリー ウィザード] が開きます。
既存のレポ
ートでレイ
アウトを編
集
1 [システムのプロパティ] で [レポート] をクリックします。
2 編集するレポートを選択し、[編集] をクリックします。
3 [レポートを編集] ページのセクション 5 で既存のレイアウトを選択し、[編集] をクリックしま
す。
4 レポート レイアウト セクションでコンポーネントをクリックし、[プロパティ] セクションで
[クエリーを編集] をクリックします。
2 ページ目に [クエリー ウィザード] が開きます。
2
[クエリー ウィザード] で、次のいずれかの操作を行います。
操作
手順
新しいクエリー 1 テンプレートとして使用するクエリーを選択し、[コピー] をクリックします。
を追加
2 新しいクエリーの名前を入力し、[OK] をクリックします。
3 クエリーのリスト上で、直前に追加したクエリーをクリックし、[次へ] をクリックします。
4 ウィザードの 2 ページ目で、ボタンをクリックして設定を変更します。
カスタム クエ
リーを編集
カスタム クエ
リーを削除
3
1 編集するカスタム クエリーを選択し、[編集] をクリックします。
2 ウィザードの 2 ページ目で、ボタンをクリックして設定を変更します。
削除するカスタム クエリーを選択し、[削除] をクリックします。
[完了] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
403
7
イベントの操作
ESM ビューの操作
関連トピック:
402 ページの「クエリー ウィザードの操作」
405 ページの「コンポーネントをバインドする」
405 ページの「値を比較」
406 ページの「グラフ値を比較する」
406 ページの「ビューとレポートにスタック分布を設定する」
404 ページの「クエリー ウィザード ページ」
クエリー ウィザード ページ
レポートまたはビューを追加する場合、必要な情報を生成するようにクエリー設定を定義する必要があります。
表 7-24 オプションの定義
オプション
定義
クエリー タ
イプ
選択したコンポーネントに使用できるクエリーのタイプを一覧表示します。イベント、フロー、その
他、資産、脆弱性、リスク ステータスを含めることができます。
[収集レート] または [平均] (たとえば、[アラートごとの平均重大度]、[フローごとの平均期間]) 分
布クエリーでは、スタックを使用できません。
クエリー
選択したタイプに使用できる定義済みクエリーとカスタム クエリーを一覧表示します。カスタム
タイプを追加した場合は挿入されます。このリストのカスタム クエリーを編集、コピー、削除でき
ます。
[フィールド] コンポーネントに含まれる情報を表示します。テーブル コンポーネントのこれらの設定は、ウィザ
ードの 2 番目のページで変更できます。
1 [フィールド] をクリックします。
2 [クエリー フィールド] で、左右矢印を使用して、右側のリストに含めるフィールドを移動します。
3 上下矢印を使用してフィールドをテーブルに表示する順に配置して、[OK] をクリックします。
[フィルター] クエリーに設定されたフィルター値を表示します。クエリーのこれらの設定は、ウィザードの 2 番
目のページで変更できます。
[次でソート] クエリーの結果が一覧表示される順序を示します。ほとんどのクエリーのこれらの設定は、ウィザー
ドの 2 番目のページで変更できます。
[比較]
既存のフィルター ファイルのいずれかの別個の値の数をイベントとフローの時間分布と比較する方
法を提供します。これは、分布コンポーネントでのみ使用できます (「値の比較」と「グラフ値を比
較する」を参照)。
[スタック]
分布コンポーネントでは、スタック グラフ (棒グラフ、線グラフ、面グラフ) を表示できます。これ
により、特定のフィールドに関連するイベントの分布を確認できます。
[CIDR マス
ク]
IP アドレスのグループ化に使用する CIDR マスクを追加できます。 このオプションは、[棒グラフ]
コンポーネントで [ソース IP] または [宛先 IP] クエリーを選択した場合にのみ使用できます。
[レベル]
クエリーの正規化された ID マスク レベルを指定できます (「正規化された ID の選択」を参照)。
[正規化されたイベントのサマリー] クエリーを選択すると、円グラフ、棒グラフ、リスト コンポー
ネントで使用できます。
関連トピック:
402 ページの「クエリーを管理する」
404
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
[クエリー フィールド] ページ
テーブル コンポーネントのクエリーに含めるフィールドを選択します。
表 7-25 オプションの定義
オプション
定義
左側のリスト
選択するフィールドを表示します。
右側のリスト
テーブル コンポーネントに含めるように選択したフィールドを表示します。
左右矢印
リストのフィールドを選択して別のリストに移動します。
上矢印/下矢印
テーブル内のフィールドの表示順序を変更できます。
コンポーネントをバインドする
ビュー コンポーネントが、データ バインドを使用している別のコンポーネントにリンクされると、ビューがインタ
ラクティブになります。
親コンポーネントで 1 つ以上のアイテムを選択すると、ドリルダウンが実行されたように、子コンポーネントに表示
される結果が変更されます。たとえば、親棒グラフのソース IP コンポーネントを子棒グラフの宛先 IP コンポーネン
トにバインドした場合に、親コンポーネントで選択を行うと、選択したソース IP をフィルターとして使用して、子
コンポーネントがクエリーを実行します。親コンポーネントでの選択を変更すると、子コンポーネント内のデータが
更新されます。
データ バインドでバインドできるのは、1 つのフィールドと別のフィールドだけです。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
親コンポーネントと子コンポーネントを作成し、子コンポーネントを選択します。
2
[プロパティ] ペインで、[クエリーを編集] 、 [フィルター] の順にクリックします。
[クエリー フィルター] ページが開き、親クエリーと子クエリーが有効になります。
3
子クエリーのドロップダウン リストから、[バインド先] を選択します。
4
[OK] をクリックし、[完了] をクリックします。
関連トピック:
402 ページの「クエリー ウィザードの操作」
402 ページの「クエリーを管理する」
405 ページの「値を比較」
406 ページの「グラフ値を比較する」
406 ページの「ビューとレポートにスタック分布を設定する」
値を比較
分布グラフでは、現在のグラフに追加の変数を重ねることができるオプションがあります。
この方法で 2 つの値を比較することで、たとえばイベント合計数と平均重大度などの関係を簡単に示すことができま
す。この機能によって、一定の時間内における有益なデータ比較が可能になります。この機能では、結果を単一の分
布グラフに結合することができるため、サイズの大きなビューを構築する場合に画面の領域を節約することができま
す。
この比較は、選択したクエリーと同じタイプの比較に限定されます。たとえばイベント クエリーを選択すると、イベ
ント テーブルのフィールドとのみ比較を行うことができ、フローや資産、脆弱性テーブルとの比較はできません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
405
7
イベントの操作
ESM ビューの操作
分布グラフにクエリー パラメーターを適用すると、そのクエリーが標準として実行されます。比較フィールドを有効
にすると、データに対するセカンダリ クエリーが同時に実行されます。分布コンポーネントでは、両方のデータ セ
ットのデータが同じグラフに表示されますが、2 つの別個の縦軸が使用されます。グラフのタイプ(コンポーネント
の右下部分)を変更すると、両方のデータ セットが引き続き表示されます。
関連トピック:
402 ページの「クエリー ウィザードの操作」
402 ページの「クエリーを管理する」
405 ページの「コンポーネントをバインドする」
406 ページの「グラフ値を比較する」
406 ページの「ビューとレポートにスタック分布を設定する」
グラフ値を比較する
分布グラフ内のデータを、選択した変数と比較することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[新しいビューを作成] アイコン
または [現在のビューを編集] アイコン
を選択します。
2
[分布] アイコン
をクリックしてビューにドラッグアンドドロップし、[クエリー ウィザード] を開きます。
3
クエリー タイプとクエリーを選択し、[次へ] をクリックします。
4
[比較] をクリックし、選択したクエリーと比較するフィールドを選択します。
5
[OK] をクリックし、[完了] をクリックします。
6
コンポーネントをビュー上の適切な位置に移動し、次のいずれかの操作を行います。
•
コンポーネントを既存のビューに追加する場合は、[保存] をクリックします。
•
新しいビューを作成する場合は、[名前を付けて保存] をクリックして、ビューの名前を追加します。
関連トピック:
402 ページの「クエリー ウィザードの操作」
402 ページの「クエリーを管理する」
405 ページの「コンポーネントをバインドする」
405 ページの「値を比較」
406 ページの「ビューとレポートにスタック分布を設定する」
[フィールド比較] ページ
分布図にオーバーレイする変数を選択して、そのデータを比較します。
ビューとレポートにスタック分布を設定する
ビューまたはレポートで分布コンポーネントを設定すると、特定のフィールドに関連するイベントの分布を確認でき
ます。
ビューまたはレポートにコンポーネントを追加するときに、積み重ねるフィールドを選択できます。 ビューを表示す
ると、設定を変更したり、時間間隔を変更できます。また、グラフの種類や詳細を設定することもできます。
同じクエリーで、[スタック] 機能と [比較] 機能を併用することはできません。
406
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ドラッグ アンド ドロップで [分布] コンポーネントをビュー (「カスタム ビューを追加する」を参照) またはレ
ポート (「レポート レイアウトの追加」を参照) に配置し、クエリーのタイプを選択します。
[収集レート] または [平均] (たとえば、[アラートごとの平均重大度]、[フローごとの平均期間]) 分布クエリーで
は、スタックを使用できません。
2
[クエリー ウィザード] の 2 番目のページで [スタック] をクリックし、オプションを選択します。
3
[スタック オプション] ページで [OK] をクリックして、[クエリー ウィザード] で [完了] をクリックします。
ビューが追加されます。 設定を変更したり、時間化区画やグラフ タイプを設定するには、[グラフ オプション] アイ
コン
をクリックします。
関連トピック:
402 ページの「クエリー ウィザードの操作」
402 ページの「クエリーを管理する」
405 ページの「コンポーネントをバインドする」
405 ページの「値を比較」
406 ページの「グラフ値を比較する」
407 ページの「スタック オプション ページ」
スタック オプション ページ
分布グラフでイベントをスタックできます。特定のフィールドに関連する分布を表示できます。
表 7-26 オプションの定義
オプション
定義
[バー セグメントをグル データを記録するフィールドを選択します。
ープ化するフィールド]
[バーあたりのセグメン
ト数]
バーにデータを表示する項目数を選択します。 たとえば、[シグネチャ ID] と [10] を
選択すると、選択した期間内に最も頻繁に受信した 10 個のシグネチャ ID が各バーに表
示されます。
['その他' の値を表示]
コンポーネントに [その他] バーを追加するかどうかを選択します。 上の例では、受信し
た他のシグネチャ ID の数が表示されます。
[凡例を表示]
ビューに凡例を追加するかどうかを選択します。 レポートでは常に追加されます。
[時間間隔オプション]
(ビューで [グラフ オプション] アイコンをクリックした場合にのみ使用可能) グラフの
各バーに表示する時間間隔を選択します。
[グラフ オプション]
(ビューで [グラフ オプション] アイコンをクリックした場合のみ使用可能) グラフの種
類を選択します。ビューにデータの詳細セクションを表示するかどうかを選択します。
関連トピック:
406 ページの「ビューとレポートにスタック分布を設定する」
ビューの管理
ビューの管理では、複数のビューを一度にコピー、インポート、またはエクスポートする簡単な方法を使用できるだ
けでなく、ビューのリストに入れるビューを選択したり、個々のビューにアクセスする権限を特定のユーザーまたは
グループに割り当てることができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
407
7
イベントの操作
ESM ビューの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで、[ビューの管理] アイコン
をクリックします。
使用できるいずれかのオプションを実行し、[OK] をクリックします。
関連トピック:
408 ページの「[表示を管理] ページ」
[表示を管理] ページ
ESM のビューを管理します。
表 7-27 オプションの定義
オプション
定義
テーブル
ビュー リストに表示するビューを選択します。フォルダーをチェックした場合、そのサブフォル
ダーとビューのすべてが選択されます。フォルダーのチェックボックスが黒色の場合、そのサブ
フォルダーとビューの一部が選択されています。
[フォルダーを
追加]
ビューを編成するカスタム フォルダーを作成します。追加したフォルダーにビューをドラッグ
アンド ドロップできます。
[名前を変更]
選択したフォルダーまたはビューの名前を変更します。読み取り専用ビューの名前を変更するこ
とはできません。
[削除]
選択したカスタム フォルダーまたはビューを削除します。読み取り専用ビューを削除することは
できません。
[コピー]
ビューをコピーしてビュー リストに追加します。ビューをコピーしたら、別のフォルダーにドラ
ッグ アンド ドロップできます。
[共有]
選択したビューにアクセス、変更する権限を付与するユーザーまたはグループを選択します。
[インポート]
ビュー ファイルを ESM にインポートします。
[エクスポート]
別の ESM と共有できるようにカスタム ビューのファイルをエクスポートするか、ファイルをバ
ックアップとして保持します。読み取り専用ビューをエクスポートすることはできません。
[これをデフォ ビュー ペインのデフォルトのビューにするビューを選択します。デフォルトのビューにするに
ルトのビューに は、ビューをクリックして、このオプションを選択します。
する]
関連トピック:
407 ページの「ビューの管理」
[ユーザーを選択] ページ
ビュー、ウォッチリストまたはレポートを共有するユーザーを選択します。
表 7-28 オプションの定義
オプション
定義
テーブル
システム上のすべてのユーザーが一覧表示されます。1 つ以上を選択します。
イベントを確認する
[イベント分析] では、イベントの前後で選択した時間枠内に発生したイベントの中から、1 つ以上のフィールドに一
致するイベントを確認できます。
408
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールでビューをクリックし、[イベント ビュー] 、 [イベント分析] の順に選択します。
イベントをクリックしてメニュー アイコン
をクリックし、[確認] をクリックします。
3
イベントを確認する時間枠を選択します。イベントの発生前後の分数で指定します。
4
[フィルターを選択] をクリックし、比較するフィールドを選択して値を入力します。
[確認結果] ビューに結果が表示されます。
このビューから移動して再度戻ってくる場合には、[イベント解析] メニューで [前回の確認] をクリックします。
関連トピック:
409 ページの「[確認結果] ページ」
[確認結果] ページ
イベントの前後で選択した時間枠内のイベントで、1 つ以上のフィールドに一致するイベントを検索します。
表 7-29 オプションの定義
オプション
定義
[時間枠]
システムで検索するイベントの前後の分数を選択します。
[フィルターを選択] フィルター タイプを選択して、検索する値を入力します。 1 つのフィールドに入力すると、
別のフィールドが追加されます。必要な数のフィルターを追加できます。
フィルター フィールドの 1 つを削除します。
関連トピック:
408 ページの「イベントを確認する」
イベントの IP アドレスの詳細を表示する
®
™
McAfee から McAfee Global Threat Intelligence (McAfee GTI) のライセンスを取得している場合 (GTI ウォ
ッチリストを参照)、[IP アドレスの詳細]で検索を実行したときに、新しい[脅威の詳細] タブにアクセスできます。
このオプションを選択すると、IP アドレスの詳細 (リスクの重要度や位置情報データなど) が戻されます。
開始する前に
McAfee GTI ライセンスを購入します (『McAfee GTI ウォッチリスト』を参照)。
McAfee GTI ライセンスの期限が切れている場合には、McAfee セールス エンジニアまたは McAfee サ
ポートに連絡してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで、テーブル コンポーネントを表示するビューを選択します。たとえば、 [イベント ビュー] 、
[イベント分析]の順に選択します。
IP アドレスをクリックし、IP アドレスのあるコンポーネントのメニュー アイコン
に、[IP アドレスの詳細] をクリックします。
McAfee Enterprise Security Manager 9.6.0
をクリックします。次
製品ガイド
409
7
イベントの操作
ESM ビューの操作
[脅威の詳細] タブに、選択した IP アドレスのデータが表示されます。 このデータは、システムのクリップボードに
コピーできます。
コンテキスト メニューでは、[WHOIS 参照] オプションではなく [IP アドレスの詳細] オプションが表示されます。
ただし、[IP アドレスの詳細] ページの [WHOIS 参照] タブにこの情報が表示されます。
デフォルト ビューを変更
ESM コンソールに最初にログオンしたときに、ビュー ペインにデフォルトで [デフォルトのサマリー] ビューが表示
されます。このデフォルト ビューは、ESM の任意の定義済みビューまたはカスタム ビューに変更できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールのナビゲーション バーで [オプション] をクリックし、[ビュー] を選択します。
2
[デフォルトのシステム ビュー] ドロップダウン リストで新しいデフォルト ビューを選択し、[OK] をクリック
します。
ビューのフィルタリング
メインの ESM コンソールにあるフィルター ペインでは、ビューに適用するフィルターを設定できます。ビューに適
用されたフィルターは、次に開いたビューにも適用されます。
ESM に初めてログオンすると、デフォルトのフィルター ペインに [ソース ユーザー]、[宛先ユーザー]、[ソース
IP]、[宛先 IP] フィルターのフィールドが表示されます。 フィルター フィールドの追加と削除、フィルター セット
の保存、デフォルト セットの変更、フィルターの管理、文字列正規化マネージャーの起動を行うことができます。
ビューにフィルターが適用されると、ビュー ペインの右上隅にオレンジ色のじょうごアイコンが表示されます。 こ
のオレンジ色のアイコンをクリックすると、すべてのフィルターがクリアされ、クエリーが再実行されます。
変数、グローバル フィルター、ローカル フィルター、正規化文字列、またはレポート フィルターなど、カンマ区切
りのフィルター値がある場合、それらがウォッチリストの一部ではない場合は、引用符を使用する必要があります。
値が Smith,John の場合、"Smith,John" と入力する必要があります。 値に引用符が含まれている場合には、引
用符を引用符で囲む必要があります。値が Smith,"Boy"John である場合には、"Smith,""Boy""John" として入
力します。
contains フィルターと regex フィルターを使用できます ([contains フィルターと regex フィルターの説明]を
参照)。
関連トピック:
410 ページの「ビューをフィルタリングする」
414 ページの「UCF および Windows イベント ID フィルターを追加」
415 ページの「正規化された ID を選択する」
ビューをフィルタリングする
フィルターは、ビューで選択したアイテムの詳細を表示する場合に役立ちます。フィルターを入力してビューを更新
すると、追加したフィルターがビュー内のデータに反映されます。
410
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM のコンソールで、ビューのドロップダウン リストをクリックし、フィルタリングするビューを選択します。
2
[フィルター] ペインで、次のいずれかの方法でフィルタリングするデータを、フィールドに入力します。
•
適切なフィールドにフィルター情報を入力します。たとえば、現在のビューをフィルタリングして、ソース IP
アドレスが 161.122.15.13 であるデータだけを表示するには、[ソース IP] フィールドに IP アドレスを入
力します。
•
contains フィルターまたは regex フィルターを入力します (「contains フィルターと regex フィルタ
ーの説明」を参照)。
•
フィールドの横にある [フィルター リストを表示] アイコン
またはウォッチリストを選択します。
•
ビューで、フィルターとして使用するデータを選択し、[フィルター] ペインでフィールドをクリックします。
フィールドが空白の場合は、選択したデータが自動的に入力されます。
をクリックし、フィルターの条件にする変数
[平均重大度] では、コロン (:) を使用して範囲を入力します。 たとえば、60:80 は重大度の範囲 60 ~ 80 を示
します。
3
次のいずれかを行います。
目的
手順
複数のフィルターに合致する
データを表示する
各フィールドに値を入力します。
一部のフィルター値に合致す 1 フィルターに含める値と除外する値を入力します。
るデータを表示し、その他を除
2
外する
除外するフィールドの横にある [NOT] アイコン をクリックします。
正規および OR フィルターに 1 正規および [OR] フィールドにフィルター値を入力します。
合致するデータを表示する
2 [OR] 値を持つフィールドの横にある [OR] アイコンをクリックします。
ビューには、[OR] とマークされていないフィールドの値に合致するデータが含
まれ、[OR] とマークされているフィールド内のいずれかの値に合致します。
このフィルターが機能するには、2 つ以上のフィールドに [OR] とマークする
必要があります。
4
フィルター値では大文字と小
文字は区別されません。
適切なフィルター フィールドの横にある [大文字と小文字を区別しない] アイ
コン
をクリックします。
正規化された文字列を別名で
置き換える
適切なフィルター フィールドの横にある、文字列正規化アイコン
クします。
[クエリーを実行] アイコン
をクリッ
をクリックします。
ビューが更新され、入力した値に合致するレコードがビューに表示されます。ビュー ペインの右上隅に、ビュー内の
データがフィルタリングの結果であることを示す、オレンジ色のフィルター アイコンが表示されます。アイコンをク
リックするとフィルターがクリアされ、ビューにすべてのデータが表示されます。
タスク
•
412 ページの「[フィルター] ペイン」
フィルター ペインには、ビューのフィルター設定に役立つオプションがあります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
411
7
イベントの操作
ESM ビューの操作
関連トピック:
410
414
415
412
413
414
ページの「ビューのフィルタリング」
ページの「UCF および Windows イベント ID フィルターを追加」
ページの「正規化された ID を選択する」
ページの「[フィルター] ペイン」
ページの「クエリー フィルター ページ」
ページの「[検索] ページ」
[フィルター] ペイン
フィルター ペインには、ビューのフィルター設定に役立つオプションがあります。
アイコン
意味
説明
[ヒント]
フィルター フィールドをクリックすると、ツールチップが表示されます。
[文字列正規化
マネージャーを
起動]
文字列と別名をフィルタリングします(『文字列正規化』を参照)。
[クエリーを実
行]
現在のフィルターをビューに適用します。 フィルター値を変更して現在
のビューに適用する場合には、このアイコンをクリックする必要がありま
す。
[すべてクリア]
フィルター ペインにあるすべてのフィルターをクリアします。
[フィルター セ
ット オプショ
ン]
フィルター セットで実行するアクションを選択します。
• [デフォルトにする] - 入力したフィルター値をデフォルトとして保存
します。 これらのフィルターは、ログイン時に自動的に適用されます。
• [デフォルトをリストア] - フィルターをデフォルト値に戻します。デ
フォルトのフィルター セットでクエリーを実行できます。
• [更新されたフィルターを保存] - 現在のフィルター セットを保存し、
使用可能なフィルターのリストに追加します。フィルターを追加する
ときに、このリストから選択できます。 セットの名前を入力して、保
存先のフォルダーを選択します。
• [フィルターの管理] - [フィルター セットの管理] ページが開きます。
使用可能なフィルター セットを編成できます。
表示に適用するフィルター フィールドまたはフィルター セットを選択し
ます。 フィールドをクリックすると、ドロップダウン メニューに使用可
能なフィルターとフィルター セットが表示されます。
[フィルター リ
ストを表示]
フィルターの条件にする変数またはウォッチリストを選択します。
[NOT]
特定のフィルターにだけ一致するデータを表示するには、除外するフィー
ルドの横をクリックします。
[OR]
正規表現と [OR] フィルターに一致するデータを捧持するには、[OR] 値
のあるフィールドの横のアイコンをクリックします。 ビューには、[OR]
とマークされていないフィールドの値に合致するデータが含まれ、[OR]
とマークされているフィールド内のいずれかの値に合致します。
このフィルターが機能するには、2 つ以上のフィールドに [OR] とマー
クする必要があります。
412
[大文字と小文
字を区別しな
い]
フィルター値で大文字と小文字を区別しない場合には、このアイコンをク
リックします。
文字列の正規化
正規化された文字列を別名で置き換えます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
アイコン
意味
説明
セット内のフィ
ルターを表示
セットに含まれるフィルターのリストを表示します。
値を置換
値セットの値で現在の値を置換します。
[このフィルタ
ーを削除する]
現在のフィルターからフィルター フィールドを削除します。
関連トピック:
410 ページの「ビューをフィルタリングする」
[フィルター セットの管理] ページ
フィルター セットを追加すると、ビュー、レポート、クエリー、[ベースラインからの偏差] アラームと [指定したイ
ベント レート] アラムをフィルタリングできます。 これらは、[フィルター セットの管理] ページで管理できます。
表 7-30 オプションの定義
オプション
定義
テーブル
ESM に追加されたフィルター セット (『[フィルター] ページ』を参照) と使用可能なフィル
ターが表示されます。 フォルダーを追加してフィルター セットをドロップし、このリストを
編成できます。
[フォルダーを追加] 新しいフォルダーを追加してフィルターを編成します。 追加したフォルダーにフィルター
セットをドラッグ アンド ドロップできます。
[フィルター セット 使用可能なフィルターのリストに新しいフィルター セットを追加するか、既存のセットを編
の追加]、[フィルタ 集します。
ー セットの編集]
[名前を変更]
選択したフォルダーまたはフィルター セットの名前を変更します。
[削除]
リストからフォルダーまたはフィルターを削除します。
[コピー]
既存のフィルターをコピーします。 名前を変更すると、リストの最後に表示されます。 これ
をテンプレートとして使用し、[フィルター セットの編集] で設定を変更できます。
[共有]
選択したフォルダーまたはフィルター セットをシステムの他のユーザーまたはグループと共
有します。
クエリー フィルター ページ
ビューまたはレポート クエリーのフィルターを設定します。使用可能なオプションは、フィルタリングの対象によっ
て異なります。
これらのフィールドでは、contains フィルターと regex フィルターを使用できます (『contains フィルターと
regex フィルターの説明』を参照)。
表 7-31 オプションの定義
オプション
定義
[前回の時間] または [時間の範囲]
下矢印をクリックして、収集するデータの時間範囲を選択します。 ビューに
選択した時間を使用するには、[表示時間を使用] を選択します。
カスタム時間を設定するには、カレンダー アイコンをクリックして、固定の
期間またはカスタム時間枠を設定します。
[デバイス ID] または [デバイス]
フィルター アイコン (
選択します。
フィールド
フィールドをクリックして値を入力します。 ヒントがページ下部に表示さ
れます。
McAfee Enterprise Security Manager 9.6.0
) をクリックして、フィルタリングするデバイスを
製品ガイド
413
7
イベントの操作
ESM ビューの操作
表 7-31 オプションの定義 (続き)
オプション
定義
現在のフィルター リストにフィルター フィールドを追加します。 フィー
ルドをクリックすると、ドロップダウン メニューに使用可能なフィルターが
表示されます。
[フィルター リストを表示] アイコン フィールドに選択できる値のリストを開きます。
[NOT] アイコン
フィールドに入力する値を除外する場合にクリックします。
[OR] アイコン
通常のフィルターと OR フィルターで編集したデータを追加します。 フィ
ールドにフィルターの値を入力し、either/or 値のあるフィールドの OR ア
イコンをクリックします。 たとえば、宛先 IP 、宛先ポート、ソース ポート
またはソース IP のいずれかと一致するデータを追加するには、4 つのすべ
てのフィールドに値を入力して、[ソース ポート] と [ソース IP] の横にあ
る OR アイコンをクリックします。
[大文字と小文字を区別しない] アイ
コン
大文字と小文字にかかわらずフィールドに入力する値を含める場合にクリッ
クします。
[文字列の正規化] アイコン
フィールドに入力する正規化文字列をそのすべての別名に置き換える場合に
クリックします。
[このフィルターを削除する] アイコ
ン
現在のフィルター リストからフィルター フィールドを削除します。
関連トピック:
410 ページの「ビューをフィルタリングする」
[検索] ページ
別名リストに追加する文字列を検索します。
表 7-32 オプションの定義
オプション
定義
[正規表現]
別名を検索する正規表現を入力します。
[検索]
検索を開始する場合にクリックします。
[結果]
リストに追加する別名を選択して [OK] をクリックします。
関連トピック:
410 ページの「ビューをフィルタリングする」
UCF および Windows イベント ID フィルターを追加
規制に対するコンプライアンスのサポートでは、規制の性質が絶え間なく変わることが課題の 1 つとなります。
Unified Compliance Framework(UCF)は、各規制の細目を整合された制御 ID にマッピングする組織です。規制
が変更されると、これらの ID が更新されて ESM にプッシュされます。
•
414
コンプライアンス ID をフィルターの条件にして必要なコンプライアンスまたは特定のサブコンポーネントを選
択するか、Windows イベント ID をフィルターの条件にします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
これを...
7
実行するには...
UCF フィルターを 1 [フィルター] ペインで、[コンプライアンス ID] フィールドの横にあるフィルター アイ
追加
コンをクリックします。
2
Windows イベン
ト ID フィルター
を追加
フィルターとして使用するコンプライアンス値を選択し、[OK] | [クエリーを実行
をクリックします。
]
1 [シグネチャ ID] の横にあるフィルター アイコンをクリックします。
2 [フィルター変数] で、[Windows] タブを選択します。
3 テキスト フィールドに Windows イベント ID(カンマ区切り)を入力するか、フィル
ターの条件にする値をリストから選択します。
関連トピック:
410 ページの「ビューのフィルタリング」
410 ページの「ビューをフィルタリングする」
415 ページの「正規化された ID を選択する」
正規化された ID を選択する
新しいビューを作成したり、ビューにフィルターを追加するときに、正規化された ID を使用してデータをフィルタ
リングできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、次のいずれかを行います。
•
新しいビューを作成する場合には、[クエリー ウィザード] の 2 ページ目で [フィルター] をクリックします
(『ビューまたはレポート コンポーネントの設定を定義する』を参照)。
•
ビューにフィルターを追加する場合には、追加先のビューを選択します。 画面の右側に [フィルター] ペイン
が表示されます。
2
[正規化された ID] フィールドを選択し、[フィルター] アイコン
3
ID を選択して、[OK] をクリックします。
をクリックします。
選択した ID が [正規化された ID] フィールドに追加されます。
関連トピック:
410 ページの「ビューのフィルタリング」
410 ページの「ビューをフィルタリングする」
414 ページの「UCF および Windows イベント ID フィルターを追加」
ウォッチリスト
ウォッチリストは、フィルターまたはアラーム条件として使用できる特定の情報をグループ化したリストです。
グローバルなリストと特定のユーザーまたはグループで共有されるリストがあり、静的または動的なリストとして使
用できます。 静的ウォッチリストは、入力またはインポートした特定の値から構成されます。 動的ウォッチリスト
は、定義した正規表現または文字列検索条件の結果の値で構成されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
415
7
イベントの操作
ESM ビューの操作
ウォッチリストには、最大 1,000,000 個の値を含めることができます。[ウォッチリストを追加] ページまたは [ウ
ォッチリストを編集] ページの値のリストには、最大 25,000 個の値を表示できます。それ以上の値がある場合は、
値が多すぎるため表示できないことが示されます。 ウォッチリストを編集して値の数が 25,000 個を超える場合
は、既存のリストをローカル ファイルにエクスポートして、新しい値を追加し、新しいリストをインポートする必要
があります。
静的ウォッチリストの値には有効期限を設定できます。 値ごとにタイム スタンプが設定され、更新しない限り、指
定した期間に達すると期限が切れます。 アラームがトリガーすると値が更新され、ウォッチリストに追加されます。
ビュー コンポーネントのメニューの [ウォッチリストに追加] オプションを使用してリストに追加して、期限が設定
されている値を更新できます (『コンポーネントのメニュー オプション』を参照)。
動的ウォッチリストには、定期的に更新される値を設定できます。 指定されたデータでソースが照会され、指定した
間隔で値が更新されます。
関連トピック:
416 ページの「ウォッチリストの追加」
419 ページの「McAfee GTI ウォッチリスト」
420 ページの「インターネットから脅威または IOC フィードのウォッチリストを作成する」
420 ページの「Hadoop HBase ウォッチリストを追加する」
ウォッチリストの追加
フィルターとして、またはアラーム条件で使用できるようにウォッチリストを ESM に追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ウォッチリスト] ページには、以下のいずれかの方法でアクセスします。
•
•
ESM コンソールで、[ウォッチリスト] クイック起動アイコン
をクリックします。
システム ナビゲーション ツリーで [システムのプロパティ] をクリックし、[ウォッチリスト] をクリックし
ます。
[ウォッチリスト] テーブルにシステムのすべてのウォッチリストが表示されます。
[GTI の悪意のある IP] と [GTI の不審な IP] がテーブルに表示されますが、McAfee から McAfee GTI ライセン
スを購入している場合を除き、データを含めないでください。 McAfee セールス エンジニアまたは McAfee サポ
ートに連絡してライセンスを購入してください。
2
[追加] をクリックし、要求された情報を入力します。
3
[OK] をクリックして、新しいウォッチリストを [ウォッチリスト] テーブルに追加します。
関連トピック:
415 ページの「ウォッチリスト」
419 ページの「McAfee GTI ウォッチリスト」
420 ページの「インターネットから脅威または IOC フィードのウォッチリストを作成する」
420 ページの「Hadoop HBase ウォッチリストを追加する」
417 ページの「ウォッチリスト ページ」
417 ページの「ウォッチリストを追加 ページ」
416
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
ESM ビューの操作
ウォッチリスト ページ
ESM のウォッチリストを管理します。
表 7-33 オプションの定義
オプション
定義
[ウォッチリス
ト] テーブル
ESM のすべてのウォッチリストのリストを表示します。
• [タイプ] 列には、ウォッチリストに含まれる値のタイプが表示されます。
• [状態] 列には、前回の更新で取得された値の数が表示されます。 GTI ウォッチリストの場合
には、アクティビティの状態が表示されます。
[ウォッチリスト] テーブルには、McAfee GTI で「不正」と評価された IP と McAfee GTI で「不
審」と評価された IP が表示されますが、McAfee GTI ライセンスを購入している場合を除き、デ
ータを追加しないでください。 ライセンスを購入する場合には、セールス エンジニアまたはテク
ニカル サポートに連絡してライセンスを購入してください (『McAfee GTI ウォッチリスト』を
参照)。 GTI ウォッチリストは編集できません。
[追加]
新しいウォッチリストを ESM に追加します。
[編集]
既存のウォッチリストの設定を変更します。ウォッチリストに 25,000 個を超える値がある場
合、値の数が表示可能な数を超えていることが [値] 領域に示されます。
[削除]
ESM からウォッチリストを削除します。
[アラームを作
成]
選択したウォッチリストの値を使用してアラームを作成します。
[共有]
ユーザーまたはグループ間でウォッチリストを共有します。
[インポート]
以前にエクスポートしたウォッチリストをインポートします。
[エクスポート]
ウォッチリストをエクスポートします。
関連トピック:
416 ページの「ウォッチリストの追加」
ウォッチリストを追加 ページ
ウォッチリストを ESM に追加します。
表 7-34 オプションの定義
タブ
オプション
定義
[メイ
ン] []
[名前]
ウォッチリストの名前を入力します。
[静的] または [動 ウォッチリストが静的か動的かを選択します。 静的ウォッチリストは、指定した値で
的]
構成されます。 動的ウォッチリストは、定義した正規表現または文字列検索条件の結
果の値で構成されます。
[値の期限が過ぎ
ています]
(静的) 指定した日時に期限が切れるようにウォッチリストの各値にタイム スタンプを
設定する場合に選択します。 指定した期間に達すると、更新しない限り期限が切れま
す。アラームがトリガーすると値が更新され、ウォッチリストに追加されます。期限が
設定されている値を更新するには、ビュー コンポーネントのメニューの [ウォッチリス
トに追加] オプションを使用してリストに追加します。
[期間]
(静的) 値を保持する期間を選択します。 1 時間から 365 日までの範囲で設定できま
す。その期間が経過すると、値は更新されない限り、ウォッチリストから削除されま
す。
[自動更新の有効
化]
(動的) このリストを特定の時間に自動的に更新するかどうかを選択します。
[更新]
検索の更新頻度を選択します。検索が実行されるたびに既存の値リストが置き換えら
れます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
417
7
イベントの操作
ESM ビューの操作
表 7-34 オプションの定義 (続き)
タブ
オプション
定義
[ソー
ス]
検索ソースのタイプを選択します。 このページの残りのフィールドは、選択したタイプに応じて異なりま
す。 ほとんどのフィールドは、名前からすぐに内容を理解できます。
[ESM 文字列] []
イベント内で見つかった文字列を含む StringMap テーブルを検索します。 [検索]
フィールドに、正規表現または文字列で検索条件を入力します。 デフォルトでは、大
文字と小文字が区別されません。 大文字と小文字を区別しない検索を実行するには、
検索文字列または正規表現をスラッシュで囲み、 i を付けます (例: /Exploit/i)。
[ESM ルール名]
ルールの短い説明を含む [ルール] テーブルでルール メッセージを検索します。 [検
索] フィールドに、正規表現または文字列で検索条件を入力します。 デフォルトでは、
大文字と小文字が区別されません。 大文字と小文字を区別しない検索を実行するに
は、検索文字列または正規表現をスラッシュで囲み、 i を付けます (例: /
Exploit/i)。
[HTTP/HTTPS]
次のフィールドを入力します。
• [認証] - Web サイトへのログオンでユーザー名とパスワードが必要な場合には、
[基本] を選択します。 デフォルトの設定は、[なし] です。
• [無効な証明書を無視] - 検索する Web サイトの URL が https で始まる場合、こ
のオプションを選択すると、無効な SSL 証明書を無視できます。
• [メソッド] - 検索する Web サイトで送信コンテンツまたは引数を必要とする場合
に、POST を選択します。 デフォルトの設定は、[GET] です。
Active
Response
次のフィールドを入力します。
• [コレクター] - データの取得に使用するコレクターを選択します。
• [値] - 取得したデータの中で、ウォッチリストに追加するデータの列を選択します。
• [または]、[および] - すべてのフィルターをデータに適用する場合には [および] を
選択し、いずれかのフィルターを適用する場合には [または] を選択します。 2 つ以
上のフィルターがある場合にのみ使用します。
• [フィルター] - 検索に適用するフィルター
• [フィルターの追加] - 別のフィルター行を追加します。 最大で 5 つのフィルター
を追加できます。
フィルターを削除するには、フィルターの右側にある削除アイコンをクリックします。
[解析
中]
[未加工データ]
ソース タイプとして HTTP/HTTPS を選択した場合、[ソース] タブの [URL] フィール
ドに入力されたソース コードの最初の 200 行が表示されます。 これは Web サイト
のプレビューになりますが、比較する正規表現を作成するには十分な量です。 [今すぐ
実行] を選択するか、ウォッチリストのスケジュール更新で、正規表現に一致したすべ
ての項目が表示されます。 この機能は RE2 構文の正規表現に対応しています。たと
えば、(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) のように記述します。
[スキップするヘ
ッダー行]
インターネット サイトのヘッダー コードには、検索に必要のない情報が含まれていま
す。 サイトの先頭からの行数を指定すると、ヘッダー データの検索を回避できます。
[改行区切り記号] サイトの検索で文字列を区切る場所を入力します。 デフォルトでは、改行を表す \n
が区切り文字になっています。 区切り文字としてよく利用されるのはカンマです。
418
[式を無視]
正規表現の検索結果から不要な値を排除する正規表現を入力します。
[正規表現]
(必須) 一致する文字列を検索してサイトから値を抽出するロジックを入力します。 既
知の不正な IP アドレスやサイトの MD5 の合計を検出する式を作成する場合に使用
します。
[一致するグルー
プ]
複数の比較グループを含む正規表現を使用する場合、このドロップダウン リストから
グループを選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
7
表 7-34 オプションの定義 (続き)
タブ
オプション
定義
[値]
[タイプ]
検索結果を割り当てるフィールドのタイプを選択します。 これにより、フィルターや
アラームなどのウォッチリストをシステム全体で使用できます。 既存のウォッチリス
トのこの設定は変更できます。値が 25,000 個より少ない場合、ESM が古いタイプと
新しいタイプの互換性があることを検証し、互換性がない場合はエラーを返します。値
が 25,000 個より多い場合は、自分で互換性を検証する必要があります。
これが動的ウォッチリストで、ソースに [文字列] を選択した場合、選択したタイプで
検索結果がフィルタリングされません。 一致したすべての文字列が戻されます。
[値]
静的ウォッチリストの場合、値が改行で区切られたファイルをインポートするか、1 行
につき 1 つの値を入力します。
静的、動的ともに、ウォッチリストの値の最大数は 1,000,000 です。
動的ウォッチリストの場合、検索が実行されるたびに値テーブルに値が設定されます。
ウォッチリストに 25,000 個を超える値がある場合、値の数が表示可能な数を超えて
いることが [値] フィールドに示されます。
データベースにアクセスできるユーザーの名前。 LDAP の場合、スペースのない完全
修飾ドメイン名を使用する必要があります。例:
uid=bob,ou=Users,dc=example,dc=com
または
[email protected]
[値をクリア]
[値] リストのすべてのアイテムを削します。
[インポート]
インポートされた値を [値] リストに追加します。 インポートされた値が 25,000 を
超えている場合、インポートされた値の一部が表示されないことを通知するメッセージ
が表示されます。
[エクスポート]
値のリストをエクスポートする場合にクリックします。
[今すぐ実行]
クエリーを今すぐ実行する場合にクリックします。結果は [値] ボックスに設定されま
す。
関連トピック:
416 ページの「ウォッチリストの追加」
McAfee GTI ウォッチリスト
McAfee GTI ウォッチリストには、McAfee が収集した 1 億 3,000 万個を超える不審な悪意のある IP アドレスと
その重大度が含まれます。 これらのウォッチリストをアラームのトリガーに使用して、ルール相関のフィルターとし
て、また ACE のリスク相関マネージャーのスコアリング ソースとして、レポートとビューのデータをフィルタリン
グできます。
リストのデータをシステムに追加するには、McAfee から McAfee GTI ライセンスを購入する必要があります。 購
入すると、次にルールをダウンロードするときにシステムにリストが追加されます。この処理は、データベースのサ
イズによっては数時間かかる可能性があります。
リストをダウンロードするには、インターネット接続が必要です。 オフラインではダウンロードできません。
これらのリストは表示および編集できませんが、[ウォッチリスト] テーブル([システムのプロパティ] 、 [ウォッチ
リスト] の順に選択)に、リストがアクティブ(値を含む)または非アクティブ(値を含まない)かどうか示されま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
419
7
イベントの操作
ESM ビューの操作
McAfee GTI ライセンスを購入するには、McAfee セールス エンジニアまたは McAfee サポートに連絡してくださ
い。
関連トピック:
415 ページの「ウォッチリスト」
416 ページの「ウォッチリストの追加」
420 ページの「インターネットから脅威または IOC フィードのウォッチリストを作成する」
420 ページの「Hadoop HBase ウォッチリストを追加する」
インターネットから脅威または IOC フィードのウォッチリストを作成する
定期的に更新されるウォッチリストを作成すると、脅威または侵入の痕跡 (IOC) フィードをインターネットから自
動的にプルすることができます。
このウォッチリストでは、HTTP 要求で取得されるデータをプレビューしたり、データをフィルタリングする正規表
現を追加できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[ウォッチリスト] をクリックして [追加] をクリックします。
3
[動的] を選択して、[メニュー] タブを完了します。
4
[ソース] タブをクリックして、[タイプ] フィールドで [HTTP/HTTPS] を選択します。
5
[ソース]、[解析]、[値] タブで必要な情報を設定します。
[解析] タブの [未加工データ] フィールドに、HTML ソース コードの最初の 200 行が表示されます。 これは
Web サイトのプレビューになりますが、比較する正規表現を作成するには十分な量です。 [今すぐ実行] を選択す
るか、ウォッチリストのスケジュール更新で、正規表現に一致したすべての項目が表示されます。 この機能は RE2
構文の正規表現に対応しています。たとえば、IP アドレスを比較するには、(\d{1,3}\.\d{1,3}\.
\d{1,3}\.\d{1,3}) と記述します。
関連トピック:
415 ページの「ウォッチリスト」
416 ページの「ウォッチリストの追加」
419 ページの「McAfee GTI ウォッチリスト」
420 ページの「Hadoop HBase ウォッチリストを追加する」
Hadoop HBase ウォッチリストを追加する
ソースとして Hadoop HBase を使用するウォッチリストを追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
420
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
スト] をクリックします。
をクリックし、[ウォッチリ
2
[ウォッチリストを追加] ウィザードの [メイン] タブで [動的] を選択し、要求された情報を入力し、[ソース] タ
ブをクリックします。
3
[タイプ] フィールドの [Hadoop HBase (REST)] を選択し、ホスト名、ポート、テーブルの名前を入力します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
ESM ビューの操作
4
7
[クエリー] タブで、参照列とクエリーの情報を入力します。
a
[参照列] の形式を columnFamily:columnName にします。
b
クエリーにスキャナー フィルターを入力し、値を Base64 エンコードにします。 例:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
[値] タブをクリックして、値のタイプを選択します。[今すぐ実行] ボタンをクリックします。
関連トピック:
415 ページの「ウォッチリスト」
416 ページの「ウォッチリストの追加」
419 ページの「McAfee GTI ウォッチリスト」
420 ページの「インターネットから脅威または IOC フィードのウォッチリストを作成する」
文字列の正規化
文字列の正規化を使用して、別名の値に関連付けることができる文字列値を設定して、文字列の正規化値の .csv フ
ァイルをインポートまたはエクスポートします。
[フィルター] ペインの該当フィールドの横の文字列の正規化アイコンを選択して、文字列とその別名をフィルタリン
グできます。たとえばユーザー名文字列が John Doe の場合、プライマリ文字列を John Doe、別名を DoeJohn、
JDoe、[email protected]、JohnD などに設定した文字列の正規化ファイルを定義します。[User_Nickname ]
フィルター フィールドに John Doe と入力し、フィールドの横の文字列の正規化アイコンを選択して、クエリーを
更新できます。結果ビューには、John Doe とその別名に関連付けられたすべてのイベントが表示され、ソース IP
が一致するがユーザー名が一致しないログインの不一致をチェックできます。この機能を利用して、特権ユーザーの
アクティビティの報告を求める規制を満たすこともできます。
関連トピック:
421 ページの「文字列正規化ファイルの管理」
422 ページの「インポートする文字列正規化ファイルを作成する」
文字列正規化ファイルの管理
文字列正規化ファイルは、使用する前に ESM に追加しておく必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[フィルター] ペインで、[文字列正規化マネージャーを起動] アイコン
をクリックします。
使用できるいずれかの操作を実行し、[閉じる] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
421
7
イベントの操作
ESM ビューの操作
関連トピック:
421 ページの「文字列の正規化」
422 ページの「インポートする文字列正規化ファイルを作成する」
422 ページの「[文字列の正規化] ページ」
422 ページの「[別名を追加] ページ」
[文字列の正規化] ページ
別名の値に関連付けることができる文字列値を設定するか、文字列の正規化値の .csv ファイルをインポートまたは
エクスポートします。
表 7-35 オプションの定義
オプション
定義
[追加]
正規化された文字列を追加する場合にクリックします。
[編集]
選択した正規化済み文字列を変更します。
[削除]
選択した正規化済み文字列を削除します。
[インポート]
別名の .csv ファイルを文字列の正規化リストにインポートします(『インポートするファイルの作
成』を参照)。
[エクスポート] 文字列の正規化リストの選択したアイテムをエクスポートする場合にクリックします。コマンド
はこのファイルに含まれません。このファイルをインポートするには、ファイル内の別名ごとにコ
マンドを追加する必要があります。
関連トピック:
421 ページの「文字列正規化ファイルの管理」
[別名を追加] ページ
正規化された文字列の別名を追加します。
表 7-36 オプションの定義
オプション
定義
[プライマリ文字列] John Doe など、元の名前を入力します。
[別名]
元の名前の別名のリストを入力します。たとえば John Doe の場合は、次の別名を追加でき
ます。
• JohnDoe
• Doe,John
• [email protected]
[検索]
ESM データベースで別名の検索を実行する場合にクリックします。
関連トピック:
421 ページの「文字列正規化ファイルの管理」
インポートする文字列正規化ファイルを作成する
別名の .csv ファイルを作成すると、[文字列の正規化] ページにインポートして、フィルターとして使用することが
できます。
422
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
カスタム タイプ フィルター
7
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
テキストまたはスプレッドシート プログラムで、次の形式で別名を入力します。
コマンド, プライマリ文字列, 別名
使用できるコマンドは 追加、変更、削除 です。
2
.CSV ファイルとして保存し、インポートします。
関連トピック:
421 ページの「文字列の正規化」
421 ページの「文字列正規化ファイルの管理」
カスタム タイプ フィルター
カスタム タイプ フィールドは、ビューとレポートのフィルターとして、またカスタム ルールを作成するために使用
できます。最も関連性のあるデータを定義してアクセスすることが可能になります。
これらのカスタム タイプ フィールドによって生成されたデータは、[イベント分析] または [フロー分析] ビューの
[詳細] セクションに表示することができます。
カスタム タイプは、追加、編集、削除に加えて、エクスポートとインポートが可能です。 名前を変更するには、[編
集] ページを使用します。 カスタム データ タイプの場合には、サブタイプの設定も変更できます。
カスタム タイプをエクスポートまたはインポートする
カスタム タイプをエクスポートすると、選択した場所にすべてがエクスポートされます。カスタム タイプのファイ
ルをインポートすると、システムの現在のカスタム タイプが、インポートされたデータに置き換わります。
カスタム クエリー
ビューのカスタム クエリーを設定する場合は、クエリーのフィールドを選択するときに、定義済みのカスタム タイ
プがオプションとして表示されます。クエリー内のフィールドとしてカスタム タイプを追加すると、カスタム タイ
プがフィルターとして機能します。クエリーを行う情報にカスタム タイプに適合するデータがない場合は、結果がな
いクエリー テーブルが返されます。これを防ぐには、カスタム タイプではなく、必要な結果を返すユーザー フィー
ルド (テーブルの [イベント フィールド] 列のカスタム フィールド 1 から 10) を選択します。
たとえば、ソース ユーザー データがある場合に、クエリー結果にそのデータを含めるとします。クエリー フィール
ドとして [ソース ユーザー] を選択すると、それがフィルターとして機能します。クエリー対象の情報にソース ユー
ザー データがない場合は、結果が返されません。ただし、ソース ユーザーのユーザー フィールドとして指定されて
いるユーザー フィールド 7 を選択すると、それはフィルターとしては機能せず、結果のテーブル内の列として表示
されます。 ソース ユーザー データがある場合は、この列に表示されます。このフィールドのデータがない場合は、
ユーザー フィールド 7 列が空白になりますが、他の列にはデータが入力されます。
カスタム データ ソース
[データ タイプ] フィールドで [カスタム] を選択すると、複数のフィールド ログで各フィールドの意味を定義でき
ます。
たとえば、ログ (100300.351) には 3 つのフィールド (100、300.35、1) があります。 カスタム サブタイプによ
って、これらのフィールドの種類を指定できます (整数、10 進数、ブール)。 例:
McAfee Enterprise Security Manager 9.6.0
製品ガイド
423
7
イベントの操作
カスタム タイプ フィルター
•
初期ログ — 100300.351
•
3 つのサブタイプ — Integer|decimal|boolean
•
カスタム サブタイプ — 100|300.35|1
サブタイプには、最大 8 バイト (64 ビット) のデータを含めることができます。 [使用容量] には、使用されているバ
イト数とビット数が表示されます。最大値を超えると、このフィールドでは容量が超過したことが赤色で示されます。
例: Space Usage: 9 of 8 bytes, 72 of 64 bits。
名前/値カスタム タイプ
[名前/値グループ] データ タイプを選択すると、指定した名前/値ペアのグループを含むカスタム タイプを追加でき
ます。 これらのペアでビューとクエリをフィルタリングし、フィールド一致アラームで使用できます。
この機能の特徴は次のとおりです。
•
名前/値グループのフィールドは、正規表現でフィルタリングする必要があります。
•
これらは相関が可能で、[相関ルール エディター] で選択することができます。
•
アドバンスド Syslog パーサー (ASP) が収集するのはペアの値部分だけです。
•
このカスタム タイプの最大サイズは 512 文字で、この中には名前も含まれます。 この値を超えると、収集時に
値が切り捨てられます。 McAfee では、名前のサイズと数を制限することをお勧めします。
•
名前は 3 文字以上にしてください。
•
名前/値カスタム タイプには、最大で 50 個までの名前を入れることができます。
•
名前/値グループの名前は、グローバル フィルターで <グループ名> - <名前> の形式で表示されます。
インデックス未作成のカスタム タイプに使用する正規表現
インデックス未作成/作成済み文字列、ランダム文字列、ハッシュ文字列のカスタム タイプには、次の形式にしてく
ださい。
•
contains(<正規表現>) 構文を使用するか、インデックス未作成のランダム文字列またはハッシュ文字列のフィ
ールドに値を入力して、カスタム タイプをフィルタリングします。
•
regex() 構文を使用します。
•
contains()を使用して、インデックス未作成のカスタム タイプ フィールドにカンマ区切りのフィルター
(Tom,John,Steve) を入力すると、システムは正規表現を実行します。 contains フィールドまたはインデック
ス未作成のランダム文字列またはハッシュ文字列のフィールドで、カンマはバー (|)、アスタリスクはピリオドと
アスタリスクの組み合わせ (.*) と解釈されます。 アスタリスク (*) を入力すると、ピリオドとアスタリスクの
組み合わせ (.*) に置換されます。
•
正規表現が無効な場合、あるいは閉じ括弧または開始括弧がない場合、エラーが発生し、無効な姓引き表現であ
ることが通知されます。
•
インデックス未作成/作成済み文字列、ランダム文字列、ハッシュ文字列のカスタム タイム フィルター フィール
ドに regex() または contains() を 1 つだけ使用します。
•
シグネチャ ID フィールドで、contains(<ルール メッセージの一部または全体>) と regex(<ルール メッセ
ージの一部>) を使用できます。
•
contains の共通検索フィルターは単一の値で、前後に .* のない単一の値です。
共通検索フィルターは次のとおりです。
424
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
カスタム タイプ フィルター
•
単一値
•
カンマで区切られた複数の値。正規表現に変換されます。
•
* を含む contains ステートメント。* は .* と解釈されます。
•
高度な正規表現。regex() 構文を使用できます。
詳細については、「contains フィルターと regex フィルターの説明」を参照してください。
関連トピック:
426 ページの「名前/値カスタム タイプ」
425 ページの「カスタム タイプを作成」
426 ページの「時間カスタム タイプを追加する」
427 ページの「名前/値グループ カスタム タイプを追加する」
426 ページの「定義済みのカスタム タイプ テーブル」
カスタム タイプを作成
管理者特権がある場合には、フィルターとして使用するカスタム タイプを追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[カスタム タイプ] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックしてカスタム タイプを保存します。
関連トピック:
423 ページの「カスタム タイプ フィルター」
426 ページの「名前/値カスタム タイプ」
426 ページの「時間カスタム タイプを追加する」
427 ページの「名前/値グループ カスタム タイプを追加する」
426 ページの「定義済みのカスタム タイプ テーブル」
425 ページの「[カスタム タイプ] ページ」
[カスタム タイプ] ページ
システムのカスタム タイプを管理します。
表 7-37 オプションの定義
オプション
定義
[追加]
カスタム データの定義を作成します。
[編集]
作成したカスタム タイプの設定を変更します。定義済みのカスタム タイプは編集できません。
[エクスポート] システムのすべてのカスタム タイプが含まれるファイルをエクスポートします。
[インポート]
カスタム タイプのファイルをインポートして、システムの既存リストを置き換えます。
[削除]
作成したカスタム タイプを削除します。
関連トピック:
425 ページの「カスタム タイプを作成」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
425
7
イベントの操作
カスタム タイプ フィルター
定義済みのカスタム タイプ テーブル
管理者特権がある場合は、カスタム タイプ テーブルに定義済みのカスタム タイプのリストを表示できます ([システ
ムのプロパティ] 、 [カスタム タイプ])。
管理者特権がない場合は、Intel のナレッジ センターで定義済みのカスタム タイプのリストを参照してください。
関連トピック:
423
426
425
426
427
ページの「カスタム タイプ フィルター」
ページの「名前/値カスタム タイプ」
ページの「カスタム タイプを作成」
ページの「時間カスタム タイプを追加する」
ページの「名前/値グループ カスタム タイプを追加する」
時間カスタム タイプを追加する
時間データの保存を可能にするカスタム タイプを追加できます。
[時間 - 秒] - 時間データを秒単位で保存します。 [時間 - ナノ秒] - 時間データをナノ秒単位で保存します。 ナ
ノ秒を表す浮動小数点を使用できます。
このカスタム タイプを追加するときに [インデックス] を選択すると、クエリー、ビュー、フィルターでフィールドが
フィルターとして表示されます。 これは分布コンポーネントでは表示されません。データ エンリッチメント、ウォッ
チリスト、アラームでは使用できません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
イプ] 、 [追加] の順にクリックします。
をクリックし、[カスタム タ
[データ タイプ] フィールドで [時間 - 秒] または [時間 - ナノ秒] をクリックし、残りの情報を入力します。
[OK] をクリックします。
関連トピック:
423
426
425
427
426
ページの「カスタム タイプ フィルター」
ページの「名前/値カスタム タイプ」
ページの「カスタム タイプを作成」
ページの「名前/値グループ カスタム タイプを追加する」
ページの「定義済みのカスタム タイプ テーブル」
名前/値カスタム タイプ
名前/値カスタム タイプは、指定した名前/値のペアから構成されます。 これらのペアでビューとクエリをフィルタ
リングし、[内部イベントの比較] アラームで使用できます。
この機能の特徴は次のとおりです。
426
•
名前/値グループのフィールドは、正規表現でフィルタリングする必要があります。
•
これらは相関が可能で、[相関ルール エディター] で選択することができます。
•
ASP が収集するのはペアの値部分だけです。
•
このカスタム タイプの最大サイズは 512 文字で、この中には名前も含まれます。 512 文字を超える部分は収集
時に切り捨てられます。 McAfee では、名前のサイズと数を制限することをお勧めします。
•
名前は 3 文字以上にしてください。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
7
イベントの操作
McAfee Active Response 検索
®
•
名前/値カスタム タイプには、最大で 50 個までの名前を入れることができます。
•
名前/値グループの名前は、グローバル フィルターで <グループ名> - <名前> の形式で表示されます。
関連トピック:
423 ページの「カスタム タイプ フィルター」
425 ページの「カスタム タイプを作成」
426 ページの「時間カスタム タイプを追加する」
427 ページの「名前/値グループ カスタム タイプを追加する」
426 ページの「定義済みのカスタム タイプ テーブル」
名前/値グループ カスタム タイプを追加する
名前/値ペアのグループを追加すると、ビューとクエリーのフィルタリングで使用できます。また、[内部イベントの
比較] アラームでも使用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[カスタム タイプ] をクリックして [追加] をクリックします。
3
[データ タイプ] フィールドで、[名前/値グループ] をクリックして、残りの情報を入力します。[OK] をクリッ
クします。
関連トピック:
423 ページの「カスタム タイプ フィルター」
426 ページの「名前/値カスタム タイプ」
425 ページの「カスタム タイプを作成」
426 ページの「時間カスタム タイプを追加する」
426 ページの「定義済みのカスタム タイプ テーブル」
McAfee Active Response 検索
®
McAfee Active Response を使用すると、エンドポイントの状況を常に監視し、発生した侵害をすぐに識別すること
ができます。 現在のセキュリティ ポスチャをクエリーで照会し、脅威検出機能を強化したり、詳細な分析やフォレ
ンジック調査を実施できます。
ESM に追加した McAfee ePO デバイスに拡張ファイルとして Active Response がインストールされている場合、
ESM から Active Response 検索を実行できます。 検索を実行すると、現在のエンドポイント データのリストが生
成されます。次の操作を実行できます。
•
検索結果のリストを表示する
•
検索結果で更新されたデータ エンリッチメント
ソースを追加する
•
ウォッチリストを検索結果で更新する
•
検索データをエクスポートする
•
Active Response 検索データを既存のウォッチ
リストに追加する
検索結果は DXL 経由で送信されます。McAfee ePO プロパティの [接続] ページで DXL を有効にしてください
(『Active Response 検索を実行する』を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
427
7
イベントの操作
McAfee Active Response 検索
®
ESM で Active Response を使用する場合には、次の点に注意してください。
•
HA Receiver は DXL に対応していません。
•
検索結果の日付は 2015-11-05T23:10:14.263Z の形式で表示されます。ESM の日付形式には変換されませ
ん。
•
データをウォッチリストに追加する場合、データは検証されません。タイプの一致しないデータもウォッチリス
トに追加されます。
関連トピック:
428 ページの「Active Response 検索を実行する」
429 ページの「Active Response 検索の結果を管理する」
430 ページの「Active Response ウォッチリストを追加する」
Active Response 検索を実行する
Active Response 検索は ESM から実行できます。 検索を実行すると、検索条件を満たすエンドポイント データの
リストが生成されます。
開始する前に
Active Response と McAfee ePO デバイスを ESM に追加してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
4
McAfee ePO デバイスが検索用にセットアップされていることを確認します。
a
ESM コンソールで、McAfee ePO の [プロパティ] をクリックし、[接続] をクリックします。
b
[DXL を有効にする] が選択され、[エージェント ウェークアップ ポート] (デフォルトは 8081) が指定され
ていることを確認します。
ESM コンソールで、[テーブル] コンポーネントを含むビュー ([イベント分析]) を選択します。
イベントをクリックして、コンポーネントの [メニュー] アイコン
をクリックします。
[アクション] 、 [Active Response 検索の実行] の順に選択して、事前定義の検索タイプを選択します。
オプション
説明
名前、MD5 または SHA-1 の完全なファイ 送信元と宛先の IP アドレスのファイルの詳細 (OS、名前など)
ル情報
ユーザー詳細の検索
ユーザーに関する詳細
送ソース IP アドレスのプロセス情報と時
間
送信元 IP アドレスのプロセスの詳細 (接続を確立した対象) が
表示されます。
宛先 IP アドレスのプロセス情報と時間
宛先 IP アドレスのプロセスの詳細 (接続を確立した対象) が表
示されます。
IP アドレスの現在のフロー
同じ送信元または宛先 IP アドレスに接続したユーザーが表示さ
れます。
検索に使用可能なフィールドがない場合、検索タイプはグレー表示になります。
データが取得され、[Active Response の詳細] ページに表示されます。
428
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
McAfee Active Response 検索
®
7
関連トピック:
427 ページの「McAfee® Active Response 検索」
429 ページの「Active Response 検索の結果を管理する」
430 ページの「Active Response ウォッチリストを追加する」
Active Response 検索の結果を管理する
Active Response 検索を実行した後、生成されたデータを管理できます。
開始する前に
Active Response 検索の結果を表示する必要があります (『Active Response 検索を実行する』を参
照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Active Response の [詳細] ページ (『Active Response 検索を実行する』を参照) でテーブルの行を選択して、
[メニュー] アイコン
2
をクリックします。
次のいずれかのオプションを選択します。
•
[新しいウォッチリストを作成] - ドロップダウン リストで選択した列からウォッチリストを作成します。
テーブルの複数の行を選択できます。
•
[ウォッチリストに追加] - 選択した列の値を既存のウォッチリストに追加します。
テーブルの複数の行を選択できます。 このテーブルから選択したデータは検証されていません。
•
[エクスポート] - 現在のテーブルを CSV ファイルにエクスポートします。
•
Active Response[ 検索] - 選択したデータの行で別の Active Response 検索を実行します。 結果が戻さ
れると、現在のデータ セットに代わり新しい結果が表示されます。
関連トピック:
427 ページの「McAfee® Active Response 検索」
428 ページの「Active Response 検索を実行する」
429 ページの「Active Response 検索の結果を管理する」
430 ページの「Active Response ウォッチリストを追加する」
429 ページの「Active Response の [詳細] ページ」
Active Response の [詳細] ページ
Active Response の [ 詳細] ページには、Active Response 検索の結果が表示されます。
表 7-38 オプションの定義
オプション アクション
定義
テーブル
Active Response 検索の結果が表示されます (『Active Response 検索
を実行する』を参照)。
[メニュー] [新しいウォッチリストの 選択した列の値を使用して新しい静的ウォッチリストを作成します
(『Active Response 検索結果を管理する』を参照)。 複数の行を選択で
アイコン
作成元]
きます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
429
7
イベントの操作
McAfee Active Response 検索
®
表 7-38 オプションの定義 (続き)
オプション アクション
定義
[ウォッチリストへの追加 選択した列の値を既存のウォッチリストに追加します (『Active
元]
Response 検索結果を管理する』を参照)。 複数の行を選択できます。
このテーブルから選択したデータは検証されていません。
[エクスポート]
データを .csv ファイルにエクスポートします。
[Active Response 検索] テーブルで選択した行に別の Active Response 検索を実行します。 結果
が戻されると、現在のデータに代わり新しいデータが表示されます。
関連トピック:
429 ページの「Active Response 検索の結果を管理する」
Active Response データ エンリッチメント ソースを追加する
ESM に追加した McAfee ePO デバイスに Active Response がインストールされている場合には、Active
Response 検索の結果で更新したデータ リッチメント ソースを追加します。
開始する前に
Active Response 拡張ファイルと McAfee ePO デバイスを ESM に追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[データ エンリッチメント] をクリックして [追加] をクリックします。
3
[メイン] タブに必要な情報を有力します。
4
[ソース] タブの [タイプ] フィールドで、Active Response を選択し、必要な情報を入力します。
5
残りのタブで情報を入力し、[完了] をクリックします。
ソースが追加され、指定したデータが Active Response データで拡張されます。
ESM が DXL 経由で Active Response コレクターに接続できない場合、Active Response タイプは表示されません。
Active Response ウォッチリストを追加する
ESM に追加した McAfee ePO デバイスに Active Response がインストールされている場合には、Active
Response 検索の結果で更新される動的ウォッチリストを設定できます。
開始する前に
Active Response 拡張ファイルと McAfee ePO デバイスを ESM に追加します。
430
McAfee Enterprise Security Manager 9.6.0
製品ガイド
イベントの操作
イベント時間を表示する
7
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[ウォッチリスト] をクリックして [追加] をクリックします。
3
[動的] を選択して、[メニュー] タブを完了します。
4
[ソース] タブの [タイプ] フィールドで、Active Response を選択し、必要な情報を入力します。
5
残りのタブで情報を入力し、[完了] をクリックします。
ウォッチリストが追加され、指定したデータを Active Response 検索で収集します。
ESM が DXL 経由で Active Response コレクターに接続できない場合、Active Response タイプは表示されません。
関連トピック:
427 ページの「McAfee® Active Response 検索」
428 ページの「Active Response 検索を実行する」
429 ページの「Active Response 検索の結果を管理する」
イベント時間を表示する
Receiver のデータベースにイベントが挿入された正確な時間を表示します。
開始する前に
次の権限が必要です。
•
[データの表示]。イベント時間の取得と表示に必要です。
•
[ビュー管理]。ビューの作成に必要です。
•
[イベント管理]。イベントの変更に必要です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[デバイス時間] フィールドのあるイベント テーブル ビューを追加します。
a
[ビュー] ペインのツールバーで [新しいビューを作成] アイコン
をクリックします。
b
[ビューの編集ツールバー] で、[テーブル] コンポーネントをクリックし、ドラッグします。
c
[クエリー ウィザード] で [次へ] をクリックし、[フィールド] をクリックします。
d
左側のリストで [デバイス時間] をクリックし、右側のリストに移動します。
e
[フィールド] ページで [OK] をクリックし、[完了] をクリックします。
f
[ビューの編集ツールバー] で [名前を付けて保存] をクリックし、ビューの名前を入力して [OK] をクリック
します。
g
[ビューの編集ツールバー] を閉じます。
ビューのドロップダウン リストにビューが追加されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
431
7
イベントの操作
イベント時間を表示する
2
いずれかの方法で [デバイス時間] を表示します。
イベントを Remedy に送信すると (『Remedy に電子メールを送信する』を参照)、そのデバイスのデバイス時間
が消失します。
432
•
追加したビューのイベント テーブルで [デバイス時間] 列を表示します。
•
テーブル下部のツールバーにある [データの詳細を表示] アイコン
ックして [デバイス時間] フィールドを表示します。
McAfee Enterprise Security Manager 9.6.0
をクリックし、[詳細情報] タブをクリ
製品ガイド
8
ケースの管理
ESM ケース マネージャーを使用して、作業アイテムの割り当てと追跡を行ったり、ネットワーク イベントに関連す
るチケットをサポートすることができます。 この機能にアクセスするには、[ケース管理ユーザー] 特権が有効なグ
ループに属している必要があります。
ケースを追加するには、次の 5 つの方法があります。
•
[ケース管理] ビュー
•
アラーム設定時
•
イベントにはリンクせず、[ケース] ペイン上で
•
アラーム通知のトリガー時
•
イベントにリンクし、[イベント分析] ビューで
目次
ケースを追加する
イベントからケースを作成する
イベントを既存のケースに追加する
ケースを編集または閉じる
ケースの詳細の表示
ケースのステータス レベルを追加する
ケースを電子メールで送信する
すべてのケースの表示
ケース管理レポートを生成する
ケースを追加する
ネットワーク イベントの結果として生成されたタスクを追跡するには、まずケース管理システムにケースを追加しま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ケース] ペインで、[ケースを追加] アイコン
2
要求された情報を入力し、[OK] をクリックします。
をクリックします。
ケースが割り当てられているユーザーの [ケース] ペインに、ケースが追加されます。 [電子メールのケース] を選択
すると、電子メールも送信されます (「ケースを電子メールで送信する」を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
433
8
ケースの管理
イベントからケースを作成する
関連トピック:
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
441 ページの「ケース管理レポートを生成する」
イベントからケースを作成する
[イベント分析] ビューでイベントを追跡するには、ケースを作成します。 これにより、ワークフローの追跡が有効
になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
ビュー リストで、[イベント ビュー] 、 [イベント分析] の順に選択します。
イベントをクリックして、メニュー アイコン
順にクリックします。
をクリックします。 [アクション] 、 [新規ケースを作成] の
必要な情報を入力して [OK] をクリックし、ケースを保存します。
新しいケースに、[メッセージ] テーブルのイベント データが追加されます。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
441 ページの「ケース管理レポートを生成する」
イベントを既存のケースに追加する
既存のケースに 1 つ以上のイベントを追加し、それらのイベントに応答して実行されるアクションを追跡します。
434
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ケースの管理
イベントを既存のケースに追加する
8
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ビュー ペインで、ビューのドロップダウン リストから [イベント ビュー] を選択し、[イベント分析] をクリッ
クします。
2
イベントを選択して、次のいずれかを実行します。
•
•
3
[イベントをケースまたは Remedy に割り当てる] アイコン
加] を選択します。
[メニュー] アイコン
クします。
をクリックして、[イベントをケースに追
をクリックして [アクション] を強調表示し、[イベントをケースに追加] をクリッ
ケースを選択して [追加] をクリックします。
[ケースの詳細] ページでは、[メッセージ] テーブルにイベント ID が表示されます。
4
[OK] をクリックし、[閉じる] をクリックします。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
441 ページの「ケース管理レポートを生成する」
435 ページの「[ケース管理] ページ」
436 ページの「[ケース管理の設定] ページ」
[ケース管理] ページ
[ケース管理者] 特権を持っている場合は、ケースがオープンであるかクローズであるかに関わらず、システム上の任
意のケースを表示および管理できます。
表 8-1 オプションの定義
オプション
定義
[ケース ID ]
特定のケースを検索するには、ケース ID を入力して [検索] をクリックします。
• ケースの詳細を表示するには、ケースをダブルクリックします。
• すべてのケースのリストに戻るには、[ケース ID] フィールドをクリアして、
[検索] をクリックします。
[フィルター] アイコン
指定した条件に合致するケースを検索します。
クリックして、新しいケースを追加します。
[ケースを追加] アイコン
[ケースを編集] アイコン
選択したケースを編集します。
[ケースの割り当て時に電子メー 選択すると、ケースが追加または再割り当てされたときに電子メール メッセージ
ルを送信します]
が送信されます。
関連トピック:
434 ページの「イベントを既存のケースに追加する」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
435
8
ケースの管理
ケースを編集または閉じる
[ケース管理の設定] ページ
グローバル ケースの設定を変更します。
表 8-2 オプションの定義
オプション
定義
[ケースの割り当て時に電 ケースの割り当て後すぐに割り当て先に電子メールを自動送信するかどうかを選択し
ます。
子メールを送信します]
[追加] または [編集]
ケースで使用可能なステータスを追加または変更します。 ステータスをデフォルトに
設定したり、選択したケースをケース ペインに表示するかどうかを選択します。
[削除]
強調表示したステータスを削除します。
[デフォルト]
ステータスをクリックしてこのオプションをクリックすると、強調表示されたステータ
スがケースのデフォルトに設定されます。
関連トピック:
434 ページの「イベントを既存のケースに追加する」
437 ページの「ケースの詳細の表示」
ケースを編集または閉じる
[ケース管理者] 特権がある場合は、システム上のすべてのケースを変更できます。[ケース管理ユーザー] 特権があ
る場合は、割り当てられているケースのみ変更できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ケースの詳細] には、以下のいずれかの方法でアクセスします。
ケースの種類
手順
割り当てられているケース
1 [ケース] ペインでケースを選択します。
2 [ケースを編集] アイコン
割り当てられていないケース
をクリックします。
1 [ケース] ペインで [ケース管理を開く] アイコン
をクリックします。
2 変更するケースを選択します。
3
ビューの下部にある [ケースを編集] アイコン
2
[ステータス] フィールドで、設定を編集するかケースを閉じます。
3
[OK] をクリックして変更を保存します。
をクリックします。
変更は、[ケースの詳細] ページの [メモ] セクションに記録されます。閉じたケースは [ケース] ペインに表示されな
くなりますが、[ケース管理] リストではステータスが [クローズ] に変更されて残ります。
436
McAfee Enterprise Security Manager 9.6.0
製品ガイド
8
ケースの管理
ケースの詳細の表示
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
437 ページの「ケースの詳細の表示」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
441 ページの「ケース管理レポートを生成する」
ケースの詳細の表示
ESM で[管理者]権限がある場合、ESM でケースを表示し、アクションを実行できます。 グループ内のすべてのユー
ザーがグループ内のケースを表示できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ケース] ペインで、[オープンケースの管理] アイコン
をクリックします。
[ケース管理] ビューが開き、システム内のケースがすべて表示されます。
2
[メモ] タブと [ソース イベント] タブでデータを確認します。
3
詳細を表示するには、ケースをダブルクリックして [ケースの詳細] ページで情報を確認します。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
441 ページの「ケース管理レポートを生成する」
437 ページの「[ケースの詳細] ページ」
436 ページの「[ケース管理の設定] ページ」
[ケースの詳細] ページ
新しいケースを追加し、また既存のケースの詳細を表示します。
表 8-3 オプションの定義
オプション
定義
[サマリー]
ケースに関する短い説明的なサマリー。[ケース] ペインに表示されます。最大 255 文字で入力し
ます。
[ケース ID]
追加されたケースに与えられる、一意のシステム生成番号。この番号を変更することはできません。
[割り当て先] ケースが割り当てられているユーザーまたはグループ。ケース管理特権を持つすべてのユーザーと
ユーザー グループがリストされます (「ユーザー グループを設定」を参照)。
ドロップダウン リストからユーザーまたはグループを選択します。
[取得]
ケースを自分自身に割り当てなおします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
437
8
ケースの管理
ケースの詳細の表示
表 8-3 オプションの定義 (続き)
オプション
定義
[重大度]
ケースの重大度。
1 から 20 = 緑
21 から 40 = 青
41 から 60 = 黄
61 から 80 = 茶
81 から 100 = 赤
このケースの重大度を選択します。
[組織]
ケースが割り当てられている組織。このフィールドはオプションです。組織を追加するには、[組織]
をクリックして [追加] をクリックします。
[ステータス] ケースの現在のステータス。ケース マネージャーでは、[オープン]と[クローズ]の 2 つのステータ
ス レベルが用意されています。 デフォルトでは [オープン] に設定されています。ケースに割り当
てるステータスを追加するには、[ステータス]、[追加] の順にクリックして、必要な情報を入力し
ます。
[作成日]
ケースが作成された日付。
[最終更新]
ケースが最後に変更された時間
[メモ]
実行されたアクション、ケースに加えられた変更、および追加したメモが記録されます。このセクシ
ョンでは、ケースを追加すると、次のアクションと変更が自動的に記録されます。
• オープンされたケース
• 重大度の変更
• クローズされたケース
• 組織の変更
• サマリーに対する変更
• イベントの変更
• ケースの再割り当て
メモには、実行されたアクションのタイプまたは変更の内容、日付および時間、ユーザー名が記録さ
れます。変更が行われた場合、次のように古い値と新しい値が示されます。
---- Severity Changed on 04-22-2009 at 09:39
old: Low
new: High
[履歴]
ケースにアクセスしたユーザーの一覧を表示します。
[メッセージ] ケースに関連するイベントの一覧を表示します。 イベントの詳細を表示するには、テーブルのイベ
テーブル
ントをクリックし、[詳細を表示] をクリックします。
[電子メール
のケース]
指定したアドレスにケースを電子メールで送信できます。
関連トピック:
437 ページの「ケースの詳細の表示」
438
McAfee Enterprise Security Manager 9.6.0
製品ガイド
8
ケースの管理
ケースのステータス レベルを追加する
[ケース管理の設定] ページ
グローバル ケースの設定を変更します。
表 8-4 オプションの定義
オプション
定義
[ケースの割り当て時に電 ケースの割り当て後すぐに割り当て先に電子メールを自動送信するかどうかを選択し
ます。
子メールを送信します]
[追加] または [編集]
ケースで使用可能なステータスを追加または変更します。 ステータスをデフォルトに
設定したり、選択したケースをケース ペインに表示するかどうかを選択します。
[削除]
強調表示したステータスを削除します。
[デフォルト]
ステータスをクリックしてこのオプションをクリックすると、強調表示されたステータ
スがケースのデフォルトに設定されます。
関連トピック:
434 ページの「イベントを既存のケースに追加する」
437 ページの「ケースの詳細の表示」
ケースのステータス レベルを追加する
ケース マネージャーでは、[オープン]と[クローズ]の 2 つのステータス レベルが用意されています。 他のステータ
スを追加してケースに割り当てることもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ケース] ペインで、[オープンケースの管理] アイコン
2
[ケース管理] ビューで、下のツールバーにある[ケース管理の設定] アイコン
クします。
3
ステータスの名前を入力し、そのステータスを新しいケースのデフォルトにするかどうかを選択します。
4
このステータスのケースを [ケース] ペインに表示するかどうかを選択して、[OK] をクリックします。
をクリックします。
をクリックし、[追加] をクリッ
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
441 ページの「ケース管理レポートを生成する」
ケースを電子メールで送信する
ケースが割り当てられている個人またはグループに対して、ケースが追加または再割り当てされるたびに、電子メー
ルが自動的に送信されるように設定できます。
開始する前に
[ケース管理者]の権限が必要です。
また、ケースのメモやイベント詳細を含む、ケース通知の電子メールを手動で送信することもできます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
439
8
ケースの管理
すべてのケースの表示
目的
手順
ケースの電子 1 [ケース] ペインで、[ケースの管理ウィンドウを開く] アイコン
メールを自動
的に送信
2 [ケース管理の設定] アイコン
をクリックします。
をクリックします。
3 [ケースの割り当て時に電子メールを送信します] を選択し、[閉じる] をクリックします。
ユーザーの電子メール アドレスは ESM にある必要があります (「ユーザーの設定」を参照)。
既存のケース 1
[ケース] ペインで、電子メールで送信するケースを選択し、[ケースを編集] アイコン
の電子メール
ックします。
を手動で送信
をクリ
2 [ケースの詳細] で [ケースを電子メールで送信] をクリックし、[送信者] および [送信先] フィー
ルドに入力します。
3 メモと、イベント詳細の CSV ファイルを添付するかどうかを選択します。
4 電子メール メッセージに含めるメモがあれば入力し、[送信] をクリックします。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
441 ページの「ケース管理レポートを生成する」
すべてのケースの表示
ESM で [管理者] 特権がある場合、システムのすべてのケースを現在オープンであるか閉じているかにかかわらず、
表示、管理できます。
[ケース管理者] 特権がある場合、ステータスや組織を作成したり、電子メールの自動機能を設定できます。
440
McAfee Enterprise Security Manager 9.6.0
製品ガイド
8
ケースの管理
ケース管理レポートを生成する
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ケース] ペインで、[オープンケースの管理] アイコン
2
次のいずれかを行います。
操作
をクリックします。
実行するには...
ケースを追加する
ビューの下部にあるツールバーで、[ケースを追加] アイコン
ます。
をクリックし
選択したケースを表示また
は編集する
ビューの下部にあるツールバーで、[ケースを編集] アイコン
す。
をクリックしま
選択したケースを電子メー
ルで送信する
ビューの下部にあるツールバーで、[電子メールのケース] アイコン
クします。
ケースが追加または変更さ
れたときにケースを電子メ
ールで送信する
ビューの下部にあるツールバーで、[ケース管理の設定] アイコン
します。
ケースで使用可能なステー
タスを追加または編集する
[ケース管理の設定] アイコン
をクリックします。
をクリッ
をクリック
をクリックして、[追加]、[編集] または [削除]
選択したケースのメモ、履 [メモ]、[履歴] または [ソース イベント] をクリックします。 [ソース イベント]
歴、ソース イベントを表示 をクリックすると、[ソース イベントの詳細] タブが開きます。 タブが表示されな
する
い場合や、表示されているタブを非表示にする場合には、ビューの下部にあるツー
ルバーで [ソース イベントの詳細を表示する] アイコン
をクリックします。
[履歴] タブには、ユーザーがケースを表示した時間が記録されます。 同じユーザ
ーがケースを表示してから 5 分以内に行った表示操作は記録されません。
[ソース イベント] 列を変
更する
[ソース イベント] タブをクリックして、[[ソース イベント] タブで表示可能な列
を編集する] をクリックします。
ケースをフィルタリングす
る
[フィルター] ページで、ケースをフィルタリングする日付を選択または入力して、
[クエリーを実行] アイコン
をクリックします。 ケースのリストが変更さ
れ、フィルター条件に一致するケースだけが表示されます。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
441 ページの「ケース管理レポートを生成する」
ケース管理レポートを生成する
ESM では 6 つのケース管理レポートを使用できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
441
8
ケースの管理
ケース管理レポートを生成する
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[システムのプロパティ] ページで、[レポート] 、 [追加] の順にクリックします。
2
セクション 1、2、3 に入力します。
3
セクション 4 で、[CSV をクエリー] を選択します。
4
セクション 5 で、実行するケース管理レポートを選択します。
5
•
[ケース管理のサマリー] — ケース ID 番号、ケースに割り当てられている重大度、ケースのステータス、割
り当て先のユーザー、割り当てられている組織 (ある場合)、ケースが追加された日付と時刻、ケースが更新さ
れた日付と時刻、ケースのサマリーなどが含まれます。
•
[ケース管理の詳細] — [ケース管理のサマリー] レポート内のすべての情報と、ケースにリンクされているイ
ベントの ID 番号、ケースのメモ セクションにある情報が含まれます。
•
[ケースが解決するまでの時間] - ステータスが変更されるまでの時間を表示します (たとえば、[オープン
ン] のタイムスタンプから[終了] のタイムスタンプまでの時間)。 デフォルトでは、ステータスが [終了] の
ケースが [ケース ID] 番号別に表示されます。また、重大度、組織、[作成]美、前回の更新、サマリー、時差
ごとに表示することもできます。
•
[ケース (割り当て先別)] - ユーザーまたはグループに割り当てられたケースの数が表示されます。
•
[ケース (組織別)] - 組織ごとにケースの数が表示されます。
•
[ケース (ステータス別)] - ステータス タイプ別にケースの数が表示されます。
セクション 6 を完了します (『contain フィルターと regex フィルターの説明』を参照)。[保存] をクリック
します。
レポートが保存され、[レポート] リストに追加されます。
関連トピック:
433 ページの「ケースを追加する」
434 ページの「イベントからケースを作成する」
434 ページの「イベントを既存のケースに追加する」
436 ページの「ケースを編集または閉じる」
437 ページの「ケースの詳細の表示」
439 ページの「ケースのステータス レベルを追加する」
439 ページの「ケースを電子メールで送信する」
440 ページの「すべてのケースの表示」
442
McAfee Enterprise Security Manager 9.6.0
製品ガイド
9
資産マネージャー の使用方法
[資産マネージャー] では、資産の検出、手動での作成、インポートを一元的に行うことができます。
[資産] タブで、1 つ以上の資産を含むグループを作成できます。 グループ全体で次の操作を実行できます。
•
グループのすべての資産の属性を変更します。
この変更は永続的ではありません。 変更したグループに資産を追加しても、前の設定は自動的に継承されません。
•
ドラッグ アンド ドロップ操作を使用します。
•
必要に応じてグループの名前を変更する。
資産グループを使用することで、資産のタグ付けではできない方法で資産を分類できます。 たとえば、キャンパスの
建物ごとに資産グループを作成する場合に使用できます。資産は、IP アドレスとタグのコレクションで構成されま
す。タグは、資産が実行しているオペレーティング システムと、資産が関与しているサービスのコレクションを記述
します。
資産のタグを定義するには、資産の取得時にシステムが定義する方法と、資産の追加または編集時にユーザーが定義
する方法の 2 つがあります。システムがタグを設定している場合、タグが変更されると、資産が取得されるたびに更
新されます。 ユーザーがタグを設定している場合、タグが変更されても、資産が取得されるたびには更新されませ
ん。 資産のタグを追加または編集して、資産が取得されるときにシステムで更新するには、[リセット] をクリック
します。 タグ設定を変更するたびにこの操作を行う必要があります。
設定管理は、PCI、HIPPA、SOX など、標準のコンプライアンス規制の一部になっています。ルーターやスイッチの
設定に対する変更を監視できるため、システムの脆弱性を低減させることができます。ESM の設定管理機能によっ
て、次のことが可能になります。
•
デバイスのポーリング間隔を設定します。
•
検出されたデバイスについて、設定を確認するデバイスを選択する。
•
取得した設定ファイルをデバイスのデフォルトとしてマークします。
•
設定データを表示し、データをファイルにダウンロードし、2 つのデバイスの設定情報を比較する。
目次
資産を管理
設定管理の設定
ネットワーク検出
資産ソース
脆弱性評価ソースの管理
ゾーン管理
資産、脅威、リスク評価
既知の脅威を管理する
McAfee Enterprise Security Manager 9.6.0
製品ガイド
443
9
資産マネージャー の使用方法
資産を管理
資産を管理
資産とは、ネットワーク上で IP アドレスを持つデバイスです。
[資産マネージャー] の [資産] タブでは、資産を作成し、タグを変更し、資産グループを作成し、資産ソースを追加
し、資産グループに資産を割り当てることができます。いずれかの脆弱性評価ベンダーから得られた資産を操作する
こともできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[資産マネージャー] のクイック起動アイコン
をクリックします。
2
[資産] タブが選択されていることを確認します。
3
必要に応じて資産を管理し、[OK] をクリックします。
タスク
•
447 ページの「古い資産を定義」
[資産マネージャー] の [古い資産] グループには、定義した時間に検出されていない資産を入れることが
できます。
関連トピック:
449 ページの「ネットワークを検出」
455 ページの「資産ソースを管理」
457 ページの「脆弱性評価ソースの管理」
464 ページの「既知の脅威を管理する」
447 ページの「古い資産を定義」
444 ページの「資産 タブ」
445 ページの「[新しい資産] ページ」
446 ページの「[詳細オプション] ページ」
446 ページの「[フィルター グループを追加] ページ」
資産 タブ
システムで資産を作成して管理します。
表 9-1 オプションの定義
オプション
定義
[ツリー形式で資産を表示]
ツリー形式で資産を表示します。
[ソート可能なフラット リス
ソート可能なフラット リストで資産を表示します。
トで資産を表示]
[新規作成] 、 [グループ]
資産グループを追加します。 グループの名前を入力し、重要度を選択します。
[新規作成] 、 [資産]
資産を追加します。
[新規作成] 、 [フィルター グ 資産フィルター グループを追加します。 このオプションは、資産ツリーに最初に
ループを追加]
アイテムを追加する場合、または既存のグループを強調表示した場合のみ使用でき
ます。
444
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
資産を管理
9
表 9-1 オプションの定義 (続き)
オプション
定義
[ファイル] 、 [ファイルから
インポート]
資産のリストで選択した場所に .csv ファイルをインポートします。
次のように .csv 形式で資産データを記述します。
Hostname, IPAddress, Mask, ZoneName, UsrSeverity,
UseCalcSeverity, TagCount, TagGroupName:TagName
各タグ (TagCount) に 1 つの TagGroupName:TagName を追加します。 それぞ
れの資産は 1 行で記述する必要があります。
[ファイル] 、 [ファイルにエ
クスポート]
選択した資産ファイルをエクスポートします。
[編集] 、 [変更]
選択した資産または資産グループを変更します。
[編集] 、 [リスク計算で使用 資産を選択して、いずれかのオプションをクリックします。企業全体のリスク計算
する]または [リスク計算で無 で使用する資産を選択します。 [リスク計算で使用する] がデフォルトの設定です。
視する]
[編集] 、 [削除]
選択したグループまたは資産を削除します。 グループを選択すると、グループと資
産を削除するか、グループだけを削除するかを尋ねられます。グループだけを選択
した場合、資産は [未割り当て] フォルダーに再割り当てされます。
[ツール] 、 [DEM データベー 資産を選択し、システムの DEM デバイスにデータベース サーバーとして追加しま
ス サーバーを作成]
す。
[ツール] 、 [Receiver データ 資産を選択し、システムの Receiver にデータソースとして追加します。
ソースを作成]
[タグ付け]
選択した資産にタグを追加して、属性を定義し、フィルターとして機能するように
します。
関連トピック:
444 ページの「資産を管理」
[新しい資産] ページ
ESM に新しい資産を追加します。
表 9-2 オプションの定義
オプション
定義
[名前]
この資産の名前を入力します。
[IP アドレス]
この資産の IP アドレスを入力します。
[MAC アドレス]
(任意) この資産の MAC アドレスを入力します。
[GUID]
(任意) この資産の GUID を入力します。
[オペレーティング シ
ステム]
(任意) この資産のオペレーティング システムを選択します。
[ゾーン]
資産のゾーンを選択します。
資産または資産のグループにゾーンを割り当てると、そのゾーンに対する権限を持たない
ユーザーは資産にアクセスできません。
[重大度]
企業に対するこの資産の重大度を選択します。最も低い重大度が 1、最も高い重大度が
100 になります。 イベント全体の企業に対する重大度を計算するときに、資産の重大度
と脅威の重大度が使用されます。
タグ テーブル
資産のタグを選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
445
9
資産マネージャー の使用方法
資産を管理
表 9-2 オプションの定義 (続き)
オプション
定義
[新しいカテゴリ タグ]
タグのリストに新しいカテゴリを追加します。カテゴリの名前を入力し、そのカテゴリを
イベント重大度の計算に使用するかどうかを選択します。
新しいタグを追加します。タグの名前を入力し、そのタグをイベント重大度の計算に使用
するかどうかを選択します。
[新しいタグ]
編集するタグまたはカテゴリを選択し、このアイコンをクリックします。
[タグを編集]
削除するカスタム タグまたはカテゴリを選択し、このアイコンをクリックします。
[タグを削除]
関連トピック:
444 ページの「資産を管理」
[詳細オプション] ページ
各資産に重大度を設定する必要があります。この重大度は、企業に対する資産の重要度を表します。 イベント全体の
重大度を計算するときに、資産または資産グループの重大度と脅威の重大度が使用されます。
表 9-3 オプションの定義
オプション
定義
[この資産の重大度 このオプションを選択すると、イベントの重大度を計算するときに、割り当て済みの資産の重
を使用]
大度が常に使用されます。
[重大度の総合計を このオプションを選択すると、イベントの重大度を計算するときに、最も大きい重大度が常に
使用]
使用されます。
このオプションを選択し、[重大度] フィールドでレートを変更すると、[計算] ボタンと [グル
ープ] ボタンが使用可能になります。
[計算]
全体の重大度を計算します。この値が [重大度] フィールドに追加されます。
[グループ]
クリックすると、この資産が属するグループのリストと、各グループの重大度が表示されま
す。
[リセット]
この資産に自動的にタグが設定されます。
関連トピック:
444 ページの「資産を管理」
[フィルター グループを追加] ページ
ユーザー定義のフィルター条件によってメンバーが決定される資産グループである、資産フィルター グループを追加
します。
表 9-4 オプションの定義
オプション
定義
[名前]
資産フィルター グループの名前を入力します。
[IP アドレス/マス このグループの IP アドレス/マスクを入力します。
ク]
446
[ゾーン]
このグループをゾーンに割り当てるには、いずれかを選択します。 必要なゾーンがリストにな
い場合には、[ゾーン] をクリックして追加します。
[重要度]
このグループの重要度を選択します。 この設定は、組織に対する資産の重要度を表します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
設定管理の設定
9
表 9-4 オプションの定義 (続き)
オプション
定義
タグ リスト
このグループにフィルターとして適用されるタグを選択します。1 つ以上の資産タグの存在に
基づいて、フィルター グループを定義できます。設定されたタグでは、資産で必要なタグの除
外セットは定義されません。資産に他のタグを設定しても、フィルター グループのメンバーの
ままにすることができます。
[新しいカテゴリ
タグのリストにカテゴリを追加します。 カテゴリの名前を入力し、そのカテゴリをイベント重
大度の計算に使用するかどうかを選択します。
タグ]
[新しいタグ]
[タグを編集]
[タグを削除]
タグを追加します。 タグの名前を入力し、そのタグをイベント重大度の計算に使用するかどう
かを選択します。
編集するタグまたはカテゴリを選択し、このアイコンをクリックします。
削除するカスタム タグまたはカテゴリを選択し、このアイコンをクリックします。
関連トピック:
444 ページの「資産を管理」
古い資産を定義
[資産マネージャー] の [古い資産] グループには、定義した時間に検出されていない資産を入れることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[資産マネージャー] のクイック起動アイコン
をクリックします。
2
[資産] タブの資産のリストで、[古い資産] グループをダブルクリックします。
3
資産が最後に検出されてから [古い資産] フォルダーに移動されるまでの日数を選択し、[OK] をクリックします。
関連トピック:
444 ページの「資産を管理」
設定管理の設定
設定管理では、CLI プロファイルを使用して検出された、デバイスの設定ファイルが取得されます。ネットワーク検
出プロセスが完了したら、設定管理を設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[資産マネージャー] のクイック起動アイコン
をクリックし、[設定管理] タブを選択します。
いずれかの使用可能なアクションを実行し、[OK] をクリックします。
タスク
•
448 ページの「取得された設定ファイルを管理」
ルーターやスイッチの設定を確認したときに取得されたファイルを管理するには、いくつかの方法があ
ります。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
447
9
資産マネージャー の使用方法
設定管理の設定
関連トピック:
449 ページの「ネットワークを検出」
455 ページの「資産ソースを管理」
457 ページの「脆弱性評価ソースの管理」
464 ページの「既知の脅威を管理する」
448 ページの「取得された設定ファイルを管理」
448 ページの「[設定管理] タブ」
[設定管理] タブ
ネットワーク上で検出されたデバイスの設定を監視します。
表 9-5 オプションの定義
オプション
定義
[設定管理を有効にしま
す]
選択すると監視が有効になります。
[デバイスをポーリング] デバイスをポーリングする定期的なスケジュールを設定する頻度と時刻を選択します。
[デバイス] 列
ポーリングするデバイスを選択します。
[今すぐ確認]
クリックして、すぐにデバイスを確認します。
[取得された設定ファイ
ル]
取得された設定ファイルを表示します。
[デフォルトとしてマー
ク]
選択したファイルをデフォルトとしてマークします。ESM ではこのデバイスについて、
以後すべての設定ファイルがデフォルトと比較され、変更があった場合に通知されます。
それによって、変更がシステムのセキュリティに影響しないように対処することができま
す。
[ダウンロード]
選択したファイルをダウンロードします。
[表示]
取得したデータを表示します。
[比較]
デフォルトのファイルと新しいファイルを比較し、変更を確認します。[ファイルの比較
ビューアー] を選択すると、2 つのファイルの比較結果が表示されます。
関連トピック:
447 ページの「設定管理の設定」
取得された設定ファイルを管理
ルーターやスイッチの設定を確認したときに取得されたファイルを管理するには、いくつかの方法があります。
開始する前に
設定ファイルを取得します(『設定管理を設定』を参照)。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[資産マネージャー] のクイック起動アイコン
をクリックし、[設定管理] タブを選択します。
このページの [取得された設定ファイル] セクションで、いずれかの使用可能なアクションを実行します。
関連トピック:
447 ページの「設定管理の設定」
448
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
ネットワーク検出
9
ネットワーク検出
[ネットワーク検出] は、ネットワーク上でイベントが発生した物理的な場所を示して、イベントを追跡する機能を向
上させます。
[ネットワーク検出] は、ネットワークに関する広範な知識を持った上級ユーザー向けの機能であり、特権が割り当て
られている場合にのみ実行できます。[ネットワーク検出] を作成および表示し、[ネットワーク ポート制御] でスイ
ッチ設定を変更するには、特権が有効になっている必要があります。
SNMPv3、Telnet、または SSH からの [ネットワーク検出] は、FIPS に対応していません。FIPS 規制に準拠する必
要がある場合は、これらの機能は使用しないでください。
関連トピック:
449 ページの「ネットワークを検出」
452 ページの「IP 除外リストの管理」
453 ページの「エンドポイントを検出」
453 ページの「ネットワーク マップの表示」
ネットワークを検出
ネットワークをマッピングする最初のステップは、ネットワークを検出することです。スキャンを開始する前にパラ
メーターを設定する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブを選択します。
2
[ネットワーク設定を構成] ページで [設定] をクリックしてから [追加] をクリックし、この検出のパラメーター
を追加します。
3
[ネットワーク検出パラメーター] の設定を完了します。
4
[OK] をクリックします。定義したパラメーターが [ネットワーク設定を構成] リストに追加されます。
5
必要に応じてその他のアクションを実行します。
6
[ネットワークを検出] をクリックして、スキャンを開始します。検出を停止する必要がある場合は [検出を停止]
をクリックします。
ページの [ネットワーク デバイス] セクションに、スキャンで取得したデータが入力されます。
7
[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
449
9
資産マネージャー の使用方法
ネットワーク検出
関連トピック:
444 ページの「資産を管理」
447 ページの「設定管理の設定」
455 ページの「資産ソースを管理」
457 ページの「脆弱性評価ソースの管理」
464 ページの「既知の脅威を管理する」
449 ページの「ネットワーク検出」
452 ページの「IP 除外リストの管理」
453 ページの「エンドポイントを検出」
453 ページの「ネットワーク マップの表示」
450 ページの「ネットワーク検出 タブ」
298 ページの「ローカル ネットワーク ページ」
451 ページの「[ネットワーク ログ] ページ」
451 ページの「[ネットワーク設定を構成] ページ」
452 ページの「ネットワーク検出パラメーター ページ」
ネットワーク検出 タブ
ネットワーク検出の結果を表示し、各種の設定を定義します。
表 9-6 オプションの定義
オプション
定義
[ネットワーク
デバイス]
ネットワーク デバイスの最後のスキャン結果を表示します。デバイス数、不明な IP アドレス、
または接続のないデバイスの詳細を表示するには、いずれかをクリックします。
[エンドポイン
ト デバイス]
エンドポイントの最後のスキャン結果を表示します。エンドポイント数、複数の接続があるエン
ドポイント、または複数のエンドポイントがあるポートの詳細を表示するには、いずれかをクリ
ックします。
[設定]
ネットワーク検出のパラメーターを設定し、デフォルト設定を変更し、FDB 検出を実行するかど
うかを選択します。
[ローカル ネッ
トワーク]
ローカル ネットワークの詳細を設定します。 最大 2,000 文字の入力が可能です。ローカル ネ
ットワークがこれより長い場合は、CIDR 表記によって、複数のサブネットを短いローカル ネッ
トワークに統合できます。
[IP 除外リスト] ネットワーク検出スキャンから除外する IP アドレスを追加します。
[ネットワーク
を検出]
クリックするとネットワーク検出スキャンが開始されます。このオプションは、スキャンのパラ
メーターを追加するまではアクティブになりません。
[検出を停止]
スキャンの開始後に停止するには、このオプションをクリックします。
[エンドポイン
トを検出]
クリックして、すぐにエンドポイント検出スキャンを開始します。自動検出を設定するには、[自
動検出間隔] を選択して頻度を入力します。
[ネットワーク
マップ]
クリックするとネットワークがグラフィカルに表示され、デバイスの移動やデバイス接続の追加
を行うことができます。
[ネットワーク
ログ]
発生したポート制御イベントを表示します。イベントが発生した時間、ユーザー名、デバイス名、
イベントが発生したポート、設定、古い値と新しい値、イベントが正常に完了したかどうかなど
が表示されます。
[ネットワーク
デバイスを監
視]
ネットワーク デバイスの稼働ステータスを監視するようにシステムを設定します。
• [ping を使用]、[SNMP を使用]、またはその両方をクリックして、ステータスの監視に使用す
る方法を選択します。
• ステータスを定期的に確認するには、[間隔] フィールドで頻度を選択します。
• ステータスをすぐに確認するには、[今すぐ確認] をクリックします。
関連トピック:
449 ページの「ネットワークを検出」
450
McAfee Enterprise Security Manager 9.6.0
製品ガイド
9
資産マネージャー の使用方法
ネットワーク検出
ローカル ネットワーク ページ
ローカル ネットワークの詳細を設定します。
表 9-7 オプションの定義
オプション
定義
[ローカル ネットワ
ーク] フィールド
ローカル ネットワークに含まれている IP アドレスまたはサブネットのカンマ区切りリス
トを入力します。 このフィールドには最大 2,000 文字の入力が可能です。ローカル ネッ
トワークがこれより長い場合は、Classless Inter-Domain Routing (CIDR) 表記によって、
複数のサブネットを短いローカル ネットワークに統合できます。
関連トピック:
296 ページの「IP アドレスをマスクする」
449 ページの「ネットワークを検出」
[ネットワーク ログ] ページ
ポート制御イベントを表示します。
表 9-8 オプションの定義
オプション
定義
[ログを完全に削除]
クリックしてログをクリアします。
[取り消し]
クリックすると、正常に完了したイベントを取り消すことができます。
関連トピック:
449 ページの「ネットワークを検出」
[ネットワーク設定を構成] ページ
新規のネットワーク検出用にパラメーターを設定します。
表 9-9 オプションの定義
オプション
定義
テーブル
すでに定義されているパラメーターを表示します。
[追加]
ネットワーク検出のパラメーターを追加します。
[編集]
選択したパラメーターを編集します。
[削除]
選択したパラメーターを削除します。
[詳細]
ネットワーク検出のデフォルト設定を変更します。
[FDB 検出を実行]
FDB 検出を実行する場合に選択します。
[資産検出の上書きの優 Vulnerability Assessment または資産ソースと同時に資産を検出した場合の、ネットワ
先度]
ーク検出の優先度を選択します。
2 つの検出ソースの優先度が同じである場合には、最後に資産を検出したソースのほうが
優先されます。
関連トピック:
449 ページの「ネットワークを検出」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
451
9
資産マネージャー の使用方法
ネットワーク検出
ネットワーク検出パラメーター ページ
ネットワーク検出のパラメーターを設定します。
表 9-10 オプションの定義
オプション
定義
[検出タイプ]
検出タイプを選択します。次のオプションがあります。
• [ホスト] — 単一の IP アドレスが必要です。
• [範囲] — IP アドレスの範囲 (開始および終了) を必要とします。
• [サブネット] — 開始 IP アドレスとマスクを必要とします。
[IP アドレス]
選択した検出タイプに対する適切な IP アドレスを入力します。
[SNMP RO]、
SNMP 読み取り専用プロファイル、SNMP 読み取り/書き込みプロファイル、コマンド ライン
[SNMP RW]、[CLI インターフェース (CLI) プロファイルを選択します。 SNMP-RO のみ必要です。
プロファイル]
いずれかのリンクをクリックして、新しい SNMP 読み取り専用、読み取り/書き込みプロファ
イル、または CLI プロファイルを作成できます。[プロファイル管理] ページが表示され、新し
いプロファイルを追加できます (「プロファイルを設定する」を参照)。
[検出方法]
使用する検出方法を 1 つ以上選択します。
• [CDP] — Cisco Discovery Protocol
• [LLDP] — Link Layer Discovery Protocol
• [FDP] — Foundry Discovery Protocol
• [STP] — Spanning Tree Protocol。
[最初の ping]
SNMP との通信を試みる前に、検出パラメーター内の IP アドレスに対して ping を実行する
かどうかを選択します。
[SNMP の再試行]
システムが SNMP との通信を再試行する回数を設定します。
[SNMP タイムアウ SNMP 要求を行う前に待機する秒数を設定します。
ト]
関連トピック:
449 ページの「ネットワークを検出」
IP 除外リストの管理
ネットワーク検出検索から除外する IP アドレスを [IP 除外リスト] に追加できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
452
1
[Asset Manager] クイック起動アイコンをクリックし、[ネットワーク検出] タブを選択します。
2
[IP 除外リスト] をクリックします。
3
新しいアドレスを追加するか、既存のアドレスを編集または削除します。
4
[OK] をクリックして変更内容を保存します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
ネットワーク検出
9
関連トピック:
449 ページの「ネットワーク検出」
449 ページの「ネットワークを検出」
453 ページの「エンドポイントを検出」
453 ページの「ネットワーク マップの表示」
453 ページの「[IP アドレス除外リスト] ページ」
[IP アドレス除外リスト] ページ
ネットワーク検出スキャンから除外する IP アドレスを管理します。
表 9-11 オプションの定義
オプション 定義
テーブル
すでに除外リストに追加されている IP アドレスを表示します。
[追加]
リストに新しい IP アドレスを追加します。[除外タイプ] フィールドで、次のいずれかを選択します。
• [ホスト] — 単一の IP アドレスが必要です。
• [範囲] — IP アドレスの範囲(開始および終了)を必要とします。
• [サブネット] — 開始 IP アドレスとサブネットを IP 形式で入力する必要があります。
[編集]
選択したアイテムの設定を変更します。
[削除]
選択したアイテムを削除します。
関連トピック:
452 ページの「IP 除外リストの管理」
エンドポイントを検出
ネットワークを設定したり、IP アドレスを除外リストに追加したり、ネットワークを検出するときは、デバイスに接
続されているエンドポイントを検出する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブを選択します。
[エンドポイント検出] をクリックして、今すぐスキャンを開始します。
スキャンの結果とステータスは、ページの [エンドポイント デバイス] セクションにリストされます。
3
エンドポイントの自動検出をスケジュールするには、[自動検出間隔] を選択して、頻度を選択します。
関連トピック:
449 ページの「ネットワーク検出」
449 ページの「ネットワークを検出」
452 ページの「IP 除外リストの管理」
453 ページの「ネットワーク マップの表示」
ネットワーク マップの表示
デバイスを任意の場所へ配置するための、ネットワークのグラフィック表示を生成できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
453
9
資産マネージャー の使用方法
ネットワーク検出
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブをクリックします。
[ネットワーク マップ] をクリックします。
ネットワークのグラフィック表示が開きます。
3
複数のデバイスを動かすか、1 つのデバイスにマウスをロールすると、そのプロパティが表示されます。
関連トピック:
449
449
452
453
ページの「ネットワーク検出」
ページの「ネットワークを検出」
ページの「IP 除外リストの管理」
ページの「エンドポイントを検出」
ネットワーク検出の動作を変更する
[ネットワーク検出] で、デフォルトの ping、エンド ステーションの数、同時デバイスの設定を変更できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[資産マネージャー] クイック起動アイコン
をクリックします。
2
[ネットワーク検出] タブで、[設定]、[詳細設定] の順にクリックします。
3
必要に応じて設定を変更し、[OK] をクリックします。
関連トピック:
454 ページの「[ネットワーク検出の詳細オプション] ページ」
[ネットワーク検出の詳細オプション] ページ
ネットワーク検出のデフォルト設定を変更します。
表 9-12 オプションの定義
オプション
定義
[ping タイムアウト]
ネットワーク検出時に ping 応答を待機する秒数を選択します。
[ping スイープ間隔
(秒)]
エンドポイント検出時またはネットワーク検出に基づくデータベース転送時に同じサブ
ネットで ping スイープの実行を待機する秒数を選択します。
[ping を実行する最大サ エンドポイント検出時またはネットワーク検出に基づくデータベース転送時に ping ス
ブネット]
イープを実行する、最大の CIDR サブネットを選択します。
[エンド ステーションの
最小数]
ネットワーク検出に基づくデータベース転送時に、管理対象外デバイスが作成されてネ
ットワーク デバイスに接続されるまでにネットワーク デバイス ポートで検出される必
要があるエンド ステーションの数を選択します。
[同時デバイス]
ネットワークまたはエンドポイント検出時に動作する同時ネットワーク デバイスの数を
選択します。
[リセット]
設定をデフォルト値に戻します。
関連トピック:
454 ページの「ネットワーク検出の動作を変更する」
454
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
資産ソース
9
資産ソース
データは、[Active Directory](使用可能な場合)から、または Altiris サーバーから [資産ソース] を使用して取得
できます。
[Active Directory] では、[ソース ユーザー] または [宛先ユーザー] ビューのクエリー フィルター フィールドで、
取得したユーザーまたはグループを選択することで、イベント データをフィルタリングできます。その機能を活用す
ると、PCI などの要件に応じたコンプライアンス データを効果的に提供できるようになります。Altiris と [Active
Directory] では、コンピューターと IP アドレスなどの資産を取得して、資産テーブルに追加することができます。
Altiris で資産を取得するには、Altiris Management Console での [資産マネージャー] 特権が必要です。
[Active Directory] には、通常の場合 IP アドレス情報は格納されていません。[Active Directory] から名前を取得
すると、システムでは DNS を使用してアドレスのクエリーが実行されます。コンピューターのアドレスが見つから
ない場合は、[資産] テーブルには追加されません。そのため、システム上の DNS サーバーでは、[Active Directory]
コンピューターの DNS 情報を格納する必要があります。
[Active Directory] には IP アドレスを追加できます。追加する場合は、コンピューター オブジェクトの
networkAddress 属性を変更して、システムで DNS のクエリーを行わずにそれらの IP アドレスが使用されるよう
にします。
関連トピック:
455 ページの「資産ソースを管理」
資産ソースを管理
Active Directory または Altiris サーバーからデータを取得します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[資産マネージャー] のクイック起動アイコン
をクリックし、[資産ソース] タブをクリックします。
[資産ソース] ツリーに、システムの ESM と Receiver、および現在の資産ソースが表示されます。
ESM は 1 つの資産ソース、Receiver は複数の資産ソースを持つことができます。
2
デバイスを選択し、いずれかの使用可能なアクションを選択します。
関連トピック:
449 ページの「ネットワークを検出」
444 ページの「資産を管理」
447 ページの「設定管理の設定」
457 ページの「脆弱性評価ソースの管理」
464 ページの「既知の脅威を管理する」
455 ページの「資産ソース」
456 ページの「[資産ソース] タブ」
456 ページの「資産データ ソース ページ」
457 ページの「[デバイスに変更を書き込んでいます] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
455
9
資産マネージャー の使用方法
資産ソース
[資産ソース] タブ
資産情報が含まれているデータベースとの接続を管理します。
表 9-13 オプションの定義
オプション
定義
テーブル
システムの ESM と Receiver、および現在の資産ソースを表示します。
[追加]
ESM またはいずれかの Receiver に新しい資産ソースを追加します。
[編集]
選択した資産ソースを変更します。
[削除]
選択した資産ソースを削除します。
[取得]
データを今すぐ取得します。
[書き込み]
資産ソースの設定を変更して、デバイスに変更を書き込む場合にクリックします。
関連トピック:
455 ページの「資産ソースを管理」
資産データ ソース ページ
ESM または Receiver に資産ソースを追加します。
表 9-14 オプションの定義
オプション
定義
[有効]
自動取得を有効にする場合に選択します。選択しない場合は、[資産ソース] ページで [取得] を
クリックすることで、データを手動で取得できます。選択した場合は、[データを取得] フィー
ルドで指定した時間間隔でデータが取得されます。
[タイプ]
Active Directory または Altiris 資産ソースの場合に選択します。
[名前]
資産ソースの名前を入力します
[ゾーン]
データ ソースを割り当てるには、ゾーンを選択します。
[優先度]
[Vulnerability Assessment] または [Network Discovery] と同時に資産を検出した場合の、
資産ソースの優先度を選択します。
[IP アドレス]
この資産ソースの IP アドレスを入力します。
[ポート]
この資産ソースのポートを選択します。
[TLS を使用] ま
たは [SSL を使
用]
データに対して暗号化プロトコルを使用する場合に選択します。Active Directory では TLS
を使用し、Altiris では SSL を使用します。
[ユーザー名]
資産ソースへのアクセスに必要なユーザー名を入力します。
[パスワード]
資産ソースへのアクセスに必要なパスワードを入力します。
[検索ベース]
Active Directory の場合は、資産の検索を開始する位置となるオブジェクトの識別名を入力し
ます (dc=mcafee,dc=com)。
プロキシ情報
Altiris の場合は、IP アドレス、リッスンするポート、プロキシ ユーザー名、およびプロキシ
サーバーのパスワードを入力します。
[データを取得]
データを自動的に取得する場合は、頻度を選択します。
[接続]
クリックすると Altiris サーバーとの接続がテストされます。
関連トピック:
455 ページの「資産ソースを管理」
456
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
脆弱性評価ソースの管理
9
[デバイスに変更を書き込んでいます] ページ
デバイスに変更を書き込む際、この処理のステータスを表示できます。
表 9-15 オプションの定義
オプション
定義
[デバイス]
変更が適用されるデバイスを一覧表示します。
[ステータス]
各デバイスのプロセスのステータスを表示します。
関連トピック:
455 ページの「資産ソースを管理」
脆弱性評価ソースの管理
[Vulnerability Assessment] を使用してさまざまな VA ベンダーからデータを取得できます。目的の VA ソースと
通信するには、ソースをシステムに追加する必要があります。ソースをシステムに追加すると、VA データを取得で
きます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Asset Manager] クイック起動アイコン
します。
をクリックして、[Vulnerability Assessment] タブをクリック
2
VA ソースの追加、編集、削除または取得を行い、デバイスに書き込みます。
3
[OK] をクリックします。
関連トピック:
449 ページの「ネットワークを検出」
455 ページの「資産ソースを管理」
444 ページの「資産を管理」
447 ページの「設定管理の設定」
464 ページの「既知の脅威を管理する」
457 ページの「[VA ソースの削除] ページ」
[VA ソースの削除] ページ
VA ソースを削除するときに、プロセスのステータスを表示できます。
表 9-16 オプションの定義
オプション
定義
[デバイス]
削除中のデバイスが表示されます。
[ステータス]
各デバイスのプロセスのステータスが表示されます。
関連トピック:
457 ページの「脆弱性評価ソースの管理」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
457
9
資産マネージャー の使用方法
ゾーン管理
ゾーン管理
ゾーンを使用して、ネットワーク上のデバイスとデータ ソースを分類できます。
この機能では、生成されるデバイスとイベントを、地理的な位置と IP アドレス別に関連グループに編成できます。
たとえば、東海岸と西海岸にオフィスがあり、各オフィスで生成されるイベントを合わせて 1 つのグループにするに
は、2 つのゾーンを追加して、グループ化が必要なイベントが含まれるデバイスをそれぞれのゾーンに割り当てます。
各オフィスのイベントを特定の IP アドレス別にグループ化するには、各ゾーンにサブゾーンを追加します。
関連トピック:
458 ページの「ゾーンの管理」
459 ページの「ゾーンの追加」
460 ページの「ゾーン設定のエクスポート」
460 ページの「ゾーン設定のインポート」
462 ページの「サブゾーンの追加」
ゾーンの管理
ゾーンを使用して、デバイスとデータ ソースを位置情報または ASN で効果的に分類できます。個別または別のマシ
ンからエクスポートしたファイルをインポートしてゾーンを追加し、デバイスまたはデータ ソースをゾーンに割り当
てる必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] を選択します。
2
ゾーンまたはサブゾーンの追加、既存のゾーンの編集または削除、ゾーン設定のインポートまたはエクスポート
を実行します。
3
変更をロールアウトして、[OK] をクリックします。
関連トピック:
458 ページの「ゾーン管理」
459 ページの「ゾーンの追加」
460 ページの「ゾーン設定のエクスポート」
460 ページの「ゾーン設定のインポート」
462 ページの「サブゾーンの追加」
458 ページの「[ゾーン管理] タブまたは [ゾーン ポリシー マネージャー] ページ」
459 ページの「ゾーン設定の [ロールアウト] ページ」
[ゾーン管理] タブまたは [ゾーン ポリシー マネージャー] ページ
デバイスとデータ ソースをカテゴリ化できるようにゾーンを管理します。
表 9-17 オプションの定義
オプション
定義
[ゾーンを追加]
ESM に新しいゾーンを追加します。
[サブゾーンを追加] 選択したゾーンにサブゾーンを追加して、IP アドレスで分類できるようにします。
458
[編集]
選択したゾーンまたはサブゾーンの設定を変更します。
[削除]
選択したゾーンまたはサブゾーンを削除します。
[インポート]
ゾーン定義ファイルまたはデバイスを、別の ESM からエクスポートされたゾーン割り当てフ
ァイルにインポートします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
ゾーン管理
9
表 9-17 オプションの定義 (続き)
オプション
定義
[エクスポート]
ゾーン設定を ESM にエクスポートします。
[ロールアウト]
ESM に加えた変更をロールアウトします。
関連トピック:
458 ページの「ゾーンの管理」
ゾーン設定の [ロールアウト] ページ
ゾーン設定に対する変更をロールアウトします。
表 9-18 オプションの定義
オプション
定義
列の選択
変更のロールアウト先にするデバイスを選択します。
[デバイス] 列
システム上のデバイスを表示します。
[ステータス] 列
各デバイスのロールアウトのステータスを表示します。
関連トピック:
458 ページの「ゾーンの管理」
ゾーンの追加
ゾーン管理の最初の手順は、デバイスとデータ ソースの分類に使用するゾーンを追加することです。ゾーンは [ゾー
ンを追加] 機能を使用して個々に追加するか、別のシステムからエクスポートされたファイルをインポートできます。
ゾーンを追加する際、必要に応じて設定を編集できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] をクリックします。
必要な情報を入力してデバイスをゾーンに割り当てて、[OK] をクリックします。
関連トピック:
458 ページの「ゾーン管理」
458 ページの「ゾーンの管理」
460 ページの「ゾーン設定のエクスポート」
460 ページの「ゾーン設定のインポート」
462 ページの「サブゾーンの追加」
459 ページの「[ゾーンを追加] ページ」
[ゾーンを追加] ページ
ESM にゾーンを追加して、デバイスまたはデータ ソースをカテゴリ化します。
表 9-19 オプションの定義
オプション
定義
[名前]
このゾーンの名前を入力します。
[デフォルトのゾーン割り
当てとして使用します]
これを選択すると、このゾーンに割り当てられ、どのサブゾーンにも分類されないデバ
イスによって生成されたイベントのデフォルトに、このゾーン割り当てを使用すること
ができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
459
9
資産マネージャー の使用方法
ゾーン管理
表 9-19 オプションの定義 (続き)
オプション
定義
[位置情報]
位置情報を使用してこのゾーンの境界を定義するには、[フィルター] アイコンをクリッ
クし、このゾーンに含める場所を選択します。
[ASN]
インターネット上の各ネットワークを一意に識別する ASN を使用してこのゾーンの
境界を定義するには、このフィールドに数字を入力します。
[割り当てられたデバイ
ス]
このゾーンに割り当てるデバイスを選択します。
関連トピック:
459 ページの「ゾーンの追加」
ゾーン設定のエクスポート
別の ESM にインポートできるように ESM からゾーン設定をエクスポートできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Asset Manager] アイコン
をクリックして、[ゾーン管理] をクリックします。
2
[エクスポート] をクリックして、エクスポートするファイルのタイプを選択します。
3
[OK] をクリックして、ダウンロードするファイルを選択します。
関連トピック:
458 ページの「ゾーン管理」
458 ページの「ゾーンの管理」
459 ページの「ゾーンの追加」
460 ページの「ゾーン設定のインポート」
462 ページの「サブゾーンの追加」
460 ページの「[エクスポート] ページ」
[エクスポート] ページ
ESM から、別の ESM にインポートできるファイルにゾーン設定をエクスポートします。
表 9-20 オプションの定義
オプション
定義
[ゾーン定義ファイルをエクスポート]
親ゾーンとサブゾーンが含まれるファイルと、それらの設定に関する
すべての詳細をエクスポートします。
[デバイスをゾーン割り当てファイルにエク デバイスとゾーンの割り当て先が含まれたファイルをエクスポートし
ます。
スポート]
関連トピック:
460 ページの「ゾーン設定のエクスポート」
ゾーン設定のインポート
インポート機能では、ゾーン ファイルをそのままインポートするか、インポート前にデータを編集できます。
開始する前に
ESM にインポートできるように別の ESM からゾーン設定のファイルをエクスポートします。
460
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
ゾーン管理
9
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
インポートするゾーン設定ファイルを開きます。
•
インポートゾーン定義ファイルの場合、Command、Zone Name、Parent Name、Geo Location、ASN、
Default、IPStart、IPSto の 8 列が含まれます。
•
デバイスのゾーン割り当てへのインポートファイルの場合、Command、Device Name、Zone Name の 3
列が含まれます。
[Command] 列にコマンドを入力して、インポート時に行ごとに実行されるアクションを指定します。
•
add - 行のデータをそのままインポートします。
•
edit - (ゾーン定義ファイルのみ) データを変更してインポートします。
サブゾーンの範囲を変更するには、既存の範囲を削除してから変更後の範囲を追加する必要があります。 直接
編集することはできません。
•
3
4
remove - この行に一致するゾーンを ESM から削除します。
変更内容を保存して、ファイルを閉じます。
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] タブをクリックします。
5
[インポート] をクリックして、インポートのタイプを選択します。
6
[OK] をクリックして、インポートされるファイルを検索して [アップロード] をクリックします。
ファイルでエラーが検出された場合は通知されます。
7
エラーがある場合は、ファイルに必要な修正を加えて再試行します。
8
変更をロールアウトしてデバイスを更新します。
関連トピック:
458 ページの「ゾーン管理」
458 ページの「ゾーンの管理」
459 ページの「ゾーンの追加」
460 ページの「ゾーン設定のエクスポート」
462 ページの「サブゾーンの追加」
461 ページの「インポート ページ」
インポート ページ
インポートするゾーン ファイルのタイプを選択します。
表 9-21 オプションの定義
オプション
定義
[ゾーン定義ファイルをインポー 親ゾーンとサブゾーンが含まれるファイルと、それらの設定に関するすべての詳
細をインポートします。
ト]
サブゾーンの範囲を変更するには、既存の範囲を削除してから変更後の範囲を追
加する必要があります。 直接編集することはできません。
[デバイスをゾーン割り当てファ デバイスとゾーンの割り当て先が含まれたファイルをインポートします。
イルにインポート]
McAfee Enterprise Security Manager 9.6.0
製品ガイド
461
9
資産マネージャー の使用方法
ゾーン管理
関連トピック:
460 ページの「ゾーン設定のインポート」
サブゾーンの追加
ゾーンを追加した後、IP アドレス別にデバイスとイベントをさらに分類できするサブゾーンを追加できます。
開始する前に
[ゾーン管理] タブでゾーンを追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] タブをクリックします。
2
ゾーンを選択して、[サブゾーンを追加] をクリックします。
3
要求された情報を入力し、[OK] をクリックします。
関連トピック:
458 ページの「ゾーン管理」
458 ページの「ゾーンの管理」
459 ページの「ゾーンの追加」
460 ページの「ゾーン設定のエクスポート」
460 ページの「ゾーン設定のインポート」
462 ページの「[サブゾーンを追加] ページ」
463 ページの「[範囲を追加] ページ」
[サブゾーンを追加] ページ
ゾーン内のデバイスを IP アドレスによってカテゴリ化するサブゾーンを追加します。
表 9-22 オプションの定義
オプション
定義
[名前]
このサブゾーンの名前を入力します。
[説明]
このサブゾーンの説明を入力します。
[範囲] テーブル
このサブゾーンの IP アドレス範囲を表示します。
[追加]
IP アドレス範囲を追加し、この範囲の位置情報または ASN 情報を追加します。
[編集]
選択した範囲を変更します。
[削除]
選択した範囲を削除します。
関連トピック:
462 ページの「サブゾーンの追加」
462
McAfee Enterprise Security Manager 9.6.0
製品ガイド
資産マネージャー の使用方法
資産、脅威、リスク評価
9
[範囲を追加] ページ
サブゾーンに IP アドレス範囲を追加します。
表 9-23 オプションの定義
オプション
定義
[開始 IP] および [終了 IP] この範囲の開始および終了 IP アドレスを入力します。
[位置情報]
この範囲にデフォルトとは異なる位置情報を設定するには、このフィールドを上書き
する位置情報を選択します。
[ASN]
この範囲にデフォルトとは異なる ASN を設定するには、このフィールドを上書きする
ASN を入力します。
関連トピック:
462 ページの「サブゾーンの追加」
資産、脅威、リスク評価
McAfee Threat Intelligence Services (MTIS) とシステムの脆弱性評価ソースにより、既知の脅威のリストが生成
されます。 この脅威の重大度と資産の重大度から企業のリスク レベルが計算されます。
資産マネージャー
[資産マネージャー] に資産を追加するときに (『資産を管理する』を参照)、重大度を割り当てます。 この設定は、
組織に対する資産の重要度を表します。 たとえば、企業を 1 台のコンピューターで管理し、バックアップが存在し
ない場合、この資産の重大度は高くなります。 企業を 2 台のコンピューターで管理し、それぞれにバックアップが
存在する場合、重大度は相対的に低くなります。
[資産] タブの [編集] メニューを使用すると、資産のリスク計算で資産を有効または無効にすることができます。
脅威管理
[資産マネージャー] の [脅威管理] タブには、既知の脅威のリスト、重大度、ベンダー、リスク計算の対象かどうか
が表示されます。 特定の脅威を有効または無効にしてリスク計算を行うことができます。 リストで脅威の詳細を確
認することもできます。 この詳細には、脅威に対する推奨アクションと対策も確認できます。
事前定義のビュー
3 つのビューが事前に定義されています (『ESM ビューの操作』)。これらのビューには、資産、脅威、リスクに関
するサマリーが表示されます。
•
[資産脅威サマリー] - リスク スコアと脅威レベルが高い資産が表示されます。また、リスク別に脅威レベルが
表示されます。
•
[最近の脅威サマリー] - 最近発生した脅威がベンダー、リスク、資産、使用可能な保護製品別に表示されます。
•
[脆弱性サマリー] - 脆弱性が脅威と資産別に表示されます。
このビューの各項目の詳細を表示するには、コンポーネントのメニューを使用します。
カスタム ビュー
カスタム ビューをセットアップするオプションが [クエリー ウィザード] に追加されました (『カスタム ビュー』を
参照)。このオプションを使用すると、必要なデータを表示できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
463
9
資産マネージャー の使用方法
既知の脅威を管理する
•
[ダイヤル制御] と [カウント] を使用すると、企業の平均的なリスク スコアと企業全体のリスク スコアを確認で
きます。
•
[円グラフ]、[棒グラフ]、[線グラフ] を使用すると、危険な資産、製品の脅威対策、脅威を表示できます。また、
脅威をリスク別またはベンダー別に表示することもできます。
•
[テーブル] を使用すると、資産と最近の脅威を確認できます。リスク スコア以上の資産と脅威も確認できます。
既知の脅威を管理する
リスク計算で使用する既知の脅威を選択します。
各脅威には重大度が設定されています。 この評価と資産の重大度を使用して、システム全体に対する脅威の重大度を
計算します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[資産マネージャー] クイック起動アイコン
2
[脅威管理] タブをクリックして、既知の脅威の一覧を表示します。
3
既知の脅威を選択して、次のいずれかを実行します。
4
をクリックします。
•
[脅威の詳細] をクリックして、脅威に関する詳細を表示します。
•
[リスクの計算] 列が [はい] になっている脅威をリスク計算に使用しない場合には、[無効] をクリックしま
す。
•
[リスクの計算] 列が [いいえ] になっている脅威をリスク計算に使用する場合には、[有効] をクリックしま
す。
[OK] をクリックします。
関連トピック:
449 ページの「ネットワークを検出」
455 ページの「資産ソースを管理」
457 ページの「脆弱性評価ソースの管理」
444 ページの「資産を管理」
447 ページの「設定管理の設定」
464
McAfee Enterprise Security Manager 9.6.0
製品ガイド
10
ポリシーとルールの管理
ポリシー テンプレートとルールを作成、適用、表示します。
目次
ポリシー エディター について
ポリシー ツリー
ルール タイプとプロパティ
デフォルトのポリシー設定
ルールの操作
ルールまたは資産へのタグの割り当て
集計設定を変更
ダウンロードしたルールの上書きアクション
重大度の加重
ポリシーの変更履歴の表示
ポリシー変更の適用
優先トラフィックの管理
ポリシー エディター について
[ポリシー エディター] では、ポリシー テンプレートを作成したり、個々のポリシーをカスタマイズすることができ
ます。
ポリシー テンプレートでは、デバイスのポリシー設定と同様に、親から値を継承できます。 継承により、デバイス
に適用されるポリシー設定は、一定レベルの簡潔さと使いやすさを維持しながら多様な設定が可能になります。 追加
される各ポリシーは、すべてのデバイスとともに、[ポリシー ツリー] にエントリーがあります。
FIPS モードで操作する場合は、ルール サーバーを介してルールを更新しないでください。代わりに、ルールは手動で
更新してください(『ルールの更新の確認』 を参照)。
McAfee ルール サーバーは、すべてのルール、変数、プリプロセッサーを事前定義の値または用途と一緒に維持して
います。 [デフォルト ポリシー] は、McAfee が維持するこれらの設定からその値と設定を継承し、その他すべての
ポリシーの先祖となります。その他すべてのポリシーとデバイスの設定は、デフォルトで [デフォルト ポリシー] か
ら値を継承します。
エディターを開くには、[ポリシー エディター] のアイコンをクリックするか、ナビゲーション ツリーのシステム ノ
ードまたはデバイス ノードを選択して、アクション ツールバーの [ポリシー エディター] アイコン
します。
McAfee Enterprise Security Manager 9.6.0
をクリック
製品ガイド
465
10
ポリシーとルールの管理
ポリシー エディター について
1
メニュー バー
4
ルールの表示
2
パンくずナビゲーション ペイン
5
タグ検索フィールド
3
ルール タイプ ペイン
6
フィルター/タグ付けペイン
[ルール タイプ] ペインにリストされているルールのタイプは、システム ナビゲーション ツリーで選択したデバイス
のタイプに応じて異なります。パンくずナビゲーション ペインには、選択したポリシーの階層が表示されます。 現
在のポリシーを変更するには、パンくずナビゲーション ペインでポリシー名をクリックするか、ポリシーの子を表示
しているパンくずナビゲーション ペインで矢印をクリックします。 あるいは、[ポリシー ツリー] アイコン
クリックします。 [ポリシー ツリー] のメニューには、ポリシーに対して実行できる操作がリストされます。
を
[ルール タイプ] ペインでタイプを選択すると、そのタイプのすべてのルールがルールの表示セクションにリストさ
れます。 各ルールで調整できる特定のルール パラメーターが列にリストされます([変数] と [プリプロセッサ] を
除く)。現在の設定をクリックし、ドロップダウン リストから新しい設定を選択することで、設定を変更できます。
[フィルター/タグ付け] ペインでは、[ポリシー エディター] に表示されたルールをフィルターして、条件を満たすル
ールのみを表示したり、機能を定義するルールにタグを付けることができます。
関連トピック:
467 ページの「ポリシー ツリー」
471 ページの「ルール タイプとプロパティ」
467 ページの「ポリシー ツリー でポリシーを管理する」
532 ページの「ポリシー変更の適用」
466
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ポリシー ツリー
10
ポリシー ツリー
[ポリシー ツリー] には、システム上のポリシーとデバイスがリストされます。
[ポリシー ツリー] では次のことを実行できます。
•
特定のポリシーまたはデバイスに移動して詳細を
表示する
•
ポリシーまたはデバイスを名前で検索する
•
システムにポリシーを追加する
•
ポリシーの名前変更、削除、コピー、コピーおよ
び置換、インポート、エクスポートを行う
•
ポリシーまたはデバイスの順序を変更する
アイコン
説明
ポリシー
デバイスが同期されていない
デバイスがステージングされている
デバイスが最新である
仮想デバイスが同期されていない
仮想デバイスがステージングされている
仮想デバイスが最新である
データ ソースが同期されていない
データ ソースがステージングされている
データ ソースが最新である
ADM が同期されていない
DEM が同期されていない
関連トピック:
465 ページの「ポリシー エディター について」
471 ページの「ルール タイプとプロパティ」
467 ページの「ポリシー ツリー でポリシーを管理する」
532 ページの「ポリシー変更の適用」
ポリシー ツリー でポリシーを管理する
[ポリシー ツリー] でアクションを実行して、システムのポリシーを管理します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで [ポリシー エディター] アイコン
リックします。
をクリックし、[ポリシー ツリー] アイコン
をク
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
467
10
ポリシーとルールの管理
ポリシー ツリー
目的
手順
ポリシーのル
ールを表示す
る
• ポリシーをダブルクリックします。ルールが、[ポリシー エディター] のルール表示セクショ
ンに表示されます。
ポリシーを別
のポリシーの
子にする
• 子を選択し、親にドラッグ アンド ドロップします。
ポリシーまた
はデバイスを
検索する
• 検索フィールドに名前を入力します。
新しいポリシ
ーを追加
1 新しいポリシーwp追加するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコン
ポリシーにドラッグ アンド ドロップできるのはデバイスだけです。
をクリックします。
2 [新規] をクリックし、ポリシーの名前を入力して、[OK] をクリックします。
ポリシーの名
前を変更
1 名前を変更するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックし
ます。
2 [名前を変更] をクリックし、新しい名前を入力して、[OK] をクリックします。
ポリシーを削
除
ポリシーをコ
ピー
デバイスをポ
リシーに移動
する
1 削除するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックします。
2 [削除] をクリックし、確認ページで [OK] をクリックします。
1 コピーするポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックします。
2 [コピー] をクリックして新しいポリシーの名前を入力し、[OK] をクリックします。
1
移動するデバイスを選択して、[ポリシー ツリーのメニュー アイテム] アイコン
ックします。
をクリ
2 [移動] を強調表示して、デバイスを移動するポリシーを選択します。
ポリシーをコ
ピーしてび置
換する
1 コピーするポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックして、
[コピーおよび置換] を選択します。
2 [ポリシーを選択] で、置換するポリシーを選択します。
3 [OK] をクリックし、[はい] をクリックします。
コピーしたポリシーの設定が置換後のポリシーに適用されますが、名前は変更されません。
468
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ポリシー ツリー
目的
手順
ポリシーをイ
ンポートする
インポートは、現在選択しているデバイスを基点にして行われます。
10
1 新しいポリシーをインポートするツリーでレベルを選択し、[ポリシー ツリーのメニュー項
目] アイコンをクリックして、[インポート] を選択します。
2 インポートするファイルを選択してアップロードします。
エラー メッセージが表示された場合、
『ポリシー インポート時のトラブルシューティング』で
解決策を確認してください。
3 使用するインポート オプションを選択し、[OK] をクリックします。
ポリシーをエ
クスポートす
る
1 エクスポートするポリシーを選択します。
エクスポートには、階層内で選択したノード以上が含まれます。カスタム設定またはカスタム
ルールが設定されている標準ルールだけがエクスポートされるため、[エクスポート] オプシ
ョンを有効にするには、これらのうち 1 つ以上を選択する必要があります。
2 [メニュー] をクリックし、[エクスポート] を選択します。
3 使用するエクスポート オプションを選択して [OK] をクリックし、エクスポートされたポリ
シー ファイルを保存する場所を選択します。
3
[ポリシー ツリー] を閉じるには、ポリシーまたはデバイスをダブルクリックするか、[閉じる] アイコン
リックします。
をク
関連トピック:
465 ページの「ポリシー エディター について」
467 ページの「ポリシー ツリー」
471 ページの「ルール タイプとプロパティ」
532 ページの「ポリシー変更の適用」
469 ページの「[ポリシー エディター] ページ」
470 ページの「[ポリシーをインポート] ページ」
471 ページの「[ポリシーをエクスポート] ページ」
[ポリシー エディター] ページ
デバイスのポリシー設定を定義します。
表 10-1 オプションの定義
オプション
定義
メニュー バー
このバー上のアイテムにカーソルを移動して、使用できるいずれかのオプションを選択しま
す。オプションは、ルール タイプまたは選択したルールに応じて変わります。
パンくずナビゲーシ [ポリシー ツリー] アイコンは、ESM 上ですべてのポリシーのリストを開きます。パンくず
ョン バー
リストは、どのポリシーで作業しているかを示します。
[ルール タイプ] ペ
イン
このペインでいずれかのルール タイプをクリックすると、[ルールの表示] ペインにそのタイ
プのルールが表示されます。
[ルールの表示] ペ
イン
ペインの下部に説明を表示したり、メニュー バーまたは [ルールの表示] ペインの列で使用可
能ないずれかのアクションを実行するには、ルールをクリックします。
タグ検索フィールド 検索するタグの名前を入力し、一致する可能性のあるタグのリストからタグを選択します。
[フィルター/タグ付 [フィルター] タブで、[ルールの表示] ペイン内でルールをアルファベット順または日時順で
け] ペイン
ソートするとともに、リストをフィルターして、選択した条件を満たすルールのみを表示でき
るようにします。[タグ] タブで、[ルールの表示] ペインで選択したルールにタグを追加し、
タグによってルールをフィルターできるようにします。カスタム タグおよびタグ カテゴリ
ーを追加、編集、削除できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
469
10
ポリシーとルールの管理
ポリシー ツリー
表 10-1 オプションの定義 (続き)
オプション
定義
[アラームを作成]
アイコン
選択したルールによってイベントが生成されたときに通知されるようにアラームを追加しま
す。
[重大度の加重] ア
イコン
資産、タグ、ルール、脆弱性の重大度を設定し、イベントの重大度を計算するときに使用でき
るようにします。
[ビュー ポリシーの 現在のポリシーに対して行われた変更のリストを表示およびエクスポートします。
変更履歴] アイコン
[設定] アイコン
アラート専用モードおよびオーバーサブスクリプション モードの設定を定義し、McAfee サ
ーバーからルールを更新し、ポリシー ツリー上でデバイスの更新ステータス サマリーを表示
します。
[ロールアウト] ア
イコン
ポリシー変更を ESM にロールアウトします。
関連トピック:
467 ページの「ポリシー ツリー でポリシーを管理する」
517 ページの「ルールの管理」
[ポリシーをインポート] ページ
他の ESM からエクスポートしたポリシーをインポートして、自分の ESM に保存します。
表 10-2 オプションの定義
オプション
定義
[選択したポリシーを上書き
(名前を除く)]
選択して、ポリシー ツリーで現在選択しているアイテムにポリシー設定をインポー
トします。複数のポリシーをインポートする場合、最初のポリシーは選択したポリシ
ーを上書きし、それ以降のポリシーは現在のノードの子として挿入され、階層関係は
そのまま維持されます。このオプションは、選択したポリシーの名前を変更しませ
ん。
[選択したポリシーの子ポリ
シーとして挿入]
選択して、ポリシー ツリーで現在選択しているアイテムの子としてポリシーをイン
ポートします。複数のポリシーをインポートする場合、すべてのポリシーは現在のノ
ードの子として挿入され、階層関係はそのまま維持されます。
[既存のルールを上書き]
選択して、既存のルールを削除し、インポートされるポリシーの一部であるルールで
上書きします。
[競合が存在する場合は新し
いルールを作成]
両方のルールを維持し、インポートしたルールに新しい ID を作成するときに選択し
ます。
[すでにルールが存在する場
合はそのルールをスキップ]
既存のルールを維持して、競合するルールをインポートしないときに選択します。
[ポリシーをインポート]
クリックして、ポリシーのインポートを開始します。
関連トピック:
467 ページの「ポリシー ツリー でポリシーを管理する」
470
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
[ポリシーをエクスポート] ページ
ESM からポリシーをエクスポートします。
表 10-3 オプションの定義
オプション
定義
[エクスポート方法
の設定]
このエクスポートの一環として、カスタム ルールおよび変数を含めるかどうかを選択しま
す。カスタム ルールはカスタム変数に依存する可能性があるため、カスタム ルールは、カス
タム変数もエクスポートしないとエクスポートできません。現在のエクスポートに必要なア
クションに最適なカスタム ルールと変数のオプションを選択してください。
[詳細オプション]
クリックして、エクスポートするポリシー レベルを選択します。
[現在のポリシーを
エクスポート]
選択して、階層全体を含めてポリシーをエクスポートします。これはフラット化されていま
す。つまり、設定は 1 レベルのポリシーへ圧縮されており、最も近接したポリシーの設定が
アイテムごとに優先されます。例えば、1 つのデバイスを選択した場合、選択したポリシー
の上のポリシーが両方ともエクスポートされます。その子の親をエクスポートする場合は、
その子を選択する必要があります。また、ファイルが 1 レベルのポリシーへ圧縮されている
場合、選択したポリシーの設定が親のポリシー設定よりも優先されます。
[親ポリシーの設定
を含まない現在のポ
リシー]
選択して、選択済みのポリシーの設定のみをエクスポートします。
[親ポリシーを含む
現在のポリシー]
選択して、階層構造をそのまま維持して、選択したポリシーとその親をすべてエクスポート
します。
関連トピック:
467 ページの「ポリシー ツリー でポリシーを管理する」
ルール タイプとプロパティ
[ポリシー エディター] ページの [ルール タイプ] ペインでは、すべてのルールにタイプ別にアクセスできます。
一度ルールを選択すると、そのルールのインポート、エクスポート、追加、編集、およびルールに対する各種操作を
実行できます。実行できる機能は、ルールのタイプにより制限されます。
すべてのルールは、各ルールがその親から使用率を継承する階層システムに基づきます。ルール([変数] ルールと
[プリプロセッサ] ルール)は、使用率を継承する場所を示すアイコンでマークされ、継承チェーンが現在行より下で
無効化された場合はアイコンの右下隅にドットが表示されます。
アイ
コン
説明
このアイテムの使用率は親の設定によって決定されることを示します。ほとんどのルールはデフォルトで
継承するように設定されますが、使用率は変更できます。
継承チェーンがこのレベルで無効化され、継承値がオフにされたことを示します。
現在のルール使用率は、継承チェーンが無効化された場合に使用されます。
継承チェーンがこのレベルで無効化されたことを示します。このポイントより下のアイテムは、チェーンを
さらに継承することはありません。この設定は、ルールにデフォルトを使用させる場合に有用です。
カスタム値を示します。デフォルト以外の値に設定します。
プロパティ
ルール タイプを選択すると、ルール表示ペインには、システムおよびルールのプロパティ設定にそのタイプのすべて
のルールが表示されます。これらのプロパティには、[アクション]、[重大度]、[ブラックリスト]、[集計]、[パケッ
トをコピー] を含めることができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
471
10
ポリシーとルールの管理
ルール タイプとプロパティ
プロパテ
ィ
使用可能な処理
[アクショ
ン]
このルールが実行するアクションを設定します。使用可能なオプションは、ルール タイプによって異
なります。
ブラックリストのアイテムは宛先に移動できません。[ブラックリスト] 列で [通過] が選択されている
場合は、自動的に [アラート] に変更されます。
[重大度]
ルールがトリガーされる際のルール部分の重大度を選択します。重大度は 1 から 100 までで、100 が
最も重大です。
[ブラック
リスト]
ルールがデバイスでトリガーされる際にル-ルごとのブラックリスト エントリを自動作成します。ブ
ラックリストに IP アドレスのみ登録するか、IP アドレスとポートを登録するかを選択できます。
[集計]
ルールがトリガーされる際に作成されるイベントにルール集計ごとに設定します。[イベント集計] ペ
ージで定義する集計設定(『集計イベントまたはフロー』を参照)は、ポリシー エディターで設定する
ルールにのみ適用されます。
[パケット
をコピー]
パケット データを ESM にコピーします。通信切断時に有用です。パケット データのコピーがある
と、コピーを取得して情報にアクセスできます。
これらの設定を変更するには、現在の設定をクリックして別の設定を選択します。
関連トピック:
465 ページの「ポリシー エディター について」
467 ページの「ポリシー ツリー」
467 ページの「ポリシー ツリー でポリシーを管理する」
532 ページの「ポリシー変更の適用」
変数
変数 は、ユーザーまたはサイト固有の情報のグローバル設定またはプレースホルダーです。多くのルールで変数を使
用します。
変数を追加または変更するには、Snort 形式について幅広い知識を習得することをお勧めします。
変数は、デバイスごとに異なる方法でルールを動作させるのに使用されます。ESM には数多くの変数が事前設定さ
れていますが、カスタム変数を追加する機能も提供されています。ルールを追加すると、これらの変数は選択するフ
ィールド タイプのドロップダウン リストのオプションとして、[新しい変数] ページの [タイプ] フィールドに表示
されます。
各変数にはデフォルト値がありますが、各デバイスの特定の環境に合わせて値を設定することをお勧めします。変数
名を入力する際、空白は許可されません、空白が必要な場合は、アンダースコア(_)文字を使用します。デバイス
の有効性を最大化するには、特定のデバイスにより保護されるホーム ネットワークに HOME_NET 変数を設定する
ことが特に重要です。
次の表は、共通変数とそのデフォルト値のリストを示しています。
472
変数名
説明
EXTERNAL_NET
保護されているネットワーク外のすべてのユーザ !$HOME_NET
ー
ポート 80
HOME_NET
ローカルの保護されたネットワーク アドレス空
間(10.0.0.0/80)
HOME_NET と同じ
HTTP_PORTS
Web サーバー ポート:(80、または 80 ~ 90 の 80
範囲の場合は 80:90)
McAfee Enterprise Security Manager 9.6.0
デフォルト
任意
デフォルトの説明
HTTP_PORTS を除
くすべてのポート
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
変数名
説明
デフォルト
デフォルトの説明
HTTP_SERVE RS
Web サーバーのアドレス: 192.168.15.4 また
は [192.168.15.4,172.16.61.5]
$HOME_NET
HOME_NET と同じ
SHELLCODE_PORTS Web サーバー ポート以外のすべて
!$HTTP_PORTS HOME_NET と同じ
SMTP
メール サーバー アドレス
$HOME_NET
HOME_NET と同じ
SMTP_SERVERS
メール サーバー アドレス
$HOME_NET
HOME_NET と同じ
SQL_SERVERS
SQL DB サーバーのアドレス
$HOME_NET
HOME_NET と同じ
TELNET_SERVERS
telnet サーバーのアドレス
$HOME_NET
HOME_NET と同じ
システムに用意されている変数は変更できます。カスタム変数を追加、変更、削除できます。
カスタム変数にタイプを割り当てることができます。変数タイプは、レポートのルールをフィルタリングする際に使
用され、ルールを追加または変更する際に使用できる変数が含まれるフィールドを決定します。変数タイプはその特
性上グローバルであり、行った変更は、すべてのポリシー レベルに反映されます。
関連トピック:
473 ページの「変数の管理」
475 ページの「TCP プロトコル異常とセッション ハイジャックの検出」
変数の管理
[ポリシー エディター] で変数ルール タイプを選択する場合、いくつかの方法でカスタムと定義済みの両方の変数を
管理できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] アイコンをクリックします。
2
[ルール タイプ] ペインで、[変数] を選択します。
3
次のいずれかを行います。
処理
操作
新しいカテ
ゴリを追加
する
1 [新規] 、 [カテゴリ] を選択します。
カスタム変
数を追加す
る
1 ルール表示ペインで、カテゴリを選択して [新規] をクリックします。
2 新しいカテゴリの名前を入力して、[OK] をクリックします。
2 [変数] を選択して、必要な設定を定義します。
3 [OK] をクリックします。
変数を変更
する
1 ルール表示ペインで、変更する変数を選択します。
2 [編集] を選択して、[変更] をクリックします。
3 値または説明を変更して、[OK] をクリックします。
カスタム変
数を削除す
る
1 ルール表示ペインで、削除する変数を選択します。
2 [編集] を選択して、[削除] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
473
10
ポリシーとルールの管理
ルール タイプとプロパティ
処理
操作
変数をイン
ポートする
1 [ファイル]を選択して、[インポート] 、 [変数] をクリックします。
2 [インポート] をクリックしてから、ファイルを参照してアップロードします。
インポート ファイルは、VariableName;VariableValue; CategoryName(オプション);
Description(オプション)の形式で情報が含まれる .txt ファイルである必要があります。1 つ
のフィールドがない場合は、プレース ホルダーとしてセミコロンを所定の位置に残す必要があ
ります。
カスタム変
数のタイプ
を変更しま
す。
1 カスタム変数を選択します。
2 [編集] をクリックして、[変更] を選択します。
3 変数タイプを変更します。
変数タイプが [タイプが選択されていません] 以外に設定されコミットされている場合は、値を
変更できません。
4 [OK] をクリックして変更を保存します。
関連トピック:
472 ページの「変数」
474 ページの「新しい変数 ページ」
474 ページの「[変数を変更] ページ」
475 ページの「[変数をインポート] ページ」
新しい変数 ページ
新しいカスタム変数を追加します。
表 10-4 オプションの定義
オプション
定義
[名前]
新しい変数の名前を入力します。
[タイプ]
変数のタイプを選択します。変数をいったん追加したら、この設定は変更できません。
[値]
この変数タイプの値を入力します。
[説明]
(オプション) 変数の説明を入力します。
関連トピック:
473 ページの「変数の管理」
[変数を変更] ページ
既存の変数の変更を行います。
表 10-5 オプションの定義
オプション
定義
[名前]
この変数の名前。これは変更できません。
[タイプ]
この変数のタイプ。これは変更できません。
[値]
この変数の値。[説明] フィールドで説明されているいずれかの値に変更できます。
[説明]
変数の説明とオプション。
関連トピック:
473 ページの「変数の管理」
474
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
[変数をインポート] ページ
[ポリシー エディター] に変数をインポートします。
表 10-6 オプションの定義
オプション
定義
[インポート]
[ポリシー エディター] にインポートする変数のファイルを参照します。
関連トピック:
473 ページの「変数の管理」
TCP プロトコル異常とセッション ハイジャックの検出
Stream5 プリプロセッサ変数を使用して、TCP プロトコル異常の検出とアラートの生成、TCP セッションのハイジ
ャックのチェックを実行できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、[変数] をクリックします。
3
ルール表示ペインで、[プリプロセッサ] をクリックして [STREAM5_TCP_PARAMS] を選択します。
4
[変数を変更] ページで、[値] フィールドに次の 1 つを追加します。
•
TCP プロトコル異常を検出してアラートを生成するには、[最初のポリシー] の後ろに detect_anomalies
を追加します。
•
TCP セッション ハイジャックをチェックするには、[最初のポリシー] の後ろに detect_anomalies
check_session_hijacking を追加します。
関連トピック:
472 ページの「変数」
プリプロセッサ ルール
プリプロセッサは、McAfee Nitro IPS および IDS でのアノーマリ検出やパケット検査を一元管理する方法を提供し
ます。
プリプロセッサは、多数のルールの正確な検出に不可欠です。ネットワーク構成に適用されるプリプロセッサを使用
します。プリプロセッサのパラメーターは、[ポリシー エディター] の [変数] ルール タイプで各プリプロセッサの
変数を編集することにより変更できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
475
10
ポリシーとルールの管理
ルール タイプとプロパティ
タイプ
説明
[RPC 正規化]
RPC プロトコル固有のトラフィックを検出のみを目的とした一定の方法に正規化します。この
プリプロセッサは、RPC フラグメント関連の攻撃が Nitro IPS をバイパスするのを防ぎます。
[ポートスキャ
ン検出]
ネットワークの信頼された側のデバイスでポートスキャンを検出した場合に、イベントを生成し
ます。
HOME_NET 変数を正しく設定したら、SFPORTSCAN_PARMS(変数 | プリプロセッサ)を次
のように変更します。
proto { all } scan_type { all } sense_level { medium } ignore_scanners
これは、Nitro IPS がポート スキャンであると認識したものを HOME_NET から削除する
sfportscan 変数に追加されます。ネットワーク アドレス変換 (NAT) を行うルーターまたはフ
ァイアウォール付近に Nitro IPS または IDS を配置するネットワークは、Nitro IPS にポートス
キャンしているように見えます。変数を変えることで、False positive イベントのように見える
ものが減少します。
ignore_scanners を正常に動作させるには、HOME_NET を “any” に設定できません。
[ZipZap]
Web (HTTP)コンテンツを提供する際、多くの Web サーバーは Web ブラウザからのリクエ
ストを受け入れ、送信前に Web コンテンツを圧縮できることを示します。これによってネット
ワーク帯域幅が節減されますが、デバイスは圧縮された Web ページを分析できません。ZipZap
プリプロセッサにより、Web サーバーはこのデータを未加工の圧縮していない分析可能な形式で
戻します。このプリプロセッサを有効にすると、Web トラフィックによって使用される帯域幅の
量が多くなります。
[ターゲットベ
ース IP デフラ
グ]
単にプロトコルをモデル化してその中で攻撃を探すのではなく、ネットワーク上で実際のターゲ
ットをモデル化します。この機能は内部的なデータ処理に sfxhash データ構造とリンクされた
リストを使用し、どのような環境でも予測可能で確定的なパフォーマンスを提供できるようにし
ます。著しくフラグメント化された環境を管理するときに役立ちます。
[Web リクエス
ト正規化]
Web リクエストを検出専用として一定の方法に正規化します。これは常時有効ですが、変更は不
可です。Web リクエスト正規化プリプロセッサには 2 種類あります。1 つはバージョン 8.2.x
まで、もう 1 つはバージョン 8.3.0 以降に使用します。
このプリプロセッサは次のような攻撃を検出します。
• Web ディレクトリ横断型攻撃(http://something.com/./attack.cmd)
• 二重エンコード文字列 (http://something.com/
%25%32%35%25%33%32%25%33%30attack.cmd)
• ユニコード正規化
• Web リクエスト URI 内の無効な文字
[ターゲットベ
ース TCP 再構
成および
TCP/UDP セッ
ション追跡]
追跡セッション Stream5 プリプロセッサなので、'flow' と 'flowbits' キーワードのルールを
TCP および UDP のトラフィックで使用できます。
関連トピック:
476 ページの「プリプロセッサ ルールの管理」
プリプロセッサ ルールの管理
各プリプロセッサのオンオフを切り替え、継承を設定します。
476
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [プリプロセッサ]をクリックします。
2
アクティブ ルールの [継承]、[On]、または [Off] を選択します。
関連トピック:
475 ページの「プリプロセッサ ルール」
ファイアウォール ルール
ファイアウォール ルールは、プロトコル、ポート、Nitro IPS の IP アドレスなどのパケット情報に基づいてネット
ワーク イベントを検出するために使用されます。
ファイアウォール ポリシーは受信パケットをスキャンし、パケットが詳細なパケット検査エンジンに渡される前に、
特定された初期情報に基づいて判断を行います。ファイアウォール ルールは、スプーフィングされた IP アドレスや
無効な IP アドレスなどをブロックします。またネットワーク トラフィックのレートとサイズも追跡します。
ファイアウォール ルールには次のタイプがあります。
•
[アノーマリ] — アノーマリを検出します。多くのアノーマリ ベースのルールは相互に関係があり、[変数] タブ
で設定された値と合わせて使用されます。たとえば、[Long Connection Duration] ルールと [Long Duration
Seconds] 変数は、ルールがトリガーされるまでの秒数を決定するために使用されます。各ルールの詳細につい
ては、ページの下部にある詳細セクションを参照してください。
•
[アンチスプーフィング] — 無効な IP アドレスを検出します。たとえば、予約された内部 IP アドレスがデバイ
スを通じてネットワークに入ったことが確認されると、アンチスプーフィング ルールがトリガーされます。
•
[ブラックリスト] — ブラックリスト対象になった IP アドレスまたはポートに対して送受信されたパケットに対
して実行するアクションが決定されます。
•
[DHCP] — デバイスを通じた DHCP トラフィックを許可する機能のオンとオフを切り替えます。
•
[IPv6] — IPv6 トラフィックを検出します。
•
[ポート ブロック] — 特定のポートをブロックします。
アノーマリ検出
一部のファイアウォール ルールはレート ベースです。レート ベースのルールは、[ポリシー エディター] でファイ
アウォール カテゴリ変数によって定義されたしきい値をネットワーク トラフィックが超えた場合のみ、アラートを
トリガーするルールです。これらの変数のデフォルト値は、ネットワーク トラフィックによっては意味をなさない可
能性があるため、[レート ベースのアノーマリ検出ウィザード] では、これらのパラメーターに関連してネットワー
ク フロー データのグラフを分析する機能があります(『アノーマリ検出ウィザード』を参照)。
ファイアウォール例外
特定のタイプのトラフィックがファイアウォールを通過できるようにし、それ以外のトラフィックをブロックするた
めに、ファイアウォール例外が必要になる場合があります。たとえば、有効な内部アドレスが VPN などの外部ネッ
トワークから送信されると、Incoming Bogons アラートがトリガーされます。アラートを停止するには、ファイア
ウォール ルールの例外を設定する必要があります。
また 1 つの例外を、他の例外で定義されたパターンの例外として扱い、例外リストの例外とする(アドレスまたはア
ドレスのブロックを含める)こともできます。あるアドレスを 1 つのファイアウォール ルールに照らしてチェック
する必要があり、IP アドレスがすでに承認されたアドレス ブロックに含まれる場合は、IP アドレス(またはマス
ク)を入力してボックスを選択することで、例外リストから除外することができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
477
10
ポリシーとルールの管理
ルール タイプとプロパティ
例として、例外リストにすでにアドレス ブロック 10.0.0.0/24 が含まれているとします。この範囲のすべてのアド
レスが、ルールの例外になります。ソース アドレス 10.0.0.1 がこのルールについてアクティブな場合は、[これを
他の例外で定義??たパターンの例外として処理します] を選択し、ソース フィールドに 10.0.0.1 と入力します。フ
ァイアウォール ルールは 10.0.0.1 に適用されますが、10.0.0.1 が例外リストの例外になったため、10.0.0.0/24
ブロック内の他のアドレスには適用されません。
関連トピック:
211 ページの「ファイアウォール ルールと標準ルールへのアクセス」
478 ページの「カスタム ファイアウォール ルールを追加」
479 ページの「ファイアウォール例外を追加」
カスタム ファイアウォール ルールを追加
一般に、ネットワークはデフォルトのファイアウォール ルールで十分保護できます。ただし、保護対象のシステムま
たは環境に固有のルールの追加が必要になる場合があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [ファイアウォール]を選択します。
2
[新規] を選択し、[ファイアウォール ルール] をクリックします。
3
設定を定義して、[OK] をクリックします。
新しいルール内のフィルターが適用され、新しいルールがルール表示ペインに表示されます。フィルター アイコン
をクリックすると、フィルタリングがクリアされます。
関連トピック:
211 ページの「ファイアウォール ルール」
479 ページの「ファイアウォール例外を追加」
478 ページの「[ファイアウォール ルール] ページ」
[ファイアウォール ルール] ページ
新しい Nitro IPS ファイアウォール ルールを追加します。
表 10-7 オプションの定義
タブ
オプション
[基本]
ルールのデフォルト アクションを表示します。
[タグ]
478
定義
ルールのカテゴリーを定義するタグを選択するときに、[選択] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
表 10-7 オプションの定義 (続き)
タブ
オプション
定義
[ルール オ
プション]
[値] 列でルール オプションをクリックし、値を変更します。
• [msg] — ルールの名前です。
• [デフォルト アクション] — 各ルールで使用可能なさまざまなオプションが含まれま
す。オプションは、パス、アラート、ブロック(sdrop)、アラートとブロック(drop)、
およびアラート、ブロック、リセット(reject)です。
• [プロトコル] — Nitro IPS による検査を許可するプロトコルのみを表示します。プロ
トコルが TCP、UDP、または ICMP 以外の値に設定されると、ソース ポートと宛先ポ
ートは [Any] に設定されます。
• [ソース IP] および [宛先 IP] — すべての変数を表示します。変数を選択するか、有効
な IP アドレスを入力できます。
• [ソース ポート] および [宛先ポート] — すべての変数を表示します。変数を選択する
か、有効な IP アドレスを入力できます。
• [方向] — 現在のルールについてトラフィックの流れの方向を示します。
• [重大度] — ユーザーはルールの重大度を設定できます。
• [状態] — TCP 接続の状態。
- [any] — 状態は問題となりません
- [established] — 接続では、既にパケットが両方向に流れていることが確認されてい
ます。
- [invalid] — パケットは、追跡されたどの接続にも属していません。
- [new] — パケットは新規の接続を開始したか、まだ双方向のパケットが確認されて
いない接続の一部です。
[説明]
[詳細設定]
(オプション)ルールが何を行うかの説明を入力します。
ルールのテキストを直接編集して、新しいルールを変更します。使いやすさを考慮して、
ルールは標準の Snort 形式に保たれます。
関連トピック:
478 ページの「カスタム ファイアウォール ルールを追加」
ファイアウォール例外を追加
ファイアウォール ルールに例外を追加することで、指定されたプロトコル、IP アドレス、またはポートからのネッ
トワーク イベントがファイアウォールを通過できるようにします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で[IPS] 、 [ファイアウォール]を選択します。
2
ルール表示ペインで、例外を追加するルールをクリックします。
ルールを特定しやすいように、[フィルター/タグ付け] ペインのフィルターを使用します(『フィルター ルール』
を参照)。
3
[新規] を選択し、[ファイアウォール例外] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
479
10
ポリシーとルールの管理
ルール タイプとプロパティ
4
[追加] をクリックし、この例外を定義する値を選択または入力します。
5
[OK] をクリックします。
関連トピック:
211 ページの「ファイアウォール ルール」
478 ページの「カスタム ファイアウォール ルールを追加」
480 ページの「[例外を追加] ページ」
480 ページの「[ファイアウォール例外] ページ」
[例外を追加] ページ
特定のネットワーク イベントがファイアウォールを通過できるようにファイアウォール ルールに例外を追加しま
す。
表 10-8 オプションの定義
オプション
定義
[プロトコル]
除外するプロトコルを選択するか、空白にしておきます。
[方向]
このタイプの例外には不要なので、無効にしておきます。
[ソース] および [宛先]
要求された情報を入力します。フィールドを空白のままにすると、デフォルトで ANY に
なります。
[NOT]
フィ-ルドに入力したデータを除外しない場合に、これを選択します。[ファイアウォー
ル例外] リストのルールの前に「!」マークが追加されます。
[これを他の例外で定義 これを例外リストの例外にする場合に、選択します。例えば、ファイアウォール ルール
したパターンの例外とし に対して照合する必要のあるアドレスがあり、許可済みのアドレス ブロック内に IP ア
て処理します]
ドレスがある場合、IP アドレス(またはマスク)を入力してチェックボックスを選択す
ることにより、例外から除外できます。
関連トピック:
479 ページの「ファイアウォール例外を追加」
[ファイアウォール例外] ページ
ファイアウォール ルールに例外を追加します。
表 10-9 オプションの定義
オプション
定義
テーブル
システムに追加済みの例外を表示します。
[追加]
[例外を追加] ページで、選択したルールに新しい例外を追加します。
[編集]
選択した例外に変更を加えます。
[削除]
選択した例外を削除します。
関連トピック:
479 ページの「ファイアウォール例外を追加」
詳細なパケット検査のルール
詳細なパケット検査のルールでは、パケットの内容が評価され、ルール シグネチャ内のパターンと比較されます。一
致があった場合は、指定されたアクションが実行されます。
BASE フィルター([フィルター/タグ付け] ペイン)は、システムまたはデータを損傷する可能性がある既知の侵入
に対して、保護機能を提供します。MALWARE および VIRUS フィルターについても同様です。POLICY および
MULTIMEDIA フィルターは、ユーザー定義のネットワーク使用率仕様に関連付けられている、危険性のあるネット
ワーク侵入に関連しないネットワーク アクティビティに関して禁止またはアラートします。一般的なフィルター グ
ループ タイプには次のものがあります。
480
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
•
保護ルール(BASE、MALWARE、PERIMETER、VIRUS)
•
ポリシー ルール(CHAT、MULTIMEDIA、PEERTOPEER、POLICY、SECURE APPLICATION GATEWAY)
一般的に、ネットワークはデフォルトのルールで十分保護できます。ただし、保護対象のシステムまたは環境に固有
のルールが必要になる場合があります。ESM には、カスタマイズされた詳細なパケット検査のルールを追加できま
す(『詳細なパケット検査のルールを追加』を参照)。
関連トピック:
481 ページの「詳細なパケット検査のルールを追加」
482 ページの「詳細なパケット検査の属性を追加」
詳細なパケット検査のルールを追加
必要に応じて、保護されているシステムまたは環境に、カスタマイズされた詳細なパケット検査のルールを追加しま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[Nitro IPS] 、 [詳細なパケット検査]を選択します。
2
[新規] をクリックし、[詳細なパケット検査のルール] を選択します。
3
設定を定義して、[OK] をクリックします。
新しいルール内のフィルターが適用され、新しいルールがルール表示ペインに表示されます。フィルター アイコンを
クリックすると、フィルターがクリアされ、すべての詳細なパケット検査のルールが表示されます。
関連トピック:
480 ページの「詳細なパケット検査のルール」
482 ページの「詳細なパケット検査の属性を追加」
481 ページの「[詳細なパケット検査のルール] ページ」
[詳細なパケット検査のルール] ページ
新しい詳細なパケット検査のルールを追加します。
表 10-10 オプションの定義
タブ
オプショ
ン
[基本]
定義
ルールのデフォルト アクションを表示します。
[タグ]
ルールのカテゴリーを定義するタグを選択するときに、[選択] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
481
10
ポリシーとルールの管理
ルール タイプとプロパティ
表 10-10 オプションの定義 (続き)
タブ
オプショ
ン
定義
[ルール
オプショ
ン]
[値] 列でルール オプションをクリックし、値を変更します。
• [msg] — ルールの名前です。
• [デフォルト アクション] — 各ルールで使用可能な各種のオプションが含まれます。オ
プションは、パス、アラート、ブロック(sdrop)、アラートとブロック(drop)、および
アラート、ブロック、リセット(reject)です。
• [プロトコル] — Nitro IPS による検査を許可するプロトコルのみを表示します。プロト
コルが TCP、UDP、または ICMP 以外の値に設定されると、ソース ポートと宛先ポート
は [Any] に設定されます。
• [ソース IP] および [宛先 IP] — すべての変数を表示します。変数を選択するか、有効な
IP アドレスを入力できます。
• [ソース ポート] および [宛先ポート] — すべての変数を表示します。変数を選択する
か、有効な IP アドレスを入力できます。
• [方向] — 現在のルールについてトラフィックの流れの方向を示します。
• [重大度] — ユーザーはルールの重大度を設定できます。
• [正規化 ID] — このルールを説明する正規化 ID。
[追加]
ルール シグネチャのより詳細な制御を行えるように、特定のルール属性を追加します。
1 この属性のカテゴリーを選択し、[オプション] フィールドでそれに関連するアクションを
選択します。
[形式] フィールドは、値を定義するときに使用する必要のある形式を表示します。
2 選択したオプションの値を入力し、[OK] をクリックします。
オプション名と値が [ルール オプション] テーブルに追加されます。
[削除]
[説明]
[詳細設
定]
[ルール オプション] テーブルからカスタム属性を削除します。
(オプション)ルールが何を行うかの説明を入力します。
ルールのテキストを直接編集して、新しいルールを変更します。使いやすさを考慮して、ル
ールは標準の Snort 形式に保たれます。
[ルールの ルール作成時に役立つルールの例を表示します。
例]
関連トピック:
481 ページの「詳細なパケット検査のルールを追加」
詳細なパケット検査の属性を追加
詳細なパケット検査のルールを追加または編集する場合は、ルールに属性を割り当てる必要があります。これらの属
性によって、ルールのアクションを定義します。既存のリストでは、カスタム オプションを追加または削除すること
で、ルールに割り当てることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
482
1
[ポリシー エディター] で、[IPS] 、 [詳細なパケット検査] 、 [追加]を選択します。
2
ドロップダウン リストから、この属性のカテゴリを選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
3
[オプション] フィールドで、この属性に関連付けられているアクションを選択します。
4
選択したオプションの値を入力し、[OK] をクリックします。
10
オプション名と値が [ルール オプション] テーブルに追加されます。編集または削除する値を選択します。
関連トピック:
480 ページの「詳細なパケット検査のルール」
481 ページの「詳細なパケット検査のルールを追加」
内部ルール
[内部] ルール タイプには、3,000,000 ~ 3,999,999 の範囲のシグネチャ ID を持つルールが含まれています。こ
れらは内部アラートであり、他のルールのようなシグネチャを持っていません。これらのルールは有効化と無効化の
いずれかのみ行うことができます。
このルール タイプは、システム ナビゲーション ツリーで Nitro IPS または仮想デバイスを選択した場合のみ使用で
きます。
内部ルールの管理
既存の内部ルールのリストを表示したり、ステータスを変更します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
システム ナビゲーション ツリーで、Nitro IPS または仮想デバイスを選択します。
2
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [内部]を選択します。
3
[有効] 列で、[すべてを選択] または [選択解除] をクリックするか、個別のルールを選択または選択解除します。
フィルター ルール
フィルター ルールでは、定義したデータを Receiver が受信したときに実行するアクションを指定できます。
データの順序
フィルター ルールは、次の順序で Receiver に書き込まれます。
1
2
catch-all 以外のすべてのルール
a
stop = true and parse = false and log = false
b
stop = true and parse = true and log = true
c
stop = true and parse = true and log = false
d
stop = true and parse = false and log = true
すべての catch-all ルール
ルールの順序
[ポリシー管理者] 権限がある場合、フィルター ルールの実行順序を定義できます。 これらのルールが最も効果的な
順番で実行され、必要なデータが生成されます (『ASP ルールとフィルター ルールの順序を設定する』を参照)。
フィルター ルールを追加
[ポリシー エディター] にフィルター ルールを追加します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
483
10
ポリシーとルールの管理
ルール タイプとプロパティ
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で[Receiver] 、 [フィルター]を選択します。
2
[新規] を選択し、[フィルター ルール] をクリックします。
3
フィールドに入力し、[OK] をクリックします。
4
ルールを有効にするには、ルール表示ペインでルールを選択し、[アクション] 列で設定をクリックし、[有効] を
クリックします。
関連トピック:
484 ページの「[フィルター ルールを追加] ページ」
485 ページの「[フィルター フィールドを追加] ページ」
[フィルター ルールを追加] ページ
Receiver が収集したデータをフィルターするためのルールを追加します。
表 10-11 オプションの定義
オプション
定義
[タグ]
• [選択] をクリックして、このルールが属するカテゴリーを定義するタグを選択します。
[名前]
• ルールの名前を入力します。
[正規化 ID]
•(オプション)[正規化 ID] アイコンをクリックし、追加の正規化 ID を選択します。
[重大度]
•(オプション)ルールの重大度設定を変更します。
[すべて一致]
• PCRE またはコンテンツ文字列なしでルールを書き込む場合に、これを選択します。このオプ
ションを選択すると、 [このルールで実行されるアクション] セクションで指定したアクショ
ンが、受信したすべてのデータで実行されます。
[コンテンツ文字 (オプション)受信するデータをフィルターするコンテンツ文字列を入力します。受信データが
列]
これらのコンテンツ文字列と一致すると、このダイアログで指定したアクションが実行されま
す。
• 文字列を追加するには、[追加] をクリックして文字列を入力します。
• 文字列を編集または削除するには、文字列を選択して対応するボタンをクリックします。
[PCRE]
•(オプション)受信するデータをフィルターする単一の PCRE を入力します。受信データがこ
の PCRE と一致すると、このダイアログで指定したアクションが実行されます。
[大文字と小文字 • 大文字か小文字に関係なく PCRE コンテンツを照合するために大文字と小文字を区別しない
を区別しない]
修飾子を追加する場合に、これを選択します。
[アクション]
受信データを PCRE およびコンテンツ文字列と照合するとき、または [すべて一致] を選択した
ときにすべての受信データで行われるアクションを選択します。必要なだけこれらのアクショ
ンを選択できます。
[説明]
•(オプション)ルールの説明を入力します。ルールを選択すると、[ポリシー エディター] の
[説明] フィールドに表示されます。
関連トピック:
483 ページの「フィルター ルールを追加」
484
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
[フィルター フィールドを追加] ページ
フィルター コンポーネントの設定を構成します。
表 10-12 オプションの定義
オプション
定義
フィルター タイプ フィルタリングの対象を選択します。
フィルター条件
フィルター条件を選択します。使用できるオプションは、選択したタイプに応じて異なります。
値
変数アイコンをクリックし、このフィルターの値を選択します。
関連トピック:
483 ページの「フィルター ルールを追加」
アドバンスド Syslog パーサー (ASP) ルール
ASP は、ユーザー定義のルールに基づいて Syslog メッセージのデータを解析できるメカニズムを提供します。
アドバンスド Syslog パーサー (ASP) は、ルールを使用して、メッセージ固有のイベントでのデータの存在場所 (シ
グネチャ ID、IP アドレス、ポート、ユーザー名、アクションなど) を識別します。
ASP を使用すると、Linux と UNIX サーバーにある複雑なログ ソースのソート ルールを作成できます。
この機能を使用するには、正規表現の使い方を知っている必要があります。
システムが ASP ログを受信すると、ASP ルールに指定された形式とログの時刻形式が比較されます。 時刻形式が一
致しない場合、システムはログを処理しません。
時間形式を一致させるため、複数のカスタム時間形式を追加します (『時刻形式を ASP ルールに追加する』を参照)。
[ポリシー管理者]権限があれば、ASP ルールの実行順序を定義できます (『ASP ルールとフィルター ルールの順序
を設定する』を参照)。
関連トピック:
485 ページの「カスタム ASP ルールを追加する」
486 ページの「ASP ルールとフィルター ルールの順序を設定する」
487 ページの「ASP ルールに時刻形式を追加する」
カスタム ASP ルールを追加する
[アドバンスド Syslog パーサー] エディターでは、ASP ログ データを解析するためのルールを作成できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[Receiver] 、 [アドバンスド Syslog パーサー] の順に選択します。
2
[新規] を選択し、[アドバンスド Syslog パーサー ルール] をクリックします。
3
各タブをクリックして、必要な情報を入力します。
4
[完了] をクリックします。
タスク
•
486 ページの「ASP ルール テキストを編集」
ASP 構文の知識がある上級ユーザーの場合は、ASP ルール テキストを直接追加するので、各タブで設
定を定義する必要はありません。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
485
10
ポリシーとルールの管理
ルール タイプとプロパティ
関連トピック:
485 ページの「アドバンスド Syslog パーサー (ASP) ルール」
486 ページの「ASP ルールとフィルター ルールの順序を設定する」
487 ページの「ASP ルールに時刻形式を追加する」
ASP ルール テキストを編集
ASP 構文の知識がある上級ユーザーの場合は、ASP ルール テキストを直接追加するので、各タブで設定を定義する
必要はありません。
ASP ルールとフィルター ルールの順序を設定する
[ポリシー管理者] の権限がある場合、フィルター ルールまたは ASP ルールの実行順序を設定できます。 このオプ
ションを使用すると、ルールをソートし、必要なデータを簡単に見つけることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
[操作] メニューで、[ASP ルールの順序] または [フィルター ルールの順序] を選択し、[データ ソース タイプ]
フィールドでデータ ソースを選択します。
左側のペインには、順序を設定できるルールが表示されます。 右側のペインには、順序が設定されたルールが表
示されます。
3
[標準ルール] タブまたは [カスタム ルール] タブで、左側のペインから右側のペインにルールを移動し (ドラッ
グ アンド ドロップ操作か矢印を使用)、[順番のないルール] の上または下に配置します。
[順番のないルール] は、左側のペインにあるルールが該当します。これらのルールにはデフォルトの順序が設定さ
れています。
4
矢印を使用してルールの順番を変更します。[OK] をクリックして、変更を保存します。
関連トピック:
485 ページの「アドバンスド Syslog パーサー (ASP) ルール」
485 ページの「カスタム ASP ルールを追加する」
487 ページの「ASP ルールに時刻形式を追加する」
486 ページの「[ASP ルールの順序] ページ」
487 ページの「[フィルター ルールの順序] ページ」
[ASP ルールの順序] ページ
必要なデータが生成されるように、ASP ルールの順序を設定します。
表 10-13 オプションの定義
486
オプション
定義
[データ ソース タイ
プ]
この順序を適用するデータ ソースのタイプを選択します。選択したデータ ソースに従っ
て、ルールのリストが変更されます。
左側のテーブル
[標準ルール] または [カスタム ルール] タブを選択します。 各タブには、デフォルトの順
番 (英字順) でルールが表示されます。
右側のテーブル
指定したフォルダーにあるルールが表示されます。 [順番のないルール] では、ルールがデ
フォルト順に表示されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
表 10-13 オプションの定義 (続き)
オプション
定義
テーブル間の矢印
右矢印と左矢印を使用して、選択したルールをテーブル間で移動します。 上矢印と下矢印
を使用して、テーブル内の正しい位置にルールを配置します。
デフォルトの順序を逆 ルールがデフォルト順に戻ります。 このオプションを選択すると、右側のすべてのルール
にする
が左側のテーブルに移動します。
関連トピック:
486 ページの「ASP ルールとフィルター ルールの順序を設定する」
[フィルター ルールの順序] ページ
必要なデータが生成されるように、フィルター ルールの順序を設定します。
表 10-14 オプションの定義
オプション
定義
左側のテーブル
[標準ルール] または [カスタム ルール] タブを選択します。 各タブには、デフォルトの順番
(英字順) でルールが表示されます。
右側のテーブル
指定したフォルダーにあるルールが表示されます。 [順番のないルール] では、ルールがデフォ
ルト順に表示されます。
テーブル間の矢印 右矢印と左矢印を使用して、選択したルールをテーブル間で移動します。 上矢印と下矢印を使
用して、右側のテーブルの正しい位置にルールを配置します。
関連トピック:
486 ページの「ASP ルールとフィルター ルールの順序を設定する」
ASP ルールに時刻形式を追加する
システムがアドバンスド Syslog パーサー (ASP) ログを受信すると、ASP ルールに指定された時刻形式が確認され
ます。
カスタム時刻形式を複数追加すると、ログの時刻形式が所定の形式に一致する確率が高くなります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、 [Receiver] 、 [アドバンスト Syslog パーサー]の順にクリックします。
3
ASP ルールをダウンロードしたら、次のいずれかを実行します。
•
既存のルールを編集するには、ルールをクリックして、 [編集] 、 [変更]の順にクリックします。
•
新しいルールを追加するには、 [新規] 、 [高度な Syslog パーサー ルール]の順にクリックし、[全般]、[解
析]、[フィールド割り当て] タブで設定を行います。
4
[マッピング] タブをクリックして、[時刻形式] テーブルの上にあるプラス記号のアイコンをクリックします。
5
[形式] フィールドで時刻形式を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
487
10
ポリシーとルールの管理
ルール タイプとプロパティ
6
この形式で使用する時刻フィールドを選択します。
[最初の時刻] と [最後の時刻] は、イベントが生成された最初の時刻と最後の時刻を表します。 ESM に追加した
[カスタム タイプ] の時刻フィールドも表示されます (『カスタム タイプ フィルター』を参照)。
7
[OK] をクリックして、[マッピング] タブの残りの情報を入力します。
関連トピック:
485 ページの「アドバンスド Syslog パーサー (ASP) ルール」
485 ページの「カスタム ASP ルールを追加する」
486 ページの「ASP ルールとフィルター ルールの順序を設定する」
488 ページの「アドバンスド Syslog パーサー ルール エディター」
アドバンスド Syslog パーサー ルール エディター
ASP ログ データを簡単に解析するためのルールを作成します。
表 10-15 オプションの定義
タブ
[全般] タ
ブ
オプション
定義
[ファイル]
保存するルールをクリックして、[保存] または [名前を付けて保存] を選択します。
[ツール]
[ASP ルール テキストを編集] を選択すると、ASP ルール テキストを直接追加でき
ます。各タブで設定を定義する必要はありません。 この操作を行うには、ASP 構文
の知識が必要です。
ルールの全般設定を定義します。
[名前]
ルールの名前を入力します。
[タグ]
ルールが属するカテゴリーを定義するタグを追加するには、[選択] をクリックしま
す。各 ASP ルールは、保存するルールに対して 1 つ以上のタグを必要とします。
[デフォルトの正 デフォルトの ID は 4026531840 で、これは分類されていません。受信ログに ID
規化 ID]
アイコンをクリックし、このルール
がない場合に使用します。 変更するには、
と関連付ける ID を選択します。
[デフォルトの重 必要に応じて、このルールの重大度を変更します。この重大度は、受信ログ データに
大度]
重大度がない場合に使用されます。
[ルールの割り当 デフォルトのルールの割り当てタイプを選択します。[アドバンスド Syslog パーサ
てタイプ]
ー] から取得したイベント データをグループ化し、他のデータソースから分離する場
合に使用します。 これは、デバイスをルール タイプでグループ化し、データベース
でのシグネチャ ID の競合を回避するには有効な方法です。 たとえば、Cisco PIX の
イベント 30405 には、Cisco IOS の 30405 や Snort IDS の 30405 と別の意味
があります。
[説明]
[解析] タ
ブ
(オプション) ルールの説明を入力します。
ルールの解析を設定します。
[プロセス名]
(オプション) 受信ログ データのヘッダーで照合するプロセス名を入力します。
[コンテンツ文字 (オプション) 受信ログ データで照合するコンテンツ文字列を入力します。 文字列を
列]
追加するには、[編集] 、 [追加] の順にクリックし、文字列の値を入力します。この
値は引用符 (“”) で囲み、カンマ (,) で区切る必要があります。
ESM 9.0.0 以降でリテラル値と PCRE サブキャプチャーを連結するときに、リテラ
ルにスペースなどの文字が含まれている場合は、それぞれのリテラルを引用符で囲ん
でください。 PCRE サブキャプチャーのリファレンスは引用符で囲まないでくださ
い。
488
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
表 10-15 オプションの定義 (続き)
タブ
オプション
定義
[正規表現は、解 デフォルトでは、コンテンツ文字列または正規表現が一致した場合にルールがトリガ
析目的でのみ使 ーされます。 コンテンツ文字列が一致した場合にのみトリガーする場合に、このオプ
用する]
ションを選択します。
[大文字と小文字 大文字か小文字かに関係なくコンテンツの照合を行いた場合は、このオプションを選
択します。
を区別しない]
[データが一致し このオプションを選択すると、フィールド割り当てとマッピングが無効になります。
ない場合にトリ ルールはトリガーされますが、データは解析されません。
ガー]
[正規表現]
受信ログ データとの照合に使用する正規表現を入力します。ログ データとの複数の
照合を行えます。次のオプションがあります。
• 追加アイコン
します。
•
をクリックして [正規表現を追加] ページを開き、正規表現を入力
編集アイコン
をクリックして [正規表現を編集] ページを開き、選択した正規
表現を選択します。
• 削除アイコン
をクリックして、選択した正規表現を削除します。
これらの表現は、リストの最初の表現が実行されてログ データから結果を返さない限
り、実行されません。このテーブル内で正規表現値を単独で選択できます。選択する
と、サンプル データ フィールド内で対応するテキストの一致が強調表示され、右側
の [正規表現の一致] テーブルで項目が選択されます。
[正規表現の一
致]
このテーブルには、1 つ目および 2 つ目の正規表現に対して実行したときに、サンプ
ル ログ データから抽出した値が表示されます。
[正規表現の照合 ログ データ全体に対して正規表現の照合を行う場合、このオプションを選択します。
に Syslog ヘッ
ダーを含める]
[サンプル ログ
データ]
有効な正規表現を作成しやすいように、いくつかのサンプル ログ データをこのフィ
ールドにコピーアンドペーストします。
それぞれのログは 1 行で記述する必要があります。
[変換されたログ 元のサンプル ログ データが CEF 形式である場合、解析形式に変換されてこのタブに
データ]
表示されます。 カスタム フィールド (cs1... cs1label... cn1... cn1label... など)
のない CEF ログは変換の必要ありません。
[フォーマット]
[サンプル ログ データ] ステートメントのフォーマットを選択します。 ログ データ
がここで選択したフォーマットの規則に従っていないと、キー/値ペアは抽出されませ
ん。
[キー/値テーブ
ル]
このテーブルには、サンプル ログ データから抽出されたキー/値ペアが表示されま
す。
[フィール
ド割り当
て] タブ [フィールド]
フィールド割り当てを設定します。
この列には、照合できるフィールドがリストされます。フィールド名の横にある追加
アイコン
をクリックすると、フォールバック フィールドを追加できます。 プラ
イマリ フィールドが空白の場合、フォールバック フィールドが使用されます。フォ
ールバック フィールドを実行すると、フィールドをドラッグアンドドロップすること
で並べ替えを行えます。フォールバック フィールドは 10 個まで追加できます。追
加したフォールバック フィールドは、フォールバック フィールド名の左側にある削
除アイコン
をクリックして削除できます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
489
10
ポリシーとルールの管理
ルール タイプとプロパティ
表 10-15 オプションの定義 (続き)
タブ
オプション
定義
[式]
この列は、フィールドをログ データ値にマッピングするのに使用されます。[式] 列
をクリックし、開いたフィールドにグループ ID を入力します。2 つの値を、間にプ
ラス記号 (+) を入力することによって連結できます。
[サンプル値]
この列は、特定のフィールドの出力結果を確認する場合に使用します。
[キー/値テーブ
ル]
このテーブルは、表現に対して実行したときに [解析中] タブの [サンプル ログ デー
タ] から抽出された値を反映します。このリストから値をドラッグして、フィールド
の式にドロップできます。
[カスタム フィ
ールドを追加]
アイコンと [カ
スタム フィール
ドを削除] アイ
コン
必要なフィールドが [フィールド] 列に表示されない場合は、[カスタム フィールドを
をクリックします。[カスタム タイプ] ページが開き、追加したタ
追加] アイコン
イプを含めて、システム上のすべてのカスタム タイプがリストされます。 リストに
追加するフィールドをクリックし、[OK] をクリックします。 フィールドがテーブル
に追加されます。 カスタム フィールドをリストから削除するには、[カスタム フィ
ールドを削除] アイコン
をクリックし、[はい] をクリックします。
[マッピン
グ] タブ
独自の方法でマッピングまたは解析する必要がある受信ログ データに対し、カスタム
設定を定義します。
[開始時刻のカス
タム形式] と
[停止時刻のカス
タム形式]
システムが ASP ログを受信すると、ASP ルールに指定された時刻形式が確認されま
す。 複数のカスタム時刻形式を追加できます。 これにより、ログの時刻形式が所定
の形式に一致する確率が高くなります (『ASP ルールに時刻形式を追加する』を参
照)。
アクション テー [アクション キー] 列の行をクリックし、発生する可能性のある種々のアクションを
ブル
入力します。
[アクション値] 列に、可能性のあるすべてのアクションのリストが表示されます。列
にある目的のアクションと、発生する可能性のある種々のアクションを照合します。
[デフォルト ア
クション]
[アクション] テーブルで選択されていない場合にデフォルト アクションを使用する
ように設定する場合は、チェック ボックスをクリックしてアクションを選択します。
[重大度のマッピ 追加アイコン
をクリックして、受信ログ データからマッピングされる値を追加す
ング]
ることができます。
[デフォルトの重 [重大度のマッピング] テーブルで選択されていない場合にデフォルトの重大度を使
大度]
用するには、このオプションを選択して重大度を選択します。
関連トピック:
487 ページの「ASP ルールに時刻形式を追加する」
データ ソース ルール
データ ソース ルールのリストには、定義済みのルールと自動学習ルールが含まれています。
Receiver は、Receiver に関連付けられているデータ ソースから送信された情報を処理する際に、データ ソース ル
ールを自動学習します。
[ルール タイプ] ペインの [データ ソース] オプションは、システム ナビゲーション ツリーで、ポリシー、データ ソ
ース、[アドバンスド Syslog パーサー]、または Receiver を選択した場合のみ表示されます。ページの下部にある
説明領域には、選択したルールに関する詳細な情報が表示されます。すべてのルールには、ルールに関連付けられて
いる優先度を示す、重大度が設定されています。優先度は、それらのルールに対して生成されるアラートが、レポー
ト目的でどのように表示されるかに影響します。
データ ソースにデフォルトのアクションが定義されています。 Receiver は、ルールに関連するイベントのサブタイ
プに割り当てます。 このアクションは変更できます (『データ ソースのルール アクションを設定する』を参照)。
関連トピック:
491 ページの「データ ソースのルール アクションを設定する」
491 ページの「自動学習データ ソース ルールを管理」
490
McAfee Enterprise Security Manager 9.6.0
製品ガイド
10
ポリシーとルールの管理
ルール タイプとプロパティ
データ ソースのルール アクションを設定する
データ ソースにデフォルトのアクションが定義されています。 Receiver は、このアクションをルールに関連するイ
ベントのサブタイプに割り当てます。 このアクションは変更できます。
データ ソース ルールごとにイベント サブタイプの値を設定できます。 ダッシュボード、レポート、解析ルール、ア
ラームのルール アクションに異なる値を設定できます。たとえば、選択したアクセス ルールの結果 (許可/拒否) な
どを設定できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで、[ポリシー エディター] アイコン
[Receiver] 、 [データ ソース] の順に選択します。
をクリックして、 [ルール タイプ] ペインで
変更するルールの [サブタイプ] 列をクリックして、新しいアクションを選択します。
•
イベント サブタイプにデフォルトのアクション ([アラート]) を設定するには、[有効] を選択します。
•
関連ルールのイベントを収集しない場合には、[無効] を選択します。
•
他のアクションを選択すると、イベント サブタイプにこのアクションが設定されます。
関連トピック:
490 ページの「データ ソース ルール」
491 ページの「自動学習データ ソース ルールを管理」
自動学習データ ソース ルールを管理
すべての自動学習データ ソース ルールのリストを表示し、編集または削除します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[Receiver] 、 [データ ソース]を選択します。
2
[フィルター/タグ付け] ペインの下部にある [詳細] バーをクリックします。
3
[元の場所] ドロップダウン リストで [ユーザー定義] を選択し、[クエリーを実行] アイコン
ます。
をクリックし
自動学習データ ソース ルールは、すべて表示ペインにリストされています。
4
編集または削除するルールを選択し、[編集] をクリックし、[変更] または [自動学習ルールを削除] を選択しま
す。
•
[変更] を選択した場合は、名前、説明、または正規化 ID を変更し、[OK] をクリックします。
•
[自動学習ルールを削除] を選択した場合は、適切なオプションを選択し、[OK] をクリックします。
関連トピック:
490 ページの「データ ソース ルール」
491 ページの「データ ソースのルール アクションを設定する」
492 ページの「[自動学習ルールを削除] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
491
10
ポリシーとルールの管理
ルール タイプとプロパティ
[自動学習ルールを削除] ページ
削除する自動学習データ ソース ルールを選択します。
表 10-16 オプションの定義
オプション
定義
[このデータ ソース タイプのすべての自動学
習ルールを削除]
選択したデータ ソースのすべての自動学習ルールを削除します。
[選択した自動学習ルールを削除]
ルール表示ペインで選択したルールを削除します。
[この時間より前のすべての自動学習ルールを
削除]
フィールドに入力した日付より前の自動学習ルールを削除します。
[このシステム保持時間より前のすべての自動
学習ルールを削除]
システム保持時間として設定した日付より前の自動学習ルールを
削除します。データ保持時間を変更する必要がある場合は、[編集]
をクリックします。
関連トピック:
491 ページの「自動学習データ ソース ルールを管理」
Windows イベント ルール
Windows イベント ルールは、Windows 関連のイベントの生成に使用されます。
これらは Windows イベントのデータ ソース ルールであり、一般的なユース ケースであるため、データ ソース ル
ール タイプから分離されます。このタイプのすべてのルールは McAfee によって定義されます。ルールは追加、変
更、削除できませんが、ルールのプロパティ設定は変更できます。
ADM ルール
McAfee ADM は、ICE Deep Packet Inspection (DPI) エンジンが搭載された一連のネットワーク アプライアンス
です。
ICE エンジンは、RAW ネットワーク トラフィックからコンテンツをリアルタイムで識別して抽出できる、ソフトウ
ェア ライブラリと、プロトコルとコンテンツ プラグイン モジュールが集約されたものです。 このエンジンでは、ア
プリケーション レベルのコンテンツを完全に再構築してデコードすることで、暗号化されたネットワーク パケット
ストリームをローカル ファイルのように読みやすいコンテンツに変換することができます。
ICE エンジンでは、固定された TCP ポート番号やファイル拡張子に頼ることなく、プロトコルとコンテンツのタイ
プを自動的に識別できます。ICE エンジンは分析とデコードを実行するためにシグネチャに依存せず、各プロトコル
またはコンテンツ タイプに対する完全なパーサーがモジュールに実装されます。それによって、コンテンツを非常に
正確に識別しデコードすることが可能になっています。またコンテンツが圧縮されていたり、他の方法でエンコード
されているためにネットワークを通じてクリア テキストで送信できない場合でも、コンテンツを識別して抽出できま
す。
ICE エンジンではこの高度に正確な識別とデコードによって、ネットワーク トラフィックを高い精度で見通すことが
できます。たとえば ICE エンジンでは、.zip ファイルとして送信された PDF ドキュメント ストリームを、
BASE-64 でエンコードされた SMTP 電子メールの添付ファイルとして、SOCKS プロキシ サーバーから受信するこ
とができます。
このアプリケーションとドキュメントのアウェアネスによって、ADM では有用性の高いセキュリティ コンテキスト
が得られます。それによって、従来の IDS や Nitro IPS では容易に検出できない、次のような脅威を検出できるよ
うになっています。
492
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
•
機密情報やドキュメントの漏洩、または通信ポリ
シー違反。
•
不審なドキュメント (ドキュメントと拡張子が一
致しないなど)。
•
認証されていないアプリケーション トラフィッ
ク (Gnutella など)。
•
新世代のエクスプロイト (実行ファイルが埋め込
まれた PDF ドキュメントなど)。
•
想定されていない方法でのアプリケーションの使
用 (非標準ポートでの HTTPS の使用など)。
10
ADM では、アプリケーションとトランスポート プロトコルの異常を検出することで、不正なトラフィック パターン
も検出されます (RPC 接続の形式が異常である、または TCP 宛先ポートが 0 であるなど)。
サポートされているアプリケーションおよびプロトコル
ADM が異常を監視、デコード、検出するために使用できるアプリケーションとプロトコルは、500 を超えます。そ
の一部をリストで示します。
•
低レベルのネットワーク プロトコル — TCP/IP、UDP、RTP、RPC、SOCKS、DNS など
•
電子メール — MAPI、NNTP、POP3、SMTP、Microsoft Exchange
•
チャット — MSN、AIM/Oscar、Yahoo、Jabber、IRC
•
Web メール — AOL Webmail、Hotmail、Yahoo! メール、Gmail、Facebook、MySpace メール
•
P2P — Gnutella、bitTorrent
•
シェル — SSH (検出のみ)、Telnet
•
インスタント メッセージ — AOL、ICQ、Jabber、MSN、SIP、Yahoo
•
ファイル転送プロトコル — FTP、HTTP、SMB、SSL
•
圧縮および抽出プロトコル — BASE64、GZIP、MIME、TAR、ZIP など
•
アーカイブ ファイル — RAR アーカイブ、ZIP、BZIP、GZIP、Binhex、UU エンコード アーカイブ
•
インストール パッケージ — Linux パッケージ、InstallShield キャビネット、Microsoft キャビネット
•
画像ファイル — GIF、JPEG、PNG、TIFF、AutoCAD、Photoshop、Bitmaps、Visio、Digital RAW、Windows
アイコン
•
音声ファイル — WAV、MIDI、RealAudio、Dolby Digital AC-3、MP3、MP4、MOD、RealAudio、SHOUTCast
など
•
ビデオ ファイル — AVI、Flash、QuickTime、Real Media、MPEG-4 、Vivo、Digital Video (DV)、Motion
JPEG など
•
その他のアプリケーションおよびファイル — データベース、スプレッドシート、FAX、Web アプリケーション、
フォント、実行ファイル、Microsoft Office アプリケーション、ゲーム、ソフトウェア開発ツールなど
•
その他のプロトコル — ネットワーク プリンタ、シェル アクセス、VoIP、ピア ツー ピア
McAfee Enterprise Security Manager 9.6.0
製品ガイド
493
10
ポリシーとルールの管理
ルール タイプとプロパティ
主要なコンセプト
ADM の機能を理解するには、次のコンセプトを認識することが重要です。
•
オブジェクト — オブジェクトは、コンテンツの個々のアイテムです。電子メールはオブジェクトですが、メッセ
ージの本文と添付ファイルがあることから、オブジェクトのコンテナーでもあります。HTML ページは、画像な
ど他のオブジェクトを含めることが可能なオブジェクトです。.zip ファイルと、.zip ファイル内の各ファイルは、
すべてオブジェクトです。ADM はコンテナーを開き、中の各オブジェクトを ADM のオブジェクトとして扱いま
す。
•
トランザクション — トランザクションは、オブジェクト (コンテンツ) の転送を包含するラッパーです。トラン
ザクションには 1 つ以上のオブジェクトが含まれていますが、そのオブジェクトが .zip ファイルのようなコンテ
ナーである場合は、1 つのトランザクションに複数のオブジェクトが含まれる場合があります。
•
フロー — フローは、TCP または UDP ネットワーク接続です。1 つのフローには多数のトランザクションが含ま
れている場合があります。
DEM ルール
McAfee DEM の真の威力は、ネットワーク パケット内の情報をキャプチャし正規化する方法を通じて発揮されます。
DEM には、パターン一致用の論理式と正規表現を使用して複雑なルールを作成する機能もあります。それによって、
事実上誤検出が発生することなく、データベースまたはアプリケーション メッセージを監視できます。一部のアプリ
ケーション プロトコルとメッセージが他よりもリッチであるということから、正規化データ (メトリックス) は各ア
プリケーションによって異なります。フィルター式は、構文に注意するだけでなく、アプリケーションでメトリック
スがサポートされていることを確認しながら、慎重に作成する必要があります。
DEM にはデフォルトのルールのセットが付属しています。デフォルトのコンプライアンス ルールによって、ログオ
ン/ログオフ、DDL 変更などの DBA タイプのアクティビティ、不審なアクティビティ、コンプライアンス要件の達
成に一般的に必要なデータベース攻撃など、重要なデータベース イベントを監視します。デフォルトの各ルールを有
効または無効にして、各ルールのユーザー定義可能なパラメーター値を設定することができます。
DEM ルールのタイプには、データベース、データ アクセス、検出、トランザクション追跡があります。
ルール
タイプ
説明
データ
ベース
DEM のデフォルト ルール セットには、サポートされている各データベース タイプに対するルールと、
SOX、PCI、HIPAA、FISMA などの一般的な規制が含まれています。デフォルトの各ルールを有効または
無効にして、各ルールのユーザー定義可能なパラメーター値を設定することができます。
DEM に付属するルールに加えて、論理式と正規表現を使用して複雑なルールを作成することができます。
それによって、事実上誤検出が発生することなく、データベースまたはアプリケーション メッセージを監
視できます。一部のアプリケーション プロトコルとメッセージが他よりもリッチであるということから、
正規化データ (メトリックス) は各アプリケーションによって異なります。
ルールは、論理演算子と正規表現演算子の両方を要求して含めるにしたがい複雑になる場合があります。
ルール式は、アプリケーションで使用できる 1 つ以上のメトリックスに適用できます。
データ
アクセ
ス
494
DEM のデータ アクセス ルールでは、データベースに対する不明なアクセス パスを追跡し、アラートをリ
アルタイムで送信することができます。 アプリケーション開発者がアプリケーション ログオン ID を使
用して実稼働システムにアクセスするなど、データベース環境における一般的な違反は、適切なデータ ア
クセス ルールを作成することで簡単に追跡することができます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
ルール
タイプ
説明
検出
DEM のデータベース検出ルールでは、ネットワーク上で監視対象になっていない、ESM によってサポー
トされているタイプのデータベース サーバーの例外リストが得られます。セキュリティ管理者はこの機
能によって、環境に追加された新しいデータベース サーバーと、データベースのデータにアクセスできる
不正なリスナー ポートを検出できます。検出ルール ([ポリシー エディター] 、 [DEM ルール タイプ] 、
[検出]) は設定不要のルールであり、追加または編集することはできません。データベース サーバー ペー
ジの検出オプション ([DEM のプロパティ] 、 [データベース サーバー] 、 [有効]) を有効にすると、これ
らのルールによってネットワーク上のデータベース サーバーが検索されますが、システム ナビゲーション
ツリーの DEM 以下にはリストされません。
トラン
ザクシ
ョン追
跡
トランザクション追跡ルールにより、データベース トランザクションと自動調整の変更を追跡できます。
たとえば、データベース変更を追跡して、既存の変更チケッティング システムにおける認証済みの作業順
序と調整する時間を要するプロセスを、完全に自動化することができます。
この機能の使用方法を理解できる例を次に示します。
DBA の手順では、認証済みの作業を実際に開始する前に、作業が実行されるデータベース内の開始タグの
ストアド プロシージャ (この例では spChangeControlStart) が実行されます。 DEM の [トランザクシ
ョン追跡] 機能により、DBA では最大 3 つのオプションの文字列パラメーターを、正しい順序で引数とし
てタグに含めることができます。
1 ID
2 名前または DBA のイニシャル
3 コメント
たとえば spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’
spChangeControlStart プロシージャが実行されていることを DEM が検出すると、トランザクションだ
けでなく、パラメーター (ID、名前、コメント) が特殊な情報として記録されます。
作業が完了すると、DBA は終了タグのストアド プロシージャ (spChangeControlEnd) を実行します。
この場合、オプションで (開始タグ内の ID と同一の) 1 つの ID パラメーターを含めることができます。
DEM が終了タグ (および ID) を検出すると、開始タグ (同じ ID を持つ) と終了タグ間のすべてのアクテ
ィビティを、特殊なトランザクションとして関連付けることができます。 これで、トランザクションごと
にレポートを作成し、ID を使用して検索できるようになります。ID は、この作業手順調整の例では変更
制御番号です。
また、トランザクション追跡によって取引の開始と終了を記録し、クエリーではなくトランザクションご
とにレポートを作成するステートメントを開始およびコミットすることもできます。
関連トピック:
495 ページの「DEM ルール メトリックス参照」
DEM ルール メトリックス参照
DEM ルールを追加したときに [式のコンポーネント] ページで使用できる、DEM ルール式に対するメトリックス参
照のリストを示します。
名前
定義
データベース タイプ
[アプリケーショ
ン名]
ルールが適用されるデータベース タイプを識別する名前。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PIServer、
InterSystems Cache
[開始時刻]
クエリーの開始タイムスタンプ。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
McAfee Enterprise Security Manager 9.6.0
製品ガイド
495
10
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
[開始時刻のずれ] サーバー クロックの時刻のずれをキャプチャします。
MSSQL、Oracle、DB2、
Sybase、MySQL、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
[クライアント
IP]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
クライアントの IP アドレス
[クライアント名] クライアント マシンの名前。
[クライアント
PID]
496
データベース タイプ
MSSQL、Oracle、DB2、
Sybase、Informix、
PIServer、InterSystems
Cache
オペレーティング システムによってクライアント プロセスに割り MSSQL、DB2、Sybase、
MySQL
当てられるプロセス ID。
[クライアント ポ クライアント ソケット接続のポート番号。
ート]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[コマンド名]
MySQL コマンドの名前。
MSSQL、Oracle、DB2、
Sybase、Informix
[コマンド タイ
プ]
MySQL コマンドのタイプ: DDL、DML、Show、Replication。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[受信データ]
受信クエリー パケットの合計バイト数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[送信データ]
送信結果パケットの合計バイト数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[データベース名] アクセスされるデータベースの名前。
MSSQL、DB2、Sybase、
MySQL、Informix、
PostgreSQL、PIServer、
InterSystems Cache
[終了時刻]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
完了タイムスタンプ クエリーの終了。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
10
データベース タイプ
[エラー メッセー 要求された SQL ステートメントの成功または失敗に関する情報が DB2、Informix
ジ]
得られる、SQL Communication Area(SQLCA)データ構造内の
SQLCODE 変数と SQLSTATE 変数に関連付けられたメッセージ
テキストが含まれています。
[メッセージ番号] データベース サーバーによって各エラーに割り当てられる一意の
メッセージ番号。
MSSQL、Oracle、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[メッセージの重
大度]
MSSQL、Sybase、
Informix
問題のタイプと重大度を示す、10 から 24 までの重大度番号。
[メッセージ テキ メッセージのフル テキスト。
スト]
MSSQL、Oracle、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[ネットワーク時 結果セットをクライアントに返送するために要する時間
間]
(response_time - server_response_time)。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[NT クライアン
ト名]
ユーザーのログイン元の Windows マシン名。
MSSQL
[NT ドメイン名]
ユーザーのログイン元の Windows ドメイン名。
MSSQL
[NT ユーザー名]
Windows ユーザー ログイン名。
MSSQL
[オブジェクト名]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix
[OSS ユーザー
名]
Oracle
[パッケージ名]
パッケージには、SQL ステートメントの実行に使用される制御構
造が含まれています。パッケージは、プログラムの準備中に DB2
サブコマンド BIND PACKAGE を使用して作成されます。
DB2
[受信パケット]
クエリーを構成するパケット数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[送信パケット]
戻り結果セットを構成するパケット数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[パスワード]
McAfee Enterprise Security Manager 9.6.0
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
InterSystems Cache
製品ガイド
497
10
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
[パスワードの長
さ]
データベース タイプ
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
InterSystems Cache
[クエリー ブロッ クエリー ブロックは、クエリー データと結果セット データを送信 DB2、Informix
ク サイズ]
する基本単位です。クエリー ブロックのサイズを指定すること
で、要求者はリソースの制約の中で、任意の時点で返されるデータ
量を制御することができます。
[クエリー終了ス
テータス]
クエリーの終了ステータス。
[クエリー番号]
AuditProbe 監視エージェントによって各クエリーに割り当てられ MSSQL、Oracle、DB2、
る一意の番号。最初のクエリーを 0 として、1 ずつ増加します。 Sybase、MySQL、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
[クエリー テキス クライアントから送信された実際の SQL クエリー。
ト]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[クエリー タイ
プ]
タイプの違いに応じてクエリーに割り当てられる整数。
MSSQL、Oracle、Sybase
[実際のユーザー
名]
クライアント ユーザーのログイン名。
[応答内容]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix
[応答時間]
クエリーのエンドツーエンドの応答時間(server_response_time MSSQL、Oracle、
Sybase、MySQL、
+ network_time)。
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[戻り行]
戻り結果セット内の行数。
[セキュリティ フ 管理者が指定したアクセス ポリシー ファイル条件が満たされたと
ラグ]
きに、値が 1(TRUSTED)または 2(UNTRUSTED)に設定され
るセキュリティ フラグ メトリックス。値 3 は、ポリシー ファイ
ル条件が満たされなかったことを示します。値 0 は、セキュリティ
監視がオンになっていないことを示します。
[セキュリティの
メカニズム]
498
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache。
MSSQL、Oracle、DB2、
Sybase、MYSQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems
ユーザー ID の検証に使用されるセキュリティのメカニズム(ユー DB2
ザー ID とパスワードなど)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
名前
定義
データベース タイプ
[サーバー IP]
データベース サーバー ホストの IP アドレス。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[サーバー名]
サーバーの名前。デフォルトではホスト名がサーバー名として割
り当てられます。
MSSQL、Oracle、DB2、
Sybase、Informix、
PIServer、InterSystems
Cache
[サーバー ポー
ト]
サーバーのポート番号。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[サーバーの応答
時間]
データベース サーバーからクライアント クエリーに対する初期応 MSSQL、Oracle、DB2、
答。
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[重大度コード]
DB2
[SID]
Oracle システムの識別子。
[SPID]
一意の各接続/セッションに割り当てられるデータベース システム MSSQL、Sybase
プロセス ID。
[SQL コード]
SQL ステートメントが実行されると、クライアントに SQLCODE
が送信されます。この戻りコードは、SQL エラーまたは警告に関
する DB2 固有の追加情報を提供します。
Oracle、Informix、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
• SQLCODE EQ 0 は、正常に実行されたことを示します。
• SQLCODE GT 0 は、正常に実行され警告が発行されたことを示
します。
• SQLCODE LT 0 は、実行が失敗したことを示します。
• SQLCODE EQ 100 は、データが見つからなかったことを示しま
す。
0 と 100 以外の SQLCODE の意味は、SQL を実装している個々
の製品によって異なります。
[SQL コマンド]
SQL コマンドのタイプ。
[SQL の状態]
DB2 SQLSTATE は、IBM のリレーショナル データベース システ DB2
ムで見られる共通のエラー条件に対する、共通の戻りコードを持つ
アプリケーション プログラムを実現する追加の戻りコードです。
[ユーザー名]
データベース ユーザーのログイン名。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
関連トピック:
494 ページの「DEM ルール」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
499
10
ポリシーとルールの管理
ルール タイプとプロパティ
相関ルール
相関エンジンの基本的な目的は、ESM から受け取ったデータを分析し、データ フロー内の注目すべきパターンを検
出し、それらのパターンを示すアラートを生成し、それらのアラートを Receiver のアラート データベースに挿入す
ることにあります。相関エンジンは、相関データ ソースを設定すると有効になります。
相関エンジン内では、目的のパターンが相関ルールによって解釈されるデータになります。相関ルールはファイアウ
ォールや標準的なルールとは完全に別個なものであり、動作を指定する属性が設定されています。各 Receiver は
ESM から相関ルールのセット (配備された相関ルール セット) を取得します。これは、0 以上の相関ルールとユーザ
ー定義のパラメーター値のセットで構成されています。ファイアウォールや標準的なルール セットと同様に、すべて
の ESM に基本的な相関ルール セットが含まれています。このルール セットの更新は、ルール アップデート サーバ
ーから ESM デバイスに配備されます。
ルール アップデート サーバーのルールにはデフォルト値が含まれています。基本的な相関エンジン ルール セットを
更新する場合は、ネットワークを適切に表すように、これらのデフォルト値をカスタマイズする必要があります。デフ
ォルト値を変更せずにこれらのルールを配備すると、誤検出や非検知の原因になります。
Receiver ごとに設定できる相関データ ソースは 1 つだけです。Syslog または OPSEC の設定方法と同様です。
相関データ ソースを設定すると、基本的な相関ルール セットを編集することで、配備される相関ルール セットを
[相関ルール エディター] を使用して作成できるようになります。各相関ルールを有効または無効にして、各ルール
のユーザー定義可能なパラメーター値を設定することができます。
[相関ルール エディター] では、相関ルールを有効または無効にするだけでなく、カスタム ルールとカスタム相関コ
ンポーネントを作成し、相関ルールに追加することもできます。
関連トピック:
500 ページの「相関ルールの詳細を表示する」
501 ページの「イベント内の 2 つのフィールドを比較するための相関ルールを設定する」
501 ページの「グループ別 の上書き」
相関ルールの詳細を表示する
このリリースでは、相関ルールに詳細 (ルールをトリガーした原因) が表示されます。 この情報は、誤検知の調整に
役立ちます。
ユーザー インターフェースで要求を行うと、詳細情報が収集されます。 ただし、動的ウォッチリストまたは変更頻
度の高い値を使用するルールの場合には、トリガー後すぐに詳細情報を取得するようにルールを設定できます。 これ
により、古い情報が表示される可能性を低くすることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
詳細をすぐに表示するようにルールを設定する:
a
ESM コンソールで、[相関] クイック起動アイコン
をクリックします。
[ポリシー エディター] が開き、[相関] ルール タイプが選択されます。
b
ルールの [詳細] 列をクリックして、[オン] を選択します。
一度に複数のルールを選択できます。
2
500
詳細を表示する:
a
システム ナビゲーション ツリーで、ACE デバイスの下にある[ルール相関] をクリックします。
b
ビュー リストで、[イベント ビュー] 、 [イベント分析] の順に選択し、表示するイベントをクリックします。
c
[相関の詳細] タブをクリックして、詳細を表示します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
関連トピック:
500 ページの「相関ルール」
501 ページの「イベント内の 2 つのフィールドを比較するための相関ルールを設定する」
501 ページの「グループ別 の上書き」
イベント内の 2 つのフィールドを比較するための相関ルールを設定する
[デフォルト値エディター] を使用して、イベント内の 2 つの異なるフィールドの値を比較するための相関ルールを
設定できます。
たとえば、ソース ユーザーと宛先ユーザーが同じであることを確認するためのルールを設定することができます。ま
た、ソース IP アドレスと宛先 IP アドレスが異なることを確認するためのルールを設定することもできます。
数値フィールドの場合は、より大きい (>)、より小さい (<)、以上 (>=)、以下 (<=) の演算子を入力できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
4
5
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
[ルール タイプ] ペインで [相関] を選択し、フィールドを比較するためのルールをクリックしてから、[編集] 、
[変更] の順にクリックします。
論理コンポーネントのメニュー アイコン
をクリックし、[編集] をクリックします。
フィルター領域で、[追加] をクリックして新しいフィルターを追加するか、既存のフィルターを選択して [編集]
をクリックします。
[デフォルト値エディター] アイコン
をクリックし、値を入力して [追加] をクリックしてから、[フィールド]
タブでフィールドを選択して [追加] をクリックします。
関連トピック:
500 ページの「相関ルール」
500 ページの「相関ルールの詳細を表示する」
501 ページの「グループ別 の上書き」
グループ別 の上書き
特定のフィールドを基準にグループ化する相関ルールを設定している場合、ルール内の 1 つのコンポーネントは別の
フィールドを基準にするように上書きすることができます。
たとえば、ある相関ルールの [グループ別] フィールドを [ソース IP] に設定してある場合、このルールの 1 つのコ
ンポーネントでは [宛先 IP] を使用するように上書きできます。これは、上書きされたコンポーネントと一致するイ
ベント以外のすべてのイベントのソース IP が同じであることを意味します。これらのイベントの宛先 IP は、もう一
方のイベント グループのソース IP と同じになります。この機能を使用すると、特定の宛先に送信されるイベント
と、それに続いてその宛先から送信される別のイベントを探すことができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
[ルール タイプ] ペインで [相関] をクリックし、ルールを選択してから、[編集] 、 [変更] の順にクリックしま
す。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
501
10
ポリシーとルールの管理
ルール タイプとプロパティ
3
[一致コンポーネント] 論理要素
を [相関ロジック] 領域にドラッグ アンド ドロップしてからメニュー アイ
コン
をクリックするか、または [相関ロジック] 領域にある既存の [一致コンポーネント] のメニュー アイ
コンをクリックします。
4
[編集] を選択し、[詳細オプション] をクリックしてから、[グループの上書き条件] を選択して [設定] をクリッ
クします。
5
[グループ別の上書きを設定する] ページで、上書きフィールドを選択してから [OK] をクリックします。
関連トピック:
500 ページの「相関ルール」
500 ページの「相関ルールの詳細を表示する」
501 ページの「イベント内の 2 つのフィールドを比較するための相関ルールを設定する」
カスタム ADM、データベース、または相関ルールを追加
定義済み ADM、データベース、または相関ルールに加えて、論理式と正規表現を使用して複雑なルールを作成する
ことができます。各種のルール タイプの追加に使用するエディターは非常に似ているため、同じセクションで説明し
ます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[ADM]、[DEM] 、 [データベース]、または [相関] を選
択します。
2
[新規] をクリックし、追加するルール タイプを選択します。
3
必要な情報を入力し、ツールバーから論理要素と式のコンポーネントを [式のロジック] 領域にドラッグ アンド
ドロップして、ルールの論理を構築します。
4
[OK] をクリックします。
タスク
•
506 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
相関ルールまたは相関コンポーネントのパラメーターによって、ルールまたはコンポーネントが実行さ
れたときの動作を制御します。パラメーターは必須ではありません。
•
511 ページの「データ アクセス ルールを追加または編集」
DEM データ アクセス ポリシーでは、データベースに対する不明なアクセス パスを追跡し、イベントを
リアルタイムで送信することができます。
•
511 ページの「トランザクション追跡ルールの追加、編集」
トランザクション追跡ルールは、データベース トランザクションと自動調整の変更、さらに取引実行の
ログ開始および終了、または開始およびコミット ステートメントを追跡して、クエリーの代わりにトラ
ンザクション別のレポートを作成します。
•
512 ページの「カスタム ADM、DEM、または相関ルールを管理する」
定義済みのルールをコピーして、カスタム ルールのテンプレートとして使用します。カスタム ルールを
追加する場合には、設定を編集し、コピーおよび貼り付けによって新しいカスタム ルールのテンプレー
トとして使用するか、削除することができます。
•
513 ページの「データベースの監査履歴のルールおよびレポートを設定」
[特権ユーザーの監査履歴] レポートでは、データベースに対する変更について監査履歴を表示し、また
特定のデータベース イベントに関連付けられているデータベースまたはテーブルに対するアクセスを追
跡できます。
502
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
関連トピック:
503 ページの「データベース ルール エディター」
503 ページの「相関ルール エディター」
504 ページの「一致コンポーネント ページ」
505 ページの「式のコンポーネント ページ」
データベース ルール エディター
データベース ルールを追加します。
表 10-17 オプションの定義
オプション
定義
[名前]
ルールを説明する名前を入力します。
[重大度]
重大度の設定を選択します。
[正規化 ID]
デフォルトの正規化 ID を変更します。
[タグ]
ルールが属するカテゴリーを定義するタグを選択します。
[タイプ]
このデータベース ルールのタイプを選択します。
[デフォルト アクション] このルールによってトリガーされるアラート アクションを選択します。
デフォルト アクションのリストにアクションを追加できます (「DEM アクションの追
加」を参照)。
[式のロジック] 領域
ルールのロジックを設定するには、論理要素とコンポーネントをこの領域にドラッグア
ンドドロップします。
[AND]、[OR] 論理要素
ルールのロジックを設定するには、それらを [式のロジック] 領域にドラッグアンドド
ロップします。
[式のコンポーネント] ア 論理要素の詳細を定義するには、アイコンをドラッグアンドドロップします。
イコン
[説明]
選択したときに、[ポリシー エディター] の説明領域に表示されるルールの説明を入力
します。
関連トピック:
502 ページの「カスタム ADM、データベース、または相関ルールを追加」
相関ルール エディター
相関ルールを作成します。
表 10-18 オプションの定義
オプション
定義
[名前]
ルールを説明する名前を入力します。
[重大度]
重大度の設定を選択します。
[正規化 ID]
デフォルトの正規化 ID を変更します。
[タグ]
ルールが属するカテゴリーを定義するタグを選択します。
[グループ別]
相関エンジンにイベントを追加したときに、イベントをグループ化するためのフィー
ルドのリストを作成します。
[相関ロジック] 領域
ルールのロジックを設定するため、この領域に論理要素とコンポーネントをドラッグ
アンドドロップします (「カスタム相関ルールの例」を参照)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
503
10
ポリシーとルールの管理
ルール タイプとプロパティ
表 10-18 オプションの定義 (続き)
オプション
定義
[パラメーター]
ルールおよびコンポーネントのインスタンスの再使用をカスタマイズします (「相関
ルールまたはコンポーネントにパラメーターを追加する」を参照)。
[AND]、[OR]、[SET] 論理 ルールのロジックを設定するには、それらを [相関ロジック] 領域にドラッグアンド
要素
ドロップします。
[一致コンポーネント]、[偏 論理要素の詳細を定義するには、コンポーネントをドラッグアンドドロップします。
差コンポーネント]、[ルー
ル/コンポーネント] アイコ
ン
[説明]
クリックしたときに、[ポリシー エディター] の説明領域に表示されるルールの説明
を追加します。
関連トピック:
502 ページの「カスタム ADM、データベース、または相関ルールを追加」
一致コンポーネント ページ
相関ルールのトリガーで照合されるフィルターと値を定義します。
表 10-19 オプションの定義
オプション
定義
[イベント]、
[フロー]
フィルターを適用するデータ タイプを選択します。両方を選択できます。
[追加]
このコンポーネントのフィルターを追加します。
[詳細オプシ [独立した値の
ョン]
数...]
特定のフィールドで特定の数の値が存在するときにコンポーネントをトリガーする
場合に選択します。
•
•
[独立した値] - [デフォルト値] アイコン
選択します。
をクリックして、発生する値の数を
[モニタリング対象フィールド] - [デフォルト値] アイコン
値が発生するフィールドを選択します。
をクリックして、
[このコンポー ゲート レベルの [時間ウィンドウ] フィールドで指定した期間内に一致が発生しな
ネントは次の場 い場合にのみコンポーネントをトリガーする場合に選択します。
合にのみトリガ
ーする]
[グループの上
書き条件]
相関ルール内のイベントをグループ化する条件をカスタマイズする場合に選択しま
す。特定のフィールドを基準にグループ化するルールを設定している場合、[グルー
プ別の上書きを設定する] ページで指定したフィールドと一致するようにコンポー
ネントの 1 つを上書きすることができます。[設定] をクリックして上書きフィー
ルドを設定します (『[グループ別] を上書きする』を参照)。
関連トピック:
502 ページの「カスタム ADM、データベース、または相関ルールを追加」
504
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
式のコンポーネント ページ
ADM または DEM データベース ルールの、式のコンポーネントの設定を定義します。
表 10-20 オプションの定義
オプション
定義
[Not]
選択した値を除外する場合に選択します。
[用語]
(ADM と DEM) この式のメトリックス参照を選択します。 DEM データベース ルールのオプショ
ンについては、「DEM ルール メトリックス参照」を参照してください。
[説明]
(ADM) このコンポーネントの説明を入力します。
[ディクショナ
リ]
(ADM) このルールで ESM 上にある ADM ディクショナリを参照する場合は、ドロップダウン リ
ストで選択します (「ADM ディクショナリ」を参照)。
[演算子]
関係演算子を選択します。
ADM
• 等しい =
• 以上 >=
• 等しくない !=
• 以下 <=
• より大きい >
• より小さい <
DEM データベース
• EQ - 等しい
• NB - 間以外
• BT - 間
• NE - 等しくない
• GE - 以上
• NGT - より大きくない
• GT - より大きい
• NLE - より小さくない
• LE - 以下
• REGEXP - 正規表現
• LT - 未満
[値を照合]
定義したパターンにいずれかの値が一致しているか、またはすべての値がパターンに一致している
場合にのみ、ルールをトリガーするかどうかを選択します。
[値]
(ADM) フィルターの条件にする変数を選択します。
• 変数アイコンがフィールドの横にある場合は、クリックして変数を選択してください。
• アイコンがない場合は、[有効な入力] フィールド内の指示に従って値を入力します。
(DEM) フィルターの条件にする値を入力してください。
[有効な入力]
[値] フィールドに入力できる値のヒントを表示します。
関連トピック:
502 ページの「カスタム ADM、データベース、または相関ルールを追加」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
505
10
ポリシーとルールの管理
ルール タイプとプロパティ
論理要素
Application Data Monitor (ADM)、データベース、相関ルールまたはコンポーネントを追加するときに、[式のロジ
ック] または [相関ロジック] を使用してルールのフレームワークを作成します。
要素
説明
AND コンピューター言語の論理演算子と同じように機能します。条件を true にするには、この論理要素
の下でグループ化されるものがすべて true になっている必要があります。この論理要素の下ですべ
ての条件が満たされてからルールがトリガーされるようにするには、このオプションを使用します。
OR
コンピューター言語の論理演算子と同じように機能します。この条件を true にするには、この要素
の下でグループ化される条件のうち 1 つのみが true である必要があります。1 つのみの条件が満た
されてからルールがトリガーされるようにするには、この要素を使用します。
SET 相関ルールまたはコンポーネントの場合、SET を使用すると条件を定義し、true の場合にルールをト
リガーする条件の数を選択できます。 たとえば、セット内に 3 つの条件があり、ルールのトリガー
にこの中の 2 つの条件を満たす必要がある場合、セットは 2/3 となります。
これらの要素ごとに、以下のオプションうち 2 つ以上が含まれたメニューがあります。
•
[編集] — デフォルト設定を編集できます (『論理要素のデフォルト設定を編集する』を参照)。
•
[論理要素を削除] — 選択した論理要素を削除できます。 子がある場合には論理要素は削除されず、階層の上位
に移動します。
これはルート要素 (階層内の最初の要素) には適用されません。 ルート要素を削除すると、すべての子も削除され
ます。
•
[論理要素とそのすべての子を削除] — 選択した要素とすべての子を階層から削除できます。
ルールのロジックを設定する場合は、コンポーネントを追加して、ルールの条件を定義する必要があります。相関ル
ールの場合は、実行されたルールまたはコンポーネントの動作を制御するパラメータを追加することもできます。
関連トピック:
346 ページの「フィールドの一致アラームを追加する」
506 ページの「論理要素を編集」
論理要素を編集
AND、OR、SET 論理要素にはデフォルト設定があります。これらの設定は、[論理要素を編集] ページで変更できま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
ルール エディターで、[式のロジック] または [相関ロジック] 領域に論理要素をドラッグ アンド ドロップしま
す。
編集する要素の [メニュー] アイコン
をクリックし、[編集] をクリックします。
設定を変更して、[OK] をクリックします。
関連トピック:
347 ページの「論理要素」
相関ルールまたは相関コンポーネントにパラメーターを追加
相関ルールまたは相関コンポーネントのパラメーターによって、ルールまたはコンポーネントが実行されたときの動
作を制御します。パラメーターは必須ではありません。
506
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[相関ルール] または [相関コンポーネント] ページで、[パラメーター] をクリックします。
2
[追加] をクリックし、パラメーターの名前を入力します。
3
このパラメーターのタイプを選択し、値を選択するか、値の選択を解除します。
[リスト] と [範囲] の値を同時に使用することはできません。リストの値には範囲を含めることができません(1–
6 8, 10, 13)。正しくは 1, 2, 3, 4, 5, 6, 8, 10, 13 のように記述します。
4
パラメーターのデフォルト値を選択するには、[デフォルト値エディター] アイコン
をクリックします。
5
パラメーターを外部から表示できないようにするには、[外部からの表示] の選択を解除します。パラメーターは、
ルールの範囲に対してローカルです。
6
このパラメーターの説明を入力します。この説明は、パラメーターを強調表示したときに、[ルール パラメータ
ー] ページの [説明] テキスト ボックスに表示されます。
7
[OK] をクリックし、[閉じる] をクリックします。
関連トピック:
507 ページの「[パラメーターを追加] ページ」
508 ページの「[値エディター] ページ」
508 ページの「[ルール パラメーター] ページ」
508 ページの「[ルール/コンポーネント] ページ」
[パラメーターを追加] ページ
相関ルールまたはコンポーネントで使用するパラメーターを追加します。
表 10-21 オプションの定義
オプション
定義
[名前]
パラメーターの名前を入力します。
[タイプ]
このパラメーターのタイプを選択します。
[可能な値]
このパラメーターに入力できる値を選択または選択解除します。[リスト] と [範囲] の値は同時
に使用できません。リストの値には範囲を含めることができません(1-6 8, 10, 13)。正しい書
き方は 1, 2, 3, 4, 5, 6, 8, 10, 13 となります。
[デフォルト値]
パラメーターのデフォルト値を選択するには、[デフォルト値エディター] アイコンをクリックし
ます。
[外部からの表
示]
パラメーターを外部から見えないようにするには、このオプションを選択解除します。そのよう
にすると、パラメーターはルールの適用範囲内に限定されます。
[説明]
パラメーターをクリックしたときに [ルール パラメーター] ページの [説明] ページに表示され
るこのパラメーターの説明を入力します。
関連トピック:
506 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
507
10
ポリシーとルールの管理
ルール タイプとプロパティ
[値エディター] ページ
選択した相関ルールのパラメーターを変更します。
表 10-22 オプションの定義
オプション
定義
テーブル
ルールのパラメーターを、現在の値およびデフォルト値とともにリストします。
[編集]
クリックして値を変更します。
[説明]
テーブルで選択したパラメーターを説明します。
[デフォルトをリストア]
クリックして、値をデフォルト設定にリストアします。
関連トピック:
506 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
[ルール パラメーター] ページ
相関ルールまたはコンポーネントのルール パラメーターは、実行時の動作を制御します。
表 10-23 オプションの定義
オプション 定義
[テーブル] 既存のパラメーターを表示します。新しいルールまたはコンポーネントの場合は、何もリストされませ
ん。
[追加]
ルールまたはコンポーネントの新しいパラメーターを追加します。
[編集]
既存のパラメーターの設定を変更します。
[削除]
パラメーターを削除します。
[説明]
選択したパラメーターの説明を表示します。
関連トピック:
506 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
[ルール/コンポーネント] ページ
[ルール/コンポーネント] ページには、相関ルールまたはコンポーネントから参照できるルールおよびコンポーネン
トがリストされます。
表 10-24 オプションの定義
オプション
定義
[テーブル]
参照するルールまたはコンポーネントを選択します。
[説明]
選択したルールまたはコンポーネントの説明を表示します。
関連トピック:
506 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
カスタム相関ルールまたは相関コンポーネントの例
相関ルールまたは相関コンポーネントを追加します。
この例で追加するルールでは、Windows システム内の 1 つのソースからのログイン試行が 5 回失敗したことを
ESM が検出したときにアラートが生成されます。その後全体で 10 分以内にログインが成功します。
508
1
[ポリシー エディター] の [ルール タイプ] ペインで、[相関] をクリックします。
2
[新規] を選択し、[相関ルール] を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
3
10
説明的な名前を入力し、重大度設定を選択します。
このルールによって生成されるイベントは、権限のないユーザーがシステムにアクセスした可能性を示します。適
切な重大度設定は 80 です。
4
正規化 ID を選択します。[認証] または [認証] 、 [ログイン] の順に選択し、次に [AND] 論理要素をドラッグ
アンド ドロップします。
必要なアクションのタイプが 2 つあるため、[AND] を選択します (ログイン試行に続いてログインに成功)。
5
[メニュー] アイコン
をクリックし、[編集] を選択します。
6
[シーケンス] を選択して、アクション (最初に 5 回のログイン試行失敗、次にログイン成功) が連続的に実行さ
れる必要があることを示し、シーケンスを発生させる回数を「1」に設定します。
7
アクションを実行する必要がある期間を設定し、[OK] をクリックします。
時間ウィンドウを必要とするアクションが 2 つあるため、10 分をそれら 2 つに分配する必要があります。この例
では、各アクションに 5 分が割り当てられています。5 分以内にログイン試行が失敗すると、システムは次の 5
分以内に同じ IP ソースからのログイン成功をリッスンします。
8
[グループ別] フィールドでアイコンをクリックし、[ソース IP] オプションを左から右に動かすことで、すべての
アクションが同じソース IP から実行される必要があることを示し、[OK] をクリックします。
9
このルールまたはコンポーネントのロジックを定義します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
509
10
ポリシーとルールの管理
ルール タイプとプロパティ
実行するには...
次のようにします...
目的のイベントを識別するフ 1
[フィルター] アイコン
を AND 論理要素にドラッグ アンド ドロップしま
ィルターのタイプを指定しま
す (この場合は、Windows
す。
システムに対する複数回のロ
2 [フィルター フィールドのコンポーネント] ページで、[追加] をクリックします。
グイン試行の失敗)。
3 [正規化ルール] 、 [In] の順に選択し、さらに次を選択します。
• [正規化]
• [ホスト ログイン]
• [認証]
• [Windows ホストへのログイン
試行失敗回数]
• [ログイン]
4 [OK ] をクリックします。
規定のログイン失敗回数とそ 1 [AND] 論理要素を [フィルター] バーにドラッグ アンド ドロップします。
の時間範囲を設定します。
5 回の試行が必要になるため、[AND] 要素が使用されます。この要素によって、
規定の発生回数と時間範囲を設定できます。
2
追加した [AND] 要素の [メニュー] アイコン
リックします。
をクリックして、[編集] をク
3 [しきい値] フィールドに [5] と入力し、既存の値を削除します。
4 [時間ウィンドウ] フィールドを [5] に設定します。
5 [OK] をクリックします。
発生する必要がある 2 つ目 1 [フィルター] アイコンを最初の [AND] 論理要素の角かっこ後にドラッグ アンド
のフィルター タイプ、つまり
ドロップします。
ログイン成功を定義します。
2 [一致コンポーネント] ページで [追加] をクリックします。
3 各フィールドで次を選択します。[正規化ルール] 、 [含む] の順に選択し、次を選
択します。
• [正規化]
• [認証]
• [ログイン]
• [ホスト ログイン]
4 [OK] をクリックして [一致コンポーネント] ページに戻ります。
5 「成功」を定義するには、[追加] をクリックし、[イベント サブタイプ] 、 [含む]
の順に選択して、[変数] アイコンをクリックします。[イベント サブタイプ] 、
[成功] 、 [追加] の順にクリックします。
6 [OK] をクリックして [ポリシー エディター] に戻ります。
[ポリシー エディター] の相関ルールのリストに、新しいルールが追加されます。
510
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
データ アクセス ルールを追加または編集
DEM データ アクセス ポリシーでは、データベースに対する不明なアクセス パスを追跡し、イベントをリアルタイ
ムで送信することができます。
アプリケーション開発者がアプリケーション ログオン ID を使用して実稼働システムにアクセスするなど、データベ
ース環境における一般的な違反は、適切なデータ アクセス ポリシーを作成することで簡単に追跡することができま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[DEM] 、 [データ アクセス]を選択します。
2
次のいずれかを行います。
3
•
新しいルールを追加するには、[新規] を選択し、[データ アクセス ルール] をクリックします。
•
ルールを編集するには、ルール表示ペインでルールを選択し、[編集] 、 [変更]をクリックします。
情報を入力して、[OK] をクリックします。
トランザクション追跡ルールの追加、編集
トランザクション追跡ルールは、データベース トランザクションと自動調整の変更、さらに取引実行のログ開始およ
び終了、または開始およびコミット ステートメントを追跡して、クエリーの代わりにトランザクション別のレポート
を作成します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[DEM] 、 [トランザクション追跡] を選択します。
2
次のいずれかを行います。
3
•
新しいルールを追加するには、[新規] をクリックして [トランザクション追跡ルール] をクリックします。
•
ルールを編集するには、ルール表示ペインでルールを選択してから、[編集] 、 [変更] をクリックします。
情報を入力して、[OK] をクリックします。
タスク
•
511 ページの「トランザクション追跡ルール ページ」
トランザクション追跡ルールを追加または編集します。
関連トピック:
511 ページの「トランザクション追跡ルール ページ」
トランザクション追跡ルール ページ
トランザクション追跡ルールを追加または編集します。
表 10-25 オプションの定義
オプション
定義
[タイプ]
このトランザクション追跡ルールのタイプを選択します。
[ルール名]
ルールの名前を入力します。名前は一意にし、説明的にする必要があります。英数字、アンダ
ースコア (_)、およびスペースのみを含めることができます。
[開始クエリー タ
グ]
データベース変更前に実行する SQL クエリーを入力します (例: spChangeControlStart)。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
511
10
ポリシーとルールの管理
ルール タイプとプロパティ
表 10-25 オプションの定義 (続き)
オプション
定義
[停止クエリー タ
グ]
データベース変更後に実行する SQL クエリーを入力します (例: spChangeControlEnd)。
[タグ]
[選択] をクリックし、このルールと関連付けるタグを選択してから [OK] をクリックします。
[正規化 ID]
デフォルトを変更するには、アイコン
[重大度]
重大度の設定を選択します。
[説明]
ルールの説明を入力します。
をクリックしてから、ID を選択します。
関連トピック:
511 ページの「トランザクション追跡ルールの追加、編集」
カスタム ADM、DEM、または相関ルールを管理する
定義済みのルールをコピーして、カスタム ルールのテンプレートとして使用します。カスタム ルールを追加する場
合には、設定を編集し、コピーおよび貼り付けによって新しいカスタム ルールのテンプレートとして使用するか、削
除することができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[ADM] または [DEM] 、 [データベース][データ アクセス]、または [トランザクシ
ョン追跡] を選択します。
2
次のいずれかを行います。
これを...
実行するには...
すべてのカスタム ADM 1 [フィルター/タグ付け] ペインで [フィルター] タブを選択します。
ルールまたは DEM ル
2 ペイン下部にある [詳細] バーをクリックします。
ールを表示
3 [元の場所] フィールドで [ユーザー定義] を選択します。
4 [クエリーを実行] をクリックします。
選択したタイプのカスタム ルールは、[ルールの表示] ペインにリストされています。
ルールをコピーして貼
り付ける
1 定義済みまたはカスタム ルールを選択します。
2 次をクリックします。[編集] 、 [コピー]
3 [編集] 、 [貼り付け] の順にクリックします。
コピーしたルールは、同じ名前で既存ルールのリストに追加されます。
4 名前を変更するには、[編集] 、 [変更] の順にクリックします。
カスタム ルールを変更
1 カスタム ルールを選択します。
2 [編集] 、 [変更] の順にクリックします。
カスタム ルールを削除
する
512
1 カスタム ルールを選択します。
2 [編集] 、 [削除] の順にクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
データベースの監査履歴のルールおよびレポートを設定
[特権ユーザーの監査履歴] レポートでは、データベースに対する変更について監査履歴を表示し、また特定のデータ
ベース イベントに関連付けられているデータベースまたはテーブルに対するアクセスを追跡できます。
このレポートを生成するパラメーターを設定すると、各イベントに関連する監査履歴が表示されたコンプライアンス
レポート通知を受け取ることができます。監査履歴イベントを生成するには、[データ アクセス] ルールと [特権ユー
ザーの監査履歴] レポートを追加する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[DEM] 、 [データ アクセス]を選択します。
2
ルール表示ペインで、[DEM - テンプレート ルール - 信頼されたユーザーによる IP 範囲からのアクセス] を強調
表示します。
3
次に、[編集] 、 [コピー]をクリックし、[編集] 、 [貼り付け]をクリックします。
4
新しいルールの名前とプロパティを変更します。
5
6
7
a
新しいルールを強調表示し、[編集] 、 [変更]を選択します。
b
ルールの名前を入力し、ユーザー名を入力します。
c
[信頼されていない] アクション タイプを選択し、[OK] をクリックします。
[ロールアウト] アイコン
をクリックします。
レポートを設定します。
a
[システムのプロパティ] で、[レポート] 、 [追加]をクリックします。
b
セクション 1 ~ 3、および 6 に入力します。
c
セクション 4 で、[PDF でレポートを作成] または [HTML でレポートを作成] を選択します。
d
セクション 5 で、[コンプライアンス] 、 [SOX] 、 [特権ユーザーの監査履歴(データベース)]を選択しま
す。
e
[保存] をクリックします。
レポートを生成するには、[今すぐ実行] をクリックします。
ESM ルール
ESM ルールは、ESM に関連するイベントを生成するために使用します。
このタイプのルールは、すべて McAfee によって定義されます。これらのルールは、ESM で発生した事項を示す、
コンプライアンス レポートまたは監査レポートを生成するために使用できます。これらのルールを追加、変更、また
は削除することはできません。ただし、プロパティ設定を変更することはできます(『ルール タイプとプロパティ』
を参照)。
正規化
ルールは、各ベンダーによって命名され記述されます。そのため、多くの場合は同じタイプのルールに異なる名前が
存在し、発生するイベントのタイプに関する情報収集が難しくなります。
McAfee では、イベントを使いやすいカテゴリーに分類できるように、ルールを記述する正規化 ID のリストをまと
めて、継続的に更新します。[ポリシー エディター] の [ルール タイプ] ペインで [正規化] をクリックすると、これ
らの ID、名前、および記述がリストされます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
513
10
ポリシーとルールの管理
デフォルトのポリシー設定
これらのイベント機能は、正規化 ID を使ってイベント情報を構成するためのオプションを提供します。
•
ビュー コンポーネント フィールド — [正規化イベント サマリー] は、円グラフ、棒グラフ、およびリスト コン
ポーネントでイベント クエリーのフィールドを定義するときのオプションです (「クエリーの管理」を参照)。
•
ビュー コンポーネント フィルター — 新しいビューを作成するとき、正規化 ID によってコンポーネント上のイ
ベント データをフィルターするために選択できます (「クエリーの管理」を参照)。
•
ビュー フィルター — [正規化 ID] は、ビュー フィルターのリストのオプションです (「ビューのフィルター」
を参照)。
•
ビュー リスト — [正規化イベント サマリー] ビューが、[イベント ビュー] のリストで使用できます。
[イベント分析] ビューの [詳細] タブに、リスト上に表示されるイベントの正規化 ID がリストされます。
新規または既存のビューに [正規化 ID] フィルターを追加するときに、次の操作を実行できます。
•
第 1 レベルのフォルダーで、すべての正規化 ID によってフィルターします。マスク (第 2 レベルのフォルダー
では /5) は ID の末尾にあり、選択されたフォルダーの子 ID によってもイベントがフィルターされることを示
します。
•
第 2 および第 3 レベルのフォルダー内の ID によってフィルターします。マスク (第 2 レベルのフォルダーで
は /12、第 3 レベルのフォルダーでは /18) は ID の末尾にあり、選択されたサブフォルダーの子 ID によって
イベントがフィルターされることを示します。第 4 レベルにはマスクがありません。
•
単一の ID によってフィルターします。
•
Ctrl または Shift キーを使って選択した複数のフォルダーまたは ID によって、一度にフィルターします。
パケットをコピー を有効にする
ルールで [パケットをコピー] を有効にすると、パケット データが ESM にコピーされます。 有効にすると、[内部
イベントの比較] または [フィールド一致] アラームのソース イベント データにパケット データが含まれます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、アクセスするルールのタイプをクリックし、[ルールの表示] ペインでルールを選択し
ます。
3
[パケットをコピー] 列で現在の設定をクリックします。デフォルトの設定は [オフ] です。[オン] をクリックし
ます。
デフォルトのポリシー設定
アラート専用モードまたはオーバーサブスクリプション モードで動作する、デフォルトのポリシーを設定できます。
ルール更新のステータスを表示し、更新を開始することもできます。
アラート専用モード
[アラート専用モード] では、ポリシーは Nitro IPS と仮想デバイスに適用できます。
[アラート専用モード] をオンにすると、[ドロップ] などのブロック アクションにルールが設定されている場合でも、
有効なすべてのルールがアラートの使用率と合わせてデバイスに送信されます。生成されたイベントを表示する場
合、[イベント サブタイプ] 列には、アクションが [アラート] としてリストされ、[アラート専用モード] でない場合
514
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
デフォルトのポリシー設定
10
は、[アラート - ドロップ] など、実行されるアクションが表示されます。これは、ネットワーク トラフィックのパ
ターンをまだ十分に把握できていないシステム管理者にとって有益です。イベントを能動的にブロックすることな
く、生成されたイベントを分析できるとともに、[アラート専用モード] をオフにした場合のアクションを確認できま
す。
[アラート専用モード] をオンにしても、[ポリシー エディター] の個々のルールで、個々の使用設定は変更されませ
ん。たとえば、このモードをオンにすると、[ポリシー エディター] でのアラートの使用方法が [ドロップ] に設定さ
れている場合でも、Nitro IPS または仮想デバイスにアラートの使用方法と合わせてルールが送信されます(例外と
して、[パス] に設定したルールはそのモードのままになります)。それによって、ポリシー設定に影響することなく、
[アラート専用モード] のオンとオフを簡単に切り替えることができます。[アラート専用モード] は、無効になって
いるルールには影響しません。[無効] に設定した場合、ルールはデバイスに送信されません。
関連トピック:
515 ページの「アラート専用モード を有効化」
アラート専用モード を有効化
有効なすべてのルールが、アラートの使用方法と合わせてデバイスに送信されるようにするには、[アラート専用モー
ド] 機能をオンにする必要があります。この設定には継承が適用されるため、このポリシーの設定は、継承する値を
上書きします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[設定] アイコン
2
をクリックします。
[アラート専用モード] フィールドで、[オン] を選択します。
タスク
•
515 ページの「[設定] ページ」
アラート専用モード、オーバーサブスクリプション モード、およびルールの更新の設定を定義します。
関連トピック:
514 ページの「アラート専用モード」
515 ページの「[設定] ページ」
[設定] ページ
アラート専用モード、オーバーサブスクリプション モード、およびルールの更新の設定を定義します。
表 10-26 オプションの定義
オプション
定義
[アラート専用モー ルールがドロップなどのブロッキング アクションに設定されている場合でも、アラートの使用
ド]
を伴うデバイスにすべての有効なルールを送信する場合に、オンにします。
[オーバーサブスク デバイスの容量を超えた場合のパケットの処理方法を定義します。
リプション モー
ド]
McAfee Enterprise Security Manager 9.6.0
製品ガイド
515
10
ポリシーとルールの管理
デフォルトのポリシー設定
表 10-26 オプションの定義 (続き)
オプション
定義
[ルールの更新]
自動のルール更新を設定したり、更新を手動で取得したり、ルールの更新のダウンロードに使
用される認証情報を更新します。
[ステータス]
ポリシー ツリー上のデバイスの更新ステータス サマリーを表示します。
• [最新の状態] — 前回ポリシーがデバイスにロールアウトされてから、[ポリシー エディタ
ー] で変更が行われていません。
• [最新の状態ではない] — 前回ポリシーがロールアウトされてから変更が行われました。
• [自動ロールアウト] — 特定の日時で自動的にロールアウトするようにポリシーがスケジュ
ールされていることを示します。
関連トピック:
515 ページの「アラート専用モード を有効化」
オーバーサブスクリプション モードの設定
[オーバーサブスクリプション モード] では、デバイスの容量を超えた場合のパケットの処理方法を定義します。ど
の場合も、パケットはイベントとして記録されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[設定] アイコン
をクリックします。
2
[オーバーサブスクリプション モード] フィールドで、[更新] をクリックします。
3
[値] フィールドで機能を入力します。
4
a
パス(pass または 1)は、破棄されるパケットをスキャンなしで通過させます。
b
ドロップ(drop または 0)は、デバイスの容量を超えたパケットをドロップします。
c
イベントを生成せずにパケットをパスまたはドロップするには、spass または sdrop と入力します。
[OK] をクリックします。
バージョン 8.1.0 時点での [オーバーサブスクリプション モード] の変更は、デバイスおよびデバイスの子(仮想
デバイス)すべてに影響が及びます。この変更を適用するには、親デバイス上でモードを変更する必要がありま
す。
デバイスのポリシー更新ステータスを表示
ESM 上の全デバイスのポリシー更新ステータス サマリーを表示します。
これは、いつシステムに更新をロールアウトする必要があるかを判断するときに役立ちます。
516
McAfee Enterprise Security Manager 9.6.0
製品ガイド
10
ポリシーとルールの管理
ルールの操作
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[設定] アイコン
をクリックします。
2
[ステータス] フィールドに、最新のデバイス、旧式のデバイス、および自動ロールアウト用に予定されているデ
バイスの数を表示します。
3
[閉じる] をクリックします。
ルールの操作
ルールに対しては、管理して必要な情報を生成するためにいくつかの操作を実行できます。
ルールの管理
[ADM]、[DEM]、[詳細なパケット検査]、[アドバンスド Syslog パーサー]、[相関] ルールの表示、コピー、貼り付
けを実行できます。これらのタイプのカスタム ルールを変更または削除できます。標準ルールは変更できますが、新
しいカスタム ルールとして保存する必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、操作するルールのタイプを選択します。
2
次のいずれかを行います。
処理
操作
カスタム ル
1 [フィルター/タグ付け] ペインで [フィルター] タブを選択します。
ールを表示す
2 ペイン下部にある [詳細] バーをクリックします。
る
3
[元の場所] フィールドで [ユーザー定義] を選択して、[クエリーを実行]
ます。
をクリックし
ルールをコピ 1 定義済みまたはカスタム ルールを選択します。
ーして貼り付
2 次に、[編集] 、 [コピー] を選択して、[編集] 、 [貼り付け] を選択します。
ける
コピーしたルールは、同じ名前で既存ルールのリストに追加されます。
3 名前を変更するには、[編集] 、 [変更] を選択します。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
517
10
ポリシーとルールの管理
ルールの操作
処理
操作
ルールを変更 1 表示するルールを強調表示して、[編集] 、 [変更] を選択します。
する
2 設定を変更して、[OK] をクリックします。カスタム ルールの場合は、変更内容が保存されま
す。標準ルールの場合は、新しいカスタム ルールとして変更を保存するように促されます。
[はい] をクリックします。
ルールの名前を変更しなかった場合は、名前が同じで sigID が異なるルールが保存されます。ル
ールを選択してから、[編集] 、 [変更] を選択して、名前を変更することもできます。
カスタム ル
• カスタム ルールを選択します。
ールを削除す
• 次に、[編集] 、 [削除] を選択します。
る
関連トピック:
469 ページの「[ポリシー エディター] ページ」
[ポリシー エディター] ページ
デバイスのポリシー設定を定義します。
表 10-27 オプションの定義
オプション
定義
メニュー バー
このバー上のアイテムにカーソルを移動して、使用できるいずれかのオプションを選択しま
す。オプションは、ルール タイプまたは選択したルールに応じて変わります。
パンくずナビゲーシ [ポリシー ツリー] アイコンは、ESM 上ですべてのポリシーのリストを開きます。パンくず
ョン バー
リストは、どのポリシーで作業しているかを示します。
[ルール タイプ] ペ
イン
このペインでいずれかのルール タイプをクリックすると、[ルールの表示] ペインにそのタイ
プのルールが表示されます。
[ルールの表示] ペ
イン
ペインの下部に説明を表示したり、メニュー バーまたは [ルールの表示] ペインの列で使用可
能ないずれかのアクションを実行するには、ルールをクリックします。
タグ検索フィールド 検索するタグの名前を入力し、一致する可能性のあるタグのリストからタグを選択します。
[フィルター/タグ付 [フィルター] タブで、[ルールの表示] ペイン内でルールをアルファベット順または日時順で
け] ペイン
ソートするとともに、リストをフィルターして、選択した条件を満たすルールのみを表示でき
るようにします。[タグ] タブで、[ルールの表示] ペインで選択したルールにタグを追加し、
タグによってルールをフィルターできるようにします。カスタム タグおよびタグ カテゴリ
ーを追加、編集、削除できます。
[アラームを作成]
アイコン
選択したルールによってイベントが生成されたときに通知されるようにアラームを追加しま
す。
[重大度の加重] ア
イコン
資産、タグ、ルール、脆弱性の重大度を設定し、イベントの重大度を計算するときに使用でき
るようにします。
[ビュー ポリシーの 現在のポリシーに対して行われた変更のリストを表示およびエクスポートします。
変更履歴] アイコン
[設定] アイコン
アラート専用モードおよびオーバーサブスクリプション モードの設定を定義し、McAfee サ
ーバーからルールを更新し、ポリシー ツリー上でデバイスの更新ステータス サマリーを表示
します。
[ロールアウト] ア
イコン
ポリシー変更を ESM にロールアウトします。
関連トピック:
467 ページの「ポリシー ツリー でポリシーを管理する」
517 ページの「ルールの管理」
518
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルールの操作
10
ルールのインポート
別の ESM からエクスポートされたルール セットをインポートして、自分の ESM に保存できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、インポートするポリシーまたはルールのタイプを選択しま
す。
2
次に、[ファイル] 、 [インポート] をクリックして、[ルール] を選択します。
これらの変更は追跡されないため、元に戻すことはできません。
3
[ルールをインポート] をクリックしてインポートするファイルを参照し、[アップロード] を選択します。
ファイルが ESM にアップロードされます。
4
[ルールをインポート] ページで、インポートするルールの ID が既存ルールの ID と同じ場合に実行するアクシ
ョンを選択します。
5
[OK] をクリックし、競合する場合は解決してルールをインポートします。
ファイルのコンテンツが確認され、選択したファイルのコンテンツに応じて、対応するオプションが有効または無効
にされます。
関連トピック:
519 ページの「相関ルールをインポートする場合の競合」
519 ページの「[ルールをインポート] ページ」
[ルールをインポート] ページ
カスタム ルール セットをインポートして、ESM に保存します。
表 10-28 オプションの定義
オプション
定義
[ルールをインポート]
クリックしてルール ファイルを選択し、ESM へアップロードします。
[既存のルールを上書き]
インポート時に競合がある場合、既存のルールを削除し、インポートされるポリ
シーの一部であるルールで上書きするにはこれを選択します。
[競合が存在する場合は新しいル インポート時に競合がある場合、両方のルールを維持し、インポートしたルール
に新しい ID を作成するときにこれを選択します。
ールを作成]
[すでにルールが存在する場合は インポート時に競合がある場合、既存のルールを維持し、競合するルールをイン
ポートしないときにこれを選択します。
そのルールをスキップ]
関連トピック:
519 ページの「ルールのインポート」
相関ルールをインポートする場合の競合
相関ルールをエクスポートすると、ルール データが含まれたファイルが作成されます。ただしこれには、変数、ゾー
ン、ウォッチリスト、カスタム タイプ、資産など、このルールが使用する参照アイテムは含まれません。
エクスポート ファイルが別の ESM にインポートされた場合に、インポートを行うシステムに存在しないルールに含
まれる参照アイテムがあると、ルールの競合が発生します。たとえば、あるルールが変数 $abc を参照し、インポー
トを行う $abc という名前のシステムで変数が定義されていない場合、その状態は競合になります。競合は記録さ
れ、競合するルールにフラグが付けられます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
519
10
ポリシーとルールの管理
ルールの操作
競合を解決するには、必要な参照アイテムを(手動、または可能な場合はインポートによって)作成するか、相関ル
ールを編集してルール内の参照を変更します。
競合するルールがある場合は、インポート プロセスの直後に、競合しているルールまたは失敗したルールを示すペー
ジが表示されます。そのページからルールを編集して競合を解決するか、ページを閉じることができます。競合する
ルールには、ステータスを示す感嘆符アイコンによってフラグが付けられます。競合するルールをルール エディター
で編集すると競合ボタンが表示されます。これをクリックすると、そのルールの競合の詳細が表示されます。
関連トピック:
519 ページの「ルールのインポート」
変数をインポート
変数のファイルをインポートして、それらのタイプを変更できます。競合が発生した場合、新しい変数は自動的に名
前が変更されます。
開始する前に
インポートするファイルを設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[変数] をクリックします。
2
次に[ファイル] 、 [インポート] 、 [変数]をクリックし、変数のファイルを参照して [アップロード] をクリック
します。
ファイルに競合やエラーがある場合は、[インポート - エラー ログ] ページが開き、それぞれの問題が通知されま
す。
3
[変数をインポート] ページで [編集] をクリックし、選択した変数の [タイプ] を変更します。
4
[OK] をクリックします。
ルールのエクスポート
カスタム ルールまたはポリシーのすべてのルールをエクスポートして、別の ESM にインポートします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、エクスポートするルールのタイプを選択します。
2
選択したタイプのカスタム ルールのリストにアクセスします。
a
[フィルター/タグ付け] ペインで、[フィルター] タブが選択されていることを確認します。
b
ペイン下部にある [詳細] バーをクリックします。
c
[元の場所] ドロップダウン リストで、[ユーザー定義] を選択します。
d
3
520
[クエリーを実行] アイコン
をクリックします。
エクスポートするルールを選択して、[ファイル] 、 [エクスポート] 、 [ルール] の順にクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルールの操作
4
[ルールをエクスポート] ページで、ルールのエクスポート時に使用するフォーマットを選択します。
5
[ダウンロード] ページで [はい] をクリックして場所を選択してから、[保存] をクリックします。
10
Microsoft Excel で csv ファイルを開くと、UTF-8 文字が正しく表示されない場合があります。 この問題を解決
するには、Excel で [テキスト インポート ウィザード] を開いて、[区切り文字] に [カンマ] を選択します。
自動ブラックリストへのルールの設定
自動ブラックリストにルールをマークできます。定義した条件を満たした場合に攻撃者の IP アドレスまたは IP ア
ドレスとポートがブラックリストに追加されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] を展開してルールのタイプを選択します。たとえ
ば、ウイルス ルールを自動ブラックリストに設定するには、[詳細なパケット検査] を選択します。
2
[フィルター/タグ付け] ペインの [フィルター] タブでフィルターを選択します。前の例の場合は、[ウイルス] を
選択します。
3
[更新] アイコンをクリックします。
フィルタリングされたルールが、ルール表示領域に一覧表示されます。
4
5
6
[ブラックリスト] 列のヘッダーをクリックするか、リストのルールを選択して、[IP] または [IP とポート] をク
リックします。
右上隅の [ロールアウト] アイコン
閉じます。
をクリックして変更をロールアウトしたら、[ポリシー エディター] を
システム ナビゲーション ツリーの Nitro IPS または仮想デバイスを選択して、[プロパティ] アイコン
リックします。
7
[ブラックリスト] をクリックして、[設定] をクリックします。
8
[自動ブラックリスト設定] ページで設定を定義して、[OK] をクリックします。
をク
既存ルールのフィルタリング
[ポリシー エディター] でルール タイプを選択する際、デフォルトでは選択したタイプのすべてのルールがアルファ
ベット順に一覧表示されます。時間順に一覧表示したり、ルールをフィルタリングするタグを使用して条件に一致す
るルールのみを表示したりできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、フィルタリングするルールのタイプを選択します。
2
[フィルター/タグ付け] ペインで [フィルター] タブが選択されていることを確認します。
3
次のいずれかを行います。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
521
10
ポリシーとルールの管理
ルールの操作
処理
操作
複数タグを使用してフィ •
ルタリングする
カテゴリまたはタグを選択して、[クエリーを実行] アイコン
す。
をクリックしま
すべてのフィルターに一致するルールのみ表示されます。
選択したフィルターのい 1 複数のカテゴリまたはタグを選択します。
ずれかに一致するルール
2 [または] アイコンをクリックしてから、[クエリーを実行] アイコンをクリックし
を表示する
ます。
継承 ([アクション]、[重大度]、[ブラックリスト]、[集計]、[パケットをコピー])
の影響を受けているフィールドは、[または] アイコンを使用してフィルタリング
することはできません。
特定のタグを検索する
1 [検索するタグをここに入力してください] フィールドにタグの名前を入力します。
2 オプションのリストから必要なタグを選択します。
ルールを作成時間順に一 • ツールバーの [時間でソート] アイコン
覧表示する
イコンをクリックします。
をクリックして、[クエリーを実行] ア
ルールをアルファベット •
ツールバーの [名前でソート] アイコン
順に一覧表示する
イコンをクリックします。
をクリックして、[クエリーを実行] ア
フィルタリングをクリア • ルール表示ペインのタイトル バーにあるオレンジ色のフィルター アイコン
する
クリックします。
を
フィルターがクリアされ、ルール表示ペインにすべてのルールが再表示されます。
フィルター タグをクリ
アする
• ツールバーの [すべてクリア] アイコン
をクリックします。
タグはクリアされますが、ルール リストはフィルタリングされたままです。
シグネチャ ID でフィル 1 [フィルター] ペインの下部にある [詳細] バーをクリックします。
タリングする
2 シグネチャ ID を入力して、[クエリーを実行] アイコンをクリックします。
名前または説明でフィル 1 [詳細] ペインで、名前または説明を入力します。
タリングする
2 結果を大文字と小文字を区別せずに表示するには、大文字と小文字を区別しないア
をクリックします。
イコン
デバイス タイプ、正規化 1
[詳細] ペインで、[フィルター] アイコン
をクリックします。
ID またはアクションで
フィルタリングする
2 [フィルター変数] ページで、変数を選択します。
ルール タイプのポリシ • [詳細] ペインで [例外を表示] を選択して、[クエリーを実行] アイコンをクリック
ーベースの設定とその直
します。
接の親の差異を比較する
重大度、ブラックリスト、 • 各フィールドのドロップダウンリストからフィルターを選択します。
集計、パケットをコピー、
元の場所、ルール ステー
タスをフィルタリングす
る
522
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルールの操作
10
処理
操作
カスタム ルールのみ表
示する
• [詳細] ペインの [元の場所] フィールドで [ユーザー定義] を選択して、[クエリー
を実行] アイコンをクリックします。
指定期間内に作成された 1 [詳細] ペインの [時刻] フィールドの横のカレンダー アイコンをクリックします。
ルールを表示する
2 [カスタム時間] ページで開始時間と終了時間を選択して [OK] をクリックし、[ク
エリーを実行] アイコンをクリックします。
ルールのシグネチャの表示
McAfee オンライン シグネチャ データベースにアクセスすると、ルールのシグネチャに関する情報を表示できます。
このオプションは、ファイアウォール、詳細なパケット検査、データ ソース ルールに使用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、表示するルールのタイプを選択します。
2
ルール表示ペインでルールを選択します。
3
[操作] をクリックして、[リファレンスを参照] を選択します。
[NTAC 脆弱性サマリー] 画面がブラウザーに表示されます。
4
シグネチャのサマリーを表示するには、画面の [シグネチャ] セクションのリンクをクリックします。
ルールの更新の取得
Nitro IPS または仮想デバイスがネットワーク トラフィックの調査に使用するルール シグネチャは、McAfee シグ
ネチャ チームが常時更新しており、セントラル サーバーからダウンロードできます。これらのルール更新は自動ま
たは手動で取得できます。
タスク
ルールをサーバーから取得する際に実行するアクションの上書きを設定するには、『ダウンロードしたルールの上書き
アクション』を参照してください。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[設定] アイコン
をクリックします。
2
[ルールの更新] 行で、[更新] をクリックします。
3
更新を自動的に取得するように ESM を設定するか、今すぐ更新をチェックします。
4
更新を手動でダウンロードした場合は、[ロールアウト] アイコン
5
をクリックして更新を適用します。
手動更新を表示するには、以下の処理を実行します。
a
[フィルター/タグ付け] ペインで、[詳細] バーをクリックします。
b
[ルール ステータス] フィールドで、[更新済み]、[新規] または [更新済み/新規] を選択して、表示する更新
済みルールのタイプを指定します。
c
[クエリーを実行] アイコン
McAfee Enterprise Security Manager 9.6.0
をクリックします。
製品ガイド
523
10
ポリシーとルールの管理
ルールの操作
追加されたルールには星型
、変更されたルールには感嘆符
のアイコンが表示されます。
関連トピック:
524 ページの「[ルールの更新] ページ」
[ルールの更新] ページ
McAfee サーバーからルール シグニチャを取得するための設定を定義します。
表 10-29 オプションの定義
オプション
定義
[自動確認間隔] 更新を自動的に取得できるように ESM を設定する場合に選択します。ルールを初めて更新する
場合、[カスタマー検証] ページが開きます。カスタマー ID とパスワードを入力し、[検証] を選
択します。
その情報を忘れてしまった場合は McAfee サポートにお問い合わせください。
[時間]、[分]
システムが更新を確認する頻度を選択します。
[今すぐ確認]
ルールの更新を確認し、今すぐダウンロードします。
[手動更新]
アップロードする更新ファイルを選択する場合に、これをクリックします。
[認証情報]
クリックして、McAfee から与えられた認証情報を追加します。
関連トピック:
523 ページの「ルールの更新の取得」
更新されたルール ステータスのクリア
ルールが変更またはシステムに追加される場合。更新内容を確認できる段階になったら、これらのマークをクリアで
きます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、クリアするルールのタイプを選択します。
2
次のいずれかを行います。
処理
操作
ルール ステータ 1 [操作] をクリックして、[更新されたルール ステータスをクリア] を選択します。
スのすべてのマー
2 [すべて] をクリックします。
クをクリアする
選択したルールを 1 [フィルター/タグ付け] ペインで、[詳細] バーをクリックします。
クリアする
2 [ルール ステータス] フィールドで、[更新済み]、[新規] または [更新済み/新規] を選択
して、クリアするマーク タイプを指定します。
3
[クエリーを実行] アイコン
をクリックします。
選択したマークが付いたルールが、ルール表示ペインに一覧表示されます。
4 クリアするルールを選択します。
5 次に、[操作] 、 [更新されたルール ステータスをクリア] 、 [選択済み] をクリックしま
す。
524
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ルールの操作
10
ルール ファイルの比較
Nitro IPS、Receiver、ADM、DEM ルール ファイルのポリシーの状態(適用済み、現在、ロールバック、ステージ
ング)を比較できます。
これは、現在のポリシーをデバイスに適用した場合の影響を確認する場合に役立ちます。 この例の場合は、現在のル
ールと適用するルールを比較します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
3
システム ナビゲーション ツリーで、Nitro IPS、Receiver、ADM または DEM デバイスをクリックします。
アクション ツールバーの [ポリシー エディター] アイコン
を比較] をクリックします。
をクリックして、[ツール] 、 [ルール ファイル
[ルール ファイルを比較] ページで変更を行い、[比較] をクリックします。
結果ファイルの両方が 15.5 MB より小さい場合、これらのファイルは [ルール ファイルを比較] テーブルに表示さ
れます。 いずれかのファイルがこのサイズよりも大きい場合、両方のファイルをダウンロードするように指示されま
す。
ルールの変更履歴の表示
変更、更新、システムに追加されたルールと各ルールの最新バージョンを表示できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[ツール] 、 [ルールの変更履歴] をクリックします。
2
[ルール履歴] ページで、ルールの変更内容を表示するか、[ルールのバージョン] タブをクリックして各ルールの
最新バージョンを表示します。
3
[閉じる] をクリックします。
関連トピック:
525 ページの「[ルール履歴] ページ」
[ルール履歴] ページ
ルールに対する変更またはルールの最新バージョンを表示します。
表 10-30 オプションの定義
オプション
定義
[ルールの変更履
歴]
最近のルール変更を表示します。各エントリには、ルールのサマリーと、ルールが更新された
りシステムに追加された日付が示されます。
[ルールのバージ
ョン]
システム上でルールが分類された各デバイスの最新のタイム スタンプを表示します。これに
より、管理およびコンプライアンス規制に関連する各ルールのバージョンを特定できます。デ
フォルトでは、デバイス タイプは名前のアルファベット順でソートされます。これをタイム
スタンプによってソートするには、[バージョン] 列ヘッダーをクリックします。
[すべて表示]
[ルールの変更履歴] タブでクリックして、最近の変更だけでなくすべてのルール変更のリスト
を生成します。
関連トピック:
525 ページの「ルールの変更履歴の表示」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
525
10
ポリシーとルールの管理
ルールの操作
ルールの新しいウォッチリストの作成
ウォッチリストは、イベントで発生した際に通知されるように、フィルターまたはアラーム条件として使用できる特
定の情報をグループ化したリストです。グローバルなウォッチリストと ESM ユーザーまたはグループに固有なウォ
ッチリストがあります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択して、このウォッチリストに設定す
るルールを選択します。
2
[操作] をクリックして、[新しいウォッチリストを作成] を選択します。
[ウォッチリストを追加] ページに、選択したルールが一覧表示されます。
3
名前を入力して、[静的] ラジオ ボタンが選択されていることを確認します。
動的ウォッチリストを追加するには、「新しいウォッチリストの追加」を参照してください。
4
このウォッチリストでウォッチするデータのタイプを選択して、割り当て先を選択します。
管理者特権があるユーザーは、システムの任意のユーザーまたはグループにウォッチリストを割り当てることがで
きます。管理者特権がない場合は、自分または所属しているグループにのみウォッチリストを割り当てることがで
きます。
5
ウォッチリストにさらに値を追加するには、以下の方法で追加できます。
•
改行区切り値形式のファイルをインポートするには、[インポート] をクリックしてファイルを選択します。
•
個々の値を追加するには、[値] ボックスに 1 行につき 1 つの値を入力します。
値の最大数は 1000 です。
6
イベントが生成される際にウォッチリストの値が含まれるアラームを受信するには、[アラームを作成] をクリッ
クします。
7
[OK] をクリックします。
ウォッチリストへのルールの追加
ウォッチリストを作成した後、ルール値の追加が必要になる場合があります[ウォッチリストに追加] オプションを使
用して追加できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択します。
2
ルール表示ペインでウォッチリストに追加するルールを選択します。
3
[操作] メニューをクリックして、[ウォッチリストに追加] を選択します。
4
ルールを追加するウォッチリストを選択して [OK] をクリックします。
関連トピック:
527 ページの「[ウォッチリストに追加] ページ」
526
McAfee Enterprise Security Manager 9.6.0
製品ガイド
10
ポリシーとルールの管理
ルールまたは資産へのタグの割り当て
[ウォッチリストに追加] ページ
Add values to an existing watchlist.
表 10-31 オプションの定義
オプション
定義
上のテーブル
ウォッチリストに追加する、選択したルールの値をリストします。
下のテーブル
値を追加するウォッチリストを選択します。
関連トピック:
526 ページの「ウォッチリストへのルールの追加」
ルールまたは資産へのタグの割り当て
タグをルールに割り当てて、属性を示し、タグでルールをフィルタリングできます。ESM には定義済みのタグ セッ
トがありますが、新しいタグと新しいタグ カテゴリを追加できる機能も提供されます。
[タグ] タブは変数、プリプロセッサまたは正規化のルール タイプには使用できません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、タグ付けするルールのタイプを選択します。
2
[フィルター/タグ付け] ペインで [タグ] タブをクリックします。
3
次のいずれかを行います。
処理
操作
新しいタグ カ 1
[新しいカテゴリ タグ] アイコン
テゴリを追加
する
2 カテゴリの名前を入力します。
をクリックします。
3 このタグをイベント重大度の計算に使用するには、[イベントの重大度の計算にタグを使用]
を選択して、[OK] をクリックします。
ベース タグのカテゴリが追加されます。このカテゴリの下に新しいタグを追加できます。
新しいタグを
追加する
1
タグを追加するカテゴリをクリックしてから、[新しいタグ] アイコン
す。
をクリックしま
2 タグの名前を入力します。
3 このタグをイベント重大度の計算に使用するには、[イベントの重大度の計算にタグを使用]
を選択して、[OK] をクリックします。
既存のカテゴ
リまたはタグ
を編集する
1
編集するカテゴリまたはタグをクリックしてから、[タグを編集] アイコン
ます。
をクリックし
2 名前または設定を変更して、[OK] をクリックします。
カスタム タグ 1
削除するタグを強調表示して、[タグを削除] アイコン
を削除する
2 [はい] をクリックして確認します。
McAfee Enterprise Security Manager 9.6.0
をクリックします。
製品ガイド
527
10
ポリシーとルールの管理
集計設定を変更
タスク
•
528 ページの「[タグの選択] ページ」
ルールを追加するときにカテゴリーを定義するタグを選択します。
[タグの選択] ページ
ルールを追加するときにカテゴリーを定義するタグを選択します。
表 10-32 オプションの定義
オプション
定義
検索フィールド 特定のタグを検索する場合は、そのタグをフィールドに入力し、一致する可能性のあるタグのリス
トから選択します。
タグのテーブル システムで使用できるタグを表示し、検索します。
集計設定を変更
集計されたイベントは、一致するフィールドがあるイベントです。
集計はデフォルトで選択されています。各デバイスの [イベント集計] ページでは、デバイスで生成されたすべての
イベントで使用する集計のタイプを選択できます。集計設定は、個々のルールごとに変更できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択します。
2
集計設定を変更するルールを選択します。
3
ツールバーの [操作] をクリックして、[集計設定を変更] を選択します。
4
[フィールド 2] および [フィールド 3] ドロップダウン リストから、集計するフィールド タイプを選択します。
選択するフィールドは、タイプが異なっていないとエラーが発生します。
5
[OK] をクリックして設定を保存します。
6
デバイスの集計方法に影響する変更を行った場合は、変更をロールアウトするかどうかを尋ねられます。次の手
順を実行します。
a
[はい] をクリックします。
[集計例外のロールアウト] ページに、その変更の影響を受けたデバイスのステータスが表示されます。最新の
状態ではないデバイスのすべてがチェックされます。
b
必要に応じて、変更を適用しないデバイスのチェックマークを外します。
c
[OK] をクリックすると変更がロールアウトされます。
[ステータス] 列には、変更のロールアウトに応じて更新のステータスが反映されます。
関連トピック:
529 ページの「[集計設定を変更] ページ」
528
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ダウンロードしたルールの上書きアクション
10
[集計設定を変更] ページ
個別ルールの集計の全般設定に例外を作成します。
表 10-33 オプションの定義
オプション
定義
[フィールド 2 ]および [フィール
ド 3]
集計するフィールド タイプを選択します。これらは異なるタイプにします。
レベル 1、レベル 2、レベル 3 の集計の説明は、選択内容に応じて変わりま
す。
関連トピック:
528 ページの「集計設定を変更」
529 ページの「新しいルールの設定 ページ」
530 ページの「[上書きを追加] ページ」
ダウンロードしたルールの上書きアクション
McAfee のセントラル サーバーからルールをダウンロードしたときは、それらにデフォルトのアクションが割り当て
られています。
ダウンロードしたときに選択するルール タイプの上書きアクションを定義できます。上書きアクションを定義して
いない場合、ルールはデフォルトのアクションを適用します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で [ツール] をクリックし、[新しいルールの設定] を選択します。
[新しいルールの設定] ページには、[デフォルト ポリシー] に存在する上書きがリストされます。
2
上書きアクション設定を行って、[閉じる] をクリックします。
新しいルールの設定 ページ
ルールには、セントラル サーバーからダウンロードされたときに実行されるアクションがデフォルトで設定されてい
ます。 選択したルールのデフォルトの設定に上書きアクションを設定できます。
表 10-34 オプションの定義
オプション
定義
[ポリシー]
上書きを適用するルールのポリシーを選択します。
テーブル
選択したポリシーの既存の上書きを表示します。
[追加]
選択したポリシーに上書きを追加します。
[編集]
選択した上書きの設定を変更します。
[削除]
選択した上書きを削除します。
関連トピック:
529 ページの「[集計設定を変更] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
529
10
ポリシーとルールの管理
重大度の加重
[上書きを追加] ページ
ダウンロードしたルールの上書きアクションを定義します。
表 10-35 オプションの定義
オプション
定義
タグのリスト
この上書きを適用するルールに割り当てるタグを選択します。
たとえば、すべてのフィルター ルールのアクションを AOL タグで上書きするには、タグ
リストで [最新の脅威] 、 [AOL] の順にクリックして、[ルール タイプ] フィールドで
[フィルター] を選択します。
[ルール タイプ] フィー この上書きを適用するルール タイプを選択します。
ルド
[ルール アクション]
上書きを有効にしたり、このる 0 るとタグを無効にした場合でも、このルールとタグにデ
フォルトの設定を使用するときに選択します。
[重大度]
この上書きの重大度を選択します。 デフォルトは 0 です。
[ブラックリスト]、[集
計]、[パケットをコピ
ー]
この上書きの設定を選択します。 これらのオプションの設定を上書きしない場合には、
[デフォルト] の設定を使用します。
関連トピック:
529 ページの「[集計設定を変更] ページ」
重大度の加重
イベント重大度は、資産、タグ、ルール、脆弱性に設定された重大度の加重に基づいて計算されます。
4 つの重大度はそれぞれ、最終計算で加重されます。4 つの重大度にそれぞれの加重を乗算した合計値が最終計算値
になります。[重大度の加重] ページには、資産、タグ、ルール、脆弱性のグループに関連付けられた加重が表示され
ます。設定の合計が 100 になる必要があります。1 つの設定を変更すると、その他の設定の一部またはすべてが影
響を受けます。次に、重大度の各タイプの説明を示します。
重大
度タ
イプ
説明
資産
資産は IP アドレスです。場合によってはゾーン内のアドレスです。イベントの資産重大度は、以下のよう
に決定されます。
1 すべての資産に対して、宛先 IP アドレスとイベントの宛先ゾーンが比較されます。一致が見つかると、
その資産の重大度が、このイベントの資産重大度として使用されます。
2 宛先 IP アドレスと宛先ゾーンの一致が見つからない場合は、すべての資産に対して、ソース IP アドレ
スとイベントのソース ゾーンが比較されます。ソース IP アドレスとソース ゾーンの一致が見つかった
場合、資産の重大度がこのイベントの資産重大度として使用されます。
3 一致が見つからなかった場合、資産重大度はゼロです。
530
タグ
タグ重大度は、McAfee とユーザー定義タグの両方を使用して計算されます。タグを重大度の計算に使用す
る場合、イベントのルールと資産の両方に設定する必要があります。ルールまたは資産に定義されているタ
グがない場合、または資産の一致がない場合、タグ重大度はゼロです。タグ重大度を計算するには、一致ル
ールと資産タグの数に 10 を乗じます。タグ重大度は 100 に制限されます。
ルー
ル
ルール重大度は、計算時にイベントに設定される重大度です。[ポリシー エディター] で設定されるイベン
トのルール重大度と、イベントのコレクターに設定されたデータ エンリッチメントに基づきます。
脆弱
性
VA SVE 情報がイベントの資産とルールに使用できる場合、資産とルール VA SVE がすべて一致する最大
の重大度が脆弱性重大度に使用され、その他はゼロが使用されます。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
ポリシーの変更履歴の表示
10
関連トピック:
531 ページの「重大度の加重の設定」
重大度の加重の設定
資産、タグ、ルール、脆弱性の重大度は、イベント重大度の計算時に加重されます。これらの重大度を定義する必要
があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
[ポリシー エディター] で、[重大度の加重] アイコン
をクリックします。
設定を定義して、[OK] をクリックします。
関連トピック:
530 ページの「重大度の加重」
531 ページの「[重大度の加重] ページ」
[重大度の加重] ページ
資産、タグ、ルール、脆弱性の重大度の加重を設定します。
表 10-36 オプションの定義
オプション
定義
番号行
マーカーをドラッグアンドドロップします。[資産]、[タグ]、[ルール]、[脆弱性]
フィールドは、これらの設定を反映します。
[VA ベンダー提供の重大度] ま 受信データに対する脆弱性重大度の計算方法を選択します。両方のオプションを
たは [VA ベンダー提供の PCI 選択した場合、重大度の値の計算時に 2 つの値のうちの大きい方の値が使用され
ます。
重大度]
関連トピック:
531 ページの「重大度の加重の設定」
ポリシーの変更履歴の表示
ポリシーに対して行った変更のログを表示またはエクスポートすることができます。このログは最大で 1GB のデー
タを保持することができます。この上限に達すると、最も古いファイルが必要に応じて削除されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[ポリシーの変更履歴の表示] アイコン
2
をクリックします。
ログを表示またはエクスポートして、[閉じる] をクリックします。
関連トピック:
532 ページの「[ポリシーの変更履歴] ページ」
McAfee Enterprise Security Manager 9.6.0
製品ガイド
531
10
ポリシーとルールの管理
ポリシー変更の適用
[ポリシーの変更履歴] ページ
ポリシーに対して行った変更のログを表示またはエクスポートします。
表 10-37 オプションの定義
オプション
定義
テーブル
現在のポリシーに対して行った変更のリストが表示されます。
[表示]
選択したログの詳細を表示します。これらの詳細をダウンロードするには、[ファイル全体をダウ
ンロード] をクリックします。
[エクスポート] 選択したログの詳細をエクスポートします。
関連トピック:
531 ページの「ポリシーの変更履歴の表示」
ポリシー変更の適用
ポリシーを変更したら、その変更をロールアウトして適用する必要があります。デフォルト ポリシー レベルで行っ
た変更は、すべてのデバイスにロールアウトするとすべてのポリシーに適用されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[ロールアウト] アイコン
2
ロールアウトをどのように行うかを選択します。
3
[OK] をクリックします。
をクリックします。
各デバイスがロールアウトを完了すると、ロールアウトが正常に行われたことがポリシーのステータスに示されます。
ロールアウト コマンドが失敗すると、失敗したコマンドのサマリーがページに表示されます。
関連トピック:
465 ページの「ポリシー エディター について」
467 ページの「ポリシー ツリー」
471 ページの「ルール タイプとプロパティ」
467 ページの「ポリシー ツリー でポリシーを管理する」
532 ページの「[ロールアウト] ページ」
533 ページの「[ロールアウト時間] ページ」
[ロールアウト] ページ
ポリシー変更を ESM にロールアウトします。
表 10-38 オプションの定義
オプション
定義
クリックして、1 つのデバイスにポリシーをロールアウトします。
[今すぐすべてのデバイスにポリ
シーをロールアウト]
すべてのデバイスにポリシー変更をロールアウトするときにこれを選択します。
[OK] をクリックします。
[編集]
クリックして、他のロールアウト オプションを選択します。
関連トピック:
532 ページの「ポリシー変更の適用」
532
McAfee Enterprise Security Manager 9.6.0
製品ガイド
ポリシーとルールの管理
優先トラフィックの管理
10
[ロールアウト時間] ページ
ポリシー ロールアウトのタイミングを設定します。
表 10-39 オプションの定義
オプション
定義
[今後のロールアウトをステージン
グ]
[ロールアウト] ページで選択したデバイスのポリシーをロールアウトする
今後の時間を設定するときにこれを選択します。カレンダー アイコンをク
リックして、日時を設定します。
[今すぐロールアウト]
選択したデバイスに今すぐポリシーをロールアウトするときにこれを選択し
ます。
[デバイスを以前のアクティブ ポリ
シーに戻す]
有効な場合、クリックして、以前に適用されたポリシーに戻します。
[ステージングされたポリシーをス
キップまたはクリア]
このデバイスのステージングされたロールアウトをスキップするときにこれ
を選択します。
関連トピック:
532 ページの「ポリシー変更の適用」
優先トラフィックの管理
トラフィックは、ルールに対するテストを受けずに Nitro IPS を通過するように設定できます。
例えば、Voice over Internet Protocol (VoIP) トラフィックを、チェックに時間をかけずに Nitro IPS とクロスオ
ーバーするよう設定する必要があるとします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
[ポリシー エディター] で、[変数] ルール タイプをクリックします。
2
[priority_traffic] カテゴリを展開し、[PRIORITY_TRAFFIC_LIST] をクリックします。
3
[編集] をクリックして、[変更] を選択します。
4
設定の管理を行い、[OK] をクリックします。
McAfee Enterprise Security Manager 9.6.0
製品ガイド
533
10
ポリシーとルールの管理
優先トラフィックの管理
534
McAfee Enterprise Security Manager 9.6.0
製品ガイド
索引
ADM ルール (続き)
記号
ビュー ペイン優先設定 36
カスタムを管理 512
項のタイプ 181
A
構文 179
サポートされているアプリケーションとプロトコル 492
ACE
ESM から送信するデータ タイプの選択 165
サマリー 14
相関エンジン 164
リスク相関エンジン 164
リスク相関スコアリング、追加 167
リスク相関マネージャーを追加 165
履歴相関 169
Active Directory
データを取得 455
認証設定 275
ログイン認証 270
Active Response 427
DXL 427
データ検証、ウォッチリスト 427
日付形式 427
Active Response 検索の結果
エクスポート、データ 429
検索、結果データ 429
作成、ウォッチリスト 429
データの追加、ウォッチリスト 429
Adiscon データ ソースの設定 135
ADM
イベント 171
主要なコンセプト 492
新規追加 502
正規表現文法 179
電子メール プロトコル モジュール 185
ファイル転送プロトコル モジュール 185
プロトコル異常 186
プロトコル固有のプロパティ 185
メトリックス参照 183
リテラル 179
論理要素 347, 506
論理要素、編集 506
ADM ルールの DNA プロトコル異常 186
ADM ルールの IP プロトコル異常 186
ADM ルールの TCP プロトコル異常 186
ADM ルールの Web メール プロトコル モジュール 185
ADM ルールの電子メール プロトコル モジュール 185
ADM ルールのファイル転送プロトコル モジュール 185
ADM ルールのプロトコル固有のプロパティ 185
ADM ルール用の演算子 179
ADM ルール用の正規表現文法 179
ADM ルール用のリテラル 179
ADM セッション ビューアー、パスワードを表示 172
ADM、データベース、相関ルールの論理要素 347, 506
サマリー 14
ADM ルールの項のタイプ 181
設定 171
Altiris サーバー、データを取得 455
ADM ディクショナリ 173
管理 176
ArcSight、データ ソースを追加 134
ASN
参照 178
参照、パターン 399
設定 173
デバイスの設定を定義 359
例 175
ADM ディクショナリを参照 178
ADM ルール
ADM ルールの DNA プロトコル異常 186
ADM ルールの IP プロトコル異常 186
ビューから検索 398
ASP 485
ASP ルール
時刻形式、追加 487
順序の設定 486
ADM ルールの TCP プロトコル異常 186
Web メール プロトコル モジュール 185
演算子 179
McAfee Enterprise Security Manager 9.6.0
製品ガイド
535
索引
C
ELM (続き)
ストレージ デバイスを追加 145
CAC
アップロード、CA ルート証明書 274
ストレージ プール、追加または編集 147
設定 273
ストレージ プールを移動 148
追加、ユーザー 274
ストレージの使用率、表示 159
認証 270
ストレージの割り当て、縮小 149
ログイン、設定 274
ストレージ用に iSCSI デバイスを追加 151
CA ルート証明書、アップロード 274
整合性検査ジョブ 160
contains フィルター 381
整合性チェック、結果を表示 162
整合性チェック ジョブ、作成 161
D
代替のストレージ場所を定義 158
DAS、ELM データを格納するために割り当て 153
DEM
アクションを追加 192
アクションを定義 191
カスタム アクションを編集 192
機密データのマスク 194
構成設定、適用 191
サマリー 14
詳細設定、構成 189
設定ファイルを同期 189
操作を設定 193
データベース サーバー、追加 198
ユーザー識別 196
ライセンスを更新 188
ルール 494
ルール メトリックス参照 495
DEM 固有の設定 187
DEM に構成設定を適用 191
DEM の詳細設定、構成 189
DEM ライセンスを更新 188
通信を設定 54
データ ストレージをミラーリング 149
データの格納を準備 142
データベースを移行 160
デバイスと同期 54
バックアップ 157
フォーマット、データを格納する SAN ストレージ デバイス 152
ミラー ストレージ プール、再構築 150
ミラー管理データベース、置き換え 160
ミラー データ ストレージ、追加 150
ミラー データ ストレージを追加 150
ミラーリング デバイスを無効化 150
リストア 157
ログ データ、リストア 158
ELM データ ストレージをミラーリング 149
ELM ストレージ、必要な容量 141
ELM データを格納、準備 142
ELM の冗長性
ELM の切り替え 154
スタンバイ ELM との通信中断
冗長性の無効化 154
DEM ルール
カスタムを管理 512
DESM、サマリー 14
DHCP、セットアップ 243
ELM の設定 141
ELM の選択 398
ELM ミラーリング デバイスを無効化 150
ePO
E
ELM
ELM データを格納する DAS デバイス 153
圧縮 156
圧縮、設定 156
外部データ ストレージ 151
格納、ログ 144
管理データベース、リストア 158
クエリー、正規表現の使用 163
検索、高度 389
検索ジョブ 160
検索ジョブ、結果を表示 162
検索ジョブ、作成 161
検索ビュー 388
サマリー 14
取得、データ 160
536
データ同期の詳細の表示 154
スタンバイ ELM をサービス状態に戻す 154
McAfee Enterprise Security Manager 9.6.0
ストリーミング イベント、ビュー 73
認証情報の追加 203
ePolicy Orchestrator
ESM から起動 202
McAfee Risk Advisor のデータ取得、有効化 204
設定 202
タグ、IP アドレスに割り当て 203
ePO タグ
アラーム アクション 328
ePO デバイス
Real Time for McAfee ePO ダッシュボードのクエリー 208
クエリー、データ エンリッチメント 208
クエリー、レポートまたはビュー 207
ePO 認証情報 202
ePO の認証 202
製品ガイド
索引
ePO の認証情報 202
ESM
IPMI ポート、設定 238
HomeGroup ファイル共有、無効化 145
I
アップグレード、プライマリと冗長 301
IBM ISS SiteProtector データ ソース 138
管理 293
IP 除外リスト、管理 452
サマリー 14
IPMI ポート、ネットワークの設定 238
システム情報を表示 220
IPMI ポート、ESM またはデバイスでのセットアップ 238
IPS
冗長 ESM 285
冗長、仕組み 290
アノーマリ検出変数、編集 210
冗長を置換 292
アノマリ検出ウィザード 209
セキュリティ機能 269
アラート専用モード 514
設定をリストア 287
自動ブラックリスト、設定 215
ソフトウェアを更新 29
設定 209
データ ストレージ、設定 258
内部ルール 483
データ ソースと同期されていない 351
ブラックリスト 212
デバイスと同期 54
ブラックリスト、管理 213
ネットワーク トラフィックの制御 240
分析レポート、生成 210
バックアップ ファイル 288
バックアップ設定 285
優先トラフィック変数 533
IPv6
非同期、データソース 350
Receiver HA の設定 79
ルール 513
IP アドレス、ePolicy Orchestrator タグを割り当て 203
ロギング、設定 298
IP アドレスをマスク 296
ESM 設定をリストア 287
iSCSI デバイス、ELM ストレージ用に追加 151
ESM ソフトウェアを更新 29
ESM で利用できる VA ベンダー 99
L
ESM との SSH 通信を無効化 57
Event Receiver
LDAP
サマリー 14
F
サーバー、ユーザーの認証 278
ログイン認証 270
Linux
コマンド 303
使用できるコマンド 303
FIPS モード
FIPS モードでのみ使用可能な機能 19
キーが指定されたデバイス、追加 22
Linux コマンド、デバイスでの入力 55
削除された機能 19
M
情報のバックアップ 22
McAfee ePO
情報のリストア 22
認証情報のセットアップ、ユーザー 277
McAfee MIB 253
McAfee Network Security Manager
整合性の検査 20
選択 19
トラブルシューティング 25
削除済みのブラックリスト エントリ 218
非対応で使用可能な機能 19
設定 217
ファイルの拡張子 22
追加または削除 218
複数の ESM デバイスとの通信 23
有効 19
用語 22
FIPS モードのトラブルシューティング 25
ブラックリスト エントリ、追加 217
McAfee Risk Advisor
データ取得 204
データ取得、有効化 204
McAfee ServicePortal、アクセス 10
McAfee Vulnerability Manager
G
Global Threat Intelligence ウォッチリスト 419
証明書とパスフレーズ、取得 216
GTI ウォッチリスト 419
スキャンの実行 216
H
接続、設定 217
Hadoop PIG 311
McAfee Enterprise Security Manager 9.6.0
スキャン、ビューから実行 398
設定 215
製品ガイド
537
索引
McAfee ルールセット 140
Remedy (続き)
McAfee ePO データ ソース 137
MIB
ESM から取得 257
MIB、McAfee 253
ケース ID、設定 398
サーバー設定 221
RPC 正規化 475
S
N
SAN ストレージ デバイスのフォーマット、ELM データの格納 152
Nitro IPS
SDEE データ ソース 133
サマリー 14
NSM
ServicePortal、製品マニュアルの検索 10
SMS
NSM-SIEM 設定ツール 136
ストリーミング イベント、ビュー 73
レイヤー 7 219
アラーム 321
SNMP
MIB 253
NTP サーバー
アラーム 321
ステータスを表示 225
設定 249, 250
デバイスの設定 224
設定、通知 53
電源障害の通知 252
P
SNMP トラップ
PDF、画像の追加 378
ping の設定、ネットワーク検出 454
UCAPL、アラーム 337
SSH
キーを再生成 299
通信、ESM での無効化 57
R
通信キー、デバイスについて管理 50
RADIUS
認証設定 272
ログイン認証 270
Real Time for McAfee ePO
アクションの実行 205
クエリー、ePO ダッシュボード 208
Receiver
資産ソース、追加 141
ストリーミング イベント、ビュー 73
STIX インジケーター タイプ、対応 317
Syslog
アラーム 321
Syslog リレーのサポート 135
Syslog メッセージ
UCAPL、アラーム 337
T
TCP
設定 73
セッション ハイジャック 475
データ ソース 87
プロトコル異常 475
未加工データのアーカイブ 85
TCP/UDP セッション追跡 475
Receiver-HA 74
アップグレード 82
故障した Receiver を交換 84
TCP ダンプ 56
Threat Intelligence Exchange
統合、ESM
故障のトラブルシューティング 85
実行履歴 206
ステータスを確認 83
セカンダリ デバイスを再初期化 79
設定、IPv6 79
TIE 実行履歴 398
デバイスのセットアップ 78
U
ネットワーク ポート 77
UCAPL
役割の切り替え 81
SNMP トラップ、アラーム 337
Receiver-HA の役割の切り替え 81
Syslog メッセージ、アラーム 337
Receiver、NSM、ePO のストリーミング イベント 73
Receivers
アラーム、作成 337
アーカイブ設定、定義 85
資産ソース 141
Remedy
538
監査、アラーム 337
管理者役割、アラーム 337
システム状態、アラーム 337
証明書、アラーム 337
アラーム アクション 328
セキュリティ ログ失敗、アラーム 337
ケース ID、イベント レコードに追加 400
同時セッション数、アラーム 337
McAfee Enterprise Security Manager 9.6.0
製品ガイド
索引
UCAPL (続き)
非アクティブしきい値、アラーム 337
ログオン失敗、アラーム 337
UCF フィルター 414
URL リンク
アップグレード
Receiver-HA 82
プライマリと冗長、ESM 301
アップロード
音声ファイル 326
デバイス情報を追加 44
宛先 IP アドレス、レポートでのホスト名の表示 380
デバイスに追加 64
アドバンスド Syslog パーサー
カスタム ルールを追加 485
V
データ ソース 128
VA システム プロファイル、定義 93
VA 取得、トラブルシューティング 99
VA ソース、追加 94
VA データ、取得 98
VA データ、統合 92
VLAN
追加 234
変更 398
VM、データ ストレージを設定 259
ルール 485
アドバンスド Syslog パーサー、データ ソース
UTF-8 以外でのエンコーディング 132
アノーマリ検出
変数、編集 210
アノマリ検出
ウィザード 209
アラート
アラーム エスカレーション 328
アラート専用モード
ポリシー 514
W
Web リクエスト正規化 475
WHOIS
参照、パターン 399
ビューから検索 398
Windows
イベント ルール 492
イベント ID フィルター 414
Windows セキュリティ ログ 126
WMI イベント ログ 126
有効 515
アラーム 321
SMS 321
SNMP 321
Syslog 321
Threat Intelligence Exchange アラーム 206
UCAPL、作成 337
アクション 328
エスカレーション 328
音声アラート 326
音声ファイル 326
Z
ZipZap 475
カスタマイズ、サマリー 348
クエリーの管理 300
ケース 333
あ
コピー 328
アーカイブ
削除 333
アクティブでないパーティションのセットアップ 260
作成 321, 327, 328, 336
設定、Receiver の定義 85
重大度 328
アキュムレーター インデックスを増やす、使用可能 259
受信者 325
アキュムレータのインデックス作成、管理 264
条件 328
アクション
承認 332, 333
DEM について定義 191
正常性モニター シグネチャ ID 339
DEM に追加 192
相関イベント 324
アラーム 328
ソース イベント、相関 324
ツールバー 34, 40
対応 332
データ ソース 127
調整 336
マップ 127
通知、受信者を追加 223
アクセス制御リスト、設定 273
電源障害 350
アクセス、デバイスに対する許可 55
電子メール 321
アクティブでないパーティションのアーカイブ、セットアップ 260
テンプレート 322
アクティブでないパーティション、アーカイブのセットアップ 260
ビュー 332
圧縮、ELM を管理 156
ビュー イベントから新規に作成 398
圧縮、ELM を設定 156
フィルター 333
McAfee Enterprise Security Manager 9.6.0
製品ガイド
539
索引
アラーム 321 (続き)
イベントとフローの取得アイコン 40
ペイン 34
イベントの確認、フィールドの比較 408
ペイン、表示 268
イベントの追跡 434
編集 333
イベント、フロー、ログ
無効 327
収集時間の制限 355
メール サーバー、メッセージ 222
イベント レート
メッセージ 222, 322
メッセージ、セットアップ 321
アラーム条件 328
イメージ
ログイン ページへの追加 27
メッセージ テンプレート 322
メッセージの受信者 325
インジケーター タイプ、対応 317
メッセージ、メール サーバー 222
インターネットのソース
モニター 332
ウォッチリストの作成 420
有効 327, 328
インターフェース
管理、ネットワーク 231
ルールに追加 348
ネットワーク設定 232
レポート 335
ワークフロー 321
インデックス作成、アキュムレータ 264
割り当て先 328, 333
インデックス設定、データベース 262
割り当て先、変更 333
暗号化 296
インデックスを増やす、使用可能なアキュムレーター 259
インポート
データ ソース リスト 108
い
デバイス キー 49
位置情報、デバイスの設定を定義 359
変数 473
イベント
文字列正規化ファイル 422
ルール 519
アラーム エスカレーション 328
確認済みとしてマーク 398
インポート、データ ソースのスプレッドシート 110
確認、フィールドの比較 408
インポート、ホスト名 243
ケースの作成、追跡 434
ケースへの追加 434
削除 398
集計の例外を管理 364
う
ウォッチリスト
Active Response
追加、ウォッチリスト 430
重大度の加重、設定 531
セッションの詳細、表示 385
Active Response 検索の結果 430
GTI 419
説明 353
Threat Intelligence Exchange ウォッチリスト 206
ダウンロードを設定 354
アラーム アクション 328
チェック 358
イベントの追加 398
非アクティブのしきい値を設定 356
インターネットのソース 420
表示、正確な時間 431
概要 415
ブラックリスト 398
クエリーの管理 300
ログ、イベントのタイプを管理 295
作成、ビュー 398
ログ、言語を設定 30
新規作成 526
取得 357
追加 416
イベント時間
ルールを追加 526
表示 431
イベント時間レポート 220
え
イベント転送
宛先を追加 365
エクスポート
エージェント 367
キー 48
設定 364
コンポーネント 401
設定を変更 369
通信キー 299
フィルター設定を編集 370
ビュー 398
フィルターを追加 369
ルール 520
有効化または無効化 368
540
McAfee Enterprise Security Manager 9.6.0
製品ガイド
索引
エクスポートとインポート
監査
exk ファイル 23
puk ファイル 23
UCAPL、アラーム 337
管理者役割
UCAPL、アラーム 337
エスカレーション
アラーム 328
管理データベース、ELM をリストア 158
エンコーディング、ASP データ ソース 132
エンド ステーションの設定、ネットワーク検出 454
き
エンドポイント検出 453
キー
エンドポイントを検出 453
インポート 49
エクスポート 48
お
デバイス 47
デバイスを管理 46
オーバーサブスクリプション モード、設定 516
音声ファイル
起動
ePolicy Orchestrator 398
アップロード 326
ESM から ePolicy Orchestrator 202
アラーム 326
機密データのマスク 194
管理 195
か
脅威
外部 API
詳細の表示 464
クエリーの管理 300
外部 ELM データ ストレージ 151
格納、ELM ログ 144
加重、重大度を設定 531
カスタマー ID 220
カスタマイズ、サマリー 348
カスタム
タイプ フィルター 423
カスタム タイプ
作成 425
有効または無効、リスク計算 464
脅威管理 463
共通イベント形式のデータ ソース 134
共通条件の設定 25
共有クエリー、無効にする 292
く
クイック起動アイコン 34
クエリ
管理 300
追加、時間 426
削除、実行 300
定義済み 426
名前/値 426
クエリー
管理 300
名前/値グループの追加 427
カスタム ルール
表示 517
削除、実行 300
クエリー CSV レポート 222, 322
カスタム ASP ルール、追加 485
クエリー ウィザード 402
カスタム表示、追加、編集、削除 32, 62
クライアント データ ソース 106
追加 106
画像
特定 107
追加、PDF とレポート 378
仮想 ESM、データのマスク 296
グループ
ユーザー 265
仮想デバイス 58
ユーザーを設定 279
アラート専用モード 514
選択ルール、管理 59
グローバル ブラックリスト 304
設定 305
デバイスに追加 60
内部ルール 483
ブラックリスト 212
仮想ローカル ドライブ 153
クロック、デバイスを同期 245
け
ケース
カテゴリ
新しいタグを追加 527
アラーム アクション 328
新しい変数を追加 473
カスタマイズ、サマリー 348
編集 527
既存のケースへのイベントの追加 434
カラー テーマ、コンソール 34
作成、トリガーされたアラーム 333
詳細を表示 437
McAfee Enterprise Security Manager 9.6.0
製品ガイド
541
索引
コンポーネント (続き)
ケース (続き)
ステータス、追加 439
バインド 405
ステータス、追加または編集 440
パラメーターを追加 506
すべて表示 440
ビュー 391
ソース イベント、ビュー 440
表示 390
追加 433
メニュー オプション 398
ルールの例 508
電子メール通知 439
電子メールで送信、選択したケース 440
コンポーネントをバインド 405
電子メールの送信、追加または変更時 440
コンポーネントをリンク 405
閉じる 436
フィルター 440
さ
編集 436
最小要件、ハードウェアとソフトウェア 17
レポート、生成 441
サイバー脅威フィード 316
ケース ウィンドウ 34
ケース管理
手動アップロードのエラー 318
削除
ペイン、表示 268
イベントまたはフロー 398
レポート、生成 441
カスタム ルール 517
ケースのステータス、追加 439
言語、イベント ログ用に設定 30
トリガーされたアラーム 333
検索ジョブ 160
削除済み McAfee Network Security Manager ブラックリスト エント
リ、追加または削除 218
検索ジョブ、結果を表示 162
作成
アラーム 321
検索ジョブ、作成 161
サブゾーン
こ
追加 462
高可用性 Receiver 74
更新
サブゾーンを追加 462
デバイスのステータス、ポリシーの表示 516
し
複数デバイス上のソフトウェア 63
時間カスタム タイプ、追加 426
ルールの確認 30
しきい値
アラーム条件 328
ルールを取得 523
更新されたルール ステータス、クリア 524
シグネチャ、ルールを表示 523
更新の無効化、システム ナビゲーション ツリー 222
シグネチャ ID、正常性モニター 339
構成設定、DEM に適用 191
時刻、時刻を同期 244
高度な検索、ELM 389
時刻の同期 245
故障した Receiver-HA を交換 84
資産
故障した Receiver、交換 84
管理 444
子データ ソース、追加 105
重大度 530
このガイドで使用している表記規則とアイコン 9
このガイドについて 9
コレクター
SIEM コレクター 92
Receiver を追加 141
管理 455
コンソール
カラー テーマ 34
資産マネージャー 463
ダイアグラム 34
システム ログ、表示 66
タイムアウト 36
システム クロック 220
デバイスの追加 31
システム時刻を同期 244, 245
表示形式を変更 268
システム状態
コンソールの優先設定 33
UCAPL、アラート 337
システム設定
コンポーネント
542
定義、古い資産 447
資産ソース 455
Receiver 141
エクスポート 401
バックアップ 285
カスタマイズ 392
保存、冗長 ESM 290
ツールバー 395
リストア 285
McAfee Enterprise Security Manager 9.6.0
製品ガイド
索引
システム ナビゲーション
冗長 ESM (続き)
ツリー 34
仕組み 290
バー 34
設定 285
置換 292
システム ナビゲーション ツリー
自動更新、無効化 222
図 40
保存、システム設定 290
承認
デバイスを編成 52
トリガーされたアラーム 333
事前定義のビュー 387
情報フラグ 68
自動学習データ ソース ルール、管理 491
証明書
自動作成、データ ソース 100
UCAPL、アラーム 337
自動認識
新規にインストール 246
パスフレーズ、McAfee Vulnerability Manager を取得 216
アラーム アクション 328
自動ブラックリスト ルール 521
証明書のアップロード、CA ルート 274
自動ブラックリスト、設定 215
シリアル番号
四半期レポート、開始月を設定 372
システム 220
集計
デバイスの表示 42
イベントの例外を管理 364
侵入の痕跡 (IOC) 316
設定の変更、ビュー 398
説明 360
す
デバイスの設定 362
スキャン、McAfee Vulnerability Manager の実行 216
ルール設定を変更 528
すぐに使えるビュー 387
例外を追加 363
スコアリング、リスク相関 167
集計設定の例外、追加 363
重大度
ステータス
Receiver-HA 83
アラーム 328
デバイス、ポリシー更新の表示 516
アラーム エスカレーション 328
加重 530
非アクティブ 68
ストレージ
加重、設定 531
ESM VM データを設定 259
データ ソース 127
マップ 127
縮小、ELM ストレージの割り当て 149
受信者
ESM データの設定 258
ストレージ デバイス、ELM を追加 145
ストレージ プール、移動 148
ストレージ プール、追加または編集 147
アラーム メッセージ 325
追加 223
手動アップロードのエラー、サイバー脅威フィード
トラブルシューティング
手動アップロード、IOC STIX XML ファイル 318
条件
ストレージ プール、ミラーを再構築 150
ストレージ プール、リンクするストレージ デバイスを追加 145
ストレージ プールを移動 148
ストレージ、ELM の代替の場所 158
ストレージの使用率、ELM を表示 159
ストレージの割り当て、ELM の縮小 149
アラーム 328
イベント レート 328
しきい値 328
正常性モニター 328
チェック レート 328
トリガーの頻度 328
内部イベントの比較 328
フィールド一致 328
偏差 328
条件、レポートを追加 379
詳細なパケット検査のルール 480
属性、追加 482
追加 481
冗長 ESM
アップグレード 301
McAfee Enterprise Security Manager 9.6.0
せ
正規化 513
正規化された ID
選択 415
正規表現、ELM クエリー 163
制限、データ保持を設定 261
整合性検査ジョブ 160
整合性チェック、結果を表示 162
整合性チェック ジョブ
作成 161
脆弱性
重大度 530
ソースを管理 457
製品ガイド
543
索引
脆弱性 (続き)
ソース、データ エンリッチメントを追加 307
評価 457
ゾーン
正常性ステータス フラグ 40, 68
エクスポート設定 460
正常性モニター
管理 458
アラーム条件 328
サブゾーンを追加 462
シグネチャ ID 339
ゾーン設定のインポート 460
正常性モニター シグネチャ ID
追加 459
ゾーン管理 458
アラーム 339
静的ルート、追加 236
ゾーン設定のインポート 460
セカンダリ Receiver-HA デバイス、再初期化 79
ゾーンをエクスポート 460
セカンダリ Receiver-HA デバイスを再初期化 79
ソフトウェア
複数デバイスで更新 63
セキュリティ、SSH 通信キー 50
セキュリティ機能 269
ソフトウェア、ESM を更新 29
セキュリティ ログ失敗
ソフトウェア、最小要件 17
UCAPL、アラーム 337
ソフトウェア、デバイスを更新 51
セッション ハイジャック、TCP 475
セッションの詳細、表示 385
た
セッション ビューアーのパスワード、表示 172
ターゲットベース IP デフラグ 475
セッション ビューアー、パスワードを表示 172
ターゲットベース TCP 再構成 475
接続
ターミナル、Linux コマンドの使用 303
ESM での変更 57
対応
McAfee Vulnerability Manager の設定 217
アラーム 332
設定管理 447
対応データソース 124
設定ファイル、DEM を同期 189
タイム ゾーン
選択ルールの管理、仮想デバイス 59
形式、変更 268
タイムアウト、コンソール 36
そ
ダウンロード
イベント、フロー、ログ 354
相関イベント
アラーム、ソース イベント 324
ダウンロードしたルール、上書きアクション 529
ソース イベント、アラーム 324
ダウンロードしたルールの上書きアクション 529
相関イベント、ソース イベントの表示 87
タグ
相関エンジン、ACE 164
ePolicy Orchestrator を IP アドレスに割り当て 203
相関データ ソース 126
カスタム、削除 527
相関分析ルール
カスタムを削除 527
Threat Intelligence Exchange ルール 206
カテゴリ、新規を追加 527
相関マネージャー、追加 165
既存を編集 527
相関ルール 500
重大度 530
新規追加 527
インポートする場合の競合 519
ルールまたは資産への割り当て 527
カスタムを管理 512
詳細の表示
設定、詳細表示 500
タグ付け、ePO 202
タスク マネージャー 300
新規追加 502
パラメーターを追加 506
ち
例 508
チェック ポイント データ ソース、設定 139
論理要素 347, 506
チェック レート
論理要素、編集 506
操作、DEM 用に設定 193
アラーム条件 328
調整
ソース IP アドレス、レポートでのホスト名の表示 380
ソース イベント
アラーム 336
重複するデバイス ノード、削除 63
アラーム、相関 324
相関、アラーム 324
ソース イベントの表示、相関イベント 87
544
McAfee Enterprise Security Manager 9.6.0
つ
通信キー、エクスポートとリストア 299
製品ガイド
索引
通知、SNMP の設定 53
データ ストレージ (続き)
仮想ローカル ドライブ 153
て
データ ストレージ、ELM データの格納を準備 142
データ アクセス ルール、追加または編集 511
データ ストレージ、ミラー ELM を追加 150
データ ストレージ、ELM をミラーリング 149
データソース
データ ソース 87
Adiscon の設定 135
対応 124
非同期、ESM 350
ArcSight を追加 134
データ ソースの自動学習、セットアップ 102
ASP のエンコーディング 132
データ ソースの自動作成ルール、追加 100
ASP のエンコーディング 132
データ ソース ルール 490
ESM と同期されていない 351
IBM ISS SiteProtector 138
McAfee ePO 137
Security Device Event Exchange (SDEE) 133
自動学習、管理 491
データ ソース、ルール アクション 491
データ ソースを別のシステムへ移動 121
データベース
Syslog リレーのサポート 135
インデックス設定を管理 262
Windows セキュリティ ログ 126
監査履歴 513
WMI イベント ログ 126
監査履歴、ルールおよびレポートを設定 513
アドバンスド Syslog パーサー 128
管理 258
インポートするスプレッドシート 110
サーバー、追加 198
管理 92
ステータス 220
共通イベント形式 134
クライアント 106
クライアント、追加 106
クライアント、特定 107
メモリ使用率 264
データベースの移行
仮想ローカル ドライブ 153
データベース ルール
子を追加 105
新規追加 502
自動学習、セットアップ 102
論理要素 347, 506
自動作成 100
論理要素、編集 506
自動作成ルール、追加 100
データベースを移行、ELM 160
収集方法、ファイルのテーリング 123
データ保持制限、設定 261
スプレッドシートのインポート 110
データ割り当て、制限を定義 262
生成されたファイルを表示 123
テクニカル サポート、製品情報の検索 10
セキュリティとアクションのマッピング 127
デバイス 47
相関 126
ASN、設定を定義 359
チェック ポイント、設定 139
ESM と同期 54
追加 88
ESM との接続、変更 57
ファイルのテーリング、収集方法 123
IPMI ポート、設定 238
別の Receiver へ移行 121
Linux コマンド 55
別のシステムへ移動 121
NTP サーバー 224
無効な表示 268
SSH 通信キーを管理 50
ユーザー定義のタイプ 124
URL リンクを追加 44, 64
リストのインポート 108
アクセスを許可 55
データ エンリッチメント 306
Active Response
追加、データ エンリッチメント データのソース 430
位置情報、設定を定義 359
イベント、フロー、ログのダウンロードを設定 354
キーをインポート 49
Active Response 検索の結果 430
キーをエクスポート 48
クエリー、ePO デバイス 208
キーを管理 46
ソースを追加 307
起動 56
データ取得
McAfee Risk Advisor 204
McAfee Risk Advisor を有効化 204
データ ストレージ
グループ ノード、削除 71
クロックを同期 245
更新 71
コンソールへの追加 31
ESM VM を設定 259
再起動 56
ESM の設定 258
削除 40
McAfee Enterprise Security Manager 9.6.0
製品ガイド
545
索引
デバイス 47 (続き)
電子メール (続き)
サマリー レポート 65
メール サーバー、接続 222
テンプレート、アラート メッセージ 322
集計設定 362
シリアル番号 42
ステータス データ、ダウンロード 45
と
説明を変更 46
統計、デバイスについて表示 45
全般情報の表示 42
同時セッション数
ソフトウェア、更新 51
UCAPL、アラーム 337
ソフトウェアを更新 51
同時デバイス、ネットワーク検出 454
タイプ数レポート 220
ドキュメント
停止 56
このガイドの対象読者 9
データ ソースを無効化 268
表記規則とアイコン 9
デバイス統計 45
トラブルシューティング
デフォルト表示を変更 268
Receiver-HA の故障 85
トラフィックを監視 56
トランザクション追跡ルール、追加または編集 511
名前を変更 46
トリガーされたアラーム
ネットワーク トラフィックの制御 52
ケース 333
ノードを削除 71
削除 333
バージョン 42
承認 332, 333
表示タイプ 40
フィルター 333
表示タイプ フィールド 40
編集 333
ビルド 42
割り当て先 333
複数の管理 63
トリガーの頻度
編成 32, 52, 62
マシン ID 42
アラーム条件 328
ドリルダウン、ビュー 398
メッセージ ログ 45
モデル 42
な
ログを表示 66
内部イベントの比較
デバイス アイコン、追加 40
デバイス グループ、管理 62
アラーム条件 328
内部ルール 483
デバイス時間
表示、イベント 431
デバイス ソフトウェアを更新 51
デバイスと ESM を同期 54
デバイス ノード、重複を削除 63
デバイスのステータス、データをダウンロード 45
デバイスのトラフィックを監視 56
デバイス表示タイプ、選択 32
デバイスを起動 56
名前/値グループ カスタム タイプ、追加 427
に
認証情報、ルール更新の取得と追加 29
ね
ネットワーク
デバイスを更新 71
デバイスを再起動 56
デバイスを停止 56
インターフェース、デバイスに設定 232
管理、インターフェース 231
設定の構成 226
デバイスを同期
トポロジ コンポーネント、デバイスの追加 393
クロック 245
デフォルト ビュー、変更 410
デフォルトの表示タイプ、変更 268
デフォルトのロギング プール、設定 54
電源障害
トポロジ、デバイスの詳細 394
ポート、Receiver-HA 77
ネットワーク マップ 453
ネットワーク検出 449
設定管理 447
アラーム 350
電源障害の通知 252
電子メール
ネットワーク検出エンド ステーション
ping スイープ間隔 454
ping タイムアウト 454
アラーム 321
ケース通知 439
546
管理 483
名前/値カスタム タイプ 426
McAfee Enterprise Security Manager 9.6.0
ping を実行するサブネット 454
製品ガイド
索引
ネットワーク設定
ビュー (続き)
IPMI ポートのセットアップ 238
フィルター 410
フィルタリング 410
ネットワーク トラフィック制御
ESM 240
フロー 387
デバイス 52
ペイン 34
ネットワークのマップ 453
ネットワークを検出 449
ホスト名の表示、IP アドレス 390
ビューからリファレンスを参照 398
表示
は
クエリーの管理 300
バージョン、ソフトウェアの表示 42
表示タイプ、選択 32
ハードウェア 220
標準ルール、アクセス 211
ハードウェア、最小要件 17
ビルド、ソフトウェアの表示 42
バイパス NIC
概要 237
ふ
セットアップ 237
ファイアウォール ルール 211, 477
パスフレーズと証明書、McAfee Vulnerability Manager を取得 216
アクセス 211
パスワード
イベントまたはフローから作成 398
デフォルト 26
カスタムを追加 478
変更 268
タイプ 211, 477
バックアップ
ELM 157
例外を追加 479
ファイル共有、HomeGroup の無効化 145
ESM 設定 285
ファイルの維持、管理 289
システム設定 285
ファイルの拡張子、ファイルのエクスポート 22
バックアップ ファイル、使用 288
ファイルのテーリング、データ ソース収集方法 123
バックアップから ELM をリストア 157
フィールド一致
バックアップした設定ファイルのリストア 288
バックアップ、リストア 288
パラメーター、相関ルールまたは相関コンポーネントに追加 506
アラーム条件 328
フィルター
UCF 414
Windows イベント ID 414
ひ
オプション、追加と削除 412
非アクティブしきい値
UCAPL、アラーム 337
カスタム タイプ 423
既存ルール 521
非アクティブのしきい値、設定 356
現在の値をデフォルトとして保存 412
比較、ルール ファイル 525
すべてのユーザーに表示、切り替え 412
ビジュアル アラート
ツールバー 412
アラーム アクション 328
デフォルトを使用 412
日付形式、変更 268
トリガーされたアラーム 333
非同期、ESM とデータソース 350, 351
ビュー 410
ビュー
分散型 ESM に追加 201
カスタムの追加 390
管理 407
ペイン 34
ルールの追加 483
クエリー、ePO デバイス 207
フィルター、contains 381
高度な検索、ELM 388
フィルター、イベント転送 369
コンポーネント 390
フィルター設定、イベント転送を編集 370
コンポーネント、カスタマイズ 392
フィルター セット
コンポーネント、説明 391
管理 412
コンポーネントのツールバー 395
フィルターで正規化された ID、選択 415
事前定義 387
フィルター ルール
ツールバー 34, 386
順序の設定 486
データの詳細 395
データの順番 483
データ、ビュー 410
ルールの順序 483
デフォルトを変更 410
McAfee Enterprise Security Manager 9.6.0
製品ガイド
547
索引
変数 472 (続き)
複数のデバイス
管理 63
カテゴリ、新規を追加 473
管理アイコン 40
タイプを変更 473
複数のデバイスを起動 63
変更 473
複数のデバイスを再起動 63
複数のデバイスを停止 63
プライマリ ESM、アップグレード 301
フラグ、デバイスまたはシステム 68
ブラックリスト
IPS の管理 213
IPS または仮想デバイス 212
McAfee Network Security Manager エントリを追加 217
アラーム アクション 328
イベント、ビュー 398
エントリ、削除済み McAfee Network Security Manager の追加
または削除 218
ほ
ポート
Receiver-HA、ネットワーク 77
ポートスキャン検出 475
保持、データ制限を設定 261
ホスト名
管理 241, 242
ホスト名、インポート リスト 243
ホスト名、レポートでの表示 380
ポリシー
インポート 467
グローバル 304
エクスポート 467
グローバルに設定 305
検索 467
自動的にルール 521
コピー 467
自動ブラックリストの設定 215
子ポリシー 467
プリプロセッサ ルール 475, 476
削除 467
古い資産、定義 447
追加 467
フロー
名前の変更 467
削除 398
変更の適用 532
取得 357
ポリシー ツリー 467
説明 353
ポリシー ツリー アイコン 467
ダウンロードを設定 354
チェック 358
非アクティブのしきい値を設定 356
ルールの表示 467
ポリシー エディター
オーバーサブスクリプション モード、設定 516
ビュー 387
デバイスの更新ステータスを表示 516
フローのロギング、有効化 388
変更履歴 531
プロトコル
アノマリ イベント 171
プロトコル異常、TCP 475
ま
プロファイル、設定 247
マシン ID、デバイスの表示 42
分散型 ESM
マニュアル
フィルターを追加 201
製品固有、検索 10
プロパティ 201
分析レポート、IPS の生成 210
分布グラフ、値を比較 405
分布グラフで値を比較 405
み
未加工データ、アーカイブ 85
ミラー ストレージ プール、再構築 150
ミラー ストレージ プールを再構築 150
へ
ミラー管理データベース、ELM を置き換え 160
別の Receiver へデータ ソースを移行 121
ミラー データ ストレージ、ELM を追加 150
別名、追加 234
ミラーリング デバイス、ELM を無効化 150
変更履歴、ルールの表示 525
偏差
め
アラーム条件 328
変数 472
priority_traffic 533
インポート 473
カスタム、追加 473
メール サーバー
アラーム、接続 222
接続 222
メタデータ イベント 171
カスタムを削除 473
548
McAfee Enterprise Security Manager 9.6.0
製品ガイド
索引
メッセージ
SMS 321
SNMP 321
Syslog 321
アラーム 222, 322
アラーム アクション 328
アラーム エスカレーション 328
アラーム、受信者 325
り
リスク
脅威、計算対象 464
リスク相関エンジン、ACE 164
リスク相関スコアリング 167
リスク相関マネージャー、追加 165
リスクの重大度と脅威の管理
管理 463
アラーム、セットアップ 321
アラーム テンプレート 322
アラーム、メール サーバー 222
表示、カスタムと事前定義 463
リストア
システム設定 285
受信者、アラーム 325
電子メール 321
メール サーバー、接続 222
通信キー 299
リモート コマンド
アラーム アクション 328
メッセージの設定 222, 322
メッセージ ログ、デバイスについて表示 45
メトリックス参照
ADM ルール 183
DEM ルール 495
メモリ、データベース使用率 264
アラーム エスカレーション 328
リモート コマンド プロファイル、設定 247
リモート デバイス、アクセス 301
リモート デバイスへのアクセス 301
履歴
ポリシー変更 531
ルールの変更を表示 525
も
履歴相関、ACE 169
文字列の正規化
インポートするファイルの作成 422
履歴相関、フィルターを追加 169
履歴相関イベント、ダウンロード 170
ファイルの管理 421
モデル、デバイスの表示 42
モニター
アラーム 332
る
ルート証明書のアップロード、CAC 274
ルール
Windows イベント 492
ゆ
アドバンスド Syslog パーサー 485
有効、FIPS モード 26
イベントから作成、カスタム 398
ユーザー
インポート 519
再有効化 278
ウォッチリストに追加 526
操作 265
エクスポート 520
追加 266
カスタムを削除 517
追加、CAC ログイン 274
カスタムを表示 517
デフォルト名 26
既存のフィルタリング 521
認証、LDAP サーバー 278
更新ステータスのクリア 524
無効 278
更新の確認 30
ユーザー識別
更新を取得 523
管理 196
コピーおよび貼り付け 517
ルールを追加 196
シグネチチャを表示 523
ユーザー定義のデータ ソース タイプ 124
自動ブラックリスト 521
優先設定、コンソール 33
集計設定を変更 528
優先トラフィック、マネージャー 533
重大度 530
正規化 513
よ
タイプとプロパティ 471
よくある質問 11, 15
ダウンロードへの上書きアクション 529
追加、アラーム 348
ら
データ ソース 490
ライセンス、DEM を更新 188
トランザクション追跡、追加または編集 511
トリガー イベント 171
McAfee Enterprise Security Manager 9.6.0
製品ガイド
549
索引
ルール (続き)
レポート (続き)
内部 483
ホスト名の表示 380
認証情報の更新 29
ユーザー定義 372
比較、ルール 525
レイアウト 375
標準、アクセス 211
ファイアウォール、アクセス 211
プリプロセッサ 475, 476
変更 517
ろ
ローカル ドライブ、仮想 153
ロギング
変数 472
ESM を設定 298
履歴、変更を表示 525
システムまたはデバイスを表示 66
ルールセット 140
デフォルトのプールを設定 54
ルールの更新を取得 523
ルールのタイプ 471
ルールをコピーおよび貼り付け 517
フローを有効化 388
ログ
管理 295
ルールを変更 517
言語を設定 30
生成するタイプ 296
れ
説明 353
レイアウト、レポートを追加 375
ダウンロードを設定 354
例外、ファイアウォール ルールを追加 479
レイヤー 7、イベント取得の遅延 219
チェック 358
ログ イベント
レポート
アラーム アクション 328
ESM デバイス タイプ数 220
ログイン
IPS 分析、生成 210
アクセス制御リスト 273
アラーム 335
コンソール 初回 26
アラーム アクション 328
セキュリティ 269
アラーム エスカレーション 328
設定の定義 270
イベント時間 220
ログイン ページ、カスタマイズ 27
画像の追加 378
ログオフ
キャンセル 335
キュー 335
コンソール 26
ログオン失敗
クエリー、ePO デバイス 207
UCAPL、アラーム 337
クエリーの管理 300
ログ データ、ELM をリストア 158
ケース管理、生成 441
ログの格納、ELM 144
削除 335
ロゴ、ログイン ページへの追加 27
四半期、開始月を設定 372
論理要素、編集 506
条件を追加 379
すぐに使える 372
ダウンロード 335
追加 373
通知、受信者を追加 223
停止 335
デバイス サマリー 65
550
McAfee Enterprise Security Manager 9.6.0
わ
ワークフローの追跡 434
割り当て先
アラーム エスカレーション 328
割り当て、データ制限を定義 262
製品ガイド
0-16
Fly UP