FireEye機器遮断アダプタ 導入ガイド

Presentation on theme: "FireEye機器遮断アダプタ 導入ガイド"— Presentation transcript:

1 FireEye機器遮断アダプタ 導入ガイド
株式会社PFU アプライアンスソフトウェア事業部企画部 2015年10月22日

2 はじめに 1. 本書の位置づけ 2.作業時に準備が必要なもの
本書は、iNetSec Intra Wall FireEye機器遮断アダプタ(以降、FireEye機器遮断アダプタ)の導入に際 して、具体的にFireEyeの設定を行う方法を説明する事を目的に作成されたものです。FireEye機器遮断 アダプタの導入に関する詳細は、製品添付のマニュアルを必ずご覧ください。 2.作業時に準備が必要なもの 【PC】 　・マネージャー導入済みPC (FireEyeと連携するIntra wallのマネージャーにFireEye機器遮断アダプタソフトウェアを導入します) 　・FireEye設定用PC 　　　（マネージャー導入済みPCの使用も可能） 【ソフトウェア】 　・FireEye機器遮断アダプタソフトウェア 【マニュアル】 　・iNetSec Intra Wall ユーザーズガイド 　・iNetSec Intra Wall FireEye機器遮断アダプタ　ユーザーズガイド

3 FireEye連携とは FireEye NXシリーズと iNetSec Intra Wall を連携させることにより、 FireEye NXシリーズで検知したマルウェア感染端末を、iNetSec Intra Wall が自動遮断します。 インターネット 入口・出口 内部 iNetSec Intra Wall 遮断通知メール 水飲み場 FireEye NXシリーズ マルウェア検知 メール 管理者 遮 断 重要サーバー C&Cサーバー マルウェア感染端末

4 導入

5 導入前の注意点－プロキシサーバ運用環境 FireEyeがプロキシの上に存在する場合 Intra Wallは感染端末を遮断できません NG
NXシリーズ iNetSec Intra Wall 重要サーバー 攻撃者 プロキシサーバー (透過プロキシを除く) インターネット マルウェア感染端末 IP: IP: IP: でマルウェア検知 感染端末を遮断できない OK FireEyeがプロキシの下に存在する 場合は感染端末を遮断できます 感染端末のIPアドレスがプロキシサーバのIPアドレスに見える iNetSec Intra Wall 重要サーバー 攻撃者 インターネット マルウェア感染端末 IP: プロキシサーバー FireEye NXシリーズ でマルウェア検知 遮断

6 導入の流れ 機器遮断アダプタインストール前準備 機器遮断アダプタインストール FireEye Rsyslog送信先設定
遮断機器に表示される遮断メッセージ変更

7 機器遮断アダプタの使用する通信ポートの準備
1. 機器遮断アダプタインストール前準備 機器遮断アダプタの使用する通信ポートの準備 iNetSec Intra Wall マネージャーがインストールされているコンピュータで、機器遮断アダプタがFireEyeからイベントを受け取ることができるように、通信に使用するTCP/514 ポートで受信方向に通信を通すようにファイアーウォールに設定します。 iNetSec Intra Wall マネージャーと FireEye で、時刻を同期する（推奨） iNetSec Intra Wall のイベントログと FireEye のイベントログを照合できるよう、NTP など を使用して、すべての iNetSec Intra Wall マネージャーと FireEye の時刻を同期します。

8 2. 機器遮断アダプタインストール iNetSec Intra Wallマネージャー導入PCへ管理者としてログインします。
サポートページよりFireEye機器遮断アダプタの圧縮ファイルをダウンロードします。 ファイルを解凍して、取り出したsetup.exeを実行します。 インストール開始画面が表示されるので、【次へ】ボタンを選択すると、機器備考の選択画面を表示します。 機器備考とは？ FireEyeの通知によりiNetSec Intra Wallセンサーに遮断された機器は、マネージャー上の、ここで選択された機器備考欄に”検知遮断(FireEye連携)”と表示されます。このため、iNetSec Intra Wallの運用で使用していな機器備考欄を選択してください。 インストールが完了したら、インストール完了画面が表示されるので【完了】ボタンを押下してください。 インストール開始画面 機器備考の選択画面 インストール完了画面

9 3. FireEye Rsyslog送信先設定-ログイン
ユーザー名とパスワードを入力して、ログインを行ってください。ダッシュボードが表示されます。 【Settings】タブを選択して設定を行っていきます。 XXX Settingsタブ

10 3. FireEye Rsyslog送信先設定-イベント通知の確認
左のメニューから【Notification】を選択します。 【rsyslog】の列にすべてのイベントにチェックが入っていることを確認します。 確認したら、rsyslogの設定を行うため、【rsyslog】の文字(リンク)をクリックします。 Rsyslog設定のためのリンク Rsyslogで送信する選択イベント一覧 Notificationメニュー

11 3. FireEye Rsyslog送信先設定-rsyslog送信先追加
登録済みのRsyslogの送付先一覧と追加のための【Add Rsyslog Server】ボタンが表示されます。 【Name】欄に任意の名前を入力して、【Add Rsyslog Server】ボタンを押します。 すると、Rsyslog送信先を追加するための入力項目が表示されます。 Rsyslog送信先の定義に名前を付ける Add Rsyslog Serverボタン Rsyslog送信先を追加するための入力項目

12 3. FireEye Rsyslog送信先設定-rsyslog送信先登録
【Enabled】にチェックをつけて設定を有効にします rsyslogの送付先であるマネージャーのIPアドレスを【IP Address】へ入力します 【Delivery】にイベントごとに送信するように”per event”を選択します 【Format】にログのフォーマットとして”XML Concise”を選択します 【Send as】に”Alert”を選択します 【Protocol】に通信プロトコルとして”TCP”を選択します 【Update】ボタンを押して設定を登録します。 ②Rsyslogの送信先IPアドレス 今回はIntra Wallマネージャー Rsyslog送信先を追加するための入力項目 ③DeliveryにPer eventを選択 ④FormatにXML Conciseを選択 ①定義を有効にする ⑤Send asにAlertを選択 ⑦Updateボタンで設定を登録 ⑥Rsyslogが使う通信プロトコルをTCPに設定 iNetSec Intra Wall と連携する FireEye が複数ある場合、すべての FireEye でイベント通知先にiNetSec Intra Wall マネージャーを登録してください。 また、FireEye と連携する iNetSec Intra Wall マネージャーが複数ある場合、FireEye の環境設定で、イベント通知先にすべてのiNetSec Intra Wall マネージャーを登録してください。

13 4. FireEye遮断イベント有効化 FireEyeで遮断 (“Blocked”)の有効化を行います
iNetSec Intra Wall では、FireEyeで検知してrsyslogで遮断(“Blocked”)と通知されたイベントの機器を遮断します FireEyeで”Blocked”と通知されるイベントタイプは以下の通りです Infection-Match Malware Callback (※1) ※1: DTI( Dynamic Threat Intelligence)によるCallbackの検知は”Blocked”になりません FireEyeで”Blocked”と通知されないイベントタイプは以下の通りです Domain-Match Malware-Object Web-Infection 【補足】 MVX(Multi-Vector Virtual eXecution engine:仮想実行エンジン)で検知された未知の脅威は”Blocked”になりません シグネチャ化された後で、シグネチャマッチングによりInfection-Matchとして”Blocked”で検知されます イベントの有効化はFireEyeがインラインに配置されているか、アウトバウンドに配置されているかにより設定方法が異なります

14 4. FireEye遮断イベント有効化-インライン配置の場合
【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します 【Inline Operational Modes】でお客様の運用に応じて【FS Open】(FireEyeに問題が発生した場合に、すべてのパケットを通す設定)または【FS Close】(FireEyeに問題が発生した場合に、すべてのパケットを通さない設定)を選択します 【Update Operational Modes】ボタンをクリックします

15 4. FireEye遮断イベント有効化-アウトバウンド配置の場合
【Settings】タブを選択して、【Inline Operational Modes】メニューを選択します 【Inline Operational Modes】で【Tap】を選択します 【Update Operational Modes】ボタンをクリックします 【Action Taken】の設定で、監視を行うポートに【TCP reset enable】をチェックしてください 【Update Action Taken/Comfort Page】ボタンをクリックします

16 5. 遮断機器に表示される遮断メッセージの変更
Intra Wallマネージャーの【システム】設定から【セグメントグループ固有設定】を選択します 【クライアント画面通知メッセージ】を展開します 【拒否機器用遮断通知】の【メッセージ】に、以下の例のような、マルウェア感染の可能性に言及したメッセージに変更して運用します。

17 運用

18 運用イメージ 遮断アダプタの機能により機器遮断 マネージャーで遮断端末を確認 遮断理由はFireEyeで確認可能
遮断された端末の問題を取り除く 遮断を解除する

19 1. マネージャーで遮断端末を確認 FireEyeからマネージャーに“Blocked”イベントと共に通知された端末は拒否機器へ登録されます
マネージャーの【機器】リストから【拒否】機器リストを選択します 遮断された機器は、機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示されます 機器一覧画面(拒否機器一覧) 承認ステータス 承認ステータスは、センサーで収集した機器のネットワークへの接続を許可するかどうかを表すステータスです FireEyeで”Blocked”イベントに指定された端末は、マネージャーで“拒否”リストに移動される 機器遮断アダプタインストール時に指定した機器備考欄に“検知遮断(FireEye連携)”と表示される

20 2. 遮断理由はFireEyeで確認可能-期間とIP指定
FireEyeにログインして、ダッシュボードが表示されたら【Alerts】タブを選択します Hosts画面が表示されるので、【Duration From】と【Going Back】で確認したい期間を指定します iNetSec Intra Wallマネージャーで確認した遮断端末のIPアドレスを見つけ、その行の【Total】列にある数字のリンクをクリックします Alertsタブ “Duration from:”にいつからを指定し、”Going Back”に過去のどこの時点までを指定します 確認したい端末のIPアドレスをみつけ、その行の【Total】列に表示されている数字をクリックします

21 2. 遮断理由はFireEyeで確認可能-イベント一覧
指定した期間で指定したIPアドレスを持つ機器で発生したイベントの一覧が表示されます iNetSec Intra Wallマネージャで確認した遮断機器が機器の拒否リストに移動された時間を【Time (UTC)】で確認し、【Badges】列にBlockedと表示されたイベントを探します 確認したいイベントが見つかったら、その行の左端にある三角のアイコンをクリックします 発生時間を確認する Blockedを確認する 確認したいイベントを見つけたら、三角アイコンをクリックする 遮断を行うイベント FireEyeが”Blocked”(遮断すべき)と判断したイベントをIntra Wallの遮断機能で遮断します。 このため、Intra Wallは、マルウェア検知以外でも不審な端末を遮断します。

22 2.遮断理由はFireEyeで確認可能-イベント詳細
期間とIPアドレスで絞り込み、発生日時と遮断を行う”Blocked”イベントで特定したイベントの詳細が表示されます イベントの詳細情報

23 マルウェア感染していた場合 アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。
3. 遮断された端末の問題を取り除く マルウェア感染していた場合 アンチウィルスソフトなどで駆除する、または、OSのクリーンインストールを行います。 OSクリーンインストールを行う場合、感染した端末の必要なファイルをバックアップして再インストールした端末にリストアすると、そのファイルにマルウェアが感染していて問題が解決されない可能性があります。

24 4. 遮断を解除する-遮断前の許可ステータス確認
端末の問題が解決したら遮断前の承認ステータスに戻します センサーを遮断モードで運用している場合 その端末は遮断前は通信を行えていたため、遮断前は許可ステータスであったと考えられます。 センサーが監視モードで運用している場合 その端末は遮断前に許可ステータス、または未承認ステータスであったと考えられます。この場合は、端末の問題を解決する際にその端末が許可すべき端末であるか未承認の端末であるかをチェックして、遮断前の承認状態に戻します

25 4. 遮断を解除する-許可ステータスに戻す マネージャーの拒否リストに存在している対象端末のMACアドレスをクリックして、機器詳細画面を開きます 【承認ステータス】を”許可”に指定します 機器備考にある”検知遮断(FireEye連携)”の文字を削除します 【OK】ボタンを押します 承認ステータスを”拒否”から”許可”に変更する 許可する端末のMACアドレスをクリックすると、機器詳細画面が現れる 機器備考の”検知遮断(FireEye連携)”の文字を削除する OKボタンを押す

26 4. 遮断を解除する-未承認ステータスに戻す マネージャーの拒否リストに存在している対象端末の左端のチェックボックスをチェックします
【削除】ボタンを押して、この端末を削除します 未承認扱いにする端末の左端のチェックボックスをチェックする 削除ボタンを押す

27 iNetSecは、お客様の安心・安全な ネットワーク環境を実現します。
製品情報は当社ホームページへ