Network Security Platform 6.0 Integration Guide - McAfee
Network Security Platform 6.0 Integration Guide - McAfee Network Security Platform 6.0 Integration Guide - McAfee
McAfee® Network Security Platform バージョン 6.0 McAfee® ネットワーク保護 業界トップの侵入防止ソリューション Integration Guide 改訂 2.0
- Page 2 and 3: 著作権 Copyright ® 2001 - 2010
- Page 4 and 5: Vulnerability Manager スキャン
- Page 6 and 7: McAfee® Network Security Platform
- Page 8 and 9: McAfee® Network Security Platform
- Page 10 and 11: McAfee® Network Security Platform
- Page 12 and 13: McAfee® Network Security Platform
- Page 14 and 15: McAfee® Network Security Platform
- Page 16 and 17: McAfee® Network Security Platform
- Page 18 and 19: McAfee® Network Security Platform
- Page 20 and 21: McAfee® Network Security Platform
- Page 22 and 23: McAfee® Network Security Platform
- Page 24 and 25: McAfee® Network Security Platform
- Page 26 and 27: McAfee® Network Security Platform
- Page 28 and 29: McAfee® Network Security Platform
- Page 30 and 31: McAfee® Network Security Platform
- Page 32 and 33: McAfee® Network Security Platform
- Page 34 and 35: McAfee® Network Security Platform
- Page 36 and 37: McAfee® Network Security Platform
- Page 38 and 39: McAfee® Network Security Platform
- Page 40 and 41: McAfee® Network Security Platform
- Page 42 and 43: 第 3 章 McAfee Vulnerability Mana
- Page 44 and 45: McAfee® Network Security Platform
- Page 46 and 47: McAfee® Network Security Platform
- Page 48 and 49: McAfee® Network Security Platform
- Page 50 and 51: McAfee® Network Security Platform
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong><br />
バージョン <strong>6.0</strong><br />
<strong>McAfee</strong>®<br />
ネットワーク保護<br />
業界トップの侵入防止ソリューション<br />
<strong>Integration</strong> <strong>Guide</strong><br />
改訂 2.0
著作権<br />
Copyright ® 2001 - 2010 <strong>McAfee</strong>, Inc. All Rights Reserved.この印刷物のいかなる部分についても、<strong>McAfee</strong>, Inc.、または供給業者あるいは関連会社の書面による許可なしには、複<br />
製、送信、複写、検索システムへの格納、他言語への翻訳、あるいはいかなる形態による使用も禁止されています。<br />
商標<br />
Active<strong>Security</strong>、アクティブセキュリティ、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、E-Policy Orchestrator、イーポリシー・オーケストレイター、<br />
GroupShield、グループシールド、IntruShield、<strong>McAfee</strong>、マカフィー、NetShield、ネットシールド、SpamKiller、VirusScan、WebShield、ウェブシールドは米国法人 <strong>McAfee</strong>, Inc.<br />
またはその関係会社の登録商標です。<strong>McAfee</strong> ブランドの製品は赤を基調としています。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。<br />
ライセンス情報と特許情報<br />
ライセンス条項<br />
お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよ<br />
くお読みください。どのような種類のライセンスを取得したか不明である場合は、販売およびその他関連のライセンス証書を参照するか、ソフトウェア パッケージに含まれてい<br />
る注文書または購入製品の一部として個別に受け取った文書 (ブックレット、製品 CD のファイル、またはソフトウェア パッケージをダウンロードした Web サイトから入手でき<br />
るファイル) を確認してください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返品いただければ、<br />
所定の条件を満たすことによりご購入額全額をお返しいたします。<br />
帰属<br />
本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります。<br />
* OpenSSL Toolkitで使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。* Eric A. Young によって記述された暗号化ソフトウェアおよ<br />
び Tim J. Hudson に記述されたソフトウェア。* ユーザが特定のプログラムまたはその一部をコピー、修正、再配布したり、そのソース コードにアクセスを許諾する GNU GPL<br />
(General Public License) またはその他の同様のフリー ソフトウェア ライセンス下のユーザに対して、その他の権利において、使用許諾 (または二次使用許諾) されているいくつ<br />
かのソフトウェア プログラム。GPL では、ソフトウェアを実行可能なバイナリ形式で配布する場合に、そのソースコードも一緒に提供することが定められています。本製品に GPL<br />
で配布されているソフトウェアが含まれている場合、そのソースコードが製品 CD に収録されています。この使用許諾契約で認められた権利を超えて、ソフトウェア プログラム<br />
を使用、コピーまたは変更する権利を <strong>McAfee</strong> が付与することを無償ソフトウェア ライセンスが義務付けている場合は、この契約にある権利と制限より優先されます。* Henry<br />
Spencer によって作成されたソフトウェア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. * Robert Nordier によって作成されたソフトウェア。Copyright (C) 1996-7 Robert<br />
Nordier. * Douglas W. Sauder によって作成されたソフトウェア。* Apache Software Foundation (http://www.apache.org/) に開発されたソフトウェア。本ソフトウェアの使用許諾<br />
条件については、www.apache.org/licenses/LICENSE-2.0.txt を参照。* International Components for Unicode ("ICU") Copyright (C) 1995-2002 International Business Machines<br />
Corporation and others. * CrystalClear Software, Inc. によって開発されたソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. * FEAD (R) Optimizer (R) technology,<br />
Copyright Netopsystems AG, Berlin, Germany. * Outside In (R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. および/または Outside In (R) HTML Export, (C) 2001 Stellent<br />
Chicago, Inc. * Thai Open Source Software Center Ltd. および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998, 1999, 2000. * Expat maintainers が著作権を所有するソ<br />
フトウェア。* The Regents of the University of California が著作権を所有するソフトウェア。 (C) 1996, 1989, 1998-2000. * Gunnar Ritter が著作権を所有するソフトウェア。* Sun<br />
Microsystems, Inc., 4150 <strong>Network</strong> Circle, Santa Clara, California 95054, U.S.A が著作権を所有するソフトウェア。 (C) 2003. * Gisle Aas が著作権を所有するソフトウェア。 (C)<br />
1995-2003. * Michael A. Chase が著作権を所有するソフトウェア。 (C) 1999-2000. * Neil Winton が著作権を所有するソフトウェア。 (C) 1995-1996. * RSA Data <strong>Security</strong>, Inc. が<br />
著作権を所有するソフトウェア。 (C) 1990-1992. * Sean M. Burke が著作権を所有するソフトウェア。 (C) 1999, 2000. * Martijn Koster が著作権を所有するソフトウェア。 (C) 1995.<br />
* Brad Appleton が著作権を所有するソフトウェア。 (C) 1996-1999. * Michael G. Schwern が著作権を所有するソフトウェア。 (C) 2001. * Graham Barr が著作権を所有するソフ<br />
トウェア。 (C) 1998. * Larry Wall および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998-2000. * Frodo Looijaard が著作権を所有するソフトウェア。 (C) 1997. * Python<br />
Software Foundation が著作権を所有するソフトウェア。Copyright (C) 2001, 2002, 2003. 本ソフトウェアの使用許諾条件については、www.python.org を参照。* Beman Dawes が<br />
著作権を所有するソフトウェア。 (C) 1994-1999, 2002. * Andrew Lumsdaine、Lie-Quan Lee、Jeremy G. Siek によって作成されたソフトウェア。 (C) 1997-2000 University of Notre<br />
Dame. * Simone Bordet と Marco Cravero の著作権で保護されているソフトウェア (C) 2002. * Stephen Purcell の著作権で保護されているソフトウェア (C) 2001. * Indiana<br />
University Extreme!Lab 開発のソフトウェア (http://www.extreme.indiana.edu/) * International Business Machines Corporation およびその関係会社が著作権を所有するソフトウェ<br />
ア (C) 1995-2003. * カリフォルニア大学バークレー校によって開発されたソフトウェア。* Ralf S. Engelschall によって mod_ssl プロジェクト<br />
(http://www.modssl.org/) で使用するために開発されたソフトウェア。* Kevlin Henney が著作権を所有するソフトウェア。 (C) 2000-2002. * Peter Dimov および Multi Media Ltd. が<br />
著作権を所有するソフトウェア。 (C) 2001, 2002. * David Abrahams が著作権を所有するソフトウェア。 (C) 2001, 2002. 詳細については、http://www.boost.org/libs/bind/bind.html<br />
を参照。* Steve Cleary、Beman Dawes、Howard Hinnant および John Maddock の著作権で保護されているソフトウェア (C) 2000. * Boost.org の著作権で保護されているソフト<br />
ウェア (C) 1999-2002. * Nicolai M. Josuttis の著作権で保護されているソフトウェア (C) 1999. * Jeremy Siek の著作権で保護されているソフトウェア (C) 1999-2001. * Daryle<br />
Walker の著作権で保護されているソフトウェア (C) 2001. * Chuck Allison および Jeremy Siek の著作権で保護されているソフトウェア (C) 2001, 2002. * Samuel Krempp の著作権<br />
で保護されているソフトウェア (C) 2001. アップデート、ドキュメント、改定履歴については http://www.boost.org を参照してください。* Doug Gregor (gregod@cs.rpi.edu) の著<br />
作権で保護されているソフトウェア (C) 2001, 2002. * Cadenza New Zealand Ltd. の著作権で保護されているソフトウェア (C) 2000. * Jens Maurer の著作権で保護されているソフ<br />
トウェア (C) 2000, 2001. * Jaakko Jの著作権で保護されているソフトウェア (C) 1999, 2000. * Ronald Garcia の著作権で保護されているソフトウェア (C) 2002. * David Abrahams、<br />
Jeremy Siekと Daryle Walker の著作権で保護されているソフトウェア (C) 1999-2001. * Stephen Cleary (shammah@voyager.net) の著作権で保護されているソフトウェア (C)<br />
2000. * Housemarque Oy の著作権で保護されているソフトウェア (C) 2001. * Paul Moore の著作権で保護されているソフトウェア (C) 1999. * Dr.<br />
John Maddock の著作権で保護されているソフトウェア (C) 1998-2002. * Greg Colvin と Beman Dawes の著作権で保護されているソフトウェア (C) 1998, 1999 .* Peter Dimov の<br />
著作権で保護されているソフトウェア (C) 2001, 2002. * Jeremy Siek と John R. Bandela の著作権で保護されているソフトウェア (C) 2001. * Joerg Walter と Mathias Koch の著<br />
作権で保護されているソフトウェア (C) 2000-2002. * Carnegie Mellon University の著作権で保護されているソフトウェア (C) 1989, 1991, 1992. * Cambridge Broadband Ltd. の著<br />
作権で保護されているソフトウェア (C) 2001-2003 . * Sparta, Inc. の著作権で保護されているソフトウェア (C) 2003-2004. * Cisco, Inc. および Information <strong>Network</strong> Center of<br />
Beijing University of Posts and Telecommunications の著作権で保護されているソフトウェア (C) 2004. * Simon Josefsson の著作権で保護されているソフトウェア (C) 2003. *<br />
Thomas Jacob の著作権で保護されているソフトウェア (C) 2003-2004. * Advanced Software Engineering Limited の著作権で保護されているソフトウェア (C) 2004. * Todd C.<br />
Miller の著作権で保護されているソフトウェア (C) 1998. * The Regents of the University of California の著作権で保護されているソフトウェア (C) 1990, 1993. Berkeley に Chris<br />
Torek によって寄贈されたソフトウェアから生成したコードを含む。<br />
2010 年 1 月発行/ <strong>Integration</strong> <strong>Guide</strong><br />
700-2374-16 / 2.0 - 日本語
目次<br />
まえがき .......................................................................................................... v<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> について............................................................... v<br />
本書について ............................................................................................................... v<br />
対象読者 ...................................................................................................................... v<br />
関連資料 ......................................................................................................................vi<br />
本書の表記規則...........................................................................................................vii<br />
テクニカル サポートの連絡先 ................................................................................... viii<br />
第 1 章 <strong>McAfee</strong> ePO との統合........................................................................ 1<br />
ePO サーバ詳細の設定................................................................................................ 2<br />
ePO サーバからホストの詳細を要求 .......................................................................... 5<br />
ソースおよび宛先ホストの詳細情報の表示 ........................................................... 6<br />
IP アドレスを使用したホストの詳細表示 .............................................................. 9<br />
ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの表示 .................................... 14<br />
構成 ...................................................................................................................... 15<br />
第 2 章 <strong>McAfee</strong> Host Intrusion Prevention との統合 ................................ 29<br />
Host Intrusion Prevention 詳細の設定........................................................................ 30<br />
Host Intrusion Prevention Sensor の追加 .................................................................. 31<br />
ePO での Host Intrusion Prevention Sensor の設定 .................................................. 32<br />
第 3 章 <strong>McAfee</strong> Vulnerability Manager との統合 ....................................... 34<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合 ........................ 34<br />
Vulnerability Manager のインストール................................................................. 36<br />
Vulnerability Manager 設定のメニュー オプション.............................................. 37<br />
マネージャでの Vulnerability Manager の設定 ..................................................... 38<br />
Vulnerability Manager 構成ウィザードの使用 ...................................................... 46<br />
攻撃の関連性の解析 .................................................................................................. 46<br />
関連性の解析用のメニュー オプション................................................................ 47<br />
マネージャでの関連性の解析の構成 .................................................................... 47<br />
関連性構成ウィザードの使用............................................................................... 54<br />
Vulnerability Manager スケジューラの障害メッセージ........................................ 55<br />
トラブルシューティング オプション ........................................................................ 56<br />
Vulnerability Manager キャッシュのリロード ...................................................... 56<br />
関連性キャッシュのリセット............................................................................... 57<br />
データベースアップデートの再送信 .................................................................... 57<br />
Vulnerability Manager のカスタム証明書のサポート................................................. 58<br />
Threat Analyzer からの Vulnerability Manager スキャンの要求 ................................ 58<br />
iii
Vulnerability Manager スキャンの表示................................................................. 60<br />
Vulnerability Manager のスキャン オプション ..................................................... 61<br />
ホストの再スキャン ............................................................................................. 64<br />
同時スキャン........................................................................................................ 64<br />
[Hosts] (ページ) からの Vulnerability Manager スキャンの実行........................... 65<br />
Vulnerability Manager オンデマンド スキャンの障害メッセージ.............................. 66<br />
Vulnerability Manager スキャンのシナリオ............................................................... 66<br />
ホストのオンデマンド スキャン .......................................................................... 67<br />
ホストの同時スキャン.......................................................................................... 67<br />
第 4 章 <strong>McAfee</strong> NAC との統合..................................................................... 69<br />
ホストの分類方法 ...................................................................................................... 69<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 5.1 での統合環境............................................................. 70<br />
統合要件 .................................................................................................................... 71<br />
ePO システムに必要な設定 ................................................................................. 71<br />
必要な ePO/<strong>McAfee</strong> NAC の詳細情報.................................................................. 71<br />
センサと <strong>McAfee</strong> NAC サーバの統合 ........................................................................ 72<br />
管理ドメイン レベルでの構成.............................................................................. 72<br />
センサおよび <strong>McAfee</strong> NAC/ePO サーバ間での信頼関係の確立........................... 73<br />
<strong>McAfee</strong> NAC 関連の詳細表示 .................................................................................... 75<br />
<strong>McAfee</strong> NAC 関連の動作ステータス メッセージの表示 ...................................... 75<br />
マネージャ レポートを使用する <strong>McAfee</strong> NAC 詳細の表示.................................. 76<br />
第 5 章 <strong>McAfee</strong> Artemis との統合 ............................................................... 77<br />
用語 ........................................................................................................................... 78<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合の詳細 ................................................. 79<br />
制限事項 .................................................................................................................... 81<br />
マネージャでの Artemis 統合設定 ............................................................................. 81<br />
マルウェア検出の設定.......................................................................................... 81<br />
IPS センサでのマルウェア検出設定 .................................................................... 87<br />
マルウェア検出レポート ........................................................................................... 90<br />
Threat Analyzer でのマルウェア詳細の表示.............................................................. 91<br />
センサごとのマルウェア統計の表示 .................................................................... 92<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合での CLI コマンド ............................... 94<br />
トラブルシューティング ........................................................................................... 94<br />
索引 ............................................................................................................... 95<br />
iv
まえがき<br />
以下では、本製品について簡単に説明し、本書の内容および構成について説明します。ま<br />
た、本書をサポートするマニュアルおよび <strong>McAfee</strong> テクニカル サポートへの連絡方法につ<br />
いても説明します。<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> について<br />
本書について<br />
対象読者<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> (旧 <strong>McAfee</strong> ® IntruShield ® ) は、大企業、電話会社、サー<br />
ビス プロバイダ ネットワーク向けの最も包括的で高性能な、拡張可能なネットワーク ア<br />
クセス制御 (NAC)、ネットワーク侵入防御システム (IPS) および <strong>Network</strong> Threat Behavior<br />
Analysis (NTBA) を提供します。スパイウェアや既知のゼロデイ攻撃や暗号化による攻撃に<br />
対して、比類なき保護対策を実現します。<br />
<strong>McAfee</strong> <strong>Network</strong> Threat Behavior Analysis アプライアンスは、ネットワーク上で送受信さ<br />
れている NetFlow 情報をリアルタイムに分析し、ネットワーク トラフィックを監視します。<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> Sensor、NAC センサ、NTBA アプライアンスをインストールし<br />
て単一のマネージャで管理することで、NAC と IPS の機能を補完することができます。<br />
本書では、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>と他の<strong>McAfee</strong>製品 (<strong>McAfee</strong> ePolicy Orchestrator®<br />
(ePO)、<strong>McAfee</strong> ® Host Intrusion Prevention (旧<strong>McAfee</strong> ® Entercept)、Vulnerability Manager お<br />
よび<strong>McAfee</strong> ® <strong>Network</strong> Access Controlなど) との統合に関する機能および構成について説明<br />
します。<br />
本書は、<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Manager (旧 <strong>McAfee</strong> ® IntruShield ® <strong>Security</strong> Manager) お<br />
よび<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Sensor (旧 <strong>McAfee</strong> ® IntruShield ® Sensor) のインストール、<br />
設定、メンテナンスを行うネットワークの専門家およびメンテナンス担当者を対象として<br />
います。IPS 関連のタスク、タスク同士の関係、特定のタスクを実行するコマンドなどに<br />
精通している必要はありません。<br />
v
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> まえがき<br />
関連資料<br />
次のマニュアルおよびオンライン ヘルプは、本書の関連資料です。これらの資料の詳細に<br />
ついては、『Quick Tour』 (クイック ツアー) を参照してください。<br />
• Quick Tour (クイック ツアー)<br />
• Installation <strong>Guide</strong> (インストール ガイド)<br />
• Upgrade <strong>Guide</strong> (アップグレード ガイド)<br />
• Getting Started <strong>Guide</strong> (スタート ガイド)<br />
• IPS Deployment <strong>Guide</strong> (IPS 配備ガイド)<br />
• Manager Configuration Basics <strong>Guide</strong> (マネージャ コンフィグレーション ベーシック<br />
ガイド)<br />
• I-1200 Sensor Product <strong>Guide</strong> (I-1200 センサ製品ガイド)<br />
• I-1400 Sensor Product <strong>Guide</strong> (I-1400 センサ製品ガイド)<br />
• I-2700 Sensor Product <strong>Guide</strong> (I-2700 センサ製品ガイド)<br />
• I-3000 Sensor Product <strong>Guide</strong> (I-3000 センサ製品ガイド)<br />
• I-4000 Sensor Product <strong>Guide</strong> (I-4000 センサ製品ガイド)<br />
• I-4010 Sensor Product <strong>Guide</strong> (I-4010 センサ製品ガイド)<br />
• M-1250/M-1450 Sensor Product <strong>Guide</strong> (M-1250/M-1450 センサ製品ガイド)<br />
• M-1250/M-1450 Quick Start <strong>Guide</strong> (M-1250/M-1450 クイック スタート ガイド)<br />
• M-2750 Sensor Product <strong>Guide</strong> (M-2750 センサ製品ガイド)<br />
• M-2750 Quick Start <strong>Guide</strong> (M-2750 クイック スタート ガイド)<br />
• M-3050/M-4050 Sensor Product <strong>Guide</strong> (M-3050/M-4050 センサ製品ガイド)<br />
• M-3050/M-4050 Quick Start <strong>Guide</strong> (M-3050/M-4050 クイック スタート ガイド)<br />
• M-6050 Sensor Product <strong>Guide</strong> (M-6050 センサ製品ガイド)<br />
• M-6050 Quick Start <strong>Guide</strong> (M-6050 クイック スタート ガイド)<br />
• M-8000 Sensor Product <strong>Guide</strong> (M-8000 センサ製品ガイド)<br />
• M-8000 Quick Start <strong>Guide</strong> (M-8000 クイック スタート ガイド)<br />
• Gigabit Optical Fail-Open Bypass Kit <strong>Guide</strong> (Gigabit 光フェールオープン バイパス<br />
キット ガイド)<br />
• Gigabit Copper Fail-Open Bypass Kit <strong>Guide</strong> (Gigabit 銅線フェールオープン バイパス<br />
キット ガイド)<br />
• 10 Gigabit Fail-Open Bypass Kit <strong>Guide</strong> (10 Gigabit フェールオープン バイパス キット<br />
ガイド)<br />
• M-8000/M-6050/M-4050/M-3050 Slide Rail Assembly Procedure<br />
(M-8000/M-6050/M-4050/M-3050 スライド レールの組立て手順)<br />
• M-2750 Slide Rail Assembly Procedure (M-2750 スライド レールの組立て手順)<br />
• M-series DC Power Supply Installation Procedure (M シリーズ DC 電源装置設置手順)<br />
• Administrative Domain Configuration <strong>Guide</strong> (管理ドメイン コンフィグレーション ガイ<br />
ド)<br />
• Manager Server Configuration <strong>Guide</strong> (マネージャ サーバ コンフィグレーション ガイ<br />
ド)<br />
• CLI <strong>Guide</strong> (CLI ガイド)<br />
vi
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> まえがき<br />
本書の表記規則<br />
• Device Configuration <strong>Guide</strong> (デバイス コンフィグレーション ガイド)<br />
• IPS Configuration <strong>Guide</strong> (IPS コンフィグレーション ガイド)<br />
• NAC Configuration <strong>Guide</strong> (NAC コンフィグレーション ガイド)<br />
• System Status Monitoring <strong>Guide</strong> (システムの状態の監視ガイド)<br />
• Reports <strong>Guide</strong> (レポート ガイド)<br />
• Custom Attack Definitions <strong>Guide</strong> (カスタム攻撃定義ガイド)<br />
• Central Manager Administrator's <strong>Guide</strong> (セントラル マネージャ管理者ガイド)<br />
• Best Practices <strong>Guide</strong> (考慮事項ガイド)<br />
• Troubleshooting <strong>Guide</strong> (トラブルシューティング ガイド)<br />
• Special Topics <strong>Guide</strong>—In-line Sensor Deployment (関連トピック ガイド - In-line セン<br />
サ配備)<br />
• Special Topics <strong>Guide</strong>—Sensor High Availability (関連トピック ガイド - 高可用性セン<br />
サ)<br />
• Special Topics <strong>Guide</strong>—Virtualization (関連トピック ガイド - 仮想化)<br />
• Special Topics <strong>Guide</strong>—Denial-of-Service (関連トピック ガイド - サービス拒否)<br />
• NTBA Appliance Administrator's <strong>Guide</strong> (NTBA アプライアンス管理者ガイド)<br />
• NTBA Monitoring <strong>Guide</strong> (NTBA 監視ガイド)<br />
• NTBA Appliance T-200 Quick Start <strong>Guide</strong> (NTBA アプライアンス T-200 クイック ス<br />
タート ガイド)<br />
• NTBA Appliance T-500 Quick Start <strong>Guide</strong> (NTBA アプライアンス T-500 クイック ス<br />
タート ガイド)<br />
本書は次の表記規則に従っています。<br />
規則 例<br />
ユーザ インターフェース (UI) とし [Properties] (プロパティ) タブの[Service] (サービ<br />
て表示されるフィールド、ボタン、 ス) フィールドに、必要なサービスの名前を指定<br />
タブ、オプション、選択項目、コ します。<br />
マンドなどは Arial Narrow の太字で<br />
表記しています。<br />
メニュー項目やグループを順番に<br />
選択するときの手順を表します。<br />
操作手順を表す場合には、番号付<br />
きの箇条書きを使用しています。<br />
キーボードのキーの名前を示す場<br />
合に、大文字を使用しています。<br />
ユーザがそのまま入力する構文、<br />
キーワード、値は Courier New<br />
フォントで表記しています。<br />
vii<br />
[My Company]、[Admin Domain] (管理ドメイン)、<br />
[Admin Domain] (サマリ) の順に選択します。<br />
1. [Configuration] (設定) タブで [Backup] (バック<br />
アップ) をクリックします。<br />
ENTER キーを押します。<br />
次のコマンドを入力します。setup と入力して<br />
ENTER キーを押します。
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> まえがき<br />
規則 例<br />
特定の状況や環境に基づいて入力<br />
する必要のある可変情報は、イタ<br />
リック体 で表記しています。<br />
必須で入力するパラメータは不等<br />
号括弧で囲んであります。<br />
操作を行う前に必ず参照しなけれ<br />
ばならない情報や、データの削除<br />
など、操作を行うと問題が発生す<br />
ることを警告する場合に、この<br />
マークを使用しています。<br />
電気機器を取り扱う場合に怪我や<br />
事故に繋がるような操作や行為を<br />
記述する場合に、このマークを使<br />
用しています。<br />
関連する情報を示す場合に、この<br />
マークを使用しています。<br />
テクニカル サポートの連絡先<br />
次のコマンドを入力します。 を入力して ENTER キーを押します。<br />
set Sensor ip <br />
警告:<br />
危険:<br />
注意:<br />
テクニカルサポートの連絡先及びサポート内容については、購入サポート窓口までお問い<br />
合わせください。<br />
オンライン<br />
弊社テクニカル サポート: http://mysupport.mcafee.com<br />
登録ユーザの方は、最新のドキュメントや技術情報を入手したり、<strong>McAfee</strong> KnowledgeBase<br />
にいつでもアクセスすることができます。また、技術的な問題をオンラインで解決したり、<br />
ソフトウェアのダウンロードやシグネチャのアップデートを行うこともできます。<br />
電話によるサポート<br />
テクニカル サポートの受付時間は米国太平洋標準時の月曜日から金曜日の午前 7 時から<br />
午後 5 時までです。Gold または Platinum サービスを契約している場合には、曜日時間に<br />
かかわらずサポートを受けることができます。世界各国の電話連絡先については、<br />
http://www.mcafee.com/us/about/contact/index.html を参照してください。<br />
注意: <strong>McAfee</strong> テクニカル サポートの受付時に、承認番号とシステムのシリアル番号<br />
が必要になります。また、オンラインの問い合わせでは、ユーザ名とパスワードを<br />
入力する必要があります。<br />
viii
第 1 章<br />
<strong>McAfee</strong> ePO との統合<br />
<strong>McAfee</strong> ePolicy Orchestrator® (ePO) は、ウイルス対策、デスクトップ ファイア ウォール<br />
およびスパイウェア対策アプリケーションなどのシステム セキュリティ製品の一元化さ<br />
れた管理と施行のための、スケーラブル プラットフォームです。<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> (旧 <strong>McAfee</strong> ® IntruShield ® ) と ePO 4.0 および 4.5 を統合することができます。統合<br />
により、<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Manager から ePO サーバにクエリを送信し、ネット<br />
ワーク上のホストの情報を表示できます。<br />
ePO の詳細については、『<strong>McAfee</strong> ePO Product <strong>Guide</strong>』 (<strong>McAfee</strong> ePO 製品ガイド) を参照して<br />
ください。http://www.mcafee.com/us/enterprise/downloads/index.html からガイドをダウン<br />
ロードできます。<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> Manager (マネージャ) と ePO の統合により、ePO サーバにクエ<br />
リを送信して、ネットワーク上のホストの詳細を取得できます。ePO サーバから取得する<br />
詳細情報には、ホスト タイプ、ホスト名、ユーザ名、オペレーティング システムの詳細や<br />
上位 10 件のウイルス対策イベント、ホストにインストールされているシステム セキュリ<br />
ティ製品の詳細が含まれます。これらの詳細情報は Threat Analyzer に表示されます。ePO<br />
インストールの一部として、<strong>McAfee</strong> ® Host Intrusion Prevention (旧 <strong>McAfee</strong> ® Entercept) を<br />
インストールした場合、特定のホストについて最新の Host Intrusion Prevention イベント<br />
を 10 個表示することもできます。これらの詳細は、可視性が向上し、ネットワーク上で見<br />
られるセキュリティ イベントの Forensic 調査を実行する、セキュリティ管理者について、<br />
関連性を説明します。Threat Analyzer でホストのアラート詳細を確認するときに、[Alerts]<br />
(アラート) ページの IP アドレス上にマウスを置くと、ホスト名や現在のユーザ、OS バー<br />
ジョンなどのホストの基本情報を表示できます。<br />
<strong>McAfee</strong> Host Intrusion Prevention イベントの詳細については、『<strong>McAfee</strong> Host Intrusion<br />
Prevention Product <strong>Guide</strong>』 (<strong>McAfee</strong> Host Intrusion Prevention製品ガイド) を参照してください。<br />
http://www.mcafee.com/us/enterprise/downloads/index.html からガイドをダウンロードで<br />
きます。<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>-ePO 統合の動作方法を理解するため、以下のシナリオ<br />
を考慮してください。<br />
Threat Analyzer により、ネットワーク内のあるホストがほかのホストをポート スキャニン<br />
グしていることが分かりました。これらの攻撃ソースの詳細をさらに知りたい場合、アラー<br />
トを右クリックすると、ソース IP の詳細が表示されます。マネージャから ePO サーバに<br />
クエリが送信され、Threat Analyzer にホストの詳細が表示されます。これらの詳細情報か<br />
ら、たとえば VirusScan (<strong>McAfee</strong> のウイルス対策アプリケーション) が最新ではないこと<br />
が分かります。ホスト名を見ると、少し前にネットワークから外したサーバであることも<br />
分かります。そのため、VirusScan はこの期間更新されていません。<br />
ePO には、ダッシュボード上で <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のデータを表示するオプション<br />
が用意されています。<br />
1
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
ePO のダッシュボードには以下のモニタが用意されています。<br />
攻撃の重大度のサマリ<br />
デバイス障害のサマリ<br />
マネージャ障害のサマリ<br />
上位 10 件の攻撃対象<br />
上位 10 件の攻撃<br />
上位 10 件の攻撃元<br />
ePO サーバ詳細の設定<br />
マネージャと ePO サーバの統合には、統合に使用する拡張ファイルが ePO サーバ上にイ<br />
ンストールされている必要があります。この拡張ファイルはマネージャからダウンロード<br />
できます。ePO サーバを設定する前に、ePO サーバ上に拡張ファイルをインストールして<br />
ください。その後、マネージャ上に ePO サーバを構成します。<br />
マネージャと ePO を統合するには、以下の手順に従います。<br />
1 マネージャにログオンします。<br />
2 [Admin Domain] (管理ドメイン)、[<strong>Integration</strong>] (統合)、[ePolicy Orchestrator Server Settings]<br />
(ePolicy Orchestrator サーバ設定) の順に移動します。<br />
[Enable ePO <strong>Integration</strong>] (ePO との統合を有効化) ページが表示されます。<br />
3 ePO との統合に関して必要なオプションを有効化します。<br />
[Enable detailed host query] (詳細なホストのクエリを有効化) オプションで [Yes] (はい) を<br />
選択します。<br />
(オプション) [Enable mouse-over host summary] (マウスオーバーでのホストの概要を有効<br />
化) オプションで [Yes] (はい) を選択します。<br />
このオプションを有効にすると、Threat Analyzer の [Alerts] (アラート) ページの IP ア<br />
ドレス上にマウスを置くと、ホスト名や現在のユーザ、OS バージョンなどのホスト<br />
の基本情報を表示できます。[Alerts] (アラート) ページで概要が表示されるのは、ePO<br />
統合がマネージャで有効化された場合のみです。<br />
図 1: ePO との統合を有効化<br />
2
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
4 [Next] (次へ) をクリックして [ePO Server Settings] (ePO サーバ設定) ページを表示します。<br />
図 2: [ePO Server Settings] (ePO サーバの設定) ページ<br />
5 [ePO Extension] (ePO拡張ファイル) リンクをクリックして [NSPExtension.zip] ファイルを<br />
ダウンロードします。<br />
図 3: NSPExtenstion.zip のファイル ダウンロード ダイアログ<br />
6 [NSPExtension.zip] を任意の場所に保存します。<br />
7 ePO コンソールにログインします。<br />
ePO コンソールのホーム ページが表示されます。<br />
8 [メニュー] で、[ソフトウェア]、[拡張ファイル] ページの順に移動します。<br />
3
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 4: [拡張ファイル] ページ<br />
9 ページ下部で [拡張ファイルのインストール] をクリックします。<br />
10 上記の手順 5 で保存した場所から [NSPExtension.zip] を参照し、選択します。<br />
インストールすると、[拡張ファイル] リストにマネージャが表示されます。拡張ファ<br />
イルのインストール手順の詳細については、ePO のマニュアルを参照してください。<br />
11 ePO コンソールを閉じてマネージャに戻ります。<br />
12 [Configure] (設定)、[<strong>Integration</strong>] (統合)、[ePolicy Orchestrator Server Settings] (ePolicy<br />
Orchestrator サーバ設定) の順に移動します。<br />
13 次の表に記載されているとおりに、ePO サーバの詳細を指定します。<br />
フィールド 説明<br />
Server Name / IP<br />
Address (サーバ名 / IP<br />
アドレス)<br />
Server Port (サーバ<br />
ポート)<br />
拡張ファイルを実行している ePO サーバの名前または<br />
IP を入力します。この ePO サーバには、管理ドメインの<br />
範囲であるホストの詳細がなければならないことに注意<br />
してください。<br />
サーバ名および IP については、ePO 管理者にお問い合わ<br />
せください。<br />
Manager-ePO 通信に使用する ePO サーバのリスニング<br />
ポートを指定します。ポート番号については、ePO の管<br />
理者に確認してください。<br />
User Name (ユーザ名) ePO サーバへの接続に使用するユーザ名を入力します。<br />
Password (パスワー<br />
ド)<br />
統合に必要となる表示権限のみを持つePO のユーザ ア<br />
カウントを作成することをお勧めします。表示権限のみ<br />
を持つ ePO のユーザ アカウントの作成の詳細について<br />
は、26 ページの「最小権限の ePO ユーザの作成」を参<br />
照してください。<br />
ePO サーバへの接続に使用するパスワードを入力しま<br />
す。<br />
4
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
14 [Test Connection] (接続のテスト) をクリックして、ePO サーバ上に拡張ファイルがイン<br />
ストールされ、正常に起動しているか確認します。<br />
15 接続が動作している場合は、[Save] (保存) をクリックして、設定を保存します。<br />
各管理ドメインでの ePO サーバの構成<br />
管理ドメインにマネージャ-ePO 統合を有効または無効にできます。管理ドメインにマネー<br />
ジャ-ePO の統合を有効にすると、Threat Analyzer から管理ドメインのホストの詳細を表<br />
示することができます。<br />
ePO インスタンスが 2 つ以上ある場合は、異なる ePO サーバに対して管理ドメインを設<br />
定できます。しかし、管理ドメインが適切な ePO サーバで設定されるように、配備計画を<br />
する必要があります。たとえば、支社に専用 ePO サーバがある場合、支社の管理ドメイン<br />
は支社の ePO サーバに設定します。<br />
注意: ePO の詳細については、ePO のマニュアルを参照してください。<br />
ePO サーバからホストの詳細を要求<br />
管理ドメイン レベルで <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と ePO の統合を有効にした後で、Threat<br />
Analyzer を使用して該当するネットワーク ホスト権限の詳細を検索したり表示すること<br />
ができます。<strong>McAfee</strong> Host Intrusion Prevention (HIPS) がインストールされていて、Host<br />
Intrusion Prevention がホスト上で実行されていれば、ホストの上位 10 件の Host Intrusion<br />
Prevention イベントも表示することができます。<br />
たとえば、次のような場合があるとします。My Company がルート管理ドメインで、HR お<br />
よび Finance が子ドメインです。Sensor-HR と Sensor-Fin が、それぞれ 2 つの子ドメイ<br />
ンの <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Sensor とします。また、マネージャと ePO の統合は<br />
Finance に対してのみ有効になっているとします。Sensor-Fin で検出された攻撃の攻撃元<br />
ホストと攻撃対象ホストの詳細は、Threat Analyzer で表示できます。これは、ePO との統<br />
合が Finance 管理ドメインに対して有効になっているためです。<br />
詳細を表示するには、その情報が ePO サーバに存在する必要があります。たとえば、ネッ<br />
トワークの外部からの攻撃の場合、ePO サーバにはその攻撃元ホストの情報がないことが<br />
あります。<br />
ホストは、次の 3 つのタイプのいずれかに属します。<br />
• 管理対象ホスト:ePO エージェントによって現在管理されているホストです。<br />
• 管理対象外のホスト:ePO エージェントによって識別されているものの、現在管理さ<br />
れていないホストです。<br />
• 識別できないホスト:ePO に情報が存在しないホストです。Threat Analyzer では、識<br />
別できないホストは連続した省略記号 (- - - -) で表示されます。<br />
攻撃元ホストおよび攻撃対象ホストの詳細は、アラートで確認できます。または、IP アド<br />
レスを入力して ePO サーバから詳細を取得することもできます。9 ページの「IP アドレス<br />
を使用したホストの詳細表示」を参照してください。詳細を参照することにより、これら<br />
のホストで発生したセキュリティ関連の問題をトラブルシューティングおよび修正できる<br />
場合があります。Threat Analyzer では、管理対象のホストと管理対象外のホストの詳細を<br />
表示されますが、識別できないホストの詳細は表示されません。<br />
5
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
注意: ePO サーバ設定を修正する場合は、Threat Analyzer を再起動してホストの詳<br />
細を表示してください。<br />
ソースおよび宛先ホストの詳細情報の表示<br />
アラートのソースまたは宛先ホストの詳細を表示するには、以下の手順に従ってください。<br />
1 リアルタイムまたはヒストリカル Threat Analyzer を起動します。<br />
2 [Alerts] (アラート) をクリックします。<br />
アラートを右クリックし、[ePO Host Information] (ePO ホスト情報) を選択します。次に、<br />
[Source IP] (ソース IP) または [Destination IP] (宛先 IP) を選択します。複数のアラートを<br />
右クリックして、サーバのクエリを実行できます。<br />
ePO クエリが成功したことを示す情報メッセージが表示されます。<br />
図 5: ePO メッセージ<br />
右クリック メニューで ePO オプションを表示するには、ドメイン レベルで <strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> と ePO との統合を有効にしておく必要があります。<br />
一度に複数の IP アドレスのクエリを実行できます。たとえば、RFC-Overflow アラー<br />
トには宛先アドレスが 11 個あります。単一のクエリを使用してそれらのすべてのクエ<br />
リを実行できます。<br />
注意: [Alerts] (アラート) ページだけでなく [Hosts] (ホスト) ページからもホスト<br />
情報のクエリを ePO サーバに送信できます。[Hosts] (ホスト) ページの IP を右<br />
クリックして、[View ePO Information] (ePO 情報の表示) を選択します。ePO クエ<br />
リの結果はマネージャによって通知されます。[Host Forensics] (ホストの<br />
Forensic 解析) ページに移動して、クエリの結果を表示できます。<br />
3 [Yes] (はい) をクリックします。<br />
ホストの詳細のサマリがある [Host Forensics] (ホストの Forensic 解析) ページが表示<br />
されます。また、ePO サーバの IP アドレスまたは名前が [ePO Host Information] (ePO ホ<br />
スト情報) の横にある括弧内に表示されます。<br />
6
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 6: ePO から集約されたホストの詳細情報<br />
4 管理対象または管理対象外のホストで、[ePO Host Information] (ePO ホスト情報) セク<br />
ションの情報の行をダブルクリックして、追加の詳細情報を表示します。<br />
詳細は、ホストの IP アドレスを含んだ名前のタブ領域に表示されます。ダブルクリッ<br />
クをしても、詳細が表示されない場合には、識別できないホストであるか、同じ管理/<br />
管理対象外のホストで前にクエリを実行した可能性があります。また、ホストのタブ<br />
領域がまだ利用可能である可能性があります。<br />
10 ページの「追加の詳細情報 - 管理対象ホスト」と 13 ページの「追加の詳細情報 -<br />
管理対象外ホスト」を参照してください。<br />
図 7: 追加の詳細情報 - 管理対象のホスト<br />
7
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 8: [Latest Events] (最新イベント) タブ<br />
注意: [Hosts] (ホスト) ページからも、ソースおよび宛先ホストの詳細を表示するこ<br />
とができます。<br />
[Host Forensics] (ホストの Forensic 解析) ページでのオプションの右クリック<br />
ePO クエリを選択して右クリックすると、次の項目を表示できます。<br />
• View Details (詳細を表示): 管理対象および管理対象外のホストの追加の詳細の表示。<br />
• Query again (再クエリ): ホストの再クエリ。<br />
• Delete (削除): クエリされたホスト情報の削除。<br />
• Delete All (すべて削除): ホスト情報セクションのすべての行の削除。<br />
マウス移動でのサマリの表示<br />
[Alerts] (アラート) ページの IP アドレスにマウスを移動すると、ホスト名、ユーザ、OS の<br />
バージョンなどの重要なホスト データの概要が表示されます。<br />
8
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 9: マウス移動で表示されるホストのサマリ<br />
このオプションは、[Enable ePO <strong>Integration</strong>] (ePO との統合を有効化) ページから有効にする必<br />
要があります。[Alerts] (アラート) ページで概要が表示されるのは、ePO 統合がマネージャ<br />
で有効化された場合のみです。<br />
IP アドレスを使用したホストの詳細表示<br />
[Host Forensics] (ホストの Forensic 解析) ページのホストの IP アドレスを使用してクエリ<br />
を実行し、ホストの詳細を表示することができます。一度に 100 までホストの詳細を表示<br />
することができます。クエリの数が 100 を超える場合、詳細の最初の行が削除されます。<br />
IP アドレスを使用してホストの詳細を表示するには、以下の手順に従ってください。<br />
1 リアルタイムまたはヒストリカル Threat Analyzer を起動します。<br />
2 [Host Forensics] (ホストの Forensic 解析) をクリックします。<br />
3 IP アドレスを入力します。<br />
4 ePO データベースに設定された管理ドメイン名を選択します。<br />
5 [Query now] (今すぐクエリを実行) をクリックします。<br />
ソースまたは宛先 IP は、[Host Forensics] (ホストの Forensic 解析) ページの [ePO Host<br />
Information] (ePO ホスト情報) に表示されています。また、ePO サーバの IP アドレス<br />
または名前が [ePO Host Information] (ePO ホスト情報) の横にある括弧内に表示されます。<br />
注意: 不明なホストのクエリを実行して情報行 (ダッシュのみが表示されている<br />
行) をクリックすると、データが使用できないというポップアップ メッセージが<br />
表示されます。<br />
9
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 10: ePO から集約されたホストの詳細情報<br />
6 管理対象または管理対象外のホストで、[ePO Host Information] (ePO ホスト情報) セク<br />
ションの情報の行をダブルクリックして、追加の詳細情報を表示します。10 ページの<br />
「追加の詳細情報 - 管理対象ホスト」と 13 ページの「追加の詳細情報 - 管理対象<br />
外ホスト」を参照してください。<br />
図 11: 追加の詳細情報 - 管理対象外のホスト<br />
注意: 情報の行でダブルクリックすると、ホストの IP アドレスを含んだ名前の<br />
タブ領域に詳細が表示されます。ダブルクリックをしても、さらに詳細を表示<br />
しない場合、ホストが識別できないホストであるか、同じ管理/管理対象外のホ<br />
ストで前にクエリを実行した可能性があります。また、ホストのタブ リージョ<br />
ンがまだ利用可能である可能性があります。<br />
追加の詳細情報 - 管理対象ホスト<br />
管理対象または管理対象外のホストで、[Host Forensics] ページの [Host Forensics] リー<br />
ジョンで情報が表示されている行をダブルクリックすると、追加の詳細情報を表示できま<br />
す。これらの追加情報は、ホストの ePO でインストールしたポイントプロダクトに関連し<br />
ます。Host Intrusion Prevention をインストール済みでホスト上で実行している場合、最新<br />
の 10 個の Host Intrusion Prevention イベントをホスト上で同じように表示することができ<br />
ます。表示された最新のイベント 10 個は、重大度に基づいてソートされます。<br />
注意: Host Intrusion Prevention イベントは、ホストで発生したアクティビティに<br />
従って Host Intrusion Prevention が生成したアラートです。詳細については、<strong>McAfee</strong><br />
Host Intrusion Prevention のマニュアルを参照してください。<br />
10
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
追加の詳細情報およびイベントに基づいて、可能な限り最高の防御をするため、ホストの<br />
セキュリティ アプリケーションを調整することができます。<br />
[Host Information] (ホスト情報) タブで管理対象ホストの以下の詳細を表示できます。<br />
フィールド 説明<br />
Host Name (ホスト名) 管理ホスト名<br />
IP address (IP アドレス) 管理ホストの IP アドレス<br />
MAC Address (MAC アドレ<br />
ス)<br />
ホストの Media Access Control アドレス<br />
Host Type (ホストの種類) 管理対象ホストには <strong>McAfee</strong> Agent が配備さ<br />
れ、管理ドメインに統合された同一の ePO サー<br />
バと通信を行います。<br />
Operating system (オペレー<br />
ティング システム)<br />
オペレーティング システムのバージョン。例:<br />
Windows 2003 (5.2 - SP2)<br />
User(s) (ユーザ) ホストのオペレーティング システム ユーザ名<br />
Domain / workgroup (ドメイ<br />
ン/ワークグループ)<br />
Source ePO server (ソース<br />
ePO サーバ)<br />
Information query time (情報<br />
照会時間)<br />
Last <strong>McAfee</strong> Agent Update<br />
(<strong>McAfee</strong> Agent の最終更新<br />
時刻)<br />
Installed Products (インストール済みの製品)<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <<br />
バージョン番号><br />
Engine Version (エンジン<br />
バージョン)<br />
DAT Version (DAT バージョ<br />
ン)<br />
ホストに属するドメインまたはワークグループ<br />
クエリの送信先となる ePO サーバの IP アドレ<br />
ス<br />
マネージャから ePO サーバにクエリが送信さ<br />
れた時刻<br />
エージェントが ePO に報告した最終時刻です。<br />
ePO からホストにインストールしたポイント<br />
製品。例: VirusScan または Host Intrusion<br />
Prevention など。インストール済み製品のバー<br />
ジョンは括弧内に表示されます。<br />
製品のエンジン バージョン (設定されている場<br />
合)<br />
製品の DAT ファイルのバージョン (設定されて<br />
いる場合)<br />
11
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
[Latest Events] (最新イベント) タブをクリックすると、最新の 10 個の Host Intrusion<br />
Prevention イベントとウイルス対策イベントに関する次の情報が表示されます。<br />
Last 10 AntiVirus Events (最新の 10 個のウイルス対策イベント)<br />
Event Time (イベント発生時<br />
刻)<br />
ウイルス対策エージェントがイベントを受信し<br />
た日時<br />
Threat Name (脅威名) イベントを表示させた脅威の名前<br />
Threat Type (脅威の種類) イベントをトリガした脅威の種類<br />
Action Taken (実行されたア<br />
クション)<br />
報告されたイベントに対してウイルス対策エー<br />
ジェントが行ったアクション<br />
File Path (ファイル パス) イベントを表示させた感染ファイルのパス<br />
Analyzer Detection Method<br />
(Analyzer の検出方法)<br />
ウイルス対策イベントの検出に使用された方法<br />
Last 10 <strong>McAfee</strong> Host Intrusion Prevention Events (最新の 10 個の <strong>McAfee</strong><br />
Host Intrusion Prevention イベント)<br />
Time (時間) Host Intrusion Prevention エージェントがイベ<br />
ントを受信した日時<br />
Signature Name (シグネ<br />
チャ名)<br />
Signature ID (シグネチャ<br />
ID)<br />
イベントを表示させたシグネチャの名前<br />
イベントを表示させた Host Intrusion<br />
Prevention シグネチャの ID<br />
Severity (重大度) Host Intrusion Prevention イベントの重大度レ<br />
ベル<br />
User (ユーザ) イベントを開始した時間のユーザ<br />
Process (プロセス) イベントをトリガしたアプリケーション プロ<br />
セス<br />
Source IP (ソース IP) イベント用ソース IP アドレス<br />
Reaction (反応) イベントがトリガされた時に生じるように設定<br />
された反応<br />
ePO コンソールの起動<br />
[Host Forensics] (ホストの Forensic 解析) ページでは、Threat Analyzer から ePO コンソー<br />
ルを起動して、ホストの情報をさらに詳細に表示できます。<br />
1 リアルタイムまたはヒストリカル Threat Analyzer を起動します。<br />
2 [Host Forensics] (ホストの Forensic 解析) をクリックします。<br />
3 IP アドレスを入力し、[Query now] (今すぐクエリを実行) をクリックします。<br />
4 管理対象ホストをダブルクリックします。<br />
12
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
[Host information] (ホスト情報) ページにホスト情報の詳細が表示されます。<br />
5 [Open ePO console] (ePO コンソールを開く) をクリックします。<br />
図 12: ホストの詳細情報<br />
ePO コンソールで実行できるアクションは、ePO サーバの構成時に入力するユーザ認証情<br />
報に割り当てられる権限に基づきます。<br />
追加の詳細情報 - 管理対象外のホスト<br />
管理対象外のホストとは、その製品を管理するための ePO エージェントがないホストのこ<br />
とです。管理対象外ホストについて表示できる追加詳細情報は、以下のとおりです。<br />
フィールド 説明<br />
DNS ホストの DNS 名<br />
NetBIOS name<br />
(NetBIOS 名)<br />
ホストの NetBIOS 名<br />
IP Address (IP アドレス) ホストの IP アドレス<br />
MAC Address (MAC ア<br />
ドレス)<br />
ホストの MAC アドレス<br />
13
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
フィールド 説明<br />
Host Type (ホストの種<br />
類)<br />
Last detection time (最終<br />
検出時刻)<br />
Operating system (オペ<br />
レーティング システム)<br />
[Host Type] (ホストの種類) には、次のいずれか<br />
が表示されます。<br />
• UNMANAGED (No Agent) (非管理: エー<br />
ジェントなし): ホストに <strong>McAfee</strong> Agent<br />
がインストールされていません。<br />
• UNMANAGED (MANAGED) (非管理: 管<br />
理対象): ホストに <strong>McAfee</strong> Agent はイン<br />
ストールされていませんが、管理ドメイ<br />
ンに統合されている ePO サーバとエー<br />
ジェント間でアクティブな通信チャネル<br />
がありません。<br />
ネットワーク上でホストが検知された日時<br />
ホストのオペレーティング システム プラット<br />
フォーム。例: Windows 2003。<br />
User(s) (ユーザ) ホストのオペレーティング システム ユーザ名<br />
Source ePO server (ソー<br />
ス ePO サーバ)<br />
管理対象外のホストの詳細を送信する ePO サー<br />
バの IP<br />
ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの表示<br />
ePO には、ダッシュボード上で <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のデータを表示するオプション<br />
が用意されています。<br />
ePO のダッシュボードには以下のモニタが用意されています。<br />
攻撃の重大度のサマリ<br />
デバイス障害のサマリ<br />
マネージャ障害のサマリ<br />
上位 10 件の攻撃対象<br />
上位 10 件の攻撃<br />
上位 10 件の攻撃元<br />
ePO で製品データを表示するには、ePO に <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の拡張ファイルをイ<br />
ンストールする必要があります。<br />
ePO にこの拡張ファイルをインストールすると、ePO の [ダッシュボード] ページに上記の<br />
モニタと一緒にデフォルトのダッシュボードが作成されます。このダッシュボードには<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> からの情報が表示されます。オプションで、ePO に <strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> の新しいダッシュボードを作成することもできます。<br />
製品拡張ファイルのインストールの一部として、ePO にデフォルトのサーバ タスクも作成<br />
されます。このサーバ タスクを <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> からの関連データをプルするよ<br />
14
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
う設定する必要があります。詳細については、ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> に関す<br />
るサーバ タスクの設定に関する項を参照してください。<br />
<strong>Network</strong> <strong>Security</strong> Manager (Manager) が Manager Disaster Recovery (MDR) モー<br />
ドの場合のデータ取得<br />
マネージャが MDR モードの場合の以下のシナリオについて検討してみましょう。<br />
プライマリ マネージャがアクティブである場合、データはプライマリ マネージャから ePO<br />
に取得されます。プライマリ マネージャがスタンバイ モードでセカンダリ マネージャが<br />
アクティブの場合、データはセカンダリ マネージャから取得されます。<br />
プライマリとセカンダリの両方のマネージャがスタンバイ モードである場合は、プライマ<br />
リ マネージャで最後に使用可能だったデータが ePO に取得され、ダッシュボードに表示<br />
されます。<br />
プライマリとセカンダリの両方のマネージャが使用できない場合は、ePO にデータが取得<br />
されません。この場合、すべてのダッシュボード データ テーブルは消去され、ePO には<br />
空のダッシュボードが表示されます。<br />
構成<br />
ダッシュボードで <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のデータを表示するには、ePO およびマネー<br />
ジャから以下の構成を設定する必要があります。<br />
• ePO への <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の拡張ファイルのインストール ( 15 ページ)<br />
• ePO でのデータ取得のためのマネージャでのユーザの作成 ( 17 ページ)<br />
• マネージャでの ePO サーバの設定 ( 18 ページ)<br />
• ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のサーバ タスクの設定 (18 ページ)<br />
• ePO でのデフォルト <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの有効化 (22 ページ)<br />
• ePO での新規 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの任意の作成 (23 ページ)<br />
ePO への <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の拡張ファイルのインストール<br />
ePO に <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の拡張ファイルをインストールするには、以下の手順に<br />
従います。<br />
1 マネージャの <strong>Integration</strong> ノードで、[ePO Configuration Wizard] (ePO 構成ウィザード) から<br />
製品拡張 zip ファイル (NSPExtension.zip) をダウンロードします。<br />
15
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 13: マネージャの <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 拡張ファイル リンク<br />
また、以下の場所でマネージャのインストール フォルダから製品拡張 zip ファイルを<br />
コピーすることもできます。C:\ Program Files\ <strong>McAfee</strong>\Manager\App\EPOExtension<br />
2 ePO のホームページから、[ソフトウェア]、[拡張ファイル] の順に選択します。<br />
3 ページ左下の [拡張ファイルのインストール] を選択します。<br />
4 拡張ファイルを .zip ファイルとして閲覧するかどうかを尋ねるウィンドウが表示され<br />
ます。<br />
図 14: [拡張ファイルのインストール] ウィンドウ<br />
5 [OK] を選択します。拡張ファイルがインストールされ、拡張ファイル リストに表示さ<br />
れます。<br />
重要: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong>.x 拡張ファイルをインストールしている場<br />
合は、この拡張ファイルの直接のアップグレード (たとえば <strong>6.0</strong>.x へのアップグ<br />
レード) はサポートされていないことに注意してください。<strong>6.0</strong>.x 拡張ファイル<br />
をアンインストールしてから、新しい拡張ファイルをインストールしてくださ<br />
い。<br />
図 15: ePO への <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の拡張ファイルのインストール<br />
16
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
ePO でのデータ取得のためのマネージャでのユーザの作成<br />
ePO でマネージャからのデータをプルするには、ユーザを作成し、ePO Dashboard Data<br />
Retriever の役割をそのユーザに割り当てる必要があります。<br />
マネージャでユーザを作成し、Data Retriever 役割を割り当てるには、以下の手順に従い<br />
ます。<br />
1 マネージャから、[Root Admin Domain] (ルート管理ドメイン)、[Users] (ユーザ)、[Users]<br />
(ユーザ) の順に選択します。<br />
2 新規ユーザを追加する場合は、[New] (新規作成) を選択します。<br />
3 [Add a User] (ユーザの追加) ウィンドウにユーザの詳細を入力します。<br />
このウィンドウで定義したログイン ID とパスワードは、ePO でサーバ タスクを設定<br />
時に [アクション] ページで入力する必要がありますので、注意してください。詳細に<br />
ついては、18 ページの「ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のサーバ タスクの設定」<br />
を参照してください。<br />
図 16: マネージャでのユーザの追加<br />
4 [Save] (保存) をクリックすると、ユーザに役割を追加する必要があるかどうかを確認す<br />
るポップアップ メッセージが表示されます。役割を割り当てる場合は、[OK] をクリッ<br />
クします。<br />
5 役割 に [ePO Dashboard Data Retriever] (ePO Dashboard Data Retriever) を選択し、[Save] (保存)<br />
をクリックします。<br />
17
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 17: ユーザへの ePO Dashboard Data Retriever 役割の割り当て<br />
6 割り当てられた役割とユーザは、[Users] (ユーザ) タブおよび [Role Assignments] (役割の<br />
割り当て) タブに表示されます。<br />
マネージャでの ePO サーバの設定<br />
マネージャでの ePO サーバの設定の詳細については、2 ページの「ePO サーバ詳細の設定」<br />
を参照してください。<br />
ePO での <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のサーバ タスクの設定<br />
前述のとおり、拡張ファイルのインストール時にデフォルトのサーバ タスクが作成されま<br />
す。このサーバ タスクをスケジュール設定して、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> から ePO に<br />
データをプルすることができます。<br />
ePO へのデータ取得プロセスが実行されるように、デフォルトのサーバ タスクを設定して<br />
ユーザに必要な認証情報と ePO の Dashboard Data Retriever 役割を割り当てるようにす<br />
る必要があります。<br />
ePO でデフォルトのサーバ タスクを設定するには、次の手順に従います。<br />
1 ePO のホームページ メニューから、[自動処理]、[サーバ タスク] の順に選択します。<br />
デフォルトのサーバ タスクがメインの [サーバ タスク] ウィンドウに表示されます。<br />
18
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 18: ePO の [サーバ タスク] メイン ページ<br />
[サーバ タスク] ウィンドウから、[表示]、[編集]、[実行]、[複製] または [削除] の個別<br />
のタスクを選択します。<br />
2 サーバ タスクを設定するには、[編集] を選択します。[サーバ タスク ビルダ] が表示さ<br />
れます。<br />
図 19: サーバ タスク ビルダ - [説明] ページ<br />
3 必要に応じてサーバ名を編集します。<br />
4 [スケジュール ステータス] で [有効] を選択します。<br />
5 [次へ] を選択します。[アクション] 構成で、[NSP: ダッシュボード プル タスク] を選択し<br />
ます。<br />
19
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 20: [アクション] ページでの <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> データ プル アクションの選択<br />
6 ページが更新され、マネージャに関連する以下のフィールドが表示されます。<br />
マネージャ タイプ (スタンドアロンまたは MDR)<br />
プライマリ マネージャ IP<br />
セカンダリ マネージャ IP<br />
ポート<br />
ユーザ名<br />
パスワード / パスワードの確認<br />
注意:<br />
マネージャ タイプでスタンドアロンを選択する場合は、プライマリ マネージャ<br />
IP のみを入力してください (必須項目であることを示すアスタリスク記号がプ<br />
ライマリ マネージャ IP の近くに表示されます)。<br />
マネージャ タイプに MDR を選択する場合は、プライマリ マネージャ IP とセカ<br />
ンダリ マネージャ IP の両方を入力してください。セカンダリ マネージャ IP は、<br />
MDR ペアのセカンダリ マネージャの IP アドレスに該当します。<br />
入力するユーザ名およびパスワードは、マネージャで ePO Dashboard Data<br />
Retriever 役割をユーザに割り当てた際に定義したログイン ID とパスワードで<br />
す。<br />
20
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 21: サーバ タスク ビルダのマネージャ詳細<br />
7 必要なフィールドを編集後、[次へ] を選択します。<br />
図 22: サーバ タスク ビルダでのフィールドの編集<br />
8 必要に応じてタスク スケジュール詳細を編集します。<br />
9 [次へ] を選択します。[サーバ タスク サマリ] が表示されます。<br />
図 23: サーバ タスク ビルダの構成のサマリ<br />
21
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
10 [保存] を選択します。<br />
ePO でのデフォルト <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの有効化<br />
前述のとおり、拡張ファイルのインストール時に ePO にデフォルトのダッシュボードが作<br />
成されます。ePO で製品データを表示するには、ePO でデフォルトのダッシュボードを有<br />
効にする必要があります。<br />
注意: また、23 ページの「ePO での新規 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボード<br />
の任意の作成」で説明するとおり、ePO で <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の新規ダッシュ<br />
ボードを作成することもできます。<br />
ePO から <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> のデフォルト ダッシュボードを有効にするには、以下<br />
の手順に従います。<br />
1 ePO ホームページから [オプション]、[ダッシュボードの管理] の順に選択します。<br />
図 24: [オプション] メニュー<br />
2 デフォルトの <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボード ([NSP:]) を選択します。<br />
図 25: ePO の <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> デフォルト ダッシュボード<br />
3 ダッシュボードを有効にするには、ウィンドウ右下で [有効化] を選択します。<br />
22
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
ePO での新規 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> ダッシュボードの任意の作成<br />
ePO で <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の新規ダッシュボードを作成する場合は、以下の手順に<br />
従います。<br />
1 ePO ホームページから [オプション]、[新規ダッシュボード] の順に選択します。<br />
2 ダッシュボードのレイアウトを選択します。<br />
3 ダッシュボードのモニタを設定する必要があります。モニタ設定時に [新規モニタ] を<br />
クリックします。<br />
図 26: ePO ダッシュボードでの新規モニタの設定<br />
4 カテゴリに [クエリ] を選択し、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> に関連するモニタを選択し<br />
ます。たとえば、モニタに [NSP: 上位 10 の攻撃] を選択できます。<br />
図 27: モニタの選択<br />
5 [OK] を選択します。<br />
6 要件に応じてダッシュボードで使用可能な 6 つのモニタを設定します。<br />
23
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
7 [保存] をクリックします。新しいダッシュボードが ePO に表示されます。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> からのデータが表示される ePO のサンプル ダッシュボー<br />
ドを以下に表示します。<br />
図 28: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> データが表示された ePO ダッシュボード<br />
8 モニタの表示を拡大するには、モニタの右上にあるボタンを選択します。<br />
図 29: ePO ダッシュボードのモニタの拡大表示<br />
9 [戻る] をクリックして、ダッシュボードに戻ります。[閉じる] をクリックして、ダッシュ<br />
ボード モニタを閉じて ePO ホームページに戻ります。<br />
ePO での権限セットの定義<br />
ePO の最小権限セットを定義するには、以下の手順を実行する必要があります。<br />
• 新しい権限セットの作成 (最小権限)<br />
• 権限セットの表示と編集<br />
24
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
新しい権限セットの作成<br />
ePO ユーザを作成し最小権限を割り当てるには、以下の手順に従います。<br />
1 ePO ホームページから、[ユーザ管理]、[権限セット] の順に選択します。<br />
[権限セット] ページが表示されます。<br />
図 30: [権限セット] ページ<br />
2 [新規権限セット] をクリックします。<br />
[新規権限セット] ページが表示されます。<br />
図 31: 新しい権限セットの定義<br />
3 権限セットの名前を [名前] に入力します。<br />
4 [保存] をクリックします。<br />
権限セットを作成すると、作成された権限セットが[権限セット] ページに表示されま<br />
す。<br />
25
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 32: 新しい権限セットの表示<br />
権限セットの表示と編集<br />
新しい権限セットを定義するには、以下の手順に従います。<br />
1 [権限セット] ページに表示された権限セットをクリックします。<br />
図 33: 権限セットの表示<br />
2 以下について、定義する権限の設定をスクロールして表示または編集します。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> - 設定の表示および変更<br />
システム - [システム ツリー] タブの表示<br />
システム ツリー アクセス - システム ツリーのノードおよび部分へのアクセス<br />
関連設定の隣にある [編集] をクリックして権限セットを変更します。<br />
最小権限の ePO ユーザの作成<br />
ePO ユーザを作成し最小権限を割り当てるには、以下の手順に従います。<br />
1 ePO ホームページから、[ユーザ管理]、[ユーザ] の順に選択します。<br />
26
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
図 34: [ユーザ] ページ<br />
2 [新規ユーザ] をクリックします。<br />
[新規ユーザ] ページが表示されます。<br />
図 35: 新規ユーザの作成と権限の割り当て<br />
3 [ユーザ名] ページで名前を入力します。<br />
[ログオン ステータス] にはデフォルトで [有効] が表示されます。[認証タイプ] にはデ<br />
フォルトで [ePO 認証] が表示されます。変更しないでください。<br />
4 [パスワード] にパスワードを入力します。<br />
5 [パスワードの確認] に再度パスワードを入力します。<br />
6 [権限セット] で [選択済み権限セット] を選択します。<br />
27
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> ePO との統合<br />
ユーザに割り当てる最小要件の権限セットを確認します。<br />
注意: ユーザに割り当てる前に権限セットを定義してください。権限セットの定<br />
義の詳細については、24 ページの「ePO での権限セットの定義」を参照してく<br />
ださい。<br />
7 [保存] をクリックします。<br />
28
第 2 章<br />
<strong>McAfee</strong> Host Intrusion Prevention との統合<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> は、<strong>McAfee</strong> ® Host Intrusion Prevention 7.0 と統合でき<br />
ます。<br />
Host Intrusion Prevention は、ネットワーク内のホストへの外部および内部からの攻撃を防<br />
御することで、ホスト上で実行しているサービスおよびアプリケーションを保護するホス<br />
トベースの侵入防御システムです。<br />
Host Intrusion Prevention は ePO 4.0 に完全に統合されています。<strong>McAfee</strong> ® <strong>Network</strong><br />
<strong>Security</strong> Manager (マネージャ) は、ePO 拡張ファイルを使用して ePO サーバからリアル<br />
タイムにHost Intrusion Preventionイベントを取得します。拡張ファイル<br />
(NSPExtension.zip) は、マネージャからダウンロードし、ePO コンソールを使用して ePO<br />
サーバにインストールする必要があります。ePO コンソールに拡張ファイルをインストー<br />
ルした後は、Host Intrusion Prevention の拡張機能が ePO サーバにもインストールされて<br />
いることを確認します。[Enable] (有効) ページ ([] または [<strong>Integration</strong>] (統合)、<br />
[Host Intrusion Prevention]、[Enable] (有効) の順に選択) の [Download the ePO Extension for<br />
<strong>Network</strong> <strong>Security</strong> Manager here] (ここから <strong>Network</strong> <strong>Security</strong> Manager の ePO 拡張ファイ<br />
ルをダウンロード) リンクを使用して、拡張ファイル (NSPExtension.zip) をダウンロード<br />
することができます。<br />
マネージャでは、Host Intrusion Prevention 統合機能は <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Sensor<br />
(センサ) に類似しています。つまり、マネージャは、Host Intrusion Prevention のサーバ部<br />
分を実行している ePO サーバを特殊なタイプのセンサとして扱います。つまり、マネー<br />
ジャは Host Intrusion Preventionからイベント情報を受け取り、そのイベント情報をデータ<br />
ベースに組み込みます。これにより、その他の <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> アラートのよう<br />
に、Threat Analyzer およびレポートでの詳細な表示やアクションが可能になります。<br />
名前および共有秘密鍵を入力して、マネージャで Host Intrusion Prevention センサを設定<br />
します。次に、そのマネージャの IP および共有秘密鍵を ePO サーバ コンソールにも設定<br />
します。信頼関係が確立されると、Host Intrusion Prevention センサはマネージャのリソー<br />
ス ツリーの Device List ノードに表示されます。[Enable] (有効) ページ ([] ま<br />
たは [<strong>Integration</strong>] (統合)、[Host Intrusion Prevention]、[Enable] (有効) の順に選択) の [Add a Sensor<br />
of type Host Intrusion Prevention here] (ここから Host Intrusion Prevention タイプのセンサ<br />
を追加) リンクを使用して、マネージャで Host Intrusion Prevention Sensor の設定プロセ<br />
スを開始することができます。<br />
Host Intrusion Prevention イベントはリアルタイム Threat Analyzer に表示されます。 [Alert]<br />
(アラート) ページの [Group By] (グループ化) からドリルダウンし、センサを選択することで<br />
表示できるのは、Host Intrusion Prevention アラートのみです。ここでは、イベントのソー<br />
トおよびフィルタリングを実行することができます。<br />
注意 1: Host Intrusion Prevention IPS イベントがマネージャに送信されるだけです。<br />
注意 2: IPS 隔離は、Threat Analyzer の Host Intrusion Prevention イベントには適用<br />
されません。<br />
29
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Host Intrusion Prevention との統合<br />
MDR ペアの場合、Host Intrusion Prevention アラートはアクティブとスタンバイ両方のマ<br />
ネージャに送信されます。<br />
Host Intrusion Prevention 詳細の設定<br />
マネージャと Host Intrusion Prevention を統合するには、以下の手順に従います。<br />
1 マネージャで [Configuration] (設定)、[Server Settings] (サーバ設定) の順に移動します。<br />
[ePO Server Settings] (ePO サーバの設定) ページが表示されます。<br />
[Next] (次へ) をクリックします。<br />
2 [ePO Extension] (ePO 拡張ファイル) リンクをクリックします。<br />
NSPExtension.zip を開くか保存するかを確認するダイアログ ボックスが表示荒れます。<br />
3 [NSPExtension.zip] を後で取得可能な場所に保存します。<br />
4 ePO コンソールにログオンします。<br />
ePO コンソールのホームページが表示されます。<br />
5 [設定]、[拡張ファイル]、[拡張ファイルのインストール] ページの順に移動します。<br />
6 上記の手順 4 でファイルを保存した場所を参照し、ePO 拡張ファイルを選択します。<br />
インストールすると、[設定カテゴリ] リストにマネージャが表示されます。<br />
図 36: [設定カテゴリ] リスト<br />
7 Host Intrusion Prevention の拡張機能がインストールされたことを ePO コンソールで<br />
確認します。<br />
30
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Host Intrusion Prevention との統合<br />
Host Intrusion Prevention Sensor の追加<br />
Host Intrusion Prevention Sensor のインストールはセンサの追加に類似しています。以下<br />
の手順を実行します。<br />
1 [Device List] (デバイス リスト)、[Devices] (デバイス) の順にクリックします。<br />
2 [New] (新規作成) をクリックします。<br />
[Add New Device] (新しいデバイスの追加) ページが表示されます。<br />
図 37: Host Intrusion Prevention Sensor の追加<br />
3 [Device Name] (デバイス名) に、マネージャで Host Intrusion Preventions 管理サーバを<br />
識別するための一意の名前を入力します。センサ名は、25 文字以内の英数字 (大文字<br />
または小文字のアルファベットと数字) で、ハイフン、アンダーバー、ピリオドも使用<br />
できます。名前は文字で開始してください。<br />
4 [Device Type] (デバイスの種類) で [Virtual Host Intrusion Prevention Sensor] (仮想 Host<br />
Intrusion Prevention センサ) を選択します。<br />
5 マネージャと Host Intrusion Prevention 間の通信を確認するためのパスワードを<br />
[Shared Secret] (共有秘密鍵) に入力します。秘密鍵は、8 文字以上 25 文字以内の英数字<br />
(大文字または小文字のアルファベットと数字) で、ハイフン、アンダーバー、ピリオ<br />
ドも使用できます。秘密鍵は感嘆符で開始したりスペースを入れることはできません。<br />
注意: ePO コンソールとHost Intrusion Prevention の統合を行うときには、セン<br />
サ名と共有秘密鍵を正確に入力する必要があります。大文字と小文字は区別さ<br />
れますので注意してください。<br />
6 [Contact Information] (連絡先) と [Location] (場所) に連絡先情報を入力します (この操作は<br />
任意です)。<br />
7 [Save] (保存) をクリックして、マネージャと ePO サーバのハンドシェーク プロセスを<br />
開始します。<br />
31
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Host Intrusion Prevention との統合<br />
注意: ePO コンソール上でHost Intrusion Prevention センサの詳細を構成し、信頼関<br />
係を確立する必要があります。30 ページの「Host Intrusion Prevention 詳細の設定」<br />
を参照してください。<br />
信頼関係が確立されると、[Resource tree / Device List] (リソース ツリー/デバイス リスト) に<br />
Host Intrusion Prevention センサが表示されます。<br />
ePO での Host Intrusion Prevention Sensor の設定<br />
ePO サーバ間に Host Intrusion Prevention センサを設定するには、マネージャおよび ePO<br />
の間に信頼関係を確立し、以下の手順を実行します。<br />
1 ePO コンソールにログオンします。<br />
ePO コンソールのホームページが表示されます。<br />
2 [設定]、[サーバ設定] ページの順に選択します。<br />
3 参照して [NSP および HIP 設定] を選択します。<br />
4 [Edit] (編集) をクリックします。<br />
注意: 既存の設定を編集する前に、スケジューラを停止する必要があります。<br />
[NSP と HIP 統合の編集] ページが表示されます。<br />
図 38: NSP と HIP 統合の編集<br />
32
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Host Intrusion Prevention との統合<br />
5 以下を入力して設定します。<br />
フィールド 説明<br />
Manager IP (マネージャの IP ア<br />
ドレス)<br />
Sensor Name (センサ名) センサの名前<br />
Host Intrusion Prevention Sensor を設定する<br />
マネージャ サーバの IP。<br />
Shared Secret (共有秘密鍵) 共有秘密鍵。これは、マネージャで入力した<br />
共有秘密鍵と一致している必要があります。<br />
Confirm Shared Secret (共有秘密<br />
鍵の確認)<br />
Init channel port (初期チャネル<br />
ポート)<br />
Alert channel port (アラート チャ<br />
ネル ポート)<br />
Packet channel port (パケット<br />
チャネル ポート)<br />
共有秘密鍵の確認。<br />
マネージャがセンサと設定情報を交換する<br />
ポート。<br />
マネージャがセンサのアラートを待機する<br />
ポート。<br />
マネージャがシグネチャ ID マッピング情報<br />
を送信するために使用するポート。<br />
6 [Save] (保存) をクリックして変更を保存し、前のページに戻ります。<br />
33
第 3 章<br />
<strong>McAfee</strong> Vulnerability Manager との統合<br />
脆弱性評価は、ネットワーク内のセキュリティの脅威を判断するため、ネットワークの計<br />
算システムの脆弱性をプロアクティブに特定する自動プロセスです。脆弱性スキャナ ソフ<br />
トウェアは、ネットワークをリモートから評価し、システムの脆弱性を見つけることで、<br />
脆弱性検出プロセスを自動化します。<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> では、<strong>McAfee</strong> Vulnerability Manager (旧 <strong>McAfee</strong> ®<br />
Foundstone) と統合して、リモート スキャンを有効化したり、ホストでの攻撃の関連性を<br />
判断するための脆弱性評価レポートを使用できます。<br />
以下の各セクションで詳細を説明します。<br />
• <strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合 ( 34 ページ) (設定と<br />
機能)<br />
• 攻撃の関連性の解析 ( 46 ページ)<br />
• トラブルシューティング オプション ( 56 ページ)<br />
• Vulnerability Manager のカスタム証明書のサポート (58 ページ)<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> は Vulnerability Manager と統合されました。<br />
この統合の強化には、2 つの主要な要素があります。<br />
1 つ目は、Vulnerability Manager のスキャン データを <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> にインポー<br />
トするスケジュールを設定して、IPS イベント データの関連性を自動的にアップデートで<br />
きることです。また、Threat Analyzer コンソールで単一 IP アドレスまたは IP アドレスの<br />
範囲を指定して、Vulnerability Manager のオンデマンド スキャンを開始できます。これに<br />
より、セキュリティ管理者は、ほぼリアルタイムでホストの脆弱性の詳細のアップデート<br />
にアクセスし、重大なイベントに集中することができます。<br />
34
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
以下の図は、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合の概要を示してい<br />
ます。<br />
図 39: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合<br />
この統合では、<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Manager (マネージャ) の以下の主要機能が提供<br />
されます。<br />
オンデマンド スキャン<br />
ホストのソース IP アドレスまたは宛先 IP アドレスを選択し、Threat Analyzer から<br />
Vulnerability Manager スキャンを要求することができます。<br />
Vulnerability Manager オンデマンド スキャンを要求すると、選択したホスト IP アドレス<br />
が Threat Analyzer からマネージャの Web 層に渡され、FoundScan エンジンに接続し、信<br />
頼関係が確立されます。これにより、要求されたホスト IP アドレスのスキャンが開始され<br />
ます。<br />
FoundScan エンジンはホストをスキャンし、マネージャに脆弱性評価データを提供します。<br />
このデータは、マネージャ データベースで処理され、保管されます。さらに、脆弱性デー<br />
タは Threat Analyzer クライアントのキャッシュでアップデートされ、開かれたすべての<br />
Threat Analyzer から、最近起動したオンデマンド スキャンを表示できます。Threat<br />
Analyzer からオンデマンド スキャンを要求するには、マネージャで Vulnerability Manager<br />
の設定を行う必要があります (38 ページを参照してください)。<br />
注意: Threat Analyzer からのオンデマンド スキャン機能の使用の詳細については、<br />
58 ページの「Threat Analyzer からの Vulnerability Manager スキャンの要求」を参<br />
照してください。<br />
35
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
マネージャのスケジューラからの Vulnerability Manager レポートの自動インポート<br />
マネージャの Vulnerability Manager スケジューラから、Vulnerability Manager データベー<br />
スからの脆弱性レポートをインポートすることができます。レポートの生成は、日単位ま<br />
たは週単位で設定できます。インポートされた脆弱性データはマネージャ データベースに<br />
保存され、また、攻撃の関連性の解析に使用される関連性キャッシュでもアップデートさ<br />
れます。<br />
マネージャからの Vulnerability Manager レポートの手動インポート<br />
Vulnerability Managerから手動でレポートをインポートし、ローカル コンピュータに保存<br />
することができます。マネージャ クライアントは、インポートした脆弱性データをマネー<br />
ジャ サーバの脆弱性評価モジュールに渡します。このデータはマネージャ データベースで<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式で処理および保存されます (51 ページ)。詳細については、48<br />
の「スキャン レポートの手動インポート」を参照してください。<br />
攻撃の関連性の解析<br />
脆弱性レポートをマネージャ データベースにインポートしたら、リアルタイム アラートの<br />
脆弱性の関連性を判断できます。詳細については、46 ページの「攻撃の関連性の解析」を<br />
参照してください。<br />
Vulnerability Manager のインストール<br />
マネージャから Vulnerability Manager を設定する前に、システムに Vulnerability Manager<br />
(バージョン 5.x または 6.x) をインストールする必要があります。<br />
Vulnerability Manager は次のコンポーネントから構成されます。<br />
• Vulnerability Manager - ブラウザベースのユーザ インターフェースを表示します。<br />
• スキャン エンジン (42 ページ) - 脆弱性評価のためのホスト スキャンに使用します。<br />
• Vulnerability Manager データベース サーバ (40 ページ) - 組織設定やスキャン構成、<br />
ワークグループ、ユーザ アカウント情報、スキャン結果に関する情報を格納する<br />
Vulnerability Manager のデータ リポジトリです。<br />
• Vulnerability Manager のカスタム証明書のサポート (58 ページ) - カスタム証明書で<br />
使用される Vulnerability Manager Certificate Management ツールをホストします。<br />
実際の Vulnerability Manager 配備では、Vulnerability Manager、Vulnerability Manager コ<br />
ンソール、1 つ以上の FoundScan エンジン、Vulnerability Manager データベースを配備す<br />
ることができます。<br />
注意: 異なる Vulnerability Manager 配備シナリオのシステム要件の詳細については、<br />
『Vulnerability Manager Administrator <strong>Guide</strong>』 (Vulnerability Manager管理者ガイド) を参照<br />
してください。<br />
DNS サーバを使用する Vulnerability Manager サーバの設定<br />
Vulnerability Manager 配備に使用するサーバは、Domain Name System (DNS) サーバに使<br />
用するために設定します。Vulnerability Manager サーバは、DNS ゾーン内のレコードとし<br />
て定義する必要があります。<br />
36
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
また、オンデマンド スキャンに使用するクライアント コンピュータを設定すること、DNS<br />
サーバを使用することを確認します。<br />
上記の設定がないと、不正な名前の解決のため、Threat Analyzer からの Vulnerability<br />
Manager オンデマンド スキャンにエラーが生じます。<br />
FoundScan Engine の FQDN (Fully Qualified Domain Name) 使用<br />
Vulnerability Manager は、スキャン実行、レポート表示などの異なるタスクのため、<br />
FoundScan Engine に接続します。<br />
Vulnerability Manager をインストールすると、IP アドレス、FoundScan サーバ用 NetBIOS<br />
名または DNS 解決可能名を入力するように要求されます。<br />
Vulnerability Manager をインストールしている、ローカル コンピュータの静的 IP アドレ<br />
スまたは FQDN (Fully Qualified Domain Name) の使用を推奨します。デフォルト値<br />
(MYHOST、上記の図で表示) は、お薦めしません。<br />
上記の画面は、Vulnerability Manager 6.5.1 インストールでのみ表示され、6.7 および 6.8<br />
バージョンでは適用されません。<br />
注意: FQDN は、ホスト名とドメイン名で構成されます。たとえば、ホスト名「myhost」、<br />
ドメイン名「example.com」のデバイスについては、FQDN 名は、<br />
「myhost.example.com」です。この例では、.comはトップレベル ドメインです。<br />
Vulnerability Manager 設定のメニュー オプション<br />
マネージャで Vulnerability Manager を構成するには、リソース ツリーで [Root Admin Domain]<br />
(ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager] の順に選択します。<br />
次のメニュー オプションが表示されます。<br />
図 40: NSM の Vulnerability Manager 設定用のメニュー オプション<br />
37
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
アイテム メニュー オプション 説明<br />
1 Vulnerability<br />
Manager<br />
Vulnerability Manager を設定するためのサブメ<br />
ニュー オプションが含まれています。<br />
2 Summary (概要) マネージャでの Vulnerability Manager の設定の<br />
詳細を表示します。<br />
3 Enable (有効) Threat Analyzer で Vulnerability Manager スキャ<br />
ニングを有効にします。<br />
4 Database (データ<br />
ベース)<br />
5 Scan Engine (スキャ<br />
ン エンジン)<br />
Vulnerability Manager データベースの設定を行<br />
います。<br />
FoundScan エンジンの設定を行います。<br />
6 Scans (スキャン) マネージャにスキャンの設定を追加します。<br />
7 Troubleshooting (ト<br />
ラブルシューティン<br />
グ)<br />
Vulnerability Manager キャッシュのリロード、<br />
関連性キャッシュのリセット、データベース<br />
アップデートの再送信など、トラブルシュー<br />
ティング オプションが含まれています。<br />
注意: 本書では、上記のメニュー オプションを「Vulnerability Manager メニュー オ<br />
プション」と表記します。<br />
マネージャでの Vulnerability Manager の設定<br />
Vulnerability Manager の設定を行うと、マネージャは FoundScan エンジン サーバやデー<br />
タベースと直接接続できるようになります。<br />
次の 2 つの方法で設定できます。<br />
1 設定画面の手動での移動<br />
2 Vulnerability Manager 構成ウィザードの使用<br />
設定画面の手動での移動<br />
手動で Vulnerability Manager の設定を行うには、次の順序に従って手順を実行する必要が<br />
あります。<br />
• Vulnerability Manager スキャンの有効化 ( 39 ページ) - Threat Analyzer から<br />
Vulnerability Manager オンデマンド スキャン機能を正常に使用するために必要な最初<br />
の手順です。<br />
• Vulnerability Manager データベースの設定 (40 ページ) - この手順は、マネージャが<br />
Vulnerability Manager データベース サーバと接続し、データベースから必要な情報を<br />
インポートするために必要です。<br />
• FoundScan エンジンの設定 (42 ページ) - スキャン エンジン情報を使用して、Threat<br />
Analyzer から Vulnerability Manager スキャンを開始します。<br />
• Vulnerability Manager スキャンの設定の追加 (43 ページ) - スキャン対象のホストの<br />
IP アドレスがマネージャに追加されたスキャン設定のいずれかに該当する場合は、<br />
38
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Threat Analyzer からのホストのオンデマンド スキャンにそのスキャン設定が使用さ<br />
れます。この手順により、マネージャでの Vulnerability Manager の設定が完了します。<br />
Vulnerability Manager 構成ウィザードの使用<br />
Vulnerability Manager構成ウィザード (46 ページ) を使用すると、必要な順番で画面に移動<br />
することができます。<br />
[My Company]、[<strong>Integration</strong>] (統合)、[Vulnerability Manager Summary] (Vulnerability Manager サマ<br />
リ)、[Run Configuration Wizard] (構成ウィザードを実行) の順に選択して、Vulnerability Manager<br />
構成ウィザードを開始します。<br />
図 41: [Summary] (サマリ) ページから Vulnerability Manager 構成ウィザードへのアクセス<br />
Vulnerability Manager スキャンの有効化<br />
マネージャから Vulnerability Manager を設定するには、まず最初に Vulnerability Manager<br />
のスキャンを有効にします。<br />
マネージャの Vulnerability Manager スキャンを有効にするには、以下の手順に従います。<br />
1 Vulnerability Manager メニュー オプション (37 ページ) から [Enable] (有効化) を選択し<br />
ます。[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager<br />
Enable] (Vulnerability Manager の有効化) の順に選択します。<br />
2 [Enable] (有効化) ページが表示されます。<br />
図 42: NSM の最初のページから Foundstone スキャンを有効化<br />
3 [Enable Vulnerability Scanning?] (脆弱性スキャンを有効化しますか?) オプションで、[Yes]<br />
(はい) を選択し、マネージャの Vulnerability Manager 設定を有効にします。<br />
39
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
4 [Save] (保存) をクリックします。画面が更新され、正常に変更が更新されたというメッ<br />
セージが表示されます。<br />
Vulnerability Manager データベースの設定<br />
Vulnerability Manager の設定に必要な 2 番目の手順は、Vulnerability Manager データベー<br />
スの設定です。<br />
これらの設定を使用して、マネージャは Vulnerability Manager データベースに接続し、ス<br />
キャン対象ホストの関連性情報、スキャン設定の詳細、スキャン エンジンの詳細、脆弱性<br />
データを取得します。必要なデータは、マネージャに固有のストアド プロシージャを使用<br />
して Vulnerability Manager データベースから直接取り出されます。<br />
ヒント: Vulnerability Manager データベースを設定する前に、Vulnerability Manager<br />
スキャンを有効にしてください (39 ページ)。<br />
Vulnerability Manager データベースを設定するには、次の手順に従います。<br />
1 Vulnerability Manager メニュー オプション(37 ページ) から [Database] (データベース)<br />
を選択します。[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability<br />
Manager Database] (Vulnerability Manager データベース) の順に選択します。<br />
図 43: NSM での Vulnerability Manager データベースの設定<br />
2 [Database Settings] (データベース設定) ウィンドウで、Vulnerability Manager データベー<br />
スの [Server Name / IP Address] (サーバ名 / IP アドレス) を入力します。<br />
3 [Database Type] (データベース タイプ) を入力します。[Default] (デフォルト) データベー<br />
スまたは [Custom] (カスタム) データベースを選択できます。<br />
40
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
4 [Database Type] (データベース タイプ) に [Default] (デフォルト) を選択した場合は、<br />
[Database Settings] (データベース設定) ウィンドウに以下の 3 つのフィールドのデフォ<br />
ルト値が表示されます。<br />
Server Port (サーバ ポート): 1433<br />
SSL Type (SSL タイプ): [Require] (必須)<br />
Database Name (データベース名): [Faultline]<br />
[Default ] (デフォルト) オプションを選択した場合は、手順 9 に移動します。<br />
5 [Database Type] (データベース タイプ) で [Custom] (カスタム) を選択すると、[Server Port]<br />
(サーバ ポート)、[SSL Type] (SSL タイプ)、[Database Name] (データベース名) フィールド<br />
にカスタムの値を入力できます。 [Custom] (カスタム) オプションを選択した場合は、<br />
手順 6 に移動します。<br />
6 Vulnerability Manager データベース サーバの [Server Port] (サーバ ポート) を入力しま<br />
す。<br />
7 [SSL Type] (SSL タイプ) を選択します。<br />
SSL タイプ 説明<br />
Off (オフ) SSL は要求または使用されません (これはデフォ<br />
ルト設定です) 。<br />
Request (要求) SSL が要求されます。サーバが SSL をサポートし<br />
ていない場合は、プレーン接続が使用されます。<br />
Require (必須) SSL が要求されます。サーバが SSL をサポートし<br />
ていない場合は、例外が発生します。<br />
Authenticate (認<br />
証)<br />
Vulnerability Manager サーバの証明書が信頼でき<br />
る証明機関 (VeriSign、DigiCert など) で署名され<br />
ることを除けば、[Require] (必須) と同じです。<br />
8 [Database Name] (データベース名) に Vulnerability Manager データベース サーバの名前<br />
を入力します。<br />
9 次に、Vulnerability Manager データベースにログインするための 3 つの異なる認証タ<br />
イプ ([SQL]、[Windows Domain] (Windows ドメイン)、[Windows Workgroup] (Windows ワー<br />
クグループ)) のいずれかを選択できます。これらの認証タイプのいずれの場合も、[User<br />
Name] (ユーザ名) と [Password] (パスワード) は、設定で使用される Vulnerability<br />
Manager データベース サーバのユーザ名とパスワードのことです。<br />
10 SQL 認証の場合、次を実行します。<br />
a. [User Name] (ユーザ名) にユーザ名を入力します。<br />
b. [Password] (パスワード) にパスワードを入力します。<br />
11 Windows ドメイン認証の場合、次を実行します。<br />
a. [User Name] (ユーザ名) にユーザ名を入力します。<br />
b. [Password] (パスワード) にパスワードを入力します。<br />
c. [Logon Domain] (ログオン ドメイン) にログイン ドメインを入力します。<br />
注意: [Logon Domain] (ログオン ドメイン) は Windows NT システムではネット<br />
ワーク ドメインを表します。このフィールドは Windows ドメイン認証専用です。<br />
41
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
12 Windows ワークグループの場合、次を実行します。<br />
a. [User Name] (ユーザ名) にユーザ名を入力します。<br />
b. [Password] (パスワード) にパスワードを入力します。<br />
c. [Server Name] (サーバ名) に Windows ワークグループ サーバのサーバ名を入力しま<br />
す。<br />
13 [Test Connection] (接続のテスト) をクリックして Vulnerability Manager データベースに<br />
接続できるか確認します。<br />
注意: どちらの認証タイプのログイン情報 (ユーザ名およびパスワード) にも、<br />
Vulnerability Manager データベースの db_owner アクセス権を付与する必要が<br />
あります。これはマネージャで Vulnerability Manager データベースへの接続を<br />
確立し、Vulnerability Manager データベースにストアド プロシージャを自動イ<br />
ンストールするために必要です。<br />
初めて Vulnerability Manager データベースを設定した際に、マネージャは情報<br />
の取得に必要なテーブルおよびストアド プロシージャを持つ Vulnerability<br />
Manager データベースを自動的にインストールします。<br />
次の手順で、マネージャでスキャン エンジン設定を構成します。<br />
FoundScan エンジンの設定<br />
FoundScan エンジン (エンジン、スキャン エンジン、FoundScan Console ともいいます) は、<br />
ネットワーク内のホストの脆弱性をスキャンする Vulnerability Manager システムのコン<br />
ポーネントです。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>-Vulnerability Manager 統合では、FoundScan エンジンの 2 つの<br />
バージョン (5.x および 6.x) をサポートしています。マネージャでは、スキャン エンジンの<br />
バージョン、スキャン エンジン サーバへのログイン認証情報を設定します。マネージャは、<br />
これらの設定を使用して Threat Analyzer の脆弱性評価スキャンを初期化します。<br />
ヒント: スキャン エンジンを設定する前に、Vulnerability Manager スキャンを有効に<br />
し (39 ページ)、Vulnerability Manager データベース設定を構成する (40 ページ) 必要<br />
があります。<br />
スキャン エンジン設定を構成するには、次を実行します。<br />
1 Vulnerability Manager メニュー オプション (37 ページ) から [Scan Engine] (スキャン エ<br />
ンジン)を選択します。[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、<br />
[Vulnerability Manager Scan Engine] (Vulnerability Manager スキャン エンジン) の順に選択<br />
します。<br />
2 [Scan Engine Settings] (スキャン エンジンの設定) ウィンドウで、[Engine Version] (エンジ<br />
ン バージョン) を 5 または 6 で選択します。<br />
注意: [Scan Engine Settings] (スキャン エンジンの設定) ウィンドウでは、5.x は<br />
Vulnerability Manager 5.0 バージョンを指し、6.x は Vulnerability Manager <strong>6.0</strong> ま<br />
たは 6.5 バージョンを指します。<br />
3 スキャン エンジン サーバの [User Name] (ユーザ名) と [Password] (パスワード) にそれぞ<br />
れ値を入力します。<br />
42
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
図 44: NSM でのスキャン エンジン設定の構成<br />
注意: ここで入力したユーザ名とパスワードには、スキャン エンジン サーバの<br />
完全アクセス権限がある必要があります。これは、Threat Analyzerから<br />
Vulnerability Manager オンデマンド スキャンを正常に開始するために不可欠で<br />
す。<br />
4 [Save] (保存) をクリックして設定を保存します。<br />
次に、マネージャでスキャン構成を追加します。<br />
Vulnerability Manager スキャン設定の追加<br />
Vulnerability Manager システムで各ホスト IP アドレス範囲ごとにスキャン構成 (スキャン)<br />
を定義し、マネージャに追加することができます。<br />
マネージャにスキャン構成を追加すると、Vulnerability Manager データベースにそのス<br />
キャン構成が存在するかどうかチェックされます。スキャン構成が存在する場合は、マネー<br />
ジャ データベースに保存されます。また、スキャン構成はマネージャ キャッシュにアップ<br />
ロードされます。<br />
マネージャ キャッシュは基本的に、スキャン構成で定義されたスキャン構成 ID と IP 範囲<br />
を格納します。Threat Analyzer からのホスト IP のオンデマンド スキャンを要求すると、<br />
要求された IP アドレスはキャッシュされた IP アドレスに照合され、適切なスキャン構成<br />
ID が選択されます。次に、スキャン構成 ID に関連付けられているスキャン構成が、ホス<br />
ト IP のスキャンに使用されます。<br />
必須条件:スキャン設定をマネージャに追加する前に、FoundScan エンジン内で定<br />
義されたスキャン設定を一度実行する必要があります。Vulnerability Manager で定<br />
義された各スキャン設定は、FoundScan エンジンと関連付けられています。<br />
Vulnerability Manager 側で初めてスキャン設定を実行する場合、スキャン設定が最<br />
後に実行されたFoundScan エンジンが、そのスキャン設定と関連付けられます。こ<br />
の手順は、スキャン設定をマネージャに追加するために重要です。<br />
ヒント: Vulnerability Manager 側で定義した組織の共通ユーザを定義することをお<br />
勧めします。このユーザが FoundScan エンジンへの完全アクセス権を持っているこ<br />
とを確認してください。このユーザにより、Vulnerability Manager の組織すべてで<br />
定義したさまざまなスキャン設定にアクセスすることができます。これで、<br />
Vulnerability Manager で定義したスキャン設定のアクセスが容易になります。組織<br />
およびスキャン設定の詳細については、『Vulnerability Manager Administrator <strong>Guide</strong>』<br />
(Vulnerability Manager管理者ガイド) の「スキャンについて」を参照してください。<br />
43
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
マネージャにスキャン設定を追加するには、以下の手順に従います。<br />
1 Vulnerability Manager メニュー オプションから (37 ページ) [Scans] (スキャン) を選択<br />
します。[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager<br />
Scans] (Vulnerability Manager スキャン) の順に選択します。<br />
[Added Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加) ページが表示<br />
されます。<br />
図 45: [Scan Configuration Details] (スキャン構成の詳細) ページ<br />
注意: [Added Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加)<br />
ページで、スキャン設定を個別でまたは複数選択で削除できます。 [Delete] (削除)<br />
を選択すると、スキャン設定を削除できます。複数のスキャン設定では、該当<br />
する設定のチェックボックスを選択してから [Delete] (削除) を選択します。<br />
2 スキャン構成を追加するには、[New] (新規作成) をクリックします。 [Add a Scan] (スキャ<br />
ンの追加) ダイアログが表示されます。<br />
図 46: スキャン構成の NSM への追加<br />
[Add a Scan] (スキャンの追加) ダイアログでは、異なるホスト IP アドレス範囲の<br />
FoundScan エンジンで定義された設定と同じスキャン設定を入力できます。<br />
3 [Organization] (組織) または [Workgroup] (ワークグループ) に組織名またはワークグルー<br />
プ名を入力します。<br />
4 [Scan Name] (スキャン名) にスキャン名を入力します。<br />
44
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
5 デフォルトにするスキャン設定を [Set As Default ?] (デフォルトに設定しますか?) で選<br />
択します。<br />
ヒント: [Set As Default] (デフォルトに設定) オプションを使用して、必要なスキャ<br />
ン構成をデフォルトとして設定できます。<br />
6 必要な場合、[Description] (説明) フィールドにスキャン設定に関する説明を入力します。<br />
7 [Save] (保存) を選択します。[Added Vulnerability Manager Scans] (Vulnerability Manager ス<br />
キャンの追加) ページにマネージャに追加するすべてのスキャン設定が表示されます。<br />
これで Vulnerability Manager の設定が完了します。Threat Analyzer を実行している場合は、<br />
再起動して変更を有効にします。<br />
Vulnerability Manager 設定詳細の表示<br />
Vulnerability Manager の設定詳細をマネージャで表示するには、以下の手順に従います。<br />
[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager Summary]<br />
(Vulnerability Manager サマリ) の順に選択します。[Summary] (サマリ) ページが表示されま<br />
す。<br />
図 47: NSM での Vulnerability Manager 構成詳細ページ<br />
このページには、Vulnerability Manager スキャンの状態 (有効または無効)、Vulnerability<br />
Manager データベース設定、Vulnerability Manager エンジン設定、マネージャに追加され<br />
たスキャン構成のリストなど、Vulnerability Manager 構成の詳細情報が表示されます。<br />
すべてのページで保存された Vulnerability Manager 構成に関連する変更は、[Summary] (サ<br />
マリ) ページに反映されます。各リンクをクリックすると、該当するページにリダイレクト<br />
されます。<br />
また、[Summary] (サマリ) ページの [Run Configuration Wizard] (構成ウィザードを実行) を使用<br />
して、Vulnerability Manager 設定を構成できます。46 ページの「Vulnerability Manager 構<br />
成ウィザードの使用」を参照してください。<br />
45
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Vulnerability Manager 構成ウィザードの使用<br />
Vulnerability Manager 構成ウィザードを使用して、マネージャから Vulnerability Manager<br />
の設定を行うことができます。<br />
1 [Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager<br />
Summary] (Vulnerability Manager サマリ) の順に選択します。<br />
2 [Summary] (サマリ) ページで、[Run Configuration Wizard] (構成ウィザードを実行) を選択し<br />
ます。<br />
3 ウィザードに次の順序でページが表示されます。<br />
Enable (有効) (39 ページ)<br />
Database Settings (データベース設定) (40ページ)<br />
Scan Engine Settings (スキャン エンジン設定) (42 ページ)<br />
Added Vulnerability Manager Scans (Vulnerability Manager スキャンの追加) (43 ページ)<br />
4 [Next >] (次へ >) または [< Back] (< 戻る) ボタンを使用してページを移動します。<br />
5 設定手順は合計で 4 つです。4 つ目の手順が終わったら、[Finish] (終了) を選択します。<br />
6 Threat Analyzer を実行している場合は、再起動して変更を有効にします。<br />
攻撃の関連性の解析<br />
関連性の解析では、Vulnerability Manager からマネージャ データベースにインポートされ<br />
た脆弱性データを使用して、リアルタイム アラートの脆弱性の関連性の解析を行います。<br />
スキャナの脆弱性評価レポートには、ネットワークの特定のホストで検出された脆弱性が<br />
含まれています。たとえば、脆弱性評価レポートには、ホスト 10.1.1.x がバッファ オーバー<br />
フロー攻撃に対して脆弱であるという内容と、攻撃の CVE ID および BugTraq ID が表示さ<br />
れます。マネージャは、インポートされたスキャン レポートを使用して、識別されたホス<br />
トがその特定の攻撃に対して脆弱であるかどうかを判断します。<br />
マネージャの攻撃キャッシュには、<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Sensor (センサ)により検出<br />
された攻撃の CVE ID が保存されます。関連性の解析では、インポートされたレポートの<br />
脆弱性の CVE ID が、マネージャの攻撃キャッシュの CVE ID と比較されます。一致レコー<br />
ドが見つかると、該当するアラートは [Relevant] とマークされます。このレコードは、ア<br />
ラートの処理中にアラート相関分析モジュールによって関連性の種類の確認に使用されま<br />
す。また、Threat Analyzer の [Vulnerability Relevance] (脆弱性の関連性) フィールドのアップ<br />
デートにも使用されます。<br />
関連性の解析のステータスは、[Preferences] (設定) ページの [Vulnerability Relevance] (脆弱性の<br />
関連性) フィールドを有効にすることにより、Threat Analyzer の [Details] (詳細) ページで表<br />
示できます。ステータスは [Relevant]、[Unknown]、[Not Applicable] のいずれかです。<br />
[Details] (詳細) ページで、[Vulnerability Relevance] (脆弱性の関連性) カテゴリ別にソートして<br />
アラートを表示することもできます。詳細については、『System Status Monitoring <strong>Guide</strong>』 (シ<br />
ステムの状態の監視ガイド) の「ドリルダウン:アラートのカテゴリ別のソート」および<br />
「Drilldown:Detail view」を参照してください。<br />
脆弱なホストのアラートを [Relevant] とマークすることで、ネットワーク管理者は相対的<br />
な関連性に応じて簡単にアラートを表示およびソートできます。<br />
46
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
関連性の解析用のメニュー オプション<br />
マネージャで関連性の解析を構成するには、リソース ツリーで [Root Admin Domain] (ルート<br />
管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性) の順に選択します。<br />
次のメニュー オプションが表示されます。<br />
図 48: 関連性の解析用のメニュー オプション<br />
アイテム メニュー オプション 説明<br />
1 Relevance (関連性) 関連性の解析について設定するためのサブメ<br />
ニュー オプションが含まれています。<br />
2 Summary (概要) マネージャでの関連性の解析の設定の詳細を表示<br />
します。<br />
3 Enable (有効) Threat Analyzer での関連性の解析を有効にしま<br />
す。<br />
4 Manual Import (手動<br />
インポート)<br />
マネージャ データベースに脆弱性スキャナ レ<br />
ポートを手動でインポートします。<br />
5 Automation (自動) マネージャ データベースへの Vulnerability<br />
Manager 脆弱性レポートの自動インポートのスケ<br />
ジュールを設定します。<br />
6 Database (データ<br />
ベース)<br />
関連性の解析用の Vulnerability Manager データ<br />
ベースの設定を行います。<br />
7 Scans (スキャン) マネージャにスキャンの設定を追加します。<br />
8 Troubleshooting (ト<br />
ラブルシューティン<br />
グ)<br />
Vulnerability Manager キャッシュのリロード、関<br />
連性キャッシュのリセット、データベース アップ<br />
デートの再送信など、トラブルシューティング オ<br />
プションが含まれています。<br />
注意: 本書では、上記のメニュー オプションを「関連性メニュー オプション」と表<br />
記します。<br />
マネージャでの関連性の解析の構成<br />
次の 2 つの方法でマネージャの関連性を構成できます。<br />
1 設定画面の手動での移動<br />
2 関連性構成ウィザードの使用<br />
47
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
設定画面の手動での移動<br />
マネージャで関連性の設定を行うには、次の順序に従って手順を実行する必要があります。<br />
• 攻撃の関連性の解析の有効化 (48 ページ)<br />
• スキャン レポートの手動インポート (48ページ)<br />
• スキャン レポートの自動インポート (51ページ)<br />
• 関連性の解析用のVulnerability Manager データベースの設定 (52ページ)<br />
• 関連性の解析に関するスキャン設定の追加 (53 ページ)<br />
関連性構成ウィザードの使用<br />
また、関連性構成ウィザード (54 ページ) を使用して、上記のタスクを構成することもでき<br />
ます。<br />
注意: 攻撃の関連性の解析には、関連性の解析を有効にし (48 ページ)、手動 (48 ペー<br />
ジ) または自動 (51 ページ) でマネージャにスキャン レポートをインポートする必要<br />
があります。<br />
攻撃の関連性の解析の有効化<br />
この手順は、マネージャで関連性の解析を構成するのに必要です。<br />
関連性の解析を有効にするには、以下の手順に従います。<br />
1 関連性メニュー オプション(47 ページ) から [Enable] (有効) を選択します。[Root Admin<br />
Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Enable] (有効) の<br />
順に選択します。<br />
2 [Enable] (有効化) ページが表示されます。<br />
3 [Enable Relevance Analysis?] (関連性の解析を有効化しますか?) オプションで [Yes] (はい)<br />
を選択し、マネージャでの関連性の解析設定を有効化します。<br />
図 49: NSM での関連性の解析の有効化<br />
4 [Save] (保存) をクリックして設定を保存します。画面が更新され、正常に変更が更新さ<br />
れたというアップデートが表示されます。<br />
スキャン レポートの手動インポート<br />
Vulnerability Manager からマネージャにスキャナ レポートを手動でインポートできます。<br />
その他の他社製の脆弱性スキャナ レポートをインポートする場合は、<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> 形式 (51 ページ) にレポートを変換する必要があります。<br />
48
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
XML ベースの形式を <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式に変換する場合は、<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> に含まれる DTD (GenVulReportFlat.dtd) を参照してください。<br />
マネージャに脆弱性スキャナ レポートを手動でインポートするには、次の手順を実行しま<br />
す。<br />
1 [Relevance menu options] (関連性メニュー オプション) (47 ページ) から [Manual Import]<br />
(手動インポート) リンクを選択します。[Root Admin Domain] (root 管理ドメイン)、<br />
[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Manual Import] (手動インポート) の順に選択し<br />
ます。<br />
図 50: NSM に脆弱性スキャナ レポートを手動インポート<br />
[Import Scan Reports Manually] (スキャン レポートを手動でインポート) で [New] (新規作<br />
成) を選択します。[Import A Scan Report] (スキャン レポートのインポート) Web ページ<br />
ダイアログが表示されます。<br />
図 51: NSM に脆弱性スキャナ レポートをインポートする Web ダイアログ<br />
49
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
2 [Report Type] (レポート タイプ) ドロップダウン リストからプライマリ インターフェー<br />
スを選択します。レポートは、サポートされているスキャナまたは形式のいずれでも<br />
可能です (50 ページを参照)。<br />
3 [Description] (説明) に選択したスキャナ レポートの種類を入力します。<br />
4 [Browse...] (参照...) をクリックして、[Report file] (レポート ファイル) を選択します。ロー<br />
カル マシンからレポート ファイルを選択できます。<br />
5 マネージャ データベースにレポートをインポートするには、[Enable on import?] (イン<br />
ポートを有効化しますか?) チェックボックスを選択します。<br />
6 [Import Report] (レポートのインポート) をクリックして、スキャナ レポートをインポー<br />
トします。<br />
7 スキャナ レポートはマネージャ データベースにインポートされ、[Manually Imported Scan<br />
Reports] (スキャン レポートを手動でインポート) ウィンドウで表示されます。<br />
注意: インポートされたレポートはマネージャ データベースで <strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> 形式で処理および保存されます (51 ページ)。 [Manually Imported<br />
Scan Reports] (スキャン レポートを手動でインポート) ウィンドウでは、[File Name]<br />
(ファイル名) フィールドのリンクを選択する場合、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形<br />
式のレポートを別ウィンドウで表示することができます。<br />
サポートされている脆弱性スキャナおよび形式<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> では、次の脆弱性スキャナ バージョンとレポート形式をサポー<br />
トしています。<br />
サポートされているスキャナ スキャナのバージョン レポート形式<br />
Vulnerability Manager<br />
Enterprise (50 ページ)<br />
他社製脆弱性スキャナ (例:<br />
Qualys、nCircle)<br />
5.x、6.x。<br />
<strong>6.0</strong> または 6.5 バージョン<br />
Vulnerability Manager 5.x<br />
は 5.0.x バージョンを指し<br />
ます。<br />
XML<br />
<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> 形式 (51 ページ)<br />
前述のとおり、上記のスキャナからの脆弱性レポートはマネージャにインポート可能です。<br />
<strong>McAfee</strong> Vulnerability Manager の形式<br />
<strong>McAfee</strong>Vulnerability Manager Enterprise は脆弱性評価 (VA) のプラットフォームであり、<br />
企業ネットワークにおけるシステムの脆弱性および脅威の検出と優先順位決定を自動的に<br />
行います。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> でサポートされているのは XML 形式の Vulnerability Manager<br />
レポートのみです。Vulnerability Manager の XML 形式のレポートでは、ホスト名<br />
50
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
(Host_Data.xml) とリスク (Risk_Data.xml) ごとに評価が分類されます。<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> ではこれらの両方の形式をサポートします。<br />
手動 (48 ページ) または自動 (51 ページ) で Vulnerability Manager スキャン レポートをマ<br />
ネージャにインポートできます。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式<br />
他社製の脆弱性スキャナ (Qualys や nCircle など) を使用するユーザは、手動でマネージャ<br />
に対応するスキャナ レポートをインポートできます。<br />
ただし、これらのスキャナ レポートをマネージャに正常にインポートおよび表示するため<br />
に、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の Document Type Definition (DTD) で中間形式として XML<br />
形式に置換する必要があります。この XML 形式を <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式と言い<br />
ます。<br />
注意: XML ベースの形式を <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式に変換する場合は、<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> に含まれる DTD (GenVulReportFlat.dtd) を参照してくだ<br />
さい。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式を使用する理由<br />
脆弱性評価レポートには業界標準の形式がないため、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> はインポー<br />
トされたすべてのレポートを <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式に変換します。この方法を使<br />
用することで、アラート エンジンの動作を変更することなく、新しいレポート形式を追加<br />
できます。変換されたレポートとメタデータは、マネージャ データベースの iv_vul_record と<br />
いう名前の新しい表に格納されます。この表は、標準のバックアップ プロセスと MDR 同<br />
期プロセスの一部で保存されます。<br />
スケジューラを使用したレポートの自動インポート<br />
Vulnerability Manager データベースからスキャンした脆弱性レポートをマネージャ データ<br />
ベースにインポートする場合、マネージャの Vulnerability Manager スケジューラ (スケ<br />
ジューラ) を使用できます。<br />
注意: スケジューラを使用したレポートの自動インポートは、Vulnerability Manager<br />
レポートのみ使用できます。その他のスキャナの場合は、手動インポートのみ可能<br />
です (50 ページ)。<br />
自動インポート プロセス中に、スケジューラにより脆弱性データベースのストアド プロ<br />
シージャが起動し、マネージャ データベースに脆弱性データがすべて戻されます。取得さ<br />
れた脆弱性データは、脆弱性評価に使用されたスキャン構成に対応します。マネージャは、<br />
スケジューラの最新のインポート時刻に基づいて関連性情報を取得します。<br />
51
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Vulnerability Manager スケジューラを起動するには、以下の手順に従います。<br />
1 関連性メニュー オプション (47 ページ) から [Automation] (自動化) を選択します。[Root<br />
Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Automation]<br />
(自動化) の順に選択します。<br />
[Automation] (自動化) ウィンドウが表示されます。<br />
図 52: NSM での Vulnerability Manager スケジューラ<br />
2 [Import Scan Results Automatically?] (スキャン結果を自動でインポートしますか?) で [Yes]<br />
(はい) を選択し、スケジューラでレポートの自動インポートを有効にします。<br />
3 週単位または日単位でのインポートをスケジュールするには、[Frequency] (頻度) の<br />
[Daily] (毎日) または [Weekly] (毎週) インポート オプションを選択します。<br />
4 [Start At] (開始時間) で、スケジューラの起動時間を選択します。<br />
5 Vulnerability Manager から即時脆弱性データをインポートする場合、[Import Now!] (今す<br />
ぐインポート!) を選択します。ページが更新され、Vulnerability Manager データベー<br />
スから脆弱性データが正常にインポートされたというメッセージが表示されます。<br />
6 [Apply] (適用) をクリックして設定を保存します。ページが更新され、設定が正常に更<br />
新されたというメッセージが表示されます。<br />
注意: スケジューラには、Vulnerability Manager データベースからマネージャ<br />
データベースに脆弱性データをインポートする 2 つのオプションが用意されて<br />
います。データの即時インポートには [Import Now!] (今すぐインポート!) を使用し、<br />
日単位または週単位のインポートには定期的なスケジュールを使用します。<br />
ヒント: エラー メッセージの詳細については、55 ページの「Vulnerability<br />
Manager スケジューラの障害メッセージ」を参照してください。<br />
次に、関連性の解析について、マネージャで Vulnerability Manager データベース設定を構<br />
成します。<br />
関連性の解析用の Vulnerability Manager データベースの設定<br />
Vulnerability Manager データベースから関連情報を取得するには、マネージャで<br />
Vulnerability Manager データベースの設定を行う必要があります。<br />
52
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Vulnerability Manager データベースの設定を行うには、以下の手順に従います。<br />
1 [Relevance menu options] (関連性メニュー オプション) (47 ページ) から [Database]<br />
(データベース) リンクを選択します。 [Root Admin Domain] (root 管理ドメイン)、<br />
[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Database] (データベース) の順に選択します。<br />
2 関連性解析を設定する [Database Settings] (データベース設定) ウィンドウが表示されま<br />
す。<br />
3 [Database Settings] (データベース設定) ウィンドウにあるフィールドは、Vulnerability<br />
Manager の構成設定を行う際のフィールドと類似しています。[Database Settings] (デー<br />
タベース設定) ウィンドウの設定の詳細については、40 ページの「Vulnerability<br />
Manager データベースの設定」を参照してください。<br />
次の項では、関連性の解析を行うためのマネージャへのスキャン設定の追加について説明<br />
します。<br />
関連性の解析用のスキャン設定の追加<br />
Vulnerability Manager で定義されているスキャン設定をマネージャに追加する必要があり<br />
ます。これは、Threat Analyzer から Vulnerability Manager スキャンを開始するために必要<br />
です。Vulnerability Manager オンデマンド スキャンを Threat Analyzer から開始すると、<br />
ホストの IP アドレスによって、マネージャにある適切なスキャン設定がホストをスキャン<br />
するために使用されます。<br />
関連性解析を有効にすると、マネージャは各 Vulnerability Manager スキャンの最新の結果<br />
を自動的にインポートし、関連性解析用にこれらを使用します。<br />
スキャン設定を追加するには、以下の手順に従います。<br />
1 [Relevance menu options] (関連性メニュー オプション) (47 ページ) から [Scans] (ス<br />
キャン) リンクを選択します。[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統<br />
合)、[Relevance] (関連性)、[Scans] (スキャン) の順に選択します。<br />
2 関連性の解析用に [Add Vulnerability Manager Scans] (Vulnerability Manager スキャンの追<br />
加) ページが表示されます。<br />
3 [Add Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加) ウィンドウにあ<br />
るフィールドは、Vulnerability Manager の構成設定を行う際のフィールドと類似して<br />
います。詳細については、43 ページの「Vulnerability Manager スキャン設定の追加」<br />
を参照してください。スキャン設定をマネージャに追加する前に、重要な必須条件を<br />
満たす必要があることに注意してください。<br />
関連性の構成詳細の表示<br />
マネージャで関連性の構成の詳細を表示するには、以下の手順に従います。<br />
[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Summary]<br />
(サマリ) の順に選択します。 [Relevance View Details] (関連性ビューの詳細) ページが表示され<br />
ます。<br />
53
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
図 53: 関連性の構成詳細の表示<br />
このページには、関連性の解析の状態 (有効または無効)、Vulnerability Manager データベー<br />
ス設定、マネージャに追加された関連性の解析のスキャン構成のリストなど、関連性構成<br />
の詳細情報が表示されます。<br />
すべてのページで保存された関連性構成に関連する変更は、[Relevance View Details] (関連性<br />
ビューの詳細) ページに反映されます。各リンクをクリックすると、該当するページにリダ<br />
イレクトされます。<br />
また、[Relevance View Details] (関連性ビューの詳細) ページの [Run Configuration Wizard] (構成<br />
ウィザードを実行) を使用して、関連設定を構成できます。これに関しては以下のセクショ<br />
ンで説明します。<br />
関連性構成ウィザードの使用<br />
関連性構成ウィザードを使用して、マネージャから関連性の設定を行うことができます。<br />
1 [Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、<br />
[Summary] (サマリ) の順に選択します。<br />
2 [Relevance View Details] (関連性ビューの詳細) で、[Run Configuration Wizard] (構成ウィザー<br />
ドを実行) を選択します。<br />
3 ウィザードに次の順序でページが表示されます。<br />
Enable (有効) (48 ページ)<br />
Manual import (手動インポート) (48ページ)<br />
Automation (自動化) (51 ページ)<br />
Database (データベース) (52 ページ)<br />
Scans (スキャン) (53 ページ)<br />
4 [Next >] (次へ >) または [< Back] (< 戻る) ボタンを使用してページを移動します。<br />
5 設定手順は合計で 5 つです。5 つ目の手順が終わったら、[Finish] (終了) を選択します。<br />
54
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
6 Threat Analyzer を実行している場合は、再起動して変更を有効にします。<br />
Vulnerability Manager スケジューラの障害メッセージ<br />
以下の表に、スケジューラでのレポートのインポート プロセスに関連する障害メッセージ<br />
を表示します。<br />
表示される障害 重大度 説明<br />
Vulnerability data import<br />
from Vulnerability<br />
Manager database was<br />
successful<br />
Scheduled Vulnerability<br />
Manager vulnerability<br />
data import failed<br />
情報 このメッセージは、Vulnerability Manager<br />
データベースからの脆弱性データの読み<br />
込みに成功したことを示しています (51<br />
ページ)。<br />
重大 このメッセージは、Vulnerability Manager<br />
データベースからの脆弱性データの読み<br />
込みが失敗したことを示しています。<br />
障害のリンクをクリックすると、障害の詳細と、障害を修正するための対策案が表示され<br />
ます。<br />
図 54: 障害の詳細「脆弱性データのインポートが成功しました」<br />
図 55: 障害の詳細「スケジュール設定した脆弱性データのインポートが失敗しました」<br />
55
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
トラブルシューティング オプション<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合および関連性の解析について、<br />
次のトラブルシューティング オプションが使用できます。<br />
• Vulnerability Manager キャッシュのリロード (56 ページ) - 追加されたスキャン設定<br />
がマネージャで失われた疑いがある場合<br />
• 関連性キャッシュのリセット (57 ページ) - 現在マネージャによって関連性の解析に<br />
使用されているマネージャ関連性キャッシュのデータをリロードする場合<br />
• Vulnerability Manager データベースの再アップデート (57 ページ) - Vulnerability<br />
Manager データベースからマネージャ データベースへの情報のインポートに必要な<br />
Vulnerability Manager データベースのテーブルやストアド プロシージャがアップデー<br />
トされていない疑いがある場合<br />
マネージャのトラブルシューティング オプションにアクセスするには、次のいずれかの手<br />
順に従います。<br />
• [Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager<br />
Troubleshooting] (Vulnerability Manager のトラブルシューティング) の順に選択します。<br />
• [Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、<br />
[Troubleshooting] (トラブルシューティング) の順に選択します。<br />
図 56: トラブルシューティング オプション<br />
Vulnerability Manager キャッシュのリロード<br />
リロード キャッシュ タブを使用して、Vulnerability Manager から取り出した最新のスキャ<br />
ン構成で、マネージャの Vulnerability Manager Web キャッシュをロードできます。<br />
マネージャで Vulnerability Manager キャッシュをリロードにするには、以下の手順に従い<br />
ます。<br />
1 Vulnerability Manager の構成が有効で、マネージャにスキャン構成が追加されている<br />
ことを確認してください。<br />
56
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
2 [Cache] (キャッシュ) ページには、次の 2 つの方法でアクセスできます。<br />
Vulnerability Manager 構成からアクセスする場合: [Root Admin Domain] (ルート管<br />
理ドメイン)、[<strong>Integration</strong>] (統合)、[Vulnerability Manager Troubleshooting] (Vulnerability<br />
Manager のトラブルシューティング) の順に選択します。<br />
関連性設定からアクセスする場合: [Root Admin Domain] (ルート管理ドメイン)、<br />
[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、[Troubleshooting] (トラブルシューティング)<br />
の順に選択します。<br />
3 [Reload Scan Cache] (スキャン キャッシュのリロード) を選択し、Vulnerability Manager<br />
から最新のスキャン設定で、マネージャの脆弱性ウェブ キャッシュを更新します。<br />
リロードが成功したことを示すメッセージが表示されます。<br />
[Troubleshooting] (トラブルシューティング) リンクには [Reload Scan Cache] (スキャン キャッ<br />
シュのリロード) ボタンは表示されない場合があります。原因は次の表のとおりです。<br />
# 理由 解決方法<br />
1 Vulnerability Manager 構成が無効にさ<br />
れている<br />
2 Vulnerability Manager スキャン設定が<br />
マネージャに追加されていない<br />
関連性キャッシュのリセット<br />
Vulnerability Manager Enterprise を<br />
有効にする (39 ページ)。<br />
マネージャにスキャン設定を追加す<br />
る (43 ページ)。<br />
マネージャで関連性キャッシュをアップデートする場合は、トラブルシューティング オプ<br />
ションからキャッシュをリセットします。<br />
関連性キャッシュをリセットするには、以下の手順に従います。<br />
1 [Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関連性)、<br />
[Troubleshooting] (トラブルシューティング) の順に選択します。<br />
2 [Reset Relevancy Cache] (関連性キャッシュをリセット) を選択します。関連性キャッシュ<br />
のリロードが成功したことを示すメッセージが表示されます。<br />
データベースアップデートの再送信<br />
Vulnerability Manager データベースを設定すると (40 ページ)、マネージャは、Vulnerability<br />
Manager データベースと、関連する情報の取得に必要なテーブルおよびストアド プロシー<br />
ジャを自動的にインストールします。<br />
必要なテーブルとストアド プロシージャがデータベースに適切にアップデートされてい<br />
ない場合は、マネージャから Vulnerability Manager データベースにアップデートを再送信<br />
できます。この場合、[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、<br />
[Vulnerability Manager Troubleshooting] (Vulnerability Manager のトラブルシューティング) の順<br />
に選択するか、[Root Admin Domain] (ルート管理ドメイン)、[<strong>Integration</strong>] (統合)、[Relevance] (関<br />
連性)、[Troubleshooting] (トラブルシューティング) の順に選択してください。<br />
57
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
[Resubmit Database Updates] (データベース アップデートの再送信) を選択して、Vulnerability<br />
Manager データベースにアップデートを再送信します。<br />
Vulnerability Manager のカスタム証明書のサポート<br />
Vulnerability Manager のカスタム証明書を使用するには、カスタム クライアント証明書を<br />
生成する Vulnerability Manager Certificate Management ツールを実行する必要があります。<br />
他社製 SOAP クライアントは、FoundScan エンジンでの SSL クライアント認証にカスタ<br />
ム クライアント証明書を使用できます。<br />
マネージャが MDR モードでセカンダリ マネージャがアクティブの場合、Vulnerability<br />
Manager カスタム証明書はセカンダリ マネージャに自動的にコピーされません。セカンダ<br />
リ マネージャでカスタム証明書を使用するには、アクティブにする前に同じ手順を実行し<br />
てください。<br />
Java キー ストアへのカスタム証明書のインポートの詳細については、マネージャ サーバ<br />
のパス (\Program Files\<strong>McAfee</strong>\<strong>Network</strong> <strong>Security</strong> Manager\App\ config\fscerts\) にある<br />
_FSCustomCerts-Readme.txt ファイルを参照してく<br />
ださい。<br />
カスタム クライアント証明書の作成の詳細については、『Vulnerability Manager Configuration<br />
<strong>Guide</strong>』 (Vulnerability Manager コンフィグレーション ガイド) を参照してください。<br />
Threat Analyzer からの Vulnerability Manager スキャンの要求<br />
オンデマンド スキャン機能を使用すると、リアルタイム Threat Analyzer と ヒストリカル<br />
Threat Analyzer でソース IP アドレスまたは宛先 IP アドレスを指定して Vulnerability<br />
Manager のホスト スキャンを実行できます。<br />
Vulnerability Manager オンデマンド スキャンを要求すると、選択したホスト IP アドレス<br />
が Threat Analyzer からマネージャの Web 層に渡され、FoundScan エンジンに接続し、信<br />
頼関係が確立されます。これにより、要求されたホスト IP アドレスでスキャンが開始しま<br />
す。<br />
注意: 通常、FoundScan エンジンがホストの脆弱性をスキャンするには 4 分かかり<br />
ます。<br />
FoundScan エンジンはホストをスキャンし、SOAP/SSL 応答でマネージャに脆弱性評価<br />
データを提供します。処理された脆弱性データは、<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Manager (マ<br />
ネージャ) データベースに保存されます。また、このデータは Threat Analyzer クライアン<br />
トのキャッシュでもアップデートされます。<br />
Threat Analyzer からオンデマンド スキャンを要求するには、マネージャ クライアントの<br />
インターフェースで Vulnerability Manager の設定を行う必要があります。詳細については、<br />
「マネージャでの Vulnerability Manager の設定」を参照してください。<br />
58
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Threat Analyzer からのオンデマンド スキャンの実行<br />
Threat Analyzer の [Detail] (詳細) メニューで、各アラートに対して Vulnerability Manager<br />
オンデマンド スキャンを実行できます。アラートを右クリックして、[Start Vulnerability Scan]<br />
(脆弱性スキャンの開始)、[Scan Source IP] (ソース IP のスキャン) の順に選択するか、[Start<br />
Vulnerability Scan] (脆弱性スキャンの開始)、[Scan Destination IP] (宛先 IP のスキャン) の順に選<br />
択します。<br />
ソース IP は、ネットワークに対して攻撃を発生させている疑いのあるコンピュータの IP<br />
アドレスです。ソース IP は、ネットワークの外部のコンピュータである場合も内部のコン<br />
ピュータである場合もあります。ネットワーク内の他のコンピュータを攻撃している疑い<br />
のあるコンピュータをスキャンするには、[Scan Source IP] (ソース IP のスキャン) オプショ<br />
ンを選択します。<br />
宛先 IP は、ネットワークの他のコンピュータから攻撃されている疑いのあるコンピュータ<br />
の IP アドレスです。攻撃によって感染した疑いのあるコンピュータをスキャンするには、<br />
[Scan Destination IP] (宛先 IP のスキャン) オプションを選択します。<br />
注意: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Vulnerability Manager の統合環境では、IPv4 ホ<br />
スト アドレスのスキャン可能です。<br />
[Scan Source IP] (ソース IP のスキャン) または [Scan Destination IP] (宛先 IP のスキャン) のど<br />
ちらかのオプションを選択すると、スキャン要求が送信されることを示すポップアップ ダ<br />
イアログが表示されます。ホスト IP アドレスおよび IP アドレスのスキャンに使用するス<br />
キャン設定の詳細もポップアップ ダイアログに表示されます。<br />
図 57: Threat Analyzer で Vulnerability Manager オンデマンド スキャン送信後に表示されるポッ<br />
プアップ メッセージ<br />
スキャン結果を表示するには、[Yes] (はい) を選択します。[Host Forensics] (ホストの Forensic<br />
解析) ページに戻ります。<br />
IP アドレスが定義済みのスキャンに分類されない場合、ポップアップ メッセージが表示さ<br />
れます。この IP に、マネージャで定義されたデフォルトのスキャン設定が適用されること<br />
が通知されます。<br />
図 58: IP アドレスが定義したスキャン設定の範囲内にない場合は、ポップアップ メッセージが<br />
表示されます。<br />
59
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
スキャン結果を表示するには、再度 [Yes] (はい) を選択します。[Host Forensics] (ホストの<br />
Forensic 解析) ページに戻ります。<br />
Vulnerability Manager オンデマンド スキャンの詳細については、67 ページの「ホストのオ<br />
ンデマンド スキャン」を参照してください。<br />
Vulnerability Manager スキャンの表示<br />
Threat Analyzer の [Host Forensics] (ホストの Forensic 解析) ページには、Threat Analyzer の<br />
アラートに対する Vulnerability Manager スキャンの進行状況が表示されます。<br />
すべての Vulnerability Manager スキャン プロセスを表示するには、Threat Analyzer で<br />
[Host Forensics] (ホストの Forensic 解析) を選択します。このリストは、[Summary] (サマリ) の<br />
[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) に以下のように表示<br />
されます。<br />
図 59: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ウィンドウの<br />
スキャン状況<br />
60
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) には、以下の情報が<br />
表示されます。<br />
フィールド名 説明<br />
Target IP (ターゲッ<br />
ト IP)<br />
Scan start time (ス<br />
キャンの開始時間)<br />
スキャンするホストの IP アドレス<br />
Vulnerability Manager スキャンの開始時間<br />
Status (ステータス) Vulnerability Manager スキャンの進行状況。一般に、次の<br />
スキャン ステータスが表示されます。<br />
スキャンの進行状況に応じて、[Status] (ステータス) フィールドに次が表示されます。<br />
状態 説明<br />
Queued [Queued] (待機中) ステータスは、要求した Vulnerability<br />
Manager スキャンが待機中であることを示します。<br />
%n Complete スキャンの完了割合。n の範囲は 0 ~ 100 です。<br />
Retrieved このステータスは、Vulnerability Manager スキャンが完了<br />
し、ホストの脆弱性情報が入手 (表示) 可能であることを示<br />
します。<br />
Failed Vulnerability Manager スキャンが失敗しています。<br />
Scan TimedOut スキャン時間が 30 分を超えた場合、マネージャはステータ<br />
スを「Scan TimedOut」に設定し、スキャンをキャンセル<br />
します。<br />
注意: [Status] (ステータス) フィールドに表示された Vulnerability Manager スキャン<br />
の結果は、キャッシュに保存されます。マネージャを再起動した場合、[Status] (ステー<br />
タス) フィールドにスキャン結果は表示されません。同じホストのスキャン結果を表<br />
示する場合は、[Host Forensics] (ホストの Forensic 解析) ページからホストを再度ス<br />
キャンする必要があります。<br />
Vulnerability Manager のスキャン オプション<br />
以下に示すように、[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報)<br />
の [Scan] (スキャン) フィールドにホスト IP アドレスを入力し、[Scan] (スキャン) ボタンを<br />
選択してもホストをスキャンできます。<br />
61
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
図 60: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ページのス<br />
キャン オプション<br />
[Scan] (スキャン) ボタンは、IP アドレスを完全に入力した場合に限り有効になります。<br />
スキャンされたホストのスキャン結果の詳細を確認するには、該当するスキャンを選択し<br />
て、右クリックします。<br />
図 61: Vulnerability Manager のオンデマンド スキャンの詳細表示オプション<br />
[Show Details] (詳細情報の表示) オプションを選択します。次の 2 つの状況に応じてポップ<br />
アップ メッセージが表示されます。<br />
• スキャンが進行している場合、同じ画面にスキャンの完了率 (0 から 100) を示すポッ<br />
プアップ ウィンドウが表示されます。<br />
図 62: Vulnerability Manager スキャンの進行状況<br />
• たとえば、スキャンが完了し、ステータスが 「Retrieved」 (取得済み) になったとしま<br />
す。スキャンを右クリックし、[Show Details] (詳細情報の表示) を選択すると、[Vulnerability<br />
Information] (脆弱性情報) ウィンドウが [Summary] (サマリ) タブの横に表示されます。<br />
[Vulnerability Information] (脆弱性情報) ウィンドウには、検索された脆弱性の総数、オン<br />
デマンド スキャンのスキャン構成およびホストで識別された脆弱性の詳細が表示さ<br />
れます。<br />
デフォルトでは、脆弱性を重大度順にソートし、表形式で表示します。表の各行には、<br />
重大度、脆弱性名、脆弱性の説明、識別された脆弱性に適用する必要のある手順また<br />
はパッチをリストした考慮事項の詳細、CVE ID および IAVA (Information Assurance<br />
Vulnerability Alert) 参照番号などの脆弱性に関する追加情報が含まれています。<br />
62
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
図 63: [Vulnerability Information] ページ<br />
注意: スキャンされたホストの [Vulnerability Information] (脆弱性情報) ページの実<br />
際の情報 (対象の IP、CVE、BugTraq ID など) は、マネージャ データベースに<br />
保存されます。この情報は、[Vulnerability Information] (脆弱性情報) ページでも表<br />
示可能な形式では保存されません。このため、マネージャを再起動すると、こ<br />
の情報は [Vulnerability Information] (脆弱性情報) ページに表示されません。<br />
以下に示すように、[Vulnerability Information] (脆弱性情報) ウィンドウでは、脆弱性の<br />
[CVE ID] リンクを右クリックすると、関連する CVE ページ (http://cve.mitre.org) に移<br />
動します。<br />
図 64: Vulnerability Information ページへのリダイレクト<br />
63
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
ヒント: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ペー<br />
ジでスキャンをダブルクリックするだけでも、上記の Vulnerability Information] (脆弱性<br />
情報) ウィンドウを表示できます。<br />
ホストの再スキャン<br />
Vulnerability Manager によって一度スキャンされたホストを再スキャンすることもできま<br />
す。[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ページでスキャ<br />
ンを右クリックし、[Rescan] (再スキャン) を選択します。<br />
図 65: ホスト IP の再スキャンの開始オプション<br />
ホストが Vulnerability Manager によって再度スキャンされ、前回と同じように脆弱性情報<br />
が取得および表示されます。<br />
同時スキャン<br />
Threat Analyzer では、複数の Vulnerability Manager スキャンを同時に実行できます。同時<br />
に実行できるスキャンの数は ems.properties ファイル (path ///<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>/config) で定義できます。<br />
デフォルトでは、同時スキャンの最大プールサイズ (maxpoolsize) は、ems.properties ファ<br />
イルで以下のように 3 に設定されています。<br />
iv.fs.threadpool.maxpoolsize=3<br />
注意: Maxpoolsize は、ThreadPool に入るスレッドの合計数を表しています<br />
(ThreadPool は、スレッドのプールを操作し、非同期でタスクを実行するためのコン<br />
ポーネントです)。<br />
スキャン要求の数が maxpoolsize を超えると、超えた分のスキャン要求はキューに入れら<br />
れ、プールの空き容量に応じて処理されます。<br />
注意: マネージャから Vulnerability Manager で同時に実行するスキャンの数は 3 件<br />
が最適です。<br />
同時スキャンのネットワーク シナリオについては、67 ページの「ホストの同時スキャン」<br />
を参照してください。<br />
64
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
[Hosts] (ページ) からの Vulnerability Manager スキャンの実行<br />
Vulnerability Manager スキャンは [Hosts] (ホスト) ページから実行できます。<br />
[Hosts] (ホスト) ページから Vulnerability Manager スキャンを実行するには、以下の手順に<br />
従います。<br />
1 Threat Analyzer で [Hosts] (ホスト) ページを選択します。項目を右クリックします。<br />
2 選択した IP アドレスにオンデマンド スキャンを開始するには、[Start Vulnerability Scan]<br />
(脆弱性スキャンの開始) を選択します。<br />
図 66: [Hosts] (ページ) からの Vulnerability Manager スキャンの実行<br />
マネージャで定義されたスキャンに IP アドレスが一致しない場合は、デフォルト ス<br />
キャン構成 (マネージャで定義されたスキャン構成) ではこの IP がスキャンされない<br />
というメッセージが表示されます。<br />
3 スキャン結果を表示する場合は、ポップアップ メッセージで [Yes] (はい) を選択しま<br />
す。[Host Forensics] (ホストの Forensic 解析) ページに戻ります。<br />
65
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
Vulnerability Manager オンデマンド スキャンの障害メッセージ<br />
以下の表は、Vulnerability Manager オンデマンド スキャンに関連する障害メッセージです。<br />
表示される障害 重大度 説明<br />
On-demand scan failed<br />
because connection<br />
was refused to<br />
FoundScan engine<br />
重大 この障害は、ユーザが完全修飾ドメイン<br />
名を指定していないか、FoundScan エン<br />
ジンが停止していることが原因で発生し<br />
たと考えられます。<br />
完全修飾ドメイン名の詳細については、<br />
「Vulnerability Manager のインストール」<br />
を参照してください。<br />
障害は、マネージャの [Operational Status] (動作ステータス) メニューから表示できます。<br />
障害リンクをクリックすると、障害の詳細と、障害を修正するための対策案が表示されま<br />
す。「オンデマンド スキャンの失敗」の障害の詳細を下記に示します。<br />
図 67: [Fault Detail] (障害の詳細) ページ<br />
Vulnerability Manager スキャンのシナリオ<br />
ここでは、以下に関連するネットワーク シナリオについて説明します。<br />
• ホストのオンデマンド スキャン<br />
• ホストの同時スキャン<br />
66
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
ホストのオンデマンド スキャン<br />
リアルタイム Threat Analyzer またはヒストリカル Threat Analyzer でアラートを確認する<br />
際に、以下の作業を行うとします。<br />
• アラートのリストに示された特定のホストの現在の状態を表示する。<br />
• Threat Analyzer から Vulnerability Manager を使用して特定のホストをスキャンしま<br />
す。<br />
• スキャンしたアラートとイベントの関連性を確認する。<br />
Threat Analyzer の個々のアラートに対してオンデマンド スキャンを実行します。<br />
スキャン対象のホストのソース IP アドレスまたは宛先 IP アドレスのいずれかを選択して、<br />
Threat Analyzer から Vulnerability Manager スキャンを実行できます。Threat Analyzer に、<br />
スキャンのステータス (スキャンの相関関係) が表示されます。<br />
Threat Analyzer には、最大 N 個 (デフォルトは 100 個) のスキャン情報を保持できます。<br />
ホストの同時スキャン<br />
ここでは、同時オンデマンド スキャン用のスキャン設定をマネージャで定義しなければな<br />
らない理由を説明します。<br />
シナリオ:<br />
3 つのホスト IP アドレスのオンデマンド スキャンをマネージャから実行するとします。こ<br />
れらのホスト IP アドレスは、マネージャで定義したスキャン設定で指定されている IP 範<br />
囲に含まれていません。また、マネージャでスキャン設定は定義されていません。<br />
スキャン構成が定義されていない場合のスキャン プロセス:<br />
Vulnerability Manager で複数のオンデマンド スキャンを実行すると、すべてのスキャンが<br />
同じスキャン名 (QuickScan_) でデフォルトのスキャン構成を使用して実行さ<br />
れます。これは、Vulnerability Manager へのログインに使用したユーザ名が 3 つのスキャ<br />
ン名に関連付けられているためです。3 つすべてのスキャンが同じ名前であるため、3 つの<br />
中で 1 つの同時スキャンだけが成功します。つまり、FoundScan エンジンでは、同じスキャ<br />
ン名での同時スキャンは許可されません。<br />
Threat Analyzer から複数のオンデマンド スキャンを実行する場合も同じです。Threat<br />
Analyzer から実行されるすべてのスキャンは、同じ名前 (QuickScan_) になり<br />
ます。たとえば、admin として Vulnerability Manager にログインした場合、3 つすべての<br />
ホストのスキャン設定名が QuickScan_admin となります。<br />
上記のシナリオでは、マネージャで定義されたスキャン構成を使用せずに 3 つのオンデマ<br />
ンド スキャンを同時に開始すると、FoundScan エンジンは、FoundScan エンジン自身の<br />
デフォルト スキャン設定を使用して、デフォルトのスキャン名「QuickScan_」<br />
でホストをスキャンします。3 つのスキャンが同じ名前を持つのは、上述の理由のとおり<br />
です。最初のスキャンは正常に実行されますが、残りの 2 つに対しては同時タスク例外が<br />
67
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Vulnerability Manager との統合<br />
発生します。したがって、FoundScan のデフォルト スキャン設定を使用して、Threat<br />
Analyzer から同時にオンデマンド スキャンを実行することはできません。<br />
推奨される解決方法:<br />
同時スキャン用の少なくとも 1 つのスキャン設定を FoundScan エンジンで定義し、同じ<br />
設定をマネージャに追加することをお勧めします。このスキャン構成がデフォルトとして<br />
使用されます。マネージャで複数のスキャン構成を定義する場合は、デフォルトのスキャ<br />
ン設定を変更できます。<br />
注意: デフォルトのスキャン設定の詳細については、43 ページの「Vulnerability<br />
Manager スキャン設定の追加」を参照してください。<br />
Vulnerability Manager とマネージャでデフォルト スキャン設定を定義してから同時オンデ<br />
マンド スキャンを要求すると、マネージャはスキャン設定 ID を使用してスキャン対象の<br />
各ホストに一意の名前を設定します。<br />
マネージャは、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>__Thread-N where N=1,2,3,..<br />
の形式でスキャン名を作成します。それぞれのスキャン設定名は異なります。たとえば、<br />
スキャン名は <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>__Thread-1、<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong>__Thread-2、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>__Thread-3 のようになります。これにより、すべての同時スキャンが正常に完了します。<br />
実行プール内のスキャンが完了すると、実行待ちの次のスキャンが実行プールにプッシュ<br />
されます。スキャン要求は順番通り、または先入れ先出し (FIFO) で実行されます。<br />
注意 1: スレッドは、スレッド プール サイズに応じてマネージャで作成されます。<br />
スレッド プール サイズが 3 に設定されている場合は、3 つのスレッド (Thread-1、<br />
Thread-2、Thread-3) がスキャン要求用のプールに作成されます。スレッド プール サ<br />
イズが 3 に設定されていて、4 つ以上の同時スキャン要求が FoundScan エンジンに<br />
送信されると、エンジンで実行されるのは 3 つのみで、残りは待機中となります。<br />
注意 2: マネージャに追加する前に、新しく定義したスキャン設定を少なくとも 1 回<br />
は FoundScan エンジンで実行する必要があります。Vulnerability Manager で定義さ<br />
れた各スキャン設定は、FoundScan エンジンと関連付けられています。Vulnerability<br />
Manager 側で初めてスキャン設定を実行する場合、スキャン設定が実行された<br />
FoundScan エンジンが、そのスキャン設定と関連付けられます。この手順は、スキャ<br />
ン設定をマネージャに追加するために重要です。<br />
68
第 4 章<br />
<strong>McAfee</strong> NAC との統合<br />
ホストの分類方法<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> Sensor (センサ) を使用することで、動作ステータスまたはユー<br />
ザ ID (あるいはその両方) に基づいてネットワーク アクセス制御 (NAC) を施行することが<br />
できます。システム状態に基づく NAC の場合、センサは状態評価を <strong>McAfee</strong> <strong>Network</strong><br />
Access Control (<strong>McAfee</strong> NAC) に依存します。センサが新しいホストをネットワークで検<br />
出すると、<strong>McAfee</strong> NAC サーバにそのホストの詳細情報を送信します。次に、<strong>McAfee</strong> NAC<br />
と <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> は連携して、このホストに対して NAC を施行しま<br />
す。<br />
ネットワークへの承認後は、不要なトラフィックを生成するホストが存在する可能性があ<br />
ります。IPS 隔離を設定している場合は、センサは隔離および修復を施行できます。さら<br />
に、センサは不正なホストについて <strong>McAfee</strong> NAC サーバに通知することで、ユーザが<br />
<strong>McAfee</strong> NAC を使用して隔離と修復を施行できるようにします。統合により、<strong>McAfee</strong> NAC<br />
の役割が承認後の制御にも拡張されます。<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と <strong>McAfee</strong> NAC との連携によって、センサと <strong>McAfee</strong><br />
NAC サーバはお互いに通信を行うことができます。<br />
注意: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と <strong>McAfee</strong> NAC の統合は、センサと <strong>McAfee</strong> NAC が<br />
インストールされている ePO サーバ間に信頼関係が確立されることを意味します。<br />
<strong>McAfee</strong> NAC と <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> は、これらの設定に応じて NAC を施行し<br />
ます。本書では、センサと <strong>McAfee</strong> NAC がお互いに通信を行うために必要な設定に<br />
ついてのみ説明します。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> での NAC 構成方法の詳細については、『NAC Configuration <strong>Guide</strong>』<br />
(NAC コンフィグレーション ガイド) を参照してください。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>を使用した不正なホストを隔離および修復する方法については、<br />
『IPS Configuration <strong>Guide</strong>』 (IPSコンフィグレーション ガイド) を参照してください。<br />
<strong>McAfee</strong> NAC で NAC を設定する方法については、最新の <strong>McAfee</strong> NAC ガイドを参照して<br />
ください。<br />
この章では、ユーザは <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> および <strong>McAfee</strong> NAC を正常にインストー<br />
ルでき、このどちらの製品にも精通していることを想定しています。<br />
管理対象ホスト<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と同様に、<strong>McAfee</strong> NAC クライアントがインストールされ、正<br />
常に動作しているホストが管理対象ホストとなります。<strong>McAfee</strong> NAC クライアントは、ホ<br />
69
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
ストをスキャンして状態評価を行い、その結果を<strong>McAfee</strong> NAC サーバに送信するエージェ<br />
ントです。詳細については、<strong>McAfee</strong> NAC に関する最新のマニュアルを参照してください。<br />
管理対象外のホスト<br />
<strong>McAfee</strong> NAC クライアントではなく、<strong>McAfee</strong> NAC Guest Client がインストールされてい<br />
るホストが管理対象外のホストです。ネットワーク上で <strong>McAfee</strong> NAC クライアントがイン<br />
ストールされていないホストが検出されると、これらのホストは <strong>McAfee</strong> NAC Guest Client<br />
がインストールできるポータルにリダイレクトされる場合があります。<br />
管理不能なホスト<br />
<strong>McAfee</strong> NAC クライアントまたは <strong>McAfee</strong> NAC Guest Client のインストール要件または動<br />
作要件を満たしていないホストが管理不能なホストになります。たとえば、<strong>McAfee</strong> NAC が<br />
サポートしていないオペレーティング システムを使用しているホストは管理不能なホス<br />
トになります。<br />
<strong>McAfee</strong> NAC クライアントと Guest Client のインストール要件および動作要件については、<br />
<strong>McAfee</strong> NAC の最新のマニュアルを参照してください。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 5.1 での統合環境<br />
以前に <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>5.1 と <strong>McAfee</strong> NAC を統合している場合は、以下の点に<br />
注意してください。<br />
• <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> は、<strong>McAfee</strong> NAC 3.0 および ePO 4.0 とのみ統合します。<br />
71 ページの「統合要件」を参照してください。<br />
• アップグレード後、バージョン 5.1 と同じように <strong>McAfee</strong> NAC 通知を機能させるには、<br />
以下の手順に従います。<br />
NAC ライセンスを購入します。このライセンスを持っていない場合は、<strong>McAfee</strong><br />
NAC サーバと統合するセンサのシリアル番号を <strong>McAfee</strong> サポートに問い合わせて<br />
ください。ePO サーバを設定し、センサと <strong>McAfee</strong> NAC サーバ間に信頼関係を確<br />
立するには、NAC ライセンスが必要です。<br />
ePO サーバを再設定 (72 ページ) し、センサと <strong>McAfee</strong> NAC サーバ間に信頼関係<br />
を確立 (73 ページ) します。バージョン 5.1 で確立される信頼関係はアップグレー<br />
ド後に失われるため、再度確立する必要があります。<br />
ポート レベルで NAC 機能を有効にします。NAC 機能は、標準 NAC、DHCP NAC、<br />
IBAC、または標準 IBAC と IBAC のいずれかです。『NAC Configuration <strong>Guide</strong>』 (NAC<br />
コンフィグレーション ガイド) を参照してください。<br />
注意: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 5.1 では、各ポートに <strong>McAfee</strong> NAC 通知を設定<br />
していました。このリリースでは、ポート レベルでの通知はデフォルトで有効<br />
です (いずれかの NAC 機能をポート レベルで設定している場合)。<br />
• バージョン 5.1 とは異なり、対応するセンサ ポートと不正ホスト間にレイヤ 3 デバイ<br />
スがある場合でも、<strong>McAfee</strong> NAC 通知は機能します。<br />
• <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> では、NAC 機能は In-Line モードで配備されたポートに<br />
対してのみ使用できます。このため、<strong>McAfee</strong> NAC 通知が使用できるのは In-Line ポー<br />
70
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
統合要件<br />
トに対してのみです。これは、In-Line、SPAN、および TAP ポートに対して <strong>McAfee</strong> NAC<br />
通知を使用できたバージョン 5.1 とは異なります。<br />
• IPv6 トラフィックは、この統合ではサポートされていません。このため、センサは IPv6<br />
ホストに関しては <strong>McAfee</strong> NAC サーバと通信を行いません。<br />
このセクションでは、センサと <strong>McAfee</strong> NAC サーバ間の通信を有効にする際に必要な詳細<br />
情報について説明します。<br />
ePO システムに必要な設定<br />
• 使用している ePO システムに、特定バージョンの ePO、Rogue System Detection お<br />
よび <strong>McAfee</strong> NAC をインストールする必要があります。以下のインストール パスのい<br />
ずれかを使用します。<br />
パス 1: ePO バージョン 4.5.0.1148.3 (推奨) をインストールし、<strong>McAfee</strong> NAC バー<br />
ジョン 3.1.1.160.1 をインストールします。<br />
ePO バージョン 4.5 の場合、ePO パッケージに RSD が組み込まれています。こ<br />
のため、RSD を個別にインストールする必要ありません。<br />
パス 2: ePO バージョン 4.0.0.1015.13 をインストールし、以下を順番にインス<br />
トールします。<br />
i. ePO パッチ 5, 4.0.0.1221.5 をインストールします。<br />
ii. Rogue System Detection バージョン 2.0.0.405.2 をインストールします。<br />
iii. RSD パッチ 2、バージョン 2.0.2.105.2 をインストールします。<br />
iv. <strong>McAfee</strong> NAC サーバ 3.0.0.585.1 以上をインストールします。<br />
必要な ePO/<strong>McAfee</strong> NAC の詳細情報<br />
以下では、<strong>Network</strong> <strong>Security</strong> Sensor と <strong>McAfee</strong> NAC 間で信頼された通信を隔離するために<br />
必要な情報について説明します。<br />
<strong>McAfee</strong>NAC サーバの IP アドレス: <strong>McAfee</strong> NAC がインストールされている ePO サーバ<br />
の IP アドレスを指定する必要があります。<br />
コンソールとアプリケーション サーバ間の通信ポート: <strong>McAfee</strong> NAC (ePO) サーバと信頼<br />
関係を構築するときにセンサが使用するポート番号を指定します。使用可能な最小ポート<br />
番号は 1 で最大ポート番号は 65535 です。デフォルトのポート番号は 8443 です。詳細に<br />
ついては、<strong>McAfee</strong> NAC サーバの管理者に確認してください。<br />
クライアント/サーバ認証通信ポート: <strong>McAfee</strong> NAC サーバと信頼された通信を行うために<br />
センサが使用するポート番号を指定します。デフォルト ポート番号は 8444 です。詳細に<br />
ついては、<strong>McAfee</strong> NAC サーバ管理者にお問い合わせください。<br />
<strong>McAfee</strong> NAC サーバとセンサ間の通信ポート: センサが <strong>McAfee</strong> NAC サーバからの非同期<br />
メッセージを待機するポートを指定します。デフォルトのポート番号は 8445 です。<br />
71
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
センサと NAC クライアント間の通信ポート: センサが <strong>McAfee</strong> NAC クライアントまたは<br />
ホスト上の Guest クライアントとの通信に使用するポート番号を指定します。デフォルト<br />
は 8444 です。<br />
ePO ユーザ名とパスワード: 管理者権限を持つ ePO ユーザ名とパスワード。センサが<br />
ePO/<strong>McAfee</strong> NAC サーバと信頼関係を構築するには、これらの情報が必要です。<br />
<strong>McAfee</strong> NAC サーバの root 証明書: これは、<strong>McAfee</strong> NAC インストールの一部となる自己<br />
署名電子証明書です。この証明書ファイルは、いつでもアクセスできる場所に保存してく<br />
ださい。これはマネージャにインポートする必要があります。インポートすると、マネー<br />
ジャがセンサに自動的に送信します。この証明書は、センサが <strong>McAfee</strong> NAC サーバの認証<br />
を行う場合にのみ必要になります。<br />
注意: この証明書 (root.pem) は、ePO インストール ディレクトリにあります。デフォ<br />
ルトの保存場所は \Server\extensions\installed\NAC\\keystore です。<br />
<strong>McAfee</strong> NAC 側で必要な設定については、『NAC Configuration <strong>Guide</strong>』 (NAC コンフィ<br />
グレーション ガイド) の最新版で確認してください。<br />
センサと <strong>McAfee</strong> NAC サーバの統合<br />
センサと <strong>McAfee</strong> NAC サーバを統合することにより、センサは、<strong>McAfee</strong> NAC または ePO<br />
サーバだけでなく、ネットワークのホストにインストールされている <strong>McAfee</strong> NAC Client<br />
および Guest Client と通信できます。<br />
ePO サーバ設定を開始する前に、71 ページの「統合要件」に記載されている要件を満たし<br />
ているか確認してください。<br />
統合するには、次の 3 つの手順を完了する必要があります。<br />
1 管理ドメインのマネージャで、ePO サーバの詳細情報を入力します。詳細情報には、<br />
ePO IP や通信するポート メンバなどが含まれます。72 ページの「管理ドメイン レベ<br />
ルの構成」を参照してください。<br />
2 管理ドメインで ePO サーバとセンサ間の信頼関係を確立します。73 ページの「セン<br />
サおよび <strong>McAfee</strong> NAC/ePO サーバ間での信頼関係の確立」を参照してください。<br />
3 ポート レベルでNAC (DHCP または Standard) を有効にします。詳細については、<br />
『NAC Configuration <strong>Guide</strong>』 (NAC コンフィグレーション ガイド) を参照してください。<br />
管理ドメイン レベルでの構成<br />
管理ドメイン レベルでは、ePO サーバの設定を表示および編集できます。子管理ドメイン<br />
の場合は、親管理ドメインの設定を継承するか、違う設定にすることができます。<br />
72
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
ePO サーバを設定するには、以下の手順に従います。<br />
1 リソース ツリーから、[Admin-Domain-Name] (管理ドメイン名)、[Operational Status <strong>McAfee</strong><br />
NAC] (<strong>McAfee</strong> NAC の動作ステータス) の順に選択します。<br />
2 [Operational Status Policies] (動作ステータス ポリシー) では、各リンクから管理対象およ<br />
び管理対象外のホストに対する動作ステータス ポリシーを設定します。<br />
3 ePO サーバ設定を指定し、[Save] (保存) をクリックします。このページのフィールド<br />
の詳細については、71ページの「必要な ePO/<strong>McAfee</strong> NAC の詳細情報」を参照して<br />
ください。<br />
注意: ePO サーバの設定ページから ePO にログインし、管理対象または管理対象外<br />
の動作ステータス ポリシーを管理することができます。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong><br />
でシステム状態に基づいた NAC 機能を使用している場合は、これらのポリシーが必<br />
要です。<br />
信頼関係を確立した後に管理ドメイン レベルで ePO サーバ設定を編集すると、対応する<br />
Sensor の [Operational Status] (動作ステータス) ページに警告メッセージが表示されます。<br />
この場合は、信頼関係を再度確立する必要があります。<br />
警告の詳細を表示するには、[Operational Status] (動作ステータス) ページの [Warning] (警<br />
告) カラムで n/n リンクをクリックします。[Operational Status] (動作ステータス) ページの<br />
アクセスおよび使用方法の詳細については、『System Status Monitoring <strong>Guide</strong>』 (システムの状<br />
態の監視ガイド) を参照してください。<br />
センサおよび <strong>McAfee</strong> NAC/ePO サーバ間での信頼関係の確立<br />
センサと <strong>McAfee</strong> NAC/ePO サーバ間に信頼関係を確立するには、次の手順に従います。<br />
1 リソース ツリーから [Admin-Domain-Name] (管理ドメイン名)、[NAC Settings] (NAC の設定)、<br />
[Sensor-Name] (センサ名)、[NAC Sensor] (NAC センサ)、[<strong>McAfee</strong> NAC]、の順に選択します。<br />
フェールオーバー ペア ノードからは [Admin-Domain-Name] (管理ドメイン名)、[NAC<br />
Settings] (NAC の設定)、[Sensor-Name] (センサ名)、[NAC Failover pair] (NAC フェールオー<br />
バー ペア)、[<strong>McAfee</strong> NAC] の順に選択します。<br />
注意: [Operational Status Policies] (動作ステータス ポリシー) では、各リンクから<br />
管理対象および管理対象外のホストに対する動作ステータス ポリシーを設定し<br />
ます。<br />
2 [Install <strong>McAfee</strong> NAC] (<strong>McAfee</strong> NAC のインストール) をクリックします。センサがアクティ<br />
ブでない場合、このボタンは使用できません。<br />
3 ePO サーバ設定を確認します。これらの設定を変更するには、[Configure] (構成) リン<br />
クをクリックして、[ePO Server Settings] (ePO サーバの設定) ページに移動します。<br />
4 ePO ユーザ名およびパスワードを入力します。<br />
5 センサが <strong>McAfee</strong> NAC サーバを認証できるように、<strong>McAfee</strong> NAC サーバの root 証明書<br />
をプッシュする場合は、[Require <strong>McAfee</strong> NAC Server Root Certificate?] (<strong>McAfee</strong> NAC サーバ<br />
の root 証明書が必要ですか?) を選択します。これを選択した場合は、手順 6 に進みま<br />
す。選択しない場合は手順 7 に進みます。<br />
6 <strong>McAfee</strong> NAC サーバの root 証明書のステータスには、証明書がすでにセンサに存在す<br />
るかどうかが表示されます。root 証明書をセンサにプッシュするには、root 証明書ファ<br />
73
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
イルのパスを入力するか、このファイルを [Browse] (参照) から選択し、[Import] (イン<br />
ポート) をクリックします。<br />
センサから既存の証明書を削除するには、[Remove Certificate] (証明書を削除する) をク<br />
リックします。<br />
7 [Establish Trust] (信頼関係を確立する) をクリックします。<br />
センサと ePO サーバ間に信頼関係を確立した後は、以下のセンサ CLI コマンドを使用して<br />
確認することができます。<br />
Show: このコマンドを使用して、特定のセンサの ePO 設定の詳細を表示すること<br />
ができます。これを行うことで、ePO 設定の詳細情報がセンサに存在するかを確<br />
認できます。<br />
Status: このコマンドを使用して、信頼関係が確立されたかどうか、および<br />
<strong>McAfee</strong> NAC の root 証明書がセンサに存在するかどうかを確認できます。<br />
センサの CLI コマンドの使用方法の詳細については、『CLI <strong>Guide</strong>』 (CLIガイド) を参照して<br />
ください。<br />
注意: <strong>McAfee</strong> NAC をアップグレードする場合は、まず通信を切断してから <strong>McAfee</strong><br />
NAC をアップグレードし、その後に信頼関係を再度確立します。新しい Client<br />
Identification Request Setup を <strong>McAfee</strong> NAC に生成する場合、信頼関係を再度確立<br />
する必要があります。Client Identification Request Setup とは、センサ、<strong>McAfee</strong> NAC<br />
サーバおよび <strong>McAfee</strong> NAC クライアント間の通信を検証するために使用される共有<br />
鍵です。この共有鍵の詳細については、<strong>McAfee</strong> NAC の最新のマニュアルを参照し<br />
てください。<br />
フェールオーバー ペアでセンサがある場合は、両方のセンサが有効な NAC ライセンスを<br />
持っている必要があります。また、各メンバのセンサに <strong>McAfee</strong> NAC をインストールする<br />
必要があります。プライマリ センサの他の <strong>McAfee</strong> NAC 設定は、セカンダリ センサにも<br />
同様に適用されます。<br />
センサが <strong>McAfee</strong> NAC サーバと通信できない場合は、次の原因が考えられます。<br />
• SSL 通信エラー<br />
• HTTP 応答エラー<br />
• 不正な ePO サーバ IP<br />
• 不正な ePO ログオン認証情報<br />
• センサから転送された通知の処理時に発生した <strong>McAfee</strong> NAC サーバ エラー<br />
• センサと <strong>McAfee</strong> NAC サーバ間の接続タイムアウト<br />
センサと <strong>McAfee</strong> NAC サーバ間の通信を切断するには、以下の手順に従います。<br />
1 リソース ツリーから [Admin-Domain-Name] (管理ドメイン名)、[NAC Settings] (NAC の設定)、<br />
[<strong>McAfee</strong> NAC] の順に選択します。<br />
2 [Uninstall <strong>McAfee</strong> NAC] (<strong>McAfee</strong> NAC のアンインストール) をクリックします。<br />
重要: 信頼関係を確立した後は、NAC (動作ステータスに基づいた NAC、IBAC また<br />
は IBAC と動作ステータスに基づいた NAC) をセンサのポート レベルで有効にし、<br />
ホストで生成された攻撃に関しても <strong>McAfee</strong> NAC に通知できるようにする必要があ<br />
ります。<br />
74
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
<strong>McAfee</strong> NAC 関連の詳細表示<br />
このセクションでは、[Operational Status] (動作ステータス) ページと <strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> レポートを使用して、統合の詳細を表示する方法について説明します。<br />
注意: このセクションでは、マネージャの統合詳細の表示についてのみ説明します。<br />
IPS 隔離や NAC に関する詳細の表示方法については、該当するセクションを参照し<br />
てください。<br />
<strong>McAfee</strong> NAC 関連の動作ステータス メッセージの表示<br />
信頼関係を確立後にセンサが <strong>McAfee</strong> NAC サーバと通信できない場合、重大度が Critical の<br />
マネージャに障害メッセージが送信されます。[Fault Detail] (障害の詳細) ページの<br />
[Condition Type] (条件タイプ) フィールドに、通信障害の理由が表示されます。<br />
条件タイプ 説明<br />
接続エラー/タイムアウト <strong>McAfee</strong> NAC サーバに到達できず、通信がタイムアウト<br />
になりました。<br />
SSL エラー SSL プロトコル エラーが発生しました。<br />
<strong>McAfee</strong> NAC サーバのエラー センサによって転送されるアラートが処理されたとき<br />
に、<strong>McAfee</strong> NAC サーバでエラーが発生しました。<br />
HTTP 応答エラー <strong>McAfee</strong> NAC サーバからの HTTP 応答でエラーが発生し<br />
ました。<br />
URI が無効 HTTP post URI が無効です。<br />
ReinstallOnUpdate 信頼関係確立後に、ePO サーバ設定がアップデートされ<br />
ました。信頼関係を再度確立する必要があります。<br />
図 68: 動作ステータスのメッセージ<br />
障害が解決されると、[Operational Status] (動作ステータス) ページの障害メッセージは消<br />
去されます。<br />
75
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> NAC との統合<br />
マネージャ レポートを使用する <strong>McAfee</strong> NAC 詳細の表示<br />
このセクションでは、<strong>McAfee</strong> NAC 関連の詳細を表示するレポートについて説明します。<br />
NAC 管理構成レポート<br />
NAC 管理構成レポートを使用して、選択した管理ドメインで <strong>McAfee</strong> NAC 構成の詳細を<br />
表示できます。以下は、NAC 管理ドメイン構成レポートで表示される <strong>McAfee</strong> NAC 関連<br />
の詳細です。<br />
• ePO サーバの IP アドレス<br />
• センサとサーバ間インストール ポート<br />
• センサとサーバ間通信ポート<br />
• サーバとセンサ間通信ポート<br />
これらのフィールドの詳細については、「ePO および <strong>McAfee</strong> NAC に関する必要な詳細情<br />
報」を参照してください。<br />
NAC 管理ドメイン構成レポートとその生成方法については、『Reports <strong>Guide</strong>』 (レポート ガ<br />
イド) を参照してください。<br />
NAC センサ構成レポート<br />
NAC センサ構成レポートを使用して、ePO/<strong>McAfee</strong> NAC サーバおよび ePO サーバ IP 間<br />
で信頼関係が確立されているかどうかを確認できます。<br />
レポートの詳細については、『Reports <strong>Guide</strong>』 (レポート ガイド) を参照してください。<br />
76
第 5 章<br />
<strong>McAfee</strong> Artemis との統合<br />
<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> には <strong>McAfee</strong> Artemis 技術が統合されています。これは、<br />
インターネット クラウドを使用してマルウェアの検出を行うインターネット ベースの<br />
サービスです。<br />
ユーザがインターネットからファイルをダウンロードすると、<strong>Network</strong> <strong>Security</strong> Sensor は<br />
<strong>McAfee</strong> Artemis を使用してリアルタイムにマルウェア検出を行います。また、<strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> では、マルウェア検出に使用できるカスタム フィンガープリントをアッ<br />
プロードできます。<br />
この統合により、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> は次の機能を提供します。<br />
• マルウェアに対する応答アクション (アラートの生成、ファイルのブロックなど)<br />
• マルウェア検出用のカスタム フィンガープリントのアップロード。この機能は<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> の管理者が使用できます。<br />
• Artemis 検出レポート。関連する統計データの提供。<br />
以下の図は、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合の概要を示しています。<br />
図 69: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合に関連する処理<br />
センサはインターネットからのトラフィックを継続的に監視します。インターネットから<br />
のファイル ダウンロードが検出される場合、センサが不正コンテンツを特定すると、その<br />
ファイルは「不審」に分類されます。<br />
センサは不審と見なしたファイルのフィンガープリント (MD5 ハッシュ値) を作成し、<br />
Artemis に送信します。Artemis では Community Threat Intelligence を使用してこのフィン<br />
ガープリントを確認します。Community Threat Intelligence では <strong>McAfee</strong> Labs が保守して<br />
いる包括的な脅威データベースでフィンガープリントを検索することができます。フィン<br />
77
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
用語<br />
ガープリントが既知のマルウェアと特定されると、Artemis より該当ファイルが脅威である<br />
ことが <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> に通知されます。その後、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> で<br />
は、Artemis から取得した情報を処理し、マルウェアに対する応答アクションを施行します。<br />
応答アクションには、ファイル ダウンロードのアラートやブロックなどがあります。脅威<br />
の詳細は、<strong>Network</strong> <strong>Security</strong> Manager Threat Analyzer (Threat Analyzer) より確認すること<br />
ができます。<br />
注意 1: フィンガープリントとは、オリジナル ファイルを一意的に特定するショート<br />
ビットの文字列 (MD5 ハッシュ値) です。<br />
注意 2: Community Threat Intelligence の詳細については、『Artemis Documentation』<br />
(Artemis の資料) を参照してください。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合を使用したマルウェア検出の詳細については、<br />
以下の項を参照してください。<br />
• 用語 (78 ページ)<br />
• <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合の詳細 (79 ページ)<br />
• 制限事項 (81 ページ)<br />
• マネージャでの Artemis 統合設定 (81 ページ)<br />
• <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合の CLI コマンド (94 ページ)<br />
• マルウェア検出レポート (90 ページ)<br />
感度レベル<br />
マルウェアの悪質度は、マルウェア フィンガープリントにおける不正コンテンツのレベル<br />
です。高い悪質度は既知のマルウェアを指します。<br />
感度レベルは、Artemis からの応答に含まれるマルウェア悪質度レベルに対して <strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> が反応する必要があるレベルを指します。<br />
マネージャには、Very Low (非常に低い)、Low (低)、Medium (中)、High (高)、Very High (非<br />
常に高い) の 5 段階の感度レベルがあります。デフォルトの感度レベルは Very Low (非常<br />
に低い) です。<br />
感度レベルを Very Low (非常に低い) に設定する (デフォルト) と、センサは悪質度が高い<br />
(既知のマルウェア) マルウェア フィンガープリントにのみ反応します。センサからの反応<br />
には、前述のとおり、アラート、ブロックまたはその両方があります。<br />
検出タイプ<br />
マルウェアに対して必要な検出タイプを定義します。マルウェアの検出は、Artemis のみを<br />
使用するか、カスタム フィンガープリント検出を使用するか、またはその両方を使用でき<br />
ます。Artemis 検出タイプとカスタム フィンガープリント検出タイプの両方を有効にする<br />
と、前者より後者が優先されます。<br />
78
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
プライマリおよびセカンダリ DNS サーバ IP アドレス<br />
ローカルのプライマリおよびセカンダリ DNS サーバに関連する IP アドレス情報です。セ<br />
ンサは DNS 要求にファイルの MD5 ハッシュ値を埋め込みます。ローカルの DNS サーバ<br />
がセンサから Artemis サーバに DNS 要求を転送します。Artemis サーバは DNS 応答 (マル<br />
ウェア悪質度などの情報が含まれます) をローカルの DNS サーバを介してサーバに返送し<br />
ます。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合の詳細<br />
以下の図は、センサ、マネージャおよび Artemis DNS サーバ間の通信を示しています。<br />
図 70: <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合 - 通信<br />
Artemis では、インターネット DNS メカニズムを使用して通信し、ユーザ システムでの<br />
ファイル ダウンロードに関連する情報をキャッシュします。<br />
前述のとおり、センサはファイル ダウンロードを検出し、プロトコル使用で定義されてい<br />
るとおりに不審として分類します。たとえば、HTTP ダウンロードのタイプが .exe、.dll、.scr<br />
で、最大ファイル サイズが 1MB の場合は、「不審」として分類されます。<br />
センサでは、ファイルのフィンガープリント (MD5 ハッシュ値) を作成し、標準 DNS 要求<br />
にフィンガープリントを埋め込み、Artemis DNS サーバに送信します。センサは DNS ク<br />
エリを交換し、設定済みのローカル DNS サーバ (プライマリおよびセカンダリ) を介して<br />
Artemis DNS サーバと応答します。<br />
注意: プライマリとセカンダリのローカル DNS サーバは、マルウェア検出設定の<br />
[Fingerprints] (フィンガープリント) タブからマネージャで設定できます。センサの<br />
マネジメント ポート設定に応じて、IPv4 または IPv6 ローカル DNS サーバを設定で<br />
きます。マネージャでの DNS サーバ設定は、設定のアップデート時にセンサにプッ<br />
シュされます。<br />
79
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
センサのマネジメント ポートは、複数の DNS 要求および応答を処理できます。Artemis<br />
DNS クエリ (UDP DNS 要求) は、センサのマネジメント ポートからローカルの DNS サー<br />
バに送信されます。Artemis はローカルの DNS サーバを介して応答します。Artemis DNS は<br />
ローカルの DNS サーバからの応答を受信し、標準の DNS 応答でエンコードされます。<br />
センサはマルウェア検出設定の応答アクションと同様、ファイルに対して応答アクション<br />
(アラートまたはブロック、またはその両方) を実行します。応答アクションがアラートに<br />
設定されている場合は、Threat Analyzer でアラートが発生しますが、ファイル ダウンロー<br />
ドはブロックされません。<br />
応答アクションがアラートおよびブロックに設定されている場合は、Threat Analyzer でア<br />
ラートが発生し、ファイル ダウンロードがブロックされます。<br />
Threat Analyzer で発生したアラートには、マルウェアの MD5 ハッシュ値と、マルウェア<br />
をダウンロードした先の URL が表示されます。<br />
マネージャでは、Artemis のみ、カスタム、またはその両方の 3 種類の検出タイプを有効<br />
化できます。<br />
Artemis 検出タイプよりカスタム フィンガープリント検出が優先されます。<br />
また、センサでは IPS 攻撃検出のほうがユーザ定義フィンガープリント検出よりも優先さ<br />
れるため、注意してください。つまり、トラフィックに IPS 攻撃と <strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> と Artemis の統合で検出されたマルウェア コンテンツの両方が含まれる場合、攻<br />
撃はマルウェア攻撃としてではなく IPS 攻撃として検出されます。攻撃のブロックは IPS<br />
攻撃定義と同様に実行されます。<br />
注意: DNS サーバ IP アドレス、カスタム応答アクションおよび検出タイプ設定は、<br />
センサの再起動後にのみ保存されます。ただし、センサで resetconfig コマンド<br />
を実行すると、エントリが消去されます。<br />
不正ファイルは、フラグメント化トラフィック、セグメント化トラフィック、またはトン<br />
ネル トラフィックなどのトラフィック タイプごとに <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis<br />
の統合で検出され応答することに注意してください。また、ファイルはブラウザのさまざ<br />
まな HTTP バージョン (1.0、1.1 など) で検出されます。<br />
各センサ モードでのマルウェア検出:<br />
この統合では、センサはすべての動作モード (In Line、TAP および SPAN) でマルウェア検<br />
出を実行します。In Line モードでは、マルウェアは In Line フェールオープンおよび In Line<br />
フェールクローズ モードの両方で検出されます。<br />
Manager Disaster Recovery (MDR) セットアップでの <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong><br />
と Artemis の統合<br />
MDR が作成されると、すべてのセンサはプライマリおよびセカンダリ マネージャの両方<br />
との信頼関係が構築され、同じマルウェア設定がセカンダリ (スタンバイ) マネージャでも<br />
使用できるようになります。<br />
スイッチオーバーがある場合は、セカンダリ マネージャがアクティブとなり、マルウェア<br />
スキャン機能も引き続き使用可能となります。また、プライマリ マネージャがアクティブ<br />
80
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
制限事項<br />
モードに切り替わると、セカンダリでの変更が取得され、プライマリ マネージャで適切に<br />
アップデートされます。<br />
センサのマルウェア アラートはプライマリおよびセカンダリ マネージャの両方に送信さ<br />
れます。<br />
• <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合は M シリーズ モデルのセンサでのみサ<br />
ポートされます。<br />
• センサがレイヤ 2 モード (L2 モード) の場合、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の<br />
統合と同様、マルウェア コンテンツの検出は行われません。<br />
マネージャでの Artemis 統合設定<br />
以下の項では、<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合をマネージャで設定する方法<br />
について説明します。<br />
IPS 設定からのマルウェア検出設定により、Artemis 検出およびカスタム フィンガープリ<br />
ント検出を設定することができます。設定には、感度レベル、ローカル DSN サーバの IP ア<br />
ドレス、および検出タイプごとにカスタマイズしたセンサ応答アクションが含まれます。<br />
これは、[IPS Settings] (IPS 設定)、[Malware Detection] (マルウェア検出) タブの順に選択して実<br />
行できます。カスタム フィンガープリントのアップロード、およびカスタム フィンガープ<br />
リント ファイル タイプの選択は、IPS 設定からのみ設定できます。<br />
IPS センサでのマルウェア検出設定により、センサでのマルウェア検出を設定することが<br />
できます。また、IPS 設定からセンサへ設定を継承することもできます。<br />
センサ ポート レベルでマルウェア スキャン設定を有効にする必要があるので注意が必要<br />
です。たとえば、ポート 1A に対して検出およびマルウェア スキャンの検出タイプを設定<br />
できます。また、センサ ポートをポート クラスタ (インターフェース グループ)、VLANS ま<br />
たは CIDR ブロックとして設定すると、マルウェア スキャンを有効化できます。<br />
マルウェア アラートの詳細は Threat Analyzer から表示できます。<br />
詳細については、以下のセクションを参照してください。<br />
• IPS 設定でのマルウェア検出設定 (81 ページ)<br />
• IPS センサでのマルウェア検出設定 (87 ページ)<br />
• Threat Analyzer でのマルウェア検出の表示 (91 ページ)<br />
マルウェア検出の設定<br />
マルウェア検出には、IPS Settings ノードから以下の設定をする必要があります。<br />
• IPS 設定からの Artemis およびカスタム フィンガープリント設定 ( 82 ページ)<br />
• IPS設定からのマルウェア検出の有効化 (86ページ)<br />
81
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
注意: マルウェア検出の詳細については、『<strong>Integration</strong> <strong>Guide</strong>』 (統合ガイド) の「<strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> と Artemis の統合」を参照してください。<br />
IPS 設定からの Artemis およびカスタム フィンガープリント設定<br />
IPS 設定の [Fingerprints] (フィンガープリント) タブ ([IPS Settings] (IPS 設定)、[Malware<br />
Detection] (マルウェア検出)、[Fingerprints] (フィンガープリント) の順に選択) を使用して、<br />
Artemis 検出設定およびカスタム フィンガープリント検出設定を設定することができます。<br />
図 71: Artemis およびカスタム検出のフィンガープリント設定<br />
IPS 設定からの Artemis 関連の設定<br />
Artemis 関連の検出を設定するには、以下の手順に従います。<br />
1 [Artemis] ページで、スキャンの最大ファイル サイズを表示できます。<br />
また、Artemis でスキャンされるファイル タイプを [View File] (ファイルの表示) で表示<br />
できます。[< Back] (< 戻る) オプションを選択して、メイン ウィンドウに戻ります。<br />
2 ローカル DNS サーバ IP アドレスを設定するには、以下に IP アドレス (IPv4 または<br />
IPv6) を入力します。<br />
プライマリ DNS サーバ<br />
セカンダリ DNS サーバ<br />
注意: DNS サーバでは IPv4 と IPv6 アドレスを一緒に設定することはできません。<br />
3 [Response Action] (応答オプション) で以下のオプションのいずれかを選択します。<br />
82
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
図 72: Artemis の設定<br />
この設定は、Artemis でマルウェアとして識別されたファイルに対するセンサの応答ア<br />
クションを示します。デフォルトは [Alert Only] (アラートのみ) です。<br />
Alert Only (アラートのみ) - Threat Analyzer でアラートが発生しますが、ファイル<br />
のダウンロードはブロックされません。<br />
Alert and Block (アラートおよびブロック) - Threat Analyzer でアラートが発生し、<br />
ファイル ダウンロードがブロックされます。<br />
Alert, Block and Send TCP Reset(to src and dest) (アラート、ブロックおよび TCP reset の<br />
攻撃元および攻撃対象への送信) - Threat Analyzer でアラートが発生し、ファイ<br />
ル ダウンロードがブロックされ、攻撃元および攻撃対象 IP に TCP reset が送信<br />
されます。<br />
4 [Sensitivity Level] (感度レベル) を選択します。デフォルトは [Very Low] (非常に低い) です。<br />
Very Low (非常に低い)<br />
Low (低)<br />
Medium (中)<br />
High (高)<br />
Very High (非常に高い)<br />
5 [Save] (保存) を選択します。<br />
IPS 設定からのカスタム フィンガープリント設定<br />
[Custom] (カスタム) ウィンドウで、カスタム フィンガープリントの数、カスタム フィンガー<br />
プリント ファイルの種類、およびカスタム フィンガープリントに対するセンサの応答アク<br />
ションを設定できます。<br />
カスタム フィンガープリントの管理<br />
マネージャでカスタム フィンガープリントを管理できます。これには、カスタム フィン<br />
ガープリントの数の修正や、マネージャでのカスタム フィンガープリント ファイルのエク<br />
スポートまたはインポートが含まれます。<br />
1 カスタム フィンガープリントの数を修正するには、[Custom] (カスタム) ウィンドウで<br />
[Manage Custom Fingerprints] (カスタム フィンガープリントの管理) を選択します。<br />
ページが更新され、[Manage Fingerprints] (フィンガープリントの管理) および [Import] (イ<br />
ンポート) ウィンドウにカスタム フィンガープリントのエクスポートおよびインポー<br />
ト オプションが表示されます。<br />
83
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
図 73: フィンガープリントの管理<br />
2 マネージャからローカル システムに必要なカスタム フィンガープリントをエクス<br />
ポートするには、[Export] (エクスポート) をクリックします。ファイルを保存するか開<br />
くかを確認するポップアップ メッセージが表示されます。実行するオプションをク<br />
リックします。ファイルは CSV 形式で保存されるので注意してください。<br />
3 また、マネージャに必要なカスタム フィンガープリントをインポートすることもでき<br />
ます。[Configuration Update] (構成のアップデート) タブを介して後でセンサに設定がプッ<br />
シュされます。<br />
[Import] (インポート) ウィンドウで、[Browse] (参照) をクリックし、インポートするファ<br />
イル (カスタム フィンガープリントを含むファイル) を選択します。<br />
注意: インポート時に、ファイルを以下の CSV 形式にする必要があります。<br />
,,,,<br />
ファイル形式の例:Application.exe, 1024000, MD5,<br />
30a4edd18db6dd6aaa20e3da93c5f425, textual description<br />
また、複数ファイルをインポートする場合は、各ファイルごとに新しい行が必<br />
要となるため、注意してください。<br />
4 また、[Append] (追加) および [Replace] (置換) オプションも選択できます。<br />
Append (追加) - 既存のファイルにマルウェア構成ファイルを追加するオプショ<br />
ン<br />
Replace (置換) - マルウェア構成ファイルを別ファイルに置換するオプション<br />
5 [Save] (保存) オプションを使用して構成ファイルを保存します。<br />
6 [< Back] (< 戻る) ボタンで、メイン ウィンドウに戻ります。<br />
カスタム ファイルの管理<br />
[Custom] (カスタム) ウィンドウで、マルウェアに対するスキャンの最大ファイル サイズを<br />
表示できます。<br />
また、[Manage Custom Files] (カスタム ファイルの管理) からカスタム フィンガープリント<br />
ファイル タイプを管理できます。ここで、マルウェアをスキャンするファイル タイプ (.com、<br />
dll、exe など) を指定できます。アップロード済みのカスタム フィンガープリントと同様<br />
にファイル タイプを選択できます。<br />
84
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
図 74: カスタム ファイル タイプの管理<br />
[< Back] (< 戻る) ボタンで、メイン ウィンドウに戻ります。<br />
カスタム フィンガープリントのセンサの応答アクション<br />
以下の手順では、カスタム フィンガープリント検出に対して [Custom] (カスタム) ウィンド<br />
ウでセンサの応答アクションを設定する方法について説明します。<br />
図 75: [Custom] (カスタム) ウィンドウでの設定<br />
1 [Custom] (カスタム) ウィンドウで、[Response Action] (応答アクション) から以下のオプ<br />
ションのいずれかを選択します。この設定は、マネージャにアップロードしたカスタ<br />
ム フィンガープリントと同様、マルウェアとして識別されたファイルに対するセンサ<br />
の応答アクションを示します。デフォルトは [Alert Only] (アラートのみ) です。<br />
Alert Only (アラートのみ) - Threat Analyzer でアラートが発生しますが、ファイル<br />
のダウンロードはブロックされません。<br />
Alert and Block (アラートおよびブロック) - Threat Analyzer でアラートが発生し、<br />
ファイル ダウンロードがブロックされます。<br />
Alert, Block and Send TCP Reset(to src and dest) (アラート、ブロックおよび TCP reset の<br />
攻撃元および攻撃対象への送信) - Threat Analyzer でアラートが発生し、ファイ<br />
ル ダウンロードがブロックされ、攻撃元および攻撃対象に TCP reset が送信され<br />
ます。<br />
2 変更を保存するには、[Save] (保存) を選択します。<br />
85
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
IPS 設定からのマルウェア検出の有効化<br />
IPS Settings ノードから IPS センサでマルウェア設定を有効にするには、以下の手順に従い<br />
ます。<br />
1 [IPS Settings] (IPS 設定)、[Malware Detection] (マルウェア検出)、[Enable] (有効) の順に選択<br />
します。<br />
図 76: IPS 設定からのマルウェア検出の有効化<br />
2 ドロップダウン メニューから IPS センサを選択します。<br />
ページが更新され、スキャンの方向と選択したセンサの検出タイプ設定が表示されま<br />
す。<br />
3 以下の設定を編集できます。<br />
スキャン トラフィックの方向<br />
• インバウンド<br />
• アウトバウンド<br />
• インバウンドとアウトバウンド<br />
• 無効<br />
検出タイプ<br />
• Artemis のみ<br />
• カスタムのみ<br />
• Artemis およびカスタム<br />
デフォルトでは、マルウェア スキャンは、特定のセンタ ポートのインバウンドおよび<br />
アウトバウンド方向の両方で無効化されています。<br />
4 変更を保存するには、[Save] (保存) を選択します。<br />
注意: 親ドメインからの継承を設定している場合、上記の設定は IPS センサで<br />
[Enable] (有効) に継承されます。<br />
また、CLI コマンドの show malware config を使用して、センサのマルウェア検出設<br />
定を表示できます。詳細については、『CLI <strong>Guide</strong>』 (CLI ガイド) を参照してください。<br />
86
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
IPS センサでのマルウェア検出設定<br />
このページでは、特定のセンサに対してマルウェア検出を設定できます。<br />
注意 1: マルウェア検出は M シリーズ センサでのみサポートされています。<br />
注意 2: センサでマルウェア スキャン設定を有効にする前に、センサ ポートまたは<br />
ポート ペアでの HTTP 応答スキャンを有効にする必要があります。これは、[IPS<br />
Settings] (IPS 設定)または [Sensor_Name]、[IPS Sensor] (IPSセンサ)、[HTTP Response<br />
Scanning] (HTTP応答のスキャン) の順に選択するか、[IPS Settings] (IPS 設定)、[Policies]<br />
(ポリシー)、[HTTP Response Scanning] (HTTP応答のスキャン) の順に選択して有効にし<br />
ます。センサ ポートまたはポート ペアの HTTP 応答スキャンを有効にする方法につ<br />
いては、『IPS Configuration <strong>Guide</strong>』 (IPS コンフィグレーション ガイド) の「HTTP 応<br />
答スキャンの管理」を参照してください。<br />
センサ ポートでマルウェア スキャンを無効化すると、各ポートの HTTP 応答スキャ<br />
ンも無効化する必要があるかどうかを確認するポップアップ メッセージが表示され<br />
ます。<br />
マルウェア スキャンを有効または無効にした後で、センサで設定をアップデートする必要<br />
があります。詳細については、『IPS Configuration <strong>Guide</strong>』 (IPS コンフィグレーション ガイ<br />
ド) の「すべてのセンサの設定のアップデート」を参照してください。<br />
IPS センサからのマルウェア検出設定については、以下の項を参照してください。<br />
• IPS センサでのマルウェア検出の有効化 (87 ページ)<br />
• IPS センサでの Artemis およびカスタム フィンガープリント設定 ( 88 ページ)<br />
IPS センサでのマルウェア検出の有効化<br />
IPS センサでマルウェア設定を有効にするには、以下の手順に従います。<br />
1 マネージャで、[IPS Settings] (IPS 設定) または [Sensor_Name]、[Malware Detection] (マルウェ<br />
ア検出)、[Enable] (有効) の順に選択します。<br />
図 77: IPS センサからのマルウェア検出の有効化<br />
87
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
2 センサのポート レベルでマルウェア スキャン設定を有効化します。<br />
3 特定のセンサ ポート (1A) で、以下の設定を有効化できます。<br />
スキャン トラフィックの方向<br />
• インバウンド<br />
• アウトバウンド<br />
• インバウンドとアウトバウンド<br />
• 無効<br />
検出タイプ<br />
• Artemis のみ<br />
• カスタム フィンガープリントのみ<br />
• Artemis とカスタム フィンガープリント<br />
デフォルトでは、マルウェア スキャンは、特定のセンタ ポートのインバウンドおよび<br />
アウトバウンド方向の両方で無効化されています。<br />
4 [Save] (保存) を選択します。<br />
[Configuration Update] (設定のアップデート) で、[Update] (アップデート) を選択します。<br />
センサの設定のアップデートの詳細については、『IPS Configuration <strong>Guide</strong>』 (IPS コン<br />
フィグレーション ガイド) の「すべてのセンサの設定のアップデート」を参照してく<br />
ださい。<br />
また、CLI コマンドの show malware config を使用して、センサのマルウェア検出設<br />
定を表示できます。詳細については、『CLI <strong>Guide</strong>』 (CLI ガイド) を参照してください。<br />
IPS センサでの Artemis およびカスタム フィンガープリント設定<br />
IPS センサの [Fingerprints] (フィンガープリント) タブ ([IPS Settings] (IPS 設定)、[Malware<br />
Detection] (マルウェア検出)、[Fingerprints] (フィンガープリント) の順に選択) を使用して、セ<br />
ンサでの Artemis 検出設定およびカスタム フィンガープリント検出設定を設定することが<br />
できます。<br />
図 78: IPS センサからの Artemis およびカスタム フィンガープリント設定の管理<br />
88
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
注意 1:親ノード (IPS Settings) から同じ設定を継承する場合は、[Inherit from Parent] (親<br />
からの継承) を選択してください。<br />
注意 2: センサでマルウェア スキャン設定を有効にする前に、センサ ポートまたは<br />
ポート ペアでの HTTP 応答スキャンを有効にする必要があります。<br />
IPS センサでの Artemis 関連の設定<br />
Artemis 関連の設定を IPS センサで設定するには、以下の手順に従います。<br />
1 ローカルの DNS サーバ IP アドレスを設定するには、[Artemis] ウィンドウで以下 (IPv4<br />
または IPv6 アドレス)を入力します。<br />
プライマリ DNS サーバ<br />
セカンダリ DNS サーバ<br />
2 Artemis でマルウェアとして識別されたファイルに対するセンサの応答アクションを<br />
設定するには、[Response Action] (応答アクション) で以下のオプションのいずれかを選<br />
択します。デフォルトは [Alert Only] (アラートのみ) です。<br />
Alert Only (アラートのみ)<br />
Alert and Block (アラートとブロック)<br />
Alert, Block and Send TCP Reset (tosrc and dest) (アラート、ブロックおよび TCP reset の<br />
攻撃元および攻撃対象への送信)<br />
注意: 応答アクションが [Alert Only] (アラートのみ) に設定されている場合は、<br />
Threat Analyzer でアラートが発生しますが、ファイル ダウンロードはブロック<br />
されません。<br />
応答アクションが [Alert and Block] (アラートおよびブロック) に設定されている<br />
場合は、Threat Analyzer でアラートが発生し、ファイル ダウンロードがブロッ<br />
クされます。<br />
3 [Sensitivity Level] (感度レベル) を選択します。デフォルトは [Very Low] (非常に低い) です。<br />
Very Low (非常に低い)<br />
Low (低)<br />
Meidum (中)<br />
High (高)<br />
Very High (非常に高い)<br />
4 変更を保存するには、[Save] (保存) を選択します。<br />
IPS センサでのカスタム フィンガープリントに対するセンサ応答アクション<br />
IPS センサでカスタム フィンガープリント検出に必要なセンサ応答アクションを設定する<br />
には、以下の手順に従います。<br />
注意: カスタム フィンガープリントの数や最大ファイル サイズは [Custom] (カスタ<br />
ム) ウィンドウに表示されます。設定の詳細については、82 ページの「IPS 設定から<br />
の Artemis およびカスタム フィンガープリント設定」を参照してください。<br />
89
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
[Custom] (カスタム) ウィンドウで、[Response Action] (応答アクション) から以下のオプショ<br />
ンのいずれかを選択します。この設定は、マネージャにアップロードしたカスタム フィン<br />
ガープリントと同様、マルウェアとして識別されたファイルに対するセンサの応答アク<br />
ションを示します。デフォルトは [Alert Only] (アラートのみ) です。<br />
Alert Only (アラートのみ)<br />
Alert and Block (アラートとブロック)<br />
Alert, Block and Send TCP Reset (tosrc and dest) (アラート、ブロックおよび TCP reset の<br />
攻撃元および攻撃対象への送信)<br />
注意: 応答アクションが [Alert Only] (アラートのみ) に設定されている場合は、<br />
Threat Analyzer でアラートが発生しますが、ファイル ダウンロードはブロック<br />
されません。<br />
応答アクションが [Alert and Block] (アラートおよびブロック) に設定されている<br />
場合は、Threat Analyzer でアラートが発生し、ファイル ダウンロードがブロッ<br />
クされます。<br />
マルウェア検出レポート<br />
マルウェア検出レポートには、悪質度、一致したフィンガープリント、センサのソース IP、<br />
ソース ポートなどの Artemis 関連のアラートの詳細が表示されます。<br />
1 マネージャのホームページから [Reports] (レポート) アイコンを選択します。<br />
2 [Traditional] (従来)、[IPS Events] (IPS イベント)、[Malware Detection] (マルウェア検出) の順<br />
にクリックします。<br />
図 79: マルウェア検出レポートの設定<br />
90
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
3 [Configure Malware Detection Report] (マルウェア検出レポートの設定) ウィンドウで、以下<br />
を選択します。<br />
a. Admin Domain (管理ドメイン):マルウェア検出を設定した管理ドメインを選択しま<br />
す。子管理ドメインからのデータも含める場合は、[Include Child Admin Domains] (子<br />
管理ドメインを含める) を選択します。<br />
b. Sensor (センサ): マルウェア検出に設定した IPS センサを選択します。[All Devices]<br />
(すべてのデバイス) を選択解除すると、表示されているリストから個別のセンサ<br />
を選択することができます。<br />
c. Sub-category (サブカテゴリ):Artemis 検出、カスタム フィンガープリント検出、ま<br />
たはその両方を選択します。<br />
d. Alert State (アラートの状態):未確認のアラート、またはすべてのアラートの参照を<br />
選択できます。<br />
e. Attacks (攻撃) :特定日の攻撃、特定期間内の攻撃、または日数を指定した過去の<br />
攻撃を選択します。<br />
f. レポート形式:HTML、PDF または CSV のいずれかです。<br />
4 レポートを生成するには、[Run Report] (レポートの実行) を選択します。<br />
[Malware Detection Report] (マルウェア検出レポート) が表示されます。<br />
図 80: マネージャでのマルウェア検出レポート<br />
注意: マルウェア検出は M シリーズ センサでサポートされます。<br />
Threat Analyzer でのマルウェア詳細の表示<br />
Threat Analyzer の [Alerts] (アラート) ページでマルウェアの詳細を表示することができま<br />
す。Artemis で検出されたマルウェア アラートをダブルクリックします。アラートの詳細<br />
91
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
は、マルウェアの MD5 ハッシュ値、マルウェアのダウンロード先 URL、検出メカニズム<br />
などの詳細とともに表示されます。<br />
図 81: Threat Analyzer で表示されるマルウェア詳細<br />
センサごとのマルウェア統計の表示<br />
以下の手順を実行することで、センサごとのマルウェア統計を表示することができます。<br />
1 マネージャのホームページからリアルタイム Threat Analyzer を起動します。<br />
[Summary] (サマリ) ページが開きます。<br />
2 [Options] (オプション)、[Dashboard] (ダッシュボード)、[New] (新規作成) の順にクリック<br />
します。<br />
図 82: [Dashboard] (ダッシュボード) ダイアログ ウィンドウ<br />
3 ダッシュボードの名前を入力し、[OK] をクリックします。<br />
4 [Assign monitor] (モニタの割り当て) をクリックしてダッシュボードにモニタを割り当<br />
てます。<br />
92
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
5 次のいずれかを選択します。<br />
図 83: [Dashboard] (ダッシュボード) ダイアログ ウィンドウ<br />
Assign an existing monitor (既存のモニタを割り当て): リストから事前定義のモニタ<br />
を 1 つ選択します。<br />
Create a new monitor (モニタを新規作成): カスタマイズしたモニタを作成するか、<br />
ダッシュボードに作成したモニタまたはデフォルトのモニタを割り当てます。<br />
6 [Type] (タイプ) で [Sensor Performance] (センサのパフォーマンス) を選択します。<br />
7 [Monitor] (モニタ) で [Statistics- Malware] (マルウェア統計) を選択して、[OK] をクリックし<br />
ます。<br />
[Statistics- Malware] (マルウェア統計) ページに統計が表示されます。<br />
図 84: [Statistics- Malware] (マルウェア統計) ページ<br />
8 [Refresh] (更新) をクリックすると更新されたマルウェア統計が表示されます。<br />
CLI コマンドの show malware statistics を使用すると、Artemis 検出またはカスタ<br />
ム フィンガープリント検出の統計も表示することができます。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong><br />
と Artemis の統合によって検出されたマルウェア アラートの数を表示するには、status<br />
93
<strong>McAfee</strong>® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>6.0</strong> <strong>McAfee</strong> Artemis との統合<br />
コマンドを使用します。これらのコマンドの詳細については、『CLI <strong>Guide</strong>』 (CLI ガイド) を<br />
参照してください。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合での CLI コマンド<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> と Artemis の統合に関連するセンサの CLI コマンドは以下のと<br />
おりです。<br />
• show malware config<br />
• show malware stats<br />
• status<br />
これらのコマンドの詳細については、『CLI <strong>Guide</strong>』 (CLI ガイド) を参照してください。<br />
トラブルシューティング<br />
ネーム サーバ接続エラー<br />
DNS サーバでは、センサへの応答が継続的に遅延する場合があります。10 分間応答が遅<br />
延すると、ネーム サーバ接続エラーのシステム イベントがトリガされます。<br />
この場合、how malconfig コマンドを使用してネーム サーバ統計を表示してください。<br />
Nameserver Connectivity issues パラメータで多くのエラー数が表示される場合は、set<br />
artemis timeout コマンドを使用して Artemis タイムアウトの時間を設定する必要があ<br />
ります。これにより、設定された時間内にクエリが解決しない場合にクエリが消去されま<br />
す。<br />
Artemis カウンタの消去<br />
Artemis カウンタを消去する場合は、clrstat コマンドを使用してください。<br />
CLIコマンドの詳細については、『CLI <strong>Guide</strong>』 (CLIガイド) を参照してください。<br />
DNS エラーのシステム イベント<br />
不正な Artemis DNS 設定がある場合、マルウェア Artemis DNS エラーが表示されます。こ<br />
のエラーの詳細については、『Troubleshooting guide』 (トラブルシューティング ガイド) の<br />
「Critical の障害」を参照してください。<br />
94
索引<br />
B<br />
Bug Track ID .................................................34<br />
E<br />
ePO コンソール ............................................12<br />
ePO との統合..................................................1<br />
ePO データベース............................................... 2<br />
管理対象ホスト ............................................... 6, 9<br />
<strong>McAfee</strong> NAC<br />
M<br />
センサ レベル.................................................... 73<br />
レポート ............................................................ 76<br />
N<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 形式.........48, 50, 51<br />
R<br />
root 証明書.....................................................71<br />
V<br />
Vulnerability Manager との統合 ....................34<br />
CVE ID ........................................................ 34, 58<br />
Foundstone スケジューラ................................. 51<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong>................................. 34<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 攻撃定義モジュール34<br />
SSL タイプ........................................................ 40<br />
Vulnerability Manager キャッシュのリロード... 56<br />
Vulnerability Manager 構成 ............................... 46<br />
Vulnerability Manager 構成ウィザード ............. 46<br />
Vulnerability Manager スキャン ........................ 58<br />
Vulnerability Manager のインストール ............. 36<br />
宛先 IP のスキャン............................................ 58<br />
アラートの相互分析 .......................................... 34<br />
インポートの頻度.............................................. 51<br />
オンデマンド スキャン ............................... 58, 66<br />
関連性キャッシュ ............................................. 57<br />
関連性構成ウィザード ...................................... 54<br />
関連性の解析....................... 46, 47, 48, 51, 52, 53<br />
攻撃の関連性の解析.......................................... 48<br />
自動インポート................................................. 51<br />
手動インポート................................................. 48<br />
スキャナ バージョン......................................... 50<br />
スキャン エンジンの設定.................................. 42<br />
スキャン設定..................................................... 43<br />
スキャン名 ........................................................ 43<br />
スケジューラの実行時間................................... 51<br />
スケジューラの詳細を表示............................... 51<br />
脆弱性キャッシュ ............................................. 34<br />
脆弱性評価 ........................................................ 34<br />
脆弱性レポート................................................. 51<br />
接続のテスト..................................................... 40<br />
ソース IP のスキャン........................................ 58<br />
組織名 ............................................................... 43<br />
データベース アップデート.............................. 57<br />
データベースの設定.......................................... 40<br />
同時スキャン..................................................... 67<br />
トラブルシューティング オプション.......... 56, 57<br />
メニュー オプション................................... 37, 47<br />
リスク レベル.................................................... 58<br />
レポート形式..................................................... 50<br />
Vulnerability Manager のインストール .........36<br />
い<br />
インストール ポート.....................................71<br />
か<br />
カスタム クライアント証明書.......................58<br />
カスタム フィンガープリント.................82, 88<br />
感度レベル ....................................................78<br />
管理対象ホスト.............................................10<br />
管理ドメイン レベル.....................................72
け<br />
検出タイプ ....................................................90<br />
さ<br />
サポートされる脆弱性スキャナ ....................50<br />
せ<br />
センサとサーバ間..........................................71<br />
センサ レベル................................................73<br />
て<br />
テクニカル サポート .................................... viii<br />
ひ<br />
表記規則........................................................ vii<br />
ほ<br />
ホストの Forensic 解析 ..................................6