FireEye機器遮断アダプタ導入ガイド

Slides:

Advertisements

Similar presentations

1 実技演習１ 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続各自、コンピュータを起動してネットワークに接続してください。各自、コンピュータを起動してネットワークに接続してください。 IP アドレス自動取得 IP アドレス自動取得無線 LAN 使用可無線.

Advertisements

TCP/IP によるチャットプログラム薄井秀晃. 基礎知識編 TCP/IP とは？ IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールであり、実際にデータを送受信する前にデータを小さなデータに分割し、それに発信元と受信先の IP アドレスを付加させて.

0 クイックスタートガイド｜管理者編スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.

目次（電子納品操作手順） ※ページはスライド番号

農業者年金記録管理システム研修資料の入手等について

Global Ring Technologies

メール暗号化：秘密鍵・公開鍵の作成　作業手順 Windows メール（Vista）.

目次 WindowsPCの場合 iPadの場合 iPhoneの場合 Androidの場合

情報基礎A 情報科学研究科徳山　豪.

オーダー端末操作手順書 WideNet株式会社 Ver.2013/01/30.

【ワークライフバランス研究センター】－Web会議システム利用マニュアル－

電子書籍をさがすどんな書籍があるの？ Maruzen eBook Libraryは、学術機関向け和書の電子書籍提供サービスです。

WEBから確認できる駐車場管理システムについて

～企業内の情報共有のために～暗黙知を→形式知へキッズウェイナレッジのご提案 200３年7月 24日 - 第１版 -

Web-EDI方式シナリオ１ [実験番号] ：実験タイトル 1 ：標準類の評価

らくらく学校連絡網スライドショーで見る操作ガイド -7- 出欠確認付きメール escで中断、リターンキーで進みます

らくらく学校連絡網スライドショーで見る操作ガイド -3- 登録抜粋－管理者作業 escで中断、リターンキーで進みます

Knowledge Suite(ナレッジスイート）ファーストステップガイド (管理者向け）

らくらく学校連絡網スライドショーで見る操作ガイド -2- 登録 escで中断、リターンキーで進みます

第4回ネットワーク講習会医中誌・JCRのセットアップと利用方法

CCP Express 3.1 初期設定ガイド(WAN/LAN)

「サイボウズ Office on cybozu.com」すぐできるＢＯＯＫ－ワークフロー編－

Digital Network And Communication

利用推奨環境最新のウエブブラウザGoogle Chromeを推奨します。最新のAdobe Flashが必要になります。

Al-Mailのインストールと使い方インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)

らくらく学校連絡網スライドショーで見る操作ガイド -4- 登録抜粋－登録者作業 escで中断、リターンキーで進みます

らくらく学校連絡網スライドショーで見る操作ガイド -8- グループの新規登録、修正できる項目 escで中断、リターンキーで進みます

平成22年度に実施を予定するインターネットを用いた研修システムによる研修ライブ配信受講手順書

インターネットの設定①（モデムのインストール）

新規配信先リスト登録配信実行及び経過確認配信状況確認メルマガ関連（オプション）

EBSCOhost 詳細検索チュートリアル support.ebsco.com.

メッセージ機能相手にメッセージを送信する 04 送信する相手を選んでメッセージを送信します。

タブレットのビジネス活用を支援する法人向けファイル共有サービス

iNetSec Intra Wall IPCOM連携モジュール導入ガイド

ファイアウォール　基礎教育（２日目）.

５．都道府県スポーツ少年団の登録手続き（１）都道府県スポーツ少年団登録手続きの流れ

神奈川県高体連バドミントン専門部選手登録＆大会参加申込

インターネット接続制御アプライアンス～　製品説明　～ 2013年06月アイビーソリューション株式会社 Ver

メールの利用１ Webメールの利用方法.

目次. 目次バージョンアップガイドについてリリース日バージョン情報 2012年8月28日（火）バージョンアップガイドの内容バージョンアップガイドはNIコンサルティングの製品に関する最新のリリースをまとめた統合的なユーザーガイドです。新機能や機能強化の内容、その導入に必要な情報を提供します。最新の機能を利用するガイドとしてお役立てください。

教育研究支援センター利用方法.

管理画面操作マニュアル＜サイト管理（１）＞基本設定第9版改訂株式会社アクア 1.

九州大学キャンパスクラウド利用法情報ネットワーク特論講義資料.

オーダー端末操作手順書 WideNet株式会社 Ver.2013/09/26.

アウトバウンド業務ガイダンス Ver.7 アウトバウンド業務について、作業フローを具体的な事例別にご説明します。

Office IME 2010 を使う.

セキュリティ（６） 05A2013 大川内　斉.

スポーツ少年団Web登録追加登録手続きについて（市区町村手続き）

初期設定マニュアルコナミスポーツクラブ情報ダイヤル【お問い合わせ先】０１２０-９１９-５７３受付時間

セキュリティ 05A2013 大川内　斉.

Cisco Umbrella のご紹介 2018 年 1 月.

すぐできるBOOK －スケジュール編－.

スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス

すぐできるBOOK －基本設定編－.

【e-Rad】担当者用平成２４年度公募（三次）新規公募（三次）設定操作説明（3月2９日修正版）

発注者側サイト操作説明書作成日：2004年6月　Ver1.0　初版改　訂：2005年9月　Ver1.2 株式会社　コニファ.

相互利用（自己測定）の流れ依頼者操作利用者アカウントでログインし、「研究設備検索・予約」ボタンを押すと設備一覧が表示されます。

調達見積回答 [インストラクタ・ノートがここに表示されます(ある場合)].

７-０．SWORD Client for WEKO インストールマニュアル Version 2.2

目次. 目次バージョンアップガイドについてリリース日バージョン情報 2011年9月26日（月）バージョンアップガイドの内容バージョンアップガイドはNIコンサルティングの製品に関する最新のリリースをまとめた統合的なユーザーガイドです。新機能や機能強化の内容、その導入に必要な情報を提供します。最新の機能を利用するガイドとしてお役立てください。

『GoNET-SR 機能一覧』 2017年04月アイビーソリューション株式会社 Ver 3.4.

お客様各位 ONE WEB PICK UP システムアカウント（利用ID）登録マニュアル.

スマートスクールWeb 発注承認マニュアル

インターネットに接続できない環境下にあるLAN DISKも LAN内で状態管理可能に！新登場！

バーチャルサーバー設定資料（管理者様用）

４．市区町村スポーツ少年団の登録手続き（１）市区町村スポーツ少年団登録手続きの流れ

LEAP初期登録マニュアル初期設定（初めてのログイン） P 2-3 パスワードの変更 P 4 パスワードを忘れたとき P 5-8

マルウェアへの対策.

Cisco Umbrella セミナー第4回　Umbrella 設定概要.

モバイル用マイページマニュアル本マニュアルでは　モバイル用マイページ（スマートフォン用）　の基本的なご利用方法をご案内いたします。

Presentation transcript:

FireEye機器遮断アダプタ導入ガイド株式会社PFU アプライアンスソフトウェア事業部企画部 2015年10月22日

はじめに 1. 本書の位置づけ 2.作業時に準備が必要なもの本書は、iNetSec Intra Wall FireEye機器遮断アダプタ(以降、FireEye機器遮断アダプタ)の導入に際して、具体的にFireEyeの設定を行う方法を説明する事を目的に作成されたものです。FireEye機器遮断アダプタの導入に関する詳細は、製品添付のマニュアルを必ずご覧ください。 2.作業時に準備が必要なもの【PC】　・マネージャー導入済みPC (FireEyeと連携するIntra wallのマネージャーにFireEye機器遮断アダプタソフトウェアを導入します) 　・FireEye設定用PC 　　　（マネージャー導入済みPCの使用も可能）【ソフトウェア】　・FireEye機器遮断アダプタソフトウェア【マニュアル】　・iNetSec Intra Wall ユーザーズガイド　・iNetSec Intra Wall FireEye機器遮断アダプタ　ユーザーズガイド

FireEye連携とは FireEye NXシリーズと iNetSec Intra Wall を連携させることにより、 FireEye NXシリーズで検知したマルウェア感染端末を、iNetSec Intra Wall が自動遮断します。インターネット入口・出口内部 iNetSec Intra Wall 遮断通知メール水飲み場 FireEye NXシリーズマルウェア検知メール管理者遮断重要サーバー C&Cサーバーマルウェア感染端末

導入

導入前の注意点－プロキシサーバ運用環境 FireEyeがプロキシの上に存在する場合 Intra Wallは感染端末を遮断できません NG NXシリーズ iNetSec Intra Wall 重要サーバー攻撃者プロキシサーバー (透過プロキシを除く) インターネットマルウェア感染端末 IP:192.168.10.10 IP:192.168.100.10 IP:192.168.100.135 192.168.10.10でマルウェア検知感染端末を遮断できない OK FireEyeがプロキシの下に存在する場合は感染端末を遮断できます感染端末のIPアドレスがプロキシサーバのIPアドレスに見える iNetSec Intra Wall 重要サーバー攻撃者インターネットマルウェア感染端末 IP:192.168.100.135 プロキシサーバー FireEye NXシリーズ 192.168.100.135でマルウェア検知遮断

導入の流れ機器遮断アダプタインストール前準備機器遮断アダプタインストール FireEye Rsyslog送信先設定遮断機器に表示される遮断メッセージ変更

機器遮断アダプタの使用する通信ポートの準備 1. 機器遮断アダプタインストール前準備機器遮断アダプタの使用する通信ポートの準備 iNetSec Intra Wall マネージャーがインストールされているコンピュータで、機器遮断アダプタがFireEyeからイベントを受け取ることができるように、通信に使用するTCP/514 ポートで受信方向に通信を通すようにファイアーウォールに設定します。 iNetSec Intra Wall マネージャーと FireEye で、時刻を同期する（推奨） iNetSec Intra Wall のイベントログと FireEye のイベントログを照合できるよう、NTP などを使用して、すべての iNetSec Intra Wall マネージャーと FireEye の時刻を同期します。

2. 機器遮断アダプタインストール iNetSec Intra Wallマネージャー導入PCへ管理者としてログインします。サポートページよりFireEye機器遮断アダプタの圧縮ファイルをダウンロードします。ファイルを解凍して、取り出したsetup.exeを実行します。インストール開始画面が表示されるので、【次へ】ボタンを選択すると、機器備考の選択画面を表示します。機器備考とは？ FireEyeの通知によりiNetSec Intra Wallセンサーに遮断された機器は、マネージャー上の、ここで選択された機器備考欄に”検知遮断(FireEye連携)”と表示されます。このため、iNetSec Intra Wallの運用で使用していな機器備考欄を選択してください。インストールが完了したら、インストール完了画面が表示されるので【完了】ボタンを押下してください。インストール開始画面機器備考の選択画面インストール完了画面

3. FireEye Rsyslog送信先設定-ログインユーザー名とパスワードを入力して、ログインを行ってください。ダッシュボードが表示されます。【Settings】タブを選択して設定を行っていきます。 XXX Settingsタブ

3. FireEye Rsyslog送信先設定-イベント通知の確認左のメニューから【Notification】を選択します。【rsyslog】の列にすべてのイベントにチェックが入っていることを確認します。確認したら、rsyslogの設定を行うため、【rsyslog】の文字(リンク)をクリックします。 Rsyslog設定のためのリンク Rsyslogで送信する選択イベント一覧 Notificationメニュー

3. FireEye Rsyslog送信先設定-rsyslog送信先追加登録済みのRsyslogの送付先一覧と追加のための【Add Rsyslog Server】ボタンが表示されます。【Name】欄に任意の名前を入力して、【Add Rsyslog Server】ボタンを押します。すると、Rsyslog送信先を追加するための入力項目が表示されます。 Rsyslog送信先の定義に名前を付ける Add Rsyslog Serverボタン Rsyslog送信先を追加するための入力項目

3. FireEye Rsyslog送信先設定-rsyslog送信先登録【Enabled】にチェックをつけて設定を有効にします rsyslogの送付先であるマネージャーのIPアドレスを【IP Address】へ入力します【Delivery】にイベントごとに送信するように”per event”を選択します【Format】にログのフォーマットとして”XML Concise”を選択します【Send as】に”Alert”を選択します【Protocol】に通信プロトコルとして”TCP”を選択します【Update】ボタンを押して設定を登録します。 ②Rsyslogの送信先IPアドレス今回はIntra Wallマネージャー Rsyslog送信先を追加するための入力項目 ③DeliveryにPer eventを選択 ④FormatにXML Conciseを選択 ①定義を有効にする ⑤Send asにAlertを選択 ⑦Updateボタンで設定を登録 ⑥Rsyslogが使う通信プロトコルをTCPに設定 iNetSec Intra Wall と連携する FireEye が複数ある場合、すべての FireEye でイベント通知先にiNetSec Intra Wall マネージャーを登録してください。また、FireEye と連携する iNetSec Intra Wall マネージャーが複数ある場合、FireEye の環境設定で、イベント通知先にすべてのiNetSec Intra Wall マネージャーを登録してください。

4. FireEye遮断イベント有効化 FireEyeで遮断 (“Blocked”)の有効化を行います iNetSec Intra Wall では、FireEyeで検知してrsyslogで遮断(“Blocked”)と通知されたイベントの機器を遮断します FireEyeで”Blocked”と通知されるイベントタイプは以下の通りです Infection-Match Malware Callback (※1) ※1: DTI( Dynamic Threat Intelligence)によるCallbackの検知は”Blocked”になりません FireEyeで”Blocked”と通知されないイベントタイプは以下の通りです Domain-Match Malware-Object Web-Infection 【補足】 MVX(Multi-Vector Virtual eXecution engine:仮想実行エンジン)で検知された未知の脅威は”Blocked”になりませんシグネチャ化された後で、シグネチャマッチングによりInfection-Matchとして”Blocked”で検知されますイベントの有効化はFireEyeがインラインに配置されているか、アウトバウンドに配置されているかにより設定方法が異なります

4. FireEye遮断イベント有効化-インライン配置の場合【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します【Inline Operational Modes】でお客様の運用に応じて【FS Open】(FireEyeに問題が発生した場合に、すべてのパケットを通す設定)または【FS Close】(FireEyeに問題が発生した場合に、すべてのパケットを通さない設定)を選択します【Update Operational Modes】ボタンをクリックします

4. FireEye遮断イベント有効化-アウトバウンド配置の場合【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します【Inline Operational Modes】で【Tap】を選択します【Update Operational Modes】ボタンをクリックします【Action Taken】の設定で、監視を行うポートに【TCP reset enable】をチェックしてください【Update Action Taken/Comfort Page】ボタンをクリックします

5. 遮断機器に表示される遮断メッセージの変更 Intra Wallマネージャーの【システム】設定から【セグメントグループ固有設定】を選択します【クライアント画面通知メッセージ】を展開します【拒否機器用遮断通知】の【メッセージ】に、以下の例のような、マルウェア感染の可能性に言及したメッセージに変更して運用します。

運用

運用イメージ遮断アダプタの機能により機器遮断マネージャーで遮断端末を確認遮断理由はFireEyeで確認可能遮断された端末の問題を取り除く遮断を解除する

1. マネージャーで遮断端末を確認 FireEyeからマネージャーに“Blocked”イベントと共に通知された端末は拒否機器へ登録されますマネージャーの【機器】リストから【拒否】機器リストを選択します遮断された機器は、機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示されます機器一覧画面(拒否機器一覧) 承認ステータス承認ステータスは、センサーで収集した機器のネットワークへの接続を許可するかどうかを表すステータスです FireEyeで”Blocked”イベントに指定された端末は、マネージャーで“拒否”リストに移動される機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示される

2. 遮断理由はFireEyeで確認可能-期間とIP指定 FireEyeにログインして、ダッシュボードが表示されたら【Alerts】タブを選択します Hosts画面が表示されるので、【Duration From】と【Going Back】で確認したい期間を指定します iNetSec Intra Wallマネージャーで確認した遮断端末のIPアドレスを見つけ、その行の【Total】列にある数字のリンクをクリックします Alertsタブ “Duration from:”にいつからを指定し、”Going Back”に過去のどこの時点までを指定します確認したい端末のIPアドレスをみつけ、その行の【Total】列に表示されている数字をクリックします

2. 遮断理由はFireEyeで確認可能-イベント一覧指定した期間で指定したIPアドレスを持つ機器で発生したイベントの一覧が表示されます iNetSec Intra Wallマネージャで確認した遮断機器が機器の拒否リストに移動された時間を【Time (UTC)】で確認し、【Badges】列にBlockedと表示されたイベントを探します確認したいイベントが見つかったら、その行の左端にある三角のアイコンをクリックします発生時間を確認する Blockedを確認する確認したいイベントを見つけたら、三角アイコンをクリックする遮断を行うイベント FireEyeが”Blocked”(遮断すべき)と判断したイベントをIntra Wallの遮断機能で遮断します。このため、Intra Wallは、マルウェア検知以外でも不審な端末を遮断します。

2.遮断理由はFireEyeで確認可能-イベント詳細期間とIPアドレスで絞り込み、発生日時と遮断を行う”Blocked”イベントで特定したイベントの詳細が表示されますイベントの詳細情報

マルウェア感染していた場合アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。 3. 遮断された端末の問題を取り除くマルウェア感染していた場合アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。 OSクリーンインストールを行う場合、感染した端末の必要なファイルをバックアップして再インストールした端末にリストアすると、そのファイルにマルウェアが感染していて問題が解決されない可能性があります。

4. 遮断を解除する-遮断前の許可ステータス確認端末の問題が解決したら遮断前の承認ステータスに戻しますセンサーを遮断モードで運用している場合その端末は遮断前は通信を行えていたため、遮断前は許可ステータスであったと考えられます。センサーが監視モードで運用している場合その端末は遮断前に許可ステータス、または未承認ステータスであったと考えられます。この場合は、端末の問題を解決する際にその端末が許可すべき端末であるか未承認の端末であるかをチェックして、遮断前の承認状態に戻します

4. 遮断を解除する-許可ステータスに戻すマネージャーの拒否リストに存在している対象端末のMACアドレスをクリックして、機器詳細画面を開きます【承認ステータス】を”許可”に指定します機器備考にある”検知遮断(FireEye連携)”の文字を削除します【OK】ボタンを押します承認ステータスを”拒否”から”許可”に変更する許可する端末のMACアドレスをクリックすると、機器詳細画面が現れる機器備考の”検知遮断(FireEye連携)”の文字を削除する OKボタンを押す

4. 遮断を解除する-未承認ステータスに戻すマネージャーの拒否リストに存在している対象端末の左端のチェックボックスをチェックします【削除】ボタンを押して、この端末を削除します未承認扱いにする端末の左端のチェックボックスをチェックする削除ボタンを押す

iNetSecは、お客様の安心・安全なネットワーク環境を実現します。製品情報は当社ホームページへ http://www.pfu.fujitsu.com/inetsec/