Network Security Platform 6.0 管理ドメイン コンフィグレーション ガイド

McAfee

®

ネットワーク保護

業界トップの侵入防止ソリューション

McAfee® Network Security Platform

Network Security Manager

著作権

Copyright © 2001 - 2009 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分についても、McAfee, Inc.、または供給業者あるいは関連会社の書面による許可なしには、 複製、送信、複写、検索システムへの格納、他言語への翻訳、あるいはいかなる形態による使用も禁止されています。

商標

ActiveSecurity、アクティブセキュリティ、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、E-Policy Orchestrator、イーポリシー・オーケストレイター、 GroupShield、グループシールド、IntruShield、McAfee、マカフィー、NetShield、ネットシールド、SpamKiller、VirusScan、WebShield、ウェブシールドは米国法人 McAfee, Inc. またはその関係会社の登録商標です。McAfee ブランドの製品は赤を基調としています。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。 ライセンス情報と特許情報 ライセンス条項 お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよ くお読みください。どのような種類のライセンスを取得したか不明である場合は、販売およびその他関連のライセンス証書を参照するか、ソフトウェア パッケージに含まれてい る注文書または購入製品の一部として個別に受け取った文書 (ブックレット、製品 CD のファイル、またはソフトウェア パッケージをダウンロードした Web サイトから入手でき るファイル) を確認してください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返品いただければ、 所定の条件を満たすことによりご購入額全額をお返しいたします。 帰属 本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります。

* OpenSSL Toolkitで使用するために OpenSSL Project によって開発されたソフトウェア (http: //www.openssl.org/)。* Eric A. Young によって記述された暗号化ソフトウェアおよ び Tim J. Hudson に記述されたソフトウェア。* ユーザが特定のプログラムまたはその一部をコピー、修正、再配布したり、そのソース コードにアクセスを許諾する GNU GPL (General Public License) またはその他の同様のフリー ソフトウェア ライセンス下のユーザに対して、その他の権利において、使用許諾 (または二次使用許諾) されているいくつ かのソフトウェア プログラム。GPL では、ソフトウェアを実行可能なバイナリ形式で配布する場合に、そのソースコードも一緒に提供することが定められています。本製品に GPL で配布されているソフトウェアが含まれている場合、そのソースコードが製品 CD に収録されています。この使用許諾契約で認められた権利を超えて、ソフトウェア プログラム を使用、コピーまたは変更する権利を McAfee が付与することを無償ソフトウェア ライセンスが義務付けている場合は、この契約にある権利と制限より優先されます。* Henry Spencer によって作成されたソフトウェア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. * Robert Nordier によって作成されたソフトウェア。Copyright (C) 1996-7 Robert Nordier. * Douglas W. Sauder によって作成されたソフトウェア。* Apache Software Foundation (http://www.apache.org/) に開発されたソフトウェア。本ソフトウェアの使用許諾 条件については、www.apache.org/licenses/LICENSE-2.0.txt を参照。* International Components for Unicode ("ICU") Copyright (C) 1995-2002 International Business Machines Corporation and others. * CrystalClear Software, Inc. によって開発されたソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. * FEAD (R) Optimizer (R) technology, Copyright Netopsystems AG, Berlin, Germany. * Outside In (R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. および/または Outside In (R) HTML Export, (C) 2001 Stellent Chicago, Inc. * Thai Open Source Software Center Ltd. および Clark Cooper が著作権を所有するソフトウェア。(C) 1998, 1999, 2000. * Expat maintainers が著作権を所有するソ フトウェア。* The Regents of the University of California が著作権を所有するソフトウェア。(C) 1996, 1989, 1998-2000. * Gunnar Ritter が著作権を所有するソフトウェア。* Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A が著作権を所有するソフトウェア。(C) 2003. * Gisle Aas が著作権を所有するソフトウェア。(C) 1995-2003. * Michael A. Chase が著作権を所有するソフトウェア。(C) 1999-2000. * Neil Winton が著作権を所有するソフトウェア。(C) 1995-1996. * RSA Data Security, Inc. が著 作権を所有するソフトウェア。(C) 1990-1992. * Sean M. Burke が著作権を所有するソフトウェア。(C) 1999, 2000. * Martijn Koster が著作権を所有するソフトウェア。(C) 1995. * Brad Appleton が著作権を所有するソフトウェア。(C) 1996-1999. * Michael G. Schwern が著作権を所有するソフトウェア。(C) 2001. * Graham Barr が著作権を所有するソフトウェ ア。(C) 1998. * Larry Wall および Clark Cooper が著作権を所有するソフトウェア。(C) 1998-2000. * Frodo Looijaard が著作権を所有するソフトウェア。(C) 1997. * Python Software Foundation が著作権を所有するソフトウェア。Copyright (C) 2001, 2002, 2003. 本ソフトウェアの使用許諾条件については、www.python.org を参照。* Beman Dawes が著作権を 所有するソフトウェア。(C) 1994-1999, 2002. * Andrew Lumsdaine、Lie-Quan Lee、Jeremy G. Siek によって作成されたソフトウェア。(C) 1997-2000 University of Notre Dame. * Simone Bordet と Marco Cravero の著作権で保護されているソフトウェア (C) 2002. * Stephen Purcell の著作権で保護されているソフトウェア (C) 2001. * Indiana University Extreme! Lab 開発のソフトウェア (http://www.extreme.indiana.edu/) * International Business Machines Corporation およびその関係会社が著作権を所有するソフトウェア (C) 1995-2003. * カリフォルニア大学バークレー校によって開発されたソフトウェア。* Ralf S. Engelschall <[email protected]> によって mod_ssl プロジェクト

(http://www.modssl.org/) で使用するために開発されたソフトウェア。* Kevlin Henney が著作権を所有するソフトウェア。(C) 2000-2002. * Peter Dimov および Multi Media Ltd. が 著作権を所有するソフトウェア。(C) 2001, 2002. * David Abrahams が著作権を所有するソフトウェア。(C) 2001, 2002. 詳細については、http://www.boost.org/libs/bind/bind.html を 参照。* Steve Cleary、Beman Dawes、Howard Hinnant および John Maddock の著作権で保護されているソフトウェア (C) 2000. * Boost.org の著作権で保護されているソフトウェ ア (C) 1999-2002. * Nicolai M. Josuttis の著作権で保護されているソフトウェア (C) 1999. * Jeremy Siek の著作権で保護されているソフトウェア (C) 1999-2001. * Daryle Walker の 著作権で保護されているソフトウェア (C) 2001. * Chuck Allison および Jeremy Siek の著作権で保護されているソフトウェア (C) 2001, 2002. * Samuel Krempp の著作権で保護さ れているソフトウェア (C) 2001. アップデート、ドキュメント、改定履歴については http://www.boost.org を参照してください。* Doug Gregor ([email protected]) の著作権で保 護されているソフトウェア (C) 2001, 2002. * Cadenza New Zealand Ltd. の著作権で保護されているソフトウェア (C) 2000. * Jens Maurer の著作権で保護されているソフトウェア (C) 2000, 2001. * Jaakko Jの著作権で保護されているソフトウェア (C) 1999, 2000. * Ronald Garcia の著作権で保護されているソフトウェア (C) 2002. * David Abrahams、Jeremy Siekと Daryle Walker の著作権で保護されているソフトウェア (C) 1999-2001. * Stephen Cleary ([email protected]) の著作権で保護されているソフトウェア (C) 2000. * Housemarque Oy <http://www.housemarque.com> の著作権で保護されているソフトウェア (C) 2001. * Paul Moore の著作権で保護されているソフトウェア (C) 1999. * Dr. John Maddock の著作権で保護されているソフトウェア (C) 1998-2002. * Greg Colvin と Beman Dawes の著作権で保護されているソフトウェア (C) 1998, 1999 .* Peter Dimov の著作 権で保護されているソフトウェア (C) 2001, 2002. * Jeremy Siek と John R. Bandela の著作権で保護されているソフトウェア (C) 2001. * Joerg Walter と Mathias Koch の著作権 で保護されているソフトウェア (C) 2000-2002. * Carnegie Mellon University の著作権で保護されているソフトウェア (C) 1989, 1991, 1992. * Cambridge Broadband Ltd. の著作権 で保護されているソフトウェア (C) 2001-2003 . * Sparta, Inc. の著作権で保護されているソフトウェア (C) 2003-2004. * Cisco, Inc. および Information Network Center of Beijing University of Posts and Telecommunications の著作権で保護されているソフトウェア (C) 2004. * Simon Josefsson の著作権で保護されているソフトウェア (C) 2003. * Thomas Jacob の著作権で保護されているソフトウェア (C) 2003-2004. * Advanced Software Engineering Limited の著作権で保護されているソフトウェア (C) 2004. * Todd C. Miller の著 作権で保護されているソフトウェア (C) 1998. * The Regents of the University of California の著作権で保護されているソフトウェア (C) 1990, 1993. Berkeley に Chris Torek によっ て寄贈されたソフトウェアから生成したコードを含む。

目次

まえがき ... v

McAfee Network Security Platform について ... v

本書について ... v 対象読者 ...vi 本書の表記規則...vi 関連資料 ...vii テクニカル サポートの連絡先 ... viii

第 1 章 管理ドメインの設定... 1

子ドメイン... 1

第 2 章 管理ドメインの設定と管理 ... 4

管理ドメインの詳細情報の表示... 4 管理ドメインの管理 ... 4 管理ドメインの作成 ... 4 子ドメイン構成の編集 ... 7 ルート管理ドメイン名の変更 ... 9 管理ドメインの削除 ... 9

第 3 章 ユーザとユーザの役割の管理 ... 10

ユーザの管理 ... 10 ユーザの追加 ... 11 ユーザの編集 ... 13 デフォルトの管理者の変更... 13 ユーザの削除 ... 14 ユーザへの役割の割り当て... 14 役割の定義... 15 Super User 権限 ... 16 ユーザの役割の管理 ... 17 役割の追加... 17 自身のユーザ アカウント情報の表示 ... 25

第 4 章 システム情報ログの管理... 26

マネージャ アクティビティ ログの表示とエクスポート... 26 ログ情報の表示 ... 27 ログ情報のエクスポート ... 28 ユーザ アクティビティ監査の生成 ... 28 長時間実行されているプロセスの管理 ... 31 長時間実行されているプロセスの表示... 32 McAfee からのメッセージの表示 ... 32

第 5 章 障害通知のセットアップ... 35

障害通知の詳細の表示 ... 35 SNMP サーバへの障害情報の転送 ... 36 SNMP 転送の設定の変更または削除 ... 38 Syslog サーバへの障害情報の転送 ... 39 障害通知の共通設定 ... 42 電子メールまたはページャーへのアラートの送信 ... 43 障害通知のスクリプト パラメータの指定 ... 45

索引 ... 47

まえがき

以下では、本製品について簡単に説明し、本書の内容および構成について説明します。ま た、本書をサポートするマニュアルおよび McAfee テクニカル サポートへの連絡方法につ いても説明します。

McAfee Network Security Platform について

McAfee® _{Network Security Platform (旧 McAfee}® _IntruShield®_{) は、大企業、電話会社、サー}

ビス プロバイダ ネットワーク向けの最も包括的で高性能な、拡張可能なネットワーク ア クセス制御 (NAC)、ネットワーク侵入防御システム (IPS) および Network Threat Behavior Analysis (NTBA) を提供します。スパイウェアや既知のゼロデイ攻撃や暗号化による攻撃に 対して、比類なき保護対策を実現します。

McAfee®

Network Threat Behavior Analysis アプライアンスは、ネットワーク上で送受信さ れている NetFlow 情報をリアルタイムに分析し、ネットワーク トラフィックを監視します。 McAfee Network Security Sensor、NAC センサ、NTBA アプライアンスをインストールし て単一のマネージャで管理することで、NAC と IPS の機能を補完することができます。

本書について

『Administrative Domain Configuration Guide』 (管理ドメイン コンフィグレーション ガイド) で は、管理ドメインとその他関連セットアップを維持するため、McAfee® Network Security Manager の使用方法について、概念上および手順上の情報を説明します。本書では、管理 ドメインの詳細について述べています。管理ドメインの概念については、『Getting Started Guide』 (スタート ガイド) を参照してください。 以下は、本書で説明するタスクの一部です。

• Network Security Platform インストール時のルート ドメインと子管理ドメインの 管理

• 管理ドメインの攻撃フィルタの管理

• 管理ドメインのアラートおよび障害通知セットアップの管理 • 管理ドメインのユーザの管理

• 管理ドメインの McAfee® Network Security Sensor に TACACS+ サーバを設定 • 管理ドメインでの McAfee® Network Security Sensor (センサ) の NMS ユーザお

よび IP アドレス管理 本書では、McAfee®

Network Security Manager (マネージャ) の [Configuration] (設定) ペー ジで上述の操作を行う方法について説明します。[Configuration] (設定) ページとこのペー ジの使用方法の詳細については、『Manager Configuration Basics Guide』 (マネージャ コンフィ グレーション ベーシック ガイド) を参照してください。

McAfee® Network Security Platform 6.0 まえがき

対象読者

本書は、マネージャとセンサのインストール、設定、メンテナンスを行うネットワークの 専門家およびメンテナンス担当者を対象としています。IPS 関連のタスク、タスク同士の 関係、特定のタスクを実行するコマンドなどに精通している必要はありません。

本書の表記規則

本書は次の表記規則に従っています。 規則 例 ユーザ インターフェース (UI) として表示 されるフィールド、ボタン、タブ、オプショ ン、選択項目、コマンドなどは Arial Narrow の太字で表記しています。 [Properties] (プロパティ) タブの [Service] (サービ ス) フィールドに、必要なサービスの名前を指定 します。 メニュー項目やグループを順番に選択す るときの手順を表します。

[My Company]、[Admin Domain] (管理ドメイン)、

[Admin Domain] (サマリ) の順に選択します。 操作手順を表す場合には、番号付きの箇条 書きを使用しています。 1. [Configuration] (設定) タブで [Backup] (バック アップ) をクリックします。 キーボードのキーの名前を示す場合に、大 文字を使用しています。 ENTER キーを押します。 ユーザがそのまま入力する構文、キーワー ド、値は Courier New フォントで表記して います。 次のコマンドを入力します。setup と入力して ENTER キーを押します。 特定の状況や環境に基づいて入力する必 要のある可変情報は、イタリック体 で表記 しています。 次のコマンドを入力します。センサの IP アドレ スを入力して ENTER キーを押します。 必須で入力するパラメータは不等号括弧 で囲んであります。

set Sensor ip <A.B.C.D>

操作を行う前に必ず参照しなければなら ない情報や、データの削除など、操作を行 うと問題が発生することを警告する場合 に、このマークを使用しています。 警告: 電気機器を取り扱う場合に怪我や事故に 繋がるような操作や行為を記述する場合 に、このマークを使用しています。 危険: 関連する情報を示す場合に、このマークを 使用しています。 注意:

関連資料

次のマニュアルおよびオンライン ヘルプは、本書の関連資料です。これらの資料の詳細に ついては、『Quick Tour』 (クイック ツアー) を参照してください。 • Quick Tour (クイック ツアー) • Installation Guide (インストール ガイド) • Upgrade Guide (アップグレード ガイド) • Getting Started Guide (スタート ガイド) • IPS Deployment Guide (IPS 配備ガイド)

• Manager Configuration Basics Guide (マネージャ コンフィグレーション ベーシッ ク ガイド)

• I-1200 Sensor Product Guide (I-1200 センサ製品ガイド) • I-1400 Sensor Product Guide (I-1400 センサ製品ガイド) • I-2700 Sensor Product Guide (I-2700 センサ製品ガイド) • I-3000 Sensor Product Guide (I-3000 センサ製品ガイド) • I-4000 Sensor Product Guide (I-4000 センサ製品ガイド) • I-4010 Sensor Product Guide (I-4010 センサ製品ガイド)

• M-1250/M-1450 Sensor Product Guide (M-1250/M-1450 センサ製品ガイド) • M-1250/M-1450 Quick Start Guide (M-1250/M-1450 クイック スタート ガイド) • M-2750 Sensor Product Guide (M-2750 センサ製品ガイド)

• M-2750 Quick Start Guide (M-2750 クイック スタート ガイド)

• M-3050/M-4050 Sensor Product Guide (M-3050/M-4050 センサ製品ガイド) • M-3050/M-4050 Quick Start Guide (M-3050/M-4050 クイック スタート ガイド) • M-6050 Sensor Product Guide (M-6050 センサ製品ガイド)

• M-6050 Quick Start Guide (M-6050 クイック スタート ガイド) • M-8000 Sensor Product Guide (M-8000 センサ製品ガイド) • M-8000 Quick Start Guide (M-8000 クイック スタート ガイド)

• Gigabit Optical Fail-Open Bypass Kit Guide (Gigabit 光フェールオープン バイパス キット ガイド)

• Gigabit Copper Fail-Open Bypass Kit Guide (Gigabit 銅線フェールオープン バイ パス キット ガイド)

• 10 Gigabit Fail-Open Bypass Kit Guide (10 Gigabit フェールオープン バイパス キット ガイド)

• M-8000/M-6050/M-4050/M-3050 Slide Rail Assembly Procedure (M-8000/M-6050/M-4050/M-3050 スライド レールの組立て手順)

• M-2750 Slide Rail Assembly Procedure (M-2750 スライド レールの組立て手順) • M-series DC Power Supply Installation Procedure (M シリーズ DC 電源装置設置手

順)

• Manager Server Configuration Guide (マネージャ サーバ コンフィグレーション ガイド)

• CLI Guide (CLI ガイド)

• Device Configuration Guide (デバイス コンフィグレーション ガイド) • IPS Configuration Guide (IPS コンフィグレーション ガイド)

McAfee® Network Security Platform 6.0 まえがき

• Integration Guide (インテグレーション ガイド)

• System Status Monitoring Guide (システムの状態の監視ガイド) • Reports Guide (レポート ガイド)

• Custom Attack Definitions Guide (カスタム攻撃定義ガイド)

• Central Manager Administrator's Guide (セントラル マネージャ管理者ガイド) • Best Practices Guide (考慮事項ガイド)

• Troubleshooting Guide (トラブルシューティング ガイド)

• Special Topics Guide—In-line Sensor Deployment (関連トピック ガイド － In-line センサ配備)

• Special Topics Guide—Sensor High Availability (関連トピック ガイド － 高可用性 センサ)

• Special Topics Guide—Virtualization (関連トピック ガイド － 仮想化)

• Special Topics Guide—Denial-of-Service (関連トピック ガイド － サービス拒否) • NTBA Appliance Administrator's Guide (NTBA アプライアンス管理者ガイド) • NTBA Monitoring Guide (NTBA 監視ガイド)

• NTBA Appliance T-200 Quick Start Guide (NTBA アプライアンス T-200 クイック スタート ガイド)

• NTBA Appliance T-500 Quick Start Guide (NTBA アプライアンス T-500 クイック スタート ガイド)

テクニカル サポートの連絡先

テクニカルサポートの連絡先及びサポート内容については、購入サポート窓口までお問い 合わせください。

オンライン

弊社テクニカル サポート: http://mysupport.mcafee.com 登録ユーザの方は、最新のドキュメントや技術情報を入手したり、McAfee KnowledgeBase にいつでもアクセスすることができます。また、技術的な問題をオンラインで解決したり、 ソフトウェアのダウンロードやシグネチャのアップデートを行うこともできます。

電話によるサポート

テクニカル サポートの受付時間は米国太平洋標準時の月曜日から金曜日の午前 7 時から 午後 5 時までです。Gold または Platinum サービスを契約している場合には、曜日時間に かかわらずサポートを受けることができます。世界各国の電話連絡先については、 http://www.mcafee.com/us/about/contact/index.html を参照してください。 注意: McAfee テクニカル サポートの受付時に、承認番号とシステムのシリアル番号 が必要になります。また、オンラインの問い合わせでは、ユーザ名とパスワードを 入力する必要があります。

第 1 章

管理ドメインの設定

管理ドメインは、McAfee®

Network Security Platform のリソースをグループ化するために 使用するツールです。これにより、リソースの管理を特定の McAfee Network Security Platform ユーザに委譲することができます。管理ドメインは、他の管理ドメイン、デバイ スおよびデバイスのインターフェースを収容することができます。

管理ドメインでは、Network Security Platform システム全体を管理する権限を作成し、適 切なエンティティ (事業単位、地域、IT 部門、セキュリティ担当) にこの権限を付与するこ とにより、日常的なセキュリティの運用を委譲することができます。 最上位の管理ドメインをルート管理ドメインといいます。ルート管理ドメインに対する Super User アクセス権を持つユーザは、管理ドメイン全体およびドメイン内のすべてのリ ソースを制御できます。また、すべての子ドメインとシステム内のすべてのセキュリティ リソースを制御できます。たとえば、組織内の部門に管理を委譲するには、ルートまたは 他の親ドメインで、各部門を表すサブドメインを作成します。これらのサブドメインを、 子管理ドメインまたは子ドメインといいます。 McAfee®

Network Security Manager では、管理ドメイン レベルで以下を実行できます。 • 管理ドメインの設定と管理 (4 ページ):管理ドメインの詳細を表示し、子管理ドメ インを作成できます。 • ユーザとユーザの役割の管理 (10 ページ): さまざまな管理機能を果たすユーザを 作成することができます。 • システム情報ログの表示 (26 ページ): 権限のある管理者が監査情報およびログを 作成して、システム情報を参照することができます。 • 障害通知のセットアップ (35 ページ): SNMP サーバや syslog サーバなどの他社製 のコンピュータに、システム障害情報を送信できます。 図 1: [Admin Domain] (管理ドメイン) タブ

子ドメイン

子ドメインを作成することにより、サブドメイン環境を把握している部門に、そのサブド メイン内のMcAfee®

Network Security Sensor の監視や設定を委譲することができます。必 ずしも管理ドメインを子ドメインに分割する必要はありませんが、組織内の複数のユーザ にリソースを管理する権限を委譲する場合には、子ドメインを作成してください。管理を 委譲するには、子管理ドメインとユーザ アカウントを作成して、各ユーザに役割を割り当

McAfee® Network Security Platform 6.0 管理ドメインの設定

てます。役割には、子管理ドメイン内のリソースに対してユーザが実行できる操作が定義 されています。

たとえば、3 台の McAfee Network Security Sensor (センサ) を管理する場合、子ドメイン を作成し、1 台のセンサから単一のポート (1A) をそのドメインに割り当てます。ユーザを 作成して、そのドメインのみに対する Super User 権限を割り当てることができます。この ユーザにはルート ドメインに対する役割は割り当てられていないため、ルート ドメインの リソースの参照や設定は許可されません。子ドメインの Super User には、割り当てられた インターフェースの管理が委譲されます。 注意: 役割の詳細については、15 ページの「役割の定義」を参照してください。 ユーザの役割によってリソース ツリーの表示が決定され、許可されたリソースだけがツ リーに表示されます。下の図で、ユーザが HR 管理ドメインの Super User の場合は、リソー ス ツリーの最上位には HR ドメインが表示されますが、ルート管理ドメインとルートの他 の子ドメインは表示されません。 子管理ドメインには、さらに子管理ドメインを作成することができます (下の図の左側では、 HR 子管理ドメインの HR SF 子ドメイン)。子ドメインを持つすべてのドメインを親ドメイン と呼びます。したがって、子ドメインが他の子ドメインの親ドメインになる場合もありま す。子ドメインを作成する場合、他のドメインの親であることを有効または無効にするこ とができます (デフォルトでは有効)。ルート ドメインには常に子ドメインがあります。 図 2: ルート ドメインと子ドメイン － Super User による表示

アイテム 説明 1 ルート管理ドメイン、HR と QA の親ドメイン 2 My Company の子ドメイン、HR SF の親ドメイン 3 HR の子ドメイン 4 My Company の子ドメイン ルートを含め、管理ドメイン ノードの名前は、ドメインの作成時に設定します。先ほどの 例では、HR および QA 管理ドメインはルート ドメインの下位に作成され、HR SF は HR ドメ イン ノードの下位に作成されています。 デフォルトでは、子管理ドメインは親管理ドメインからポリシーを継承します。また、ユー ザは、親ドメインで有効にされている役割と同じ権限を子ドメインで継承します。このた め、親管理ドメインと子管理ドメインの関係を理解することが重要です。 注意: 本書では、名前が設定された管理ドメインをAdmin-Domain-Name として表記して います。上記の図では、ルート管理ドメイン名は、デフォルトのルート管理ドメイ ン名である My Company です。

第 2 章

管理ドメインの設定と管理

管理ドメインから実行できる機能は以下のとおりです。 • 管理ドメインの詳細情報を表示 • 管理ドメインの作成/編集/削除

管理ドメインの詳細情報の表示

[Summary] (サマリ) アクションにより、選択した管理ドメインの現在の設定情報を表示する ことができます。管理ドメインの情報を編集する方法については、7 ページの「子ドメイ ン構成の編集」を参照してください。

注意 1: IPS モードおよび NAC 付き IPS モードでは、[Summary] (サマリ) ページに 2 つの追加フィールド、[Default IPS Policy] (デフォルト IPS ポリシー) および [Default

Reconnaissance Policy] (デフォルトの偵察ポリシー) が表示されます。

注意 2: [Summary] (サマリ) ページの [Default Anomaly Policy] (デフォルトのアノマリ ポリシー) および [Default Worm Policy] (デフォルトのワーム ポリシー) の詳細について は、『NTBA Appliance Administrator's Guide』 (NTBA アプライアンス管理者ガイド) の 「NTBA アプライアンス ポリシーとワーム ポリシー」を参照してください。

管理ドメインの管理

[Admin Domains] (管理ドメイン) アクションを使用して、以下を実行することができます。 • 管理ドメインの作成 (4 ページ) • 子管理ドメイン構成の編集 (7 ページ) • ルート管理ドメイン名の変更 (9 ページ) • 管理ドメインの削除 (9 ページ)

管理ドメインの作成

管理ドメインの作成手順は、ルートの下位の場合でも、ルートの子ドメインの下位の場合 でも同じです。管理ドメインの下位に、子ドメインのレベルを 4 つまで作成することがで きます。子ドメインを作成するときに、McAfee®

Network Security Sensor (センサ) インター フェースの管理を親ドメインからそのドメインに委譲するオプションを設定できます。

作成時にインターフェースの割り当てやセンサの追加を行わない場合は、後からオプショ ンを設定することもできます。7 ページの「子管理ドメイン構成の編集」を参照してくだ さい。

管理ドメインを作成するには

1 リソース ツリーから、子ドメインを追加するドメインを選択し、[Admin Domains] (管理 ドメイン) をクリックします。 図 3: 管理ドメイン リスト 2 [New] (新規作成) をクリックします。 3 必要な情報を入力します。赤いアスタリスク (*) は必須フィールドを示しています。

McAfee® Network Security Platform 6.0 管理ドメインの設定と管理

フィールド 説明

Admin Domain Name (管 理ドメイン名)

ドメインを識別できるように一意の名前を入力します。企 業の場合は、特定のネットワーク セグメント、部門、建物 名などに基づいてドメインを管理することを推奨します (例：HR、Finance、Bldg1、Bldg1-Floor2)。

Contact Person Name (担 当者名) ドメインを管理する担当者名を入力します。この担当者は、 緊急時やドメインについての問い合わせ時に連絡可能な人 にします。 E-mail Address (電子メー ル アドレス) 担当者の電子メール アドレス。 ドメインの作成時に電話番号や住所などの追加情報の入力を選択できます。 以下のフィールドでは、作成する子管理ドメインの制限を設定します。 フィールド 説明

Allow Child Admin Domains? (子管理ドメイ ンを許可しますか?) このチェックボックスを選択する場合、現在作成しているドメ インの管理者が子管理ドメインを作成することができます。 子管理ドメインを作成して子ドメインの追加を許可しない場 合は、ルールの継承により、この子管理ドメインに子ドメイン を作成することはできません。 Allow Devices? (すべての デバイスを許可します か?) このチェックボックスを選択する場合、現在作成しているドメ インの管理者は、物理的にセンサを追加、編集、削除すること ができます。選択しない場合、ドメインでは手順 5 で割り当 てられたインターフェースまたはサブインターフェースだけ が許可されます。 子管理ドメインを作成して物理的にセンサの追加を許可しな い場合は、ルールの継承により、この管理ドメインのすべての 子ドメインに物理的にセンサを追加することはできません。

4 IPS モードおよび NAC 付き IPS モードの場合は、以下の追加フィールドが表示され ます。

フィールド 説明

Default IPS Policy (デフォ ルトの IPS ポリシー) デフォルトの IPS ポリシーが子管理ドメインのリソースに継 承されるように設定します。製品には事前に複数のポリシー が設定されており、さまざまなネットワーク環境に対応して います。 Default Reconnaissance Policy (デフォルトの偵察ポ リシー) デフォルトの偵察ポリシーが子管理ドメインに継承されるよ うに設定します。 5 [Save] (保存) をクリックします。 [Allocated Interfaces] (割り当て済みインターフェース) ページが表示されます。

6 [Allocate] (割り当て) をクリックします。 図 5: [Allocated Resources] (割り当て済みリソース) ページ 7 [Select a Sensor] (センサの選択) ドロップダウン リストからセンサを選択し、子ドメ インにインターフェースまたはサブインターフェースを割り当てます。単一または複 数のセンサからインターフェースまたはサブインターフェースを割り当てることがで きます。 図 6: [Available Interfaces] (使用可能なインターフェース) ページ 8 [Allocate] (割り当て) をクリックします。単一のセンサから同時に選択できるインター フェースは 1 つだけです。 9 上記の手順を繰り返し、必要なインターフェースをすべて割り当てます。 10 [Finish] (終了) をクリックします。 子管理ドメインを追加したドメインのリソース リストの末尾に、作成した子管理ドメ インが表示されます。

子ドメイン構成の編集

[Admin Domains] (管理ドメイン) アクションを使用して、以下を実行することができます。 • 選択したドメインの詳細情報の編集 注意: 自身のノードから編集できるのは、ルート ドメインだけです。ルート ド メインの下位のすべての子ノードは、子ドメインを作成した親ドメインから直 接編集する必要があります。 • 既存の子ドメインへのインターフェースの割り当てまたは削除

McAfee® Network Security Platform 6.0 管理ドメインの設定と管理 親ドメインから子ドメインに追加のセンサ インターフェースを割り当てることが できます。インターフェースは子ドメインの作成時に割り当てることが可能です。 ただし、子ドメインの作成後にインターフェースを追加する場合は、子ドメインを 作成した親ドメインから追加する必要があります。 子管理ドメインからインターフェースを破棄 (削除) することができます。このタス クは、子ドメインを作成した親ドメインから実行する必要があります。子ドメイン からインターフェースを破棄すると、このインターフェースは親ドメインからのみ 制御可能になり、子ドメインからは設定できなくなります。

ドメインの詳細情報の編集または既存の子管理ドメインへのインターフェースの

割り当て/破棄を行うには

1 [Admin-Domain-Name] (管理ドメイン名)、[Admin Domain] (管理ドメイン)、[Admin Domains] (管

理ドメイン) の順に選択して、該当する親ドメインを選択します。

図 7: [Admin Domains] (管理ドメイン) タブ

2 親ドメインの [Admin Domains List] (管理ドメイン リスト) から編集する子ドメインを 選択します。

3 [Edit] (編集) をクリックします。

4 [Edit Admin Domain] (管理ドメインの編集) ページで、必要に応じて全般情報のフィー ルドを編集します。 5 [Next] (次へ) をクリックします。 図 8: [Allocated Interface] (割り当て済みインターフェース) ページ 6 次のいずれかを実行します。 • すでに割り当てられているインターフェースを選択して [Revoke] (破棄) をクリッ クし、子ドメインからインターフェースを削除します。 • センサとインターフェースを選択して [Allocate] (割り当て) をクリックし、子ドメ インに追加のインターフェースを割り当てます。 7 [Finish] (終了) をクリックします。

ルート管理ドメイン名の変更

リソース ツリーやシステム コンフィグレーションのナビゲーション バーに表示される名 前など、ルート ドメインの一部の設定はカスタマイズが可能です。管理ドメイン名をカス タマイズすると、保護対象の環境を適切に維持することができます。

1 [Admin-Domain-Name] (管理ドメイン名)、[Admin Domain] (管理ドメイン)、[Admin Domains] (管

理ドメイン) の順に選択してください。

2 McAfee®

Network Security Manager (マネージャ) の [Admin Domains List] (管理ドメイ ン リスト) ページからルート管理ドメイン (My Company) を選択します。McAfee®

Network Security Central Manager (Central Manager) の場合は、管理ドメインが 1 つ しかないため、その詳細が表示されます。

3 [Edit] (編集) をクリックします。

4 [Admin Domain Name] (管理ドメイン名) を削除し、新しいドメイン名を入力します。

5 [Contact Person Name] (担当者名) をクリアして担当者名を入力します。通常、担当者は

Super User です。 6 [Email Address] (電子メール アドレス) に電子メール アドレスを入力します。 7 必要に応じて全般情報のフィールドのアップデートまたは編集を行います。 8 [Save] (保存) をクリックします。リソース ツリーのルート ドメイン名が MyCompany か ら指定した名前に変更されます。

管理ドメインの削除

既存の管理ドメインを削除するには、以下の手順に従います。

1 [Admin-Domain-Name] (管理ドメイン名)、[Admin Domain] (管理ドメイン)、[Admin Domains] (管

理ドメイン) の順に選択してください。

2 [Admin Domains List] (管理ドメイン リスト) ページから管理ドメインを選択します。

3 [Delete] (削除) をクリックし、確認のために [OK] をクリックします。

注意: センサやインターフェースなどのリソースを持つ管理ドメインの削除は、すべ てのリソースを削除しない限り実行できません。

第 3 章

ユーザとユーザの役割の管理

McAfee®

Network Security Platform では、さまざまな管理機能を果たすユーザを作成する ことができます。これにより、選択したエンティティ (ユーザ/グループ/事業単位) に特定 のドメインのリソースを管理させることができます。

McAfee Network Security Platform 環境でのユーザ管理には、ユーザの作成と権限の付与が あります。ネットワークのセキュリティにおいては、ユーザの作成時に環境が保全される ように慎重に計画する必要があります。ユーザが何らかの操作を実行する前に、McAfee®

Network Security Manager (マネージャ) へのログイン時にすべてのユーザが認証を行う必 要があります。ユーザ名とパスワードは、該当する権限のルールとともにデータベース内 に安全に格納されます。役割と呼ばれるユーザ権限のクラスによって、システムの各ユー ザに許可される操作が決定されます。ユーザがログインすると、マネージャではその役割 に基づいて実行可能な操作が表示されます。役割の詳細については、15 ページの「役割の 定義」を参照してください。役割を設定すると、システムに配備されているすべてのセキュ リティ リソースに対する全般的なアクセスが許可されなくなるため、セキュリティ構成の 整合性を高めることができます。 図 9: [Users] (ユーザ) タブ [User] (ユーザ) タブでは以下のアクションを実行できます。 • ユーザの管理 (10 ページ): ユーザの作成、編集、および削除を行います。 • 役割の割り当て (14 ページ): ユーザに役割を割り当てます。 • 役割の管理 (15 ページ): 既存の管理ドメイン内のユーザに役割を割り当てます。 • マイ アカウントの管理 (25ページ): ログイン ユーザのアカウント情報を表示しま す。

ユーザの管理

[Users] (ユーザ)アクションでは、ユーザの作成、編集、削除を行うことができます。以降で は、これらの機能について説明します。 • ユーザの追加 (11 ページ):新しいユーザを追加します。 • ユーザの編集 (13 ページ): 作成済みのユーザ エントリを編集します。 • 管理者 (Super User) のデフォルト ユーザ名/パスワードの変更 (13 ページ): シス テムを保護するデフォルトのシステム ユーザ名とパスワードを編集します。 • ユーザの削除 (14 ページ):作成したユーザ エントリを削除します。

図 10: ユーザ リスト 注意: [Users] (ユーザ) リストには、現在の管理ドメインおよびその子ドメイン内で 作成されたユーザだけが表示されます。上位の管理ドメインに対する役割が管理者 にあるかどうかに関係なく、このリストには上位の管理ドメインで作成されたユー ザは表示されません。ユーザ名が表示されない場合は、ユーザを作成した上位の管 理ドメインに移動して表示してください。管理ドメインでの表示は、役割によって 異なります。

ユーザの追加

注意: Central Manager でのユーザの追加手順は、以下のマネージャでの手順に類似 しています。 新しいユーザを追加して、ドメインでの役割を割り当てる (オプション) には、以下の手順 に従います。

1 [Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[Users] (ユーザ) の順に選択し

ます。 2 [New] (新規作成) をクリックします。 3 必須フィールドを設定します。* のついたフィールドは必須項目です。 パスワードは 8 文字以上にしてください。パスワードに使用できる文字は以下のとお りです。 アルファベット：大文字 A ～ Z および小文字 a ～ z 数字： 0 1 2 3 4 5 6 7 8 9 32 種類の記号： ~ ` ! @ # $ % ^ & * () _ + - = [ ] { } \ | ; : " ' , . < > ? /

注意: RADIUS または LDAP (Active Directory) 認証が有効な場合は、新しく追加 したユーザで使用する認証の種類を選択する必要があります。

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理 図 11: [User] (ユーザ) ダイアログの追加 4 [Authentication Type] (認証タイプ) で、次のオプションのいずれかを選択します (使用可 能な場合)。 Local (ローカル): マネージャのローカルで認証を行います。 LDAP: LDAP サーバを使用して認証を行います。このオプションを選択した場合は、

[LDAP User DN] (LDAP ユーザ識別名) も入力してください。

[LDAP User DN] (LDAP ユーザ識別名) には、次の形式を使用します。

uid=userName,ou=People,dc=DomainName,dc=com Active Directory を使用する場合は、次の形式を使用します。 [email protected] または cn=userName,ou=People,dc=DomainName,dc=com 有効な DN を使用してください。有効な DN が正確に入力されないと、LDAP 認 証が機能しない場合があります。LDAP サーバの正確な DN については、システ ム管理者に確認してください。 RADIUS: 次の RADIUS 認証プロトコルからいずれかを選択します。このオプション

を選択した場合は、[RADIUS ID] (RADIUS ID) に、RADIUS サーバに対する設定の認 証に使用する有効な RADIUS ID を入力します。 • PAP (パスワード認証プロトコル) を使用するRADIUS • CHAP (チャレンジ ハンドシェイク認証プロトコル) を使用するRADIUS • EAP-MD5 (拡張可能認証プロトコル－MD5) を使用する RADIUS 5 [Save] (保存) をクリックします。中止する場合は [Cancel] (キャンセル) をクリックしま す。

6 次のプロンプトに回答します。「作成したユーザには役割がありません。役割を割り 当てますか?」というプロンプトが表示されます。[OK] をクリックして役割を割り当て ます。役割を割り当てずにユーザを保存する場合は、[Cancel] (キャンセル) をクリック します。ユーザに許可するタスクを決定していない場合は、役割を後で割り当てるこ とができます。 ヒント: ドメインで役割を割り当てる手順については、14 ページの「ユーザへ の役割の割り当て」を参照してください。 7 [Done] (完了) をクリックします。すべてのユーザが表示され、現在のドメインでの役 割が示されます。 8 [Users] (ユーザ)、[Users] (ユーザ) の順に選択すると、新しく追加したユーザを参照でき ます。

ユーザの編集

注意: Central Manager でのユーザの編集手順は、以下のマネージャでの手順に類似 しています。 既存のユーザを編集するには、以下の手順に従います。

1 [Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[Users] (ユーザ) の順に選択し

ます。 2 ユーザを選択します。 3 [Edit] (編集) をクリックします。 4 該当するフィールドの情報を変更します。 5 [Save] (保存) をクリックします。

デフォルトの管理者の変更

以下の手順を実行すると、Super User のデフォルトのユーザ名とパスワードを変更できま す。

1 [Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[Users] (ユーザ) の順に選択し

ます。

2 [User List] (ユーザ リスト) からデフォルトの Super User アカウントを選択します (名

前: Administrator、ログインID: admin)。

3 [Edit] (編集) をクリックします。 4 (オプション) [Login ID] (ログイン ID) に新しいログイン ID を入力します。これにより、 マネージャへのログイン用の名前が変わります。 5 [Password] (パスワード) に新しいパスワードを入力します。これにより、マネージャへ のログイン用のパスワードが変わります。 6 [Confirm Password] (パスワードの確認) にパスワードを再入力します。 7 (オプション) [User Name] (ユーザ名) に新しいユーザ名を入力します。このユーザ名は [User List] (ユーザ リスト) で識別するための名前です。

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理 8 [Email] (電子メール) に有効な電子メール アドレスを入力します。 9 (オプション) その他のフィールドの情報を変更します。 10 [Save] (保存) をクリックして変更を保存し、デフォルトのアカウント情報 (admin/admin123) を破棄します。

ユーザの削除

注意: Central Manager でのユーザの削除手順は、以下のマネージャでの手順に類似 しています。 既存のユーザ アカウントを削除するには、以下の手順に従います。

1 [Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[Users] (ユーザ) の順に選択し

ます。

2 ユーザを選択します。

3 [Delete] (削除) をクリックします。ポップアップ画面に以下のメッセージが表示されま

す。「You are about to permanently delete this record. Do you wish to continue? (この レコードを完全に削除します。操作を続行しますか?) 」 4 ユーザ レコードを削除するには [OK] をクリックします。中止するには [Cancel] (キャン セル) をクリックします。

ユーザへの役割の割り当て

役割の割り当て/削除はいつでも可能です。 注意: 親管理ドメインで役割を割り当てられたユーザは、子ドメインで役割を変更し ない限り、すべての子ドメインで同じ役割を継承します。 ドメイン内でユーザに役割を割り当てるには、以下の手順に従います。

1 [Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[Role Assignments] (役割の割り

当て) の順に選択します。 2 [Role Assignments] (役割の割り当て) テーブルでユーザを選択します。 3 該当するすべてのドメインでユーザの役割の割り当てを表示します。役割を割り当て られていない場合、このフィールドは空白です。 4 [Edit] (編集) をクリックします。 注意 1: どの管理ドメインでユーザを作成しても、すべての管理ドメインで異な る役割を割り当てることができます。作成したドメインより上位の管理ドメイ ンで役割を割り当てる場合は、上位の管理ドメインの管理者が役割を割り当て る必要があります。該当する管理ドメインに対する権限を持つ管理者だけが役 割の付与または削除ができます。 注意 2: 親ドメインと子ドメインで、Super User の役割がユーザに割り当てられ ている場合、ログイン時間でホーム ページからドメインを選択する必要があり

ます。ホーム ページは、このような場合メニュー バー上にドロップダウンを表 示します。 5 [Domain Name] (ドメイン名) ドロップダウン リストから、ユーザに管理権限を与えるド メインを選択します。 6 ユーザに割り当てる役割を選択します。 7 [Save] (保存) をクリックします。

役割の定義

役割は、ユーザが特定の管理ドメインで実行を許可されたアクションのグループです。 Network Security Platform では、ユーザの役割に応じて権限が与えられます。

マネージャにログインすることで、ユーザは自身を認証します。管理ドメインの場合、マ ネージャでユーザを作成して、そのユーザに役割を割り当てることができます。また、子 管理ドメインにユーザを作成して、役割を割り当てることもできます。 役割権限とは、特定の役割を割り当てられたユーザに対して許可されたアクションを指し ます。各役割には役割権限が割り当てられていて、役割権限には読み書き (RW) または読 み書き専用 (RO) の権限があります。たとえば、Reports RW の場合、その役割を持つユー ザがマネージャ内のレポートに対して、読み書きの権限があることを意味します。 管理ドメインとして作成されたユーザは、そのドメイン固有となります。しかし、役割は ドメインを越えてユーザに割り当てることができます。つまり、あるドメインのあるユー ザに役割を割り当てて、該当する子管理ドメインで同じユーザに別の役割を割り当てるこ とができます。

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理

以下の表では、役割の種類を示し、各役割の説明を表示します。

役割 説明

NAC Administrator Network Access Control 環境の管理

IPS Administrator 侵入防御環境の管理

NTBA Administrator Network Threat Behavior Analyzer 環境の管理 Guest Portal Account Manager ローカルの Guest Portal ユーザ アカウントの管理 NOC Operator セキュリティ環境の監視

Report Generator レポートの実行

Security Expert NAC、NTBA および IPS 環境の管理 System Administrator マネージャおよびデバイス リストの管理

ePO Dashboard Data Retriever ePO で Network Security Platform の情報を表示するた めの Network Security Platform から ePO への情報取得 権限

Super User 完全な権限。Super User 自身の管理は、所属するドメ イン内で行う必要があります。

No Role ユーザは、マネージャにログオンできません。これは

ユーザ作成時の初期状態で、どの役割も割り当てられ ていません。

[Roles] (役割) タブ ([Admin Domain] (管理ドメイン)、[Users] (ユーザ)、[Roles] (役割) の順に選

択) には、さまざまなデフォルトの役割が表示され、カスタムの役割を作成できます。 図 12: [Roles] (役割) タブ

カスタムの役割

カスタムの役割をマネージャで作成し、ユーザに割り当てることができます。詳細につい ては、17 ページの「役割の追加」を参照してください。

Super User 権限

Network Security Platform のリソースは Super User アクセス権を持つユーザによって管理 されます。Super User はシステムのすべてのリソースと機能を設定することができます。

マネージャの出荷時に、デフォルトのパスワードで Super User アカウントが 1 つ設定さ れています。

Super User の権限はドメイン境界によって制限されます。ルート ドメインで作成された Super User だけが完全なアクセス権を持ち、子ドメインの Super User は、そのドメイン と下位に追加された子ドメインでのみ Super User 権限を持ちます。

警告: デフォルトの Super User アカウントのユーザ名は「admin」で、パスワードは

「admin123」です。セキュリティを強化するために、Super User のデフォルトのパ

スワードは必ず変更してください。13 ページの「デフォルトの管理者の変更」の手 順を参照してください。 Super User はすべてのレベルで定義することができます。この役割は現在のドメインとそ のすべての子ドメインに適用されますが、親ドメインや同じ階層の他のドメインには適用 されません。

ユーザの役割の管理

[Roles] (役割) アクションを実行すると、既存の管理ドメイン内での役割をユーザに割り当 てることができます。ドメインにユーザを追加するには、役割、つまり権限を適用する必 要があります。これにより、ユーザが実行できる設定操作を制限できます。役割および役 割の種類については、15 ページの「役割の定義」を参照してください。 注意: 役割を割り当てる前にユーザ アクションでユーザを作成する必要があります (11 ページ)。

役割の追加

[Roles] (役割) タブからマネージャに新規の役割 (カスタムの役割) を追加できます。

注意: Configure Admin User Accounts RW 役割権限を持つユーザのみ、ユーザまた は役割を作成して割り当てたり、ユーザ アカウントの設定を変更できます。 Configure Admin User Accounts RO 役割権限を持つユーザは、ユーザ、役割または ユーザ アカウントの表示のみできます。

カスタムの役割の追加

Configure Admin User Accounts RW 役割権限を持つユーザは、役割を追加することができ ます。追加されると、そのユーザが使用可能なデフォルトの役割と一緒に表示されます。 デフォルトの役割の詳細については、15 ページの「役割の定義」を参照してください。

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理

マネージャにカスタムの役割を追加するには、次の手順に従います。

1 リソース ツリーから、[Admin Domain] (管理ドメイン)、[Users] (ユーザ)、[Roles] (役割) の 順に選択します。

注意: [Roles] (役割) タブは、親管理ドメインからのみアクセスできます。

図 13: [Custom Role Details] (カスタムの役割の詳細) ページ

2 [Roles] (役割) には、各マネージャ モード (IPS、NAC、NAC 付き IPS) ごとにデフォル

役割権限

役割 IPS モード NAC モード NAC 付き IPS モード NAC Administrator なし Configure NAC Settings RW Home Operational Status RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Hosts RW Reports NAC RW Configure NAC Settings RW Home Operational Status RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Hosts RW Reports NAC RW IPS Administrator Configure IPS Settings RW Home Reports IPS RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW なし Configure IPS Settings RW Home Reports IPS RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理

役割権限

役割 IPS モード NAC モード NAC 付き IPS モード System Administrator Configure Admin Domain RW Configure Admin User Accounts RO Configure Manager RW Configure Integration RO Configure Device List RW Configure IPS Settings RO Home Reports IPS RW Operational Status RW TA Summary Dashboard IPS RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO Configure Admin Domain RW Configure Admin User Accounts RO Configure Manager RW Configure Integration RO

Configure Device List RW Configure NAC Settings RO Home Reports NAC RW Operational Status RW TA Summary Dashboard NAC RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO Configure Admin Domain RW Configure Admin User Accounts RO Configure Manager RW Configure Integration RO Configure Device List RW Configure IPS Settings RO Configure NAC Settings RO Home Reports IPS RW Reports NAC RW Operational Status RW TA Summary Dashboard IPS RO TA Summary Dashboard NAC RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO Report Generator

Reports IPS RW Reports NAC RW Reports IPS RW Reports NAC RW

役割権限

役割 IPS モード NAC モード NAC 付き IPS モード Super User Configure Admin

Domain RW Configure Admin User Accounts RW Configure Manager RW Configure Integration RW Configure Device List RW Configure IPS Settings RW Configure Guest Portal User creation RW Home Reports IPS RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager Configure Admin Domain RW Configure Admin User Accounts RW Configure Manager RW Configure Integration RW

Configure Device List RW

Configure NAC Settings RW Configure Guest Portal User creation RW Home Reports NAC RW Operational Status RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager Configure Admin Domain RW Configure Admin User Accounts RW Configure Manager RW Configure Integration RW Configure Device List RW Configure IPS Settings RW Configure NAC Settings RW Configure Guest Portal User creation RW Home Reports IPS RW Reports NAC RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager Guest Portal Account Manager Configure Guest Portal User Creation RW Configure Guest Portal User Creation RW

Configure Guest Portal User Creation RW

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理

役割権限

役割 IPS モード NAC モード NAC 付き IPS モード NOC Operator Home

Reports IPS RO Operational Status RO TA Summary Dashboard IPS RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO Home Reports NAC RO Operational Status RO TA Summary Dashboard NAC RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO Reports NAC RO Home Reports IPS RO Reports NAC RO Operational Status RO TA Summary Dashboard IPS RO TA Summary Dashboard NAC RO TA Summary Dashboard General RO TA Alerts RO TA Hosts RO ePO Dashboard Data Retriever

Special role for ePO Dashboard DataRetrieval

Special role for ePO Dashboard

DataRetrieval

Special role for ePO Dashboard DataRetrieval NTBA Administrator Configure NTBA Settings RW Home Operational Status RW Reports NTBA RW TA Alerts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Scan TA Summary Dashboard General RW TA Summary Dashboard NTBA RW Configure NTBA Settings RW Home Operational Status RW Reports NTBA RW TA Alerts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Scan TA Summary Dashboard General RW TA Summary Dashboard NTBA RW Configure NTBA Settings RW Home Operational Status RW Reports NTBA RW TA Alerts RW TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Scan TA Summary Dashboard General RW TA Summary Dashboard NTBA RW

役割権限

役割 IPS モード NAC モード NAC 付き IPS モード Security Expert Configure

Integration RW Configure Device List RO Configure IPS Settings RW Home Reports IPS RW Threat Analyzer RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts RO TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager Configure Integration RW

Configure Device List RO Configure NAC Settings RW Home Reports NAC RW Threat Analyzer RW Operational Status RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts RO TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager Configure Integration RW Configure Device List RO Configure IPS Settings RW Configure NAC Settings RW Home Reports IPS RW Reports NAC RW Threat Analyzer RW Operational Status RW TA Summary Dashboard IPS RW TA Summary Dashboard NAC RW TA Summary Dashboard General RW TA Alerts RW TA Hosts RW TA Hosts RO TA Hosts Forensics ePolicy Orchestrator TA Hosts Forensics Vulnerability Manager No Role なし なし なし

McAfee® Network Security Platform 6.0 ユーザとユーザの役割の管理

3 新しいカスタムの役割を作成するには、[New] (新規作成) をクリックします。

図 14: [Add Custom Role] (カスタムの役割の追加) ページ

[Add Custom Role] (カスタムの役割の追加) ウィンドウが表示されます。

4 [Role Name] (役割名) と [Description] (説明) にそれぞれ役割名と説明を入力します。

5 新しい役割に割り当てる権限を [Manager Privileges] (マネージャ権限) から [Role

Privileges] (役割権限) に移動します。権限の読み取り、書き取り、または操作権限 (RO、

RW など) は権限名に表示されます。

6 [Save] (保存) を選択して変更を保存します。

カスタムの役割の割り当て

ユーザにカスタムの役割を割り当てるには、以下の手順に従います。

1 リソース ツリーから、[Admin Domain] (管理ドメイン)、[Users] (ユーザ)、[Users] (ユーザ) の順に選択します。

2 [Add] (追加) を選択してユーザを追加します。

3 ユーザ情報を入力して、[Save] (保存) を選択します。

4 このユーザに役割を割り当てるかどうかを確認するポップアップが表示されます。 [OK] を選択します。

5 [Role Assignments] (役割の割り当て) タブの [Assign] (割り当て) ページに戻ります。ここ

にはデフォルトの役割と各役割が表示されます。

6 リストからカスタムの役割を選択します。

7 [Save] (保存) を選択して変更を保存します。同じウィンドウの [Current Assignments] (現 在の割り当て) セクションに割り当てられた役割が表示されます。

自身のユーザ アカウント情報の表示

[My Account] (マイ アカウント) アクションを実行すると、[My Account] (マイ アカウント)

ページにログイン ユーザのアカウント情報が表示されます。このページへは、

[Admin-Domain-Name] (管理ドメイン名)、[Users] (ユーザ)、[My Account] (マイ アカウント) の順

に移動します。

アカウント情報 (パスワードやアドレスなど) を変更する場合は、該当するフィールドを消 去して、新しい情報を入力し、[Save] (保存) をクリックします。変更を保存せずに終了する 場合は [Cancel] (キャンセル) をクリックします。

第 4 章

システム情報ログの管理

[Logs] (ログ) タブでは、権限のある管理者が監査情報およびログを作成して、ユーザの操作 (28 ページ) または全般的なシステム情報 (26 ページ) を参照することができます。監査を 実行すると、データベースからユーザ アクティビティの情報と、ログ ファイル (ems.log ファイルなど) からシステム アクティビティの情報が取得されます。これにより解析や問 題解決に役立つ情報が提供されます。

図 15: [User Activity Audit] (ユーザ アクティビティの監査) タブ

マネージャ アクティビティ ログの表示とエクスポート

[System Log] (システム ログ) アクションを実行すると、McAfee®

Network Security Manager (マネージャ) のログ ファイル (ems.log) のシステム アクティビティ エントリを表示および エクスポートできます。デフォルトでは、実行したアクション、システム障害、およびデ バッグ データがこの情報に含まれます。ログ クエリをカスタマイズして、必要なデータの み表示することができます (デバッグ データや警告レベルの障害など)。各ログ ファイルの 名前は、記録されたデータが 1MB に達するごとに番号が増加していきます。現在のログは、 McAfee® _{Network Security Platform ディレクトリに ems.log という名前で保存されていま}

す。以前のログは、追加されたデータが 1MB に達するごとに番号が増加していきます (ems.log.1、ems.log.2 など)。

以降では、これらの機能について説明します。 • ログ情報の表示 (27 ページ)

• ログ情報のエクスポート (28 ページ):

デフォルトでは、ems.log ファイルは <Network Security Manager インストール ディレク トリ>/ems.log に格納されます。

Central Manager の場合、[System Log] (システム ログ) タブ機能が上述のマネージャでの機 能に類似しています。

注意 1: システム ログを参照できるのは、Super User、System Administrator、およ び Security Expert だけです。

注意 2: 4MB より小さい ems.log ファイルだけが、マネージャから表示またはエクス ポートできます。