...

McAfee Enterprise Security Manager 9.5.1 製品ガイド

by user

on
Category: Documents
331

views

Report

Comments

Transcript

McAfee Enterprise Security Manager 9.5.1 製品ガイド
製品ガイド
McAfee Enterprise Security Manager 9.5.1
著作権
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Enterprise Security Manager 9.5.1
製品ガイド
目次
9
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ローカライズされた情報を検索する . . . . . . . . . . . . . . . . . . . . . . . . . 10
よくある質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1
13
概要
McAfee Enterprise Security Manager の仕組み . . . . . . . . . . . . . . . . . . . . . .
13
デバイスと機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
ESM コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
ESM ヘルプを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
よくある質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
ローカライズされた情報を検索する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2
19
はじめに
ハードウェアおよびソフトウェアの要件 . . . . . . . . . . . . . . . . . . . . . . . . . .
19
FIPS モードについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
FIPS モード情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
FIPS モードの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
FIPS 整合性のチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
キーが指定されたデバイスを FIPS モードで追加 . . . . . . . . . . . . . . . . . . . . 23
FIPS モードのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . .
26
共通条件により評価された設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
ログオンとログオフ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
ログオン ページをカスタマイズする . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
ESM ソフトウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ルールの更新の認証情報の取得と追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ルールの更新のチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
イベント ログの言語を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
デバイスの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
ESM コンソールにデバイスを追加する . . . . . . . . . . . . . . . . . . . . . . .
31
表示タイプの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
カスタム表示タイプを管理する . . . . . . . . . . . . . . . . . . . . . . . . . .
32
カスタム表示タイプでグループを管理する . . . . . . . . . . . . . . . . . . . . . .
33
グループまたはデバイスを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 33
システム ナビゲーション ツリー上の重複するデバイスを削除する . . . . . . . . . . . . . . 33
コンソールの優先設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
ESM コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
コンソールのカラー テーマの操作 . . . . . . . . . . . . . . . . . . . . . . . . .
35
コンソール ビュー設定の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
コンソール タイムアウト値の設定 . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.5.1
35
製品ガイド
3
目次
3
ユーザー設定の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
McAfee ePO のユーザー認証情報をセットアップする . . . . . . . . . . . . . . . . . .
36
ESM の設定
37
デバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
デバイス統計をを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
ESM コンソールにデバイスを追加する . . . . . . . . . . . . . . . . . . . . . . .
40
デバイス キーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
デバイスのソフトウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . 42
デバイスの編成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
複数のデバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
すべてのデバイスの URL リンクを管理 . . . . . . . . . . . . . . . . . . . . . . .
58
デバイス サマリー レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . .
58
システムまたはデバイス ログの表示 . . . . . . . . . . . . . . . . . . . . . . . .
58
デバイスの正常性ステータス レポート . . . . . . . . . . . . . . . . . . . . . . . . 59
グループまたはデバイスを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 62
デバイスを更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
デバイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
デバイスと機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
[Event Receiver] の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
Enterprise Log Manager (ELM) の設定 . . . . . . . . . . . . . . . . . . . . . .
115
Advanced Correlation Engine (ACE) の設定 . . . . . . . . . . . . . . . . . . . .
130
Application Data Monitor (ADM) の設定 . . . . . . . . . . . . . . . . . . . . . . 133
Database Event Monitor (DEM) の設定 . . . . . . . . . . . . . . . . . . . . . . 147
分散型 ESM (DESM) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
ePolicy Orchestrator 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
154
Nitro Intrusion Prevention System (Nitro IPS) の設定 . . . . . . . . . . . . . . . . 161
McAfee Vulnerability Manager 設定 . . . . . . . . . . . . . . . . . . . . . . .
164
McAfee Network Security Manager の設定 . . . . . . . . . . . . . . . . . . . .
165
補助サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
一般システム情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Remedy サーバー設定を設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
168
ESM システム ツリーの自動更新を停止する . . . . . . . . . . . . . . . . . . . . .
168
メッセージ設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
168
デバイスで NTP を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
ネットワーク設定を構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
171
システム時刻の同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
新しい証明書をインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
データベースを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
ESM データ ストレージを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 186
ESM VM データ ストレージを設定 . . . . . . . . . . . . . . . . . . . . . . . .
186
使用可能なアキュムレーター インデックスの数を増やす . . . . . . . . . . . . . . . . . 187
非アクティブ状態のパーティションのアーカイブを設定 . . . . . . . . . . . . . . . . .
187
データ保持制限を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
188
データ割り当て制限を定義する . . . . . . . . . . . . . . . . . . . . . . . . . . 188
データベースのインデックス設定を管理 . . . . . . . . . . . . . . . . . . . . . . . 188
アキュムレータのインデックス作成を管理 . . . . . . . . . . . . . . . . . . . . . . 189
データベースのメモリ使用率を表示 . . . . . . . . . . . . . . . . . . . . . . . .
189
ユーザーとグループの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
189
ユーザーの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
190
ユーザー設定の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
セキュリティのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
4
McAfee Enterprise Security Manager 9.5.1
製品ガイド
目次
McAfee ePO のユーザー認証情報をセットアップする . . . . . . . . . . . . . . . . .
194
ユーザーの無効化または再有効化 . . . . . . . . . . . . . . . . . . . . . . . . .
194
LDAP サーバーでユーザーを認証する . . . . . . . . . . . . . . . . . . . . . . .
195
ユーザー グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
アクセス制限のあるグループを追加する . . . . . . . . . . . . . . . . . . . . . . . 195
システム設定のバックアップおよびリストア . . . . . . . . . . . . . . . . . . . . . . . .
196
ESM の設定とシステム データのバックアップ . . . . . . . . . . . . . . . . . . . .
196
ESM 設定のリストア . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
197
バックアップされた設定ファイルをリストアする . . . . . . . . . . . . . . . . . . .
197
ESM でバックアップ ファイルを使用 . . . . . . . . . . . . . . . . . . . . . . .
198
ファイルの維持を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
冗長 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
198
199
冗長 ESM の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
冗長 ESM を置換する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
ESM の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
ログを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
202
IP アドレスをマスクする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
ESM ロギングを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
イベント ログの言語を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
通信キーをエクスポートおよびリストアする . . . . . . . . . . . . . . . . . . . . .
203
SSH キーを再生成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
クエリー タスク マネージャー . . . . . . . . . . . . . . . . . . . . . . . . . .
204
ESM で実行されるクエリーを管理する . . . . . . . . . . . . . . . . . . . . . . .
205
プライマリまたは冗長 ESM を更新する . . . . . . . . . . . . . . . . . . . . . . . 205
リモート デバイスにアクセス . . . . . . . . . . . . . . . . . . . . . . . . . .
205
Linux コマンドを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . .
206
使用できる Linux コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . .
206
グローバル ブラックリストを使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
グローバル ブラックリストを設定 . . . . . . . . . . . . . . . . . . . . . . . . . 208
データ エンリッチメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . . . . . . . .
™
4
208
208
McAfee Real Time for McAfee ePO データ エンリッチメントをセットアップする . . . . . .
209
Hadoop HBase データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . .
209
Hadoop Pig データ エンリッチメント ソースを追加する . . . . . . . . . . . . . . . .
210
ユーザー名の Active Directory データ エンリッチメントを追加する . . . . . . . . . . . .
211
213
サイバー脅威の管理
サイバー脅威の管理をセットアップする . . . . . . . . . . . . . . . . . . . . . . . . . . 213
サイバー脅威フィードの結果を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . 214
5
215
コンテンツ パックの使い方
コンテンツ パックをインポートする . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
215
217
アラーム ワークフロー
アラームの作成準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
アラーム メッセージをセットアップする . . . . . . . . . . . . . . . . . . . . . .
218
アラームの音声ファイルを管理する . . . . . . . . . . . . . . . . . . . . . . . .
223
アラーム レポート キューを管理する . . . . . . . . . . . . . . . . . . . . . . . . 224
アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
アラーム監視を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . .
225
アラームをコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
アラームをモニタリングして対応する . . . . . . . . . . . . . . . . . . . . . . . . . .
230
トリガーされたアラームの表示と確認 . . . . . . . . . . . . . . . . . . . . . . .
230
McAfee Enterprise Security Manager 9.5.1
製品ガイド
5
目次
サイバー脅威フィードの結果を表示する . . . . . . . . . . . . . . . . . . . . . . . 232
Threat Intelligence Exchange の統合 . . . . . . . . . . . . . . . . . . . . . . . 233
アラーム レポート キューを管理する . . . . . . . . . . . . . . . . . . . . . . . . 234
アラームを調整する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
UCAPL アラームを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
正常性モニター イベント アラームを追加する . . . . . . . . . . . . . . . . . . . .
237
フィールドの一致アラームを追加する . . . . . . . . . . . . . . . . . . . . . . .
244
ルールにアラームを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
7
電源障害通知の SNMP トラップを設定する . . . . . . . . . . . . . . . . . . . . .
246
アラーム アクションとして SNMP トラップを作成する . . . . . . . . . . . . . . . . .
247
電源障害通知アラームを追加する . . . . . . . . . . . . . . . . . . . . . . . . .
248
同期されていないデータ ソースを管理する . . . . . . . . . . . . . . . . . . . . .
249
251
イベントの操作
イベント、フロー、ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
251
イベント、フロー、ログのダウンロードを設定する . . . . . . . . . . . . . . . . . . . 251
データの収集時間を制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
非アクティブのしきい値設定の定義 . . . . . . . . . . . . . . . . . . . . . . . .
252
イベントとフローを取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
イベントのチェック、フロー、ログ . . . . . . . . . . . . . . . . . . . . . . . .
253
位置情報と ASN 設定を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
イベントとフローを取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
イベントまたはフローを集計する . . . . . . . . . . . . . . . . . . . . . . . . .
254
イベント転送を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
256
レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
260
四半期レポートの開始月を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 261
レポートの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
レポート レイアウトの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
PDF とレポートに画像を含める . . . . . . . . . . . . . . . . . . . . . . . . . . 262
レポート条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
レポートにホスト名を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . 262
contains フィルターと regex フィルターの説明 . . . . . . . . . . . . . . . . . . . . . . 263
ESM ビューの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
266
ESM ビューの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
セッションの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
ビュー ツールバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
定義済みビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
268
カスタム ビューを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
272
ビュー コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
クエリー ウィザードの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . .
283
ビューの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
286
イベントを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
イベントの IP アドレスの詳細を表示する . . . . . . . . . . . . . . . . . . . . . .
287
デフォルト ビューを変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
288
ビューのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . .
288
ウォッチリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
291
文字列の正規化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
294
カスタム タイプ フィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
カスタム タイプを作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
定義済みのカスタム タイプ テーブル . . . . . . . . . . . . . . . . . . . . . . . . 297
時間カスタム タイプを追加する . . . . . . . . . . . . . . . . . . . . . . . . .
299
名前/値カスタム タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
299
名前/値グループ カスタム タイプを追加する . . . . . . . . . . . . . . . . . . . . . 300
イベント時間を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Enterprise Security Manager 9.5.1
300
製品ガイド
目次
8
303
ケースの管理
ケースを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
イベントからケースを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
イベントを既存のケースに追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
304
ケースを編集または閉じる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
304
ケースの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
ケースのステータス レベルを追加する . . . . . . . . . . . . . . . . . . . . . . . . . .
305
ケースを電子メールで送信する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
すべてのケースの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
306
ケース管理レポートを生成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
9
309
資産マネージャー の使用方法
資産を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
310
古い資産を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
310
設定管理の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
310
取得された設定ファイルを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . 311
ネットワーク検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
311
ネットワークを検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
IP 除外リストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
エンドポイントを検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
ネットワーク マップの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
ネットワーク検出の動作を変更する . . . . . . . . . . . . . . . . . . . . . . . .
312
資産ソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
資産ソースを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
脆弱性評価ソースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
313
ゾーン管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
314
ゾーンの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
314
ゾーンの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
314
ゾーン設定のエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . .
314
ゾーン設定のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . .
315
サブゾーンの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
10
資産、脅威、リスク評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
316
既知の脅威を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
317
319
ポリシーとルールの管理
ポリシー エディター について . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
319
ポリシー ツリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
ポリシー ツリー でポリシーを管理する . . . . . . . . . . . . . . . . . . . . . . . 321
ルール タイプとプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
323
324
プリプロセッサ ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
ファイアウォール ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
327
詳細なパケット検査のルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
内部ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
330
フィルター ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
330
アドバンスド Syslog パーサー (ASP) ルール . . . . . . . . . . . . . . . . . . . .
331
データ ソース ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
332
Windows イベント ルール . . . . . . . . . . . . . . . . . . . . . . . . . . .
333
ADM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
DEM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
相関ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
341
相関ルールの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
カスタム ADM、データベース、または相関ルールを追加 . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.5.1
342
製品ガイド
7
目次
ESM ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
正規化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
パケットをコピー を有効にする . . . . . . . . . . . . . . . . . . . . . . . . .
349
デフォルトのポリシー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
349
アラート専用モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
オーバーサブスクリプション モードの設定 . . . . . . . . . . . . . . . . . . . . .
350
デバイスのポリシー更新ステータスを表示 . . . . . . . . . . . . . . . . . . . . . . 350
ルールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
350
ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
350
ルールのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
変数をインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
ルールのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
352
自動ブラックリストへのルールの設定 . . . . . . . . . . . . . . . . . . . . . . .
353
既存ルールのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
ルールのシグネチャの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
355
ルールの更新の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
更新されたルール ステータスのクリア . . . . . . . . . . . . . . . . . . . . . . .
356
ルール ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
ルールの変更履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
357
ルールの新しいウォッチリストの作成 . . . . . . . . . . . . . . . . . . . . . . .
357
ウォッチリストへのルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . .
358
ルールまたは資産へのタグの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . .
358
集計設定を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
359
ダウンロードしたルールの上書きアクション . . . . . . . . . . . . . . . . . . . . . . . .
360
重大度の加重 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
360
重大度の加重の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
ポリシーの変更履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
361
ポリシー変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
優先トラフィックの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
索引
8
McAfee Enterprise Security Manager 9.5.1
361
363
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。
•
ユーザー - このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機
能にアクセスできるユーザー。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
9
まえがき
製品マニュアルの検索
製品マニュアルの検索
製品のリリース後は、McAfee のオンライン ナレッジセンターに製品情報が掲載されます。
タスク
1
McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。
2
[KnowledgeBase] ペインで、コンテンツのソースをクリックします。
•
[Product Documentation] をクリックして、ユーザー マニュアルを検索します。
•
[Technical Articles] をクリックして、KnowledgeBase の記事を検索します。
3
[Do not clear my filters] を選択します。
4
製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。
タスク
•
10 ページの「ローカライズされた情報を検索する」
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に
翻訳されています。
•
11 ページの「よくある質問」
ここでは、よくある質問について紹介します。
ローカライズされた情報を検索する
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されて
います。
•
中国語 (簡体字)
•
日本語
•
中国語 (繁体字)
•
韓国語
•
英語
•
ポルトガル語 (ブラジル)
•
フランス語
•
スペイン語
•
ドイツ語
ローカライズされたオンライン ヘルプにアクセスする
ESM で言語設定を変更すると、オンライン ヘルプの言語も自動的に変更されます。
1
ESM にログオンします。
2
ESM コンソールのシステム ナビゲーション ペインで、[オプション] を選択します。
3
言語を選択し、[OK] をクリックします。
4
ESM ウィンドウの右上隅にある ヘルプ アイコンをクリックするか、[ヘルプ] メニューを選択します。 選択した
言語でヘルプが表示されます。
ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。 今後の更新で、ローカライズ
されたヘルプをインストールする予定です。
10
McAfee Enterprise Security Manager 9.5.1
製品ガイド
まえがき
製品マニュアルの検索
翻訳された製品マニュアルをナレッジ センターで検索する
1
ナレッジ センターを表示します。
2
翻訳された製品マニュアルを以下の条件で検索します。
•
検索語句 - 製品ガイド、インストール ガイドまたはリリース ノート
•
製品 - SIEM Enterprise Security Manger
•
バージョン - 9.5.0 以降
3
検索結果で、関連するドキュメントのタイトルをクリックします。
4
PDF アイコンのあるページで、右側に言語リンクが表示されるまで下にスクロールします。 関連する言語をクリ
ックします。
5
PDF リンクをクリックします。翻訳された製品マニュアルが表示されます。
関連トピック:
16 ページの「ESM ヘルプを使用する」
よくある質問
ここでは、よくある質問について紹介します。
ESM の情報を他の言語で見ることはできますか?
ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されてい
ます。
•
中国語 (簡体字と繁体字)
•
日本語
•
英語
•
韓国語
•
フランス語
•
ポルトガル語 (ブラジル)
•
ドイツ語
•
スペイン語
ローカライズされた情報を検索する 10 ページの「」
McAfee ESM の情報はどこで入手できますか?
•
ESM ヘルプを使用する16 ページの「」
•
ナレッジ センターを利用する
•
エキスパート センターを利用する
•
McAfee ESM の動画を見る
サポートされている SIEM デバイスを教えてください。
McAfee ESM の Web サイトを見る
データソースの設定方法を教えてください。
ナレッジ センターで最新のデータソースの設定ガイドを参照してください。
使用可能なコンテンツ パックを教えてください。
ナレッジ センターで KB 記事を参照してください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
11
まえがき
製品マニュアルの検索
12
McAfee Enterprise Security Manager 9.5.1
製品ガイド
1
概要
®
McAfee Enterprise Security Manager (McAfee ESM) を使用すると、セキュリティ担当者やコンプライアンス担
当者は、リスクと脅威に関する情報を収集し、保存や分析、アクションの実行を行うことができます。これらの操作
は 1 つの場所から実行できます。
目次
McAfee Enterprise Security Manager の仕組み
デバイスと機能
ESM コンソール
ESM ヘルプを使用する
よくある質問
ローカライズされた情報を検索する
McAfee Enterprise Security Manager の仕組み
McAfee ESM は、セキュリティ デバイス、ネットワーク インフラ、システム、アプリケーションからデータとイベ
ントを収集して集計します。 ユーザー、資産、脆弱性、脅威などのコンテキスト情報を組み合わせて有益な情報を生
成します。 この情報を相関分析して、関連するインシデントを検出します。 カスタマイズ可能な対話型のダッシュ
ボードを使用して、特定のイベントをドリルダウンし、インシデントを調査できます。
ESM は、次の 3 つのレイヤーで構成されます。
•
インターフェース - システムへのユーザーのインターフェースを提供するブラウザー プログラム (ESM コン
ソールともいいます)。
•
データ ストレージ、管理、および分析 - 設定、報告、視角化、検索など、すべての必要なデータ操作サービス
を提供するデバイス。 ESM (必須)、Advanced Correlation Engine (ACE)、分散型 ESM (DESM)、Enterprise
Log Manager (ELM) がこれらの機能を実行します。
•
データ取得 - ユーザーのネットワーク環境からデータを取得するインターフェースとサービスを提供するデバ
イス。 Nitro Intrusion Prevention System(IPS)、Event Receiver(Receiver)、Application Data Monitor
(ADM)、および Database Event Monitor(DEM)がこれらの機能を実行します。
コンポーネント間のすべてのコマンド、制御、および通信機能は、セキュアな通信チャネルを通じて調整されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
13
1
概要
デバイスと機能
デバイスと機能
ESM では、セキュリティ環境内のブル地デバイスと仮想デバイスを管理し、デバイスとの接続を制御できます。
関連トピック:
64 ページの「[Event Receiver] の設定」
115 ページの「Enterprise Log Manager (ELM) の設定」
133 ページの「Application Data Monitor (ADM) の設定」
147 ページの「Database Event Monitor (DEM) の設定」
130 ページの「Advanced Correlation Engine (ACE) の設定」
154 ページの「分散型 ESM (DESM) の設定」
154 ページの「ePolicy Orchestrator 設定」
161 ページの「Nitro Intrusion Prevention System (Nitro IPS) の設定」
14
McAfee Enterprise Security Manager 9.5.1
製品ガイド
概要
ESM コンソール
1
ESM コンソール
ESM コンソールでは、デバイスに関するアクティビティをリアルタイムに把握できます。アラーム通知や割り当て
られたコードに迅速にアクセスできます。
1
一般的な設定を行うシステム ナビゲーション バ
ーのツールバー。
5
アラーム通知と割り当て済みのオープン ケース
を表示する [アラームとケース] ペイン。
2
頻繁に使用するページにアクセスするためのアイ
コン。
6
イベント、フロー、ログ データの [ビュー] ペイ
ン。
3
各デバイスを設定するために必要な機能を選択す
るためのアクション ツールバー。
7
ビューを作成、編集、管理する [ビュー] ツール
バー。
4
システム上のデバイスを表示するためのシステム
ナビゲーション ペイン。
8
データのイベントベースまたはフローベースのフ
ィルタリングを適用する [フィルター] ペイン。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
15
1
概要
ESM ヘルプを使用する
ESM ヘルプを使用する
ESM の使い方が分からない場合には、 オンライン ヘルプを使用してください。概念、リファレンス、ESM の操作
方法などを確認できます。
開始する前に
オプション: ローカライズされた情報を検索する 10 ページの「」。
タスク
1
2
ESM ヘルプを開くには、次のいずれかを行います。
•
メニュー オプションで [ヘルプ]、[ヘルプの目次] の順に選択します。
•
ESM 画面の右上にある ? マークをクリックします。その画面に固有のコンテキスト ヘルプが表示されま
す。
[ヘルプ] ウィンドウ:
•
ヘルプ内の語句を検索するには、[検索] フィールドを使用します。 [検索] フィールドの下に結果が表示され
ます。 関連するリンクをクリックすると、右側のペインにヘルプ トピックが表示されます。
•
ヘルプ トピックを順番に確認するには、[目次] タブを使用します。
•
ヘルプ内の特定の語句を探すには、[索引] を使用します。 キーワードが英字順に表示されます。必要なキー
ワードが見つかるまでリストをスクロールしてください。 キーワードをクリックすると、ヘルプ トピックが
表示されます。
•
現在のヘルプ トピックを印刷するには (スクロール バーを除く)、ヘルプ トピックの右上にあるプリンター
のアイコンをクリックします。
•
関連するヘルプ トピックのリンクを探すには、下にスクロールしてヘルプ トピックの最後に移動してくださ
い。
関連トピック:
10 ページの「ローカライズされた情報を検索する」
よくある質問
ここでは、よくある質問について紹介します。
ESM の情報を他の言語で見ることはできますか?
ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されてい
ます。
•
中国語 (簡体字と繁体字)
•
日本語
•
英語
•
韓国語
•
フランス語
•
ポルトガル語 (ブラジル)
•
ドイツ語
•
スペイン語
ローカライズされた情報を検索する 10 ページの「」
McAfee ESM の情報はどこで入手できますか?
16
•
ESM ヘルプを使用する 16 ページの「」
•
ナレッジ センターを利用する
McAfee Enterprise Security Manager 9.5.1
製品ガイド
概要
ローカライズされた情報を検索する
•
エキスパート センターを利用する
•
McAfee ESM の動画を見る
1
サポートされている SIEM デバイスを教えてください。
McAfee ESM の Web サイトを見る
データソースの設定方法を教えてください。
ナレッジ センターで最新のデータソースの設定ガイドを参照してください。
使用可能なコンテンツ パックを教えてください。
ナレッジ センターで KB 記事を参照してください。
ローカライズされた情報を検索する
McAfee ESM のリリース ノート、オンライン ヘルプ、製品ガイド、インストール ガイドは次の言語に翻訳されて
います。
•
中国語 (簡体字)
•
日本語
•
中国語 (繁体字)
•
韓国語
•
英語
•
ポルトガル語 (ブラジル)
•
フランス語
•
スペイン語
•
ドイツ語
ローカライズされたオンライン ヘルプにアクセスする
ESM で言語設定を変更すると、オンライン ヘルプの言語も自動的に変更されます。
1
ESM にログオンします。
2
ESM コンソールのシステム ナビゲーション ペインで、[オプション] を選択します。
3
言語を選択し、[OK] をクリックします。
4
ESM ウィンドウの右上隅にある ヘルプ アイコンをクリックするか、[ヘルプ] メニューを選択します。 選択した
言語でヘルプが表示されます。
ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。 今後の更新で、ローカライズ
されたヘルプをインストールする予定です。
翻訳された製品マニュアルをナレッジ センターで検索する
1
ナレッジ センターを表示します。
2
翻訳された製品マニュアルを以下の条件で検索します。
3
•
検索語句 - 製品ガイド、インストール ガイドまたはリリース ノート
•
製品 - SIEM Enterprise Security Manger
•
バージョン - 9.5.0 以降
検索結果で、関連するドキュメントのタイトルをクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
17
1
概要
ローカライズされた情報を検索する
4
PDF アイコンのあるページで、右側に言語リンクが表示されるまで下にスクロールします。 関連する言語をクリ
ックします。
5
PDF リンクをクリックします。翻訳された製品マニュアルが表示されます。
関連トピック:
16 ページの「ESM ヘルプを使用する」
18
McAfee Enterprise Security Manager 9.5.1
製品ガイド
2
はじめに
ESM 環境が最新で準備ができていることを確認します。
目次
ハードウェアおよびソフトウェアの要件
FIPS モードについて
共通条件により評価された設定
ログオンとログオフ
ログオン ページをカスタマイズする
ESM ソフトウェアを更新する
ルールの更新の認証情報の取得と追加
ルールの更新のチェック
イベント ログの言語を変更
デバイスの接続
コンソールの優先設定
ハードウェアおよびソフトウェアの要件
ご使用のシステムが、次に示す最小限のハードウェアおよびソフトウェア要件を満たしている必要があります。
システムの要件
•
プロセッサー - P4 クラス (Celeron 以外) 以上 (Mobile/Xeon/Core2、Corei3/5/7)、または AMD AM2 クラ
ス以上 (Turion64/Athlon64/Opteron64、A4/6/8)
•
RAM - 1.5 GB
•
Windows OS - Windows 2000、Windows XP、Windows 2003 Server、Windows Vista、Windows 2008
Server、Windows Server 2012、Windows 7、Windows 8、Windows 8.1
•
ブラウザー - Internet Explorer 9.x 以降、Mozilla Firefox 9 以降、Google Chrome 33 以降
•
Flash Player - バージョン 11.2.x.x 以降
ファイルをアップロードまたはダウンロードすると、ESM 機能のポップアップ ウィンドウが表示されます。 ESM の
IP アドレスまたはホスト名のポップアップ ブロッカーを無効にしてください。
仮想マシンの要件
•
プロセッサー - 8 コア、64 ビット Dual Core2/Nehalem 以上または AMD Dual Athlon64/Dual
Opteron64 以上
•
RAM - 4 GB 以上 (モデルによって異なります)
McAfee Enterprise Security Manager 9.5.1
製品ガイド
19
2
はじめに
FIPS モードについて
•
ディスク容量 - 250 GB 以上 (モデルによって異なります)
•
ESXi 5.0 以上
•
シック プロビジョニングとシン プロビジョニング - サーバーのハードディスク要件を決める必要があります。
最小限の要件は 250 GB です (購入した仮想マシンがこのサイズを超えている場合は除く)。 仮想マシン製品の
仕様を確認してください。
ENMELM 仮想マシンでは、CPU と RAM を必要とする多くの機能が使用されています。 ESXi 環境と他の仮想マシ
ンの CPU/RAM 要件が同じ場合、ENMELM 仮想マシンのパフォーマンスに影響を及ぼします。 これらの要件を満た
す CPU と RAM を用意してください。
FIPS モードについて
Federal Information Processing Standard(FIPS)は、米国連邦政府が策定した公式発表済みの規格で構成され
ています。これらの規格を満たす必要がある場合は、このシステムを FIPS モードで動作させる必要があります。
FIPS モードは初めてシステムにログオンしたときに選択する必要があり、後から変更することはできません。
関連トピック:
21 ページの「FIPS モード情報」
目次
FIPS モード情報
FIPS モードの選択
FIPS 整合性のチェック
キーが指定されたデバイスを FIPS モードで追加
FIPS モードのトラブルシューティング
20
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
FIPS モードについて
2
FIPS モード情報
FIPS 規制により、一部の ESM 機能は使用できません。また、規制に準拠していない使用可能機能もあり、FIPS モ
ードの場合のみ使用できる機能もあります。ここにリストされた機能については、ドキュメント全体で説明していま
す。
機能ステータス
説明
[削除された機
能]
• 高可用性 Receiver。
• GUI ターミナル。
• SSH プロトコルによるデバイスとの通信機能。
• デバイス コンソールで、ルート シェルがデバイス管理メニューに置き換えられています。
[FIPS モードで
のみ使用できる
機能]
• 重ならない 4 つのユーザー ロール、[ユーザー]、[パワー ユーザー]、[監査の管理]、[キーと
証明書の管理] があります。
• すべての [プロパティ] ページには [セルフ テスト] オプションがあり、システムが FIPS モ
ードで正常に動作していることを確認できます。
• FIPS で障害が発生すると、その障害を反映してステータス フラグがシステム ナビゲーション
ツリーに追加されます。
• すべての [プロパティ] ページには [ビュー] オプションがあり、クリックすると [FIPS ID ト
ークン] ページが開きます。ここに表示される値と、ドキュメントの各セクションに表示され
る値を比較して、FIPS のセキュリティが侵害されていないかどうかを確認します。
• [システムのプロパティ] 、 [ユーザーとグループ] 、 [特権] 、 [グループを編集] の順に移動
します。このページに [FIPS 暗号化セルフ テスト] 特権が含まれ、グループ メンバーに
FIPS セルフ テストの実行が認証されます。
• [キーをインポート] または [キーをエクスポート] を選択して、[IPS プロパティ] 、 [キー管
理] の順にクリックすると、インポートまたはエクスポートするキーのタイプを選択するよう
に求められます。
• [デバイス ウィザードを追加] で、TCP プロトコルは常にポート 22 に設定されています。
SSH ポートは変更できます。
FIPS モードの選択
初めてシステムにログオンすると、システムを FIPS モードで操作するかどうかを選択するように促されます。一度
選択すると、変更できません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
初めて ESM にログオンしたときは、以下の手順に従います。
a
[ユーザー名] フィールドに NGCP と入力します。
b
[パスワード] フィールドに security.4u と入力します。
パスワードを変更するように促されます。
2
新しいパスワードを入力して確認します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
21
2
はじめに
FIPS モードについて
3
[FIPS を有効化] ページで [はい] をクリックします。
[FIPS を有効化] では、このシステムを FIPS モードで永続的に操作するかどうかを確認する警告メッセージが表
示されます。
4
[はい] をクリックして選択内容を確認します。
FIPS 整合性のチェック
FIPS モードで操作している場合は、FIPS 140-2 により、ソフトウェアの整合性テストを定期的に行う必要があり
ます。このテストは、システムと各デバイスで実行する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
以下のいずれかの操作を行います。
フィ
ール
ド
操作
[FIPS ESM で実行された最新の FIPS セルフ テストの結果を表示します。
ステ
ータ
ス:]
[テス 暗号実行可能ファイル内で使用されるアルゴリズムの整合性をテストする FIPS セルフ テストを実行しま
ト]
す。結果は、[メッセージ ログ] に表示できます。
また
は
FIPS セルフ テストが失敗した場合、FIPS が危険にさらされているか、デバイス エラーが発生しています。
[FIPS
McAfee サポートに連絡してください。
セル
フテ
スト]
[表
[FIPS ID トークン] ページを開いて、起動ソフトウェア整合性テストを実行します。このページに表示され
示]
るパブリック キーと以下の値を比較します。
また
は
[FIPS
ID]
この値とパブリック キーが一致しない場合、FIPS は危険にさらされています。McAfee サポートに連絡してく
ださい。
22
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
FIPS モードについて
2
キーが指定されたデバイスを FIPS モードで追加
FIPS モードでは、すでに ESM に対してキーが指定されたデバイスを 2 つの方法で追加できます。 この用語とファ
イル拡張子は、以下のプロセスを進める上で役立ちます。
用語
•
[デバイス キー] - デバイス用に ESM が持つ管理権限が含まれています。暗号化には使用されません。
•
[パブリック キー] - デバイスの認証済みキー テーブルに格納されている ESM パブリック SSH 通信キー。
•
[プライベート キー] - ESM でデバイスとの SSH 接続を確立するために SSH 実行ファイルによって使用され
る、ESM プライベート SSH 通信キー。
•
[プライマリ ESM] - 最初にデバイスを登録するために使用した ESM。
•
[セカンダリ ESM] - デバイスと通信を行う追加の ESM。
各種のエクスポート ファイルのファイル拡張子
•
.exk — デバイス キーが含まれています。
•
.puk — 公開鍵が含まれています。
•
.prk — 秘密鍵とデバイス キーが含まれています。
FIPS モードのデバイスの情報をバックアップおよびリストア
この方法は、ESM のデバイスの通信情報をバックアップおよびリストアするために使用します。
この機能は、主に ESM の置換を必要とするエラーが発生した場合に使用します。 エラーが発生する前に通信情報が
エクスポートされていなかった場合は、デバイスとの通信を再確立することはできません。 この方法では、.prk フ
ァイルがエクスポートおよびインポートされます。
プライマリ ESM のプライベート キーは、セカンダリ ESM がデバイスとの通信を最初に確立するために使用されま
す。 通信が確立すると、セカンダリ ESM はデバイスの認証済みキー テーブルにパブリック キーをコピーします。
セカンダリ ESM はプライマリ ESM のプライベート キーを消去し、独自のパブリック キーまたはプライベート キ
ーのペアによって通信を確立します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
23
2
はじめに
FIPS モードについて
アクション
手順
プライマリ ESM か
ら .prk ファイルをエク
スポートします。
1 プライマリ ESM のシステム ナビゲーション ツリーで、バックアップする通信情報が
あるデバイスを選択し、[プロパティ] アイコンをクリックします。
2 [キー管理] を選択し、[キーをエクスポート] をクリックします。
3 [SSH 秘密鍵をバックアップ] を選択し、[次へ] をクリックします。
4 パスワードを入力して確認し、有効期限日を設定します。
有効期限日が経過すると、将来の有効期限日と合わせて別のキーがエクスポートされ
るまで、キーをインポートしてもデバイスと通信することができなくなります。[期限
なし] を選択すると、別の ESM にインポートされたキーが期限切れになることがなく
なります。
5 [OK] をクリックし、ESM で削除された .prk ファイルを保存する場所を選択して、プ
ライマリ ESM をログアウトします。
セカンダリ ESM にデバ 1 セカンダリ デバイスのシステム ナビゲーション ツリーで、デバイスを追加するシス
イスを追加し、.prk ファ
テムまたはグループ レベル ノードを選択します。
イルをインポートしま
2 アクション ツールバーで [デバイスを追加] をクリックします。
す。
3 追加するデバイスのタイプを選択し、[次へ] をクリックします。
4 このグループ内で一意のデバイス名を入力し、[次へ] をクリックします。
5 デバイスのターゲット IP アドレスを入力し、FIPS 通信ポートを入力して、[次へ] を
クリックします。
6 [キーをインポート] をクリックし、以前エクスポートした .prk ファイルを参照し、
[アップロード] をクリックします。
このキーを最初にエクスポートしたときに指定したパスワードを入力します。
7 セカンダリ ESM からログアウトします。
FIPS モードで複数の ESM デバイスとの通信を有効化
.puk および .exk ファイルのエクスポートとインポートによって、複数の ESM が、同じデバイスと通信できるよう
にすることができます。
この方法では、2 つのエクスポートおよびインポート プロセスを使用します。最初に、プライマリ ESM を使用し
て、セカンダリ ESM デバイスがエクスポートした .puk ファイルをインポートし、それに含まれているセカンダリ
ESM パブリック キーをデバイスに送信することで、両方の ESM デバイスがデバイスと通信できるようになります。
次に、プライマリ ESM からデバイスの .exk ファイルがエクスポートされ、セカンダリ ESM にインポートされる
ことで、セカンダリ ESM がデバイスと通信できるようになります。
24
McAfee Enterprise Security Manager 9.5.1
製品ガイド
2
はじめに
FIPS モードについて
アクション
手順
セカンダリ ESM か
ら .puk ファイルをエ
クスポートします。
1 セカンダリ ESM の [システムのプロパティ] ページで、[ESM 管理] を選択します。
2 [SSH をエクスポート] をクリックし、.puk ファイルを保存する場所を選択します。
3 [保存] をクリックしてログアウトします。
.puk ファイルをプライ 1 プライマリ ESM のシステム ナビゲ
マリ ESM にインポー
ーション ツリーで、設定するデバイ
ト
スを選択します。
2 [プロパティ] アイコンをクリックし、
[キー管理] を選択します。
4 [インポート] をクリックし、.puk フ
ァイルを選択し、[アップロード] をク
リックします。
5 [OK] をクリックして、プライマリ
ESM からログアウトします。
3 [SSH キーを管理] をクリックしま
す。
プライマリ ESM から
デバイスの .exk ファ
イルをエクスポート
1 プライマリ ESM のシステム ナビゲーション ツリーで、設定するデバイスを選択しま
す。
2 [プロパティ] アイコンをクリックし、[キー管理] を選択します。
3 [キーをエクスポート] をクリックし、バックアップ デバイス キーを選択して、[次へ]
をクリックします。
4 パスワードを入力して確認し、有効期限日を設定します。
有効期限日が経過すると、将来の有効期限日と合わせて別のキーがエクスポートされる
まで、キーをインポートしてもデバイスと通信することができなくなります。[期限な
し] を選択すると、別の ESM にインポートされたキーが期限切れになることがなくな
ります。
5 .exk ファイル特権を選択し、[OK] をクリックします。
6 このファイルを保存する場所を選択し、プライマリ ESM からログアウトします。
セカンダリ ESM ファ
イルに .exk ファイル
をインポート
1 セカンダリ デバイスのシステム ナビゲーション ツリーで、デバイスを追加するシステ
ムまたはグループ レベル ノードを選択します。
2 アクション ツールバーで [デバイスを追加] をクリックします。
3 追加するデバイスのタイプを選択し、[次へ] をクリックします。
4 グループ内で一意のデバイス名を入力し、[次へ] をクリックします。
5 [キーをインポート] をクリックし、.exk ファイルを参照します。
6 [アップロード] をクリックし、このキーを最初にエクスポートしたときに指定したパス
ワードを入力します。
7 セカンダリ ESM からログアウトします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
25
2
はじめに
共通条件により評価された設定
FIPS モードのトラブルシューティング
ESM を FIPS モードで動作させると問題が発生する可能性があります。
問題
説明と解決
ESM と通信で
きない
• デバイス前面の LCD を確認します。[FIPS エラー] を示している場合は、McAfee サポートに
連絡してください。
• ブラウザーに McAfee ESM FIPS セルフ テスト Web ページを表示して、HTTP インターフェ
ースを介してエラー状態を確認します。
- 1 桁の [0] が表示された場合は、デバイスが FIPS セルフ テストに失敗したことを示してい
るため、ESM デバイスを再起動して問題の解消を試みてください。 エラーの状態が解消されな
い場合は、対処方法についてサポートに問い合わせてください。
- 1 桁の [1] が表示される場合は、FIPS エラー以外の理由で通信に問題が発生しています。
トラブルシューティングの手順についてサポートに問い合わせてください。
デバイスと通
信できない
• システム ナビゲーション ツリーのデバイスの横にステータス フラグがある場合は、フラグにカ
ーソルを合わせます。 [FIPS エラー] を示している場合は、サポート ポータルにアクセスして
McAfee サポートに連絡してください。
•『ESM と通信できない』の説明に従います。
デバイスを追
非 FIPS デバイスからキーをエクスポートできず、FIPS モードで動作するデバイスにインポート
加すると [ファ できません。 FIPS デバイスからキーをエクスポートできず、非 FIPS モードで動作するデバイス
イルが無効で
にインポートできません。 このエラーは、いずれかの場合に発生します。
す] エラー
共通条件により評価された設定
McAfee アプライアンスは、共通条件により評価された設定に準拠するために、特定の方法でインストール、設定、
および操作する必要があります。システムを設定するときに、これらの要件を考慮してください。
タイ
プ
要件
物理
McAfee アプライアンスは次のように設定する必要があります。
• 権限のない物理的な変更が加えられないように保護する。
• アクセスが制御された設備内に設置し、権限のない物理的なアクセスを防止する。
目的
に合
った
使用
方法
McAfee アプライアンスは次のようにする必要があります。
• 機能の実行に必要な、すべてのネットワーク トラフィックにアクセスできる。
• Target of Evaluation(TOE)が監視するネットワーク トラフィックでのアドレス変更ができるように
管理する。
• 監視対象のネットワーク トラフィックに合わせてサイズ変更する。
26
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
ログオンとログオフ
2
タイ
プ
要件
担当
者
• McAfee アプライアンスとそれに含まれる情報のセキュリティを管理するために、1 人以上の適格性のあ
る担当者を割り当てる必要があります。それぞれの McAfee カスタマー向けに、McAfee エンジニアに
よって、インストールおよび設定に関するオンサイト アシスタンスと、アプライアンスの操作に関する
オンサイト トレーニングが提供されています。
• 認証済み管理者は、不注意、怠慢、反抗的な姿勢を持たず、McAfee アプライアンスのドキュメントに記
載されている指示に従う必要があります。
• McAfee アプライアンスには、認証済みユーザーのみがアクセスできます。
• McAfee アプライアンスの担当者は、IT セキュリティと整合性のある方法で、ユーザーのすべてのアク
セス認証情報が保護されるようにしなければなりません。
その
他
• 共通条件により評価された設定以外の設定の原因になるため、ソフトウェア更新は McAfee アプライア
ンスには適用しないでください。認証済みの更新を取得するには、McAfee サポートまでお問い合わせく
ださい。
• Nitro IPS デバイスで、[ウォッチドッグ タイマー] および [バイパスを強制] 設定を [ネットワーク イ
ンターフェース設定] ページで有効にすると、共通条件により評価された設定以外の設定の原因になりま
す。
• Nitro IPS デバイスで、[ドロップ] 以外のオーバーサブスクリプション モード設定を使用すると、共通
条件により評価された設定以外の設定の原因になります。
• RADIUS サーバーで [ログインのセキュリティ] 機能を有効にすると、セキュアな通信が実現します。こ
の IT 環境では、TOE と外部のエンティティやソースとのセキュアなデータ送信が可能になります。
RADIUS サーバーでは外部の認証サービスを提供できます。
• チェック ポイント ファイアウォール コンソールの [Smart Dashboard] 機能は、TOE には含まれてい
ません。
• Snort Barnyard の使用は TOE には含まれていません。
• MEF クライアントの使用は TOE には含まれていません。
• Remedy チケット システムの使用は TOE には含まれていません。
ログオンとログオフ
デバイスのインストールと設定が済むと、初めて ESM コンソールにログオンできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
クライアント コンピューターで Web ブラウザーを開き、ネットワーク インターフェースを設定したときに設定
した IP アドレスに移動します。
2
[ログイン] をクリックし、コンソールの言語を選択してから、デフォルトのユーザー名とパスワードを入力しま
す。
•
デフォルトのユーザー名: NGCP
•
デフォルトのパスワード: security.4u
3
[ログイン] をクリックし、[使用許諾契約]を参照してから、[受諾] をクリックします。
4
ユーザー名とパスワードを変更して [OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
27
2
はじめに
ログオン ページをカスタマイズする
5
FIPS モードを有効にするかどうかを選択します。
FIPS モードで作業する必要がある場合、システムに初めてログオンするときに FIPS モードを有効にして、その
後の McAfee デバイスの操作がすべて FIPS モードで行われるようにします。 必要がない場合は、FIPS モードを
有効にしないでください。詳細については、『FIPS モードについて』を参照してください。
6
表示された手順を実行して、ルールの更新にアクセスするために必要なユーザー名とパスワードを取得します。
7
初期 ESM 設定を実行します。
a
システム ログで使用する言語を選択します。
b
この ESM が属するタイム ゾーンとこのアカウントで使用する日付形式を選択し、[次へ] をクリックします。
c
[初期 ESM 設定] ウィザードのページで設定を定義します。 各ページで [ヘルプを表示] アイコン
リックして、手順を確認します。
をク
8
[OK] をクリックします。スタート ガイドのヘルプ リンクをクリックして、このバージョンの ESM の新機能を
確認します。
9
作業セッションを完了したら、次のいずれかの方法でログオフします。
•
開いているページがない場合は、コンソールの右上にあるシステム ナビゲーション バーの [ログアウト] を
クリックします。
•
ページが開いている場合は、ブラウザを閉じます。
関連トピック:
20 ページの「FIPS モードについて」
ログオン ページをカスタマイズする
ログオン ページは、企業のセキュリティ ポリシーなどの文字や企業ロゴなどを追加して、カスタマイズすることが
できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
28
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [カスタム設定] の順に選択します。
2
次のいずれかを行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
ESM ソフトウェアを更新する
これを...
実行するには...
カスタム テキ
ストを追加
1 ページの上部にあるテキスト ボックスをクリックします。
2
2 [ログイン] ページに追加するテキストを入力します。
3 [ログイン画面にテキストを含めます] を選択します。
カスタム画像を 1 [画像を選択] をクリックします。
追加
2 使用する画像をアップロードします。
3 [ログイン画面に画像を含めます] を選択します。
新しいカスタム ロゴをアップロードしても、[ログイン] ページに古いロゴが表示されている場
合は、ブラウザーのキャッシュをクリアします。
カスタム画像を [画像を削除] をクリックします。デフォルトのロゴが表示されます。
削除
ESM ソフトウェアを更新する
更新サーバーまたはセキュリティ エンジニアからソフトウェア更新を入手し、ESM にアップロードします。
プライマリまたは冗長 ESM を更新するには、「プライマリまたは冗長 ESM を更新する」を参照してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで、[ESM を更新] をクリックします。
3
ESM の更新に使用するファイルを選択して、[OK] をクリックします。
ESM が再起動します。更新のインストール中、現在のセッションはすべて切断されます。
関連トピック:
205 ページの「プライマリまたは冗長 ESM を更新する」
ルールの更新の認証情報の取得と追加
ESM ではポリシー、パーサー、ルールの更新の提供がメンテナンス契約に含まれています。 恒久的な認証情報が必
要になるまで 30 日間アクセスすることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
認証情報を取得するには、電子メール メッセージに次の情報を記載して [email protected] に送信しま
す。
•
McAfee 承認番号
•
アカウント名
McAfee Enterprise Security Manager 9.5.1
製品ガイド
29
2
はじめに
ルールの更新のチェック
•
住所
•
連絡先の名前
•
連絡先の電子メール アドレス
2
McAfee からカスタマー ID とパスワードを受信したら、システム ナビゲーション ツリーで、 [システムのプロ
パティ] 、 [システム情報] 、 [ルールの更新] の順に選択します。
3
[認証情報] をクリックして、カスタマー ID とパスワードを入力します。
4
[検証] をクリックします。
ルールの更新のチェック
Nitro IPS がネットワーク トラフィックの調査に使用するルール シグネチャは、McAfee シグネチャ チームが常時
更新しており、McAfee のセントラル サーバーからダウンロードできます。 これらのルール更新は自動または手動
で取得できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[ルールの更新] フィールドで、ライセンスの有効期限が切れていないことを確認します。
ライセンスの有効期限が切れている場合は、『ルールの更新の認証情報の取得と追加』を参照してください。
3
ライセンスが有効な場合は、[ルールの更新] をクリックします。
4
次のいずれかのオプションを選択します。
5
•
[自動確認間隔] には、システムが更新を確認する頻度を選択します。
•
[今すぐ確認] は、更新を今すぐ確認する場合に使用します。
•
[手動更新] は、ローカル ファイルからルールを更新します。
[OK] をクリックします。
関連トピック:
29 ページの「ルールの更新の認証情報の取得と追加」
イベント ログの言語を変更
最初に ESM に最初にログオンしたときに、正常性モニター ログやデバイス ログなどのイベント ログで使用される
言語を選択しました。この言語設定は変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
30
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ESM 管理]を選択します。
2
[システム ロケール] をクリックし、ドロップダウン リストから言語を選択して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
デバイスの接続
2
デバイスの接続
リアルタイム フォレンジック、アプリケーションとデータベースのモニタリング、高度なルール/リスク ベースの相
関分析、コンプライアンス レポートを行うには、物理デバイスと仮想デバイスの両方を McAfee ESM に接続しま
す。
システム上のデバイス数を増やすときは、デバイスを論理的に編成してください。 たとえば、様々な場所にオフィス
がある場合は、そのゾーンごとにデバイスを表示します。 事前定義された表示を使用することも、カスタム表示を設
計することもできます。 カスタム表示内でグループ化してデバイスをさらに編成することもできます。
目次
ESM コンソールにデバイスを追加する
表示タイプの選択
カスタム表示タイプを管理する
カスタム表示タイプでグループを管理する
グループまたはデバイスを削除する
システム ナビゲーション ツリー上の重複するデバイスを削除する
ESM コンソールにデバイスを追加する
物理デバイスと仮想デバイスをセットアップしてインストールした後で、これらのデバイスを ESM コンソールに追
加する必要があります。
開始する前に
デバイスをセットアップしてインストールします (『McAfee Enterprise Security Manager 9.4.0 イ
ンストール ガイド』を参照)。
タスク
1
2
システム ナビゲーション ツリーで、[ローカル ESM] またはグループをクリックします。
アクション ツールバーの [デバイスを追加] アイコン
をクリックします。
3
追加するデバイスのタイプを選択し、[次へ] をクリックします。
4
[デバイス名] フィールドにグループ内の一意の名前を入力し、[次へ] をクリックします。
5
次の情報を入力します。
•
McAfee ePO デバイス - Receiver を選択します。Web インターフェースのログオン情報を入力して、[次
へ] をクリックします。 データベースとの通信に使用する設定を入力します。
[ユーザー認証が必要] を選択します。デバイスのユーザー名とパスワードを持っているユーザーにのみアク
セスを許可します。
•
6
その他のデバイス - デバイスのターゲット IP アドレスまたは URL を入力し、その IP アドレスで使用でき
るターゲット SSH ポート番号を入力します。
デバイスで Network Time Protocol (NTP) 設定を使用するかどうかを選択し、[次へ] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
31
2
はじめに
デバイスの接続
7
インポートしたいキーがある場合は、[キーをインポート] (ELM または Receiver/Log Manager の組み合わせ
デバイスでは使用できない) を選択します。インポートするキーがない場合は、[デバイスのキーを指定する] を
クリックします。
8.3.x より前の ESM からエクスポートされたデバイス キーは、8.4.0 通信モデルを認識できません。アップグレ
ード時には、デバイスのキーを再指定する必要がありました。バージョン 9.0.0 以上でデバイスにアクセスするに
は、8.5.0 以上の ESM からこのデバイス用のキーを再エクスポートする必要があります。[仮想デバイスを設定]
特権など、デバイスで必要な特権があれば設定します。
8
デバイスのパスワードを入力し、[次へ] をクリックします。
ESM はデバイスの通信をテストし、接続のステータスを報告します。
表示タイプの選択
システム ナビゲーション ツリーにデバイスを表示する方法を選択します。
開始する前に
カスタム表示を選択するには、最初にシステムに追加します (『カスタム表示タイプを管理する』を参
照)。
タスク
1
システムのナビゲーション ペインで、表示タイプ フィールドのドロップダウン矢印をクリックします。
2
表示タイプの 1 つを選択します。
ナビゲーション ツリーのデバイスの組織が変更され、現在のワーク セッションに選択したタイプが反映されます。
カスタム表示タイプを管理する
カスタム表示タイプを追加、編集または削除して、システム ナビゲーション ツリーでのデバイスの編成を定義でき
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン矢印をクリックします。
2
次のいずれかを行います。
操作
手順
カスタム表示タイプを追加する
1 [表示を追加] をクリックします。
2 フィールドに入力し、[OK] をクリックします。
カスタム表示タイプを編集する
1
編集する表示タイプの横にある [編集] アイコン
をクリックします。
2 設定を変更して [OK] をクリックします。
カスタム表示タイプを削除する
32
削除する表示タイプの横にある [削除] アイコン
McAfee Enterprise Security Manager 9.5.1
をクリックします。
製品ガイド
はじめに
デバイスの接続
2
カスタム表示タイプでグループを管理する
カスタム表示タイプでグループを使用すると、デバイスを論理的なグループに分けることができます。
開始する前に
カスタム表示タイプを追加します (「カスタム表示タイプを管理する」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
カスタム表示を選択し、次のいずれかを実行します。
これを...
実行するには...
新しいグルー 1 システム ノードまたはグループ ノードをクリックし、アクション ツールバーの [グループを
プを追加
追加] アイコン
をクリックします。
2 フィールドに入力し、[OK] をクリックします。
3 表示されているデバイスをドラッグ アンド ドロップしてグループに追加します。
デバイスが表示されているツリーの一部になっている場合は、重複するデバイス ノードが作成さ
れます。システム ツリー上の重複するノードは削除できます。
グループを編
グループを選択し、[プロパティ] アイコン
集
で変更を行います。
をクリックし、[グループのプロパティ] ページ
グループを削 グループを選択し、[グループを削除] アイコン
をクリックします。グループおよび含まれて
除
いるデバイスがカスタム表示から削除されます。この場合、デバイスがシステムから削除される
ことはありません。
関連トピック:
32 ページの「カスタム表示タイプを管理する」
グループまたはデバイスを削除する
デバイスがシステムの一部ではなくなった場合、または特定のグループを使用しなくなった場合は、システム ナビゲ
ーション ツリーから削除します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、削除するデバイスまたはグループを強調表示し、アクション ツールバーの
[削除] アイコンをクリックします。
2
確認を求められたら、[OK] をクリックします。
システム ナビゲーション ツリー上の重複するデバイスを削除する
システム ツリーからグループにデバイスをドラッグ アンド ドロップするか、グループを設定して ESM ソフトウェ
アをアップグレードした場合には、システム ナビゲーション ツリーでデバイス ノードが重複して表示されることが
あります。重複するノードは、混乱を避けるために削除することをお勧めします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
33
2
はじめに
コンソールの優先設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
重複するデバイスが含まれた表示の横にある [編集] アイコン
3
重複するデバイスの選択を解除し、[OK] をクリックします。
をクリックします。
重複があったデバイスが、割り当てられたグループのみにリストされるようになります。
コンソールの優先設定
ESM コンソールでは、カラー テーマ、日付と時間の形式、タイムアウト値、複数のデフォルト設定を変更すること
で、複数の機能をカスタマイズすることができます。 McAfee ePolicy Orchestrator (McAfee ePO ) 認証情報を
セットアップすることもできます。
®
®
™
ESM コンソール
ESM コンソールでは、デバイスに関するアクティビティをリアルタイムに把握できます。アラーム通知や割り当て
られたコードに迅速にアクセスできます。
34
McAfee Enterprise Security Manager 9.5.1
製品ガイド
はじめに
コンソールの優先設定
1
一般的な設定を行うシステム ナビゲーション バ
ーのツールバー。
5
アラーム通知と割り当て済みのオープン ケース
を表示する [アラームとケース] ペイン。
2
頻繁に使用するページにアクセスするためのアイ
コン。
6
イベント、フロー、ログ データの [ビュー] ペイ
ン。
3
各デバイスを設定するために必要な機能を選択す
るためのアクション ツールバー。
7
ビューを作成、編集、管理する [ビュー] ツール
バー。
4
システム上のデバイスを表示するためのシステム
ナビゲーション ペイン。
8
データのイベントベースまたはフローベースのフ
ィルタリングを適用する [フィルター] ペイン。
2
コンソールのカラー テーマの操作
既存のカラー テーマを選択するか固有のカラー テーマを設計して、ESM コンソールをカスタマイズします。カスタ
ム カラー テーマを編集、削除することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
既存のカラー テーマを選択するか、カスタム テーマを追加、編集、削除します。
3
[追加] または [編集] をクリックした場合、カスタム テーマの色を選択して [OK] をクリックします。
新しいテーマを追加した場合、その色のサムネイルが [テーマを選択] セクションに追加されます。
4
[OK] をクリックして設定を保存します。
コンソール ビュー設定の選択
ESM コンソールでビューのデフォルトを設定します。
このページでは、次の設定を行うことができます。
•
オープン ビューでデータを自動的に更新します。
•
システムの起動時にデフォルトで表示されるビューを変更します。
•
イベントまたはフロー ビューで [サマリー] を選択したときに表示されるビューを変更します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
[ビュー] ページで優先設定を選択して、[OK] をクリックします。
コンソール タイムアウト値の設定
ESM コンソールの現在のセッションは、アクティビティが存在する限り開いています。セッションを終了する前の
非アクティブ期間を定義します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
35
2
はじめに
コンソールの優先設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ログインのセキュリティ] の順に選択します。
2
[UI タイムアウト値] で、アクティビティがなくなってからタイムアウトするまでの時間数 (分) を選択して、
[OK] をクリックします。
ゼロ (0) を選択すると、コンソールは開いたままです。
ユーザー設定の選択
[ユーザー設定:] ページには、複数のデフォルト設定を変更するオプションがあります。タイム ゾーン、日付形式、
パスワード、デフォルトの表示、コンソール言語を変更できます。無効なデータ ソース、[アラーム] タブ、[ケース]
タブを表示するかどうかも選択できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
[ユーザー設定:] が選択されていることを確認します。
3
必要に応じて設定を変更して、[OK] をクリックします。
設定に基づいて、コンソールの表示形式が変更されます。
McAfee ePO のユーザー認証情報をセットアップする
ユーザー認証情報をセットアップすると、McAfee ePO デバイスへのアクセスを制限できます。
開始する前に
グローバル ユーザー認証を要求するように McAfee ePO デバイスをセットアップしないでください
([グローバル ユーザー認証をセットアップする]を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックし、[ePO 認証情報] を選択しま
す。
2
デバイスをクリックして、[編集] をクリックします。
デバイスのステータス列が [必要ありません] の場合、このデバイスはグローバル ユーザー認証用にセットアップ
されています。 デバイスの [接続] ページでステータスを変更できます (「ESM との接続を変更する」を参照)。
3
ユーザー名とパスワードを入力して、[OK] をクリックします。
このデバイスにアクセスするには、追加したユーザー名とパスワードを使用します。
36
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
ESM は、データ、設定、更新、構成を管理します。 複数のデバイスと同時に通信を行います。 ESM 環境を構築す
る場合には、組織の要件とコンプライアンスを十分に検討し、組織のセキュリティ管理ライフサイクルに合うように
設計してください。
目次
デバイスの管理
デバイスの設定
補助サービスの設定
データベースを管理
ユーザーとグループの操作
システム設定のバックアップおよびリストア
冗長 ESM
ESM の管理
グローバル ブラックリストを使用
データ エンリッチメント
McAfee Enterprise Security Manager 9.5.1
製品ガイド
37
3
ESM の設定
デバイスの管理
デバイスの管理
システム ナビゲーション ペインには、システムに追加したデバイスが表示されます。 1 つまたは複数のデバイス上
で機能を実行したり、必要に応じてそれらを編成することができます。また、システムにフラグが立てられたときに、
既存の問題を解決するために正常性ステータス レポートを表示することもできます。
表 3-1 機能の定義
機能
説明
1 アクション ツールバー
システム ナビゲーション ツリーで、デバイス上で実行するアクションを選択しま
す。
プロパティ アイコン
システム ナビゲーション ツリーで選択したシステムまたはデバイスの設定を行い
ます。
デバイスを追加アイコン
システム ナビゲーション ツリーにデバイスを追加します。
正常性ステータス フラグ
デバイス ステータス アラートを表示します。
複数デバイス管理
複数のデバイスを個別に起動、停止、再起動および更新します。
イベントとフローを取得
選択したデバイスのイベントとフローを取得します。
デバイスを削除
選択したデバイスを削除します。
すべてのデバイスのデータを更新します。
更新
38
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
表 3-1 機能の定義 (続き)
機能
説明
2 表示タイプ
ツリー上でデバイスを編成する方法を選択します。ESM では次の 3 つのタイプが
事前定義されています。
• 物理表示 - デバイスが階層状にリストされます。 第 1 レベルはシステム ノー
ドです (物理表示、ローカル ESM、ローカル ESM ベース デバイス)。 第 2 レベ
ルは個々のデバイスであり、他のすべてのレベルはデバイスに追加したソースで
す(データ ソース、仮想デバイス、その他)。ベース デバイスは、ローカル ESM、
データ ソース、仮想デバイス、およびデータベース サーバー ノードの下に自動
的に追加されます。 これらのアイコンは淡色表示され、カッコで囲まれていま
す。
• デバイス タイプ表示 - デバイスはデバイス タイプごとに分けられます (Nitro
IPS、ADM、DEM)。
• ゾーン表示 — デバイスは、[ゾーン管理] 機能を使って定義したゾーン別に編成
されます。
カスタム表示タイプを追加することもできます(『デバイスの編成』 を参照)。
3 クイック検索
システム ナビゲーション ツリーで、デバイスのクイック検索を実行できます。
4 システム ナビゲーション
ツリー
システム上のデバイスを表示します。
関連トピック:
43 ページの「デバイスの編成」
59 ページの「デバイスの正常性ステータス レポート」
57 ページの「複数のデバイスの管理」
デバイス統計をを表示する
デバイス固有の CPU、メモリー、キュー、他のデバイス情報を表示します。
開始する前に
デバイス管理権限があることを確認してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーで関連デバイスを選択し、[プロパティ] アイコン
をクリックします。
デバイスの [管理] をクリックし、[統計を表示] をクリックします。
デバイスの統計情報がグラフで表示されます。更新間隔は 10 分です。 データを表示するには、最低でも 30 分以上
のデータが必要です。 各メトリック タイプに複数のメトリックが存在し、その一部がデフォルトで有効になってい
ます。 [表示] をクリックして、メトリックスを有効にします。 4 番目の列に該当するメトリックの単位が表示され
ます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
39
3
ESM の設定
デバイスの管理
ESM コンソールにデバイスを追加する
物理デバイスと仮想デバイスをセットアップしてインストールした後で、これらのデバイスを ESM コンソールに追
加する必要があります。
開始する前に
デバイスをセットアップしてインストールします (『McAfee Enterprise Security Manager 9.4.0 イ
ンストール ガイド』を参照)。
タスク
1
2
システム ナビゲーション ツリーで、[ローカル ESM] またはグループをクリックします。
アクション ツールバーの [デバイスを追加] アイコン
をクリックします。
3
追加するデバイスのタイプを選択し、[次へ] をクリックします。
4
[デバイス名] フィールドにグループ内の一意の名前を入力し、[次へ] をクリックします。
5
次の情報を入力します。
•
McAfee ePO デバイス - Receiver を選択します。Web インターフェースのログオン情報を入力して、[次
へ] をクリックします。 データベースとの通信に使用する設定を入力します。
[ユーザー認証が必要] を選択します。デバイスのユーザー名とパスワードを持っているユーザーにのみアク
セスを許可します。
•
その他のデバイス - デバイスのターゲット IP アドレスまたは URL を入力し、その IP アドレスで使用でき
るターゲット SSH ポート番号を入力します。
6
デバイスで Network Time Protocol (NTP) 設定を使用するかどうかを選択し、[次へ] をクリックします。
7
インポートしたいキーがある場合は、[キーをインポート] (ELM または Receiver/Log Manager の組み合わせ
デバイスでは使用できない) を選択します。インポートするキーがない場合は、[デバイスのキーを指定する] を
クリックします。
8.3.x より前の ESM からエクスポートされたデバイス キーは、8.4.0 通信モデルを認識できません。アップグレ
ード時には、デバイスのキーを再指定する必要がありました。バージョン 9.0.0 以上でデバイスにアクセスするに
は、8.5.0 以上の ESM からこのデバイス用のキーを再エクスポートする必要があります。[仮想デバイスを設定]
特権など、デバイスで必要な特権があれば設定します。
8
デバイスのパスワードを入力し、[次へ] をクリックします。
ESM はデバイスの通信をテストし、接続のステータスを報告します。
デバイス キーについて
ESM がデバイスと通信するには、デバイスにキーが指定されたときに作成された通信キーを使用して、すべての通
信を暗号化する必要があります。
すべてのキーは、パスワードで暗号化された別のファイルにエクスポートすることをお勧めします。 それをインポー
トすることで、緊急時にデバイスとの通信をリストアし、また別のデバイスにキーをエクスポートすることが可能に
なります。
すべての設定が ESM に格納されており、ESM コンソールは ESM で維持されているキーを認識できるため、ESM
がすでにデバイスと正常に通信している場合には、デバイス キーをインポートする必要はありません。
40
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
たとえば、設定 (デバイス キーを含む) のバックアップを月曜に作成し、いずれかのデバイスのキーを火曜に再指定
することができます。 水曜に月曜の設定をリストアする必要性を認識した場合には、設定のリストアが完了した後
で、火曜に作成したキーをインポートする必要があります。 リストアによってデバイス キーが月曜の状態に戻って
も、デバイスでは火曜のキーによってエンコードされたトラフィックのみリッスンされます。 このキーは、デバイス
との通信が可能になる前にインポートする必要があります。
デバイス キーは、別の ESM にインポートしないことをお勧めします。エクスポート キーは、デバイス管理権限に
基づいて、デバイスの管理 ESM にデバイスを再インストールするために使用します。デバイスを 2 番目の ESM に
インポートすると、ポリシー管理、ELM のロギングと管理、データ ソースと仮想デバイスの設定を含め、デバイス
のいくつかの機能が使用できなくなります。デバイス管理者は、別の ESM からデバイスの設定を上書きすることが
できます。接続されているデバイスを管理するには、単一の ESM を使用することをお勧めします。DESM は、別の
ESM に接続されているデバイスからデータ収集を処理できます。
デバイスのキーを指定する
ESM にデバイスを追加したら、デバイスのキーを指定して通信を有効にする必要があります。デバイスのキーを指
定すると、通信のすべての外部ソースが無視されるため、セキュリティが向上します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[キー管理] 、 [デバイスのキーを指定する] の順にクリックします。
デバイスで接続が確立されていて、ESM と通信できる場合は、[デバイス キーの指定ウィザード] が開きます。
3
デバイスの新しいパスワードを入力し、[次へ] をクリックします。
4
[キーをエクスポート] をクリックし、[キーをエクスポート] ページに必要な情報を入力します。この時点でエク
スポートしない場合は、[完了] をクリックします。
キーをエクスポートする
デバイスのキーを指定したら、キーをファイルにエクスポートします。
システムが FIPS モードの場合、以下の操作は行わないでください。 正しいプロセスについては、
「キーが指定された
デバイスの FIPS モードでの追加」を参照してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[キー管理] 、 [キーをエクスポート] の順にクリックします。
3
[キーをエクスポート] ページで設定を定義し、[OK] をクリックします。
をクリックします。
ESM でエクスポート キー ファイルが作成され、エクスポートするかどうかを尋ねられます。
4
[はい] をクリックし、ファイルを保存する場所を選択します。
この場合、デバイス キーの個人用のバックアップ コピーをエクスポートすることをお勧めします。このデバイス
キーは [期限なし] に設定し、すべての特権を含めます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
41
3
ESM の設定
デバイスの管理
キーをインポートする
キーをインポートして ESM を以前の設定にリストアするか、別の ESM またはレガシー コンソールで使用します。
デバイスのバージョンが 9.0 以上である場合は、バージョン 8.5 以上の ESM からのみキーをインポートできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[キー管理] 、 [キーをインポート] の順にクリックします。
3
保存されているキー ファイルを特定して選択します。
4
[アップロード] をクリックし、このキーをエクスポートしたときに設定したパスワードを入力します。
キーが正常にインポートされると、ページにステータスが表示されます。
SSH キーを管理
デバイスには、安全に通信する必要があるシステムの SSH 通信キーを設定できます。キーを削除して、これらのシ
ステムとの通信を停止できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[キー管理] をクリックし、[SSH キーを管理] をクリックします。
[SSH キーを管理] ページに、デバイスが通信する ESM の ID がリストされます。
3
リスト内のいずれかのシステムとの通信を停止するには、ID を強調表示して [削除] をクリックします。
4
削除を確認し、[OK] をクリックします。
デバイスのソフトウェアを更新する
デバイス上のソフトウェアが最新の状態でなくなった場合は、ESM またはローカル コンピューターのファイルから
新しいバージョンのソフトウェアをアップロードします。
開始する前に
30 日を超えてシステムを使用している場合は、恒久的な認証情報を取得してインストールし更新にアク
セスする必要があります (「ルール更新認証情報を取得および追加する」を参照)。
共通条件と FIPS 規制に準拠する必要がある場合は、この方法で ESM を更新しないでください。 認証
済みの更新を取得するには、McAfee サポートまでお問い合わせください。
42
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [管理] 、 [デバイスを更新] の順にクリックします。
3
テーブルから更新を選択するか、[参照] をクリックしてローカル システム内の場所を指定します。
ソフトウェアのバージョンが更新されてデバイスが再起動します。
デバイスの編成
システム ナビゲーション ツリーは、システム上のデバイスをリストします。表示タイプ機能を使用することで、ど
のように表示するかを選択できます。
システム上のデバイス数を増やすときは、作業するデバイスを見つけやすくするため、デバイスを論理的に編成する
ことをお勧めします。 たとえば、さまざまな場所にオフィスがある場合は、そのゾーンごとに表示すると効果的で
す。
事前定義された 3 つの表示を使用できます。また、カスタム表示を設計することもできます。それぞれのカスタム表
示内でグループを追加して、デバイスをさらに編成することもできます。
デバイスでネットワーク トラフィック制御を設定する
Receiver、ACE、ELM、Nitro IPS、ADM、DEM デバイスの最大データ出力値を定義します。
この機能は、帯域幅に制限があり、各デバイスから送信されたデータの量を制限する必要がある場合に便利です。 オ
プションは、キロビット (Kb)/秒、メガバイト (Mb/秒)、ギガバイト(Gb/秒) です。
この機能を使用する場合には十分に注意してくださ。トラフィックを制限すると、データ漏えいが発生する可能性があ
ります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
をクリックします。
デバイスの [設定] オプションをクリックして [インターフェース] をクリックし、[トラフィック] タブをクリッ
クします。
既存のコントロールが表に表示されます。
3
デバイスにコントロールを追加するには、[追加] をクリックして、ネットワーク アドレスとマスクを入力し、評
価を設定して [OK] をクリックします。
マスクを 0 (ゼロ) に設定すると、送信済みのすべてのデータが制御されます。
4
[適用] をクリックします。
指定したネットワーク アドレスの送信トラフィックの速度が制御されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
43
3
ESM の設定
デバイスの管理
デバイス設定
各デバイスの [設定] ページには、ネットワーク インターフェース、SNMP 通知、NTP 設定、および ELM ロギング
などのデバイス設定を行うオプションがあります。
ネットワーク インターフェースを設定する
インターフェース設定によって、ESM がデバイスに接続する方法が決定されます。インターフェース設定は、デバ
イスごとに定義する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [設定] オプションをクリックし、[インターフェース] をクリックします。
3
要求されたデータを入力し、[適用] をクリックします。
すべての変更はデバイスにプッシュされ、直ちに有効になります。 変更を適用すると、デバイスが再初期化され、現
在のすべてのセッションが失われます。
ネットワーク インターフェースを管理
デバイスとの通信は、トラフィックパスのパブリック インターフェースとプライベート インターフェースを使用し
て実行できます。そのため IP アドレスを必要としないことから、デバイスがネットワーク内で不可視になります。
管理インターフェース
またネットワーク管理者は、ESM とデバイス間の通信用の IP アドレスを使用して、管理インターフェースを設定で
きます。デバイスのこれらの機能では、管理インターフェースを使用する必要があります。
•
バイパス ネットワーク カードの完全な制御
•
NTP 時刻同期の使用
•
デバイスでの Syslog の生成
•
SNMP 通知
デバイスには 1 つ以上の管理インターフェースがあり、それによってデバイスに IP アドレスが与えられます。IP ア
ドレスによって、別のターゲット IP アドレスまたはホスト名に対する通信を行うことなく、ESM からデバイスに直
接アクセスできるようになります。
パブリック ネットワークから見えるようになり、セキュリティが侵害される可能性があるため、管理ネットワーク イ
ンターフェースはパブリック ネットワークに接続しないでください。
Nitro IPS モードで実行されているデバイスについては、ネットワーク トラフィックの各パスにそれぞれ 2 つのイ
ンターフェースが必要です。IDS モードの場合は、デバイスに 2 つ以上のネットワーク インターフェースが必要に
なります。デバイスでは、複数の管理ネットワーク インターフェースを設定できます。
バイパス NIC
デバイスをバイパス モードにすると、悪意のあるトラフィックを含むすべてのトラフィックがデバイスを通過しま
す。 通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたと
きに 18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒
数が変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたと
きに、接続が 33 秒切断されます。
44
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。 4 つのすべてのポート (Nitro IPS および
その他のデバイスのスイッチ) を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります (『バイパス NIC をセットアップする』を参照)。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
静的ルートを追加する
静的ルートは、デフォルトのゲートウェイを通じて使用できないホストまたはネットワークに到達する方法を示す 1
組の手順です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [インターフェース] の順にクリックします。
3
[静的ルート] テーブルの横の [追加] をクリックします。
4
情報を入力し、[OK] をクリックします。
をクリックします。
バイパス NIC
通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたときに
18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒数が
変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたとき
に、接続が 33 秒切断されます。
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。4 つのすべてのポート(Nitro IPS および
その他のデバイスのスイッチ)を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
バイパス NIC を設定する
IPS デバイスで、すべてのトラフィックが通過するようにバイパス NIC 設定を定義できます。
ADM と DEM デバイスは常に IDS モードで実行されます。 バイパス NIC タイプとステータスは確認できますが、設
定の変更はできません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[設定] 、 [インターフェース] の順にクリックします。
3
[ネットワーク インターフェース設定] ページの下部にある、[バイパス NIC 設定] セクションに移動します。
4
IPS でタイプとステータスは確認できますが、設定は変更できません。
5
[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
45
3
ESM の設定
デバイスの管理
VLAN と別名を追加する
VLAN と別名を ACE または ELM インターフェースに追加します。 別名は、ネットワーク デバイスに複数の IP ア
ドレスが割り当てられている場合に追加する割り当て済みの IP アドレスとネットマスクのペアです。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
[設定] をクリックします。
をクリックして、デバイスの
2
[ネットワーク] タブの [インターフェース] セクションで [セットアップ] をクリックして [詳細設定] をクリッ
クします。
3
[VLAN を追加] をクリックし、必要な情報を入力して、[OK] をクリックします。
4
別名を追加する VLAN を選択し、[別名を追加] をクリックします。
5
必要な情報を入力し、[OK] をクリックします。
SNMP 通知を設定する
デバイスで生成される SNMP 通知を設定するには、送信されるトラップとトラップの宛先を定義する必要がありま
す。
HA Receiver で SNMP をセットアップすると、プライマリ Receiver のトラフィックが共有 IP アドレス経由で送信
されます。 リスナーをセットアップする場合には、共有 IP アドレスにセットアップしてください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [SNMP] の順にクリックします。
3
設定を定義して、[OK] をクリックします。
をクリックします。
デバイスで NTP を設定する
Network Time Protocol (NTP) サーバーを使用して、デバイスの時刻と ESM を同期させます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [NTP] の順にクリックします。
3
要求された情報を入力し、[OK] をクリックします。
をクリックします。
タスク
•
46
170 ページの「NTP サーバーのステータスを表示する」
ESM 上のすべての NTP サーバーのステータスを表示します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
デバイスと ESM を同期する
ESM を置換する場合は、各デバイスのキーをインポートして設定をリストアします。最新のデータベース バックア
ップがない場合は、さらにデータ ソース、仮想デバイス、およびデータベース サーバーの設定と ESM を同期し、
プル イベントを再開できるようにする必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [デバイスを同期] の順にクリックします。
3
同期が完了したら、[OK] をクリックします。
をクリックします。
ELM との通信を設定する
このデバイスから ELM にデータを送信する場合は、[ELM IP] と [SYNC ELM] がデバイスの [設定] ページに表示
され、IP アドレスを更新して ELM とデバイスを同期することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
[設定] をクリックして、次のいずれかを実行します。
クリックす
る
実行するには...
[ELM IP]
デバイスがリンクされる ELM の IP アドレスを更新します。これは、ELM の IP アドレスを変更
する場合、またはデバイスが ELM と通信する際に使用する ELM 管理インターフェースを変更す
る場合に必要です。
[ELM を同
期]
いずれかのデバイスを交換した場合に、デバイスと ELM を同期します。この機能を使用すると、
以前の設定の下で新しいデバイスのキーを使用して、2 つのデバイス間の SSH 通信が再確立さ
れます。
デフォルトのロギング プールを設定する
システムに ELM デバイスがある場合は、受信したイベント データが ELM デバイスに送信されるようにデバイスを
設定できます。その場合は、デフォルトのロギング プールを設定する必要があります。
集計期限が過ぎるまでは、デバイスはイベントを ELM に送信しません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [ロギング] の順にクリックします。
3
開いたページで適切な選択を行います。
をクリックします。
このデバイスから ELM に対するデータのロギングが有効になると通知されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
47
3
ESM の設定
デバイスの管理
一般的なデバイス情報と設定
各デバイスには、シリアル番号やソフトウェアのバージョンなど、デバイスに関する一般的な情報が得られるページ
があります。ゾーンの選択やクロックの同期など、デバイスの設定を定義することもできます。
メッセージ ログとデバイスの統計を表示する
システムによって生成されたメッセージを表示したり、デバイスのパフォーマンスに関する統計を表示したり、デバ
イスのステータス情報が含まれた .tgz ファイルをダウンロードできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [管理] をクリックし、次のいずれかを選択します。
オプション
説明
[ログを表示] クリックすると、システムによって記録されたメッセージが表示されます。[ファイル全体をダ
ウンロード] をクリックすると、データがファイルにダウンロードされます。
[統計を表示] クリックすると、Ethernet インターフェース、ifconfig、iptables フィルターなどのデバイス
のパフォーマンスに関する統計が表示されます。
[デバイス デ クリックすると、デバイスのステータスに関するデータが含まれる .tgz ファイルがダウンロー
ータ]
ドされます。これは、McAfee サポートとともにシステム上の問題を解決する場合に使用できま
す。
デバイスのソフトウェアを更新する
デバイス上のソフトウェアが最新の状態でなくなった場合は、ESM またはローカル コンピューターのファイルから
新しいバージョンのソフトウェアをアップロードします。
開始する前に
30 日を超えてシステムを使用している場合は、恒久的な認証情報を取得してインストールし更新にアク
セスする必要があります (「ルール更新認証情報を取得および追加する」を参照)。
共通条件と FIPS 規制に準拠する必要がある場合は、この方法で ESM を更新しないでください。 認証
済みの更新を取得するには、McAfee サポートまでお問い合わせください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [管理] 、 [デバイスを更新] の順にクリックします。
3
テーブルから更新を選択するか、[参照] をクリックしてローカル システム内の場所を指定します。
ソフトウェアのバージョンが更新されてデバイスが再起動します。
デバイスで Linux コマンドを入力する
[ターミナル] オプションを使用して、デバイスで Linux コマンドを入力します。 この機能は上級ユーザー向けのた
め、緊急事態の際に McAfee サポート担当者の指示に従って使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
48
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
デバイスで [管理] 、 [ターミナル] の順にクリックします。
3
システム パスワードを入力して、[OK] をクリックします。
4
Linux コマンドを入力して、ファイルをエクスポートするかまたは転送します。
5
[閉じる] をクリックします。
をクリックします。
システムへのアクセスを許可する
McAfee にサポート コールを行う場合には、テクニカル サポート エンジニアがシステムを見ることができるように、
アクセス許可の付与が必要になる場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [管理] 、 [接続] の順にクリックします。
ボタンが [切断] に変わり、IP アドレスが表示されます。
3
この IP アドレスをテクニカル サポート エンジニアに提示します。
パスワードなど、追加情報の提供が必要になる場合があります。
4
[切断] をクリックして接続を終了します。
トラフィックを監視する
DEM、ADM、または IPS デバイスを通過するトラフィックを監視する必要がある場合は、[TCP ダンプ] を使用し
て、デバイスで実行されている Linux プログラムのインスタンスをダウンロードできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスの [管理] をクリックします。
3
ページの [TCP ダンプ] セクションで、インスタンスをダウンロードする手順を実行します。
デバイス情報を表示
デバイスに関連する一般的な情報を表示します。デバイスの [情報] ページを開いて、システム ID、シリアル番号、
モデル、バージョン、ビルドなどを確認します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
49
3
ESM の設定
デバイスの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
使用可能な情報を表示し、[OK] をクリックします。
デバイスを起動、停止、再起動、または更新
[情報] ページで、デバイスを起動、停止、再起動、または更新します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
デバイスで [情報] が選択されていることを確認し、[開始]、[停止]、[再起動]、または [更新] をクリックしま
す。
デバイス名を変更する
システム ツリーにデバイスを追加する場合、ツリーに表示されるときの名前を付けます。この名前とシステム名、
URL、および説明は、変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[名前と説明] をクリックし、名前、システム名、URL、および説明を変更するか、[デバイス ID] 番号を確認し
ます。
3
[OK] をクリックします。
URL リンクを追加する
URL でデバイス情報を表示するために、デバイスごとに [名前と説明] ページでリンクを設定できます。追加したリ
ンクは、各デバイスの [イベント分析] および [フロー分析] ビューで、ビュー コンポーネントの下部にある [デバイ
ス URL を起動] アイコン
をクリックすると表示されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[名前と説明] をクリックし、URL を入力します。
3
[OK] をクリックして変更を保存します。
をクリックします。
ESM との接続を変更する
ESM にデバイスを追加する場合は、ESM との接続を設定します。 IP アドレスとポートを変更したり、SSH 通信を
無効にできます。また、接続のステータスを確認できます。
これらの設定を変更しても、デバイス自体には影響しません。ESM がデバイスと通信する方法のみ変更されます。
50
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[接続] をクリックして変更を行います。
3
[適用] をクリックします。
をクリックします。
イベント、フロー、ログ
IPS、ADM、および Receiver デバイスでは、イベント、フロー、ログが収集され、ACE および DEM デバイスで
は、イベントとログが収集され、ELM デバイスではログが収集されます。 これらを手動または自動的に確認できる
ように、各デバイスを設定します。 さらに、デバイスによって生成されたイベントまたはフローを集計することがで
きます。
イベント、フロー、ログのダウンロードを設定する
イベント、フロー、ログを手動で確認するか、自動的に確認するようにデバイスを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント、フロー、ログ]、[イベントとログ] または [ログ] をクリックします。
3
ダウンロードを設定し、[適用] をクリックします。
をクリックします。
位置情報と ASN 設定を定義
位置情報によって、インターネットに接続しているコンピューターの、現実世界での地理的な位置が得られます。自
律システム番号(ASN)は、自律システムに割り当てられる番号であり、インターネット上の各ネットワークを一意
に識別します。
これら両方のデータ タイプが、脅威の物理的な位置の特定に役立ちます。各イベントについて、ソースおよび宛先の
位置情報データを収集できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[イベント、フロー、ログ] または [イベントとログ] をクリックし、[位置情報] をクリックします。
3
必要な情報が生成されるように項目を選択し、[OK] をクリックします。
この情報を使用してイベント データをフィルタリングできます。
イベントまたはフローを集計する
イベントまたはフローは何千回も生成される可能性があります。何千もの同一のイベントから取捨選択するのではな
く、集計ではそれらが単一のイベントまたはフローとして、発生回数と合わせて表示されます。
集計を使用すると、各パケットを格納する必要がなくなるため、デバイスと ESM の両方でディスク領域が効率良く
消費されます。 この機能は、[ポリシーエディター] で集計が有効になっているルールに対してのみ適用されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
51
3
ESM の設定
デバイスの管理
ソース IP アドレスと宛先 IP アドレス
ソース IP アドレスと宛先 IP アドレスの「not-set」値または集計値は、すべての結果セットで「0.0.0.0」ではな
く「::」として表示されます。 例:
•
::ffff:10.0.12.7 は 0:0:0:0:0:FFFF:A00:C07 として挿入されます (A00:C07 は 10.0.12.7)。
•
::0000:10.0.12.7 は 10.0.12.7 になります。
集計イベントおよびフロー
集計イベントおよびフローでは、集計の期間と量を示すために、最初、最後、および合計のフィールドが使用されま
す。たとえば、同じイベントが正午から 10 分間の間に 30 回発生した場合、[最初の時刻] フィールドには 12:00
(イベントの最初のインスタンスの時刻)、[最後の時刻] フィールドには 12:10 (イベントの最後のインスタンスの時
刻)、[合計] フィールドには 30 という値が入力されます。
デバイスのデフォルトのイベントまたはフロー集計設定は全体として変更でき、また各イベントについては、個々の
ルールに対するデバイスの設定に例外を追加することができます (「イベント集計の例外を管理する」を参照)。
デフォルトでは動的集計も有効になっています。これを選択すると、[レベル 1] の集計設定が置き換えられ、[レベ
ル 2] と [レベル 3] の設定が増加します。それによって、イベント、フロー、ログの取得設定に基づいてレコードが
取得されます。自動取得に設定すると、デバイスでは ESM によって初めてプルされるまでの間のみ、レコードが圧
縮されます。手動取得に設定すると、最大 24 時間、または新しいレコードが手動でプルされるまでのどちらか早い
時点まで、レコードが圧縮されます。圧縮時間が 24 時間制限に達すると、新しいレコードがプルされ、その新しい
レコードに対する圧縮が開始されます。
イベントまたはフローの集計設定を変更
イベント集計とフロー集計はデフォルトで有効になっており、[高] に設定されています。この設定は必要に応じて変
更することができます。各設定のパフォーマンスについては、[集計] ページで説明されています。
開始する前に
これらの設定を変更するには、[ポリシー管理者] と[デバイス管理] 権限、あるいは [ポリシー管理者]
と[カスタム ルール] 権限が必要です。
イベント集計は ADM、IPS、および Receiver デバイスでのみ可能で、フロー集計は IPS および Receiver デバイス
でのみ可能です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] または [フロー集計] をクリックします。
3
設定を定義して、[OK] をクリックします。
をクリックします。
イベント集計の例外を管理
システムに追加されたイベント集計の例外のリストを表示できます。例外を編集または削除することもできます。
52
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] をクリックし、画面下部の [表示] をクリックします。
3
必要な変更を行い、[閉じる] をクリックします。
をクリックします。
イベント集計設定の例外の追加
集計設定は、デバイスにより生成されるすべてのイベントに適用されます。ルールにより生成されるイベントに一般
的な設定が当てはまらない場合は、個々のルールに例外を作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
ビュー ペインで、例外を追加するルールにより生成されるイベントを選択します。
[メニュー] アイコン
をクリックして、[集計設定を変更] を選択します。
[フィールド 2] および [フィールド 3] ドロップダウン リストから、集計するフィールド タイプを選択します。
[フィールド 2] と [フィールド 3] にはタイプが異なるフィールドを選択してください。タイプが同じ場合、エラ
ーが発生します。これらのフィールド タイプを選択する場合、各集計レベルの説明は、選択内容によって変化しま
す。各レベルの時間制限は、デバイスに定義したイベント集計設定によって異なります。
4
[OK] をクリックして設定を保存してから、[はい] をクリックして続行します。
5
デバイスに変更をロールアウトしない場合は、デバイスの選択を解除します。
6
[OK] をクリックして、選択したデバイスの変更をロールアウトします。
変更がロールアウトされると、更新のステータスが [ステータス] 列に示されます。
仮想デバイス
Nitro IPS と ADM デバイス モデルに仮想デバイスを追加すると、トラフィックを監視してパターンを比較し、レポ
ートを作成できます。
目的と利点
仮想デバイスは、次の目的に使用できます。
•
トラフィック パターンをルール セットと比較します。 たとえば、Web トラフィックを Web ルールと比較しま
す。Web トラフィック ポートのみ参照する仮想デバイスを設定して、異なるルールを有効または無効にできるポ
リシーを設定できます。
•
レポート このように使用するのは、自動フィルター設定を行うことに相当します。
•
一度に複数のトラフィック パスをモニターできます。 仮想デバイスを使用して、トラフィック パスごとに別の
ポリシーを設定して、異なるトラフィックを異なるポリシーにソートできます。
モデルあたりのデバイスの最大数
ADM または Nitro IPS に追加できる仮想デバイスの数はモデルに基づきます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
53
3
ESM の設定
デバイスの管理
デバイス最大数
モデル
2
APM-1225
NTP-1225
APM-1250
NTP-1250
4
APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8
NTP-2250
NTP-4245
NTP-5400
0
APM-VM
NTP-VM
選択ルールの使用方法
選択ルールは、仮想デバイスが処理するパケットを決定するフィルターとして使用されます。
パケットが選択ルールに一致するには、そのルールにより定義されるすべてのフィルター条件に一致する必要があり
ます。パケットの情報が単一の選択ルールのすべてのフィルター条件に一致する場合、一致する選択ルールを含む仮
想デバイスにより処理されます。 条件に一致しない場合は、リスト内の次の仮想デバイスに渡され、いずれの仮想デ
バイスにも一致する選択ルールがない場合は、デフォルトとして、ADM または Nitro IPS 自体により処理されます。
IPv4 仮想デバイスについての注意事項を示します。
•
1 つの接続のすべてのパケットは、接続の先頭パケットのみに基づいてソートされます。接続の先頭パケットが
リストの 3 番目の仮想デバイスの選択ルールに一致した場合、その接続の後続のパケットは、リストの 1 番目ま
たは 2 番目の仮想デバイスに一致するパケットがあっても、すべてのパケットが 3 番目の仮想デバイスに進みま
す。
•
無効なパケット (接続を確立していない、または確立された接続に含まれないパケット) は、基本デバイスにソー
トされます。 たとえば、仮想デバイスを使用して、ソース ポートまたは宛先ポートが 80 のパケットを検出する
とします。 ソース ポートまたは宛先ポート 80 から無効なパケットが届くと、ポート 80 のトラフィックを監視
する仮想デバイスではなく、基本デバイスにソートされます。 このため、基本デバイスのイベントが、仮想デバ
イスで発生したように表示されます。
パケットが最初にルールに一致すると、そのパケットは自動的にその仮想デバイスに回され処理されるため、選択ル
ールのリスト順序は重要です。たとえば、4 つの選択ルールを追加して、4 番目のルールが、トラフィックが最もよ
くトリガーするフィルターであるとします。 このように、この仮想デバイスのその他のフィルターは、最もよくトリ
ガーされる選択ルールに到達する前に各パケットにより渡される必要があります。 効率よく処理するため、最もよく
トリガーされるフィルターを先に処理します。
54
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
仮想デバイスの順序
ADM または Nitro IPS デバイスが受け取るパケットは、仮想デバイスが設定された順序で各仮想デバイスの選択ル
ールと比較されるため、仮想デバイスのチェックされる順序は重要です。パケットが最初のデバイスの選択ルールと
一致しない場合のみ、2 番目の仮想デバイスの選択ルールと比較されます。
•
ADM デバイスでこの順序を変更するには、[仮想デバイスを編集] ページに移動します ([ADM のプロパティ] 、
[仮想デバイス] 、 [編集])。矢印を使用して正しい位置に起きます。
•
Nitro IPS デバイスでこの順序を変更するには、[仮想デバイス] ページの矢印を使用します ([IPS プロパティ] 、
[仮想デバイス])。
ADM 仮想デバイス
ADM 仮想デバイスは、インターフェース上のトラフィックをモニターします。システムに許可される ADM インタ
ーフェース フィルターは 4 つまでです。各フィルターは、一度に 1 つの ADM 仮想デバイスに対してのみ適用でき
ます。 フィルターが ADM 仮想デバイスに割り当てられる場合、そのデバイスから削除されるまで、使用可能なフィ
ルターのリストに表示されません。
無効なパケット (接続を確立していない、または確立された接続に含まれないパケット) は、基本デバイスにソート
されます。 たとえば、ソースまたは宛先ポート 80 でパケットを検索している ADM 仮想デバイスがあり、無効なパ
ケットがソースまたは宛先ポート 80 を通る場合、ポート 80 トラフィックを検索する ADM 仮想デバイスではなく、
基本デバイスにソートされます。このため、基本デバイスのイベントが、ADM 仮想デバイスに進んだように表示さ
れます。
内部ルールを管理する
選択ルールは、仮想デバイスが処理するパケットを決定するフィルターとして使用されます。 選択ルールを追加、編
集または削除できます。
パケットが最初にルールに一致すると、そのパケットは自動的にその仮想デバイスに回され処理されるため、選択ル
ールのリスト順序は重要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
IPS または ADM デバイス ノードを選択して、[プロパティ] アイコン
をクリックします。
[仮想デバイス] をクリックして [追加] をクリックします。
[仮想デバイスを追加] ウィンドウが開きます。
3
テーブル内で選択ルールの追加、名前の変更、順序の変更を行います。
仮想デバイスの追加
各デバイスにより処理されるパケットを決定する選択ルールを設定して、仮想デバイスを複数の ADM および IPS デ
バイスに追加できます。
開始する前に
選択したデバイスに仮想デバイスを追加できることを確認します (「仮想デバイスについて」を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
55
3
ESM の設定
デバイスの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで ADM または IPS デバイスを選択し、[プロパティ] アイコン
クします。
2
[仮想デバイス] 、 [追加] の順にクリックします。
3
必要な情報を入力し、[OK] をクリックします。
4
[書き込み] をクリックして、デバイスに設定を追加します。
をクリッ
カスタム表示タイプを管理する
カスタム表示タイプを追加、編集または削除して、システム ナビゲーション ツリーでのデバイスの編成を定義でき
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン矢印をクリックします。
2
次のいずれかを行います。
操作
手順
カスタム表示タイプを追加する
1 [表示を追加] をクリックします。
2 フィールドに入力し、[OK] をクリックします。
カスタム表示タイプを編集する
1
編集する表示タイプの横にある [編集] アイコン
をクリックします。
2 設定を変更して [OK] をクリックします。
カスタム表示タイプを削除する
削除する表示タイプの横にある [削除] アイコン
をクリックします。
表示タイプの選択
システム ナビゲーション ツリーにデバイスを表示する方法を選択します。
開始する前に
カスタム表示を選択するには、最初にシステムに追加します (『カスタム表示タイプを管理する』を参
照)。
タスク
1
システムのナビゲーション ペインで、表示タイプ フィールドのドロップダウン矢印をクリックします。
2
表示タイプの 1 つを選択します。
ナビゲーション ツリーのデバイスの組織が変更され、現在のワーク セッションに選択したタイプが反映されます。
カスタム表示タイプでグループを管理する
カスタム表示タイプでグループを使用すると、デバイスを論理的なグループに分けることができます。
開始する前に
カスタム表示タイプを追加します (「カスタム表示タイプを管理する」を参照)。
56
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
カスタム表示を選択し、次のいずれかを実行します。
これを...
実行するには...
新しいグルー 1 システム ノードまたはグループ ノードをクリックし、アクション ツールバーの [グループを
プを追加
追加] アイコン
をクリックします。
2 フィールドに入力し、[OK] をクリックします。
3 表示されているデバイスをドラッグ アンド ドロップしてグループに追加します。
デバイスが表示されているツリーの一部になっている場合は、重複するデバイス ノードが作成さ
れます。システム ツリー上の重複するノードは削除できます。
グループを編
グループを選択し、[プロパティ] アイコン
集
で変更を行います。
をクリックし、[グループのプロパティ] ページ
グループを削 グループを選択し、[グループを削除] アイコン
をクリックします。グループおよび含まれて
除
いるデバイスがカスタム表示から削除されます。この場合、デバイスがシステムから削除される
ことはありません。
関連トピック:
32 ページの「カスタム表示タイプを管理する」
システム ナビゲーション ツリー上の重複するデバイスを削除する
システム ツリーからグループにデバイスをドラッグ アンド ドロップするか、グループを設定して ESM ソフトウェ
アをアップグレードした場合には、システム ナビゲーション ツリーでデバイス ノードが重複して表示されることが
あります。重複するノードは、混乱を避けるために削除することをお勧めします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ペインで、表示タイプのドロップダウン リストをクリックします。
2
重複するデバイスが含まれた表示の横にある [編集] アイコン
3
重複するデバイスの選択を解除し、[OK] をクリックします。
をクリックします。
重複があったデバイスが、割り当てられたグループのみにリストされるようになります。
複数のデバイスの管理
[複数デバイス管理] オプションでは、複数のデバイスを起動、停止、再起動したり、複数のデバイスのソフトウェア
を一度で更新することもできます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
57
3
ESM の設定
デバイスの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーで、管理するデバイスを選択します。
アクション ツールバーで [複数デバイス管理] アイコン
をクリックします。
実行する操作とその実行対象になるデバイスを選択し、[開始] をクリックします。
すべてのデバイスの URL リンクを管理
URL でデバイス情報を表示できるように、各デバイスのリンクを設定できます。
開始する前に
デバイスの URL サイトを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[カスタム設定] 、 [デバイス リンク]
をクリックします。
2
URL を追加または編集するには、デバイスを強調表示して [編集] をクリックし、URL を入力します。
URL フィールドには 512 文字の制限があります。
3
[OK] をクリックします。
URL にアクセスするには、各デバイスの [イベント分析] および [フロー分析] ビューの下部にある [デバイス URL
を起動] アイコン
をクリックします。
デバイス サマリー レポートの表示
デバイス サマリー レポートは、ESM のデバイスのタイプおよび数、各デバイスがイベントを受信した最後の時刻を
示します。これらのレポートは、カンマ区切り値(CSV)形式でエクスポートできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [レポートを表示]
をクリックします。
2
[デバイス タイプ数] または [イベント時間] レポートを表示またはエクスポートします。
3
[OK] をクリックします。
システムまたはデバイス ログの表示
システムおよびデバイス ログは、デバイスで実行されたイベントを示します。サマリー ページを表示して、ESM ま
たはデバイスのイベント数、最初のイベントの時刻、最後のイベントの時刻を示したり、[システム ログ] または [デ
バイス ログ] ページにイベントの詳細リストを表示したりできます。
58
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの管理
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
以下のイベント データのサマリーを表示します。
•
システム データ - [システムのプロパティ] で、[システム ログ] をクリックします。
•
デバイス データ - デバイスの [プロパティ] ページで、[デバイス ログ] をクリックします。
イベントのログを表示するには、時間範囲を入力して [表示] をクリックします。
[システム ログ] または [デバイス ログ] ページに、指定した期間内に生成されたすべてのイベントが一覧表示され
ます。
デバイスの正常性ステータス レポート
正常性ステータス レポートを使用できる場合、システム ナビゲーション ツリーにシステム ノード、グループ ノー
ド、またはデバイス ノードの横に、白 (情報)、黄 (非アクティブまたはデバイス ステータス)、または赤 (重大) の
McAfee Enterprise Security Manager 9.5.1
製品ガイド
59
3
ESM の設定
デバイスの管理
正常性ステータス フラグ
が表示されます。 フラグをクリックすると、[デバイス ステータス アラート] ページ
が開き、情報を表示したり、問題を解決することができます。
ノードのタ フラグをクリックすると開く対象...
イプとフラ
グ...
システムま [Device Status Alerts Summary] ページ。これは、システムまたはグループに関連付けられている
たはグルー デバイスの、ステータス アラートのサマリーです。これには次のステータス アラートが表示されま
プ
す。
• [パーティションの削除] — イベント、フロー、またはログ データが含まれているデータベース テ
ーブルが最大サイズに達したため、パーティションを削除し、新しいレコード用の領域を追加しま
した。恒久的なデータ漏えいを回避するために、イベント データ、フロー データ、およびログ デ
ータをエクスポートできます。
• [ドライブ領域] — ハード ドライブがいっぱいになっているか、空き領域が不足しています。これ
には、ESM、冗長 ESM、またはリモート マウント ポイントのハード ドライブが含まれる場合があ
ります。
• [重大] — デバイスが正しく動作していないため、修理が必要です。
• [警告] — デバイス上に、正しく機能していない部分があります。
• [情報] — デバイスは正しく動作していますが、デバイスのステータス レベルが変更されています。
• [同期されていません] — ESM の仮想デバイス、データ ソース、またはデータベース サーバー設定
が、デバイス上の実際の状態と同期されていません。
• [ロール オーバー] — このデバイスのログ テーブルの空き領域が不足しているため、ロール オーバ
ーされました。したがって、古いログが新しいログによって上書きされます。
• [非アクティブ] — 非アクティブのしきい値期間内に、デバイスがイベントまたはフローを生成しま
せんでした。
• [不明] — ESM がデバイスに接続できませんでした。
[パーティションの削除]、[ドライブ領域]、[ロール オーバー]、および [情報] フラグは、フラグの横
のボックスをオンにし、[選択内容をクリア] または [すべてクリア] をクリックしてクリアできます。
デバイス
[デバイス ステータス アラート] ページには、問題を解決できる場所が表示されるボタンがあります。
次のようなボタンがあります。
• [ログ] — [システム ログ] (ローカル ESM 用) または [デバイス ログ] ページに、システムまたは
デバイスで実行されたすべてのアクションのサマリーが表示されます。
• [仮想デバイス]、[データ ソース]、[VA ソース]、または [データベース サーバー] — システム内
にあるこのタイプのデバイスがリストされ、問題を確認できます。
• [非アクティブ] — [非アクティブのしきい値] ページには、すべてのデバイスのしきい値設定が表
示されます。このフラグは、指定された時間間隔でデバイスがイベントを生成していないことを示
します。
警告または重大ステータスからサブシステムが復旧すると、必ず情報フラグが表示されます。次にそれぞれのタイプ
の情報フラグについて説明します。
60
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの管理
ステータス
説明および手順
バイパス モード
Network Interface Controller (NIC) はバイパス モードになっています。原因
としては、重大なシステム プロセスのエラー、デバイスを手動でバイパス モード
に設定したなどのエラーが考えられます。デバイスのバイパス モードを解除する
場合は、デバイスで [プロパティ] 、 [設定] 、 [インターフェース] の順に選択し
ます。
ディープ パケット インスペ
クターが実行されていない
ディープ パケット インスペクター (DPI) が正常に動作していません。これは介
入の必要なく復旧する可能性があります。復旧しない場合はデバイスを再起動し
てください。
ファイアウォール アラート
ファイアウォール アラート アグリゲーター (FAA) が正常に動作していません。
プログラム (ngulogd) が実行 これは介入の必要なく復旧する可能性があります。復旧しない場合はデバイスを
再起動してください。
されていない
データベースが実行されてい
ない
McAfee Extreme Database (EDB) サーバーが正常に動作していません。デバイ
スを再起動すると問題が解決される可能性がありますが、データベースを再構築し
なければならない場合があります。
オーバーサブスクリプション
モード
監視対象のネットワークの負荷が、Nitro IPS が処理できる範囲を超えている場合
は、ネットワーク パケットが検査されない場合があります。正常性モニターが、
Nitro IPS がオーバーサブスクリプションされていることを示すアラートを生成し
ます。デフォルトでは、オーバーサブスクリプション モードの値はドロップに設定
されています。値を変更するには、[ポリシー エディター] に移動し、[ルール タイ
プ] ペインの [変数] をクリックし、[パケット検査] 変数を展開し、
[OVERSUBSCRIPTION _MODE] 変数について [継承] を選択します。 この変数
については、[通過] と [ドロップ] が許可されています。
制御チャネルが実行されてい
ない
ESM を使用して通信チャネルのサービスを行うプロセスが失敗しました。デバイ
スを再起動することで問題が解決する場合があります。
RDEP または Syslog プログ
ラムが実行されていない
サードパーティのデータ ソース (Syslog や SNMP など) を処理するサブシステ
ムが正常に機能していない場合は、重大なアラートが出されます。コレクターがサ
ードパーティのデータ ソースから特定の時間内にデータを受信していない場合に
は、警告レベルのアラートが出されます。これは、データ ソースが停止している
か、Receiver に正常にデータを送信していない可能性を示しています。
正常性モニターがディープ パ
ケット インスペクター コン
トローラー プログラムと通信
できない
正常性モニターがディープ パケット インスペクターと通信してステータスを取得
できません。これは、制御プログラムが実行されておらず、ネットワーク トラフィ
ックが Nitro IPS を通過していない可能性を示しています。ポリシーを再度適用
することで、問題が解決する場合があります。
システム ロガーが実行されて システム ロガーが応答していません。デバイスを再起動することで問題が解決す
いない
る場合があります。
ハード ドライブのパーティシ 空きディスク領域の容量が著しく低下しています。
ョンの空き領域が不足してい
る
ファン速度アラート
ファンの速度が大幅に低下しているか、ファンが停止しています。ファンを交換す
るまでは、適切な空調がなされた室内にデバイスを保管して、損傷を防止してくだ
さい。
温度アラート
重大なコンポーネントの温度が特定のしきい値を超えています。適切に空調が行
われている室内にデバイスを保管して、恒久的な損傷を防止してください。デバイ
ス内の空気の流れをブロックしているものがないかどうかを確認します。
ネットワーク エラー
ネットワーク上でエラーまたは過剰な衝突が発生しています。大きい衝突ドメイ
ンまたはネットワーク ケーブルの不良が原因である可能性があります。
リモート マウント ポイント
の問題
リモート マウント ポイントの問題が発生しています。
リモート マウント ポイント
の空きディスク領域が低下
リモート マウント ポイントの空きディスク領域が低下しています。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
61
3
ESM の設定
デバイスの設定
ステータス
説明および手順
データ ソースからの通信を
Receiver がデータ ソースからの通信を 10 分以上受信していません。
10 分以上受信していない、す
べてのデータ ソース コレク
ター
データ ソース コレクターが
実行されていない
サードパーティのデータ ソース (Syslog や SNMP など) を処理するサブシステ
ムが正常に機能していません。コレクターがサードパーティのデータ ソースから
特定の時間内にデータを受信していません。データ ソースが停止しているか、
Receiver に正常にデータを送信していません。
正常性モニターがサブシステ
ムから有効なステータスを取
得できない
正常性モニターがサブシステムから有効なステータスを取得できませんでした。
警告または重大ステータスか
らのサブシステムのリカバリ
ー
正常性モニターを起動して停止すると、情報アラートが生成されます。正常性モニ
ターとデバイス上の他のサブシステムとの通信に問題がある場合にも、アラートが
生成されます。イベント ログを表示すると、警告アラートや重大アラートの原因の
詳細が表示される場合があります。
グループまたはデバイスを削除する
デバイスがシステムの一部ではなくなった場合、または特定のグループを使用しなくなった場合は、システム ナビゲ
ーション ツリーから削除します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、削除するデバイスまたはグループを強調表示し、アクション ツールバーの
[削除] アイコンをクリックします。
2
確認を求められたら、[OK] をクリックします。
デバイスを更新
情報が ESM の情報と一致するように、システム上のデバイスを手動で更新できます。
•
アクション ツールバーで、[デバイスを更新] アイコン
をクリックします。
デバイスの設定
リアルタイム フォレンジック、アプリケーションとデータベースのモニタリング、高度なルール/リスク ベースの相
関分析、コンプライアンス レポートを行うには、物理デバイスと仮想デバイスの両方を McAfee ESM に接続しま
す。
目次
デバイスと機能
[Event Receiver] の設定
Enterprise Log Manager (ELM) の設定
Advanced Correlation Engine (ACE) の設定
Application Data Monitor (ADM) の設定
Database Event Monitor (DEM) の設定
分散型 ESM (DESM) の設定
ePolicy Orchestrator 設定
Nitro Intrusion Prevention System (Nitro IPS) の設定
62
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
McAfee Vulnerability Manager 設定
McAfee Network Security Manager の設定
デバイスと機能
ESM では、セキュリティ環境内のブル地デバイスと仮想デバイスを管理し、デバイスとの接続を制御できます。
関連トピック:
64 ページの「[Event Receiver] の設定」
115 ページの「Enterprise Log Manager (ELM) の設定」
133 ページの「Application Data Monitor (ADM) の設定」
147 ページの「Database Event Monitor (DEM) の設定」
130 ページの「Advanced Correlation Engine (ACE) の設定」
154 ページの「分散型 ESM (DESM) の設定」
154 ページの「ePolicy Orchestrator 設定」
161 ページの「Nitro Intrusion Prevention System (Nitro IPS) の設定」
McAfee Enterprise Security Manager 9.5.1
製品ガイド
63
3
ESM の設定
デバイスの設定
[Event Receiver] の設定
[Event Receiver] は、ファイアウォール、仮想プライベート ネットワーク (VPN)、ルーター、Nitro IPS/IDS、
NetFlow、sFlow などのマルチベンダー ソースから、セキュリティ イベントとネットワーク フロー データを収集
します。
[Event Receiver] では、このデータの収集を行って、単一の管理可能なソリューションに正規化できます。この機
能では、Cisco、Check Point、Juniper など複数のベンダーのデバイスを 1 つのビューに表示することができます。
また、Receiver にデータ フィードを送信する Nitro IPS デバイスとルーターから、イベント データとフロー デー
タを収集することが可能になります。
高可用性 Receiver (Receiver-HA) はプライマリおよびセカンダリ モードで使用でき、相互のバックアップとして
機能します。 セカンダリ Receiver (B)はプライマリ Receiver (A)を継続的に監視し、新しい設定またはポリ
シー情報を両方のデバイスに送信します。Receiver B は Receiver A が故障していると判断した場合、Receiver A
のデータ ソース NIC をネットワークから切り離し、新しいプライマリとして引き継ぎます。手動で介入して
Receiver A をプライマリとしてリストアするまで、そのプライマリのままとなります。
ビュー ストリーミング イベント
®
[ストリーミング ビューアー] は、McAfee ePO、McAfee Network Security Manager、Receiver、データ ソー
ス、子データ ソース、または選択したクライアントによって生成されたイベントのリストを表示します。 リストを
フィルターして、ビューに表示するイベントを選択できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、表示するデバイスを選択して、アクション ツールバーの [ビュー ストリー
ミング イベント] アイコン
をクリックします。
2
ストリーミングを開始するには、[開始] をクリックし、停止するには [停止] をクリックします。
3
ビューアー上で使用できるアクションを選択します。
4
[閉じる] をクリックします。
高可用性 Receiver
高可用性 Receiver は、プライマリ Receiver で障害が発生した場合にセカンダリ Receiver が機能を引き継げるよ
うに、プライマリ モードとセカンダリ モードで使用します。 これにより、1 つの Receiver を使用している場合よ
りも継続してデータの収集を行うことができます。
高可用性 Receiver の機能は FIPS 準拠ではありません。 FIPS 規則に準拠する必要がある場合は、この機能を使用し
ないでください。
この構成では、2 つの Receiver をセットアップします。片方がプライマリまたは優先プライマリとして動作し、も
う一方がセカンダリとして機能します。 セカンダリ Receiver は、プライマリ Receiver を常時監視しています。セ
カンダリは、プライマリが故障していると判断すると、プライマリを停止して機能を引き継ぎます。
プライマリが修復されると、セカンダリに戻るか、引き続きプライマリとして機能します。 この動作は、[HA
Receiver] タブの [優先プライマリ デバイス] フィールドで選択したオプションによって決まります
(『Receiver-HA デバイスをセットアップする』を参照)。
Receiver の下記のモデルは、高可用性機能を付加して購入できます。
64
•
ERC-1225-HA
•
ERC-1250-HA
•
ERC-2230-HA
•
ERC-1260-HA
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
•
ERC-2250-HA
•
ERC-2600-HA
•
ERC-4245-HA
•
ERC-4600-HA
•
ERC-4500-HA
3
これらのモデルには、HA 機能に必要な Intelligent Platform Management Interface (IPMI) ポートと 4 つ以上
の NIC が備わっています (『Receiver-HA のネットワーク ポート』 を参照)。
IPMI カードは、故障した Receiver をシャットダウンすることによって、両方の DS NIC が共有 IP と MAC を同
時に使用する可能性をなくします。IPMI カードは、クロスオーバー ケーブルまたはストレートスルー ケーブルで他
の Receiver と接続します。Receiver は、ハートビート NIC 上でクロスオーバー ケーブルまたはストレートスル
ー ケーブルと接続します。ESM との通信用には管理 NIC、データ収集用にはデータ ソース NIC があります。
プライマリ Receiver が正常に動作していて、セカンダリ Receiver がセカンダリ モードの場合、
•
Receiver は専用ハートビート NIC と管理 NIC 上で常に通信を行います。
•
受信した OPSEC や Estreamer などの証明書は、ペアで他の Receiver に渡されます。
•
すべてのデータ ソースは、データ ソース NIC を使用します。
•
各 Receiver は、それ自体の正常性を監視し、報告します。具体的には、ディスク エラー、データベース フリー
ズ、NIC 上のリンク喪失などの内部正常性アイテムが含まれます。
•
ESM は定期的に Receiver と通信し、ステータスと正常性を判定します。
•
新しい設定情報はすべて、プライマリとセカンダリの両方の Receiver に送信されます。
•
ESM は、プライマリとセカンダリの両方の Receiver にポリシーを送信します。
•
停止/再起動/ターミナル/コール ホームは、各 Receiver に個別に適用されます。
以下のセクションでは、Receiver-HA に問題が発生した場合の状況について説明します。
プライマリ Receiver の故障
プライマリ Receiver が故障しているかどうかを判断するのは、セカンダリ Receiver の役割です。データの損失を
最小限に抑えるため、故障は迅速かつ正確に判定する必要があります。フェールオーバー時は、ESM および ELM へ
最後にデータを送信した後のデータがすべて失われます。失われるデータの量は、Receiver のスループットと、ESM
が Receiver からデータをプルする速度に応じて異なります。これらの競合するプロセス間のバランスを慎重に取
り、データの可用性を最適化します。
プライマリ Receiver が完全に故障している場合 (停電、CPU 故障) は、プライマリ Receiver とのハートビート通
信はありません。Corosync は通信が失われたことを認識し、プライマリ Receiver を故障としてマークします。セ
カンダリ Receiver 上の Pacemaker は、プライマリ Receiver 上の IPMI カードがプライマリ Receiver をシャッ
トダウンするよう要求します。このときセカンダリ Receiver が共有 IP と MAC アドレスを引き受け、すべてのコ
レクターを開始します。
セカンダリ Receiver の故障
セカンダリの故障プロセスは、セカンダリ Receiver がハートビート通信に応答しなくなったときに発生します。こ
れは、管理インターフェースおよびハートビート インターフェースを使用して一定期間試みた後に、システムがセカ
ンダリ Receiver と通信できていないことを意味します。
プライマリがハートビート信号と整合性信号を受信できない場合、corosync はセカンダリを故障とマークし、
Pacemaker はセカンダリの IPMI カードを使ってこれをシャットダウンします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
65
3
ESM の設定
デバイスの設定
プライマリの正常性問題
プライマリ Receiver の正常性が著しく損なわれることがあります。正常性の重大な損失としては、データベースの
無応答、データ ソース インターフェースの無応答、過剰なディスク エラーなどがあります。
プライマリ Receiver はこれらのいずれかの状態に関する healthmon アラートを認識すると、corosync を停止し
ます。Pacemaker が healthmon アラートを処理および設定します。これらのプロセスを中止すると、データ収集
作業がセカンダリ Receiver へ移行します。
セカンダリの正常性問題
セカンダリ Receiver の正常性が著しく損なわれると、以下が発生します。
•
セカンダリ Receiver はクエリーに対して正常性問題を ESM に報告し、corosync と Pacemaker のプロセスを
中止します。
•
セカンダリ Receiver がそのままクラスターの一部になっている場合は、それ自体をクラスターから削除し、プ
ライマリ Receiver が故障した場合に使用できなくなります。
•
正常性問題が分析され、修理が試みられます。
•
正常性問題が解決すると、Receiver は『サービスに戻す』の手順を使って正常動作に戻されます。
•
正常性問題が解決しない場合は、『故障した Receiver を交換する』のプロセスが開始します。
サービスに戻す
Receiver が故障から復旧してサービスに戻ると (例: 停電、ハードウェア修理、またはネットワーク修復後の再起
動)、以下が発生します。
•
高可用性モードの Receiver は起動時にデータ収集を開始しません。 プライマリに設定されるまでセカンダリ
モードで動作します。
•
優先プライマリ デバイスはプライマリの役割を果たし、共有データ ソースの IP を使用してデータの収集を開始
します。 優先プライマリ デバイスがない場合、現在プライマリ モードのデバイスが共有データ ソースを使用し
てデータの収集を開始します。
このプロセスについての詳細は、『故障した Receiver を交換する』を参照してください。
Receiver-HA のアップグレード
Receiver-HA のアップグレード プロセスでは、セカンダリ Receiver から順番に、両方の Receiver をアップグレ
ードします。 次のようになります。
1
アップグレード tarball ファイルを ESM にアップロードし、セカンダリ Receiver に適用します。
2 「Receiver-HA の役割を切り替える」のプロセスに従って、プライマリとセカンダリの Receiver の役割を切り
替えます。今回アップグレードした Receiver がプライマリ Receiver になり、まだアップグレードしていない
ほうがセカンダリとなります。
3
アップグレード tarball が新しいセカンダリ Receiver に適用されます。
4 「Receiver-HA の役割を切り替える」のプロセスに従って、再度プライマリとセカンダリの Receiver の役割を
切り替えます。これで元の Receiver の役割に戻ることになります。
アップグレードする場合には、優先プライマリ Receiver を使用しないでください。 参照
66
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Receiver-HA を優先プライマリで設定している場合には、アップグレード前に設定を変更してください。 [HA
Receiver] タブ (『Receiver-HA デバイスをセットアップする』を参照) で、[優先のプライマリ デバイス] フィー
ルドに [なし] を選択します。 これにより、[フェールオーバー] オプションが使用可能になります。このオプション
は、優先プライマリ設定で使用できません。 両方の Receiver がアップグレードされたら、優先プライマリの設定を
再度適用できます。
Receiver-HA のネットワーク ポート
これらの図は、Receiver-HA 上のネットワーク ポートの接続方法を示しています。
1U HA Receiver 間の接続を確立する
1
プライマリ IPMI
4
セカンダリ IPMI
2
Mgmt 2
5
ハートビート (HB)
3
Mgmt 1
6
Mgmt 3
McAfee Enterprise Security Manager 9.5.1
製品ガイド
67
3
ESM の設定
デバイスの設定
2U HA Receiver 間の接続を確立する
1
IPMI
5
管理 4 (eth3)
2
管理 2 (eth1)
6
管理 5 (eth4)
3
管理 1 (eth0)
7
管理 6 (eth5)
4
管理 3 (eth2)
Receiver-HA デバイスの設定
Receiver-HA デバイスの設定を定義します。
開始する前に
プライマリ デバイスとして機能する Receiver を追加します(『ESM コンソールにデバイスを追加』 を
参照)。 3 つ以上の NICS が必要です。
高可用性 Receiver の機能は FIPS 準拠ではありません。 FIPS 規則に準拠する必要がある場合は、この
機能を使用しないでください。
68
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、プライマリ HA デバイスにする Receiver を選択し、[プロパティ] アイコ
ン
をクリックします。
2
[Receiver の設定]、[インターフェース] の順にクリックします。
3
[HA Receiver] タブをクリックし、[高可用性のセットアップ] を選択します。
4
要求された情報を入力し、[OK] をクリックします。
これで、2 番目の Receiver をキー設定し、データベースを更新し、globals.conf を適用し、2 つの Receiver を
同期させるためのプロセスが開始されます。
セカンダリ デバイスを再初期化
セカンダリ Receiver を何らかの理由でサービスから外していた場合は、再インストールして再初期化してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、プライマリ Receiver の [Receiver プロパティ] を選択し、[Receiver の
設定] 、 [インターフェース] 、 [HA Receiver]をクリックします。
2
[セカンダリ管理 IP] フィールド内の IP アドレスが正しいことを確認します。
3
[セカンダリを再初期化] をクリックします。
ESM は、Receiver を再初期化するのに必要な手順を実行します。
HA デバイスをリセットする
HA Receiver を HA デバイスとして設定する前の状態にリセットする必要がある場合、ESM コンソール上でその操
作を行えます。Receiver との通信に失敗した場合は、LCD メニューで行います。
•
次のいずれかを行います。
操作
手順
ESM コンソールで
1 システム ナビゲーション ツリーで [Receiver プロパティ] をクリックし、[Receiver
Receiver をリセット
の設定] 、 [インターフェース] の順にクリックします。
します。
2 [高可用性のセットアップ] を選択解除し、[OK] をクリックします。
3 警告ページで [Yes] をクリックし、[閉じる] をクリックします。
両方の Receiver が、約 5 分のタイムアウト後、MAC アドレスをそれぞれの元の値に戻
します。
プライマリまたはセ
カンダリ Receiver
を LCD メニューで
リセット
1 Receiver の LCD メニューで [X] を押します。
2 [HA を無効化] が表示されるまで下矢印を押します。
3 右矢印を 1 回押します。LCD 画面に [プライマリの無効化] が表示されます。
4 プライマリ Receiver をリセットするには、チェックマークを押します。
5 セカンダリ Receiver をリセットするには、下向き矢印を 1 回押してからチェックマ
ークを押します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
69
3
ESM の設定
デバイスの設定
Receiver-HA の役割を切り替える
ユーザーが開始するスイッチオーバー プロセスにより、プライマリとセカンダリの Receiver を切り替えることがで
きます。
これは、Receiver をアップグレードしたり、Receiver をメーカーに返送する準備をしたり、Receiver のケーブル
を移動するときなどに必要になります。この切り替えにより、失われるデータの量を最小限にします。
コレクター (McAfee ePO デバイスを含む) と Receiver-HA が関連付けられている場合、Receiver-HA でフェールオ
ーバーが発生すると、この 2 つの間にあるスイッチがフェールオーバー Receiver の新しい MAC アドレスと共有 IP
アドレスを関連付けるまで、コレクターは Receiver-HA と通信できません。 ネットワークの設定状態によって、この
処理には数分から数日かかる場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーで、Receiver-HA デバイスを選択し、[プロパティ] アイコン
します。
をクリック
[高可用性] 、 [フェールオーバー] の順に選択します。 以下が行われます。
•
ESM はセカンダリ Receiver に対し、共有データ ソース IP の使用を開始し、データを収集するよう指示し
ます。
•
セカンダリ Receiver は、Cluster Resource Manager (CRM) コマンドを発行し、共有 IP と MAC を切り
替え、コレクターを起動します。
•
ESM は、プライマリ Receiver からすべてのアラートとフロー データをプルします。
•
ESM は、セカンダリ Receiver をプライマリ、またプライマリ Receiver をセカンダリとしてマークします。
HA Receiver のアップグレード
Receiver-HA のアップグレード プロセスでは、セカンダリ Receiver から順番に、両方の Receiver をアップグレ
ードします。
アップグレード プロセスを開始する前に、「Receiver の高可用性ステータスを確認する」のプロセスを実行し、
Receiver-HA デバイスでアップグレードの準備が整っていることを確認してください。この確認を行わないと、デバ
イスのアップグレードとダウンタイムの問題が発生することがあります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーで、Receiver-HA デバイスを選択し、[プロパティ] アイコン
します。
をクリック
以下の手順でセカンダリ Receiver をアップグレードします。
a
[Receiver の管理] をクリックし、[セカンダリ] を選択します。
b
[デバイスを更新] をクリックし、使用するファイルを選択または参照して、[OK] をクリックします。
Receiver が再起動し、ソフトウェアのバージョンが更新されます。
70
c
[Receiver のプロパティ] で [高可用性] 、 [サービスに戻す] の順にクリックします。
d
セカンダリ Receiver を選択し、[OK] をクリックします。
3
セカンダリ Receiver をプライマリに変更するには、[高可用性] 、 [フェールオーバー] の順にクリックします。
4
手順 2 を繰り返して、新しいセカンダリ Receiver をアップグレードします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Receiver の高可用性ステータスを確認する
アップグレードを実行する前に、HA Receiver ペアのステータスを確認します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、プライマリ Receiver-HA デバイスを選択し、[プロパティ] アイコン
をクリックします。
2
[ステータス] および [セカンダリ ステータス] フィールドで、ステータスが [OK; HA Status: online] である
かを確認します。
3
各 HA Receiver に対してセキュアなシェル、つまり SSH を確保して、両方の Receiver のコマンドライン イン
ターフェースから ha_status コマンドを実行します。結果の情報には、この Receiver のステータスと、この
Receiver が他の Receiver のステータスをどのように捉えているかが示されます。次のように表示されます。
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
4
この情報から以下を確認します。
•
応答の 1 行目は OK です。
•
Hostname はコマンドラインのホスト名から Receiver のモデル番号を引いた値と同じです。
•
Mode は sharedIP の値がこの Receiver のホスト名である場合はプライマリです。そうなっていない場合、
モードはセカンダリです。
•
次の 2 行は HA ペアの Receiver のホスト名を示しており、各 Receiver の実行ステータスをリストしてい
ます。両方のステータスは [online] です。
•
corosync= は実行中である corosync の実行ステータスを示します。
•
hi_bit は Receiver 上では no、その他の Receiver 上では yes です。どれがどれということを問いませ
ん。
HA Receiver の 1 つだけが hi_bit 値で設定されていることを確認します。両方の HA Receiver が同じ値に
設定されている場合、この誤った設定を修正しようとしてアップグレードする前に McAfee サポートに問い合
わせる必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
71
3
ESM の設定
デバイスの設定
5
各 HA Receiver に対してセキュアなシェル、つまり SSH を確保して、両方の Receiver のコマンドライン イン
ターフェースから ifconfig コマンドを実行します。
6
生成されたデータで以下を確認します。
•
eth0 および eth1 の MAC アドレスは両方の Receiver で一意です。
•
プライマリ Receiver は eth1 で 共有 IP アドレスを持っていますが、セカンダリ Receiver は eth1 で IP
アドレスを持っていません。
両方の HA Receiver が同じ値に設定されている場合、この誤った設定を修正しようとしてアップグレードす
る前に McAfee サポートに問い合わせてください。
このスポット チェックは、システムが機能しており IP アドレスの重複が存在していないかを確認します。つまり、
デバイスをアップグレードできることを意味します。
故障した Receiver の交換
セカンダリ Receiver に解決不能な正常性の問題がある場合、Receiver の交換が必要になる可能性があります。新
しい Receiver を受け取ったら、McAfee ESM Setup and Installation Guide の手順に従ってインストール
します。IP アドレスを設定し、ケーブルのプラグを差し込んだら、Receiver を HA クラスターに戻す作業に進むこ
とができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで HA Receiver の [Receiver プロパティ] を選択し、[Receiver の設定] 、
[インターフェース]をクリックします。
2
[HA Receiver] タブをクリックし、[高可用性のセットアップ] が選択されているかを確認します。
3
IP アドレスが正しいかを確認し、[セカンダリを再初期化] をクリックします。
新しい Receiver がクラスターに組み込まれ、HA モードが有効になります。
故障した Receiver のトラブルシューティング
HA セットアップの Receiver が何らかの理由で故障すると、データ ソースの書き込み、グローバル設定、集計設
定、その他が失敗し、SSH エラーが表示されます。
実際には、機能が続行されている Receiver に設定がロールアウトされますが、故障している Receiver とは同期で
きないので、エラーが表示されます。ただし、ポリシーはロールアウトしません。このような状況では、以下のよう
な選択肢があります。
•
セカンダリ Receiver が利用可能になって同期されるまでポリシーのロールアウトを待機します。
•
Receiver を HA モードから削除します。これにより HA クラスターのダウン タイムが 2~5 分間発生し、この
間イベントは収集されません。
Receiver の未加工データのアーカイブ
長期保存のためストレージ デバイスに未加工データのバックアップを転送するように Receiver を設定します。
ESM がサポートしている 3 種類のストレージは、Server Message Block/Common Internet File System
(SMB/CIFS)、Network File System (NFS)、および Syslog Forwarding です。 SMB/CIFS と NFS がデータ フ
ァイルの形態で格納するのは、email、estream、http、SNMP、SQL、Syslog、およびリモート エージェント プ
ロトコルを使用するデータ ソースによって Receiver へ送信されるすべての未加工データのバックアップです。 こ
れらのデータ ファイルは、5 分おきにアーカイブへ送信されます。Syslog Forwarding は、Syslog プロトコルの
72
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
未加工データを、結合 Syslog の連続ストリームとして、[データ アーカイブ設定] ページの [Syslog Forwarding]
セクションで設定したデバイスへ送信します。Receiver は、一度に 1 種類のストレージのみに転送できます。3 種
類すべてを設定できますが、データをアーカイブするために有効化できるのは 1 種類のみです。
この機能は、Netflow、sflow、および IPFIX のデータ ソース タイプをサポートしていません。
アーカイブ設定を定義
Syslog メッセージの未加工データを格納するには、Receiver がアーカイブに使用する設定を構成する必要がありま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[Receiver の設定] 、 [データ アーカイ
ブ]をクリックします。
2
共有タイプを選択して、リクエストされた情報を入力します。
ポート 445 を CIFS 共有のあるシステム上で開き、CIFS 共有接続を有効にする必要があります。同様に、ポート
135 を SMB 共有のあるシステム上で開き、SMB 接続を確立する必要があります。
3
Receiver デバイスに変更を適用する準備が整ったら、[OK] をクリックします。
相関イベントのソース イベントを表示する
[イベント分析] ビューで、相関イベントのソース イベントを表示できます。
開始する前に
相関データ ソースが ESM に存在している必要があります (「相関データ ソース」と「データ ソースを
追加する」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで Receiver を展開し、[相関エンジン] アイコンをクリックします。
2
ビュー リストで [イベント ビュー] をクリックして、[イベント分析] を選択します。
3
[イベント分析] ビューで、相関イベントの隣の最初の列にあるプラス記号 (+) をクリックします。
プラス記号が表示されるのは、相関イベントのソース イベントが存在する場合だけです。
相関イベントの下にソース イベントが表示されます。
Receiver スループットの統計情報を表示する
過去 10 分間、過去 1 時間、過去 24 時間の受信 (コレクター) と送信 (パーサー) のデータ ソース レートなどの
Receiver 使用統計を表示します。
開始する前に
デバイス管理権限があることを確認してください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
73
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで Receiver を選択して、プロパティ アイコン
2
[Receiver の管理]、[統計情報の表示]、[スループット] の順にクリックします。
3
Receiver の統計情報を表示します。
をクリックします。
受信レートが送信レートよりも 15% 大きい場合、その行に「クリティカル」 (過去 24 時間) または「警告」
(過去 1 時間) というフラグが付きます。
4
[すべて]、[クリティカル]、[警告] オプションを選択して、データ ソースをフィルタリングします。
5
メトリックスを表示する測定単位を KB またはレコード数で選択します。
6
10 秒間隔でデータを自動的に更新するには、[自動更新] チェックボックスを選択します。
7
関連する列のタイトルをクリックして、データをソートします。
Receiver データ ソース
McAfee Event Receiver は、ファイアウォール、仮想プライベート ネットワーク(VPN)、ルーター、Nitro IPS/
IDS、NetFlow、sFlow などを含むマルチベンダー ソースからのセキュリティ イベントおよびネットワーク フロー
データの収集を可能にします。データ ソースは、Receiver がログやイベント データをどのように収集するかを制御
するのに使用されます。データ ソースを追加し、必要なデータを収集するための設定を定義する必要があります。
[データ ソース] ページは、Receiver デバイスのデータ ソースを管理する出発点です。データ ソースを追加、編集、
削除するほか、インポート、エクスポート、移行する方法も提供します。子データ ソースおよびクライアント デー
タ ソースも追加できます。
データ ソースを追加
データ収集のために Receiver に追加する必要のあるデータ ソースの設定を構成します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、データ ソースを追加する Receiver を選択し、[プロパティ] アイコン
をクリックします。
2
[Receiver のプロパティ] で[データ ソース] 、 [追加]をクリックします。
3
ベンダーとモデルを選択します。
入力するフィールドは、選択内容によって異なります。
4
要求された情報を入力し、[OK] をクリックします。
データ ソースが Receiver 上のデータ ソースのリストに追加されるとともに、選択した Receiver のシステム ナビ
ゲーション ツリーにも追加されます。
74
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
SNMP トラップのデータ ソースの処理
SNMP トラップを使用すると、データ ソースは SNMP トラップの送信機能を持つ管理可能なネットワーク デバイ
スから、標準の SNMP トラップを受け入れます。
標準的なタイプは次のとおりです。
•
認証失敗
•
リンク停止
•
コールド スタート
•
リンク アップ/ウォーム スタート
•
EGP 近隣切断
IPv6 を介して SNMP トラップを送信するには、IPv6 アドレスを IPv4 変換アドレスで表す必要があります。たとえ
ば、10.0.2.84 を IPv6 に変換すると次のようになります。
2001:470:B:654:0:0:10.0.2.84 または 2001:470:B:654::A000:0254
[SNMP トラップ] を選択すると、3 つのオプションが表示されます。
•
以前にプロファイルを選択していない場合には、[SNMP データ ソース プロファイル] ダイアログ ボックスが開
き、使用するプロファイルを選択できます。
•
プロファイルを選択している場合には、[SNMP データ ソース プロファイル] ダイアログ ボックスが開きます。
プロファイルを変更するには、[システム プロファイル] フィールドの下矢印をクリックし、新しいプロファイル
を選択します。
•
以前に選択したプロファイルを変更するときに、必要なプロファイルが [SNMP データ ソース プロファイル] ダ
イアログ ボックスのドロップダウン リストに表示されない場合には、データ ソースの SNMP プロファイルを作
成します。
データ ソースの管理
[データ ソース] ページで、データ ソースを追加、編集、削除、インポート、エクスポート、移行することのほか、
子データ ソースやクライアント データ ソースを追加することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
Receiver 上でデータ ソースのリストを表示して管理でき、利用可能なオプションのいずれかを実行します。
3
[適用] または [OK] をクリックします。
SIEM コレクター
SIEM コレクターは、暗号化された接続を介して Windows イベント ログを Receiver に送信します。
SIEM コレクターを使用しない場合、Windows イベントの収集は、WMI プロトコルまたはサードパーティのエージ
ェントによって行われます。 多くの環境では、セキュリティ ポリシーでシステムに対するアクセスがロックされて
いるので、WMI を使用することはできません。
WMI トラフィックはテキスト形式で、Windows イベントログに書き込まれたログ以外にはアクセスできません。
DNS、DHCP、IIS などの他のサービスやサードパーティ エージェントで作成されたログ ファイルにはアクセスで
きません。
SIEM コレクターをスタンドアロンまたは既存の McAfee ePolicy Orchestrator の一時として使用すると、既存の
McAfee Agent に WMI の機能を追加できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
75
3
ESM の設定
デバイスの設定
SIEM コレクターをハブとして使用すると、それぞれのシステムに SIEM コレクター パッケージを追加することな
く、他のシステムから RPC 経由でログを収集できます。
以下の機能も追加されます。
•
ユーザー定義の SQL データベースから収集するプラグイン (SQL Server と Oracle に対応)。
•
evt または .evtx 形式でエクスポートされた Windows イベントを解析するプラグイン。
•
SQL Server C2 監査 (.trc 形式) をサポートするプラグイン
Vulnerability Assessment データを統合する
DEM および Receiver の Vulnerability Assessment (VA) は、多くの VA ベンダーから取得したデータを統合でき
ます。
このデータは複数の方法で使用できます。
•
特定のイベントに対するエンドポイントの既知の脆弱性に基づいて、イベントの重大度を上げます。
•
資産とその属性 (検出されたオペレーティング システムとサービス) が自動的に認識されるようにシステムを設
定します。
•
ユーザー定義の資産グループのメンバーシップを作成して操作します。
•
ネットワーク資産のサマリーおよびドリルダウン情報にアクセスします。
•
MySQL の実行中に資産が検出された場合に MySQL シグネチャをオンにするなど、[][][ポリシー エディター]
の設定を変更します。
定義済みのビューまたは作成したカスタム ビューでは、システムによって生成された VA データにアクセスできま
す。定義済みのビューには、次のものがあります。
•
[ダッシュボード ビュー] 、 [資産脆弱性ダッシュボード]
•
[コンプライアンス ビュー] 、 [PCI] 、 [セキュリティ システムおよびプロセッサのテスト] 、 [11.2 ネットワ
ークの脆弱性スキャン]
•
[エグゼクティブ ビュー] 、 [規制資産の重大な脆弱性]
カスタム ビューの作成方法については、『カスタム ビューを追加する』を参照してください。
[脆弱性の合計数]、[カウント]、[ダイアル] を含むビューを作成すると、大量の脆弱性が表示される場合があります。
これは、McAfee Threat Intelligence Services (MTIS) フィードが、VA ソースから報告された元の脆弱性に基づい
て脅威を追加しているためです (「資産、脅威、リスク評価」を参照)。
McAfee ルール チームは、VIN に対する McAfee sigID を、Common Vulnerabilities and Exposure (CVE) ID、
BugTraq ID、Open Source Vulnerability Database (OSVDB) ID、および Secunia ID に対する 1 つ以上の参
照にマッピングする、ルール ファイルを維持しています。これらのベンダーは、脆弱性の中で CVE および BugTraq
ID を報告するため、このリリースには CVE と BugTraq ID が含まれています。
VA システム プロファイルを定義
eEye REM ソースを追加する場合、[Vulnerability Assessment ソースを追加] ページでは、以前定義したシステム
プロファイルを使用することができます。この機能を使用するには、最初にプロファイルを定義する必要があります。
76
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで DEM または Receiver デバイスを選択し、[プロパティ] アイコン
クリックします。
2
次に[Vulnerability Assessment] 、 [追加]をクリックします。
3
[VA ソース タイプ] フィールドで、[eEye REM] を選択します。
4
[システム プロファイルを使用] をクリックします。
5
[追加] をクリックし、[プロファイル タイプ] フィールドで [Vulnerability Assessment] を選択します。
6
[プロファイル エージェント] フィールドで、このプロファイルの SNMP バージョンを選択します。
を
ページ上のフィールドは、選択したバージョンに基づいてアクティブになります。
7
要求された情報を入力し、[OK] をクリックします。
VA ソースを追加
VA ソースと通信するには、システムにソースを追加し、VA ベンダーの通信パラメーターを設定し、データを取得す
る頻度を示すパラメーターをスケジュールし、イベント重大度の計算を変更する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで DEM または Receiver デバイスを選択し、[プロパティ] アイコン
クリックします。
2
[Vulnerability Assessment] をクリックします。
3
VA ソースを追加、編集、削除、または取得し、デバイスに対する変更を書き込みます。
4
[適用] または [OK] をクリックします。
を
VA データを取得する
ソースを追加すると、VA データを取得できるようになります。ソースから VA データを取得するには、スケジュー
ルによる方法と、直ちに取得する方法の 2 つがあります。どちらのタイプの取得も、eEye REM (スケジュールのみ)
を除くすべての VA ソースで実行できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [DEM] または [Receiver のプロパティ] を選択し、[Vulnerability
Assessment] をクリックします。
2
VA ソースを選択して、オプションの 1 つを選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
77
3
ESM の設定
デバイスの設定
目的
手順
[すぐに取得す • [取得] をクリックします。
る場合]
ジョブがバックグラウンドで実行され、取得が正常に完了すると通知されます (正常に完了しな
かった場合は「VA 取得のトラブルシューティング」を参照)。
[取得をスケジ 1 [編集] をクリックします。
ュールする場
2 [VA データ取得をスケジュール] フィールドで、頻度を選択します。
合]
3 [OK] をクリックします。
4 [Vulnerability Assessment] ページで [書き込み] をクリックし、デバイスに対する変更を
書き込みます。
3
4
[OK] をクリックします。
データを表示するには、[資産マネージャー] のクイック起動アイコン
Assessment] タブを選択します。
をクリックし、[Vulnerability
VA 取得のトラブルシューティング
VA データの取得が正常に完了しなかった場合には通知されます。取得が失敗する理由としては、次のようなものが
あります。
リソース
問題
Nessus、
OpenVAS、
Rapid7
Metasploit Pro
• ディレクトリが空。
Qualys、
FusionVM、
Rapid7 Nexpose
ディレクトリ内のデータがすでに取得されたため、データが最新ではない。
Nessus
新しい Nessus ファイルを FTP サイトにアップロードしたときに既存の Nessus ファイルを
上書きしても、ファイルの日付は同じままになります。そのため、VA 取得を実行したときに、
古いデータとして認識されるためデータが戻されません。この状況を防ぐには、新しい
Nessus ファイルをアップロードする前に古い Nessus ファイルを FTP サイトから削除する
か、アップロードするファイルの名前を変更します。
• 設定エラー。
• ディレクトリ内のデータがすでに取得されたため、データが最新ではない。
利用できる VA ベンダー
ESM は、これらの VA ベンダー製品との統合が可能です。
VA ベンダー
バージョン
Digital Defense Frontline
5.1.1.4
eEye REM (REM イベント サーバー)
3.7.9.1721
eEye Retina
5.13.0、Audits: 2400
eEye Retina VA ソースは、Nessus データ ソースに似ていま
す。scp、ftp、nfs、cifs のいずれかを使用して .rtd ファイル
を取得できます。.rtd ファイルは、scp、ftp、または nfs 共有
に手動でコピーしてプルする必要があります。.rtd ファイル
は、通常は Retina Scans ディレクトリにあります。
78
McAfee Vulnerability Manager
6.8, 7.0
Critical Watch FusionVM
4-2011.6.1.48
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
VA ベンダー
バージョン
LanGuard
10.2
Lumension
Support PatchLink Security Management
Console 6.4.5 以上
nCircle
6.8.1.6
Nessus
Tenable Nessus バージョン 3.2.1.1 および
4.2 と、ファイル形式 NBE、.nessus
8XMLv2)、.nessus (XMLv1)、OpenNessus
3.2.1 XML をサポート
NGS
OpenVAS
3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro
4.1.4-Update 1、ファイル形式 XML
同じ Receiver に Rapid7 VA ソースを追加することで、名前
が Nexpose で始まる Metasploit エクスプロイトの重大度を
推定できます。推定できない場合、デフォルトの重大度は 100
です。
Saint
データ ソースを自動的に作成する
Receiver に付属の 5 つの標準ルールまたは独自に作成したルールに従ってデータソースを自動的に作成するように
Receiver を設定できます。
開始する前に
Ensure that auto check is selected on the [イベント、フロー、ログ] ダイアログ ([システム プロ
パティ | イベント、フロー、ログ]) で自動検査を選択するか、アクション ツールバーで [イベントとフ
ローを取得] アイコン
をクリックして、イベントまたはフローをプルします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Receiver プロパティ] で、[データソース | 自動学習] をクリックします。
2
[自動学習] ウィンドウで、[設定] をクリックします。
3
[ルール エディターの自動追加] ウィンドウで、[自動作成を有効化] が選択され、Receiver が使用するルールの
自動追加が選択されていることを確認します。
4
選択したルールを既存の自動学習データに適用するには、[実行] をクリックし、[閉じる] をクリックします。
新しい自動作成ルールを追加する
Receiver で使用するカスタム ルールを追加して、データ ソースを自動作成できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
79
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Receiver プロパティ] で、[データソース | 自動学習 | 設定 | 追加] をクリックします。
2
[自動追加ルールを設定] ダイアログ ボックスで、必要なデータを追加してルールを定義し、[OK] をクリックし
ます。
[ルール エディターの自動追加] ダイアログ ボックスの自動追加ルール リストに新しいルールが追加されます。 選
択すると、自動学習データがルールに定義された条件を満たしたときにデータ ソースが作成されます。
データ ソースの日付形式を設定する
データ ソースに含まれる日付形式を選択します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーで Receiver を選択し、[データソースを追加] アイコン
をクリックします。
[詳細] をクリックし、[日付の順序] フィールドで選択します。
•
[デフォルト ] - デフォルトの日付順 (月/日 の形式) を使用します。 クライアントのデータ ソースを使用
する場合、この設定を使用するクライアントは、親データ ソースの日付順を継承します。
•
[月/日] - 日にちの前に月が表示されます (例: 04/23/2014)。
•
[日/月] - 日にちの後に月が表示されます (例: 23/04/2014)。
[OK] をクリックします。
同期されていないデータ ソース
いくつかの設定を行うと、データ ソースの時間が ESM と同期しなくなる場合があります。 同期されていないデー
タ ソースがイベントを生成すると、システム ナビゲーション ツリーの Receiver の横に赤いフラグが表示されま
す。
この状況の発生を通知するようにアラームを設定できます。 [時間差] ページにアクセスすると、同期されていない
データ ソースを管理できます (『同期されていないデータ ソースを管理する』を参照)。
同期されていないイベントは、古いイベントの場合もあれば、新しいイベントの場合もあります。
データ ソースが ESM と同期していない場合、いくつかの理由が考えられます。
1
ESM でタイムゾーンが正しく設定されていない
(『ユーザー設定を選択する』を参照)。
4
システムを意図的にこのような設定にしている。
2
データ ソースの追加時に待ちあったゾーンを設
定した (『データ ソースを追加する』を参照)。
5
システムがインターネットに接続していない。
3
システムが長時間稼動し、タイミングがずれてい
る。
6
Receiver での受信時にイベントが同期されてい
ない。
関連トピック:
74 ページの「データ ソースを追加」
81 ページの「同期されていないデータ ソースを管理する」
36 ページの「ユーザー設定の選択」
80
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
同期されていないデータ ソースを管理する
非同期のデータソースがイベントを生成したときに警告するようにアラームをセットアップします。これにより、デ
ータソースのリストを確認して設定を編集したり、リストをエクスポートできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
この診断ツールは、データソースがイベントを収集する時間を識別します。これにより、Receiver に赤いフラグが
表示される場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
ESM と同期していないデータソースが生成したイベントを Receiver が受信したときに通知するようにアラー
ムを設定します。
a
[アラーム] 、 [追加]の順にクリックして、[サマリー] タブに必要な情報を入力し、[条件] タブをクリックし
ます。
b
[タイプ] フィールドで [イベント デルタ] を選択して、ESM が非同期データ ソースを確認する頻度を選択
し、アラームをトリガーする時間差を選択します。
c
残りのタブで情報を選択します。
同期していないデータソースの表示、編集、エクスポートを行います。
a
システム ナビゲーション ツリーで Receiver を選択し、[プロパティ] アイコンをクリックします。
b
[Receiver の管理] をクリックして [時間差] をクリックします。
子データ ソースを追加する
データ ソースを編成しやすいように子データ ソースを追加できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
データ ソース テーブルで、子を追加するデータ ソースをクリックします。
3
[子を追加] をクリックしてから、親データ ソースの場合と同じようにフィールドに入力します。
4
[OK] をクリックします。
データ ソースはテーブルの親データ ソースの下に子として追加され、システム ナビゲーション ツリーでも追加され
ます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
81
3
ESM の設定
デバイスの設定
クライアント データ ソース
クライアント データ ソースを追加して、Receiver 上で許可されるデータ ソースの数を増やすことができます。
Syslog、ASP、CEF、MEF、NPP、WMI コレクターを備えたデータ ソースの場合、最大 65,534 のデータ ソース
クライアントを追加できます。
データ ソースが既に親か子になっている場合、または WMI データ ソースであり [RPC を使用] が選択されている場
合、このオプションは使用できません。
このリリースでは、IP アドレスが同じ複数のクライアント データ ソースを追加できます。これらのソー
スはポート番号で区別します。 たとえば、データ タイプごとに異なるポートを使用してデータを分離し、
受信と同じポートを使用してデータを転送します。
クライアント データ ソースを追加するときに (『クライアント データ ソース』と『クライアント デー
タ ソースを追加する』を参照)、親データ ソースのポートを使用するかどうかを選択します。
クライアント データ ソースには次の特徴があります。
•
VIPS、ポリシーまたはエージェント権限がありま
せん。
•
親データ ソースと同じポリシーおよび権限を共
有しています。
•
[データ ソース] テーブルに表示されません。
•
親の設定を使用するため、同じタイム ゾーンに属
している必要があります。
•
システム ナビゲーション ツリーに表示されま
す。
クライアント WMI データ ソースは独立したタイム ゾーンに属すことができます。これは、タイム ゾーンが WMI サ
ーバーに送信されるクエリーによって決定されるためです。
クライアント データ ソースを追加
既存のデータ ソースにクライアントを追加し、Receiver 上で許可されるデータ ソース数を増やします。
開始する前に
データ ソースを Receiver に追加します(『データ ソースを追加』 を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリックしま
す。
2
クライアントの追加先であるデータ ソースを選択し、[クライアント] をクリックします。
[データ ソース クライアント] ページには、現在選択されたデータ ソースの一部であるクライアントがリストさ
れます。
3
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
イベントは、より特定されたデータ ソース(親またはクライアント)に移動します。例えば、2 つのクライアント
データ ソースがあるとします。1 つは IP アドレスが 1.1.1.1、もう 1 つは IP アドレスが 1.1.1.0/24(範囲を示
す)です。どちらも同じタイプです。イベントが 1.1.1.1 と一致する場合、イベントはより特定された最初のクライ
アントに移動します。
82
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
クライアントを特定
[データ ソース クライアント] ページには、システム上のすべてのクライアントがリストされます。クライアント数
は 65,000 以上にも及ぶ場合があるので、必要に応じて特定のクライアントを検索できるように検索機能が用意され
ています。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [クライアント]をクリ
ックします。
2
検索する情報を入力し、[検索] をクリックします。
データ ソースのリストをインポート
[データ ソース] ページの [インポート] オプションでは、.csv 形式で保存したデータ ソースのリストをインポート
できるので、各データ ソースを個別に追加、編集、削除する必要がありません。
このオプションを使用する状況は 2 つ考えられます。
•
安全な場所にある Receiver からコピーした未加工のデータ ソース データを、安全でない場所にある Receiver
にインポートする場合。これを行う予定の場合は、「データ ソースの移動」を参照してください。
•
既存のリストにデータ ソースを追加したり、既存のデータ ソースを編集したり、既存のデータ ソースを削除す
ることによって、Receiver 上でデータ ソースを編集する場合。これを行う必要がある場合は、次の手順に従っ
てください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
現在 Receiver 上にあるデータ ソースのリストをエクスポートします。
a
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリック
します。
b
[エクスポート] をクリックしてから、[Yes] をクリックしてダウンロードを確認します。
c
ダウンロードの場所を選択し、必要に応じてファイル名を変更して [保存] をクリックします。
既存のデータ ソースのリストが保存されます。
d
アクセスしてこのファイルを開きます。
現在 Receiver 上にあるデータ ソースのデータをリストしたスプレッドシートが開きます (『データ ソース
をインポートするスプレッドシート フィールド』を参照)。
2
リスト上のデータ ソースを追加、編集、または削除します。
a
A 列で、そのデータ ソースに対して行う操作を追加、編集、削除から指定します。
b
データ ソースを追加または編集する場合は、スプレッドシートの列にその情報を入力します。
ポリシーやデータ ソースの名前を編集することはできません。
c
スプレッドシートに対して行った変更を保存します。
データソースを編集して、クライアント データ ソースまたは他のソースのデータにすることはできません。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
83
3
ESM の設定
デバイスの設定
3
リストを Receiver にインポートします。
a
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース] をクリック
します。
b
[インポート] をクリックして、ファイルを選択し、[アップロード] をクリックします。
ポリシーやデータ ソースの名前を変更することはできません。
[データ ソースをインポート] ページが開き、スプレッドシートに対して行った変更がリストされます。
c
変更をインポートするには、[OK] をクリックします。
正しくフォーマットされた変更が追加されます。
d
変更のフォーマットにエラーがある場合は、[メッセージ ログ] にエラーの説明が記載されています。
e
[ファイル全体をダウンロード] をクリックし、さらに [Yes] をクリックします。
f
ダウンロードの保存場所を選択し、必要に応じてファイル名を変更して [保存] をクリックします。
g
ダウンロードしたファイルを開きます。
エラーのあるデータ ソースがリストされています。
h
エラーを修正してから、ファイルを保存して閉じます。
i
[メッセージ ログ] と [データ ソースをインポート] を閉じ、次に [インポート] をクリックして、保存済みフ
ァイルを選択します。
[データ ソースをインポート] には、修正したデータ ソースがリストされます。
j
[OK] をクリックします。
データ ソースをインポートするスプレッドシート フィールド
データ ソースのインポートに使用するスプレッドシートには複数の列があり、必須列と、特定のソース タイプにの
み使用される列があります。
すべてのデータ ソースで必要なフィールド
列
説明
詳細
op
データ ソースで実行
される操作
[op] 列に次の機能の 1 つを入力します。
• [add] = データ ソースを追加します。
• [edit] = 既存のデータ ソースを変更します。
• [remove] = 再割り当てなしで削除します。
この列が空白のままの場合、データ ソースで実行するアクションはありません。
rec_id
Receiver ID
dsname データ ソースの名前
84
このデバイス ID 番号は、Receiver の [名前と説明] ページで確認できます。
Receiver で一意である必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
すべてのデータ ソースが使用するフィールド
列
説明
詳細
ip
データ ソース • protocol = 'corr' である場合を除き、必須です。
の有効な IP
• 検証は有効化されたデータ ソースでのみ実行されます。除外:
アドレス
• プロトコル: cifs、nfs、ftp、scp、http
• コレクター = 'curl' または 'mount'
• SNMPTrap - 他のデータ ソースが SNMP トラップと IPAddress の比較を使
用する場合には無効です。
• nfxsql - IPAddress、'dbname'、'port' の組み合わせが見つかった場合は無
効です。
• netflow または opsec - IPAddress と 'port' の組み合わせが見つかった場
合は無効です。
• mef - コレクター (parser が mef の場合、collector は自動的に mef になり
ます)。mef とプロトコルが見つかった場合は無効です。
model
MatchByFlag = 1 のクライアントを除き、完全一致である必要があります
(IPAddress が一致)
vendor
MatchByFlag = 1 のクライアントを除き、完全一致である必要があります
(IPAddress が一致)
parent_id
親データ ソー エージェントまたはクライアントの場合は必須です。 名前の場合、指定した
スの ID
Receiver の子であるこの名前で、データ ソースの親が検索されます。
child_type
データ ソース 必須: 0 = 子ではない、1 = エージェント、2 = クライアント
子のタイプ
match_type クライアント
一致
parsing
データ ソースの追加または編集時に必須: 1 = IP アドレスが一致、2 = サードパー
ティ タイプが一致
データ ソース 有効化フラグ (yes/no)、デフォルトは yes
有効化フラグ
クライアントではないデータ ソースが使用するフィールド
列
説明
詳細
snmp_trap_id SNMP トラップのプロファ
イル ID
デフォルトは [0] です。
elm_logging
ELM へのログ送信
(yes/no)
デフォルトは [no] です。
pool
ELM プール名
デフォルトは空白です。
meta-vendor
デフォルトは空白です。
meta-product
デフォルトは空白です。
meta_version
デフォルトは空白です。
url
イベントの詳細 URL
デフォルトは空白です。
parser
データ形式の解析方法
デフォルトは [Default] です。
collector
データ取得方法
デフォルトは [Default] です。 [parser] が [mef] の場合、
[collector] は [mef] に設定されます。 プロトコルにフラット フ
ァイル形式がサポートされている場合、scp、http、ftp、nfs、cifs
を使用できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
85
3
ESM の設定
デバイスの設定
形式が CEF または MEF の場合に必須のフィールド
列
説明
詳細
encrypt
データ ソース
暗号化フラグ
デフォルトは [F] です。また、[フォーマット] が [デフォルト]、[取得] が [mef]、
[プロトコル] が [gsyslog] の場合に使用されます。 暗号化は、IP アドレスが同じ
すべての mef で同じである必要があります。
hostname ホスト名または デフォルトは空白です。[プロトコル] が [gsyslog] または [syslog] の場合はオプ
ホスト ID
ション - 一意である必要があります。[プロトコル] が [nas] の場合、オプションで
す。
aggregate Syslog のリレ
ー
有効な値は空白と [syslogng] です。デフォルトは空白です。また、[フォーマット]
が [デフォルト]、[取得] が [デフォルト]、[プロトコル] が [gsyslog] の場合に使
用されます。
tz_id
デフォルトは空白です。[形式] が[デフォルト]で、以下のいずれの条件を満たしてい
る場合に使用されます。
タイム ゾーン
ID
• [プロトコル]が [syslog]、[モデル]が [Adiscon Windows Events] でない場合、
あるいは
• [プロトコル] が [nfxsql]、または
• [プロトコル] が [nfxhttp]、または
• [プロトコル] が [email]
• [プロトコル] が [estream]
また、一部のフラット ファイル サポートに使用されます
その他のフィールド
列
説明
詳細
profile_id
プロファイルの名前ま
たは ID
デフォルトは空白です。プロファイル名でプロファイル
のレコードが見つからない場合、エラーがログに記録さ
れます。
exportMcAfeeFile
データ ソース転送フラ デフォルトは no です。yes の場合、このデータ ソース
グ
はデータ ソース転送に含まれます。
exportProfileID
リモート共有プロファ
イル名
デフォルトは空白です。
mcafee_formated_file
RAW データ ファイル
フラグを解析
デフォルトは no です。yes の場合、解析方法では
RAW データ ファイルを使用します。
mcafee_formated_file_xsum チェック サム フラグ
を使用
デフォルトは no です。yes の場合、RAW データ ファ
イルを解析する前にチェック サムを使用します。
mcafee_formated_file_ipsid
元の Nitro IPS ID
RAW データ ファイルを使用する場合は必須です。
zoneID
ゾーンの名前
デフォルトは空白です。
Policy_Name
ポリシーの名前または
ID
デフォルトは空白です。新しいデータ ソースを追加す
る場合にのみ使用されます。この値は、編集操作では更
新されません。
特定のプロトコルで検証されるフィールド
フォーマットが [デフォルト] または [CEF] であり、[取得] が [デフォルト] または [MEF] ではない場合を除き、
ベンダーとモデルによってプロトコルが決まります。 プロトコルは [取得] 値です。プロファイルが指定されない場
合、これらのフィールドは特定のプロトコルで検証されます。
86
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
表 3-2 Netflow フィールド - 開始列 AF
列
説明
詳細
netflow_port
デフォルトは 9993 です。
netflow_repeat_enabled 転送が有効
デフォルトは F です。
netflow_repeat_ip
転送 IP アドレス repeat_enabled = T の場合は必須です。デフォルトは空白です。
netflow_repeat_port
転送ポート
デフォルトは 9996 です。
表 3-3 rdep フィールド - 開始列 AJ
列
説明
詳細
rdep_sdee_username
必須
rdep_sdee_password
必須
rdep_sdee_interval
デフォルトは 60 秒です。
表 3-4 opsec フィールド - 開始列 AM
列
説明
詳細
opsec_parent
親フラグ (デバイ
ス タイプ)
必須 (T/F)。T = データ ソースは親です。F = データ ソー
スは親ではありません。
opsec_authentication
認証フラグを使用
Parent = T の場合に使用され、デフォルトは F です
opsec_appname
アプリケーション
名
authentication = T の場合は必須、F の場合はオプション、
デフォルトは空白です
opsec_actkey
アクティベーショ
ン キー
authentication = T の場合は必須、F の場合はオプション、
デフォルトは空白です
opsec_parent_id
データ ソースの親 親の名前 - parent = F の場合は必須です。データ ソースの
の名前
親の名前で親のデータ ソースが見つからない場合、エラーが
ログに記録されます。
opsec_port
parent = T の場合に使用され、デフォルトは 18184 です
opsec_encryption
暗号化フラグを使
用
parent = T の場合に使用され、デフォルトは F です
opsec_comm_method
通信方法
parent = T の場合に使用され、デフォルトは空白です。以下
の値が有効です
• '' (blank)
• 'sslca'
• 'asym_sslca'
• 'sslca_clear'
• 'asym_sslca_comp'
• 'sslca_comp'
• 'asym_sslca_rc4'
• 'sslca_rc4'
• 'asym_sslca_rc4_co
mp'
• 'sslca_rc4_comp'
• 'ssl_clear'
opsec_server_entity_dn
サーバー エンティ デフォルトは空白です。parent = T の場合に使用されます。
ティの識別名
DeviceType = ログ サーバー/CLM またはセカンダリ
SMS/CMA の場合は必須です。
opsec_collect_audit_events イベント収集タイ
プの監査イベント
フラグ
McAfee Enterprise Security Manager 9.5.1
parent = T の場合に使用され、デフォルトは "yes"です
製品ガイド
87
3
ESM の設定
デバイスの設定
表 3-4 opsec フィールド - 開始列 AM (続き)
列
説明
詳細
opsec_collect_log_events
イベント収集タイ parent = T の場合に使用され、デフォルトは "yes"です。
プのログ イベント
フラグ
opsec_type
デバイス タイプ
必須。 このフィールドには次の値を使用できます。
値
シンクライアント ドロップダウン内の名前
0
SMS/CMA
1
セキュリティ デバイス
2
ログ サーバー/CLM
3
セカンダリ SMS/CMA
表 3-5 wmi フィールド - 開始列 AY
列
説明
詳細
wmi_use_rpc
RPC フラグを使
用
デフォルトは [no] です。
wmi_logs
イベント ログ
デフォルトは [SYSTEM,APPLICATION,SECURITY] です。
wmi_nbname
NetBIOS 名
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_username ユーザー名
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_password パスワード
[取得] = [デフォルト] の場合は必須、その他の場合はオプション、デフォ
ルトは空白です。 デフォルトは空白です。
wmi_interval
デフォルトは [600] です。
wmi_version
デフォルトは [0] です。
表 3-6 gsyslog フィールド - 開始列 BF
列
説明
詳細
gsyslog_autolearn 汎用 Syslog フラグをサポ
ート
有効な値: [T]、[F]、[COUNT]。 デフォルトは [F] です。
gsyslog_type
[autolearn] = [T] の場合は必須、その他の場合はオプション、
デフォルトは空白です。 デフォルトは [49190] です。
汎用ルールの割り当て
gsyslog_mask
[取得] が[デフォルト] の場合に使用されます。 デフォルトは
[0] です。
表 3-7 corr フィールド - BI 列
列
説明
詳細
corr_local ローカル データ フラ
グを使用
デフォルトは [F] です。Receiver モデルが ERC-VM-25 または
ERC-VM-500 の場合、データ ソースは追加されません。その他のモデルの場
合、このプロトコルを使用する他のデータ ソースはありません。
表 3-8 sdee フィールド - 開始列 BJ
列
88
説明
詳細
sdee_username
必須
sdee_password
必須
sdee_uri
デフォルトは [cgi-bin/sdee-server] です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
表 3-8 sdee フィールド - 開始列 BJ (続き)
列
説明
詳細
sdee_interval
デフォルトは [600 秒]です。
sdee_port
デフォルトは [443] です。
sdee_proxy_port
デフォルトは [8080] です。
sdee_use_ssl
デフォルトは [T] です。
sdee_proxy_ip
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_proxy_username
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_proxy_password
[use_proxy] = [T] の場合には必須です。 デフォルトは空白です。
sdee_use_proxy
デフォルトは [F] です。
表 3-9 mssql フィールド - 開始列 BF
列
説明
詳細
mssql_parent
デバイス タイ
プ
デフォルトは [T] です。 [サーバー] = [T]. [管理対象デバイス] = [F]
mssql_port
parent = [T] の場合に使用されます。 デフォルトは [1433] です。
mssql_interval
parent = [T] の場合に使用されます。 デフォルトは [600 秒]です。
mssql_username
parent = [T] の場合は必須です。 デフォルトは空白です。
mssql_password
parent = [T] の場合は必須です。 デフォルトは空白です。
mssql_parent_id 親の名前
parent = [F] の場合は必須です。 親の名前でデータ ソースが見つからない
場合、エラーがログに記録されます。
表 3-10 syslog フィールド - 開始列 CA
列
説明
詳細
syslog_untrust_iface
最も信頼されてい
ないインターフェ
ース
[ベンダー]が [CyberGuard] の場合は必須です。
syslog_burb
インターネット
Burb 名
[ベンダー] が McAfee で、[モデル] が McAfee Firewall
Enterprise の場合は必須です。
syslog_sg_mc
管理センター フラ [ベンダー]が Stonesoft Corporation の場合はオプション
グ
で、デフォルトは no です。
syslog_nsm
セキュリティ マネ [ベンダー]が Juniper Networks、モデルが Netscreen
ージャー フラグ
Firewall/Security Manager または Netscreen IDP の場合
はオプション、デフォルトは no です。
syslog_wmi_syslog_format
[ベンダー]が Microsoft、モデルが Adiscon Windows
Events の場合はオプション、デフォルトは 0 です。
syslog_wmi_version
[ベンダー] が Microsoft、モデルが Adiscon Windows
Events の場合はオプション、デフォルトは Windows 2000
です。
syslog_aruba_version
[ベンダー]が Aruba の場合はオプション、デフォルトは 332
です。
syslog_rev_pix_dir
ネットワーク値を
反転
[ベンダー]が Cisco、モデルが PIX/ASA または Firewall
Services Module の場合はオプション、デフォルトは no で
す。
syslog_aggregate
Syslog のリレー
有効な値は空白と [ベンダー] です。 デフォルトは空白です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
89
3
ESM の設定
デバイスの設定
表 3-10 syslog フィールド - 開始列 CA (続き)
列
説明
詳細
syslog_require_tls
T/F
TLS がこのデータ ソースに使用されているかどうかを示しま
す。
syslog_syslog_tls_port
syslog_mask
使用されている場合、syslog TLS に使用されるポートです。
IP アドレスのマス (オプション) IP アドレスにマスクを適用して、IP アドレスの
ク
範囲を受け入れることができます。 ゼロ ([0]) はマスクが使
用されていないことを示します。 デフォルトは [0] です。
表 3-11 nfxsql フィールド - 開始列 CM
列
説明
nfxsql_port
詳細
デフォルトはベンダーとモデルによって以下のように異なります。
デフォルト
ベンダー
9117
Enterasys Networks Dragon Sensor または Dragon Squire
1433
IBM
ISS Real Secure Desktop Protector
か ISS Real Secure Network または
ISS Real Secure Server Sensor
1433
McAfee
ePolicy Orchestrator またが ePolicy
Orchestrator Firewall または ePolicy
Orchestrator ホスト IPS
3306
Symantec
Symantec Mail Security for SMTP
1433
Websense
Websense Enterprise
1433
Microsoft
Operations Manager
1433
NetIQ
NetIQ Security Manager
1433
Trend Micro
Control Manager
1433
Zone Labs
Integrity Server
1433
Cisco
Security Agent
1127
Sophos
Sophos Antivirus
1433
Symantec
Symantec Antivirus Corporate
Edition Server
443
その他すべて
nfxsql_userid
必須
nfxsql_password
必須
nfxsql_dbname
データベー (オプション) デフォルトは空白です。
ス名
nfxsql_splevel
サービス
パック レ
ベル
nfxsql_version
モデル
[ベンダー]が [IBM]、[モデル]が [ISS Real Secure Desktop Protector]、[ISS
Real Secure Network] または [ISS Real Secure Server Sensor] の場合に
使用されます。 デフォルトは [SP4] です。
(オプション)
• [ベンダー]が [Oracle]、[モデル]が [Oracle Audits] の場合、デフォルトは
[9i] です。
• [ベンダー] が McAfee で、[モデル] が ePolicy Orchestrator、ePolicy
Orchestrator [Firewall]、ePolicy Orchestrator [Host IPS] の場合、デフォ
ルトは [3.6] になります。
90
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
表 3-11 nfxsql フィールド - 開始列 CM (続き)
列
説明
詳細
nfxsql_logtype
ロギング
タイプ
[ベンダー]が [Oracle]、[モデル] が [Oracle Audits] (FGA、GA、または両方)
の場合は必須です。
nfxsql_sid
データベー [ベンダー]が [Oracle]、[モデル]が [Oracle Audits] の場合はオプションです。
ス SID
デフォルトは空白です。
表 3-12 nfxhttp フィールド - 開始列 CU
列
説明
詳細
nfxhttp_port
デフォルトは [433] です。
nfxhttp_userid
必須
nfxhttp_password
必須
nfxhttp_mode
デフォルトは [secure] です。
表 3-13 email フィールド - 開始列 CY
列
説明
詳細
email_port
デフォルトは [993] です。
email_mailbox
メール プロトコル
デフォルトは [imap pop3] です。
email_connection
接続タイプ
デフォルトは [ssl clear] です。
email_interval
デフォルトは [600 秒]です。
email_userid
必須
email_password
必須
表 3-14 estream フィールド - 開始列 DE
列
説明
詳細
次のフィールドがスプレッドシートに含まれていますが、認定ファイルが必要なため、現在は無視されます。
jestream_port
デフォルトは [993] です。
jestream_password
必須
jestream_estreamer_cert_file
必須
jestream_collect_rna
表 3-15 ファイル ソース フィールド - 開始列 DI
列
説明
詳細
cifs、ftp、http、nfs、scp プロトコルに使用されます。
fs_record_lines
レコードあたり
の行数
[フラット ファイル サポート] の場合に使用されます。 デフォルトは
[1] です。
fs_file_check
間隔
デフォルトは [15 分]です。
fs_file_completion
デフォルトは [60 秒]です。
fs_share_path
デフォルトは空白です。
fs_filename
ワイルドカード
式
fs_share_name
McAfee Enterprise Security Manager 9.5.1
必須
[プロトコル] が [cifs] または [nfs] の場合は必須 (その他の場合は使用
されない) です。
製品ガイド
91
3
ESM の設定
デバイスの設定
表 3-15 ファイル ソース フィールド - 開始列 DI (続き)
列
説明
詳細
fs_username
[プロトコル] が [cifs]、[ftp] または [scp] の場合に使用されます。 デフ
ォルトは空白です。
fs_password
[プロトコル] が [cifs]、[ftp] または [scp] の場合に使用されます。 デフ
ォルトは空白です。
fs_encryption
[プロトコル] が [ftp] または [http] の場合に使用されます。 デフォル
トは [no] です。 [フラット ファイル サポート] の場合にも使用され、
[プロトコル] は [ftp] です。
fs_port
[プロトコル] が [ftp] の場合に使用されます。デフォルトは [990] で
す。 [プロトコル] が [http] の場合に使用されます。デフォルトは
[443] です。 [フラット ファイル サポート] の場合にも使用され、[プロ
トコル] は [ftp] です。 デフォルトは [80] です。
fs_verify_cert
SSL 証明書を確
認
[プロトコル] が [ftp] または [http] の場合に使用されます。 デフォル
トは [no] です。 [フラット ファイル サポート] の場合にも使用され、
[プロトコル] は [ftp] です。
fs_compression
[プロトコル] が [scp] または [sftp] の場合に使用されます。 デフォル
トは [no] です。
fs_login_timeout
[プロトコル] が [scp] の場合に使用されます。 デフォルトは [1 秒] で
す。
fs_copy_timeout
[プロトコル] が [scp] の場合に使用されます。 デフォルトは [1 秒] で
す。
fs_wmi_version
[フラット ファイル サポート] で、[ベンダー]が [Microsoft]、[モデル]
が [Adiscon Windows Events] の場合に使用されます。 デフォルトは
[Windows 2000] です。
fs_aruba_version
[フラット ファイル サポート] で、[ベンダー] が [Aruba] の場合に使用
されます。 デフォルトは [332] です。
fs_rev_pix_dir
ネットワーク値
を反転
[フラット ファイル サポート]、[ベンダー]が [Cisco]、[モデル] が [PIX/
ASA] または [Firewall Services Module] の場合に使用されます。 デ
フォルトは [no] です。
fs_untrust_iface
最も信頼されて
いないインター
フェース
[フラット ファイル サポート] で、[ベンダー] が [CyberGuard] の場合
は必須です。
fs_burb
インターネット
Burb 名
[フラット ファイル サポート] で、[ベンダー] が McAfee で、[モデル]
が McAfee Firewall Enterprise の場合は必須です。
fs_nsm
セキュリティ マ
ネージャー フラ
グ
[フラット ファイル サポート] で、[ベンダー] が [Juniper Networks]、
[モデル] が [Netscreen Firewall/Security Manager] または
[Netscreen IDP] の場合はオプションです。 デフォルトは [no] です。
fs_autolearn
汎用 Syslog を
サポート
[フラット ファイル サポート] で、[取得] が [gsyslog] の場合はオプショ
ンです。 有効な値: [T]、[F]、[COUNT]。 デフォルトは [F] です。
fs_type
汎用ルールの割
り当て
[autolearn] = [T] の場合は必須、その他の場合はオプション、デフォル
トは空白です。 デフォルトは [49190] です。
fs_binary
デフォルトは [no] です。
fs_protocol
デフォルトは ' [ - parser がデフォルト、collector が nfs ファイル ソ
ースの場合に使用されます]。
fs_delete_files
92
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
表 3-16 sql_ms フィールド - 開始列 EH
列
説明
詳細
sql_ms_port
デフォルトは [1433] です。
sql_ms_userid
必須
sql_ms_password
必須
sql_ms_dbname
データベース名
表 3-17 nas フィールド - EL 列
列
説明 詳細
nas_type
デフォルトは [49190] です (ユーザー定義 1)。 このフィールドは、McAfee/PluginProtocol デ
ータ ソースにのみ使用されます。
表 3-18 ipfix フィールド - EM 列
列
説明
ipfix_transport
詳細
必須。有効な値は [TCP]、[UDP] です。 [TCP] がデフォルトです。
表 3-19 snmp フィールド - 開始列 EN
列
説明
詳細
snmp_authpass
認証パスワード
以下の場合は必須です。
• [traptype] = [v3trap]。[secLevel] = [authPriv] または
[authNoPriv]。
• [traptype] = [v3inform]。[secLevel] = [authPriv] または
[authNoPriv]。
snmp_authproto
認証プロトコル
有効な値は [MD5] または [SHA1] です。 以下の場合は必須です。
• [traptype] = [v3trap]。[secLevel] = [authPriv] または
[authNoPriv]。
• [traptype] = [v3inform]。[secLevel] = [authPriv]、[authNoPriv
以外の traptypes]。 デフォルトは [MD5] です。
snmp_community コミュニティ名
[traptype] = [v1trap]、[v2trap]、[v2inform] の場合は必須です。
snmp_engineid
[traptype] = [v3trap] の場合は必須
snmp_privpass
プライバシー パ
スワード
以下の場合は必須です。
• [traptype] = [snmpv3trap]、[secLevel] = [authPriv]
• [traptype] = [snmpv3inform]、[secLevel] = [authPriv]
snmp_privproto
プライバシー プ
ロトコル
有効な値は [DES]、[AES] です。 以下の場合は必須です。
• [traptype] = [snmpv3trap]、[secLevel] = [authPriv]
• [traptype] = [snmpv3inform]、[secLevel] = [authPriv]
その他の [traptypes]。デフォルトは [DES] です。
snmp_seclevel
セキュリティ レ
ベル
有効な値は [noAuthNoPriv]、[authNoPriv]、[authPriv] です。
[traptype] = [v3trap] または [v3inform] の場合は必須です。
その他の [traptypes]。デフォルトは [noAutNoPriv] です。
snmp_traptype
McAfee Enterprise Security Manager 9.5.1
必須。有効な値: [v1trap]、[v2trap]、[v2inform]、[v3trap]、
[v3inform]。
製品ガイド
93
3
ESM の設定
デバイスの設定
表 3-19 snmp フィールド - 開始列 EN (続き)
列
説明
詳細
snmp_username
type
[traptype] = [snmpv3] または [snmpv3inform] の場合は必須です。
デフォルトのルー 必須。デフォルトは [49190] です。
ルの割り当て
snmp_version
自動的に設定されます
表 3-20 sql_ws - 開始列 EY
列
説明
詳細
sql_ws_port
(オプション) デフォルトはベンダーによって異なります。
[Websense] のデフォルトは [1433] です。
sql_ws_userid
必須
sql_ws_password
必須
sql_ws_dbname
(オプション) デフォルトは空白です。
sql_ws_db_instance データベース インス
タンス名
必須
表 3-21 sql - 開始列 FD
列
説明
詳細
sql_port
データベースの接続に使用されるポート
sql_userid
データベース ユーザー ID
sql_password
データベース パスワード
sql_dbinstance
データベース インスタンスの名前
sql_config_logging
有効な値: [0] ([SQL Server Express
Database] の場合)、[1] ([SQL Database] の場
合)
sql_protocol
[sql_config_logging] の値が [1] の場合、[gsql]
になります。
sql_dbname
データベース名
表 3-22 oracleidm - 開始列 FK
列
説明
oracleidm_port
詳細
Oracle Identify Manager データベースの接続に使用されるポート
oracleidm_userid
Oracle Identify Manager データベースのユーザー ID
oracleidm_password
Oracle Identify Manager データベースのパスワード
oracleidm_ip_address
Oracle Identify Manager データベースの IP アドレス
oracleidm_dpsid
使用される接続の TNS 名
表 3-23 text - 開始列 FP
列
説明
詳細
ePolicy Orchestrator データ ソースが使用するフィールド
94
text_dbinstance
ePolicy Orchestrator データベースが実行しているデータベース インスタンス
text_dbname
ePolicy Orchestrator データベースの名前
text_password
ePolicy Orchestrator データベースのパスワード
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
表 3-23 text - 開始列 FP (続き)
列
説明
詳細
text_port
ePolicy Orchestrator データベースの接続に使用されるポート
text_userid
ePolicy Orchestrator データベースのユーザー ID
表 3-24 gsql - 開始列 FU
列
説明
詳細
gsql_port
(オプション) デフォルトはベンダーによって異なります。
[Websense] のデフォルトは [1433] です。
gsql_userid
必須
gsql_password
必須
gsql_dbname
(オプション) デフォルトは空白です。
gsql_db_instance データベース インスタ
ンス名
必須
gsql_nsmversion NSM バージョン
必須。空白のままの場合、デフォルトはバージョン 6.x です。
別の Receiver へデータ ソースを移行
同じシステム上の Receiver 間で、データ ソースを再割り当てまたは再分布させることができます。
新しい Receiver を購入して、2 つの Receiver 間でデータ ソースと関連データのバランスを取りたい場合、または
より大きな交換用 Receiver を購入し、現在の Receiver から新しい Receiver へデータ ソースを転送する必要があ
る場合に、これは特に役立ちます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、データ ソースを備えた Receiver の [Receiver のプロパティ] を選択して
から、[データ ソース] をクリックします。
2
移行するデータ ソースを選択し、[移行] をクリックします。
3
[宛先 Receiver] フィールドで新しい Receiver を選択し、[OK] をクリックします。
データ ソースを別のシステムに移動する
データ ソースをある Receiver から別のシステムの Receiver へ移動するには、移動するデータ ソースを選択して、
それらのデータと未加工のデータをリモートの場所へ保存してから、他の Receiver へインポートします。
開始する前に
この機能を実行するには、両方の Receiver でデバイス管理権限を持っている必要があります。
データ ソースを安全な場所にある Receiver から安全でない場所にある Receiver に移動するには、このプロセスを
使います。
データ ソース情報をエクスポートするときには、次のような制限があります。
•
フロー データ ソースは転送できません (例: IPFIX、NetFlow、sFlow)。
•
相関イベントのソース イベントは表示されません。
•
2 台目の Receiver の相関ルールに変更を加えた場合、相関エンジンはそれらのルールを処理しません。 相関デ
ータが転送されると、それらのイベントはファイルから挿入されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
95
3
ESM の設定
デバイスの設定
操作
手順
[データ ソー
1 システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[データ ソース]
スとリモート
をクリックします。
の場所を選択]
2 データ ソースを選択し、[編集] をクリックします。
3 [詳細設定] をクリックし、[NitroFile 形式でエクスポート] を選択します。
データはリモートの場所にエクスポートされ、プロファイルを使用して設定されます。
4 [OK] をクリックします。
その後、このデータ ソースによって生成された未加工のデータは、リモート共有の場所にコピーさ
れます。
[未加工のデー 1 未加工のデータが保存されるリモート共有の場所にアクセスします。
タ ファイルを
2 ファイルを 2 台目の Receiver に移動できる場所で生成された未加工のデータを保存します
作成]
(安全でない場所に運ぶジャンプ ドライブなど)。
[データ ソー
スを説明する
ファイルを作
成]
1 システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [イン
ポート] の順にクリックします。
2 移動したデータ ソースのファイルを特定し、[アップロード] をクリックします。
3 [リモート共有プロファイル] リストで、未加工のデータ ファイルを保存した場所を選択します。
プロファイルがリストにない場合は、[リモート共有プロファイル] をクリックしてプロファイル
を追加します。
4 [OK] をクリックします。
データ ソースが 2 台目の Receiver に追加され、リモート共有プロファイルを介して未加工のデ
ータにアクセスします。
[未加工のデー 1 システム ナビゲーション ツリーで 2 台目の Receiver の [データ ソース] にアクセスし、[イン
タとデータ ソ
ポート] をクリックします。
ース ファイル
をインポート] 2 移動したデータ ソースのファイルを特定し、[アップロード] をクリックします。[データ ソース
をインポート] ページに、インポートするデータ ソースがリストされます。
3 [リモート共有プロファイル] リストで、未加工のデータ ファイルを保存した場所を選択します。
プロファイルがリストにない場合は、[リモート共有プロファイル] をクリックしてプロファイル
を追加します (「プロファイルの設定」を参照)。
4 [OK] をクリックします。
データ ソース自動学習の設定
IP アドレスを自動的に学習するように ESM を設定します。
開始する前に
Syslog、MEF、およびフローについてポートが定義されているかを確認します(『インターフェースの設
定』 を参照)。
Receiver のファイアウォールは指定した時間に開くので、システムは一連の不明な IP アドレスを学習できます。そ
の後に、データ ソースとしてシステムに追加できます。
アップグレードすると、自動学習結果は [自動学習] ページから削除されます。アップグレード前に何も行っていない
自動学習結果がある場合は、アップグレード後に自動学習を実行して、それらの結果を再度収集する必要があります。
96
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [Receiver プロパティ] を選択し、[データ ソース] 、 [自動学習]をクリック
します。
2
必要に応じて設定を定義し、[閉じる] をクリックします。
データ ソースによって生成されたファイルを表示する
データ ソースによって生成されたファイルを表示するには、[ファイルを表示] ページにアクセスする必要がありま
す。ESM ビューでは表示できません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで McAfee データ ソースを選択します。
2
アクション ツールバーで、[ファイルを表示] アイコン
3
次のいずれかを行います。
4
をクリックします。
•
[ファイル名フィルター] フィールドにファイル名を入力して、特定のファイルを探します。
•
[時間範囲] フィールドの設定を変更して、その時間内に生成されたファイルのみを表示します。
•
[更新] をクリックして、ファイルのリストを更新します。
•
リストからファイルを選択し、[ダウンロード] をクリックしてファイルをダウンロードします。
[キャンセル] をクリックしてページを閉じます。
ユーザー定義のデータ ソース タイプ
次の表は、ユーザー定義のタイプと、データ ソース エディターに表示されるその名前またはエントリを表します。
ID
デバイス モデル
ベンダー
プロトコル
ルール名の接頭辞
ルール エディター タイプ
49190
ユーザー定義 1
該当なし
syslog
UserDefined1_
Generic
49191
ユーザー定義 2
該当なし
syslog
UserDefined2_
Generic
49192
ユーザー定義 3
該当なし
syslog
UserDefined3_
Generic
49193
ユーザー定義 4
該当なし
syslog
UserDefined4_
Generic
49194
ユーザー定義 5
該当なし
syslog
UserDefined5_
Generic
49195
ユーザー定義 6
該当なし
syslog
UserDefined6_
Generic
49196
ユーザー定義 7
該当なし
syslog
UserDefined7_
Generic
49197
ユーザー定義 8
該当なし
syslog
UserDefined8_
Generic
49198
ユーザー定義 9
該当なし
syslog
UserDefined9_
Generic
49199
ユーザー定義 10
該当なし
syslog
UserDefined10_
Generic
サポート対象のデータ ソース
McAfee では、新しいデータ ソースに対するサポートを定期的に追加しています。 Receiver では、最大で 2000、
200 または 50 のデータ ソースを使用できます。
最新のデータソース設定ガイドを参照するには、ナレッジ センターに移動します。
次のデバイスは、2,000 個のデータ ソースを関連付けることができます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
97
3
ESM の設定
デバイスの設定
•
ERC-1225
•
ENMELM-5600
•
ERC-1250
•
ENMELM-5750
•
ERC-2230
•
ENMELM-6000
•
ERC-2250
•
ELMERC-2230
•
ERC-2600
•
ELMERC-2250
•
ERC-3450
•
ELMERC-2600
•
ERC-4245
•
ELMERC-4245
•
ERC-4600
•
ELMERC-4600
•
ENMELM-2250
•
ESMREC-4245
•
ENMELM-4245
•
ESMREC-5205
•
ENMELM-4600
•
ESMREC-5510
•
ENMELM-5205
ERC-110 は 50 個まで、その他のデバイスは最大 200 個のデータ ソースが許可されます。
次にデータ ソース範囲のマップを示します。
•
データ ソース タイプ: 1 ~ 48,999
•
ユーザー定義タイプ: 49,001 ~ 49,999
•
McAfee 予約済み (ルール セットなど): 50,001 ~ 65,534
McAfee Firewall Enterprise Event Reporter (ERU) を使用している場合、McAfee データソース以外は使用できま
せん。
特定のデータ ソースの設定
データ ソースによっては、さらに詳細な情報と特別な構成設定が必要になる場合があります。
詳細については、次のセクションを参照してください。
•
チェック ポイント
•
Big Fix
•
IBM Internet Security Systems
SiteProtector
•
共通イベント形式
•
McAfee ePolicy Orchestrator
•
ArcSight
•
ePolicy Orchestrator 4.0
•
Security Device Event Exchange
•
NSM-SEIM
•
アドバンスド Syslog パーサー
•
Syslog リレーのサポート
•
WMI イベント ログ
•
Adiscon
これらのデータソースの最新の設定ガイドについては、ナレッジ センターで確認してください。
98
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
WMI イベント ログ
Distributed Management Task Force (DMTF) の定義では、WMI は Web-Based Enterprise Management
(WBEM) の Microsoft インプリメンテーションです。
これは Windows オペレーティング システムのプライマリ管理技術であり、管理情報を管理アプリケーション間で
共有することが可能です。リモート コンピューターから管理データを取得できることが WMI の特長です。
WMI は FIPS に対応していません。FIPS 規則に準拠する必要がある場合は、この機能を使用しないでください。
WMI イベント ログはデータ ソースとして設定され、Receiver を介して送信されます。Receiver は設定された時
間間隔で Windows サーバーをポーリングし、イベントを収集します。WMI コレクターは、Windows ボックス上
の任意のイベント ログからイベントを収集できます。デフォルトでは、Receiver はセキュリティ、管理、およびイ
ベント ログを収集します。Directory Service や Exchange などのその他のログ ファイルに入ることができます。
イベント ログ データは、パケット データ内で収集され、イベント テーブルの詳細を介して表示できます。
Windows 2008 または 2008 R2 を使用していて、データ ソースとユーザーが正しく設定されている場合を除き、
WMI イベント ログには管理またはバックアップ オペレーター権限が必要です(『Windows セキュリティ ログをプ
ル』 を参照)。
これらの追加のデバイスは、WMI データ ソースからサポートされています。
•
McAfee アンチウイルス
•
Microsoft SQL Server
•
Windows
•
RSA Authentication Manager
•
Microsoft ISA Server
•
Symantec Antivirus
•
Microsoft Active Directory
•
Microsoft Exchange
Adiscon を介した Syslog WMI の設定方法については、『Adiscon の設定』 を参照してください。
WMI データ ソースを設定する場合、ベンダーは [Microsoft]、モデルは [WMI イベント ログ] です。
Windows セキュリティ ログをプルするように設定します。
Windows 2008 または 2008 R2 を使用するときは、WMI イベント ログ データ ソースとユーザーが正しく設定さ
れている場合、Windows セキュリティ ログは管理者権限を持っていないユーザーがプルできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
イベント ログを読み込む Windows 2008 または 2008 R2 システムに新しいユーザーを作成します。
2
Windows システム上のイベント ログ リーダーにユーザーを割り当てます。
3
McAfee Event Receiver 上で新しい Microsoft WMI イベント ログ データ ソースを作成します。手順 1 で作
成したユーザーの認証情報を入力します (「データ ソースを追加する」を参照)。
4
[RPC を使用] ボックスを選択し、[OK] をクリックします。
相関データ ソース
相関データ ソースは ESM から流れるデータを分析し、データ フロー内の不審なパターンを検出し、これらのパタ
ーンを表現する相関アラートを生成し、Receiver のアラート データベースにこれらのアラートを挿入します。
不審なパターンは、作成および変更できる相関ポリシー ルールによって解釈されるデータで表現されます。これらの
ルール タイプは Nitro IPS やファイアウォール ルールとは別のもので、それらの動作を指定する属性を備えていま
す。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
99
3
ESM の設定
デバイスの設定
Receiver 上で設定できる相関データ ソースは 1 つだけで、設定方法は Syslog や OPSEC と同様です。Receiver
の相関データ ソースを設定すると、相関のデフォルト ポリシーをロールアウトしたり、この相関のデフォルト ポリ
シーのベース ルールを編集したり、カスタム ルールとコンポーネントを追加してポリシーをロールアウトしたりで
きます。各ルールを有効または無効にしたり、各ルールのユーザー定義可能パラメーターの値を設定できます。相関
ポリシーの詳細については、『相関ルール』 を参照してください。
相関データ ソースを追加するとき、ベンダーは [McAfee] であり、モデルは [相関エンジン] です。
相関データ ソースが有効なとき、ESM は Receiver 上の相関エンジンにアラートを送信します。
重大度とアクション マップ
重大度とアクションのパラメーターは使い方が若干異なります。これらの目標は、Syslog メッセージからの値をシ
ステムの方式に合った値にマッピングすることです。
•
severity_map — 重大度は、ルールに一致したイベントに割り当てられている 1 (重大度低) から 100 (重大度
高) までの値として示されます。メッセージを送信するデバイスによっては、重大度を 1~10 の数字またはテキ
スト(高、中、低)で表すことがあります。これに該当した場合は重大度としてキャプチャされないので、マッ
ピングを作成する必要があります。ここで、重大度をテキスト形式で示す McAfee IntruShield からのメッセー
ジを一例として示します。
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
重大度マッピングを使ったルールの構文は次のようになります(重大度のマッピングを強調のために太字で示し
ています)。
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10.これは、テキストを使用できる形式の数字でマップします。
setparm : severity=3.これは、3 番目のキャプチャを行い、重大度と等しく設定していることを示しています。
setparm 修飾子はすべてこのように機能します。
•
action_map — 重大度と同じように使用されます。アクションは、サードパーティのデバイスが行うアクション
を表します。アクションの目的は、エンド ユーザーにとって役立つマッピングを作成することです。たとえば、
OpenSSH からの失敗したログオン メッセージを次に示します。
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
アクション (失敗) が数字に関連付けられています。 この数字は、システムで使用できる各種のアクションを表
します。使用可能なアクション タイプの全リストを次に示します。
100
•
0 = null
•
20 = stop
•
1 = pass
•
21 = noticed
•
2 = reject
•
22 = trusted
•
3 = drop
•
23 = untrusted
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
•
4 = sdrop
•
24 = false positive
•
5 = alert
•
25 = alert-reject
•
6 = default
•
26 = alert-drop
•
7 = error
•
27 = alert-sdrop
•
8 = success
•
28 = restart
•
9 = failure
•
29 = block
•
10 = emergency
•
30 = clean
•
11 = critical
•
31 = clean-fail
•
12 = warning
•
32 = continue
•
13 = informational
•
33 = infected
•
14 = debug
•
34 = move
•
15 = health
•
35 = move-fail
•
16 = add
•
36 = quarantine
•
17 = modify
•
37 = quarantine-fail
•
18 = remove
•
38 = remove-fail
•
19 = start
•
39 = denied
3
この例では、Syslog メッセージの 9 が Failed に関連付けられ、システムはこれを Failure として報告しま
す。
ルールの構造の細部を示します。
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
アドバンスド Syslog パーサー
アドバンスド Syslog パーサー (ASP) は、ユーザー定義のルールに基づき、Syslog メッセージからデータを解析す
るメカニズムを提供します。このルールは ASP に対して、特定のメッセージを認識する方法と、シグネチャ ID、IP
アドレス、ポート、ユーザー名、アクションなど、メッセージ固有のイベント データの場所を示します。
ASP は、[データ ソースを追加] ページで特定していない Syslog デバイスに対して、または Source Specific
Parser が正しくメッセージを解釈していないか、受信イベントに関連したデータ ポイントを完全に解釈できない場
合に活用できます。Linux サーバーや UNIX サーバーなどの複雑なログ ソースをソートする場合にも最適です。こ
の機能では、ユーザーの Linux または UNIX 環境に合わせたルールを書き込む必要があります (「アドバンスド
Syslog パーサーにルールを追加する」を参照)。
Syslog をベンダーとして選択することで、ASP データ ソースを Receiver に追加できます (「データ ソースを追加
する」を参照)。これを完了したら、デバイス メーカーの指示に従って、Syslog データを Receiver の IP アドレス
に送信するように Syslog デバイスを設定します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
101
3
ESM の設定
デバイスの設定
ASP ソースを追加するときは、イベント データを収集する前にポリシーを適用する必要があります。[汎用 Syslog
をサポート] を有効にした場合は、ルールなしでポリシーを適用したり、汎用的にイベント データの収集を開始でき
ます。
Linux および UNIX サーバーを含む一部のデータ ソースは、一様でない大量のデータを生成する可能性があり、その
場合、Receiver は同じようなイベントの発生を正しくまとめてグループ化しません。その結果、実際には同じイベン
トが単純に繰り返されているときに、さまざまな Syslog データが Receiver に送信され、一見して非常に多様なイベ
ントが発生しているように見えます。
ASP にルールを追加することで、イベント データを最大限に活用できます。ASP は Snort に非常に類似した形式を
使用します。
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
バージョン 9.0.0 以降でリテラル値と PCRE サブキャプチャーを連結するとき、リテラルにスペースやその他の文字
が含まれている場合はリテラルをそれぞれ引用符で囲み、PCRE サブキャプチャーのリファレンスは引用符で囲まない
ようにします。
ルールは次のように定義されます。
セクシ
ョン
フィールド
説明
ルール ヘッダーには、アラート アクションと「any any any」形式が含まれます。ルー
ルは次のとおりです。
ルール
ヘッダ
ー
ALERT any any any -> any any
[アクション]
一致が発生した場合のイベントへの対処方法。次のオプションがあります。
• ALERT — イベントをログする
• DROP — イベントをログするが転送はしない
• SDROP — イベントのログも転送もしない
• PASS — 定義されていれば転送するが、ログはしない
[プロトコル]
イベントがプロトコルを定義している場合、プロトコルに基づいて有効な一致をフィル
ターします。
[ソース/宛先
IP]
イベントがソース/宛先 IP アドレスを定義している場合、そのアドレスに基づいて有効
な一致をフィルターします。
[ソース/宛先ポ イベントがソース/宛先ポートを定義している場合、そのポートに基づいて有効な一致を
ート]
フィルターします。
ルール本文には大半の一致条件が記載され、データを解析したり ESM データベースにロ
グする方法が定義されています。ルール本文の要素は、キーワードとオプションのペア
で定義されます。一部のキーワードには、次のオプションがありません。
ルール
本文
102
[msg]
(必須) このルールと関連付けられるメッセージ。これは、pcre/setparm 検出メッセー
ジ (下記参照) で上書きされない限り、報告目的で ESM シン クライアントに表示される
文字列です。msg の最初の作業は、実際のメッセージがその後に続くカテゴリ名です
(msg: "category rule message")。
[content]
(オプション — 1 つ以上) コンテンツ キーワードは非ワイルドカードのテキスト修飾
子で、イベントがルール セットを通過するとき、事前にフィルターします。これにはス
ペースも含まれます (例: content: "search 1"; content "something else")。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
セクシ
ョン
フィールド
説明
[procname]
多くの UNIX および Linux システムでは、プロセス名 (およびプロセス ID) は標準
Syslog メッセージ ヘッダーの一部です。procname キーワードは、ルールのイベント
一致をフィルターするのに使用できます。Linux または UNIX サーバーの 2 つのプロ
セスが類似または同じメッセージ テキストを持っている可能性がある場合、イベント一
致を除外またはフィルターするのに使用されます。
[adsid]
使用するデータ ソース ID。この値は、データ ソース エディターの [デフォルトのルー
ルの割り当て] を上書きします。
[sid]
ルールのシグネチャ ID。これは、pcre/setparm が検出した sid によって上書きされな
い限り、ESM シン クライアントで使用される照合 ID です。
[改訂]
ルール改訂。変更の追跡に使用します。
[severity]
ルールに一致したイベントに、1 (重大度低) から 100 (重大度高) までの値が割り当て
られます。
[PCRE]
PCRE キーワードは、受信イベントに対する Perl 互換正規表現の一致です。PCRE は引
用符によって区切られ、出現する "/" はすべて通常文字として扱われます。カッコで囲
んだ内容は、setparm キーワード用に保持されます。 PCRE キーワードは、nocase、
nomatch、raw、および setparm キーワードによって変更できます。
[nocase]
大文字と小文字を区別せずに PCRE の内容を照合します。
[nomatch]
PCRE 照合を反転します (Perl の「!~ 」に相当)。
[raw]
ヘッダー データ (設備、デーモン、日付、ホスト/IP、プロセス名、プロセス ID) を含
めて Syslog メッセージ全体と PCRE を照合します。通常、ヘッダーは PCRE 照合で使
用されません。
[setparm]
2 回以上発生することがあります。PCRE 内の各カッコの組み合わせには、出現順の番
号が割り当てられます。それらの番号は、データ タグに割り当てることができます (例:
setparm:username=1)。これにより、一組目のカッコでキャプチャしたテキストをユ
ーザー名データ タグに割り当てます。認識されるタグを次のテーブルに示します。
タグ
説明
* sid
このキャプチャされたパラメーターは、一致したルールの sid を上書きします。
* msg
このキャプチャされたパラメーターは、一致したルールのメッセージまたは名前を上書きし
ます。
* action
このキャプチャされたパラメーターは、サードパーティのデバイスがどのように動作するか
を示します。
* protocol
* src_ip
これは、イベントのデフォルト ソース IP である Syslog ソースの IP を置き換えます。
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid
これは、sid をデータベースに格納し、snort プリプロセッサで非 McAfee snort 照合に使
うよう変更するのに使用されます。
* url
予約されていますが、未使用です。
* src_username
第 1/ソース ユーザー名。
* username
src_username の代替名。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
103
3
ESM の設定
デバイスの設定
タグ
説明
* dst_username
第 2/宛先ユーザー名。
* domain
* hostname
* application
* severity
整数であること。
* アクション マップ 製品の特定のアクションを McAfee のアクションにマッピングできます。アクション マッ
プは大文字と小文字を区別します。 例: alert any any any -> any any
(msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S
+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:
31; rev:1;)).詳細は「重大度とアクション マップ」を参照してください。
* 重大度マップ
製品の特定の重大度を McAfee の重大度にマッピングできます。アクション マップと同様、
重大度マップも大文字と小文字を区別します。 例: alert any any any -> any any
(msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s
+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";
setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+).詳細
は「重大度とアクション マップ」を参照してください。
* var
これは setparm を使用する別の方法です。ただし、複数の PCRE の複数のキャプチャから
1 つの値を作成する方法のほうが優れています。複数のキャプチャを持つ 1 つの大きな
PCRE よりも、文字列の小さな部分のみをキャプチャする PCRE を 2 つ以上作成したほうが
よいでしょう。ユーザー名、ドメインをキャプチャし、objectname フィールドに格納する
電子メール アドレスを作成する一例を示します。
• 構文 = var:field=${PCRE:Capture}
• PCRE = 実際の PCRE ではなく pcre の番号。ルールに 2 つの PCRE がある場合、1 ま
たは 2 の PCRE となります。
• キャプチャ = 実際のキャプチャではなく、番号 (第 1、第 2、第 3 のキャプチャ
[1,2,3]。
• サンプル メッセージ: McAfee に勤務する Jim という男性。
• PCRE: (Jim).*?(McAfee)
• ルール: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=
${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown;
adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• マッピングされたソース ユーザー: Jim
• マッピングされたドメイン: McAfee
• マッピングされた objectname: [email protected]
104
* sessionid
これは整数です。
* commandname
これは文字列値です。
* objectname
これは文字列値です。
* event_action
このタグは、デフォルト アクションの設定に使用されます。同じルールの中で
event_action と action_map を一緒に使用できません。たとえば、ログイン成功のイベン
トがある場合は、event_action タグを使用して、アクションの成功をデフォルトにします
(例: event_action:8;)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
タグ
説明
* firsttime_fmt
最初のイベントの設定に使用します。フォーマット リストを参照してください。
* lasttime_fmt
最後のイベントの設定に使用します。フォーマット リストを参照してください。これは
setparm または var (var:firsttime="${1:1}" または setparm:lasttime="1") ととも
に使用できます。例:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT
%H:%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
現在サポートされている形式の詳細については、http://pubs.opengroup.org/
onlinepubs/009695399/functions/strptime.html を参照してください。
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y は西暦 4 桁
%m は月 (1~12)
%d は日 (1~31)
%H は時 (1~24)
%M は分 (0~60)
%S は秒 (0~60)
%b は月の略語 (jan、feb)
これは、OpenSSH ログインに基づくパスワードを識別し、イベントのソース IP アドレス、ソース ポート、および
ユーザー名から引き出すルールの一例です。
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
PCRE リソース オンラインについては、http://perldoc.perl.org/perlre.html をご覧ください。
異なるエンコーディングの ASP データ ソースを追加する
ESM は、UTF-8 でエンコードされたデータを読み取ります。 ASP データソースが別のエンコーディングのデータ
を生成する場合、データ ソースの追加時にエンコーディングを指定する必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
105
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで Receiver をクリックし、[データソースを追加] アイコン
ます。
をクリックし
2
[データ ソース ベンダー] フィールドで [汎用] を選択し、次に [データ ソース モデル] フィールドで [アドバン
スド Syslog パーサー] を選択します。
3
必要な情報を入力して、[エンコーディング] フィールドで正しいエンコーディングを選択します。
このデータ ソースのデータが Receiver で認識可能な形式にフォーマットされます。
Security Device Event Exchange (SDEE)
SDEE 形式は、各種のセキュリティ デバイスによって生成されたイベントを表現する標準的方法を記述します。
SDEE 仕様は、SDEE イベントが HTTP または HTTPS プロトコルを使用して転送されることを示します。SDEE を
使用してイベント情報をクライアントに提供する HTTP サーバーは SDEE プロバイダーと呼ばれ、HTTP リクエス
トのイニシエーターは SDEE クライアントと呼ばれます。
Cisco は、SDEE 規格の拡張機能を定義して CIDEE 規格と呼んでいます。Receiver は Cisco 侵入防止システムに
よって生成された CIDEE データをリクエストする SDEE クライアントとして機能します。
Receiver がサポートしている他のタイプのデータ ソースとは異なり、SDEE では「プッシュ」モデルではなく「プ
ル」モデルを使用します。これは、Receiver が定期的に SDEE プロバイダーに問い合わせ、最後にリクエストされ
たイベント以降に生成されたイベントをリクエストすることを意味します。イベントは SDEE プロバイダーからリ
クエストされるたびに処理されて Receiver のイベント データベースに格納され、ESM によって取得される準備が
整います。
Cisco をベンダーとして選択し、IOS IPS (SDEE) をデータ ソース モデルとして選択することにより、SDEE プロ
バイダーをデータ ソースとして Receiver に追加できます(『データ ソースを追加』 を参照)。
Receiver は SDEE/CIDEE イベントからこの情報を抽出できます。
•
ソースおよび宛先 IP アドレス
•
ソースおよび宛先ポート
•
プロトコル
•
イベント時間
•
イベント数(CIDEE がイベント集計の形態を提供し、Receiver が引き受けます)
•
シグネチャ ID とサブ ID
•
ESM イベント ID は、SDEE シグネチャ ID と CIDEE サブシグネチャ ID から、次の式を使って計算します。
ESMI ID = (SDEE ID * 1000) + CIDEE sub-ID
したがって、SDEE シグネチャ ID が 2000 で CIDEE サブシグネチャ ID が 123 の場合、ESMI イベント ID
は 2000123 となります。
106
•
VLAN
•
重大度
•
イベントの説明
•
パケット内容(該当する場合)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Receiver が初めて SDEE プロバイダーに接続する場合に、イベント リクエストの開始点として現在の日時が使用さ
れます。その後の接続では、最後に成功したプル以降のすべてのイベントをリクエストします。
ePolicy Orchestrator 4.0 の設定
McAfee Event Receiver Data Source for ePolicy Orchestrator は、現在 ePolicy Orchestrator 4.0. ePolicy
Orchestrator をサポートしています。4.0 は SQL Server データベースにイベントを格納します。ePolicy
Orchestrator データ ソースは、JDBC を介してこの SQL Server データベースに接続し、イベント情報を引き出し
ます。新規のユーザー名(ID)およびパスワードは、ePolicy Orchestrator 用のデータ ソースとともに使用するた
めに ePolicy Orchestrator データベース内で作成する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ePolicy Orchestrator データベース サーバーにログインします。
2
[SQL Server Enterprise Manager] を起動するには、[スタート] 、 [すべてのプログラム] 、 [Microsoft SQL
Server] 、 [Enterprise Manager]を選択します。
3
Console Root ノードを数回展開し、Security フォルダー下のアイテムを表示します。
4
[ログイン] アイコンを右クリックし、メニューから [新しいログイン] を選択します。
5
[SQL Server ログイン プロパティ-新しいログイン] ページの [全般] タブで、次を入力します。
a
[名前] フィールドで、ePolicy Orchestrator データベースに接続するために ePolicy Orchestrator のデー
タ ソースに使用するユーザー名を入力します(例: nfepo)。
b
[認証] で [SQL Server 認証パスワード] を選択した後、パスワードを入力します。
c
[デフォルト] で、[データベース] ドロップダウン リストから ePolicy Orchestrator データベース
(ePO4_<hostname>) を選択します。
デフォルトの [データベース] をそのままマスターにしておくと、ePolicy Orchestrator のデータ ソースはイベン
トの引き出しに失敗します。
6
[データベース アクセス] タブで、ePolicy Orchestrator データベースに関連付けられた [許可] を選択します。
7
[データベース ロールで許可] で [db_datareader] を選択し、[OK] をクリックします。
8
新しいパスワードを確認し、[OK] をクリックします。
ArcSight データ ソースを追加
ArcSight デバイスのデータ ソースを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーで Receiver ノードを選択します。
アクション ツールバーで [データ ソースを追加] アイコン
をクリックします。
3
[データ ソース ベンダー] フィールドで [ArcSight] を選択し、次に [データ ソース モデル] フィールドで [共
通イベント形式] を選択します。
4
データ ソース名を入力してから ArcSight IP アドレスを入力します。
5
残りのフィールドを入力します(『データ ソースを追加』 を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
107
3
ESM の設定
デバイスの設定
6
[OK] をクリックします。
7
ArcSight デバイスにデータを転送する各ソースにデータ ソースを設定します。
ArcSight から受信したデータは、ESM コンソールに表示できるように解析されます。
共通イベント形式(CEF)
ArcSight は現在、270 のデータ ソースからのイベントを、スマート コネクターを使用して共通イベント形式 (CEF)
に変換します。CEF は、イベント生成またはログ生成デバイスの相互運用性標準です。最も関連するデバイス情報が
含まれていて、簡単にイベントを解析したり使用できるようになります。
イベント メッセージは、イベント プロデューサーによって明示的に生成する必要がありません。メッセージは、バ
ー(|)文字によって区切られたフィールドからなる共通接頭辞を使用してフォーマットされます。接頭辞は必須であ
り、指定されたすべてのフィールドが存在する必要があります。追加のフィールドは Extension で指定されます。
形式は次のとおりです。
CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|
Severity|Extension
メッセージの Extension 部分は、追加フィールドのプレースホルダーです。以下は接頭辞フィールドの定義です。
•
[バージョン] は整数であり、CEF 形式のバージョンを特定します。イベント コンシューマーは、この情報を使用
して、フィールドが何を表しているかを判断します。現在、バージョン 0(ゼロ)のみが上記の形式で確立され
ています。経験上、その他のフィールドを「接頭辞」に追加するため、バージョン番号の変更が必要となる場合
があります。新しい形式の追加は、標準化団体を通じて扱われます。
•
[デバイス ベンダー]、[デバイス製品]、[デバイス バージョン] は、送信デバイスのタイプを一意に識別する文字
列です。2 つの製品でデバイスベンダーとデバイス製品の同じペアを使うことはできません。これらのペアを管
理する中央認証機関がありません。イベント プロデューサーは、一意の名前のペアを割り当てているかを確認す
る必要があります。
•
[DeviceEventClassId] は、イベントタイプごとの一意の識別子です。これは文字列または整数です。
DeviceEventClassId は、報告されるイベントのタイプを識別します。侵入検知システム (IDS) の場合、特定の
アクティビティを検出する各シグネチャやルールには、一意の deviceEventClassId が割り当てられます。これ
は他のデバイス タイプの要件でもあり、相関エンジンがイベントを扱いやすくします。
•
[名前] は、人間が読みやすく理解しやすい、イベントの説明を表現する文字列です。イベント名には、他のフィ
ールドで特に説明するような情報を含めることができません。例えば、「Port scan from 10.0.0.1 targeting
20.1.1.1」は良いイベント名ではありません。これは「Port scan」とする必要があります。他の情報は冗長で
あり、他のフィールドから収集できます。
•
[重大度] は整数であり、イベントの重要性を反映します。0~10 の数字のみが使用可能で、10 が最も重要なイ
ベントを示します。
•
[拡張] は、キー値のペアの集合です。キーは、事前定義されたセットの一部です。後述するように、標準は追加
キーを含めることを考慮に入れています。イベントには、任意の数のキー値ペアをスペースで区切り、任意の順
序で含めることができます。ファイル名のようにフィールドにスペースが含まれている場合、これは問題なく、
そのとおりにログインできます。例:
fileName=c:\Program Files\ArcSight is a valid token.
サンプル メッセージを次に示します。
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|
10|src=10.0.0.1 dst=2.1.2.2 spt=1232
NetWitness を使用する場合、CEF を Receiver へ送信するようにデバイスを正しく設定する必要があります。デフ
ォルトでは、NetWitness を使用するとき、CEF 形式は次のようになります。
108
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
正しい形式では、上記の「dport」を「dpt」に変更する必要があります。
Adiscon の設定
Syslog WMI は Adiscon によってサポートされています。
Microsoft Adiscon Windows Events Data Source 用 Event Reporter が正常に動作するには、次のフォーマット
文字列を使用する必要があります。
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Syslog リレーのサポート
Syslog リレー サーバーを経由して各種デバイスからイベントを Receiver に転送するには、追加の手順が必要です。
データのストリームおよび追加のデータ ソースを受け入れるには、単一の Syslog リレー データ ソースを追加する
必要があります。これによって Receiver はデータのストリームを発信元のデータ ソースに分岐させることができ
ます。Sylog-ng と Splunk がサポートされています。次の図はこのシナリオを説明しています。
1
Cisco ASA デバイス
5
データ ソース 1 — Syslog のリレー
2
SourceFire Snort デバイス
6
データ ソース 2 — Cisco ASA
3
TippingPoint デバイス
7
データ ソース 3 — SourceFire Snort
4
Syslog のリレー
8
データ ソース 4 — TippingPoint
このシナリオを一例として、Syslog のリレーのデータ ソース(5)を Syslog のリレー(4)からのデータ ストリ
ームを受信するように設定する必要があります。[Syslog のリレー] フィールドで [Syslog] を選択します。
Syslog のリレーのデータ ソースを設定し終えたら、個別デバイス(6、7、8)のデータ ソースを追加します。この
デバイスは Syslog のリレー サーバーではないので、[Syslog のリレー] フィールドでは [なし] を選択します。
[Syslog メッセージをアップロード] 機能は、Syslog リレー設定では機能しません。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
109
3
ESM の設定
デバイスの設定
Syslog のヘッダーは次の例のように設定する必要があります: 1 <123> 345 Oct 7 12:12:12 2012
mcafee.com httpd[123]
ここでは次のようになります
1=
Syslog のバージョン(オプション)
345 =
Syslog の長さ(オプション)
<123> =
設備(オプション)
Oct 7 12:12:12 2012 =
日付、数百の形式をサポート(必須)
mcafee.com
ホスト名または IP アドレス(ipv4 または ipv6)(必須)
httpd =
アプリケーション名(オプション)
[123]
アプリケーション PID(オプション)
:=
コロン(オプション)
ホスト名とデータ フィールドは、いずれかの順序で表示できます。IPv6 アドレスは角カッコ [ ] で囲むことができま
す。
NSM-SIEM 設定ツールの実行
NSM データ ソースを設定する前に、NSM-SIEM 設定ツールを実行する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
設定ツールをダウンロードします。
a
McAfee 製品ダウンロード Web サイトを参照します。
b
[マイ製品をダウンロード] 検索ボックスに、提供されたカスタマー承認番号を入力します。
c
[検索] をクリックします。MFE [<product name> <version>] ダウンロード リンクの下に、製品の更新
ファイルがあります。
d
McAfee EULA を一読し、[同意する] をクリックします。
e
[NSM-SIEM 設定ツール] ファイルをダウンロードします。
NSM サーバーで設定ツールを実行します。
ツールは NSM へのデフォルト パスを検出します。ツールがパスを検出できない場合は、パスを参照してくださ
い。
3
NSM SQL ユーザー、パスワード、および NSM のインストールで入力したデータベース名を入力します。
4
データ ソース上の SIEM ユーザー名とパスワード、およびデータ ソースが追加された Receiver IP アドレスを
入力します。
これらはデータ ソース画面で入力します。
110
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
ePolicy Orchestrator の設定
データベース名フィールドで異なる名前を持ち、すべて同一の IP アドレスをポイントする複数の ePolicy
Orchestrator データ ソースを設定することができます。
選んだ数の ePolicy Orchestrator データ ソースを設定し、そのすべてにセントラル サーバー上の異なるデータベ
ースをポイントさせることができます。[ユーザー ID] と [パスワード] のフィールドには ePolicy Orchestrator
データベースへのアクセスを可能にするための情報を入力し、[バージョン] フィールドには ePolicy Orchestrator
デバイスのバージョンを入力します。デフォルトのポートは 1433 です。
[データベース名] は必須です。データベース名にダッシュが含まれている場合は、名前を各カッコで囲む必要があり
ます (例: [ePO4_WIN-123456])。
[ePO クエリー] オプションでは ePolicy Orchestrator デバイスをクエリーし、クライアント データ ソースを作成
することができます。デフォルトの [タイプが一致] が [クライアント データ ソースを使用] フィールドで選択され
ており、さらに [ePO クエリー] をクリックすると、ePolicy Orchestrator デバイスがクエリーされ、サポートされ
ている ePolicy Orchestrator 製品がクライアント データ ソースとして追加されます。
ePolicy Orchestrator に完全に統合されている場合、次の製品がサポートされます。
•
ANTISPYWARE
•
MNAC
•
DLP
•
POLICYAUDITOR
•
EPOAGENT
•
SITEADVISOR
•
GSD
•
VIRUSCAN
•
GSE
•
SOLIDCORE
•
HOSTIPS
[IP が一致] が選択されている場合、ePolicy Orchestrator デバイスがクエリーされ、ePolicy Orchestrator デー
タベース内の全エンドポイントのクライアント データ ソースが作成されます。ePolicy Orchestrator データベー
ス内に 256 を超えるエンドポイントが存在する場合、複数のデータ ソースがクライアントとともに作成されます。
McAfee リスク評価日は ePolicy Orchestrator サーバーから取得されます。ePolicy Orchestrator データの取得
元になる複数の McAfee Risk Advisor サーバーを指定できます。McAfee Risk Advisor データは、データベース
クエリーを介して ePolicy Orchestrator SQL Server データベースから取得されます。データベース クエリーに
よって IP 対照レピュテーション スコア リストが表示され、低レピュテーションおよび高レピュテーションの一定の
値が得られます。すべての ePolicy Orchestrator および McAfee Risk Advisor のリストはマージされ、重複 IP の
リストが最高スコアを獲得します。この高低の値を含むマージされたリストは、SrcIP および DstIP フィールドのス
コアを集計するために任意の ACE デバイスへ送られます。
ePolicy Orchestrator データ ソースを追加し、[OK] をクリックして保存するときに、McAfee Risk Advisor デー
タを設定するのにこのデータ ソースを使用するかどうかを尋ねられます。[Yes] をクリックすると、データ エンリ
ッチメント ソースと 2 つの ACE スコアリング ルール (該当する場合) が作成され、ロールアウトされます。これら
を表示するには、[データ エンリッチメントを有効化] ページと [リスク相関スコアリング] ページに移動します。ス
コアリング ルールを使用するには、リスク相関マネージャーを作成する必要があります (「リスク相関マネージャー
を追加を参照する」を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
111
3
ESM の設定
デバイスの設定
IBM Internet Security System SiteProtector
Receiver は、イベントの格納に使用される Microsoft SQL Server データベース SiteProtector にクエリーするこ
とにより、Internet Security Systems (ISS) SiteProtector サーバーからイベントを取得できます。
Receiver がサポートしている他の一部のタイプのデータ ソースとは異なり、SiteProtector サーバーからのイベン
ト取得は「プッシュ」モデルではなく「プル」モデルを使って行われます。これは、Receiver が定期的に SiteProtector
データベースに問い合わせ、最後にプルされたイベント以降の新しいイベントをリクエストすることを意味します。
イベントが SiteProtector サーバーからイベントを取得するたびに、イベントは処理されて Receiver のイベント
データベースに格納され、ESM によって取得される準備ができます。
[サーバー] と [管理対象デバイス] の 2 つのデバイス タイプ オプションを使用できます。選択したサーバー デバ
イス タイプでデータ ソースを設定することは、SiteProtector サーバーからイベントを収集するための最低要件で
す。
SiteProtector サーバーのデータ ソースを設定すると、SiteProtector サーバーにイベントを報告した実際の資産と
は関係なく、SiteProtector から収集したすべてのイベントがそのデータ ソースに属しているものとして示されま
す。SiteProtector にイベントを報告した管理対象資産に基づいてイベントをさらに細分化するために、[管理対象デ
バイス] のデバイス タイプを選択した状態で追加の SiteProtector データ ソースを設定することができます。
ページの下側にある [詳細設定] オプションでは、イベント データを表示する際の特定 URL の起動に使用する URL
を定義できます。共通イベント形式 (CEF) イベントの転送に使用されるベンダー、製品、バージョンも定義できま
す。これらの設定はオプションです。
Receiver がイベント用の SiteProtector データベースにクエリーするには、SiteProtector によって使用されるデ
ータベースをホストする Microsoft SQL Server インストールが TCP/IP プロトコルからの接続を受け入れる必要
があります。
このプロトコルを有効化する方法とこれらの接続に使用されるポート(デフォルトはポート 1433)を定義する方法に
ついては、お手持ちの Microsoft SQL Server ドキュメントを参照してください。
Receiver が初めて SiteProtector データベースと接続するときは、現時点より後に生成された新しいイベントが取
得されます。将来の接続では、取得に成功した最後のイベント後に発生したすべてのイベントをリクエストします。
Receiver は、SiteProtector イベントからこの情報を抽出します。
•
ソースおよび宛先 IP アドレス(IPv4)
•
イベント数
•
ソースおよび宛先ポート
•
VLAN
•
プロトコル
•
重大度
•
イベント時間
•
イベントの説明
チェック ポイントの設定
プロバイダー 1、チェック ポイント高可用性、および最も標準的なチェック ポイント環境をカバーするデータ ソー
スを設定します。
最初のステップとして、親チェック ポイント データ ソースを追加します(『データ ソースを追加』 を参照)。親デ
ータ ソースがログ サーバーとして機能していないときに専用ログ サーバーがある場合は、ログ サーバーにデータ
ソースを追加する必要があります。また、必要に応じて子データ ソースを追加します。高可用性環境の場合は、各セ
カンダリ SMS/CMA に子データ ソースを追加する必要があります。
112
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
OPSEC アプリケーション/証明書が格納されている SMS/CMA、また Receiver-HA の場合はプライマリ
SMS/CMA に、親データ ソースを追加します。
OPSEC は FIPS に対応していません。FIPS 規則に準拠する必要がある場合は、この機能は使用しないでください
(『付録 A』 を参照)。
2
[オプション] をクリックします。
3
[詳細設定] ページで、通信方法を選択し、このデータ ソースの [サーバー エンティティの識別名] を入力しま
す。
4
[OK] を 2 回クリックします。
5
必要に応じて以下を行います。
発生するエラー…
対処法
[SIC Error for lea:
1 チェック ポイント データ ソースを追加したときに、[認証を使用] と [暗号化を使
クライアントがサービ
用] で正しい設定を選択したかを確認します。
ス LEA の認証方法を
選択できませんでし
[認証を使用] のみを選択した場合、OPSEC クライアントは「sslca_clear」を使用
た]
してログ サーバーとの通信を試みます。[認証を使用] と [暗号化を使用] を選択し
た場合、OPSEC クライアントは「sslca」を使用してログ サーバーとの通信を試み
ます。どちらも選択していない場合、OPSEC クライアントは「none」を使用して
ログ サーバーとの通信を試みます。
2 チェック ポイント ログ サーバーとの通信に使用する OPSEC アプリケーションが、
[クライアント エンティティ] セクションで [LEA] を選択しているかを確認します。
3 これらの手順のどちらも正しく行われていることが確認されたら、チェック ポイン
ト ログ サーバーのインストールで sic_policy.conf ファイルを探します。例えば、
Linux ベースの R65 システムでは、ファイルは /var/opt/CPshrd-R65/conf にあ
ります。
4 どの通信方法(ファイル内の認証方法)でログ サーバーとの LEA 通信方法が有効か
を特定するには、[詳細設定] ページで通信方法を [通信方法] として選択します。
[SIC Error for lea:
Peer sent wrong
DN: <expected
dn>]
• エラー メッセージで "<expected dn>" を表している文字列を入力することによ
り、[サーバー エンティティの識別名] テキスト ボックスに文字列を指定します。
スマート ダッシュボード UI でチェック ポイント ログ サーバーのネットワーク オブ
ジェクトを調べることにより、チェック ポイント ログ サーバーの識別名を見つけ出す
という方法もあります。
SMS/CMA の DN は OPSEC アプリケーションの DN と同様であり、最初のエントリ
が CN=cp_mgmt に置き換わっているだけです。例えば、OPSEC アプリケーション
DN を CN=mcafee_OPSEC,O=r75..n55nc3 と考えます。SMS/CMA DN は
CN=cp_mgmt,O=r75..n55nc3 になります。ログ サーバーの DN もこれと同様で、
CN=CPlogserver,O=r75..n55nc3 です。
6
セットアップした親データ ソースによって管理される、各ファイアウォール、ログ サーバー、またはセカンダリ
SMS/CMA に子データ ソースを追加します(『子データ ソースを追加』 を参照)。
すべてのファイアウォール/ゲートウェイ データ ソースのデバイスタイプは、[セキュリティ デバイス] です。[親レ
ポート コンソール] は、デフォルトで親データ ソースになります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
113
3
ESM の設定
デバイスの設定
McAfee ルールセット
このテーブルには、外部データ ソース ID とともに McAfee ルールセットがリストされています。
データ ソース ID
表示名
対応 RSID
ルール範囲
50201
ファイアウォール
0
2,000,000~2,099,999
50202
カスタム ファイアウォール
0
2,200,000~2,299,999
50203
カスタム シグネチャ
0
5,000,000~5,999,999
50204
内部
0
3,000,000~3,999,999
50205
脆弱性とエクスプロイト
2
該当なし
50206
アダルト コンテンツ
5
該当なし
50207
チャット
8
該当なし
50208
ポリシー
11
該当なし
50209
ピア ツー ピア
14
該当なし
50210
マルチメディア
17
該当なし
50211
Alpha
25
該当なし
50212
ウイルス
28
該当なし
50213
Perimeter Secure Application
31
該当なし
50214
ゲートウェイ
33
該当なし
50215
マルウェア
35
該当なし
50216
SCADA
40
該当なし
50217
MCAFEESYSLOG
41
該当なし
Receiver の資産ソース
資産とは、ネットワーク上で IP アドレスを持つデバイスです。[Asset Manager] 上の [資産] タブでは、資産の作
成、タグの変更、資産グループの作成、資産ソースの追加、および資産グループへの資産の割り当てを行うことがで
きます。また、VA ベンダーの 1 つから学習した資産を操作することも可能です。
[Receiver のプロパティ] の [資産ソース] 機能では、[Active Directory](使用できる場合)からデータを取得する
ことができます。このプロセスが完了したら、[ソース ユーザー] および [宛先ユーザー] のビュー クエリー フィル
ター フィールドで、取得ユーザーまたはグループを選択することにより、イベント データをフィルターできます。
これにより、PCI などの要件に応じてコンプライアンス データを提供する機能が強化されます。ESM が持つことが
できる資産ソースは 1 つのみです。Receiver は複数の資産ソースを持つことができます。
2 つの資産検出ソース(Vulnerability Assessment や Network Discovery など)が同じ資産を検出した場合は、
最も優先順位の高い検出方法がその資産をテーブルに追加します。2 つの検出ソースが同じ優先順位であれば、最後
に資産を検出したソースが最初に検出したソースよりも優先されます。
資産ソースの追加
[Active Directory] からデータを取得するには、Receiver を設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
114
1
システム ナビゲーション ツリーで [Receiver のプロパティ] を選択してから、[資産ソース] をクリックします。
2
[追加] をクリックし、要求された情報を入力します。
3
[OK] をクリックし、[資産ソース] ページで [書き込み] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Enterprise Log Manager (ELM) の設定
ELM は、ログ データの保存と管理、アクセス、レポートをサポートします。
ELM によって受信されたデータは、複数のストレージ デバイスで構成されたそれぞれのストレージ プールで編成さ
れます。 保持時間は各ストレージ プールに関連付けられており、データは指定された期間、プールに保持されます。
政府、業界、企業による規制では、異なる期間ログを保管することを義務付けています。
ELM には、検索および整合性チェック ジョブを設定する機能があります。 これら各ジョブは、格納されているログ
にアクセスし、ジョブで定義されたデータを取得または確認します。その後に、結果を表示し、情報をエクスポート
するように選択できます。
取得される情報は、以下のすべての ELM デバイス モデルに適用されます。
•
ENMELM-5205(ESM と Log Manager の組み
合わせ)
•
ELM-5750
•
ENMELM-5510(ESM と Log Manager の組み
合わせ)
•
ELMERC-4245 (Receiver と Log Manager の
組み合わせ)
•
ENMELM-4245(ESM と Log Manager の組み
合わせ)
•
ELMERC-2250 (Receiver と Log Manager の
組み合わせ)
•
ELM-5205
•
LMERC 2230 (Receiver と Log Manager の組
み合わせ)
•
ELM-5510
ELM を設定するには、次のことを把握している必要があります。
•
ELM にログを格納するソース
•
必要なストレージ プールとデータ保持時間
•
データの格納に必要なストレージ デバイス
一般に、ELM でログを格納するソースと、必要なストレージ プールは把握されています。ただし、データを保存す
るストレージ デバイスは不明です。 この状況に対応する方法としては、次のようなものがあります。
1
ストレージ要件について控えめに推定します。
9.0.0 以降、ELM ストレージ プールではミラーリングのオーバーヘッド用に、割り当てられた領域の 10% が必
要になります。必要な領域を計算する場合は、この 10% を考慮してください。
2
推定される要件に合致するように ELM ストレージ デバイスを設定します。
3
ELM での短期間のログを取得します。
4
ELM のストレージ統計情報を使用して、実際のデータ ストレージ要件に合致するようにストレージ デバイス設
定を変更します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
115
3
ESM の設定
デバイスの設定
ELM でのデータ格納を準備する
データを格納するように ELM を設定するには、必要な手順がいくつかあります。
手
順
アクション
説明
1
データ保持
時間を定義
する。
ELM のインストール要件に基づいて、必要な複数のデータ保持時間を定義します。共通のデー
タ保持時間は次のとおりです。
• SOX – 7 年
• Basel II – 7 年
• PCI – 1 年
• HIPAA – 6 年または 7 年
• GLBA – 6 年
• NERC – 3 年
• EU DR 指令 – 2 年
• FISMA – 3 年
2
ログ データ
のソースを
定義する。
ここでは、ELM に格納されているログのすべてのソースを定義し、ログの平均バイト サイズ
と、1 日に生成される平均ログ数を推定することが目標になります。ここで必要とされるのは
推定値だけです。平均ログ バイト サイズと 1 日に生成される平均ログ数の推定は、まずソー
スのタイプ (ファイアウォール、ルーター、Nitro IPS、ADM、DEM、ELM など) 別に推定し、
次に各タイプについてソース数を推定するほうが簡単かもしれません。次の手順では、各ソー
スと、手順 1 で定義された保持時間の関連付けが必要になるため、ソース タイプ (SOX
Firewall、PCI DEM など) の推定の際にはそれを考慮する必要があります。
3
ストレージ
プールを定
義する。
ELM のインストール要件に基づいて、ログの各ソース、またはソースをデータ保持時間と関連
付け、ELM のインストールに必要なストレージ プールのセットを定義します。
4
ストレージ
プールのサ
イズ要件を
推定
各ストレージ プールについて、次のいずれかの方程式を使用してストレージ要件を推定する。
• 個々のソースを使用:
IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024)
説明
IRSGB= Initial required storage in gigabytes (最初に必要なストレージ、GB))
DRTD = Data retention time in days (データ保持時間、日数))
SUM() = すべてのデータ ソースの合計
DSAB = Data source average bytes per log (ログごとのデータ ソース平均バイト数)
DSALPD = Data source average logs per day (1 日あたりのデータ ソース平均ログ数)
• ソース タイプを使用:
IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1024*1024*1024)
説明
IRSGB= Initial required storage in gigabytes (最初に必要なストレージ、GB)
DRTD = Data retention time in days (データ保持時間、日数)
NDS = Number of data sources of a data source type (データ ソース タイプのデー
タ ソース数)
SUM() = すべてのデータ ソース タイプの合計
DSTAB = Data source type average bytes per log (ログごとのデータ ソース タイプ平
均バイト数)
DSTALPD = Data source type average logs per day (1 日あたりのデータ ソース タイ
プ平均ログ数)
5
116
最初のスト
レージ デバ
イスを作成
する。
各 IRSGB に相当するデータを格納できるだけの、1 つ以上の ELM ストレージ デバイスを作
成します (「ストレージ デバイスを追加する」を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
手
順
アクション
説明
6
ストレージ
プールを作
成
手順 3 で定義した各ストレージ プールについて、手順 1 で関連付けた保持時間、手順 4 で関
連付けた IRSGB 値、手順 5 で関連付けたストレージ デバイスを使用して ELM ストレージ プ
ールを作成します (「ストレージ プールを追加する」を参照)。
7
データのロ
ギングを開
始する。
ELM にログを送信するソースを設定し、送信を 1 ~ 2 日間継続させます。
8
ストレージ
プールのサ
イズ要件推
定値の絞り
込む。
手順 6 で作成した各ストレージ プールについて、次の方程式を使用してストレージ要件の推定
値を絞り込みます。
RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024)
説明
RSGB = Required storage in gigabytes (必要なストレージ、GB)
DRTD = Data retention time in days (データ保持時間、日数)
SPABRPD = 統計レポートから得られたストレージ プールの 1 日の「平均バイト率」の値
9
ストレージ
デバイスを
変更または
作成する。
手順 8 の各 RSGB 値について、RSGB に相当するデータを格納できるだけの ELM ストレー
ジ デバイスを変更または作成します。
10
ストレージ
プールを変
更する。
必要に応じて、手順 9 で作成したストレージ デバイスを追加して、手順 6 で作成した各スト
レージ プールを変更するか、または既存のストレージ デバイス割り当てを増やします。
ELM ストレージを設定
ログを格納するために、ELM は 1 つ以上のストレージ デバイスに対するアクセス権限を持っている必要がありま
す。
ELM インストールのストレージ要件には、データソースの数、ロギング特性、データ保持時間の要件などの要素があ
ります。 ELM インストールの使用期間中にあらゆる要素が変化する可能性があるため、ストレージ要件は、時間の
経過とともに変動します。
システムのストレージ要件の推定および調整に関する詳細については、『ELM 設定』 を参照してください。
ELM ストレージの用語
ELM ストレージに関する用語を確認してください。
•
ストレージ デバイス — ELM にアクセス可能なデータ ストレージ デバイス。ELM モデルによっては、内蔵のス
トレージ デバイス、SAN 接続機能、あるいはそれら両方を備えている場合があります。すべての ELM モデルに
は NAS 接続機能があります。
•
ストレージ割り当て - 特定のストレージ デバイス上の特定の量のデータ ストレージ (NAS ストレージ デバイ
スに対して 1 TB など)。
•
データ保持時間 — ログが格納される期間。
•
ストレージ プール — 1 つ以上のストレージ割り当て。それらの割り当てによってストレージの合計量が指定さ
れます。その際にログが格納される最長日数を指定するデータ保持時間と組み合わせられます。
•
ログ ソース — ELM に格納されるログのソース。
ELM ストレージ デバイスのタイプ
ELM にストレージ デバイスを追加する場合は、デバイスのタイプを選択する必要があります。デバイスを追加また
は編集する場合には、考慮すべき点がいくつかあります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
117
3
ESM の設定
デバイスの設定
デバイス 詳細
タイプ
NFS
ELM 管理データベースを含むストレージ デバイスのリモート マウント ポイントを編集するには、[DB
を移行] オプションを使用して、データベースを別のストレージ デバイスに移動させます (『ELM デー
タベースを移行する』を参照)。 その後に、リモート マウント ポイント フィールドを安全に変更し、
更新されたストレージ デバイスにデータベースを戻すことができます。
CIFS
• 3.2 よりも後のバージョンの Samba サーバーと一緒に CIFS 共有タイプを使用すると、データ損失
が発生する可能性があります。
• CIFS 共有に接続する場合は、パスワードにカンマを使用しないでください。
• Windows 7 コンピューターを CIFS 共有として使用する場合は、
『HomeGroup ファイル共有を無効
化』を参照してください。
iSCSI
• iSCSI 共有に接続する場合は、カンマを含むパスワードは使用しないでください。
• 複数のデバイスを 1 つの IQN に接続しようとすると、データ損失などの設定上の問題が発生する可
能性があります。
SAN
SAN オプションは、ELM に SAN カードがインストールされていて、SAN ボリュームを使用できる場
合のみ使用できます。
仮想ロー このオプションは、仮想ローカル デバイスが仮想 ELM に追加されている場合にのみ使用できます。 ス
カル
トレージとして使用する前にデバイスをフォーマットする必要があります (『仮想ローカル ドライブを
セットアップしてデータを保管する』を参照)。
HomeGroup ファイル共有を無効化
Windows 7 では、HomeGroup ファイル共有を使用する必要があります。これは他の Windows 7 コンピューター
でも機能しますが、Samba では使用できません。Windows 7 コンピューターを CIFS 共有として使用するには、
HomeGroup ファイル共有を無効にする必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
Windows 7 の [コントロール パネル] を開き、[ネットワークと共有センター] を選択します。
2
[共有の詳細設定の変更] をクリックします。
3
[ホームまたは社内] プロファイルをクリックし、現在のプロファイルとしてラベル付けされていることを確認し
ます。
4
ネットワーク検出、ファイルとプリンタの共有、パブリック フォルダーを有効にします。
5
CIFS を使用して共有するフォルダーを特定し(最初にパブリック フォルダーを確認)、右クリックします。
6
[プロパティ] を選択し、[共有] タブをクリックします。
7
[詳細な共有] をクリックし、[フォルダーの共有] を選択します。
8 (オプション)共有名を変更して [権限] をクリックします。
権限が適切に設定されていることを確認します(変更 = 書き込み可にチェックマーク)。パスワードで保護され
た共有を有効にしている場合は、ここで設定を微調整して Ubuntu ユーザーが権限に含まれるようにします。
ストレージ プールにリンクするストレージ デバイスを追加
ストレージの場所のリストにストレージ デバイスを追加するには、パラメーターを定義する必要があります。
ストレージ デバイスを編集する場合は、サイズを大きくすることはできますが、小さくすることはできません。デー
タが格納されているデバイスを削除することはできません。
118
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
上部のテーブルの横にある [追加] をクリックします。
3
[ストレージ デバイスを追加] ページで、必要な情報を入力します。
4
[OK] をクリックして設定を保存します。
使用できる ELM ストレージ デバイスのリストにデバイスが追加されます。
[ストレージ プール] ページのテーブルで、ストレージ デバイスを編集または削除できます。
ストレージ プールを追加または編集
ストレージ プールには、1 つ以上のストレージ割り当てとデータ保持時間が含まれています。これらを ELM に追加
して、ELM ログの格納場所と保持期間を定義します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルの横にある [追加] または [編集] をクリックし、必要な情報を入力するか変更します。
3
[OK] をクリックします。
パラメーターは保存後に編集することができます。ストレージ プールとそれに割り当てられているデバイスは、デー
タが格納されていない限り削除できます。
ストレージ プールを移動
ストレージ プールは、1 つのデバイスから別のデバイスに移動させることができます。
開始する前に
ストレージ プールの移動先にするストレージ デバイスを、現在プールを保持しているデバイスのミラー
として設定します(『ミラー ELM データ ストレージを追加』を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで、ストレージ プールを保持している ELM デバイスを選択し、[プロパティ]
アイコン
をクリックします。
2
[ストレージ プール] をクリックします。
3
[ストレージ プール] テーブルで、移動するプールの下にリストされているミラー デバイスをクリックします。
4
[編集] をクリックし、[データ ストレージ デバイス] ドロップ リストから、移動するストレージ プールをミラ
ーリングするデバイスを選択します。
これがメインのデータ ストレージ デバイスになっています。
5
新しいデータ ストレージ デバイスをミラーリングするには、[ミラー データ ストレージ デバイス] ドロップダ
ウン リストからデバイスを選択し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
119
3
ESM の設定
デバイスの設定
ストレージ割り当てサイズを縮小
ストレージ プールに割り当てられている領域によりストレージ デバイスがいっぱいになった場合は、各割り当てに
定義されている領域の容量を縮小する必要があります。 この操作は、ストレージ プールの追加でデバイス上の領域
の割り当てるときに必要になる可能性があります。
割り当てサイズの縮小によってデータが影響を受ける場合、データをプール内の他の割り当てに移動します(そのため
の領域が使用可能な場合)。使用可能な領域がない場合は、最も古いデータが削除されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルで、縮小するプールを選択し、[サイズを縮小] をクリックします。
3
ストレージを縮小する量を入力し、[OK.] をクリックします。
ELM データ ストレージをミラーリング
2 つ目の ELM ストレージ デバイスを設定して、メインのデバイスで収集されたデータをミラーリングすることがで
きます。
メインのデバイスが何らかの理由で停止した場合には、受信したデータの格納がバックアップ デバイスで継続されま
す。メインのデバイスがオンラインに復帰すると、バックアップと自動的に同期され、受信したデータの格納が再開
されます。メインのデバイスが恒久的に停止した場合には、バックアップを ESM のメインとして割り当て直し、別
のデバイスをミラーリング用に指定することができます。
両方のデバイスが停止した場合には、システム ナビゲーション ツリーの ELM デバイスの横に正常性ステータス フ
が表示されます。
ラグ
ミラーリングされたストレージ プールとストレージ デバイスとの接続が切断される可能性があります。これは次の
ような原因によります。
•
ELM とファイル サーバー間のファイル サーバーまたはネットワークに障害が発生した。
•
ファイル サーバーまたはネットワークがメンテナンスのためにシャットダウンされた。
•
割り当てファイルが誤って削除された。
ミラーに問題が発生した場合には、ストレージ デバイスの [ストレージ プール] テーブルに警告アイコン
示されます。これは [再構築] 機能を使用して修復できます。
が表
ミラー ELM データ ストレージを追加する
使用できるデバイスのリストに追加された、必要な領域を備えたストレージ デバイスは、ELM ストレージ デバイス
に保存されるデータのミラーリングに使用できます。
開始する前に
相互にミラーリングするのに使用する 2 つのデバイスを ESM に追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
120
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
下部のテーブルの横にある [追加] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
3
[ストレージ プールを追加] ページで必要な情報を入力し、[追加] をクリックして、ストレージ デバイスとミラ
ーリング デバイスを選択します。
デバイスは一度に複数のプールに割り当てることができます。
4
[OK] を 2 回クリックします。
ミラー ストレージ プールを再構築
ミラー ストレージ プールとストレージ デバイスとの接続が切断された場合は、[再構築] 機能を使用して修復できま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ストレージ プール] をクリックします。
2
警告アイコンが表示されているミラー デバイスの上にカーソルを置きます。
ツール チップで、ELM 割り当てが再構築されているか、ミラー デバイスの再構築が必要であるかが示されます。
3
ミラー デバイスを再構築するには、デバイスをクリックし、[再構築] をクリックします。
プロセスが完了すると、割り当てが正常に再構築されたことが通知されます。
ミラーリング デバイスを無効化する
デバイスをストレージ プールのミラーリング デバイスとして使用するのを停止する場合は、それと置き換える別の
デバイスを選択するか、[なし] を選択します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、現在ミラーリング ストレージ プールを保持している ELM を選択し、[プロ
パティ] アイコン
をクリックします。
2
[ストレージ プール] をクリックし、[ストレージ プール] テーブルでミラー デバイスを選択し、[編集] をクリッ
クします。
3
以下のいずれかを実行します。
4
•
[ミラー データ ストレージ デバイス] フィールドで選択したデバイスを無効にする場合は、そのフィールド
のドロップダウン矢印をクリックして、データ ストレージ デバイスをミラーリングする別のデバイスを選択
するか、[なし] を選択します。
•
[データ ストレージ デバイス] フィールドで選択したデバイスを無効にする場合は、そのフィールドのドロッ
プダウン矢印をクリックして、データ ストレージ デバイスとして機能する別のデバイスを選択します。
[OK] をクリックして変更を保存します。
デバイスがミラーリング デバイスではなくなっても、[ストレージ デバイス] テーブルには引き続き表示されます。
外部データ ストレージを設定
外部ストレージには、iSCSI、SAN、DAS、仮想ローカルの 4 つのタイプがあり、ELM データを格納するように設
定できます。 これの外部ストレージ タイプを ESM に接続すると、ELM からのデータが格納されるように設定でき
ます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
121
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
該当するタブに使用可能なストレージ デバイスがすべて表示されます。
2
[iSCSI]、[SAN]、[DAS] または [仮想ローカル] タブをクリックし、必要な手順に従います。
3
[適用] または [OK] をクリックします。
iSCSI デバイスを追加する
ELM ストレージ用に iSCSI デバイスを使用するには、デバイスとの接続を設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
2
[iSCSI] タブで、[追加] をクリックします。
3
要求された情報を入力して、[OK] をクリックします。
接続が正常に行われると、デバイスとその IQN が [iSCSI の設定] リストに追加され、また [ストレージ デバイ
スを追加] ページの [デバイス タイプ] リストにも追加されます (「ストレージ デバイスを追加する」を参照)。
IQN が ELM ログの格納を開始すると、iSCSI ターゲットは削除できなくなります。 この制限があるため、ELM
ストレージ用に十分な領域を確保してから、iSCSI ターゲットを設定してください。
4
ELM ストレージ用に IQN を使用する前に、リストで選択し、[フォーマット] をクリックします。
5
フォーマット中にステータスを確認するには、[ステータスを確認] をクリックします。
6
IQN を検出または再検出するには、iSCSI デバイスをクリックして、[検出] をクリックします。
複数のデバイスを IQN に割り当てると、データ損失を招く可能性があります。
ELM データを格納するために SAN ストレージ デバイスをフォーマットする
システムに SAN カードが搭載されている場合は、ELM データの格納に使用できます。
開始する前に
システムに SAN カードをインストールします。『McAfee ESM インストール ガイド』の「qLogic
2460 または 2562 SAN アダプターをインストールする」を参照するか、McAfee サポートに問い合
わせてください。
122
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ ストレージ] をクリックします。
2
[SAN] タブをクリックして、検出された SAN ボリュームのステータスを確認します。
3
•
[フォーマットが必要] — ボリュームをフォーマットする必要があります。[ストレージ デバイスを追加] ペ
ージの、使用可能なボリュームのリストには表示されません。
•
[フォーマット] — ボリュームがフォーマット中です。使用可能なボリュームのリストには表示されません。
•
[準備完了] — ボリュームがフォーマットされ、認識可能なファイル システムが作成されました。これらのボ
リュームは、ELM データの格納に使用できます。
フォーマットされていないボリュームにデータを格納する場合は、ボリュームをクリックして[フォーマット] を
クリックします。
ボリュームをフォーマットすると、格納されていたすべてのデータが削除されます。
4
フォーマットが完了したかどうかを確認するには、[更新] をクリックします。
フォーマットが完了すると、ステータスが [準備完了] に変わります。
5
ボリュームの詳細をページの下部に表示するには、ボリュームをクリックします。
これで、フォーマットされた SAN ボリュームを、ELM ストレージ用のストレージ デバイスとして設定できます。
データを格納する DAS デバイスを割り当て
ELM データを格納するために、使用可能な DAS デバイスを割り当てることができます。
開始する前に
DAS デバイスを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで、DAS デバイスを割り当てる ELM を選択し、[プロパティ] アイコン
をクリックします。
一体型のデバイスで ESM に DAS を割り当てるには、ESM を選択し、[プロパティ] アイコンをクリックします。
2
[データ ストレージ] をクリックし、[DAS] タブをクリックします。
[DAS] テーブルに、ストレージに使用できるデバイスがリストされます。
3
テーブルで、ELM または ESM データを格納するために割り当てられていない、いずれかのデバイスをクリック
します。
4
[割り当て] をクリックし、警告ページで [はい] をクリックします。
デバイスを一度割り当てると、変更することができなくなります。
ELM が再起動されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
123
3
ESM の設定
デバイスの設定
仮想ローカル ドライブをセットアップしてデータを保管する
仮想 ELM の仮想ストレージ デバイスを検出し、フォーマットします。 これらのデバイスは、データベースの移行や
ストレージ プールとして使用できます。
開始する前に
仮想環境の仮想ローカル ストレージ デバイスを仮想 ELM に追加します。 ストレージの追加方法につ
いては、仮想マシン環境のマニュアルを参照してください。
対応仮想環境
•
VMWare
•
KVM
•
Amazon Web Service
対応ドライブ フォーマット
•
SCSI
•
SATA
IDE には対応していません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで仮想 ELM を選択し、[プロパティ] アイコン
トレージ] をクリックします。
をクリックして [データ ス
使用可能なストレージ デバイスがすべて表示されるまで、読み込み中のアイコンが表示されます。 システムに冗
長 ESM がある場合、デバイスが [冗長] タブに表示されます。
ルート パーティションとブート パーティションは、ストレージ オプションとして使用できません。
2
[仮想ローカル] タブをクリックして、使用可能な仮想デバイスのリストからデバイスを選択します。
[仮想ローカル] タブが使用できるのは、システムが仮想ストレージを検出した場合だけです。
3
[ステータス] 列に [フォーマットが必要] が表示された場合には、[フォーマット] をクリックし、デバイスを
ext4 形式でフォーマットしてください。
ステータスが [準備完了] に変わります。
このデバイスをデータベースの移行やストレージ プールとして使用できます。
ELM の冗長性
システムの現在のスタンドアロン ELM にスタンバイ ELM を追加すると、ロギングの冗長性を実現できます。
冗長性を有効にするには、2 つの ELM に IP アドレスと他のネットワーク情報を定義します (『ELM 冗長性をセッ
トアップする』を参照)。 スタンバイ ELM のストレージ デバイスの容量は、アクティブ ELM のストレージよりも
大きくする必要があります。 両方の ELM の設定が同期され、スタンバイ ELM が両方のデバイスの同期データを保
持します。
ELM 冗長性を操作する場合、切り替え、サービス状態への復元、削除、統計の表示など、いくつかのアクションを実
行します。 これらのアクションを実行するには、 [ELM のプロパティ] 、 [ELM の冗長性] の順に移動します。
124
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
切り替え
プライマリ ELM が停止したり、交換が必要になった場合には、[ELM を切り替える] を選択します。 スタンバイ
ELM がアクティブになり、すべてのロギング デバイスが関連付けられます。 切り替えが完了するまで、ロギングと
設定アクションはロックされます。
サービス状態に戻す
スタンバイ ELM で問題が発生した場合には、サービス状態に戻す必要があります。 設定ファイルに対する変更がな
ければ、冗長性が継続します。 ファイルで相違が検出されると、問題のないストレージ プールの冗長性は継続しま
すが、エラー ステータスが戻され、1 つ以上のプールが設定外になります。 これらのプールは手動で修正する必要
があります。
スタンバイ ELM を交換または再構成すると、システムがこの状況を検出し、スタンバイ ELM のキーを再作成するよ
うに指示されます。 アクティブな ELM がすべての設定ファイルとスタンバイの同期を実行し、以前と同様に冗長性
を継続します。
中断
何らかの理由でスタンバイ ELM が停止した場合、この ELM との通信を中断できます。 すべての通信が停止し、冗
長のエラー通知がマスキングされます。 スタンバイ ELM が再起動したらサービス状態に脅します。
ELM で冗長を無効にする
[削除] を選択すると、ELM 冗長性を無効にできます。 アクティブな ELM が冗長性の設定ファイルのコピーを保存
します。 ELM 冗長性を有効にするときにバックアップ ファイルが見つかると、保存済みの設定ファイルを復元する
かどうか確認されます。
ステータスを表示
[ステータス] を選択すると、アクティブな ELM とスタンバイ ELM 間のデータ同期ステータスの詳細を確認できま
す。
ELM 冗長性をセットアップする
システムでスタンドアロンの ELM デバイスを使用している場合、スタンバイ ELM を追加すると、ロギングの冗長性
を実現できます。
開始する前に
スタンドアロンの ELM をインストールして (『McAfee Enterprise Security Manager 9.5.0 インス
トール ガイド』を参照)、ESM コンソールに追加する必要があります (『デバイスを ESM コンソール
に追加する』を参照)。 また、スタンバイ ELM をインストールする必要がありますが、コンソールには
追加しません。 スタンバイ ELM にデータが存在しないようにします。 工場出荷時の設定に戻す場合
には、McAfee サポートに連絡してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで ELM をクリックし、[プロパティ] アイコン
をクリックします。
2
[ELM のプロパティ] ページで、[ELM 冗長]、[有効] の順にクリックします。
3
スタンバイ ELM の IP アドレスとパスワードを入力して、[OK] をクリックします。
4
[ELM のプロパティ] ページで [ストレージ プール] をクリックして、[アクティブ] タブが選択されていることを
確認します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
125
3
ESM の設定
デバイスの設定
5
ストレージ デバイスをアクティブな ELM に追加します (『ストレージ プールにリンクするストレージ デバイス
を追加する』を参照)。
6
[スタンバイ] タブをクリックして、合計の空き容量がアクティブ ELM のストレージよりも大きくなるようにス
トレージ デバイスを追加します。
7
それぞれの ELM に 1 つ以上のストレージ プールを追加します。(『ストレージ プールを追加または編集する』
を参照)。
両方の ELM の設定が同期され、スタンバイ ELM が両方のデバイスの同期データを保持します。
ELM の圧縮を管理
ディスク領域を節約したり、毎秒のログの処理数を増やすために、ELM が受信するデータを圧縮します。
3 つのオプションは、[低](デフォルト)、[中]、[高] です。このテーブルには、各レベルの詳細が表示されます。
レベル
圧縮率
最大圧縮率
毎秒処理されるログの最大比率
[低]
14:1
72%
100%
[中]
17:1
87%
75%
[高]
20:1
100%
50%
実際の圧縮率は、ログのコンテンツに応じて異なります。
•
毎秒処理可能なログ数よりも、ディスク領域の節約を重視する場合は、高い圧縮率を選択します。
•
ディスク領域の節約よりも、毎秒処理可能なログ数を重視する場合は、低い圧縮率を選択します。
ELM の圧縮を設定
ディスク領域を節約したり、より多くのログを処理するために、ELM が受信するデータの圧縮レベルを選択します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM の設定] 、 [圧縮]をクリックします。
2
ELM 圧縮レベルを選択し、[OK] をクリックします。
レベルが更新されると通知されます。
検索または整合性チェックの結果を表示
検索ジョブまたは整合性チェック ジョブが完了すると、結果を表示できます。
開始する前に
検索ジョブまたは整合性チェック ジョブを実行し、結果を表示します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
126
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択します。
2
[データ] をクリックして、[ログとファイルを検索] または [整合性チェック] タブを選択します。
3
[検索結果] テーブルに表示させるジョブを強調表示し、[表示] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
[ELM の検索結果] ページにジョブの結果が表示されます。
複数の追加 VM ドライブを ESM から一度に削除すると、すべての ELM 検索結果が失われる場合があります。検索結
果が失われないようにするには、ELM の検索結果をエクスポートします。
ELM をバックアップおよびリストア
システム障害またはデータ損失が発生した場合は、ELM デバイスの現在の設定をバックアップする必要があります。
ELM ロギング データベースを含む、すべての構成設定が保存されます。ELM に格納されている実際のログはバック
アップされません。
ELM にログ データを格納するデバイスをミラーリングし、ELM 管理データベースをミラーリングしておくことをお
勧めします。ミラーリング機能により、リアルタイムのログ データ バックアップが可能になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択します。
2
[ELM 情報] が選択されていることを確認し、[バックアップとリストア] をクリックします。
3
次のいずれかを行います。
目的
手順
ELM を今すぐバックアップ
必要な情報を入力し、[今すぐバックアップ] をクリックします。
ELM 設定を自動的にバックアップ 頻度を選択して情報を入力します。
バックアップを今すぐリストア
[バックアップを今すぐリストア] をクリックします。ELM データベース
が、以前のバックアップからの設定にリストアされます。
ELM 管理データベースとログ データをリストアする
ELM を置換するには、管理データベースとログ データを新しい ELM にリストアします。これを行うには、データベ
ースとログ データのミラーリングが必要になります。
古い ELM から新しい ELM にデータをリストアするには、[デバイスを追加] ウィザードを使用して新しい ELM を作
成しないでください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、置換が必要な ELM について [ELM のプロパティ] を選択します。
システムが ELM を特定できない場合は、警告ページで通知されます。
2
警告ページを閉じて、[接続] をクリックします。
3
新しい ELM の IP アドレスを入力して、[キー管理] 、 [デバイスのキーを指定する] の順にクリックします。
新しいデバイスのキーが正常に指定されると、通知されます。
4
このデバイスに関連付けるパスワードを入力し、[次へ] をクリックします。
5
[ELM 情報] 、 [バックアップとリストア] 、 [ELM をリストア] の順にクリックします。
6
各デバイスで、[プロパティ] 、 [設定] の順に移動し、[Sync ELM] をクリックし、ELM でロギングを行ってい
る各デバイスを再同期します。
管理データベースと ELM データ ストレージが、新しい ELM でリストアされます。このプロセスには数時間かかる
ことがあります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
127
3
ESM の設定
デバイスの設定
ELM ストレージの使用率を表示
ELM 上のストレージの使用率を表示することは、デバイスでの領域割り当てに関する決定に役立ちます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM 管理] をクリックします。
2
[使用率を表示] をクリックします。
[使用率の統計] ページが開き、ELM のストレージ デバイスとプールの統計が表示されます。
3
[OK] をクリックします。
ELM データベースを移行
ELM 管理データベースには、ELM に送信されたログを追跡するレコードが格納されます。ELM デバイスで管理デー
タベースの格納に使用できるディスク領域は、モデルに応じて異なります。
デバイスを最初に追加するときに、レコードを格納できるだけのディスク領域があるかどうかが確認されます。ディ
スク領域が不足している場合は、管理データベースを格納する別の場所を定義するように求められます。デバイスに
十分なディスク領域があっても、別の場所にデータベースを保存したい場合は、[ELM のプロパティ] ページの [DB
を移行] を使用して、保存場所を設定することができます。
[DB を移行] はいつでも使用することができます。ただし、レコードが格納された管理データベースを移行する場合
には、レコード数に応じて、移行が完了するまで ELM セッションが数時間停止します。ELM デバイスを最初に設定
するときに、この別の場所を定義することをお勧めします。
代替のストレージ場所を定義
ELM 管理データベース レコードを ELM 以外の場所に格納するには、代替のストレージ場所を定義する必要がありま
す。格納するデータのミラーリング用に、2 つ目のデバイスを選択することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[ELM の設定] 、 [DB を移行]をクリック
します。
2
ストレージ デバイスとミラー デバイスを選択します。
3
[OK] をクリックします。
ELM ミラー管理データベースを置き換え
ミラー管理データベースのストレージ デバイスに問題が発生した場合は、デバイスを置き換える必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで、問題が発生している管理データベース ストレージ デバイスがある ELM デ
バイスを選択し、[プロパティ] アイコン
2
128
をクリックします。
[ELM の設定] をクリックし、[DB を移行] を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
3
[データ ストレージ デバイス] フィールドで、[ミラー データ ストレージ デバイス] ドロップダウン リストから
デバイスを選択します。
4
[ミラー データ ストレージ デバイス] フィールドで新しいデバイスを選択するか、[なし] を選択してミラーリン
グを停止します。
必要なデバイスがドロップダウン リストに含まれていない場合は、先に [ストレージ デバイス] テーブルにデバイ
スを追加しておきます。
ELM データを取得する
ELM からデータを取得するには、[データ] ページで検索ジョブと整合性チェック ジョブを作成する必要があります。
整合性チェック ジョブでは、定義したファイルが最初に格納されてから変更されたかどうかが確認されます。 重大
なシステムまたはコンテンツ ファイルに対する権限のない変更については、アラートが出されます。このチェックの
結果では、どのファイルが変更されたかが示されます。どのファイルも変更されていない場合は、チェックが正常に
実行されたことが通知されます。
一度に実行できる検索ジョブと整合性チェック ジョブの数は、合計 50 に制限されています。 システム上に 50 を
超えるジョブがある場合は、検索を実行できないことが通知されます。システム上に既存の検索がある場合は、それ
らを削除して新しい検索を実行することができます。既存の検索がない場合は、システム管理者が、他のユーザーが
開始した既存の検索ジョブまたは整合性チェック ジョブを削除して、検索を実行可能にすることができます。
一度検索を開始すると、[データ] ページを閉じても、検索が完了するまで、または設定した制限に達するまで継続し
て実行されます。この画面に戻り、ステータスを確認できます。ステータスは、[検索結果] テーブルに表示されま
す。
検索ジョブを作成
ELM で条件に合致するファイルを検索するには、[データ] ページで検索ジョブを定義する必要があります。この画
面のフィールドはどれも必須ではありませんが、検索を詳細に定義すれば、それだけ短時間で必要なデータを取得で
きるようになります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ] をクリックします。
2
[ログとファイルを検索] タブで必要な情報を入力し、[検索] をクリックします。
整合性チェック ジョブを作成する
[データ] ページで整合性チェック ジョブを作成することで、格納されたファイルが変更されているかどうかを確認
できます。 [整合性チェック] タブのフィールドはどれも必須ではありませんが、検索を詳細に定義すれば、それだ
け短時間で必要なデータの整合性を確認できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ELM のプロパティ] を選択し、[データ] をクリックします。
2
[整合性チェック] タブをクリックして必要な選択を行い、[検索] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
129
3
ESM の設定
デバイスの設定
Advanced Correlation Engine (ACE) の設定
McAfee Advanced Correlation Engine (ACE) は、ルール ベースとリスク ベースの両方のロジックを使用して脅
威イベントをリアルタイムに識別し、評価します。
評価対象 (ユーザーまたはグループ、アプリケーション、特定のサーバーまたはサブネット) を指定します。資産で
脅威が発生すると、ACE が警告します。 監査証跡と履歴再生でフォレンジック、コンプライアンス対応、ルールの
調整を行うことができます。
リアルタイム モードまたは履歴モードを使用して ACE を設定します。
•
リアルタイム モード - 直近の脅威とリスク検出のために収集したイベントを分析されます。
•
履歴モード - 収集されたすべてのデータをいずれかまたは両方の相関エンジンで再現し、履歴分析とリスク検出
を行います。 ACE が新しいゼロデイ攻撃を検出すると、過去に同じ攻撃を受けていないかどうか確認し、サブゼ
ロデイ の脅威検出を行います。
ACE デバイスは、2 つの専用の相関エンジンによって、ESM の既存のイベント相関機能を補完します。 ACE デバ
イスは、独自のポリシー、接続、イベント、ログ取得設定、リスク マネージャーを使用して設定できます。
•
ルール相関 - ルールのない相関を使用してリスク スコアを生成します。 リスクベースの相関分析では、既知の
脅威パターンしか検出できません。有効な分析を行うには、シグネチャの更新を常に行う必要があります。 ルー
ルのない相関分析では、検出シグネチャではなくワンタイム設定を使用して、ビジネスで重要な対象 (特定のサー
ビスまたはアプリケーション、ユーザーのグループ、特定のタイプのデータ) を特定します。 [リスク相関]では、
それらのアイテムに関連するすべてのアクティビティが追跡され、リアルタイムのアクティビティに基づいて上
下する動的なリスク スコアが構築されます。
リスク スコアが特定のしきい値を超えると、ACE がイベントを生成し、脅威条件をアラートで通知します。 従
来のルール ベースのエンジンは、大規模なインシデントの条件としてイベントを使用します。 ACE ではリスク
スコアの完全な監査証跡が保持されるため、脅威条件の完全な分析と調査を長期に渡って行うことができます。
•
ルールベースの相関分析 - 従来のルール ベースのイベント相関を使用して脅威を検出し、収集された情報をリ
アルタイムで分析します。 ACE は、ID、役割、脆弱性などのコンテキスト情報と一緒にすべてのログ、イベン
ト、ネットワーク フローを相関分析し、より大きな脅威の兆候を表すパターンを検出します。
イベントの Receiver は、ネットワーク全体のルール ベースの相関分析に対応しています。 ACE は、専用の処
理リリソースで大量のデータを関連付け、この機能を補完します。既存の相関レポートを補完するだけでなく、
完全にオフロードします。
ACE デバイスは、独自のポリシー、接続、イベント、ログ取得設定、リスク マネージャーを使用して設定できます。
ACE データ タイプを選択する
ESM は、イベント データとフロー データの両方を収集します。 ACE に送信するデータを選択します。 デフォルト
ではイベント データだけが送信されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[ACE の設定] をクリックします。
2
[Data] をクリックして、[イベント データ]、[フロー データ]、または両方を選択します。
3
[OK] をクリックします。
リスク相関マネージャーを追加する
ルールまたはリスク相関を使用するには、ルールまたはリスク相関マネージャーを追加する必要があります。
開始する前に
ESM に ACE デバイスが必要です (『ESM コンソールにデバイスを追加する』を参照)。
130
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ACE のプロパティ] を選択します。
2
[相関管理] をクリックして [追加] をクリックします。
3
作成するマネージャーの種類を選択し、[OK] をクリックします。
マネージャーの種類については、『Advanced Correlation Engine (ACE) の設定』を参照してください。
4
必要な情報を入力し、[完了] をクリックします。
リスク相関マネージャーを追加
指定したフィールドのリスク レベルを計算するには、マネージャーを追加する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ACE のプロパティ] を選択し、[リスク相関管理] をクリックします。
2
[追加] をクリックして、各タブで必要な情報を入力します。
3
[完了]、次に [書き込み] をクリックして、マネージャーをデバイスに書き込みます。
リスク相関スコアを追加
ターゲット フィールドにスコアを割り当てる条件付きステートメントを追加する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[リスク相関スコアリング] をクリックしま
す。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックします。
履歴相関を使用
履歴相関オプションでは、過去のイベントを相関させることができます。
新たな脆弱性が検出された場合には、履歴イベントとログを確認して、それまでにエクスプロイトがあったかどうか
を確認することが重要です。ACE の簡単なネットワーク再生機能を使用すれば、ルールのない [リスク相関] 相関エ
ンジン、および標準のルールベースのイベント相関エンジンによって履歴イベントを再生して、現在の脅威の状況に
基づいて履歴イベントを調べることができます。これは次のような状況で役立ちます。
•
特定のイベントがトリガーされた時点で相関を設定していなかったが、相関させることで有益な情報が得られる
可能性に気づいた場合。
•
過去にトリガーされたイベントに基づいて新しい相関を設定するときに、新しい相関をテストして目的の結果が
得られることを確認する場合。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
131
3
ESM の設定
デバイスの設定
履歴相関を使用する場合は、次のことに注意してください。
•
リアルタイムの相関は、履歴相関を無効にするまで中断されます。
•
リスク分布はイベント集計によって非対称になります。
•
リスク マネージャーをリアルタイムのリスク相関に戻す場合は、しきい値を調整する必要があります。
履歴相関を設定して実行する場合は、次のことが必要になります。
1
履歴相関フィルターを追加する。
2
履歴相関を実行する。
3
履歴相関イベントをダウンロードして表示する。
履歴相関の追加と実行
過去のイベントを相関させるには、履歴相関フィルターを設定して、相関を実行する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[ACE のプロパティ] を選択して、[履歴] をクリックします。
2
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
3
[履歴相関を有効化] を選択して、[適用] をクリックします。
リアルタイムの相関は、履歴相関を無効にするまで中断されます。
4
実行するフィルターを選択して、[今すぐ実行] をクリックします。
ESM は、イベントの確認、フィルターの適用、適用するイベントのパッケージ化を行います。
履歴相関イベントをダウンロードして表示する
履歴相関を実行すると、生成されたイベントをダウンロードして表示することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ACE のプロパティ] を選択し、[イベントとログ] 、 [イベントを取得]をク
リックします。
履歴相関の実行結果として得られるイベントは、ESM にダウンロードされます。
2
[ACE のプロパティ] を閉じます。
3
データを表示するには、次の手順に従います。
a
システムのナビゲーション ツリーで、履歴データを実行した ACE デバイスを選択します。
b
表示ツールバーの期間ドロップダウン リストで、実行を設定したときに指定した期間を選択します。
表示ペインにクエリーの結果が表示されます。
132
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Application Data Monitor (ADM) の設定
McAfee Application Data Monitor (ADM) は、ネットワーク上の重要なデータを追跡し、プロトコル、セッション
の整合性、アプリケーションのコンテンツを分析します。
違反を検出すると、ADM がアプリケーション セッションのすべての詳細を保存します。この情報は、インシデント
対応とフォレンジック、コンプライアンス監査に使用されます。 ADM では、正規のアプリケーションを装う脅威も
核に寝きます。
電子メールの添付ファイル、インスタント メッセージ、ファイル転送、HTTP 送信、他のアプリケーションで重要情
報が転送されると、ADM がこの状況を検知します。 重要情報のディレクトリを独自に定義すると、ADM の検出機
能をカスタマイズできます。 ADM がこのような重要情報を検出すると、担当者に警告したり、監査証跡を保守しま
す。
ADM は、次のアプリケーション プロトコルを使用して、異常を監視、デコード、検出します。
•
ファイル転送: FTP、HTTP、SSL (設定および証明書のみ)
•
電子メール: SMTP、POP3、NNTP、MAPI
•
チャット: MSN、AIM/Oscar、Yahoo、Jabber、IRC
•
Web メール: Hotmail、Hotmail DeltaSync、Yahoo メール、AOL メール、Gmail
•
P2P: Gnutella、bitTorrent
•
シェル: SSH (検出のみ) Telnet
ADM はルール式を受け入れ、監視対象のトラフィックに対してテストし、トリガーされた各ルールについて、デー
タベースのイベント テーブルにレコードを挿入します。 ルールをトリガーしたパケットが、イベント テーブルのパ
ケット フィールドに格納されます。さらに、トリガーされたすべてのルールについて、dbsession とデータベース
のクエリー テーブルにアプリケーション レベルのメタデータが追加されます。プロトコル スタックのテキストが、
クエリー テーブルのパケット フィールドに格納されます。
ADM では、次のタイプのイベントを生成できます。
•
メタデータ - ADM は、ネットワーク イベントごとに 1 つのメタデータを生成します。このイベントには、ア
ドレス、プロトコル、ファイル タイプ、ファイル名などの詳細が含まれています。 このアプリケーションは、メ
タデータ イベントをクエリー テーブルに記録し、セッション テーブルでイベントをグループ化します。 たとえ
ば、1 つの FTP セッションで 3 つのファイルが転送された場合、これらのイベントが 1 つにまとめられます。
•
プロトコル アノマリ - プロトコル アノマリはプロトコル モジュールにハードコードされます。これには、
Transmission Control Protocol (TCP) パケットが短いために有効なヘッダーが含まれないイベントや、Simple
Mail Transfer Protocol (SMTP) サーバーが無効な応答コードを返すなどのイベントが含まれます。 プロトコ
ル アノマリ イベントは稀に発生し、イベント テーブルに配置されます。
•
ルール トリガー - ルール トリガー イベントは、Internet Communications Engine (ICE) エンジンによって
生成されたメタデータ内の異常を検出するルール式によって生成されます。 このイベントには、営業時間外に使
用されたプロトコルや、SMTP サーバーと FTP との予期しない通信などの異常が含まれる可能性があります。
ルール トリガー イベントは稀に発生し、イベント テーブルに配置されます。
イベント テーブルには、検出されたプロトコル異常またはルール トリガー イベントについて、それぞれ 1 つのレコ
ードが記録されます。イベント レコードは、sessionid を通じてセッションとクエリー テーブルにリンクされ、イ
ベントをトリガーしたネットワーク転送 (メタデータ イベント) に関する詳細が得られます。 各イベントはパケッ
ト テーブルにもリンクされ、イベントをトリガーしたパケットの RAW パケット データが得られます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
133
3
ESM の設定
デバイスの設定
セッション テーブルには、関連するネットワーク転送のグループ (同じセッションの FTP ファイル転送のグループ
など) について、それぞれ 1 つのレコードが含まれています。 セッション レコードは、sessionid を通じてクエリ
ーテーブルにリンクされ、個々のネットワーク転送(メタデータ イベント)に関する詳細が得られます。さらに、セ
ッション内の転送によってプロトコル異常が発生するか、ルールがトリガーされた場合は、イベント テーブルにリン
クされます。
クエリー テーブルには、メタデータ イベント (ネットワーク上のコンテンツ転送) についてそれぞれ 1 つのレコー
ドが含まれています。クエリー レコードは、sessionid によってセッション テーブルにリンクされます。レコード
によるネットワーク転送によってプロトコル異常またはルールがトリガーされた場合は、イベント テーブルにリンク
されます。またテキスト フィールドを使用してパケット テーブルにリンクすると、完全なプロトコルまたはコンテ
ンツ スタックを表すテキストが得られます。
ADM タイム ゾーンを設定
ADM デバイスは GMT に設定されていますが、ADM コードではデバイスが特定のタイム ゾーンに設定されること
を想定しています。そのため、ルールでは GMT としてタイム トリガーが設定され、想定されていない時間にトリガ
ーされます。
ADM は、任意のタイム ゾーンに設定できます。これは、ルールを評価する場合に考慮されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [ADM のプロパティ] を選択し、[ADM の設定] をクリックします。
2
[タイム ゾーン] をクリックし、タイム ゾーンを選択します。
3
[OK] をクリックします。
セッション ビューアー でパスワードを表示する
[セッション ビューアー] では、セッション内の 25,000 の最新 ADM クエリーについて、詳細を表示できます。 一
部のイベントのルールはパスワード関連である場合があります。パスワードを [セッションビューアー] に表示する
かどうかを選択できます。 デフォルトではパスワードは表示されません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ADM のプロパティ] を選択し、[ADM の設定] をクリックします。
[パスワード] オプションでは、ロギングが [オフ] になることが示されます。
2
[パスワード] をクリックし、[パスワード ロギングを有効化] を選択して、[OK] をクリックします。
コマンドが実行され、完了すると通知されます。
[パスワード] オプションでは、ロギングが [オン] になることが示されます。
Application Data Monitor (ADM) ディクショナリ
ADM ルールを作成するときに、ネットワークから取得したキーを変換するディクショナリを使用します。 あるいは、
デフォルトでブールの true になる値がないキーをリストすることもできます。
ADM ディクショナリを使用すると、単語ごとに個別のルールを作成する必要がないため、ファイルのキーを簡単に
指定できます。 たとえば、特定の単語を含む電子メールを選択するルールを設定する場合、不適切な単語を含むディ
クショナリを編集してインポートします。 次のように、ディクショナリ内の語句が含まれたコンテンツの有無につい
て、電子メールを確認するルールを作成できます。
protocol == email && naughtyWords[objcontent]
134
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
ADM ルール ディターでルールを作成すると、ルールが参照するディクショナリを選択できます。
ディクショナリでは何百万ものエントリを作成できます。
ルールにディクショナリを追加するには、次の手順に従います。
1
キーと必要に応じて値をリストするディクショナリを設定して保存します。
2
ESM でディクショナリを管理します。
3
ルールにディクショナリを割り当てます。
ADM ディクショナリを設定する
ディクショナリは、1 行あたり 1 エントリで構成されたプレーン テキスト ファイルです。 ディクショナリには、1
列と 2 列のものがあります。2 列のディクショナリには、キーと値が含まれています。
キーは、IPv4、MAC、数字、正規表現、または文字列の場合があります。値のタイプには、ブール、IPv4、IPv6、
MAC、数字、文字列があります。値はオプションで、値がない場合はデフォルトでブールの true になります。
1 列または 2 列のディクショナリの値は、サポートされているいずれかの ADM タイプ (文字列、正規表現、数字、
IPv4、IPv6、または MAC) である必要があります。 ADM ディクショナリは、以下のフォーマット ガイドラインに
従う必要があります。
タイプ 構文ルール
例
一致するコンテンツ
文字列 • 文字列は二重引用符で囲む必要がありま
す。
“Bad Content”
Bad Content
“He said, \”Bad Content\””
He said, “Bad
Content”
/[Aa]pple/
Apple or apple
/apple/i
Apple or apple
• 文字列内の二重引用符は、それぞれの引用
符の前でバックスラッシュ文字でエスケ
ープする必要があります。
正規表 • 正規表現は、一重のスラッシュで囲みま
現
す。
• 正規表現では、スラッシュと予約された正 / [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\. IP アドレス:
規表現文字をバックスラッシュ文字でエ [0-9]/
1.1.1.1
スケープする必要があります。
/1\/2 of all/
127.0.0.1
1/2 of all
数字
• 10 進値 (0 ~ 9)
10 進値
123
• 16 進値 (0x0-9a-f)
16 進値
0x12ab
• 8 進値 (0 ~ 7)
8 進値
0127
ブール リテラル
true
ブール • true または false
false
• すべて小文字
IPv4
• 標準のドット区切り表記での記述が可能
192.168.1.1
192.168.1.1
• CIDR 表記での記述が可能
192.168.1.0/24
• フルマスクの長い形式での記述が可能
192.168.1.0/255.255.255.0
192.168.1.[0 –
255]
McAfee Enterprise Security Manager 9.5.1
192.168.1.[0 –
255]
製品ガイド
135
3
ESM の設定
デバイスの設定
ディクショナリについては次の原則があります。
•
リスト (複数の値を角かっこで囲んだカンマで区切る) はディクショナリでは使用できません。
•
列では、サポートされている 1 つの ADM タイプのみ使用できます。つまり、1 つの ADM ディクショナリ ファ
イル内で、異なるタイプ (文字列、正規表現、IPv4) を混在させ、照合することはできません。
•
コメントを含めることができます。シャープ記号 (#) が先頭に付いた行は、ADM ディクショナリ内ですべてコ
メントとして認識されます。
•
名前では英数字とアンダースコアのみ使用し、長さは 20 文字以下にする必要があります。
•
リストはサポートされていません。
•
ADM 8.5.0 より前のバージョンでは、ESM の外部で任意のテキスト エディターを使用して編集または作成する
必要があります。これらを ESM からインポートするかエクスポートして、新しい ADM ディクショナリの変更ま
たは作成を簡単に行えます。
ADM ディクショナリの例
ADM エンジンは、オブジェクトのコンテンツまたはその他のメトリックスあるいはプロパティと、単一列のディク
ショナリを照合して、true または false(ディクショナリに存在するかしないか)を判定できます。
表 3-25 単一列ディクショナリの例
ディクショナリのタイプ
例
一般的なスパム語句が含まれた文字列
ディクショナリ
“Cialis”
“cialis”
“Viagra”
“viagra”
“adult web”
“Adult web”
“act now! don’t hesitate!”
認証キーワードの正規表現ディクショ
ナリ
/(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
user)/i
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]
{1,3}number/i
/fund[^a-z0-9]{1,3}transaction/i
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i
136
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
表 3-25 単一列ディクショナリの例 (続き)
ディクショナリのタイプ
例
既知の不正な実行ファイルのハッシュ
値が含まれた文字列ディクショナリ
"fec72ceae15b6f60cbf269f99b9888e9"
"fed472c13c1db095c4cb0fc54ed28485"
"feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
重要な資産の IP アドレス
192.168.1.12
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240
表 3-26 2 列ディクショナリの例
ディクショナリのタイプ
例
一般的なスパム語句とカテゴリが含ま “Cialis” “pharmaceutical”
れた文字列ディクショナリ
“cialis” “pharmaceutical”
“Viagra” “pharmaceutical”
“viagra” “pharmaceutical”
“adult web” “adult”
“Adult web” “adult”
“act now! don’t hesitate!” “scam”
認証キーワードとカテゴリの正規表現 /(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
ディクショナリ
user)/i “credentials”
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]
{1,3}number/i “pii”
/fund[^a-z0-9]{1,3}transaction/i “sox”
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i “sox”
McAfee Enterprise Security Manager 9.5.1
製品ガイド
137
3
ESM の設定
デバイスの設定
表 3-26 2 列ディクショナリの例 (続き)
ディクショナリのタイプ
例
既知の不正な実行ファイルのハッシュ "fec72ceae15b6f60cbf269f99b9888e9" “Trojan”
値とカテゴリが含まれた文字列ディク
"fed472c13c1db095c4cb0fc54ed28485" “Malware”
ショナリ
"feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “Trojan”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
重要な資産とグループの IP アドレス
192.168.1.12 “Critical Assets”
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Critical Assets”
ADM ディクショナリを管理
新しいディクショナリを設定して保存したら、ESM にインポートする必要があります。ディクショナリは、エクス
ポート、編集、削除することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で [ツール] をクリックし、[ADM ディクショナリ マネージャー] を選択します。
[ADM ディクショナリを管理] 画面に、4 つのデフォルトのディクショナリ(botnet、foullanguage、
icd9_desc、spamlist)と、システムにインポートされたディクショナリがリストされます。
2
使用できるいずれかの操作を実行し、[閉じる] をクリックします。
ADM ディクショナリを参照
ESM にディクショナリをインポートすると、ルールを書くときに参照することができます。
開始する前に
ESM にディクショナリをインポート
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[新規] 、 [ADM ルール]をクリックします。
2
必要な情報を追加し、論理要素を [式のロジック] 領域にドラッグ アンド ドロップします。
3
[式のコンポーネント] アイコン
138
を論理要素にドラッグ アンド ドロップします。
4
[式のコンポーネント] ページの [ディクショナリ] フィールドで、ディクショナリを選択します。
5
その他のフィールドに入力し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
ADM ルールに関する参考資料
この付録には、ADM ルールを [ポリシーエディター] に追加する場合に役立つ資料が含まれています。
ADM ルール構文
ADM ルールは C 言語の式に非常に似ています。
主な違いは、使用できるリテラルのセットがより広範になることです(数字、文字列、正規表現、IP アドレス、MAC
アドレス、ブール)。文字列項は、文字列リテラルと正規表現リテラルと比較することでコンテンツをテストできます
が、数字と比較することで長さをテストすることもできます。数字、IP アドレス、および MAC アドレス項は、同じ
タイプのリテラル値とのみ比較できます。唯一の例外は、どの項もブールとして扱うことで存在をテストできること
です。一部の項は複数の値を持つことができます。たとえば、.zip ファイル内の PDF ファイルについては次のルー
ルがトリガーされます: type = = application/zip && type = = application/pdf
表 3-27 演算子
演算子
説明
例
&&
論理 AND
protocol = = http && type = = image/gif
||
論理 OR
time.hour < 8 || time.hour > 18
^^
論理 XOR
email.from = = "[email protected]" ^^email.to = = "[email protected]"
!
単項 NOT
! (protocol = = http | | protocol = = ftp)
==
等しい
type = = application/pdf
!=
等しくない
srcip ! = 192.168.0.0/16
>
より大きい
objectsize > 100M
>=
以上
time.weekday > = 1
<
より少ない
objectsize < 10K
<=
以下
time.hour < = 6
表 3-28 リテラル
リテラル
例
数字
1234、0x1234、0777、16K、10M、2G
文字列
"a string"
正規表現
/[A-Z] [a-z]+/
IPv4
1.2.3.4、192.168.0.0/16、192.168.1.0/255.255.255.0
MAC
aa:bb:cc:dd:ee:ff
ブール
true、false
表 3-29 タイプ演算子の互換性
タイプ 演算子
数字
メモ
= =、! =、>、> =、<、< =
文字列 = =、! =
文字列のコンテンツを String/Regex と比較
文字列 >、> =、<、<=
文字列の長さを比較
IPv4
= =、! =
McAfee Enterprise Security Manager 9.5.1
製品ガイド
139
3
ESM の設定
デバイスの設定
表 3-29 タイプ演算子の互換性 (続き)
タイプ 演算子
MAC
メモ
= =、! =
ブール = =、! =
true/false に対して比較でき、true との暗黙の比較もできます。たとえ
ば次のように、email.bcc 項が発生するかどうかをテストします:
email.bcc
表 3-30 ADM 正規表現文法
基本演算子
|
交代(または)
*
0 以上
+
1 つ以上
?
0 または 1
()
グループ分け(a | b)
{}
繰り返し範囲 {x} または {,x} または {x,} または {x,y}
[]
範囲 [0-9a-z] [abc]
[^ ]
除外範囲 [^abc] [^0-9]
.
任意の文字
\
エスケープ文字
エスケープ
140
\d
数字 [0-9]
\D
非数字 [^0-9]
\e
エスケープ(0x1B)
\f
フォーム フィード(0x0C)
\n
ライン フィード(0x0A)
\r
キャリッジ リターン(0x0D)
\s
空白
\S
非空白
\t
タブ(0x09)
\v
垂直タブ(0x0B)
\w
語句 [A-Za-z0-9_]
\W
非語句
\x00
16 進表現
\0000
8 進表現
^
行頭
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
エスケープ
S
行末
行頭および行末アンカー(^ および $)は objcontent に対しては無効です。
POSIX 文字クラス
[:alunum:]
数字および文字
[:alpha:]
すべての文字
[:ascii:]
ASCII 文字
[:blank:]
空白およびタブ
[:cntrl:]
制御文字
[:digit:]
数字
[:graph:]
表示文字
[:lower:]
小文字
[:print:]
表示文字および空白
[:punct:]
句読点または記号
[:space:]
すべての空白文字
[:upper:]
大文字
[:word:]
単語文字
[:xdigit:]
16 進値
ADM ルールの項タイプ
ADM ルール内の項にはすべて特定のタイプがあります。
それぞれの項は、IP アドレス、MAC アドレス、数字、文字列、ブールのいずれかになります。さらに、正規表現と
リストという 2 つのリテラル タイプがあります。特定のタイプの項は、一般的に同じタイプのリテラルまたは同じ
タイプのリテラルのリスト (あるいはリストのリスト) とのみ比較されます。 このルールには 3 つの例外がありま
す。
1
文字列項は、数字リテラルと比較して長さをテストすることができます。パスワードの長さが 8 文字未満である
場合は、次のルールがトリガーされます (password は文字列項)。 password < 8
2
文字列項は正規表現と比較することができます。パスワードが小文字だけで構成されている場合は、次のルール
がトリガーされます: password == /^[a-z]+$/
3
すべての項はブール リテラルに対してテストすることで、それらが発生するかどうかをテストできます。電子メ
ールに CC アドレスが含まれている場合は、次のルールがトリガーされます (email.cc は文字列項)。email.cc
== true
McAfee Enterprise Security Manager 9.5.1
製品ガイド
141
3
ESM の設定
デバイスの設定
タイプ
形式の説明
IP アド • IP アドレス リテラルは、標準のドット区切り表記で記述し、引用符では囲みません: 192.168.1.1
レス
• IP アドレスには、標準の CIDR 表記で記述したマスクを指定できます。アドレスとマスクの間に空白
を入れてはなりません: 192.168.1.0/24
• IP アドレスでは、長い形式でマスクを記述することもできます: 192.168.1.0/255.255.255.0
MAC ア • MAC アドレス リテラルは標準の表記を使用して記述します。IP アドレスと同様に、引用符では囲みま
ドレス
せん: aa:bb:cc:dd:ee:ff
数字
• ADM ルールの数字はすべて 32 ビットの整数です。10 進数で記述できます: 1234
• 16 進数で記述できます: 0xabcd
• 8 進数で記述できます: 0777
• 乗数を付加することで、1024 (K)、1048576 (M)、または 1073741824 (G) で乗算できます: 10M
文字列
• 文字列は二重引用符で囲みます: "this is a string"
• 文字列では標準の C エスケープ シーケンスを使用できます: "\tThis is a \"string\" containing
\x20escape sequences\n"
• 項と文字列を比較する場合は、項全体が文字列に一致する必要があります。電子メール メッセージに送
信元アドレス [email protected] がある場合、次のルールはトリガーされません:
email.from == “@somewhere.com”
• 項の一部だけを照合する場合は、正規表現リテラルを使用する必要があります。可能な場合は、より効
率的な文字列リテラルを使用します。
すべての電子メール アドレスと URL 項は一致の前に正規化されるため、電子メール アドレス内のコメント
などについて考慮する必要はありません。
ブール
142
• ブール リテラルは true および false です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タイプ
形式の説明
正規表
現
• 正規表現リテラルでは、Javascript や Perl などの言語と同じ表記を使用して、正規表現をスラッシュ
で囲みます: /[a-z]+/
• 正規表現には標準の修飾子フラグを付加することができますが、現在認識されるのは「i」のみです (大
文字と小文字の区別なし)。/[a-z]+/i
• 正規表現リテラルでは、POSIX 拡張構文を使用する必要があります。Perl 拡張子は、現時点ではコン
テンツ項を除くすべての項に対して機能しますが、これは将来のバージョンでは変更される可能性があ
ります。
• 項と正規表現を比較する場合は、正規表現内でアンカー演算子が適用されない限り、正規表現は項内の
サブ文字列と照合されます。アドレスが「[email protected]」の電子メールが検出された
場合には、次のルールがトリガーされます。email.from == /@somewhere.com/
リスト
• リスト リテラルは、角かっこで囲まれてカンマで区切られた 1 つ以上のリテラルで構成されます: [1,
2, 3, 4, 5]
• リストには、他のリストを含め、あらゆる種類のリテラルが含まれる可能性があります: [192.168.1.1,
[10.0.0.0/8, 172.16.128.0/24]]
• リストに含めることができるのは 1 種類のリテラルだけであり、文字列と数字、数字と正規表現、IP
アドレスと MAC アドレスなどを混在させることはできません。
• リストで not-equal (!=) 以外の関係演算子を使用した場合は、項がリスト内のいずれかのリテラルに
一致した場合に、式が true になります。ソース IP アドレスがリスト内のいずれかの IP アドレスに一
致した場合には、次のルールがトリガーされます: srcip == [192.168.1.1, 192.168.1.2,
192.168.1.3]
• これは次のルールと同等です: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• not-equal (!=) 演算子を使用した場合は、リスト内のすべてのリテラルに項が一致しない場合に、式
が true になります。ソース IP アドレスが 192.168.1.1 または 192.168.1.2 でない場合には、次の
ルールがトリガーされます: srcip != [192.168.1.1, 192.168.1.2]
• これは次のルールと同等です: srcip != 192.168.1.1 && srcip != 192.168.1.2
• リストは他の関係演算子と合わせて使用することもできますが、あまり有効な方法ではありません。オ
ブジェクトのサイズが 100 より大きい場合、またはオブジェクトのサイズが 200 より大きい場合に
は、次のルールがトリガーされます: objectsize > [100, 200]
• これは次のルールと同等です: objectsize > 100 || objectsize > 200
ADM ルール メトリックス参照
ADM ルールを追加したときに [式のコンポーネント] ページで使用できる、ADM ルール式に対するメトリックス参
照のリストを示します。
Common Properties と Common Anomalies では、それぞれについて入力できるパラメーター タイプの値が、メ
トリックス参照の後のかっこ内に示されます。
共通のプロパティ
プロパティまたは用語
説明
プロトコル (数字)
アプリケーション プロトコル (HTTP、FTP、SMTP)
オブジェクト コンテンツ (文字 オブジェクトのコンテンツ (ドキュメント、電子メール メッセージ、チャット メ
列)
ッセージ内のテキスト)。コンテンツ一致はバイナリ データでは使用できません。
ただしバイナリ オブジェクトは、オブジェクト タイプ (objtype) を使用して検
出できます。
オブジェクト タイプ (数字)
McAfee Enterprise Security Manager 9.5.1
ADM によって決定されるコンテンツのタイプを指定します (Office ドキュメン
ト、メッセージ、ビデオ、音声、画像、アーカイブ、実行ファイル)。
製品ガイド
143
3
ESM の設定
デバイスの設定
プロパティまたは用語
説明
オブジェクト サイズ (数字)
オブジェクトのサイズ。数字の後に乗数 K、M、G を追加できます (10K、10M、
10G)。
オブジェクト ハッシュ (文字
列)
コンテンツのハッシュ (現在は MD5)
オブジェクト ソース IP アドレ コンテンツのソース IP アドレス。IP アドレスは、192.168.1.1、
ス (数字)
192.168.1.0/24、192.168.1.0/255.255.255.0 と指定できます。
オブジェクト宛先 IP アドレス
(数字)
コンテンツの宛先 IP アドレス。IP アドレスは、192.168.1.1、
192.168.1.0/24、192.168.1.0/255.255.255.0 と指定できます。
オブジェクト ソース ポート
(数字)
コンテンツのソース TCP/UDP ポート
オブジェクト宛先ポート (数字) コンテンツの宛先 TCP/UDP ポート
オブジェクト ソース IP v6 ア
ドレス (数字)
コンテンツのソース IPv6 アドレス
オブジェクト宛先 IPv6 アドレ
ス (数字)
コンテンツの宛先 IPv6 アドレス
オブジェクト ソース MAC アド コンテンツのソース MAC アドレス (aa:bb:cc:dd:ee:ff)
レス (MAC 名)
オブジェクト宛先 MAC アドレ
ス (MAC 名)
コンテンツの宛先 MAC アドレス (aa:bb:cc:dd:ee:ff)
フロー ソース IP アドレス
(IPv4)
フローのソース IP アドレス IP アドレスは、192.168.1.1、192.168.1.0/24、
192.168.1.0/255.255.255.0 と指定できます。
フロー宛先 IP アドレス (IPv4) フローの宛先 IP アドレス。IP アドレスは、192.168.1.1、192.168.1.0/24、
192.168.1.0/255.255.255.0 と指定できます。
144
フロー ソース ポート (数字)
フローのソース TCP/UDP ポート
フロー宛先ポート (数字)
フローの宛先 TCP/UDP ポート
フロー ソース IPv6 アドレス
(数字)
フローのソース IPv6 アドレス
フロー宛先 IPv6 アドレス (数
字)
フローの宛先 IPv6 アドレス
フロー ソース MAC アドレス
(MAC 名)
フローのソース MAC アドレス
フロー宛先 MAC アドレス
(MAC 名)
フローの宛先 MAC アドレス
VLAN (数字)
仮想 LAN ID
曜日 (数字)
曜日。有効な値は 1 から 7 です。1 は月曜です。
時間 (数字)
GMT に設定された時間。有効な値は 0 から 23 です
宣言されたコンテンツ タイプ
(文字列)
サーバーによって指定されたコンテンツのタイプ。理論上はオブジェクト タイ
プ (objtype) は常に実際のタイプであり、宣言されたコンテンツ タイプ
(content-type) は、サーバーまたはアプリケーションによるスプーフィングの可
能性があるため信頼されません。
パスワード (文字列)
アプリケーションによって認証用に使用されるパスワード。
URL (文字列)
Web サイトの URL。HTTP プロトコルだけに適用されます。
ファイル名 (文字列)
転送されるファイル名。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
プロパティまたは用語
3
説明
表示名 (文字列)
ホスト名 (文字列)
DNS 参照で指定されたホスト名。
Common Anomalies
•
ユーザーのログオフ (ブール)
•
認証エラー (ブール)
•
認証が成功 (ブール)
•
認証が失敗 (ブール)
プロトコル固有のプロパティ
ほとんどのプロトコルで共通するプロパティを提供するのに加え、ADM は ADM ルールとともに使用できるプロト
コル固有のプロパティも提供します。すべてのプロトコル固有のプロパティは、ADM ルールの追加時に [式のコンポ
ーネント] ページでも使用できます。
プロトコル固有のプロパティの例
これらのプロパティは、次のテーブルに適用されます。
* 検出のみ
** 復号なし、X.509 証明書と暗号データをキャプチャ
*** RFC822 モジュール経由
表 3-31 ファイル転送プロトコル モジュール
FTP
HTTP
SMB*
SSL**
表示名
表示名
表示名
表示名
ファイル名
ファイル名
ファイル名
ファイル名
ホスト名
ホスト名
ホスト名
ホスト名
URL
リファラー
URL
すべての HTTP ヘッダー
表 3-32 電子メール プロトコル モジュール
DeltaSync
MAPI
NNTP
POP3
SMTP
Bcc***
Bcc
Bcc***
Bcc***
Bcc***
Cc***
Cc
Cc***
Cc***
Cc***
表示名
表示名
表示名
表示名
表示名
差出人***
差出人
差出人***
差出人***
差出人***
ホスト名
ホスト名
ホスト名
ホスト名
ホスト名
件名***
件名
件名***
件名***
宛先***
宛先***
宛先
宛先***
宛先***
件名***
ユーザー名
McAfee Enterprise Security Manager 9.5.1
ユーザー名
製品ガイド
145
3
ESM の設定
デバイスの設定
表 3-33 Web メール プロトコル モジュール
AOL
Gmail
Hotmail
Yahoo
添付ファイル名
添付ファイル名
添付ファイル名
添付ファイル名
Bcc***
Bcc***
Bcc***
Bcc***
Cc***
Cc***
Cc***
Cc***
表示名
表示名
表示名
表示名
ファイル名
ファイル名
ファイル名
ファイル名
ホスト名
ホスト名
ホスト名
ホスト名
差出人***
差出人***
差出人***
差出人***
件名***
件名***
件名***
件名***
宛先***
宛先***
宛先***
宛先***
プロトコル異常
共通プロパティとプロトコル固有プロパティのほか、ADM は低レベル、転送、およびアプリケーションの各プロト
コルで数百の異常を検出します。すべてのプロトコル異常プロパティはブール型であり、ADM ルールを追加すると
きの [式のコンポーネント] ページに表示されます。
表 3-34 IP
用語
説明
ip.too-small
IP パケットは、有効なヘッダーを含めるには小さすぎます。
ip.bad-offset
IP データ オフセットがパケットの終端を過ぎています。
ip.fragmented
IP パケットがフラグメント化しています。
ip.bad-checksum
IP パケット チェックサムがデータに一致しません。
ip.bad-length
IP パケット totlen フィールドがパケットの終端を過ぎています。
表 3-35 TCP
用語
説明
tcp.too-small
TCP パケットは、有効なヘッダーを含めるには小さすぎます。
tcp.bad-offset
TCP パケットのデータ オフセットがパケットの終端を過ぎています。
tcp.unexpected-fin
TCP FIN フラグが未確立の状態で設定されています。
tcp.unexpected-syn
TCP SYN フラグが未確立の状態で設定されています。
tcp.duplicate-ack
TCP パケットが ACK 済みのデータを ACK しています。
tcp.segment-outsidewindow
TCP パケットがウィンドウ外部にあります(TCP モジュールの小さな
ウィンドウであり、実際のウィンドウでありません)。
tcp.urgent-nonzero-withouturg- フラグ TCP 緊急フィールドは非ゼロですが、URG フラグが設定されていま
せん。
146
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
表 3-36 DNS
用語
説明
dns.too-small
DNS パケットは、有効なヘッダーを含めるには小さすぎます。
dns.question-name-past-end
DNS 質問名がパケットの終端を過ぎています。
dns.answer-name-past-end
DNS 回答名がパケットの終端を過ぎています。
dns.ipv4-address-length-wrong
DNS 応答の IPv4 アドレスは 4 バイト長ではありません。
dns.answer-circular-reference
DNS 回答に循環参照があります。
Database Event Monitor (DEM) の設定
McAfee Database Event Monitor (DEM) は、データベース アクティビティを中央の監査リポジトリに統合し、ア
クティビティの正規化、相関分析、レポート作成を実行します。 ネットワークまたはデータベース サーバーのアク
ティビティが悪意のあるデータ アクセスを示す既知のパターンに一致すると、アラートが生成されます。 さらに、
コンプライアンスのために使用できるように、すべてのトランザクションが記録されます。
DEM では、分析やレポートと同じインターフェースで、データベース モニタリング ルールを管理、編集、調整する
ことができます。 特定のデータベース モニタリング プロファイル (ルールの施行対象、記録するトランザクション
など) を簡単に調整できるので、誤検知を減らし、全体のセキュリティを向上させることができます。
DEM は、侵入検知システムに類似するネットワーク パケットを監視することで、ユーザーとアプリケーションによ
るデータベースとのインタラクションを非侵入的に監査できるように設計されています。 ネットワーク全体のデー
タベース サーバー アクティビティをすべてモニタリングするには、ネットワーク、セキュリティ、コンプライアン
ス、データベースの担当チームと調整して最初の DEM を配備してください。
ネットワーク チームは、スイッチ、ネットワーク TAP、またはハブで SPAN ポートを使用して、データベース トラ
フィックを複製します。 それによって、データベース サーバーのトラフィックを待機または監視し、監査ログを作
成することができます。
対応のデータベース サーバー プラットフォームとバージョンについては、McAfee Web サイトを参照してくださ
い。
オペレーティング システム
データベース
DEM アプライアンス
Windows (すべてのバージョン)
Microsoft SQL Server¹
MSSQL 7、2000、2005、2008、
2012
Windows、UNIX/Linux (すべてのバージョ
ン)
Oracle²
Oracle 8.x、9.x、10g、11g
(c)、11 g R2³
Sybase
11.x、12.x、15.x
DB2
8.x、9.x、10.x
Informix (8.4.0 以降で使用可
能)
11.5
MySQL
はい、4.x、5.x、6.x
PostgreSQL
7.4.x、8.4.x、9.0.x、9.1.x
Teradata
12.x、13.x、14.x
InterSystems Cache
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
DB2/zOS
すべてのバージョン
Windows、UNIX/Linux (すべてのバージョ
ン)
UNIX/Linux (すべてのバージョン)
メインフレーム
McAfee Enterprise Security Manager 9.5.1
製品ガイド
147
3
ESM の設定
デバイスの設定
オペレーティング システム
データベース
DEM アプライアンス
AS400
DB2
すべてのバージョン
1 Microsoft SQL Server のパケットの復号化機能は、バージョン 8.3.0 以降で使用できます。
2 Oracle のパケットの復号化機能は、バージョン 8.4.0 以降で使用できます。
3 Oracle 11 g は、バージョン 8.3.0 以降で使用できます。
これらのサーバーとバージョンには、次のことが該当します。
•
オペレーティング システムとデータベース プラットフォームについては、32 ビットと 64 ビットの両方のバー
ジョンがサポートされています。
•
MySQL は、Windows 32 ビット プラットフォームでのみサポートされています。
•
パケットの復号化は MSSQL および Oracle 用にサポートされています。
DEM ライセンスを更新
DEM にはデフォルトのライセンスが付属しています。DEM の機能を変更すると、McAfee から電子メール メッセー
ジで新しいライセンスが送信されるので、更新を行う必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
次に[ライセンス] 、 [ライセンスを更新]をクリックし、McAfee から送信された情報をフィールドに貼り付けま
す。
3
[OK] をクリックします。
ライセンスが更新され、完了すると通知されます。
4
ポリシーを DEM にロールアウトします。
DEM 設定ファイルを同期
DEM 設定ファイルと DEM デバイスが同期されていない場合は、設定ファイルを DEM に書き込む必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[ファイルを同期] をクリックします。
同期のステータスを示すメッセージが表示されます。
DEM の詳細設定を構成
これらの詳細設定により、DEM のパフォーマンスが変化または向上します。
148
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[詳細] をクリックして、設定を定義するか、DEM で負荷が過大になり始めた場合にはオプションの選択を解除し
ます。
3
[OK] をクリックします。
DEM の構成設定を適用
DEM の構成設定に対する変更は、DEM に適用する必要があります。設定変更が適用されないままになっている場合
は、[DEM の設定] の [適用] オプションによって、すべての DEM 構成設定に対して変更を適用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[DEM の設定] をクリックします。
2
[適用] をクリックします。
構成設定が DEM に書き込まれると、メッセージによって通知されます。
DEM イベントのアクションを定義
DEM の [アクション管理] 設定では、DEM のフィルター ルールとデータ アクセス ポリシーで使用する、イベント
のアクションと操作を定義します。カスタム アクションを追加し、デフォルト アクションとカスタム アクションの
[操作] を設定できます。
DEM にはデフォルトのアクションが設定されており、[アクション管理] ページで [グローバルを編集] をクリックす
ると表示できます。次のデフォルト操作があります。
•
[なし]
•
[スクリプト]
•
[無視]
•
[リセット]
•
[破棄]
操作として [スクリプト] 選択すると、別名(SCRIPT ALIAS)が要求され、重要度イベントが発生した場合に実行
する必要がある実際のスクリプト(SCRIPT NAME)がポイントされます。このスクリプトには、2 つの環境変数
ALERT_EVENT と ALERT_REASON が渡されます。ALERT_EVENT には、コロンで区切られたメトリックスのリ
ストが含まれています。DEM には、重要度アクションがスクリプトでどのようにキャプチャされるかを示す、バッ
シュ スクリプトのサンプル /home/auditprobe/conf/sample/process_alerts.bash が用意されています。
アクションと操作については、次のことに注意してください。
•
アクションは優先順位に従ってリストされます。
•
アラート アクションとして指定しない限り、イベントでは SNMP トラップまたはページの送信などのアクショ
ンを実行しません。
•
ルールが複数のアラート レベルに該当する場合は、最高のアラート レベルだけが実行可能になります。
•
イベントは、どのようなアクションであってもイベント ファイルに書き込まれます。唯一の例外が [破棄] 操作
です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
149
3
ESM の設定
デバイスの設定
DEM アクションの追加
DEM アクション管理にアクションを追加すると、[ポリシー エディター] の DEM ルールに使用できるアクションの
リストに表示されます。その後はルールのアクションとして選択できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ポリシー エディター] アイコン
ション マネージャー] の順にクリックします。
をクリックし、[ツール] 、 [DEM アク
[DEM アクション管理] ページには、既存のアクションが優先順で表示されます。
デフォルト アクションの優先順位は変更できません。
2
[追加] をクリックし、このアクションの名前と説明を入力します。
追加したら、カスタム アクションを削除することはできません。
3
[OK] をクリックします。
新しいアクションが [DEM アクション管理] リストに追加されます。
カスタム アクションのデフォルト操作は [なし] です。これを変更するには、「DEM アクションの操作を設定する」
を参照してください。
DEM カスタム アクションを編集
DEM アクション管理リストにアクションを追加したら、必要に応じて名前または優先度を変更します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーで [ポリシー エディター] アイコン
ション マネージャー]をクリックします。
をクリックし、[ツール] 、 [DEM アク
変更するカスタム アクションをクリックし、次のいずれかを実行します。
•
優先順位を変更するには、上向きまたは下向きの矢印をクリックして適切な順位にします。
•
名前または説明を変更するには、[編集] をクリックします。
[OK] をクリックして設定を保存します。
DEM アクションの操作を設定
すべてのルール アクションには、デフォルトの操作があります。カスタム DEM アクションを追加する場合には、デ
フォルトの操作は [なし] です。アクションの操作は、[無視]、[破棄]、[スクリプト]、または [リセット] に変更す
ることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
150
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[アクション管理] をクリックします。
2
編集するアクションを強調表示し、[編集] をクリックします。
3
操作を選択し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
機密データのマスクを使用
機密データのマスクは、機密情報をマスクと呼ばれる汎用的な文字列に置き換えることで、機密データが許可なく表
示されることを防止します。システムに DEM デバイスを追加すると、3 つの標準の機密データ マスクが ESM デー
タベースに追加されますが、新しいデータ マスクを追加して、既存のデータ マスクを編集または削除することもで
きます。
標準のマスクには次のものがあります。
•
機密マスク名: Credit Card Number Mask
式: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
サブ文字列インデックス: \0
マスク パターン: ####-####-####-####
•
機密マスク名: Mask First 5 Chars of SSN
式: (\d\d\d-\d\d)-\d\d\d\d
サブ文字列インデックス: \1
マスク パターン: ###-##
•
機密マスク名: Mask User Password in SQL Stmt
式: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
サブ文字列インデックス: \2
マスク パターン: ********
機密データのマスクを管理
システムに入力された機密情報を保護するために、機密データのマスクを追加して、既存のマスクを編集または削除
できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[機密データのマスク] をクリックします。
2
オプションを選択し、必要な情報を入力します。
3
[OK] をクリックし、[書き込み] をクリックして DEM に設定を追加します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
151
3
ESM の設定
デバイスの設定
ユーザー識別を管理
セキュリティの大部分は、各ユーザーを識別しながら、データベースへのアクセスには多くの場合一般的なユーザー
名を使用するという、簡単な原則に基づいています。識別子管理では、正規表現パターンを使用して、クエリー内に
存在する可能性がある実際のユーザー名をキャプチャできます。
アプリケーションは、このセキュリティ機能を利用できるように簡単に設定できます。システムに DEM デバイスを
追加すると、定義済みの 2 つの識別子ルールが ESM データベースに追加されます。
•
識別子ルール名: Get User Name from SQL Stmt
式: select\s+username=(\w+)
アプリケーション: Oracle
サブ文字列インデックス: \1
•
識別子ルール名: Get User Name from Stored Procedure
式: sessionStart\s+@appname='(\w+)', @username='(\w+)',
アプリケーション: MSSQL
サブ文字列インデックス: \2
DEM、アプリケーション、Web サーバー、システム、そして ESM の ID およびアクセス管理ログを相関させること
で、高度なユーザー相関が可能です。
ユーザー識別子ルールを追加
データベース クエリーと個人を関連付けるには、既存のユーザー識別子ルールを使用するか、新しいルールを追加し
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[識別子管理] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックし、[書き込み] をクリックして DEM に設定を書き込みます。
データベース サーバーについて
データベース サーバーは、データベースのアクティビティを監視します。データベース サーバー上のアクティビテ
ィが、悪意のあるデータ アクセスを示す既知のパターンに一致した場合には、アラートが生成されます。DEM では、
それぞれ最大 255 台のデータベース サーバーを監視できます。
DEM は現在、次のデータベース サーバーとバージョンに対応しています。
OS
データベース
Windows (すべてのバージョン)
Microsoft SQL Server¹ MSSQL 7、2000、2005、2008、2012
Windows、UNIX/Linux (すべてのバージョ Oracle²
ン)
152
McAfee Enterprise Security Manager 9.5.1
DEM アプライアンス
Oracle 8.x、9.x、10g、11g³、11g R2
Sybase
11.x、12.x、15.x
DB2
8.x、9.x、10.x
Informix (注 4)
11.5
製品ガイド
ESM の設定
デバイスの設定
OS
データベース
DEM アプライアンス
MySQL
はい、4.x、5.x、6.x
PostgreSQL
7.4.x、8.4.x、9.0.x、9.1.x
Teradata
12.x、13.x、14.x
InterSystems Cache
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
メインフレーム
DB2/zOS
すべてのバージョン
AS 400
DB2
すべてのバージョン
UNIX/Linux (すべてのバージョン)
3
1 Microsoft SQL Server のパケットの復号化機能は、バージョン 8.3.0 以降で使用できます。
2 Oracle のパケットの復号化機能は、バージョン 8.4.0 以降で使用できます。
3 Oracle 11g は、バージョン 8.3.0 以降で使用できます。
4 Informix のサポートは、バージョン 8.4.0 以降で使用できます。
•
OS とデータベース プラットフォームについては、32 ビットと 64 ビットの両方のバージョンがサポートされて
います。
•
MySQL は、Windows 32 ビット プラットフォームでのみサポートされています。
•
パケットの復号化は MSSQL および Oracle 用にサポートされています。
データベース サーバーを管理する
[データベース サーバー] ページは、DEM デバイスで使用するすべてのデータベース サーバーの設定を管理する開
始点になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [DEM のプロパティ] を選択し、[データベース サーバー] をクリックしま
す。
2
使用可能なオプションの 1 つを選択します。
3
[OK] をクリックします。
データベース検出通知を管理
DEM には、監視されていないデータベース サーバーの例外リストを表示する、データベース検出機能があります。
セキュリティ管理者はこの機能によって、環境に追加された新しいデータベース サーバーと、データベースのデータ
にアクセスできる不正なリスナー ポートを検出できます。これを有効にすると、[イベント分析] ビューにアラート
通知が表示されます。それによって、システムで監視されているサーバーに特定のサーバーを追加するかどうかを選
択できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
153
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DEM のプロパティ] を選択し、[データベース サーバー] 、 [有効]をクリ
ックします。
有効になると通知が表示されます。
2
[OK] をクリックして [DEM のプロパティ] を閉じます。
3
通知を表示するには、システム ナビゲーション ツリーで DEM デバイスをクリックし、[イベント ビュー] 、 [イ
ベント分析]を選択します。
4
システムにサーバーを追加するには、[イベント分析] ビューを選択し、[メニュー] アイコン
て [サーバーを追加] を選択します。
をクリックし
分散型 ESM (DESM) の設定
分散型 ESM (DESM) は、親 ESM が最大 100 のデバイスに接続してデータを収集できる、分散型アーキテクチャ
を実現します。 定義したフィルターに基づいて、親がデバイスからデータをプルします。さらに、デバイス ESM で
生成されて残っているデータにシームレスにドリルダウンすることもできます。
親 ESM がイベントを取得できるように、DESM は親を承認する必要があります。 親は、フィルターの設定、データ
ソースの同期、カスタム タイプのプッシュを実行できます。 承認されるまで、DESM からルールやイベントを取得
できません。
管理者権限で DESM にログインすると、
「この ESM は、別のサーバーの分散 ESM として追加されています。 接続
承認を待機しています。」という通知が表示されます。 [階層 ESM の承認] をクリックすると、親 ESM と DESM の
通信タイプを選択できます。
親 ESM は、デバイス ESM に属するデバイスを管理しません。 親の ESM には、直接接続しているデバイスの ESM
がシステム ツリーに表示されます。 デバイスの子 ESM からイベントをプルしたり、表示することはありません。
ツールバーはすべての子 DESM について無効になります。
親は、デバイス ESM に存在するデータを管理しません。 代わりに、ESM データから取得したデバイスのサブセッ
トが、定義したフィルターに従って親 ESM に転送され、格納されます。
DESM フィルターを追加
デバイス ESM から親 DESM に転送されるデータは、ユーザー定義のフィルターによって決まります。これらのフィ
ルターを保存することは、デバイス ESM にフィルターが適用されることと同等であるため、適切なハッシュまたは
ビットセットが生成されます。DESM 機能は、デバイス ESM から特定のデータ(すべてのデータではない)を収集
することを目的としているため、デバイス ESM から取得するデータに対するフィルターを設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [DESM のプロパティ] を選択し、[フィルター] をクリックします。
2
要求されたデータを入力し、[OK] をクリックします。
ePolicy Orchestrator 設定
ESM に ePolicy Orchestrator デバイスを追加できます。デバイスのアプリケーションは、システム ナビゲーショ
ン ツリーで子要素として表示されます。 認証に成功すると、ESM の機能の一部にアクセスできます。また、ePolicy
154
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Orchestrator タグをソースまたは宛先の IP アドレスに直接割り当てたり、アラームが生成したイベントに割り当て
ることができます。
イベントが ePolicy Orchestrator からではなく Receiver からプルされるため、ePolicy Orchestrator は
Receiver に関連付ける必要があります。
ePolicy Orchestrator を使用するには、マスター データベースと ePolicy Orchestrator データベースに対する読み
取り特権が必要です。
®
McAfee ePO デバイスに McAfee Threat Intelligence Exchange (TIE) サーバーがある場合、McAfee ePO デバ
イスを ESM に追加すると、自動的に追加されます (『Threat Intelligence Exchange の統合』を参照)。
ePolicy Orchestrator を起動
ESM に ePolicy Orchestrator デバイスまたは 1 つ以上のデータ ソースがあり、ローカル ネットワークに ePolicy
Orchestrator の IP アドレスがある場合には、ESM から ePolicy Orchestrator インターフェースを起動できます。
開始する前に
ESM に ePolicy Orchestrator デバイスまたはデータ ソースを追加します。
この機能は、ePolicy Orchestrator 4.6 以降で使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーでビューを選択します。
2
棒、リスト、円、グラフ、またはテーブルのコンポーネントから、ソース IP または宛先 IP データを返す結果を
選択します。
3
コンポーネントのメニュー
で、[アクション] 、 [ePO を起動] の順にクリックします。
•
システムに ePolicy Orchestrator デバイスまたはデータ ソースが 1 つだけ存在し、手順 1 でソース IP ま
たは宛先 IP を選択した場合には、ePolicy Orchestrator が起動します。
•
システム内に複数の ePolicy Orchestrator デバイスまたはデータ ソースがある場合は、アクセスするデバイ
スを選択すると、ePolicy Orchestrator が起動します。
•
手順 1 でテーブル コンポーネントのイベントまたはフローを選択していた場合は、ソース IP または宛先 IP
アドレスにアクセスするかどうかを選択すると、ePolicy Orchestrator が起動します。
McAfee ePO デバイスの認証
McAfee ePO でタグ付けやアクションを実行したり、McAfee Real Time for McAfee ePO を使用する前に、認証
が必要になります。
認証には 2 つの種類があります。
•
単一のグローバル アカウント — McAfee ePO デバイスへのアクセス権限があるグループに属している場合、グ
ローバルの認証情報を入力した後にこれらの機能を使用できます。
•
ユーザーごとに異なるデバイス アカウント - デバイス ツリーでデバイスを表示する権限が必要です。
アクション、タグ付け、または McAfee Real Time for McAfee ePO を使用する際に、選択した認証方法を使用し
ます。認証情報が見つからない、または無効な場合、有効な認証情報を入力するようにプロンプトが表示されるので、
その後のデバイスとの通信のために認証情報を保管しておく必要があります。
McAfee Real Time for McAfee ePO を通じてバックグラウンドでレポート、データ エンリッチメント、動的ウォ
ッチリストを実行する場合、最初に指定した McAfee ePO の認証情報が使用されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
155
3
ESM の設定
デバイスの設定
別のアカウント認証のセットアップ
デフォルトの設定はグローバル アカウント認証です。 個別のアカウント認証を設定する場合は、2 つの操作を実行
する必要があります。
1
McAfee ePO デバイスを ESM に追加するか、接続設定をセットアップするときに (「デバイスを ESM コンソー
ルに追加する」または「ESM との接続を変更する」を参照)、[ユーザー認証が必要] が選択されていることを確
認します。
2
[オプション] ページで認証情報を入力します (「McAfee ePO 認証情報を追加する」を参照)。
McAfee ePO の認証情報を追加する
McAfee ePO でタグ付けやアクションを実行したり、McAfee Real Time for McAfee ePO を使用する前に、ESM
に認証情報を追加する必要があります。
開始する前に
ESM に McAfee ePO デバイスをインストールします (「ESM コンソールにデバイスを追加する」を参
照)。
デバイスのユーザー名やパスワードが分からない場合には、システム管理者に確認してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックし、[ePO 認証情報] をクリック
します。
2
デバイスをクリックして、[編集] をクリックします。
3
ユーザー名とパスワードを入力して、[テスト接続] をクリックします。
4
[OK] をクリックします。
IP アドレスに ePolicy Orchestrator タグを割り当てる
[ePO タグ付け] タブには、使用できるタグがリストされます。 アラームによって生成されたイベントにタグを割り
当て、ePolicy Orchestrator タグが付いたアラームを表示できます。 このページで 1 つ以上のタグを選択し、IP
アドレスに適用することもできます。
タグ付け機能を使用するには、ePolicy Orchestrator で [タグを適用、除外、クリア] 権限と [ウェークアップ エージ
ェント、エージェント アクティビティ ログを表示] 権限が必要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [ePO プロパティ] を選択し、[タグ付け] をクリックします。
2
必要な情報を入力し、[割り当て] をクリックします。
選択したタグが IP アドレスに適用されます。
156
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
デバイスの設定
McAfee Risk Advisor のデータ取得
McAfee Risk Advisor データを取得する、複数の ePolicy Orchestrator サーバーを指定できます。データは、
ePolicy Orchestrator SQL Server データベースからデータベース クエリーによって取得されます。
データベース クエリーによって IP 対照レピュテーション スコア リストが表示され、低レピュテーションおよび高
レピュテーションの一定の値が得られます。すべての ePolicy Orchestrator および McAfee Risk Advisor リスト
が結合され、重複する IP のスコアが最高になります。高い値と低い値が結合されたリストが、SrcIP および DstIP
フィールドのスコアリングに使用される ACE デバイスに送信されます。
ePolicy Orchestrator を追加すると、McAfee Risk Advisor データを設定するかどうかを尋ねられます。[はい] を
クリックすると、データ エンリッチメント ソースと 2 つの ACE スコアリング ルール(該当する場合)が作成さ
れ、ロールアウトされます。それらを表示するには、[データ エンリッチメント] および [リスク相関スコアリング]
ページに移動します。スコアリング ルールを使用する場合は、リスク相関マネージャーを作成する必要があります。
McAfee Risk Advisor のデータ取得を有効化
ePolicy Orchestrator で McAfee Risk Advisor のデータ取得を有効にすると、スコア リストが生成され、SrcIP
および DstIP フィールドのスコアリングに使用される ACE デバイスに送信されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[ePO プロパティ] 、 [デバイス管理]を選択し、[有効] をクリックします。
取得が有効になると通知されます。
2
[OK] をクリックします。
McAfee Real Time for McAfee ePO のアクションを実行する
ビューに IP アドレスが表示されている ESM とコンポーネントのクエリー結果に McAfee Real Time for McAfee
ePO のアクションを実行します。
開始する前に
McAfee Real Time for McAfee ePO クエリーを作成して実行します (「McAfee Real Time for
McAfee ePO ダッシュボードの McAfee ePO クエリ」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、McAfee Real Time for McAfee ePO クエリーの結果を表示しているビュー コンポーネン
トのメニュー アイコン
をクリックします。
2
[アクション] を強調表示して、[Real Time for ePO のアクション] をクリックします。
3
[デバイス] タブで、アクションを実行する McAfee ePO デバイスを選択します。
4
[アクション] タブで、選択したデバイスで使用可能なアクションのリストでアクションをクリックします。
5
[フィルター] タブで、クエリーに適用するフィルター セットを指定し、[完了] をクリックします。
フィルターは McAfee ePO のダッシュボードやコンポーネントからは使用できません。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
157
3
ESM の設定
デバイスの設定
Threat Intelligence Exchange の統合
Threat Intelligence Exchange は、接続しているエンドポイントにある実行ファイルのレピュテーションを確認し
ます。
ESM に McAfee ePO デバイスを追加すると、Threat Intelligence Exchange Server がデバイスに接続している
かどうか確認されます。 接続している場合、ESM は DXL での待機とイベントのロギングを開始します。
Threat Intelligence Exchange Server が検出されると、Threat Intelligence Exchange のウォッチリスト、デ
ータ エンリッチメント、相関ルールが自動的に追加され、Threat Intelligence Exchange アラームが有効になりま
す。 変更が発生すると、変更サマリーのリンクと一緒に視覚的な通知が送信されます。 デバイスを ESM に追加し
た後で Threat Intelligence Exchange Server が McAfee ePO サーバーに追加された場合にも、この通知が発生
します。
Threat Intelligence Exchange で生成されたイベントは実行履歴で確認できます (『View Threat Intelligence
Exchange 実行履歴を表示してアクションを設定する』を参照)。また、不正なデータに対するアクションも選択で
きます。
相関ルール
Threat Intelligence Exchange データ用に 6 個の相関ルールが最適化されています。 これにより、検索とソート
が可能なイベントが生成されます。
•
TIE - 正常から不正に変更された GTI レピュテ
ーション
•
TIE - 単一のホストで見つかった複数の不正な
ファイル
•
TIE - ホスト数の増加で見つかった不正なファ
イル (SHA-1)
•
TIE - 正常から不正に変更された TIE レピュテ
ーション
•
TIE - ホスト数の増加で見つかった不正なファ
イル名
•
TIE - すべてのホストで見つかった不正なファ
イルの増加
アラーム
ESM には 2 つのアラームが用意されています。重要な Threat Intelligence Exchange イベントが検出されると、
トリガーされます。
•
[TIE で不正なファイルのしきい値を超過] が、[TIE - ホスト数の増加で見つかった不正なファイル (SHA-1)]
という相関ルールからトリガーされます。
•
[TIE で不明なファイルの実行] が特定の TIE イベントからトリガーされ、情報を [TIE データソース IP] のウォ
ッチリストに追加されます。
ウォッチリスト
[TIE データソース IP] ウォッチリストに、[TIE で不明なファイルの実行] アラームをトリガーするシステムが記録
されます。 これは統計用のウォッチリストで、有効期限は設定されていません。
Threat Intelligence Exchange 実行履歴
任意の Threat Intelligence Exchange イベントの実行履歴を表示できます (『Threat Intelligence Exchange 実
行履歴を表示してアクションを設定する』を参照)。ファイルの実行を試みた IP アドレスのリストも表示されます。
このページで、項目を選択すると、以下のアクションを実行できます。
158
•
新しいウォッチリストを作成します。
•
ブラックリストに情報を追加します。
•
ウォッチリストに情報を追加します。
•
情報を .csv ファイルにエクスポートします。
•
新しいアラームを作成します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Threat Intelligence Exchange 実行履歴を表示してアクションをセットアップする
Threat Intelligence Exchange の実行履歴ページには、選択したイベントに関連するファイルを実行したシステム
の一覧が表示されます。
開始する前に
ePolicy Orchestrator デバイスが Threat Intelligence Exchange サーバーに接続している必要があ
ります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、ePolicy Orchestrator デバイスをクリックします。
2
ビュー ドロップダウン リストで、 [イベント ビュー] 、 [イベント分析]の順に選択して、イベントをクリック
します。
3
メニュー アイコン
をクリックして、 [アクション] 、 [TIE 実行履歴]の順に選択します。
4
[TIE 実行履歴] ページで、Threat Intelligence Exchange ファイルを実行したシステムを確認します。
5
このデータをワークフローに追加するには、[アクション] ドロップダウン メニューをクリックしてオプションを
選択し、ESM のページを開きます。
6
選択したアクションをセットアップします (詳細については、オンライン ヘルプを参照)。
レポートまたはビューに表示する McAfee ePO デバイスを照会する
McAfee Real Time for McAfee ePO に統合されている場合、レポートやビューに表示する複数の McAfee ePO デ
バイスを照会できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムをクリックし、[プロパティ] アイコン
ト] をクリックします。
をクリックして [レポー
2
[追加] をクリックしてセクション 1 から 4 に必要な情報を入力し、セクション 5 で[追加] をクリックします。
3
[レポート レイアウト] エディターを開き、ドラッグ アンド ドロップ操作で[テーブル]、[棒グラフ] または [円
グラフ] コンポーネントを配置します。
4
[クエリー ウィザード] で、ドロップダウン リストから [Real Time for McAfee EPO] を選択し、クエリーの要
素または質問を選択します。
5
[次へ] をクリックし、[デバイス] をクリックします。クエリーを実行する McAfee ePO デバイスを選択します。
6
(オプション) [フィルター] をクリックしてクエリーのフィルター値を追加し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
159
3
ESM の設定
デバイスの設定
7
ドロップダウン リストで [カスタム ePO 質問] を選択した場合には、[フィールド] をクリックして、問題に追
加する要素を選択し、[OK] をクリックします。
8
[完了] をクリックして、[クエリー ウィザード] を終了します。[プロパティ] ペインでプロパティを定義し、レ
ポートを保存します。
データ エンリッチメントで McAfee ePO デバイスを照会する
McAfee Real Time for McAfee ePO に統合されている場合、レポートやビューに表示する複数の McAfee ePO デ
バイスを照会できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
リッチメント] をクリックします。
をクリックし、[データ エン
2
[メイン] タブで、[追加] をクリックして名前を入力し、項目を選択します。
3
[ソース] タブの [タイプ] フィールドで、McAfee Real Time for McAfee ePO を選択し、[デバイス] フィール
ドでデバイスを選択します。
4
[クエリー]、[スコア]、[宛先] の各タブで残りの設定を行い、[完了] をクリックします。
McAfee Real Time for McAfee ePO ダッシュボードで McAfee ePO デバイスを照会
する
McAfee Real Time for McAfee ePO デバイス ビューで、複数の McAfee ePO デバイスを照会するクエリーを実行
できます。
開始する前に
照会する McAfee ePO デバイスが McAfee Real Time for McAfee ePO に統合されていることを確認
します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、クエリーが実行される McAfee ePO デバイスをクリックします。
2
ESM コンソールでビュー リストをクリックし、McAfee Real Time for McAfee ePO を選択します。
3
[フィルター] ペインでフィルターを選択します。
4
160
a
[要素] セクションでオープン フィールドをクリックして、照会する要素を選択します。
b
[フィルター] セクションでフィルターのタイプを選択し、オープン フィールドにフィルターを入力します。
c
フィルター アクションを選択して、値を入力します。
[クエリーを実行] アイコン
をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
Nitro Intrusion Prevention System (Nitro IPS) の設定
McAfee Nitro Intrusion Prevention System (Nitro IPS) デバイスは、巧みなネットワーク侵入の試行を検出した
り、これらの試行を積極的に記録および阻止するインテリジェントなパケットフィルタ システムです。 Nitro IPS
デバイスは、管理、データ取得、解析に使用される組み込みのデータ マネージャーと、アノマリ検出などの詳細な侵
入解析を統合しています。
デバイスは、業界標準ルール言語によって指定されるユーザー定義のルール セットに基づき、到着したパケットを選
択的に渡したり、ドロップおよびログします。 それぞれの Nitro IPS デバイスには、業界標準のファイアウォール
ルールによって制御される、完全な機能を持つファイアウォール コンポーネントが含まれており、低レベルのパケッ
ト検査機能と業界標準のシステム ログを使用できます。
アノマリ検出ウィザード
アノマリ検出は、どの Nitro IPS または仮想デバイスでも可能ですが、実際に大きい効果が得られるのはフロー デ
ータが収集されている場合のみです。[レート ベースのアノマリ検出ウィザード] では、選択したデバイスで使用で
きるすべての変数のリストと説明が表示されます。
一部のファイアウォール ルールはレートベースです。レートベースのルールは、ネットワーク トラフィックが [ポ
リシー エディター] 内のファイアウォールカテゴリの変数によって定義されるしきい値を超えたときにのみアラー
トをトリガーするルールです。これらの変数のデフォルト値は、ネットワーク トラフィックによっては意味をなさな
い場合もあるので、[レートベースのアノマリ検出ウィザード] はこれらのパラメーターと関連付けられるネットワー
ク フロー データのグラフを分析する機能を提供します。次にデフォルト値を選択するか、独自の値を指定するか、
または ESM がデータを分析するように選択し、ネットワークのトラフィックの履歴に基づいてこれらの値に何が適
しているかおおよその見当をつけることができます。 ネットワークはそれぞれ異なるので、これらの視覚的分析レポ
ートを見直し、ニーズに合った値を選択することでトラフィックの履歴を十分把握しておくことをお勧めします。
このウィザードでは、多数の複雑な計算によって、レート ベースのアノマリ パラメーターの推奨値が求められ、ネ
ットワーク トラフィックのパターンのビジュアルな分析が提示されます。Nitro IPS、仮想デバイス、Receiver、お
よびデータ ソースに多量のフロー データがある場合は、これらの計算で使用される時間範囲を制限することをお勧
めします。これらの値を計算するには、数日間または数週間の通常のネットワーク アクティビティをベースラインと
して使用します。これよりも期間を長くすると、予想以上に長い時間が計算にかかる場合があります。
レートベースのアノマリ ファイアウォール ルールと、それらの運用に影響する変数のリストを次に示します。
ルール
変数
値の大きい受信バイト レート
LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
値の大きい受信バイト
LARGE_INBOUND_BYTES_LIMIT
値の大きい受信ネットワーク接続レート LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT
値の大きい受信パケット レート
LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
大量受信パケット
LARGE_INBOUND_PACKETS_LIMIT
値の大きい送信バイト レート
LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
値の大きい送信ネットワーク接続レート LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
値の大きい送信パケット レート
LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
値の大きい送信パケット
LARGE_OUTBOUND_PACKETS_LIMIT
長い接続期間
LONG_DURATION_SECONDS
McAfee Enterprise Security Manager 9.5.1
製品ガイド
161
3
ESM の設定
デバイスの設定
アノーマリ検出変数の編集
[レートベースのアノーマリ検出ウィザード] は、アノーマリ検出変数をリストし、レートベースのアノーマリ検出デ
ータ分析に使用できるいくつかのオプションを提供します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、Nitro IPS またはフロー データを収集する仮想デバイスを選択し、[プロパ
ティ] アイコン
をクリックします。
2
[アノーマリ検出ウィザード] フィールドで [編集] をクリックします。
3
使用できるいずれかの機能を実行し、[OK] をクリックします。
分析レポート を生成する
[分析レポート] では、ネットワーク トラフィックのさまざまな側面のビジュアルな分析を実行できます。
このレポートは、目視検査によってネットワーク トラフィックのパターンの感触をつかむのに役立ちます。 収集す
るデータは、レートベースのアノマリ ルール パラメーターの値を選択して決定するときに役立ちます。
レポートを生成するには、デバイスで少なくとも 10,000 フローが生成されている必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、フロー データを収集していた Nitro IPS を選択し、[プロパティ] アイコン
をクリックします。
2
[アノマリ検出ウィザード] フィールドで [編集] をクリックします。
3
[分析] 、 [分析レポート] の順にクリックし、レポートの時間範囲と変数を選択します。
4
[OK] をクリックします。
レポートが生成されます。縦軸および横軸の目盛りは、グラフの軸上の円形アイコンをクリックしてドラッグするこ
とで、ズーム イン/ズーム アウトできます。
ファイアウォール ルールと標準ルールへのアクセス
ルールの追加と保守は [ポリシー エディター] で行います。ただし、ファイアウォール ルールと標準ルールの読み取
り、書き込み、表示、エクスポートおよびインポートは、IPS や IPS 仮想デバイスから行うことができます。
ルールは通常、このページから保守しないでください。この方法でルールを変更すると、デバイス ポリシー設定が [ポ
リシー エディター] での設定と同期しなくなります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
162
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ファイアウォール ルール] または [標準ルー
ル] をクリックします。
2
いずれかのオプションを選択し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
IPS または仮想デバイス ブラックリスト
ブラックリストは、トラフィックがデバイスを通過し、詳細なパケット検査エンジンによる解析を受ける前に、トラ
フィックをブロックします。
[ブラックリスト エディター] を使用して、ブロック対象のソース、ブロック対象の宛先、デバイスの除外設定を手
動で管理できます。このデバイスを[グローバル ブラックリスト]設定の対象にするかどうかを選択することもでき
ます。 このデバイスにこれらの設定を含めるには、エディター最上部の [グローバル ブラックリストを含む] チェッ
クボックスを選択する必要があります。
[ブラックリスト エディター] 画面には、次の 3 つのタブがあります。
•
[ブロック対象のソース] — デバイスを通過するトラフィックのソース IP アドレスとの一致を確認します。
•
[ブロック対象の宛先] — デバイスを通過するトラフィックの宛先 IP アドレスとの一致を確認します。
•
[除外] — いずれかのブラックリストに自動的に追加される対象から除外されます。重大な IP アドレス 8DNS
とその他のサーバー、またはシステム管理者のワークステーションなど) を除外に追加することで、どのようなイ
ベントが生成されても、自動的にブラックリスト対象にならないようにできます。
[ブロック対象のソース] タブと [ブロック対象の宛先] タブのエントリは、どちらも特定の宛先ポートに対するブラ
ックリストを絞り込むように設定できます。
ホストを手動でブラックリストに追加したり削除することもできます。 [ブラックリスト エディター] 内のタブの 1
つを選択すると、エントリを追加したり変更することができます。エントリを追加する必要があるフィールドとして、
[IP アドレス]、[ポート] (バージョン 6.2.x 以上)、[期間] (恒久的または一時的) などがあります。 オプションの
[説明] フィールドもあります。
エントリを追加するときは、以下に留意してください。
•
[追加] および [変更] は、変更した情報に応じて有効になります。IP アドレスまたはポートを変更すると、[追
加] が有効になります。期間または説明を変更すると、[変更] が有効になります。
•
[ブロック対象のソース] と [ブロック対象の宛先] リストのエントリは、すべてのポートまたは特定のポートをブ
ラックリストの対象にするように設定できます。
•
IP アドレスのマスクした範囲を使用するエントリは、ポートを [any] (0) に設定し、期間を「恒久的」に設定す
る必要があります。
•
エントリは、一時的 (分、時間、日単位で指定) または恒久的に追加できます。ただし、[除外] は恒久的なエント
リのみです。
•
これらのリストでは、IP アドレス形式が要求されますが、それらのアドレスに意味を加えるために役立つツール
が用意されています。 [IP アドレス] フィールドに IP アドレスまたはホスト名を入力した後、そのコントロール
の隣のボタンは入力した値に応じて [解決] または [参照] と表示されます。 [解決] を選択すると、入力したホス
ト名を解決し、[IP アドレス] フィールドにその情報を入力して、ホスト名を [説明] フィールドに移動します。
[参照] を選択すると、IP アドレスの参照を実行し、[説明] フィールドに参照結果の値を入力します。Web サイ
トによっては、2 つ以上の IP アドレスがあるか、常に同じではない IP アドレスがあるので、一部の Web サイ
トをブロックするときはこのツールに依存しないでください。
リスト上で IP アドレスを選択し、生成されたイベントをサマリー レポート上に表示できます。これにより、攻撃者
がトリガーしたイベント、ブラックリストに追加されたイベント、またはブラックリスト対象になる前に試みられた
可能性があるその他の攻撃を確認できます。
また[ブラックリスト エディター]を使って、イベントの適用、再読み込み、削除を行うこともできます。
IPS ブラックリストの管理
IPS ブラックリストは [ブラックリスト エディター] 上で管理できます。アイテムの追加、変更、削除、ブラックリ
ストへの変更の書き込み、デバイスからの新規および更新情報の読み取り、違反している IP アドレスによって生成
されたイベントの表示、そしてホスト名または IP アドレスの参照または解決を行えます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
163
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ブラックリスト] 、 [エディター]をクリックし
ます。
2
[ブロック対象のソース]、[ブロック対象の宛先]、または [除外] タブを選択します。
3
必要な操作を行い、[閉じる] をクリックします。
自動ブラックリストの設定
[自動ブラックリスト設定] ページでは、デバイスの自動ブラックリスト構成設定を管理できます。
自動ブラックリスト設定は、デバイスごとに行われます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [IPS プロパティ] を選択し、[ブラックリスト] 、 [設定]をクリックします。
2
必要に応じて設定を定義し、[OK] をクリックします。
McAfee Vulnerability Manager 設定
McAfee Vulnerability Manager は ESM にデバイスとして追加できます。それにより、ESM から McAfee
Vulnerability Manager 上でスキャンを開始できます。McAfee Vulnerability Manager デバイスを購入して、
ESM から実行する場合にこれは役立ちます。
イベントは McAfee Vulnerability Manager ではなく Receiver から引き出されるので、McAfee Vulnerability
Manager を Receiver と関連付ける必要があります。
McAfee Vulnerability Manager 証明書とパスフレーズの取得
McAfee Vulnerability Manager 接続を設定する前に McAfee Vulnerability Manager 証明書とパスフレーズを取
得する必要があります。このタスクは ESM 上では行いません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
Foundstone Certificate Manager を実行するサーバー上で、Foundstone Certificate Manager.exe を実行し
ます。
2
[SSL 証明書を作成] タブをクリックします。
3
[ホスト アドレス] フィールドで、McAfee Vulnerability Manager の Web インターフェースをホストするシス
テムのホスト名または IP アドレスを入力し、[解決] をクリックします。
4
[コモン ネームを使用して証明書を作成] をクリックして、パスフレーズと .zip ファイルを生成します。
5
.zip ファイルをアップロードし、生成されたパスフレーズをコピーします。
McAfee Vulnerability Manager スキャンの実行
[スキャン] ページは、McAfee Vulnerability Manager から実行中または実行済みのすべての脆弱性スキャンと、そ
れらのステータスを表示します。このページを開くと、API はデフォルトの Web ログイン認証情報があるかどうか
を確認します。認証情報がある場合、スキャン リストはそれらの認証情報に基づいて入力され、60 秒ごとに更新さ
れます。このページから新しいスキャンを開始することも可能です。
164
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
デバイスの設定
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [MVM プロパティ] を選択し、次に [スキャン] をクリックします。
2
[新しいスキャン] をクリックして、リクエストされた情報を入力します。
3
[OK] をクリックします。
スキャンは、完了するとスキャン リストに追加されます。
McAfee Vulnerability Manager 接続の設定
McAfee Vulnerability Manager で、McAfee Vulnerability Manager から脆弱性評価データを引き出すためのデー
タベースへの接続、および McAfee Vulnerability Manager でスキャンを実行するための Web ユーザー インター
フェースへの接続を設定する必要があります。
開始する前に
McAfee Vulnerability Manager 証明書とパスフレーズを取得する必要があります。
これらの設定を変更しても、デバイス自体には影響しません。デバイスが ESM と通信する方法にのみ影響します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [MVM プロパティ] を選択し、次に [接続] をクリックします。
2
要求された情報を入力し、[OK] をクリックします。
McAfee Network Security Manager の設定
McAfee Network Security Manager は ESM にデバイスとして追加できます。それにより、ESM から各機能にア
クセスできます。 これは、デバイスを購入して、ESM からアクセスする場合に役立ちます。
McAfee Network Security Manager デバイスを ESM に追加すると、デバイス上のセンサーは、システム ナビゲ
ーション ツリーのデバイスの下に子としてリストされます。 イベントは McAfee Network Security Manager で
はなく Receiver から引き出されるので、デバイスを Receiver と関連付ける必要があります。
ブラックリスト エントリを追加する
McAfee Network Security Manager はセンサーを介してブラックリストを適用します。 [ブラックリスト] ペー
ジは、選択したセンサーについて定義したブラックリスト エントリを表示します。このページから、ブラックリスト
アイテムを追加、編集、および削除できます。
ブラックリスト機能を使用するには、スーパー ユーザーである必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
165
3
ESM の設定
デバイスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [NSM のプロパティ] を選択してから、[ブラックリスト] をクリックし、セ
ンサーを選択します。
2
グローバル ブラックリスト エントリをこのセンサーに適用するには、[グローバル ブラックリストを含む] を選
択します。
グローバル ブラックリスト アイテムがリストに追加されます。重複した IP アドレスがある場合は、グローバル
ブラックリストによって McAfee Network Security Manager アドレスが上書きされます。
このオプションを一度選択すると、自動的に元に戻すことはできません。アイテムは、手動で削除する必要があり
ます。
3
[追加] をクリックして要求された情報を入力し、[OK] をクリックします。
有効期限に達するまでは、エントリがブラックリストに表示されます。
削除済みのブラックリスト エントリを追加または削除
まだ期限切れになっていない ESM で開始されたエントリで、McAfee Network Security Manager (Manager) に
クエリーが行われたときにブラックリスト エントリのリストに返されていないものは、[削除済み] のステータスに
フラグ アイコン付きで表示されます。
この状態になるのは、エントリが削除済みでも、ESM 上で削除が開始されていない場合です。その場合は、このエ
ントリをブラックリストに再度追加するか、またはブラックリストから削除できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [NSM プロパティ] を選択し、次に [ブラックリスト] をクリックします。
2
ブラックリスト エントリのリストで削除済みエントリを選択し、[追加] または [削除] をクリックします。
3
[適用] または [OK] をクリックします。
NSM デバイスでのレイヤー 7 の収集
NSM イベントが NSM データベースに書き込まれると、レイヤー 7 データがデータベースに記録されます。 これ
は、イベントと一緒に取得できません。
NSM からレイヤー 7 情報を取得するため、イベントの取得時に遅延を発生させ、レイヤー 7 データを追加できま
す。 この遅延は、レイヤー 7 データに関連するイベントだけでなく、すべての NSM イベントに適用されます。
この遅延は、NSM 関連の次のアクションを実行するときに設定できます。
•
コンソールへの McAfee NSM デバイスの追加
•
NSM デバイスの設定
•
NSM データソースの追加
McAfee NSM デバイスの追加
NSM デバイスを ESM に追加するときに (『ESM コンソールにデバイスを追加する』を参照)、[レイヤー 7 の収集
を有効にする] を選択して、[デバイスの追加ウィザード] の 4 番目のページで遅延を設定します
166
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
3
NSM デバイスの設定
NSM デバイスを ESM コンソールに追加するときに、デバイスの接続設定を行うことができます ([ESM との接続を
変更する]を参照)。 [レイヤー 7 の収集を有効にする] を選択して、[接続] ページで遅延を設定できます。
NSM データソースの追加
NSM データソースを Receiver に追加するには (『データソースを追加する』を参照)、[データソース ベンダー] フ
ィールドで McAfee を選択し、[データソース モデル] フィールドで [Network Security Manager - SQL プル
(ASP)] を選択します。 [レイヤー 7 の収集を有効にする] を選択して、[データソースを追加] ページで遅延を設定
できます。
補助サービスの設定
補助サービスとしては、Remedy サーバー、ネットワーク タイム プロトコル (NTP) サーバー、DNS サーバーなど
があります。 ESM を通信を行うように、これらのサービスを設定します。
目次
一般システム情報
Remedy サーバー設定を設定
ESM システム ツリーの自動更新を停止する
メッセージ設定の定義
デバイスで NTP を設定する
ネットワーク設定を構成
システム時刻の同期
新しい証明書をインストール
プロファイルの設定
SNMP 設定
一般システム情報
[システムのプロパティ] 、 [システム情報] の順に移動し、システムおよび各種機能のステータスの一般情報を参照
できます。[システム ログ] ページで、システムまたはデバイスで行われたイベントを参照できます。
この情報は、システムについて McAfee サポートに問い合わせる、イベントまたはフロー集計などの機能を設定す
る、ルールの更新またはシステム バックアップのステータスをチェックする際に参照できます。
•
[システム]、[カスタマー ID]、[ハードウェア]、[シリアル番号] は、システムおよびシステムの現在の操作ステ
ータスの情報を提供します。
•
[データベース ステータス] は、データベースがその他の機能 (データベース再構築やバックグラウンド再構築な
ど) を実行している時間とそれらの機能のステータスを示します。[OK] ステータスは、データベースが正常に動
作していることを示します。
•
[システム クロック] は [システムのプロパティ] が最後に開かれたか更新された日時を示します。
•
[ルールの更新]、[イベント、フロー、ログ]、[バックアップとリストア] はそれぞれ、ルールの更新、イベント、
フロー、ログの取得、バックアップとリストアが最後に実行された時刻を示します。
•
FIPS モードでは、[FIPS セルフ テスト] と [ステータス] が FIPS セルフ テストが最後に実行された時刻とステ
ータスを示します。
•
[レポートを表示] は、[ESM デバイス タイプ数] レポートと [イベント時間] レポートを示します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
167
3
ESM の設定
補助サービスの設定
Remedy サーバー設定を設定
Remedy システムを設定している場合は、ESM との通信が可能になるように Remedy を設定する必要があります。
開始する前に
Remedy システムを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[カスタム設定] 、 [Remedy]をクリ
ックします。
2
[Remedy の設定] ページで Remedy システムの情報を入力し、[OK] をクリックします。
[イベントを Remedy に送信]
ルで送信されます。
を [イベント分析] ビューで選択すると、このページに入力した情報が電子メー
ESM システム ツリーの自動更新を停止する
ESM のシステム ツリーは 5 分間隔で自動的に更新されます。 必要であれば、自動更新を停止できます。
開始する前に
この設定を変更するには、[システム管理] 権限が必要です。
更新中はツリーでデバイスを選択できません。 ESM でデバイスの数が多いと、デバイスの [プロパティ] ページにア
クセスできなくなる場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ツリーで ESM を選択し、[プロパティ] アイコン
をクリックします。
[カスタム設定] をクリックして、[システム ツリーの自動更新] の選択を解除します。
システム ツリーを手動で更新するには、システム ツリーのアクション ツールバーで [デバイスの更新] アイコン
をクリックします。
メッセージ設定の定義
アラームのアクションを定義したり、レポートの配信方法をセットアップするときに、メッセージを送信するように
選択できます。 ただし、その前に ESM をメール サーバーに接続し、電子メール、SMS、SNMP または Syslog に
よるメッセージの受信者を指定する必要があります。
ESM は、SNMP v1 プロトコルでアラーム通知を送信します。 SNMP は UDP を転送プロトコルとして使い、マネ
ージャーとエージェント間でデータをやりとりします。 SNMP の設定では、ESM などのエージェントはトラップと
いうデータのパケットを使用して SNMP サーバー (ネットワーク管理ステーション、NMS) にイベントを転送しま
す。 ネットワーク内の他のエージェントは、通知の受信と同じ方法でイベント レポートを受信できます。 SNMP ト
ラップ パケットのサイズ制約により、ESM はレポートの各行を個別のトラップで送信します。
Syslog は、ESM で生成されたクエリーの CSV レポートも送信できます。 Syslog は、クエリー CSV レポートを
Syslog メッセージごとに 1 行ずつ、カンマ区切りフィールドに配置されたクエリー結果の各行のデータと一緒に送
信します。
168
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
補助サービスの設定
メール サーバーとの接続
アラームを送信し、メッセージを報告できるようにメール サーバーとの接続を設定します。
開始する前に
管理者権限を持っているか、ユーザー管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[電子メール設定] をクリックし、メール サーバーとの接続に必要な情報を入力します。
オプション
説明
[ホスト] と [ポート]
メール サーバーのホストとポートを入力します。
[TLS を使用]
TLS 暗号化プロトコルを使用するかどうかを選択します。
[ユーザー名] と [パス メール サーバーのアクセスに必要なユーザー名とパスワードを入力します。
ワード]
[タイトル]
メール サーバーから送信されるすべての電子メールに使用する汎用的なタイトルを入
力します。たとえば、メッセージを生成した ESM を識別できるように ESM IP アドレ
スを入力します。
[送信者]
自分の名前を入力します。
[受信者を設定]
受信者を追加、編集、削除クリックします (アラーム受信者を管理する221 ページの
「」を参照)。
3
テスト メールを送信して設定を確認します。
4
受信者を追加、編集、削除クリックします (アラーム受信者を管理する221 ページの「」を参照)。
5
[適用] または [OK] をクリックして設定を保存します。
関連トピック:
169 ページの「受信者の管理」
受信者の管理
アラームまたはレポートのメッセージは複数の形式で送信でき、それぞれに管理可能な受信者リストがあります。電
子メール アドレスをグループ化することで、複数の受信者へ一度にメッセージを送信できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[電子メール設定] をクリックしま
す。
2
[受信者を設定] をクリックし、追加したいタブを選択します。
3
[追加] をクリックし、要求された情報を追加します。
4
[OK] をクリックします。
受信者が ESM に追加され、ESM 内で受信者が使用されるどのような場所でも受信者を選択できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
169
3
ESM の設定
補助サービスの設定
電子メールの受信者グループを追加する
複数の受信者に同時にメッセージを送信できるように、電子メールの受信者をグループ化します。
開始する前に
受信者とそのメール アドレスがシステムに登録されている必要があります (『ユーザーを追加する』を
参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[電子メール設定]、[受信者を設定] の順にクリックし、[電子メール グループ] 、 [追加] の順にクリックします。
3
グループの名前を入力し、このグループのユーザーを選択して [OK] をクリックします。
グループが [電子メール グループ] ページの [電子メール受信者グループ] セクションに追加されます。
デバイスで NTP を設定する
Network Time Protocol (NTP) サーバーを使用して、デバイスの時刻と ESM を同期させます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [NTP] の順にクリックします。
3
要求された情報を入力し、[OK] をクリックします。
をクリックします。
タスク
•
170 ページの「NTP サーバーのステータスを表示する」
ESM 上のすべての NTP サーバーのステータスを表示します。
NTP サーバーのステータスを表示する
ESM 上のすべての NTP サーバーのステータスを表示します。
開始する前に
ESM またはデバイスに NTP サーバーを追加します (「システム時刻の同期」または「デバイスで NTP
を設定する」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
170
システム ナビゲーション ツリーで、次のいずれかを実行します。
•
次に[システムのプロパティ] 、 [システム情報] の順にクリックし、[システム クロック] をクリックします。
•
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコンをクリックして [設定] 、
[NTP]の順に選択します。
[ステータス] をクリックし、NTP サーバー データを確認し、[閉じる] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
3
関連トピック:
177 ページの「システム時刻の同期」
46 ページの「デバイスで NTP を設定する」
ネットワーク設定を構成
ESM サーバー ゲートウェイおよび DNS サーバー IP アドレスの追加、プロキシ サーバー設定の定義、SSH の設
定、静的ルートの追加を行って、ESM でのネットワークへの接続方法を設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ネットワーク設定] をクリックし
ます。
2
ネットワークへの接続を設定するための情報を入力します。
3
[適用] または [OK] をクリックします。
タスク
•
174 ページの「ESM またはデバイスで IPMI ポートを設定する」
IPMI ポートにネットワークを設定して、ESM またはデバイスで IPMI をセットアップします。
•
174 ページの「ESM でネットワーク トラフィック制御を設定する」
ESM にデータ出力の最大値を定義します。
•
176 ページの「DHCP をセットアップする」
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメータ
ー (インターフェースとサービスの IP アドレスなど) を動的に分散するために使用します。
•
176 ページの「VLAN で DHCP をセットアップする」
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメータ
ー (インターフェースとサービスの IP アドレスなど) を動的に分散するために使用します。
ネットワーク インターフェースを管理
デバイスとの通信は、トラフィックパスのパブリック インターフェースとプライベート インターフェースを使用し
て実行できます。そのため IP アドレスを必要としないことから、デバイスがネットワーク内で不可視になります。
管理インターフェース
またネットワーク管理者は、ESM とデバイス間の通信用の IP アドレスを使用して、管理インターフェースを設定で
きます。デバイスのこれらの機能では、管理インターフェースを使用する必要があります。
•
バイパス ネットワーク カードの完全な制御
•
NTP 時刻同期の使用
•
デバイスでの Syslog の生成
•
SNMP 通知
デバイスには 1 つ以上の管理インターフェースがあり、それによってデバイスに IP アドレスが与えられます。IP ア
ドレスによって、別のターゲット IP アドレスまたはホスト名に対する通信を行うことなく、ESM からデバイスに直
接アクセスできるようになります。
パブリック ネットワークから見えるようになり、セキュリティが侵害される可能性があるため、管理ネットワーク イ
ンターフェースはパブリック ネットワークに接続しないでください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
171
3
ESM の設定
補助サービスの設定
Nitro IPS モードで実行されているデバイスについては、ネットワーク トラフィックの各パスにそれぞれ 2 つのイ
ンターフェースが必要です。IDS モードの場合は、デバイスに 2 つ以上のネットワーク インターフェースが必要に
なります。デバイスでは、複数の管理ネットワーク インターフェースを設定できます。
バイパス NIC
デバイスをバイパス モードにすると、悪意のあるトラフィックを含むすべてのトラフィックがデバイスを通過しま
す。 通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたと
きに 18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒
数が変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたと
きに、接続が 33 秒切断されます。
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。 4 つのすべてのポート (Nitro IPS および
その他のデバイスのスイッチ) を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります (『バイパス NIC をセットアップする』を参照)。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
ネットワーク インターフェースを設定する
インターフェース設定によって、ESM がデバイスに接続する方法が決定されます。インターフェース設定は、デバ
イスごとに定義する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
デバイスで [設定] オプションをクリックし、[インターフェース] をクリックします。
3
要求されたデータを入力し、[適用] をクリックします。
すべての変更はデバイスにプッシュされ、直ちに有効になります。 変更を適用すると、デバイスが再初期化され、現
在のすべてのセッションが失われます。
VLAN と別名を追加する
VLAN と別名を ACE または ELM インターフェースに追加します。 別名は、ネットワーク デバイスに複数の IP ア
ドレスが割り当てられている場合に追加する割り当て済みの IP アドレスとネットマスクのペアです。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
172
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
[設定] をクリックします。
をクリックして、デバイスの
2
[ネットワーク] タブの [インターフェース] セクションで [セットアップ] をクリックして [詳細設定] をクリッ
クします。
3
[VLAN を追加] をクリックし、必要な情報を入力して、[OK] をクリックします。
4
別名を追加する VLAN を選択し、[別名を追加] をクリックします。
5
必要な情報を入力し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
3
静的ルートを追加する
静的ルートは、デフォルトのゲートウェイを通じて使用できないホストまたはネットワークに到達する方法を示す 1
組の手順です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[設定] 、 [インターフェース] の順にクリックします。
3
[静的ルート] テーブルの横の [追加] をクリックします。
4
情報を入力し、[OK] をクリックします。
をクリックします。
バイパス NIC
通常の状況では、デバイスをバイパス モードに切り替えたときに接続が 1 ~ 3 秒切断され、再度切り替えたときに
18 秒切断されます。Cisco Catalyst の一部のモデルなど、特定のスイッチに接続している場合は、これらの秒数が
変動する場合があります。その場合は、デバイスをバイパス モードに切り替えたとき、および再度切り替えたとき
に、接続が 33 秒切断されます。
通信が再確立されるまで 33 秒かかる状況では、スイッチ ポートで速度とデュプレックスを手動で設定し、所要時間
を通常に戻すことで、ポートを迅速に有効にすることが可能になります。4 つのすべてのポート(Nitro IPS および
その他のデバイスのスイッチ)を同じ設定にしてください。設定が異なると、バイパス モードでネゴシエーションの
問題が発生する可能性があります。
使用可能なバイパス オプションは、デバイス内のバイパス NIC のタイプ(タイプ 2 またはタイプ 3)によって異な
ります。
バイパス NIC を設定する
IPS デバイスで、すべてのトラフィックが通過するようにバイパス NIC 設定を定義できます。
ADM と DEM デバイスは常に IDS モードで実行されます。 バイパス NIC タイプとステータスは確認できますが、設
定の変更はできません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[設定] 、 [インターフェース] の順にクリックします。
3
[ネットワーク インターフェース設定] ページの下部にある、[バイパス NIC 設定] セクションに移動します。
4
IPS でタイプとステータスは確認できますが、設定は変更できません。
5
[OK] をクリックします。
ESM またはデバイスでの IPMI ポートのセットアップ
ESM またはデバイスで IPMI ポートをセットアップできます。
これにより、次のアクションを実行できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
173
3
ESM の設定
補助サービスの設定
•
スイッチに IPMI ネットワーク インターフェース コントローラー (NIC) を装着し、IPMI ソフトウェアで使用で
きます。
•
IPMI を使用したカーネル ベースの仮想マシン (KVM) にアクセスできます。
•
ESM 9.4.0 にアップグレードした後に、デフォルト ユーザーに IPMI パスワードを設定できます。
•
電源オンや電源状態の確認などの IPMI コマンドを実行できます。
•
IPMI カードをリセットできます。
•
ワーム リセットまたはコールド リセットを実行できます。
ESM またはデバイスで IPMI ポートを設定する
IPMI ポートにネットワークを設定して、ESM またはデバイスで IPMI をセットアップします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
[ネットワーク設定] の [詳細設定] タブにアクセスします。
•
ESM で、 [ネットワーク設定] 、 [詳細設定]の順にクリックします。
•
デバイスで [設定] オプションをクリックし、[インターフェース] 、 [詳細設定] の順にクリックします。
[IPMI 設定を有効にする], を選択して、IPMI の VLAN、IP アドレス、ネットマスク、ゲートウェイを入力しま
す。
デバイスの BIOS で [IPMI 設定を有効にする] がグレー表示になっている場合、システムの BIOS を更新する必
要があります。 デバイスに SSH で接続し、/etc/areca/system_bios_update/Contents‑README.txt フ
ァイルを開きます。
4
[適用] または [OK] をクリックします。
デバイスをアップグレードすると、パスワードの変更やデバイス キーの再作成を促すメッセージが送信される場合
があります。 このメッセージを受信したら、システム パスワードを変更するか、デバイスのキーを再入力します。
新しいパスワードを設定して、IPMI を設定します。
ESM でネットワーク トラフィック制御を設定する
ESM にデータ出力の最大値を定義します。
この機能は、帯域幅に制限があり、各 ESM から送信されたデータの量を制限する必要がある場合に便利です。 オプ
ションは、キロビット (Kb)/秒、メガバイト (Mb/秒)、ギガバイト(Gb/秒) です。
この機能を使用する場合には十分に注意してくださ。トラフィックを制限すると、データ漏えいが発生する可能性があ
ります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[ネットワーク設定] をクリックし、[トラフィック] タブをクリックします。
既存のコントロールが表に表示されます。
174
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
補助サービスの設定
3
デバイスにコントロールを追加するには、[追加] をクリックして、ネットワーク アドレスとマスクを入力し、評
価を設定して [OK] をクリックします。
マスクを 0 (ゼロ) に設定すると、送信済みのすべてのデータが制御されます。
4
[適用] をクリックします。
指定したネットワーク アドレスの送信トラフィックの速度が制御されます。
ホスト名の使用方法
デバイスのホスト名は、通常は IP アドレスよりも便利です。ホスト名は、対応する IP アドレスと関連付けられるよ
うに管理できます。
[ホスト] ページでは、ホスト名を追加、編集、削除、参照、更新、インポートし、また自動学習されたホスト名が期
限切れになる時間を設定できます。
イベント データを表示する場合には、ビュー コンポーネントの下部にある [ホスト名を表示] アイコン
クすると、イベント内の IP アドレスに関連付けられたホスト名を表示できます。
をクリッ
既存のイベントにホスト名がタグ付けされていない場合、システムは ESM でホスト テーブルを検索し、IP アドレ
スにホスト名をタグ付けします。IP アドレスがホスト テーブルにリストされていない場合、システムは DNS 参照
を実行してホスト名を特定します。 ビューに検索結果が表示され、ホスト テーブルに追加されます。
ホスト テーブルで、このデータは [自動学習] としてマークされ、[エントリの有効期限] フィールドで指定された時
間が経過すると期限切れになります。このフィールドにアクセスするには、[システムのプロパティ] 、 [ホスト] の
順に移動します。 データが期限切れになると、ビューで次回 [ホスト名を表示] を選択したときに別の DNS 参照が
実行されます。
ホスト テーブルには、自動学習されて追加されたホスト名と IP アドレスがリストされます。ホスト名と IP アドレ
スを個別に入力するか、ホスト名と IP アドレスのタブ区切りのリストをインポートすることで、ホスト テーブルに
手動で情報を追加できます (『ホスト名のリストをインポートする』を参照)。 この方法で入力したデータが増える
ほど、DNS 参照にかかる時間も短縮されます。 ホスト名を手動で入力した場合には、期限切れはなく、編集や削除
も可能です。
ホスト名を管理する
追加、編集、インポート、削除、参照など、[ホスト] ページでホスト名を管理するために必要なすべてのアクション
を実行します。自動学習したホストについて、有効期限を設定することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ホスト] をクリックします。
2
オプションを選択し、必要な情報を入力します。
3
[適用] または [OK] をクリックします。
ホスト名のリストをインポート
IP アドレスと対応するホスト名が含まれたテキスト ファイルを、ホスト テーブルにインポートします。
開始する前に
IP アドレスとホスト名のタグ区切りのファイルを作成します。
ファイル内の各レコードは別個の行にリストし、IPv4 または IPv6 表記で IP アドレスを最初にします。例:
102.54.94.97 rhino.acme.com
McAfee Enterprise Security Manager 9.5.1
製品ガイド
175
3
ESM の設定
補助サービスの設定
08c8:e6ff:0100::02ff x.acme.com
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ホスト] 、 [インポート] の順にクリッ
クします。
2
テキスト ファイルを参照し、[アップロード] をクリックします。ホスト テーブルに別のホスト名で記載されて
いる IP アドレスがファイルに含まれている場合は、[重複] ページに重複しているレコードがリストされます。
•
テーブル上のホスト名をテキスト ファイル内のホスト名に変更するには、[使用] 列の中で選択し、[OK] を
クリックします。
•
既存のホスト データを維持するには、チェックボックスを選択せずに [OK] をクリックします。
新しいホスト データがテーブルに追加されます。 データが手動で入力され、有効期限がないため、このデータの [自
動学習済み] 列に [いいえ] が表示されます。
DHCP をセットアップする
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメーター (インター
フェースとサービスの IP アドレスなど) を動的に分散するために使用します。
ESM をセットアップしてクラウド環境に配備すると、DHCP が自動的に有効になり、IP アドレスが割り当てられま
す。 クラウド環境でない場合、デバイス管理権限があれば、ESM、非 HA Receiver、ACE、ELM で DHCP サーバ
ーを有効または無効にできます。 これは、ネットワークの IP アドレスをリセットする場合に便利な機能です。
DHCP を有効にすると、別名が無効になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システムのナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
次のいずれかを行います。
•
ESM の場合、[ネットワーク設定] をクリックして、[メイン] タブをクリックします。
•
デバイスの場合、デバイスの [設定] オプションを選択し、[インターフェース] をクリックします。次に、[ネ
ットワーク] タブをクリックします。
[インターフェース 1] フィールドの [セットアップ] をクリックして、[DHCP] をクリックします。
Receiver 以外のデバイスの場合、変更後に ESM サーバーを再起動するように指示されます。
4
[OK] をクリックします。
VLAN で DHCP をセットアップする
DHCP (Dynamic Host Configuration Protocol) は、IP ネットワークでネットワーク設定パラメーター (インター
フェースとサービスの IP アドレスなど) を動的に分散するために使用します。
ESM をセットアップしてクラウド環境に配備すると、DHCP が自動的に有効になり、IP アドレスが割り当てられま
す。 クラウド環境でない場合、デバイス管理権限があれば、VLAN、ESM、非 HA Receiver、ACE、ELM で DHCP
サーバーを有効または無効にできます。 これは、ネットワークの IP アドレスをリセットする場合に便利な機能で
す。
176
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
補助サービスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システムのナビゲーション ツリーで システムまたはデバイスを選択し、[プロパティ] アイコン
します。
をクリック
次のいずれかを行います。
•
ESM の場合、[ネットワーク設定] をクリックして、[メイン] タブをクリックします。
•
デバイスの場合、デバイスの [設定] オプションを選択し、[インターフェース] をクリックします。次に、[ネ
ットワーク] タブをクリックします。
3
[インターフェース 1] フィールドの [セットアップ] をクリックして、[詳細] をクリックします。
4
[VLAN の追加] をクリックして [VLAN] と入力し、[DHCP] を選択します。
5
[OK] をクリックして [ネットワーク設定] ページに戻り、[適用] をクリックします。
Receiver 以外のデバイスの場合、変更後に ESM サーバーを再起動するように指示されます。
システム時刻の同期
ESM とそのデバイスにより生成されるアクティビティにはタイム スタンプが設定されるため、ESM とデバイスを同
期して収集するデータの基準を一定に保つことが重要です。ESM システム時刻を設定、または ESM とデバイスを
NTP サーバーに同期させるように選択できます。
システム時間の設定
開始する前に
NTP サーバーを ESM に追加するには、NTP サーバーを設定して、承認キーとキー ID を用意します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[システム クロック (GMT)] をクリックして設定を定義し、[OK] をクリックします。
IPS クラス デバイスの NTP サーバー アドレスは IP アドレスである必要があります。
サーバー情報は設定ファイルに保存されます。NTP サーバーのリストに再度アクセスしてステータスをチェックで
きます。
デバイス クロックの同期
各種システムで生成されるデータが同じ時刻設定になるように ESM クロックを使用してデバイス クロックを同期
できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
177
3
ESM の設定
補助サービスの設定
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] またはデバイスの [プロパティ] を選択して、[デ
バイス クロックを同期] フィールドの [同期] をクリックします。
同期が完了または問題が発生すると、通知されます。
2
[更新] をクリックして、[システム情報] またはデバイスの [情報] ページのデータを更新します。
新しい証明書をインストール
ESM には、esm.mcafee.local に対する自己署名セキュリティ証明書が、デフォルトで付属しています。ほとんど
の Web ブラウザーでは、証明書の信頼性を確認できない場合に警告が表示されます。ESM に対して使用する SSL
鍵と証明書のペアを取得したら、インストールする必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[キー管理] タブで、[証明書] をクリックします。
3
必要な選択を行い、[閉じる] をクリックします。
プロファイルの設定
syslog ベース トラフィックにプロファイルを定義します。これにより、詳細情報を毎回入力しなくても、共通情報
を使用するセットアップを実行できます。 リモート コマンド プロファイル (URL またはスクリプト) を追加して、
ビューやアラームで実行できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[プロファイル管理] をクリックします。
2
プロファイルを追加するには、[システム プロファイル] タブで [追加] をクリックし、プロファイル データを入
力します。
3
リモート コマンドを追加するには、[リモート コマンド] タブをクリックし、要求された情報を入力します。
4
[OK] をクリックします。
SNMP 設定
ESM および各デバイスからのリンク アップ、リンク ダウン、コールド スタート トラップ、ウォーム スタート ト
ラップの送信、Management Information Base (MIB)-II システムとインターフェース テーブルの取得、SNMP
ウォークによる ESM の検出を可能にするように ESM によって使用される設定を構成します。
SNMPv3 では NoAuthNoPriv、AuthNoPriv、AuthPriv オプションがサポートされ、認証に MD5 またはセキュア
ハッシュ アルゴリズム (SHA)、暗号化に Data Encryption Standard (DES) または Advanced Encryption
Standard (AES) を使用します (MD5 と DES は FIPS コンプライアンス モードでは使用できません)。
ESM、Receiver、Nitro IPS 正常性情報の SNMP リクエストを ESM に作成できます。また、SNMPv3 トラップを
ESM に送信して管理対象の 1 つ以上の Nitro IPS デバイスのブラックリストに追加できます。 リンク アップ、リ
ンク ダウン、ウォーム ブート トラップ、コールド ブート トラップを、選択した 1 つ以上の宛先に送信するように
すべての McAfee アプライアンスを設定することもできます(『SNMP と McAfee MIB』を参照)。
178
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
3
SNMP 設定の構成
受信および送信 SNMP トラフィックで ESM により使用される設定を定義します。SNMP クエリーは、ユーザー名
にスペースが含まれないユーザーのみが実行できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[SNMP 設定] をクリックします。
2
[SNMP 要求] タブと [SNMP トラップ] タブに必要な情報を入力します。
3
[OK] をクリックします。
電源障害通知の SNMP トラップを設定する
ハードウェア障害と DAS 電源障害を通知する SNMP トラップを選択します。これにより、電源障害によるシステム
のシャットダウンを回避できます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合に必要)。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
3
[トラップ ポート] で 162 を入力し、[ハードウェア全般エラー] を選択して [プロファイルを編集] をクリック
します。
4
[追加] をクリックし、必要な情報を入力します。
•
[プロファイル タイプ] - [SNMP トラップ] を選択します。
•
[IP アドレス] - トラップ送信先のアドレスを入力します。
•
[ポート] - 162 を入力します。
•
[コミュニティ名] - パブリック と入力します。
[ポート] と [コミュニティ名] フィールドに入力した情報を忘れないように覚えてください。
5
[OK] をクリックし、[プロファイル マネージャー] ページで [閉じる] をクリックします。
プロファイルが [宛先] テーブルに追加されます。
6
[使用] 列でプロファイルを選択し、[OK] をクリックします。
電源装置が故障すると、SNMP トラップが送信され、システムのナビゲーション ツリーのデバイスの横に正常性ス
テータスのフラグが表示されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
179
3
ESM の設定
補助サービスの設定
アラーム アクションとして SNMP トラップを作成する
アラーム アクションとして SNMP トラップを送信します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合のみ必要)。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
SNMP プロファイルを作成して、SNMP トラップの送信先を ESM に通知します。
a
2
3
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
b
[プロファイル管理] をクリックして、[プロファイル タイプ] フィールドで [SNMP トラップ] を選択します。
c
残りのフィールドを入力して、[適用] をクリックします。
ESM で SNMP を設定します。
a
[システム プロパティ] で [SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
b
ポートを選択して、送信するトラップのタイプを選択します。手順 1 で追加したプロファイルを選択します。
c
[適用] をクリックします。
アラームのアクションに [SNMP トラップ] を定義します。
a
[システム プロパティ] で [アラーム] をクリックし、[追加] をクリックします。
b
Fill in the information requested on the [サマリー]、[条件]、[デバイス] の各タブで必要な情報を入力し
ます。条件タイプに [内部イベントの比較] を選択し、[アクション] タブをクリックします。
c
[メッセージを送信] を選択して [設定] をクリックし、SNMP メッセージのテンプレートを選択または作成し
ます。
d
[SNMP] フィールドで [基本的な SNMP テンプレート] を選択します。あるいは、[テンプレート] をクリッ
クして既存のテンプレートを選択するか、[追加] をクリックして新しいテンプレートを定義します。
e
[アラーム設定] ページに戻り、アラームのセットアップに続けます。
電源障害通知アラームを追加する
ESM のいずれかの電源で障害が発生した場合に通知するようにアラームを追加します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
電源障害通知の SNMP トラップを設定する 179 ページの「」
オプションの定義の場合、インターフェースで [?] をクリックします。
180
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
3
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[追加] をクリックし、必要なデータを [サマリー] タブに入力して [条件] タブをクリックします。
4
[タイプ] フィールドで [内部イベントの比較] を選択します。
5
[フィールド] フィールドで [シグネチャ ID] を選択し、[値] フィールドに 306-50086 を入力します。
6
それぞれのタブで必要に応じて残りの情報を入力し、[完了] をクリックします。
電源装置に障害が発生すると、アラームがトリガーされます。
タスク
•
248 ページの「トリガーされたアラームとケースのサマリーをカスタマイズする」
[フィールド一致] アラームと [内部イベントの比較] アラームのアラーム サマリーとケース サマリー
に追加するデータを選択します。
SNMP と McAfee MIB
McAfee 製品ラインのいくつかの機能は SNMP を使用してアクセスできます。McAfee MIB には、各オブジェクト
のオブジェクト識別子 (OID) や対象の特性を定義します。
MIB は以下のオブジェクト グループを定義します。
•
アラート - ESM はイベント転送を使用してアラート トラップを生成、送信できます。 Receiver は McAfee
SNMP データ ソースを設定してアラート トラップを受信できます。
•
フロー - Receiver は McAfee SNMP データ ソースを設定してフロー トラップを受信できます。
•
ESM 正常性要求 - ESM は自身と管理対象デバイスの正常性要求を受信して応答できます。
•
ブラックリスト - ESM はブラックリストのエントリを定義するトラップを受信して、管理する Nitro IPS デバ
イスに適用するリストを隔離できます。
McAfee MIB では、以下の値にテキスト規則 (列挙型) が定義されています。
•
アラートの受信時に実行されたアクション
•
フローの方向と状態
•
データソース タイプ
•
ブラックリスト アクション
構文的には、McAfee MIB は SNMPv2 管理情報構造 (SMI) に準拠しています。 SNMP を使用する McAfee 製品を
SNMPv1、SNMPv2c、SNMPv3 (認証とアクセス制御を含む) 上で動作するように設定できます。
正常性要求は、SNMP GET 操作を使用して作成されます。 SNMP GET 操作は、SNMP マネージャー アプリケーシ
ョンによって使用され、SNMP エージェント (この場合は ESM) によって維持される管理対象オブジェクトから値を
取得します。 アプリケーションは通常、ESM のホスト名と OID を OID の特定のインスタンスと一緒に提供して
SNMP GET 要求を実行します。
ESM は、戻り値またはエラーを返して応答します。たとえば、正常性要求と Nitro IPS ID 2 による Nitro IPS の正
常性の応答は次のようになります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
181
3
ESM の設定
補助サービスの設定
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.2.1.2
内部 Nitro IPS
Nitro IPS 名
1.3.6.1.4.1.23128.1.3.2.2.2
2
Nitro IPS の ESM 一意識別子
1.3.6.1.4.1.23128.1.3.2.3.2
1
Nitro IPS との通信が使用可能
(1) であるか、使用不可 (0) で
あるかを示します
1.3.6.1.4.1.23128.1.3.2.4.2
OK
Nitro IPS のステータス
1.3.6.1.4.1.23128.1.3.2.5.2
off
Nitro IPS のバイパス NIC の
ステータス
1.3.6.1.4.1.23128.1.3.2.6.2
Nitro IPS
Nitro IPS モード (Nitro IPS
または IDS)
1.3.6.1.4.1.23128.1.3.2.7.2
パーセント
2
瞬間的な CPU 負荷を合わせた
比率
1.3.6.1.4.1.23128.1.3.2.8.2
MB
1010
Nitro IPS RAM 合計
1.3.6.1.4.1.23128.1.3.2.9.2
MB
62
使用可能な RAM
1.3.6.1.4.1.23128.1.3.2.10.2 MB
27648
Nitro IPS データベース用にパ
ーティションが区切られた
HDD 容量の合計
1.3.6.1.4.1.23128.1.3.2.11.2 MB
17408
Nitro IPS データベースに使用
可能な HDD 空き容量
1.3.6.1.4.1.23128.1.3.2.12.2 1970 年 1 月 1
日
00:00:00.0
(GMT) からの経
過秒数
120793661
Nitro IPS の現在のシステム時
刻
1.3.6.1.4.1.23128.1.3.2.13.2
7.1.3
20070518091421a
Nitro IPS バージョン情報とビ
ルドスタンプ
1.3.6.1.4.1.23128.1.3.2.14.2
ABCD:1234
Nitro IPS マシン ID
1.3.6.1.4.1.23128.1.3.2.15.2
Nitro IPS
Nitro IPS モデル番号
1.3.6.1.4.1.23128.1.3.2.16.2 1 分あたりのアラ
ート
140
最後の 10 分間のアラート率
(1 分あたり)
1.3.6.1.4.1.23128.1.3.2.17.2 1 分あたりのフロ
ー
165
最後の 10 分間のフロー率 (1
分あたり)
上記の例では、SNMP マネージャーは SNMP エージェント ESM への要求を作成します。 数字の意味:
•
1.3.6.1.4.1.23128 - McAfee Internet Assigned Numbers Authority (IANA) で割り当てられているエン
タープライズ番号
•
1.3.2 - Nitro IPS 正常性要求
•
その次の数字 (上記の例では 1 から 17) は Nitro IPS 正常性の各種機能の要求を示します。
•
最後の数字 (2) は、OID の特定インスタンス Nitro IPS ID を示します。
ESM は、OID バインドに正常性要求の結果を設定して応答します。
182
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
補助サービスの設定
次の表は、ESM と Receiver OID の意味を示します。
表 3-37 ESM 正常性
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.1.1 パーセント
4
瞬間的な CPU 負荷を合わせた比率
1.3.6.1.4.1.23128.1.3.1.2 MB
3518
RAM 合計
1.3.6.1.4.1.23128.1.3.1.3 MB
25
使用可能な RAM
1.3.6.1.4.1.23128.1.3.1.4 MB
1468006
ESM データベース用にパーティションが
区切られた HDD 容量の合計
1.3.6.1.4.1.23128.1.3.1.5 MB
1363148
ESM データベースに使用可能な HDD 空
き容量
1.3.6.1.4.1.23128.1.3.1.6 1970 年 1 月 1 日
00:00:0.0 (GMT) か
らの経過秒数
1283888714 ESM の現在のシステム時刻
1.3.6.1.4.1.23128.1.3.1.7
8.4.2
ESM のバージョンとビルドスタンプ
1.3.6.1.4.1.23128.1.3.1.8
4EEE:6669
ESM のマシン ID
1.3.6.1.4.1.23128.1.3.1.9
ESM
ESM モデル番号
表 3-38 Receiver の正常性
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.3.1.x
Receiver
Receiver 名
1.3.6.1.4.1.23128.1.3.3.2 .x
2689599744
Receiver の ESM 一意識別子
1.3.6.1.4.1.23128.1.3.3.3.x
1
Receiver との通信が使用可能
(1) であるか、使用不可 (0) で
あるかを示します
1.3.6.1.4.1.23128.1.3.3.4.x
OK
Receiver のステータスを示し
ます
1.3.6.1.4.1.23128.1.3.3.5.x
パーセント
2
瞬間的な CPU 負荷を合わせ
た比率
1.3.6.1.4.1.23128.1.3.3.6.x
MB
7155
RAM 合計
1.3.6.1.4.1.23128.1.3.3.7.x
MB
5619
使用可能な RAM
1.3.6.1.4.1.23128.1.3.3.8.x
MB
498688
Receiver データベース用にパ
ーティションが区切られた
HDD 容量の合計
1.3.6.1.4.1.23128.1.3.3.9.x
MB
472064
Receiver データベースに使用
可能な HDD 空き容量
1.3.6.1.4.1.23128.1.3.3.10.x 1970 年 1 月 1 日 1283889234
00:00:0.0 (GMT)
からの経過秒数
1.3.6.1.4.1.23128.1.3.3.11.x
McAfee Enterprise Security Manager 9.5.1
7.1.3
20070518091421a
Receiver の現在のシステム時
刻
Receiver バージョンとビルド
スタンプ
製品ガイド
183
3
ESM の設定
補助サービスの設定
表 3-38 Receiver の正常性 (続き)
要求と応答 OID
単位
応答値
意味
1.3.6.1.4.1.23128.1.3.3.12.x
5EEE:CCC6
Receiver のマシン ID
1.3.6.1.4.1.23128.1.3.3.13.x
Receiver
Receiver モデル番号
1.3.6.1.4.1.23128.1.3.3.14.x 1 分あたりのアラ
ート
1
最後の 10 分間のアラート率
(1 分あたり)
1.3.6.1.4.1.23128.1.3.3.15.x 1 分あたりのフロ
ー
2
最後の 10 分間のフロー率 (1
分あたり)
x = デバイス ID デバイス ID のリストにアクセスするには、[システムのプロパティ]、[SNMP 設定] の順に移動し、
[デバイス ID を表示] をクリックします。
イベント、フロー、ブラックリスト エントリは、SNMP トラップまたは通知要求を使用して送信されます。 イベン
ト転送を実行するように設定された ESM から送信されるアラート トラップは、次のようになります。
OID
値
意味
1.3.6.1.4.1.23128.1.1.1
780
ESM アラート ID
1.3.6.1.4.1.23128.1.1.2
6136598
デバイス アラート ID
1.3.6.1.4.1.23128.1.1.3
内部 Nitro IPS
デバイス名
1.3.6.1.4.1.23128.1.1.4
2
デバイス ID
1.3.6.1.4.1.23128.1.1.5
10.0.0.69
ソース IP
1.3.6.1.4.1.23128.1.1.6
27078
ソース ポート
1.3.6.1.4.1.23128.1.1.7
AB:CD:EF:01:23:45 ソース MAC
1.3.6.1.4.1.23128.1.1.8
10.0.0.68
宛先 IP
1.3.6.1.4.1.23128.1.1.9
37258
宛先ポート
1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF 宛先 MAC
1.3.6.1.4.1.23128.1.1.11 17
プロトコル
1.3.6.1.4.1.23128.1.1.12 0
VLAN
1.3.6.1.4.1.23128.1.1.13 1 フローの方向
184
1.3.6.1.4.1.23128.1.1.14 20
イベント数
1.3.6.1.4.1.23128.1.1.15 1201791100
最初の時刻
1.3.6.1.4.1.23128.1.1.16 1201794638
最後の時刻
1.3.6.1.4.1.23128.1.1.17 288448
最後の時刻 (マイクロ秒)
1.3.6.1.4.1.23128.1.1.18 2000002
シグネチャ ID
1.3.6.1.4.1.23128.1.1.19 異常受信高
シグネチャの説明
1.3.6.1.4.1.23128.1.1.20 5
実行されたアクション
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
補助サービスの設定
OID
値
3
意味
1.3.6.1.4.1.23128.1.1.21 1
重大度
1.3.6.1.4.1.23128.1.1.22 201
データ ソース タイプまたは結果
1.3.6.1.4.1.23128.1.1.23 0
正規化されたシグネチャ ID
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0
IPv6 ソース IP
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0
IPv6 宛先 IP
1.3.6.1.4.1.23128.1.1.26
アプリケーション
1.3.6.1.4.1.23128.1.1.27
ドメイン
1.3.6.1.4.1.23128.1.1.28
ホスト
1.3.6.1.4.1.23128.1.1.29
ユーザー (ソース)
1.3.6.1.4.1.23128.1.1.30
ユーザー (宛先)
1.3.6.1.4.1.23128.1.1.31
コマンド
1.3.6.1.4.1.23128.1.1.32
オブジェクト
1.3.6.1.4.1.23128.1.1.33
シーケンス番号
1.3.6.1.4.1.23128.1.1.34
信頼されている環境で生成されたか、信頼されていない環境
で生成されたかを示します
1.3.6.1.4.1.23128.1.1.35
アラートを生成したセッションの ID
数字の意味:
•
1.3.6.1.4.1.23128 - McAfee IANA で割り当てられているエンタープライズ番号
•
1.1 - Nitro IPS 正常性要求
•
最後の番号 (1–35) - アラートの様々な特性を報告します)。
McAfee MIB 定義の詳細については、https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt を参
照してください (x.x.x.x は ESM の IP アドレス)。
ESM から MIB を取得する
ESM で送受信されるオブジェクトと通知を確認します。
この MIB で定義されたオブジェクトと通知が次の要求を送信する場合に使用されます。
•
1 つ以上の IPS デバイスのブラックリストと隔離リストを ESM に要求する場合
•
ESM 自身または IPS と Receiver デバイスの正常性ステータス情報を ESM に要求する場合
•
正常性ステータス情報をデバイスに要求する場合
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[SNMP 設定] をクリックし、[MIB を表示] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
185
3
ESM の設定
データベースを管理
ベース MIB 定義のリストが表示されます。
データベースを管理
ESM データベースを管理して、システム上の機能を設定する場合に情報と設定を提供できるようにします。
データベースのインデックス設定を管理し、イベントおよびフローのデータベース メモリ使用率に関する情報を表示
および出力し、非アクティブ状態のパーティションのストレージ場所を設定し、イベントおよびフローのデータ保持
ポリシーを設定し、データベースがイベント データとフロー データの領域を割り当てる方法を設定できます。
VM に CPU が 5 つ以上ある場合は、システム ストレージ、データ ストレージ、および高パフォーマンス ストレー
ジ用にストレージ領域を追加できます。
ESM VM で一度に複数のドライブを削除すると、それ以前のすべての ELM 検索結果が失われます。これを防ぐには、
このプロセスを実行する前に ELM 検索結果をエクスポートします。
関連トピック:
189 ページの「アキュムレータのインデックス作成を管理」
188 ページの「データベースのインデックス設定を管理」
188 ページの「データ保持制限を設定」
189 ページの「データベースのメモリ使用率を表示」
ESM データ ストレージを設定
ESM データの格納用に設定できる外部ストレージには、Internet Small Computer System Interface(iSCSI)、
Storage Area Network(SAN)、Direct-attached storage(DAS)の 3 つのタイプがあります。これらを ESM
に接続して、ESM からのデータが格納されるように設定できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データ ストレー
ジ]をクリックします。
2
いずれかのタブをクリックし、アクションを選択し、必要な情報を入力します。
3
[キャンセル] をクリックしてページを閉じます。
関連トピック:
188 ページの「データ保持制限を設定」
ESM VM データ ストレージを設定
ESM VM に CPU が 5 つ以上ある場合は、[データベース] ページの [VM データ] オプションを使用して、VM のシ
ステム ストレージ、データ ストレージ、および高パフォーマンス ストレージ用の追加ストレージを使用できます。
[データの割り当て] ページの各ドロップダウン リストには、VM にマウントされている使用可能なストレージ ドラ
イブが表示されます。
186
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
データベースを管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [VM データ]をク
リックします。
2
各フィールドで、データを格納するドライブを選択します。ドライブはそれぞれ 1 回だけ選択できます。
3
[OK] をクリックします。
使用可能なアキュムレーター インデックスの数を増やす
ESM で有効な標準インデックスの数に制限があるため、アキュムレーター フィールドには 5 つのインデックスしか
追加できません。 5 つ以上のインデックスが必要な場合には、現在使用していない標準インデックスを無効にできま
す (たとえば、sessionid、src/dst mac、src/dst port、src/dst zone、src/dst geolocation、など、最大で 42
個まで)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
ESM は、クエリ、レポート、アラーム、ビューの生成時に標準インデックスを使用します。 標準インデックスを無効
にして、これらのインデックスを使用するクエリ、レポート、アラームまたはビューを生成すると、インデックスが無
効なため処理を実行できないことが通知されます。 プロセスに影響を及ぼすインデックスは通知されません。 このた
め、必要でない限り、標準インデックスを無効にしないでください。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[データベース] をクリックします。
2
[設定] をクリックし、[アキュムレータのインデックス作成] タブをクリックします。
3
ドロップダウン リストから [標準インデックス] をクリックして、[標準インデックスを表示する] を選択します。
標準インデックスが [有効] 領域に表示されます。
4
無効にする標準インデックスをクリックして矢印をクリックし、[使用可能] 領域に移動します。
標準インデックスを無効にすると、ページの右上隅にある [残り] の数が増加します。
選択したアキュムレーター フィールドで 5 つ以上のアキュムレーター インデックスを有効にできます (「アキュム
レーター インデックスを管理する」を参照)。
非アクティブ状態のパーティションのアーカイブを設定
ESM では、データをパーティションに分割しています。 パーティションが最大サイズに達すると、非アクティブに
なり、削除されます。非アクティブなパーティションが削除されないように、ストレージ場所を設定することができ
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [アーカイブ]をク
リックします。
2
フィールドに入力します。フィールドは、選択したタイプによって異なります。
3
[OK] をクリックして設定を保存します。
パーティションは、非アクティブになるとこの場所にコピーされ、[イベントパーティション] および [フロー パーテ
ィション] タブにリストされます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
187
3
ESM の設定
データベースを管理
データ保持制限を設定
システムに履歴データが送信されるように設定されている場合は、イベントとフローが保持される時間を選択し、挿
入される履歴データの量を制限することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データの保持]を
クリックします。
2
イベントとフローが保持される時間を選択し、履歴データを制限するかどうかを指定します。
3
[OK] をクリックします。
関連トピック:
186 ページの「ESM データ ストレージを設定」
データ割り当て制限を定義する
システムによって維持されるイベント レコードとフロー レコードの最大数は、固定値です。データ割り当てでは、
クエリーを最適化するために、各レコードに割り当てる領域と、検索するレコード数の制限を設定できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [データの割り当
て] の順にクリックします。
2
数字行のマーカーをクリックし、目的の数字にドラッグするか、[イベント] および [フロー] フィールドの矢印を
クリックします。
3
[OK] をクリックします。
データベースのインデックス設定を管理
データベースにあるデータの特定のフィールドのインデックス作成オプションを設定します。インデックスが作成さ
れていないデータも格納できますが、ほとんどのクエリー結果に表示されなくなります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
188
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [設定]をクリック
します。
2
[イベント] および [フロー] 列で現在の設定を変更するには、変更するアイテムをクリックして、ドロップダウン
リストから新しい設定を選択します。
3
[ポート] 列で [カスタム] を選択すると、[ポート値] 画面が開き、新しいポート値を選択または追加することが
できます。
4
[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
ユーザーとグループの操作
アキュムレータのインデックス作成を管理
ソースから数値データをプルするカスタム フィールドがある場合は、アキュムレータのインデックス作成によって、
特定期間のデータの合計または平均を計算できます。複数のイベントを累積して、値の平均を計算、または傾向値を
生成することができます。
開始する前に
アキュムレータのインデックス作成のカスタム タイプを設定します(『カスタム タイプを作成』を参
照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[データベース] をクリックします。
2
[設定] をクリックし、[アキュムレータのインデックス作成] タブをクリックします。
3
インデックスを選択し、[OK] をクリックします。
アキュムレータ クエリーを設定して結果を表示することができます。
関連トピック:
284 ページの「クエリーを管理する」
296 ページの「カスタム タイプを作成」
データベースのメモリ使用率を表示
データベース メモリの使用詳細を示すテーブルを表示、印刷します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データベース] 、 [メモリの使用]を
クリックします。
[イベント] および [フロー] テーブルに、データベースのメモリ使用率がリストされます。
2
レポートを出力するには、[印刷] アイコン
をクリックします。
ユーザーとグループの操作
ユーザーとグループをシステムに追加して、ESM、そのデバイス、ポリシーへのアクセス権および関連の特権を付与
する必要があります。
FIPS モードの場合、ESM has には、[ユーザー]、[パワー ユーザー]、[キーと証明書の管理]、[監査の管理] の 4
つのユーザー役割があります。 FIPS 以外のモードでは、[システム管理者] と [一般ユーザー] の 2 つのタイプのユ
ーザー アカウントがあります。
[ユーザーとグループ] ページには次の 2 つのセクションがあります。
•
[ユーザー] - ユーザーの名前、各ユーザーが現在開いているセッションの数、所属しているグループ。
•
[グループ] - グループの名前と各グループに割り当てられている特権の説明。
[ユーザー名]、[セッション数]、[グループ名] をクリックしてテーブルをソートできます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
189
3
ESM の設定
ユーザーとグループの操作
グループ特権
グループをセットアップするときに、グループのメンバーに特権を設定します。 [グループを追加] の [特権] ページ
で、[このグループのアクセス権限を制限] を選択すると ([システムのプロパティ] 、 [グループを追加])、これらの
機能に対するアクセスが制限されます。
•
[アラーム] - グループ内のユーザーは、アラーム管理の受信者、ファイル、テンプレートにアクセスできませ
ん。 アラームの作成、編集、有効化、無効化は許可されません。
•
[ケース管理] — [組織] 以外のすべての機能にアクセスできます。
•
[ELM] — は高度な ELM 検索を実行できますが、ELM 検索の保存や ELM デバイス プロパティへのアクセスは実
行できません。
•
[レポート] — レポートを実行して出力を電子メールで送信できます。
•
[ウォッチリスト] — 動的ウォッチリストを追加できません。
•
[資産マネージャー] と [ポリシー エディター] — これらの機能にはアクセスできません。
•
[ゾーン] — ゾーン リストでアクセス権限のあるゾーンのみを表示できます。
•
[システムのプロパティ] — [レポート] と [ウォッチリスト] にのみアクセスできます。
•
[フィルター] — [文字列の正規化]、[Active Directory]、[資産]、[資産グループ]、[タグ] のフィルター タブに
アクセスできません。
•
アクション ツールバー — デバイス管理、複数デバイスの管理、イベントのストリーミング ビューアーにアクセ
スできません。
ユーザーの追加
システム管理者特権を持っている場合、ユーザーをシステムに追加して、ユーザーに ESM、そのデバイスとポリシ
ーへのアクセス権限および関連する特権を付与できます。追加したユーザー設定は、編集または削除することができ
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ユーザーとグループ] を選択します。
2
システム管理者のパスワードを入力して、[OK] をクリックします。
3
[ユーザー] セクションで、[追加] をクリックして必要な情報を入力します。
4
[OK] をクリックします。
システムにユーザーが追加され、ユーザーが所属しているグループに割り当てられている特権が与えられます。ユー
ザー名が [ユーザーとグループ] ページの [ユーザー] セクションに表示されます。各ユーザー名の横にアカウント
が有効かどうかを示すアイコンが表示されます。ユーザーに管理者特権がある場合は、ロイヤルティ アイコン
名前の横に表示されます。
が
ユーザー設定の選択
[ユーザー設定:] ページには、複数のデフォルト設定を変更するオプションがあります。タイム ゾーン、日付形式、
パスワード、デフォルトの表示、コンソール言語を変更できます。無効なデータ ソース、[アラーム] タブ、[ケース]
タブを表示するかどうかも選択できます。
190
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
ユーザーとグループの操作
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックします。
2
[ユーザー設定:] が選択されていることを確認します。
3
必要に応じて設定を変更して、[OK] をクリックします。
設定に基づいて、コンソールの表示形式が変更されます。
セキュリティのセットアップ
標準ログイン設定の設定、アクセス制御リスト (ACL) の構成、共通アクセス カード (CAC) 設定の定義を行うには、
ログインのセキュリティを使用します。また、Remote Authentication Dial In User Service (RADIUS)、Active
Directory、および Lightweight Directory Access Protocol (LDAP) 認証(システム管理者権限を持っている場合
のみ)を有効にすることもできます。
ESM のセキュリティ機能
McAfee ファミリーの Nitro IPS ソリューションは、ネットワーク上で発見されにくいように設計されており、攻撃
はさらにむずかしくなっています。Nitro IPS デバイスにはデフォルトで IP スタックがないため、パケットを Nitro
IPS に直接アドレス指定することができません。
Nitro IPS との通信は、McAfee Secure Encrypted Management (SEM) 技術によって実現されています。 SEM
は、帯域内 Advanced Encryption Standard (AES) で暗号化されたチャネルであり、プレイバック攻撃や中間者タ
イプの攻撃のリスクを軽減します。
Nitro IPS デバイスは、SEM チャネルを介して認証済み ESM によってアドレス指定された場合のみ通信できます。独
自に通信を開始することはありません。ESM と ESM コンソールの通信は、FIPS 準拠の暗号化で保護されます。
ESM は、認証され暗号化されたシグネチャとソフトウェア更新を、暗号化された通信メカニズムによって McAfee
セントラル サーバーから取得します。ハードウェアベースとソフトウェアベースのメカニズムによって、適切に認証
された ESM からのみデバイスが管理されるようになっています。
標準ログイン設定の定義
指定された時間内にログイン試行できる回数、システムを非アクティブな状態にできる時間の長さ、パスワード設定、
ログイン時に最後のユーザー ID を表示するかどうかを定義して、標準ログイン手順の設定を調整します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[標準] タブでオプションを設定します。
3
[OK] または [適用] をクリックします。
ログオン パスワードの設定を定義する
システムのログオン パスワードは、いくつかの方法で定義できます。
開始する前に
システムの管理者権限が必要です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
191
3
ESM の設定
ユーザーとグループの操作
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[ログインのセキュリティ] をクリックし
ます。
2
[パスワード] タブをクリックします。項目を選択して [適用] または [OK] をクリックします。
RADIUS 認証設定の構成
RADIUS サーバーにユーザーを認証するように ESM を設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[RADIUS] タブを選択し、プライマリ サーバーのフィールドを入力します。セカンダリ サーバーはオプション
です。
3
[OK] または [適用] をクリックします。
サーバーを有効にすると、システム管理者を除くすべてのユーザーが RADIUS サーバーによって認証されます。認
証を無効にした場合、RADIUS 認証に設定したユーザーは ESM にアクセスできません。
アクセス制御リストの設定
ESM へのアクセスを許可するか、アクセスをブロックできる IP アドレスのリストを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[ACL 設定] をクリックし、IP アドレスをリストに追加します。
3
[OK] をクリックし、設定を保存して [アクセス制御リスト] を閉じます。
ACL リストから IP アドレスを編集したり、削除することができます。
CAC 設定
ESM の認証は、ユーザー名とパスワードを入力するのではなく、ブラウザーから CAC 認証情報を指定することによ
って行えます。
CAC には、サーバー証明書が Web サイトを識別するのと同様の方法でユーザーを識別するクライアント証明書が含
まれています。CAC 機能を有効にした場合は、CAC ベースの認証を熟知しているものとみなします。どのブラウザ
ーがこの機能をサポートしているかを把握していて、CAC と関連付けられた Electronic Data Interchange
Personal Identifier (EDI-PI) についても熟知しているということです。
証明書は取り消されることがあります。証明書失効リスト (CRL) は、システムでこのような失効を認識できる方法
を提供します。CRL ファイルが含まれている .zip ファイルを手動でアップロードできます。
ActivClient は、Windows 上で唯一サポートされている CAC ミドルウェアです。Windows から Internet
Explorer を使って ESM で CAC 認証を使用するには、クライアント コンピューターに ActivClient をインストー
ルする必要があります。 ActivClient をインストールした場合、CAC 認証情報の管理には、Windows のネイティブ
192
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
ユーザーとグループの操作
3
Smart Card マネージャーではなく ActivClient が使用されます。クライアントが他の CAC が有効な Web サイト
にアクセスする場合、すでにインストールされている可能性が高いソフトウェアは ActivClient です。ActivClient
のセットアップ方法や、ソフトウェアのダウンロード場所についての情報は、http://militarycac.com/
activclient.htm または所属している組織のイントラネットをご覧ください。
CAC 検証に依存してアプリケーション認証を行う場合、システムのセキュリティは証明機関 (CA) のセキュリティに
依存します。CA が危険にさらされると、CAC 有効化ログインも危険にさらされます。
CAC ログインの構成
CAC ログインをセットアップするには、CA ルート証明書をアップロードして CAC ログイン機能を有効にし、ユー
ザー名をカード ホルダーの 10 桁の EDI-PI に設定して CAC ユーザーを有効にする必要があります。 これ以降、ユ
ーザー名またはパスワードの入力は要求されません。カード ホルダーが CAC 対応のブラウザーで ESM にアクセス
できます。
ESM は、Gemalto と Oberthur ID One カード リーダーに対応しています。 カード リーダーに関するヘルプが必
要な場合には、McAfee サポートに連絡してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
CA ルート証明書をアップロードします。
a
コンピューターのコントロール パネルで、[インターネット オプション] 、 [コンテンツ] 、 [証明書] 、 [信
頼されたルート証明機関] の順にクリックします。
b
現在のルート CA を選択して、[エクスポート] をクリックします。
c
[証明書のエクスポート ウィザード] で [次へ] をクリックし、[Base-64 encoded X.509] を選択して [次
へ] をクリックします。
d
エクスポート先の場所とファイル名を入力し、[次へ] をクリックして [完了] をクリックします。
e
ESM コンソールのシステム ナビゲーション ツリーで [システムのプロパティ] に移動し、[ログインのセキュ
リティ] をクリックして [CAC] タブを選択します。
f
[アップロード] をクリックし、エクスポートしたファイルを選択して ESM にアップロードします。
2
[CAC] タブで情報を入力し、必要な項目を選択して [OK] をクリックします。
3
それぞれの CAC ユーザーを有効にします。
a
[システムのプロパティ] で [ユーザーとグループ] をクリックし、システム パスワードを入力します。
b
[ユーザー] テーブルでユーザーの名前を強調表示し、[編集] をクリックします。
c
[ユーザー名] フィールドの名前を 10 桁の EDI-PI で置き換えます。
d (オプション)[ユーザーの別名] フィールドにユーザー名を入力し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
193
3
ESM の設定
ユーザーとグループの操作
Active Directory 認証設定を設定
ESM では、[Active Directory] に対してユーザーを認証するように設定できます。有効にすると、システム管理者
を除くすべてのユーザーが [Active Directory] で認証されます。認証を無効にすると、[Active Directory] での認
証が設定されたユーザーはシステムにアクセスできなくなります。
開始する前に
•
ESM からアクセスできる [Active Directory] を設定します。
•
Create a group (see 『Set up user groups』) with the same name as the [Active
Directory] group that has access to the ESM. たとえば、グループの名前を「McAfee Users」
にする場合は、 [システムのプロパティ] 、 [ユーザーとグループ]の順に移動して、
「McAfee Users」
という名前のグループを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ログインのセキュリティ] をクリック
します。
2
[Active Directory] タブをクリックし、[Active Directory 認証を有効化] を選択します。
3
[追加] をクリックし、接続の設定に必要な情報を追加します。
4
[Active Directory 接続] ページで [OK] をクリックします。
McAfee ePO のユーザー認証情報をセットアップする
ユーザー認証情報をセットアップすると、McAfee ePO デバイスへのアクセスを制限できます。
開始する前に
グローバル ユーザー認証を要求するように McAfee ePO デバイスをセットアップしないでください
([グローバル ユーザー認証をセットアップする]を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのシステム ナビゲーション バーで、[オプション] をクリックし、[ePO 認証情報] を選択しま
す。
2
デバイスをクリックして、[編集] をクリックします。
デバイスのステータス列が [必要ありません] の場合、このデバイスはグローバル ユーザー認証用にセットアップ
されています。 デバイスの [接続] ページでステータスを変更できます (「ESM との接続を変更する」を参照)。
3
ユーザー名とパスワードを入力して、[OK] をクリックします。
このデバイスにアクセスするには、追加したユーザー名とパスワードを使用します。
ユーザーの無効化または再有効化
ユーザーが [ログインのセキュリティ] に設定した時間枠内の許容されるログイン試行失敗回数を超えた場合、この
機能を使用してアカウントを再有効化します。ユーザー アクセスを一時的または永続的にブロックする必要がある
場合もこの機能を使用すると、ユーザーをシステムから削除する必要がありません。
194
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
ユーザーとグループの操作
3
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ユーザーとグループ] を選択します。
2
[ユーザー] テーブルで、ユーザー名を強調表示して [編集] をクリックします。
3
[アカウントを無効化] を選択または選択解除して、[OK] をクリックします。
[ユーザーとグループ] のユーザー名の横にあるアイコンは、アカウントのステータスを反映しています。
LDAP サーバーでユーザーを認証する
ユーザーを LDAP サーバーで認証するように ESM を構成することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択してから、[ログインのセキュリティ] をクリ
ックします。
2
[LDAP] タブをクリックします。
3
フィールドに入力し、[適用] または [OK] をクリックします。
これを有効にすると、システム管理者を除くすべてのユーザーは LDAP サーバーによって認証される必要がありま
す。 認証を無効にした場合、LDAP 認証に設定したユーザーはシステムにアクセスできません。
ユーザー グループの設定
グループはグループの設定を継承するユーザーで構成されます。グループを追加する場合、デバイス、ポリシー、特
権を割り当てる必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[ユーザーとグループ] 、 [追加] をク
リックします。
2
各タブに必要な情報を入力して、[OK] をクリックします。
グループは、[ユーザーとグループ] ページの [グループ] テーブルに追加されます。
アクセス制限のあるグループを追加する
特定のユーザーに対して、ESM の機能へのアクセスを制限するには、そのユーザーを含むグループを作成します。
このオプションにより、アラーム、ケース管理、ELM、レポート、ウォッチリスト、資産管理、ポリシー エディタ
ー、ゾーン、システム プロパティ、フィルター、アクション ツールバーへのアクセスが制限されます (ユーザーと
グループの操作を参照)。 他の機能はすべて無効になります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
195
3
ESM の設定
システム設定のバックアップおよびリストア
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
2
[ユーザーとグループ] をクリックし、システム パスワードを入力します。
3
次のいずれかを行います。
4
をクリックします。
•
グループをすでに設定している場合は、[グループ] テーブルでグループを選択し、[編集] をクリックします。
•
グループを追加する場合は、[グループ] の横にある [追加] をクリックし、名前と説明を入力してユーザーを
選択します。
[特権] をクリックし、[このグループのアクセス権限を制限] 選択します。
ほとんどの特権が無効になります。
5
特権リストから、このグループに付与する特権を選択します。
6
各タブをクリックして、グループの残りの設定を定義します。
システム設定のバックアップおよびリストア
現在のシステム構成設定を自動的にまたは手動で保存して、システム障害またはデータ漏えいが発生した場合にリス
トアできるようにします。現在の設定は、冗長 ESM に設定して保存することもできます。
標準的なバックアップでは、すべての設定が保存されます。ポリシーだけでなく、SSH、ネットワーク、SNMP ファ
イルも保存されます。 新しい ESM デバイスを追加すると、[バックアップとリストア] が有効になり、7 日ごとにバ
ックアップが実行されます。 システムが受け取ったイベント、フロー、ログをバックアップできます。イベント、フ
ロー、またはログ データを最初にバックアップする場合には、現在の日付の開始時点からのデータだけが保存されま
す。以降のバックアップでは、最後のバックアップ時点からのデータが保存されます。
イベント、フロー、またはログを ESM にバックアップすると、ESM の空きディスク領域が減ります。ローカルの ESM
から、バックアップ ファイルを定期的にダウンロードするか削除することをお勧めします。
システムをリストアするには、ESM、ローカル コンピューター、またはリモートの場所にある 1 つ以上のバックア
ップ ファイルを選択して、すべての設定とデータを元の状態に戻します。この機能を実行すると、バックアップの作
成後に設定に加えたすべての変更が失われます。たとえば、毎日のバックアップを行っていて、過去 3 日間のデータ
をリストアする場合には、最後の 3 つのバックアップ ファイルを選択します。3 つのバックアップ ファイルからの
イベント、フロー、およびログが、現在 ESM にあるイベント、フロー、およびログに追加されます。それによって、
すべての設定が、最新のバックアップに含まれている設定によって上書きされます。
ESM の設定とシステム データのバックアップ
ESM のデータをバックアップするには複数の方法があります。 新しい ESM を追加すると、[バックアップとリスト
ア] が有効になり、7 日ごとにバックアップが実行されます。 この機能を無効にすることも、デフォルトの設定を変
更することもできます。
196
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
システム設定のバックアップおよびリストア
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [バックアップと
リストア] の順にクリックします。
2
いずれかのアイテムの設定を定義します。
3
•
自動バックアップ
•
手動バックアップ
•
冗長 ESM
•
以前のバックアップにシステムをリストアします。
[OK] をクリックして [バックアップとリストア] ページを閉じます。
関連トピック:
197 ページの「ESM 設定のリストア」
198 ページの「ESM でバックアップ ファイルを使用」
ESM 設定のリストア
システム障害またはデータ損失発生時に、バックアップ ファイルを選択して、システムを以前の状態にリストアでき
ます。
タスク
データベースに最大許容数のレコードが含まれ、リストアされるレコードが ESM の現在のデータの範囲に含まれない
場合、レコードはリストアされません。その範囲外のデータを保存してアクセスするには、非アクティブ状態のパーテ
ィションのアーカイブを設定する必要があります(『データ保持制限の設定』を参照)。
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] 、 [バックアップと
リストア] 、 [バックアップをリストア] をクリックします。
2
実行する必要があるリストアのタイプを選択します。
3
リストアするファイルを選択するかリモートの場所の情報を入力して、[OK] をクリックします。
バックアップのリストアは、リストア ファイルのサイズによっては時間がかかる可能性があります。ESM は完全リ
ストアが完了するまでオフラインです。その間、システムは 5 分ごとに再接続を試行します。プロセスが完了する
と、[ログイン] ページが表示されます。
関連トピック:
188 ページの「データ保持制限を設定」
バックアップされた設定ファイルをリストアする
バックアップした SSH、ネットワーク、SNMP、他の設定ファイルを各デバイスの ESM にリストアできます。
開始する前に
設定ファイルを ESM にバックアップします (『ESM 設定とシステム データをバックアップする』を参
照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
197
3
ESM の設定
システム設定のバックアップおよびリストア
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでデバイスをクリックし、[プロパティ] アイコン
を選択します。
デバイスの [設定] オプションをクリックして [設定のリストア] をクリックし、[はい] をクリックします。
ESM でバックアップ ファイルを使用
ESM に保存したバックアップ ファイルは、ダウンロード、削除、または表示することができます。アップロードし
たファイルは、バックアップ ファイルのリストに追加することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ファイルの維持] をクリックします。
2
[タイプを選択] ドロップダウン リストで、[ファイルをバックアップ] を選択します。
3
実行するアクションを選択します。
4
[OK] をクリックします。
関連トピック:
196 ページの「ESM の設定とシステム データのバックアップ」
ファイルの維持を管理
ESM では、バックアップ ファイル、ソフトウェア更新ファイル、アラーム ログ ファイル、レポート ログ ファイル
が格納されます。これら各リストでは、ファイルのダウンロード、アップロード、および削除ができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ファイルの維持] をクリックします。
2
[ファイル タイプを選択] フィールドで、[ファイルをバックアップ]、[ソフトウェア更新ファイル]、[アラーム
ログ ファイル]、または [レポート ファイル] を選択します。
3
ファイルを選択し、いずれかのオプションをクリックします。
4
[適用] または [OK] をクリックします。
関連トピック:
196 ページの「ESM の設定とシステム データのバックアップ」
198
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
冗長 ESM
3
冗長 ESM
冗長 ESM 機能では、現在の ESM 設定を冗長 ESM に保存して、システム障害またはデータ損失の場合にプライマ
リ ESM に変換できます。 この機能は、システム管理者の特権があるユーザーのみ使用できます。
冗長 ESM を設定した場合、プライマリ ESM の設定とポリシー データは 5 分ごとに冗長 ESM と自動的に同期され
ます。 冗長 ESM を設定するには、冗長デバイスがプライマリ デバイスから設定およびデータを受信し、プライマ
リ デバイスがバックアップ設定およびデータを冗長デバイスに送信するように定義する必要があります。プライマ
リ ESM を接続する前に、冗長 ESM を設定する必要があります。
ESM 冗長機能は、ESMREC 組み合わせデバイスでは使用できません。
冗長 ESM の設定
冗長 ESM にシステム設定を保存するには、各 ESM が相互に通信するように設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
プライマリとそれぞれの冗長 ESM で SSH を有効にします。
a
システム ナビゲーション ツリーで [システムのプロパティ] に移動し、[ネットワーク設定] をクリックしま
す。
b
[SSH を有効化] が選択されていることを確認して、[OK] をクリックします。
それぞれの冗長 ESM をセットアップします。
a
ログオンして、システム ナビゲーション ツリーの [システムのプロパティ] に移動し、[システム情報] 、 [バ
ックアップとリストア] 、 [冗長] の順にクリックします。
b
[ESM タイプ] フィールドで [冗長] を選択し、プライマリ ESM の IP アドレスと SSH ポートを入力して
[OK] をクリックします。
c
サービスの再起動が必要なことが警告されたときに、再起動を行うと、すべてのユーザーが ESM から切断さ
れます。[はい] をクリックします。
冗長 ESM のコンソールがシャットダウンします。
3
プライマリ ESM にログオンします。
4
システム ナビゲーション ツリーで [システムのプロパティ] に移動し、[システム情報] 、 [バックアップとリス
トア] 、 [冗長] の順にクリックします。
5
[ESM タイプ] フィールドで [プライマリ] を選択し、プライマリ ESM の SSH ポートを選択します。メール ア
ドレスを追加して、表で冗長 ESM を選択または追加します。
最大で 5 つまでの冗長 ESM を追加できます。
6
[OK] をクリックします。
サービスの再起動が必要なことが警告されます。再起動すると、すべてのユーザーが ESM から切断されます。
7
[はい] をクリックして、同期を続行します。
•
通知先のメール アドレスを指定した場合、ESM の最終処理の準備が完了したときに電子メールが送信されま
す。
•
メール アドレスを指定していない場合には、再度ログインしてステータスを確認してください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
199
3
ESM の設定
ESM の管理
8
セットアップの最終処理を行います。
a
[冗長設定] ページに再度アクセスします (手順 2a)。
b
[最終処理] をクリックします。
プライマリと 冗長 ESM が最終同期に入ります。 プロセスが完了すると、システムが起動します。
冗長 ESM を置換する
冗長 ESM が停止した場合には、新しいものと置き換えることができます。
開始する前に
システムに新しい冗長 ESM を追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認します。
2
[バックアップとリストア] 、 [冗長] の順にクリックし、[プライマリ] を選択して、[冗長 ESM IP アドレス] フ
ィールドに新しい冗長 IP アドレスを入力します。
3
[冗長] を選択して、プライマリ ESM IP アドレスが正しいことを確認します。
4
[プライマリ] を選択し、[接続] をクリックして、2 つのデバイスが通信していることを確認します。
5
[ESM 全体を同期] を選択し、[OK] をクリックします。
ESM の管理
ESM では、ソフトウェア、ログ、証明書、機能ファイル、通信キーをいくつかの方法で管理できます。
タブ オプション
定義
[設
定]
[ログを管理]
イベント ログに記録されるイベントのタイプを設定します。
[ESM 階層]
ESM デバイスを階層的に使用する場合のデータ オプションを設定します。
[暗号化]
グローバル設定を定義し、イベント転送で送信されるか、親 ESM に送信されるアラート レ
コードのフィールドをマスクします。
[ロギング]
内部イベントを ELM に送信して格納します。このデータは監査用に使用できます。
[システム ロ
ケール]
正常性モニターやデバイス ログなどのロギング イベントで使用されるシステム言語を選択
します。
[名前マップ]
ポートとプロトコルの選択を解除し、名前ではなく Raw 値を表示します。 たとえば、[ソ
ース ポート] または [宛先ポート] の選択を解除すると、http:80 が 80 と表示されます。
プロトコル を選択すると、RAW 番号の 17 が udp と表示されます。
[キ
[証明書]
ー管
理]
[SSH を再生
成]
200
新しい Secure Socket Layer (SSL) 証明書をインストールします。
すべてのデバイスとの通信に使用する秘密/公開 SSH 鍵ペアが再生成されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
ESM の管理
タブ オプション
3
定義
[すべてのキー システムのすべてのデバイスの通信キーを 1 つずつエクスポートするのではなく、まとめて
をエクスポー エクスポートします。
ト]
[すべてのキー [すべてのキーをエクスポート] 機能を使用してエクスポートした通信キーを、すべてのデバ
をリストア]
イスまたは選択したデバイス用にリストアします。
[メ
[ESM を更新]
ンテ
ナン
ス]
ESM ルールと更新サーバー、または McAfee セキュリティ エンジニアから McAfee ソフ
トウェアを更新します。
[ESM データ]
ESM のステータス情報が含まれる .tgz ファイルをダウンロードします。このステータス
は、McAfee サポートが問題の解決を行うときに役立ちます。
[タスク マネ
ージャー]
ESM で実行中のクエリーを表示し、必要に応じて停止します。
[シャットダウ ESM をシャットダウンします。このアクションを行うとすべてのユーザーが ESM との通
ン]
信を失うことを示す警告メッセージが表示されます。
[再起動]
ESM を停止して再起動します。このアクションを行うとすべてのユーザーが ESM との通
信を失うことを示す警告メッセージが表示されます。
[ターミナル]
この機能は上級ユーザー向けです。
ESM で Linux コマンドを入力します。ターミナルは部分的なバッチ モード エミュレータ
ーとしてのみ機能するため、使用できないコマンドもあります。
• ターミナルは現在の作業ディレクトリを維持しません。
• cd を使用して別のディレクトリに移動することはできません。
• フル パス名を使用する必要があります。
• > または >> 演算子は機能しません。すべての結果は画面に戻されます。
[機能を取得]
追加機能を購入している場合は、ESM でサポートされている機能に関する情報が含まれた
暗号化ファイルをダウンロードして、ESM で有効にします。
[機能を設定]
[機能を取得] を使用してダウンロードしたファイルをインストールします。
[接続]
サポートに連絡する場合には、システムにアクセスできる権限を McAfee サポートに付与し
てください。
このオプションは FIPS に対応していないため、FIPS モードで動作している場合は使用でき
ません。
[統計を表示]
ESM デバイスの以下の情報を使用できます。
• メモリーとスワップ領域の使用統計
• 入出力と転送率の統計
• CPU 使用率
• キューのサイズと負荷の平均
• システムの切り替えアクティビティ
McAfee Enterprise Security Manager 9.5.1
製品ガイド
201
3
ESM の設定
ESM の管理
関連トピック:
205 ページの「リモート デバイスにアクセス」
204 ページの「SSH キーを再生成する」
169 ページの「受信者の管理」
202 ページの「イベントのタイプ」
202 ページの「ログを管理」
178 ページの「新しい証明書をインストール」
203 ページの「ESM ロギングを設定」
203 ページの「IP アドレスをマスクする」
203 ページの「通信キーをエクスポートおよびリストアする」
206 ページの「使用できる Linux コマンド」
206 ページの「Linux コマンドを使用する」
ログを管理
ESM で生成されるイベントには、いくつかのタイプがあります。イベント ログに保存するタイプを選択することが
できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[ログを管理] をクリックし、記録するイベント タイプを選択します。
3
[OK] をクリックします。
イベントのタイプ
これらは、ESM で生成されるイベント ログ タイプです。
イベントのタイプ
記録されるイベント
[認証]
ログイン、ログアウト、およびユーザー アカウントが変更されます。
FIPS 規制に準拠するために、[認証モード] は常に [なし] に設定されます。
[バックアップ]
データベースのバックアップ プロセス。
[ブラックリスト]
デバイスに送信されたブラックリスト エントリ。
[デバイス]
デバイス変更、またはイベント、フロー、ログの取得などの通信。
[イベント転送]
イベント転送の変更またはエラー。
[正常性モニター]
デバイス ステータス イベント。
[通知]
通知の変更またはエラー。
[ポリシー]
ポリシー管理およびポリシー適用。
[ルール サーバー]
ルール サーバーからルールをダウンロードして検証します。
FIPS モードの場合は、ルール サーバーを通じてルールを更新しないでください。
202
[システム]
システム設定の変更およびテーブル ロールオーバーのロギング。
[ビュー]
ビューとクエリーに対する変更。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
ESM の管理
IP アドレスをマスクする
イベント転送で送信されるイベント レコードまたは親 ESM に送信されるイベント レコードで、特定のデータをマ
スクできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[ESM 管理] 、 [ESM 階層] の順にク
リックします。
2
データをマスクする ESM に [暗号化] を選択します。
[暗号化フィールドの選択] ページが開きます。
3
マスクするフィールドを選択します。
4
[OK] をクリックします。
セットアップが完了し、親 ESM が子 ESM からパケットを要求すると、選択したデータがマスクされます。
ESM ロギングを設定
システムに ELM デバイスがある場合は、生成された内部イベント データが ELM デバイスに送信されるように、ESM
を設定できます。その場合は、デフォルトのロギング プールを設定する必要があります。
開始する前に
システムに ELM デバイスを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[設定] タブで、[ロギング] をクリックします。
3
必要な選択を行い、[OK] をクリックします。
イベント ログの言語を変更
最初に ESM に最初にログオンしたときに、正常性モニター ログやデバイス ログなどのイベント ログで使用される
言語を選択しました。この言語設定は変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ESM 管理]を選択します。
2
[システム ロケール] をクリックし、ドロップダウン リストから言語を選択して、[OK] をクリックします。
通信キーをエクスポートおよびリストアする
システム内のすべてのデバイスについて、通信キーを 1 つのファイルにエクスポートします。通信キーをエクスポー
トすると、必要なときにリストアすることができます。
•
システム ナビゲーション ツリーで、[システムのプロパティ] 、 [ESM 管理] の順に選択し、[キー管理] タブを
クリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
203
3
ESM の設定
ESM の管理
目的
手順
すべての通信キーをエクス 1 [すべてのキーをエクスポート] をクリックします。
ポート
2 キー ファイルのパスワードを設定し、[OK] をクリックします。
3 ファイルを保存する場所を選択し、[保存] をクリックします。
すべての通信キーをリスト 1 [すべてのキーをリストア] をクリックします。
ア
2 キーのエクスポート時に設定したファイルを特定し、[開く] をクリックします。
3 [アップロード] をクリックし、設定したパスワードを入力します。
4 リストアする必要があるデバイスを選択し、[OK] をクリックします。
SSH キーを再生成する
すべてのデバイスとの通信に使用する秘密/公開 SSH 鍵ペアが再生成されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[キー管理] タブで、[SSH を再生成] をクリックします。
古いキーが新しいキーによって置換されることが警告されます。
3
[はい] をクリックします。
キーが再生成されると、ESM によって管理されているすべてのデバイス上の古い鍵ペアが置き換わります。
クエリー タスク マネージャー
管理者またはマスター ユーザー権限があるユーザーは、[タスク マネージャー] にアクセスして ESM で実行中のク
エリー リストを表示できます。 システムのパフォーマンスが低下した場合、ここで特定のクエリーを終了すること
ができます。 長時間実行されているクエリはパフォーマンスに影響を及ぼす可能性が高くなります。
この機能の目的は、クエリを終了することではなく、ESM の実行時に発生した問題のトラブルシューティングを行う
ことです。 この機能は、McAfee サポートの指示に従って使用してください。
タスク マネージャーの機能は次のとおりです。
204
•
システムでレポート、ビュー、ウォッチリスト、実行、エクスポート、アラーム、外部 API のクエリーを終了で
きます。 システム クエリーは終了できません。
•
クエリーをクリックすると、[クエリーの詳細] 領域に詳細が表示されます。
•
デフォルトでは、このリストは 5 分ごとに自動的に更新されます。 クエリーとリストの自動更新を選択すると、
選択状態が維持され、詳細が更新されます。 完了したクエリーはリストに表示されません。
•
リストの自動更新を無効にするには、[自動更新リスト] の選択を解除します。
•
まだ識別されていないシステム タスクを表示するには、[システム タスクを表示しない] の選択を解除します。
•
テーブルの列はソート可能です。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
ESM の管理
•
•
[クエリーの詳細] 領域のデータを選択してコピーできます。
クエリーが終了可能な場合、最後の列に削除アイコン
アログ ボックスが表示されます。
が表示されます。 これをクリックすると、確認のダイ
ESM で実行されるクエリーを管理する
[タスク マネージャー]に ESM で実行されるクエリーの一覧を表示し、管理します。 ステータスを表示して、システ
ム パフォーマンスを阻害する要因を解決できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[ESM 管理] をクリックし、[メンテナンス] タブをクリックして [タスク マネージャー] をクリックします。
3
実行中のクエリー リストを確認して、アクションを実行します。
プライマリまたは冗長 ESM を更新する
プライマリまたは冗長 ESM を更新する場合、イベント、フロー、ログ データの損失を防ぐために、特定の手順に従
う必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
アラート、フロー、ログの収集を無効にします。
a
システムのナビゲーション ツリーで [システム情報] を選択し、[イベント、フロー、ログ] をクリックしま
す。
b
[自動確認間隔] の選択を解除します。
2
プライマリ ESM を更新します。
3
冗長 ESM を更新します。 処理が必要な冗長ファイルがある場合、処理時間が長くなります。
4
[自動確認間隔] を再度選択して、アラート、フロー、ログの収集を有効にします。
更新が失敗した場合には、「バージョン 9.3 に更新する」を参照してください。
リモート デバイスにアクセス
リモートの場所でデバイスを設定した場合、デバイスを表示するには、[ターミナル] オプションを使用して Linux
コマンドを実行します。この機能は上級ユーザー向けのため、緊急事態の際に McAfee サポート担当者の指示に従っ
て使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで、[ターミナル] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
205
3
ESM の設定
ESM の管理
3
システム パスワードを入力して、[OK] をクリックします。
4
必要に応じて Linux コマンドを入力し、コンテンツをエクスポートしてファイルに保存します。
このエクスポートには、現在のターミナル セッション中に [ターミナル] ページからクリアされた結果は含まれま
せん。
5
[閉じる] をクリックします。
関連トピック:
206 ページの「使用できる Linux コマンド」
Linux コマンドを使用する
[ターミナル] オプションを使用すると、ESM で Linux コマンドを入力できます。 この機能は上級ユーザー向けで
す。 緊急事態の際には、McAfee サポート担当者の指示に従ってのみ使用してください。
このオプションは FIPS に対応していないため、FIPS モードでは無効になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[ESM 管理] をクリックします。
2
[メンテナンス] タブで [ターミナル] をクリックし、システム パスワードを入力して [OK] をクリックします。
3
Linux コマンドを入力します (「使用できる Linux コマンド」を参照)。
4
必要に応じて、[クリア] をクリックしてページのコンテンツを削除します。
5
(オプション) [エクスポート] をクリックして、コンテンツをファイルに保存します。
このエクスポートには、現在のターミナル セッション中にターミナル ページからクリアされた結果は含まれませ
ん。
使用できる Linux コマンド
[ターミナル] ページでは、次のコマンドを使用できます。
[ターミナル] ページのコマンド
206
•
getstatsdata
•
echo
•
ps
•
date
•
grep
•
ethtool
•
ifconfig
•
df
•
kill
•
tar
•
sensors
•
netstat
•
service
•
sar
•
cat
•
tail
•
rm
•
locate
•
iptables
•
tcpdump -c -w
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
グローバル ブラックリストを使用
•
updatedb
•
cp
•
3
ip6tables
次に示すのは、実行前に変更される使用可能コマンドです。
変更前のコマンド
変更後のコマンド
II
ll--classify
ping
ping -c 1
ls
ls--classify
top
top -b -n 1
ping6
ping6 -c 1
getstatsdata コマンドの詳細については、付録 D の『トラブルシューティング用に統計データを収集』 を参照して
ください。その他すべてのコマンドの詳細については、http://www.linuxmanpages.com を参照してください。
グローバル ブラックリストを使用
ブラックリストは、Nitro IPS または仮想デバイスを通過するトラフィックを、詳細なパケット検査エンジンによっ
て分析される前にブロックする方法です。
[Nitro IPS ブラックリスト] オプションを使用して、ESM の個別の Nitro IPS デバイスについてブラックリストを
設定することができます。[グローバル ブラックリスト] によって、ESM が管理するすべての Nitro IPS デバイスに
適用されるブラックリストを設定できます。この機能では、恒久的なブラックリスト エントリだけが可能です。一時
エントリを設定するには、[Nitro IPS ブラックリスト] オプションを使用する必要があります。
各 Nitro IPS および仮想デバイスでは、グローバル ブラックリストを使用できます。この機能は、有効にするまで
すべてのデバイスで無効になっています。
[グローバル ブラックリスト エディター] ページには、次の 3 つのタブがあります。
•
[ブロック対象のソース] — デバイスを通過するトラフィックのソース IP アドレスとの一致を確認します。
•
[ブロック対象の宛先] — デバイスを通過するトラフィックの宛先 IP アドレスとの一致を確認します。
•
[除外] — いずれかのブラックリストに自動的に追加される対象から除外されます。重大な IP アドレス(たとえ
ば DNS およびその他のサーバー、またはシステム管理者のワークステーション)を除外対象に追加すれば、生
成するイベントにかかわらず、自動的にブラックリストに追加されることがなくなります。
[ブロック対象のソース] と [ブロック対象の宛先] のエントリは、ブラックリストの効果を特定の宛先ポートに限定す
るように設定できます。
エントリを追加する場合:
•
IP アドレスまたはポートを変更すると [追加] が有効になります。
•
[ブロック対象のソース] と [ブロック対象の宛先] リストのエントリは、すべてのポートまたは特定のポートをブ
ラックリストの対象にするように設定できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
207
3
ESM の設定
データ エンリッチメント
•
マスクされた範囲の IP アドレスを使用するエントリは、ポートを任意のポート(0)に設定し、期間を恒久的に
して設定する必要があります。
•
これらのリストでは、IP アドレス形式が要求されますが、それらのアドレスに意味を加えるために役立つツール
がいくつか用意されています。[IP アドレス] フィールドに IP アドレスまたはホスト名を入力すると、入力した
値に基づいて、コントロールの横のボタンに [解決] または [参照] と表示されます。[解決] と表示された場合
は、ボタンをクリックすると、入力したホスト名が解決され、[IP アドレス] フィールドにその情報が入力され、
ホスト名が [説明] フィールドに移動されます。その他の場合は、[参照] をクリックすると、IP アドレスに対す
る参照が行われ、その結果が [説明] フィールドに入力されます。
一部の Web サイトでは複数の IP アドレスが指定されていたり、IP アドレスが切り替わる場合があります。この
ツールでは必ずしもブロックできない Web サイトもあるので注意してください。
グローバル ブラックリストを設定
選択したすべてのデバイスに共通のグローバル ブラックリストを設定することで、同じ情報を複数のデバイスで入力
する必要がなくなります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[グローバル ブラックリスト] をクリッ
クします。
2
[ブロック対象のソース]、[ブロック対象の宛先]、または [除外] タブを選択し、ブラックリスト エントリを管理
します。
3
グローバル ブラックリストを使用する必要があるデバイスを選択します。
4
[適用] または [OK] をクリックします。
データ エンリッチメント
元のイベントにはないコンテキスト情報 (メール アドレス、電話番号、ホストの場所など) を追加して、上位のデー
タソースから送信されたイベントを拡張できます。 拡張したデータは、解析するイベントの一部となり、元のフィー
ルドと同様にイベントと一緒に保存されます。
データ エンリッチメント ソースを設定するには、データベースの接続方法と、データベース内の 1 つ以上のテーブ
ル列にアクセスする方法を定義します。 次に、データを受信するデバイスと、そのイベントとフロー両方のデータの
エンリッチメントを行う方法を定義します。
データ エンリッチメント ソースを編集または削除することに加えて、[データ エンリッチメント] ページでクエリー
を実行することもできます。それには、ソースを選択して、[編集]、[削除]、または [今すぐ実行] をクリックしま
す。
ESM でトリガーされるイベントについては、エンリッチメントは行われません。データ取得は、デバイスではなく
ESM で行われます。
Hadoop HBase のリレーショナル データ ソースへのコネクターが提供されるようになりました。これはソースか
らのキー値のペアを使用します。 イベントを拡張するために HBase の識別マッピングを定期的に Receiver にプ
ルすることができます。
データ エンリッチメント ソースを追加する
データ エンリッチメント ソースを追加し、データを受信するデバイスを定義します。
208
McAfee Enterprise Security Manager 9.5.1
製品ガイド
3
ESM の設定
データ エンリッチメント
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[データ エンリッチメント] 、 [追加]
の順にクリックします。
[データ エンリッチメント ウィザード] のタブとフィールドは、選択したエンリッチメント タイプによって異な
ります。
2
それぞれのタブのフィールドに入力し、[次へ] をクリックします。
3
[完了] をクリックし、[書き込み] をクリックします。
4
データ エンリッチメント ルールを書き込むデバイスを選択し、[OK] をクリックします。
McAfee Real Time for McAfee ePO データ エンリッチメントをセットア
ップする
™
[データ エンリッチメント ウィザード] で McAfee Real Time for McAfee ePO のソースを選択すると、クエリー
をテストし、[参照] と [エンリッチメント] の列を選択できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[データ エンリッチメント] をクリックして、[追加] をクリックします。[メイン] タブに情報を入力します。
3
[ソース] タブの [タイプ] フィールドで [Real Time for ePO] を選択してデバイスを選択します。[クエリー]
タブをクリックします。
4
必要な情報を追加して、[テスト] をクリックします。
必要な情報が生成されない場合には、設定を調整してください。
Hadoop HBase データ エンリッチメント ソースを追加する
データ エンリッチメント ソースとして Hadoop HBase を追加して、Receiver から HBase 識別マッピングをプル
し、イベントを拡張します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[データ エンリッチメント] をクリック
します。
2
[データ エンリッチメント ウィザード] の [メイン] タブのフィールドを入力して、[ソース] タブをクリックしま
す。
3
[タイプ] フィールドで [Hadoop HBase (REST)] を選択し、ホスト名、ポート、テーブルの名前を入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
209
3
ESM の設定
データ エンリッチメント
4
[クエリー] タブで、参照列とクエリーの情報を入力します。
a
[参照列] の形式を columnFamily:columnName にします。
b
クエリーにスキャナー フィルターを入力し、値を Base64 エンコードにします。 例:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
[スコアリング] タブと [宛先] タブに情報を入力します。
Hadoop Pig データ エンリッチメント ソースを追加する
Apache Pig クエリーの結果を利用して、Hadoop Pig イベントを拡張できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システム プロパティ] を選択します。
2
[データ エンリッチメント] をクリックして [追加] をクリックします。
3
[メイン] タブでフィールドを入力し、[ソース] タブをクリックします。 [タイプ] フィールドで [Hadoop Pig]
を選択して、Namenode ホスト、Namenode ポート、Jobtracker ホスト、Jobtracker ポートを入力します。
Jobtracker の情報は必要ありません。 Jobtracker の情報を空白にすると、NodeName のホストとポートがデフ
ォルトで使用されます。
4
[クエリー] タブで、[基本] モードを選択して以下の情報を入力します。
a
[タイプ] で [テキスト ファイル] を選択して、[ソース] フィールドにファイルのパスを入力します (例: /
user/default/file.csv)。 あるいは、[Hive DB] を選択して HCatalog テーブルを入力します (例:
sample_07)。
b
[列] で、列データの拡張方法を指定します。
たとえば、テキスト ファイルで SSN、名前、性別、住所、電話番号の列に従業員情報が存在する場合、[列]
フィールドに emp_Name:2, emp_phone:5 と入力します。 Hive DB の場合には、HCatalog テーブルの列
名を使用します。
5
210
c
[フィルター] で、Apache Pig 組み込み式を使用してデータをフィルタリングできます。 Apache Pig のド
キュメントを参照してください。
d
上の列値を定義している場合には、列データをグループ化して集計できます。 ソースと列情報は必須です。
他のフィールドは空白にできます。 集計機能を使用するには、グループの指定が必要です。
[クエリー] タブで、[詳細] モードを選択して Apache Pig スクリプトを入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ESM の設定
データ エンリッチメント
6
[スクロール] タブで、単一列クエリーから戻された値のスコアを設定します。
7
[宛先] タブで、エンリッチメントを適用するデバイスを選択します。
3
ユーザー名の Active Directory データ エンリッチメントを追加する
Microsoft Active Directory を利用して、ユーザーの完全な表示名を Windows イベントに追加できます。
開始する前に
システム管理権限があることを確認してください。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システムのナビゲーション ツリーで [システム プロパティ] を選択します。
2
[データ エンリッチメント] をクリックして [追加] をクリックします。
3
[メニュー] タブで、[エンリッチメント名] に Full_Name_From_User_ID の形式で分かりやすい名前を入力し
ます。
4
[参照タイプ] と [エンリッチメント タイプ] に [文字列] を設定します。
5
Active Directory がより頻繁に更新されない限り、[プル頻度] を [毎日] に設定します。
6
[次へ] または [ソース] タブをクリックします。
7
8
a
[タイプ] フィールドで [LDAP] と選択します。
b
IP アドレス、ユーザー名、パスワードを入力します。
[次へ] または [クエリー] タブをクリックします。
a
[参照属性] フィールドで sAMAccountName を入力します。
b
[エンリッチメント属性] フィールドで displayName を入力します。
c
[クエリー] で (objectClass=person) を入力し、Active Directory で person として分類されているオ
ブジェクトのリストを取得します。
d
クエリーをテストします。実際のエントリ数に関係なく、最大で 5 つの値が戻されます。
[次へ] または [宛先] タブをクリックします。
a
[追加] をクリックします。
b
Microsoft Windows データソースを選択します。
c
[参照フィールド] で [ソース ユーザー] フィールドを選択します。
このフィールドには、イベントに存在し、参照のインデックスとして使用される値が表示されます。
d
9
[エンリッチメント フィールド] を選択します。このエンリッチメント値が User_Nichname または
Contact_Name の形式で書き込まれます。
[完了] をクリックして保存します。
10 エンリッチメント設定をデバイスに書き込んだら、[毎日のトリガー時間] 値が発生するまで、[今すぐ実行] をク
リックしてデータソースからエンリッチメント値を取得します。
[フルネーム] が [Contact_name] フィールドに書き込まれます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
211
3
ESM の設定
データ エンリッチメント
212
McAfee Enterprise Security Manager 9.5.1
製品ガイド
4
サイバー脅威の管理
McAfee ESM を使用すると、リモート ソースから侵入の痕跡 (IOC) を取得し、環境内で関連する IOC アクティビ
ティを迅速に確認できます。
サイバー脅威管理を使用すると、自動フィードをセットアップしてウォッチリスト、アラーム、レポートを生成し、
有効なデータを取得することができます。 たとえば、フィードをセットアップすると、不審な IP アドレスをウォッ
チリストに自動的に追加して以降のトラフィックをモニタリングできます。 このフィードで、過去のアクティビティ
を含むレポートを生成して送信することもできます。 [イベント ワークフロー] ビューと [[サイバー脅威の痕跡]]
ビューでは、ドリルダウン機能を使用して、環境内の特定のイベントとアクティビティをすぐに見つけることができ
ます。
目次
サイバー脅威の管理をセットアップする
サイバー脅威フィードの結果を表示する
サイバー脅威の管理をセットアップする
リモート ソースから侵入の痕跡 (IOC) を取得するフィードをセットアップします。 これらのフィールドにより、ウ
ォッチリスト、アラーム、レポートを生成し、環境内で関連する IOC アクティビティを確認できます。
開始する前に
次の権限があることを確認します。
•
サイバー脅威の管理 - サイバー脅威フィードをセットアップできます。
•
サイバー脅威ユーザー - フィードで生成されたデータを表示できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システム プロパティ] をクリックします。
2
[サイバー脅威フィード] をクリックして、[追加] をクリックします。
3
[メイン] タブで、フィード名を入力します。
4
[ソース] タブで、ソース データのタイプと接続の認証情報を選択します。 [接続] をクリックして、接続をテス
トします。
McAfee Advanced Threat Defense、MITRE Threat Information Exchange (TAXII) などのソースがサポー
トされています。
5
[頻度] タブで、フィードが IOC ファイルをプルする頻度 (プル頻度) を指定します。 設定可能なプル頻度は、x
分後と、毎日、毎時、毎週、毎月です。 毎日のトリガー時間を指定します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
213
4
サイバー脅威の管理
サイバー脅威フィードの結果を表示する
6
[ウォッチリスト] タブで、既存のウォッチリストに IOC ファイルのプロパティまたはフィールドを選択します。
サポートされるプロパティまたはフィールドをウォッチリストに追加できます。
必要なウォッチリストがない場合には、[新しいウォッチリストの作成] をクリックします。
7
[バックトレース] タブで、分析するイベント (デフォルト) とフロー、分析対象のデータ、フィードに対してデー
タを分析する期間を指定します。
a
イベント、フローまたはその両方を分析できます。
b
イベントとフローを分析する期間 (日数) を指定します。
c
バックとレースでデータの一致が見つかった場合に ESM が実行するアクションを指定します。
d
アラームの場合、割り当て先と重大度を選択します。
8
[メニュー] タブに戻って [有効] を選択し、このフィードを有効にします。
9
[完了] をクリックします。
関連トピック:
214 ページの「サイバー脅威フィードの結果を表示する」
サイバー脅威フィードの結果を表示する
組織のサイバー脅威フィードで識別した外部データ ソースの侵入の痕跡 (IOC) を表示します。 ドリルダウンする
と、脅威の詳細、ファイルの説明、痕跡のソースに対するイベントをすぐに確認できます。
開始する前に
[サイバー脅威ユーザー] 権限があることを確認します。組織のサイバー脅威フィードの結果を表示する
には、この権限が必要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで [デフォルト サマリー] を開き、[イベント ワークフロー ビュー]、[サイバー脅威の指標] の
順に選択します。
2
ビューの期間を選択します。
3
フィード名または対応する IOC データ タイプでフィルタリングします。
4
標準のビュー アクションを実行します。例:
5
•
ウォッチリストを作成または追加する。
•
アラームを作成する。
•
リモート コマンドを実行する。
•
ケースを作成する。
•
検索する。
•
痕跡を CSB または HTML ファイルにエクスポートする。
[説明]、[詳細]、[ソース イベント]、[ソース フロー] タブでドリルダウンして、脅威の詳細を確認します。
関連トピック:
213 ページの「サイバー脅威の管理をセットアップする」
214
McAfee Enterprise Security Manager 9.5.1
製品ガイド
5
コンテンツ パックの使い方
ルール サーバーから関連するコンテンツ パックをインポートしてインストールすると、特定の脅威状況が発生した
場合に迅速に対応できます。 コンテンツ パックには、ユースケースに基づく相関ルール、アラーム、ビュー、レポ
ート、変数、ウォッチリストが含まれています。これにより、特定のマルウェアまたは脅威のアクティビティに対応
することができます。 コンテンツ パックを使用すると、ツールを一から作成することなく、脅威に対応することが
できます。
コンテンツ パックをインポートする
McAfee では、ユース ケースからコンテンツ パックを作成し、相関ルール、アラーム、ビュー、レポート、変数、
ウォッチリストを組み込み、特定のマルウェアのアクティビティを解決します。
開始する前に
次の権限があることを確認します。
•
システム管理
•
ユーザーの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ルールの更新のチェック 30 ページの「」
ルールが更新されると、使用可能なコンテンツ パックがオンライン ユーザーに自動的に送信されます。 オフライ
ンの場合、ルールをホスティング サイトから個々のコンテンツ パックを手動でダウンロードする必要があります。
2
システムのナビゲーション ツリーで システム プロパティ をクリックします。
3
[コンテンツ パック] をクリックします。
4
新しいコンテンツ パックをインポートしてインストールするには、[参照] をクリックします。
ルールの更新を検査すると、新しいコンテンツ パックまたは更新されたコンテンツ パックが自動的にダウンロー
ドされます。
a
[インポート] をクリックして、インポートするコンテンツ パック ファイルを選択します。
b
[アップロード] をクリックします。
インポートのステータスを示すメッセージが表示されます。
c
コンテンツ パックをクリックして、パックの内容を確認します。
d
必要なパックを選択して、コンテンツ パックをインストールします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
215
5
コンテンツ パックの使い方
コンテンツ パックをインポートする
5
既存のコンテンツ パックを更新または削除するには、該当するパックをチェックして [更新] または [削除] をク
リックします。
既存のコンテンツ パックを更新する場合には十分に注意してください。 コンテンツ パックの要素をカスタマイ
ズしている場合、更新を実行すると、カスタマイズした要素が上書きされます。
6
216
既存のコンテンツ パックを削除するには、該当するパックをチェックして [削除] または 削除 をクリックしま
す。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームのワークフローを理解しましょう。 関連するタスクのリンクをクリックして、詳しい情報を確認してくださ
い。
1
アラームの作成準備 - アラームを作成または使用する前に、環境を準備する必要があります。
•
メール サーバーに接続してメッセージ テンプレートを作成し、メッセージの受信者グループを確認します。
•
音声ファイルをアップロードします。
•
ダッシュボード (コンソール) にアラーム ログ ペインを表示します。
•
レポートを生成します。
2
アラームの作成 - アラームを作成するときに、アラームをトリガーするセキュリティ条件を指定します。 トリ
ガーされたアラームに対するアクションも指定できます。 アラームを作成するときに、事前定義のアラームを有
効にできます。また、既存のアラームを変更したり、組織環境に固有のアラームを作成することもできます。
3
アラームのモニタリングと対応 - ESM の次の場所で、トリガーされたアラームに対応します。
4
•
ダッシュボードの [トリガーされたアラーム] ビュー
•
アラームのトリガー時に開くビジュアル ポップアップ アラート
•
[アラート] ログ ペイン。アラームの合計数が重大度 (高 66–100、中 33–65、低 1–32) に表示されます。
アラームの調整 - アラームの必要性は常に変化します。 アラームを見直し、組織の要件に合わせて調整します。
目次
アラームの作成準備
アラームを作成する
アラームをモニタリングして対応する
アラームを調整する
アラームの作成準備
アラームを作成する前に、ESM 環境にアラーム メッセージ テンプレート、メッセージ受信者グループ、メール サ
ーバーの接続、アラーム音声ファイル、アラーム レポートキュー、ダッシュボードのアラーム タブが存在すること
を確認してください。
開始する前に
トリガーされたアラームをダッシュボードに表示する場合には、「ユーザー設定の選択 36 ページの「」」
を参照してください。
以下のタスクを参照して、アラーム環境の準備方法を確認してください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
217
6
アラーム ワークフロー
アラームの作成準備
タスク
•
218 ページの「アラーム メッセージをセットアップする」
トリガーされたアラーム メッセージを電子メール、SMS、SNMP または Syslog で送信するように ESM
を設定します。
•
223 ページの「アラームの音声ファイルを管理する」
音声ファイルをアップロードまたはダウンロードして、音声アラームによるアラートに使用します。
•
224 ページの「アラーム レポート キューを管理する」
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上
のレポートをキャンセルできます。
アラーム メッセージをセットアップする
トリガーされたアラーム メッセージを電子メール、SMS、SNMP または Syslog で送信するように ESM を設定し
ます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
タスク
•
219 ページの「アラーム メッセージ テンプレートを作成する」
メール、SMS、SNMP (Simple Network Management Protocol) または Syslog のアラーム メッセ
ージ テンプレートを作成します。 このテンプレートは、特定のアラーム アクションやメッセージの受
信者に関連付けることができます。
•
220 ページの「相関アラームにソース イベントを追加する」
アラームの結果にソース イベント情報を追加するには、比較条件に相関イベントを使用して [内部イベ
ントの比較] または [フィールド一致] アラームをセットアップします。
•
221 ページの「アラーム受信者を管理する」
アラーム メッセージの受信者を確認し、アラーム メッセージの送信方法 (SMS、SNMP または Syslog)
を設定します。
•
169 ページの「メール サーバーとの接続」
アラームを送信し、メッセージを報告できるようにメール サーバーとの接続を設定します。
メッセージ設定の定義
アラームのアクションを定義したり、レポートの配信方法をセットアップするときに、メッセージを送信するように
選択できます。 ただし、その前に ESM をメール サーバーに接続し、電子メール、SMS、SNMP または Syslog に
よるメッセージの受信者を指定する必要があります。
ESM は、SNMP v1 プロトコルでアラーム通知を送信します。 SNMP は UDP を転送プロトコルとして使い、マネ
ージャーとエージェント間でデータをやりとりします。 SNMP の設定では、ESM などのエージェントはトラップと
いうデータのパケットを使用して SNMP サーバー (ネットワーク管理ステーション、NMS) にイベントを転送しま
す。 ネットワーク内の他のエージェントは、通知の受信と同じ方法でイベント レポートを受信できます。 SNMP ト
ラップ パケットのサイズ制約により、ESM はレポートの各行を個別のトラップで送信します。
Syslog は、ESM で生成されたクエリーの CSV レポートも送信できます。 Syslog は、クエリー CSV レポートを
Syslog メッセージごとに 1 行ずつ、カンマ区切りフィールドに配置されたクエリー結果の各行のデータと一緒に送
信します。
218
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームの作成準備
アラーム メッセージ テンプレートを作成する
メール、SMS、SNMP (Simple Network Management Protocol) または Syslog のアラーム メッセージ テンプ
レートを作成します。 このテンプレートは、特定のアラーム アクションやメッセージの受信者に関連付けることが
できます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックします。
3
[設定] タブをクリックし、[テンプレート] をクリックします。
アイコンをクリックします。
•
カスタム テンプレートを作成するには、[追加] をクリックします。
•
カスタム テンプレートを変更するには、テンプレートを選択して [編集] をクリックします。
事前定義のテンプレートは編集できません。
•
カスタム テンプレートを削除するには、テンプレートを選択して [削除] をクリックします。
事前定義のテンプレートは削除できません。
4
•
既存のテンプレートをコピーするには、テンプレートを選択して [コピー] をクリックします。 コピーしたテ
ンプレートを新しい名前で保存します。
•
すべてのアラーム メッセージのデフォルトに設定するには、テンプレートを選択して [デフォルトにする] を
クリックします。
次のテンプレート情報を追加または変更します。
オプショ
ン
説明
[種類]
このテンプレートが電子メール メッセージ用か、SMS メッセージ用かを選択します。
SMS メッセージを電子メールとしてスマートフォンに送信すると、電話会社側で SMS に変換され
ます。 SMS メッセージは 140 文字以内に制限されています。
[名前]
このテンプレートの名前を入力します。
[説明]
このテンプレートに入れる内容の説明を入力します。
[デフォル
トにする]
現在のテンプレートをメッセージ送信のデフォルトに設定します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
219
6
アラーム ワークフロー
アラームの作成準備
オプショ
ン
説明
[件名]
電子メール テンプレートの場合、メッセージの件名を選択します。[フィールドを挿入] アイコンを
クリックして、メッセージの件名に含める情報を選択します。
[メッセー
ジ本文]
メッセージの本文に含めるフィールドを選択します。
電子メールのパケット データを追加するには、このルールで [パケットをコピー] を有効にします。
ESM では、電子メールのパケット データが 8,000 文字に制限されています。 「パケットをコピー
を有効にする349 ページの「」」を参照してください。
Syslog メッセージのテンプレートの場合、メッセージの本文を 950 バイトより小さくする必要があ
ります。 ESM は、950 バイトを超える Syslog を送信できません。
• デフォルトで含まれるフィールドをメッセージに含めない場合は削除します。
• 本文内でデータ フィールドを挿入する位置にカーソルを置きます。 [件名] フィールドの上にあ
る [フィールドを挿入] アイコンをクリックします。 このフィールドに表示する情報の種類を選
択します。
• [繰り返しブロック] を選択すると、ESM がレコードのループに必要な構文を追加します。
[$REPEAT_START] と [$REPEAT_END] のマーカー間の各レコードに含めるフィールドを挿
入します。ESM がこの情報をメッセージに追加します (最大 10 レコードまで)。
• 相関アラームにソース イベントを追加する220 ページの「」 相関イベントに使用するアラーム
にソース イベントを追加するには、[フィールドを挿入] アイコンをクリックして [ソース イベ
ント ブロック] を選択します。
アラームの種類として [内部イベントの比較] または [フィールド一致] を選択すると、ESM が電子
メールにイベント フィールド データを追加します。 ESM ではなく Receiver で実行されるデータ
ソース アラームには、[フィールド一致] を選択します。 [内部イベントの比較] アラームを選択しま
す。このアラームは ESM で実行され、アラームの頻度を超えるたびにクエリーが強制的に実行され
ます。
相関アラームにソース イベントを追加する
アラームの結果にソース イベント情報を追加するには、比較条件に相関イベントを使用して [内部イベントの比較]
または [フィールド一致] アラームをセットアップします。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
220
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[設定] タブをクリックし、[テンプレート] をクリックします。
4
[テンプレート管理] ページで [追加] をクリックし、必要な情報を入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームの作成準備
5
6
[メッセージ本文] セクションで、タグの挿入位置にカーソルを置き、[フィールドを挿入] アイコン
クして [ソース イベント ブロック] を選択します。
をクリッ
タグの内側にカーソルを置き、[フィールドを挿入] アイコンをもう一度クリックします。相関アラームのトリガ
ー時に追加する情報を選択します。
以下の例は、イベントのソース IP アドレス、宛先 IP アドレス、重大度のフィールドを挿入したアラーム メッセー
ジのテンプレートです。
Alarm: [$Alarm Name]
Assignee: [$Alarm Assignee] Trigger Date: [$Trigger Date] Summary: [$Alarm Summary]
[$SOURCE_EVENTS_START] Source IP: [$Source IP] Dest IP: [$Destination IP] Severity:
[$Average Severity] [$SOURCE_EVENTS_END]
相関イベントがアラームをトリガーしない場合、メッセージにデータは含まれません。
アラーム受信者を管理する
アラーム メッセージの受信者を確認し、アラーム メッセージの送信方法 (SMS、SNMP または Syslog) を設定しま
す。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
使用するプロファイルが存在することを確認します。 「SNMP 設定 178 ページの「」」と「プロフ
ァイルの設定 178 ページの「」」を参照してください。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックします。
3
[設定] タブをクリックし、[受信者] をクリックします。
アイコンをクリックします。
•
個々の受信者のメール アドレスを表示または更新するには、[電子メール] をクリックします。
•
ユーザー名とメール アドレスを表示するには、[ユーザー] をクリックします。
•
SMS の受信者とアドレスを表示または更新するには、[SMS] をクリックします。
•
次の SNMP 情報を表示または更新するには、[SNMP] をクリックします。
オプション
説明
[プロファイ
ル]
ドロップダウン リストから既存の SNMP 受信者プロファイルを選択します。 プロファイル
を追加するには、[プロファイル] をクリックします。
[特定のトラ 特定のトラップ タイプを選択します。 一般的なトラップ タイプは通常 6 (エンタープライ
ップ タイプ] ズ固有) に設定されます。
[エンタープ トラップを送信する完全なエンタープライズ オブジェクト識別子 (OID) を入力します。 最
ライズ OID] 初の 1 からエンタープライズ番号までのすべてを追加します (エンタープライズ内のサブツ
リーも含む)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
221
6
アラーム ワークフロー
アラームの作成準備
オプション
説明
[コンテン
ツ]
[情報データのバインドを含める] - トラップに、変数バインド情報 (処理されるレポートの
行番号、トラップ ソースを識別する文字列、トラップを生成する通知の名前、トラップを送
信する ESM の ID など) が含まれます。
[レポート データのみ含める] - 追加の変数バインドはトラップに含まれません。
[フォーマッ
ト]
レポートから生成される各 SNMP トラップには、そのレポートのデータの 1 行が含まれま
す。
• [各レポート行をそのまま送信] - レポート行のデータが単一変数バインドとしてそのま
まの状態で送信されます。 エンタープライズ OID、特定のトラップ タイプ、1 で始まる自
動増分番号が連結され、データ バインド OID が構築されます。
• [結果を解析し、これらのバインド OID を使用する] - レポート行が解析され、各フィー
ルドが異なるデータ バインドで送信されます。
[バインド
OID のリス
ト]
[結果を解析し、これらのバインド OID を使用する] - カスタム データ バインド OID を指
定します。
• このオプションを選択した場合は、[追加] をクリックしてバインド OID 値を入力します。
• レポートのすべてのデータ フィールドに変数 OID が指定されていないと、ESM はリスト
に指定された最後の OID から増分を開始します。
4
次の Syslog 情報を表示または更新するには、[Syslog] をクリックします。
オプション
説明
[ホスト IP] と [ポート]
受信者のホスト IP アドレスとポートを入力します。
[設備] と [重大度]
設備とメッセージの重大度を選択します。
メール サーバーとの接続
アラームを送信し、メッセージを報告できるようにメール サーバーとの接続を設定します。
開始する前に
管理者権限を持っているか、ユーザー管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
222
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームの作成準備
タスク
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
[電子メール設定] をクリックし、メール サーバーとの接続に必要な情報を入力します。
オプション
説明
[ホスト] と [ポート]
メール サーバーのホストとポートを入力します。
[TLS を使用]
TLS 暗号化プロトコルを使用するかどうかを選択します。
[ユーザー名] と [パス メール サーバーのアクセスに必要なユーザー名とパスワードを入力します。
ワード]
[タイトル]
メール サーバーから送信されるすべての電子メールに使用する汎用的なタイトルを入
力します。たとえば、メッセージを生成した ESM を識別できるように ESM IP アドレ
スを入力します。
[送信者]
自分の名前を入力します。
[受信者を設定]
受信者を追加、編集、削除クリックします (アラーム受信者を管理する 221 ページの
「」を参照)。
3
テスト メールを送信して設定を確認します。
4
受信者を追加、編集、削除クリックします (アラーム受信者を管理する 221 ページの「」を参照)。
5
[適用] または [OK] をクリックして設定を保存します。
関連トピック:
169 ページの「受信者の管理」
アラームの音声ファイルを管理する
音声ファイルをアップロードまたはダウンロードして、音声アラームによるアラートに使用します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[設定] タブをクリックし、[音声] をクリックします。
3
音声ファイルをダウンロード、アップロード、削除、または再生します。[閉じる] をクリックします。
ESM が事前にインストールされた 3 つの音声ファイルを追加します。 カスタム音声ファイルをアップロードで
きます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
223
6
アラーム ワークフロー
アラームを作成する
アラーム レポート キューを管理する
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上のレポートを
キャンセルできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[設定] タブをクリックします。
4
実行待機中のレポートを表示するには、[表示] をクリックします。 ESM は最大 5 つのレポートを同時に実行し
ます。
•
アラームが生成したレポートを表示します。
•
特定のレポートの実行を停止するには、レポートを選択して [キャンセル] をクリックします。 残りのレポー
トはキューに移動します。
管理者またはマスター ユーザーの場合、このリストには ESM で実行待ちのすべてのレポートが表示され、任
意のレポートをキャンセルできます。
5
[ファイル] をクリックし、リスト内のレポートのダウンロード、アップロード、削除または更新を選択します。
6
[閉じる] をクリックします。
アラームを作成する
特定の脅威イベントに対してアラームを生成し、アクションを実行できます。 アラームのトリガー頻度が適切でない
と、ノイズになる可能性があります。 組織に重要なイベントをエスカレートするようにアラームを作成してくださ
い。
McAfee ESM では、様々な方法でアラームを作成できます。たとえば、事前に作成されたアラームを有効にしたり、
既存のアラームをコピーして変更することもできます。また、組織に固有のアラームの作成も可能です。
以下のタスクを参照して、アラームの作成方法を確認してください。
タスク
224
•
225 ページの「アラーム監視を有効または無効にする」
システム全体または個々のアラームでアラーム モニタリングを有効または無効にします。 ESM のデフ
ォルトでは、アラーム モニタリングが有効になっています。
•
225 ページの「アラームをコピー」
既存のアラームをコピーして別の名前で保存し、新しいアラームのテンプレートとして使用します。
•
226 ページの「アラームを作成する」
定義した条件を満たしたときにトリガーされるようにアラームを作成します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
アラーム ワークフロー
アラームを作成する
6
アラーム監視を有効または無効にする
システム全体または個々のアラームでアラーム モニタリングを有効または無効にします。 ESM のデフォルトでは、
アラーム モニタリングが有効になっています。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
システムのアラーム モニタリングを無効にすると、ESM はアラームを生成しません。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
システム全体でアラーム モニタリングを無効または有効にするには、[設定] タブをクリックして [無効] または
[有効] をクリックします。
4
個々のアラームを無効または有効にするには、[アラーム] タブをクリックします。 [ステータス] 列にアラームの
状態 (有効または無効) が表示されます。
5
•
特定のアラームを有効にするには、アラームを強調表示して [有効] を選択します。
•
特定のアラームを無効にするには、アラームを強調表示して [有効] の選択を解除します。 これ以降、ESM は
このアラームを生成しません。
[OK] をクリックします。
アラームをコピー
既存のアラームをコピーして別の名前で保存し、新しいアラームのテンプレートとして使用します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックします。
3
有効なアラームを選択して、[コピー] をクリックします。
アイコンをクリックします。
[アラーム名] ページに、 _copy が付いた現在のアラーム名が表示されます。
コピーできるのは、有効なアラームだけです。 無効になっているアラームはコピーできません。
4
名前を変更し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
225
6
アラーム ワークフロー
アラームを作成する
5
アラーム設定を変更するには、コピーしたアラームを選択して [編集] をクリックします。
6
必要に応じて設定を変更します。
関連トピック:
226 ページの「アラームを作成する」
アラームを作成する
定義した条件を満たしたときにトリガーされるようにアラームを作成します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
2
[アラーム] をクリックして、[追加] をクリックします。
3
[サマリー] タブをクリックして、アラームの全般設定を定義します。
4
アイコンをクリックします。
•
アラームの名前を設定します。
•
このアラームを割り当てるユーあーまたはグループを [割り当て先] リストから選択します。このリストに
は、[アラーム管理] 権限のあるすべてのユーザーとグループが表示されます。
•
[重大度] で、アラーム ログのアラーム優先度 (高 66–100、中 33–65、低 1–32) 選択します。
•
[有効] を選択して、このアラームを有効にします。アラームを無効にするボックスの選択を解除します。
[条件] タブで、アラームをトリガーする条件を指定します。
条件
説明
[チェック システムがこの条件をチェックする頻度を選択します。
レート]
[偏差]
ベースラインに対して上回った場合にチェックされるしきい値を比率で指定し、下回った場合のし
きい値も比率で指定します。
• [クエリー] - クエリーで送信するデータのタイプを選択します。
• [フィルター] アイコン - このアラームのデータをフィルタリングする値を選択します。
• [時間枠] - 数値フィールドで選択した前回または以前の期間をクエリーで確認するかどうかを
選択します。
• [次の値のときにトリガー] - ESM がアラームをトリガーする条件として、ベースラインに対す
る上下の偏差を選択します。
226
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを作成する
条件
説明
[イベント • [イベント数] - ESM がアラームを生成するのに必要なイベント数を入力します。
レート]
• [フィルター] アイコン - データをフィルタリングする値を選択します。
• [時間枠] - ESM のアラーム トリガー条件となる特定のイベント数を計測する間隔を選択しま
す。
• [オフセット] - 計測の最後に集計イベントによる急増を発生させないようにオフセットを選択
します。 たとえば、ESM が 5 分ごとにイベントをプルする場合、最後の 1 分間に取得されるイ
ベントには集計イベントが含まれます。 最後の 1 分間がデータ測定期間に含まれないように 1
分間の時間枠をオフセットできます。 オフセットを設定しない場合、集計データの値がイベント
数に含まれるため、ESM で誤検知が発生します。
[フィール 1 ドラッグ アンド ドロップで[AND] または [OR] アイコン (「論理要素245 ページの「」」を参
ドの一致]
照) を移動し、アラーム条件の論理を設定します。
2 ドラッグ アンド ドロップで [一致コンポーネント] アイコンを論理要素の上に移動し、[フィルタ
ー フィールドを追加] ページに情報を入力します。
3 [条件トリガーの最大頻度] を設定して、受信する通知の数を制限します。 各トリガーには、トリ
ガー条件に一致する最初のソース イベントだけが含まれます。トリガー頻度期間内に発生した
イベントは含まれません。 トリガー条件に一致する新しいイベントが発生しても、トリガー頻度
の最大期間が終わるまでアラームはトリガーされません。 たとえば、頻度を 10 分に設定し、10
分以内にアラームが 5 回トリガーされた場合、ESM はこの 5 回のアラームをまとめて通知しま
す。
間隔を 0 に設定すると、条件に一致するイベントが発生するたびにアラームがトリガーされます。
頻度の高いアラームの場合、間隔を 0 にすると大量のアラームが発生する可能性があります。
[正常性モ デバイス ステータスの変化のタイプを選択します。たとえば、[重大] のみを選択した場合、[警告]
ニター ス レベルの正常性モニター ステータスの変更があっても通知されません (「正常性モニターのシグネ
テータス] チャ ID238 ページの「」」を参照)。
[内部イベ • [値が一致しない場合にトリガー] - 値が設定に一致しない場合にアラームをトリガーさせると
ントの比
きに選択します。
較]
• [ウォッチリストを使用] - このアラームの値をウォッチリストに設定する場合に選択します。
カンマを含む値はウォッチリストに追加するか、引用符で囲む必要があります。
• [フィールド] - このアラームがモニタリングするデータのタイプを選択します。
正常性モニター イベントが生成されたときにアラームをトリガーするには、
「正常性モニター イベ
ント アラームを追加する237 ページの「」」を参照してください。
• [値] - [フィールド] で選択したタイプの特定の値を入力します (最大 1,000 文字まで)。 たと
えば、[ソース IP] を選択した場合、このアラームをトリガーする実際のソース IP アドレスを入
力します。
[条件トリ 大量の通知が発生しないように、各条件間で許容する時間を選択します。
ガーの最
大頻度]
5
[しきい
値]
イベント デルタ条件タイプのみ - アラームのトリガー前に分析するイベントで許容する最大デル
タを選択します。
[タイプ]
アラームのタイプを選択します。タイプによって入力するフィールドが異なります。
[デバイス] タブで、このアラームがモニタリングするデバイスを選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
227
6
アラーム ワークフロー
アラームを作成する
6
[アクション] タブで、アラーム トリガー時に実行するアクションを指定します。
アクション
説明
[ログ イベント]
ESM のデフォルトでアラームを記録します。
[自動認識アラー トリガー後すぐにアラームを自動的に認識します。 アラームは [アラーム] ペインに表示さ
ム]
れませんが、[トリガー アラーム] ビューに追加されます。
[ビジュアル ア
ラート]
コンソールの右下にアラーム通知を生成します。 音声通知を含めるには、[設定]、[音声を再
生] の順にクリックして、音声ファイルを選択します。
[ケースを作成]
選択したユーザーまたはグループにケースを作成します。 [設定] をクリックして、ケース所
有者を指定し、ケース サマリーに表示するフィールドを選択します。
アラームをエスカレートする場合には、ケースを作成しないでください。
[ウォッチリスト アラーム トリガー イベントの情報を使用して値を追加または削除し、ウォッチリストを変更
を更新]
します。最大 10 個のアラーム トリガー イベントを使用できます。 [設定] をクリックし
て、選択したウォッチリストに追加または削除するトリガー イベント フィールドを選択しま
す これらの設定によってウォッチリストが変更されると、[トリガーされたアラーム] ビュー
の [アクション] タブに変更内容が示されます。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
[メッセージを送 選択した受信者に電子メールまたは SMS メッセージを送信します。
信]
• [受信者を追加] をクリックして、メッセージの受信者を選択します。
• [設定] をクリックして、メッセージに使用するテンプレート (電子メール、SMS、SNMP
または Syslog メッセージ)、タイムゾーン、日付形式を選択します。
アラーム名にカンマ (,)、引用符 (")、括弧 ( )、スラッシュまたはバックスラッシュ (/ \)、
セミコロン (;)、疑問符 (?)、アットマーク (@)、角括弧 ([ ])、不等号 (< >)、等号 (=)
を使用すると、SMS メッセージの送信で問題が発生する可能性があります。
[レポートを生
成]
レポート、ビュー、クエリーを生成します。 [設定] をクリックして [レポートの設定] ペー
ジでレポートを選択するか、[追加] をクリックして新しいレポートを作成します。
レポートを電子メールに添付して送信する場合には、電子メールの管理者に添付ファイルの最
大サイズを確認してください。 添付ファイルのサイズが大きくなると、レポートを送信でき
ない場合があります。
[リモート コマ
ンドを実行]
SSH 接続を受け入れるデバイス (ESM の McAfee デバイスを除く) でリモート コマンドを
実行します。 [設定] をクリックして、SSH 接続のコマンド タイプとプロファイル、タイム
ゾーンと日付形式、ホスト、ポート、ユーザー名とパスワード、コマンド文字列を選択しま
す。
アラーム条件が [内部イベントの比較] の場合、特定のイベントを追跡できます。 [変数を挿
入] アイコン
[Remedy に送
信]
228
をクリックして、変数を選択します。
トリガーされたアラームごとに最大 10 個のイベントを Remedy に送信します。 [設定] を
クリックして、Remedy との接続に必要な情報をセットアップします。たとえば、[開始] と
[終了] データ、プレフィックス、キーワード、ユーザー ID (EUID) を設定します。 イベン
トが Remedy に送信されると、ESM は [イベントを Remedy に送信] を [トリガーされた
アラーム] ビューの [アクション] タブに追加します。 このアクションを実行するには、条件
タイプで [内部イベントの比較] を指定する必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを作成する
アクション
説明
[ePO でタグを
割り当て]
このアラームをトリガーする IP アドレスに McAfee ePolicy Orchestrator タグを適用し
ます。 [設定] をクリックして、次の情報を選択します。
• [ePO デバイスを選択] - タグ付けに使用するデバイス
• [名前] - 適用するタグ (選択したデバイスに適用可能なタグだけがリストに表示されま
す)
• [フィールドを選択] - タグ付けの基準になるフィールド
• [クライアントをウェークアップ] - タグをすぐに適用します。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
[Real Time for 選択した McAfee ePO デバイスで、McAfee Real Time for McAfee ePO からアクションを
ePO のアクショ 実行します。
ン]
このオプションを使用するには、McAfee Real Time for McAfee ePO プラグイン (バージョ
ン 2.0.0.235 以降) がインストールされ、McAfee ePO サーバーがエンドポイントの 1 つと
してデバイスを認識している必要があります。
[ブラックリス
ト]
アラームのトリガー時にブラックリストに登録する IP アドレスを選択します。 [設定] をク
リックして、次の情報を選択します。
• [フィールド] - ブラックリストに追加する IP アドレスのタイプを選択します。 [IP ア
ドレス] に指定すると、送信元と宛先の両方の IP アドレスがブラックリストに登録されま
す。
• [デバイス] - IP アドレスをブラックリストに登録するデバイスを選択します。 [グロー
バル] を選択すると、デバイスが [グローバル ブラックリスト] に追加されます。
• [期間] - IP アドレスをブラックリストに登録する期間を選択します。
このアクションを実行するには、条件タイプで [内部イベントの比較] を指定する必要があり
ます。
[アラーム サマ
リーのカスタマ
イズ]
7
[フィールド一致] または [内部イベントの比較] アラームのサマリーに表示するフィールド
をカスタマイズします。
[エスカレート] タブで、一定の期間内に確認されなかったアラームをエスカレートする方法を指定します。
エスカレート
説明
[次の後でエスカレー
ト]
アラームをエスカレートするまでの時間を入力します。
[エスカレートされる
割当先]
エスカレートした通知を受信する個人またはグループを選択します。
[エスカレートされる
重大度]
エスカレートするアラームの重大度を選択します。
[ログ イベント]
このエスカレーションをイベントとして記録するかどうかを選択します。
[ビジュアル アラート] 通知をビジュアル アラートにするかどうかを選択します。 音声にビジュアル通知を
添付する場合は、[音声を再生] をクリックしてファイルを選択します。
[メッセージを送信]
割り当て先にメッセージを送信するかどうかを選択します。 [受信者を追加] をクリ
ックしてメッセージのタイプを選択してから、受信者を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
229
6
アラーム ワークフロー
アラームをモニタリングして対応する
エスカレート
説明
[レポートを生成]
レポートを生成するかどうかを選択します。 [設定] をクリックして、レポートを選択
します。
[リモート コマンドを
実行]
SSH 接続を受け入れるデバイスでスクリプトを実行するかどうかを選択します。 [設
定] をクリックして、ホスト、ポート、ユーザー名、パスワード、コマンド文字列を入
力します。
アラームをモニタリングして対応する
ダッシュボード ビュー、アラームの詳細、フィルター、レポートを使用して、トリガーされたアラームの表示、承
認、削除を行います。
以下のタスクを参照して、トリガーされたアラームのモニタリングと対応の方法を確認してください。
•
トリガーされたアラームの表示 - ダッシュボードの [アラーム] ログ ペインにアラームの総数が重大度別に表
示されます。
記号
重大度
範囲
高
66-100
中
33-65
低
1-32
•
トリガーされたアラームの承認 - [アラーム] ペインから削除されます。 承認されたアラームは、トリガーされ
たアラーム ビューに残ります。
•
トリガーされたアラームの削除 - [アラーム] ペインと [トリガーされたアラーム] ビューから削除されます。
ビジュアル アラートを使用している場合、トリガーされたアラートのクローズ、承認、削除を行わないと、30 秒後に
ビジュアル アラートが終了します。 音声アラートは、ビジュアル アラートがクローズ、承認または削除されるまで再
生されます。音声アイコンをクリックすると、音声アラートが停止します。
タスク
•
230 ページの「トリガーされたアラームの表示と確認」
トリガーされ、削除されていないアラームを表示し、対応します。
•
214 ページの「サイバー脅威フィードの結果を表示する」
組織のサイバー脅威フィードで識別した外部データ ソースの侵入の痕跡 (IOC) を表示します。 ドリル
ダウンすると、脅威の詳細、ファイルの説明、痕跡のソースに対するイベントをすぐに確認できます。
•
224 ページの「アラーム レポート キューを管理する」
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上
のレポートをキャンセルできます。
トリガーされたアラームの表示と確認
トリガーされ、削除されていないアラームを表示し、対応します。
開始する前に
•
アラーム ユーザー特権を持つアクセス グループに所属しているかどうかを管理者に確認します。
•
コンソールに [アラーム] ログ ペインが表示される設定になっているかどうか管理者に確認してく
ださい (「ユーザー設定の選択 36 ページの「」」を参照)。
オプションの定義の場合、インターフェースで [?] をクリックします。
230
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームをモニタリングして対応する
タスク
1
ESM の次のいずれかの場所で、トリガーされたアラームにアクセスします。
•
[アラーム] ログ ペイン - ダッシュボードの左下隅で、システム ナビゲーション ツリーの下にあります。
•
ビジュアル ポップアップ アラート — アラームがトリガーされると開きます。
•
2
[詳細] ページ - [アラーム] ログ ペインで [詳細] アイコン
をクリックすると開きます。
次のいずれかを行います。
処理
操作
アラームを承
認する
• 1 つのアラームを承認するには、承認するトリガーされたアラームの先頭列のチェックボッ
クスをクリックします。
• 複数のアラームを承認するには、アイテムを強調表示して、ビュー下部にある [アラームを承
認] アイコン
をクリックします。
承認されたアラームは [アラーム] ペインから削除されますが、[トリガーされたアラーム] ビ
ューには表示されたままです。
システムから
アラームを削
除する
•
アラームをフ
ィルタリング
する
•
アラームの割
り当て先を変
更する
1
削除するトリガー済みのアラームを選択して、[アラームを削除] アイコン
します。
をクリック
[フィルター] ペインにフィルターとして使用する情報を入力して、[更新] アイコン
クリックします。
[データの詳細を表示] アイコン
の詳細が表示されます。
を
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[割当先] をクリックして新しい割り当て先を選択します。
アラームのケ
ースを作成す
る
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[ケースを作成] をクリックして必要な項目を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
231
6
アラーム ワークフロー
アラームをモニタリングして対応する
処理
操作
アラームの詳
細を表示する
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択して、次のいずれかを行います。
• [トリガー イベント] タブをクリックして、選択したアラームをトリガーしたイベントを確
認します。 イベントをダブルクリックして、説明を表示します。
アラーム条件を満たしていないイベントが 1 つでも存在すると、[トリガーされたイベン
ト] タブが表示されない場合があります。
• [条件] タブをクリックして、イベントをトリガーした条件を確認します。
• [アクション] タブをクリックして、アラームの結果として行われたアクションとイベント
に割り当てられた ePolicy Orchestrator タグを確認します。
トリガーされ
たアラーム設
定を編集する
1
トリガーされたアラームをクリックしてから、[メニュー] アイコン
[アラームを編集] を選択します。
をクリックして
2 [アラーム設定] ページで変更を行い、[完了] をクリックします。
関連トピック:
303 ページの「ケースを追加する」
サイバー脅威フィードの結果を表示する
組織のサイバー脅威フィードで識別した外部データ ソースの侵入の痕跡 (IOC) を表示します。 ドリルダウンする
と、脅威の詳細、ファイルの説明、痕跡のソースに対するイベントをすぐに確認できます。
開始する前に
[サイバー脅威ユーザー] 権限があることを確認します。組織のサイバー脅威フィードの結果を表示する
には、この権限が必要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
232
1
ESM コンソールで [デフォルト サマリー] を開き、[イベント ワークフロー ビュー]、[サイバー脅威の指標] の
順に選択します。
2
ビューの期間を選択します。
3
フィード名または対応する IOC データ タイプでフィルタリングします。
4
標準のビュー アクションを実行します。例:
•
ウォッチリストを作成または追加する。
•
アラームを作成する。
•
リモート コマンドを実行する。
•
ケースを作成する。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームをモニタリングして対応する
5
•
検索する。
•
痕跡を CSB または HTML ファイルにエクスポートする。
[説明]、[詳細]、[ソース イベント]、[ソース フロー] タブでドリルダウンして、脅威の詳細を確認します。
関連トピック:
213 ページの「サイバー脅威の管理をセットアップする」
Threat Intelligence Exchange の統合
Threat Intelligence Exchange は、接続しているエンドポイントにある実行ファイルのレピュテーションを確認し
ます。
ESM に McAfee ePO デバイスを追加すると、Threat Intelligence Exchange Server がデバイスに接続している
かどうか確認されます。 接続している場合、ESM は DXL での待機とイベントのロギングを開始します。
Threat Intelligence Exchange Server が検出されると、Threat Intelligence Exchange のウォッチリスト、デ
ータ エンリッチメント、相関ルールが自動的に追加され、Threat Intelligence Exchange アラームが有効になりま
す。 変更が発生すると、変更サマリーのリンクと一緒に視覚的な通知が送信されます。 デバイスを ESM に追加し
た後で Threat Intelligence Exchange Server が McAfee ePO サーバーに追加された場合にも、この通知が発生
します。
Threat Intelligence Exchange で生成されたイベントは実行履歴で確認できます (『View Threat Intelligence
Exchange 実行履歴を表示してアクションを設定する』を参照)。また、不正なデータに対するアクションも選択で
きます。
相関ルール
Threat Intelligence Exchange データ用に 6 個の相関ルールが最適化されています。 これにより、検索とソート
が可能なイベントが生成されます。
•
TIE - 正常から不正に変更された GTI レピュテ
ーション
•
TIE - 単一のホストで見つかった複数の不正な
ファイル
•
TIE - ホスト数の増加で見つかった不正なファ
イル (SHA-1)
•
TIE - 正常から不正に変更された TIE レピュテ
ーション
•
TIE - ホスト数の増加で見つかった不正なファ
イル名
•
TIE - すべてのホストで見つかった不正なファ
イルの増加
アラーム
ESM には 2 つのアラームが用意されています。重要な Threat Intelligence Exchange イベントが検出されると、
トリガーされます。
•
[TIE で不正なファイルのしきい値を超過] が、[TIE - ホスト数の増加で見つかった不正なファイル (SHA-1)]
という相関ルールからトリガーされます。
•
[TIE で不明なファイルの実行] が特定の TIE イベントからトリガーされ、情報を [TIE データソース IP] のウォ
ッチリストに追加されます。
ウォッチリスト
[TIE データソース IP] ウォッチリストに、[TIE で不明なファイルの実行] アラームをトリガーするシステムが記録
されます。 これは統計用のウォッチリストで、有効期限は設定されていません。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
233
6
アラーム ワークフロー
アラームを調整する
Threat Intelligence Exchange 実行履歴
任意の Threat Intelligence Exchange イベントの実行履歴を表示できます (『Threat Intelligence Exchange 実
行履歴を表示してアクションを設定する』を参照)。ファイルの実行を試みた IP アドレスのリストも表示されます。
このページで、項目を選択すると、以下のアクションを実行できます。
•
新しいウォッチリストを作成します。
•
ブラックリストに情報を追加します。
•
ウォッチリストに情報を追加します。
•
情報を .csv ファイルにエクスポートします。
•
新しいアラームを作成します。
アラーム レポート キューを管理する
アラームのアクションでレポートが生成される場合、生成されたレポートのキューを表示し、1 つ以上のレポートを
キャンセルできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[設定] タブをクリックします。
4
実行待機中のレポートを表示するには、[表示] をクリックします。 ESM は最大 5 つのレポートを同時に実行し
ます。
•
アラームが生成したレポートを表示します。
•
特定のレポートの実行を停止するには、レポートを選択して [キャンセル] をクリックします。 残りのレポー
トはキューに移動します。
管理者またはマスター ユーザーの場合、このリストには ESM で実行待ちのすべてのレポートが表示され、任
意のレポートをキャンセルできます。
5
[ファイル] をクリックし、リスト内のレポートのダウンロード、アップロード、削除または更新を選択します。
6
[閉じる] をクリックします。
アラームを調整する
アラームを見直し、組織の要件に合わせて調整します。
以下のタスクを参照して、アラームの調整方法を確認してください。 以下のタスクでは、特定のアラートの作成方法
を説明します。
234
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを調整する
タスク
•
235 ページの「UCAPL アラームを作成する」
統合機能認定製品リスト (UCAPL) 要件を満たすアラームを作成します。
•
237 ページの「正常性モニター イベント アラームを追加する」
正常性モニター イベントに基づいてアラームを作成します。これにより、[正常性モニター イベント サ
マリー] レポートを生成できます。
•
244 ページの「フィールドの一致アラームを追加する」
[フィールドの一致] アラームは、イベントの複数のフィールドで使用できます。デバイスがイベントを
受信して解析するとトリガーされます。
•
246 ページの「ルールにアラームを追加する」
特定のルールによってイベントが生成された場合に通知を受けるために、それらのルールにアラームを
追加することができます。
•
179 ページの「電源障害通知の SNMP トラップを設定する」
ハードウェア障害と DAS 電源障害を通知する SNMP トラップを選択します。これにより、電源障害に
よるシステムのシャットダウンを回避できます。
•
180 ページの「アラーム アクションとして SNMP トラップを作成する」
アラーム アクションとして SNMP トラップを送信します。
•
180 ページの「電源障害通知アラームを追加する」
ESM のいずれかの電源で障害が発生した場合に通知するようにアラームを追加します。
•
81 ページの「同期されていないデータ ソースを管理する」
非同期のデータソースがイベントを生成したときに警告するようにアラームをセットアップします。こ
れにより、データソースのリストを確認して設定を編集したり、リストをエクスポートできます。
UCAPL アラームを作成する
統合機能認定製品リスト (UCAPL) 要件を満たすアラームを作成します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
アラームを作成する 226 ページの「」手順を確認してください。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
•
適用するアラーム タイプをセットアップします。
アラーム タイプ
説明
調整可能なログオ
ン失敗しきい値に
到達
同じユーザーのログオン失敗回数が調整可能なしきい値に達したときにアラームをトリガ
ーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-36 の値を入力します。
非アクティブのし
きい値に到達
非アクティブしきい値に達してユーザー アカウントがロックされた場合にアラームをト
リガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-35 の値を入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
235
6
アラーム ワークフロー
アラームを調整する
アラーム タイプ
説明
許可されている同
時セッション数に
到達
許可された同時セッション数に達した後にユーザーがシステムへのログオンを試みた場合
にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-37 の値を入力します。
システム ファイル
整合性チェックの
失敗
システム ファイルの整合性検査に失敗した場合にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-50085 の値を入力します。
証明書の有効期限
が切れる
共通アクセス カード設定 (CAC) や Web サーバー証明書が間もなく期限切れになる場合
にアラームをトリガーします。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 306-50081、306-50082、306-50083、306-50084 の値を入力します。
アラームは証明書が期限切れになる 60 日前にトリガーされ、以降は毎週トリガーされま
す。 日数は変更できません。
システムの状態が
システムが承認済みまたはセキュアな状態で動作していないことが検出された場合にトラ
承認されない場合
ップが NMS に送信されるように、SNMP トラップを設定します。
に SNMP トラップ
1 任意の条件でアラームの一致を作成し、[アクション] タブで [メッセージを送信] を選
を送信
択します。
2 [受信者を追加] 、 [SNMP] の順にクリックして受信者を選択し、[OK] をクリックしま
す。
3 [メッセージを送信] フィールドで [設定] をクリックし、[テンプレート]、[追加] の順
にクリックします。
4 [タイプ] フィールドで [SNMP テンプレート] を選択し、メッセージのテキストを入力
して [OK] をクリックします。
5 [テンプレート管理] ページで新しいテンプレートを選択し、[OK] をクリックします。
6 その他のアラーム設定を完了します。
システムの状態が
承認されない場合
に Syslog メッセ
ージを送信
システムが承認済みまたはセキュアな状態で動作していないことが検出された場合に
Syslog メッセージが NMS に送信されるように、Syslog メッセージを設定します。
1 任意の条件と比較するアラームを作成し、[アクション] タブで [メッセージを送信] を
選択します。
2 [受信者を追加] 、 [Syslog] の順にクリックして受信者を選択し、[OK] をクリックし
ます。
3 [メッセージを送信] フィールドで [設定] をクリックし、[テンプレート]、[追加] の順
にクリックします。
4 [タイプ] フィールドで [Syslog テンプレート] を選択し、メッセージのテキストを入力
して [OK] をクリックします。
5 [テンプレート管理] ページで新しいテンプレートを選択し、[OK] をクリックします。
6 その他のアラーム設定を完了します。
236
McAfee Enterprise Security Manager 9.5.1
製品ガイド
アラーム ワークフロー
アラームを調整する
6
アラーム タイプ
説明
セキュリティ ログ
に必要なイベント
が記録されない
セキュリティ ログに必要なイベントが記録されなかった場合に、適切なネットワーク運用
センター (NOC) に 30 秒以内に通知するように SNMP トラップを設定します。
1 [システムのプロパティ] 、 [SNMP の設定] 、 [SNMP トラップ] の順に移動します。
あるいは、[デバイスのプロパティ] 、 [デバイスの設定] 、 [SNMP] の順に移動しま
す。
2 セキュリティ ログ失敗トラップを選択し、送信先のトラップについて 1 つ以上のプロ
ファイルを設定して、[適用] をクリックします。
ESM が、「セキュリティ ログへの書き込みに失敗しました」というメッセージと一緒に
SNMP トラップを SNMP プロファイル受信者に送信します。
監査機能の起動ま
たはシャットダウ
ン
監査機能 (データベース、cpservice、IPSDBServer など) が起動またはシャットダウン
されたときに SNMP トラップを送信するように設定します。[SNMP トラップ] または
[SNMP 設定] にアクセスして [データベースの上/下トラップ] を選択します。 送信先の
トラップについて 1 つ以上のプロファイルを設定し、[適用] をクリックします。
管理役割別にセッ
ションが存在する
定義された管理者輪区割りごとに管理セッションが存在する場合にアラームをトリガーし
ます。
1 [シグネチャ ID] で比較する [内部イベントの比較] アラームを作成します。
2 監査管理者の場合には 306–38、暗号化管理者の場合には 306–39、パワー ユーザーの
場合には 306–40 を入力します。 別個のアラームを設定することもできます。
関連トピック:
226 ページの「アラームを作成する」
正常性モニター イベント アラームを追加する
正常性モニター イベントに基づいてアラームを作成します。これにより、[正常性モニター イベント サマリー] レポ
ートを生成できます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
使用可能な正常性モニターのシグネチャ ID238 ページの「」 を確認してください。
•
アラームを作成する 226 ページの「」手順を確認してください。
オプションの定義の場合、インターフェースで [?] をクリックします。
1
正常性モニター イベントが生成される前にアラームをセットアップするには:
a
[内部イベントの比較] タイプを指定して、アラームの [条件] をセットアップします。
b
[フィールド] 行で、[シグネチャ ID] を選択します。
c
[値] フィールドで、正常性モニター ルールのシグネチャ ID を入力します。
d
アラームのその他の設定を入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
237
6
アラーム ワークフロー
アラームを調整する
2
正常性モニター イベントが存在する場合にアラームをセットアップするには:
a
b
の基本デバイスをクリックし、正
システム ナビゲーション ツリーで、システム
常性モニター イベントを表示するビュー ([イベント分析] または [デフォルトのサマリー]) を選択します。
イベントをクリックし、[メニュー] アイコン
をクリックします。
c
[アクション] 、 [新しいアラームの作成元] の順に選択して、[シグネチャ ID] をクリックします。
d
アラームのその他の設定を入力します。
関連トピック:
226 ページの「アラームを作成する」
正常性モニターのシグネチャ ID
このリストでは、正常性モニター ルールとそのシグネチャ ID、デバイス、重大度を説明します。 これらのルールを
使用して、正常性モニター ルール イベントの発生を通知するアラームを作成します。
ルール名
シグネチャ
ID
物理ネットワーク インター 306-50080
フェース接続が確立または
削除されました
RAID エラーが発生しまし
た
306-50054
種類
デバイス
重
大
度
SSH セッション経由でネットワー
ソフトウェ
ク インターフェースの設定が変更さ ア モニター
れました。
ESM
中
RAID エラーが発生しました。
すべて
高
ハードウェ
ア モニター
アクティブでないため、アカ 306-35
ウントが無効になりました
アクティブでないため、ユーザー ア ソフトウェ
ア モニター
カウントが無効になりました。
ESM
中
ログオン試行回数が最大数 306-36
に達したため、アカウントが
無効になりました
ログオン試行回数が最大数に達した ソフトウェ
ため、ユーザー アカウントが無効に ア モニター
なりました。
ESM
高
306-60
アラーム: リモート コマンドが追加 ソフトウェ
ア モニター
または削除されました。
ESM
低
ASP パーサーが停止または開始しま ソフトウェ
ア モニター
した。
Receiver
中
リモート コマンドの追加/
編集
アドバンスド Syslog パー 306-50029
サー コレクターの状態変化
アラート
APM ディスティラー プロ
セス
306-50066
ADM PDF/DOC テキスト抽出エン
ジンが停止または開始しました。
ソフトウェ
ア モニター
APM
中
設定の不一致が承認されま
した
146-7
ネットワーク検出デバイスの変更が
承認されました。
ソフトウェ
ア モニター
ESM
低
アーカイブ設定の変更
306-3
ESM アーカイブの設定が変更され
ました。
ソフトウェ
ア モニター
ESM
低
Receiver のアーカイブ プロセスが
停止または開始しました。
ソフトウェ
ア モニター
APM/REC/ 中
IPS/DBM
脆弱性イベントが作成されました。
ソフトウェ
ア モニター
ESM
低
UCAPL イベント、管理者ログオンの ソフトウェ
ア モニター
監査。
ESM
低
アーカイブ プロセスの状態 306-50051
変化アラート
脆弱な資産
146-10、
306-10
管理者ユーザー ログオンの 306-38
監査
238
説明
バックアップ設定の変更
306-1
ESM のバックアップ設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
低
バックアップの実行
306-2
システムでバックアップが実行され
ました。
ソフトウェ
ア モニター
ESM
低
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
中
Blue Martini パーサーのア 306-50071
ラート
Blue Martini パーサーが停止または ソフトウェ
ア モニター
開始しました。
Receiver
バイパス NIC の状態アラー 306-50001
ト
NIC のバイパス状態に入ったか、バ ソフトウェ
ア モニター
イパス状態を終了しました。
IPA/ADM/ 中
IPS
CA 証明書の期限切れ
306-50082
ESM CAC 証明書が期限切れになり
ました。
ソフトウェ
ア モニター
ESM
高
CA 証明書がまもなく期限
切れ
306-50081
ESM CAC 証明書がまもなく期限切
れになります。
ソフトウェ
ア モニター
ESM
中
ケースの変更
306-70
ケースが変更されました。
ソフトウェ
ア モニター
ESM
低
ケース ステータスの追加/
変更/削除
306-73
ケース ステータスが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
通信チャネルの状態変化ア
ラート
306-50013
制御チャネルが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
設定収集失敗 (デバイス エ
ラー)
146-4
ネットワーク検出デバイス エラー。 ソフトウェ
ア モニター
ESM
低
設定収集失敗 (デバイス接
続不能)
146-3
ネットワーク検出デバイスに接続で
きません。
ソフトウェ
ア モニター
ESM
低
設定収集
146-5
ネットワーク検出の設定が正常に確
認されました。
ソフトウェ
ア モニター
ESM
低
設定ポリシー失敗
146-8
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
設定ポリシー成功
146-9
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
データ割り振り設定の変更
306-7
ESM データ割り振り設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
高
各パーティションの空き容量が少な ソフトウェ
くなっています (例: hada_hd の空 ア モニター
き容量が 10%)。
すべて
中
データ パーティションの空 306-50005
きディスク領域アラート
データ保存設定の変更
306-6
ESM データ保存設定が変更されま
した。
ソフトウェ
ア モニター
ESM
高
データベース検出サービス
の状態アラート
306-50036
DBM 自動検出サービスが停止また
は開始しました。
ソフトウェ
ア モニター
すべて
中
ディープ パケット インス
ペクターの状態変化アラー
ト
306-50008
IPS または ADM の詳細なパケット
検査エンジンが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
リモート コマンドの削除
306-61
アラーム: リモート コマンドが削除 ソフトウェ
ア モニター
されました。
ESM
低
イベントの削除
306-74
ユーザーが ESM イベントを削除し
ました。
ソフトウェ
ア モニター
ESM
低
フローの削除
306-75
ユーザーが ESM フローを削除しま
した。
ソフトウェ
ア モニター
ESM
低
デバイスの追加
306-18
新しいデバイスがシステムに追加さ
れました。
ソフトウェ
ア モニター
ESM
低
デバイスの削除
306-19
システムからデバイスが削除されま
した。
ソフトウェ
ア モニター
ESM
低
製品ガイド
239
McAfee Enterprise Security Manager 9.5.1
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
デバイス停止の可能性
146-2
デバイス停止の可能性を表すネット
ワーク検出イベント。
ソフトウェ
ア モニター
ESM
低
デバイス接続不能
146-1
ESM に追加されたネットワーク検
出デバイスに接続できません。
ソフトウェ
ア モニター
ESM
低
ディスク ドライブ エラー
アラート
306-50018
すべてのハードディスク (内部また
は DAS) の整合性を検査します。
ハードウェ
ア モニター
すべて
高
ELM アーカイブ プロセス
の状態変化アラート
306-50045
ELM 圧縮エンジンが停止または開始 ソフトウェ
ア モニター
しました。
APM/REC/ 中
IPS/DBM
ELM EDS FTP
306-50074
ELM SFTP プログラムが停止または ソフトウェ
ア モニター
開始しました。
ELM
中
ELM ファイル プロセス
306-50065
ELM 再挿入エンジンが停止または開 ソフトウェ
ア モニター
始しました。
ELM
中
何らかの理由でログに失敗すると、
再度挿入を試みます。 再挿入プロセ
スに失敗すると、このルールがトリ
ガーされます。
ELM マウント ポイントの
状態変化アラート
306-50053
ELM リモート ストレージ (CIFS、 ソフトウェ
NFS、ISCSI、SAN) が停止または開 ア モニター
始しました。
ELM
中
ELM クエリー エンジンの
状態変化アラート
306-50046
ELM ジョブ プロセス - ELM クエ ソフトウェ
リー、挿入などの ELM ジョブが停止 ア モニター
または開始しました。
ELM
中
ELM 冗長ストレージ
306-50063
ELM ミラーが停止または開始しまし ソフトウェ
ア モニター
た。
ELM
中
ELM システムのデータベー 306-50044
ス エラー
ELM ミラーが停止または開始しまし ソフトウェ
ア モニター
た。
ELM
高
電子メール コレクターの状 306-50040
態変化アラート
Cisco MARS コレクターが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
低
EPO タグの適用
306-28
McAfee ePO タグが適用されまし
た。
ソフトウェ
ア モニター
ESM
ELM との通信エラー
306-50047
ELM との通信に失敗しました。
ソフトウェ
ア モニター
APM/REC/ 高
IPS/DBM
SSH 通信でエラーが発生し 306-50077
ました
240
デバイスで問題 (バージョンの相違、 ソフトウェ
キーの変更など) が発生しました。 ア モニター
すべて
高
ESM の再起動
306-32
ESM が再起動しました。
ソフトウェ
ア モニター
ESM
中
ESM のシャットダウン
306-33
ESM がシャットダウンしました。
ソフトウェ
ア モニター
ESM
中
eStreamer コレクターの
アラート
306-50070
eStreamer コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
eStreamer コレクターの
状態変化アラート
306-50041
eStreamer コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
パーティション除去イベン
ト
306-4
パーティションが除去されました。
ソフトウェ
ア モニター
ESM
低
リモート コマンドを実行
306-62
アラーム: リモート コマンドが実行 ソフトウェ
ア モニター
されました。
ESM
低
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
セッションの同時接続数に 306-37
達したため、ログオンに失敗
しました
セッションの同時接続数に達したた ソフトウェ
め、ユーザーがログオンできません。 ア モニター
ESM
高
SAN デバイスをフォーマッ 306-50057
トできませんでした
ELM の SAN をフォーマットできま ハードウェ
せん。ユーザーが再試行する必要が ア モニター
あります。
ESM
高
ユーザーがログオンに失敗しまし
た。
ESM
中
マウントコレクター プログラムが停 ソフトウェ
ア モニター
止または開始しました。
Receiver
中
ESM ログや音声ファイルなど、追加 ソフトウェ
または削除可能なファイルが削除さ ア モニター
れました。
ESM
低
フィルター プロセスの状態 306-50050
変化アラート
デバイスのフィルター プログラムが ソフトウェ
停止または開始しました (フィルタ ア モニター
ー ルール)。
Receiver
中
ファイアウォール アラート 306-50009
アグリゲーターの状態変化
アラート
IPS または ADM のファイアウォー ソフトウェ
ル アグリゲーターが停止または開始 ア モニター
しました。
IPS/ADM/ 中
IPS
ユーザー ログオン失敗
306-31
ファイル コレクターの状態 306-50049
変化アラート
ファイルの削除
306-50
ソフトウェ
ア モニター
パーティション除去フロー
306-5
パーティションが除去されました。
ソフトウェ
ア モニター
ESM
低
VA データ取得失敗
306-52
ESM が VA データの取得に失敗し
ました。
ソフトウェ
ア モニター
ESM
中
VA データ取得成功
306-51
ESM が VA データを取得しました。 ソフトウェ
ア モニター
ESM
低
正常性モニターの内部アラ
ート
306-50027
正常性モニター プロセスが停止また ソフトウェ
ア モニター
は開始しました。
すべて
中
HTTP コレクターの状態変
化アラート
306-50039
HTTP コレクターが停止または開始
しました。
ソフトウェ
ア モニター
Receiver
中
インデックス設定の変更
306-8
ESM インデックスの設定が変更さ
れました。
ソフトウェ
ア モニター
ESM
中
無効な SSH キー
306-50075
デバイスと ELM と通信で問題 (バ
ソフトウェ
ージョンの相違、キーの変更など) が ア モニター
発生しました。
すべて
高
IPFIX コレクターの状態変
化アラート
306-50055
IPFIX (フロー) コレクターが停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
管理者のログオンで使用さ
れたキーと証明書
306-39
UCAPL イベント、管理者ログオンの ソフトウェ
ア モニター
暗号化。
ESM
低
ログ パーティションのロー 306-34
ルオフ
データベース ログ テーブルで最も
古いパーティションがロールオフし
ました。
ソフトウェ
ア モニター
ESM
低
ログ パーティションの空き 306-50004
ディスク領域アラート
ログ パーティション (/var) の空き
容量が少なくなっています。
ソフトウェ
ア モニター
すべて
中
McAfee EDB データベース 306-50010
サーバーの状態変化アラー
ト
データベースが停止または開始しま
した。
ソフトウェ
ア モニター
すべて
中
McAfee ePO コレクターの 306-50069
アラート
McAfee ePO コレクターが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
製品ガイド
241
McAfee Enterprise Security Manager 9.5.1
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
McAfee Event Format の
状態変化アラート
306-50031
McAfee Event Format コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
McAfee SIEM デバイス通
信エラー
306-26
ESM が別のデバイスと通信できま
せん。
ソフトウェ
ア モニター
ESM
高
Microsoft Forefront
Threat Management
Gateway のアラート
306-50068
Forefront Threat Management
Gateway コレクターが停止または
開始しました。
ソフトウェ
ア モニター
Receiver
中
Microsoft SQL コレクターが停止ま ソフトウェ
たは開始しました (Microsoft SQL ア モニター
の場合、任意のデータソース)。
Receiver
中
MS-SQL 取得ツールの状態 306-50035
変化アラート
マルチイベント ログ アラ
ート
306-50062
jEMAIL コレクターが停止または開
始しました。
ソフトウェ
ア モニター
Receiver
中
MVM スキャンの開始
306-27
MVM スキャンが開始しました。
ソフトウェ
ア モニター
ESM
低
NetFlow コレクターの状態 306-50024
変化アラート
NetFlow (フロー) コレクターが停
止または開始しました。
ソフトウェ
ア モニター
Receiver
中
新しいユーザー アカウント 306-13
新しいユーザーがシステムに追加さ
れました。
ソフトウェ
ア モニター
ESM
低
NFS/CIFS コレクターの状
態変化アラート
306-50048
NFS または CIFS のリモート マウ
ントが停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
NitroFlow コレクターの状
態変化アラート
306-50026
NitroFlow (デバイス上のフロー) が ソフトウェ
ア モニター
停止または開始しました。
Receiver
中
SSH キーが見つかりません 306-50076
でした
デバイスと ELM と通信で問題 (バ
ソフトウェ
ージョンの相違、キーの変更など) が ア モニター
発生しました。
すべて
高
NSM ブラックリストの追
加/編集
306-29
NSM ブラックリストのエントリが
追加または編集されました。
ソフトウェ
ア モニター
ESM
低
NSM ブラックリストの削
除
306-30
NSM ブラックリストのエントリが
削除されました。
ソフトウェ
ア モニター
ESM
低
OPSEC 取得ツールの状態
変化アラート
306-50028
OPSEC (Check Point) コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
OPSEC 取得ツールの状態
変化アラート
306-50034
OPSEC (Check Point) コレクター
が停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
Oracle IDM コレクターの
アラート
306-50072
Oracle IDM コレクターが停止また
は開始しました。
ソフトウェ
ア モニター
Receiver
中
オーバーサブスクリプショ
ンのアラート
306-50012
ADM または IPS がオーバーサブス ソフトウェ
クリプション モードに入ったか、モ ア モニター
ードを終了しました。
IPS/ADM/ 中
IPS
プラグイン コレクター/パーサーが
停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
プラグインのコレクター/パ 306-50073
ーサーのアラート
242
ポリシーの追加
306-15
システムにポリシーが追加されまし
た。
ソフトウェ
ア モニター
ESM
低
ポリシーの削除
306-17
ポリシーがシステムから削除されま
した。
ソフトウェ
ア モニター
ESM
低
ポリシーの変更
306-16
システムでポリシーが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
McAfee Enterprise Security Manager 9.5.1
製品ガイド
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
説明
種類
デバイス
重
大
度
前の設定との不一致
146-6
ネットワーク検出デバイスの設定が
変更されました。
ソフトウェ
ア モニター
ESM
低
Receiver HA
306-50058
HA プロセス (Corosync、HA 制御
スクリプト) が停止または開始しま
した。
ソフトウェ
ア モニター
Receiver
中
Receiver HA OPSEC の設
定
306-50059
使用されていません。
ソフトウェ
ア モニター
Receiver
低
冗長 ESM の非同期
306-76
冗長 ESM が同期されていません。
ソフトウェ
ア モニター
ESM
高
リモート NFS マウント ポ
イントの状態変化アラート
306-50020
NFS ELM マウントが停止または開
始しました。
ソフトウェ
ア モニター
ELM
中
リモート共有/マウント ポ
イントの空きディスク領域
アラート
306-50021
リモート マウント ポイントの空き
容量が少なくなっています。
ソフトウェ
ア モニター
ESM
中
リモート SMB/CIFS 共有
の状態変化アラート
306-50019
リモート SMB/CIFS マウント ポイ
ントが停止または開始しました。
ソフトウェ
ア モニター
Receiver
中
リスク相関状態変更アラー
ト
306-50061
リスク相関エンジンが停止または開
始しました。
ソフトウェ
ア モニター
ACE
中
ルート パーティションの空き容量が ソフトウェ
ア モニター
少なくなっています。
すべて
中
ルート パーティションの空 307-50002
きディスク領域アラート
ルールの追加
306-20
システムにルール (ASP、フィルタ
ー、相関など) が追加されました。
ソフトウェ
ア モニター
ESM
低
ルールの削除
306-22
ルールがシステムから削除されまし
た。
ソフトウェ
ア モニター
ESM
低
ルールの変更
306-21
システムでルールが変更されまし
た。
ソフトウェ
ア モニター
ESM
低
ルール更新エラー
306-9
ESM ルールの更新に失敗しました。 ソフトウェ
ア モニター
ESM
中
SDEE 取得ツールの状態変
化アラート
306-50033
SDEE コレクターが停止または開始
しました。
ソフトウェ
ア モニター
Receiver
中
sFlow コレクターの状態変
化アラート
306-50025
sFlow (フロー) コレクターが停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
SNMP コレクターの状態変
化アラート
306-50023
SNMP コレクターが停止または開始 ソフトウェ
ア モニター
しました。
Receiver
中
SQL コレクターの状態変化 306-50038
アラート
SQL コレクター (旧 NFX) が停止ま ソフトウェ
ア モニター
たは開始しました。
Receiver
中
Symantec AV コレクター
の状態変化アラート
306-50056
Symantec MARS コレクターが停
止または開始しました。
ソフトウェ
ア モニター
Receiver
中
Syslog コレクターの状態
変化アラート
306-50037
Syslog コレクターが停止または開
始しました。
ソフトウェ
ア モニター
Receiver
中
システム管理者のログオン
306-40
システム管理者がシステムにログオ
ンしました。
ソフトウェ
ア モニター
ESM
低
システムの整合性チェック
が失敗しました
306-50085
ISO 以外の外部プログラムまたはプ ソフトウェ
ロセスがシステムで実行されていま ア モニター
す。これらのプログラム/プロセスに
フラグが設定されました。
すべて
高
製品ガイド
243
McAfee Enterprise Security Manager 9.5.1
6
アラーム ワークフロー
アラームを調整する
ルール名
シグネチャ
ID
システム ロガーの状態変化 306-50014
アラート
説明
種類
デバイス
重
大
度
システム ロギング プロセスが停止
または開始しました。
ソフトウェ
ア モニター
すべて
中
タスク (クエリー) の終了
306-54
タスク マネージャーのタスクが終了 ソフトウェ
ア モニター
しました。
ESM
低
一時パーティションの空き
ディスク領域アラート
306-50003
一時パーティション (/tmp) の空き
容量が少なくなっています。
ソフトウェ
ア モニター
すべて
中
テキスト ログ パーサーの
状態変化アラート
306-50052
テキスト パーサー プロセスが停止
または開始しました。
ソフトウェ
ア モニター
Receiver
中
ユーザー アカウントの変更 306-14
ユーザー アカウントが変更されまし ソフトウェ
ア モニター
た。
ESM
低
ユーザー デバイスのログオ 306-50079
ン失敗
SSH ユーザーがログオンに失敗し
ました。
ソフトウェ
ア モニター
ESM
低
ユーザー デバイス ログオ
ン
306-50017
システムで使用されていません。
ソフトウェ
ア モニター
ESM
低
ユーザー デバイス ログア
ウト
306-50078
SSH ユーザーがログアウトしまし
た。
ソフトウェ
ア モニター
ESM
低
ユーザー ログオン
306-11
ユーザーがシステムにログオンしま
した。
ソフトウェ
ア モニター
ESM
低
ユーザー ログアウト
306-12
ユーザーがシステムからログアウト
しました。
ソフトウェ
ア モニター
ESM
低
VA データ エンジンのステ
ータス アラート
306-50043
VA (vaded.pl) エンジンが停止また ソフトウェ
ア モニター
は開始しました。
Receiver
中
変数の追加
306-23
ポリシー変数が追加されました。
ソフトウェ
ア モニター
ESM
低
変数の削除
306-25
ポリシー変数が削除されました。
ソフトウェ
ア モニター
ESM
低
変数の変更
306-24
ポリシー変数が変更されました。
ソフトウェ
ア モニター
ESM
低
Web サーバー証明書の期限 306-50084
切れ
ESM Web サーバー証明書が期限切
れになりました。
ソフトウェ
ア モニター
ESM
高
Web サーバー証明書がまも 306-50083
なく期限切れ
ESM Web サーバー証明書がまもな
く期限切れになります。
ソフトウェ
ア モニター
ESM
中
Websense コレクターのア 306-50067
ラート
Websense コレクターが停止または ソフトウェ
ア モニター
開始しました。
Receiver
中
WMI イベント ログ コレク 306-50030
ターの状態変化アラート
WMI コレクターが停止または開始
しました。
Receiver
中
ソフトウェ
ア モニター
フィールドの一致アラームを追加する
[フィールドの一致] アラームは、イベントの複数のフィールドで使用できます。デバイスがイベントを受信して解析
するとトリガーされます。
開始する前に
244
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
論理要素245 ページの「」の使用方法を確認してください。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
アラーム ワークフロー
アラームを調整する
6
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[追加] をクリックしてアラーム名を入力し、割り当て先を選択して [条件] タブをクリックします。
4
[タイプ] フィールドで、[フィールドの一致] を選択してアラームの条件を設定します。
a
ドラッグ アンド ドロップで [AND] または [OR] を移動し、アラーム条件の論理を設定します。
b
ドラッグ アンド ドロップで [一致コンポーネント] アイコンを論理要素の上に移動し、[フィルター フィール
ドを追加] ページに情報を入力します。
c
[条件トリガーの最大頻度] フィールドで、大量の通知が発生しないように各条件間で許容する時間を選択しま
す。 各トリガーには、トリガー条件に一致する最初のソース イベントだけが含まれます。トリガー頻度期間
内に発生したイベントは含まれません。 トリガー条件に一致する新しいイベントが発生しても、トリガー頻
度の最大期間が終わるまでアラームはトリガーされません。
間隔を 0 に設定すると、条件に一致するイベントが発生するたびにアラームがトリガーされます。 頻度の高いア
ラームの場合、間隔を 0 にすると大量のアラームが発生する可能性があります。
5
[次へ] をクリックし、このアラームで監視するデバイスを選択します。 このアラーム タイプは、Receiver、ロ
ーカルの Receiver-Enterprise Log Manager (ELM)、Receiver/ELM の組み合わせ、ACE、Application Data
Monitor (ADM) に使用できます。
6
[アクション] タブと [エスカレート] タブで設定を定義します。
7
[完了] をクリックします。
アラームがデバイスに書き込まれます。
アラームの書き込みに失敗すると、システム ナビゲーション ツリーでデバイスの横に非同期フラグが表示されます。
フラグをクリックして、[アラームの同期] をクリックします。
論理要素
Application Data Monitor (ADM)、データベース、相関ルールまたはコンポーネントを追加するときに、[式のロジ
ック] または [相関ロジック] を使用してルールのフレームワークを作成します。
要素
説明
AND コンピューター言語の論理演算子と同じように機能します。条件を true にするには、この論理要素
の下でグループ化されるものがすべて true になっている必要があります。この論理要素の下ですべ
ての条件が満たされてからルールがトリガーされるようにするには、このオプションを使用します。
OR
コンピューター言語の論理演算子と同じように機能します。この条件を true にするには、この要素
の下でグループ化される条件のうち 1 つのみが true である必要があります。1 つのみの条件が満た
されてからルールがトリガーされるようにするには、この要素を使用します。
SET 相関ルールまたはコンポーネントの場合、SET を使用すると条件を定義し、true の場合にルールをト
リガーする条件の数を選択できます。 たとえば、セット内に 3 つの条件があり、ルールのトリガー
にこの中の 2 つの条件を満たす必要がある場合、セットは 2/3 となります。
これらの要素ごとに、以下のオプションうち 2 つ以上が含まれたメニューがあります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
245
6
アラーム ワークフロー
アラームを調整する
•
[編集] — デフォルト設定を編集できます (『論理要素のデフォルト設定を編集する』を参照)。
•
[論理要素を削除] — 選択した論理要素を削除できます。 子がある場合には論理要素は削除されず、階層の上位
に移動します。
これはルート要素 (階層内の最初の要素) には適用されません。 ルート要素を削除すると、すべての子も削除され
ます。
•
[論理要素とそのすべての子を削除] — 選択した要素とすべての子を階層から削除できます。
ルールのロジックを設定する場合は、コンポーネントを追加して、ルールの条件を定義する必要があります。相関ル
ールの場合は、実行されたルールまたはコンポーネントの動作を制御するパラメータを追加することもできます。
ルールにアラームを追加する
特定のルールによってイベントが生成された場合に通知を受けるために、それらのルールにアラームを追加すること
ができます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システムのナビゲーション ツリーで、アクション ツールバーの [ポリシーエディター] アイコン
します。
2
[ルール タイプ] ペインで、ルールのタイプを選択します。
3
ルール表示領域で 1 つ以上のルールを選択します。
4
5
[アラーム] アイコン
をクリック
をクリックします。
アラームを作成します。
関連トピック:
226 ページの「アラームを作成する」
電源障害通知の SNMP トラップを設定する
ハードウェア障害と DAS 電源障害を通知する SNMP トラップを選択します。これにより、電源障害によるシステム
のシャットダウンを回避できます。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合に必要)。
オプションの定義の場合、インターフェースで [?] をクリックします。
246
McAfee Enterprise Security Manager 9.5.1
製品ガイド
アラーム ワークフロー
アラームを調整する
6
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
3
[トラップ ポート] で 162 を入力し、[ハードウェア全般エラー] を選択して [プロファイルを編集] をクリック
します。
4
[追加] をクリックし、必要な情報を入力します。
•
[プロファイル タイプ] - [SNMP トラップ] を選択します。
•
[IP アドレス] - トラップ送信先のアドレスを入力します。
•
[ポート] - 162 を入力します。
•
[コミュニティ名] - パブリック と入力します。
[ポート] と [コミュニティ名] フィールドに入力した情報を忘れないように覚えてください。
5
[OK] をクリックし、[プロファイル マネージャー] ページで [閉じる] をクリックします。
プロファイルが [宛先] テーブルに追加されます。
6
[使用] 列でプロファイルを選択し、[OK] をクリックします。
電源装置が故障すると、SNMP トラップが送信され、システムのナビゲーション ツリーのデバイスの横に正常性ス
テータスのフラグが表示されます。
アラーム アクションとして SNMP トラップを作成する
アラーム アクションとして SNMP トラップを送信します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
SNMP トラップの Receiver を準備します (SNMP トラップ Receiver の場合のみ必要)。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
SNMP プロファイルを作成して、SNMP トラップの送信先を ESM に通知します。
a
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
b
[プロファイル管理] をクリックして、[プロファイル タイプ] フィールドで [SNMP トラップ] を選択します。
c
残りのフィールドを入力して、[適用] をクリックします。
ESM で SNMP を設定します。
a
[システム プロパティ] で [SNMP 設定] をクリックし、[SNMP トラップ] タブをクリックします。
b
ポートを選択して、送信するトラップのタイプを選択します。手順 1 で追加したプロファイルを選択します。
c
[適用] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
247
6
アラーム ワークフロー
アラームを調整する
3
アラームのアクションに [SNMP トラップ] を定義します。
a
[システム プロパティ] で [アラーム] をクリックし、[追加] をクリックします。
b
Fill in the information requested on the [サマリー]、[条件]、[デバイス] の各タブで必要な情報を入力し
ます。条件タイプに [内部イベントの比較] を選択し、[アクション] タブをクリックします。
c
[メッセージを送信] を選択して [設定] をクリックし、SNMP メッセージのテンプレートを選択または作成し
ます。
d
[SNMP] フィールドで [基本的な SNMP テンプレート] を選択します。あるいは、[テンプレート] をクリッ
クして既存のテンプレートを選択するか、[追加] をクリックして新しいテンプレートを定義します。
e
[アラーム設定] ページに戻り、アラームのセットアップに続けます。
電源障害通知アラームを追加する
ESM のいずれかの電源で障害が発生した場合に通知するようにアラームを追加します。
開始する前に
•
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確
認します。
•
電源障害通知の SNMP トラップを設定する 179 ページの「」
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックします。
3
[追加] をクリックし、必要なデータを [サマリー] タブに入力して [条件] タブをクリックします。
4
[タイプ] フィールドで [内部イベントの比較] を選択します。
5
[フィールド] フィールドで [シグネチャ ID] を選択し、[値] フィールドに 306-50086 を入力します。
6
それぞれのタブで必要に応じて残りの情報を入力し、[完了] をクリックします。
電源装置に障害が発生すると、アラームがトリガーされます。
タスク
•
248 ページの「トリガーされたアラームとケースのサマリーをカスタマイズする」
[フィールド一致] アラームと [内部イベントの比較] アラームのアラーム サマリーとケース サマリー
に追加するデータを選択します。
トリガーされたアラームとケースのサマリーをカスタマイズする
[フィールド一致] アラームと [内部イベントの比較] アラームのアラーム サマリーとケース サマリーに追加するデ
ータを選択します。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
オプションの定義の場合、インターフェースで [?] をクリックします。
248
McAfee Enterprise Security Manager 9.5.1
製品ガイド
アラーム ワークフロー
アラームを調整する
6
タスク
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
2
[アラーム] をクリックして、[追加] をクリックします。
3
[条件] タブで、[フィールド一致] または [内部イベントの比較] を選択します。
4
5
6
[アクション] タブで [次のケースを作成] をクリックして、変数アイコン
ーに追加するフィールドを選択します。
をクリックします。ケース サマリ
[トリガーされたアラームのサマリーをカスタマイズする] をクリックして変数アイコン
ガーされたアラームのサマリーに追加するフィールドを選択します。
をクリックし、トリ
アラームの作成に必要な情報を入力して、[完了] をクリックします。
同期されていないデータ ソースを管理する
非同期のデータソースがイベントを生成したときに警告するようにアラームをセットアップします。これにより、デ
ータソースのリストを確認して設定を編集したり、リストをエクスポートできます。
開始する前に
管理者権限を持っているか、アラーム管理特権を持つアクセス グループに所属しているかどうか確認し
ます。
この診断ツールは、データソースがイベントを収集する時間を識別します。これにより、Receiver に赤いフラグが
表示される場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
ESM と同期していないデータソースが生成したイベントを Receiver が受信したときに通知するようにアラー
ムを設定します。
a
[アラーム] 、 [追加]の順にクリックして、[サマリー] タブに必要な情報を入力し、[条件] タブをクリックし
ます。
b
[タイプ] フィールドで [イベント デルタ] を選択して、ESM が非同期データ ソースを確認する頻度を選択
し、アラームをトリガーする時間差を選択します。
c
残りのタブで情報を選択します。
同期していないデータソースの表示、編集、エクスポートを行います。
a
システム ナビゲーション ツリーで Receiver を選択し、[プロパティ] アイコンをクリックします。
b
[Receiver の管理] をクリックして [時間差] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
249
6
アラーム ワークフロー
アラームを調整する
同期されていないデータ ソース
いくつかの設定を行うと、データ ソースの時間が ESM と同期しなくなる場合があります。 同期されていないデー
タ ソースがイベントを生成すると、システム ナビゲーション ツリーの Receiver の横に赤いフラグが表示されま
す。
この状況の発生を通知するようにアラームを設定できます。 [時間差] ページにアクセスすると、同期されていない
データ ソースを管理できます (『同期されていないデータ ソースを管理する』を参照)。
同期されていないイベントは、古いイベントの場合もあれば、新しいイベントの場合もあります。
データ ソースが ESM と同期していない場合、いくつかの理由が考えられます。
1
ESM でタイムゾーンが正しく設定されていない
(『ユーザー設定を選択する』を参照)。
4
システムを意図的にこのような設定にしている。
2
データ ソースの追加時に待ちあったゾーンを設
定した (『データ ソースを追加する』を参照)。
5
システムがインターネットに接続していない。
3
システムが長時間稼動し、タイミングがずれてい
る。
6
Receiver での受信時にイベントが同期されてい
ない。
関連トピック:
74 ページの「データ ソースを追加」
81 ページの「同期されていないデータ ソースを管理する」
36 ページの「ユーザー設定の選択」
250
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
ESM では、数十億のイベントとフローの識別、収集、処理、相関分析、保存を行うことができます。これらの情報
は、クエリー、フォレンジック、ルールの検証、コンプライアンスで使用できます。
目次
イベント、フロー、ログ
レポートの管理
contains フィルターと regex フィルターの説明
ESM ビューの操作
カスタム タイプ フィルター
イベント時間を表示する
イベント、フロー、ログ
イベント、フロー、ログ には、デバイスで発生した様々なアクティビティが記録されます。
イベントは、システムのルールの結果としてデバイスが記録するアクティビティです。 フローは IP 間の接続のレコ
ードであり、少なくとも 1 つが HOME_NET 上にあります。 ログは、システムのデバイスに発生したイベントのレ
コードです。 イベントとフローには、ソースおよび宛先 IP アドレス、ポート、MAC アドレス、プロトコル、最初
および最後の時刻 (接続の開始から終了までの時間) が含まれます。 ただし、イベントとフローには以下の相違点が
あります。
•
フローは異常なトラフィックまたは悪意のあるトラフィックを示すものではないため、イベントよりも多くなり
ます。
•
フローは、イベントとは異なり、ルール シグネチャ (SigID) と関連付けられません。
•
フローは、アラート、ドロップ、拒否などのイベント アクションと関連付けられません。
•
特定のデータは、ソースおよび宛先バイト、ソースおよび宛先パケットを含み、フローに一意です。ソースのバ
イトとパケットはフローのソースが送信するバイトとパケットの数であり、宛先のバイトとパケットはフローの
宛先が受信するバイトとパケットの数です。
•
フローには方向があります。インバウンド フローは、HOME_NET の外側から流れるフローです。 アウトバウン
ド フローは、HOME_NET の内部から送信されるフローです。 この変数は、Nitro IPS のポリシーで定義されま
す。
システムにより生成されるイベントとフローはビューに表示され、ビュー ドロップダウン リストで選択できます。
ログは、システムまたは各デバイスの [プロパティ] ページからアクセスする [システム ログ] または [デバイス ロ
グ] に一覧表示されます。
イベント、フロー、ログのダウンロードを設定する
イベント、フロー、ログを手動で確認するか、自動的に確認するようにデバイスを設定します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
251
7
イベントの操作
イベント、フロー、ログ
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント、フロー、ログ]、[イベントとログ] または [ログ] をクリックします。
3
ダウンロードを設定し、[適用] をクリックします。
をクリックします。
データの収集時間を制限する
毎日実行する処理 (ESM が各デバイスからデータを取得する時間や各デバイスが ELM に送信する時間) に時間帯を
制限できます。
開始する前に
[動的集計] を無効にして、[レベル 1 の集計] に 240 秒から 360 秒までの値を設定します (『イベント
またはフローの集計設定を変更する』を参照)。
この機能を使用すると、ネットワークのピーク時間を避け、他のアプリケーションが使用できる帯域幅を確保するこ
とができます。 これにより、ESM と ELM へのデータ配信が遅延します。この遅延が許容範囲かどうか判断する必
要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
この機能を使用する場合には十分に注意してくださ。イベント、フロー、ログ収集のスケジュールを設定すると、ログ
相関のデータが失われる可能性があります。
1
2
3
システム ナビゲーション ツリーでデバイスを選択し、[プロパティ] アイコン
をクリックします。
次のいずれかを選択します。
•
[イベント、フロー、ログ]
•
[イベントとログ]
•
[ログ]
[毎日データ プルを実行する時間の範囲を定義する] を選択して、時間枠の開始時間と数量時間を設定します。
定義した時間枠の中で、ESM はデバイスからデータを収集して ELM に送信します。 この機能を ELM でセットアッ
プすると、ESM が ELM にロギング用のデータを送信し、ESM が ELM からデータを収集します。
非アクティブのしきい値設定の定義
デバイスの非アクティブのしきい値を設定すると、指定した期間内にイベントとフローが生成されない場合に通知さ
れます。しきい値に達すると、黄色の正常性ステータス フラグがシステム ナビゲーション ツリーのデバイス ノード
の横に表示されます。
252
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
イベント、フロー、ログ
7
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[システム情報] が選択されているこ
とを確認してから、[イベント、フロー、ログ] をクリックします。
2
[非アクティブの設定] をクリックします。
3
デバイスを強調表示して、[編集] をクリックします。
4
設定を変更して [OK] をクリックします。
イベントとフローを取得する
システム ナビゲーション ツリーで選択したデバイスについて、イベントとフローを取得します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステム、グループまたはデバイスをクリックし、アクション ツールバーで
[イベントとフローを取得] アイコン
2
をクリックします。
上のテーブルで、取得するイベントとフローを選択し、[開始] をクリックします。
取得のステータスが [ステータス] 列に反映されます。 下のテーブルに、上のテーブルで強調表示したデバイス
の詳細が表示されます。
3
ダウンロードが完了したら、これらのイベントとフローを表示するビューを選択し、ビュー ツールバーの [現在
のビューを更新] アイコン
をクリックします。
イベントのチェック、フロー、ログ
イベント、フロー、ログのチェックを自動的に行うか手動で行うかを ESM に設定できます。チェックの割合は、シ
ステムのアクティビティのレベルとステータス更新の受信頻度によって異なります。また、情報タイプごとにチェッ
クの必要なデバイスを指定して、ESM で管理されるデバイスの非アクティブのしきい値設定を設定できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、[システムのプロパティ] を選択して、[イベント、フロー、ログ] をクリッ
クします。
2
イベント、フロー、ログを選択して取得を変更します。
3
[OK] をクリックします。
関連トピック:
252 ページの「非アクティブのしきい値設定の定義」
McAfee Enterprise Security Manager 9.5.1
製品ガイド
253
7
イベントの操作
イベント、フロー、ログ
位置情報と ASN 設定を定義
位置情報によって、インターネットに接続しているコンピューターの、現実世界での地理的な位置が得られます。自
律システム番号(ASN)は、自律システムに割り当てられる番号であり、インターネット上の各ネットワークを一意
に識別します。
これら両方のデータ タイプが、脅威の物理的な位置の特定に役立ちます。各イベントについて、ソースおよび宛先の
位置情報データを収集できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
をクリックします。
2
[イベント、フロー、ログ] または [イベントとログ] をクリックし、[位置情報] をクリックします。
3
必要な情報が生成されるように項目を選択し、[OK] をクリックします。
この情報を使用してイベント データをフィルタリングできます。
イベントとフローを取得する
システム ナビゲーション ツリーで選択したデバイスについて、イベントとフローを取得します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステム、グループまたはデバイスをクリックし、アクション ツールバーで
[イベントとフローを取得] アイコン
2
をクリックします。
上のテーブルで、取得するイベントとフローを選択し、[開始] をクリックします。
取得のステータスが [ステータス] 列に反映されます。 下のテーブルに、上のテーブルで強調表示したデバイス
の詳細が表示されます。
3
ダウンロードが完了したら、これらのイベントとフローを表示するビューを選択し、ビュー ツールバーの [現在
のビューを更新] アイコン
をクリックします。
イベントまたはフローを集計する
イベントまたはフローは何千回も生成される可能性があります。何千もの同一のイベントから取捨選択するのではな
く、集計ではそれらが単一のイベントまたはフローとして、発生回数と合わせて表示されます。
集計を使用すると、各パケットを格納する必要がなくなるため、デバイスと ESM の両方でディスク領域が効率良く
消費されます。 この機能は、[ポリシーエディター] で集計が有効になっているルールに対してのみ適用されます。
ソース IP アドレスと宛先 IP アドレス
ソース IP アドレスと宛先 IP アドレスの「not-set」値または集計値は、すべての結果セットで「0.0.0.0」ではな
く「::」として表示されます。 例:
254
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
イベント、フロー、ログ
•
::ffff:10.0.12.7 は 0:0:0:0:0:FFFF:A00:C07 として挿入されます (A00:C07 は 10.0.12.7)。
•
::0000:10.0.12.7 は 10.0.12.7 になります。
7
集計イベントおよびフロー
集計イベントおよびフローでは、集計の期間と量を示すために、最初、最後、および合計のフィールドが使用されま
す。たとえば、同じイベントが正午から 10 分間の間に 30 回発生した場合、[最初の時刻] フィールドには 12:00
(イベントの最初のインスタンスの時刻)、[最後の時刻] フィールドには 12:10 (イベントの最後のインスタンスの時
刻)、[合計] フィールドには 30 という値が入力されます。
デバイスのデフォルトのイベントまたはフロー集計設定は全体として変更でき、また各イベントについては、個々の
ルールに対するデバイスの設定に例外を追加することができます (「イベント集計の例外を管理する」を参照)。
デフォルトでは動的集計も有効になっています。これを選択すると、[レベル 1] の集計設定が置き換えられ、[レベ
ル 2] と [レベル 3] の設定が増加します。それによって、イベント、フロー、ログの取得設定に基づいてレコードが
取得されます。自動取得に設定すると、デバイスでは ESM によって初めてプルされるまでの間のみ、レコードが圧
縮されます。手動取得に設定すると、最大 24 時間、または新しいレコードが手動でプルされるまでのどちらか早い
時点まで、レコードが圧縮されます。圧縮時間が 24 時間制限に達すると、新しいレコードがプルされ、その新しい
レコードに対する圧縮が開始されます。
イベントまたはフローの集計設定を変更
イベント集計とフロー集計はデフォルトで有効になっており、[高] に設定されています。この設定は必要に応じて変
更することができます。各設定のパフォーマンスについては、[集計] ページで説明されています。
開始する前に
これらの設定を変更するには、[ポリシー管理者] と[デバイス管理] 権限、あるいは [ポリシー管理者]
と[カスタム ルール] 権限が必要です。
イベント集計は ADM、IPS、および Receiver デバイスでのみ可能で、フロー集計は IPS および Receiver デバイス
でのみ可能です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] または [フロー集計] をクリックします。
3
設定を定義して、[OK] をクリックします。
をクリックします。
イベント集計設定の例外の追加
集計設定は、デバイスにより生成されるすべてのイベントに適用されます。ルールにより生成されるイベントに一般
的な設定が当てはまらない場合は、個々のルールに例外を作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ビュー ペインで、例外を追加するルールにより生成されるイベントを選択します。
[メニュー] アイコン
McAfee Enterprise Security Manager 9.5.1
をクリックして、[集計設定を変更] を選択します。
製品ガイド
255
7
イベントの操作
イベント、フロー、ログ
3
[フィールド 2] および [フィールド 3] ドロップダウン リストから、集計するフィールド タイプを選択します。
[フィールド 2] と [フィールド 3] にはタイプが異なるフィールドを選択してください。タイプが同じ場合、エラ
ーが発生します。これらのフィールド タイプを選択する場合、各集計レベルの説明は、選択内容によって変化しま
す。各レベルの時間制限は、デバイスに定義したイベント集計設定によって異なります。
4
[OK] をクリックして設定を保存してから、[はい] をクリックして続行します。
5
デバイスに変更をロールアウトしない場合は、デバイスの選択を解除します。
6
[OK] をクリックして、選択したデバイスの変更をロールアウトします。
変更がロールアウトされると、更新のステータスが [ステータス] 列に示されます。
イベント集計の例外を管理
システムに追加されたイベント集計の例外のリストを表示できます。例外を編集または削除することもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでデバイスを選択して、[プロパティ] アイコン
2
[イベント集計] をクリックし、画面下部の [表示] をクリックします。
3
必要な変更を行い、[閉じる] をクリックします。
をクリックします。
イベント転送を設定する
イベント転送では、Syslog または SNMP (有効な場合) によって、ESM から別のデバイスまたは設備にイベントを
送信することができます。宛先を定義し、パケットを含めるかどうか、IP データを暗号化するかどうかを選択できま
す。フィルターを追加して、イベント データが転送される前にフィルターを適用することができます。
これは、環境内の各デバイスからのデジタル署名されたログの完全なセットではないため、ログ管理の代替にはなり
ません。
イベント転送を設定
イベント転送先を設定して、Syslog サーバーまたは SNMP サーバーにイベント データを転送できます。
使用中のイベント転送先の数と、ESM によって取得されているイベントのレートと数は、ESM の全体的なパフォーマ
ンスに影響する場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[イベント転送先] ページで、[追加]、[編集]、または [削除] を選択します。
3
宛先を追加または編集することを選択した場合は、設定を定義します。
4
[適用] または [OK] をクリックします。
イベント転送先を追加
ESM にイベント転送先を追加して、Syslog サーバーまたは SNMP サーバーにイベント データを転送します。
256
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
イベント、フロー、ログ
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックします。
関連トピック:
257 ページの「イベント転送エージェント」
イベント転送エージェント
次に、イベント転送エージェントと、転送されるパケットに含まれている情報について説明します。[イベント転送先
を追加] ページの [フォーマット] フィールドで、エージェントを選択します。
エージェン コンテンツ
ト
Syslog
(McAfee
9.2)
ESM IP McAfee ESM (Syslog ヘッダーの一部)、SigID、SigMessage、SrcIP、DstIP、SrcPort、
DstPort、SrcMac、DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイ
ベントを生成したか)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、
LastTime_usec、Event Subtype、Severity、InternalID (ESM のイベント ID)、EventID、IPSID、
IPSName (データソース名: IP アドレス)、DSID (データソース ID)、Source IPv6、Dest IPv6、
Session ID、Sequence、Trusted flag、Normalized ID、GUID Source、GUID Dest、Agg 1
Name、Agg 1 Value、Agg 2 Name、Agg 2 Value、Agg 3 Name、Agg 3 Value。
セミコロンが含まれている場合があるため、次の文字列フィールドも引用符で囲まれています:
Application、Command、Domain、Host、Object、Destination User、Source User、User-defined
type 8、User-defined type 9、User-defined type 10、User-defined type 21、User-defined
type 22、User-defined type 23、User-defined type 24、User-defined type 25、User-defined
type 26、User-defined type 27。
パケット (ポリシー エディター内のルールについて、ESM でイベント転送の設定中に [パケットをコ
ピー] オプションがオンになった場合のみ、パケット コンテンツは Base 64 エンコードに従います)。
Syslog
(McAfee
8.2)
ESM IP McAfee ESM (Syslog ヘッダーの一部)、SigID、SigMessage、SrcIP、DstIP、SrcPort、
DstPort、SrcMac、DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイ
ベントを生成したか)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、
LastTime_usec、Event Subtype、Severity、InternalID (ESM のイベント ID)、EventID、IPSID、
IPSName (データソース名: IP アドレス)、DSID (データソース ID)、Source IPv6、Dest IPv6、
Session ID、Sequence、Trusted flag、Normalized ID。
セミコロンが含まれている場合があるため、次の文字列フィールドも引用符で囲まれています:
Application、Command、Domain、Host、Object、Destination User、Source User、User-defined
type 8、User-defined type 9、User-defined type 10。
パケット (ポリシー エディター内のルールについて、ESM でイベント転送の設定中に [パケットをコ
ピー] オプションがオンになった場合のみ、パケット コンテンツは Base 64 エンコードに従います)。
Syslog
(Nitro)
ESM IP、"McAfee ESM"、SigID、SigMessage、SrcIP、DstIP、SrcPort、DstPort、SrcMac、
DstMac、Protocol、VLan、Flow (接続のイニシエーターと受信者のどちらがイベントを生成した
か)、EventCount、FirstTime (UNIX 時刻形式)、LastTime (UNIX 時刻形式)、LastTime_usec、
Event Subtype、Severity、internalID (ESM のイベント ID)、event ID、IPSID、IPSName、
DSID (データソース ID)、Packet (パケット コンテンツは Base 64 エンコードに従う)。
Syslog
McAfee、" MachineID、"ArcSite Notification"、"Line 1"、Group Name、IPS Name、LastTime
(ArcSight) mm/dd/yyy HH:nn:ss.zzz、LastTime usec、FirstTime mm/dd/yyy HH:nn:ss.zzz、SigID、
Class Name、Event Count、Src IP、Src Port、Dst IP、Dst Port、Protocol、Event Subtype、
Event Device ID (デバイスからのイベントの内部 ID)、Event ESM ID (ESM からのイベントの内
部 ID)、Rule Message、Flow (接続のイニシエーターまたは受信者のどちらがイベントを生成した
か)、VLAN、Src MAC、Dst MAC、Packet (パケット コンテンツは Base 64 エンコードに従う)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
257
7
イベントの操作
イベント、フロー、ログ
エージェン コンテンツ
ト
Syslog
(Snort)
snort:, [sigid:smallsigid:0]、Signature Message または "Alert"、[Classification:
ClassName]、[Priority: ClassPriority]、{Protocol}、SrcIP:SrcPort -> DstIP:DstPort、SrcIP ->
DstIP、Packet(パケット コンテンツは Base 64 エンコードに従う)。
Syslog(監 time(epoch 以降は秒)、status flag、user name、log category name(8.2.0 では空白、8.3.0+
査ログ)
ではデータあり)、device group name、device name、log message。
Syslog(共 Current date and time, ESM IP, CEF version 0, vendor = McAfee, product = ESM model
通イベント from /etc/McAfee Nitro/ipsmodel, version = ESM version from /etc/buildstamp, sig id, sig
message, severity (0 to 10), name/value pairs, deviceTranslatedAddress
形式)
Syslog (標 <#>YYYY-MM-DDTHH:MM:SS.S [IP Address] McAfee_SIEM:
準イベント { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
形式)
"subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
イベント転送を有効化または無効化
ESM でイベント転送を有効または無効にします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[設定] をクリックし、[イベント転送が有効] を選択または選択解除します。
3
[OK] をクリックします。
すべてのイベント転送先の設定を変更
既存のすべてのイベント転送先について、一部の設定を一度で変更します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[設定] をクリックしてオプションを設定します。
3
[OK] をクリックします。
イベント転送フィルターを追加する
ESM の Syslog サーバーまたは SNMP サーバーに転送されるイベント データを制限するフィルターを設定します。
258
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
イベント、フロー、ログ
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[追加] をクリックし、[イベント フィルター] をクリックします。
3
フィルター フィールドに入力し、[OK] をクリックします。
イベント転送フィルター設定を編集する
保存後にイベント転送のフィルター設定を変更します。
開始する前に
デバイス フィルターを編集する場合、フィルター内のすべてのデバイスに対するアクセス権限が必要で
す。 デバイスへのアクセスを可能にする方法については、「ユーザー グループを設定する」を参照して
ください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[イベント転送] をクリックします。
2
[編集] をクリックし、[イベント フィルター] をクリックします。
3
変更を行い、[OK] をクリックします。
関連トピック:
195 ページの「ユーザー グループの設定」
標準イベント形式での送信と転送
標準イベント形式 (SEF) は Java Script Object Notation (JSON) ベースのイベント フォーマットで、汎用的なイ
ベント データを表します。
ESM から別の ESM の Receiver にイベントを転送する場合や、ESM からサードパーティにイベントを転送する場
合に SEF 形式を使用できます。 データ ソースの作成時にデータ形式として SEF を選択すると、サードパーティか
ら Receiver にイベントを送信する場合にもこの形式を使用できます。
ESM から ESM, に SEF 形式でイベントを転送するには、次の 4 つの手順を行う必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
259
7
イベントの操作
レポートの管理
1
イベントを転送する ESM からデータ ソース、カスタム タイプ、カスタム ルールをエクスポートします。
- データ ソースをエクスポートするには、「データ ソースを別のシステムに移動する」の手順に従います。
- カスタム タイプをエクスポートするには、[システム プロパティ] を開き、[カスタム タイプ] をクリックし
て [エクスポート] をクリックします。
- カスタム ルールをエクスポートするには、「ルールをエクスポートする」の手順に従います。
2
エクスポートしたデータ ソース、カスタム タイプ、カスタム ルールを転送先の Receiver に接続している ESM
にインポートします。
- データ ソースをインポートするには、「データ ソースを別のシステムに移動する」の手順に従います。
- カスタム タイプをインポートするには、[システム プロパティ] を開き、[カスタム タイプ] をクリックして
[インポート] をクリックします。
- カスタム ルールをインポートするには、「ルールをインポートする」の手順に従います。
3
別の ESM からイベントを受信する ESM で、ESM データ ソースを追加します。
- システム ナビゲーション ツリーで、データ ソースを追加する Receiver デバイスをクリックし、[データ ソ
ースを追加] アイコン
をクリックします。
- [データ ソースを追加] ページの [データ ソース ベンダー] フィールドで [McAfee] を選択し、 [データ ソー
ス モデル] フィールドで [Enterprise Security Manager (SEF)] を選択します。
- 必要な情報を入力し、[OK] をクリックします。
4
送信側の ESM でイベント転送先を追加します。
- システム ナビゲーション ツリーでシステムをクリックし、[プロパティ] アイコン
をクリックします。
- [イベント転送], をクリックし、[追加] をクリックします。
- [イベント転送先を追加] ページの[フォーマット] フィールドで、[Syslog (標準イベント形式)] を選択しま
す。残りのフィールドに転送先の ESM に関する情報を入力して、[OK] をクリックします。
レポートの管理
レポートには、ESM 上で管理するイベントとフローのデータが表示されます。固有のレポートを設計したり、定義
済みレポートの 1 つを実行して、PDF、HTML、CSV 形式のレポートを送信できます。
定義済みレポート
定義済みレポートは、次のカテゴリに分類されます。
•
コンプライアンス
•
McAfee Database Activity Monitoring (DAM)
•
実行
•
McAfee DEM
•
McAfee ADM
•
McAfee Event Reporter
イベントに基づいてデータが生成されます。
ユーザー定義レポート
レポートを作成する場合、[レポート レイアウト] エディターで向き、サイズ、フォント、余白、ヘッダー、フッタ
ーを選択してレイアウトを設計します。コンポーネントを追加して、必要なデータを表示するように設定することも
できます。
260
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
レポートの管理
7
すべてのレイアウトは保存して複数のレポートに使用できます。レポートを追加するときは、新しいレイアウトを設
計する、既存のレイアウトをそのまま使用する、または既存のレイアウトをテンプレートとして使用して機能を編集
するオプションを選択できます。また、不要になったレポート レイアウトを削除できます。
関連トピック:
262 ページの「レポート条件の追加」
261 ページの「四半期レポートの開始月を設定」
261 ページの「レポート レイアウトの追加」
四半期レポートの開始月を設定
レポートを四半期ごとに実行している場合は、四半期 1 の最初の月を定義する必要があります。最初の月を定義して
システム テーブルに格納すると、その開始日に基づいて四半期レポートが実行されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで [システムのプロパティ] を選択し、[カスタム設定] をクリックします。
2
[使用する月を指定] フィールドで、月を選択します。
3
[適用] をクリックして設定を保存します。
レポートの追加
レポートを ESM に追加して、定義した間隔で定期的に実行するように設定するか、または手動で選択して実行しま
す。既存のレポート レイアウトを選択するか、または [レポート レイアウト] エディターを使用して新しいレイアウ
トを作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[追加] をクリックして、[レポートを追加] ページで設定を定義します。
3
[保存] をクリックします。
レポートが [レポート] ページのテーブルに追加され、[条件] フィールドの定義に従って実行されます。
レポート レイアウトの追加
レポートの定義済みレイアウトが要求を満たしていない場合は、レイアウトを設計します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[追加] をクリックして [レポートを追加] ページを開き、セクション 1、2、3 に入力します。
3
セクション 4 で、[PDF でレポートを作成] または [HTML でレポートを作成] を選択します。
4
セクション 5 で、[追加] をクリックして [レポート レイアウト] エディターを開きます。
5
レポートで生成されるデータを表示するレイアウトを設定します。
保存されたレイアウトは、他のレポートにそのまま使用したり、編集可能なテンプレートとして使用したりできます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
261
7
イベントの操作
レポートの管理
PDF とレポートに画像を含める
ESM では、エクスポートされた PDF と出力されたレポートに [ログイン] 画面に示された画像が含まれるように設
定できます。
開始する前に
[カスタム設定] ページに画像を追加します (「ログイン ページをカスタマイズする」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[カスタム設定] をクリックします。
2
[ビューまたは出力レポートからエクスポートされた PDF に画像を含めます] を選択します。
3
[OK] をクリックします。
関連トピック:
28 ページの「ログオン ページをカスタマイズする」
レポート条件の追加
レポート設定時に使用できる条件を追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで [システムのプロパティ] を選択し、[レポート] をクリックします。
2
[条件] をクリックして、必要な情報を入力します。
3
[OK] をクリックして設定を保存します。
このオプションは、レポートの条件を選択する際に使用可能な条件のリストに表示されます。
レポートにホスト名を表示する
レポートで送信元と宛先の IP アドレスに DNS 解決を使用するように、レポートを設定できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[レポート] をクリックして [追加] をクリックします。セクション 1 から 4 に必要な情報を入力します。
3
セクション 5 で [追加] をクリックし、ドラッグ アンド ドロップ操作で [テーブル]、[棒グラフ] または [円グ
ラフ] コンポーネントを移動し、[クエリー ウィザード] を完了します。
4
[レポート レイアウト] エディターを開き、[プロパティ] ペインの [クエリー] セクションで [IP をホスト名に変
換する] を選択します。
レポート以外に、[ホスト] テーブルの DNS 参照結果を表示できます ([システムのプロパティ] 、 [ホスト])。
262
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
contains フィルターと regex フィルターの説明
contains フィルターと regex フィルターの説明
contains フィルターと regex フィルターでは、インデックス文字列データとインデックス未作成文字列データの
両方にワイルドカードを使用できます。 これらのフィルターには構文用件があります。
これらのコマンドは、テキストまたは文字列データが入るフィールドで使用できます。 テキスト フィールドの大半
は、フィルター フィールド名の横に
アイコンが表示されています。これは、大文字と小文字が区別されないこと
を意味します。 contains を使用できる他のフィールドにはこのアイコンが表示されません。 フィールドの完全な
リストについては、「contains 機能が使用できるフィールド」を参照してください。
構文と例
contains の基本構文は contains(somevalue) です。regex の基本構文は regex(someregularexpression)
です。
大文字と小文字を区別しないようにするには、[大文字と小文字を区別しない] アイコン
をクリックするか、
regex(/somevalue/i) のように、正規表現に /i を追加します。 検索を実行すると、大文字小文字に関係なく、
somevalue を含む値が戻されます。
NOT と OR
は regex と contains の値に適用されます。 値を含まない結果を表示する場合には、値を入力し
て NOT アイコンをクリックします。 何らかの値を含む結果を表示する場合には、値を入力して OR アイコンをクリ
ックします。
例 #1 - 簡単な検索
インデックス付きフィールド: contains(stra)、regex(stra)
インデックスのないフィールド: stra
結果: stra を含む任意の値が戻れされます。例: administrator、gmestrad、straub など。
例 #2 - OR 検索
インデックス付きフィールド: contains(admin,NGCP)、regex((admin|NGCP))
インデックスのないフィールド: admin,NGCP
結果: フィールドに admin を含む文字列か NGCP を戻します。 regex で OR を使用するには括弧が必要です。
例 #3 - 特殊文字の検索 (サービス アカウントなど)
ドル記号:
インデックス付きフィールド: contains($)、regex(\x24) または regex(\$)
インデックスのないフィールド: $
結果: フィールドに $ を含む文字列を戻します。 文字の HEX 値については、http://www.ascii.cl を参照してくだ
さい。
regex の場合、スケーリングせずに $ を使用すると、空の結果が戻されます。 PCRE のエスケープ シーケンスのほう
が良い結果が得られます。
パーセント記号:
McAfee Enterprise Security Manager 9.5.1
製品ガイド
263
7
イベントの操作
contains フィルターと regex フィルターの説明
インデックス付きフィールド: contains(%)、regex(\x25) または regex(\%)
インデックスのないフィールド: %
バックスラッシュ:
インデックス付きフィールド: contains(\)、regex(\x5c) または regex(\\)
インデックスのないフィールド: \
二重のバックスラッシュ
インデックス付きフィールド: contains(\\)、regex(\x5c\x5c) または regex(\\\)
インデックスのないフィールド: \\
HEX 値を使用しなかったり、regex でスラッシュを使用しないと、「無効な正規表現 (ER5-0015)」エラーが発生す
る場合があります。
例 #4 - * ワイルドーカードを使用した検索
インデックス付きフィールド: contains (ad*)
インデックスのないフィールド: ad*
結果: ad で始まる文字列が戻されます。例: administrator、address など。
例 #5 - 正規表現を使用した検索
regex(nitroguard/x28[3-4]/x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
(3)www(10)nitroguard(7)oddball(0)
これらのドメインは、Microsoft DNS イベントから使用しました。
結果: この正規表現は特別な文字列を取得します。 ここでは、nitroguard、3 または 4 文字のプライマリ ドメイ
ン、com または info です。 この正規表現は、最初の 2 つの式に一致しますが、残りの式には一致しません。 これ
らの例は、この機能が正規表現を処理する方法を説明するためのものです。 実際はこれよりも複雑になります。
注意
•
3 文字以下の値で regex を使用すると、オーバーヘッドが高くなり、クエリーのパフォーマンスが低下します。
4 文字以上でクエリーを実行してください。
•
このフィルターは、相関ルールまたはアラームで使用できません。 ただし、名前/値カスタム タイプの相関ルー
ルでは使用できます。
•
contains または regex で NOT を使用すると、オーバーヘッドが高くなり、クエリーのパフォーマンスが低下
する場合があります。
Bloom フィルターの説明
Bloom フィルターの詳細については、http://en.wikipedia.org/wiki/Bloom_filter を参照してください。
264
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
contains フィルターと regex フィルターの説明
7
contains 機能と regex 機能を使用できるフィールド
Access_Resource
File_Operation_Succeeded
Referer
Application
File_Path
Registry_Key
Application_Protocol
File_Type
Registry_Value
Area
Filename
Request_Type
Authoritative_Answer
Forwarding_Status
Response_Code
Bcc
From
Return_Code
Caller_Process
From_Address
RTMP_Application
Catalog_Name
FTP_Command
Sensor_Name
Category
Host
Sensor_Type
Cc
HTTP_Req_Cookie
Sensor_UUID
Client_Version
HTTP_Req_Host
Session_Status
Command
HTTP_Req_Method
Signature ID
Contact_Name
HTTP_Req_Referer
Signature_Name
Contact_Nickname
HTTP_Req_URL
SNMP_Error_Code
Cookie
HTTP_User_Agent
SNMP_Item
Creator_Name
Incomtin_ID
SNMP_Item_Type
Database_ID
Interface
SNMP_Operation
Database_Name
Interface_Dest
SNMP_Version
Datacenter_ID
Job_Name
Source User
Datacenter_Name
Job_Type
Source_Context
DB2_Plan_Name
Language
Source_Logon_ID
Delivery_ID
Local_User_Name
Source_Network
Description
Logical_Unit_Name
Source_UserID
Destination User
Logon_Type
Source_Zone
Destination_Directory
LPAR_DB2_Subsystem
SQL_Command
Destination_Filename
Mail_ID
SQL_Statement
Destination_Hostname
Mailbox
Step_Count
Destination_Logo_ID
Mainframe_Job_Name
Step_Name
Destination_Network
Malware_Insp_Action
Subject
Destination_UserID
Malware_Insp_Result
SWF_URL
Destination_Zone
Management_Server
Table_Name
Detection_Method
Message_ID
Target_Class
Device_Action
Message_Text
Target_Context
Direction
Method
Target_Process_Name
Directory
NTP_Client_Mode
TC_URL
DNS_Class
NTP_Opcode
Threat_Category
DNS_Name
NTP_Request
Threat_Handled
DNS_Type
NTP_Server_Mode
Threat_Name
Domain
Object
To
McAfee Enterprise Security Manager 9.5.1
製品ガイド
265
7
イベントの操作
ESM ビューの操作
Event_Class
Object_Type
To_Address
External_Application
Operating_System
URL
External_DB2_Server
Policy_Name
URL_Category
External_Hostname
Privileged_User
User_Agent
External_SessionID
Process_Name
User_Nickname
Facility
Query_Response
Version
File_Operation
Reason
Virtual_Machine_ID
Virtual_Machine_Name
次のカスタム タイプでは、contains と regex を使用できます。
ビュー
ケース管理
• 文字列
• メモ
• ランダム文字列
• サマリー
• 名前/値
• 履歴
• ハッシュ文字列
ESM ビューの操作
ESM は、デバイスがログに記録するイベント、フロー、資産、脆弱性の情報を取得します。 情報は相関が設定され、
McAfee Security Event Aggregation and Correlation(MSEAC)エンジンに挿入されます。
目次
ESM ビューの使用
セッションの詳細を表示する
ビュー ツールバー
定義済みビュー
カスタム ビューを追加する
ビュー コンポーネント
クエリー ウィザードの操作
ビューの管理
イベントを確認する
イベントの IP アドレスの詳細を表示する
デフォルト ビューを変更
ビューのフィルタリング
ウォッチリスト
文字列の正規化
266
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
ESM ビューの使用
MSEAC エンジンを使用して、ESM が取得するデータを分析して、強力で柔軟性のあるレポート ビューアーで確認
できます。このビューアーは、ESM コンソールの中央に表示されます。ビューには、システム ナビゲーション ツリ
ーで選択したデバイスのデータが示されます。
ESM コンソールが起動されると、デフォルトのビューが表示されます(『デフォルトのビューの変更』を参照)。ビ
ュー機能を使用して別の定義済みのビューを選択(『定義済みビュー』を参照)するか、新しいビューを作成(『カス
タム ビューの追加』を参照)して、ネットワーク上の状況を確認できるクエリーを実行できます(『ESM ビューのツ
ールバー』を参照)。また、ビューのツールバー、コンポーネント メニュー、コンポーネント ツールバーの各種オプ
ションを使用して、ビューおよびビューのデータと連携できます。
進捗状況バーは、クエリーが実行されるビュー ペインの各コンポーネントに表示されます。カーソルを合わせると、
各コンポーネントのクエリーの実行の経過時間と割合が示されます。ESM リソースを解放するためにクエリーをキ
ャンセルするには、進捗状況バーの右側の削除アイコンをクリックします。
ソース IP アドレスと宛先 IP アドレスの非セット値または集計値は、すべての結果セットに「0.0.0.0」の代わりに
「::」がビューに表示されます。たとえば ::ffff:10.0.12.7 の場合、0:0:0:0:0:FFFF: A00:C07(A00:C07 は
10.0.12.7)が挿入され、::0000:10.0.12.7 は 10.0.12.7 になります。
セッションの詳細を表示する
[セッション ビューアー] でセッション ID とイベントの詳細を表示し、csv ファイルに保存できます。
セッション ID を表示するには、イベントがセッションで発生している必要があります。 セッションは、ソースと宛
先の接続で確立します。 デバイスまたは ESM 内部のイベントにセッション ID はありません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ビュー ドロップダウン リストで、表示するセッションのビューを選択します。
2
イベントを選択して、コンポーネントのタイトル バーにあるメニュー アイコンをクリックし、 [イベント ドリル
ダウン] 、 [イベント]の順に選択します。
3
イベントをクリックし、[詳細情報] タブをクリックします。[セッション ID] フィールドの横にある [セッション
データを表示] アイコン
をクリックします。
[セッション ビューアー] が開き、セッションの詳細が表示されます。
ビュー ツールバー
ビュー ペインの上部にあるビュー ツールバーには、ビューの設定時に使用する複数のオプションが用意されていま
す。
表 7-1
オプション
説明
1 - [デバイス ツリーを非表示]
デバイス ツリー ペインを非表示にして現在のビューを拡張
する場合にクリックします。
2 - ビュー ナビゲーション
以前のビューを前後に移動します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
267
7
イベントの操作
ESM ビューの操作
表 7-1
(続
き)
オプション
説明
3 - ビュー リスト
ドロップダウン リストからビューを選択します。このリス
トに表示するように選択した定義済みビューとカスタム ビ
ューがすべて表示されます。
4 - [表示を管理]
すべてのビューを管理します(『ビューの管理』を参照)。ビ
ュー リストに含めるビューの選択、フォルダーの追加、ビ
ューの名前の変更、削除、コピー、インポート、エクスポー
トを行うことができます。
5 - [現在のビューを更新]
ビュー ペインに現在表示されているすべてのデータを更新
します。
6 - デフォルトのビュー
デフォルトのビューに戻します。
7 - [現在のビューを印刷]
現在のビューのコピーを印刷します。次の印刷オプション
があります。
• [すべてのコンポーネントをページに合わせてサイズ変
更] - ビューに含まれるコンポーネントがページに合わ
せてサイズ変更されます。
• [各コンポーネントを別のページに印刷] - ビューに含ま
れる各コンポーネントが別のページに印刷されます。[ペ
ージに合わせてコンポーネントのサイズを変更する] をク
リックした場合、各コンポーネントのサイズがページに合
わせて変更されます。
• [表示領域のみ印刷] - 画面に表示されるビュー部分のみ
印刷されます。
• [PDF にエクスポート] - ビューが PDF ファイルとして
保存されます。
8 - [現在のビューを編集]
現在表示されているビューがカスタム ビューの場合に変更
します。このオプションをクリックすると、[編集ツールバ
ーを表示] が開きます(『カスタム ビューの作成』を参照)。
9 - [新しいビューを作成]
新しいカスタム ビューを作成します(『カスタム ビューの作
成』を参照)。
10 - 時間枠
ビューに表示する情報の時間枠を指定します。
11 - [フィルターを非表示]
フィルター ペインを非表示にして現在のビューを拡張する
場合にクリックします。
定義済みビュー
ビューのドロップダウン リストから、システムに用意されているビューと後から追加したカスタム ビューにアクセ
スできます。
定義済みビューには複数のタイプがあります。
268
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
•
[資産、脅威、リスク] ビューには、資産、脅威、リスク データのサマリーが表示されます。システム対する影響
も確認できます。
•
[コンプライアンス ビュー] - 規制遵守アクティビティの合理化を支援します。
•
[ダッシュボード ビュー] - システムの特定の側面に関するクイック ビューを提供します。
•
[デバイス ステータス] - システム ナビゲーション ツリーで選択したデバイスのステータスを表示します。 こ
のビューでデバイスをクリックすると、選択したデバイスに関する正常性情報がビューの下半分に表示されます。
•
[高度な ELM 検索] では、検索の処理状況と結果をリアルタイムで追跡できます。 このビューは、システム上に
ELM が存在する場合にのみ使用できます (『高度な ELM 検索ビュー』 を参照)。
•
[イベント ビュー] - システム ナビゲーション ツリーで選択したデバイス関連イベントによって生成された情
報を細分化します。
•
[エグゼクティブ ビュー] - 非 IT 従事者にとって最も関心の高いシステムの側面について概要を提供します。
•
[フロー ビュー] - Nitro IPS によって作成した各フロー (または接続) に関して記録した情報を細分化します
(『フロー ビュー』 を参照)。
•
[McAfee Event Reporter] - 各種 McAfee 製品の製品別ビューが含まれています。
•
[リスク ビュー] は、ACE デフォルト マネージャーで使用されます。 カスタム マネージャーのデータを適切に
表示するには、カスタム ビューを構築する必要があります。
•
[イベント ワークフロー ビュー] には次のビューが表示されます。
•
[トリガーされたアラーム] — アラーム条件を満たしたときにトリガーされたすべてのアラームを表示し、管
理します (『トリガーされたアラーム ビュー』 を参照)。
•
[ケース管理] - システムのケースを表示して管理ます (『すべてのケースを表示する』を参照)。
フロー ビュー
フローとは、デバイスを通じて行われた接続のレコードです。Nitro IPS でフロー分析を有効にすると、Nitro IPS
を通じて行われた各フローまたは接続に関するデータが記録されます。
フローには、ソースおよび宛先 IP アドレス、ポート、MAC アドレス、プロトコル、最初および最後の時刻 (接続の
開始から終了までの時間) が含まれます。
フローは異常なトラフィックまたは悪意のあるトラフィックを示すものではないため、フローの数はイベントよりも
多くなります。 フローはイベントのようにルール シグネチャ(SigID)には関連付けられていません。フローは、ア
ラート、ドロップ、拒否などのイベント アクションと関連付けられません。
特定のデータは、ソースおよび宛先バイト、ソースおよび宛先パケットを含み、フローに一意です。 ソース バイト
とパケットは、フローのソースから転送されたバイト数とパケット数を表します。 宛先バイトとパケットは、フロー
の宛先から転送されたバイト数とパケット数を表します。 フローには方向があります。インバウンド フローは、
HOME_NET の外側から流れるフローです。 アウトバウンド フローは、HOME_NET の内部から送信されるフロー
です。 この変数は、Nitro IPS のポリシーで定義されます。
フロー データを表示するには、フロー データが記録されるようにシステムを設定する必要があります。その後に、
[フロー分析] ビューにフローを表示できるようになります。
フローのロギングを有効化
Nitro IPS のフロー分析データを表示するには、2 つのファイアウォール変数を有効にする必要があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
269
7
イベントの操作
ESM ビューの操作
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システムのナビゲーション ツリーでデバイスを選択します。
[ポリシー エディター] アイコン
をクリックし、[ルール タイプ] ペインで [変数] を選択します。
3
ルール表示ペインで [ファイアウォール] カテゴリを展開します。
4
[INBOUND_CONNECTION_STATISTICS] 行で [継承] を選択解除して継承値を無効にし、はい と入力して
[OK] をクリックします。
5
[OUTBOUND_CONNECTION_STATISTICS] では、[継承] を選択解除して継承値を無効にし、はい と入力して
[OK] をクリックします。
[高度な ELM 検索] ビュー
システムに ELM デバイスがある場合は、[高度な ELM 検索] ビューを使用できます。 これにより、詳細な検索を実
行したり、ELM 内のログの検索時に検索の状況と結果をリアルタイムで追跡できます。
このビューでは、ELM アーカイブの統計レポート機能を利用して検索が必要なデータ量をリアルタイムで確認できま
す。これにより、クエリーを制限して検索対象のファイル数を最小限に抑えることができます。
検索の実行中は、グラフに推定される結果が表示されます。
•
[結果時間の分布] グラフ — 時間分布に基づく推定値と結果が表示されます。下部の軸は、時間枠ドロップダウ
ン リストの変更内容に応じて変化します。
•
[データ ソースの結果] グラフ — システム ナビゲーション ツリーで選択したデバイスのデータ ソースに基づい
て、データ ソースごとの推定値と結果が表示されます。
•
[デバイス タイプの結果] グラフ — システム ナビゲーション ツリーで選択したデバイスに基づいて、デバイス
タイプごとの推定値と結果が表示されます。
これらのグラフのデータは検索が開始する前に入力され、見つかった検索結果に応じて更新されます。[データ ソー
スの結果] または [デバイス タイプの結果] グラフで 1 つ以上の棒を選択するか、[結果時間の分布] グラフのセクシ
ョンを強調表示します。[フィルターを適用] をクリックして、検索結果の表示が開始されるとともに検索を絞り込み
ます。その方法で検索結果にドリルダウンし、検索が必要なデータ量を制限することができます。検索が完了すると、
これらのグラフに実際の結果が表示されます。
高度な ELM 検索の実行
1 つ以上の ELM デバイスでログを検索し、定義する情報を確認します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
270
1
ビュー ペインで、ドロップダウン リストから [高度な ELM 検索] を選択します。
2
システム上に 2 つ以上の ELM デバイスがある場合、検索するデバイスをテキスト フィールドの隣のドロップダ
ウン リストから選択します。
3
テキスト フィールドに通常のテキスト検索または正規表現を入力します。
4
[現在の日付] 以外の時間枠にする場合は、ドロップダウン リストで選択します。
5
システム ナビゲーション ツリーで、検索するデバイスを選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
6
7
7
必要であれば、次のオプションを 1 つまたは複数選択します。
•
[大文字と小文字を区別しない] — 検索で大文字と小文字を区別しません。
•
[正規表現] — 検索フィールド内の用語を正規表現として扱います。
•
[検索用語が含まれていません] — 検索フィールドに用語が含まれていない一致を返します。
[検索] をクリックします。
結果はビューの [検索結果] セクションに表示されます。
8
検索時または完了後に、次のいずれかを行います。
オプション
定義
[検索を保存]
ビューから移動した場合でも、この検索の結果を保存します。保存した検
索結果は、[ELM のプロパティ] 、 [データ] の順に移動すると表示できま
す。
[検索結果ファイルをダウンロード 結果を指定した場所にダウンロードします。
します]
[選択したアイテムをクリップボー 選択したアイテムをクリップボードにコピーして、ドキュメントにペース
トできるようにします。
ドにコピー]
[データ詳細を表示]
選択したログの詳細を [検索結果] テーブルに表示します。
トリガーされたアラームの表示と確認
トリガーされ、削除されていないアラームを表示し、対応します。
開始する前に
•
アラーム ユーザー特権を持つアクセス グループに所属しているかどうかを管理者に確認します。
•
コンソールに [アラーム] ログ ペインが表示される設定になっているかどうか管理者に確認してく
ださい (「ユーザー設定の選択 36 ページの「」」を参照)。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1
ESM の次のいずれかの場所で、トリガーされたアラームにアクセスします。
•
[アラーム] ログ ペイン - ダッシュボードの左下隅で、システム ナビゲーション ツリーの下にあります。
•
ビジュアル ポップアップ アラート — アラームがトリガーされると開きます。
•
2
[詳細] ページ - [アラーム] ログ ペインで [詳細] アイコン
をクリックすると開きます。
次のいずれかを行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
271
7
イベントの操作
ESM ビューの操作
処理
操作
アラームを承
認する
• 1 つのアラームを承認するには、承認するトリガーされたアラームの先頭列のチェックボッ
クスをクリックします。
• 複数のアラームを承認するには、アイテムを強調表示して、ビュー下部にある [アラームを承
認] アイコン
をクリックします。
承認されたアラームは [アラーム] ペインから削除されますが、[トリガーされたアラーム] ビ
ューには表示されたままです。
システムから
アラームを削
除する
•
アラームをフ
ィルタリング
する
•
アラームの割
り当て先を変
更する
1
削除するトリガー済みのアラームを選択して、[アラームを削除] アイコン
します。
をクリック
[フィルター] ペインにフィルターとして使用する情報を入力して、[更新] アイコン
クリックします。
[データの詳細を表示] アイコン
の詳細が表示されます。
を
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[割当先] をクリックして新しい割り当て先を選択します。
アラームのケ
ースを作成す
る
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択してから、[ケースを作成] をクリックして必要な項目を選択します。
アラームの詳
細を表示する
1
[データの詳細を表示] アイコン
の詳細が表示されます。
をクリックします。ダッシュボードの下部にアラーム
2 アラームを選択して、次のいずれかを行います。
• [トリガー イベント] タブをクリックして、選択したアラームをトリガーしたイベントを確
認します。 イベントをダブルクリックして、説明を表示します。
アラーム条件を満たしていないイベントが 1 つでも存在すると、[トリガーされたイベン
ト] タブが表示されない場合があります。
• [条件] タブをクリックして、イベントをトリガーした条件を確認します。
• [アクション] タブをクリックして、アラームの結果として行われたアクションとイベント
に割り当てられた ePolicy Orchestrator タグを確認します。
トリガーされ
たアラーム設
定を編集する
1
トリガーされたアラームをクリックしてから、[メニュー] アイコン
[アラームを編集] を選択します。
をクリックして
2 [アラーム設定] ページで変更を行い、[完了] をクリックします。
関連トピック:
303 ページの「ケースを追加する」
カスタム ビューを追加する
カスタム ビューには、必要な情報を表示できるコンポーネントが含まれています。
272
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
をクリックし、[編集ツールバーを表示] からコンポー
ビュー ツールバーの [新しいビューを作成] アイコン
ネントをクリックしてドラッグします (「コンポーネントを表示する」を参照)。
[クエリー ウィザード] で、表示するデータがビューで生成されるように選択し (「[クエリ ウィザード]の使い
方」を参照)、[完了] をクリックします。
追加したコンポーネントにデータが表示されます。
3
次のいずれかを行います。
これを...
実行するには...
コンポーネントを移動し
コンポーネントのタイトル バーをクリックし、ドラッグ アンド ドロップします。
デフォルトで IP アドレ
スではなくホスト名を表
示する
IP アドレスが表示されるコンポーネントのツールバーで、[ホスト名を表示]
イコンをクリックします (「ホスト名を管理する」を参照)。
コンポーネントをカスタ
マイズ
コンポーネントをクリックし、[プロパティ] ペインで設定を変更します (「コンポ
ーネントをカスタマイズする」を参照)。
ビューにコンポーネント
を追加
1 コンポーネントをクリックしてドラッグします。
ビューを保存
1 [保存] または [名前を付けて保存] をクリックし、ビューの名前を入力します。
ア
2 [クエリー ウィザード] で、表示するデータがビューで生成されるように選択し、
[完了] をクリックします。
既存のフォルダーに保存する場合は、フォルダーを選択します。
2 [OK] をクリックします。
コンポーネントをコピー
して貼り付けます。
1 コピーするコンポーネントをクリックします。
コンポーネントを削除
コンポーネントを選択して [削除] をクリックします。
2 [コピー] をクリックし、[貼り付け] をクリックします。
ビューを保存せずにビュ すべてのコンポーネントを削除し、[ビューの編集] ツールバーを閉じます。
ー エディターを終了する
ビュー コンポーネント
カスタム ビューを作成して、イベント、フロー、資産、脆弱性データを最も役立つ方法で表示します。
各ビューは、[ビューの編集ツールバー] で選択して、データを表示するように設定するコンポーネントで構成されま
す。選択すると、[クエリー ウィザード] が開き、コンポーネントに表示されるデータの詳細を定義できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
273
7
イベントの操作
ESM ビューの操作
ビュー コンポーネントの説明
カスタム ビューに追加できるコンポーネントは 13 種類あります。 最適な形式でデータが表示されるように、これ
らのコンポーネントを使用してビューをセットアップできます。
コンポーネント
[制御ダ
イヤル]
説明
データが一覧表示されます。これは動的な機能であり、コンソール内の他のコンポーネントに
リンクできます。ESM コンソールとのインタラクションに応じて更新されます。
) があります。ダイヤル周囲の傾斜のベー
各ダイヤルにはベースライン インジケーター (
スライン インジケーターから上の部分が赤色になります。オプションで、異常な動作があった
場合にダイヤル全体の色が変わるように設定することもできます。その場合、ベースラインの
特定のしきい値内にある場合は黄色、しきい値を超えると赤色になります。
[レート] オプションを選択すると、表示中のデータのレートを調整できます。たとえば、[現
在の日付] と [イベント合計数] を表示しているときにレートを時間に変更すると、その日付の
1 時間あたりのイベント数が表示されます。このオプションは、表示しているクエリーの平均
が、[平均重大度] や [平均バイト数] などによってすでに計算されている場合には無効になり
ます。
[ソース
イベントまたはフローの IP アドレスの概要アクティビティが表示されます。イベント オプシ
と宛先の ョンを選択すると、IP アドレスを指定して、指定した IP アドレスに対して実行されたすべて
グラフ]
の攻撃を表示するとともに、指定した IP アドレスが他のアドレスに対して実行したすべての
攻撃も表示できます。フロー オプションを選択すると、IP アドレスを指定してそれらに接続
されている IP アドレスを表示するとともに、その IP アドレスからの接続を表示することがで
きます。
このグラフではコンポーネントの下部に空白のフィールドがあり、ソースイベントと宛先イベ
ント、または特定の IP アドレスのフローを表示できます。フィールドにアドレスを入力する
か、以前使用したアドレスを選択し、[更新] アイコン
274
をクリックします。
[円グラ
フ]
クエリーされた情報が円グラフで表示されます。これは、表示するカテゴリが比較的少ない場
合に便利です (たとえばプロトコルまたはアクション クエリー)。
[テーブ
ル]
クエリー情報が複数の列で表示されます。このコンポーネントは、イベント データとフロー
データを最高の精度で表示する場合に便利です。
[棒グラ
フ]
クエリーされた情報が棒グラフで表示され、特定の時間範囲について、それぞれの結果のサイ
ズを比較できます。
[リスト]
選択したクエリー データがリスト形式で表示されます。このコンポーネントは、より詳細なア
イテムのリストを小さい領域で表示する場合に便利です。
[分布]
特定の時間範囲のイベントとフローの分布が表示されます。データを形成する特定のタイム
スライスを表示する間隔を設定できます。
[メモ領
域]
テキストベースのメモに使用される空白のコンポーネント。現在のビューに関連するメモを書
き込むことができます。
[カウン
ト数]
特定のビューについてクエリーされたイベント、資産、脆弱性、またはフローの合計数が表示
されます。
[タイト
ル]
ビューのタイトルまたは見出しを作成できます。ビューの任意の場所に配置できます。
[ネット
ワーク
トポロ
ジ]
ネットワーク全体のデータを表示することができます。また、ネットワーク検出データと一緒
に表示するように、カスタム ビューを構築できます (「ネットワーク トポロジ コンポーネン
トにデバイスを追加する」を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
ESM ビューの操作
コンポーネント
説明
[位置情
報マッ
プ]
アラートとフローの宛先とソースの場所が、位置情報マップに表示されます。このコンポーネ
ントのオプションを選択すると、都市、州、国、および世界の地域のマーク、ズーム イン/ズ
ーム アウトを切り替え、Ctrl キーと Shift キーを使用して場所を選択できます。
[フィル
ター リ
スト]
Active Directory 内のユーザーとグループのリストが表示されます。[フィルター リスト] コ
ンポーネントを追加すると、[クエリー ウィザード] の [ソース ユーザー] または [宛先ユーザ
ー] フィルター フィールドで下向き矢印をクリックし、[Active Directory リストにバインド]
を選択することで、その他のコンポーネントをバインドできます。メニュー アイコンをクリッ
クすると、[Active Directory] に関連付けられているイベント データとフロー データを表示
することもできます。
コンポーネントをカスタマイズする
コンポーネントを追加または編集する場合は、[プロパティ] ペインで、カスタマイズに使用するオプションを選択す
ることができます。使用できるオプションは、選択したコンポーネントによって異なります。
オプション
定義
[タイトル]
コンポーネントのタイトルを変更します。
[幅/高さ]
コンポーネントの寸法を設定します。境界線をクリックしてドラッグすることもできます。
[X/Y]
ビュー上のコンポーネントの場所を設定します。コンポーネントのタイトル バーをクリックし
て、ドラッグ アンド ドロップすることもできます。
[クエリの編集]
現在のクエリーに変更を加えます。このボタンをクリックすると、[クエリー ウィザード] が開き
ます (「[クエリー ウィザード] の使用方法」を参照)。
[制御バーを表
示]
コンポーネントの下部に制御バーを表示するかどうかを設定します。
[ページ サイ
ズ]
データ量が多いため一度に表示できない場合に、ページごとに表示されるレコード数を設定しま
す。
[その他の値を
表示]
このオプションを選択すると、グラフまたはリスト コンポーネントの下部に [その他] の値が表
示されます。現在のページに表示されていないレコードの合計数を示します。たとえば、レコー
ド セットの 2 ページ目を表示している場合、[その他] カテゴリは、1 ページ目と、3 ページ目
以降のすべてのページの値の合計になります。
[凡例を表示]
円グラフの下または右に凡例を表示します。
[値を表示]
各アイテムの値を棒グラフに表示します。
[ラベルを表示]
棒グラフの各棒のラベルを表示します。ラベルに表示できる最大文字数を設定できます。0 に設
定すると、ラベルの最大文字数制限が適用されません。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
275
7
イベントの操作
ESM ビューの操作
オプション
定義
[ベースライン
の平均を表示]
分布グラフまたは棒グラフ、あるいは制御ダイヤルで、現在のデータと履歴データを比較するか
どうかを選択します。ベースライン データを表示する場合には、異なる 2 つのオプションを選択
できます。
• [自動時間範囲] — このオプションを選択すると、過去 5 回の間隔に対する現在のクエリーで
使用されている期間と同じ期間で、ベースライン データが相関されます。たとえば、月曜に当
日のクエリーを行うと、過去 5 回の月曜と同じ時間でベースライン データが計算されます。特
定の間隔についてデータが存在しない場合は、使用する間隔の数が少なくなります。各間隔か
ら収集された値は、平均値によって現在のベースライン値が計算されます。
• [特定の時間範囲を使用] — この時間範囲を選択して、平均値の計算に使用する開始時間と終了
時間を指定できます。このオプションでは、単一の期間として計算されます。分布レポートの
場合は、フラットな平均が計算されます。
ベースライン データは、分布グラフでは青い線で表示されます。[特定の時間範囲を使用] オプシ
ョンを選択した場合、または相関値を計算できるだけのデータがない場合には、線がフラットに
なります。相関値が計算されると、線が曲線になります (各期間について異なる値が表示されると
仮定)。棒グラフでは、各棒のベースラインのポイントに矢印のインジケーターが表示されます。
現在の値がベースライン値よりも大きい場合は、棒のベースライン マーカーから上の部分が赤く
なります。棒グラフにルールの重大度が表示されている場合は、ベースラインの値によって棒の
色が変わることはありません。
また、ベースライン データと合わせて、マージンの値が表示されるように設定するオプションも
あります。マージンの値は、ベースライン値から計算されます。たとえば、ベースライン値が 100
でマージンが 20% である場合には、計算されたマージン値は 120 になります。この機能をオン
にすると、棒グラフ内の各棒について、マージン領域が表示されます。分布グラフでは、ベース
ラインの平均値が計算され、ベースラインの上下にマージン領域を示すシェード領域が表示され
ます。
[デバイス リス
ト]
[ネットワーク トポロジ] コンポーネントまたは [論理デバイスのグループ] ツリーに、デバイス
をドラッグ アンド ドロップします。
[論理デバイス
のグループ]
[ネットワーク トポロジ] コンポーネント用のデバイスをグループ化するフォルダーを作成しま
す。
[バックグラウ
ンド]
ビューの背景色を選択します。[背景画像の URL] では、背景として使用する画像をインポートで
きます。
ネットワーク トポロジ コンポーネントにデバイスを追加する
ネットワーク トポロジによって、デバイスまたはデバイス ツリーからイベント データとフロー データを取得し、ネ
ットワーク全体のデータを表示することができます。
開始する前に
デバイスのリストを表示するには、先にネットワークを検出する必要があります (「ネットワーク検出」
を参照)。
ネットワーク検出データで使用するカスタム ビューを構築することもできます。ネットワーク トポロジ ビューを
作成したら、イベント情報またはフロー情報が表示されるようにカスタマイズする必要があります (「カスタム ビュ
ーを追加する」を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ビューを追加または編集する場合には、[イベント ネットワーク トポロジ] コンポーネントをクリックしてドラ
ッグし、必要な場所にドロップします。
[プロパティ] ペインに [デバイス リスト] と [論理デバイスのグループ] ツリーが表示されます。
276
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
2
3
7
[デバイス リスト] または [フォルダー リスト] でデバイスまたはフォルダーを選択し、次のいずれかを実行しま
す。
•
デバイスまたはフォルダーをコンポーネントに追加するには、コンポーネントにドラッグ アンド ドロップし
ます。
•
[論理デバイスのグループ] ツリーのグループにデバイスまたはフォルダーを追加するには、[追加] をクリッ
クし、フォルダーの名前を入力して [OK] をクリックし、デバイスをフォルダーにドラッグ アンド ドロップ
します。
デバイスを並び替えます。
システムに物理的に接続されているデバイスは、コンポーネント上で黒い直線で接続します。青または赤の曲線はデ
ータ パスを示します。
ネットワーク トポロジ コンポーネントのデバイスの詳細
デバイスをダブルクリックすると、[ネットワーク トポロジ] コンポーネントにある特定のデバイスの詳細を表示で
きます。 この画面には、ポートのサマリー、デバイスの合計数、デバイスのステータスなど、インターフェースとエ
ンドポイントに関する情報が表示されます。
オプション
定義
[次のポートのサマリー]
現在表示されているポートを示します。
[合計]
デバイスの合計数を示します。
[ベースラインの平均以上] 現在のベースラインの平均を超えるデバイス数を示します。
ワークステーションを表します。
インターフェースにアラート データが関連付けられていて、データがベースラインの
平均未満であることを示します。
インターフェースにアラート データが関連付けられていて、データがベースラインの
平均を超えていることを示します。
インターフェースにアラート データが関連付けられていないことを示します。
動作だけでなく管理状態が停止中であることを示します。
ルーターを表します。
スイッチ ポートが動作中であることを示します。
不明なデバイスを表します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
277
7
イベントの操作
ESM ビューの操作
オプション
定義
管理対象外デバイスを表します。
ESM が SNMP、ネットワーク検出、または ping を通じてデバイスと通信できないこ
とを示します。
コンポーネント ツールバー
ビュー内の各コンポーネントの下部にあるコンポーネント ツールバーには、コンポーネント上のデータに対して実行
できる複数のアクションが用意されています。使用できるアクションは、コンポーネントのタイプによって異なりま
す。
オプション
定義
[イベントを確認済みとしてマーク] — 確認した特定のイベントをマ
ークします。 その後に、[イベント状態フィルターを変更] ドロップ
ダウン リストを使用して、確認済みのイベントのみ、または未確認
のイベントのみを表示することができます。
[イベントをケースまたは Remedy に割り当てる] — イベントをケ
ースに割り当てます (「ケースを管理する」)。または、電子メールを
Remedy システムに送信します (セットアップされている場合)。
このアイコンをクリックすると、次を選択できます。
• 新規ケースを作成
• イベントをケースに追加
• イベントを Remedy に送信 (「Remedy 電子メールを送信する」
を参照)
[デバイス URL を起動] - デバイスに URL を追加している場合に、
選択したイベントに関連する URL を起動します (「URL を追加す
る」を参照)。 URL を定義していない場合は、追加するように求めら
れます。
[ホスト名を表示] または [ホスト名を非表示] - ビューの IP アド
レスに関連付けられているホスト名を表示または非表示にします
(「ホスト名の管理」を参照)。
グラフ タイプ アイコン
278
McAfee Enterprise Security Manager 9.5.1
[グラフ タイプを変更] - データを表示するグラフのタイプを変更
します。 この機能のアイコンは、現在のグラフ タイプのコンポーネ
ント アイコンになります。
製品ガイド
7
イベントの操作
ESM ビューの操作
オプション
定義
[データ詳細を表示] または [データ詳細を非表示] - 選択したイベ
ントに関する詳細を表示または非表示にします。 このセクションに
は複数のタブがあります。
• [詳細]: 選択したイベントまたはフローについて得られる情報が表
示されます。
• [詳細情報]: ソース ネットワーク デバイス、宛先ネットワーク デ
バイス、Remedy に関する情報が表示されます。イベントやフロ
ーはそれぞれの ID によって検索できます。それぞれのレコード
を表示できる権限を持っている場合は、[イベント ID] または [フ
ロー ID] フィールドの右にある虫眼鏡アイコンをクリックしま
す。
• [位置情報]: 選択したイベントのソースおよび宛先の場所が示され
ます。
• [説明]: イベントに関連付けられている名前、説明、シグネチャま
たはルールが表示されます。
• [メモ]: イベントまたはフローに、特定のアイテムを表示するたび
に表示されるメモを追加することができます。
• [パケット]: 選択したイベントを生成したパケットのコンテンツを
取得します。このタブでは次の機能を実行できます。
• パケットを表示する形式を選択します。
•
•
をクリックしてパケット データを取得します。
をクリックして、コンピューターにパケットを保存します。
これがパケット キャプチャ (PCAP) (Receiver からの Nitro
IPS イベント、ADM イベント、Estreamer イベントなど) であ
る場合は、.pcap 拡張子付きで保存され、任意の PCAP 表示プ
ログラムで表示できます。パケット キャプチャでない場合は、
テキスト ファイルとして保存されます。
• イベントをクリックしたときにパケットが自動的に取得される
ように設定します。
• パケット内の情報を検索するには、[テキストを検索] フィールド
にキーワードを入力して
をクリックします。
[テキストを検索] フィールドには、角かっこやかっこなどの特
殊文字は入力しないでください。
• [ソース イベント]: 相関イベントまたは脆弱性イベントを選択す
ると、イベント生成の原因になったイベントのセットが表示されま
す。
• [ELM アーカイブ]: [テキストを検索] フィールドにテキストを入
力すると、ELM でアーカイブされたデータが取得されます。イベ
ントが集計されると、Receiver または ACE デバイスに最大 100
の集計イベントが表示されます。
• [カスタム タイプ]: カスタム タイプを定義している場合 (「カスタ
ム タイプ フィルター」を参照)、カスタム タイプ フィールドと、
McAfee Enterprise Security Manager 9.5.1
製品ガイド
279
7
イベントの操作
ESM ビューの操作
オプション
定義
それらのフィールドに属するイベントからのデータが表示されま
す。
• [情報]: デバイス名、IP アドレス、オペレーティング システム、
デバイスのバージョン、システムの説明、システムの担当者、シス
テムの物理的な場所などの情報が表示されます。
• [インターフェース]: ポート名、ポート速度、VLAN、管理状態、
動作状態が表示されます。
• [近隣]: ローカル インターフェース、近隣デバイス、近隣インター
フェースなど、近隣のデバイスに関する情報が表示されます。
[間隔および間隔比率を変更] - グラフ内のデータを更新する頻度を
設定します。
[比率を設定] - 表示されるデータの比率を選択します (なし、毎秒、
毎分、毎時、毎日、毎週、毎月)。
[IP アドレス] - 特定の IP アドレスについて、ソース イベントおよ
び宛先イベント、またはフローを表示します。 フィールドにアドレ
スを入力するか、以前使用したアドレスを選択し、[更新] アイコン
をクリックします。
[位置情報オプション] - 都市、州、国、および世界の地域のマーク、
ズーム イン/ズーム アウトを切り替え、Ctrl キーと Shift キーを使
用して場所を選択します。
[ページを変更] - ページが複数ある場合に、データ間を移動します。
[イベント状態フィルターを変更] - 分析リストに表示するイベント
またはフローのタイプを選択します。 すべてのイベント、確認済み
のイベントのみ、未確認のイベントのみ、修復されたイベント、すべ
てのフロー、オープンになっているフローのみ、クローズになってい
るフローのみを表示できます。
履歴ボタン - ビューで行った変更を前後にスクロールします。
または
[データ パスを表示] または [データ パスを非表示] - イベントま
たはフロー データ接続と 2 つのデバイスを接続する行を表示または
非表示にします。
[テキストを非表示] - ネットワーク トポロジ ビューで、デバイス
のラベルを表示または非表示にします。
Remedy 電子メールの送信
Remedy システムを設定した場合、Remedy が必要なイベントをシステムに通知する電子メール メッセージを送信
できます。この処理を実行すると、イベント レコードに追加する Remedy ケース番号を受信します。
Remedy システムはユーザーにより設定され、McAfee Nitro IPS には接続しません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
280
イベント ビューで、Remedy のアクションが必要なイベントを強調表示します。
[イベントをケースまたは Remedy に割り当てる]アイコン
を選択します。
をクリックして、[イベントを Remedy に送信]
[接頭辞]、[キーワード]、[Enterprise ユーザー ID] を追加します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
ESM ビューの操作
4 (オプション)[詳細] の下に情報を追加して、システムにより生成されるイベント関連情報を含めます。
5
[送信] をクリックします。
コンポーネントのメニュー オプション
ビューのほとんどのコンポーネントには、使用可能なオプションを選択できるメニュー
使用できるアイテムを示します。
があります。 次の表に、
オプション
定義
[ドリルダウン] (イベント、
フロー、資産)
ドリルダウン リストで選択したデータ型の詳細を表示します。新しいビューに詳細
が表示されます。
[要約] または [要約の条件]
選択したイベントの特性を共有する他のイベントまたはフロー データが表示されま
す。たとえば、分析画面にポート スキャン イベントが表示されているときに、同じ
攻撃者によって生成された他のイベントを表示するには、イベントをクリックして
[要約の条件] を選択し、[ソース IP] をクリックします。
[集計設定を変更]
個々のルールについて、一般的な集計設定に対する例外を作成します(『イベント集
計設定に例外を追加』を参照)。
[アクショ
ン]
[新しいウォッ
チリストを作
成]
ビューでイベントを選択し、新しいウォッチリストに追加します (『ウォッチリス
ト』を参照)。
[ウォッチリス
トに追加]
ビューでイベントを選択し、既存のウォッチリストに追加します。
[新しいアラー
ムを作成]
ビューでイベントを選択し、値に基づいてアラームを作成します(『アラームを作成』
を参照)。
[MVM スキャ
ンを実行]
システムに McAfee Vulnerability Manager デバイスが存在する場合、McAfee
Vulnerability Manager スキャンを開始します。
[ePO を起動]
ePolicy Orchestrator インターフェースを開きます(『ePolicy Orchestrator を起
動する』を参照)。
[TIE 実行履歴] TIE イベントを選択した場合、[TIE 実行履歴] ページを開き、選択したファイルの
実行を試行した IP アドレスを確認できます。 このページでは、新しいウォッチリ
ストの作成、ウォッチリストへのファイルの追加、新しいアラームの作成、ブラック
リストへのファイルの登録、ファイルの CSV へのエクスポート、ファイルへの
ePolicy Orchestrator タグの追加を実行できます。
[ルールを表示]
イベントを発生させたルールを表示します。
[IP アドレスの詳細]
ソース/宛先の IP アドレスまたはポートに関する情報を検索します。 選択した IP
アドレスの脅威の詳細と WHOIS 参照の結果を確認できます。
[ASN 参照]
ASN 識別子を使用して WHOIS レコードを取得します。
[リファレンスを参照]
デフォルトの Web ブラウザーを開いて McAfee オンライン シグネチャ データベ
ースに接続します。選択したイベントを生成させたシグネチャに関する情報が表示
されます。
[Remedy ケース ID を設
定]
Remedy システムにイベント電子メールを送信したときに取得した Remedy ケー
ス ID を参照用としてイベント レコードに追加します (『Remedy ケース ID をイ
ベント レコードに追加する』を参照)。
[ブラックリスト]
選択したイベントから、IP アドレスをブラックリストに追加します。このオプショ
ンを選択すると [ブラックリスト エディター] が開き、IP アドレス フィールドに選
択したイベントのデータが入力されます (『IPS または仮想デバイスのブラックリス
ト』を参照)。
[ELM を検索]
選択したイベントに関する情報を ELM で検索します。 [高度な ELM 検索] ページ
が開き、選択したデータが入力されます (『高度な ELM 検索を実行する』を参照)。
[VLAN を変更]
選択したデバイスの VLAN を変更します。 1 台から 12 台のデバイスを選択でき
ます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
281
7
イベントの操作
ESM ビューの操作
オプション
定義
[ポートを無効化/有効化]
1 つまたは複数のインターフェースまたはエンドポイントを選択します。選択した
項目に応じて、無効化または有効化オプションが表示されます。 たとえば、5 つの
インターフェースを選択して、その中の 1 つを有効にし、残りの 4 つを無効にした
場合、有効になっているポートを無効にできますが、それ以外の操作はできません。
ただし、無効なポートを 1 つ選択すると、[ポートを有効化] オプションを使用でき
ます。
[イベントを表示/フローを表 フローによって生成されたイベント、またはイベントによって生成されたフローを表
示します。
示]
[エクスポート]
PDF、テキスト、CSV または HTML 形式でビュー コンポーネントをエクスポート
します (『ビューをエクスポートする』を参照)。
[削除]
データベースからイベントまたはフローを削除します。削除するには、イベント特権
を持つグループに属している必要があります。削除できるのは、現在選択されている
レコード、現在のページのデータ、または 1 ページからの最大ページ数だけです。
[確認済みとしてマーク]
イベントに確認済みのフラグを付けます。結果セットまたは現在のページのすべて
のレコード、または選択したレコードにマークできます。
[カスタム ファイアウォール 選択したイベントまたはフローのプロパティに基づいて、カスタム ファイアウォー
ルールを作成]
ル ルールを作成します。[カスタム ファイアウォール ルールを作成] をクリックす
ると、[新しいルール] ページが開きます (『カスタム ADM、データベースまたは相
関ルールを追加する』を参照)。
[カスタム ルールを作成]
特定のアラートを開始点としてトリガーするシグネチャを使用して、カスタム ルー
ルを作成します。このオプションは、標準の (非ファイアウォール) ルールによって
生成されたアラートを選択した場合に使用できます。 [カスタム ルールを作成] を
クリックすると、[新しいルール] ページが開きます (『カスタム ADM、データベー
スまたは相関ルールを追加する』を参照)。
WHOIS または ASN 参照の実行
テーブル コンポーネント上で WHOIS 参照を実行し、ソースまたは宛先 IP アドレスに関する情報を探すことができ
ます。棒グラフの ASN クエリーや、ASN データを含むテーブル コンポーネント上のフロー レコードで実行できる
[ASN 参照] は、ASN 識別子を使って WHOIS レコードを検索します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
IP アドレスまたは ASN データがテーブル コンポーネントにリストされているフロー レコードを選択するか、棒
グラフ コンポーネント上の ASN クエリーのバーを選択します。
メニュー
をクリックし、[IP アドレスの詳細] または [ASN 参照] を選択します。
他の IP アドレスまたは識別子を参照するには、次の手順に従います。
•
[WHOIS] タブで、ドロップダウン リストから IP アドレスを選択し、ホスト名を入力します。
•
[ASN 参照] ページで、番号を入力するか、ドロップダウン リストから番号を選択します。
Remedy ケース ID をイベント レコードに追加
イベント電子メールを Remedy システムに送信すると、ケース ID 番号を受け取ります。この番号は、参照のため
にイベント レコードに追加できます。
282
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[イベント分析] ビューでイベントを強調表示し、メニュー
をクリックします。
[Remedy ケース ID を設定] を選択して番号を入力し、[OK] をクリックします。
コンポーネントをエクスポートする
データは、ESM ビュー コンポーネントにエクスポートすることができます。 グラフ コンポーネントはテキストま
たは PDF 形式でエクスポートでき、テーブル コンポーネントは CSV または HTML でエクスポートできます。
ビューに表示されているグラフ、分布、テーブル コンポーネントの現在のページをエクスポートすると、エクスポー
トされたデータがエクスポート開始時のデータと完全に一致するようになりました。 複数のページをエクスポート
すると、データのエクスポート時にクエリーが実行されるため、コンポーネントに表示される内容と異なる場合があ
ります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
4
ビューで、エクスポートするコンポーネントのメニュー
す。
をクリックして、[エクスポート] をクリックしま
次のいずれかの形式を選択します。
•
[テキスト] — データをテキスト形式でエクスポートします。
•
[PDF] — データと画像をエクスポートします。
•
[PDF にする画像] — 画像だけをエクスポートします。
•
[CSV] — カンマ区切り形式でリストをエクスポートします。
•
[HTML] — データをテーブルでエクスポートします。
[エクスポート] ページで、エクスポートするデータを指定します。
•
[テキスト] または [PDF] を選択すると、データの現在のページ、または先頭ページから最後のページまでエ
クスポートします。
•
[PDF にする画像] を選択すると、画像が生成されます。
•
[CSV] または [HTML] を選択すると、選択したアイテムのみ、データの現在のページのみ、または先頭ペー
ジから最終ページまでをエクスポートできます。
[OK] をクリックします。
エクスポート ファイルが生成され、結果ファイルをダウンロードするように指示されます。
クエリー ウィザードの操作
ESM の各レポートまたはビューは、各コンポーネントのクエリー設定に基づいてデータを収集します。
ビューまたはレポートを追加または編集する際、クエリー タイプ、クエリー、追加フィールド、使用フィールドを選
択して、[クエリー ウィザード] の各コンポーネントのクエリー設定を定義します。システムのクエリーは定義済み
とカスタムの両方を含めてすべてウィザードに一覧表示され、コンポーネントが収集するデータを選択できます。ま
た、クエリーの編集または削除、テンプレートとして使用する既存のクエリーのコピーによる新しいクエリーの設定
を行えます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
283
7
イベントの操作
ESM ビューの操作
クエリーを管理する
ESM には、レポートやビューを追加または編集したときに [クエリー ウィザード] で選択できる定義済みクエリーが
用意されています。これらのクエリーで一部の設定を編集したり、カスタム クエリーを追加または削除することがで
きます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[クエリー ウィザード] にアクセスするには、次のいずれかを行ってください。
操作
手順
新しいビュ
ーを追加す
る
1
ビュー ツールバーにある [新しいビューを作成] アイコン
をクリックします。
2 [ビューの編集ツールバー] からコンポーネントをビュー ペインにドラッグ アンド ドロップし
ます。
[クエリー ウィザード] が開きます。
既存のビュ
ーを編集
1 編集するビューを選択します。
2
ビュー ツールバーにある [現在のビューを編集] アイコン
をクリックします。
3 編集するコンポーネントをクリックします。
4 [プロパティ] ペインで [クエリーを編集] をクリックします。
2 ページ目に [クエリー ウィザード] が開きます。
新しいレポ
ートのレイ
アウトを設
計
1 [システムのプロパティ] で [レポート] をクリックします。
2 [追加] をクリックします。
3 [レポートを追加] ページのセクション 5 で [追加] をクリックします。
4 レポート レイアウト セクションでコンポーネントをドラッグ アンド ドロップします。
[クエリー ウィザード] が開きます。
既存のレポ
ートでレイ
アウトを編
集
1 [システムのプロパティ] で [レポート] をクリックします。
2 編集するレポートを選択し、[編集] をクリックします。
3 [レポートを編集] ページのセクション 5 で既存のレイアウトを選択し、[編集] をクリックしま
す。
4 レポート レイアウト セクションでコンポーネントをクリックし、[プロパティ] セクションで
[クエリーを編集] をクリックします。
2 ページ目に [クエリー ウィザード] が開きます。
2
284
[クエリー ウィザード] で、次のいずれかの操作を行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
操作
7
手順
新しいクエリー 1 テンプレートとして使用するクエリーを選択し、[コピー] をクリックします。
を追加
2 新しいクエリーの名前を入力し、[OK] をクリックします。
3 クエリーのリスト上で、直前に追加したクエリーをクリックし、[次へ] をクリックします。
4 ウィザードの 2 ページ目で、ボタンをクリックして設定を変更します。
カスタム クエ
リーを編集
カスタム クエ
リーを削除
3
1 編集するカスタム クエリーを選択し、[編集] をクリックします。
2 ウィザードの 2 ページ目で、ボタンをクリックして設定を変更します。
削除するカスタム クエリーを選択し、[削除] をクリックします。
[完了] をクリックします。
コンポーネントをバインドする
ビュー コンポーネントが、データ バインドを使用している別のコンポーネントにリンクされると、ビューがインタ
ラクティブになります。
親コンポーネントで 1 つ以上のアイテムを選択すると、ドリルダウンが実行されたように、子コンポーネントに表示
される結果が変更されます。たとえば、親棒グラフのソース IP コンポーネントを子棒グラフの宛先 IP コンポーネン
トにバインドした場合に、親コンポーネントで選択を行うと、選択したソース IP をフィルターとして使用して、子
コンポーネントがクエリーを実行します。親コンポーネントでの選択を変更すると、子コンポーネント内のデータが
更新されます。
データ バインドでバインドできるのは、1 つのフィールドと別のフィールドだけです。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
親コンポーネントと子コンポーネントを作成し、子コンポーネントを選択します。
2
[プロパティ] ペインで、[クエリーを編集] 、 [フィルター] の順にクリックします。
[クエリー フィルター] ページが開き、親クエリーと子クエリーが有効になります。
3
子クエリーのドロップダウン リストから、[バインド先] を選択します。
4
[OK] をクリックし、[完了] をクリックします。
値を比較
分布グラフでは、現在のグラフに追加の変数を重ねることができるオプションがあります。
この方法で 2 つの値を比較することで、たとえばイベント合計数と平均重大度などの関係を簡単に示すことができま
す。この機能によって、一定の時間内における有益なデータ比較が可能になります。この機能では、結果を単一の分
布グラフに結合することができるため、サイズの大きなビューを構築する場合に画面の領域を節約することができま
す。
この比較は、選択したクエリーと同じタイプの比較に限定されます。たとえばイベント クエリーを選択すると、イベ
ント テーブルのフィールドとのみ比較を行うことができ、フローや資産、脆弱性テーブルとの比較はできません。
分布グラフにクエリー パラメーターを適用すると、そのクエリーが標準として実行されます。比較フィールドを有効
にすると、データに対するセカンダリ クエリーが同時に実行されます。分布コンポーネントでは、両方のデータ セ
ットのデータが同じグラフに表示されますが、2 つの別個の縦軸が使用されます。グラフのタイプ(コンポーネント
の右下部分)を変更すると、両方のデータ セットが引き続き表示されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
285
7
イベントの操作
ESM ビューの操作
グラフ値を比較する
分布グラフ内のデータを、選択した変数と比較することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[新しいビューを作成] アイコン
または [現在のビューを編集] アイコン
を選択します。
2
[分布] アイコン
をクリックしてビューにドラッグアンドドロップし、[クエリー ウィザード] を開きます。
3
クエリー タイプとクエリーを選択し、[次へ] をクリックします。
4
[比較] をクリックし、選択したクエリーと比較するフィールドを選択します。
5
[OK] をクリックし、[完了] をクリックします。
6
コンポーネントをビュー上の適切な位置に移動し、次のいずれかの操作を行います。
•
コンポーネントを既存のビューに追加する場合は、[保存] をクリックします。
•
新しいビューを作成する場合は、[名前を付けて保存] をクリックして、ビューの名前を追加します。
ビューとレポートにスタック分布を設定する
ビューまたはレポートで分布コンポーネントを設定すると、特定のフィールドに関連するイベントの分布を確認でき
ます。
ビューまたはレポートにコンポーネントを追加するときに、積み重ねるフィールドを選択できます。 ビューを表示す
ると、設定を変更したり、時間間隔を変更できます。また、グラフの種類や詳細を設定することもできます。
同じクエリーで、[スタック] 機能と [比較] 機能を併用することはできません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ドラッグ アンド ドロップで [分布] コンポーネントをビュー (「カスタム ビューを追加する」を参照) またはレ
ポート (「レポート レイアウトの追加」を参照) に配置し、クエリーのタイプを選択します。
[収集レート] または [平均] (たとえば、[アラートごとの平均重大度]、[フローごとの平均期間]) 分布クエリーで
は、スタックを使用できません。
2
[クエリー ウィザード] の 2 番目のページで [スタック] をクリックし、オプションを選択します。
3
[スタック オプション] ページで [OK] をクリックして、[クエリー ウィザード] で [完了] をクリックします。
ビューが追加されます。 設定を変更したり、時間化区画やグラフ タイプを設定するには、[グラフ オプション] アイ
コン
をクリックします。
ビューの管理
ビューの管理では、複数のビューを一度にコピー、インポート、またはエクスポートする簡単な方法を使用できるだ
けでなく、ビューのリストに入れるビューを選択したり、個々のビューにアクセスする権限を特定のユーザーまたは
グループに割り当てることができます。
286
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールで、[ビューの管理] アイコン
をクリックします。
使用できるいずれかのオプションを実行し、[OK] をクリックします。
イベントを確認する
[イベント分析] では、イベントの前後で選択した時間枠内に発生したイベントの中から、1 つ以上のフィールドに一
致するイベントを確認できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールでビューをクリックし、[イベント ビュー] 、 [イベント分析] の順に選択します。
イベントをクリックしてメニュー アイコン
をクリックし、[確認] をクリックします。
3
イベントを確認する時間枠を選択します。イベントの発生前後の分数で指定します。
4
[フィルターを選択] をクリックし、比較するフィールドを選択して値を入力します。
[確認結果] ビューに結果が表示されます。
このビューから移動して再度戻ってくる場合には、[イベント解析] メニューで [前回の確認] をクリックします。
イベントの IP アドレスの詳細を表示する
®
™
McAfee から McAfee Global Threat Intelligence (McAfee GTI) のライセンスを取得している場合 (GTI ウォ
ッチリストを参照)、[IP アドレスの詳細]で検索を実行したときに、新しい[脅威の詳細] タブにアクセスできます。
このオプションを選択すると、IP アドレスの詳細 (リスクの重要度や位置情報データなど) が戻されます。
開始する前に
McAfee GTI ライセンスを購入します (『McAfee GTI ウォッチリスト』を参照)。
McAfee GTI ライセンスの期限が切れている場合には、McAfee セールス エンジニアまたは McAfee サ
ポートに連絡してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールで、テーブル コンポーネントを表示するビューを選択します。たとえば、 [イベント ビュー] 、
[イベント分析]の順に選択します。
IP アドレスをクリックし、IP アドレスのあるコンポーネントのメニュー アイコン
に、[IP アドレスの詳細] をクリックします。
McAfee Enterprise Security Manager 9.5.1
をクリックします。次
製品ガイド
287
7
イベントの操作
ESM ビューの操作
[脅威の詳細] タブに、選択した IP アドレスのデータが表示されます。 このデータは、システムのクリップボードに
コピーできます。
コンテキスト メニューでは、[WHOIS 参照] オプションではなく [IP アドレスの詳細] オプションが表示されます。
ただし、[IP アドレスの詳細] ページの [WHOIS 参照] タブにこの情報が表示されます。
デフォルト ビューを変更
ESM コンソールに最初にログオンしたときに、ビュー ペインにデフォルトで [デフォルトのサマリー] ビューが表示
されます。このデフォルト ビューは、ESM の任意の定義済みビューまたはカスタム ビューに変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールのナビゲーション バーで [オプション] をクリックし、[ビュー] を選択します。
2
[デフォルトのシステム ビュー] ドロップダウン リストで新しいデフォルト ビューを選択し、[OK] をクリック
します。
ビューのフィルタリング
メインの ESM コンソールにあるフィルター ペインでは、ビューに適用するフィルターを設定できます。ビューに適
用されたフィルターは、次に開いたビューにも適用されます。
ESM に初めてログオンすると、デフォルトのフィルター ペインに [ソース ユーザー]、[宛先ユーザー]、[ソース
IP]、[宛先 IP] フィルターのフィールドが表示されます。 フィルター フィールドの追加と削除、フィルター セット
の保存、デフォルト セットの変更、フィルターの管理、文字列正規化マネージャーの起動を行うことができます。
ビューにフィルターが適用されると、ビュー ペインの右上隅にオレンジ色のじょうごアイコンが表示されます。 こ
のオレンジ色のアイコンをクリックすると、すべてのフィルターがクリアされ、クエリーが再実行されます。
変数、グローバル フィルター、ローカル フィルター、正規化文字列、またはレポート フィルターなど、カンマ区切
りのフィルター値がある場合、それらがウォッチリストの一部ではない場合は、引用符を使用する必要があります。
値が Smith,John の場合、"Smith,John" と入力する必要があります。 値に引用符が含まれている場合には、引
用符を引用符で囲む必要があります。値が Smith,"Boy"John である場合には、"Smith,""Boy""John" として入
力します。
contains フィルターと regex フィルターを使用できます ([contains フィルターと regex フィルターの説明]を
参照)。
ビューをフィルタリングする
フィルターは、ビューで選択したアイテムの詳細を表示する場合に役立ちます。フィルターを入力してビューを更新
すると、追加したフィルターがビュー内のデータに反映されます。
288
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
ESM ビューの操作
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM のコンソールで、ビューのドロップダウン リストをクリックし、フィルタリングするビューを選択します。
2
[フィルター] ペインで、次のいずれかの方法でフィルタリングするデータを、フィールドに入力します。
•
適切なフィールドにフィルター情報を入力します。たとえば、現在のビューをフィルタリングして、ソース IP
アドレスが 161.122.15.13 であるデータだけを表示するには、[ソース IP] フィールドに IP アドレスを入
力します。
•
contains フィルターまたは regex フィルターを入力します (「contains フィルターと regex フィルタ
ーの説明」を参照)。
•
フィールドの横にある [フィルター リストを表示] アイコン
またはウォッチリストを選択します。
•
ビューで、フィルターとして使用するデータを選択し、[フィルター] ペインでフィールドをクリックします。
フィールドが空白の場合は、選択したデータが自動的に入力されます。
をクリックし、フィルターの条件にする変数
[平均重大度] では、コロン (:) を使用して範囲を入力します。 たとえば、60:80 は重大度の範囲 60 ~ 80 を示
します。
3
次のいずれかを行います。
目的
手順
複数のフィルターに合致する
データを表示する
各フィールドに値を入力します。
一部のフィルター値に合致す 1 フィルターに含める値と除外する値を入力します。
るデータを表示し、その他を除
2
外する
除外するフィールドの横にある [NOT] アイコン をクリックします。
正規および OR フィルターに 1 正規および [OR] フィールドにフィルター値を入力します。
合致するデータを表示する
2 [OR] 値を持つフィールドの横にある [OR] アイコンをクリックします。
ビューには、[OR] とマークされていないフィールドの値に合致するデータが含
まれ、[OR] とマークされているフィールド内のいずれかの値に合致します。
このフィルターが機能するには、2 つ以上のフィールドに [OR] とマークする
必要があります。
4
フィルター値では大文字と小
文字は区別されません。
適切なフィルター フィールドの横にある [大文字と小文字を区別しない] アイ
コン
をクリックします。
正規化された文字列を別名で
置き換える
適切なフィルター フィールドの横にある、文字列正規化アイコン
クします。
[クエリーを実行] アイコン
をクリッ
をクリックします。
ビューが更新され、入力した値に合致するレコードがビューに表示されます。ビュー ペインの右上隅に、ビュー内の
データがフィルタリングの結果であることを示す、オレンジ色のフィルター アイコンが表示されます。アイコンをク
リックするとフィルターがクリアされ、ビューにすべてのデータが表示されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
289
7
イベントの操作
ESM ビューの操作
[フィルター] ペイン
フィルター ペインには、ビューのフィルター設定に役立つオプションがあります。
アイコン
意味
説明
[ヒント]
フィルター フィールドをクリックすると、ツールチップが表示されます。
[文字列正規化
マネージャーを
起動]
文字列と別名をフィルタリングします(『文字列正規化』を参照)。
[クエリーを実
行]
現在のフィルターをビューに適用します。 フィルター値を変更して現在
のビューに適用する場合には、このアイコンをクリックする必要がありま
す。
[すべてクリア]
フィルター ペインにあるすべてのフィルターをクリアします。
[フィルター セ
ット オプショ
ン]
フィルター セットで実行するアクションを選択します。
• [デフォルトにする] - 入力したフィルター値をデフォルトとして保存
します。 これらのフィルターは、ログイン時に自動的に適用されます。
• [デフォルトをリストア] - フィルターをデフォルト値に戻します。デ
フォルトのフィルター セットでクエリーを実行できます。
• [更新されたフィルターを保存] - 現在のフィルター セットを保存し、
使用可能なフィルターのリストに追加します。フィルターを追加する
ときに、このリストから選択できます。 セットの名前を入力して、保
存先のフォルダーを選択します。
• [フィルターの管理] - [フィルター セットの管理] ページが開きます。
使用可能なフィルター セットを編成できます。
表示に適用するフィルター フィールドまたはフィルター セットを選択し
ます。 フィールドをクリックすると、ドロップダウン メニューに使用可
能なフィルターとフィルター セットが表示されます。
[フィルター リ
ストを表示]
フィルターの条件にする変数またはウォッチリストを選択します。
[NOT]
特定のフィルターにだけ一致するデータを表示するには、除外するフィー
ルドの横をクリックします。
[OR]
正規表現と [OR] フィルターに一致するデータを捧持するには、[OR] 値
のあるフィールドの横のアイコンをクリックします。 ビューには、[OR]
とマークされていないフィールドの値に合致するデータが含まれ、[OR]
とマークされているフィールド内のいずれかの値に合致します。
このフィルターが機能するには、2 つ以上のフィールドに [OR] とマー
クする必要があります。
290
[大文字と小文
字を区別しな
い]
フィルター値で大文字と小文字を区別しない場合には、このアイコンをク
リックします。
文字列の正規化
正規化された文字列を別名で置き換えます。
セット内のフィ
ルターを表示
セットに含まれるフィルターのリストを表示します。
値を置換
値セットの値で現在の値を置換します。
[このフィルタ
ーを削除する]
現在のフィルターからフィルター フィールドを削除します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
UCF および Windows イベント ID フィルターを追加
規制に対するコンプライアンスのサポートでは、規制の性質が絶え間なく変わることが課題の 1 つとなります。
Unified Compliance Framework(UCF)は、各規制の細目を整合された制御 ID にマッピングする組織です。規制
が変更されると、これらの ID が更新されて ESM にプッシュされます。
•
コンプライアンス ID をフィルターの条件にして必要なコンプライアンスまたは特定のサブコンポーネントを選
択するか、Windows イベント ID をフィルターの条件にします。
これを...
実行するには...
UCF フィルターを 1 [フィルター] ペインで、[コンプライアンス ID] フィールドの横にあるフィルター アイ
追加
コンをクリックします。
2
Windows イベン
ト ID フィルター
を追加
フィルターとして使用するコンプライアンス値を選択し、[OK] | [クエリーを実行
をクリックします。
]
1 [シグネチャ ID] の横にあるフィルター アイコンをクリックします。
2 [フィルター変数] で、[Windows] タブを選択します。
3 テキスト フィールドに Windows イベント ID(カンマ区切り)を入力するか、フィル
ターの条件にする値をリストから選択します。
正規化された ID を選択する
新しいビューを作成したり、ビューにフィルターを追加するときに、正規化された ID を使用してデータをフィルタ
リングできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、次のいずれかを行います。
•
新しいビューを作成する場合には、[クエリー ウィザード] の 2 ページ目で [フィルター] をクリックします
(『ビューまたはレポート コンポーネントの設定を定義する』を参照)。
•
ビューにフィルターを追加する場合には、追加先のビューを選択します。 画面の右側に [フィルター] ペイン
が表示されます。
2
[正規化された ID] フィールドを選択し、[フィルター] アイコン
3
ID を選択して、[OK] をクリックします。
をクリックします。
選択した ID が [正規化された ID] フィールドに追加されます。
ウォッチリスト
ウォッチリストは、フィルターまたはアラーム条件として使用できる特定の情報をグループ化したリストです。
グローバルなリストとユーザーまたはグループに固有のリストがあり、静的または動的なリストとして使用できます。
静的なウォッチリストは、入力またはインポートした特定の値から構成されます。 動的ウォッチリストは、定義した
正規表現または文字列検索条件の結果の値で構成されます。
ウォッチリストには、最大 1,000,000 個の値を含めることができます。[ウォッチリストを追加] ページまたは [ウ
ォッチリストを編集] ページの値のリストには、最大 25,000 個の値を表示できます。それ以上の値がある場合は、
値が多すぎるため表示できないことが示されます。 ウォッチリストを編集して値の数が 25,000 個を超える場合
は、既存のリストをローカル ファイルにエクスポートして、新しい値を追加し、新しいリストをインポートする必要
があります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
291
7
イベントの操作
ESM ビューの操作
ウォッチリストの値に有効期限を設定できます。値ごとにタイム スタンプが設定され、更新しない限り、指定した期
間に達すると期限が切れます。 アラームがトリガーすると値が更新され、ウォッチリストに追加されます。ビュー
コンポーネントのメニューの [ウォッチリストに追加] オプションを使用してリストに追加して、期限が設定されて
いる値を更新できます (「コンポーネントのメニュー オプション」を参照)。
ESM では、Hadoop HBase のリレーショナル データ ソースへのコネクターが提供されるようになりました。これ
はソースからのキー値のペアを使用します。 このデータはウォッチリストで使用できます (「Hadoop HBase ウォ
ッチリストを追加する」を参照)。 たとえば、ウォッチリストの値が新しいイベントで検出された場合、トリガーす
るアラームにデータをフィードできます。
ウォッチリストの追加
フィルターとして、またはアラーム条件で使用できるようにウォッチリストを ESM に追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ウォッチリスト] ページには、以下のいずれかの方法でアクセスします。
•
•
ESM コンソールで、[ウォッチリスト] クイック起動アイコン
をクリックします。
システム ナビゲーション ツリーで [システムのプロパティ] をクリックし、[ウォッチリスト] をクリックし
ます。
[ウォッチリスト] テーブルにシステムのすべてのウォッチリストが表示されます。
[GTI の悪意のある IP] と [GTI の不審な IP] がテーブルに表示されますが、McAfee から McAfee GTI ライセン
スを購入している場合を除き、データを含めないでください。 McAfee セールス エンジニアまたは McAfee サポ
ートに連絡してライセンスを購入してください。
2
[追加] をクリックし、要求された情報を入力します。
3
[OK] をクリックして、新しいウォッチリストを [ウォッチリスト] テーブルに追加します。
関連トピック:
292 ページの「McAfee GTI ウォッチリスト」
McAfee GTI ウォッチリスト
McAfee GTI ウォッチリストには、McAfee が収集した 1 億 3,000 万個を超える不審な悪意のある IP アドレスと
その重大度が含まれます。 これらのウォッチリストをアラームのトリガーに使用して、ルール相関のフィルターとし
て、また ACE のリスク相関マネージャーのスコアリング ソースとして、レポートとビューのデータをフィルタリン
グできます。
リストのデータをシステムに追加するには、McAfee から McAfee GTI ライセンスを購入する必要があります。 購
入すると、次にルールをダウンロードするときにシステムにリストが追加されます。この処理は、データベースのサ
イズによっては数時間かかる可能性があります。
リストをダウンロードするには、インターネット接続が必要です。 オフラインではダウンロードできません。
これらのリストは表示および編集できませんが、[ウォッチリスト] テーブル([システムのプロパティ] 、 [ウォッチ
リスト] の順に選択)に、リストがアクティブ(値を含む)または非アクティブ(値を含まない)かどうか示されま
す。
McAfee GTI ライセンスを購入するには、McAfee セールス エンジニアまたは McAfee サポートに連絡してくださ
い。
292
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
ESM ビューの操作
7
インターネットから脅威または IOC フィードのウォッチリストを作成する
定期的に更新されるウォッチリストを作成すると、脅威または侵入の痕跡 (IOC) フィードをインターネットから自
動的にプルすることができます。
このウォッチリストでは、HTTP 要求で取得されるデータをプレビューしたり、データをフィルタリングする正規表
現を追加できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
を選択します。
2
[ウォッチリスト] をクリックして [追加] をクリックします。
3
[動的] を選択して、[メニュー] タブを完了します。
4
[ソース] タブをクリックして、[タイプ] フィールドで [HTTP/HTTPS] を選択します。
5
[ソース]、[解析]、[値] タブで必要な情報を設定します。
[解析] タブの [未加工データ] フィールドに、HTML ソース コードの最初の 200 行が表示されます。 これは
Web サイトのプレビューになりますが、比較する正規表現を作成するには十分な量です。 [今すぐ実行] を選択す
るか、ウォッチリストのスケジュール更新で、正規表現に一致したすべての項目が表示されます。 この機能は RE2
構文の正規表現に対応しています。たとえば、IP アドレスを比較するには、(\d{1,3}\.\d{1,3}\.
\d{1,3}\.\d{1,3}) と記述します。
Hadoop HBase ウォッチリストを追加する
ソースとして Hadoop HBase を使用するウォッチリストを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
スト] をクリックします。
をクリックし、[ウォッチリ
2
[ウォッチリストを追加] ウィザードの [メイン] タブで [動的] を選択し、要求された情報を入力し、[ソース] タ
ブをクリックします。
3
[タイプ] フィールドの [Hadoop HBase (REST)] を選択し、ホスト名、ポート、テーブルの名前を入力します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
293
7
イベントの操作
ESM ビューの操作
4
[クエリー] タブで、参照列とクエリーの情報を入力します。
a
[参照列] の形式を columnFamily:columnName にします。
b
クエリーにスキャナー フィルターを入力し、値を Base64 エンコードにします。 例:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
[値] タブをクリックして、値のタイプを選択します。[今すぐ実行] ボタンをクリックします。
文字列の正規化
文字列の正規化を使用して、別名の値に関連付けることができる文字列値を設定して、文字列の正規化値の .csv フ
ァイルをインポートまたはエクスポートします。
[フィルター] ペインの該当フィールドの横の文字列の正規化アイコンを選択して、文字列とその別名をフィルタリン
グできます。たとえばユーザー名文字列が John Doe の場合、プライマリ文字列を John Doe、別名を DoeJohn、
JDoe、[email protected]、JohnD などに設定した文字列の正規化ファイルを定義します。[User_Nickname ]
フィルター フィールドに John Doe と入力し、フィールドの横の文字列の正規化アイコンを選択して、クエリーを
更新できます。結果ビューには、John Doe とその別名に関連付けられたすべてのイベントが表示され、ソース IP
が一致するがユーザー名が一致しないログインの不一致をチェックできます。この機能を利用して、特権ユーザーの
アクティビティの報告を求める規制を満たすこともできます。
文字列正規化ファイルの管理
文字列正規化ファイルは、使用する前に ESM に追加しておく必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[フィルター] ペインで、[文字列正規化マネージャーを起動] アイコン
をクリックします。
使用できるいずれかの操作を実行し、[閉じる] をクリックします。
インポートする文字列正規化ファイルを作成する
別名の .csv ファイルを作成すると、[文字列の正規化] ページにインポートして、フィルターとして使用することが
できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
テキストまたはスプレッドシート プログラムで、次の形式で別名を入力します。
コマンド, プライマリ文字列, 別名
使用できるコマンドは 追加、変更、削除 です。
294
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
カスタム タイプ フィルター
2
7
.CSV ファイルとして保存し、インポートします。
カスタム タイプ フィルター
カスタム タイプ フィールドは、ビューとレポートのフィルターとして、またカスタム ルールを作成するために使用
できます。最も関連性のあるデータを定義してアクセスすることが可能になります。
これらのカスタム タイプ フィールドによって生成されたデータは、[イベント分析] または [フロー分析] ビューの
[詳細] セクションに表示することができます。
カスタム タイプは、追加、編集、削除に加えて、エクスポートとインポートが可能です。 名前を変更するには、[編
集] ページを使用します。 カスタム データ タイプの場合には、サブタイプの設定も変更できます。
カスタム タイプをエクスポートまたはインポートする
カスタム タイプをエクスポートすると、選択した場所にすべてがエクスポートされます。カスタム タイプのファイ
ルをインポートすると、システムの現在のカスタム タイプが、インポートされたデータに置き換わります。
カスタム クエリー
ビューのカスタム クエリーを設定する場合は、クエリーのフィールドを選択するときに、定義済みのカスタム タイ
プがオプションとして表示されます。クエリー内のフィールドとしてカスタム タイプを追加すると、カスタム タイ
プがフィルターとして機能します。クエリーを行う情報にカスタム タイプに適合するデータがない場合は、結果がな
いクエリー テーブルが返されます。これを防ぐには、カスタム タイプではなく、必要な結果を返すユーザー フィー
ルド (テーブルの [イベント フィールド] 列のカスタム フィールド 1 から 10) を選択します。
たとえば、ソース ユーザー データがある場合に、クエリー結果にそのデータを含めるとします。クエリー フィール
ドとして [ソース ユーザー] を選択すると、それがフィルターとして機能します。クエリー対象の情報にソース ユー
ザー データがない場合は、結果が返されません。ただし、ソース ユーザーのユーザー フィールドとして指定されて
いるユーザー フィールド 7 を選択すると、それはフィルターとしては機能せず、結果のテーブル内の列として表示
されます。 ソース ユーザー データがある場合は、この列に表示されます。このフィールドのデータがない場合は、
ユーザー フィールド 7 列が空白になりますが、他の列にはデータが入力されます。
カスタム データ ソース
[データ タイプ] フィールドで [カスタム] を選択すると、複数のフィールド ログで各フィールドの意味を定義でき
ます。
たとえば、ログ (100300.351) には 3 つのフィールド (100、300.35、1) があります。 カスタム サブタイプによ
って、これらのフィールドの種類を指定できます (整数、10 進数、ブール)。 例:
•
初期ログ — 100300.351
•
3 つのサブタイプ — Integer|decimal|boolean
•
カスタム サブタイプ — 100|300.35|1
サブタイプには、最大 8 バイト (64 ビット) のデータを含めることができます。 [使用容量] には、使用されているバ
イト数とビット数が表示されます。最大値を超えると、このフィールドでは容量が超過したことが赤色で示されます。
例: Space Usage: 9 of 8 bytes, 72 of 64 bits。
名前/値カスタム タイプ
[名前/値グループ] データ タイプを選択すると、指定した名前/値ペアのグループを含むカスタム タイプを追加でき
ます。 これらのペアでビューとクエリをフィルタリングし、フィールド一致アラームで使用できます。
この機能の特徴は次のとおりです。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
295
7
イベントの操作
カスタム タイプ フィルター
•
名前/値グループのフィールドは、正規表現でフィルタリングする必要があります。
•
これらは相関が可能で、[相関ルール エディター] で選択することができます。
•
アドバンスド Syslog パーサー (ASP) が収集するのはペアの値部分だけです。
•
このカスタム タイプの最大サイズは 512 文字で、この中には名前も含まれます。 この値を超えると、収集時に
値が切り捨てられます。 McAfee では、名前のサイズと数を制限することをお勧めします。
•
名前は 3 文字以上にしてください。
•
名前/値カスタム タイプには、最大で 50 個までの名前を入れることができます。
•
名前/値グループの名前は、グローバル フィルターで <グループ名> - <名前> の形式で表示されます。
インデックス未作成のカスタム タイプに使用する正規表現
インデックス未作成/作成済み文字列、ランダム文字列、ハッシュ文字列のカスタム タイプには、次の形式にしてく
ださい。
•
contains(<正規表現>) 構文を使用するか、インデックス未作成のランダム文字列またはハッシュ文字列のフィ
ールドに値を入力して、カスタム タイプをフィルタリングします。
•
regex() 構文を使用します。
•
contains()を使用して、インデックス未作成のカスタム タイプ フィールドにカンマ区切りのフィルター
(Tom,John,Steve) を入力すると、システムは正規表現を実行します。 contains フィールドまたはインデック
ス未作成のランダム文字列またはハッシュ文字列のフィールドで、カンマはバー (|)、アスタリスクはピリオドと
アスタリスクの組み合わせ (.*) と解釈されます。 アスタリスク (*) を入力すると、ピリオドとアスタリスクの
組み合わせ (.*) に置換されます。
•
正規表現が無効な場合、あるいは閉じ括弧または開始括弧がない場合、エラーが発生し、無効な姓引き表現であ
ることが通知されます。
•
インデックス未作成/作成済み文字列、ランダム文字列、ハッシュ文字列のカスタム タイム フィルター フィール
ドに regex() または contains() を 1 つだけ使用します。
•
シグネチャ ID フィールドで、contains(<ルール メッセージの一部または全体>) と regex(<ルール メッセ
ージの一部>) を使用できます。
•
contains の共通検索フィルターは単一の値で、前後に .* のない単一の値です。
共通検索フィルターは次のとおりです。
•
単一値
•
カンマで区切られた複数の値。正規表現に変換されます。
•
* を含む contains ステートメント。* は .* と解釈されます。
•
高度な正規表現。regex() 構文を使用できます。
詳細については、「contains フィルターと regex フィルターの説明」を参照してください。
カスタム タイプを作成
管理者特権がある場合には、フィルターとして使用するカスタム タイプを追加します。
296
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
カスタム タイプ フィルター
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システムのナビゲーション ツリーで [システムのプロパティ] を選択し、[カスタム タイプ] をクリックします。
2
[追加] をクリックして、必要な情報を入力します。
3
[OK] をクリックしてカスタム タイプを保存します。
定義済みのカスタム タイプ テーブル
管理者特権がある場合は、カスタム タイプ テーブルに定義済みのカスタム タイプのリストを表示できます([シス
テムのプロパティ] 、 [カスタム タイプ])。管理者特権がない場合は、この定義済みカスタム タイプのリストを使用
します。
名前
データ型
イベント フィールド
フロー フィールド
アプリケーション
文字列
カスタム フィールド - 1
なし
Application_Layer
シグネチャ ID
なし
カスタム フィールド - 4
Application_Protocol
文字列
カスタム フィールド - 1
なし
Authoritative_Answer
文字列
カスタム フィールド - 10
なし
Bcc
文字列
カスタム フィールド - 9
なし
Cc
文字列
カスタム フィールド - 8
なし
Client_Version
文字列
カスタム フィールド - 9
なし
コマンド
文字列
カスタム フィールド - 2
なし
信頼度
符号なし整数
カスタム フィールド - 8
なし
Contact_Name
文字列
カスタム フィールド - 6
なし
Contact_Nickname
文字列
カスタム フィールド - 8
なし
Cookie
文字列
カスタム フィールド - 9
なし
Database_Name
文字列
カスタム フィールド - 8
なし
宛先ユーザー
文字列
カスタム フィールド - 6
カスタム フィールド - 1
Destination_Filename
文字列
カスタム フィールド - 9
なし
方向
文字列
カスタム フィールド - 10
なし
DNS_Class
文字列
カスタム フィールド - 8
なし
DNS_Name
文字列
カスタム フィールド - 5
なし
DNS_Type
文字列
カスタム フィールド - 6
なし
ドメイン
文字列
カスタム フィールド - 3
なし
End_Page
符号なし整数
カスタム フィールド - 9
なし
File_Operation
文字列
カスタム フィールド - 5
なし
File_Operation_Succeeded
文字列
カスタム フィールド - 6
なし
Filename
文字列
カスタム フィールド - 3
なし
Flow_Flags
符号なし整数
なし
カスタム フィールド - 1
From
文字列
カスタム フィールド - 5
なし
ホップ
符号なし整数
カスタム フィールド - 8
なし
McAfee Enterprise Security Manager 9.5.1
製品ガイド
297
7
298
イベントの操作
カスタム タイプ フィルター
名前
データ型
イベント フィールド
フロー フィールド
ホスト
文字列
カスタム フィールド - 4
なし
HTTP_Layer
シグネチャ ID
なし
カスタム フィールド - 5
HTTP_Req_Cookie
文字列
なし
カスタム フィールド - 3
HTTP_Req_Host
文字列
なし
カスタム フィールド - 5
HTTP_Req_Method
文字列
なし
カスタム フィールド - 6
HTTP_Req_Referer
文字列
なし
カスタム フィールド - 4
HTTP_Req_URL
文字列
なし
カスタム フィールド - 2
HTTP_Resp_Length
符号なし整数
なし
カスタム フィールド - 5
HTTP_Resp_Status
符号なし整数
なし
カスタム フィールド - 4
HTTP_Resp_TTFB
符号なし整数
なし
カスタム フィールド - 6
HTTP_Resp_TTLB
符号なし整数
なし
カスタム フィールド - 7
HTTP_User_Agent
文字列
なし
カスタム フィールド - 7
インターフェース
文字列
カスタム フィールド - 8
なし
Job_Name
文字列
カスタム フィールド - 5
なし
Language
文字列
カスタム フィールド - 10
なし
Local_User_Name
文字列
カスタム フィールド - 5
なし
Message_Text
文字列
カスタム フィールド - 9
なし
方法
文字列
カスタム フィールド - 5
なし
NAT_Details
カスタム
カスタム フィールド - 9
カスタム フィールド - 1
• NAT_Address
• IPv4 アドレス
• NAT_Port
• 符号なし整数
• NAT_Type
• 符号なし整数
Network_Layer
シグネチャ ID
なし
カスタム フィールド - 1
NTP_Client_Mode
文字列
カスタム フィールド - 5
なし
NTP_Offset_To_Monitor
符号なし整数
カスタム フィールド - 8
なし
NTP_Opcode
文字列
カスタム フィールド - 10
なし
NTP_Request
文字列
カスタム フィールド - 9
なし
NTP_Server_Mode
文字列
カスタム フィールド - 6
なし
Num_Copies
符号なし整数
カスタム フィールド - 6
なし
オブジェクト
文字列
カスタム フィールド - 5
なし
Object_Type
文字列
カスタム フィールド - 2
なし
優先度
符号なし整数
カスタム フィールド - 8
なし
Query_Response
文字列
カスタム フィールド - 9
なし
リファラー
文字列
カスタム フィールド - 10
なし
応答時間
カスタム
カスタム フィールド - 10
なし
• 秒
• 符号なし整数
• ミリ秒
• 符号なし整数
McAfee Enterprise Security Manager 9.5.1
製品ガイド
7
イベントの操作
カスタム タイプ フィルター
名前
データ型
イベント フィールド
フロー フィールド
RTMP_Application
文字列
カスタム フィールド - 9
なし
Session_Layer
文字列
なし
カスタム フィールド - 3
SNMP_Error_Code
文字列
カスタム フィールド - 10
なし
SNMP_Item
文字列
カスタム フィールド - 6
なし
SNMP_Item_Type
文字列
カスタム フィールド - 8
なし
SNMP_Operation
文字列
カスタム フィールド - 5
なし
SNMP_Version
文字列
カスタム フィールド - 9
なし
ソース ユーザー
文字列
カスタム フィールド - 7
Start_Page
符号なし整数
カスタム フィールド - 8
なし
Subject
文字列
カスタム フィールド - 10
なし
SWF_URL
文字列
カスタム フィールド - 5
なし
TC_URL
文字列
カスタム フィールド - 6
なし
To
文字列
カスタム フィールド - 6
なし
Transport_Layer
シグネチャ ID
なし
カスタム フィールド - 2
URL
文字列
カスタム フィールド - 8
なし
User_Agent
文字列
カスタム フィールド - 6
なし
User_Nickname
文字列
カスタム フィールド - 5
なし
バージョン
文字列
カスタム フィールド - 10
なし
時間カスタム タイプを追加する
時間データの保存を可能にするカスタム タイプを追加できます。
[時間 - 秒] - 時間データを秒単位で保存します。 [時間 - ナノ秒] - 時間データをナノ秒単位で保存します。 ナ
ノ秒を表す浮動小数点を使用できます。
このカスタム タイプを追加するときに [インデックス] を選択すると、クエリー、ビュー、フィルターでフィールドが
フィルターとして表示されます。 これは分布コンポーネントでは表示されません。データ エンリッチメント、ウォッ
チリスト、アラームでは使用できません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
イプ] 、 [追加] の順にクリックします。
をクリックし、[カスタム タ
[データ タイプ] フィールドで [時間 - 秒] または [時間 - ナノ秒] をクリックし、残りの情報を入力します。
[OK] をクリックします。
名前/値カスタム タイプ
名前/値カスタム タイプは、指定した名前/値のペアから構成されます。 これらのペアでビューとクエリをフィルタ
リングし、[内部イベントの比較] アラームで使用できます。
この機能の特徴は次のとおりです。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
299
7
イベントの操作
イベント時間を表示する
•
名前/値グループのフィールドは、正規表現でフィルタリングする必要があります。
•
これらは相関が可能で、[相関ルール エディター] で選択することができます。
•
ASP が収集するのはペアの値部分だけです。
•
このカスタム タイプの最大サイズは 512 文字で、この中には名前も含まれます。 512 文字を超える部分は収集
時に切り捨てられます。 McAfee では、名前のサイズと数を制限することをお勧めします。
•
名前は 3 文字以上にしてください。
•
名前/値カスタム タイプには、最大で 50 個までの名前を入れることができます。
•
名前/値グループの名前は、グローバル フィルターで <グループ名> - <名前> の形式で表示されます。
名前/値グループ カスタム タイプを追加する
名前/値ペアのグループを追加すると、ビューとクエリーのフィルタリングで使用できます。また、[内部イベントの
比較] アラームでも使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコン
をクリックします。
2
[カスタム タイプ] をクリックして [追加] をクリックします。
3
[データ タイプ] フィールドで、[名前/値グループ] をクリックして、残りの情報を入力します。[OK] をクリッ
クします。
イベント時間を表示する
Receiver のデータベースにイベントが挿入された正確な時間を表示します。
開始する前に
次の権限が必要です。
•
[データの表示]。イベント時間の取得と表示に必要です。
•
[ビュー管理]。ビューの作成に必要です。
•
[イベント管理]。イベントの変更に必要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、[デバイス時間] フィールドのあるイベント テーブル ビューを追加します。
a
300
[ビュー] ペインのツールバーで [新しいビューを作成] アイコン
をクリックします。
b
[ビューの編集ツールバー] で、[テーブル] コンポーネントをクリックし、ドラッグします。
c
[クエリー ウィザード] で [次へ] をクリックし、[フィールド] をクリックします。
d
左側のリストで [デバイス時間] をクリックし、右側のリストに移動します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
イベントの操作
イベント時間を表示する
7
e
[フィールド] ページで [OK] をクリックし、[完了] をクリックします。
f
[ビューの編集ツールバー] で [名前を付けて保存] をクリックし、ビューの名前を入力して [OK] をクリック
します。
g
[ビューの編集ツールバー] を閉じます。
ビューのドロップダウン リストにビューが追加されます。
2
いずれかの方法で [デバイス時間] を表示します。
イベントを Remedy に送信すると (『Remedy に電子メールを送信する』を参照)、そのデバイスのデバイス時間
が消失します。
•
追加したビューのイベント テーブルで [デバイス時間] 列を表示します。
•
テーブル下部のツールバーにある [データの詳細を表示] アイコン
ックして [デバイス時間] フィールドを表示します。
McAfee Enterprise Security Manager 9.5.1
をクリックし、[詳細情報] タブをクリ
製品ガイド
301
7
イベントの操作
イベント時間を表示する
302
McAfee Enterprise Security Manager 9.5.1
製品ガイド
8
ケースの管理
ESM ケース マネージャーを使用して、作業アイテムの割り当てと追跡を行ったり、ネットワーク イベントに関連す
るチケットをサポートすることができます。 この機能にアクセスするには、[ケース管理ユーザー] 特権が有効なグ
ループに属している必要があります。
ケースを追加するには、次の 5 つの方法があります。
•
[ケース管理] ビュー
•
アラーム設定時
•
イベントにはリンクせず、[ケース] ペイン上で
•
アラーム通知のトリガー時
•
イベントにリンクし、[イベント分析] ビューで
目次
ケースを追加する
イベントからケースを作成する
イベントを既存のケースに追加する
ケースを編集または閉じる
ケースの詳細の表示
ケースのステータス レベルを追加する
ケースを電子メールで送信する
すべてのケースの表示
ケース管理レポートを生成する
ケースを追加する
ネットワーク イベントの結果として生成されたタスクを追跡するには、まずケース管理システムにケースを追加しま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ケース] ペインで、[ケースを追加] アイコン
2
要求された情報を入力し、[OK] をクリックします。
をクリックします。
ケースが割り当てられているユーザーの [ケース] ペインに、ケースが追加されます。 [電子メールのケース] を選択
すると、電子メールも送信されます (「ケースを電子メールで送信する」を参照)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
303
8
ケースの管理
イベントからケースを作成する
イベントからケースを作成する
[イベント分析] ビューでイベントを追跡するには、ケースを作成します。 これにより、ワークフローの追跡が有効
になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
ビュー リストで、[イベント ビュー] 、 [イベント分析] の順に選択します。
イベントをクリックして、メニュー アイコン
順にクリックします。
をクリックします。 [アクション] 、 [新規ケースを作成] の
必要な情報を入力して [OK] をクリックし、ケースを保存します。
新しいケースに、[メッセージ] テーブルのイベント データが追加されます。
イベントを既存のケースに追加する
既存のケースに 1 つ以上のイベントを追加し、それらのイベントに応答して実行されるアクションを追跡します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ビュー ペインで、ビューのドロップダウン リストから [イベント ビュー] を選択し、[イベント分析] をクリッ
クします。
2
イベントを選択して、次のいずれかを実行します。
•
•
3
[イベントをケースまたは Remedy に割り当てる] アイコン
加] を選択します。
[メニュー] アイコン
クします。
をクリックして、[イベントをケースに追
をクリックして [アクション] を強調表示し、[イベントをケースに追加] をクリッ
ケースを選択して [追加] をクリックします。
[ケースの詳細] ページでは、[メッセージ] テーブルにイベント ID が表示されます。
4
[OK] をクリックし、[閉じる] をクリックします。
ケースを編集または閉じる
[ケース管理者] 特権がある場合は、システム上のすべてのケースを変更できます。[ケース管理ユーザー] 特権があ
る場合は、割り当てられているケースのみ変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
304
[ケースの詳細] には、以下のいずれかの方法でアクセスします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
8
ケースの管理
ケースの詳細の表示
ケースの種類
手順
割り当てられているケース
1 [ケース] ペインでケースを選択します。
2 [ケースを編集] アイコン
割り当てられていないケース
をクリックします。
1 [ケース] ペインで [ケース管理を開く] アイコン
をクリックします。
2 変更するケースを選択します。
3
ビューの下部にある [ケースを編集] アイコン
2
[ステータス] フィールドで、設定を編集するかケースを閉じます。
3
[OK] をクリックして変更を保存します。
をクリックします。
変更は、[ケースの詳細] ページの [メモ] セクションに記録されます。閉じたケースは [ケース] ペインに表示されな
くなりますが、[ケース管理] リストではステータスが [クローズ] に変更されて残ります。
ケースの詳細の表示
ESM で[管理者]権限がある場合、ESM でケースを表示し、アクションを実行できます。 グループ内のすべてのユー
ザーがグループ内のケースを表示できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ケース] ペインで、[オープンケースの管理] アイコン
をクリックします。
[ケース管理] ビューが開き、システム内のケースがすべて表示されます。
2
[メモ] タブと [ソース イベント] タブでデータを確認します。
3
詳細を表示するには、ケースをダブルクリックして [ケースの詳細] ページで情報を確認します。
ケースのステータス レベルを追加する
ケース マネージャーでは、[オープン]と[クローズ]の 2 つのステータス レベルが用意されています。 他のステータ
スを追加してケースに割り当てることもできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ケース] ペインで、[オープンケースの管理] アイコン
2
[ケース管理] ビューで、下のツールバーにある[ケース管理の設定] アイコン
クします。
3
ステータスの名前を入力し、そのステータスを新しいケースのデフォルトにするかどうかを選択します。
4
このステータスのケースを [ケース] ペインに表示するかどうかを選択して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
をクリックします。
をクリックし、[追加] をクリッ
製品ガイド
305
8
ケースの管理
ケースを電子メールで送信する
ケースを電子メールで送信する
ケースが割り当てられている個人またはグループに対して、ケースが追加または再割り当てされるたびに、電子メー
ルが自動的に送信されるように設定できます。
開始する前に
[ケース管理者]の権限が必要です。
また、ケースのメモやイベント詳細を含む、ケース通知の電子メールを手動で送信することもできます。
目的
手順
ケースの電子 1 [ケース] ペインで、[ケースの管理ウィンドウを開く] アイコン
メールを自動
的に送信
2 [ケース管理の設定] アイコン
をクリックします。
をクリックします。
3 [ケースの割り当て時に電子メールを送信します] を選択し、[閉じる] をクリックします。
ユーザーの電子メール アドレスは ESM にある必要があります (「ユーザーの設定」を参照)。
既存のケース 1
[ケース] ペインで、電子メールで送信するケースを選択し、[ケースを編集] アイコン
の電子メール
ックします。
を手動で送信
をクリ
2 [ケースの詳細] で [ケースを電子メールで送信] をクリックし、[送信者] および [送信先] フィー
ルドに入力します。
3 メモと、イベント詳細の CSV ファイルを添付するかどうかを選択します。
4 電子メール メッセージに含めるメモがあれば入力し、[送信] をクリックします。
すべてのケースの表示
ESM で [管理者] 特権がある場合、システムのすべてのケースを現在オープンであるか閉じているかにかかわらず、
表示、管理できます。
[ケース管理者] 特権がある場合、ステータスや組織を作成したり、電子メールの自動機能を設定できます。
306
McAfee Enterprise Security Manager 9.5.1
製品ガイド
8
ケースの管理
ケース管理レポートを生成する
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ケース] ペインで、[オープンケースの管理] アイコン
2
次のいずれかを行います。
操作
をクリックします。
実行するには...
ケースを追加する
ビューの下部にあるツールバーで、[ケースを追加] アイコン
ます。
をクリックし
選択したケースを表示また
は編集する
ビューの下部にあるツールバーで、[ケースを編集] アイコン
す。
をクリックしま
選択したケースを電子メー
ルで送信する
ビューの下部にあるツールバーで、[電子メールのケース] アイコン
クします。
ケースが追加または変更さ
れたときにケースを電子メ
ールで送信する
ビューの下部にあるツールバーで、[ケース管理の設定] アイコン
します。
ケースで使用可能なステー
タスを追加または編集する
[ケース管理の設定] アイコン
をクリックします。
をクリッ
をクリック
をクリックして、[追加]、[編集] または [削除]
選択したケースのメモ、履 [メモ]、[履歴] または [ソース イベント] をクリックします。 [ソース イベント]
歴、ソース イベントを表示 をクリックすると、[ソース イベントの詳細] タブが開きます。 タブが表示されな
する
い場合や、表示されているタブを非表示にする場合には、ビューの下部にあるツー
ルバーで [ソース イベントの詳細を表示する] アイコン
をクリックします。
[履歴] タブには、ユーザーがケースを表示した時間が記録されます。 同じユーザ
ーがケースを表示してから 5 分以内に行った表示操作は記録されません。
[ソース イベント] 列を変
更する
[ソース イベント] タブをクリックして、[[ソース イベント] タブで表示可能な列
を編集する] をクリックします。
ケースをフィルタリングす
る
[フィルター] ページで、ケースをフィルタリングする日付を選択または入力して、
[クエリーを実行] アイコン
をクリックします。 ケースのリストが変更さ
れ、フィルター条件に一致するケースだけが表示されます。
ケース管理レポートを生成する
ESM では 6 つのケース管理レポートを使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[システムのプロパティ] ページで、[レポート] 、 [追加] の順にクリックします。
2
セクション 1、2、3 に入力します。
3
セクション 4 で、[CSV をクエリー] を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
307
8
ケースの管理
ケース管理レポートを生成する
4
5
セクション 5 で、実行するケース管理レポートを選択します。
•
[ケース管理のサマリー] — ケース ID 番号、ケースに割り当てられている重大度、ケースのステータス、割
り当て先のユーザー、割り当てられている組織 (ある場合)、ケースが追加された日付と時刻、ケースが更新さ
れた日付と時刻、ケースのサマリーなどが含まれます。
•
[ケース管理の詳細] — [ケース管理のサマリー] レポート内のすべての情報と、ケースにリンクされているイ
ベントの ID 番号、ケースのメモ セクションにある情報が含まれます。
•
[ケースが解決するまでの時間] - ステータスが変更されるまでの時間を表示します (たとえば、[オープン
ン] のタイムスタンプから[終了] のタイムスタンプまでの時間)。 デフォルトでは、ステータスが [終了] の
ケースが [ケース ID] 番号別に表示されます。また、重大度、組織、[作成]美、前回の更新、サマリー、時差
ごとに表示することもできます。
•
[ケース (割り当て先別)] - ユーザーまたはグループに割り当てられたケースの数が表示されます。
•
[ケース (組織別)] - 組織ごとにケースの数が表示されます。
•
[ケース (ステータス別)] - ステータス タイプ別にケースの数が表示されます。
セクション 6 を完了します (『contain フィルターと regex フィルターの説明』を参照)。[保存] をクリック
します。
レポートが保存され、[レポート] リストに追加されます。
308
McAfee Enterprise Security Manager 9.5.1
製品ガイド
9
資産マネージャー の使用方法
[資産マネージャー] では、資産の検出、手動での作成、インポートを一元的に行うことができます。
[資産] タブで、1 つ以上の資産を含むグループを作成できます。 グループ全体で次の操作を実行できます。
•
グループのすべての資産の属性を変更します。
この変更は永続的ではありません。 変更したグループに資産を追加しても、前の設定は自動的に継承されません。
•
ドラッグ アンド ドロップ操作を使用します。
•
必要に応じてグループの名前を変更する。
資産グループを使用することで、資産のタグ付けではできない方法で資産を分類できます。 たとえば、キャンパスの
建物ごとに資産グループを作成する場合に使用できます。資産は、IP アドレスとタグのコレクションで構成されま
す。タグは、資産が実行しているオペレーティング システムと、資産が関与しているサービスのコレクションを記述
します。
資産のタグを定義するには、資産の取得時にシステムが定義する方法と、資産の追加または編集時にユーザーが定義
する方法の 2 つがあります。システムがタグを設定している場合、タグが変更されると、資産が取得されるたびに更
新されます。 ユーザーがタグを設定している場合、タグが変更されても、資産が取得されるたびには更新されませ
ん。 資産のタグを追加または編集して、資産が取得されるときにシステムで更新するには、[リセット] をクリック
します。 タグ設定を変更するたびにこの操作を行う必要があります。
設定管理は、PCI、HIPPA、SOX など、標準のコンプライアンス規制の一部になっています。ルーターやスイッチの
設定に対する変更を監視できるため、システムの脆弱性を低減させることができます。ESM の設定管理機能によっ
て、次のことが可能になります。
•
デバイスのポーリング間隔を設定します。
•
検出されたデバイスについて、設定を確認するデバイスを選択する。
•
取得した設定ファイルをデバイスのデフォルトとしてマークします。
•
設定データを表示し、データをファイルにダウンロードし、2 つのデバイスの設定情報を比較する。
目次
資産を管理
設定管理の設定
ネットワーク検出
資産ソース
脆弱性評価ソースの管理
ゾーン管理
資産、脅威、リスク評価
既知の脅威を管理する
McAfee Enterprise Security Manager 9.5.1
製品ガイド
309
9
資産マネージャー の使用方法
資産を管理
資産を管理
資産とは、ネットワーク上で IP アドレスを持つデバイスです。
[資産マネージャー] の [資産] タブでは、資産を作成し、タグを変更し、資産グループを作成し、資産ソースを追加
し、資産グループに資産を割り当てることができます。いずれかの脆弱性評価ベンダーから得られた資産を操作する
こともできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[資産マネージャー] のクイック起動アイコン
をクリックします。
2
[資産] タブが選択されていることを確認します。
3
必要に応じて資産を管理し、[OK] をクリックします。
タスク
•
310 ページの「古い資産を定義」
[資産マネージャー] の [古い資産] グループには、定義した時間に検出されていない資産を入れることが
できます。
古い資産を定義
[資産マネージャー] の [古い資産] グループには、定義した時間に検出されていない資産を入れることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[資産マネージャー] のクイック起動アイコン
をクリックします。
2
[資産] タブの資産のリストで、[古い資産] グループをダブルクリックします。
3
資産が最後に検出されてから [古い資産] フォルダーに移動されるまでの日数を選択し、[OK] をクリックします。
設定管理の設定
設定管理では、CLI プロファイルを使用して検出された、デバイスの設定ファイルが取得されます。ネットワーク検
出プロセスが完了したら、設定管理を設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[資産マネージャー] のクイック起動アイコン
をクリックし、[設定管理] タブを選択します。
いずれかの使用可能なアクションを実行し、[OK] をクリックします。
タスク
•
310
311 ページの「取得された設定ファイルを管理」
ルーターやスイッチの設定を確認したときに取得されたファイルを管理するには、いくつかの方法があ
ります。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
資産マネージャー の使用方法
ネットワーク検出
9
取得された設定ファイルを管理
ルーターやスイッチの設定を確認したときに取得されたファイルを管理するには、いくつかの方法があります。
開始する前に
設定ファイルを取得します(『設定管理を設定』を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[資産マネージャー] のクイック起動アイコン
をクリックし、[設定管理] タブを選択します。
このページの [取得された設定ファイル] セクションで、いずれかの使用可能なアクションを実行します。
ネットワーク検出
[ネットワーク検出] は、ネットワーク上でイベントが発生した物理的な場所を示して、イベントを追跡する機能を向
上させます。
[ネットワーク検出] は、ネットワークに関する広範な知識を持った上級ユーザー向けの機能であり、特権が割り当て
られている場合にのみ実行できます。[ネットワーク検出] を作成および表示し、[ネットワーク ポート制御] でスイ
ッチ設定を変更するには、特権が有効になっている必要があります。
SNMPv3、Telnet、または SSH からの [ネットワーク検出] は、FIPS に対応していません。FIPS 規制に準拠する必
要がある場合は、これらの機能は使用しないでください。
ネットワークを検出
ネットワークをマッピングする最初のステップは、ネットワークを検出することです。スキャンを開始する前にパラ
メーターを設定する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブを選択します。
2
[ネットワーク設定を構成] ページで [設定] をクリックしてから [追加] をクリックし、この検出のパラメーター
を追加します。
3
[ネットワーク検出パラメーター] の設定を完了します。
4
[OK] をクリックします。定義したパラメーターが [ネットワーク設定を構成] リストに追加されます。
5
必要に応じてその他のアクションを実行します。
6
[ネットワークを検出] をクリックして、スキャンを開始します。検出を停止する必要がある場合は [検出を停止]
をクリックします。
ページの [ネットワーク デバイス] セクションに、スキャンで取得したデータが入力されます。
7
[OK] をクリックします。
IP 除外リストの管理
ネットワーク検出検索から除外する IP アドレスを [IP 除外リスト] に追加できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
311
9
資産マネージャー の使用方法
ネットワーク検出
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Asset Manager] クイック起動アイコンをクリックし、[ネットワーク検出] タブを選択します。
2
[IP 除外リスト] をクリックします。
3
新しいアドレスを追加するか、既存のアドレスを編集または削除します。
4
[OK] をクリックして変更内容を保存します。
エンドポイントを検出
ネットワークを設定したり、IP アドレスを除外リストに追加したり、ネットワークを検出するときは、デバイスに接
続されているエンドポイントを検出する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブを選択します。
[エンドポイント検出] をクリックして、今すぐスキャンを開始します。
スキャンの結果とステータスは、ページの [エンドポイント デバイス] セクションにリストされます。
3
エンドポイントの自動検出をスケジュールするには、[自動検出間隔] を選択して、頻度を選択します。
ネットワーク マップの表示
デバイスを任意の場所へ配置するための、ネットワークのグラフィック表示を生成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[Asset Manager] クイック起動アイコン
をクリックし、[ネットワーク検出] タブをクリックします。
[ネットワーク マップ] をクリックします。
ネットワークのグラフィック表示が開きます。
3
複数のデバイスを動かすか、1 つのデバイスにマウスをロールすると、そのプロパティが表示されます。
ネットワーク検出の動作を変更する
[ネットワーク検出] で、デフォルトの ping、エンド ステーションの数、同時デバイスの設定を変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
312
ESM コンソールで、[資産マネージャー] クイック起動アイコン
をクリックします。
2
[ネットワーク検出] タブで、[設定]、[詳細設定] の順にクリックします。
3
必要に応じて設定を変更し、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
資産マネージャー の使用方法
資産ソース
9
資産ソース
データは、[Active Directory](使用可能な場合)から、または Altiris サーバーから [資産ソース] を使用して取得
できます。
[Active Directory] では、[ソース ユーザー] または [宛先ユーザー] ビューのクエリー フィルター フィールドで、
取得したユーザーまたはグループを選択することで、イベント データをフィルタリングできます。その機能を活用す
ると、PCI などの要件に応じたコンプライアンス データを効果的に提供できるようになります。Altiris と [Active
Directory] では、コンピューターと IP アドレスなどの資産を取得して、資産テーブルに追加することができます。
Altiris で資産を取得するには、Altiris Management Console での [資産マネージャー] 特権が必要です。
[Active Directory] には、通常の場合 IP アドレス情報は格納されていません。[Active Directory] から名前を取得
すると、システムでは DNS を使用してアドレスのクエリーが実行されます。コンピューターのアドレスが見つから
ない場合は、[資産] テーブルには追加されません。そのため、システム上の DNS サーバーでは、[Active Directory]
コンピューターの DNS 情報を格納する必要があります。
[Active Directory] には IP アドレスを追加できます。追加する場合は、コンピューター オブジェクトの
networkAddress 属性を変更して、システムで DNS のクエリーを行わずにそれらの IP アドレスが使用されるよう
にします。
資産ソースを管理
Active Directory または Altiris サーバーからデータを取得します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[資産マネージャー] のクイック起動アイコン
をクリックし、[資産ソース] タブをクリックします。
[資産ソース] ツリーに、システムの ESM と Receiver、および現在の資産ソースが表示されます。
ESM は 1 つの資産ソース、Receiver は複数の資産ソースを持つことができます。
2
デバイスを選択し、いずれかの使用可能なアクションを選択します。
脆弱性評価ソースの管理
[Vulnerability Assessment] を使用してさまざまな VA ベンダーからデータを取得できます。目的の VA ソースと
通信するには、ソースをシステムに追加する必要があります。ソースをシステムに追加すると、VA データを取得で
きます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Asset Manager] クイック起動アイコン
します。
をクリックして、[Vulnerability Assessment] タブをクリック
2
VA ソースの追加、編集、削除または取得を行い、デバイスに書き込みます。
3
[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
313
9
資産マネージャー の使用方法
ゾーン管理
ゾーン管理
ゾーンを使用して、ネットワーク上のデバイスとデータ ソースを分類できます。
この機能では、生成されるデバイスとイベントを、地理的な位置と IP アドレス別に関連グループに編成できます。
たとえば、東海岸と西海岸にオフィスがあり、各オフィスで生成されるイベントを合わせて 1 つのグループにするに
は、2 つのゾーンを追加して、グループ化が必要なイベントが含まれるデバイスをそれぞれのゾーンに割り当てます。
各オフィスのイベントを特定の IP アドレス別にグループ化するには、各ゾーンにサブゾーンを追加します。
ゾーンの管理
ゾーンを使用して、デバイスとデータ ソースを位置情報または ASN で効果的に分類できます。個別または別のマシ
ンからエクスポートしたファイルをインポートしてゾーンを追加し、デバイスまたはデータ ソースをゾーンに割り当
てる必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] を選択します。
2
ゾーンまたはサブゾーンの追加、既存のゾーンの編集または削除、ゾーン設定のインポートまたはエクスポート
を実行します。
3
変更をロールアウトして、[OK] をクリックします。
ゾーンの追加
ゾーン管理の最初の手順は、デバイスとデータ ソースの分類に使用するゾーンを追加することです。ゾーンは [ゾー
ンを追加] 機能を使用して個々に追加するか、別のシステムからエクスポートされたファイルをインポートできます。
ゾーンを追加する際、必要に応じて設定を編集できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] をクリックします。
必要な情報を入力してデバイスをゾーンに割り当てて、[OK] をクリックします。
ゾーン設定のエクスポート
別の ESM にインポートできるように ESM からゾーン設定をエクスポートできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
314
[Asset Manager] アイコン
をクリックして、[ゾーン管理] をクリックします。
2
[エクスポート] をクリックして、エクスポートするファイルのタイプを選択します。
3
[OK] をクリックして、ダウンロードするファイルを選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
資産マネージャー の使用方法
ゾーン管理
9
ゾーン設定のインポート
インポート機能では、ゾーン ファイルをそのままインポートするか、インポート前にデータを編集できます。
開始する前に
ESM にインポートできるように別の ESM からゾーン設定のファイルをエクスポートします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
インポートするゾーン設定ファイルを開きます。
•
インポートゾーン定義ファイルの場合、Command、Zone Name、Parent Name、Geo Location、ASN、
Default、IPStart、IPSto の 8 列が含まれます。
•
デバイスのゾーン割り当てへのインポートファイルの場合、Command、Device Name、Zone Name の 3
列が含まれます。
[Command] 列にコマンドを入力して、インポート時に行ごとに実行されるアクションを指定します。
•
add - 行のデータをそのままインポートします。
•
edit - (ゾーン定義ファイルのみ) データを変更してインポートします。
サブゾーンの範囲を変更するには、既存の範囲を削除してから変更後の範囲を追加する必要があります。 直接
編集することはできません。
•
3
4
remove - この行に一致するゾーンを ESM から削除します。
変更内容を保存して、ファイルを閉じます。
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] タブをクリックします。
5
[インポート] をクリックして、インポートのタイプを選択します。
6
[OK] をクリックして、インポートされるファイルを検索して [アップロード] をクリックします。
ファイルでエラーが検出された場合は通知されます。
7
エラーがある場合は、ファイルに必要な修正を加えて再試行します。
8
変更をロールアウトしてデバイスを更新します。
サブゾーンの追加
ゾーンを追加した後、IP アドレス別にデバイスとイベントをさらに分類できするサブゾーンを追加できます。
開始する前に
[ゾーン管理] タブでゾーンを追加します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
315
9
資産マネージャー の使用方法
資産、脅威、リスク評価
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[Asset Manager] クイック起動アイコン
をクリックして、[ゾーン管理] タブをクリックします。
2
ゾーンを選択して、[サブゾーンを追加] をクリックします。
3
要求された情報を入力し、[OK] をクリックします。
資産、脅威、リスク評価
McAfee Threat Intelligence Services (MTIS) とシステムの脆弱性評価ソースにより、既知の脅威のリストが生成
されます。 この脅威の重大度と資産の重大度から企業のリスク レベルが計算されます。
資産マネージャー
[資産マネージャー] に資産を追加するときに (『資産を管理する』を参照)、重大度を割り当てます。 この設定は、
組織に対する資産の重要度を表します。 たとえば、企業を 1 台のコンピューターで管理し、バックアップが存在し
ない場合、この資産の重大度は高くなります。 企業を 2 台のコンピューターで管理し、それぞれにバックアップが
存在する場合、重大度は相対的に低くなります。
[資産] タブの [編集] メニューを使用すると、資産のリスク計算で資産を有効または無効にすることができます。
脅威管理
[資産マネージャー] の [脅威管理] タブには、既知の脅威のリスト、重大度、ベンダー、リスク計算の対象かどうか
が表示されます。 特定の脅威を有効または無効にしてリスク計算を行うことができます。 リストで脅威の詳細を確
認することもできます。 この詳細には、脅威に対する推奨アクションと対策も確認できます。
事前定義のビュー
3 つのビューが事前に定義されています (『ESM ビューの操作』)。これらのビューには、資産、脅威、リスクに関
するサマリーが表示されます。
•
[資産脅威サマリー] - リスク スコアと脅威レベルが高い資産が表示されます。また、リスク別に脅威レベルが
表示されます。
•
[最近の脅威サマリー] - 最近発生した脅威がベンダー、リスク、資産、使用可能な保護製品別に表示されます。
•
[脆弱性サマリー] - 脆弱性が脅威と資産別に表示されます。
このビューの各項目の詳細を表示するには、コンポーネントのメニューを使用します。
カスタム ビュー
カスタム ビューをセットアップするオプションが [クエリー ウィザード] に追加されました (『カスタム ビュー』を
参照)。このオプションを使用すると、必要なデータを表示できます。
316
•
[ダイヤル制御] と [カウント] を使用すると、企業の平均的なリスク スコアと企業全体のリスク スコアを確認で
きます。
•
[円グラフ]、[棒グラフ]、[線グラフ] を使用すると、危険な資産、製品の脅威対策、脅威を表示できます。また、
脅威をリスク別またはベンダー別に表示することもできます。
•
[テーブル] を使用すると、資産と最近の脅威を確認できます。リスク スコア以上の資産と脅威も確認できます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
資産マネージャー の使用方法
既知の脅威を管理する
9
既知の脅威を管理する
リスク計算で使用する既知の脅威を選択します。
各脅威には重大度が設定されています。 この評価と資産の重大度を使用して、システム全体に対する脅威の重大度を
計算します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、[資産マネージャー] クイック起動アイコン
2
[脅威管理] タブをクリックして、既知の脅威の一覧を表示します。
3
既知の脅威を選択して、次のいずれかを実行します。
4
をクリックします。
•
[脅威の詳細] をクリックして、脅威に関する詳細を表示します。
•
[リスクの計算] 列が [はい] になっている脅威をリスク計算に使用しない場合には、[無効] をクリックしま
す。
•
[リスクの計算] 列が [いいえ] になっている脅威をリスク計算に使用する場合には、[有効] をクリックしま
す。
[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
317
9
資産マネージャー の使用方法
既知の脅威を管理する
318
McAfee Enterprise Security Manager 9.5.1
製品ガイド
10
ポリシーとルールの管理
ポリシー テンプレートとルールを作成、適用、表示します。
目次
ポリシー エディター について
ポリシー ツリー
ルール タイプとプロパティ
デフォルトのポリシー設定
ルールの操作
ルールまたは資産へのタグの割り当て
集計設定を変更
ダウンロードしたルールの上書きアクション
重大度の加重
ポリシーの変更履歴の表示
ポリシー変更の適用
優先トラフィックの管理
ポリシー エディター について
[ポリシー エディター] では、ポリシー テンプレートを作成したり、個々のポリシーをカスタマイズすることができ
ます。
ポリシー テンプレートでは、デバイスのポリシー設定と同様に、親から値を継承できます。 継承により、デバイス
に適用されるポリシー設定は、一定レベルの簡潔さと使いやすさを維持しながら多様な設定が可能になります。 追加
される各ポリシーは、すべてのデバイスとともに、[ポリシー ツリー] にエントリーがあります。
FIPS モードで操作する場合は、ルール サーバーを介してルールを更新しないでください。代わりに、ルールは手動で
更新してください(『ルールの更新の確認』 を参照)。
McAfee ルール サーバーは、すべてのルール、変数、プリプロセッサーを事前定義の値または用途と一緒に維持して
います。 [デフォルト ポリシー] は、McAfee が維持するこれらの設定からその値と設定を継承し、その他すべての
ポリシーの先祖となります。その他すべてのポリシーとデバイスの設定は、デフォルトで [デフォルト ポリシー] か
ら値を継承します。
エディターを開くには、[ポリシー エディター] のアイコンをクリックするか、ナビゲーション ツリーのシステム ノ
ードまたはデバイス ノードを選択して、アクション ツールバーの [ポリシー エディター] アイコン
します。
McAfee Enterprise Security Manager 9.5.1
をクリック
製品ガイド
319
10
ポリシーとルールの管理
ポリシー ツリー
1
メニュー バー
4
ルールの表示
2
パンくずナビゲーション ペイン
5
タグ検索フィールド
3
ルール タイプ ペイン
6
フィルター/タグ付けペイン
[ルール タイプ] ペインにリストされているルールのタイプは、システム ナビゲーション ツリーで選択したデバイス
のタイプに応じて異なります。パンくずナビゲーション ペインには、選択したポリシーの階層が表示されます。 現
在のポリシーを変更するには、パンくずナビゲーション ペインでポリシー名をクリックするか、ポリシーの子を表示
しているパンくずナビゲーション ペインで矢印をクリックします。 あるいは、[ポリシー ツリー] アイコン
クリックします。 [ポリシー ツリー] のメニューには、ポリシーに対して実行できる操作がリストされます。
を
[ルール タイプ] ペインでタイプを選択すると、そのタイプのすべてのルールがルールの表示セクションにリストさ
れます。 各ルールで調整できる特定のルール パラメーターが列にリストされます([変数] と [プリプロセッサ] を
除く)。現在の設定をクリックし、ドロップダウン リストから新しい設定を選択することで、設定を変更できます。
[フィルター/タグ付け] ペインでは、[ポリシー エディター] に表示されたルールをフィルターして、条件を満たすル
ールのみを表示したり、機能を定義するルールにタグを付けることができます。
ポリシー ツリー
[ポリシー ツリー] には、システム上のポリシーとデバイスがリストされます。
[ポリシー ツリー] では次のことを実行できます。
320
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ポリシー ツリー
•
特定のポリシーまたはデバイスに移動して詳細を
表示する
•
ポリシーまたはデバイスを名前で検索する
•
システムにポリシーを追加する
•
ポリシーの名前変更、削除、コピー、コピーおよ
び置換、インポート、エクスポートを行う
•
ポリシーまたはデバイスの順序を変更する
アイコン
10
説明
ポリシー
デバイスが同期されていない
デバイスがステージングされている
デバイスが最新である
仮想デバイスが同期されていない
仮想デバイスがステージングされている
仮想デバイスが最新である
データ ソースが同期されていない
データ ソースがステージングされている
データ ソースが最新である
ADM が同期されていない
DEM が同期されていない
ポリシー ツリー でポリシーを管理する
[ポリシー ツリー] でアクションを実行して、システムのポリシーを管理します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールで [ポリシー エディター] アイコン
リックします。
をクリックし、[ポリシー ツリー] アイコン
をク
次のいずれかを行います。
目的
手順
ポリシーのル
ールを表示す
る
• ポリシーをダブルクリックします。ルールが、[ポリシー エディター] のルール表示セクショ
ンに表示されます。
ポリシーを別
のポリシーの
子にする
• 子を選択し、親にドラッグ アンド ドロップします。
ポリシーまた
はデバイスを
検索する
• 検索フィールドに名前を入力します。
ポリシーにドラッグ アンド ドロップできるのはデバイスだけです。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
321
10
ポリシーとルールの管理
ポリシー ツリー
目的
手順
新しいポリシ
ーを追加
1 新しいポリシーwp追加するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコン
をクリックします。
2 [新規] をクリックし、ポリシーの名前を入力して、[OK] をクリックします。
ポリシーの名
前を変更
1 名前を変更するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックし
ます。
2 [名前を変更] をクリックし、新しい名前を入力して、[OK] をクリックします。
ポリシーを削
除
ポリシーをコ
ピー
デバイスをポ
リシーに移動
する
1 削除するポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックします。
2 [削除] をクリックし、確認ページで [OK] をクリックします。
1 コピーするポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックします。
2 [コピー] をクリックして新しいポリシーの名前を入力し、[OK] をクリックします。
1
移動するデバイスを選択して、[ポリシー ツリーのメニュー アイテム] アイコン
ックします。
をクリ
2 [移動] を強調表示して、デバイスを移動するポリシーを選択します。
ポリシーをコ
ピーしてび置
換する
1 コピーするポリシーを選択し、[ポリシー ツリーのメニュー項目] アイコンをクリックして、
[コピーおよび置換] を選択します。
2 [ポリシーを選択] で、置換するポリシーを選択します。
3 [OK] をクリックし、[はい] をクリックします。
コピーしたポリシーの設定が置換後のポリシーに適用されますが、名前は変更されません。
ポリシーをイ
ンポートする
インポートは、現在選択しているデバイスを基点にして行われます。
1 新しいポリシーをインポートするツリーでレベルを選択し、[ポリシー ツリーのメニュー項
目] アイコンをクリックして、[インポート] を選択します。
2 インポートするファイルを選択してアップロードします。
エラー メッセージが表示された場合、
『ポリシー インポート時のトラブルシューティング』で
解決策を確認してください。
3 使用するインポート オプションを選択し、[OK] をクリックします。
ポリシーをエ
クスポートす
る
1 エクスポートするポリシーを選択します。
エクスポートには、階層内で選択したノード以上が含まれます。カスタム設定またはカスタム
ルールが設定されている標準ルールだけがエクスポートされるため、[エクスポート] オプシ
ョンを有効にするには、これらのうち 1 つ以上を選択する必要があります。
2 [メニュー] をクリックし、[エクスポート] を選択します。
3 使用するエクスポート オプションを選択して [OK] をクリックし、エクスポートされたポリ
シー ファイルを保存する場所を選択します。
3
322
[ポリシー ツリー] を閉じるには、ポリシーまたはデバイスをダブルクリックするか、[閉じる] アイコン
リックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
をク
ポリシーとルールの管理
ルール タイプとプロパティ
10
ルール タイプとプロパティ
[ポリシー エディター] ページの [ルール タイプ] ペインでは、すべてのルールにタイプ別にアクセスできます。
一度ルールを選択すると、そのルールのインポート、エクスポート、追加、編集、およびルールに対する各種操作を
実行できます。実行できる機能は、ルールのタイプにより制限されます。
すべてのルールは、各ルールがその親から使用率を継承する階層システムに基づきます。ルール([変数] ルールと
[プリプロセッサ] ルール)は、使用率を継承する場所を示すアイコンでマークされ、継承チェーンが現在行より下で
無効化された場合はアイコンの右下隅にドットが表示されます。
アイ
コン
説明
このアイテムの使用率は親の設定によって決定されることを示します。ほとんどのルールはデフォルトで
継承するように設定されますが、使用率は変更できます。
継承チェーンがこのレベルで無効化され、継承値がオフにされたことを示します。
現在のルール使用率は、継承チェーンが無効化された場合に使用されます。
継承チェーンがこのレベルで無効化されたことを示します。このポイントより下のアイテムは、チェーンを
さらに継承することはありません。この設定は、ルールにデフォルトを使用させる場合に有用です。
カスタム値を示します。デフォルト以外の値に設定します。
プロパティ
ルール タイプを選択すると、ルール表示ペインには、システムおよびルールのプロパティ設定にそのタイプのすべて
のルールが表示されます。これらのプロパティには、[アクション]、[重大度]、[ブラックリスト]、[集計]、[パケッ
トをコピー] を含めることができます。
プロパテ
ィ
使用可能な処理
[アクショ
ン]
このルールが実行するアクションを設定します。使用可能なオプションは、ルール タイプによって異
なります。
ブラックリストのアイテムは宛先に移動できません。[ブラックリスト] 列で [通過] が選択されている
場合は、自動的に [アラート] に変更されます。
[重大度]
ルールがトリガーされる際のルール部分の重大度を選択します。重大度は 1 から 100 までで、100 が
最も重大です。
[ブラック
リスト]
ルールがデバイスでトリガーされる際にル-ルごとのブラックリスト エントリを自動作成します。ブ
ラックリストに IP アドレスのみ登録するか、IP アドレスとポートを登録するかを選択できます。
[集計]
ルールがトリガーされる際に作成されるイベントにルール集計ごとに設定します。[イベント集計] ペ
ージで定義する集計設定(『集計イベントまたはフロー』を参照)は、ポリシー エディターで設定する
ルールにのみ適用されます。
[パケット
をコピー]
パケット データを ESM にコピーします。通信切断時に有用です。パケット データのコピーがある
と、コピーを取得して情報にアクセスできます。
これらの設定を変更するには、現在の設定をクリックして別の設定を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
323
10
ポリシーとルールの管理
ルール タイプとプロパティ
変数
変数 は、ユーザーまたはサイト固有の情報のグローバル設定またはプレースホルダーです。多くのルールで変数を使
用します。
変数を追加または変更するには、Snort 形式について幅広い知識を習得することをお勧めします。
変数は、デバイスごとに異なる方法でルールを動作させるのに使用されます。ESM には数多くの変数が事前設定さ
れていますが、カスタム変数を追加する機能も提供されています。ルールを追加すると、これらの変数は選択するフ
ィールド タイプのドロップダウン リストのオプションとして、[新しい変数] ページの [タイプ] フィールドに表示
されます。
各変数にはデフォルト値がありますが、各デバイスの特定の環境に合わせて値を設定することをお勧めします。変数
名を入力する際、空白は許可されません、空白が必要な場合は、アンダースコア(_)文字を使用します。デバイス
の有効性を最大化するには、特定のデバイスにより保護されるホーム ネットワークに HOME_NET 変数を設定する
ことが特に重要です。
次の表は、共通変数とそのデフォルト値のリストを示しています。
変数名
説明
デフォルト
EXTERNAL_NET
保護されているネットワーク外のすべてのユーザ !$HOME_NET
ー
ポート 80
HOME_NET
ローカルの保護されたネットワーク アドレス空
間(10.0.0.0/80)
HOME_NET と同じ
HTTP_PORTS
Web サーバー ポート:(80、または 80 ~ 90 の 80
範囲の場合は 80:90)
HTTP_SERVE RS
Web サーバーのアドレス: 192.168.15.4 また
は [192.168.15.4,172.16.61.5]
任意
$HOME_NET
デフォルトの説明
HTTP_PORTS を除
くすべてのポート
HOME_NET と同じ
SHELLCODE_PORTS Web サーバー ポート以外のすべて
!$HTTP_PORTS HOME_NET と同じ
SMTP
メール サーバー アドレス
$HOME_NET
HOME_NET と同じ
SMTP_SERVERS
メール サーバー アドレス
$HOME_NET
HOME_NET と同じ
SQL_SERVERS
SQL DB サーバーのアドレス
$HOME_NET
HOME_NET と同じ
TELNET_SERVERS
telnet サーバーのアドレス
$HOME_NET
HOME_NET と同じ
システムに用意されている変数は変更できます。カスタム変数を追加、変更、削除できます。
カスタム変数にタイプを割り当てることができます。変数タイプは、レポートのルールをフィルタリングする際に使
用され、ルールを追加または変更する際に使用できる変数が含まれるフィールドを決定します。変数タイプはその特
性上グローバルであり、行った変更は、すべてのポリシー レベルに反映されます。
変数の管理
[ポリシー エディター] で変数ルール タイプを選択する場合、いくつかの方法でカスタムと定義済みの両方の変数を
管理できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
324
1
[ポリシー エディター] アイコンをクリックします。
2
[ルール タイプ] ペインで、[変数] を選択します。
3
次のいずれかを行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
処理
操作
新しいカテ
ゴリを追加
する
1 [新規] 、 [カテゴリ] を選択します。
カスタム変
数を追加す
る
1 ルール表示ペインで、カテゴリを選択して [新規] をクリックします。
10
2 新しいカテゴリの名前を入力して、[OK] をクリックします。
2 [変数] を選択して、必要な設定を定義します。
3 [OK] をクリックします。
変数を変更
する
1 ルール表示ペインで、変更する変数を選択します。
2 [編集] を選択して、[変更] をクリックします。
3 値または説明を変更して、[OK] をクリックします。
カスタム変
数を削除す
る
1 ルール表示ペインで、削除する変数を選択します。
変数をイン
ポートする
1 [ファイル]を選択して、[インポート] 、 [変数] をクリックします。
2 [編集] を選択して、[削除] をクリックします。
2 [インポート] をクリックしてから、ファイルを参照してアップロードします。
インポート ファイルは、VariableName;VariableValue; CategoryName(オプション);
Description(オプション)の形式で情報が含まれる .txt ファイルである必要があります。1 つ
のフィールドがない場合は、プレース ホルダーとしてセミコロンを所定の位置に残す必要があ
ります。
カスタム変
数のタイプ
を変更しま
す。
1 カスタム変数を選択します。
2 [編集] をクリックして、[変更] を選択します。
3 変数タイプを変更します。
変数タイプが [タイプが選択されていません] 以外に設定されコミットされている場合は、値を
変更できません。
4 [OK] をクリックして変更を保存します。
TCP プロトコル異常とセッション ハイジャックの検出
Stream5 プリプロセッサ変数を使用して、TCP プロトコル異常の検出とアラートの生成、TCP セッションのハイジ
ャックのチェックを実行できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、[変数] をクリックします。
3
ルール表示ペインで、[プリプロセッサ] をクリックして [STREAM5_TCP_PARAMS] を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
325
10
ポリシーとルールの管理
ルール タイプとプロパティ
4
[変数を変更] ページで、[値] フィールドに次の 1 つを追加します。
•
TCP プロトコル異常を検出してアラートを生成するには、[最初のポリシー] の後ろに detect_anomalies
を追加します。
•
TCP セッション ハイジャックをチェックするには、[最初のポリシー] の後ろに detect_anomalies
check_session_hijacking を追加します。
プリプロセッサ ルール
プリプロセッサは、McAfee Nitro IPS および IDS でのアノーマリ検出やパケット検査を一元管理する方法を提供し
ます。
プリプロセッサは、多数のルールの正確な検出に不可欠です。ネットワーク構成に適用されるプリプロセッサを使用
します。プリプロセッサのパラメーターは、[ポリシー エディター] の [変数] ルール タイプで各プリプロセッサの
変数を編集することにより変更できます。
タイプ
説明
[RPC 正規化]
RPC プロトコル固有のトラフィックを検出のみを目的とした一定の方法に正規化します。この
プリプロセッサは、RPC フラグメント関連の攻撃が Nitro IPS をバイパスするのを防ぎます。
[ポートスキャ
ン検出]
ネットワークの信頼された側のデバイスでポートスキャンを検出した場合に、イベントを生成し
ます。
HOME_NET 変数を正しく設定したら、SFPORTSCAN_PARMS(変数 | プリプロセッサ)を次
のように変更します。
proto { all } scan_type { all } sense_level { medium } ignore_scanners
これは、Nitro IPS がポート スキャンであると認識したものを HOME_NET から削除する
sfportscan 変数に追加されます。ネットワーク アドレス変換 (NAT) を行うルーターまたはフ
ァイアウォール付近に Nitro IPS または IDS を配置するネットワークは、Nitro IPS にポートス
キャンしているように見えます。変数を変えることで、False positive イベントのように見える
ものが減少します。
ignore_scanners を正常に動作させるには、HOME_NET を “any” に設定できません。
326
[ZipZap]
Web (HTTP)コンテンツを提供する際、多くの Web サーバーは Web ブラウザからのリクエ
ストを受け入れ、送信前に Web コンテンツを圧縮できることを示します。これによってネット
ワーク帯域幅が節減されますが、デバイスは圧縮された Web ページを分析できません。ZipZap
プリプロセッサにより、Web サーバーはこのデータを未加工の圧縮していない分析可能な形式で
戻します。このプリプロセッサを有効にすると、Web トラフィックによって使用される帯域幅の
量が多くなります。
[ターゲットベ
ース IP デフラ
グ]
単にプロトコルをモデル化してその中で攻撃を探すのではなく、ネットワーク上で実際のターゲ
ットをモデル化します。この機能は内部的なデータ処理に sfxhash データ構造とリンクされた
リストを使用し、どのような環境でも予測可能で確定的なパフォーマンスを提供できるようにし
ます。著しくフラグメント化された環境を管理するときに役立ちます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
タイプ
説明
[Web リクエス
ト正規化]
Web リクエストを検出専用として一定の方法に正規化します。これは常時有効ですが、変更は不
可です。Web リクエスト正規化プリプロセッサには 2 種類あります。1 つはバージョン 8.2.x
まで、もう 1 つはバージョン 8.3.0 以降に使用します。
このプリプロセッサは次のような攻撃を検出します。
• Web ディレクトリ横断型攻撃(http://something.com/./attack.cmd)
• 二重エンコード文字列 (http://something.com/
%25%32%35%25%33%32%25%33%30attack.cmd)
• ユニコード正規化
• Web リクエスト URI 内の無効な文字
[ターゲットベ
ース TCP 再構
成および
TCP/UDP セッ
ション追跡]
追跡セッション Stream5 プリプロセッサなので、'flow' と 'flowbits' キーワードのルールを
TCP および UDP のトラフィックで使用できます。
プリプロセッサ ルールの管理
各プリプロセッサのオンオフを切り替え、継承を設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [プリプロセッサ]をクリックします。
2
アクティブ ルールの [継承]、[On]、または [Off] を選択します。
ファイアウォール ルール
ファイアウォール ルールは、プロトコル、ポート、Nitro IPS の IP アドレスなどのパケット情報に基づいてネット
ワーク イベントを検出するために使用されます。
ファイアウォール ポリシーは受信パケットをスキャンし、パケットが詳細なパケット検査エンジンに渡される前に、
特定された初期情報に基づいて判断を行います。ファイアウォール ルールは、スプーフィングされた IP アドレスや
無効な IP アドレスなどをブロックします。またネットワーク トラフィックのレートとサイズも追跡します。
ファイアウォール ルールには次のタイプがあります。
•
[アノーマリ] — アノーマリを検出します。多くのアノーマリ ベースのルールは相互に関係があり、[変数] タブ
で設定された値と合わせて使用されます。たとえば、[Long Connection Duration] ルールと [Long Duration
Seconds] 変数は、ルールがトリガーされるまでの秒数を決定するために使用されます。各ルールの詳細につい
ては、ページの下部にある詳細セクションを参照してください。
•
[アンチスプーフィング] — 無効な IP アドレスを検出します。たとえば、予約された内部 IP アドレスがデバイ
スを通じてネットワークに入ったことが確認されると、アンチスプーフィング ルールがトリガーされます。
•
[ブラックリスト] — ブラックリスト対象になった IP アドレスまたはポートに対して送受信されたパケットに対
して実行するアクションが決定されます。
•
[DHCP] — デバイスを通じた DHCP トラフィックを許可する機能のオンとオフを切り替えます。
•
[IPv6] — IPv6 トラフィックを検出します。
•
[ポート ブロック] — 特定のポートをブロックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
327
10
ポリシーとルールの管理
ルール タイプとプロパティ
アノーマリ検出
一部のファイアウォール ルールはレート ベースです。レート ベースのルールは、[ポリシー エディター] でファイ
アウォール カテゴリ変数によって定義されたしきい値をネットワーク トラフィックが超えた場合のみ、アラートを
トリガーするルールです。これらの変数のデフォルト値は、ネットワーク トラフィックによっては意味をなさない可
能性があるため、[レート ベースのアノーマリ検出ウィザード] では、これらのパラメーターに関連してネットワー
ク フロー データのグラフを分析する機能があります(『アノーマリ検出ウィザード』を参照)。
ファイアウォール例外
特定のタイプのトラフィックがファイアウォールを通過できるようにし、それ以外のトラフィックをブロックするた
めに、ファイアウォール例外が必要になる場合があります。たとえば、有効な内部アドレスが VPN などの外部ネッ
トワークから送信されると、Incoming Bogons アラートがトリガーされます。アラートを停止するには、ファイア
ウォール ルールの例外を設定する必要があります。
また 1 つの例外を、他の例外で定義されたパターンの例外として扱い、例外リストの例外とする(アドレスまたはア
ドレスのブロックを含める)こともできます。あるアドレスを 1 つのファイアウォール ルールに照らしてチェック
する必要があり、IP アドレスがすでに承認されたアドレス ブロックに含まれる場合は、IP アドレス(またはマス
ク)を入力してボックスを選択することで、例外リストから除外することができます。
例として、例外リストにすでにアドレス ブロック 10.0.0.0/24 が含まれているとします。この範囲のすべてのアド
レスが、ルールの例外になります。ソース アドレス 10.0.0.1 がこのルールについてアクティブな場合は、[これを
他の例外で定義??たパターンの例外として処理します] を選択し、ソース フィールドに 10.0.0.1 と入力します。フ
ァイアウォール ルールは 10.0.0.1 に適用されますが、10.0.0.1 が例外リストの例外になったため、10.0.0.0/24
ブロック内の他のアドレスには適用されません。
カスタム ファイアウォール ルールを追加
一般に、ネットワークはデフォルトのファイアウォール ルールで十分保護できます。ただし、保護対象のシステムま
たは環境に固有のルールの追加が必要になる場合があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [ファイアウォール]を選択します。
2
[新規] を選択し、[ファイアウォール ルール] をクリックします。
3
設定を定義して、[OK] をクリックします。
新しいルール内のフィルターが適用され、新しいルールがルール表示ペインに表示されます。フィルター アイコン
をクリックすると、フィルタリングがクリアされます。
ファイアウォール例外を追加
ファイアウォール ルールに例外を追加することで、指定されたプロトコル、IP アドレス、またはポートからのネッ
トワーク イベントがファイアウォールを通過できるようにします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で[IPS] 、 [ファイアウォール]を選択します。
2
ルール表示ペインで、例外を追加するルールをクリックします。
ルールを特定しやすいように、[フィルター/タグ付け] ペインのフィルターを使用します(『フィルター ルール』
を参照)。
328
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
3
[新規] を選択し、[ファイアウォール例外] をクリックします。
4
[追加] をクリックし、この例外を定義する値を選択または入力します。
5
[OK] をクリックします。
10
詳細なパケット検査のルール
詳細なパケット検査のルールでは、パケットの内容が評価され、ルール シグネチャ内のパターンと比較されます。一
致があった場合は、指定されたアクションが実行されます。
BASE フィルター([フィルター/タグ付け] ペイン)は、システムまたはデータを損傷する可能性がある既知の侵入
に対して、保護機能を提供します。MALWARE および VIRUS フィルターについても同様です。POLICY および
MULTIMEDIA フィルターは、ユーザー定義のネットワーク使用率仕様に関連付けられている、危険性のあるネット
ワーク侵入に関連しないネットワーク アクティビティに関して禁止またはアラートします。一般的なフィルター グ
ループ タイプには次のものがあります。
•
保護ルール(BASE、MALWARE、PERIMETER、VIRUS)
•
ポリシー ルール(CHAT、MULTIMEDIA、PEERTOPEER、POLICY、SECURE APPLICATION GATEWAY)
一般的に、ネットワークはデフォルトのルールで十分保護できます。ただし、保護対象のシステムまたは環境に固有
のルールが必要になる場合があります。ESM には、カスタマイズされた詳細なパケット検査のルールを追加できま
す(『詳細なパケット検査のルールを追加』を参照)。
詳細なパケット検査のルールを追加
必要に応じて、保護されているシステムまたは環境に、カスタマイズされた詳細なパケット検査のルールを追加しま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[Nitro IPS] 、 [詳細なパケット検査]を選択します。
2
[新規] をクリックし、[詳細なパケット検査のルール] を選択します。
3
設定を定義して、[OK] をクリックします。
新しいルール内のフィルターが適用され、新しいルールがルール表示ペインに表示されます。フィルター アイコンを
クリックすると、フィルターがクリアされ、すべての詳細なパケット検査のルールが表示されます。
詳細なパケット検査の属性を追加
詳細なパケット検査のルールを追加または編集する場合は、ルールに属性を割り当てる必要があります。これらの属
性によって、ルールのアクションを定義します。既存のリストでは、カスタム オプションを追加または削除すること
で、ルールに割り当てることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[IPS] 、 [詳細なパケット検査] 、 [追加]を選択します。
2
ドロップダウン リストから、この属性のカテゴリを選択します。
3
[オプション] フィールドで、この属性に関連付けられているアクションを選択します。
4
選択したオプションの値を入力し、[OK] をクリックします。
オプション名と値が [ルール オプション] テーブルに追加されます。編集または削除する値を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
329
10
ポリシーとルールの管理
ルール タイプとプロパティ
内部ルール
[内部] ルール タイプには、3,000,000 ~ 3,999,999 の範囲のシグネチャ ID を持つルールが含まれています。こ
れらは内部アラートであり、他のルールのようなシグネチャを持っていません。これらのルールは有効化と無効化の
いずれかのみ行うことができます。
このルール タイプは、システム ナビゲーション ツリーで Nitro IPS または仮想デバイスを選択した場合のみ使用で
きます。
内部ルールの管理
既存の内部ルールのリストを表示したり、ステータスを変更します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
システム ナビゲーション ツリーで、Nitro IPS または仮想デバイスを選択します。
2
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] 、 [内部]を選択します。
3
[有効] 列で、[すべてを選択] または [選択解除] をクリックするか、個別のルールを選択または選択解除します。
フィルター ルール
フィルター ルールでは、定義したデータを Receiver が受信したときに実行するアクションを指定できます。
データの順序
フィルター ルールは、次の順序で Receiver に書き込まれます。
1
2
catch-all 以外のすべてのルール
a
stop = true and parse = false and log = false
b
stop = true and parse = true and log = true
c
stop = true and parse = true and log = false
d
stop = true and parse = false and log = true
すべての catch-all ルール
ルールの順序
[ポリシー管理者] 権限がある場合、フィルター ルールの実行順序を定義できます。 これらのルールが最も効果的な
順番で実行され、必要なデータが生成されます (『ASP ルールとフィルター ルールの順序を設定する』を参照)。
フィルター ルールを追加
[ポリシー エディター] にフィルター ルールを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
330
1
[ポリシー エディター] で[Receiver] 、 [フィルター]を選択します。
2
[新規] を選択し、[フィルター ルール] をクリックします。
3
フィールドに入力し、[OK] をクリックします。
4
ルールを有効にするには、ルール表示ペインでルールを選択し、[アクション] 列で設定をクリックし、[有効] を
クリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
アドバンスド Syslog パーサー (ASP) ルール
ASP は、ユーザー定義のルールに基づいて Syslog メッセージのデータを解析できるメカニズムを提供します。
アドバンスド Syslog パーサー (ASP) は、ルールを使用して、メッセージ固有のイベントでのデータの存在場所 (シ
グネチャ ID、IP アドレス、ポート、ユーザー名、アクションなど) を識別します。
ASP を使用すると、Linux と UNIX サーバーにある複雑なログ ソースのソート ルールを作成できます。
この機能を使用するには、正規表現の使い方を知っている必要があります。
システムが ASP ログを受信すると、ASP ルールに指定された形式とログの時刻形式が比較されます。 時刻形式が一
致しない場合、システムはログを処理しません。
時間形式を一致させるため、複数のカスタム時間形式を追加します (『時刻形式を ASP ルールに追加する』を参照)。
[ポリシー管理者]権限があれば、ASP ルールの実行順序を定義できます (『ASP ルールとフィルター ルールの順序
を設定する』を参照)。
カスタム ASP ルールを追加する
[アドバンスド Syslog パーサー] エディターでは、ASP ログ データを解析するためのルールを作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[Receiver] 、 [アドバンスド Syslog パーサー] の順に選択します。
2
[新規] を選択し、[アドバンスド Syslog パーサー ルール] をクリックします。
3
各タブをクリックして、必要な情報を入力します。
4
[完了] をクリックします。
ASP ルールとフィルター ルールの順序を設定する
[ポリシー管理者] の権限がある場合、フィルター ルールまたは ASP ルールの実行順序を設定できます。 このオプ
ションを使用すると、ルールをソートし、必要なデータを簡単に見つけることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
[操作] メニューで、[ASP ルールの順序] または [フィルター ルールの順序] を選択し、[データ ソース タイプ]
フィールドでデータ ソースを選択します。
左側のペインには、順序を設定できるルールが表示されます。 右側のペインには、順序が設定されたルールが表
示されます。
3
[標準ルール] タブまたは [カスタム ルール] タブで、左側のペインから右側のペインにルールを移動し (ドラッ
グ アンド ドロップ操作か矢印を使用)、[順番のないルール] の上または下に配置します。
[順番のないルール] は、左側のペインにあるルールが該当します。これらのルールにはデフォルトの順序が設定さ
れています。
4
矢印を使用してルールの順番を変更します。[OK] をクリックして、変更を保存します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
331
10
ポリシーとルールの管理
ルール タイプとプロパティ
ASP ルールに時刻形式を追加する
システムがアドバンスド Syslog パーサー (ASP) ログを受信すると、ASP ルールに指定された時刻形式が確認され
ます。
カスタム時刻形式を複数追加すると、ログの時刻形式が所定の形式に一致する確率が高くなります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、 [Receiver] 、 [アドバンスト Syslog パーサー]の順にクリックします。
3
ASP ルールをダウンロードしたら、次のいずれかを実行します。
•
既存のルールを編集するには、ルールをクリックして、 [編集] 、 [変更]の順にクリックします。
•
新しいルールを追加するには、 [新規] 、 [高度な Syslog パーサー ルール]の順にクリックし、[全般]、[解
析]、[フィールド割り当て] タブで設定を行います。
4
[マッピング] タブをクリックして、[時刻形式] テーブルの上にあるプラス記号のアイコンをクリックします。
5
[形式] フィールドで時刻形式を選択します。
6
この形式で使用する時刻フィールドを選択します。
[最初の時刻] と [最後の時刻] は、イベントが生成された最初の時刻と最後の時刻を表します。 ESM に追加した
[カスタム タイプ] の時刻フィールドも表示されます (『カスタム タイプ フィルター』を参照)。
7
[OK] をクリックして、[マッピング] タブの残りの情報を入力します。
データ ソース ルール
データ ソース ルールのリストには、定義済みのルールと自動学習ルールが含まれています。
Receiver は、Receiver に関連付けられているデータ ソースから送信された情報を処理する際に、データ ソース ル
ールを自動学習します。
[ルール タイプ] ペインの [データ ソース] オプションは、システム ナビゲーション ツリーで、ポリシー、データ ソ
ース、[アドバンスド Syslog パーサー]、または Receiver を選択した場合のみ表示されます。ページの下部にある
説明領域には、選択したルールに関する詳細な情報が表示されます。すべてのルールには、ルールに関連付けられて
いる優先度を示す、重大度が設定されています。優先度は、それらのルールに対して生成されるアラートが、レポー
ト目的でどのように表示されるかに影響します。
データ ソースにデフォルトのアクションが定義されています。 Receiver は、ルールに関連するイベントのサブタイ
プに割り当てます。 このアクションは変更できます (『データ ソースのルール アクションを設定する』を参照)。
データ ソースのルール アクションを設定する
データ ソースにデフォルトのアクションが定義されています。 Receiver は、このアクションをルールに関連するイ
ベントのサブタイプに割り当てます。 このアクションは変更できます。
データ ソース ルールごとにイベント サブタイプの値を設定できます。 ダッシュボード、レポート、解析ルール、ア
ラームのルール アクションに異なる値を設定できます。たとえば、選択したアクセス ルールの結果 (許可/拒否) な
どを設定できます。
332
McAfee Enterprise Security Manager 9.5.1
製品ガイド
10
ポリシーとルールの管理
ルール タイプとプロパティ
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
ESM コンソールで、[ポリシー エディター] アイコン
[Receiver] 、 [データ ソース] の順に選択します。
をクリックして、 [ルール タイプ] ペインで
変更するルールの [サブタイプ] 列をクリックして、新しいアクションを選択します。
•
イベント サブタイプにデフォルトのアクション ([アラート]) を設定するには、[有効] を選択します。
•
関連ルールのイベントを収集しない場合には、[無効] を選択します。
•
他のアクションを選択すると、イベント サブタイプにこのアクションが設定されます。
自動学習データ ソース ルールを管理
すべての自動学習データ ソース ルールのリストを表示し、編集または削除します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[Receiver] 、 [データ ソース]を選択します。
2
[フィルター/タグ付け] ペインの下部にある [詳細] バーをクリックします。
3
[元の場所] ドロップダウン リストで [ユーザー定義] を選択し、[クエリーを実行] アイコン
ます。
をクリックし
自動学習データ ソース ルールは、すべて表示ペインにリストされています。
4
編集または削除するルールを選択し、[編集] をクリックし、[変更] または [自動学習ルールを削除] を選択しま
す。
•
[変更] を選択した場合は、名前、説明、または正規化 ID を変更し、[OK] をクリックします。
•
[自動学習ルールを削除] を選択した場合は、適切なオプションを選択し、[OK] をクリックします。
Windows イベント ルール
Windows イベント ルールは、Windows 関連のイベントの生成に使用されます。
これらは Windows イベントのデータ ソース ルールであり、一般的なユース ケースであるため、データ ソース ル
ール タイプから分離されます。このタイプのすべてのルールは McAfee によって定義されます。ルールは追加、変
更、削除できませんが、ルールのプロパティ設定は変更できます。
ADM ルール
McAfee ADM は、ICE Deep Packet Inspection (DPI) エンジンが搭載された一連のネットワーク アプライアンス
です。
ICE エンジンは、RAW ネットワーク トラフィックからコンテンツをリアルタイムで識別して抽出できる、ソフトウ
ェア ライブラリと、プロトコルとコンテンツ プラグイン モジュールが集約されたものです。 このエンジンでは、ア
プリケーション レベルのコンテンツを完全に再構築してデコードすることで、暗号化されたネットワーク パケット
ストリームをローカル ファイルのように読みやすいコンテンツに変換することができます。
ICE エンジンでは、固定された TCP ポート番号やファイル拡張子に頼ることなく、プロトコルとコンテンツのタイ
プを自動的に識別できます。ICE エンジンは分析とデコードを実行するためにシグネチャに依存せず、各プロトコル
またはコンテンツ タイプに対する完全なパーサーがモジュールに実装されます。それによって、コンテンツを非常に
McAfee Enterprise Security Manager 9.5.1
製品ガイド
333
10
ポリシーとルールの管理
ルール タイプとプロパティ
正確に識別しデコードすることが可能になっています。またコンテンツが圧縮されていたり、他の方法でエンコード
されているためにネットワークを通じてクリア テキストで送信できない場合でも、コンテンツを識別して抽出できま
す。
ICE エンジンではこの高度に正確な識別とデコードによって、ネットワーク トラフィックを高い精度で見通すことが
できます。たとえば ICE エンジンでは、.zip ファイルとして送信された PDF ドキュメント ストリームを、
BASE-64 でエンコードされた SMTP 電子メールの添付ファイルとして、SOCKS プロキシ サーバーから受信するこ
とができます。
このアプリケーションとドキュメントのアウェアネスによって、ADM では有用性の高いセキュリティ コンテキスト
が得られます。それによって、従来の IDS や Nitro IPS では容易に検出できない、次のような脅威を検出できるよ
うになっています。
•
機密情報やドキュメントの漏洩、または通信ポリ
シー違反。
•
不審なドキュメント (ドキュメントと拡張子が一
致しないなど)。
•
認証されていないアプリケーション トラフィッ
ク (Gnutella など)。
•
新世代のエクスプロイト (実行ファイルが埋め込
まれた PDF ドキュメントなど)。
•
想定されていない方法でのアプリケーションの使
用 (非標準ポートでの HTTPS の使用など)。
ADM では、アプリケーションとトランスポート プロトコルの異常を検出することで、不正なトラフィック パターン
も検出されます (RPC 接続の形式が異常である、または TCP 宛先ポートが 0 であるなど)。
サポートされているアプリケーションおよびプロトコル
ADM が異常を監視、デコード、検出するために使用できるアプリケーションとプロトコルは、500 を超えます。そ
の一部をリストで示します。
334
•
低レベルのネットワーク プロトコル — TCP/IP、UDP、RTP、RPC、SOCKS、DNS など
•
電子メール — MAPI、NNTP、POP3、SMTP、Microsoft Exchange
•
チャット — MSN、AIM/Oscar、Yahoo、Jabber、IRC
•
Web メール — AOL Webmail、Hotmail、Yahoo! メール、Gmail、Facebook、MySpace メール
•
P2P — Gnutella、bitTorrent
•
シェル — SSH (検出のみ)、Telnet
•
インスタント メッセージ — AOL、ICQ、Jabber、MSN、SIP、Yahoo
•
ファイル転送プロトコル — FTP、HTTP、SMB、SSL
•
圧縮および抽出プロトコル — BASE64、GZIP、MIME、TAR、ZIP など
•
アーカイブ ファイル — RAR アーカイブ、ZIP、BZIP、GZIP、Binhex、UU エンコード アーカイブ
•
インストール パッケージ — Linux パッケージ、InstallShield キャビネット、Microsoft キャビネット
•
画像ファイル — GIF、JPEG、PNG、TIFF、AutoCAD、Photoshop、Bitmaps、Visio、Digital RAW、Windows
アイコン
•
音声ファイル — WAV、MIDI、RealAudio、Dolby Digital AC-3、MP3、MP4、MOD、RealAudio、SHOUTCast
など
•
ビデオ ファイル — AVI、Flash、QuickTime、Real Media、MPEG-4 、Vivo、Digital Video (DV)、Motion
JPEG など
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
•
その他のアプリケーションおよびファイル — データベース、スプレッドシート、FAX、Web アプリケーション、
フォント、実行ファイル、Microsoft Office アプリケーション、ゲーム、ソフトウェア開発ツールなど
•
その他のプロトコル — ネットワーク プリンタ、シェル アクセス、VoIP、ピア ツー ピア
主要なコンセプト
ADM の機能を理解するには、次のコンセプトを認識することが重要です。
•
オブジェクト — オブジェクトは、コンテンツの個々のアイテムです。電子メールはオブジェクトですが、メッセ
ージの本文と添付ファイルがあることから、オブジェクトのコンテナーでもあります。HTML ページは、画像な
ど他のオブジェクトを含めることが可能なオブジェクトです。.zip ファイルと、.zip ファイル内の各ファイルは、
すべてオブジェクトです。ADM はコンテナーを開き、中の各オブジェクトを ADM のオブジェクトとして扱いま
す。
•
トランザクション — トランザクションは、オブジェクト (コンテンツ) の転送を包含するラッパーです。トラン
ザクションには 1 つ以上のオブジェクトが含まれていますが、そのオブジェクトが .zip ファイルのようなコンテ
ナーである場合は、1 つのトランザクションに複数のオブジェクトが含まれる場合があります。
•
フロー — フローは、TCP または UDP ネットワーク接続です。1 つのフローには多数のトランザクションが含ま
れている場合があります。
DEM ルール
McAfee DEM の真の威力は、ネットワーク パケット内の情報をキャプチャし正規化する方法を通じて発揮されます。
DEM には、パターン一致用の論理式と正規表現を使用して複雑なルールを作成する機能もあります。それによって、
事実上誤検出が発生することなく、データベースまたはアプリケーション メッセージを監視できます。一部のアプリ
ケーション プロトコルとメッセージが他よりもリッチであるということから、正規化データ (メトリックス) は各ア
プリケーションによって異なります。フィルター式は、構文に注意するだけでなく、アプリケーションでメトリック
スがサポートされていることを確認しながら、慎重に作成する必要があります。
DEM にはデフォルトのルールのセットが付属しています。デフォルトのコンプライアンス ルールによって、ログオ
ン/ログオフ、DDL 変更などの DBA タイプのアクティビティ、不審なアクティビティ、コンプライアンス要件の達
成に一般的に必要なデータベース攻撃など、重要なデータベース イベントを監視します。デフォルトの各ルールを有
効または無効にして、各ルールのユーザー定義可能なパラメーター値を設定することができます。
DEM ルールのタイプには、データベース、データ アクセス、検出、トランザクション追跡があります。
ルール
タイプ
説明
データ
ベース
DEM のデフォルト ルール セットには、サポートされている各データベース タイプに対するルールと、
SOX、PCI、HIPAA、FISMA などの一般的な規制が含まれています。デフォルトの各ルールを有効または
無効にして、各ルールのユーザー定義可能なパラメーター値を設定することができます。
DEM に付属するルールに加えて、論理式と正規表現を使用して複雑なルールを作成することができます。
それによって、事実上誤検出が発生することなく、データベースまたはアプリケーション メッセージを監
視できます。一部のアプリケーション プロトコルとメッセージが他よりもリッチであるということから、
正規化データ (メトリックス) は各アプリケーションによって異なります。
ルールは、論理演算子と正規表現演算子の両方を要求して含めるにしたがい複雑になる場合があります。
ルール式は、アプリケーションで使用できる 1 つ以上のメトリックスに適用できます。
データ
アクセ
ス
DEM のデータ アクセス ルールでは、データベースに対する不明なアクセス パスを追跡し、アラートをリ
アルタイムで送信することができます。 アプリケーション開発者がアプリケーション ログオン ID を使
用して実稼働システムにアクセスするなど、データベース環境における一般的な違反は、適切なデータ ア
クセス ルールを作成することで簡単に追跡することができます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
335
10
ポリシーとルールの管理
ルール タイプとプロパティ
ルール
タイプ
説明
検出
DEM のデータベース検出ルールでは、ネットワーク上で監視対象になっていない、ESM によってサポー
トされているタイプのデータベース サーバーの例外リストが得られます。セキュリティ管理者はこの機
能によって、環境に追加された新しいデータベース サーバーと、データベースのデータにアクセスできる
不正なリスナー ポートを検出できます。検出ルール ([ポリシー エディター] 、 [DEM ルール タイプ] 、
[検出]) は設定不要のルールであり、追加または編集することはできません。データベース サーバー ペー
ジの検出オプション ([DEM のプロパティ] 、 [データベース サーバー] 、 [有効]) を有効にすると、これ
らのルールによってネットワーク上のデータベース サーバーが検索されますが、システム ナビゲーション
ツリーの DEM 以下にはリストされません。
トラン
ザクシ
ョン追
跡
トランザクション追跡ルールにより、データベース トランザクションと自動調整の変更を追跡できます。
たとえば、データベース変更を追跡して、既存の変更チケッティング システムにおける認証済みの作業順
序と調整する時間を要するプロセスを、完全に自動化することができます。
この機能の使用方法を理解できる例を次に示します。
DBA の手順では、認証済みの作業を実際に開始する前に、作業が実行されるデータベース内の開始タグの
ストアド プロシージャ (この例では spChangeControlStart) が実行されます。 DEM の [トランザクシ
ョン追跡] 機能により、DBA では最大 3 つのオプションの文字列パラメーターを、正しい順序で引数とし
てタグに含めることができます。
1 ID
2 名前または DBA のイニシャル
3 コメント
たとえば spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’
spChangeControlStart プロシージャが実行されていることを DEM が検出すると、トランザクションだ
けでなく、パラメーター (ID、名前、コメント) が特殊な情報として記録されます。
作業が完了すると、DBA は終了タグのストアド プロシージャ (spChangeControlEnd) を実行します。
この場合、オプションで (開始タグ内の ID と同一の) 1 つの ID パラメーターを含めることができます。
DEM が終了タグ (および ID) を検出すると、開始タグ (同じ ID を持つ) と終了タグ間のすべてのアクテ
ィビティを、特殊なトランザクションとして関連付けることができます。 これで、トランザクションごと
にレポートを作成し、ID を使用して検索できるようになります。ID は、この作業手順調整の例では変更
制御番号です。
また、トランザクション追跡によって取引の開始と終了を記録し、クエリーではなくトランザクションご
とにレポートを作成するステートメントを開始およびコミットすることもできます。
DEM ルール メトリックス参照
DEM ルールを追加したときに [式のコンポーネント] ページで使用できる、DEM ルール式に対するメトリックス参
照のリストを示します。
336
名前
定義
データベース タイプ
[アプリケーショ
ン名]
ルールが適用されるデータベース タイプを識別する名前。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PIServer、
InterSystems Cache
[開始時刻]
クエリーの開始タイムスタンプ。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
10
データベース タイプ
[開始時刻のずれ] サーバー クロックの時刻のずれをキャプチャします。
MSSQL、Oracle、DB2、
Sybase、MySQL、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
[クライアント
IP]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
クライアントの IP アドレス
[クライアント名] クライアント マシンの名前。
[クライアント
PID]
MSSQL、Oracle、DB2、
Sybase、Informix、
PIServer、InterSystems
Cache
オペレーティング システムによってクライアント プロセスに割り MSSQL、DB2、Sybase、
MySQL
当てられるプロセス ID。
[クライアント ポ クライアント ソケット接続のポート番号。
ート]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[コマンド名]
MySQL コマンドの名前。
MSSQL、Oracle、DB2、
Sybase、Informix
[コマンド タイ
プ]
MySQL コマンドのタイプ: DDL、DML、Show、Replication。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[受信データ]
受信クエリー パケットの合計バイト数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[送信データ]
送信結果パケットの合計バイト数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[データベース名] アクセスされるデータベースの名前。
MSSQL、DB2、Sybase、
MySQL、Informix、
PostgreSQL、PIServer、
InterSystems Cache
[終了時刻]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
完了タイムスタンプ クエリーの終了。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
337
10
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
データベース タイプ
[エラー メッセー 要求された SQL ステートメントの成功または失敗に関する情報が DB2、Informix
ジ]
得られる、SQL Communication Area(SQLCA)データ構造内の
SQLCODE 変数と SQLSTATE 変数に関連付けられたメッセージ
テキストが含まれています。
[メッセージ番号] データベース サーバーによって各エラーに割り当てられる一意の
メッセージ番号。
MSSQL、Oracle、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[メッセージの重
大度]
MSSQL、Sybase、
Informix
問題のタイプと重大度を示す、10 から 24 までの重大度番号。
[メッセージ テキ メッセージのフル テキスト。
スト]
MSSQL、Oracle、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[ネットワーク時 結果セットをクライアントに返送するために要する時間
間]
(response_time - server_response_time)。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[NT クライアン
ト名]
ユーザーのログイン元の Windows マシン名。
MSSQL
[NT ドメイン名]
ユーザーのログイン元の Windows ドメイン名。
MSSQL
[NT ユーザー名]
Windows ユーザー ログイン名。
MSSQL
[オブジェクト名]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix
[OSS ユーザー
名]
Oracle
[パッケージ名]
パッケージには、SQL ステートメントの実行に使用される制御構
造が含まれています。パッケージは、プログラムの準備中に DB2
サブコマンド BIND PACKAGE を使用して作成されます。
DB2
[受信パケット]
クエリーを構成するパケット数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[送信パケット]
戻り結果セットを構成するパケット数。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[パスワード]
338
McAfee Enterprise Security Manager 9.5.1
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
InterSystems Cache
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
[パスワードの長
さ]
10
データベース タイプ
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
InterSystems Cache
[クエリー ブロッ クエリー ブロックは、クエリー データと結果セット データを送信 DB2、Informix
ク サイズ]
する基本単位です。クエリー ブロックのサイズを指定すること
で、要求者はリソースの制約の中で、任意の時点で返されるデータ
量を制御することができます。
[クエリー終了ス
テータス]
クエリーの終了ステータス。
[クエリー番号]
AuditProbe 監視エージェントによって各クエリーに割り当てられ MSSQL、Oracle、DB2、
る一意の番号。最初のクエリーを 0 として、1 ずつ増加します。 Sybase、MySQL、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[クエリー テキス クライアントから送信された実際の SQL クエリー。
ト]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[クエリー タイ
プ]
タイプの違いに応じてクエリーに割り当てられる整数。
MSSQL、Oracle、Sybase
[実際のユーザー
名]
クライアント ユーザーのログイン名。
[応答内容]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix
[応答時間]
クエリーのエンドツーエンドの応答時間(server_response_time MSSQL、Oracle、
Sybase、MySQL、
+ network_time)。
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[戻り行]
戻り結果セット内の行数。
[セキュリティ フ 管理者が指定したアクセス ポリシー ファイル条件が満たされたと
ラグ]
きに、値が 1(TRUSTED)または 2(UNTRUSTED)に設定され
るセキュリティ フラグ メトリックス。値 3 は、ポリシー ファイ
ル条件が満たされなかったことを示します。値 0 は、セキュリティ
監視がオンになっていないことを示します。
[セキュリティの
メカニズム]
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache。
MSSQL、Oracle、DB2、
Sybase、MYSQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems
ユーザー ID の検証に使用されるセキュリティのメカニズム(ユー DB2
ザー ID とパスワードなど)。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
339
10
ポリシーとルールの管理
ルール タイプとプロパティ
名前
定義
データベース タイプ
[サーバー IP]
データベース サーバー ホストの IP アドレス。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[サーバー名]
サーバーの名前。デフォルトではホスト名がサーバー名として割
り当てられます。
MSSQL、Oracle、DB2、
Sybase、Informix、
PIServer、InterSystems
Cache
[サーバー ポー
ト]
サーバーのポート番号。
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、InterSystems
Cache
[サーバーの応答
時間]
データベース サーバーからクライアント クエリーに対する初期応 MSSQL、Oracle、DB2、
答。
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
[重大度コード]
DB2
[SID]
Oracle システムの識別子。
[SPID]
一意の各接続/セッションに割り当てられるデータベース システム MSSQL、Sybase
プロセス ID。
[SQL コード]
SQL ステートメントが実行されると、クライアントに SQLCODE
が送信されます。この戻りコードは、SQL エラーまたは警告に関
する DB2 固有の追加情報を提供します。
Oracle、Informix、
PostgreSQL、Teradata、
PIServer、InterSystems
Cache
• SQLCODE EQ 0 は、正常に実行されたことを示します。
• SQLCODE GT 0 は、正常に実行され警告が発行されたことを示
します。
• SQLCODE LT 0 は、実行が失敗したことを示します。
• SQLCODE EQ 100 は、データが見つからなかったことを示しま
す。
0 と 100 以外の SQLCODE の意味は、SQL を実装している個々
の製品によって異なります。
340
[SQL コマンド]
SQL コマンドのタイプ。
[SQL の状態]
DB2 SQLSTATE は、IBM のリレーショナル データベース システ DB2
ムで見られる共通のエラー条件に対する、共通の戻りコードを持つ
アプリケーション プログラムを実現する追加の戻りコードです。
[ユーザー名]
データベース ユーザーのログイン名。
McAfee Enterprise Security Manager 9.5.1
MSSQL、Oracle、DB2、
Sybase、MySQL、
Informix、PostgreSQL、
Teradata、PIServer、
InterSystems Cache
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
相関ルール
相関エンジンの基本的な目的は、ESM から受け取ったデータを分析し、データ フロー内の注目すべきパターンを検
出し、それらのパターンを示すアラートを生成し、それらのアラートを Receiver のアラート データベースに挿入す
ることにあります。相関エンジンは、相関データ ソースを設定すると有効になります。
相関エンジン内では、目的のパターンが相関ルールによって解釈されるデータになります。相関ルールはファイアウ
ォールや標準的なルールとは完全に別個なものであり、動作を指定する属性が設定されています。各 Receiver は
ESM から相関ルールのセット (配備された相関ルール セット) を取得します。これは、0 以上の相関ルールとユーザ
ー定義のパラメーター値のセットで構成されています。ファイアウォールや標準的なルール セットと同様に、すべて
の ESM に基本的な相関ルール セットが含まれています。このルール セットの更新は、ルール アップデート サーバ
ーから ESM デバイスに配備されます。
ルール アップデート サーバーのルールにはデフォルト値が含まれています。基本的な相関エンジン ルール セットを
更新する場合は、ネットワークを適切に表すように、これらのデフォルト値をカスタマイズする必要があります。デフ
ォルト値を変更せずにこれらのルールを配備すると、誤検出や非検知の原因になります。
Receiver ごとに設定できる相関データ ソースは 1 つだけです。Syslog または OPSEC の設定方法と同様です。
相関データ ソースを設定すると、基本的な相関ルール セットを編集することで、配備される相関ルール セットを
[相関ルール エディター] を使用して作成できるようになります。各相関ルールを有効または無効にして、各ルール
のユーザー定義可能なパラメーター値を設定することができます。
[相関ルール エディター] では、相関ルールを有効または無効にするだけでなく、カスタム ルールとカスタム相関コ
ンポーネントを作成し、相関ルールに追加することもできます。
相関ルールの詳細を表示する
このリリースでは、相関ルールに詳細 (ルールをトリガーした原因) が表示されます。 この情報は、誤検知の調整に
役立ちます。
ユーザー インターフェースで要求を行うと、詳細情報が収集されます。 ただし、動的ウォッチリストまたは変更頻
度の高い値を使用するルールの場合には、トリガー後すぐに詳細情報を取得するようにルールを設定できます。 これ
により、古い情報が表示される可能性を低くすることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
詳細をすぐに表示するようにルールを設定する:
a
ESM コンソールで、[相関] クイック起動アイコン
をクリックします。
[ポリシー エディター] が開き、[相関] ルール タイプが選択されます。
b
ルールの [詳細] 列をクリックして、[オン] を選択します。
一度に複数のルールを選択できます。
2
詳細を表示する:
a
システム ナビゲーション ツリーで、ACE デバイスの下にある[ルール相関] をクリックします。
b
ビュー リストで、[イベント ビュー] 、 [イベント分析] の順に選択し、表示するイベントをクリックします。
c
[相関の詳細] タブをクリックして、詳細を表示します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
341
10
ポリシーとルールの管理
ルール タイプとプロパティ
カスタム ADM、データベース、または相関ルールを追加
定義済み ADM、データベース、または相関ルールに加えて、論理式と正規表現を使用して複雑なルールを作成する
ことができます。各種のルール タイプの追加に使用するエディターは非常に似ているため、同じセクションで説明し
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[ADM]、[DEM] 、 [データベース]、または [相関] を選
択します。
2
[新規] をクリックし、追加するルール タイプを選択します。
3
必要な情報を入力し、ツールバーから論理要素と式のコンポーネントを [式のロジック] 領域にドラッグ アンド
ドロップして、ルールの論理を構築します。
4
[OK] をクリックします。
タスク
•
343 ページの「相関ルールまたは相関コンポーネントにパラメーターを追加」
相関ルールまたは相関コンポーネントのパラメーターによって、ルールまたはコンポーネントが実行さ
れたときの動作を制御します。パラメーターは必須ではありません。
•
346 ページの「データ アクセス ルールを追加または編集」
DEM データ アクセス ポリシーでは、データベースに対する不明なアクセス パスを追跡し、イベントを
リアルタイムで送信することができます。
•
346 ページの「トランザクション追跡ルールの追加、編集」
トランザクション追跡ルールは、データベース トランザクションと自動調整の変更、さらに取引実行の
ログ開始および終了、または開始およびコミット ステートメントを追跡して、クエリーの代わりにトラ
ンザクション別のレポートを作成します。
•
346 ページの「カスタム ADM、DEM、または相関ルールを管理する」
定義済みのルールをコピーして、カスタム ルールのテンプレートとして使用します。カスタム ルールを
追加する場合には、設定を編集し、コピーおよび貼り付けによって新しいカスタム ルールのテンプレー
トとして使用するか、削除することができます。
•
347 ページの「データベースの監査履歴のルールおよびレポートを設定」
[特権ユーザーの監査履歴] レポートでは、データベースに対する変更について監査履歴を表示し、また
特定のデータベース イベントに関連付けられているデータベースまたはテーブルに対するアクセスを追
跡できます。
論理要素
Application Data Monitor (ADM)、データベース、相関ルールまたはコンポーネントを追加するときに、[式のロジ
ック] または [相関ロジック] を使用してルールのフレームワークを作成します。
要素
説明
AND コンピューター言語の論理演算子と同じように機能します。条件を true にするには、この論理要素
の下でグループ化されるものがすべて true になっている必要があります。この論理要素の下ですべ
ての条件が満たされてからルールがトリガーされるようにするには、このオプションを使用します。
OR
コンピューター言語の論理演算子と同じように機能します。この条件を true にするには、この要素
の下でグループ化される条件のうち 1 つのみが true である必要があります。1 つのみの条件が満た
されてからルールがトリガーされるようにするには、この要素を使用します。
SET 相関ルールまたはコンポーネントの場合、SET を使用すると条件を定義し、true の場合にルールをト
リガーする条件の数を選択できます。 たとえば、セット内に 3 つの条件があり、ルールのトリガー
にこの中の 2 つの条件を満たす必要がある場合、セットは 2/3 となります。
342
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
10
これらの要素ごとに、以下のオプションうち 2 つ以上が含まれたメニューがあります。
•
[編集] — デフォルト設定を編集できます (『論理要素のデフォルト設定を編集する』を参照)。
•
[論理要素を削除] — 選択した論理要素を削除できます。 子がある場合には論理要素は削除されず、階層の上位
に移動します。
これはルート要素 (階層内の最初の要素) には適用されません。 ルート要素を削除すると、すべての子も削除され
ます。
•
[論理要素とそのすべての子を削除] — 選択した要素とすべての子を階層から削除できます。
ルールのロジックを設定する場合は、コンポーネントを追加して、ルールの条件を定義する必要があります。相関ル
ールの場合は、実行されたルールまたはコンポーネントの動作を制御するパラメータを追加することもできます。
論理要素を編集
AND、OR、SET 論理要素にはデフォルト設定があります。これらの設定は、[論理要素を編集] ページで変更できま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
ルール エディターで、[式のロジック] または [相関ロジック] 領域に論理要素をドラッグ アンド ドロップしま
す。
編集する要素の [メニュー] アイコン
をクリックし、[編集] をクリックします。
設定を変更して、[OK] をクリックします。
相関ルールまたは相関コンポーネントにパラメーターを追加
相関ルールまたは相関コンポーネントのパラメーターによって、ルールまたはコンポーネントが実行されたときの動
作を制御します。パラメーターは必須ではありません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[相関ルール] または [相関コンポーネント] ページで、[パラメーター] をクリックします。
2
[追加] をクリックし、パラメーターの名前を入力します。
3
このパラメーターのタイプを選択し、値を選択するか、値の選択を解除します。
[リスト] と [範囲] の値を同時に使用することはできません。リストの値には範囲を含めることができません(1–
6 8, 10, 13)。正しくは 1, 2, 3, 4, 5, 6, 8, 10, 13 のように記述します。
4
パラメーターのデフォルト値を選択するには、[デフォルト値エディター] アイコン
をクリックします。
5
パラメーターを外部から表示できないようにするには、[外部からの表示] の選択を解除します。パラメーターは、
ルールの範囲に対してローカルです。
6
このパラメーターの説明を入力します。この説明は、パラメーターを強調表示したときに、[ルール パラメータ
ー] ページの [説明] テキスト ボックスに表示されます。
7
[OK] をクリックし、[閉じる] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
343
10
ポリシーとルールの管理
ルール タイプとプロパティ
カスタム相関ルールまたは相関コンポーネントの例
相関ルールまたは相関コンポーネントを追加します。
この例で追加するルールでは、Windows システム内の 1 つのソースからのログイン試行が 5 回失敗したことを
ESM が検出したときにアラートが生成されます。その後全体で 10 分以内にログインが成功します。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[相関] をクリックします。
2
[新規] を選択し、[相関ルール] を選択します。
3
説明的な名前を入力し、重大度設定を選択します。
このルールによって生成されるイベントは、権限のないユーザーがシステムにアクセスした可能性を示します。適
切な重大度設定は 80 です。
4
正規化 ID を選択します。[認証] または [認証] 、 [ログイン] の順に選択し、次に [AND] 論理要素をドラッグ
アンド ドロップします。
必要なアクションのタイプが 2 つあるため、[AND] を選択します (ログイン試行に続いてログインに成功)。
5
[メニュー] アイコン
をクリックし、[編集] を選択します。
6
[シーケンス] を選択して、アクション (最初に 5 回のログイン試行失敗、次にログイン成功) が連続的に実行さ
れる必要があることを示し、シーケンスを発生させる回数を「1」に設定します。
7
アクションを実行する必要がある期間を設定し、[OK] をクリックします。
時間ウィンドウを必要とするアクションが 2 つあるため、10 分をそれら 2 つに分配する必要があります。この例
では、各アクションに 5 分が割り当てられています。5 分以内にログイン試行が失敗すると、システムは次の 5
分以内に同じ IP ソースからのログイン成功をリッスンします。
344
8
[グループ別] フィールドでアイコンをクリックし、[ソース IP] オプションを左から右に動かすことで、すべての
アクションが同じソース IP から実行される必要があることを示し、[OK] をクリックします。
9
このルールまたはコンポーネントのロジックを定義します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
実行するには...
10
次のようにします...
目的のイベントを識別するフ 1
[フィルター] アイコン
を AND 論理要素にドラッグ アンド ドロップしま
ィルターのタイプを指定しま
す (この場合は、Windows
す。
システムに対する複数回のロ
2 [フィルター フィールドのコンポーネント] ページで、[追加] をクリックします。
グイン試行の失敗)。
3 [正規化ルール] 、 [In] の順に選択し、さらに次を選択します。
• [正規化]
• [ホスト ログイン]
• [認証]
• [Windows ホストへのログイン
試行失敗回数]
• [ログイン]
4 [OK ] をクリックします。
規定のログイン失敗回数とそ 1 [AND] 論理要素を [フィルター] バーにドラッグ アンド ドロップします。
の時間範囲を設定します。
5 回の試行が必要になるため、[AND] 要素が使用されます。この要素によって、
規定の発生回数と時間範囲を設定できます。
2
追加した [AND] 要素の [メニュー] アイコン
リックします。
をクリックして、[編集] をク
3 [しきい値] フィールドに [5] と入力し、既存の値を削除します。
4 [時間ウィンドウ] フィールドを [5] に設定します。
5 [OK] をクリックします。
発生する必要がある 2 つ目 1 [フィルター] アイコンを最初の [AND] 論理要素の角かっこ後にドラッグ アンド
のフィルター タイプ、つまり
ドロップします。
ログイン成功を定義します。
2 [一致コンポーネント] ページで [追加] をクリックします。
3 各フィールドで次を選択します。[正規化ルール] 、 [含む] の順に選択し、次を選
択します。
• [正規化]
• [認証]
• [ログイン]
• [ホスト ログイン]
4 [OK] をクリックして [一致コンポーネント] ページに戻ります。
5 「成功」を定義するには、[追加] をクリックし、[イベント サブタイプ] 、 [含む]
の順に選択して、[変数] アイコンをクリックします。[イベント サブタイプ] 、
[成功] 、 [追加] の順にクリックします。
6 [OK] をクリックして [ポリシー エディター] に戻ります。
[ポリシー エディター] の相関ルールのリストに、新しいルールが追加されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
345
10
ポリシーとルールの管理
ルール タイプとプロパティ
データ アクセス ルールを追加または編集
DEM データ アクセス ポリシーでは、データベースに対する不明なアクセス パスを追跡し、イベントをリアルタイ
ムで送信することができます。
アプリケーション開発者がアプリケーション ログオン ID を使用して実稼働システムにアクセスするなど、データベ
ース環境における一般的な違反は、適切なデータ アクセス ポリシーを作成することで簡単に追跡することができま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[DEM] 、 [データ アクセス]を選択します。
2
次のいずれかを行います。
3
•
新しいルールを追加するには、[新規] を選択し、[データ アクセス ルール] をクリックします。
•
ルールを編集するには、ルール表示ペインでルールを選択し、[編集] 、 [変更]をクリックします。
情報を入力して、[OK] をクリックします。
トランザクション追跡ルールの追加、編集
トランザクション追跡ルールは、データベース トランザクションと自動調整の変更、さらに取引実行のログ開始およ
び終了、または開始およびコミット ステートメントを追跡して、クエリーの代わりにトランザクション別のレポート
を作成します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[DEM] 、 [トランザクション追跡] を選択します。
2
次のいずれかを行います。
3
•
新しいルールを追加するには、[新規] をクリックして [トランザクション追跡ルール] をクリックします。
•
ルールを編集するには、ルール表示ペインでルールを選択してから、[編集] 、 [変更] をクリックします。
情報を入力して、[OK] をクリックします。
カスタム ADM、DEM、または相関ルールを管理する
定義済みのルールをコピーして、カスタム ルールのテンプレートとして使用します。カスタム ルールを追加する場
合には、設定を編集し、コピーおよび貼り付けによって新しいカスタム ルールのテンプレートとして使用するか、削
除することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
346
1
[ポリシー エディター] で、[ADM] または [DEM] 、 [データベース][データ アクセス]、または [トランザクシ
ョン追跡] を選択します。
2
次のいずれかを行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルール タイプとプロパティ
これを...
10
実行するには...
すべてのカスタム ADM 1 [フィルター/タグ付け] ペインで [フィルター] タブを選択します。
ルールまたは DEM ル
2 ペイン下部にある [詳細] バーをクリックします。
ールを表示
3 [元の場所] フィールドで [ユーザー定義] を選択します。
4 [クエリーを実行] をクリックします。
選択したタイプのカスタム ルールは、[ルールの表示] ペインにリストされています。
ルールをコピーして貼
り付ける
1 定義済みまたはカスタム ルールを選択します。
2 次をクリックします。[編集] 、 [コピー]
3 [編集] 、 [貼り付け] の順にクリックします。
コピーしたルールは、同じ名前で既存ルールのリストに追加されます。
4 名前を変更するには、[編集] 、 [変更] の順にクリックします。
カスタム ルールを変更
1 カスタム ルールを選択します。
2 [編集] 、 [変更] の順にクリックします。
カスタム ルールを削除
する
1 カスタム ルールを選択します。
2 [編集] 、 [削除] の順にクリックします。
データベースの監査履歴のルールおよびレポートを設定
[特権ユーザーの監査履歴] レポートでは、データベースに対する変更について監査履歴を表示し、また特定のデータ
ベース イベントに関連付けられているデータベースまたはテーブルに対するアクセスを追跡できます。
このレポートを生成するパラメーターを設定すると、各イベントに関連する監査履歴が表示されたコンプライアンス
レポート通知を受け取ることができます。監査履歴イベントを生成するには、[データ アクセス] ルールと [特権ユー
ザーの監査履歴] レポートを追加する必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[DEM] 、 [データ アクセス]を選択します。
2
ルール表示ペインで、[DEM - テンプレート ルール - 信頼されたユーザーによる IP 範囲からのアクセス] を強調
表示します。
3
次に、[編集] 、 [コピー]をクリックし、[編集] 、 [貼り付け]をクリックします。
4
新しいルールの名前とプロパティを変更します。
5
a
新しいルールを強調表示し、[編集] 、 [変更]を選択します。
b
ルールの名前を入力し、ユーザー名を入力します。
c
[信頼されていない] アクション タイプを選択し、[OK] をクリックします。
[ロールアウト] アイコン
McAfee Enterprise Security Manager 9.5.1
をクリックします。
製品ガイド
347
10
ポリシーとルールの管理
ルール タイプとプロパティ
6
7
レポートを設定します。
a
[システムのプロパティ] で、[レポート] 、 [追加]をクリックします。
b
セクション 1 ~ 3、および 6 に入力します。
c
セクション 4 で、[PDF でレポートを作成] または [HTML でレポートを作成] を選択します。
d
セクション 5 で、[コンプライアンス] 、 [SOX] 、 [特権ユーザーの監査履歴(データベース)]を選択しま
す。
e
[保存] をクリックします。
レポートを生成するには、[今すぐ実行] をクリックします。
ESM ルール
ESM ルールは、ESM に関連するイベントを生成するために使用します。
このタイプのルールは、すべて McAfee によって定義されます。これらのルールは、ESM で発生した事項を示す、
コンプライアンス レポートまたは監査レポートを生成するために使用できます。これらのルールを追加、変更、また
は削除することはできません。ただし、プロパティ設定を変更することはできます(『ルール タイプとプロパティ』
を参照)。
正規化
ルールは、各ベンダーによって命名され記述されます。そのため、多くの場合は同じタイプのルールに異なる名前が
存在し、発生するイベントのタイプに関する情報収集が難しくなります。
McAfee では、イベントを使いやすいカテゴリーに分類できるように、ルールを記述する正規化 ID のリストをまと
めて、継続的に更新します。[ポリシー エディター] の [ルール タイプ] ペインで [正規化] をクリックすると、これ
らの ID、名前、および記述がリストされます。
これらのイベント機能は、正規化 ID を使ってイベント情報を構成するためのオプションを提供します。
•
ビュー コンポーネント フィールド — [正規化イベント サマリー] は、円グラフ、棒グラフ、およびリスト コン
ポーネントでイベント クエリーのフィールドを定義するときのオプションです (「クエリーの管理」を参照)。
•
ビュー コンポーネント フィルター — 新しいビューを作成するとき、正規化 ID によってコンポーネント上のイ
ベント データをフィルターするために選択できます (「クエリーの管理」を参照)。
•
ビュー フィルター — [正規化 ID] は、ビュー フィルターのリストのオプションです (「ビューのフィルター」
を参照)。
•
ビュー リスト — [正規化イベント サマリー] ビューが、[イベント ビュー] のリストで使用できます。
[イベント分析] ビューの [詳細] タブに、リスト上に表示されるイベントの正規化 ID がリストされます。
新規または既存のビューに [正規化 ID] フィルターを追加するときに、次の操作を実行できます。
348
•
第 1 レベルのフォルダーで、すべての正規化 ID によってフィルターします。マスク (第 2 レベルのフォルダー
では /5) は ID の末尾にあり、選択されたフォルダーの子 ID によってもイベントがフィルターされることを示
します。
•
第 2 および第 3 レベルのフォルダー内の ID によってフィルターします。マスク (第 2 レベルのフォルダーで
は /12、第 3 レベルのフォルダーでは /18) は ID の末尾にあり、選択されたサブフォルダーの子 ID によって
イベントがフィルターされることを示します。第 4 レベルにはマスクがありません。
•
単一の ID によってフィルターします。
•
Ctrl または Shift キーを使って選択した複数のフォルダーまたは ID によって、一度にフィルターします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
デフォルトのポリシー設定
10
パケットをコピー を有効にする
ルールで [パケットをコピー] を有効にすると、パケット データが ESM にコピーされます。 有効にすると、[内部
イベントの比較] または [フィールド一致] アラームのソース イベント データにパケット データが含まれます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、[ポリシー エディター] アイコン
をクリックします。
2
[ルール タイプ] ペインで、アクセスするルールのタイプをクリックし、[ルールの表示] ペインでルールを選択し
ます。
3
[パケットをコピー] 列で現在の設定をクリックします。デフォルトの設定は [オフ] です。[オン] をクリックし
ます。
デフォルトのポリシー設定
アラート専用モードまたはオーバーサブスクリプション モードで動作する、デフォルトのポリシーを設定できます。
ルール更新のステータスを表示し、更新を開始することもできます。
アラート専用モード
[アラート専用モード] では、ポリシーは Nitro IPS と仮想デバイスに適用できます。
[アラート専用モード] をオンにすると、[ドロップ] などのブロック アクションにルールが設定されている場合でも、
有効なすべてのルールがアラートの使用率と合わせてデバイスに送信されます。生成されたイベントを表示する場
合、[イベント サブタイプ] 列には、アクションが [アラート] としてリストされ、[アラート専用モード] でない場合
は、[アラート - ドロップ] など、実行されるアクションが表示されます。これは、ネットワーク トラフィックのパ
ターンをまだ十分に把握できていないシステム管理者にとって有益です。イベントを能動的にブロックすることな
く、生成されたイベントを分析できるとともに、[アラート専用モード] をオフにした場合のアクションを確認できま
す。
[アラート専用モード] をオンにしても、[ポリシー エディター] の個々のルールで、個々の使用設定は変更されませ
ん。たとえば、このモードをオンにすると、[ポリシー エディター] でのアラートの使用方法が [ドロップ] に設定さ
れている場合でも、Nitro IPS または仮想デバイスにアラートの使用方法と合わせてルールが送信されます(例外と
して、[パス] に設定したルールはそのモードのままになります)。それによって、ポリシー設定に影響することなく、
[アラート専用モード] のオンとオフを簡単に切り替えることができます。[アラート専用モード] は、無効になって
いるルールには影響しません。[無効] に設定した場合、ルールはデバイスに送信されません。
アラート専用モード を有効化
有効なすべてのルールが、アラートの使用方法と合わせてデバイスに送信されるようにするには、[アラート専用モー
ド] 機能をオンにする必要があります。この設定には継承が適用されるため、このポリシーの設定は、継承する値を
上書きします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[設定] アイコン
2
をクリックします。
[アラート専用モード] フィールドで、[オン] を選択します。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
349
10
ポリシーとルールの管理
ルールの操作
オーバーサブスクリプション モードの設定
[オーバーサブスクリプション モード] では、デバイスの容量を超えた場合のパケットの処理方法を定義します。ど
の場合も、パケットはイベントとして記録されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[設定] アイコン
をクリックします。
2
[オーバーサブスクリプション モード] フィールドで、[更新] をクリックします。
3
[値] フィールドで機能を入力します。
4
a
パス(pass または 1)は、破棄されるパケットをスキャンなしで通過させます。
b
ドロップ(drop または 0)は、デバイスの容量を超えたパケットをドロップします。
c
イベントを生成せずにパケットをパスまたはドロップするには、spass または sdrop と入力します。
[OK] をクリックします。
バージョン 8.1.0 時点での [オーバーサブスクリプション モード] の変更は、デバイスおよびデバイスの子(仮想
デバイス)すべてに影響が及びます。この変更を適用するには、親デバイス上でモードを変更する必要がありま
す。
デバイスのポリシー更新ステータスを表示
ESM 上の全デバイスのポリシー更新ステータス サマリーを表示します。
これは、いつシステムに更新をロールアウトする必要があるかを判断するときに役立ちます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[設定] アイコン
をクリックします。
2
[ステータス] フィールドに、最新のデバイス、旧式のデバイス、および自動ロールアウト用に予定されているデ
バイスの数を表示します。
3
[閉じる] をクリックします。
ルールの操作
ルールに対しては、管理して必要な情報を生成するためにいくつかの操作を実行できます。
ルールの管理
[ADM]、[DEM]、[詳細なパケット検査]、[アドバンスド Syslog パーサー]、[相関] ルールの表示、コピー、貼り付
けを実行できます。これらのタイプのカスタム ルールを変更または削除できます。標準ルールは変更できますが、新
しいカスタム ルールとして保存する必要があります。
350
McAfee Enterprise Security Manager 9.5.1
製品ガイド
10
ポリシーとルールの管理
ルールの操作
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、操作するルールのタイプを選択します。
2
次のいずれかを行います。
処理
操作
カスタム ル
1 [フィルター/タグ付け] ペインで [フィルター] タブを選択します。
ールを表示す
2 ペイン下部にある [詳細] バーをクリックします。
る
3
[元の場所] フィールドで [ユーザー定義] を選択して、[クエリーを実行]
ます。
をクリックし
ルールをコピ 1 定義済みまたはカスタム ルールを選択します。
ーして貼り付
2 次に、[編集] 、 [コピー] を選択して、[編集] 、 [貼り付け] を選択します。
ける
コピーしたルールは、同じ名前で既存ルールのリストに追加されます。
3 名前を変更するには、[編集] 、 [変更] を選択します。
ルールを変更 1 表示するルールを強調表示して、[編集] 、 [変更] を選択します。
する
2 設定を変更して、[OK] をクリックします。カスタム ルールの場合は、変更内容が保存されま
す。標準ルールの場合は、新しいカスタム ルールとして変更を保存するように促されます。
[はい] をクリックします。
ルールの名前を変更しなかった場合は、名前が同じで sigID が異なるルールが保存されます。ル
ールを選択してから、[編集] 、 [変更] を選択して、名前を変更することもできます。
カスタム ル
• カスタム ルールを選択します。
ールを削除す
• 次に、[編集] 、 [削除] を選択します。
る
ルールのインポート
別の ESM からエクスポートされたルール セットをインポートして、自分の ESM に保存できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、インポートするポリシーまたはルールのタイプを選択しま
す。
2
次に、[ファイル] 、 [インポート] をクリックして、[ルール] を選択します。
これらの変更は追跡されないため、元に戻すことはできません。
3
[ルールをインポート] をクリックしてインポートするファイルを参照し、[アップロード] を選択します。
ファイルが ESM にアップロードされます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
351
10
ポリシーとルールの管理
ルールの操作
4
[ルールをインポート] ページで、インポートするルールの ID が既存ルールの ID と同じ場合に実行するアクシ
ョンを選択します。
5
[OK] をクリックし、競合する場合は解決してルールをインポートします。
ファイルのコンテンツが確認され、選択したファイルのコンテンツに応じて、対応するオプションが有効または無効
にされます。
相関ルールをインポートする場合の競合
相関ルールをエクスポートすると、ルール データが含まれたファイルが作成されます。ただしこれには、変数、ゾー
ン、ウォッチリスト、カスタム タイプ、資産など、このルールが使用する参照アイテムは含まれません。
エクスポート ファイルが別の ESM にインポートされた場合に、インポートを行うシステムに存在しないルールに含
まれる参照アイテムがあると、ルールの競合が発生します。たとえば、あるルールが変数 $abc を参照し、インポー
トを行う $abc という名前のシステムで変数が定義されていない場合、その状態は競合になります。競合は記録さ
れ、競合するルールにフラグが付けられます。
競合を解決するには、必要な参照アイテムを(手動、または可能な場合はインポートによって)作成するか、相関ル
ールを編集してルール内の参照を変更します。
競合するルールがある場合は、インポート プロセスの直後に、競合しているルールまたは失敗したルールを示すペー
ジが表示されます。そのページからルールを編集して競合を解決するか、ページを閉じることができます。競合する
ルールには、ステータスを示す感嘆符アイコンによってフラグが付けられます。競合するルールをルール エディター
で編集すると競合ボタンが表示されます。これをクリックすると、そのルールの競合の詳細が表示されます。
変数をインポート
変数のファイルをインポートして、それらのタイプを変更できます。競合が発生した場合、新しい変数は自動的に名
前が変更されます。
開始する前に
インポートするファイルを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[変数] をクリックします。
2
次に[ファイル] 、 [インポート] 、 [変数]をクリックし、変数のファイルを参照して [アップロード] をクリック
します。
ファイルに競合やエラーがある場合は、[インポート - エラー ログ] ページが開き、それぞれの問題が通知されま
す。
3
[変数をインポート] ページで [編集] をクリックし、選択した変数の [タイプ] を変更します。
4
[OK] をクリックします。
ルールのエクスポート
カスタム ルールまたはポリシーのすべてのルールをエクスポートして、別の ESM にインポートします。
352
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルールの操作
10
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、エクスポートするルールのタイプを選択します。
2
選択したタイプのカスタム ルールのリストにアクセスします。
a
[フィルター/タグ付け] ペインで、[フィルター] タブが選択されていることを確認します。
b
ペイン下部にある [詳細] バーをクリックします。
c
[元の場所] ドロップダウン リストで、[ユーザー定義] を選択します。
d
[クエリーを実行] アイコン
をクリックします。
3
エクスポートするルールを選択して、[ファイル] 、 [エクスポート] 、 [ルール] の順にクリックします。
4
[ルールをエクスポート] ページで、ルールのエクスポート時に使用するフォーマットを選択します。
5
[ダウンロード] ページで [はい] をクリックして場所を選択してから、[保存] をクリックします。
Microsoft Excel で csv ファイルを開くと、UTF-8 文字が正しく表示されない場合があります。 この問題を解決
するには、Excel で [テキスト インポート ウィザード] を開いて、[区切り文字] に [カンマ] を選択します。
自動ブラックリストへのルールの設定
自動ブラックリストにルールをマークできます。定義した条件を満たした場合に攻撃者の IP アドレスまたは IP ア
ドレスとポートがブラックリストに追加されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、[IPS] を展開してルールのタイプを選択します。たとえ
ば、ウイルス ルールを自動ブラックリストに設定するには、[詳細なパケット検査] を選択します。
2
[フィルター/タグ付け] ペインの [フィルター] タブでフィルターを選択します。前の例の場合は、[ウイルス] を
選択します。
3
[更新] アイコンをクリックします。
フィルタリングされたルールが、ルール表示領域に一覧表示されます。
4
5
6
[ブラックリスト] 列のヘッダーをクリックするか、リストのルールを選択して、[IP] または [IP とポート] をク
リックします。
右上隅の [ロールアウト] アイコン
閉じます。
をクリックして変更をロールアウトしたら、[ポリシー エディター] を
システム ナビゲーション ツリーの Nitro IPS または仮想デバイスを選択して、[プロパティ] アイコン
リックします。
7
[ブラックリスト] をクリックして、[設定] をクリックします。
8
[自動ブラックリスト設定] ページで設定を定義して、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
をク
353
10
ポリシーとルールの管理
ルールの操作
既存ルールのフィルタリング
[ポリシー エディター] でルール タイプを選択する際、デフォルトでは選択したタイプのすべてのルールがアルファ
ベット順に一覧表示されます。時間順に一覧表示したり、ルールをフィルタリングするタグを使用して条件に一致す
るルールのみを表示したりできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、フィルタリングするルールのタイプを選択します。
2
[フィルター/タグ付け] ペインで [フィルター] タブが選択されていることを確認します。
3
次のいずれかを行います。
処理
操作
複数タグを使用してフィ •
ルタリングする
カテゴリまたはタグを選択して、[クエリーを実行] アイコン
す。
をクリックしま
すべてのフィルターに一致するルールのみ表示されます。
選択したフィルターのい 1 複数のカテゴリまたはタグを選択します。
ずれかに一致するルール
2 [または] アイコンをクリックしてから、[クエリーを実行] アイコンをクリックし
を表示する
ます。
継承 ([アクション]、[重大度]、[ブラックリスト]、[集計]、[パケットをコピー])
の影響を受けているフィールドは、[または] アイコンを使用してフィルタリング
することはできません。
特定のタグを検索する
1 [検索するタグをここに入力してください] フィールドにタグの名前を入力します。
2 オプションのリストから必要なタグを選択します。
ルールを作成時間順に一 • ツールバーの [時間でソート] アイコン
覧表示する
イコンをクリックします。
をクリックして、[クエリーを実行] ア
ルールをアルファベット •
ツールバーの [名前でソート] アイコン
順に一覧表示する
イコンをクリックします。
をクリックして、[クエリーを実行] ア
フィルタリングをクリア • ルール表示ペインのタイトル バーにあるオレンジ色のフィルター アイコン
する
クリックします。
を
フィルターがクリアされ、ルール表示ペインにすべてのルールが再表示されます。
フィルター タグをクリ
アする
• ツールバーの [すべてクリア] アイコン
をクリックします。
タグはクリアされますが、ルール リストはフィルタリングされたままです。
シグネチャ ID でフィル 1 [フィルター] ペインの下部にある [詳細] バーをクリックします。
タリングする
2 シグネチャ ID を入力して、[クエリーを実行] アイコンをクリックします。
名前または説明でフィル 1 [詳細] ペインで、名前または説明を入力します。
タリングする
2 結果を大文字と小文字を区別せずに表示するには、大文字と小文字を区別しないア
をクリックします。
イコン
354
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルールの操作
処理
10
操作
デバイス タイプ、正規化 1
[詳細] ペインで、[フィルター] アイコン
をクリックします。
ID またはアクションで
フィルタリングする
2 [フィルター変数] ページで、変数を選択します。
ルール タイプのポリシ • [詳細] ペインで [例外を表示] を選択して、[クエリーを実行] アイコンをクリック
ーベースの設定とその直
します。
接の親の差異を比較する
重大度、ブラックリスト、 • 各フィールドのドロップダウンリストからフィルターを選択します。
集計、パケットをコピー、
元の場所、ルール ステー
タスをフィルタリングす
る
カスタム ルールのみ表
示する
• [詳細] ペインの [元の場所] フィールドで [ユーザー定義] を選択して、[クエリー
を実行] アイコンをクリックします。
指定期間内に作成された 1 [詳細] ペインの [時刻] フィールドの横のカレンダー アイコンをクリックします。
ルールを表示する
2 [カスタム時間] ページで開始時間と終了時間を選択して [OK] をクリックし、[ク
エリーを実行] アイコンをクリックします。
ルールのシグネチャの表示
McAfee オンライン シグネチャ データベースにアクセスすると、ルールのシグネチャに関する情報を表示できます。
このオプションは、ファイアウォール、詳細なパケット検査、データ ソース ルールに使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、表示するルールのタイプを選択します。
2
ルール表示ペインでルールを選択します。
3
[操作] をクリックして、[リファレンスを参照] を選択します。
[NTAC 脆弱性サマリー] 画面がブラウザーに表示されます。
4
シグネチャのサマリーを表示するには、画面の [シグネチャ] セクションのリンクをクリックします。
ルールの更新の取得
Nitro IPS または仮想デバイスがネットワーク トラフィックの調査に使用するルール シグネチャは、McAfee シグ
ネチャ チームが常時更新しており、セントラル サーバーからダウンロードできます。これらのルール更新は自動ま
たは手動で取得できます。
タスク
ルールをサーバーから取得する際に実行するアクションの上書きを設定するには、『ダウンロードしたルールの上書き
アクション』を参照してください。
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[設定] アイコン
2
をクリックします。
[ルールの更新] 行で、[更新] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
355
10
ポリシーとルールの管理
ルールの操作
3
更新を自動的に取得するように ESM を設定するか、今すぐ更新をチェックします。
4
更新を手動でダウンロードした場合は、[ロールアウト] アイコン
5
をクリックして更新を適用します。
手動更新を表示するには、以下の処理を実行します。
a
[フィルター/タグ付け] ペインで、[詳細] バーをクリックします。
b
[ルール ステータス] フィールドで、[更新済み]、[新規] または [更新済み/新規] を選択して、表示する更新
済みルールのタイプを指定します。
c
[クエリーを実行] アイコン
追加されたルールには星型
をクリックします。
、変更されたルールには感嘆符
のアイコンが表示されます。
更新されたルール ステータスのクリア
ルールが変更またはシステムに追加される場合。更新内容を確認できる段階になったら、これらのマークをクリアで
きます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、クリアするルールのタイプを選択します。
2
次のいずれかを行います。
処理
操作
ルール ステータ 1 [操作] をクリックして、[更新されたルール ステータスをクリア] を選択します。
スのすべてのマー
2 [すべて] をクリックします。
クをクリアする
選択したルールを 1 [フィルター/タグ付け] ペインで、[詳細] バーをクリックします。
クリアする
2 [ルール ステータス] フィールドで、[更新済み]、[新規] または [更新済み/新規] を選択
して、クリアするマーク タイプを指定します。
3
[クエリーを実行] アイコン
をクリックします。
選択したマークが付いたルールが、ルール表示ペインに一覧表示されます。
4 クリアするルールを選択します。
5 次に、[操作] 、 [更新されたルール ステータスをクリア] 、 [選択済み] をクリックしま
す。
ルール ファイルの比較
Nitro IPS、Receiver、ADM、DEM ルール ファイルのポリシーの状態(適用済み、現在、ロールバック、ステージ
ング)を比較できます。
これは、現在のポリシーをデバイスに適用した場合の影響を確認する場合に役立ちます。 この例の場合は、現在のル
ールと適用するルールを比較します。
356
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ルールの操作
10
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
3
システム ナビゲーション ツリーで、Nitro IPS、Receiver、ADM または DEM デバイスをクリックします。
アクション ツールバーの [ポリシー エディター] アイコン
を比較] をクリックします。
をクリックして、[ツール] 、 [ルール ファイル
[ルール ファイルを比較] ページで変更を行い、[比較] をクリックします。
結果ファイルの両方が 15.5 MB より小さい場合、これらのファイルは [ルール ファイルを比較] テーブルに表示さ
れます。 いずれかのファイルがこのサイズよりも大きい場合、両方のファイルをダウンロードするように指示されま
す。
ルールの変更履歴の表示
変更、更新、システムに追加されたルールと各ルールの最新バージョンを表示できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[ツール] 、 [ルールの変更履歴] をクリックします。
2
[ルール履歴] ページで、ルールの変更内容を表示するか、[ルールのバージョン] タブをクリックして各ルールの
最新バージョンを表示します。
3
[閉じる] をクリックします。
ルールの新しいウォッチリストの作成
ウォッチリストは、イベントで発生した際に通知されるように、フィルターまたはアラーム条件として使用できる特
定の情報をグループ化したリストです。グローバルなウォッチリストと ESM ユーザーまたはグループに固有なウォ
ッチリストがあります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択して、このウォッチリストに設定す
るルールを選択します。
2
[操作] をクリックして、[新しいウォッチリストを作成] を選択します。
[ウォッチリストを追加] ページに、選択したルールが一覧表示されます。
3
名前を入力して、[静的] ラジオ ボタンが選択されていることを確認します。
動的ウォッチリストを追加するには、「新しいウォッチリストの追加」を参照してください。
4
このウォッチリストでウォッチするデータのタイプを選択して、割り当て先を選択します。
管理者特権があるユーザーは、システムの任意のユーザーまたはグループにウォッチリストを割り当てることがで
きます。管理者特権がない場合は、自分または所属しているグループにのみウォッチリストを割り当てることがで
きます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
357
10
ポリシーとルールの管理
ルールまたは資産へのタグの割り当て
5
ウォッチリストにさらに値を追加するには、以下の方法で追加できます。
•
改行区切り値形式のファイルをインポートするには、[インポート] をクリックしてファイルを選択します。
•
個々の値を追加するには、[値] ボックスに 1 行につき 1 つの値を入力します。
値の最大数は 1000 です。
6
イベントが生成される際にウォッチリストの値が含まれるアラームを受信するには、[アラームを作成] をクリッ
クします。
7
[OK] をクリックします。
ウォッチリストへのルールの追加
ウォッチリストを作成した後、ルール値の追加が必要になる場合があります[ウォッチリストに追加] オプションを使
用して追加できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択します。
2
ルール表示ペインでウォッチリストに追加するルールを選択します。
3
[操作] メニューをクリックして、[ウォッチリストに追加] を選択します。
4
ルールを追加するウォッチリストを選択して [OK] をクリックします。
ルールまたは資産へのタグの割り当て
タグをルールに割り当てて、属性を示し、タグでルールをフィルタリングできます。ESM には定義済みのタグ セッ
トがありますが、新しいタグと新しいタグ カテゴリを追加できる機能も提供されます。
[タグ] タブは変数、プリプロセッサまたは正規化のルール タイプには使用できません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
358
1
[ポリシー エディター] の [ルール タイプ] ペインで、タグ付けするルールのタイプを選択します。
2
[フィルター/タグ付け] ペインで [タグ] タブをクリックします。
3
次のいずれかを行います。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
10
ポリシーとルールの管理
集計設定を変更
処理
操作
新しいタグ カ 1
[新しいカテゴリ タグ] アイコン
テゴリを追加
する
2 カテゴリの名前を入力します。
をクリックします。
3 このタグをイベント重大度の計算に使用するには、[イベントの重大度の計算にタグを使用]
を選択して、[OK] をクリックします。
ベース タグのカテゴリが追加されます。このカテゴリの下に新しいタグを追加できます。
新しいタグを
追加する
1
タグを追加するカテゴリをクリックしてから、[新しいタグ] アイコン
す。
をクリックしま
2 タグの名前を入力します。
3 このタグをイベント重大度の計算に使用するには、[イベントの重大度の計算にタグを使用]
を選択して、[OK] をクリックします。
既存のカテゴ
リまたはタグ
を編集する
1
編集するカテゴリまたはタグをクリックしてから、[タグを編集] アイコン
ます。
をクリックし
2 名前または設定を変更して、[OK] をクリックします。
カスタム タグ 1
削除するタグを強調表示して、[タグを削除] アイコン
を削除する
2 [はい] をクリックして確認します。
をクリックします。
集計設定を変更
集計されたイベントは、一致するフィールドがあるイベントです。
集計はデフォルトで選択されています。各デバイスの [イベント集計] ページでは、デバイスで生成されたすべての
イベントで使用する集計のタイプを選択できます。集計設定は、個々のルールごとに変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] の [ルール タイプ] ペインで、ルールのタイプを選択します。
2
集計設定を変更するルールを選択します。
3
ツールバーの [操作] をクリックして、[集計設定を変更] を選択します。
4
[フィールド 2] および [フィールド 3] ドロップダウン リストから、集計するフィールド タイプを選択します。
選択するフィールドは、タイプが異なっていないとエラーが発生します。
5
[OK] をクリックして設定を保存します。
6
デバイスの集計方法に影響する変更を行った場合は、変更をロールアウトするかどうかを尋ねられます。次の手
順を実行します。
a
[はい] をクリックします。
[集計例外のロールアウト] ページに、その変更の影響を受けたデバイスのステータスが表示されます。最新の
状態ではないデバイスのすべてがチェックされます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
359
10
ポリシーとルールの管理
ダウンロードしたルールの上書きアクション
b
必要に応じて、変更を適用しないデバイスのチェックマークを外します。
c
[OK] をクリックすると変更がロールアウトされます。
[ステータス] 列には、変更のロールアウトに応じて更新のステータスが反映されます。
ダウンロードしたルールの上書きアクション
McAfee のセントラル サーバーからルールをダウンロードしたときは、それらにデフォルトのアクションが割り当て
られています。
ダウンロードしたときに選択するルール タイプの上書きアクションを定義できます。上書きアクションを定義して
いない場合、ルールはデフォルトのアクションを適用します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で [ツール] をクリックし、[新しいルールの設定] を選択します。
[新しいルールの設定] ページには、[デフォルト ポリシー] に存在する上書きがリストされます。
2
上書きアクション設定を行って、[閉じる] をクリックします。
重大度の加重
イベント重大度は、資産、タグ、ルール、脆弱性に設定された重大度の加重に基づいて計算されます。
4 つの重大度はそれぞれ、最終計算で加重されます。4 つの重大度にそれぞれの加重を乗算した合計値が最終計算値
になります。[重大度の加重] ページには、資産、タグ、ルール、脆弱性のグループに関連付けられた加重が表示され
ます。設定の合計が 100 になる必要があります。1 つの設定を変更すると、その他の設定の一部またはすべてが影
響を受けます。次に、重大度の各タイプの説明を示します。
重大
度タ
イプ
説明
資産
資産は IP アドレスです。場合によってはゾーン内のアドレスです。イベントの資産重大度は、以下のよう
に決定されます。
1 すべての資産に対して、宛先 IP アドレスとイベントの宛先ゾーンが比較されます。一致が見つかると、
その資産の重大度が、このイベントの資産重大度として使用されます。
2 宛先 IP アドレスと宛先ゾーンの一致が見つからない場合は、すべての資産に対して、ソース IP アドレ
スとイベントのソース ゾーンが比較されます。ソース IP アドレスとソース ゾーンの一致が見つかった
場合、資産の重大度がこのイベントの資産重大度として使用されます。
3 一致が見つからなかった場合、資産重大度はゼロです。
360
タグ
タグ重大度は、McAfee とユーザー定義タグの両方を使用して計算されます。タグを重大度の計算に使用す
る場合、イベントのルールと資産の両方に設定する必要があります。ルールまたは資産に定義されているタ
グがない場合、または資産の一致がない場合、タグ重大度はゼロです。タグ重大度を計算するには、一致ル
ールと資産タグの数に 10 を乗じます。タグ重大度は 100 に制限されます。
ルー
ル
ルール重大度は、計算時にイベントに設定される重大度です。[ポリシー エディター] で設定されるイベン
トのルール重大度と、イベントのコレクターに設定されたデータ エンリッチメントに基づきます。
脆弱
性
VA SVE 情報がイベントの資産とルールに使用できる場合、資産とルール VA SVE がすべて一致する最大
の重大度が脆弱性重大度に使用され、その他はゼロが使用されます。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
ポリシーとルールの管理
ポリシーの変更履歴の表示
10
重大度の加重の設定
資産、タグ、ルール、脆弱性の重大度は、イベント重大度の計算時に加重されます。これらの重大度を定義する必要
があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
[ポリシー エディター] で、[重大度の加重] アイコン
をクリックします。
設定を定義して、[OK] をクリックします。
ポリシーの変更履歴の表示
ポリシーに対して行った変更のログを表示またはエクスポートすることができます。このログは最大で 1GB のデー
タを保持することができます。この上限に達すると、最も古いファイルが必要に応じて削除されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[ポリシーの変更履歴の表示] アイコン
2
をクリックします。
ログを表示またはエクスポートして、[閉じる] をクリックします。
ポリシー変更の適用
ポリシーを変更したら、その変更をロールアウトして適用する必要があります。デフォルト ポリシー レベルで行っ
た変更は、すべてのデバイスにロールアウトするとすべてのポリシーに適用されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[ポリシー エディター] で、[ロールアウト] アイコン
2
ロールアウトをどのように行うかを選択します。
3
[OK] をクリックします。
をクリックします。
各デバイスがロールアウトを完了すると、ロールアウトが正常に行われたことがポリシーのステータスに示されます。
ロールアウト コマンドが失敗すると、失敗したコマンドのサマリーがページに表示されます。
優先トラフィックの管理
トラフィックは、ルールに対するテストを受けずに Nitro IPS を通過するように設定できます。
例えば、Voice over Internet Protocol (VoIP) トラフィックを、チェックに時間をかけずに Nitro IPS とクロスオ
ーバーするよう設定する必要があるとします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
361
10
ポリシーとルールの管理
優先トラフィックの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
362
1
[ポリシー エディター] で、[変数] ルール タイプをクリックします。
2
[priority_traffic] カテゴリを展開し、[PRIORITY_TRAFFIC_LIST] をクリックします。
3
[編集] をクリックして、[変更] を選択します。
4
設定の管理を行い、[OK] をクリックします。
McAfee Enterprise Security Manager 9.5.1
製品ガイド
索引
ADM ルール (続き)
記号
プロトコル異常 146
ビュー ペイン優先設定 35
プロトコル固有のプロパティ 145
A
メトリックス参照 143
リテラル 139
ACE
論理要素 245, 342
ESM から送信するデータ タイプの選択 130
サマリー 14, 63
相関エンジン 130
リスク相関エンジン 130
リスク相関スコアリング、追加 131
リスク相関マネージャーを追加 131
履歴相関 131
Active Directory
データを取得 313
認証設定 194
ログイン認証 191
Adiscon データ ソースの設定 109
ADM
イベント 133
サマリー 14, 63
設定 133
ADM ディクショナリ 134
管理 138
論理要素、編集 343
ADM ルールの DNA プロトコル異常 146
ADM ルールの IP プロトコル異常 146
ADM ルールの TCP プロトコル異常 146
ADM ルールの Web メール プロトコル モジュール 145
ADM ルールの電子メール プロトコル モジュール 145
ADM ルールのファイル転送プロトコル モジュール 145
ADM ルールのプロトコル固有のプロパティ 145
ADM ルール用の演算子 139
ADM ルール用の正規表現文法 139
ADM ルール用のリテラル 139
ADM セッション ビューアー、パスワードを表示 134
ADM、データベース、相関ルールの論理要素 245, 342
ADM ルールの項のタイプ 141
Altiris サーバー、データを取得 313
ArcSight、データ ソースを追加 107
ASN
参照、パターン 282
参照 138
設定 135
例 136
ADM ディクショナリを参照 138
ADM ルール
デバイスの設定を定義 51, 254
ビューから検索 281
ASP 331
ASP ルール
時刻形式、追加 332
ADM ルールの DNA プロトコル異常 146
順序の設定 331
ADM ルールの IP プロトコル異常 146
ADM ルールの TCP プロトコル異常 146
Web メール プロトコル モジュール 145
C
演算子 139
CAC
カスタムを管理 346
アップロード、CA ルート証明書 193
項のタイプ 141
設定 192
構文 139
追加、ユーザー 193
サポートされているアプリケーションとプロトコル 333
認証 191
主要なコンセプト 333
ログイン、セットアップ 193
新規追加 342
CA ルート証明書、アップロード 193
正規表現文法 139
contains フィルター 263
電子メール プロトコル モジュール 145
ファイル転送プロトコル モジュール 145
McAfee Enterprise Security Manager 9.5.1
製品ガイド
363
索引
D
ELM (続き)
データの格納を準備 116
DAS、ELM データを格納するために割り当て 123
DEM
データベースを移行 128
アクションを追加 150
データを取得 129
アクションを定義 149
デバイスと同期 47
カスタム アクションを編集 150
バックアップ 127
機密データのマスク 151
フォーマット、データを格納する SAN ストレージ デバイス 122
構成設定、適用 149
ミラー ストレージ プール、再構築 121
サマリー 14, 63
ミラー管理データベース、置き換え 128
詳細設定、構成 148
ミラー データ ストレージ、追加 120
設定ファイルを同期 148
ミラー データ ストレージを追加 120
操作を設定 150
ミラーリング デバイスを無効化 121
データベース サーバー、追加 153
リストア 127
ユーザー識別 152
ライセンスを更新 148
ルール 335
ルール メトリックス参照 336
DEM 固有の設定 147
ログ データ、リストア 127
ELM データ ストレージをミラーリング 120
ELM ストレージ、必要な容量 115
ELM データを格納、準備 116
ELM の冗長性
ELM の切り替え 124
DEM に構成設定を適用 149
DEM の詳細設定、構成 148
スタンバイ ELM との通信中断
DEM ライセンスを更新 148
冗長性の無効化 124
データ同期の詳細の表示 124
DEM ルール
カスタムを管理 346
DESM、サマリー 14, 63
DHCP、セットアップ 176
E
スタンバイ ELM をサービス状態に戻す 124
ELM の設定 115
ELM の選択 281
ELM ミラーリング デバイスを無効化 121
ePO
ストリーミング イベント、ビュー 64
ELM
ELM データを格納する DAS デバイス 123
圧縮 126
認証情報の追加 156
ePolicy Orchestrator
4.0 の設定 107
圧縮、設定 126
ESM から起動 155
外部データ ストレージ 121
McAfee Risk Advisor のデータ取得、有効化 157
格納、ログ 117
設定 154
管理データベース、リストア 127
検索、高度 270
検索ジョブ 129
検索ジョブ、結果を表示 126
検索ジョブ、作成 129
タグ、IP アドレスに割り当て 156
ePO タグ
アラーム アクション 226
ePO デバイス
Real Time for McAfee ePO ダッシュボードのクエリー 160
検索ビュー 270
クエリー、データ エンリッチメント 160
サマリー 14, 63
ストレージ デバイスを追加 118
ストレージ プール、追加または編集 119
ストレージ プールを移動 119
ストレージの使用率、表示 128
ストレージの割り当て、縮小 120
ストレージ用に iSCSI デバイスを追加 122
整合性チェック、結果を表示 126
整合性チェック ジョブ 129
整合性チェック ジョブ、作成 129
代替のストレージ場所を定義 128
通信を設定 47
データ ストレージをミラーリング 120
364
McAfee Enterprise Security Manager 9.5.1
クエリー、レポートまたはビュー 159
ePO 認証情報 155
ePO の認証 155
ePO の認証情報 155
ESM
IPMI ポート、設定 174
アップグレード、プライマリと冗長 205
管理 200
サマリー 14, 63
システム情報を表示 167
冗長 ESM 196
冗長、仕組み 199
冗長を置換 200
製品ガイド
索引
ESM (続き)
IPS (続き)
セキュリティ機能 191
アノマリ検出ウィザード 161
設定をリストア 197
アラート専用モード 349
ソフトウェアを更新 29
自動ブラックリスト、設定 164
データ ストレージ、設定 186
設定 161
データ ソースと同期されていない 80, 250
内部ルール 330
デバイスと同期 47
ブラックリスト 163
ネットワーク トラフィックの制御 174
ブラックリスト、管理 163
バックアップ ファイル 198
分析レポート、生成 162
バックアップ設定 196
優先トラフィック変数 361
非同期、データソース 81, 249
IP アドレス、ePolicy Orchestrator タグを割り当て 156
ルール 348
IP アドレスをマスク 203
ロギング、設定 203
iSCSI デバイス、ELM ストレージ用に追加 122
ESM 設定をリストア 197
ESM ソフトウェアを更新 29
L
ESM で利用できる VA ベンダー 78
LDAP
ESM との SSH 通信を無効化 50
Event Receiver
サマリー 14, 63
サーバー、ユーザーの認証 195
ログイン認証 191
Linux
コマンド 206
F
使用できるコマンド 206
FIPS モード
FIPS モードでのみ使用可能な機能 21
キーが指定されたデバイス、追加 23
Linux コマンド、デバイスでの入力 48
M
削除された機能 21
McAfee ePO
情報のバックアップ 23
認証情報のセットアップ、ユーザー 36, 194
McAfee MIB 181
McAfee Network Security Manager
情報のリストア 23
整合性の検査 22
選択 21
削除済みのブラックリスト エントリ 166
トラブルシューティング 26
設定 165
非対応で使用可能な機能 21
追加または削除 166
ファイルの拡張子 23
複数の ESM デバイスとの通信 24
ブラックリスト エントリ、追加 165
McAfee Risk Advisor
データ取得 157
有効 21
用語 23
FIPS モードのトラブルシューティング 26
データ取得、有効化 157
McAfee ServicePortal、アクセス 10
McAfee Vulnerability Manager
G
証明書とパスフレーズ、取得 164
スキャンの実行 164
Global Threat Intelligence ウォッチリスト 292
スキャン、ビューから実行 281
GTI ウォッチリスト 292
接続、設定 165
設定 164
H
Hadoop PIG 210
HomeGroup ファイル共有、無効化 118
McAfee ルールセット 114
McAfee ePO データ ソース 111
MIB
ESM から取得 185
I
MIB、McAfee 181
IBM ISS SiteProtector データ ソース 112
IP 除外リスト、管理 311
N
IPMI ポート、ネットワークの設定 174
Nitro IPS
IPMI ポート、ESM またはデバイスでのセットアップ 173
IPS
サマリー 14, 63
アノーマリ検出変数、編集 162
McAfee Enterprise Security Manager 9.5.1
製品ガイド
365
索引
NSM
NSM-SIEM 設定ツール 110
SNMP
MIB 181
ストリーミング イベント、ビュー 64
アラーム 218
レイヤー 7 166
設定 178, 179
NTP サーバー
設定、通知 46
電源障害の通知 179, 246
ステータスを表示 170
デバイスの設定 46, 170
SNMP トラップ
UCAPL、アラーム 235
SSH
P
キーを再生成 204
PDF、画像の追加 262
ping の設定、ネットワーク検出 312
R
通信、ESM での無効化 50
通信キー、デバイスについて管理 42
Syslog
アラーム 218
RADIUS
Syslog リレーのサポート 109
認証設定 192
ログイン認証 191
Real Time for McAfee ePO
アクションの実行 157
クエリー、ePO ダッシュボード 160
Receiver
Syslog メッセージ
UCAPL、アラーム 235
T
TCP
セッション ハイジャック 325
資産ソース、追加 114
プロトコル異常 325
ストリーミング イベント、ビュー 64
設定 64
TCP/UDP セッション追跡 326
データ ソース 74
TCP ダンプ 49
未加工データのアーカイブ 72
Threat Intelligence Exchange
ESM との統合
Receiver-HA 64
実行履歴 158, 233
アップグレード 70
故障した Receiver を交換 72
故障のトラブルシューティング 72
TIE 実行履歴 281
ステータスを確認 71
U
セカンダリ デバイスを再初期化 69
UCAPL
デバイスのセットアップ 68
SNMP トラップ、アラーム 235
ネットワーク ポート 67
Syslog メッセージ、アラーム 235
役割の切り替え 70
アラーム、作成 235
Receiver-HA の役割の切り替え 70
監査、アラーム 235
Receiver、NSM、ePO のストリーミング イベント 64
Receivers
管理者役割、アラーム 235
システム状態、アラーム 235
証明書、アラーム 235
アーカイブ設定、定義 73
セキュリティ ログ失敗、アラーム 235
資産ソース 114
Remedy
同時セッション数、アラーム 235
アラーム アクション 226
非アクティブしきい値、アラーム 235
ケース ID、イベント レコードに追加 282
ログオン失敗、アラーム 235
ケース ID、設定 281
UCF フィルター 291
サーバー設定 168
URL リンク
RPC 正規化 326
デバイス情報を追加 50
デバイスに追加 58
S
SAN ストレージ デバイスのフォーマット、ELM データの格納 122
V
SDEE データ ソース 106
VA システム プロファイル、定義 76
ServicePortal、製品マニュアルの入手方法 10
SMS
アラーム 218
366
VA 取得、トラブルシューティング 78
VA ソース、追加 77
VA データ、取得 77
McAfee Enterprise Security Manager 9.5.1
製品ガイド
索引
VA データ、統合 76
VLAN
追加 46, 172
変更 281
アノーマリ検出
変数、編集 162
アノマリ検出
ウィザード 161
VM、データ ストレージを設定 186
アラート
W
アラート専用モード
アラーム エスカレーション 226
Web リクエスト正規化 326
WHOIS
参照、パターン 282
ビューから検索 281
Windows
イベント ルール 333
イベント ID フィルター 291
ポリシー 349
有効 349
アラーム 217
SMS 218
SNMP 218
Syslog 218
Threat Intelligence Exchange アラーム 158, 233
Windows セキュリティ ログ 99
UCAPL、作成 235
WMI イベント ログ 99
アクション 226
エスカレーション 226
Z
音声アラート 223
ZipZap 326
音声ファイル 223
カスタマイズ、サマリー 248
クエリーの管理 204, 205
あ
アーカイブ
アクティブでないパーティションのセットアップ 187
設定、Receiver の定義 73
アキュムレーター インデックスを増やす、使用可能 187
アキュムレータのインデックス作成、管理 189
アクション
DEM について定義 149
DEM に追加 150
アラーム 226
ツールバー 15, 34, 38
データ ソース 100
マップ 100
アクセス制御リスト、設定 192
アクセス、デバイスに対する許可 49
アクティブでないパーティションのアーカイブ、セットアップ 187
アクティブでないパーティション、アーカイブのセットアップ 187
圧縮、ELM を管理 126
圧縮、ELM を設定 126
アップグレード
Receiver-HA 70
プライマリと冗長、ESM 205
アップロード
音声ファイル 223
宛先 IP アドレス、レポートでのホスト名の表示 262
アドバンスド Syslog パーサー
カスタム ルールを追加 331
データ ソース 101
ルール 331
アドバンスド Syslog パーサー、データ ソース
UTF-8 以外でのエンコーディング 105
ケース 230, 271
コピー 225
削除 230, 271
作成 217, 224, 226, 234
重大度 226
受信者 221
条件 226
承認 230, 271
正常性モニター シグネチャ ID 237
相関イベント 220
ソース イベント、相関 220
対応 230
調整 234
通知、受信者を追加 169
電源障害 180, 248
電子メール 218
テンプレート 219
ビュー 230
ビュー イベントから新規に作成 281
フィルター 230, 271
ペイン 15, 34
ペイン、表示 36, 190
編集 230, 271
無効 225
メール サーバー、メッセージ 169, 222
メッセージ 168, 218
メッセージ、セットアップ 218
メッセージ テンプレート 219
メッセージの受信者 221
メッセージ、メール サーバー 169, 222
モニター 230
有効 225, 226
McAfee Enterprise Security Manager 9.5.1
製品ガイド
367
索引
アラーム 217 (続き)
インターフェース
ネットワーク設定 44, 172
ルールに追加 246
レポート 224, 234
ネットワークの管理 44, 171
ワークフロー 217
インデックス作成、アキュムレータ 189
割り当て先 226, 230, 271
インデックス設定、データベース 188
割り当て先、変更 230, 271
暗号化 203
インデックスを増やす、使用可能なアキュムレーター 187
インポート
データ ソース リスト 83
い
デバイス キー 42
位置情報、デバイスの設定を定義 51, 254
変数 324
イベント
文字列正規化ファイル 294
ルール 351
アラーム エスカレーション 226
確認済みとしてマーク 281
インポート、データ ソースのスプレッドシート 84
確認、フィールドの比較 287
インポート、ホスト名 175
ケースの作成、追跡 304
ケースへの追加 304
削除 281
集計の例外を管理 52, 256
う
ウォッチリスト
GTI 292
重大度の加重、設定 361
Threat Intelligence Exchange ウォッチリスト 158, 233
取得 253, 254
アラーム アクション 226
セッションの詳細、表示 267
イベントの追加 281
説明 251
インターネットのソース 293
ダウンロードを設定 51, 251
概要 291
チェック 253
クエリーの管理 204, 205
非アクティブのしきい値を設定 252
作成、ビュー 281
表示、正確な時間 300
新規作成 357
ブラックリスト 281
追加 292
ログ、イベントのタイプを管理 202
ルールを追加 358
ログ、言語を設定 30, 203
え
イベント時間
表示 300
イベント時間レポート 167
エクスポート
キー 41
イベント転送
コンポーネント 283
宛先を追加 256
通信キー 203
エージェント 257
ビュー 281
設定 256
設定を変更 258
フィルター設定を編集 259
ルール 352
エクスポートとインポート
exk ファイル 24
フィルターを追加 258
有効化または無効化 258
イベントとフローの取得アイコン 38
イベントの確認、フィールドの比較 287
イベントの追跡 304
イベント、フロー、ログ
収集時間の制限 252
イベント レート
アラーム条件 226
イメージ
ログイン ページへの追加 28
インターネットのソース
ウォッチリストの作成 293
368
McAfee Enterprise Security Manager 9.5.1
puk ファイル 24
エスカレーション
アラーム 226
エンコーディング、ASP データ ソース 105
エンド ステーションの設定、ネットワーク検出 312
エンドポイント検出 312
エンドポイントを検出 312
お
オーバーサブスクリプション モード、設定 350
音声ファイル
アップロード 223
アラーム 223
製品ガイド
索引
か
脅威
詳細の表示 317
外部 API
有効または無効、リスク計算 317
クエリーの管理 204, 205
外部 ELM データ ストレージ 121
脅威管理 316
格納、ELM ログ 117
共通イベント形式のデータ ソース 108
加重、重大度を設定 361
共通条件の設定 26
カスタマー ID 167
カスタマイズ、サマリー 248
く
クイック起動アイコン 15, 34
カスタム
タイプ フィルター 295
クエリ
管理 205
カスタム タイプ
削除、実行 205
作成 296
追加、時間 299
クエリー
管理 204
定義済み 297
削除、実行 204
名前/値 299
名前/値グループの追加 300
カスタム ルール
表示 350
クエリー CSV レポート 168, 218
クエリー ウィザード 283
クライアント データ ソース 82
追加 82
カスタム ASP ルール、追加 331
特定 83
カスタム表示、追加、編集、削除 32, 56
グループ
画像
ユーザー 189
追加、PDF とレポート 262
ユーザーを設定 195
仮想 ESM、データのマスク 203
仮想デバイス 53
グローバル ブラックリスト 207
設定 208
アラート専用モード 349
選択ルール、管理 55
クロック、デバイスを同期 177
デバイスに追加 55
内部ルール 330
け
ブラックリスト 163
ケース
仮想ローカル ドライブ 124
アラーム アクション 226
カテゴリ
カスタマイズ、サマリー 248
新しいタグを追加 358
既存のケースへのイベントの追加 304
新しい変数を追加 324
作成、トリガーされたアラーム 230, 271
編集 358
詳細を表示 305
カラー テーマ、コンソール 35
ステータス、追加 305
監査
ステータス、追加または編集 306
UCAPL、アラーム 235
管理者役割
UCAPL、アラーム 235
管理データベース、ELM をリストア 127
すべて表示 306
ソース イベント、ビュー 306
追加 303
電子メール通知 306
電子メールで送信、選択したケース 306
き
電子メールの送信、追加または変更時 306
キー
閉じる 304
インポート 42
フィルター 306
エクスポート 41
編集 304
デバイス 41
デバイスを管理 40
レポート、生成 307
ケース ウィンドウ 15, 34
ケース管理
起動
ePolicy Orchestrator 281
ESM から ePolicy Orchestrator 155
機密データのマスク 151
管理 151
McAfee Enterprise Security Manager 9.5.1
ペイン、表示 36, 190
レポート、生成 307
ケースのステータス、追加 305
言語、イベント ログ用に設定 30, 203
製品ガイド
369
索引
検索ジョブ 129
作成
検索ジョブ、結果を表示 126
アラーム 217
検索ジョブ、作成 129
サブゾーン
こ
サブゾーンを追加 315
追加 315
高可用性 Receiver 64
更新
し
デバイスのステータス、ポリシーの表示 350
時間カスタム タイプ、追加 299
複数デバイス上のソフトウェア 57
しきい値
ルールの確認 30
ルールを取得 355
更新されたルール ステータス、クリア 356
アラーム条件 226
シグネチャ、ルールを表示 355
シグネチャ ID、正常性モニター 238
更新の無効化、システム ナビゲーション ツリー 168
時刻、時刻を同期 177
構成設定、DEM に適用 149
時刻の同期 177
高度な検索、ELM 270
資産
故障した Receiver-HA を交換 72
管理 310
故障した Receiver、交換 72
重大度 360
定義、古い資産 310
子データ ソース、追加 81
このガイドで使用している表記規則とアイコン 9
このガイドについて 9
資産ソース 313
Receiver 114
Receiver を追加 114
コレクター
SIEM コレクター 75
管理 313
資産マネージャー 316
コンソール
カラー テーマ 35
システム ログ、表示 58
ダイアグラム 15, 34
システム クロック 167
タイムアウト 35
システム時刻を同期 177
デバイスの追加 31, 40
システム状態
UCAPL、アラート 235
表示形式を変更 36, 190
コンソールの優先設定 34
システム設定
バックアップ 196
コンポーネント
保存、冗長 ESM 199
エクスポート 283
リストア 196
カスタマイズ 275
ツールバー 278
システム ナビゲーション
バインド 285
ツリー 15, 34
パラメーターを追加 343
バー 15, 34
システム ナビゲーション ツリー
ビュー 274
表示 273
自動更新、無効化 168
メニュー オプション 281
図 38
デバイスを編成 43
ルールの例 344
コンポーネントをバインド 285
事前定義のビュー 268
コンポーネントをリンク 285
自動学習データ ソース ルール、管理 333
自動作成、データ ソース 79
さ
自動認識
アラーム アクション 226
最小要件、ハードウェアとソフトウェア 19
サイバー脅威フィード 214, 232
自動ブラックリスト ルール 353
削除
自動ブラックリスト、設定 164
イベントまたはフロー 281
四半期レポート、開始月を設定 261
カスタム ルール 350
集計
トリガーされたアラーム 230, 271
削除済み McAfee Network Security Manager ブラックリスト エント
リ、追加または削除 166
イベントの例外を管理 52, 256
設定の変更、ビュー 281
説明 51, 254
デバイスの設定 52, 255
370
McAfee Enterprise Security Manager 9.5.1
製品ガイド
索引
集計 (続き)
ルール設定を変更 359
ステータス
Receiver-HA 71
例外を追加 53, 255
デバイス、ポリシー更新の表示 350
集計設定の例外、追加 53, 255
非アクティブ 59
ストレージ
重大度
ESM VM データを設定 186
アラーム 226
ESM データを設定 186
アラーム エスカレーション 226
加重 360
ストレージ デバイス、ELM を追加 118
加重、設定 361
ストレージ プール、移動 119
データ ソース 100
ストレージ プール、追加または編集 119
マップ 100
ストレージ プール、ミラーを再構築 121
縮小、ELM ストレージの割り当て 120
ストレージ プール、リンクするストレージ デバイスを追加 118
受信者
ストレージ プールを移動 119
アラーム メッセージ 221
追加 169
ストレージ、ELM の代替の場所 128
ストレージの使用率、ELM を表示 128
ストレージの割り当て、ELM の縮小 120
条件
アラーム 226
イベント レート 226
せ
しきい値 226
正規化 348
正常性モニター 226
正規化された ID
チェック レート 226
選択 291
トリガーの頻度 226
制限、データ保持を設定 188
内部イベントの比較 226
整合性チェック、結果を表示 126
フィールド一致 226
整合性チェック ジョブ 129
偏差 226
条件、レポートを追加 262
作成 129
脆弱性
詳細なパケット検査のルール 329
重大度 360
属性、追加 329
ソースを管理 313
追加 329
冗長 ESM
アップグレード 205
評価 313
正常性ステータス フラグ 38, 59
正常性モニター
仕組み 199
アラーム条件 226
設定 196
置換 200
シグネチャ ID 238
正常性モニター シグネチャ ID
保存、システム設定 199
承認
アラーム 237
静的ルート、追加 45, 173
トリガーされたアラーム 230, 271
セカンダリ Receiver-HA デバイス、再初期化 69
情報フラグ 59
セカンダリ Receiver-HA デバイスを再初期化 69
証明書
セキュリティ、SSH 通信キー 42
UCAPL、アラーム 235
セキュリティ機能 191
新規にインストール 178
セキュリティ ログ失敗
パスフレーズ、McAfee Vulnerability Manager を取得 164
UCAPL、アラーム 235
証明書のアップロード、CA ルート 193
セッション ハイジャック、TCP 325
シリアル番号
セッションの詳細、表示 267
システム 167
セッション ビューアーのパスワード、表示 134
デバイスの表示 49
セッション ビューアー、パスワードを表示 134
侵入の痕跡 (IOC) 214, 232
接続
ESM での変更 50
す
McAfee Vulnerability Manager の設定 165
スキャン、McAfee Vulnerability Manager の実行 164
設定管理 310
すぐに使えるビュー 268
設定ファイル、DEM を同期 148
スコアリング、リスク相関 131
選択ルールの管理、仮想デバイス 55
McAfee Enterprise Security Manager 9.5.1
製品ガイド
371
索引
そ
ダウンロード
イベント、フロー、ログ 51, 251
相関イベント
アラーム、ソース イベント 220
ダウンロードしたルール、上書きアクション 360
ソース イベント、アラーム 220
ダウンロードしたルールの上書きアクション 360
相関イベント、ソース イベントの表示 73
タグ
相関エンジン、ACE 130
ePolicy Orchestrator を IP アドレスに割り当て 156
相関データ ソース 99
カスタム、削除 358
相関マネージャー、追加 130
カスタムを削除 358
相関ルール 341
カテゴリ、新規を追加 358
Threat Intelligence Exchange ルール 158, 233
既存を編集 358
インポートする場合の競合 352
重大度 360
カスタムを管理 346
新規追加 358
詳細の表示
設定、詳細表示 341
新規追加 342
パラメーターを追加 343
例 344
ルールまたは資産への割り当て 358
タグ付け、ePO 155
タスク マネージャー 204, 205
ち
論理要素 245, 342
チェック ポイント データ ソース、設定 112
論理要素、編集 343
チェック レート
アラーム条件 226
操作、DEM 用に設定 150
ソース IP アドレス、レポートでのホスト名の表示 262
調整
アラーム 234
ソース イベント
アラーム、相関 220
重複するデバイス ノード、削除 33, 57
相関、アラーム 220
ソース イベントの表示、相関イベント 73
つ
ソース、データ エンリッチメントを追加 208
通信キー、エクスポートとリストア 203
ゾーン
通知、SNMP の設定 46
エクスポート設定 314
て
管理 314
サブゾーンを追加 315
データ アクセス ルール、追加または編集 346
ゾーン設定のインポート 315
データ ストレージ、ELM をミラーリング 120
追加 314
データ ソース 74
ゾーン管理 314
Adiscon の設定 109
ゾーン設定のインポート 315
ArcSight を追加 107
ゾーンをエクスポート 314
ASP のエンコーディング 105
ソフトウェア
ASP のエンコーディング 105
複数デバイスで更新 57
ソフトウェア、ESM を更新 29
ソフトウェア、最小要件 19
ソフトウェア、デバイスを更新 42, 48
た
ePolicy Orchestrator 4.0 の設定 107
ESM と同期されていない 80, 250
IBM ISS SiteProtector 112
McAfee ePO 111
Security Device Event Exchange (SDEE) 106
Syslog リレーのサポート 109
ターゲットベース IP デフラグ 326
Windows セキュリティ ログ 99
ターゲットベース TCP 再構成 326
WMI イベント ログ 99
ターミナル、Linux コマンドの使用 206
アドバンスド Syslog パーサー 101
対応
インポートするスプレッドシート 84
管理 75
アラーム 230
対応データソース 97
共通イベント形式 108
タイム ゾーン
クライアント 82
形式、変更 36, 190
クライアント、追加 82
タイムアウト、コンソール 35
クライアント、特定 83
子を追加 81
372
McAfee Enterprise Security Manager 9.5.1
製品ガイド
索引
データ ソース 74 (続き)
自動学習、セットアップ 96
テクニカル サポート、製品情報の入手方法 10
デバイス
自動作成 79
ASN、設定を定義 51, 254
自動作成ルール、追加 79
ESM と同期 47
スプレッドシートのインポート 84
ESM との接続、変更 50
生成されたファイルを表示 97
IPMI ポート、設定 174
セキュリティとアクションのマッピング 100
Linux コマンド 48
相関 99
NTP サーバー 46, 170
チェック ポイント、設定 112
SSH 通信キーを管理 42
追加 74
URL リンクを追加 50, 58
別の Receiver へ移行 95
アクセスを許可 49
別のシステムへ移動 95
位置情報、設定を定義 51, 254
無効な表示 36, 190
イベント、フロー、ログのダウンロードを設定 51, 251
ユーザー定義のタイプ 97
キー 41
リストのインポート 83
キーをインポート 42
データ エンリッチメント 208
キーをエクスポート 41
クエリー、ePO デバイス 160
キーを管理 40
ソースを追加 208
起動 50
データ取得
McAfee Risk Advisor 157
McAfee Risk Advisor を有効化 157
データ ストレージ
グループ ノード、削除 33, 62
クロックを同期 177
更新 62
コンソールへの追加 31, 40
ESM VM を設定 186
再起動 50
ESM を設定 186
削除 38
仮想ローカル ドライブ 124
サマリー レポート 58
データ ストレージ、ELM データの格納を準備 116
集計設定 52, 255
データ ストレージ、ミラー ELM を追加 120
シリアル番号 49
データソース
ステータス データ、ダウンロード 48
対応 97
説明を変更 50
非同期、ESM 81, 249
全般情報の表示 49
データ ソースの自動学習、セットアップ 96
ソフトウェア、更新 42, 48
データ ソースの自動作成ルール、追加 79
ソフトウェアを更新 42, 48
データ ソース ルール 332
タイプ数レポート 167
自動学習、管理 333
停止 50
データ ソース、ルール アクション 332
データ ソースを無効化 36, 190
データ ソースを別のシステムへ移動 95
デバイス統計 48
データベース
デフォルト表示を変更 36, 190
インデックス設定を管理 188
トラフィックを監視 49
監査履歴 347
名前を変更 50
監査履歴、ルールおよびレポートを設定 347
ネットワーク トラフィックの制御 43
管理 186
ノードを削除 33, 62
サーバー、追加 153
バージョン 49
ステータス 167
表示タイプ 38
メモリ使用率 189
表示タイプ フィールド 38
データベースの移行
仮想ローカル ドライブ 124
データベース ルール
ビルド 49
複数の管理 57
編成 32, 43, 56
新規追加 342
マシン ID 49
論理要素 245, 342
メッセージ ログ 48
論理要素、編集 343
モデル 49
データベースを移行、ELM 128
ログを表示 58
データ保持制限、設定 188
デバイス アイコン、追加 38
データ割り当て、制限を定義 188
デバイス グループ、管理 33, 56
McAfee Enterprise Security Manager 9.5.1
製品ガイド
373
索引
内部ルール 330
デバイス時間
表示、イベント 300
管理 330
デバイス ソフトウェアを更新 42, 48
名前/値カスタム タイプ 299
デバイスと ESM を同期 47
名前/値グループ カスタム タイプ、追加 300
デバイス ノード、重複を削除 33, 57
デバイスのステータス、データをダウンロード 48
に
デバイスのトラフィックを監視 49
認証情報、ルール更新の取得と追加 29
デバイス表示タイプ、選択 32, 56
デバイスを起動 50
ね
デバイスを更新 62
ネットワーク
デバイスを再起動 50
インターフェース、デバイスに設定 44, 172
デバイスを停止 50
管理インターフェース 44, 171
デバイスを同期
設定の構成 171
クロック 177
トポロジ コンポーネント、デバイスの追加 276
デフォルト ビュー、変更 288
トポロジ、デバイスの詳細 277
デフォルトの表示タイプ、変更 36, 190
デフォルトのロギング プール、設定 47
電源障害
アラーム 180, 248
電源障害の通知 179, 246
ポート、Receiver-HA 67
ネットワーク マップ 312
ネットワーク検出 311
設定管理 310
ネットワーク検出エンド ステーション
電子メール
ping スイープ間隔 312
アラーム 218
ping タイムアウト 312
ケース通知 306
メール サーバー、接続 169, 222
ping を実行するサブネット 312
ネットワーク設定
テンプレート、アラート メッセージ 219
IPMI ポートのセットアップ 173
ネットワーク トラフィック制御
ESM 174
と
統計、デバイスについて表示 48
同時セッション数
デバイス 43
ネットワークのマップ 312
UCAPL、アラーム 235
ネットワークを検出 311
同時デバイス、ネットワーク検出 312
は
ドキュメント
このガイドの対象読者 9
バージョン、ソフトウェアの表示 49
製品固有、検索 10
ハードウェア 167
表記規則とアイコン 9
ハードウェア、最小要件 19
トラブルシューティング
Receiver-HA の故障 72
トランザクション追跡ルール、追加または編集 346
トリガーされたアラーム
ケース 230, 271
削除 230, 271
バイパス NIC
概要 45, 173
セットアップ 45, 173
パスフレーズと証明書、McAfee Vulnerability Manager を取得 164
パスワード
デフォルト 27
承認 230, 271
フィルター 230, 271
編集 230, 271
割り当て先 230, 271
トリガーの頻度
変更 36, 190
バックアップ
ELM 127
ESM 設定 196
システム設定 196
アラーム条件 226
バックアップ ファイル、使用 198
ドリルダウン、ビュー 281
バックアップから ELM をリストア 127
な
バックアップ、リストア 197
バックアップした設定ファイルのリストア 197
内部イベントの比較
パラメーター、相関ルールまたは相関コンポーネントに追加 343
アラーム条件 226
374
McAfee Enterprise Security Manager 9.5.1
製品ガイド
索引
フィルター (続き)
ひ
非アクティブしきい値
UCAPL、アラーム 235
既存ルール 354
現在の値をデフォルトとして保存 290
非アクティブのしきい値、設定 252
すべてのユーザーに表示、切り替え 290
比較、ルール ファイル 356
ツールバー 290
ビジュアル アラート
デフォルトを使用 290
アラーム アクション 226
日付形式、変更 36, 190
非同期、ESM とデータソース 80, 81, 249, 250
ビュー
カスタムの追加 272
トリガーされたアラーム 230, 271
ビュー 288
分散型 ESM に追加 154
ペイン 15, 34
ルールの追加 330
管理 286
フィルター、contains 263
クエリー、ePO デバイス 159
フィルター、イベント転送 258
高度な検索、ELM 270
フィルター設定、イベント転送を編集 259
コンポーネント 273
フィルター セット
コンポーネント、カスタマイズ 275
管理 290
コンポーネント、説明 274
フィルターで正規化された ID、選択 291
コンポーネントのツールバー 278
フィルター ルール
事前定義 268
順序の設定 331
ツールバー 15, 34, 267
データの順番 330
データの詳細 278
データ、ビュー 288
デフォルトを変更 288
フィルター 288
ルールの順序 330
複数のデバイス
管理 57
管理アイコン 38
フィルタリング 288
複数のデバイスを起動 57
フロー 269
複数のデバイスを再起動 57
ペイン 15, 34
複数のデバイスを停止 57
ホスト名の表示、IP アドレス 272
プライマリ ESM、アップグレード 205
ビューからリファレンスを参照 281
フラグ、デバイスまたはシステム 59
表示
ブラックリスト
クエリーの管理 204, 205
表示タイプ、選択 32, 56
IPS の管理 163
IPS または仮想デバイス 163
標準ルール、アクセス 162
McAfee Network Security Manager エントリを追加 165
ビルド、ソフトウェアの表示 49
アラーム アクション 226
イベント、ビュー 281
エントリ、削除済み McAfee Network Security Manager の追加
または削除 166
ふ
ファイアウォール ルール 327
グローバル 207
アクセス 162
グローバルに設定 208
イベントまたはフローから作成 281
自動的にルール 353
カスタムを追加 328
自動ブラックリストの設定 164
タイプ 327
プリプロセッサ ルール 326, 327
例外を追加 328
古い資産、定義 310
ファイル共有、HomeGroup の無効化 118
フロー
ファイルの維持、管理 198
削除 281
ファイルの拡張子、ファイルのエクスポート 23
取得 253, 254
フィールド一致
説明 251
アラーム条件 226
フィルター
UCF 291
Windows イベント ID 291
オプション、追加と削除 290
カスタム タイプ 295
McAfee Enterprise Security Manager 9.5.1
ダウンロードを設定 51, 251
チェック 253
非アクティブのしきい値を設定 252
ビュー 269
フローのロギング、有効化 269
製品ガイド
375
索引
ま
プロトコル
アノマリ イベント 133
マシン ID、デバイスの表示 49
プロトコル異常、TCP 325
プロファイル、設定 178
分散型 ESM
フィルターを追加 154
プロパティ 154
分析レポート、IPS の生成 162
分布グラフ、値を比較 285
分布グラフで値を比較 285
へ
み
未加工データ、アーカイブ 72
ミラー ストレージ プール、再構築 121
ミラー ストレージ プールを再構築 121
ミラー管理データベース、ELM を置き換え 128
ミラー データ ストレージ、ELM を追加 120
ミラーリング デバイス、ELM を無効化 121
め
別の Receiver へデータ ソースを移行 95
別名、追加 46, 172
メール サーバー
アラーム、接続 169, 222
変更履歴、ルールの表示 357
偏差
アラーム条件 226
変数 324
priority_traffic 361
インポート 324
カスタム、追加 324
接続 169, 222
メタデータ イベント 133
メッセージ
SMS 218
SNMP 218
Syslog 218
アラーム 168, 218
カスタムを削除 324
アラーム アクション 226
カテゴリ、新規を追加 324
アラーム エスカレーション 226
タイプを変更 324
アラーム、受信者 221
変更 324
アラーム、セットアップ 218
アラーム テンプレート 219
ほ
アラーム、メール サーバー 169, 222
受信者、アラーム 221
ポート
Receiver-HA、ネットワーク 67
電子メール 218
メール サーバー、接続 169, 222
ポートスキャン検出 326
保持、データ制限を設定 188
メッセージの設定 168, 218
メッセージ ログ、デバイスについて表示 48
ホスト名
メトリックス参照
管理 175
ADM ルール 143
ホスト名、インポート リスト 175
DEM ルール 336
ホスト名、レポートでの表示 262
メモリ、データベース使用率 189
ポリシー
インポート 321
エクスポート 321
も
検索 321
文字列の正規化
コピー 321
インポートするファイルの作成 294
子ポリシー 321
ファイルの管理 294
削除 321
モデル、デバイスの表示 49
追加 321
モニター
名前の変更 321
アラーム 230
変更の適用 361
ポリシー ツリー 320
ポリシー ツリー アイコン 320
ルールの表示 321
ポリシー エディター
オーバーサブスクリプション モード、設定 350
デバイスの更新ステータスを表示 350
変更履歴 361
376
McAfee Enterprise Security Manager 9.5.1
ゆ
有効、FIPS モード 27
ユーザー
再有効化 194
操作 189
追加 190
製品ガイド
索引
ユーザー (続き)
ルール (続き)
追加、CAC ログイン 193
カスタムを削除 350
デフォルト名 27
カスタムを表示 350
認証、LDAP サーバー 195
既存のフィルタリング 354
無効 194
更新ステータスのクリア 356
更新の確認 30
ユーザー識別
管理 152
更新を取得 355
ルールを追加 152
コピーおよび貼り付け 350
ユーザー定義のデータ ソース タイプ 97
シグネチチャを表示 355
優先設定、コンソール 34
自動ブラックリスト 353
優先トラフィック、マネージャー 361
集計設定を変更 359
重大度 360
よ
正規化 348
よくある質問 11, 16
タイプとプロパティ 323
ダウンロードへの上書きアクション 360
ら
追加、アラーム 246
データ ソース 332
ライセンス、DEM を更新 148
トランザクション追跡、追加または編集 346
トリガー イベント 133
り
内部 330
リスク
認証情報の更新 29
脅威、計算対象 317
比較、ルール 356
リスク相関エンジン、ACE 130
標準、アクセス 162
リスク相関スコアリング 131
ファイアウォール、アクセス 162
リスク相関マネージャー、追加 131
プリプロセッサ 326, 327
リスクの重大度と脅威の管理
変更 350
管理 316
変数 324
表示、カスタムと事前定義 316
リストア
システム設定 196
通信キー 203
リモート コマンド
アラーム アクション 226
アラーム エスカレーション 226
リモート コマンド プロファイル、設定 178
リモート デバイス、アクセス 205
リモート デバイスへのアクセス 205
履歴
ポリシー変更 361
ルールの変更を表示 357
履歴相関、ACE 131
履歴相関、フィルターを追加 132
履歴、変更を表示 357
ルールセット 114
ルールの更新を取得 355
ルールのタイプ 323
ルールをコピーおよび貼り付け 350
ルールを変更 350
れ
レイアウト、レポートを追加 261
例外、ファイアウォール ルールを追加 328
レイヤー 7、イベント取得の遅延 166
レポート
ESM デバイス タイプ数 167
IPS 分析、生成 162
履歴相関イベント、ダウンロード 132
アラーム 224, 234
る
アラーム エスカレーション 226
ルート証明書のアップロード、CAC 193
ルール
Windows イベント 333
アドバンスド Syslog パーサー 331
イベントから作成、カスタム 281
インポート 351
ウォッチリストに追加 358
エクスポート 352
McAfee Enterprise Security Manager 9.5.1
アラーム アクション 226
イベント時間 167
画像の追加 262
キャンセル 224, 234
キュー 224, 234
クエリー、ePO デバイス 159
クエリーの管理 204, 205
ケース管理、生成 307
削除 224, 234
製品ガイド
377
索引
ログ (続き)
レポート (続き)
ダウンロードを設定 51, 251
四半期、開始月を設定 261
チェック 253
条件を追加 262
すぐに使える 260
ログ イベント
ダウンロード 224, 234
追加 261
アラーム アクション 226
ログイン
通知、受信者を追加 169
アクセス制御リスト 192
停止 224, 234
コンソール 初回 27
デバイス サマリー 58
セキュリティ 191
設定の定義 191
ホスト名の表示 262
ユーザー定義 260
ログイン ページ、カスタマイズ 28
レイアウト 261
ログオフ
コンソール 27
ログオン失敗
ろ
ローカル ドライブ、仮想 124
ロギング
ESM を設定 203
システムまたはデバイスを表示 58
デフォルトのプールを設定 47
フローを有効化 269
ログ
ログの格納、ELM 117
ロゴ、ログイン ページへの追加 28
論理要素、編集 343
わ
管理 202
ワークフローの追跡 304
言語を設定 30, 203
割り当て先
生成するタイプ 202
アラーム エスカレーション 226
割り当て、データ制限を定義 188
説明 251
378
UCAPL、アラーム 235
ログ データ、ELM をリストア 127
McAfee Enterprise Security Manager 9.5.1
製品ガイド
0-16
Fly UP