第 4 章 マネージ ャ ーの運用
4.10 外部利用申請の使用方法
4.8.3.8 ネ ッ ト ワー クの定義
マルウ ェ ア振る舞い検知で検知対象 と な る C&Cサーバは、 一般的にはイ ン タ ーネ ッ ト 上に存 在する ため、 セ ンサーは、 組織内のイ ン ト ラ ネ ッ ト のネ ッ ト ワー ク と 外部のネ ッ ト ワー ク につ いて区別する必要があ り ます。 こ のため、 内部ネ ッ ト ワー クは組織内のイ ン ト ラ ネ ッ ト で使用 し ているIPア ド レ スの範囲を管理者が定義 し 、 こ れに該当 し ないネ ッ ト ワー ク を外部ネ ッ ト ワー ク と する必要があ り ます。
以下に、 マルウ ェ ア振る舞い検知に必要なネ ッ ト ワー ク定義に関する設定項目について説明 し ます。
表 4.28 [ネ ッ ト ワー ク 定義] の項目
画面項目 説明
プ ラ イ ベー トIPア ド レ ス を内部ネ ッ ト ワー ク に 含める
[含む] を チ ェ ッ ク し た場合は、 内部ネ ッ ト ワー ク と し て、RFC1918で規定 さ れた以下のプ ラ イ ベー ト IPア ド レ ス を含めます。 デ フ ォル ト ではチ ェ ッ クが付 いています。
• 10.0.0.0-10.255.255.255
• 172.16.0.0-172.31.255.255
• 192.168.0.0-192.168.255.255
内部ネ ッ ト ワー ク 上記のプ ラ イ ベー ト IPア ド レ ス以外のア ド レ ス を内部ネ ッ ト ワー ク と し て設定 し ます。
内部ネ ッ ト ワー ク ア ド レ ス と し て、 以下の形式が使用で き ます。 使用可能な文 字は、255文字以内の半角英数字 と 特殊文字 (「.」 「-」 「_」 「/」) です。
• FQDN形式のホス ト 名 (255文字以内)
• IPア ド レ ス
• ネ ッ ト ワー ク ア ド レ ス (XXX.XXX.XXX.XXX/XX)
• IPア ド レ ス範囲 (XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY)
複数のア ド レ ス (最大20件) を指定するには、 カ ン マで区切 り ます。
第4章 マネージ ャ ーの運用
4.8.3.9 ア プ リ ケーシ ョ ンのポ リ シー
ア プ リ ケーシ ョ ンの遮断および承認に関する設定は、 シス テム設定画面の [セグ メ ン ト グルー プ固有設定] タ ブの [ア プ リ ケーシ ョ ンのポ リ シー] で行います。
以下に、 [ア プ リ ケーシ ョ ンのポ リ シー] の項目について説明 し ます。
外部ネ ッ ト ワー ク と し て 取 り 扱 う
プ ロキシサーバ (透過プ ロキシ を除 く ) を運用 し ているネ ッ ト ワー ク では、 外 部ネ ッ ト ワー ク と の通信はプ ロキシサーバが代理する ため、 プ ロキシサーバの IPア ド レ スは、 外部ネ ッ ト ワー ク と し て扱 う 必要があ り ます。 こ のため、 内部 ネ ッ ト ワー クの定義か らはプ ロキシサーバを除外する必要があ り ます。
除外する ア ド レ ス と し て、 以下の文字列が使用で き ます。 使用可能な文字は、
255文字以内の半角英数字 と 特殊文字 (「.」 「-」 「_」 「/」) です。
• FQDN形式のホス ト 名
• IPア ド レ ス
• ネ ッ ト ワー ク ア ド レ ス
• IPア ド レ ス範囲
複数のア ド レ ス (最大20件) を指定するには、 カ ン マで区切 り ます。
なお、 マネージ ャ ーを イ ン ス ト ール し た場合は、Internet Explorerのプ ロキシ ア ド レ スか ら自動的に イ ンポー ト さ れます。 ただ し 、 プ ロキシサーバ名が名前解 決で き ない場合はイ ンポー ト さ れません。
画面項目 説明
4.8.4 シ ス テム全体設定
以下に、 [シ ス テム全体設定] タ ブの項目について説明 し ます。
表 4.29 [ア プ リ ケーシ ョ ンのポ リ シー] の項目
画面項目 説明
カ テ ゴ リ のポ リ シー カ テ ゴ リ 単位に、 ア プ リ ケーシ ョ ンのス テー タ ス を [許可] または [禁止]
に設定する こ と がで き ます。 デ フ ォル ト では こ の設定はすべてのカ テ ゴ リ で 「変更 し ない」 ([ポ リ シー と し て適用する] がチ ェ ッ ク さ れていない)
と な っ ています。
[ポ リ シー と し て適用する] を チ ェ ッ ク する こ と によ っ て、 ポ リ シーに反映 さ れます。
なお、 こ の設定を変更する と 、 現在マネージ ャ ーに登録 さ れている ア プ リ ケーシ ョ ンの う ち、 ス テー タ スが [自動設定] にな っ ている ア プ リ ケー シ ョ ンのス テー タ ス も連動 し て変更 さ れます。 ス テー タ スが [個別設定]
の状態にな っ ている ア プ リ ケーシ ョ ンについてはス テー タ スは変更 さ れま せん。
第4章 マネージ ャ ーの運用
表 4.30 [シ ス テム全体設定] タ ブの項目
画面項目 説明
ラ イ セ ン ス
ラ イ セ ン ス設定 追加する ラ イ セ ン スキーを設定 し ます。
[設定] [ ラ イ セ ン ス設定] 画面が表示 さ れます。
機器識別
機器識別辞書 機器識別辞書を更新する ための機器識別辞書 フ ァ イルを設定 し ます。
[設定] [機器識別辞書設定] 画面が表示 さ れます。
高度な設定 機器識別用 SNMPコ ミ ュ ニ テ ィ ー名
機器種別を識別およびプ リ ン タ ー情報を収集する ためのSNMPコ ミ ュ ニ テ ィ ー名を、64文字ま での半角英数字および記号 (スペースおよび カ ン マ を除 く ) で設定 し ます。 複数のSNMPコ ミ ュ ニ テ ィ ー名を設定する場合 は、 カ ン マで区切 り ます。SNMPコ ミ ュ ニ テ ィ ー名は、10個ま で設定で き ます。 指定 し たSNMPコ ミ ュ ニ テ ィ ー名に加えて 「public」 も 使用 さ れ ます。
ア プ リ ケーシ ョ ン監視
ア プ リ ケーシ ョ ン辞書 ア プ リ ケーシ ョ ン一覧を更新する ためのア プ リ ケーシ ョ ン辞書フ ァ イルを 設定 し ます。
[設定] [ア プ リ ケーシ ョ ン辞書設定] 画面が表示 さ れます。
動作設定
マネージ ャ ー動作設定 イ ベン ト 保存期 間
イ ベ ン ト 参照画面で表示する イ ベン ト 情報の保存期間を30、60または90 日で設定 し ます。 デ フ ォル ト は30日です。 保存期間を超えた イ ベン ト 情 報はマネージ ャ ーの定期処理時に自動削除 さ れます。 また、 イ ベン ト 情報 が 10 万件を超えた場合は、 保存期間内で も定期処理時に古い イ ベン ト か ら自動削除 さ れます。
マネージ ャ ー定 期処理時刻
マネージ ャ ーで1 日1 回実行する、 イ ベ ン ト 削除や長期未接続機器情報削 除な どの定期処理時刻を設定 し ます。
マネージ ャ ー定期処理時刻は、00:00~23:59の範囲で、 「hh:mm」、
「hh:m」、 「h:mm」、 「h:m」 形式のいずれかで設定 し ます。 デ フ ォル ト は
「02:00」 です。 こ の値は省略で き ません。 定期処理時刻を変更する場合 は、 すでにその時刻を過ぎていれば、 翌日よ り 変更後の時刻で動作 し ま す。
機器のホス ト 名 を逆引き
マネージ ャ ーのDNSを使用 し て、IPア ド レ スから 機器のホス ト 名の逆引 き を行 う には、 [する] を設定 し ます。
IPア ド レ スか ら機器のホス ト 名の逆引き を行わない場合、 [ し ない] を設 定 し ます。
マネージ ャ ーで の利用申請
マネージ ャ ーの [利用申請] 画面を利用する場合は 「利用する」 を選択 し ます。 デ フ ォル ト は 「利用 し ない」 です。
CSVフ ァ イルの 項目名
機器情報およびア プ リ ケーシ ョ ン情報のエ ク スポー ト 時に、 項目名を含め るかど う かを設定 し ます。 項目名を出力するには [表示する] を設定 し ま す。
機器情報およびア プ リ ケーシ ョ ン情報のイ ンポー ト 時に、 項目名を含める かど う かを設定 し ます。
[表示する] に設定 し た場合、 イ ンポー ト する際に、 項目名の行が読み飛 ば さ れます。
通信設定
ヒント
• [適用] ボ タ ン を ク リ ッ ク し ます。 次回の同期の タ イ ミ ングで、 マネージ ャ ーから セ ン サーにセ ンサーの設定が反映 さ れます。 セ ンサー管理画面で設定を確認 し て く だ さ い。
注意
• セ ンサー相互監視は、セ ンサー同士が通信で き ない環境 (NAT環境や フ ァ イ アウ ォ ール がある場合) では使用で き ません。
• セ ンサー相互監視 を行 う セ ンサー同士は、 [基本設定] 画面のデ フ ォ ル ト ゲー ト ウ ェ イ に指定 し たセグ メ ン ト で、 ゲー ト ウ ェ イ経由で通信可能である必要があ り ます。
4.8.4.1 ラ イ セ ン スの追加 と 削除
iNetSec Intra Wallを運用する ためには、 管理する セグ メ ン ト 数に応 じ た ラ イ セ ン ス を購入いた だ き、 iNetSec Intra Wallマネージ ャ ーに登録が必要です。 次の3つの運用に沿っ て登録方法を 説明 し ます。
• ラ イ セ ン ス を新規登録する (運用を始める場合)
• ラ イ セ ン ス を追加登録する (管理する セグ メ ン ト 数が増えた場合)
• ラ イ セ ン ス を更新する (ラ イ セ ン ス を更新 し た場合)
ラ イ セ ン ス を新規登録する
新 し く ラ イ セ ン ス を登録する場合の手順について説明 し ます。
以下の手順で、ラ イ セ ン ス を追加 し ます。
[操作]
1. [シス テム全体設定] タ ブ で [ラ イ セ ン ス設定] の [設定] ボ タ ン を ク リ ッ ク し ます。
[ラ イ セ ン ス設定] 画面が表示 さ れます。
セ ンサー相互監 視
セ ンサー相互でセ ンサーの動作状況を監視する場合にチ ェ ッ ク し ます。 同 一セグ メ ン ト グループ内のセ ンサーが他のセ ンサーを相互監視 し 、 異常が 発生 し た場合は、 別のセ ンサーか ら メ ールまたはSNMP ト ラ ッ プが送信 さ れます。 監視する間隔は5分です。
サーバのホス ト 名を正引き
マネージ ャ ーで設定 し たサーバ (遮断除外サーバな ど) のホス ト 名から、
IPア ド レ スへの正引き を マネージ ャ ー、 セ ンサーのど ち ら で行 う かを選択 し ます。
画面項目 説明
第4章 マネージ ャ ーの運用
ヒント
• セグ メ ン ト ラ イ セ ン スの数が 「X/Y」 の形式で表示 さ れます。 「X」 は利用可能な ラ イ セ ン ス数であ り 、 「Y」 は登録 さ れてい る ラ イ セ ン スの合計数です。 ラ イ セ ン ス数は、 セ ンサー管理画面の [セグ メ ン ト 一覧] タ ブ で も確認で き ます。
2. ラ イ セ ン ス購入後にお客様に送付 さ れる ラ イ セ ン スキーを、 [ラ イ セ ン スキーの追加]
に入力 し ます。
3. を ク リ ッ ク し ます。
登録 し た ラ イ セ ン スキー と 利用で き る セグ メ ン ト ラ イ セ ン スの数が表示 さ れます。
4. 登録 し た ラ イ セ ン スキーの終了日を、 備考欄に64文字以内で入力 し ます。
ヒント
• ラ イ セ ン スキーの終了日は、 ラ イ セ ン スキー と と も にお客様に通知 さ れます。
5. [OK] ボ タ ン を ク リ ッ ク し ます。
ラ イ セ ン スが追加 さ れ、 利用可能な ラ イ セ ン ス数が更新 さ れます。
ラ イ セ ン ス を追加登録する
ネ ッ ト ワー ク構成の変更な ど で、 管理する セグ メ ン ト 数が増えた場合は、 不足 し ている分のセ グ メ ン ト ラ イ セ ン スの購入が必要です。 ラ イ セ ン ス購入後にお客様に送付 さ れる ラ イ セ ン ス キーを、 ” ラ イ セ ン ス を新規登録する”の手順に従っ て登録 し て く だ さ い。
ヒント
• 新 し く 登録 し た ラ イ セ ン スキーが上位に追加 さ れて、 表示 さ れます。