Stealthwatch システム v6.9.0 ハードウェアコンフィギュレー …...SLIC脅威フィード機能の有効化 45 ©2017CiscoSystems,Inc.AllRightsReserved. iv 1 はじめに

Stealthwatch®システムハードウェアコンフィギュレーションガイド

( Stealthwatch System v6.9.0用)

コンフィギュレーションガイド：Stealthwatch システム v6.9.0アプライアンス© 2017 Cisco Systems, Inc. All rights reserved.

ドキュメントの日付：2017年7月6日

Cisco TrademarkCisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates inthe U.S. and other countries. To view a list of Cisco trademarks, go to this URL:www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of theirrespective owners. The use of the word partner does not imply a partnership relationship betweenCisco and any other company. (1110R)

戻る( Back)

http://www.cisco.com/web/JP/trademark_statement.html

目次

目次 iii

はじめに 1

概要 1

対象読者 1

Stealthwatchハードウェアコンポーネント 2

このマニュアルの使い方 4

その他のリソース 5

システムの設定 7

概要 7

プロセスの概要 7

個々のアプライアンスの設定 7

システムの設定 13

SMCからのUDP Directorの設定 24

UDP Directorの追加 24

転送ルールの設定 25

アプライアンス管理インターフェイスによる設定 27

アプライアンス管理インターフェイスへのログイン 27

システム時刻の設定 29

フローセンサーの設定 31

UDP Directorルールの設定 34

UDP Director HAの設定 36

アプライアンスの再起動 38

通信の確認 41

概要 41

© 2017Cisco Systems, Inc. AllRightsReserved.

iii

NetFlowデータ収集の確認 41

Cisco ISE の追加 43

概要 43

Cisco ISEの追加 43

SLIC 脅威フィード機能の有効化 45

© 2017 Cisco Systems, Inc. AllRightsReserved.iv

1

はじめに

概要このガイドでは、次のStealthwatch ® システムハードウェアを設定する方法について説明します。

l Stealthwatch Management Console( SMC)l Stealthwatch Flow Collector™l Stealthwatch Flow Sensor™l UDP Director™

このガイドでは、すでにStealthwatch システムハードウェアインストールガイドの指示に従ってハードウェアがインストール済みであることを前提としています。

バーチャルエディション( VE) 製品の設定については、仮想アプライアンス( SMC VE およびFlow Collector VE、Flow Sensor VE、UDP Director VE) のインストール/構成ガイドを参照してください。

必要に応じて、このガイドの詳細およびサポートへの問い合わせ方法についてはこの章を参照してください。この章の内容は、次のとおりです。

l 対象読者

l Stealthwatch ハードウェアコンポーネント

l はじめに

l このマニュアルの使い方l

対象読者

このガイドの主な対象読者は、すべてのStealthwatch 物理アプライアンスを設定する必要がある管理者です。


1

StealthwatchハードウェアコンポーネントStealthwatch システムは、ネットワークのパフォーマンスとセキュリティを改善するためにネットワーク情報を収集、分析、提示するいくつかのハードウェアコンポーネントで構成されています。ここでは、主要な Stealthwatch コンポーネントについて説明します。

Stealthwatch Management Console( SMC) は、Stealthwatch のコントロールセンターです。システム内のさまざまなすべてのコンポーネントを管理、調整、設定、編成します。SMC クライアントソフトウェアにより、Web ブラウザへのアクセス権を持つローカルコンピュータから、SMC のユーザフレンドリーなグラフィカルユーザインターフェイス( GUI) にアクセスすることができます。クライアント GUI を使用して、企業全体の重要なセグメントに関するリアルタイムのセキュリティ/ネットワーク情報に簡単にアクセスできます。

SMC の特徴は次のとおりです。

l 最大 25 個のStealthwatch Flow Collector をサポート

l 分散ホスト動作データベースへのアクセスを提供

l 複数の同時ユーザをサポート

l 定期的なレポート作成を自動化するレポートスケジューラを提供

l 関連スタッフと多数のサードパーティシステムへのイベント直接転送を提供

l Stealthwatch 動作分析によって得られるインテリジェンスに関連する syslog をサポート

l トラフィックを視覚化するためのグラフィカルチャートを提供

l トラブルシューティングのためのドリルダウン分析を提供

l 統合型のカスタマイズ可能なレポートを提供

l セキュリティ違反の即時通知

フローコレクタ

Stealthwatch Flow Collector for NetFlow は、NetFlow、cFlow、J-Flow、Packeteer 2、NetStream、 IPFIX データを収集することで、コスト効率の高い、動作に基づくネットワーク保護を提供します。Flow Collector for sFlow は sFlow データを収集します。

Flow Collectorは高速ネットワークの動作データをさまざまなネットワークやネットワークセグメントから集約することで、エンドツーエンドの保護を提供し、地理的に分散したネットワークのパフォーマンスを改善します。

データを受信すると、Flow Collector はパケット暗号化やフラグメンテーションとは無関係に、既知または未知の攻撃、内部での不正使用、ネットワークデバイス設定の誤りを特定します。Stealthwatch システムが動作を特定すると、その種類の動作に対して設定済みのアクション( 存在する場合) を実行できます。

フローコレクタの特徴は次のとおりです。

l Flow Collector 4000 までは、モデルによって最大 1,000,000 個のホストからの最大で毎秒120,000 個のフローレコードを処理できます

l Flow Collector 5000 シリーズは、4000 個を超えるフローエクスポートデバイスを使用する何百万ものホストからの最大で毎秒 240,000 個のフローレコードを処理できます

l フローエクスポートデバイスからフローデータを受信します

はじめに

© 2017Cisco Systems, Inc. AllRightsReserved.2

l プロセスを重複排除し、双方向フローを格納します

l ホストプロファイル、ホストペアデータ、Concern Index™ イベント、インターフェイスデータ、ホストグループデータ、VMデータ、TopN( 上位 N) 統計情報を作成して格納します

l ドメイン設定データを格納します

l Stealthwatch Management Console にアラートを転送します

l 最大 5 個の緩和デバイスをサポートします

フローセンサー

Stealthwatch フローセンサーは、スイッチポートアナライザ( SPAN) 、ミラーポート、イーサネットテストアクセスポート ( TAP) にプラグインできる、従来のパケットキャプチャアプライアンスや IDSと似た機能のネットワークアプライアンスです。フローセンサーは、次のネットワーク領域の可視性を強化します。

l フローエクスポートが使用可能でない領域。

l フローエクスポートが使用可能であるが、パフォーマンス測定指標とパケットデータをより深く視覚化する必要がある場合。

フローセンサーをNetFlow v9 対応または IPFIX 対応のフローコレクタに向けることによって、貴重な詳細トラフィック統計情報をNetFlow から得ることができます。また、フローセンサーをStealthwatch Flow Collector for NetFlow と組み合わせると、パフォーマンス測定指標や動作指標に関する深い洞察を得ることができます。これらのフローパフォーマンス指標から、ネットワークまたはサーバ側アプリケーションに由来するラウンドトリップ遅延についての洞察が得られます。

フローセンサーはパケットレベルの可視性を備えているので、TCP セッションのラウンドトリップ時間( RTT) 、サーバ応答時間( SRT) 、パケット損失を計算できます。これには、StealthwatchFlow Collector for NetFlow に送られるNetFlow レコード内のこのような追加的フィールドがすべて含まれます。

UDP DirectorUDP Director は、高速かつ高パフォーマンスのUDP パケットレプリケータです。UDP Directorは、NetFlow、sFlow、syslog、またはSimple Network Management Protocol( SNMP) のトラップをさまざまなコレクタに再配分するうえで非常に役立ちます。コネクションレス型 UDP アプリケーションからデータを受信し、それを複数の宛先に再伝送し、必要に応じてデータを複製できます。

アイデンティティデバイス

Stealthwatch システムには、Cisco ISE-PIC を含むアイデンティティデバイスCisco ISE( IdentityServices Engine) が組み込まれています。これらのデバイスは、ユーザアイデンティティデータベースからユーザ認証情報を受動的に受け入れることで IP アドレスをユーザ名にマップします。SMC は、複数のアイデンティティアプライアンスをシームレスに管理します。

はじめに


3

次の表を使用して、Stealthwatch アプライアンスを設定するのに必要な設定値を記録します。

設定 SMC フロー

コレクタ

フロー

センサー

UDPDirector

アイデンティティ

デバイス

ホスト名

IPアドレ

ス

192.168.1.11* 192.168.1.4* 192.168.1.7* 192.168.1.2* 192.168.1.100*

サブネッ

トマスク

ゲート

ウェイ

DNSサーバ

NTPサー

バ

メールリ

レー

* これらはデフォルト IP アドレスです。フローコレクタ sFlow のデフォルトは192.168.1.5 です。FlowCollector 5000 シリーズデータベースのデフォルトは192.168.1.15 です。

さらに、次の設定を使用することもできます。

フローデータをエクスポートするポート ( 通常は2055) ________________________________

ルータのSNMP 読み取り専用コミュニティ文字列 ____________________________________________________________________

このマニュアルの使い方

「はじめに」の他に、このガイドは次の章に分かれています。

章説明

システムの設定トラフィックデータを処理するようにアプライアンスを

設定する方法

通信の確認 SMC がNetFlow データを受信するよう確立し検

証する方法、SLIC 脅威フィード機能を有効にす

る方法

アイデンティティデバイスのアイデンティティデバイスを追加する方法

はじめに


章説明

追加

SLIC脅威フィード機能

の有効化

SMC クライアントで SLIC 脅威フィード機能を有

効にする方法

略語

このガイドでは、次の略語が使用されます。

略語定義 ( Definition)DNS ドメインネームシステム(サービスまたはサーバ)

dvPort 分散仮想ポート

ESX エンタープライズサーバX

GB ギガバイト

IDS 侵入検知システム

IPS 侵入防御システム

IT 情報技術

MTU 最大伝送ユニット ( Maximum Transmission Unit)

NTP ネットワークタイムプロトコル

OVF オープン仮想化フォーマット

SMC Stealthwatch 管理コンソール

TB テラバイト

UUID 汎用一意識別子

VDS vNetwork分散型スイッチ

VE バーチャルエディション

VLAN 仮想ローカルエリアネットワーク

VM 仮想マシン

その他のリソース

このガイド以外に、次のドキュメントおよびオンラインリソースが役に立ちます。

関連資料

Stealthwatch アプライアンスとそのインストールおよび設定に関する詳細については、Stealthwatch マニュアルを参照してください。Stealthwatch 製品の詳細については、オンライン

はじめに


5

のCisco Stealthwatch [英語 ] を参照してください。

詳細情報は、Stealthwatch カスタマーコミュニティWeb サイト( http://community.lancope.com) [英語 ] を参照してください。Web サイトへのログインアクセス権がない場合は、サポートに電子メールを送信してアクセス権を要求してください。

Lancope のブログ

Lancope の「Inside the Threat」ブログ[英語 ]( http://www.lancope.com/blog/) には、NetFlow、NetFlow 業界、および新しいStealthwatch 機能に関する豊富な情報とStealthwatch を使用する際のヒントが掲載されています。

Lancope の高度なサイバーセキュリティ向けリソース & ツール

Stealthwatch の詳細については、Lancope の高度なサイバーセキュリティ向けリソース& ツールのサイト ( https://www.lancope.com/resources) [英語 ] を参照してください。オンラインビデオライブラリ、ホワイトペーパー、ウェビナーなどのリソースが提供されています。

サポートへの問い合わせ

テクニカルサポートが必要な場合は、次のいずれかを実行してください。

l 最寄りのシスコパートナーにご連絡

l お電話でのお問い合わせ( +1 800-838-6574)l Stealthwatch のカスタマーコミュニティWeb サイト ( http://community.lancope.com) のサポー

トフォームを使用して問題を送信

ドキュメントフィードバック

このマニュアルについてコメントがございましたら、[email protected]にご連絡ください。ご協力をよろしくお願いいたします。

はじめに


http://www.cisco.com/c/en/us/products/security/stealthwatch/index.html

https://communities.lancope.com/customers/default.aspx

mailto:[email protected]

https://communities.lancope.com/customers/default.aspx

2

システムの設定

概要この章では、アプライアンスを設定してトラフィックデータの処理を開始する手順について説明します。この章の手順を完了すると、インストールおよび設定プロセスが完了します。

先に進む前に必要な情報については、「はじめに」、ページ 1 のチェックリストを参照してください。

プロセスの概要

StealthWwatch システムを設定するには、この章で説明する次の手順を実行します。

1. 個々のアプライアンスの設定

2. システムの設定

3. アプライアンス管理インターフェイスによる設定

個々のアプライアンスの設定すべてのアプライアンスの初期設定は、アプライアンス設定ツールで実行されます。アプライアンスに初めてアクセスすると、アプライアンス設定ツールが表示されます。システムによっては、UDP Director の前にフローセンサーおよびフローコレクタを設定して、最後にSMC を設定する必要があります。SMC の初期設定を完了すると、システム設定ツールが開き、Stealthwatchシステムを設定できます。

開始する前に、「はじめに」、ページ 1 の「前提条件」セクションに詳しく記載されている情報を収集してください。

(注 ) 環境によって、ここに表示されている画面とわずかに異なる画面が表示されることがあ

ります。

アプライアンスを設定するには、次の手順を実行します。


7

1. ブラウザのアドレスフィールドにhttps:// と入力し、その後にアプライアンスの IP アドレスを入

力して、Enter を押します。

2. 管理者ログインページが開きます。admin および lan411cope( 両方とも大文字と小文字

を区別します) と入力して、 [ログイン( Login) ] をクリックします。手順 5 に進みます。

3. SMC で、ランディングページが開きます。

ログインするには、次の手順を実行します。

a. [ユーザ名( User Name) ] フィールドにadmin と入力します。



b. [パスワード ( Password) ] フィールドに「lan411cope」と入力します。

c. [サインイン( Sign In) ] をクリックします。

5. [ようこそ( Welcome) ] ページが開きます。 [続行( Continue) ] をクリックします。

[管理ネットワークインターフェイス( Management Network Interface) ] ページが開きます。



9

6. アプライアンスの IP アドレスを入力して、 [次へ( Next) ] をクリックします。 [パスワード管理

( Password Management) ] ページが開きます。

7. 適切なフィールドに新しい管理者パスワードを入力して、 [次へ( Next) ] をクリックします。 [ホスト名とドメイン( Host Name and Domain) ] ページが開きます。



8. 適切なフィールドにホスト名とネットワークドメイン名を入力して、 [次へ( Next) ] をクリックしま

す。 [DNS 設定( DNS Settings) ] ページが開きます。

9. [+] ボタンをクリックして、DNS サーバの IP アドレスを入力します。 [Next] をクリックします。

[NTP 設定( NTP Settings) ] ページが開きます。

(注 ) 1つ目のNTPサーバを pool.ntp.orgに設定してください。これによって、Stealthwatchアプラ

イアンスはNTPサーバのランダムな ntp.orgプールにアクセスしてアプライアンスの時間を設定でき

るようになります。



11

10. デフォルト設定を受け入れるか、NTP サーバの IP アドレス

を入力するか、またはリストアイコンをクリックしてドロップダ

ウンリストから名前を選択して別のサーバを入力することが

できます。「アプライアンス管理インターフェイスによる設定」

を参照してください。

11. [Next] をクリックします。 [レビュー( Review) ] ページが開きます。



12. 設定を確認して、 [適用( Apply) ] をクリックします。確認ダイアログが開きます。

13. 新しいシステム設定が有効になるまで数分かかります。その後、 [次へ( Next) ] をクリックしま

す。完了すると、アプライアンスのログインページが開きます。

14. ログインクレデンシャルを入力して、 [ログイン( Login) ] をクリックします。

15. 設定する他のアプライアンスがありますか。

l 「はい」の場合、手順 1 に戻り、次のアプライアンスに対しこの手順を繰り返します。プライマリSMC を必ず最後に設定してください。

l 「いいえ」の場合、次の手順に進みます。

16. 最後の( または唯一の) SMC を設定した後、次のセクション「システムの設定」に進みま

す。

システムの設定SMC( VE) を含むすべてのアプライアンスの設定を終了したら、システムを設定できます。

注意 ! SMCの管理対象のすべてのアプライアンスを有効化する必要があります。そうしない

と、SMCはフローコレクタと通信できず、システムを適切に設定することができません。

重要：フェールオーバーSMCを設定する場合、システムのドメイン名のみを指定し、残りの

ページで [次へ( Next) ] をクリックする必要があります。プライマリSMCに対し設定するとき

に、システムを設定できます。

システム設定ツールの [ようこそ( Welcome) ] ページが開きます。



13

1. [続行( Continue) ] をクリックします。 [エンタープライズドメイン情報の追加( Add EnterpriseDomain Information) ] ページが開きます。

2. システムの IP アドレスの範囲( CIDR、ダッシュで結んだ範囲、末尾にドットのサブネット、

IPv6 を使用できます) を入力するか、 IP アドレスの範囲のCSV ファイルをインポートする一



括アップロードを実行して、 [次へ( Next) ] をクリックします。 [アプライアンス( Appliance) ] ペー

ジが開きます。

(注 ) CSVファイルの IPアドレスは、カンマ、カンマとスペース、スペース、改行のいずれかで区切る

必要があります。

3. [+] ボタンをクリックします。 [フローコレクタの追加( Add Flow Collector) ] ダイアログが開きま

す。

4. フローコレクタの IP アドレスを入力し、 [次へ( Next) ] をクリックします。 [通信

( Communication) ] ダイアログが開きます。



15

条件付き手順：この手順でフローコレクタまたはフローセンサーを追加する場合、まずフローコレクタまたはフローセンサーとStealthwatch Management Console( SMC) 間の管理チャネルを作成しておく必要があります。作成されていない場合、手順のこの時点でエラーメッセージが表示されます。フローコレクターおよびフローセンサーそれぞれに対して管理チャネルを作成するには、次の手順を実行します。

1. ブラウザーとアプライアンスの IP アドレスを使用して、該当するアプライアンス管理インター

フェイスにログインします。

2. 左側のナビゲーションウィンドウで、 [設定( Configuration) ] > [管理システムの設定

( Management Systems Configuration) ] の順にクリックします。

3. [新しい管理システムの追加( Add New Management System) ] をクリックします。

4. [管理システムの IP アドレス( Management System IP Address) ] フィールドに、SMC の

IP アドレスを入力します。

5. [SMC( Is SMC) ] チェックボックスをオンにします。

6. [適用( Apply) ] をクリックします。

7. システムセットアップツールの [エラー( Error) ] ダイアログで [キャンセル( Cancel) ] をクリック

して、 [適用( Apply) ] をクリックします。

5. [追加( Add) ] をクリックします。フローコレクタ( が次のようにシステムに追加されます。

6. [Next] をクリックします。 [アプライアンスフローセンサー( Appliance Flow Sensors) ] ページが

開きます。



7. 追加するフローセンサーがありますか。

l 「はい」の場合、 [+] ボタンをクリックし、手順 9 に進みます。

l 「いいえ」の場合、 [次へ( Next) ] をクリックし、次の手順に進みます。

8. 警告メッセージが表示されます。 [OK] をクリック手順 14 に進みます。

9. [+] ボタンをクリックします。 [フローセンサーの追加( Add Flow Sensor) ] ダイアログが表示さ

れます。



17

10. IP アドレスを入力し、 [OK] をクリックします。 [通信が確立されました( CommunicationEstablished) ] ダイアログが表示されます。

11. ドロップダウンリストからフローコレクタを選択し、 [追加( Add) ] をクリックします。

フローセンサーが追加されます。



12. [Next] をクリックします。 [SMTP 設定( SMTP Setting) ] ページが開きます。

13. SMC が電子メールを送信するときの、 [差出人( from) ] フィールドに指定する電子メールア

ドレスを入力します。

14. SMTP リレーアドレスを入力し、[次へ( Next) ] をクリックします。[SNMP設定( SNMPSetting) ] ページが開きます。



19

15. 必要に応じて、設定を変更( ここでは1 つの文字列のみ設定できます) してから、 [次へ

( Next) ] をクリックします。

(注 ) [SNMPバージョン 3( SNMP Version 3) ]を選択した場合、ユーザ名を入力する必要があ

り、さらにオプションとして認証と暗号化を選択できます。

16. [インターネットアクセス( Internet Access) ]( SMC 用) ページが開きます。



17. インターネットアクセスの適切なタイプを選択します。

l アクセスなし( No access) ：SMC はインターネットに接続されません。ダウンロードとライセンスセンターからライセンスを取得するためのアクセス権を取得する必要があります。[オフライン( Offline) ] ページの [次へ( Next) ] をクリックすると、 [完了( Complete) ] ページが開きます。



21

l プロキシサーバ経由のアクセス( Access via Proxy Server) ：SMC はプロキシサーバ経由でインターネットに接続されます。プロキシ設定が表示されます。

プロキシサーバの設定を実行してから、 [次へ( Next) ] をクリックします。

20. [ダイレクトアクセス( Direct Access) ] を選択した場合、またはプロキシ設定が完了した場

合には、 [ライセンス( Licensing) ] ページが開きます。

21. [ダウンロードおよびライセンスセンター( Download and License Center) ] のリンクをクリックし

ます。『Downloading and Licensing Stealthwatch Products』ドキュメントの説明に従って、



ライセンスを取得します。

22. ライセンスを取得した後、 [有効化( Activate) ] をクリックします。

(注 ) アプライアンスが登録されていない場合、メッセージが表示されます。

23. [OK] をクリックします。 [完了( Complete) ] ページが開きます。

24. [起動( Launch) ] をクリックすると、SMC クライアントのランディングページが開きます。メッ

セージが開きます。アプライアンスのライセンスがない場合、どのライセンスがないのかについ

ての情報を含むメッセージが表示されます。メッセージの例を以下に示します。

25. 右上隅の [ようこそ管理ユーザ( Welcome Admin User) ] ドロップダウンリストから、 [アプライ

アンスの管理( Administer Appliance) ] をクリックして、アプライアンス管理インターフェイスを

開き、次のセクションの「アプライアンス管理インターフェイスによる設定」、ページ 27 に進み

ます。



23

26. UDP Director がありますか。

l 「はい」の場合、次のセクション「SMC からのUDP Director の設定」に進みます。

l 「いいえ」の場合、「アプライアンス管理インターフェイスによる設定」のセクションに進みます。

SMCからのUDPDirectorの設定Stealthwatch システムにUDP Director が存在する場合、SMC でUDP Director を管理するようにSMC Web アプリケーションから設定を行うことができます。UDP Director 自体から管理を行うには、「 UDP Director ルールの設定」を参照してくださいに進んでください。

(注 ) UDP DirectorからStealthwatchManagement Console( SMC)へのメッセージ送信に

は SSL が使用されます。

UDPDirectorの追加

UDP Director を追加するには、次の手順を実行します。



転送ルールの設定

UDP Director を追加した後、転送ルールを設定できます。

UDP Director の転送ルールを設定するには、次の手順を実行します。

1. [アクション( Actions) ] > [転送ルールの設定( Configuring Forwarding Rules) ] を選択しま

す。 [転送ルール( Forwarding Rules) ] ページが開きます。

2. [新しいルールの追加( Add New Rule) ] をクリックします。



25

3. [説明( Description) ] フィールドに、ルールを識別するための短い説明を入力します。

4. [送信元 IP アドレス：ポートリスト ( Source IP Address:Port List) ] フィールドで、UDPDirector にデータを送るデバイスの IP アドレスを入力し、その後にデータ送信用のポート番

号を入力します。

(注)

l 以下の例のように [IP アドレス]： [ポート番号 ] の構文を使用してください。

l Classless Inter-Domain Routing( CIDR) 表記法を使用して IP アドレスの範囲を入力する

ことができます。

l 「All」と入力すれば、このポートで任意の送信元 IP アドレスからデータを受け入れられます。

l 送信元 IP アドレス：ポートの組み合わせをルールに追加するには、新しい行に追加していき

ます。

例：

l 10.11.16.38:5322l 192.168.0.0/16:9000l All:2055

5. [宛先 IP アドレス( Destination IP Address) ] フィールドで、UDP Director からデータを受け

取るデバイスの IP アドレスを入力します。



6. [宛先ポート番号( Destination Port Number) ] フィールドに、受信側デバイスのポート番号

を入力します。

7. [保存( Save) ] をクリックします。 [転送ルール( Forwarding Rules) ] ページの表に新しいルー

ルが追加されます。

8. この変更を同期しますか?

a. 「はい」の場合は、ページの上部にある [同期( Sync) ] ボタンをクリックします。新しいルー

ルが保存されます。

b. 「いいえ」の場合は、ページの上部にある [編集を破棄( Discard Edits) ] ボタンをクリックし

ます。 [設定( Configuration) ] ダイアログが表示されたら、 [はい( Yes) ] をクリックします。

8. 必要に応じて、転送ルールを追加する手順を繰り返します。

9. 次の「アプライアンス管理インターフェイスによる設定」セクションに進みます。

(注 ) セカンダリUDP Directorが必要な場合は、少なくとも 1つの転送ルールを付けて追加

する必要があります。まずプライマリUDP Directorを設定した後、セカンダリの設定を繰り返

す必要があります。HAアプライアンスの設定手順については、「プライマリUDP Director HAの設定」、ページ 36に進んでください。

アプライアンス管理インターフェイスによる設定このセクションでは、アプライアンス管理インターフェイスを使用して仮想アプライアンスの設定を完了する次の手順について説明します。

1. アプライアンス管理インターフェイスへのログイン

2. システム時刻の設定

3. システムの設定

4. UDP Director HA の設定

5. アプライアンスの再起動

アプライアンス管理インターフェイスへのログイン

アプライアンス管理インターフェイスにログインするには、次の手順を実行します。

(注)

l Stealthwatch についてサポートされているブラウザは、 Internet Explorer バージョン 9 以降と

Firefox バージョン 3 以降です。

l ページのロードに問題が発生した場合は、ブラウザのキャッシュをクリアし、ブラウザを閉じて再

度開き、もう一度ログインします。



27

1. ブラウザのアドレスフィールドにhttps:// と入力し、その後にアプライアンスの IP アドレスを入

力して、Enter を押します。

2. SMC アプライアンス管理インターフェイスを開いていますか。

l 「はい」の場合、 [ランディング( Landing) ] ページが開きます。右上隅の [設定( Settings) ] アイコンをクリックして、 [アプライアンスの管理( Administer Appliance) ] をクリックします。

l 「いいえ」の場合、仮想アプライアンスの [ログイン( Login) ] ページが開きます。

3. [ユーザ名( User Name) ] フィールドにadmin と入力します。

4. [パスワード ( Password) ] フィールドに、アプライアンス設定で作成した管理者パスワードを

入力します。

5. [ログイン( Login) ] をクリックします。アプライアンス管理インターフェイスのホームページが開き

ます。



6. 次のセクション「システム時刻の設定」に進みます。

システム時刻の設定

Network Time Protocol( NTP) およびシステム時刻( タイムゾーン) 設定をアプライアンスで設定するには、次の手順を実行します。

注意 ! SMCに情報を送るフローコレクタやその他のデバイスに使用されているのと同じ NTPサーバを使用します。フローコレクタ 5000シリーズアプライアンスを使用している場合、データ

ベースおよびエンジンで NTP とシステム時刻を設定すると、時刻設定が同じになります。

1. アプライアンス管理インターフェイスのナビゲーションページで、 [構成( Configuration) ] の横

のプラス記号( +) をクリックして、 [システム時刻とNTP( System Time and NTP) ] をクリックし

ます。

アプライアンス設定ツールを使用して初期設定で設定したNTP サーバが表示された[NTP サーバ( NTP Server) ] ページが開きます。



29

2. ページを下にスクロールして、 [タイムゾーン( Time Zone) ] セクションでアプライアンスのシステ

ム時刻を設定します。

3. 次の手順を実行します。

l ドロップダウンリストから、大陸を選択します。

l ドロップダウンリストから、国を選択します。

l ドロップダウンリストから、タイムゾーンを選択します。

[適用( Apply) ] が表示されます。



4. [適用( Apply) ] をクリックして、変更内容を確定します。確認ウィンドウが開きます。

5. [OK] をクリックします。

6. フローセンサーまたはUDP Director を設定しますか?

l フローセンサーを設定する場合は、次のセクション「フローセンサーの設定」に進みます。

l UDP Director を設定する場合は、「 UDP Director ルールの設定」のセクションに進みます。

l 「いいえ」の場合は、「アプライアンスの再起動」のセクションに進みます。

フローセンサーの設定フローセンサーを設定するには、アプリケーション ID とペイロードを設定する追加の手順が必要です。

フローセンサーからアプリケーション ID とペイロードのデータをエクスポートする方法を設定するには、次の手順を実行します。

1. ナビゲーションページで、 [設定( Configuration) ] メニューの横のプラス記号をクリックして、

[詳細設定( Advanced Settings) ] をクリックします。



31

エクスポート設定ページが開きます。

2. ネットワークに関する適切な設定を次のように選択します。

項目説明

パケットペイロードのエ

クスポート(ExportPacket Payload)

フローセンサーがコレクタに送るデータの中に、最初の26バイトのバイナリ

ペイロードデータを含めるかどうかを指定できます。



項目説明

アプリケーション識別

情報のエクスポート

(ExportApplicationsIdentification)

コレクタにデータを送る前に、フローセンサーがアプリケーションの識別を試み

るかどうかを指定できます。さらに、次の設定が効果を及ぼすには、この設定

を有効にする必要があります。

Ipv6 を含める( Include IPv6) ：フローセンサーで IPv4 と IPv6 の両方のパ

ケットを分析するかどうかを指定できます。この設定を無効にすると、フロー

センサーは IPv4 パケットのみを分析します。

HTTPS ヘッダーデータのエクスポート ( Export HTTPS Header Data) ：フローセンサーからコレクタに送るデータの中に、HTTPS フローのヘッダーデー

タを含めるかどうかを指定できます。データにはSSL 共通名とSSL 組織名

が含まれます。この設定を使用するには、フロータイプが IPFIX に設定されて

いる必要があります。最大 256 バイトが可能です。

HTTP ヘッダーデータのエクスポート ( Export HTTP Header Data) ：フロー

センサーからコレクタに送るデータの中に、HTTP フローのヘッダーデータを含

めるかどうかを指定できます。この設定を選択した場合、セカンダリフィールド

を使用して、フローセンサーでフローデータに含める HTTP パスの最大長

( バイト単位) を指定できます。この設定を使用するには、フロータイプが

IPFIX に設定されている必要があります。

フローエクスポート形

式( Flow ExportFormat)

フローセンサーがコレクタにフローデータを送る際に IPFIX またはNetFlow v9のどちらを使用するかを指定できます。

キャッシュモード

( Cache Mode)

次のいずれかの設定を選択できます。

すべての監視ポートに単一の共有キャッシュを使用( Use single, shared,cache for all monitoring ports) ：

l 非対称ルーティングが存在する場合に使用します。

l アプリケーションと遅延計算に1 つの状態テーブル。

l より少ないメモリを使用。

l 全体的により低い pps 処理率。

l 結果として複数のインターフェイス全体で 1 つのNetFlow イベ

ントが作成されます。

l フローセンサーにポートが2 つだけ存在し、TAP で接続されて

いる場合にのみ、これを使用します

監視ポートごとに独立したキャッシュを使用( Use independent caches foreach monitoring port) ：

l フローセンサーインターフェイスごとにパケットの重複排除が行わ

れます。

l より多くのメモリを使用。

l 全体的により高い pps 処理率。

l 各インターフェイスは独自の遅延とアプリケーションデータベース

を維持します。



33

項目説明

l 結果として、特定のパケットを認識するインターフェイスごとに固

有のNetFlow レコードが生成されます。

3. [適用( Apply) ] をクリックして設定を保存します。

4. 「アプライアンスの再起動」、ページ 38 に進みます。

UDPDirectorルールの設定

SMC からUDP Director を管理しない場合は、アプライアンス管理ページで転送ルールを設定できます。UDP Director 用に、eth0 の IP アドレスに送信フローを転送するようエクスポータを設定する必要があります。これによりUDP Director は、eth0 からフローを転送すると同時に、転送されるパケット用に各エクスポータの元の IP およびMAC アドレスを保持します。

(注 ) プロミスキャス受信のためには、該当するすべてのトラフィックに対してスパンフィルタを

使用することをお勧めします。ネットワークは、ポート上のトラフィックが、エクスポータからUDPDirectorに、さらに受信側 ( ACL)に向けて使用できるようにする必要があります。

UDP Director のルールを設定するには、次の手順を実行します。

1. ナビゲーションウィンドウで、 [設定( Configuration) ] の横のプラス記号( +) をクリックして、 [転送ルール( Forwarding Rules) ] をクリックします。

[転送ルール( Forwarding Rules) ] ページが開きます。



2. [説明( Description) ] フィールドに、ルールの説明を入力します。

3. [送信元 IP アドレス：ポートリスト ( Source IP Address:Port List) ] フィールドで、UDPDirector にデータを送るデバイスの IP アドレスを入力し、その後にデータ送信用のポート番

号を入力します。次の構文を使用します。

[IP アドレス]:[ポート番号](たとえば 10.201.1.41:2057)

(注 )l すべてのデバイスからのすべてのトラフィックを特定のポートから受信するには、

All:[ポート番号 ] と入力します。たとえばAll:3123 と入力します

l また、CIDR( クラスレスドメイン間ルーティング) 表記法を使用して IP アドレスの範囲を入力することもできます。たとえば172.200.1.0/16:9000 と入力します

ヒント：

l Allを使用するか、エンジンにより必要な解析の量を入力で制限することができる場合はCIDR 範囲を使用してください。入力で個別の IP アドレスを多数使用すると、エンジンの稼働率が上がります。

l また、入力トラフィック用に代替ポートを使用し、そのトラフィックを適切な出力ポートにリダイレクトすることもできます。たとえば、ポート 55431の全トラフィックを 1 つのルールに送る代わりに、そのトラフィックを分割して、それまでポート 55431 を使用していたエクスポータの1/3 がダミーポート 44440 を使用するように設定できます。その後、エクスポータの1/3 がポート 44441、さらにエクスポータの1/3 がポート 44442 を使用するように設定できます。次に、ポート 44440、44441、44442 の全トラフィックを単一の宛先ポート 55431 にリダイレクトします。

4. 別のエントリを追加するには、Enter を押して、次の IP アドレスとポート番号を入力します。

5. [宛先 IP アドレス( Destination IPAddress) ] フィールドで、UDP Director からデータを受信

するデバイスの IP アドレスを入力します。



35

6. [宛先ポート番号( Destination Port Number) ] フィールドに、受信側のデバイスのポート番

号を入力します。

7. 別の受信デバイスに転送されるデータをUDP Director に送信するデバイスが複数存在す

る場合は、 [追加( Add) ] をクリックします。

新しい行が表示され、そこに設定を入力できます。このUDP Director 用のすべてのデバイスを入力し終わるまで、この手順を繰り返します。

8. 完了したら、 [適用( Apply) ] をクリックします。UDP Director 設定画面の表示が更新され、

システムが設定ファイルを更新します。エラーが存在する場合、画面の上部に表示されま

す。

9. UDP Director HA を設定しますか?

l 「はい」の場合、次のセクション「 UDP Director HA の設定」に進みます。

l 「いいえ」の場合、「アプライアンスの再起動」、ページ 38 に進みます。

UDPDirector HAの設定

UDP Director HA( 高可用性) では、冗長 UDP Director 2000 を設定できます。両方のノードが完全冗長ですが、任意の時点で 1 つのノードだけがオンラインになります。ペアの中でオンラインノードをプライマリ、オフラインノードをセカンダリといいます。ペアのプライマリノードで障害が発生した場合、セカンダリノードがそれを引き継いでプライマリになります。

重要： HAシステムのUDP Directorには、少なくとも 1つのルールが必要です。UDPDirectorにすでにルールが設定されている場合、UDP Directorルールをエクスポート (ルール

設定ファイルを保存 )して 2番目のUDP Directorにそのファイルをインポートすることをお勧

めします。これにより、それぞれのルールが確実に一致します。

まずプライマリUDP Director を設定した後、セカンダリで設定を繰り返す必要があります。どちらも新しいUDP Director である場合は、それぞれに関してこのガイドの手順に従う必要があります。ただし、セカンダリがすでにStealthwatch システム上のアプライアンスとして設定済みであれば、単にセカンダリUDP Director にログインし、このセクションの説明に従ってHA コンポーネントを設定するだけで済みます。

プライマリUDP Director HAの設定

プライマリUDP Director を設定するには、次のようにします。

1. UDP Director 管理インターフェイスのナビゲーションウィンドウで、 [設定( Configuration) ] の横のプラス記号( +) をクリックして、 [高可用性( High Availability) ] をクリックします。



2. [高可用性クラスタを有効にする( Enable High Availability Cluster) ] ページで、 [高可用性

設定( High Availability Settings) ] の [高可用性を有効にする( Enable High Availability) ]チェックボックスをオンにします。

3. [仮想 IP アドレス( Virtual IP Address) ] および [サブネットマスク( Subnet Mask) ] フィールド

には、プライマリUDP Director の IP アドレスを入力します。( これらはセカンダリでも同じで

す。)

(注 ) 仮想 IPアドレスは、ユニキャストアドレスと同じサブネット内である必要があります。



37

4. [共有シークレット ( Shared Secret) ] フィールドで、両方のUDP Director 用の文字列を入

力します。( これはセキュアな転送用に暗号化されます。)5. 同期リング1( Eth2) ユニキャスト IP アドレス用のフィールドに、 IP アドレスとサブネットマスクを

入力します。( ユニキャスト IP アドレスは単一のネットワーク宛先を識別します。)6. 同期リング2( Eth3) ユニキャスト IP アドレス用のフィールドに、 IP アドレスとサブネットマスクを

入力します。

(注 ) 各 IPアドレス( eth0、eth02、eth03)は、それぞれ別個のユニキャストサブネット上である必

要があります。

7. 設定を確認した後、 [適用( Apply) ] をクリックすると設定が行われます。

8. クラスターの2 番目のUDP Director を設定するには、次のセクションに進みます。

セカンダリUDP Director HAの設定

セカンダリUDP Director を設定するには次の手順を実行します。

1. HA ペアのセカンダリUDP Director 2000 のアプライアンス管理インターフェイスにログインしま

す。

2. この画面ですべてのパラメータを設定します( 最初のアプライアンスで詳細パラメータを変更

した場合にはそれも含みます) 。その際、次の項目を除くすべてのフィールドで、最初のアプ

ライアンスとまったく同じ値を設定してください。

l 同期リング1( Eth2) ユニキャスト IP アドレスには、プライマリのこのフィールドで設定したものとは異なる IP アドレスを入力します。ただしそのアドレスはプライマリの同期リング1ユニキャストアドレスと同じサブネット内でなければなりません。

l 同期リング2( Eth3) ユニキャスト IP アドレスには、プライマリのこのフィールドで設定したものとは異なる IP アドレスを入力します。ただしそのアドレスはプライマリの同期リング2ユニキャストアドレスと同じサブネット内でなければなりません。

3. [適用( Apply) ] をクリックすると変更が保存され、このアプライアンスでクラスタリングサービス

が開始します。

4. プライマリアプライアンスを指定するには [昇格( Promote) ] ボタンをクリックします。

5. 次のセクションに進みます。

アプライアンスの再起動

アプライアンスを再起動するには、次の手順を実行します。

1. アプライアンス管理インターフェイスメニューで、 [操作( Operations) ] > [アプライアンスの再起

動( Restart Appliance) ] を選択します。



確認ダイアログが開きます。

2. [Yes] をクリックします。

3. フローコレクターを設定しましたか?

l 「はい」の場合、次の章「通信の確認」に進みます。


6. フローセンサーまたはUDP Director を設定しましたか?

l 「はい」の場合、アプライアンスのインストールと設定がすべて完了しました。再起動後、フローセンサーはVM環境からデータを収集してそれをNetFlow コレクタに送信するようになります。再起動後、UDP はデータを収集して、設定済みの宛先にそれを送信するようになります。


7. アイデンティティデバイスがありますか。

l 「はい」の場合、次の章「アイデンティティデバイスの追加」に進みます。


8. SLIC 機能はありますか。



39

l 「はい」の場合、「SLIC脅威フィード機能の有効化」の章に進みます。

l 「いいえ」の場合、SMC の設定がすべて完了しました。再起動後、フローコレクタとの通信が開始されます。



3

通信の確認

概要ステルスウォッチアプライアンスのライセンス供与後、NetFlow データを受信していることを確認する必要があります。確認するには、この章で説明している次の手順を実行します。

注意 ! この項の手順を開始する前に、各アプライアンスに対し前の項のライセンス手順をす

べて完了した後、30分待ちます。

NetFlowデータ収集の確認SMC へフローコレクタを追加すると、フローコレクタはSMC にフロー情報を伝え、さまざまな文書を介してユーザフレンドリーな方法でこの情報を表示します。NetFlow データを本当に収集していることを確認するには、次の手順を実行します。

1. エンタープライズツリーで、フローコレクタを右クリックし、

[ステータス( Status) ] > [NetFlow コレクションステータス( NetFlow Collection Status) ] の順

に選択します。

NetFlow コレクションのステータスに関するドキュメントが開きます。


41

2. ドキュメントの上部にある [現在のNetFlow トラフィック( Current NetFlow Traffic) ] フィール

ドを参照してください。この統計情報は検出されたNetFlow トラフィックの量を示します。フ

ローのトラフィックが表示されていますか。

l 「はい」の場合、次の手順に進みます。

l 「いいえ」の場合、エクスポータおよびルータの設定を確認します。( 詳細は、『SMCClient Online Help』を参照してください) 次の手順に進みます。

3. [最も長い継続時間のエクスポート ( Longest Duration Export) ] 列を参照してください。列

ヘッダーを右クリックし、ポップアップメニューから、 [最も長い継続時間のエクスポート

( Longest Duration Export) ] を選択して、この列を追加する必要がある場合があります。

各エクスポータの値は100 よりも下ですか。

l 「はい」の場合、キャッシュのエクスポートタイマーは正常です。

l 「いいえ」の場合、高い値はキャッシュのエクスポートタイマーが正しくないことを示し、誤ったアラームが発生する可能性があります。エクスポータおよびルータの設定を確認します。( 詳細は、『SMC Client Online Help』を参照してください)

4. アイデンティティデバイスがありますか。

l 「はい」の場合、次の章「 Cisco ISE の追加」に進みます。



l 「はい」の場合、「SLIC 脅威フィード機能の有効化」の章に進みます。

l 「いいえ」の場合、アプライアンスの設定は完了です。

通信の確認


4

CISCO ISE の追加

概要アイデンティティデバイスがあれば、それらをSMC に追加できます。この章には、Cisco ISE( Identity Services Engine) を追加する手順が含まれます。

Cisco ISEの追加

(注)

l 複数の独立したCisco ISE クラスタをドメインに追加できます。

l Stealthwatch システムにCisco ISE-PIC を追加する手順は、ここで説明しているものと同じです。

Cisco ISE-PIC の設定の詳細については、Cisco ISE のマニュアルを参照してください。

Cisco ISE を追加するには、次の手順を実行します。

1. SMC Web App インターフェイスのメニューで [展開( Deploy) ] > [Cisco ISE の設定( CiscoISE Configuration) ] の順に選択します。

[Cisco ISE の追加( Add Cisco ISE) ] ダイアログが開きます。


43

2. Cisco ISE クラスタの名前を入力します。使用されるStealthwatch システムの各ドメインの

Cisco ISE クラスタを設定する必要があります。

3. 該当する証明書を選択します。これはアプライアンスがクライアントとして ID を認証できる

( つまりSMC が ISE に提供するクライアント証明書) 、アプライアンス管理( Admin) インター

フェイスの [SSL 証明書( SSL Certificate) ] ページの [フレンドリ名( Friendly Name) ] フィー

ルド ( [アイデンティティのアップロード ( Upload an Identity) ] セクション内) に入力したのと同じ

名前です。

4. アプライアンスを統合する ISE クラスタのプライマリpxGrid ノードの IP アドレスを入力しま

す。

5. ( オプション) アプライアンスを統合する ISE クラスタのセカンダリpxGrid ノードの IP アドレスを

入力します。このノードは、フェールオーバーのために使用されます。プライマリノードへの接

続が失敗すると、セカンダリノードが使用されます。

6. Cisco ISE デバイスのユーザアカウント用に設定したユーザ名を入力します。この名前は

ISE アプライアンスの ISE クラスタのpxGrid クライアントリストに表示されます。

7. [追加( Add) ] > [OK] の順にクリックします。Cisco ISE が Identity Servicesフォルダのドメイ

ンに追加されます。


l 「はい」の場合、次の章「SLIC 脅威フィード機能の有効化」に進みます。

l 「いいえ」の場合、アプライアンスの設定は完了です。

Cisco ISEの追加


4SLIC 脅威フィード機能の有効化

Stealthwatch パッケージのインストールと設定の最後の手順は、SMC のクライアントインターフェイスを使用してSLIC 脅威フィードを有効にすることです。

次の手順を実行します。

1. エンタープライズツリーで、 [Stealthwatch ラボインテリジェンスセンター( Stealthwatch LabsIntelligence Center) ] ブランチを右クリックし、 [設定( Configuration) ] > [SLIC 脅威フィード

設定( SLIC Threat Feed Configuration) ] の順に選択します。

[SLIC 脅威フィード設定( SLIC Threat Feed Configuration) ] ダイアログが表示されます。


45

2. [SLIC 脅威フィードを有効にする( Enable the SLIC Threat Feed) ] チェックボックスを選択し

ます。

3. [SLIC フィードキー( SLIC Feed Key) ] フィールドにキーを入力します。

4. [OK] をクリック10 分以内に、エンタープライズツリーは、コマンド & コントロールサーバ

( C&C) ホストグループのブランチを更新して、識別済みのアクティブな C&C サーバのリスト

を表示します。

おめでとうございます! これで、Stealthwatch システムの多くのセキュリティとネットワークのモニタリングの利点を活用できるようになります。詳細については、『Stealthwatch Management Console User’s Guide』またはSMC クライアントインターフェイスオンラインヘルプを参照してください。 [ヘルプ( Help) ] をクリックします。

SLIC 脅威フィード機能の有効化


© 2017 Cisco Systems, Inc. All rights reserved SW_6_9_0_Hardware_Config_DV_1_2

Documents

Stealthwatch システム v6.9.0 ハードウェア コンフィギュレー …...SLIC脅威フィード機能の有効化 45 ©2017CiscoSystems,Inc.AllRightsReserved. iv 1 はじめに

Stealthwatch システム v6.9.0 ハードウェアコンフィギュレー …...SLIC脅威フィード機能の有効化 45 ©2017CiscoSystems,Inc.AllRightsReserved. iv 1 はじめに