APPENDIX E MARS で使用するセキュリティ アプライアン スの設定 MARS は、適応型セキュリティ アプライアンスを含むさまざまなネットワーク デバイスからログおよ びイベントを中央で集約します。これらのログやイベントは、脅威対策で使用するために分析できま す。MARS では、適応型セキュリティ アプライアンスの 7.0(7)、7.2(2)、7.2(3)、8.0(2)、8.2(1) の各 バージョンをサポートしています。 この付録では、適応型セキュリティ アプライアンスの設定方法、およびレポート デバイスとして MARS に追加する方法について説明します。次の項目を取り上げます。 • 「適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフロー」(P.E-1) • 「適応型セキュリティ アプライアンスでの MARS への管理アクセスのイネーブル化」(P.E-2) • 「監視するセキュリティ アプライアンスの追加」(P.E-3) • 「syslog メッセージのロギング シビラティ レベルの設定」(P.E-5) • 「MARS で処理される syslog メッセージ」(P.E-5) • 「特定の機能の設定」(P.E-8) MARS で動作するようにデバイスおよびソフトウェアを設定する方法については、『Supported and Interoperable Devices and Software for Cisco Security MARS Local Controller』および『User Guide for Cisco Security MARS Local Controller』を参照してください。 適応型セキュリティ アプライアンスを監視するように MARS を設定する タスクフロー 適応型セキュリティ アプライアンスを監視するように MARS を設定するタスクフローには、次の手順 が含まれます。 1. MARS から管理セッションを受け入れて設定を検出するように適応型セキュリティ アプライアン スを設定します。この設定は管理コンテキストで行います。 2. MARS に syslog メッセージを発行するように適応型セキュリティ アプライアンスを設定します。 この設定は、管理コンテキストおよび定義された各セキュリティ コンテキストに対して行います。 (注) 各コンテキストは、syslog メッセージを MARS に送信するために、固有のルーティング可 能な IP アドレスを必要とします。また、各コンテキストには固有の名前が必要です(通 常、hostname.domain の名前形式)。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J E-1 付録 E MARS で使用するセキュリティ アプライアンスの設定 3. MARS で、syslog メッセージ イベント データの受け入れと、適応型セキュリティ アプライアンス からのコンフィギュレーション設定の収集をイネーブルにするには、次の作業を実行します。 – 1 つ以上のインターフェイスのロギングをイネーブルにします。 – ロギング ファシリティとキュー サイズを選択します。 – ロギング シビラティ レベルにデバッグ(7)を指定するか、または必要なシビラティを指定し ます。 – ターゲット MARS アプライアンス、およびそのアプライアンスがリスンするプロトコルと ポートのペアを特定します。 4. MARS Web インターフェイス内で、次の手順を実行します。 – 管理接続情報を提供して、適応型セキュリティ アプライアンスを定義します。 – セキュリティ コンテキストを定義します。詳細については、「セキュリティ コンテキストの追 加」(P.E-4)を参照してください。 – 検出されたコンテキストを追加します。詳細については、「検出されたコンテキストの追加」 (P.E-5)を参照してください。 – 検出されたコンテキストを編集します。詳細については、「検出されたコンテキストの編集」 (P.E-5)を参照してください。 適応型セキュリティ アプライアンスでの MARS への管理アクセスのイ ネーブル化 適応型セキュリティ アプライアンスで MARS への管理アクセスをイネーブルにするには、次の手順を 実行します。 ステップ 1 MARS アプライアンスをイネーブルにし、SSH アクセスを通じて適応型セキュリティ アプライアンス の設定を検出するには、次のコマンドを入力します。 hostname# crypto key generate rsa modulus modulus modulus は、ビット単位で指定された RSA 係数のサイズです。 hostname# ssh mars_ip netmask of the mars_ip interface name mars_ip は、MARS アプライアンスの IP アドレスです。netmask of the mars_ip は、MARS アプライ アンスのネットマスクです。interface name には inside、outside、または DMZ を指定できます。 ステップ 2 Telnet アクセスを通じて適応型セキュリティ アプライアンスの設定を検出するように MARS アプライ アンスをイネーブルにするには、次のコマンドを入力します。 hostname# telnet mars_ip netmask of the mars_ip interface name mars_ip は、MARS アプライアンスの IP アドレスです。netmask of the mars_ip は、MARS アプライ アンスのネットマスクです。interface name には inside、outside、または DMZ を指定できます。 ステップ 3 FTP アクセスを通じて適応型セキュリティ アプライアンスの設定を検出するように MARS アプライア ンスをイネーブルにするには、FTP サーバに MARS アプライアンスのコンフィギュレーション ファイ ルを追加しておく必要があります。 (注) FTP アクセス タイプを選択すると、MARS アプライアンスは管理外コンテキスト設定を検出 できません。したがって、このアクセス タイプはお勧めしません。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) E-2 OL-18970-01-J 付録 E MARS で使用するセキュリティ アプライアンスの設定 ステップ 4 ターゲット ロギング ホストとして動作するように MARS をイネーブルにするには、次のコマンドを入 力して、MARS に syslog メッセージを発行するように適応型セキュリティ アプライアンスを設定しま す。 hostname(config)# logging host interface name mars_ip mars_ip は、MARS アプライアンスの IP アドレスです。interface name には、inside、outside または DMZ を指定できます。 hostname(config)# logging trap 7 hostname(config)# logging enable (注) ロギング シビラティ レベルを 7(デバッグ)に設定するか、または必要な syslog メッセージの セットを生成するように適応型セキュリティ アプライアンスを設定してください。ロギング シ ビラティ レベルでは、セッション特有のデータを追跡するために必要な syslog メッセージの 詳細情報を生成します。 デバッグ メッセージは、トラブルシューティングにお勧めします。デバッグ ロギング シビラ ティ レベルには、すべてのアラート、クリティカル、エラー、警告、通知、および情報メッ セージが含まれます。また、このロギング シビラティ レベルでは、FTP セッション中に発行 されたコマンドと、HTTP セッション中に要求された URL を特定するログも生成します。パ フォーマンス上の理由から適応型セキュリティ アプライアンスがデバッグレベル メッセージを 維持できない場合、情報ロギング シビラティ レベル(6)を使用してください。詳細について は、「syslog メッセージのロギング シビラティ レベルの設定」(P.E-5)を参照してください。 また、syslog メッセージに EMBLEM 形式を使用しないでください。 ステップ 5 MARS で CPU 利用率および関連情報を検出できるようにするには、次のコマンドを入力して、適応型 セキュリティ アプライアンスで SNMP RO コミュニティ ストリングをイネーブルにします。 hostname(config)# snmp-server host interface mars_ip poll community community interface には、inside、outside、または DMZ を指定できます。mars_ip は、MARS アプライアンスの IP アドレスです。community は、SNMP RO コミュニティ ストリングです。 ステップ 6 各管理コンテキストおよび定義済みのセキュリティ コンテキストに対してステップ 4 を繰り返します。 監視するセキュリティ アプライアンスの追加 レポート デバイス(適応型セキュリティ アプライアンス)から MARS に発行されたイベントは、適応 型セキュリティ アプライアンスのレポート IP アドレスが MARS Web インターフェイスで定義される まで検査されません。 監視する適応型セキュリティ アプライアンスを追加するには、次の手順を実行します。 ステップ 1 MARS Web インターフェイスで、[Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。 ステップ 2 [Device Type] ドロップダウン リストから、適切なバージョンの適応型セキュリティ アプライアンスを 選択します。基本デバイス タイプは管理コンテキストを示します。 ステップ 3 次の [Device Access] フィールドに値を指定します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J E-3 付録 E MARS で使用するセキュリティ アプライアンスの設定 ヒント SSH 検出をイネーブルにするには、MARS アプライアンスは適応型セキュリティ アプライア ンスに対して認証する必要があります。デフォルトのユーザ名は「pix」で、パスワードは password コマンドに指定したものです(AAA を使用していない限り)。 • MARS がレポート IP アドレスにマッピングするデバイス名。 • アクセス IP。通常、レポート IP アドレスと同じです。 • レポート IP。syslog メッセージまたは SNMP 通知、またはその両方を発行するインターフェイス です。 • アクセス タイプ • ログイン • パスワード • イネーブル パスワード • (オプション)SNMP RO。MRS が CPU 利用率およびネットワーク利用率に関する MIB を取得で きるようにします。 • (オプション)リソース利用率の監視(SNMP RO 設定を必要とします)。MARS が、メモリや CPU などの異常なリソース消費を監視できるようにします。 ステップ 4 [Discover] をクリックして、セキュリティ コンテキストやその設定値などの適応型セキュリティ アプ ライアンスの設定を決定します。 ステップ 5 [Submit] をクリックして、MARS データベースに設定を保存します。 ステップ 6 [Activate] をクリックして、それらの設定を MARS アプライアンスの作業メモリにロードします。 ステップ 7 [Summary] > [Dashboard] の順に選択します。 ステップ 8 ホットスポット グラフで [Full Topology Graph] をクリックし、選択した適応型セキュリティ アプライ アンスが表示されていることを確認します。 セキュリティ コンテキストの追加 セキュリティ コンテキストを追加するには、次の手順を実行します。 ステップ 1 ステップ 2 MARS Web インターフェイスで、[Add Module] をクリックします。 [Device Type] ドロップダウン リストから、適切なバージョンの適応型セキュリティ アプライアンスを 選択します。 ステップ 3 [Device Name] フィールドに、適応型セキュリティ アプライアンスの名前を入力します。 ステップ 4 [Context Name] フィールドに、セキュリティ コンテキストの名前を入力します。この名前は、適応型 セキュリティ アプライアンスで定義したコンテキスト名と一致する必要があります。 ステップ 5 [Reporting IP] フィールドに、syslog メッセージまたは SNMP 通知、または両方が発行されたセキュリ ティ コンテキストの IP アドレスを入力します。 ステップ 6 (オプション)[SNMP RO Community] フィールドに、適応型セキュリティ アプライアンス読み取り専 用コミュニティ ストリングを入力します。 ステップ 7 [Discover] をクリックして、定義済みのセキュリティ コンテキストの設定を検出します。MARS は、 すべてのルート、NAT、および ACL 関連情報を収集します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) E-4 OL-18970-01-J 付録 E MARS で使用するセキュリティ アプライアンスの設定 ステップ 8 [Submit] をクリックして、MARS データベースに設定を保存します。 検出されたコンテキストの追加 検出されたコンテキストを追加するには、次の手順を実行します。 ステップ 1 MARS Web インターフェイスで、[Add Available Module] をクリックします。 ステップ 2 [Select] ドロップダウン リストからセキュリティ コンテキストを選択して、[Add] をクリックします。 ステップ 3 [Submit] をクリックして、MARS データベースに設定を保存します。 ステップ 4 検出された各コンテキストに対して、これらの手順を繰り返します。 検出されたコンテキストの編集 検出されたコンテキストを編集するには、次の手順を実行します。 ステップ 1 MARS Web インターフェイスで、選択したデバイス タイプに従って編集する検出されたコンテキスト を選択します。 ステップ 2 [Edit Module] をクリックします。 ステップ 3 [Reporting IP] フィールドに、セキュリティ コンテキストの syslog メッセージの送信元の IP アドレス を入力します。 ステップ 4 (オプション)[SNMP RO Community] フィールドに、適応型セキュリティ アプライアンス読み取り専 用コミュニティ ストリングを入力します。 ステップ 5 (オプション)MARS が、このコンテキストの異常なリソース利用率を監視できるようにするには、 [Monitor Resource Usage] リストで [Yes] をクリックします。 ステップ 6 [Submit] をクリックして、MARS データベースに設定を保存します。 ステップ 7 検出された各コンテキストに対して、これらの手順を繰り返します。 syslog メッセージのロギング シビラティ レベルの設定 logging message コマンドを使用して、必要な syslog メッセージのロギング シビラティ レベルを変更 したり、特定の syslog メッセージをオフにしたりすることができます。詳細については、第 74 章「ロ ギングの設定」を参照してください。 MARS で処理される syslog メッセージ MARS は、カスタマイズされたロギング シビラティ レベルで syslog メッセージを正しく解析できま す。したがって、syslog メッセージを低いロギング シビラティ レベル(ロギング シビラティ レベル 6 など)に設定できます。syslog メッセージのロギング シビラティ レベルを変更することで、適応型セ キュリティ アプライアンスのロギング負荷を 5 ~ 15% 減らすことができます。ただし、リソースを最 も消費するのはセッション詳細イベントです。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J E-5 付録 E MARS で使用するセキュリティ アプライアンスの設定 MARS は、正しいセッション化で必要な次の syslog メッセージを処理します。適応型セキュリティ ア プライアンスのロギング シビラティ レベルを変更する場合、これらの syslog メッセージが新しいロギ ング シビラティ レベルで生成されており、MARS アプライアンスがそれらのメッセージを受信できる ことを確認してください。 表 E-1 に、syslog メッセージのクラス、それらの定義、および MARS によって処理される syslog メッ セージ番号の範囲を示します。 表 E-1 syslog メッセージのクラスと関連するメッセージ番号 クラス 内容 syslog メッセージ番号 auth ユーザ認証 bridge 透過ファイアウォール 109001 ~ 109003、109005 ~ 109008、109010 ~ 109014、109016 ~ 109034、113001、113003 ~ 113020、 114001 ~ 114020、611101 ~ 611104、611301 ~ 611323 110001 ca PKI 認証局 717001 ~ 717019、717021 ~ 717038 config コマンド インターフェイス 111001、111003 ~ 111005、111007 ~ 111009、111111、 112001、208005、308001 ~ 308002、504001 ~ 504002、505001 ~ 505013、506001 e-mail 電子メール プロキシ dap ダイナミック アクセス ポリシー 719001 ~ 719026 734 ha 高可用性(フェールオーバー) 101001 ~ 101005、102001、103001 ~ 103005、 104001 ~ 104004、105001 ~ 105011、105020 ~ 105021、105031 ~ 105032、105034 ~ 105040、 105042 ~ 105048、210001 ~ 210003、210005 ~ 210008、210010、210020 ~ 210022、311001 ~ 311004、 709001 ~ 709007 ip IP スタック ipaa IP アドレスの割り当て 209003 ~ 209005、215001、313001、313003 ~ 313005、313008、317001 ~ 317005、322001 ~ 322004、323001 ~ 323006、324000 ~ 324007、 324300 ~ 324301、325001 ~ 325003、326001 ~ 326002、326004 ~ 326017、326019 ~ 326028、 327001 ~ 327003、328001、329001、331001 ~ 331002、332003 ~ 332004、333001 ~ 333010、 334001 ~ 334008、335001 ~ 335014、408001 ~ 408003、410001 ~ 410004、411001 ~ 411004、 412001 ~ 412002、413001 ~ 413004、416001、 417001、417004、417006、417008 ~ 417009、418001、 419001 ~ 419002、421001 ~ 421007、422004 ~ 422006、423001 ~ 423005、424001 ~ 424002、 431001 ~ 431002、450001、507001 ~ 507002、 508001 ~ 508002、509001 735 ips 侵入防止サービス 400000 ~ 400050、401001 ~ 401005、415001 ~ 415020、420001 ~ 420003 np ネットワーク プロセッサ 319001 ~ 319004 npssl NP SSL 725001 ~ 725014 ospf OSPF ルーティング 318001 ~ 318009、409001 ~ 409013、409023、 503001、613001 ~ 613003 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) E-6 OL-18970-01-J 付録 E MARS で使用するセキュリティ アプライアンスの設定 表 E-1 syslog メッセージのクラスと関連するメッセージ番号 (続き) クラス (続き) 内容 syslog メッセージ番号 rip RIP ルーティング 107001 ~ 107003、312001 rm リソース マネージャ 321001 ~ 321004 session ユーザ セッション 106001 ~ 106002、106006 ~ 106007、106010 ~ 106027、106100 ~ 106101、108002 ~ 108003、 108005、201002 ~ 201006、201008 ~ 201013、 202001、201005、202011、204001、302001、302003 ~ 302004、302007 ~ 302010、302012 ~ 302023、 302302、303002 ~ 303005、304001 ~ 304009、 305005 ~ 305012、314001、405001 ~ 405002、 405101 ~ 405107、405201、405300 ~ 405301、 406001 ~ 406002、407001 ~ 407003、500001 ~ 500004、502101 ~ 502103、502111 ~ 502112、 607001 ~ 607002、608001 ~ 608005、609001 ~ 609002、616001、617001 ~ 617004、620001 ~ 620002、621001 ~ 621003、621006 ~ 621010、 622001、622101 ~ 622102、703001 ~ 703002、 710001 ~ 710006、726001 snmp SNMP 212001 ~ 212006 sys システム 199001 ~ 199003、199005 ~ 199009、211001、211003、 216003、217001、218001 ~ 218004、219002、315004、 315011、414001 ~ 414002、604101 ~ 604104、 605004 ~ 605005、606001 ~ 606004、610001 ~ 610002、610101、612001 ~ 612003、614001 ~ 614002、615001 ~ 615002、701001 ~ 701002、 711001 ~ 711002 vpdn PPTP および L2TP セッション 213001 ~ 213004、403101 ~ 403104、403106 ~ 403110、403500 ~ 403507、603101 ~ 603109 vpn IKE および IPSec 316001、320001、402101 ~ 402103、402106、 402114 ~ 402120、402123、404101 ~ 404102、 501101、602101 ~ 602104、602201 ~ 602203、 602301 ~ 602304、702201 ~ 702212、702301 ~ 702303、702305、702307、713004、713006、713008 ~ 713010、713012、713014、713016 ~ 713018、713020、 713022、713024 ~ 713037、713039 ~ 713043、 713047 ~ 713052、713056、713059 ~ 713063、 713065 ~ 713066、713068、713072 ~ 713076、 713078、713081 ~ 713086、713088、713092、713094、 713098 ~ 713099、713102 ~ 713105、713107、 713109、713112 ~ 713124、713127 ~ 713149、 713152、713154 ~ 713172、713174、713176 ~ 713179、713182、713184 ~ 713187、713189 ~ 713190、713193 ~ 713199、713203 ~ 713206、 713208 ~ 713226、713228 ~ 713251、713900 ~ 713906、714001 ~ 714007、714011、715001、 715004 ~ 715009、715013、715019 ~ 715022、 715027 ~ 715028、715033 ~ 715042、715044 ~ 715072、715074 ~ 715079 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J E-7 付録 E 表 E-1 MARS で使用するセキュリティ アプライアンスの設定 syslog メッセージのクラスと関連するメッセージ番号 (続き) クラス (続き) 内容 syslog メッセージ番号 vpnc VPN クライアント 611101 ~ 611104、611301 ~ 611323、722001 ~ 722038 vpnfo VPN フェールオーバー 720001 ~ 720073 vpnlb VPN ロードバランシング 718001 ~ 718081、718084 ~ 718088 webvpn Web ベースの VPN 716001 ~ 716056、723001 ~ 723014、724001 ~ 724002 特定の機能の設定 ネットワークで複数の役割を実行するため、適応型セキュリティ アプライアンスを、レポーティング デバイスおよび手動の脅威対策デバイスとして動作するように設定できます。MARS は、次の機能の コンフィギュレーションの利点を活用することができます。 • 組み込み IDS および IPS 署名照合機能は、攻撃の試行の検出時に重要な可能性があります。 • 受け入れられたセッションおよび拒否されたセッションのロギングは、false positive の分析に役立 ちます。 • 管理アクセスにより、MARS は、次に示すような重要なデータを取得できます。 – ルートおよび ARP テーブル。ネットワークの検出および MAC アドレスのマッピングに役立 ちます。 – NAT および PAT 変換テーブル。アドレス解決および攻撃パスの分析に役立ち、攻撃が実際に 発生した場所を明らかにします。 – OS 設定。検出された攻撃をブロックするために MARS が正しい ACL を特定するために必要 です。適応型セキュリティ アプライアンスによる管理セッションで使用できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) E-8 OL-18970-01-J
© Copyright 2026 Paperzz