Symantec AntiVirus の設定

C H A P T E R

29

Symantec AntiVirus

の設定

Symantec AntiVirus エージェントを MARS でレポートデバイスとしてイネーブルにするためには、

Symantec System Center コンソールをレポートデバイスとして指定する必要があります。Symantec

System Center コンソールはモニタ対象の AV エージェントからアラートを受信し、このアラートを

SNMP 通知として MARS に転送します。

MARS が SNMP 通知を受信したとき、通知内の送信元 IP アドレスは、転送した Symantec System

Center コンソールではなく、イベントのトリガー元である AV エージェントの IP アドレスです。この

ため、イベントをトリガーする可能性のある各 AV エージェントのホスト定義が MARS に必要です。 これらの定義は、Symantec System Center コンソールのデバイス定義のサブコンポーネントとして追 加されます。

MARS アプライアンスは、AV エージェントがアラートを生成するときに AV エージェントを検出する

ので、手動で AV エージェントを定義する必要はありません。MARS はアラートを解析して、AV エー ジェントのホスト名を識別したり、ホスト OS（オペレーティングシステム）を検出したりします。

MARS はこの情報を使用して、定義されていないエージェントを Symantec System Center コンソール

の子として追加します。Symantec System Center コンソールは Generic Windows（すべての

Windows）または Generic（Unix または Linux）オペレーティングシステム値を持つホストとなりま

す。Symantec System Center コンソールを定義する必要はありますが、各エージェントを定義する必

要はありません。検出された AV エージェントのデフォルトのトポロジ表現はクラウド内にあります。

（注） 未知の AV エージェントから送信された最初の SNMP 通知は、Symantec System Center コンソールか ら送信されたように認識されます。MARS はこの通知を解析し、検出済みの設定を使用して、

Symantec System Center コンソールの子エージェントを定義します。このエージェントが定義される

と、以降のすべてのメッセージは AV エージェントから送信されたように認識されます。 4.2.1 よりも前のリリースでは、各エージェントの追加を手動で行うか、エクスポートされたエージェ ントファイル（「AntiVirus エージェントリストのエクスポート」（P.29-7）で定義）を使用して行う必 要がありました。 リリース 4.2.1 以降では、MARS アプライアンスは AV エージェントがアラートを生 成したときに AV エージェントを検出します。 Symantec AntiVirus 統合を設定する作業は、次の 2 つです。 • 「イベントを MARS アプライアンスにパブリッシュするための AV サーバの設定」（P.29-2） • 「MARS へのデバイスの追加」（P.29-8） また、次の作業を行って、MARS でエージェントリストの構築を効率よく実行できます。 • 「AntiVirus エージェントリストのエクスポート」（P.29-7）

イベントを

MARS

アプライアンスにパブリッシュするため

の

_AV

サーバの設定

イベントを MARS にパブリッシュするように AV サーバを設定する手順は、次のとおりです。

ステップ 1 Symantec AV が実行されている Windows サーバにログインします。

ステップ 2 Local Controller を有効な SNMP トラップの宛先として指定するために、[Administrative Tools] > [Services] > [SNMP Service] > [Traps] > [Trap destinations] の順にクリックします。

ステップ 3 [Trap Destination] ページで、Local Controller の IP アドレスを入力し、[OK] をクリックして、開いて いるウィンドウをすべて閉じます。

ステップ 4 [Start] > [All Programs] > [Symantec System Center Console] の順にクリックします。 ステップ 5 [Symantec System Center] ウィンドウで、[System Hierarchy] をクリックします。

ステップ 6 [System Hierarchy] で、該当するサーバグループの名前を右クリックし、設定されたパスワードを入

力してサーバグループのロックを解除します。

サーバのロックを解除すると、サーバを設定できる状態になります。

図 29-1 Symantec サーバのロック解除

ステップ 7 SNMP トラップを MARS に送信するように Symantec サーバ（AMS-Alert Management System）を設 定します。ロックを解除したサーバグループの名前を右クリックし、[All Tasks] > [AMS] >

図 29-2 Symantec AV の AMS

ステップ 8 [Alert Action] のそれぞれで [Send SNMP Trap] を選択してから、[Configure] をクリックします。

図 29-4 Symantec AV の Send SNMP Trap

ステップ 10 ステップ 3で定義したように、SNMP トラップの送信先の Local Controller を選択し、[Next] をクリッ クして [Action Message] ウィンドウを表示します。 ステップ 11 次の情報に従って、[Alert message] リストにアラートパラメータを追加します。 図 29-5 Symantec AV の Action Msg MARS が AV トラップを解析するためには、次の必須フィールドに入力する必要があります。これら のフィールドが任意のフィールドの間にある場合は、必須フィールドを順に定義してから、任意の フィールドを定義する必要があります。

（注） MARS アプライアンスモデル 25、55、110、210、GC2 では、アクションメッセージに

CR/LF（Enter キー）を追加する必要はありません。

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time >

• Action: <Actual Action > • Description: <Description > （注） この順序が必要なのは、必須のフィールドがアトリビュートのリストの最初に表示されない場 合にそのフィールドを MARS が正しく解析できないほど長い任意のフィールドがいくつかあ るためです。 次の任意のフィールドは、必須フィールドをすべて定義した後で定義できます。 • User: <User >

• Virus Name: < Virus Name > • File Path: <File Path > • Severity: <Severity > • Source: <Source >

次のリストは、トラップタイプおよび使用可能なフィールドの完全なリストを示しています。 Alert: Virus Found

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Action: <Actual Action > • Severity: <Severity > • Source: <Source > • File Path: <File Path > • Logger: <Logger >

• Requested Action: < Requested Action > • User: <User >

• Virus Name: <Virus Name > Alert: Virus Definition File Update

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time >

• Description: <Description > • Severity: <Severity > • Source: <Source >

Alert: Symantec AntiVirus Startup/Shutdown • Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time >

• Description: <Description > • Severity: <Severity > • Source: <Source > Alert: Scan Start/Stop

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date > • Time: <Time > • Severity: <Severity > • Source: <Source > • Source: <Source > • Logger: <Logger > • User: <User > Alert: Scan Start/Stop

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time >

• Description: <Description > • Severity: <Severity > • Source: <Source > • Logger: <Logger > Alert: Default Alert

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time > • Severity: <Severity > • Source: <Source >

• Failed Alert: <Failed Alert > Alert: Configuration Change

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date >

• Time: <Time > • Severity: <Severity > • Source: <Source >

• Failed Alert: <Failed Alert > Alert: Configuration Change

• Alert: <Alert Name >

• Computer: <Computer Name > • Date: <Date > • Time: <Time > • Description: <Description > • Severity: <Severity > • Source: <Source > ステップ 12 アラートイベントごとにステップ 8 ~ステップ 11を繰り返します。

AntiVirus

エージェント

リストのエクスポート

MARS は、Symantec System Center に対して報告を行う AntiVirus エージェントのリストを自動的に 検出できますが、Symantec AntiVirus クライアントおよびエージェントのリストを CSV ファイル

法は、エージェントを手動で指定した場合よりも、作業時間がはるかに短くなります。

CSV ファイルを生成する手順は、次のとおりです。

ステップ 1 [View] > [Default Console View] の順に選択して、CVS ファイルが [Console Default View] に基づい て生成されるようにします。 ステップ 2 エクスポートするサーバの名前を右クリックして [Export List] を選択し、カンマ区切りのテキスト （*.csv）ファイルとして保存します。 ステップ 3 このファイルを、MARS アプライアンスがアクセスできる FTP サーバにコピーします。 このファイルは、HTML インターフェイス内に AntiVirus エージェントを追加するときに使用します。

MARS

へのデバイスの追加

エージェントを指定する前に、Symantec System Center コンソールを MARS に追加する必要がありま す。すべての AntiVirus エージェントは通知を Symantec System Center コンソールに転送し、

Symantec System Center コンソールは SNMP 通知を MARS に転送します。Symantec System Center

コンソールを定義したら、デバイスをアクティブにします。MARS はその Symantec System Center コ ンソールで管理されるエージェントを検出できます。ただし、エージェントは手動で追加することもで きます。

ヒント Symantec AntiVirus の場合、Symantec エージェントのホスト名（AV クライアントのコンピュータ名）

はイベントデータの [Reported User] カラムに表示されます。したがって、このエージェントに関連す るクエリー、レポート、規則は [Reported User] 値に基づいて定義することができます。

ホストおよびアプリケーションの設定情報を追加する手順は、次のとおりです。

ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 新しいホストでは [Add SW Security apps]、既存のホストで [Add SW security apps] を [Device Type]

リストから選択します。 ステップ 3 新しいホストを追加するために、デバイスの名前と IP アドレスを入力します。 ステップ 4 [Apply] をクリックします。 ステップ 5 [Reporting Applications] タブをクリックします。 ステップ 6 [Select Application] リストから、次の値のいずれかを選択します。 • Symantec AntiVirus 9.x • Symantec AntiVirus 10.x ステップ 7 [Add] をクリックして、エージェントを追加します。 ステップ 8 次のいずれかを実行します。 • 変更内容を保存し、AntiVirus エージェントが自動的に検出されるようにする場合は、[Submit] を クリックし、[Done] をクリックします。 • エクスポートされたシードファイルを使用してエージェントを追加する場合は、「CSV ファイルか らのエージェントの追加」（P.29-9）の手順に進みます。

• 単一のエージェントを手動で追加するには、「手動でのエージェントの追加」（P.29-9）の手順に進 みます。

手動でのエージェントの追加

MARS はエージェントを自動的に検出できます。また、エージェントを一度に 1 つずつ追加したり、 CSV ファイルを使用して一括して追加したりすることも可能です（「CSV ファイルからのエージェン トの追加」（P.29-9）を参照）。ここでは、1 つのエージェントを手動で追加する方法を説明します。 エージェントを定義すると、検出処理が高速になるという見返りが得られますが、この作業は必須では ありません。 エージェントを手動で追加する手順は、次のとおりです。 ステップ 1 [Add Agent] をクリックします。 ステップ 2 既存のデバイスを選択するか、[Add New] をクリックします。 ステップ 3 新しいデバイスに対しては、次の情報を入力します。 • [Device Name]：このデバイスの DNS エントリ。 • [Reporting IP]：ログをコンソールに送信するためにエージェントが使用する IP アドレス。 ステップ 4 [Interfaces] リストで、エージェントが実行されているホストにインストールされた各インターフェイ スの IP アドレスおよびネットマスク値を指定します。 MARS はインターフェイス情報を使用して攻撃パスを計算します。 ステップ 5 [Submit] をクリックします。

CSV

ファイルからのエージェントの追加

「AntiVirus エージェントリストのエクスポート」（P.29-7）の定義に従って、Symantec AV サーバで管 理されるエージェントのリストを含む CSV ファイルを生成できます。ファイルを生成したら、この ファイルを使用して、Symantec AV サーバの子モジュールとして MARS Web インターフェイスにエー ジェントリストをインポートできます。 （注） それ以外の方法としては、MARS でエージェントを自動的に検出したり（デフォルト）、エージェント を一度に 1 つずつ追加したりする方法があります（「手動でのエージェントの追加」（P.29-9）を参照）。 AV エージェントリストをインポートする手順は、次のとおりです。 ステップ 1 [Load From CSV] をクリックします。 ステップ 2 FTP サーバ情報と CSV（カンマ区切り形式）ファイルの場所を入力します。 ステップ 3 [Submit] をクリックします。