FireEye機器遮断アダプタ 導入ガイド

Slides:



Advertisements
Similar presentations
1 実技演習1 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続 各自、コンピュータを起動してネットワーク に接続してください。 各自、コンピュータを起動してネットワーク に接続してください。 IP アドレス自動取得 IP アドレス自動取得 無線 LAN 使用可 無線.
Advertisements

TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
目次(電子納品 操作手順) ※ページはスライド番号
農業者年金記録管理システム 研修資料の入手等について
Global Ring Technologies
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
目次 WindowsPCの場合 iPadの場合 iPhoneの場合 Androidの場合
情報基礎A 情報科学研究科 徳山 豪.
オーダー端末操作手順書 WideNet株式会社 Ver.2013/01/30.
【ワークライフバランス 研究センター】 -Web会議システム 利用マニュアル-
電子書籍を さがす どんな書籍があるの? Maruzen eBook Libraryは、学術機関向け和書の電子書籍提供サービスです。
WEBから確認できる 駐車場管理システムについて
~ 企業内の情報共有のために~ 暗黙知を→形式知へ キッズウェイナレッジのご提案 2003年7月 24日 - 第1版 -
Web-EDI方式 シナリオ1 [実験番号] : 実験タイトル 1 :標準類の評価
らくらく学校連絡網 スライドショーで見る操作ガイド -7- 出欠確認付きメール escで中断、リターンキーで進みます
らくらく学校連絡網 スライドショーで見る操作ガイド -3- 登録 抜粋-管理者作業 escで中断、リターンキーで進みます
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
らくらく学校連絡網 スライドショーで見る操作ガイド -2- 登録 escで中断、リターンキーで進みます
第4回ネットワーク講習会 医中誌・JCRのセットアップと利用方法
CCP Express 3.1 初期設定ガイド(WAN/LAN)
「サイボウズ Office on cybozu.com」 すぐできるBOOK -ワークフロー 編 -
Digital Network And Communication
利用推奨環境 最新のウエブブラウザGoogle Chromeを推奨します。 最新のAdobe Flashが必要になります。
Al-Mailのインストールと使い方 インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)
らくらく学校連絡網 スライドショーで見る操作ガイド -4- 登録 抜粋-登録者作業 escで中断、リターンキーで進みます
らくらく学校連絡網 スライドショーで見る操作ガイド -8- グループの新規登録、修正できる項目 escで中断、リターンキーで進みます
平成22年度に実施を予定するインターネットを 用いた研修システムによる研修 ライブ配信受講手順書
インターネットの設定①(モデムのインストール)
新規配信先リスト登録 配信実行及び経過確認 配信状況確認 メルマガ関連(オプション)
EBSCOhost 詳細検索 チュートリアル support.ebsco.com.
メッセージ機能 相手にメッセージを送信する 04 送信する相手を選んでメッセージを送信します。
タブレットのビジネス活用を支援する法人向けファイル共有サービス
iNetSec Intra Wall IPCOM連携モジュール 導入ガイド
ファイアウォール 基礎教育 (2日目).
5.都道府県スポーツ少年団の登録手続き (1)都道府県スポーツ少年団登録手続きの流れ
神奈川県高体連 バドミントン専門部 選手登録&大会参加申込
インターネット接続制御アプライアンス ~ 製品説明 ~ 2013年06月 アイビーソリューション株式会社 Ver
メールの利用1 Webメールの利用方法.
目次. 目次 バージョンアップガイドについて リリース日 バージョン情報 2012年8月28日 (火) バージョンアップガイドの内容 バージョンアップガイドはNIコンサルティングの製品に関する最新のリリースをまとめた統合的なユーザーガイドです。新機能や機能強化の内容、その導入に必要な情報を提供します。最新の機能を利用するガイドとしてお役立てください。
教育研究支援センター 利用方法.
管理画面操作マニュアル <サイト管理(1)> 基本設定 第9版 改訂 株式会社アクア 1.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
オーダー端末操作手順書 WideNet株式会社 Ver.2013/09/26.
アウトバウンド業務 ガイダンス Ver.7 アウトバウンド業務について、作業フローを具体的な事例別にご説明します。
Office IME 2010 を使う.
セキュリティ(6) 05A2013 大川内 斉.
スポーツ少年団Web登録 追加登録手続きについて(市区町村手続き)
初期設定マニュアル コナミスポーツクラブ情報ダイヤル 【お問い合わせ先】 0120-919-573 受付時間
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
すぐできるBOOK -スケジュール編-.
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
すぐできるBOOK -基本設定編-.
【e-Rad】担当者用 平成24年度公募(三次) 新規公募(三次)設定 操作説明 (3月29日修正版)
発注者側サイト操作説明書 作成日:2004年6月 Ver1.0 初版 改 訂:2005年9月 Ver1.2 株式会社 コニファ.
相互利用(自己測定)の流れ 依頼者操作 利用者アカウントでログインし、 「研究設備 検索・予約」ボタンを押すと設備一覧が表示されます。
調達見積回答 [インストラクタ・ノートがここに表示されます(ある場合)].
7-0.SWORD Client for WEKO インストールマニュアル Version 2.2
目次. 目次 バージョンアップガイドについて リリース日 バージョン情報 2011年9月26日 (月) バージョンアップガイドの内容 バージョンアップガイドはNIコンサルティングの製品に関する最新のリリースをまとめた統合的なユーザーガイドです。新機能や機能強化の内容、その導入に必要な情報を提供します。最新の機能を利用するガイドとしてお役立てください。
『GoNET-SR 機能一覧』 2017年04月 アイビーソリューション株式会社 Ver 3.4.
お客様各位 ONE WEB PICK UP システム アカウント(利用ID)登録マニュアル.
スマートスクールWeb 発注承認マニュアル
インターネットに接続できない環境下にあるLAN DISKも LAN内で状態管理可能に! 新登場!
バーチャルサーバー設定資料 (管理者様用)
4.市区町村スポーツ少年団の登録手続き (1)市区町村スポーツ少年団登録手続きの流れ
LEAP初期登録マニュアル 初期設定(初めてのログイン) P 2-3 パスワードの変更 P 4 パスワードを忘れたとき P 5-8
マルウェアへの対策.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
モバイル用マイページマニュアル 本マニュアルでは モバイル用マイページ(スマートフォン用) の基本的なご利用方法をご案内いたします。
Presentation transcript:

FireEye機器遮断アダプタ 導入ガイド 株式会社PFU アプライアンスソフトウェア事業部企画部 2015年10月22日

はじめに 1. 本書の位置づけ 2.作業時に準備が必要なもの 本書は、iNetSec Intra Wall FireEye機器遮断アダプタ(以降、FireEye機器遮断アダプタ)の導入に際 して、具体的にFireEyeの設定を行う方法を説明する事を目的に作成されたものです。FireEye機器遮断 アダプタの導入に関する詳細は、製品添付のマニュアルを必ずご覧ください。 2.作業時に準備が必要なもの 【PC】  ・マネージャー導入済みPC (FireEyeと連携するIntra wallのマネージャーにFireEye機器遮断アダプタソフトウェアを導入します)  ・FireEye設定用PC    (マネージャー導入済みPCの使用も可能) 【ソフトウェア】  ・FireEye機器遮断アダプタソフトウェア 【マニュアル】  ・iNetSec Intra Wall ユーザーズガイド  ・iNetSec Intra Wall FireEye機器遮断アダプタ ユーザーズガイド

FireEye連携とは FireEye NXシリーズと iNetSec Intra Wall を連携させることにより、 FireEye NXシリーズで検知したマルウェア感染端末を、iNetSec Intra Wall が自動遮断します。 インターネット 入口・出口 内部 iNetSec Intra Wall 遮断通知メール 水飲み場 FireEye NXシリーズ マルウェア検知 メール 管理者 遮 断 重要サーバー C&Cサーバー マルウェア感染端末

導入

導入前の注意点-プロキシサーバ運用環境 FireEyeがプロキシの上に存在する場合 Intra Wallは感染端末を遮断できません NG NXシリーズ iNetSec Intra Wall 重要サーバー 攻撃者 プロキシサーバー (透過プロキシを除く) インターネット マルウェア感染端末 IP:192.168.10.10 IP:192.168.100.10 IP:192.168.100.135 192.168.10.10でマルウェア検知 感染端末を遮断できない OK FireEyeがプロキシの下に存在する 場合は感染端末を遮断できます 感染端末のIPアドレスがプロキシサーバのIPアドレスに見える iNetSec Intra Wall 重要サーバー 攻撃者 インターネット マルウェア感染端末 IP:192.168.100.135 プロキシサーバー FireEye NXシリーズ 192.168.100.135でマルウェア検知 遮断

導入の流れ 機器遮断アダプタインストール前準備 機器遮断アダプタインストール FireEye Rsyslog送信先設定 遮断機器に表示される遮断メッセージ変更

機器遮断アダプタの使用する通信ポートの準備 1. 機器遮断アダプタインストール前準備 機器遮断アダプタの使用する通信ポートの準備 iNetSec Intra Wall マネージャーがインストールされているコンピュータで、機器遮断アダプタがFireEyeからイベントを受け取ることができるように、通信に使用するTCP/514 ポートで受信方向に通信を通すようにファイアーウォールに設定します。 iNetSec Intra Wall マネージャーと FireEye で、時刻を同期する(推奨) iNetSec Intra Wall のイベントログと FireEye のイベントログを照合できるよう、NTP など を使用して、すべての iNetSec Intra Wall マネージャーと FireEye の時刻を同期します。

2. 機器遮断アダプタインストール iNetSec Intra Wallマネージャー導入PCへ管理者としてログインします。 サポートページよりFireEye機器遮断アダプタの圧縮ファイルをダウンロードします。 ファイルを解凍して、取り出したsetup.exeを実行します。 インストール開始画面が表示されるので、【次へ】ボタンを選択すると、機器備考の選択画面を表示します。 機器備考とは? FireEyeの通知によりiNetSec Intra Wallセンサーに遮断された機器は、マネージャー上の、ここで選択された機器備考欄に”検知遮断(FireEye連携)”と表示されます。このため、iNetSec Intra Wallの運用で使用していな機器備考欄を選択してください。 インストールが完了したら、インストール完了画面が表示されるので【完了】ボタンを押下してください。 インストール開始画面 機器備考の選択画面 インストール完了画面

3. FireEye Rsyslog送信先設定-ログイン ユーザー名とパスワードを入力して、ログインを行ってください。ダッシュボードが表示されます。 【Settings】タブを選択して設定を行っていきます。 XXX Settingsタブ

3. FireEye Rsyslog送信先設定-イベント通知の確認 左のメニューから【Notification】を選択します。 【rsyslog】の列にすべてのイベントにチェックが入っていることを確認します。 確認したら、rsyslogの設定を行うため、【rsyslog】の文字(リンク)をクリックします。 Rsyslog設定のためのリンク Rsyslogで送信する選択イベント一覧 Notificationメニュー

3. FireEye Rsyslog送信先設定-rsyslog送信先追加 登録済みのRsyslogの送付先一覧と追加のための【Add Rsyslog Server】ボタンが表示されます。 【Name】欄に任意の名前を入力して、【Add Rsyslog Server】ボタンを押します。 すると、Rsyslog送信先を追加するための入力項目が表示されます。 Rsyslog送信先の定義に名前を付ける Add Rsyslog Serverボタン Rsyslog送信先を追加するための入力項目

3. FireEye Rsyslog送信先設定-rsyslog送信先登録 【Enabled】にチェックをつけて設定を有効にします rsyslogの送付先であるマネージャーのIPアドレスを【IP Address】へ入力します 【Delivery】にイベントごとに送信するように”per event”を選択します 【Format】にログのフォーマットとして”XML Concise”を選択します 【Send as】に”Alert”を選択します 【Protocol】に通信プロトコルとして”TCP”を選択します 【Update】ボタンを押して設定を登録します。 ②Rsyslogの送信先IPアドレス 今回はIntra Wallマネージャー Rsyslog送信先を追加するための入力項目 ③DeliveryにPer eventを選択 ④FormatにXML Conciseを選択 ①定義を有効にする ⑤Send asにAlertを選択 ⑦Updateボタンで設定を登録 ⑥Rsyslogが使う通信プロトコルをTCPに設定 iNetSec Intra Wall と連携する FireEye が複数ある場合、すべての FireEye でイベント通知先にiNetSec Intra Wall マネージャーを登録してください。 また、FireEye と連携する iNetSec Intra Wall マネージャーが複数ある場合、FireEye の環境設定で、イベント通知先にすべてのiNetSec Intra Wall マネージャーを登録してください。

4. FireEye遮断イベント有効化 FireEyeで遮断 (“Blocked”)の有効化を行います iNetSec Intra Wall では、FireEyeで検知してrsyslogで遮断(“Blocked”)と通知されたイベントの機器を遮断します FireEyeで”Blocked”と通知されるイベントタイプは以下の通りです Infection-Match Malware Callback (※1) ※1: DTI( Dynamic Threat Intelligence)によるCallbackの検知は”Blocked”になりません FireEyeで”Blocked”と通知されないイベントタイプは以下の通りです Domain-Match Malware-Object Web-Infection 【補足】 MVX(Multi-Vector Virtual eXecution engine:仮想実行エンジン)で検知された未知の脅威は”Blocked”になりません シグネチャ化された後で、シグネチャマッチングによりInfection-Matchとして”Blocked”で検知されます イベントの有効化はFireEyeがインラインに配置されているか、アウトバウンドに配置されているかにより設定方法が異なります

4. FireEye遮断イベント有効化-インライン配置の場合 【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します 【Inline Operational Modes】でお客様の運用に応じて【FS Open】(FireEyeに問題が発生した場合に、すべてのパケットを通す設定)または【FS Close】(FireEyeに問題が発生した場合に、すべてのパケットを通さない設定)を選択します 【Update Operational Modes】ボタンをクリックします

4. FireEye遮断イベント有効化-アウトバウンド配置の場合 【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します 【Inline Operational Modes】で【Tap】を選択します 【Update Operational Modes】ボタンをクリックします 【Action Taken】の設定で、監視を行うポートに【TCP reset enable】をチェックしてください 【Update Action Taken/Comfort Page】ボタンをクリックします

5. 遮断機器に表示される遮断メッセージの変更 Intra Wallマネージャーの【システム】設定から【セグメントグループ固有設定】を選択します 【クライアント画面通知メッセージ】を展開します 【拒否機器用遮断通知】の【メッセージ】に、以下の例のような、マルウェア感染の可能性に言及したメッセージに変更して運用します。

運用

運用イメージ 遮断アダプタの機能により機器遮断 マネージャーで遮断端末を確認 遮断理由はFireEyeで確認可能 遮断された端末の問題を取り除く 遮断を解除する

1. マネージャーで遮断端末を確認 FireEyeからマネージャーに“Blocked”イベントと共に通知された端末は拒否機器へ登録されます マネージャーの【機器】リストから【拒否】機器リストを選択します 遮断された機器は、機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示されます 機器一覧画面(拒否機器一覧) 承認ステータス 承認ステータスは、センサーで収集した機器のネットワークへの接続を許可するかどうかを表すステータスです FireEyeで”Blocked”イベントに指定された端末は、マネージャーで“拒否”リストに移動される 機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示される

2. 遮断理由はFireEyeで確認可能-期間とIP指定 FireEyeにログインして、ダッシュボードが表示されたら【Alerts】タブを選択します Hosts画面が表示されるので、【Duration From】と【Going Back】で確認したい期間を指定します iNetSec Intra Wallマネージャーで確認した遮断端末のIPアドレスを見つけ、その行の【Total】列にある数字のリンクをクリックします Alertsタブ “Duration from:”にいつからを指定し、”Going Back”に過去のどこの時点までを指定します 確認したい端末のIPアドレスをみつけ、その行の【Total】列に表示されている数字をクリックします

2. 遮断理由はFireEyeで確認可能-イベント一覧 指定した期間で指定したIPアドレスを持つ機器で発生したイベントの一覧が表示されます iNetSec Intra Wallマネージャで確認した遮断機器が機器の拒否リストに移動された時間を【Time (UTC)】で確認し、【Badges】列にBlockedと表示されたイベントを探します 確認したいイベントが見つかったら、その行の左端にある三角のアイコンをクリックします 発生時間を確認する Blockedを確認する 確認したいイベントを見つけたら、三角アイコンをクリックする 遮断を行うイベント FireEyeが”Blocked”(遮断すべき)と判断したイベントをIntra Wallの遮断機能で遮断します。 このため、Intra Wallは、マルウェア検知以外でも不審な端末を遮断します。

2.遮断理由はFireEyeで確認可能-イベント詳細 期間とIPアドレスで絞り込み、発生日時と遮断を行う”Blocked”イベントで特定したイベントの詳細が表示されます イベントの詳細情報

マルウェア感染していた場合 アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。 3. 遮断された端末の問題を取り除く マルウェア感染していた場合 アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。 OSクリーンインストールを行う場合、感染した端末の必要なファイルをバックアップして再インストールした端末にリストアすると、そのファイルにマルウェアが感染していて問題が解決されない可能性があります。

4. 遮断を解除する-遮断前の許可ステータス確認 端末の問題が解決したら遮断前の承認ステータスに戻します センサーを遮断モードで運用している場合 その端末は遮断前は通信を行えていたため、遮断前は許可ステータスであったと考えられます。 センサーが監視モードで運用している場合 その端末は遮断前に許可ステータス、または未承認ステータスであったと考えられます。この場合は、端末の問題を解決する際にその端末が許可すべき端末であるか未承認の端末であるかをチェックして、遮断前の承認状態に戻します

4. 遮断を解除する-許可ステータスに戻す マネージャーの拒否リストに存在している対象端末のMACアドレスをクリックして、機器詳細画面を開きます 【承認ステータス】を”許可”に指定します 機器備考にある”検知遮断(FireEye連携)”の文字を削除します 【OK】ボタンを押します 承認ステータスを”拒否”から”許可”に変更する 許可する端末のMACアドレスをクリックすると、機器詳細画面が現れる 機器備考の”検知遮断(FireEye連携)”の文字を削除する OKボタンを押す

4. 遮断を解除する-未承認ステータスに戻す マネージャーの拒否リストに存在している対象端末の左端のチェックボックスをチェックします 【削除】ボタンを押して、この端末を削除します 未承認扱いにする端末の左端のチェックボックスをチェックする 削除ボタンを押す

iNetSecは、お客様の安心・安全な ネットワーク環境を実現します。 製品情報は当社ホームページへ http://www.pfu.fujitsu.com/inetsec/