[TKB] セキュリティ ドキュメント

はじめにデフォルト動作ICMP トラフィックの制御PING 動作確認ICMP コマンドと ACL の違いは？ASAを通過するPING疎通確認参考情報   はじめに ASA のインタフェースへ PING を実行した際に、ASA の ICMP トラフィック処理・制御について紹介します。本ドキュメントは、ASA バージョン9.8(4)15を用いて確認、作成しております。     デフォルト動作 デフォルト動作は、ASA のインターフェイスに着信するすべての ICMP トラフィックを許可します。なお、...

はじめに最小要件設定方法Proxies host groupの編集Custom Security Eventの設定   はじめに 多くの企業にてインターネットへのアクセスコントロール(特定のWebサイトへのアクセス禁止、ユーザによってアクセスレベルを変更する、帯域管理など)やマルウェアの検出のためプロキシサーバを利用することは重要であり、かつネットワーク管理者はユーザが企業ポリシーに準拠し、プロキシサーバを経由してインターネットへアクセスしているかを監視しなければなりません。 Cisco St...

はじめに最小要件設定方法Host Group Managementの設定Security Eventの設定   はじめに ファイルレスマルウェアは、ユーザに電子メールなどからダウンロードさせて実行する一般的なマルウェアとは異なり、メモリ常駐型のマルウェアのためディスク上には実行ファイルが存在しません。そしてメモリ上からWindows PowerShellなどの信頼されているアプリケーションを操作し攻撃を行います。このようにファイルレスマルウェアはウイルス対策ソフトのファイルスキャンの対象にはな...

はじめにシステム要件Disk 容量拡張手順（6.10.x まで）Disk 容量拡張手順（7.0 以降）   はじめに Stealthwatch 上で必要な Disk 容量は一定ではなく、トラフィック量やイベント発生状況などによって変わってくるため、導入後に Disk 容量が足りなくなる場合があります。また、Upgrade する際に必要な空き容量が不足しているため Upgrade することができないという場合もあります。本ドキュメントでは、ESXi 上で動作する仮想アプライアンスにおいて、導入後に...

はじめにシステム要件Net-SNMP の設定rsyslog の設定Response Management を設定する動作確認SNMP Trap で送られてくる情報の見方   はじめに Setalthwatch ではアラーム発生時にそれを通知するための方法として以下のような方法が提供されています。 ArcSightEmailQualysGuardSNMP TrapLegacy Stealthwatch Appliance SyslogSyslog 本ドキュメントではこれらのうち SNMP Trap...

はじめに適用されているホストポリシーの確認方法 はじめに 本ドキュメントでは SMC にてホストに適用されているポリシーの確認方法について説明します。 ドキュメント作成で使用したバージョンは 7.1.1 です。他のバージョンでは内容が異なる場合があります。     適用されているホストポリシーの確認方法   1. Java Swing Client を起動し、確認したいドメインを選択のうえ Configuration > Host Policy Manager... を選択   2. Host...

はじめにライセンス移行手順Step1Step2Step3Step4   はじめに 本ドキュメントではスマートライセンス対応のバージョン7.2以前のライセンス管理ポータルであるDownload and License Center(DLC) 上での Stealthwatch製品のライセンス移行手順について説明します。なお、バージョン7.1は2022年7月21日、DLCは2022年12月31日をもってEoLを迎えました。詳しくはEoL ポリシーについて、Download and License C...

はじめに証明書要件CSR を生成して外部CAで証明書を発行するTrust Store に必要な証明書をインストールする証明書チェインを作成する証明書をインストールする   はじめに Stealthwatch 7.0 以降では SMC 上で動作する Central Management から各アプライアンスを管理するアーキテクチャに変更されています。アプライアンス間の通信は基本的に HTTPS が使われるため、証明書が適切にインストールされていない場合、"Channel Down" となり、Cen...

はじめに 本ドキュメントでは、SMC の WebUI を使用して、内部ユーザからの脅威を検出する方法について説明します。 本ドキュメントの説明はバージョン 6.6 以降を対象としているため、古いバージョンの画面が使われています。最新のバージョンとは若干操作が異なる場合がありますが、考え方は同じです。   最小要件 この方法を適用するためのネットワーク構成や Stealthwatch システムの最小要件は以下の通りです。 Core から Distribution 宛の全ての host-to-ho...

はじめに6.x におけるタイムゾーン設定7.x におけるタイムゾーン設定     はじめに 本ドキュメントは Stealthwatch 上のタイムゾーン設定について説明します。タイムゾーン設定は 6.x と 7.0 以降で異なっていますので、本ドキュメントでは主にその違いについて説明します。 本ドキュメントでは 6.10.5 、7.0.0 で動作を確認しました。     6.x におけるタイムゾーン設定 7.0 よりも前のバージョンでは、WebUI にてタイムゾーンを設定することができます。以下...

概要FCM GUIでの確認FXOS CLIでの確認 概要 FPR2100にて，FCM (Firepower Chassis Manager)，もしくはFXOSのCLIでPort-Channelを作成した場合，FCMとFXOSのCLIからはバンドルされたEthernetインターフェイスは表示上削除されるのですが，ASA CLI上ではバンドルされたEthernetインターフェイスが削除されません．これは表示上だけの問題であり，'no interface Ethernet ～'で当該インターフェイス...

はじめにCLI でのコンフィグバックアップ取得方法生成されたファイルの確認   はじめに 本ドキュメントではコンフィグバックアップファイルを CLI から取得する方法について説明します。WebUI で取得する方法や、バックアップファイルを暗号化する方法については コンフィグバックアップの取得方法（WebUI） で説明していますので、こちらも参考にしてください。 本ドキュメントの作成では Stealthwatch バージョン 7.1.1 を使用しています。     CLI でのコンフィグバックア...

はじめにCLIからのFMC管理IPアドレスの変更方法GUIからのFMC管理IPアドレスの変更方法参考情報   はじめに 本ドキュメントでは FMC (旧名: FireSIGHT) の管理IPアドレス変更方法について紹介します。本ドキュメントは、FMC virtualの バージョン 6.6.0を利用し確認、作成しております。   CLIからのFMC管理IPアドレスの変更方法 FMCにコンソール経由などでCLIアクセスし expertモードに入った後、以下コマンドを実行します。 sudo su -...

はじめに新しいマルウェアに対するSecure Endpoint対応状況の確認方法TALOS BlogCisco Japan BlogマルウェアのHash値(SHA256)が判明している場合の調査方法CiscoのWebから情報を得られない場合未知のマルウェアを検知する仕組みCisco TACへのお問い合わせについて       はじめに   Secure EndpointはCiscoのセキュリティ機関であるTALOSによって、常に最新のマルウェア解析状況を反映させているソリューションですが、新し...

はじめに前提条件手順アプライアンスの起動とリストアメニューへの移行IPアドレスの設定プロトコルの選択ISOファイルのダウンロードインストール実行ライセンス削除/EULA同意/ネットワーク設定注意事項参考資料   はじめに 本記事は、FMC(Firepower Management Center) アプライアンスのRe-image（再インストール）をISOファイルを使用してネットワーク経由で実行する方法を説明します。別の記事では紹介させていただいておりますが、ISOファイルでDVD-R/RWを作成...