Gigamon に適した FireEye®の導入 COPYRIGHT Copyright © 2015 Gigamon.All Rights Reserved.本書のいかなる部分も検索システムに変換、送信、転写、複製、 保存したり、形式または手段を問わず、Gigamon の書面による許可を得ずに任意の言語に翻訳することはできませ ん。 商標の帰属 Copyright © 2015 Gigamon.All rights reserved.Gigamon と Gigamon のロゴは米国および/または他の各国における Gigamon の商標です。Gigamon の商標の一覧は、www.gigamon.com/legal- trademarks に掲載されてい ます。他の商標はすべて、それぞれの所有者に帰属します。 FireEye 導入ガイド Gigamon Inc 2 | 30 ペ ー ジ 目次 概要............................................................................................................................................................. 5 導入の前提条件 ............................................................................................................................................ 6 アーキテクチャの概要...................................................................................................................................... 7 アクセス認証情報 ........................................................................................................................................... 8 構成........................................................................................................................................................... 10 FireEye NX 2400 の構成:インライン・ツール ......................................................................................... 11 FireEye のインライン・ブロック運用モードの構成 ........................................................... 11 FireEye の[Actions Taken]の構成:[Comfort Page]、[TCP reset] ......................................... 12 Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびインライン・ツール・グループ..... 13 GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成 ............................................ 14 インライン・トラフィック・フロー・マップの構成 ............................................................... 20 FireEye インライン・ツールの機能テスト ................................................................................................. 24 まとめと結論 ............................................................................................................................................. 29 FireEye 導入ガイド Gigamon Inc 3 | 30 ペ ー ジ FireEye 導入ガイド Gigamon Inc 4 | 30 ペ ー ジ 第1章 概要 Gigamon と FireEye は、今日のアクティブなインライン・セキュリティのニーズに 対応する統合ソリューションを提供します。このソリューションは、ネットワーク・リ ンクを追加することによって拡大する保護されたネットワーク・インフラストラク チャに合わせて拡張できます。ネットワークの拡大に合わせて、Gigamon では FireEye のアプライアンスにインライン・ツール・グループを通して、インラインの高 度なマルウェア保護に対するセキュリティ・サービス保証(SSA)を提供していま す。FireEye のインライン・ツール・グループを使用すると、アプライアンスの保守 時や障害発生時でも統合されたインライン・セキュリティ・サービスの可用性が 確保されます。また、Gigmon のネットワーク・バイパス保護用インターフェース・ モジュールによって、GigaVUE-HC2 への電力供給が停止してもネットワークの 可用性が確保されます。 このガイドで説明するテスト済みソリューションは、2 台以上の FireEye Network Threat Prevention Platform(NX シリーズ)アプライアンスを単一の GigaVUE-HC2 のシャーシに直接接続したアクティブなインライン・ネットワーク とツールの標準の導入を前提としています。完全に導入したら、 GigaVUE-HC2 から必要なトラフィックのみが FireEye インライン・ツール・グ ループに転送され、マルウェアが検査されます。 このガイドで説明するソリューションは、GigaVUE-HC2 の 4 台のモジュール・ ノード、高度なマルウェア保護アプライアンスである FireEye NX 2400 を 2 台 使用してテストしました。 この章では以下について説明します。 • 導入の前提条件 • アーキテクチャの概要 • アクセス認証情報 FireEye 導入ガイド Gigamon Inc 5 | 30 ペ ー ジ 導入の前提条件 Gigamon と FireEye Scalable Service Assurance(SSA)のソリューションの構成は以 下のとおりです。 • GigaVUE-OS 4.4.01 を搭載した GigaVUE-HC2 シャーシ、TAP-HC0/G24/MB x 1、GigaSMART SMT-HC0-X16 モジュール x 1 • GigaVUE-FM バージョン 3.1(GigaVUE-HC2 の GUI の構成に使用) • FireEye NX 2400 アプライアンス x 2 これには以下が含まれます。 • ソフトウェア・バージョン 7.6.0 • コンテンツ・バージョン 404.150 • IPMI バージョン 2.67 • ゲスト・イメージの情報:Winxp Sp3、Win7X64 Sp1、Win7 Sp1 - 15.0210 注意: このガイドでは、すべてのアプライアンスで使用するすべての機能のライセンスが 完全に供与され、管理ネットワーク・インターフェースがすでに構成され、十分な管理者 権限のあるアカウントを使用していることが前提になります。 FireEye 導入ガイド Gigamon Inc 6 | 30 ペ ー ジ アーキテクチャの概要 このセクションでは、1 台の GigaVUE-HC2 インライン・バイパス・ノードと 2 台の FireEye Network Security(NX)アプライアンスを組み合わせたソリューションについて説明します。図 1-1 の参照用アーキテクチャでは、全体のネットワーク・インフラストラクチャにおける各コンポー ネントの位置を示していますが、すべてのネットワーク・コンポーネントとインライン・セキュリティ・ ツールは直接 GigaVUE-HC2 に接続しています。 図 1-1:Gigamon インライン・バイパスと FireEye NX 図 1-1 のアーキテクチャには 2 つの側面があり、クライアントが配置されている A 側からデータ を送受信し、クライアントから配置を要求されたインターネットとリソースのある B 側に送信され ます。 注意: インライン・ネットワークとインライン・ツール・デバイスのブリッジ・リンクを A 側と B 側に対 して GigaVUE-HC2 に正しく接続し、インライン・ツール・グループの FireEye デバイスにトラ フィックを正しく配信する必要があります。 FireEye 導入ガイド Gigamon Inc 7 | 30 ペ ー ジ アクセス認証情報 Gigamon GigaVUE-FM と FireEye NX 2400 のデフォルトのアクセス認証情報は以下 のとおりです。 • • Gigamon GigaVUE-FM のデフォルトのアクセス: • ユーザー名: admin • パスワード: admin123A! • 管理用 IP アドレスにはデフォルトはありません。 FireEye NX 2400 のアクセスのデフォルト: • ユーザー名: admin • パスワード: admin • 管理用 IP アドレスにはデフォルトはありません。 注意: GigaVUE-HC2 は H-VUE と Command Line Interface(CLI)のグラフィカル・ユーザー・ インターフェース(GUI)をサポートしています。この文書では、Giga-VUE-FM を使用し た GigaVUE-HC の構成の手順についてのみ説明します。H-VUE と CLI の構成コマンドにつ いては、「Gigamon-OS H-VUE User’s Guide」と「GigaVUE-OS CLI User’s Guide」の リリース 4.4.01 をそれぞれ参照してください。 FireEye 導入ガイド Gigamon Inc 8 | 30 ペ ー ジ FireEye 導入ガイド Gigamon Inc 9 | 30 ペ ー ジ 第2章 構成 この章では、FireEye の GUI、Gigamon-OS、H-VUE を使用した GigaVUE-HC2 と FireEye NX 2400 のインライン・ツール・グループ・ソリュー ションの構成手順について説明します。手順の内容は以下のとおりです。 • FireEye NX 2400 の構成:インライン・ツール • Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびインライ ン・ツール・グループ FireEye の GUI の手順は、FireEye インライン・ブロックの運用モードを中心に 説明します。構成手順では、GigaVUE-HC2 を構成して、ライブ・トラフィッ クを FireEye インライン・ツール・グループに送信します。そうすることで、 FireEye のシステムの導入テスト・ツールを使用できます。 FireEye のベスト・プラクティスのガイドラインによると、Gigamon GigaVUE-HC2 は インライン・ツール・グループの 2 台の FireEye アプライアンスにトラフィックを転送 するよう構成し、1 つのクライアント(IP アドレスで識別)に対するすべてのトラ フィックが FireEye インライン・ツール・グループの同じ構成要素に転送されるよ うにします。 注意: この章は、図 1-1 示すように、FireEye アプライアンスが直接 GigaVUE-HC2 に接続していることが前提となります。FireEye アプライアンス が接続しているすべての GigaVUE-HC2 ポートは、インライン・ツールのポート・ タイプとして構成します。また、ネットワーク・デバイスが接続しているすべての GigaVUE-HC2 インライン・バイパス・ポートは、インライン・ネットワークのポー ト・タイプとして構成します。これらの作業方法の説明については、H-VUE の ヘルプ・トピックのリンクを参照してください。 FireEye 導入ガイド Gigamon Inc 10 | 30 ペ ー ジ FireEye NX 2400 の構成:インライン・ツール このセクションでは、図 2-1 の参照用アーキテクチャの図で、影付きでハイライトした部分の 手順を説明します。 図 2-1:FireEye NX 2400 のインライン・ツール FireEye のインライン・ブロック運用モードの構成 FireEye NX 2400 でトラフィックをブロックし、不正なトラフィックを検出するには、以下の手 順に従って、FireEye アプライアンスのそれぞれを個別に構成します。 1. FireEye の GUI で、[Settings] > [Inline Operational Modes]を選択します。 2. [Policy Settings]のセクションで、図 2-2 のようにポート・ペア A と B の両方で[Inline] > [Block] > [FS Open]列の下のラジオ・ボタンを選択します。 図 2-2:FireEye アプライアンスのインライン・ブロック運用モード 3. [Update:Operational Modes]をクリックします。 FireEye 導入ガイド Gigamon Inc 11 | 30 ペ ー ジ FireEye の[Actions Taken]の構成:[Comfort Page]、[TCP reset] FireEye NX では、不正なコンテンツが検出された場合に、複数のオプションから実行するアク ションを選択できます。以下では、カスタマイズされたコンフォート・ページをクライアントに、 TCP リセットをクライアントとサーバーにそれぞれ送信する手順を説明します。これらの手順は オプションです。 [Actions Taken]と[Comfort Page]を設定するには、以下の手順に従います。 1. [Policy Settings]ページの[Actions Taken]セクションで、図 2-3 で示すように、[Port Pair]の A と B に対して[Comfort Page]と[TCP reset]のすべてのボックスを選択しま す。 2. [Policy Settings]ページの[Comfort Type]セクションでは、プリファレンスが [access-forbidden](HTTP レスポンス・コード 403)でない限り、ラジオ・ボタンを [access-denied](HTTP レスポンス・コード 401)に設定したままにします。 3. [Comfort Page]セクションで、[Comfort Page Message]ダイアログ・ボックスにポー ト・ペア A と B に対してカスタマイズしたメッセージを入力します。 4. [Update:Action Taken / Comfort Page]をクリックします。 図 2-3:FireEye の[Action Taken}/[Comfort Page]のカスタマイズ FireEye 導入ガイド Gigamon Inc 12 | 30 ペ ー ジ Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびインライン・ ツール・グループ このセクションでは、トラフィック・フロー・マップの作成に使用するすべてのインライン・ ネットワークとインライン・ツールの要素に対する GigaVUE-HC2 の構成について説明 します。この構成の手順は以下のとおりです。 • GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成 • インライン・トラフィック・フロー・マップの構成 • FireEyeインライン・ツールの機能テスト このセクションでは、図 2-4 のハイライトされた部分の構成手順について説明します。 図 2-4:Gigamon GigaVUE-HC2 の構成 FireEye 導入ガイド Gigamon Inc 13 | 30 ペ ー ジ GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成 このセクションでは、インライン・ネットワーク・バイパス・ペアとそのインライン・ネットワーク・グルー プの構成に必要な手順について説明します。企業のアーキテクチャの拡大に合わせて、イン ライン・ネットワーク・グループにインライン・ネットワーク・ペアを追加できます。基本的な手順は 以下のとおりです。 • 手順 1:インライン・ネットワーク・バイパス・ペアの構成 • 手順 2:インライン・ネットワーク・グループの構成 • 手順 3:インライン・ツールの構成 このセクションで説明する手順は、GigaVUE-FM にログインして、左側のペインで[Physical Nodes]を選択してから[Physical Nodes]ページで[GigaVUE-HC2]を選択していること が前提となります。 注意:このセクションは、ネットワーク・デバイスが接続しているすべてのポートがインライン・ネット ワーク・ポート・タイプとして設定されていることを前提としています。この作業の説明については、 H-VUE のヘルプ・トピックのリンクまたは「Gigamon-OS H-VUE User’s Guide」を参照してく ださい。 手順 1:インライン・ネットワーク・バイパス・ペアの構成 インライン・ネットワーク・バイパス・ペアを構成するには、以下の手順に従います。 1. GigaVUE-FM にログインして、[Physical Nodes]を選択します。 2. GigaVUE-FM で管理している物理ノードのリストから[GigaVUE-HC2]を選択します。 3. [Ports] > [Inline Bypass] > [Inline Networks]を選択します。 注意: GigaVUE-HC2 にバイパス・コンボ・モジュールがある場合、図 2-5 で示すように、事 前に構成されたインライン・ネットワーク・ポート・ペアが 4 つあります。BPS ポートを使用して いる場合、この手順はすでに説明済みの手順と同じですが制限があります。エイリアスは 変更できません。また、ポート A と B が事前に選択されています。ネットワークが 1G または 10G のファイバーの場合、事前に構成されたこれらのインライン・バイパス・ペアのうちの 1 つ を使用します。それ以外の場合は、手順 2 に進んでください。 図 2-5:[Inline Networks]ページ FireEye 導入ガイド Gigamon Inc 14 | 30 ペ ー ジ 4. [New]をクリックします。[Inline Network]構成ページが表示されます。 5. [Inline Network]ページで、以下を構成して[Save]をクリックします。 • [Alias]フィールドに、そのインライン・ネットワーク・バイパス・ペアのネットワー ク・リンクがわかるようなエイリアスを入力します。たとえば、ESX9-VMNet-Link などと入力します。 • ドロップダウン・リストを使用して[Port A]のポートを選択するか、図 1-1 のネッ トワーク・トポロジのダイアグラムで示すように[A Side]ポートの[Port A]フィー ルドにポート・ラベルを入力します。 [Port B]フィールドの値は、[Port A]のポートを選択すると自動的に入力さ れます。 重要:HC2 の A 側と B 側を NX 2400 の A 側と B 側に一致させないと、トラフィッ クのインライン・ツール・グループへのトラフィック転送が正常に機能しません。 • [Traffic Path]と[Link Failure Propagation]は、デフォルト値のままにします。 • [Physical Bypass]を選択します。それによって、トラフィック・マップ変 更時のパケット・ロスが最小化されます。 この構成ページは、図 2-6 の例に従います。 注意: パケット・ロスを防止するため、インライン・ツール・グループとマップを設定す るまで[Traffic Path]を[Bypass]に設定します。インライン・ツール・グループとマッ プを構成すると、後続のセクションの説明に従ってトラフィック・パスにインライン・ ツールを設定できます。 図 2-6:インライン・ネットワーク・ペアの構成 6. その他のすべてのネットワーク・リンクに対して手順 2 と 3 を繰り返します。 FireEye 導入ガイド Gigamon Inc 15 | 30 ペ ー ジ 手順 2:インライン・ネットワーク・グループの構成 インライン・ネットワーク・グループを構成するには、以下の手順に従います。 1. H-VUE で、[Ports] > [Inline Bypass] > [Inline Network Groups]を選択します。 2. [New]をクリックします。 3. [Alias]フィールドで、そのインライン・ネットワーク・グループを示すエイリアスを入 力します。たとえば、ESX9-11_NGroup などと入力します。 4. [Inline Network]フィールドをクリックして、図 2-7 で示すようにドロップダウン・リストから選 択するか、インライン・ネットワーク・グループに追加するインライン・ネットワークに関連する エイリアスの任意の部分を入力します。 図 2-7:インライン・ネットワークの選択 5. 図 2-8 のように、すべてのポート・ペアが[Inline Network]フィールドに入力されるまでイ ンライン・ネットワークを追加します。 図 2-8:インライン・ネットワーク・グループへのインライン・ネットワークの追加 FireEye 導入ガイド Gigamon Inc 16 | 30 ペ ー ジ 6. 追加したら、[Save]をクリックします。 [Inline Network Groups]ページは、図 2-9 の例に従います。 図 2-9:完成したインライン・ネットワーク・グループのリスト 手順 3:インライン・ツールの構成 このセクションでは、この後の手順で定義するトラフィック・フロー・マップで使用するインライン・ ポート・ペアとインライン・ツール・グループの定義に必要な手順について説明します。 1. H-VUE で、[Ports] > [Inline Bypass] > [Inline Tools]を選択します。 図 2-10:[Inline Tools]ページへのナビゲーション 2. [New]をクリックして、インライン・ツールの構成ページを開きます。 3. [Alias]フィールドで、そのインライン・ツール・ペアのインライン・ツールがわかるようなエ イリアスを入力します。たとえば、FireEye1 などと入力します。 4. [Ports]セクションで、以下のようにポートを指定します。 • [Port A]には、ネットワーク図の A 側に対応するポートを指定します。 • [Port B]には、ネットワーク図の B 側に対応するポートを指定します。ネットワーク図につ いては、図 1-1 を参照してください。 重要:[Port A]と[Port B]は、インライン・ネットワーク・ポート・ペアの A 側と B 側にそれ ぞれ一致する必要があります。 5. 残りの構成オプションはデフォルト設定のままにします。 構成は、図 2-11 の例に従います。 FireEye 導入ガイド Gigamon Inc 17 | 30 ペ ー ジ 図 2-11:インライン・ツール・ペアの構成 6. [Save]をクリックします。 7. 追加のすべてのインライン・ツールに対して手順 2 から 6 を繰り返します。 注意:このインライン・ツールの失敗のアクションは ToolBypass です。これは、失敗モー ドとみなされる場合、GigaVUE-HC2 からそのインライン・ツールにトラフィックは送信され ていないことを意味します。インライン・ツールの失敗に対するその他のオプションは、オ ンライン・ヘルプで説明しています。全体のトラフィック・フローに対する効果はオプション によって大きく異なります。ハートビート機能が無効になっているため、フェイルオーバー のアクションはツール・ポートのリンクの 1 つが切断した場合のみ実行されます。 手順 4:インライン・ツール・グループの構成 インライン・ツール・グループを構成するには、以下の手順に従います。 1. H-VUE で、[Ports] > [Inline Bypass] > [Inline Tool Groups]を選択します。 2. [New]をクリックして、[Inline Tool Groups]構成ページを開きます。 3. [Alias]フィールドで、そのインライン・ツール・グループを示すエイリアスを入力します。例えば IT-GRP_FE1-FE2 などと入力します。 4. [Ports]セクションで、[Inline tools]フィールドをクリックして、使用できるインライン・ツールのリスト からそのグループのすべてのインライン・ツールを選択します。 [Inline spare tool]を選択するオプションがあります。このオプションを構成すると、 そのインライン・ツール・グループの最初の失敗のアクションになります。 FireEye 導入ガイド Gigamon Inc 18 | 30 ペ ー ジ 5. [Configuration]セクションで以下の手順に従い、終了したら[Save]をクリックします。 • [Enable]を選択します。 • 適用可能な場合は、[Release Spare If Possible]を選択します。 • [Failover action]、[Failover Mode]および[Minimum Healthy Group Size]はデフォル トのままにします。 • [Hash]は[a-srcip-bdstip]を選択します。 構成は、図 2-12 の例に従います。 図 2-12:インライン・ツール・グループの構成 FireEye 導入ガイド Gigamon Inc 19 | 30 ペ ー ジ インライン・トラフィック・フロー・マップの構成 このセクションでは、インライン・ネットワーク・リンクからインライン FireEye ツール・グルー プまでのトラフィック・フローを構成し、グループ内の FireEye アプライアンスの導入機能 テストを可能にするための高度なプロセスについて説明します。これは、以下の 3 つの 手順で構成されます。 • 手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マップの構成 • 手順 2:インライン・トラフィック・コレクタ・マップの構成 • 手順 3:インライン・ネットワーク・トラフィック・パスからインライン・ツールへの変更 これらの手順の終了後、FireEye アプライアンスの導入をテストできます。テストの手順 は、「FireEyeインライン・ツールの機能テスト(26 ページ)」を参照してください。 手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マップの構成 このセクションでは、インライン・ネットワーク・グループとインライン・ツール・グループの間 のトラフィック・フローマップの構成について説明します。 1. H-VUE で、[Maps]ページに移動します。 2. [New]をクリックします。[New Map]ページが表示されます。 3. [Map Info]セクションで、以下の手順に従います。 • [Alias]フィールドで、ネットワークの送信元とツールの送信先を示すマップのエ イリアスを入力します。 • [Inline]には[Type]を設定します。 • [By Rule]には[Sub Type]を設定します。 • [Bypass]には[Traffic Path]を設定します。 4. [Map Source and Destination]で、[Source]と[Destination]を以下のように設定します。 • [Source]には、手順 2:インライン・ネットワーク・グループ の構成で作成した インライン・ネットワーク・グループを設定します。 • [Destination]には、手順 4:インライン・ツール・グループ たインライン・ツール・グループを設定します。 の構成で作成し 5. [Map Rules]で、[Add a Rule]をクリックします。 6. 以下でルールを指定します。 a. [Rule]の[Condition]検索フィールドをクリックして、ドロップダウン・リストか ら[ip4Proto]を選択します。 b. [Pass]を選択します。(これがデフォルトです。) c. [Bi Directional]を選択します。 d. [Ipv4 Protocol]ドロップダウン・リストで[IGMP]を選択します。 このマップ・ルールは、図 2-13 の例に従います。 FireEye 導入ガイド Gigamon Inc 20 | 30 ペ ー ジ 図 2-13:インライン・ツール・フロー・マップのルール 注意:追加のトラフィックは、マップにルールを追加するとバイパスできます。 7. [Save]をクリックします。 手順 2:インライン・トラフィック・コレクタ・マップの構成 このセクションでは、もう 1 つのトラフィック・マップであるコレクタを作成する手順を説明します。 このマップによって、最初のトラフィック・フロー・マップに一致しないすべてのトラフィックがインライ ン・ツール・グループに送信されます。トラフィックには間接的なパスがないため、このコレクタ・パ ス・ルールを作成する必要があります。パス・ルールに一致しないインライン・ネットワークのすべ てのインライン・トラフィックが廃棄されます。 コレクタ・マップを構成するには、以下の手順に従います。 1. H-VUE で、[Maps]ページに移動して[New]をクリックします。[New Map]ペー ジが表示されます。 2. [Map Info]セクションで、以下の手順に従います。 • [Alias]フィールドで、手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マッ プ の構成で作成したトラフィック・マップと同じインライン・ネットワークのコレクタ・マップ であることが識別できるマップ・エイリアスを入力します。たとえば、Collector-ING_ITG などと入力します。 • [Inline]には[Type]を設定します。 • [Collector]には[Sub Type]を設定します。 • [Normal]には[Traffic Path]を設定します。 3. [Map Source and Destination]で、[Source]と[Destination]に手順 1:インライン・ バイパス・ルールによるトラフィック・フロー・マップ の構成で構成した最初のルール・マッ プと同じ送信元と送信先を設定します。 FireEye 導入ガイド Gigamon Inc 21 | 30 ペ ー ジ 図 2-14:コレクタ・マップの構成 手順 3:インライン・ネットワーク・トラフィック・パスからインライン・ツールへの変更 マップを構成したら、インライン・ネットワークのトラフィック・パスを[Bypass]から[Inline Tool]に変更します。ただし、トラフィック・パスを[Inline Tool]に設定する前に、インラ イン・ツール・ポートが有効であるか確認します。ポートのステータスを確認するには、メ イン・ナビゲーション・ペインで[Chassis]を選択して、H-VUE の[Chassis View]ペー ジに移動します。 バイパスからインライン・ツールにトラフィック・パスを変更するには、以下の手順に従います。 1. H-VUE で、[Ports] > [Inline Bypass] > [Inline Networks]を選択します。 2. すでに定義済みのインライン・ネットワークから 1 つを選択して(手順 2:C イン ライン・ネットワーク・グループの構成参照)、[Edit]をクリックします。 3. [Configuration]セクションで、以下のように変更します。 • [Traffic Path]には[Inline Tool]を設定します。 • [Physical Bypass]のチェックを外します。 FireEye 導入ガイド Gigamon Inc 22 | 30 ペ ー ジ 図 2-15:インライン・ネットワークの[Traffic Path]を[Inline Tool]に変更し、[Physical Bypass]の選択を解除 4. [Save]をクリックします。 5. インライン・ネットワーク・グループの各インライン・ネットワークに対して手順 3 と 4 を繰り返します。 FireEye 導入ガイド Gigamon Inc 23 | 30 ペ ー ジ FireEye インライン・ツールの機能テスト FireEye の機能をテストする場合、GigaVUE-HC2 のポートの統計を監視すると役に立ちます。インライン・ ネットワークとインライン・ツール・ポートの統計にアクセスするには、以下の手順に従います。 1. GigaVUE-HC2 のインライン・ネットワークとインライン・ツール・ポートの統計を入手します。 a. GigaVUE-HC2 に対するシリアル・コンソールまたは SSH セッションを開始します。 b. admin としてログ・インして、コマンド・プロンプト(HC2>)で以下のコマンドを 入力します。このコマンドのポート・リストはインライン・ネットワークとインライ ン・ツール・ポートです。 HC2 > en HC2 # config t HC2 (config) # clear port stats port-list 3/3/g21..g24,3/1/x3..x6 HC2 (config) # show port stats port-list 3/3/g21..g24,3/1/x3..x6 show port コマンドを入力すると、「インライン・ネットワーク・ペアの構成」の例 と同様に、指定したポート・リストのポートの統計が表示されます。 図 2-16:インライン・ネットワークおよびインライン・ツール・ポートの統計 FireEye 導入ガイド Gigamon Inc 24 | 30 ペ ー ジ 2. 以下の手順は、5 つ以上のワークステーションに対して、IP アドレスを 1 つずつ増やし て繰り返す必要があります。たとえば、10.10.10.21 から 10.10.10.26 までの IP アドレ スを使用するなどです。それによって、FireEye の導入テストのトラフィック転送は、 FireEye のインライン・ツール・グループのアプライアンスに可能な限り均等に割り当て られます。 a. インライン・ネットワーク・ツール・グループ内のインライン・ネットワーク・リンクの 1 つ を通してトラフィックを渡すため、ワークステーションのブラウザを起動します。GUI を使用して FireEye のアプライアンスの 1 つに admin としてログ・インします。 b. [About] > [Deployment Check]を選択します。 c. 図 2-17 で示す[Detection Verification」の[Perform Check]の各リンク をクリックします。 注意: 図 2-18 で示した導入テストとコールバック・ブロックを含む各テストに関連する一 連のクライアント応答ページを参照してください。 図 2-17:FireEye の導入テスト・ページ FireEye 導入ガイド Gigamon Inc 25 | 30 ペ ー ジ 図 2-18:FireEye 導入テスト・クライアント応答ページ d. これらのテストは、前の注意に記載したように IP アドレスが連続する他の 4 台以上のワークステーションで繰り返します。 e. 各 FireEye アプライアンスにログ・インします。これらのシステムにおけるテスト・ アラートの分布が表示されます。 f. GigaVUE-HC2 の SSH またはシリアル・コンソールを表示し、show port stats コマンドを使用してインライン・ツール・ポートのパケットの分布を確認します。 FireEye のベスト・プラクティスに従って、1 つのクライアント IP のすべてのトラ フィックが 1 台の FireEye アプライアンスに割り当てられているか確認します。 注意: データ自体が各インライン・ツールに送信されるデータ量の要因であるため、 トラフィックの分布がすべてのインライン・ツールで均等でない場合があります。つま り、セッションによっては、他よりも関連するデータが多いことがあります。 g. FireEye アプライアンスにログ・インしてから、図 2-19 で示すように [Dashboard]をスクロール・ダウンして、[Top 25 Infected Subnets]を表 示します。 FireEye 導入ガイド Gigamon Inc 26 | 30 ペ ー ジ 図 2-19:FireEye のダッシュボード — Top 25 Infected Sites(感染したサイト上位 25) i. [Malware Events]リンクをクリックします。図 2-20 で示すように、[Source IP]列にク ライアントの IP アドレスのリストが表示されます。 図 2-20:[Source IP]列にクライアント IP アドレスが表示された FireEye のアラート j. インライン・ツール・グループの他のすべての FireEye アプライアンスに対して、前の手 順を繰り返します。 各クライアント IP アドレスはそれぞれ、1 台の FireEye アプライアンスに対してのみ表 示されます。ただし、クライアント IP アドレスの分布は、FireEye のすべてのアプライアン スで均等にならない可能性があります。 FireEye 導入ガイド Gigamon Inc 27 | 30 ペ ー ジ FireEye 導入ガイド Gigamon Inc 28 | 30 ペ ー ジ 第3章 まとめと結論 ここまで、Gigamon GgiaVUE-HC2 バイパス保護と FireEye ネットワーク・セ キュリティ・アプライアンスの組み合わせを導入する方法について説明してきま した。Gigamon-GigaVUE-HC2 のシャーシでインライン・ツールの高可用性を 確保し、トラフィックを配信するこの統合ソリューションでは、以下の目標を達 成できます。 • ツールのフェイルオーバーのアクションによって、各インライン・セキュリティ・ ソリューションを Gigamon インライン・ツール・グループに含めることによって、 FireEye Network Threat Prevention Platform の高可用性を確保。 停止や定期的なメンテナンスなど、原因を問わず、ツールがオフラインに なっても個別のセキュリティ・ニーズに合わせてインライン・ツール・グループ を最適化。 • ネットワーク・インフラストラクチャの拡張に合わせたシームレスな拡張、 およびインライン・ツールによる追加のトラフィックへの対応。 • GigaVUE-HC2 に物理的に追加したすべての新しいツールがパス・スルー のトラフィック・フロー・マップに論理的に追加される高度な柔軟性により、 物理的な変更管理をせずに新しいタイプのインライン・セキュリティ・ツール を追加可能。 Gigamon の Security Delivery Platform が提供する GigaVUE-HC2 のバイ パス保護、高可用性および拡張性の詳細については、www.gigamon.com を 参照してください。 サポートへのアクセス: Gigamon 製品に関する問題については、 http://www.gigamon.com/support-and-services/contact-support および Gigamon のサポート契約を参照してください。または、テクニカル・サポートに 電子メール([email protected])でご連絡ください。 FireEye 製品に関する問題については FireEye のサポート契約を参照し、説 明に従ってサポート・ケースを開いてください。 FireEye 導入ガイド Gigamon Inc 29 | 30 ペ ー ジ See Inside Your Network™ JP-4052-02 12/15 FireEye 導入ガイド Gigamon Inc 30 | 30 ペ ー ジ
© Copyright 2024 Paperzz
