Rogue System Detection(RSD)とは? 管理ネットワークに不正なシステムが接続されたことを検知し、ePOに通知します。 導入/運用はePOで一元管理が可能です。 不正システムセンサ RSD/ePOサーバ 3 ePOに通知(https) • DNS名 • オペレーティングシステムのバージョン • NetBIOS情報(ドメインメンバーシップ、システム名、ログオンユーザ名) 4 2 ePOのDBを参照し、不正システムか判断。 不正であれば以下のアクションを自動実行可能 接続を検知(ARP/DHCP) アクション 結果 検出されたシステムを削除 検出されたシステムは、ePOコンピュータ リストに表示されません。 外部コマンドの実行 任意のコマンドラインの実行します。 システムツリーに追加 任意のシステムサイトに検出されたシステムを追加します。 除外対象に追加 検出されたシステムを除外リストに追加します。 McAfee Agentを配備 McAfee Agentを検出されたシステムに配備します。 McAfeeエージェントに対するクエリを実行 検出されたシステムにMcAfeeエージェントが配備されているかどうか確認する。 除外対象から削除 検出されたシステムを除外リストから削除します。 問題の作成 ePOの問題管理機能の問題を作成します。 スケジュールタスクを実行 “サーバタスク”で事前に作成したタスクを実行します。 電子メールの送信 任意の受信者にカスタマイズした件名とメッセージを送信します。 SNMPトラップを送信 SNMPトラップとして通知メッセージを送信します。 1 ネットワークに接続
ダッシュボード 【ダッシュボード】→【RSDの概要】
ダッシュボード>RSDの概要
ダッシュボード>RSDの概要>ドメインごとの不正システム、 OSごとの不正システム、OUIごとの不正システム
検出されたシステム 【メニュー】→【システム】 →【検出されたシステム】
メニュー>システム>検出されたシステム クリックすると 詳細表示
検出されたシステム詳細
ポリシー 【メニュー】→ 【ポリシー】→ 【ポリシーカタログ】→ 【RogueSystemDetection4.5.0】
ポリシー(一般、通信、インターフェース) RSD/ePOサーバのアドレス この時間内だけ、センサは不正システム情報を保持します。 この時間内にパッシブセンサがサーバと通信できない場合、 サーバは、そのセンサを不明なセンサと認識します。 この時間が経過後、アクティブセンサはサーバに情報をレポートします。 『センサのシステム検出のキャッシュライフタイム』と『アクティブなセンサのレポート間隔』は、同じ値に設定することをお勧めします。
ポリシー(検出)
サーバ設定 【メニュー】→【設定】→【サーバの設定】→【Rouge System Sensor】
サーバ設定 (Rogue System Sensor、検出されたシステムOU) この時間内にセンサがサーバと通信できない場合、 サーバは、そのセンサを不明なセンサと認識します。 ePO では、OUI(Organizational Unique Identifier))情報からNICのベンダーを特定します。 この情報は IEEE Registration Authority によって管理されています。
サーバ設定 (検出されたシステムのマッチング)
サーバ設定 (検出されたシステムの対応状況)
サーバ設定 (検出されたシステム例外のカテゴリ)
自動応答 【メニュー】→【自動処理】→【自動応答】→【不正システムイベント】
自動応答(トリガとアクション) アクションのトリガを決定 アクション 結果 検出されたシステムを削除 検出されたシステムは、ePOコンピュータ リストに表示されません。 外部コマンドの実行 任意のコマンドラインの実行します。 システムツリーに追加 任意のシステムサイトに検出されたシステムを追加します。 除外対象に追加 検出されたシステムを除外リストに追加します。 McAfee Agentを配備 McAfee Agentを検出されたシステムに配備します。 McAfeeエージェントに対するクエリを実行 検出されたシステムにMcAfeeエージェントが配備されているかどうか確認する。 除外対象から削除 検出されたシステムを除外リストから削除します。 問題の作成 ePOの問題管理機能の問題を作成します。 スケジュールタスクを実行 “サーバタスク”で事前に作成したタスクを実行します。 電子メールの送信 任意の受信者にカスタマイズした件名とメッセージを送信します。 SNMPトラップを送信 SNMPトラップとして通知メッセージを送信します。