Network Security Platform 6.0 Integration Guide - McAfee

McAfee® Network Security Platform 

バージョン 6.0 

McAfee® 

ネットワーク保護 

業界トップの侵入防止ソリューション 

Integration Guide 

改訂 2.0

著作権 

Copyright ® 2001 - 2010 McAfee, Inc. All Rights Reserved.この印刷物のいかなる部分についても、McAfee, Inc.、または供給業者あるいは関連会社の書面による許可なしには、複 

製、送信、複写、検索システムへの格納、他言語への翻訳、あるいはいかなる形態による使用も禁止されています。 

商標 

ActiveSecurity、アクティブセキュリティ、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、E-Policy Orchestrator、イーポリシー・オーケストレイター、 

GroupShield、グループシールド、IntruShield、McAfee、マカフィー、NetShield、ネットシールド、SpamKiller、VirusScan、WebShield、ウェブシールドは米国法人 McAfee, Inc. 

またはその関係会社の登録商標です。McAfee ブランドの製品は赤を基調としています。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。 

ライセンス情報と特許情報 

ライセンス条項 

お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよ 

くお読みください。どのような種類のライセンスを取得したか不明である場合は、販売およびその他関連のライセンス証書を参照するか、ソフトウェアパッケージに含まれてい 

る注文書または購入製品の一部として個別に受け取った文書 (ブックレット、製品 CD のファイル、またはソフトウェアパッケージをダウンロードした Web サイトから入手でき 

るファイル) を確認してください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返品いただければ、 

所定の条件を満たすことによりご購入額全額をお返しいたします。 

帰属 

本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります。 

* OpenSSL Toolkitで使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。* Eric A. Young によって記述された暗号化ソフトウェアおよ 

び Tim J. Hudson に記述されたソフトウェア。* ユーザが特定のプログラムまたはその一部をコピー、修正、再配布したり、そのソースコードにアクセスを許諾する GNU GPL 

(General Public License) またはその他の同様のフリーソフトウェアライセンス下のユーザに対して、その他の権利において、使用許諾 (または二次使用許諾) されているいくつ 

かのソフトウェアプログラム。GPL では、ソフトウェアを実行可能なバイナリ形式で配布する場合に、そのソースコードも一緒に提供することが定められています。本製品に GPL 

で配布されているソフトウェアが含まれている場合、そのソースコードが製品 CD に収録されています。この使用許諾契約で認められた権利を超えて、ソフトウェアプログラム 

を使用、コピーまたは変更する権利を McAfee が付与することを無償ソフトウェアライセンスが義務付けている場合は、この契約にある権利と制限より優先されます。* Henry 

Spencer によって作成されたソフトウェア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. * Robert Nordier によって作成されたソフトウェア。Copyright (C) 1996-7 Robert 

Nordier. * Douglas W. Sauder によって作成されたソフトウェア。* Apache Software Foundation (http://www.apache.org/) に開発されたソフトウェア。本ソフトウェアの使用許諾 

条件については、www.apache.org/licenses/LICENSE-2.0.txt を参照。* International Components for Unicode ("ICU") Copyright (C) 1995-2002 International Business Machines 

Corporation and others. * CrystalClear Software, Inc. によって開発されたソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. * FEAD (R) Optimizer (R) technology, 

Copyright Netopsystems AG, Berlin, Germany. * Outside In (R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. および/または Outside In (R) HTML Export, (C) 2001 Stellent 

Chicago, Inc. * Thai Open Source Software Center Ltd. および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998, 1999, 2000. * Expat maintainers が著作権を所有するソ 

フトウェア。* The Regents of the University of California が著作権を所有するソフトウェア。 (C) 1996, 1989, 1998-2000. * Gunnar Ritter が著作権を所有するソフトウェア。* Sun 

Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A が著作権を所有するソフトウェア。 (C) 2003. * Gisle Aas が著作権を所有するソフトウェア。 (C) 

1995-2003. * Michael A. Chase が著作権を所有するソフトウェア。 (C) 1999-2000. * Neil Winton が著作権を所有するソフトウェア。 (C) 1995-1996. * RSA Data Security, Inc. が 

著作権を所有するソフトウェア。 (C) 1990-1992. * Sean M. Burke が著作権を所有するソフトウェア。 (C) 1999, 2000. * Martijn Koster が著作権を所有するソフトウェア。 (C) 1995. 

* Brad Appleton が著作権を所有するソフトウェア。 (C) 1996-1999. * Michael G. Schwern が著作権を所有するソフトウェア。 (C) 2001. * Graham Barr が著作権を所有するソフ 

トウェア。 (C) 1998. * Larry Wall および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998-2000. * Frodo Looijaard が著作権を所有するソフトウェア。 (C) 1997. * Python 

Software Foundation が著作権を所有するソフトウェア。Copyright (C) 2001, 2002, 2003. 本ソフトウェアの使用許諾条件については、www.python.org を参照。* Beman Dawes が 

著作権を所有するソフトウェア。 (C) 1994-1999, 2002. * Andrew Lumsdaine、Lie-Quan Lee、Jeremy G. Siek によって作成されたソフトウェア。 (C) 1997-2000 University of Notre 

Dame. * Simone Bordet と Marco Cravero の著作権で保護されているソフトウェア (C) 2002. * Stephen Purcell の著作権で保護されているソフトウェア (C) 2001. * Indiana 

University Extreme!Lab 開発のソフトウェア (http://www.extreme.indiana.edu/) * International Business Machines Corporation およびその関係会社が著作権を所有するソフトウェ 

ア (C) 1995-2003. * カリフォルニア大学バークレー校によって開発されたソフトウェア。* Ralf S. Engelschall によって mod_ssl プロジェクト 

(http://www.modssl.org/) で使用するために開発されたソフトウェア。* Kevlin Henney が著作権を所有するソフトウェア。 (C) 2000-2002. * Peter Dimov および Multi Media Ltd. が 

著作権を所有するソフトウェア。 (C) 2001, 2002. * David Abrahams が著作権を所有するソフトウェア。 (C) 2001, 2002. 詳細については、http://www.boost.org/libs/bind/bind.html 

を参照。* Steve Cleary、Beman Dawes、Howard Hinnant および John Maddock の著作権で保護されているソフトウェア (C) 2000. * Boost.org の著作権で保護されているソフト 

ウェア (C) 1999-2002. * Nicolai M. Josuttis の著作権で保護されているソフトウェア (C) 1999. * Jeremy Siek の著作権で保護されているソフトウェア (C) 1999-2001. * Daryle 

Walker の著作権で保護されているソフトウェア (C) 2001. * Chuck Allison および Jeremy Siek の著作権で保護されているソフトウェア (C) 2001, 2002. * Samuel Krempp の著作権 

で保護されているソフトウェア (C) 2001. アップデート、ドキュメント、改定履歴については http://www.boost.org を参照してください。* Doug Gregor (gregod@cs.rpi.edu) の著 

作権で保護されているソフトウェア (C) 2001, 2002. * Cadenza New Zealand Ltd. の著作権で保護されているソフトウェア (C) 2000. * Jens Maurer の著作権で保護されているソフ 

トウェア (C) 2000, 2001. * Jaakko Jの著作権で保護されているソフトウェア (C) 1999, 2000. * Ronald Garcia の著作権で保護されているソフトウェア (C) 2002. * David Abrahams、 

Jeremy Siekと Daryle Walker の著作権で保護されているソフトウェア (C) 1999-2001. * Stephen Cleary (shammah@voyager.net) の著作権で保護されているソフトウェア (C) 

2000. * Housemarque Oy の著作権で保護されているソフトウェア (C) 2001. * Paul Moore の著作権で保護されているソフトウェア (C) 1999. * Dr. 

John Maddock の著作権で保護されているソフトウェア (C) 1998-2002. * Greg Colvin と Beman Dawes の著作権で保護されているソフトウェア (C) 1998, 1999 .* Peter Dimov の 

著作権で保護されているソフトウェア (C) 2001, 2002. * Jeremy Siek と John R. Bandela の著作権で保護されているソフトウェア (C) 2001. * Joerg Walter と Mathias Koch の著 

作権で保護されているソフトウェア (C) 2000-2002. * Carnegie Mellon University の著作権で保護されているソフトウェア (C) 1989, 1991, 1992. * Cambridge Broadband Ltd. の著 

作権で保護されているソフトウェア (C) 2001-2003 . * Sparta, Inc. の著作権で保護されているソフトウェア (C) 2003-2004. * Cisco, Inc. および Information Network Center of 

Beijing University of Posts and Telecommunications の著作権で保護されているソフトウェア (C) 2004. * Simon Josefsson の著作権で保護されているソフトウェア (C) 2003. * 

Thomas Jacob の著作権で保護されているソフトウェア (C) 2003-2004. * Advanced Software Engineering Limited の著作権で保護されているソフトウェア (C) 2004. * Todd C. 

Miller の著作権で保護されているソフトウェア (C) 1998. * The Regents of the University of California の著作権で保護されているソフトウェア (C) 1990, 1993. Berkeley に Chris 

Torek によって寄贈されたソフトウェアから生成したコードを含む。 

2010 年 1 月発行/ Integration Guide 

700-2374-16 / 2.0 - 日本語

目次 

まえがき .......................................................................................................... v 

McAfee Network Security Platform について............................................................... v 

本書について ............................................................................................................... v 

対象読者 ...................................................................................................................... v 

関連資料 ......................................................................................................................vi 

本書の表記規則...........................................................................................................vii 

テクニカルサポートの連絡先 ................................................................................... viii 

第 1 章 McAfee ePO との統合........................................................................ 1 

ePO サーバ詳細の設定................................................................................................ 2 

ePO サーバからホストの詳細を要求 .......................................................................... 5 

ソースおよび宛先ホストの詳細情報の表示 ........................................................... 6 

IP アドレスを使用したホストの詳細表示 .............................................................. 9 

ePO での Network Security Platform ダッシュボードの表示 .................................... 14 

構成 ...................................................................................................................... 15 

第 2 章 McAfee Host Intrusion Prevention との統合 ................................ 29 

Host Intrusion Prevention 詳細の設定........................................................................ 30 

Host Intrusion Prevention Sensor の追加 .................................................................. 31 

ePO での Host Intrusion Prevention Sensor の設定 .................................................. 32 

第 3 章 McAfee Vulnerability Manager との統合 ....................................... 34 

McAfee Network Security Platform と Vulnerability Manager の統合 ........................ 34 

Vulnerability Manager のインストール................................................................. 36 

Vulnerability Manager 設定のメニューオプション.............................................. 37 

マネージャでの Vulnerability Manager の設定 ..................................................... 38 

Vulnerability Manager 構成ウィザードの使用 ...................................................... 46 

攻撃の関連性の解析 .................................................................................................. 46 

関連性の解析用のメニューオプション................................................................ 47 

マネージャでの関連性の解析の構成 .................................................................... 47 

関連性構成ウィザードの使用............................................................................... 54 

Vulnerability Manager スケジューラの障害メッセージ........................................ 55 

トラブルシューティングオプション ........................................................................ 56 

Vulnerability Manager キャッシュのリロード ...................................................... 56 

関連性キャッシュのリセット............................................................................... 57 

データベースアップデートの再送信 .................................................................... 57 

Vulnerability Manager のカスタム証明書のサポート................................................. 58 

Threat Analyzer からの Vulnerability Manager スキャンの要求 ................................ 58 

iii

Vulnerability Manager スキャンの表示................................................................. 60 

Vulnerability Manager のスキャンオプション ..................................................... 61 

ホストの再スキャン ............................................................................................. 64 

同時スキャン........................................................................................................ 64 

[Hosts] (ページ) からの Vulnerability Manager スキャンの実行........................... 65 

Vulnerability Manager オンデマンドスキャンの障害メッセージ.............................. 66 

Vulnerability Manager スキャンのシナリオ............................................................... 66 

ホストのオンデマンドスキャン .......................................................................... 67 

ホストの同時スキャン.......................................................................................... 67 

第 4 章 McAfee NAC との統合..................................................................... 69 

ホストの分類方法 ...................................................................................................... 69 

Network Security Platform 5.1 での統合環境............................................................. 70 

統合要件 .................................................................................................................... 71 

ePO システムに必要な設定 ................................................................................. 71 

必要な ePO/McAfee NAC の詳細情報.................................................................. 71 

センサと McAfee NAC サーバの統合 ........................................................................ 72 

管理ドメインレベルでの構成.............................................................................. 72 

センサおよび McAfee NAC/ePO サーバ間での信頼関係の確立........................... 73 

McAfee NAC 関連の詳細表示 .................................................................................... 75 

McAfee NAC 関連の動作ステータスメッセージの表示 ...................................... 75 

マネージャレポートを使用する McAfee NAC 詳細の表示.................................. 76 

第 5 章 McAfee Artemis との統合 ............................................................... 77 

用語 ........................................................................................................................... 78 

Network Security Platform と Artemis の統合の詳細 ................................................. 79 

制限事項 .................................................................................................................... 81 

マネージャでの Artemis 統合設定 ............................................................................. 81 

マルウェア検出の設定.......................................................................................... 81 

IPS センサでのマルウェア検出設定 .................................................................... 87 

マルウェア検出レポート ........................................................................................... 90 

Threat Analyzer でのマルウェア詳細の表示.............................................................. 91 

センサごとのマルウェア統計の表示 .................................................................... 92 

Network Security Platform と Artemis の統合での CLI コマンド ............................... 94 

トラブルシューティング ........................................................................................... 94 

索引 ............................................................................................................... 95 

iv

まえがき 

以下では、本製品について簡単に説明し、本書の内容および構成について説明します。ま 

た、本書をサポートするマニュアルおよび McAfee テクニカルサポートへの連絡方法につ 

いても説明します。 

McAfee Network Security Platform について 

本書について 

対象読者 

McAfee ® Network Security Platform (旧 McAfee ® IntruShield ® ) は、大企業、電話会社、サー 

ビスプロバイダネットワーク向けの最も包括的で高性能な、拡張可能なネットワークア 

クセス制御 (NAC)、ネットワーク侵入防御システム (IPS) および Network Threat Behavior 

Analysis (NTBA) を提供します。スパイウェアや既知のゼロデイ攻撃や暗号化による攻撃に 

対して、比類なき保護対策を実現します。 

McAfee Network Threat Behavior Analysis アプライアンスは、ネットワーク上で送受信さ 

れている NetFlow 情報をリアルタイムに分析し、ネットワークトラフィックを監視します。 

McAfee Network Security Sensor、NAC センサ、NTBA アプライアンスをインストールし 

て単一のマネージャで管理することで、NAC と IPS の機能を補完することができます。 

本書では、Network Security Platformと他のMcAfee製品 (McAfee ePolicy Orchestrator® 

(ePO)、McAfee ® Host Intrusion Prevention (旧McAfee ® Entercept)、Vulnerability Manager お 

よびMcAfee ® Network Access Controlなど) との統合に関する機能および構成について説明 

します。 

本書は、McAfee ® Network Security Manager (旧 McAfee ® IntruShield ® Security Manager) お 

よびMcAfee ® Network Security Sensor (旧 McAfee ® IntruShield ® Sensor) のインストール、 

設定、メンテナンスを行うネットワークの専門家およびメンテナンス担当者を対象として 

います。IPS 関連のタスク、タスク同士の関係、特定のタスクを実行するコマンドなどに 

精通している必要はありません。 

v

McAfee® Network Security Platform 6.0 まえがき 

関連資料 

次のマニュアルおよびオンラインヘルプは、本書の関連資料です。これらの資料の詳細に 

ついては、『Quick Tour』 (クイックツアー) を参照してください。 

• Quick Tour (クイックツアー) 

• Installation Guide (インストールガイド) 

• Upgrade Guide (アップグレードガイド) 

• Getting Started Guide (スタートガイド) 

• IPS Deployment Guide (IPS 配備ガイド) 

• Manager Configuration Basics Guide (マネージャコンフィグレーションベーシック 

ガイド) 

• I-1200 Sensor Product Guide (I-1200 センサ製品ガイド) 






• M-1250/M-1450 Sensor Product Guide (M-1250/M-1450 センサ製品ガイド) 

• M-1250/M-1450 Quick Start Guide (M-1250/M-1450 クイックスタートガイド) 

• M-2750 Sensor Product Guide (M-2750 センサ製品ガイド) 

• M-2750 Quick Start Guide (M-2750 クイックスタートガイド) 

• M-3050/M-4050 Sensor Product Guide (M-3050/M-4050 センサ製品ガイド) 

• M-3050/M-4050 Quick Start Guide (M-3050/M-4050 クイックスタートガイド) 





• Gigabit Optical Fail-Open Bypass Kit Guide (Gigabit 光フェールオープンバイパス 

キットガイド) 

• Gigabit Copper Fail-Open Bypass Kit Guide (Gigabit 銅線フェールオープンバイパス 

キットガイド) 

• 10 Gigabit Fail-Open Bypass Kit Guide (10 Gigabit フェールオープンバイパスキット 

ガイド) 

• M-8000/M-6050/M-4050/M-3050 Slide Rail Assembly Procedure 

(M-8000/M-6050/M-4050/M-3050 スライドレールの組立て手順) 

• M-2750 Slide Rail Assembly Procedure (M-2750 スライドレールの組立て手順) 

• M-series DC Power Supply Installation Procedure (M シリーズ DC 電源装置設置手順) 

• Administrative Domain Configuration Guide (管理ドメインコンフィグレーションガイ 

ド) 

• Manager Server Configuration Guide (マネージャサーバコンフィグレーションガイ 

ド) 

• CLI Guide (CLI ガイド) 

vi


本書の表記規則 

• Device Configuration Guide (デバイスコンフィグレーションガイド) 

• IPS Configuration Guide (IPS コンフィグレーションガイド) 

• NAC Configuration Guide (NAC コンフィグレーションガイド) 

• System Status Monitoring Guide (システムの状態の監視ガイド) 

• Reports Guide (レポートガイド) 

• Custom Attack Definitions Guide (カスタム攻撃定義ガイド) 

• Central Manager Administrator's Guide (セントラルマネージャ管理者ガイド) 

• Best Practices Guide (考慮事項ガイド) 

• Troubleshooting Guide (トラブルシューティングガイド) 

• Special Topics Guide—In-line Sensor Deployment (関連トピックガイド - In-line セン 

サ配備) 

• Special Topics Guide—Sensor High Availability (関連トピックガイド - 高可用性セン 

サ) 

• Special Topics Guide—Virtualization (関連トピックガイド - 仮想化) 

• Special Topics Guide—Denial-of-Service (関連トピックガイド - サービス拒否) 

• NTBA Appliance Administrator's Guide (NTBA アプライアンス管理者ガイド) 

• NTBA Monitoring Guide (NTBA 監視ガイド) 

• NTBA Appliance T-200 Quick Start Guide (NTBA アプライアンス T-200 クイックス 

タートガイド) 

• NTBA Appliance T-500 Quick Start Guide (NTBA アプライアンス T-500 クイックス 

タートガイド) 

本書は次の表記規則に従っています。 

規則例 

ユーザインターフェース (UI) とし [Properties] (プロパティ) タブの[Service] (サービ 

て表示されるフィールド、ボタン、ス) フィールドに、必要なサービスの名前を指定 

タブ、オプション、選択項目、コします。 

マンドなどは Arial Narrow の太字で 

表記しています。 

メニュー項目やグループを順番に 

選択するときの手順を表します。 

操作手順を表す場合には、番号付 

きの箇条書きを使用しています。 

キーボードのキーの名前を示す場 

合に、大文字を使用しています。 

ユーザがそのまま入力する構文、 

キーワード、値は Courier New 

フォントで表記しています。 

vii 

[My Company]、[Admin Domain] (管理ドメイン)、 

[Admin Domain] (サマリ) の順に選択します。 

1. [Configuration] (設定) タブで [Backup] (バック 

アップ) をクリックします。 

ENTER キーを押します。 

次のコマンドを入力します。setup と入力して 

ENTER キーを押します。


規則例 

特定の状況や環境に基づいて入力 

する必要のある可変情報は、イタ 

リック体で表記しています。 

必須で入力するパラメータは不等 

号括弧で囲んであります。 

操作を行う前に必ず参照しなけれ 

ばならない情報や、データの削除 

など、操作を行うと問題が発生す 

ることを警告する場合に、この 

マークを使用しています。 

電気機器を取り扱う場合に怪我や 

事故に繋がるような操作や行為を 

記述する場合に、このマークを使 

用しています。 

関連する情報を示す場合に、この 

マークを使用しています。 

テクニカルサポートの連絡先 

次のコマンドを入力します。を入力して ENTER キーを押します。 

set Sensor ip 

警告: 

危険: 

注意: 

テクニカルサポートの連絡先及びサポート内容については、購入サポート窓口までお問い 

合わせください。 

オンライン 

弊社テクニカルサポート: http://mysupport.mcafee.com 

登録ユーザの方は、最新のドキュメントや技術情報を入手したり、McAfee KnowledgeBase 

にいつでもアクセスすることができます。また、技術的な問題をオンラインで解決したり、 

ソフトウェアのダウンロードやシグネチャのアップデートを行うこともできます。 

電話によるサポート 

テクニカルサポートの受付時間は米国太平洋標準時の月曜日から金曜日の午前 7 時から 

午後 5 時までです。Gold または Platinum サービスを契約している場合には、曜日時間に 

かかわらずサポートを受けることができます。世界各国の電話連絡先については、 

http://www.mcafee.com/us/about/contact/index.html を参照してください。 

注意: McAfee テクニカルサポートの受付時に、承認番号とシステムのシリアル番号 

が必要になります。また、オンラインの問い合わせでは、ユーザ名とパスワードを 

入力する必要があります。 

viii

第 1 章 

McAfee ePO との統合 

McAfee ePolicy Orchestrator® (ePO) は、ウイルス対策、デスクトップファイアウォール 

およびスパイウェア対策アプリケーションなどのシステムセキュリティ製品の一元化さ 

れた管理と施行のための、スケーラブルプラットフォームです。McAfee ® Network Security 

Platform (旧 McAfee ® IntruShield ® ) と ePO 4.0 および 4.5 を統合することができます。統合 

により、McAfee ® Network Security Manager から ePO サーバにクエリを送信し、ネット 

ワーク上のホストの情報を表示できます。 

ePO の詳細については、『McAfee ePO Product Guide』 (McAfee ePO 製品ガイド) を参照して 

ください。http://www.mcafee.com/us/enterprise/downloads/index.html からガイドをダウン 

ロードできます。 

McAfee Network Security Manager (マネージャ) と ePO の統合により、ePO サーバにクエ 

リを送信して、ネットワーク上のホストの詳細を取得できます。ePO サーバから取得する 

詳細情報には、ホストタイプ、ホスト名、ユーザ名、オペレーティングシステムの詳細や 

上位 10 件のウイルス対策イベント、ホストにインストールされているシステムセキュリ 

ティ製品の詳細が含まれます。これらの詳細情報は Threat Analyzer に表示されます。ePO 

インストールの一部として、McAfee ® Host Intrusion Prevention (旧 McAfee ® Entercept) を 

インストールした場合、特定のホストについて最新の Host Intrusion Prevention イベント 

を 10 個表示することもできます。これらの詳細は、可視性が向上し、ネットワーク上で見 

られるセキュリティイベントの Forensic 調査を実行する、セキュリティ管理者について、 

関連性を説明します。Threat Analyzer でホストのアラート詳細を確認するときに、[Alerts] 

(アラート) ページの IP アドレス上にマウスを置くと、ホスト名や現在のユーザ、OS バー 

ジョンなどのホストの基本情報を表示できます。 

McAfee Host Intrusion Prevention イベントの詳細については、『McAfee Host Intrusion 

Prevention Product Guide』 (McAfee Host Intrusion Prevention製品ガイド) を参照してください。 

http://www.mcafee.com/us/enterprise/downloads/index.html からガイドをダウンロードで 

きます。 

McAfee Network Security Platform-ePO 統合の動作方法を理解するため、以下のシナリオ 

を考慮してください。 

Threat Analyzer により、ネットワーク内のあるホストがほかのホストをポートスキャニン 

グしていることが分かりました。これらの攻撃ソースの詳細をさらに知りたい場合、アラー 

トを右クリックすると、ソース IP の詳細が表示されます。マネージャから ePO サーバに 

クエリが送信され、Threat Analyzer にホストの詳細が表示されます。これらの詳細情報か 

ら、たとえば VirusScan (McAfee のウイルス対策アプリケーション) が最新ではないこと 

が分かります。ホスト名を見ると、少し前にネットワークから外したサーバであることも 

分かります。そのため、VirusScan はこの期間更新されていません。 

ePO には、ダッシュボード上で Network Security Platform のデータを表示するオプション 

が用意されています。 

1

McAfee® Network Security Platform 6.0 McAfee ePO との統合 

ePO のダッシュボードには以下のモニタが用意されています。 

攻撃の重大度のサマリ 

デバイス障害のサマリ 

マネージャ障害のサマリ 

上位 10 件の攻撃対象 

上位 10 件の攻撃 

上位 10 件の攻撃元 

ePO サーバ詳細の設定 

マネージャと ePO サーバの統合には、統合に使用する拡張ファイルが ePO サーバ上にイ 

ンストールされている必要があります。この拡張ファイルはマネージャからダウンロード 

できます。ePO サーバを設定する前に、ePO サーバ上に拡張ファイルをインストールして 

ください。その後、マネージャ上に ePO サーバを構成します。 

マネージャと ePO を統合するには、以下の手順に従います。 

1 マネージャにログオンします。 

2 [Admin Domain] (管理ドメイン)、[Integration] (統合)、[ePolicy Orchestrator Server Settings] 

(ePolicy Orchestrator サーバ設定) の順に移動します。 

[Enable ePO Integration] (ePO との統合を有効化) ページが表示されます。 

3 ePO との統合に関して必要なオプションを有効化します。 

[Enable detailed host query] (詳細なホストのクエリを有効化) オプションで [Yes] (はい) を 

選択します。 

(オプション) [Enable mouse-over host summary] (マウスオーバーでのホストの概要を有効 

化) オプションで [Yes] (はい) を選択します。 

このオプションを有効にすると、Threat Analyzer の [Alerts] (アラート) ページの IP ア 

ドレス上にマウスを置くと、ホスト名や現在のユーザ、OS バージョンなどのホスト 

の基本情報を表示できます。[Alerts] (アラート) ページで概要が表示されるのは、ePO 

統合がマネージャで有効化された場合のみです。 

図 1: ePO との統合を有効化 

2


4 [Next] (次へ) をクリックして [ePO Server Settings] (ePO サーバ設定) ページを表示します。 

図 2: [ePO Server Settings] (ePO サーバの設定) ページ 

5 [ePO Extension] (ePO拡張ファイル) リンクをクリックして [NSPExtension.zip] ファイルを 

ダウンロードします。 

図 3: NSPExtenstion.zip のファイルダウンロードダイアログ 

6 [NSPExtension.zip] を任意の場所に保存します。 

7 ePO コンソールにログインします。 

ePO コンソールのホームページが表示されます。 

8 [メニュー] で、[ソフトウェア]、[拡張ファイル] ページの順に移動します。 

3


図 4: [拡張ファイル] ページ 

9 ページ下部で [拡張ファイルのインストール] をクリックします。 

10 上記の手順 5 で保存した場所から [NSPExtension.zip] を参照し、選択します。 

インストールすると、[拡張ファイル] リストにマネージャが表示されます。拡張ファ 

イルのインストール手順の詳細については、ePO のマニュアルを参照してください。 

11 ePO コンソールを閉じてマネージャに戻ります。 

12 [Configure] (設定)、[Integration] (統合)、[ePolicy Orchestrator Server Settings] (ePolicy 

Orchestrator サーバ設定) の順に移動します。 

13 次の表に記載されているとおりに、ePO サーバの詳細を指定します。 

フィールド説明 

Server Name / IP 

Address (サーバ名 / IP 

アドレス) 

Server Port (サーバ 

ポート) 

拡張ファイルを実行している ePO サーバの名前または 

IP を入力します。この ePO サーバには、管理ドメインの 

範囲であるホストの詳細がなければならないことに注意 

してください。 

サーバ名および IP については、ePO 管理者にお問い合わ 

せください。 

Manager-ePO 通信に使用する ePO サーバのリスニング 

ポートを指定します。ポート番号については、ePO の管 

理者に確認してください。 

User Name (ユーザ名) ePO サーバへの接続に使用するユーザ名を入力します。 

Password (パスワー 

ド) 

統合に必要となる表示権限のみを持つePO のユーザア 

カウントを作成することをお勧めします。表示権限のみ 

を持つ ePO のユーザアカウントの作成の詳細について 

は、26 ページの「最小権限の ePO ユーザの作成」を参 

照してください。 

ePO サーバへの接続に使用するパスワードを入力しま 

す。 

4


14 [Test Connection] (接続のテスト) をクリックして、ePO サーバ上に拡張ファイルがイン 

ストールされ、正常に起動しているか確認します。 

15 接続が動作している場合は、[Save] (保存) をクリックして、設定を保存します。 

各管理ドメインでの ePO サーバの構成 

管理ドメインにマネージャ-ePO 統合を有効または無効にできます。管理ドメインにマネー 

ジャ-ePO の統合を有効にすると、Threat Analyzer から管理ドメインのホストの詳細を表 

示することができます。 

ePO インスタンスが 2 つ以上ある場合は、異なる ePO サーバに対して管理ドメインを設 

定できます。しかし、管理ドメインが適切な ePO サーバで設定されるように、配備計画を 

する必要があります。たとえば、支社に専用 ePO サーバがある場合、支社の管理ドメイン 

は支社の ePO サーバに設定します。 

注意: ePO の詳細については、ePO のマニュアルを参照してください。 

ePO サーバからホストの詳細を要求 

管理ドメインレベルで Network Security Platform と ePO の統合を有効にした後で、Threat 

Analyzer を使用して該当するネットワークホスト権限の詳細を検索したり表示すること 

ができます。McAfee Host Intrusion Prevention (HIPS) がインストールされていて、Host 

Intrusion Prevention がホスト上で実行されていれば、ホストの上位 10 件の Host Intrusion 

Prevention イベントも表示することができます。 

たとえば、次のような場合があるとします。My Company がルート管理ドメインで、HR お 

よび Finance が子ドメインです。Sensor-HR と Sensor-Fin が、それぞれ 2 つの子ドメイ 

ンの McAfee ® Network Security Sensor とします。また、マネージャと ePO の統合は 

Finance に対してのみ有効になっているとします。Sensor-Fin で検出された攻撃の攻撃元 

ホストと攻撃対象ホストの詳細は、Threat Analyzer で表示できます。これは、ePO との統 

合が Finance 管理ドメインに対して有効になっているためです。 

詳細を表示するには、その情報が ePO サーバに存在する必要があります。たとえば、ネッ 

トワークの外部からの攻撃の場合、ePO サーバにはその攻撃元ホストの情報がないことが 

あります。 

ホストは、次の 3 つのタイプのいずれかに属します。 

• 管理対象ホスト:ePO エージェントによって現在管理されているホストです。 

• 管理対象外のホスト:ePO エージェントによって識別されているものの、現在管理さ 

れていないホストです。 

• 識別できないホスト:ePO に情報が存在しないホストです。Threat Analyzer では、識 

別できないホストは連続した省略記号 (- - - -) で表示されます。 

攻撃元ホストおよび攻撃対象ホストの詳細は、アラートで確認できます。または、IP アド 

レスを入力して ePO サーバから詳細を取得することもできます。9 ページの「IP アドレス 

を使用したホストの詳細表示」を参照してください。詳細を参照することにより、これら 

のホストで発生したセキュリティ関連の問題をトラブルシューティングおよび修正できる 

場合があります。Threat Analyzer では、管理対象のホストと管理対象外のホストの詳細を 

表示されますが、識別できないホストの詳細は表示されません。 

5


注意: ePO サーバ設定を修正する場合は、Threat Analyzer を再起動してホストの詳 

細を表示してください。 

ソースおよび宛先ホストの詳細情報の表示 

アラートのソースまたは宛先ホストの詳細を表示するには、以下の手順に従ってください。 

1 リアルタイムまたはヒストリカル Threat Analyzer を起動します。 

2 [Alerts] (アラート) をクリックします。 

アラートを右クリックし、[ePO Host Information] (ePO ホスト情報) を選択します。次に、 

[Source IP] (ソース IP) または [Destination IP] (宛先 IP) を選択します。複数のアラートを 

右クリックして、サーバのクエリを実行できます。 

ePO クエリが成功したことを示す情報メッセージが表示されます。 

図 5: ePO メッセージ 

右クリックメニューで ePO オプションを表示するには、ドメインレベルで Network 

Security Platform と ePO との統合を有効にしておく必要があります。 

一度に複数の IP アドレスのクエリを実行できます。たとえば、RFC-Overflow アラー 

トには宛先アドレスが 11 個あります。単一のクエリを使用してそれらのすべてのクエ 

リを実行できます。 

注意: [Alerts] (アラート) ページだけでなく [Hosts] (ホスト) ページからもホスト 

情報のクエリを ePO サーバに送信できます。[Hosts] (ホスト) ページの IP を右 

クリックして、[View ePO Information] (ePO 情報の表示) を選択します。ePO クエ 

リの結果はマネージャによって通知されます。[Host Forensics] (ホストの 

Forensic 解析) ページに移動して、クエリの結果を表示できます。 

3 [Yes] (はい) をクリックします。 

ホストの詳細のサマリがある [Host Forensics] (ホストの Forensic 解析) ページが表示 

されます。また、ePO サーバの IP アドレスまたは名前が [ePO Host Information] (ePO ホ 

スト情報) の横にある括弧内に表示されます。 

6


図 6: ePO から集約されたホストの詳細情報 

4 管理対象または管理対象外のホストで、[ePO Host Information] (ePO ホスト情報) セク 

ションの情報の行をダブルクリックして、追加の詳細情報を表示します。 

詳細は、ホストの IP アドレスを含んだ名前のタブ領域に表示されます。ダブルクリッ 

クをしても、詳細が表示されない場合には、識別できないホストであるか、同じ管理/ 

管理対象外のホストで前にクエリを実行した可能性があります。また、ホストのタブ 

領域がまだ利用可能である可能性があります。 

10 ページの「追加の詳細情報 - 管理対象ホスト」と 13 ページの「追加の詳細情報 - 

管理対象外ホスト」を参照してください。 

図 7: 追加の詳細情報 - 管理対象のホスト 

7


図 8: [Latest Events] (最新イベント) タブ 

注意: [Hosts] (ホスト) ページからも、ソースおよび宛先ホストの詳細を表示するこ 

とができます。 

[Host Forensics] (ホストの Forensic 解析) ページでのオプションの右クリック 

ePO クエリを選択して右クリックすると、次の項目を表示できます。 

• View Details (詳細を表示): 管理対象および管理対象外のホストの追加の詳細の表示。 

• Query again (再クエリ): ホストの再クエリ。 

• Delete (削除): クエリされたホスト情報の削除。 

• Delete All (すべて削除): ホスト情報セクションのすべての行の削除。 

マウス移動でのサマリの表示 

[Alerts] (アラート) ページの IP アドレスにマウスを移動すると、ホスト名、ユーザ、OS の 

バージョンなどの重要なホストデータの概要が表示されます。 

8


図 9: マウス移動で表示されるホストのサマリ 

このオプションは、[Enable ePO Integration] (ePO との統合を有効化) ページから有効にする必 

要があります。[Alerts] (アラート) ページで概要が表示されるのは、ePO 統合がマネージャ 

で有効化された場合のみです。 

IP アドレスを使用したホストの詳細表示 

[Host Forensics] (ホストの Forensic 解析) ページのホストの IP アドレスを使用してクエリ 

を実行し、ホストの詳細を表示することができます。一度に 100 までホストの詳細を表示 

することができます。クエリの数が 100 を超える場合、詳細の最初の行が削除されます。 

IP アドレスを使用してホストの詳細を表示するには、以下の手順に従ってください。 


2 [Host Forensics] (ホストの Forensic 解析) をクリックします。 

3 IP アドレスを入力します。 

4 ePO データベースに設定された管理ドメイン名を選択します。 

5 [Query now] (今すぐクエリを実行) をクリックします。 

ソースまたは宛先 IP は、[Host Forensics] (ホストの Forensic 解析) ページの [ePO Host 

Information] (ePO ホスト情報) に表示されています。また、ePO サーバの IP アドレス 

または名前が [ePO Host Information] (ePO ホスト情報) の横にある括弧内に表示されます。 

注意: 不明なホストのクエリを実行して情報行 (ダッシュのみが表示されている 

行) をクリックすると、データが使用できないというポップアップメッセージが 

表示されます。 

9


図 10: ePO から集約されたホストの詳細情報 

6 管理対象または管理対象外のホストで、[ePO Host Information] (ePO ホスト情報) セク 

ションの情報の行をダブルクリックして、追加の詳細情報を表示します。10 ページの 

「追加の詳細情報 - 管理対象ホスト」と 13 ページの「追加の詳細情報 - 管理対象 

外ホスト」を参照してください。 

図 11: 追加の詳細情報 - 管理対象外のホスト 

注意: 情報の行でダブルクリックすると、ホストの IP アドレスを含んだ名前の 

タブ領域に詳細が表示されます。ダブルクリックをしても、さらに詳細を表示 

しない場合、ホストが識別できないホストであるか、同じ管理/管理対象外のホ 

ストで前にクエリを実行した可能性があります。また、ホストのタブリージョ 

ンがまだ利用可能である可能性があります。 

追加の詳細情報 - 管理対象ホスト 

管理対象または管理対象外のホストで、[Host Forensics] ページの [Host Forensics] リー 

ジョンで情報が表示されている行をダブルクリックすると、追加の詳細情報を表示できま 

す。これらの追加情報は、ホストの ePO でインストールしたポイントプロダクトに関連し 

ます。Host Intrusion Prevention をインストール済みでホスト上で実行している場合、最新 

の 10 個の Host Intrusion Prevention イベントをホスト上で同じように表示することができ 

ます。表示された最新のイベント 10 個は、重大度に基づいてソートされます。 

注意: Host Intrusion Prevention イベントは、ホストで発生したアクティビティに 

従って Host Intrusion Prevention が生成したアラートです。詳細については、McAfee 

Host Intrusion Prevention のマニュアルを参照してください。 

10


追加の詳細情報およびイベントに基づいて、可能な限り最高の防御をするため、ホストの 

セキュリティアプリケーションを調整することができます。 

[Host Information] (ホスト情報) タブで管理対象ホストの以下の詳細を表示できます。 


Host Name (ホスト名) 管理ホスト名 

IP address (IP アドレス) 管理ホストの IP アドレス 

MAC Address (MAC アドレ 

ス) 

ホストの Media Access Control アドレス 

Host Type (ホストの種類) 管理対象ホストには McAfee Agent が配備さ 

れ、管理ドメインに統合された同一の ePO サー 

バと通信を行います。 

Operating system (オペレー 

ティングシステム) 

オペレーティングシステムのバージョン。例: 

Windows 2003 (5.2 - SP2) 

User(s) (ユーザ) ホストのオペレーティングシステムユーザ名 

Domain / workgroup (ドメイ 

ン/ワークグループ) 

Source ePO server (ソース 

ePO サーバ) 

Information query time (情報 

照会時間) 

Last McAfee Agent Update 

(McAfee Agent の最終更新 

時刻) 

Installed Products (インストール済みの製品) 

Network Security Platform < 

バージョン番号> 

Engine Version (エンジン 

バージョン) 

DAT Version (DAT バージョ 

ン) 

ホストに属するドメインまたはワークグループ 

クエリの送信先となる ePO サーバの IP アドレ 

ス 

マネージャから ePO サーバにクエリが送信さ 

れた時刻 

エージェントが ePO に報告した最終時刻です。 

ePO からホストにインストールしたポイント 

製品。例: VirusScan または Host Intrusion 

Prevention など。インストール済み製品のバー 

ジョンは括弧内に表示されます。 

製品のエンジンバージョン (設定されている場 

合) 

製品の DAT ファイルのバージョン (設定されて 

いる場合) 

11


[Latest Events] (最新イベント) タブをクリックすると、最新の 10 個の Host Intrusion 

Prevention イベントとウイルス対策イベントに関する次の情報が表示されます。 

Last 10 AntiVirus Events (最新の 10 個のウイルス対策イベント) 

Event Time (イベント発生時 

刻) 

ウイルス対策エージェントがイベントを受信し 

た日時 

Threat Name (脅威名) イベントを表示させた脅威の名前 

Threat Type (脅威の種類) イベントをトリガした脅威の種類 

Action Taken (実行されたア 

クション) 

報告されたイベントに対してウイルス対策エー 

ジェントが行ったアクション 

File Path (ファイルパス) イベントを表示させた感染ファイルのパス 

Analyzer Detection Method 

(Analyzer の検出方法) 

ウイルス対策イベントの検出に使用された方法 

Last 10 McAfee Host Intrusion Prevention Events (最新の 10 個の McAfee 

Host Intrusion Prevention イベント) 

Time (時間) Host Intrusion Prevention エージェントがイベ 

ントを受信した日時 

Signature Name (シグネ 

チャ名) 

Signature ID (シグネチャ 

ID) 

イベントを表示させたシグネチャの名前 

イベントを表示させた Host Intrusion 

Prevention シグネチャの ID 

Severity (重大度) Host Intrusion Prevention イベントの重大度レ 

ベル 

User (ユーザ) イベントを開始した時間のユーザ 

Process (プロセス) イベントをトリガしたアプリケーションプロ 

セス 

Source IP (ソース IP) イベント用ソース IP アドレス 

Reaction (反応) イベントがトリガされた時に生じるように設定 

された反応 

ePO コンソールの起動 

[Host Forensics] (ホストの Forensic 解析) ページでは、Threat Analyzer から ePO コンソー 

ルを起動して、ホストの情報をさらに詳細に表示できます。 


2 [Host Forensics] (ホストの Forensic 解析) をクリックします。 

3 IP アドレスを入力し、[Query now] (今すぐクエリを実行) をクリックします。 

4 管理対象ホストをダブルクリックします。 

12


[Host information] (ホスト情報) ページにホスト情報の詳細が表示されます。 

5 [Open ePO console] (ePO コンソールを開く) をクリックします。 

図 12: ホストの詳細情報 

ePO コンソールで実行できるアクションは、ePO サーバの構成時に入力するユーザ認証情 

報に割り当てられる権限に基づきます。 

追加の詳細情報 - 管理対象外のホスト 

管理対象外のホストとは、その製品を管理するための ePO エージェントがないホストのこ 

とです。管理対象外ホストについて表示できる追加詳細情報は、以下のとおりです。 


DNS ホストの DNS 名 

NetBIOS name 

(NetBIOS 名) 

ホストの NetBIOS 名 

IP Address (IP アドレス) ホストの IP アドレス 

MAC Address (MAC ア 

ドレス) 

ホストの MAC アドレス 

13



Host Type (ホストの種 

類) 

Last detection time (最終 

検出時刻) 

Operating system (オペ 

レーティングシステム) 

[Host Type] (ホストの種類) には、次のいずれか 

が表示されます。 

• UNMANAGED (No Agent) (非管理: エー 

ジェントなし): ホストに McAfee Agent 

がインストールされていません。 

• UNMANAGED (MANAGED) (非管理: 管 

理対象): ホストに McAfee Agent はイン 

ストールされていませんが、管理ドメイ 

ンに統合されている ePO サーバとエー 

ジェント間でアクティブな通信チャネル 

がありません。 

ネットワーク上でホストが検知された日時 

ホストのオペレーティングシステムプラット 

フォーム。例: Windows 2003。 

User(s) (ユーザ) ホストのオペレーティングシステムユーザ名 

Source ePO server (ソー 

ス ePO サーバ) 

管理対象外のホストの詳細を送信する ePO サー 

バの IP 

ePO での Network Security Platform ダッシュボードの表示 

ePO には、ダッシュボード上で Network Security Platform のデータを表示するオプション 

が用意されています。 

ePO のダッシュボードには以下のモニタが用意されています。 

攻撃の重大度のサマリ 

デバイス障害のサマリ 

マネージャ障害のサマリ 

上位 10 件の攻撃対象 

上位 10 件の攻撃 

上位 10 件の攻撃元 

ePO で製品データを表示するには、ePO に Network Security Platform の拡張ファイルをイ 

ンストールする必要があります。 

ePO にこの拡張ファイルをインストールすると、ePO の [ダッシュボード] ページに上記の 

モニタと一緒にデフォルトのダッシュボードが作成されます。このダッシュボードには 

Network Security Platform からの情報が表示されます。オプションで、ePO に Network 

Security Platform の新しいダッシュボードを作成することもできます。 

製品拡張ファイルのインストールの一部として、ePO にデフォルトのサーバタスクも作成 

されます。このサーバタスクを Network Security Platform からの関連データをプルするよ 

14


う設定する必要があります。詳細については、ePO での Network Security Platform に関す 

るサーバタスクの設定に関する項を参照してください。 

Network Security Manager (Manager) が Manager Disaster Recovery (MDR) モー 

ドの場合のデータ取得 

マネージャが MDR モードの場合の以下のシナリオについて検討してみましょう。 

プライマリマネージャがアクティブである場合、データはプライマリマネージャから ePO 

に取得されます。プライマリマネージャがスタンバイモードでセカンダリマネージャが 

アクティブの場合、データはセカンダリマネージャから取得されます。 

プライマリとセカンダリの両方のマネージャがスタンバイモードである場合は、プライマ 

リマネージャで最後に使用可能だったデータが ePO に取得され、ダッシュボードに表示 

されます。 

プライマリとセカンダリの両方のマネージャが使用できない場合は、ePO にデータが取得 

されません。この場合、すべてのダッシュボードデータテーブルは消去され、ePO には 

空のダッシュボードが表示されます。 

構成 

ダッシュボードで Network Security Platform のデータを表示するには、ePO およびマネー 

ジャから以下の構成を設定する必要があります。 

• ePO への Network Security Platform の拡張ファイルのインストール ( 15 ページ) 

• ePO でのデータ取得のためのマネージャでのユーザの作成 ( 17 ページ) 

• マネージャでの ePO サーバの設定 ( 18 ページ) 

• ePO での Network Security Platform のサーバタスクの設定 (18 ページ) 

• ePO でのデフォルト Network Security Platform ダッシュボードの有効化 (22 ページ) 

• ePO での新規 Network Security Platform ダッシュボードの任意の作成 (23 ページ) 

ePO への Network Security Platform の拡張ファイルのインストール 

ePO に Network Security Platform の拡張ファイルをインストールするには、以下の手順に 

従います。 

1 マネージャの Integration ノードで、[ePO Configuration Wizard] (ePO 構成ウィザード) から 

製品拡張 zip ファイル (NSPExtension.zip) をダウンロードします。 

15


図 13: マネージャの Network Security Platform 拡張ファイルリンク 

また、以下の場所でマネージャのインストールフォルダから製品拡張 zip ファイルを 

コピーすることもできます。C:\ Program Files\ McAfee\Manager\App\EPOExtension 

2 ePO のホームページから、[ソフトウェア]、[拡張ファイル] の順に選択します。 

3 ページ左下の [拡張ファイルのインストール] を選択します。 

4 拡張ファイルを .zip ファイルとして閲覧するかどうかを尋ねるウィンドウが表示され 

ます。 

図 14: [拡張ファイルのインストール] ウィンドウ 

5 [OK] を選択します。拡張ファイルがインストールされ、拡張ファイルリストに表示さ 

れます。 

重要: Network Security Platform 6.0.x 拡張ファイルをインストールしている場 

合は、この拡張ファイルの直接のアップグレード (たとえば 6.0.x へのアップグ 

レード) はサポートされていないことに注意してください。6.0.x 拡張ファイル 

をアンインストールしてから、新しい拡張ファイルをインストールしてくださ 

い。 

図 15: ePO への Network Security Platform の拡張ファイルのインストール 

16


ePO でのデータ取得のためのマネージャでのユーザの作成 

ePO でマネージャからのデータをプルするには、ユーザを作成し、ePO Dashboard Data 

Retriever の役割をそのユーザに割り当てる必要があります。 

マネージャでユーザを作成し、Data Retriever 役割を割り当てるには、以下の手順に従い 

ます。 

1 マネージャから、[Root Admin Domain] (ルート管理ドメイン)、[Users] (ユーザ)、[Users] 

(ユーザ) の順に選択します。 

2 新規ユーザを追加する場合は、[New] (新規作成) を選択します。 

3 [Add a User] (ユーザの追加) ウィンドウにユーザの詳細を入力します。 

このウィンドウで定義したログイン ID とパスワードは、ePO でサーバタスクを設定 

時に [アクション] ページで入力する必要がありますので、注意してください。詳細に 

ついては、18 ページの「ePO での Network Security Platform のサーバタスクの設定」 

を参照してください。 

図 16: マネージャでのユーザの追加 

4 [Save] (保存) をクリックすると、ユーザに役割を追加する必要があるかどうかを確認す 

るポップアップメッセージが表示されます。役割を割り当てる場合は、[OK] をクリッ 

クします。 

5 役割に [ePO Dashboard Data Retriever] (ePO Dashboard Data Retriever) を選択し、[Save] (保存) 

をクリックします。 

17


図 17: ユーザへの ePO Dashboard Data Retriever 役割の割り当て 

6 割り当てられた役割とユーザは、[Users] (ユーザ) タブおよび [Role Assignments] (役割の 

割り当て) タブに表示されます。 

マネージャでの ePO サーバの設定 

マネージャでの ePO サーバの設定の詳細については、2 ページの「ePO サーバ詳細の設定」 


ePO での Network Security Platform のサーバタスクの設定 

前述のとおり、拡張ファイルのインストール時にデフォルトのサーバタスクが作成されま 

す。このサーバタスクをスケジュール設定して、Network Security Platform から ePO に 

データをプルすることができます。 

ePO へのデータ取得プロセスが実行されるように、デフォルトのサーバタスクを設定して 

ユーザに必要な認証情報と ePO の Dashboard Data Retriever 役割を割り当てるようにす 

る必要があります。 

ePO でデフォルトのサーバタスクを設定するには、次の手順に従います。 

1 ePO のホームページメニューから、[自動処理]、[サーバタスク] の順に選択します。 

デフォルトのサーバタスクがメインの [サーバタスク] ウィンドウに表示されます。 

18


図 18: ePO の [サーバタスク] メインページ 

[サーバタスク] ウィンドウから、[表示]、[編集]、[実行]、[複製] または [削除] の個別 

のタスクを選択します。 

2 サーバタスクを設定するには、[編集] を選択します。[サーバタスクビルダ] が表示さ 

れます。 

図 19: サーバタスクビルダ - [説明] ページ 

3 必要に応じてサーバ名を編集します。 

4 [スケジュールステータス] で [有効] を選択します。 

5 [次へ] を選択します。[アクション] 構成で、[NSP: ダッシュボードプルタスク] を選択し 

ます。 

19


図 20: [アクション] ページでの Network Security Platform データプルアクションの選択 

6 ページが更新され、マネージャに関連する以下のフィールドが表示されます。 

マネージャタイプ (スタンドアロンまたは MDR) 

プライマリマネージャ IP 

セカンダリマネージャ IP 

ポート 

ユーザ名 

パスワード / パスワードの確認 

注意: 

マネージャタイプでスタンドアロンを選択する場合は、プライマリマネージャ 

IP のみを入力してください (必須項目であることを示すアスタリスク記号がプ 

ライマリマネージャ IP の近くに表示されます)。 

マネージャタイプに MDR を選択する場合は、プライマリマネージャ IP とセカ 

ンダリマネージャ IP の両方を入力してください。セカンダリマネージャ IP は、 

MDR ペアのセカンダリマネージャの IP アドレスに該当します。 

入力するユーザ名およびパスワードは、マネージャで ePO Dashboard Data 

Retriever 役割をユーザに割り当てた際に定義したログイン ID とパスワードで 

す。 

20


図 21: サーバタスクビルダのマネージャ詳細 

7 必要なフィールドを編集後、[次へ] を選択します。 

図 22: サーバタスクビルダでのフィールドの編集 

8 必要に応じてタスクスケジュール詳細を編集します。 

9 [次へ] を選択します。[サーバタスクサマリ] が表示されます。 

図 23: サーバタスクビルダの構成のサマリ 

21


10 [保存] を選択します。 

ePO でのデフォルト Network Security Platform ダッシュボードの有効化 

前述のとおり、拡張ファイルのインストール時に ePO にデフォルトのダッシュボードが作 

成されます。ePO で製品データを表示するには、ePO でデフォルトのダッシュボードを有 

効にする必要があります。 

注意: また、23 ページの「ePO での新規 Network Security Platform ダッシュボード 

の任意の作成」で説明するとおり、ePO で Network Security Platform の新規ダッシュ 

ボードを作成することもできます。 

ePO から Network Security Platform のデフォルトダッシュボードを有効にするには、以下 

の手順に従います。 

1 ePO ホームページから [オプション]、[ダッシュボードの管理] の順に選択します。 

図 24: [オプション] メニュー 

2 デフォルトの Network Security Platform ダッシュボード ([NSP:]) を選択します。 

図 25: ePO の Network Security Platform デフォルトダッシュボード 

3 ダッシュボードを有効にするには、ウィンドウ右下で [有効化] を選択します。 

22


ePO での新規 Network Security Platform ダッシュボードの任意の作成 

ePO で Network Security Platform の新規ダッシュボードを作成する場合は、以下の手順に 


1 ePO ホームページから [オプション]、[新規ダッシュボード] の順に選択します。 

2 ダッシュボードのレイアウトを選択します。 

3 ダッシュボードのモニタを設定する必要があります。モニタ設定時に [新規モニタ] を 

クリックします。 

図 26: ePO ダッシュボードでの新規モニタの設定 

4 カテゴリに [クエリ] を選択し、Network Security Platform に関連するモニタを選択し 

ます。たとえば、モニタに [NSP: 上位 10 の攻撃] を選択できます。 

図 27: モニタの選択 

5 [OK] を選択します。 

6 要件に応じてダッシュボードで使用可能な 6 つのモニタを設定します。 

23


7 [保存] をクリックします。新しいダッシュボードが ePO に表示されます。 

Network Security Platform からのデータが表示される ePO のサンプルダッシュボー 

ドを以下に表示します。 

図 28: Network Security Platform データが表示された ePO ダッシュボード 

8 モニタの表示を拡大するには、モニタの右上にあるボタンを選択します。 

図 29: ePO ダッシュボードのモニタの拡大表示 

9 [戻る] をクリックして、ダッシュボードに戻ります。[閉じる] をクリックして、ダッシュ 

ボードモニタを閉じて ePO ホームページに戻ります。 

ePO での権限セットの定義 

ePO の最小権限セットを定義するには、以下の手順を実行する必要があります。 

• 新しい権限セットの作成 (最小権限) 

• 権限セットの表示と編集 

24


新しい権限セットの作成 

ePO ユーザを作成し最小権限を割り当てるには、以下の手順に従います。 

1 ePO ホームページから、[ユーザ管理]、[権限セット] の順に選択します。 

[権限セット] ページが表示されます。 

図 30: [権限セット] ページ 

2 [新規権限セット] をクリックします。 

[新規権限セット] ページが表示されます。 

図 31: 新しい権限セットの定義 

3 権限セットの名前を [名前] に入力します。 

4 [保存] をクリックします。 

権限セットを作成すると、作成された権限セットが[権限セット] ページに表示されま 

す。 

25


図 32: 新しい権限セットの表示 

権限セットの表示と編集 

新しい権限セットを定義するには、以下の手順に従います。 

1 [権限セット] ページに表示された権限セットをクリックします。 

図 33: 権限セットの表示 

2 以下について、定義する権限の設定をスクロールして表示または編集します。 

Network Security Platform - 設定の表示および変更 

システム - [システムツリー] タブの表示 

システムツリーアクセス - システムツリーのノードおよび部分へのアクセス 

関連設定の隣にある [編集] をクリックして権限セットを変更します。 

最小権限の ePO ユーザの作成 

ePO ユーザを作成し最小権限を割り当てるには、以下の手順に従います。 

1 ePO ホームページから、[ユーザ管理]、[ユーザ] の順に選択します。 

26


図 34: [ユーザ] ページ 

2 [新規ユーザ] をクリックします。 

[新規ユーザ] ページが表示されます。 

図 35: 新規ユーザの作成と権限の割り当て 

3 [ユーザ名] ページで名前を入力します。 

[ログオンステータス] にはデフォルトで [有効] が表示されます。[認証タイプ] にはデ 

フォルトで [ePO 認証] が表示されます。変更しないでください。 

4 [パスワード] にパスワードを入力します。 

5 [パスワードの確認] に再度パスワードを入力します。 

6 [権限セット] で [選択済み権限セット] を選択します。 

27


ユーザに割り当てる最小要件の権限セットを確認します。 

注意: ユーザに割り当てる前に権限セットを定義してください。権限セットの定 

義の詳細については、24 ページの「ePO での権限セットの定義」を参照してく 

ださい。 

7 [保存] をクリックします。 

28

第 2 章 

McAfee Host Intrusion Prevention との統合 

McAfee ® Network Security Platform は、McAfee ® Host Intrusion Prevention 7.0 と統合でき 

ます。 

Host Intrusion Prevention は、ネットワーク内のホストへの外部および内部からの攻撃を防 

御することで、ホスト上で実行しているサービスおよびアプリケーションを保護するホス 

トベースの侵入防御システムです。 

Host Intrusion Prevention は ePO 4.0 に完全に統合されています。McAfee ® Network 

Security Manager (マネージャ) は、ePO 拡張ファイルを使用して ePO サーバからリアル 

タイムにHost Intrusion Preventionイベントを取得します。拡張ファイル 

(NSPExtension.zip) は、マネージャからダウンロードし、ePO コンソールを使用して ePO 

サーバにインストールする必要があります。ePO コンソールに拡張ファイルをインストー 

ルした後は、Host Intrusion Prevention の拡張機能が ePO サーバにもインストールされて 

いることを確認します。[Enable] (有効) ページ ([] または [Integration] (統合)、 

[Host Intrusion Prevention]、[Enable] (有効) の順に選択) の [Download the ePO Extension for 

Network Security Manager here] (ここから Network Security Manager の ePO 拡張ファイ 

ルをダウンロード) リンクを使用して、拡張ファイル (NSPExtension.zip) をダウンロード 

することができます。 

マネージャでは、Host Intrusion Prevention 統合機能は McAfee ® Network Security Sensor 

(センサ) に類似しています。つまり、マネージャは、Host Intrusion Prevention のサーバ部 

分を実行している ePO サーバを特殊なタイプのセンサとして扱います。つまり、マネー 

ジャは Host Intrusion Preventionからイベント情報を受け取り、そのイベント情報をデータ 

ベースに組み込みます。これにより、その他の Network Security Platform アラートのよう 

に、Threat Analyzer およびレポートでの詳細な表示やアクションが可能になります。 

名前および共有秘密鍵を入力して、マネージャで Host Intrusion Prevention センサを設定 

します。次に、そのマネージャの IP および共有秘密鍵を ePO サーバコンソールにも設定 

します。信頼関係が確立されると、Host Intrusion Prevention センサはマネージャのリソー 

スツリーの Device List ノードに表示されます。[Enable] (有効) ページ ([] ま 

たは [Integration] (統合)、[Host Intrusion Prevention]、[Enable] (有効) の順に選択) の [Add a Sensor 

of type Host Intrusion Prevention here] (ここから Host Intrusion Prevention タイプのセンサ 

を追加) リンクを使用して、マネージャで Host Intrusion Prevention Sensor の設定プロセ 

スを開始することができます。 

Host Intrusion Prevention イベントはリアルタイム Threat Analyzer に表示されます。 [Alert] 

(アラート) ページの [Group By] (グループ化) からドリルダウンし、センサを選択することで 

表示できるのは、Host Intrusion Prevention アラートのみです。ここでは、イベントのソー 

トおよびフィルタリングを実行することができます。 

注意 1: Host Intrusion Prevention IPS イベントがマネージャに送信されるだけです。 

注意 2: IPS 隔離は、Threat Analyzer の Host Intrusion Prevention イベントには適用 

されません。 

29

McAfee® Network Security Platform 6.0 McAfee Host Intrusion Prevention との統合 

MDR ペアの場合、Host Intrusion Prevention アラートはアクティブとスタンバイ両方のマ 

ネージャに送信されます。 

Host Intrusion Prevention 詳細の設定 

マネージャと Host Intrusion Prevention を統合するには、以下の手順に従います。 

1 マネージャで [Configuration] (設定)、[Server Settings] (サーバ設定) の順に移動します。 

[ePO Server Settings] (ePO サーバの設定) ページが表示されます。 

[Next] (次へ) をクリックします。 

2 [ePO Extension] (ePO 拡張ファイル) リンクをクリックします。 

NSPExtension.zip を開くか保存するかを確認するダイアログボックスが表示荒れます。 

3 [NSPExtension.zip] を後で取得可能な場所に保存します。 

4 ePO コンソールにログオンします。 


5 [設定]、[拡張ファイル]、[拡張ファイルのインストール] ページの順に移動します。 

6 上記の手順 4 でファイルを保存した場所を参照し、ePO 拡張ファイルを選択します。 

インストールすると、[設定カテゴリ] リストにマネージャが表示されます。 

図 36: [設定カテゴリ] リスト 

7 Host Intrusion Prevention の拡張機能がインストールされたことを ePO コンソールで 

確認します。 

30


Host Intrusion Prevention Sensor の追加 

Host Intrusion Prevention Sensor のインストールはセンサの追加に類似しています。以下 

の手順を実行します。 

1 [Device List] (デバイスリスト)、[Devices] (デバイス) の順にクリックします。 

2 [New] (新規作成) をクリックします。 

[Add New Device] (新しいデバイスの追加) ページが表示されます。 

図 37: Host Intrusion Prevention Sensor の追加 

3 [Device Name] (デバイス名) に、マネージャで Host Intrusion Preventions 管理サーバを 

識別するための一意の名前を入力します。センサ名は、25 文字以内の英数字 (大文字 

または小文字のアルファベットと数字) で、ハイフン、アンダーバー、ピリオドも使用 

できます。名前は文字で開始してください。 

4 [Device Type] (デバイスの種類) で [Virtual Host Intrusion Prevention Sensor] (仮想 Host 

Intrusion Prevention センサ) を選択します。 

5 マネージャと Host Intrusion Prevention 間の通信を確認するためのパスワードを 

[Shared Secret] (共有秘密鍵) に入力します。秘密鍵は、8 文字以上 25 文字以内の英数字 

(大文字または小文字のアルファベットと数字) で、ハイフン、アンダーバー、ピリオ 

ドも使用できます。秘密鍵は感嘆符で開始したりスペースを入れることはできません。 

注意: ePO コンソールとHost Intrusion Prevention の統合を行うときには、セン 

サ名と共有秘密鍵を正確に入力する必要があります。大文字と小文字は区別さ 

れますので注意してください。 

6 [Contact Information] (連絡先) と [Location] (場所) に連絡先情報を入力します (この操作は 

任意です)。 

7 [Save] (保存) をクリックして、マネージャと ePO サーバのハンドシェークプロセスを 

開始します。 

31


注意: ePO コンソール上でHost Intrusion Prevention センサの詳細を構成し、信頼関 

係を確立する必要があります。30 ページの「Host Intrusion Prevention 詳細の設定」 


信頼関係が確立されると、[Resource tree / Device List] (リソースツリー/デバイスリスト) に 

Host Intrusion Prevention センサが表示されます。 

ePO での Host Intrusion Prevention Sensor の設定 

ePO サーバ間に Host Intrusion Prevention センサを設定するには、マネージャおよび ePO 

の間に信頼関係を確立し、以下の手順を実行します。 

1 ePO コンソールにログオンします。 


2 [設定]、[サーバ設定] ページの順に選択します。 

3 参照して [NSP および HIP 設定] を選択します。 

4 [Edit] (編集) をクリックします。 

注意: 既存の設定を編集する前に、スケジューラを停止する必要があります。 

[NSP と HIP 統合の編集] ページが表示されます。 

図 38: NSP と HIP 統合の編集 

32


5 以下を入力して設定します。 


Manager IP (マネージャの IP ア 

ドレス) 

Sensor Name (センサ名) センサの名前 

Host Intrusion Prevention Sensor を設定する 

マネージャサーバの IP。 

Shared Secret (共有秘密鍵) 共有秘密鍵。これは、マネージャで入力した 

共有秘密鍵と一致している必要があります。 

Confirm Shared Secret (共有秘密 

鍵の確認) 

Init channel port (初期チャネル 

ポート) 

Alert channel port (アラートチャ 

ネルポート) 

Packet channel port (パケット 

チャネルポート) 

共有秘密鍵の確認。 

マネージャがセンサと設定情報を交換する 

ポート。 

マネージャがセンサのアラートを待機する 

ポート。 

マネージャがシグネチャ ID マッピング情報 

を送信するために使用するポート。 

6 [Save] (保存) をクリックして変更を保存し、前のページに戻ります。 

33

第 3 章 

McAfee Vulnerability Manager との統合 

脆弱性評価は、ネットワーク内のセキュリティの脅威を判断するため、ネットワークの計 

算システムの脆弱性をプロアクティブに特定する自動プロセスです。脆弱性スキャナソフ 

トウェアは、ネットワークをリモートから評価し、システムの脆弱性を見つけることで、 

脆弱性検出プロセスを自動化します。 

McAfee ® Network Security Platform では、McAfee Vulnerability Manager (旧 McAfee ® 

Foundstone) と統合して、リモートスキャンを有効化したり、ホストでの攻撃の関連性を 

判断するための脆弱性評価レポートを使用できます。 

以下の各セクションで詳細を説明します。 

• McAfee Network Security Platform と Vulnerability Manager の統合 ( 34 ページ) (設定と 

機能) 

• 攻撃の関連性の解析 ( 46 ページ) 

• トラブルシューティングオプション ( 56 ページ) 

• Vulnerability Manager のカスタム証明書のサポート (58 ページ) 

McAfee Network Security Platform と Vulnerability Manager の統合 

Network Security Platform は Vulnerability Manager と統合されました。 

この統合の強化には、2 つの主要な要素があります。 

1 つ目は、Vulnerability Manager のスキャンデータを Network Security Platform にインポー 

トするスケジュールを設定して、IPS イベントデータの関連性を自動的にアップデートで 

きることです。また、Threat Analyzer コンソールで単一 IP アドレスまたは IP アドレスの 

範囲を指定して、Vulnerability Manager のオンデマンドスキャンを開始できます。これに 

より、セキュリティ管理者は、ほぼリアルタイムでホストの脆弱性の詳細のアップデート 

にアクセスし、重大なイベントに集中することができます。 

34

McAfee® Network Security Platform 6.0 McAfee Vulnerability Manager との統合 

以下の図は、Network Security Platform と Vulnerability Manager の統合の概要を示してい 

ます。 

図 39: Network Security Platform と Vulnerability Manager の統合 

この統合では、McAfee ® Network Security Manager (マネージャ) の以下の主要機能が提供 


オンデマンドスキャン 

ホストのソース IP アドレスまたは宛先 IP アドレスを選択し、Threat Analyzer から 

Vulnerability Manager スキャンを要求することができます。 

Vulnerability Manager オンデマンドスキャンを要求すると、選択したホスト IP アドレス 

が Threat Analyzer からマネージャの Web 層に渡され、FoundScan エンジンに接続し、信 

頼関係が確立されます。これにより、要求されたホスト IP アドレスのスキャンが開始され 

ます。 

FoundScan エンジンはホストをスキャンし、マネージャに脆弱性評価データを提供します。 

このデータは、マネージャデータベースで処理され、保管されます。さらに、脆弱性デー 

タは Threat Analyzer クライアントのキャッシュでアップデートされ、開かれたすべての 

Threat Analyzer から、最近起動したオンデマンドスキャンを表示できます。Threat 

Analyzer からオンデマンドスキャンを要求するには、マネージャで Vulnerability Manager 

の設定を行う必要があります (38 ページを参照してください)。 

注意: Threat Analyzer からのオンデマンドスキャン機能の使用の詳細については、 

58 ページの「Threat Analyzer からの Vulnerability Manager スキャンの要求」を参 

照してください。 

35


マネージャのスケジューラからの Vulnerability Manager レポートの自動インポート 

マネージャの Vulnerability Manager スケジューラから、Vulnerability Manager データベー 

スからの脆弱性レポートをインポートすることができます。レポートの生成は、日単位ま 

たは週単位で設定できます。インポートされた脆弱性データはマネージャデータベースに 

保存され、また、攻撃の関連性の解析に使用される関連性キャッシュでもアップデートさ 

れます。 

マネージャからの Vulnerability Manager レポートの手動インポート 

Vulnerability Managerから手動でレポートをインポートし、ローカルコンピュータに保存 

することができます。マネージャクライアントは、インポートした脆弱性データをマネー 

ジャサーバの脆弱性評価モジュールに渡します。このデータはマネージャデータベースで 

Network Security Platform 形式で処理および保存されます (51 ページ)。詳細については、48 

の「スキャンレポートの手動インポート」を参照してください。 

攻撃の関連性の解析 

脆弱性レポートをマネージャデータベースにインポートしたら、リアルタイムアラートの 

脆弱性の関連性を判断できます。詳細については、46 ページの「攻撃の関連性の解析」を 

参照してください。 

Vulnerability Manager のインストール 

マネージャから Vulnerability Manager を設定する前に、システムに Vulnerability Manager 

(バージョン 5.x または 6.x) をインストールする必要があります。 

Vulnerability Manager は次のコンポーネントから構成されます。 

• Vulnerability Manager - ブラウザベースのユーザインターフェースを表示します。 

• スキャンエンジン (42 ページ) - 脆弱性評価のためのホストスキャンに使用します。 

• Vulnerability Manager データベースサーバ (40 ページ) - 組織設定やスキャン構成、 

ワークグループ、ユーザアカウント情報、スキャン結果に関する情報を格納する 

Vulnerability Manager のデータリポジトリです。 

• Vulnerability Manager のカスタム証明書のサポート (58 ページ) - カスタム証明書で 

使用される Vulnerability Manager Certificate Management ツールをホストします。 

実際の Vulnerability Manager 配備では、Vulnerability Manager、Vulnerability Manager コ 

ンソール、1 つ以上の FoundScan エンジン、Vulnerability Manager データベースを配備す 

ることができます。 

注意: 異なる Vulnerability Manager 配備シナリオのシステム要件の詳細については、 

『Vulnerability Manager Administrator Guide』 (Vulnerability Manager管理者ガイド) を参照 

してください。 

DNS サーバを使用する Vulnerability Manager サーバの設定 

Vulnerability Manager 配備に使用するサーバは、Domain Name System (DNS) サーバに使 

用するために設定します。Vulnerability Manager サーバは、DNS ゾーン内のレコードとし 

て定義する必要があります。 

36


また、オンデマンドスキャンに使用するクライアントコンピュータを設定すること、DNS 

サーバを使用することを確認します。 

上記の設定がないと、不正な名前の解決のため、Threat Analyzer からの Vulnerability 

Manager オンデマンドスキャンにエラーが生じます。 

FoundScan Engine の FQDN (Fully Qualified Domain Name) 使用 

Vulnerability Manager は、スキャン実行、レポート表示などの異なるタスクのため、 

FoundScan Engine に接続します。 

Vulnerability Manager をインストールすると、IP アドレス、FoundScan サーバ用 NetBIOS 

名または DNS 解決可能名を入力するように要求されます。 

Vulnerability Manager をインストールしている、ローカルコンピュータの静的 IP アドレ 

スまたは FQDN (Fully Qualified Domain Name) の使用を推奨します。デフォルト値 

(MYHOST、上記の図で表示) は、お薦めしません。 

上記の画面は、Vulnerability Manager 6.5.1 インストールでのみ表示され、6.7 および 6.8 

バージョンでは適用されません。 

注意: FQDN は、ホスト名とドメイン名で構成されます。たとえば、ホスト名「myhost」、 

ドメイン名「example.com」のデバイスについては、FQDN 名は、 

「myhost.example.com」です。この例では、.comはトップレベルドメインです。 

Vulnerability Manager 設定のメニューオプション 

マネージャで Vulnerability Manager を構成するには、リソースツリーで [Root Admin Domain] 

(ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager] の順に選択します。 

次のメニューオプションが表示されます。 

図 40: NSM の Vulnerability Manager 設定用のメニューオプション 

37


アイテムメニューオプション説明 

1 Vulnerability 

Manager 

Vulnerability Manager を設定するためのサブメ 

ニューオプションが含まれています。 

2 Summary (概要) マネージャでの Vulnerability Manager の設定の 

詳細を表示します。 

3 Enable (有効) Threat Analyzer で Vulnerability Manager スキャ 

ニングを有効にします。 

4 Database (データ 

ベース) 

5 Scan Engine (スキャ 

ンエンジン) 

Vulnerability Manager データベースの設定を行 

います。 

FoundScan エンジンの設定を行います。 

6 Scans (スキャン) マネージャにスキャンの設定を追加します。 

7 Troubleshooting (ト 

ラブルシューティン 

グ) 

Vulnerability Manager キャッシュのリロード、 

関連性キャッシュのリセット、データベース 

アップデートの再送信など、トラブルシュー 

ティングオプションが含まれています。 

注意: 本書では、上記のメニューオプションを「Vulnerability Manager メニューオ 

プション」と表記します。 

マネージャでの Vulnerability Manager の設定 

Vulnerability Manager の設定を行うと、マネージャは FoundScan エンジンサーバやデー 

タベースと直接接続できるようになります。 

次の 2 つの方法で設定できます。 

1 設定画面の手動での移動 

2 Vulnerability Manager 構成ウィザードの使用 

設定画面の手動での移動 

手動で Vulnerability Manager の設定を行うには、次の順序に従って手順を実行する必要が 

あります。 

• Vulnerability Manager スキャンの有効化 ( 39 ページ) - Threat Analyzer から 

Vulnerability Manager オンデマンドスキャン機能を正常に使用するために必要な最初 

の手順です。 

• Vulnerability Manager データベースの設定 (40 ページ) - この手順は、マネージャが 

Vulnerability Manager データベースサーバと接続し、データベースから必要な情報を 

インポートするために必要です。 

• FoundScan エンジンの設定 (42 ページ) - スキャンエンジン情報を使用して、Threat 

Analyzer から Vulnerability Manager スキャンを開始します。 

• Vulnerability Manager スキャンの設定の追加 (43 ページ) - スキャン対象のホストの 

IP アドレスがマネージャに追加されたスキャン設定のいずれかに該当する場合は、 

38


Threat Analyzer からのホストのオンデマンドスキャンにそのスキャン設定が使用さ 

れます。この手順により、マネージャでの Vulnerability Manager の設定が完了します。 

Vulnerability Manager 構成ウィザードの使用 

Vulnerability Manager構成ウィザード (46 ページ) を使用すると、必要な順番で画面に移動 

することができます。 

[My Company]、[Integration] (統合)、[Vulnerability Manager Summary] (Vulnerability Manager サマ 

リ)、[Run Configuration Wizard] (構成ウィザードを実行) の順に選択して、Vulnerability Manager 

構成ウィザードを開始します。 

図 41: [Summary] (サマリ) ページから Vulnerability Manager 構成ウィザードへのアクセス 

Vulnerability Manager スキャンの有効化 

マネージャから Vulnerability Manager を設定するには、まず最初に Vulnerability Manager 

のスキャンを有効にします。 

マネージャの Vulnerability Manager スキャンを有効にするには、以下の手順に従います。 

1 Vulnerability Manager メニューオプション (37 ページ) から [Enable] (有効化) を選択し 

ます。[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager 

Enable] (Vulnerability Manager の有効化) の順に選択します。 

2 [Enable] (有効化) ページが表示されます。 

図 42: NSM の最初のページから Foundstone スキャンを有効化 

3 [Enable Vulnerability Scanning?] (脆弱性スキャンを有効化しますか?) オプションで、[Yes] 

(はい) を選択し、マネージャの Vulnerability Manager 設定を有効にします。 

39


4 [Save] (保存) をクリックします。画面が更新され、正常に変更が更新されたというメッ 

セージが表示されます。 

Vulnerability Manager データベースの設定 

Vulnerability Manager の設定に必要な 2 番目の手順は、Vulnerability Manager データベー 

スの設定です。 

これらの設定を使用して、マネージャは Vulnerability Manager データベースに接続し、ス 

キャン対象ホストの関連性情報、スキャン設定の詳細、スキャンエンジンの詳細、脆弱性 

データを取得します。必要なデータは、マネージャに固有のストアドプロシージャを使用 

して Vulnerability Manager データベースから直接取り出されます。 

ヒント: Vulnerability Manager データベースを設定する前に、Vulnerability Manager 

スキャンを有効にしてください (39 ページ)。 

Vulnerability Manager データベースを設定するには、次の手順に従います。 

1 Vulnerability Manager メニューオプション(37 ページ) から [Database] (データベース) 

を選択します。[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability 

Manager Database] (Vulnerability Manager データベース) の順に選択します。 

図 43: NSM での Vulnerability Manager データベースの設定 

2 [Database Settings] (データベース設定) ウィンドウで、Vulnerability Manager データベー 

スの [Server Name / IP Address] (サーバ名 / IP アドレス) を入力します。 

3 [Database Type] (データベースタイプ) を入力します。[Default] (デフォルト) データベー 

スまたは [Custom] (カスタム) データベースを選択できます。 

40


4 [Database Type] (データベースタイプ) に [Default] (デフォルト) を選択した場合は、 

[Database Settings] (データベース設定) ウィンドウに以下の 3 つのフィールドのデフォ 

ルト値が表示されます。 

Server Port (サーバポート): 1433 

SSL Type (SSL タイプ): [Require] (必須) 

Database Name (データベース名): [Faultline] 

[Default ] (デフォルト) オプションを選択した場合は、手順 9 に移動します。 

5 [Database Type] (データベースタイプ) で [Custom] (カスタム) を選択すると、[Server Port] 

(サーバポート)、[SSL Type] (SSL タイプ)、[Database Name] (データベース名) フィールド 

にカスタムの値を入力できます。 [Custom] (カスタム) オプションを選択した場合は、 

手順 6 に移動します。 

6 Vulnerability Manager データベースサーバの [Server Port] (サーバポート) を入力しま 

す。 

7 [SSL Type] (SSL タイプ) を選択します。 

SSL タイプ説明 

Off (オフ) SSL は要求または使用されません (これはデフォ 

ルト設定です) 。 

Request (要求) SSL が要求されます。サーバが SSL をサポートし 

ていない場合は、プレーン接続が使用されます。 

Require (必須) SSL が要求されます。サーバが SSL をサポートし 

ていない場合は、例外が発生します。 

Authenticate (認 

証) 

Vulnerability Manager サーバの証明書が信頼でき 

る証明機関 (VeriSign、DigiCert など) で署名され 

ることを除けば、[Require] (必須) と同じです。 

8 [Database Name] (データベース名) に Vulnerability Manager データベースサーバの名前 

を入力します。 

9 次に、Vulnerability Manager データベースにログインするための 3 つの異なる認証タ 

イプ ([SQL]、[Windows Domain] (Windows ドメイン)、[Windows Workgroup] (Windows ワー 

クグループ)) のいずれかを選択できます。これらの認証タイプのいずれの場合も、[User 

Name] (ユーザ名) と [Password] (パスワード) は、設定で使用される Vulnerability 

Manager データベースサーバのユーザ名とパスワードのことです。 

10 SQL 認証の場合、次を実行します。 

a. [User Name] (ユーザ名) にユーザ名を入力します。 

b. [Password] (パスワード) にパスワードを入力します。 

11 Windows ドメイン認証の場合、次を実行します。 



c. [Logon Domain] (ログオンドメイン) にログインドメインを入力します。 

注意: [Logon Domain] (ログオンドメイン) は Windows NT システムではネット 

ワークドメインを表します。このフィールドは Windows ドメイン認証専用です。 

41


12 Windows ワークグループの場合、次を実行します。 



c. [Server Name] (サーバ名) に Windows ワークグループサーバのサーバ名を入力しま 

す。 

13 [Test Connection] (接続のテスト) をクリックして Vulnerability Manager データベースに 

接続できるか確認します。 

注意: どちらの認証タイプのログイン情報 (ユーザ名およびパスワード) にも、 

Vulnerability Manager データベースの db_owner アクセス権を付与する必要が 

あります。これはマネージャで Vulnerability Manager データベースへの接続を 

確立し、Vulnerability Manager データベースにストアドプロシージャを自動イ 

ンストールするために必要です。 

初めて Vulnerability Manager データベースを設定した際に、マネージャは情報 

の取得に必要なテーブルおよびストアドプロシージャを持つ Vulnerability 

Manager データベースを自動的にインストールします。 

次の手順で、マネージャでスキャンエンジン設定を構成します。 

FoundScan エンジンの設定 

FoundScan エンジン (エンジン、スキャンエンジン、FoundScan Console ともいいます) は、 

ネットワーク内のホストの脆弱性をスキャンする Vulnerability Manager システムのコン 

ポーネントです。 

Network Security Platform-Vulnerability Manager 統合では、FoundScan エンジンの 2 つの 

バージョン (5.x および 6.x) をサポートしています。マネージャでは、スキャンエンジンの 

バージョン、スキャンエンジンサーバへのログイン認証情報を設定します。マネージャは、 

これらの設定を使用して Threat Analyzer の脆弱性評価スキャンを初期化します。 

ヒント: スキャンエンジンを設定する前に、Vulnerability Manager スキャンを有効に 

し (39 ページ)、Vulnerability Manager データベース設定を構成する (40 ページ) 必要 

があります。 

スキャンエンジン設定を構成するには、次を実行します。 

1 Vulnerability Manager メニューオプション (37 ページ) から [Scan Engine] (スキャンエ 

ンジン)を選択します。[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、 

[Vulnerability Manager Scan Engine] (Vulnerability Manager スキャンエンジン) の順に選択 

します。 

2 [Scan Engine Settings] (スキャンエンジンの設定) ウィンドウで、[Engine Version] (エンジ 

ンバージョン) を 5 または 6 で選択します。 

注意: [Scan Engine Settings] (スキャンエンジンの設定) ウィンドウでは、5.x は 

Vulnerability Manager 5.0 バージョンを指し、6.x は Vulnerability Manager 6.0 ま 

たは 6.5 バージョンを指します。 

3 スキャンエンジンサーバの [User Name] (ユーザ名) と [Password] (パスワード) にそれぞ 

れ値を入力します。 

42


図 44: NSM でのスキャンエンジン設定の構成 

注意: ここで入力したユーザ名とパスワードには、スキャンエンジンサーバの 

完全アクセス権限がある必要があります。これは、Threat Analyzerから 

Vulnerability Manager オンデマンドスキャンを正常に開始するために不可欠で 

す。 

4 [Save] (保存) をクリックして設定を保存します。 

次に、マネージャでスキャン構成を追加します。 

Vulnerability Manager スキャン設定の追加 

Vulnerability Manager システムで各ホスト IP アドレス範囲ごとにスキャン構成 (スキャン) 

を定義し、マネージャに追加することができます。 

マネージャにスキャン構成を追加すると、Vulnerability Manager データベースにそのス 

キャン構成が存在するかどうかチェックされます。スキャン構成が存在する場合は、マネー 

ジャデータベースに保存されます。また、スキャン構成はマネージャキャッシュにアップ 

ロードされます。 

マネージャキャッシュは基本的に、スキャン構成で定義されたスキャン構成 ID と IP 範囲 

を格納します。Threat Analyzer からのホスト IP のオンデマンドスキャンを要求すると、 

要求された IP アドレスはキャッシュされた IP アドレスに照合され、適切なスキャン構成 

ID が選択されます。次に、スキャン構成 ID に関連付けられているスキャン構成が、ホス 

ト IP のスキャンに使用されます。 

必須条件:スキャン設定をマネージャに追加する前に、FoundScan エンジン内で定 

義されたスキャン設定を一度実行する必要があります。Vulnerability Manager で定 

義された各スキャン設定は、FoundScan エンジンと関連付けられています。 

Vulnerability Manager 側で初めてスキャン設定を実行する場合、スキャン設定が最 

後に実行されたFoundScan エンジンが、そのスキャン設定と関連付けられます。こ 

の手順は、スキャン設定をマネージャに追加するために重要です。 

ヒント: Vulnerability Manager 側で定義した組織の共通ユーザを定義することをお 

勧めします。このユーザが FoundScan エンジンへの完全アクセス権を持っているこ 

とを確認してください。このユーザにより、Vulnerability Manager の組織すべてで 

定義したさまざまなスキャン設定にアクセスすることができます。これで、 

Vulnerability Manager で定義したスキャン設定のアクセスが容易になります。組織 

およびスキャン設定の詳細については、『Vulnerability Manager Administrator Guide』 

(Vulnerability Manager管理者ガイド) の「スキャンについて」を参照してください。 

43


マネージャにスキャン設定を追加するには、以下の手順に従います。 

1 Vulnerability Manager メニューオプションから (37 ページ) [Scans] (スキャン) を選択 

します。[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager 

Scans] (Vulnerability Manager スキャン) の順に選択します。 

[Added Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加) ページが表示 


図 45: [Scan Configuration Details] (スキャン構成の詳細) ページ 

注意: [Added Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加) 

ページで、スキャン設定を個別でまたは複数選択で削除できます。 [Delete] (削除) 

を選択すると、スキャン設定を削除できます。複数のスキャン設定では、該当 

する設定のチェックボックスを選択してから [Delete] (削除) を選択します。 

2 スキャン構成を追加するには、[New] (新規作成) をクリックします。 [Add a Scan] (スキャ 

ンの追加) ダイアログが表示されます。 

図 46: スキャン構成の NSM への追加 

[Add a Scan] (スキャンの追加) ダイアログでは、異なるホスト IP アドレス範囲の 

FoundScan エンジンで定義された設定と同じスキャン設定を入力できます。 

3 [Organization] (組織) または [Workgroup] (ワークグループ) に組織名またはワークグルー 

プ名を入力します。 

4 [Scan Name] (スキャン名) にスキャン名を入力します。 

44


5 デフォルトにするスキャン設定を [Set As Default ?] (デフォルトに設定しますか?) で選 

択します。 

ヒント: [Set As Default] (デフォルトに設定) オプションを使用して、必要なスキャ 

ン構成をデフォルトとして設定できます。 

6 必要な場合、[Description] (説明) フィールドにスキャン設定に関する説明を入力します。 

7 [Save] (保存) を選択します。[Added Vulnerability Manager Scans] (Vulnerability Manager ス 

キャンの追加) ページにマネージャに追加するすべてのスキャン設定が表示されます。 

これで Vulnerability Manager の設定が完了します。Threat Analyzer を実行している場合は、 

再起動して変更を有効にします。 

Vulnerability Manager 設定詳細の表示 

Vulnerability Manager の設定詳細をマネージャで表示するには、以下の手順に従います。 

[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager Summary] 

(Vulnerability Manager サマリ) の順に選択します。[Summary] (サマリ) ページが表示されま 

す。 

図 47: NSM での Vulnerability Manager 構成詳細ページ 

このページには、Vulnerability Manager スキャンの状態 (有効または無効)、Vulnerability 

Manager データベース設定、Vulnerability Manager エンジン設定、マネージャに追加され 

たスキャン構成のリストなど、Vulnerability Manager 構成の詳細情報が表示されます。 

すべてのページで保存された Vulnerability Manager 構成に関連する変更は、[Summary] (サ 

マリ) ページに反映されます。各リンクをクリックすると、該当するページにリダイレクト 


また、[Summary] (サマリ) ページの [Run Configuration Wizard] (構成ウィザードを実行) を使用 

して、Vulnerability Manager 設定を構成できます。46 ページの「Vulnerability Manager 構 

成ウィザードの使用」を参照してください。 

45


Vulnerability Manager 構成ウィザードの使用 

Vulnerability Manager 構成ウィザードを使用して、マネージャから Vulnerability Manager 

の設定を行うことができます。 

1 [Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager 

Summary] (Vulnerability Manager サマリ) の順に選択します。 

2 [Summary] (サマリ) ページで、[Run Configuration Wizard] (構成ウィザードを実行) を選択し 

ます。 

3 ウィザードに次の順序でページが表示されます。 

Enable (有効) (39 ページ) 

Database Settings (データベース設定) (40ページ) 

Scan Engine Settings (スキャンエンジン設定) (42 ページ) 

Added Vulnerability Manager Scans (Vulnerability Manager スキャンの追加) (43 ページ) 

4 [Next >] (次へ >) または [< Back] (< 戻る) ボタンを使用してページを移動します。 

5 設定手順は合計で 4 つです。4 つ目の手順が終わったら、[Finish] (終了) を選択します。 

6 Threat Analyzer を実行している場合は、再起動して変更を有効にします。 

攻撃の関連性の解析 

関連性の解析では、Vulnerability Manager からマネージャデータベースにインポートされ 

た脆弱性データを使用して、リアルタイムアラートの脆弱性の関連性の解析を行います。 

スキャナの脆弱性評価レポートには、ネットワークの特定のホストで検出された脆弱性が 

含まれています。たとえば、脆弱性評価レポートには、ホスト 10.1.1.x がバッファオーバー 

フロー攻撃に対して脆弱であるという内容と、攻撃の CVE ID および BugTraq ID が表示さ 

れます。マネージャは、インポートされたスキャンレポートを使用して、識別されたホス 

トがその特定の攻撃に対して脆弱であるかどうかを判断します。 

マネージャの攻撃キャッシュには、McAfee ® Network Security Sensor (センサ)により検出 

された攻撃の CVE ID が保存されます。関連性の解析では、インポートされたレポートの 

脆弱性の CVE ID が、マネージャの攻撃キャッシュの CVE ID と比較されます。一致レコー 

ドが見つかると、該当するアラートは [Relevant] とマークされます。このレコードは、ア 

ラートの処理中にアラート相関分析モジュールによって関連性の種類の確認に使用されま 

す。また、Threat Analyzer の [Vulnerability Relevance] (脆弱性の関連性) フィールドのアップ 

デートにも使用されます。 

関連性の解析のステータスは、[Preferences] (設定) ページの [Vulnerability Relevance] (脆弱性の 

関連性) フィールドを有効にすることにより、Threat Analyzer の [Details] (詳細) ページで表 

示できます。ステータスは [Relevant]、[Unknown]、[Not Applicable] のいずれかです。 

[Details] (詳細) ページで、[Vulnerability Relevance] (脆弱性の関連性) カテゴリ別にソートして 

アラートを表示することもできます。詳細については、『System Status Monitoring Guide』 (シ 

ステムの状態の監視ガイド) の「ドリルダウン:アラートのカテゴリ別のソート」および 

「Drilldown:Detail view」を参照してください。 

脆弱なホストのアラートを [Relevant] とマークすることで、ネットワーク管理者は相対的 

な関連性に応じて簡単にアラートを表示およびソートできます。 

46


関連性の解析用のメニューオプション 

マネージャで関連性の解析を構成するには、リソースツリーで [Root Admin Domain] (ルート 

管理ドメイン)、[Integration] (統合)、[Relevance] (関連性) の順に選択します。 

次のメニューオプションが表示されます。 

図 48: 関連性の解析用のメニューオプション 

アイテムメニューオプション説明 

1 Relevance (関連性) 関連性の解析について設定するためのサブメ 

ニューオプションが含まれています。 

2 Summary (概要) マネージャでの関連性の解析の設定の詳細を表示 

します。 

3 Enable (有効) Threat Analyzer での関連性の解析を有効にしま 

す。 

4 Manual Import (手動 

インポート) 

マネージャデータベースに脆弱性スキャナレ 

ポートを手動でインポートします。 

5 Automation (自動) マネージャデータベースへの Vulnerability 

Manager 脆弱性レポートの自動インポートのスケ 

ジュールを設定します。 

6 Database (データ 

ベース) 

関連性の解析用の Vulnerability Manager データ 

ベースの設定を行います。 

7 Scans (スキャン) マネージャにスキャンの設定を追加します。 

8 Troubleshooting (ト 

ラブルシューティン 

グ) 

Vulnerability Manager キャッシュのリロード、関 

連性キャッシュのリセット、データベースアップ 

デートの再送信など、トラブルシューティングオ 

プションが含まれています。 

注意: 本書では、上記のメニューオプションを「関連性メニューオプション」と表 

記します。 

マネージャでの関連性の解析の構成 

次の 2 つの方法でマネージャの関連性を構成できます。 

1 設定画面の手動での移動 

2 関連性構成ウィザードの使用 

47


設定画面の手動での移動 

マネージャで関連性の設定を行うには、次の順序に従って手順を実行する必要があります。 

• 攻撃の関連性の解析の有効化 (48 ページ) 

• スキャンレポートの手動インポート (48ページ) 

• スキャンレポートの自動インポート (51ページ) 

• 関連性の解析用のVulnerability Manager データベースの設定 (52ページ) 

• 関連性の解析に関するスキャン設定の追加 (53 ページ) 

関連性構成ウィザードの使用 

また、関連性構成ウィザード (54 ページ) を使用して、上記のタスクを構成することもでき 

ます。 

注意: 攻撃の関連性の解析には、関連性の解析を有効にし (48 ページ)、手動 (48 ペー 

ジ) または自動 (51 ページ) でマネージャにスキャンレポートをインポートする必要 

があります。 

攻撃の関連性の解析の有効化 

この手順は、マネージャで関連性の解析を構成するのに必要です。 

関連性の解析を有効にするには、以下の手順に従います。 

1 関連性メニューオプション(47 ページ) から [Enable] (有効) を選択します。[Root Admin 

Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、[Enable] (有効) の 

順に選択します。 

2 [Enable] (有効化) ページが表示されます。 

3 [Enable Relevance Analysis?] (関連性の解析を有効化しますか?) オプションで [Yes] (はい) 

を選択し、マネージャでの関連性の解析設定を有効化します。 

図 49: NSM での関連性の解析の有効化 

4 [Save] (保存) をクリックして設定を保存します。画面が更新され、正常に変更が更新さ 

れたというアップデートが表示されます。 

スキャンレポートの手動インポート 

Vulnerability Manager からマネージャにスキャナレポートを手動でインポートできます。 

その他の他社製の脆弱性スキャナレポートをインポートする場合は、Network Security 

Platform 形式 (51 ページ) にレポートを変換する必要があります。 

48


XML ベースの形式を Network Security Platform 形式に変換する場合は、Network Security 

Platform に含まれる DTD (GenVulReportFlat.dtd) を参照してください。 

マネージャに脆弱性スキャナレポートを手動でインポートするには、次の手順を実行しま 

す。 

1 [Relevance menu options] (関連性メニューオプション) (47 ページ) から [Manual Import] 

(手動インポート) リンクを選択します。[Root Admin Domain] (root 管理ドメイン)、 

[Integration] (統合)、[Relevance] (関連性)、[Manual Import] (手動インポート) の順に選択し 

ます。 

図 50: NSM に脆弱性スキャナレポートを手動インポート 

[Import Scan Reports Manually] (スキャンレポートを手動でインポート) で [New] (新規作 

成) を選択します。[Import A Scan Report] (スキャンレポートのインポート) Web ページ 

ダイアログが表示されます。 

図 51: NSM に脆弱性スキャナレポートをインポートする Web ダイアログ 

49


2 [Report Type] (レポートタイプ) ドロップダウンリストからプライマリインターフェー 

スを選択します。レポートは、サポートされているスキャナまたは形式のいずれでも 

可能です (50 ページを参照)。 

3 [Description] (説明) に選択したスキャナレポートの種類を入力します。 

4 [Browse...] (参照...) をクリックして、[Report file] (レポートファイル) を選択します。ロー 

カルマシンからレポートファイルを選択できます。 

5 マネージャデータベースにレポートをインポートするには、[Enable on import?] (イン 

ポートを有効化しますか?) チェックボックスを選択します。 

6 [Import Report] (レポートのインポート) をクリックして、スキャナレポートをインポー 

トします。 

7 スキャナレポートはマネージャデータベースにインポートされ、[Manually Imported Scan 

Reports] (スキャンレポートを手動でインポート) ウィンドウで表示されます。 

注意: インポートされたレポートはマネージャデータベースで Network 

Security Platform 形式で処理および保存されます (51 ページ)。 [Manually Imported 

Scan Reports] (スキャンレポートを手動でインポート) ウィンドウでは、[File Name] 

(ファイル名) フィールドのリンクを選択する場合、Network Security Platform 形 

式のレポートを別ウィンドウで表示することができます。 

サポートされている脆弱性スキャナおよび形式 

Network Security Platform では、次の脆弱性スキャナバージョンとレポート形式をサポー 

トしています。 

サポートされているスキャナスキャナのバージョンレポート形式 

Vulnerability Manager 

Enterprise (50 ページ) 

他社製脆弱性スキャナ (例: 

Qualys、nCircle) 

5.x、6.x。 

6.0 または 6.5 バージョン 

Vulnerability Manager 5.x 

は 5.0.x バージョンを指し 

ます。 

XML 

Network Security 

Platform 形式 (51 ページ) 

前述のとおり、上記のスキャナからの脆弱性レポートはマネージャにインポート可能です。 

McAfee Vulnerability Manager の形式 

McAfeeVulnerability Manager Enterprise は脆弱性評価 (VA) のプラットフォームであり、 

企業ネットワークにおけるシステムの脆弱性および脅威の検出と優先順位決定を自動的に 

行います。 

Network Security Platform でサポートされているのは XML 形式の Vulnerability Manager 

レポートのみです。Vulnerability Manager の XML 形式のレポートでは、ホスト名 

50


(Host_Data.xml) とリスク (Risk_Data.xml) ごとに評価が分類されます。Network Security 

Platform ではこれらの両方の形式をサポートします。 

手動 (48 ページ) または自動 (51 ページ) で Vulnerability Manager スキャンレポートをマ 

ネージャにインポートできます。 

Network Security Platform 形式 

他社製の脆弱性スキャナ (Qualys や nCircle など) を使用するユーザは、手動でマネージャ 

に対応するスキャナレポートをインポートできます。 

ただし、これらのスキャナレポートをマネージャに正常にインポートおよび表示するため 

に、Network Security Platform の Document Type Definition (DTD) で中間形式として XML 

形式に置換する必要があります。この XML 形式を Network Security Platform 形式と言い 

ます。 

注意: XML ベースの形式を Network Security Platform 形式に変換する場合は、 

Network Security Platform に含まれる DTD (GenVulReportFlat.dtd) を参照してくだ 

さい。 

Network Security Platform 形式を使用する理由 

脆弱性評価レポートには業界標準の形式がないため、Network Security Platform はインポー 

トされたすべてのレポートを Network Security Platform 形式に変換します。この方法を使 

用することで、アラートエンジンの動作を変更することなく、新しいレポート形式を追加 

できます。変換されたレポートとメタデータは、マネージャデータベースの iv_vul_record と 

いう名前の新しい表に格納されます。この表は、標準のバックアッププロセスと MDR 同 

期プロセスの一部で保存されます。 

スケジューラを使用したレポートの自動インポート 

Vulnerability Manager データベースからスキャンした脆弱性レポートをマネージャデータ 

ベースにインポートする場合、マネージャの Vulnerability Manager スケジューラ (スケ 

ジューラ) を使用できます。 

注意: スケジューラを使用したレポートの自動インポートは、Vulnerability Manager 

レポートのみ使用できます。その他のスキャナの場合は、手動インポートのみ可能 

です (50 ページ)。 

自動インポートプロセス中に、スケジューラにより脆弱性データベースのストアドプロ 

シージャが起動し、マネージャデータベースに脆弱性データがすべて戻されます。取得さ 

れた脆弱性データは、脆弱性評価に使用されたスキャン構成に対応します。マネージャは、 

スケジューラの最新のインポート時刻に基づいて関連性情報を取得します。 

51


Vulnerability Manager スケジューラを起動するには、以下の手順に従います。 

1 関連性メニューオプション (47 ページ) から [Automation] (自動化) を選択します。[Root 

Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、[Automation] 

(自動化) の順に選択します。 

[Automation] (自動化) ウィンドウが表示されます。 

図 52: NSM での Vulnerability Manager スケジューラ 

2 [Import Scan Results Automatically?] (スキャン結果を自動でインポートしますか?) で [Yes] 

(はい) を選択し、スケジューラでレポートの自動インポートを有効にします。 

3 週単位または日単位でのインポートをスケジュールするには、[Frequency] (頻度) の 

[Daily] (毎日) または [Weekly] (毎週) インポートオプションを選択します。 

4 [Start At] (開始時間) で、スケジューラの起動時間を選択します。 

5 Vulnerability Manager から即時脆弱性データをインポートする場合、[Import Now!] (今す 

ぐインポート!) を選択します。ページが更新され、Vulnerability Manager データベー 

スから脆弱性データが正常にインポートされたというメッセージが表示されます。 

6 [Apply] (適用) をクリックして設定を保存します。ページが更新され、設定が正常に更 

新されたというメッセージが表示されます。 

注意: スケジューラには、Vulnerability Manager データベースからマネージャ 

データベースに脆弱性データをインポートする 2 つのオプションが用意されて 

います。データの即時インポートには [Import Now!] (今すぐインポート!) を使用し、 

日単位または週単位のインポートには定期的なスケジュールを使用します。 

ヒント: エラーメッセージの詳細については、55 ページの「Vulnerability 

Manager スケジューラの障害メッセージ」を参照してください。 

次に、関連性の解析について、マネージャで Vulnerability Manager データベース設定を構 

成します。 

関連性の解析用の Vulnerability Manager データベースの設定 

Vulnerability Manager データベースから関連情報を取得するには、マネージャで 

Vulnerability Manager データベースの設定を行う必要があります。 

52


Vulnerability Manager データベースの設定を行うには、以下の手順に従います。 

1 [Relevance menu options] (関連性メニューオプション) (47 ページ) から [Database] 

(データベース) リンクを選択します。 [Root Admin Domain] (root 管理ドメイン)、 

[Integration] (統合)、[Relevance] (関連性)、[Database] (データベース) の順に選択します。 

2 関連性解析を設定する [Database Settings] (データベース設定) ウィンドウが表示されま 

す。 

3 [Database Settings] (データベース設定) ウィンドウにあるフィールドは、Vulnerability 

Manager の構成設定を行う際のフィールドと類似しています。[Database Settings] (デー 

タベース設定) ウィンドウの設定の詳細については、40 ページの「Vulnerability 

Manager データベースの設定」を参照してください。 

次の項では、関連性の解析を行うためのマネージャへのスキャン設定の追加について説明 

します。 

関連性の解析用のスキャン設定の追加 

Vulnerability Manager で定義されているスキャン設定をマネージャに追加する必要があり 

ます。これは、Threat Analyzer から Vulnerability Manager スキャンを開始するために必要 

です。Vulnerability Manager オンデマンドスキャンを Threat Analyzer から開始すると、 

ホストの IP アドレスによって、マネージャにある適切なスキャン設定がホストをスキャン 

するために使用されます。 

関連性解析を有効にすると、マネージャは各 Vulnerability Manager スキャンの最新の結果 

を自動的にインポートし、関連性解析用にこれらを使用します。 

スキャン設定を追加するには、以下の手順に従います。 

1 [Relevance menu options] (関連性メニューオプション) (47 ページ) から [Scans] (ス 

キャン) リンクを選択します。[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統 

合)、[Relevance] (関連性)、[Scans] (スキャン) の順に選択します。 

2 関連性の解析用に [Add Vulnerability Manager Scans] (Vulnerability Manager スキャンの追 

加) ページが表示されます。 

3 [Add Vulnerability Manager Scans] (Vulnerability Manager スキャンの追加) ウィンドウにあ 

るフィールドは、Vulnerability Manager の構成設定を行う際のフィールドと類似して 

います。詳細については、43 ページの「Vulnerability Manager スキャン設定の追加」 

を参照してください。スキャン設定をマネージャに追加する前に、重要な必須条件を 

満たす必要があることに注意してください。 

関連性の構成詳細の表示 

マネージャで関連性の構成の詳細を表示するには、以下の手順に従います。 

[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、[Summary] 

(サマリ) の順に選択します。 [Relevance View Details] (関連性ビューの詳細) ページが表示され 

ます。 

53


図 53: 関連性の構成詳細の表示 

このページには、関連性の解析の状態 (有効または無効)、Vulnerability Manager データベー 

ス設定、マネージャに追加された関連性の解析のスキャン構成のリストなど、関連性構成 

の詳細情報が表示されます。 

すべてのページで保存された関連性構成に関連する変更は、[Relevance View Details] (関連性 

ビューの詳細) ページに反映されます。各リンクをクリックすると、該当するページにリダ 

イレクトされます。 

また、[Relevance View Details] (関連性ビューの詳細) ページの [Run Configuration Wizard] (構成 

ウィザードを実行) を使用して、関連設定を構成できます。これに関しては以下のセクショ 

ンで説明します。 

関連性構成ウィザードの使用 

関連性構成ウィザードを使用して、マネージャから関連性の設定を行うことができます。 

1 [Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、 

[Summary] (サマリ) の順に選択します。 

2 [Relevance View Details] (関連性ビューの詳細) で、[Run Configuration Wizard] (構成ウィザー 

ドを実行) を選択します。 

3 ウィザードに次の順序でページが表示されます。 

Enable (有効) (48 ページ) 

Manual import (手動インポート) (48ページ) 

Automation (自動化) (51 ページ) 

Database (データベース) (52 ページ) 

Scans (スキャン) (53 ページ) 

4 [Next >] (次へ >) または [< Back] (< 戻る) ボタンを使用してページを移動します。 

5 設定手順は合計で 5 つです。5 つ目の手順が終わったら、[Finish] (終了) を選択します。 

54


6 Threat Analyzer を実行している場合は、再起動して変更を有効にします。 

Vulnerability Manager スケジューラの障害メッセージ 

以下の表に、スケジューラでのレポートのインポートプロセスに関連する障害メッセージ 

を表示します。 

表示される障害重大度説明 

Vulnerability data import 

from Vulnerability 

Manager database was 

successful 

Scheduled Vulnerability 

Manager vulnerability 

data import failed 

情報このメッセージは、Vulnerability Manager 

データベースからの脆弱性データの読み 

込みに成功したことを示しています (51 

ページ)。 

重大このメッセージは、Vulnerability Manager 

データベースからの脆弱性データの読み 

込みが失敗したことを示しています。 

障害のリンクをクリックすると、障害の詳細と、障害を修正するための対策案が表示され 

ます。 

図 54: 障害の詳細「脆弱性データのインポートが成功しました」 

図 55: 障害の詳細「スケジュール設定した脆弱性データのインポートが失敗しました」 

55


トラブルシューティングオプション 

Network Security Platform と Vulnerability Manager の統合および関連性の解析について、 

次のトラブルシューティングオプションが使用できます。 

• Vulnerability Manager キャッシュのリロード (56 ページ) - 追加されたスキャン設定 

がマネージャで失われた疑いがある場合 

• 関連性キャッシュのリセット (57 ページ) - 現在マネージャによって関連性の解析に 

使用されているマネージャ関連性キャッシュのデータをリロードする場合 

• Vulnerability Manager データベースの再アップデート (57 ページ) - Vulnerability 

Manager データベースからマネージャデータベースへの情報のインポートに必要な 

Vulnerability Manager データベースのテーブルやストアドプロシージャがアップデー 

トされていない疑いがある場合 

マネージャのトラブルシューティングオプションにアクセスするには、次のいずれかの手 

順に従います。 

• [Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Vulnerability Manager 

Troubleshooting] (Vulnerability Manager のトラブルシューティング) の順に選択します。 

• [Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、 

[Troubleshooting] (トラブルシューティング) の順に選択します。 

図 56: トラブルシューティングオプション 

Vulnerability Manager キャッシュのリロード 

リロードキャッシュタブを使用して、Vulnerability Manager から取り出した最新のスキャ 

ン構成で、マネージャの Vulnerability Manager Web キャッシュをロードできます。 

マネージャで Vulnerability Manager キャッシュをリロードにするには、以下の手順に従い 

ます。 

1 Vulnerability Manager の構成が有効で、マネージャにスキャン構成が追加されている 

ことを確認してください。 

56


2 [Cache] (キャッシュ) ページには、次の 2 つの方法でアクセスできます。 

Vulnerability Manager 構成からアクセスする場合: [Root Admin Domain] (ルート管 

理ドメイン)、[Integration] (統合)、[Vulnerability Manager Troubleshooting] (Vulnerability 

Manager のトラブルシューティング) の順に選択します。 

関連性設定からアクセスする場合: [Root Admin Domain] (ルート管理ドメイン)、 

[Integration] (統合)、[Relevance] (関連性)、[Troubleshooting] (トラブルシューティング) 

の順に選択します。 

3 [Reload Scan Cache] (スキャンキャッシュのリロード) を選択し、Vulnerability Manager 

から最新のスキャン設定で、マネージャの脆弱性ウェブキャッシュを更新します。 

リロードが成功したことを示すメッセージが表示されます。 

[Troubleshooting] (トラブルシューティング) リンクには [Reload Scan Cache] (スキャンキャッ 

シュのリロード) ボタンは表示されない場合があります。原因は次の表のとおりです。 

# 理由解決方法 

1 Vulnerability Manager 構成が無効にさ 

れている 

2 Vulnerability Manager スキャン設定が 

マネージャに追加されていない 

関連性キャッシュのリセット 

Vulnerability Manager Enterprise を 

有効にする (39 ページ)。 

マネージャにスキャン設定を追加す 

る (43 ページ)。 

マネージャで関連性キャッシュをアップデートする場合は、トラブルシューティングオプ 

ションからキャッシュをリセットします。 

関連性キャッシュをリセットするには、以下の手順に従います。 

1 [Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関連性)、 

[Troubleshooting] (トラブルシューティング) の順に選択します。 

2 [Reset Relevancy Cache] (関連性キャッシュをリセット) を選択します。関連性キャッシュ 

のリロードが成功したことを示すメッセージが表示されます。 

データベースアップデートの再送信 

Vulnerability Manager データベースを設定すると (40 ページ)、マネージャは、Vulnerability 

Manager データベースと、関連する情報の取得に必要なテーブルおよびストアドプロシー 

ジャを自動的にインストールします。 

必要なテーブルとストアドプロシージャがデータベースに適切にアップデートされてい 

ない場合は、マネージャから Vulnerability Manager データベースにアップデートを再送信 

できます。この場合、[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、 

[Vulnerability Manager Troubleshooting] (Vulnerability Manager のトラブルシューティング) の順 

に選択するか、[Root Admin Domain] (ルート管理ドメイン)、[Integration] (統合)、[Relevance] (関 

連性)、[Troubleshooting] (トラブルシューティング) の順に選択してください。 

57


[Resubmit Database Updates] (データベースアップデートの再送信) を選択して、Vulnerability 

Manager データベースにアップデートを再送信します。 

Vulnerability Manager のカスタム証明書のサポート 

Vulnerability Manager のカスタム証明書を使用するには、カスタムクライアント証明書を 

生成する Vulnerability Manager Certificate Management ツールを実行する必要があります。 

他社製 SOAP クライアントは、FoundScan エンジンでの SSL クライアント認証にカスタ 

ムクライアント証明書を使用できます。 

マネージャが MDR モードでセカンダリマネージャがアクティブの場合、Vulnerability 

Manager カスタム証明書はセカンダリマネージャに自動的にコピーされません。セカンダ 

リマネージャでカスタム証明書を使用するには、アクティブにする前に同じ手順を実行し 

てください。 

Java キーストアへのカスタム証明書のインポートの詳細については、マネージャサーバ 

のパス (\Program Files\McAfee\Network Security Manager\App\ config\fscerts\) にある 

_FSCustomCerts-Readme.txt ファイルを参照してく 

ださい。 

カスタムクライアント証明書の作成の詳細については、『Vulnerability Manager Configuration 

Guide』 (Vulnerability Manager コンフィグレーションガイド) を参照してください。 

Threat Analyzer からの Vulnerability Manager スキャンの要求 

オンデマンドスキャン機能を使用すると、リアルタイム Threat Analyzer とヒストリカル 

Threat Analyzer でソース IP アドレスまたは宛先 IP アドレスを指定して Vulnerability 

Manager のホストスキャンを実行できます。 

Vulnerability Manager オンデマンドスキャンを要求すると、選択したホスト IP アドレス 

が Threat Analyzer からマネージャの Web 層に渡され、FoundScan エンジンに接続し、信 

頼関係が確立されます。これにより、要求されたホスト IP アドレスでスキャンが開始しま 

す。 

注意: 通常、FoundScan エンジンがホストの脆弱性をスキャンするには 4 分かかり 

ます。 

FoundScan エンジンはホストをスキャンし、SOAP/SSL 応答でマネージャに脆弱性評価 

データを提供します。処理された脆弱性データは、McAfee ® Network Security Manager (マ 

ネージャ) データベースに保存されます。また、このデータは Threat Analyzer クライアン 

トのキャッシュでもアップデートされます。 

Threat Analyzer からオンデマンドスキャンを要求するには、マネージャクライアントの 

インターフェースで Vulnerability Manager の設定を行う必要があります。詳細については、 

「マネージャでの Vulnerability Manager の設定」を参照してください。 

58


Threat Analyzer からのオンデマンドスキャンの実行 

Threat Analyzer の [Detail] (詳細) メニューで、各アラートに対して Vulnerability Manager 

オンデマンドスキャンを実行できます。アラートを右クリックして、[Start Vulnerability Scan] 

(脆弱性スキャンの開始)、[Scan Source IP] (ソース IP のスキャン) の順に選択するか、[Start 

Vulnerability Scan] (脆弱性スキャンの開始)、[Scan Destination IP] (宛先 IP のスキャン) の順に選 

択します。 

ソース IP は、ネットワークに対して攻撃を発生させている疑いのあるコンピュータの IP 

アドレスです。ソース IP は、ネットワークの外部のコンピュータである場合も内部のコン 

ピュータである場合もあります。ネットワーク内の他のコンピュータを攻撃している疑い 

のあるコンピュータをスキャンするには、[Scan Source IP] (ソース IP のスキャン) オプショ 

ンを選択します。 

宛先 IP は、ネットワークの他のコンピュータから攻撃されている疑いのあるコンピュータ 

の IP アドレスです。攻撃によって感染した疑いのあるコンピュータをスキャンするには、 

[Scan Destination IP] (宛先 IP のスキャン) オプションを選択します。 

注意: Network Security Platform と Vulnerability Manager の統合環境では、IPv4 ホ 

ストアドレスのスキャン可能です。 

[Scan Source IP] (ソース IP のスキャン) または [Scan Destination IP] (宛先 IP のスキャン) のど 

ちらかのオプションを選択すると、スキャン要求が送信されることを示すポップアップダ 

イアログが表示されます。ホスト IP アドレスおよび IP アドレスのスキャンに使用するス 

キャン設定の詳細もポップアップダイアログに表示されます。 

図 57: Threat Analyzer で Vulnerability Manager オンデマンドスキャン送信後に表示されるポッ 

プアップメッセージ 

スキャン結果を表示するには、[Yes] (はい) を選択します。[Host Forensics] (ホストの Forensic 

解析) ページに戻ります。 

IP アドレスが定義済みのスキャンに分類されない場合、ポップアップメッセージが表示さ 

れます。この IP に、マネージャで定義されたデフォルトのスキャン設定が適用されること 

が通知されます。 

図 58: IP アドレスが定義したスキャン設定の範囲内にない場合は、ポップアップメッセージが 


59


スキャン結果を表示するには、再度 [Yes] (はい) を選択します。[Host Forensics] (ホストの 

Forensic 解析) ページに戻ります。 

Vulnerability Manager オンデマンドスキャンの詳細については、67 ページの「ホストのオ 

ンデマンドスキャン」を参照してください。 

Vulnerability Manager スキャンの表示 

Threat Analyzer の [Host Forensics] (ホストの Forensic 解析) ページには、Threat Analyzer の 

アラートに対する Vulnerability Manager スキャンの進行状況が表示されます。 

すべての Vulnerability Manager スキャンプロセスを表示するには、Threat Analyzer で 

[Host Forensics] (ホストの Forensic 解析) を選択します。このリストは、[Summary] (サマリ) の 

[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) に以下のように表示 


図 59: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ウィンドウの 

スキャン状況 

60


[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) には、以下の情報が 


フィールド名説明 

Target IP (ターゲッ 

ト IP) 

Scan start time (ス 

キャンの開始時間) 

スキャンするホストの IP アドレス 

Vulnerability Manager スキャンの開始時間 

Status (ステータス) Vulnerability Manager スキャンの進行状況。一般に、次の 

スキャンステータスが表示されます。 

スキャンの進行状況に応じて、[Status] (ステータス) フィールドに次が表示されます。 

状態説明 

Queued [Queued] (待機中) ステータスは、要求した Vulnerability 

Manager スキャンが待機中であることを示します。 

%n Complete スキャンの完了割合。n の範囲は 0 ~ 100 です。 

Retrieved このステータスは、Vulnerability Manager スキャンが完了 

し、ホストの脆弱性情報が入手 (表示) 可能であることを示 

します。 

Failed Vulnerability Manager スキャンが失敗しています。 

Scan TimedOut スキャン時間が 30 分を超えた場合、マネージャはステータ 

スを「Scan TimedOut」に設定し、スキャンをキャンセル 

します。 

注意: [Status] (ステータス) フィールドに表示された Vulnerability Manager スキャン 

の結果は、キャッシュに保存されます。マネージャを再起動した場合、[Status] (ステー 

タス) フィールドにスキャン結果は表示されません。同じホストのスキャン結果を表 

示する場合は、[Host Forensics] (ホストの Forensic 解析) ページからホストを再度ス 

キャンする必要があります。 

Vulnerability Manager のスキャンオプション 

以下に示すように、[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) 

の [Scan] (スキャン) フィールドにホスト IP アドレスを入力し、[Scan] (スキャン) ボタンを 

選択してもホストをスキャンできます。 

61


図 60: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ページのス 

キャンオプション 

[Scan] (スキャン) ボタンは、IP アドレスを完全に入力した場合に限り有効になります。 

スキャンされたホストのスキャン結果の詳細を確認するには、該当するスキャンを選択し 

て、右クリックします。 

図 61: Vulnerability Manager のオンデマンドスキャンの詳細表示オプション 

[Show Details] (詳細情報の表示) オプションを選択します。次の 2 つの状況に応じてポップ 

アップメッセージが表示されます。 

• スキャンが進行している場合、同じ画面にスキャンの完了率 (0 から 100) を示すポッ 

プアップウィンドウが表示されます。 

図 62: Vulnerability Manager スキャンの進行状況 

• たとえば、スキャンが完了し、ステータスが「Retrieved」 (取得済み) になったとしま 

す。スキャンを右クリックし、[Show Details] (詳細情報の表示) を選択すると、[Vulnerability 

Information] (脆弱性情報) ウィンドウが [Summary] (サマリ) タブの横に表示されます。 

[Vulnerability Information] (脆弱性情報) ウィンドウには、検索された脆弱性の総数、オン 

デマンドスキャンのスキャン構成およびホストで識別された脆弱性の詳細が表示さ 

れます。 

デフォルトでは、脆弱性を重大度順にソートし、表形式で表示します。表の各行には、 

重大度、脆弱性名、脆弱性の説明、識別された脆弱性に適用する必要のある手順また 

はパッチをリストした考慮事項の詳細、CVE ID および IAVA (Information Assurance 

Vulnerability Alert) 参照番号などの脆弱性に関する追加情報が含まれています。 

62


図 63: [Vulnerability Information] ページ 

注意: スキャンされたホストの [Vulnerability Information] (脆弱性情報) ページの実 

際の情報 (対象の IP、CVE、BugTraq ID など) は、マネージャデータベースに 

保存されます。この情報は、[Vulnerability Information] (脆弱性情報) ページでも表 

示可能な形式では保存されません。このため、マネージャを再起動すると、こ 

の情報は [Vulnerability Information] (脆弱性情報) ページに表示されません。 

以下に示すように、[Vulnerability Information] (脆弱性情報) ウィンドウでは、脆弱性の 

[CVE ID] リンクを右クリックすると、関連する CVE ページ (http://cve.mitre.org) に移 

動します。 

図 64: Vulnerability Information ページへのリダイレクト 

63


ヒント: [Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ペー 

ジでスキャンをダブルクリックするだけでも、上記の Vulnerability Information] (脆弱性 

情報) ウィンドウを表示できます。 

ホストの再スキャン 

Vulnerability Manager によって一度スキャンされたホストを再スキャンすることもできま 

す。[Vulnerability Manager Host Information] (Vulnerability Manager ホスト情報) ページでスキャ 

ンを右クリックし、[Rescan] (再スキャン) を選択します。 

図 65: ホスト IP の再スキャンの開始オプション 

ホストが Vulnerability Manager によって再度スキャンされ、前回と同じように脆弱性情報 

が取得および表示されます。 

同時スキャン 

Threat Analyzer では、複数の Vulnerability Manager スキャンを同時に実行できます。同時 

に実行できるスキャンの数は ems.properties ファイル (path ///Network Security Platform/config) で定義できます。 

デフォルトでは、同時スキャンの最大プールサイズ (maxpoolsize) は、ems.properties ファ 

イルで以下のように 3 に設定されています。 

iv.fs.threadpool.maxpoolsize=3 

注意: Maxpoolsize は、ThreadPool に入るスレッドの合計数を表しています 

(ThreadPool は、スレッドのプールを操作し、非同期でタスクを実行するためのコン 

ポーネントです)。 

スキャン要求の数が maxpoolsize を超えると、超えた分のスキャン要求はキューに入れら 

れ、プールの空き容量に応じて処理されます。 

注意: マネージャから Vulnerability Manager で同時に実行するスキャンの数は 3 件 

が最適です。 

同時スキャンのネットワークシナリオについては、67 ページの「ホストの同時スキャン」 


64


[Hosts] (ページ) からの Vulnerability Manager スキャンの実行 

Vulnerability Manager スキャンは [Hosts] (ホスト) ページから実行できます。 

[Hosts] (ホスト) ページから Vulnerability Manager スキャンを実行するには、以下の手順に 


1 Threat Analyzer で [Hosts] (ホスト) ページを選択します。項目を右クリックします。 

2 選択した IP アドレスにオンデマンドスキャンを開始するには、[Start Vulnerability Scan] 

(脆弱性スキャンの開始) を選択します。 

図 66: [Hosts] (ページ) からの Vulnerability Manager スキャンの実行 

マネージャで定義されたスキャンに IP アドレスが一致しない場合は、デフォルトス 

キャン構成 (マネージャで定義されたスキャン構成) ではこの IP がスキャンされない 

というメッセージが表示されます。 

3 スキャン結果を表示する場合は、ポップアップメッセージで [Yes] (はい) を選択しま 

す。[Host Forensics] (ホストの Forensic 解析) ページに戻ります。 

65


Vulnerability Manager オンデマンドスキャンの障害メッセージ 

以下の表は、Vulnerability Manager オンデマンドスキャンに関連する障害メッセージです。 

表示される障害重大度説明 

On-demand scan failed 

because connection 

was refused to 

FoundScan engine 

重大この障害は、ユーザが完全修飾ドメイン 

名を指定していないか、FoundScan エン 

ジンが停止していることが原因で発生し 

たと考えられます。 

完全修飾ドメイン名の詳細については、 

「Vulnerability Manager のインストール」 


障害は、マネージャの [Operational Status] (動作ステータス) メニューから表示できます。 

障害リンクをクリックすると、障害の詳細と、障害を修正するための対策案が表示されま 

す。「オンデマンドスキャンの失敗」の障害の詳細を下記に示します。 

図 67: [Fault Detail] (障害の詳細) ページ 

Vulnerability Manager スキャンのシナリオ 

ここでは、以下に関連するネットワークシナリオについて説明します。 

• ホストのオンデマンドスキャン 

• ホストの同時スキャン 

66


ホストのオンデマンドスキャン 

リアルタイム Threat Analyzer またはヒストリカル Threat Analyzer でアラートを確認する 

際に、以下の作業を行うとします。 

• アラートのリストに示された特定のホストの現在の状態を表示する。 

• Threat Analyzer から Vulnerability Manager を使用して特定のホストをスキャンしま 

す。 

• スキャンしたアラートとイベントの関連性を確認する。 

Threat Analyzer の個々のアラートに対してオンデマンドスキャンを実行します。 

スキャン対象のホストのソース IP アドレスまたは宛先 IP アドレスのいずれかを選択して、 

Threat Analyzer から Vulnerability Manager スキャンを実行できます。Threat Analyzer に、 

スキャンのステータス (スキャンの相関関係) が表示されます。 

Threat Analyzer には、最大 N 個 (デフォルトは 100 個) のスキャン情報を保持できます。 

ホストの同時スキャン 

ここでは、同時オンデマンドスキャン用のスキャン設定をマネージャで定義しなければな 

らない理由を説明します。 

シナリオ: 

3 つのホスト IP アドレスのオンデマンドスキャンをマネージャから実行するとします。こ 

れらのホスト IP アドレスは、マネージャで定義したスキャン設定で指定されている IP 範 

囲に含まれていません。また、マネージャでスキャン設定は定義されていません。 

スキャン構成が定義されていない場合のスキャンプロセス: 

Vulnerability Manager で複数のオンデマンドスキャンを実行すると、すべてのスキャンが 

同じスキャン名 (QuickScan_) でデフォルトのスキャン構成を使用して実行さ 

れます。これは、Vulnerability Manager へのログインに使用したユーザ名が 3 つのスキャ 

ン名に関連付けられているためです。3 つすべてのスキャンが同じ名前であるため、3 つの 

中で 1 つの同時スキャンだけが成功します。つまり、FoundScan エンジンでは、同じスキャ 

ン名での同時スキャンは許可されません。 

Threat Analyzer から複数のオンデマンドスキャンを実行する場合も同じです。Threat 

Analyzer から実行されるすべてのスキャンは、同じ名前 (QuickScan_) になり 

ます。たとえば、admin として Vulnerability Manager にログインした場合、3 つすべての 

ホストのスキャン設定名が QuickScan_admin となります。 

上記のシナリオでは、マネージャで定義されたスキャン構成を使用せずに 3 つのオンデマ 

ンドスキャンを同時に開始すると、FoundScan エンジンは、FoundScan エンジン自身の 

デフォルトスキャン設定を使用して、デフォルトのスキャン名「QuickScan_」 

でホストをスキャンします。3 つのスキャンが同じ名前を持つのは、上述の理由のとおり 

です。最初のスキャンは正常に実行されますが、残りの 2 つに対しては同時タスク例外が 

67


発生します。したがって、FoundScan のデフォルトスキャン設定を使用して、Threat 

Analyzer から同時にオンデマンドスキャンを実行することはできません。 

推奨される解決方法: 

同時スキャン用の少なくとも 1 つのスキャン設定を FoundScan エンジンで定義し、同じ 

設定をマネージャに追加することをお勧めします。このスキャン構成がデフォルトとして 

使用されます。マネージャで複数のスキャン構成を定義する場合は、デフォルトのスキャ 

ン設定を変更できます。 

注意: デフォルトのスキャン設定の詳細については、43 ページの「Vulnerability 

Manager スキャン設定の追加」を参照してください。 

Vulnerability Manager とマネージャでデフォルトスキャン設定を定義してから同時オンデ 

マンドスキャンを要求すると、マネージャはスキャン設定 ID を使用してスキャン対象の 

各ホストに一意の名前を設定します。 

マネージャは、Network Security Platform__Thread-N where N=1,2,3,.. 

の形式でスキャン名を作成します。それぞれのスキャン設定名は異なります。たとえば、 

スキャン名は Network Security Platform__Thread-1、Network Security 

Platform__Thread-2、Network Security Platform__Thread-3 のようになります。これにより、すべての同時スキャンが正常に完了します。 

実行プール内のスキャンが完了すると、実行待ちの次のスキャンが実行プールにプッシュ 

されます。スキャン要求は順番通り、または先入れ先出し (FIFO) で実行されます。 

注意 1: スレッドは、スレッドプールサイズに応じてマネージャで作成されます。 

スレッドプールサイズが 3 に設定されている場合は、3 つのスレッド (Thread-1、 

Thread-2、Thread-3) がスキャン要求用のプールに作成されます。スレッドプールサ 

イズが 3 に設定されていて、4 つ以上の同時スキャン要求が FoundScan エンジンに 

送信されると、エンジンで実行されるのは 3 つのみで、残りは待機中となります。 

注意 2: マネージャに追加する前に、新しく定義したスキャン設定を少なくとも 1 回 

は FoundScan エンジンで実行する必要があります。Vulnerability Manager で定義さ 

れた各スキャン設定は、FoundScan エンジンと関連付けられています。Vulnerability 

Manager 側で初めてスキャン設定を実行する場合、スキャン設定が実行された 

FoundScan エンジンが、そのスキャン設定と関連付けられます。この手順は、スキャ 

ン設定をマネージャに追加するために重要です。 

68

第 4 章 

McAfee NAC との統合 

ホストの分類方法 

McAfee ® Network Security Sensor (センサ) を使用することで、動作ステータスまたはユー 

ザ ID (あるいはその両方) に基づいてネットワークアクセス制御 (NAC) を施行することが 

できます。システム状態に基づく NAC の場合、センサは状態評価を McAfee Network 

Access Control (McAfee NAC) に依存します。センサが新しいホストをネットワークで検 

出すると、McAfee NAC サーバにそのホストの詳細情報を送信します。次に、McAfee NAC 

と McAfee ® Network Security Platform は連携して、このホストに対して NAC を施行しま 

す。 

ネットワークへの承認後は、不要なトラフィックを生成するホストが存在する可能性があ 

ります。IPS 隔離を設定している場合は、センサは隔離および修復を施行できます。さら 

に、センサは不正なホストについて McAfee NAC サーバに通知することで、ユーザが 

McAfee NAC を使用して隔離と修復を施行できるようにします。統合により、McAfee NAC 

の役割が承認後の制御にも拡張されます。 

McAfee Network Security Platform と McAfee NAC との連携によって、センサと McAfee 

NAC サーバはお互いに通信を行うことができます。 

注意: Network Security Platform と McAfee NAC の統合は、センサと McAfee NAC が 

インストールされている ePO サーバ間に信頼関係が確立されることを意味します。 

McAfee NAC と Network Security Platform は、これらの設定に応じて NAC を施行し 

ます。本書では、センサと McAfee NAC がお互いに通信を行うために必要な設定に 

ついてのみ説明します。 

Network Security Platform での NAC 構成方法の詳細については、『NAC Configuration Guide』 

(NAC コンフィグレーションガイド) を参照してください。 

Network Security Platformを使用した不正なホストを隔離および修復する方法については、 

『IPS Configuration Guide』 (IPSコンフィグレーションガイド) を参照してください。 

McAfee NAC で NAC を設定する方法については、最新の McAfee NAC ガイドを参照して 

ください。 

この章では、ユーザは Network Security Platform および McAfee NAC を正常にインストー 

ルでき、このどちらの製品にも精通していることを想定しています。 

管理対象ホスト 

Network Security Platform と同様に、McAfee NAC クライアントがインストールされ、正 

常に動作しているホストが管理対象ホストとなります。McAfee NAC クライアントは、ホ 

69

McAfee® Network Security Platform 6.0 McAfee NAC との統合 

ストをスキャンして状態評価を行い、その結果をMcAfee NAC サーバに送信するエージェ 

ントです。詳細については、McAfee NAC に関する最新のマニュアルを参照してください。 

管理対象外のホスト 

McAfee NAC クライアントではなく、McAfee NAC Guest Client がインストールされてい 

るホストが管理対象外のホストです。ネットワーク上で McAfee NAC クライアントがイン 

ストールされていないホストが検出されると、これらのホストは McAfee NAC Guest Client 

がインストールできるポータルにリダイレクトされる場合があります。 

管理不能なホスト 

McAfee NAC クライアントまたは McAfee NAC Guest Client のインストール要件または動 

作要件を満たしていないホストが管理不能なホストになります。たとえば、McAfee NAC が 

サポートしていないオペレーティングシステムを使用しているホストは管理不能なホス 

トになります。 

McAfee NAC クライアントと Guest Client のインストール要件および動作要件については、 

McAfee NAC の最新のマニュアルを参照してください。 

Network Security Platform 5.1 での統合環境 

以前に Network Security Platform5.1 と McAfee NAC を統合している場合は、以下の点に 

注意してください。 

• Network Security Platform 6.0 は、McAfee NAC 3.0 および ePO 4.0 とのみ統合します。 

71 ページの「統合要件」を参照してください。 

• アップグレード後、バージョン 5.1 と同じように McAfee NAC 通知を機能させるには、 

以下の手順に従います。 

NAC ライセンスを購入します。このライセンスを持っていない場合は、McAfee 

NAC サーバと統合するセンサのシリアル番号を McAfee サポートに問い合わせて 

ください。ePO サーバを設定し、センサと McAfee NAC サーバ間に信頼関係を確 

立するには、NAC ライセンスが必要です。 

ePO サーバを再設定 (72 ページ) し、センサと McAfee NAC サーバ間に信頼関係 

を確立 (73 ページ) します。バージョン 5.1 で確立される信頼関係はアップグレー 

ド後に失われるため、再度確立する必要があります。 

ポートレベルで NAC 機能を有効にします。NAC 機能は、標準 NAC、DHCP NAC、 

IBAC、または標準 IBAC と IBAC のいずれかです。『NAC Configuration Guide』 (NAC 

コンフィグレーションガイド) を参照してください。 

注意: Network Security Platform 5.1 では、各ポートに McAfee NAC 通知を設定 

していました。このリリースでは、ポートレベルでの通知はデフォルトで有効 

です (いずれかの NAC 機能をポートレベルで設定している場合)。 

• バージョン 5.1 とは異なり、対応するセンサポートと不正ホスト間にレイヤ 3 デバイ 

スがある場合でも、McAfee NAC 通知は機能します。 

• Network Security Platform 6.0 では、NAC 機能は In-Line モードで配備されたポートに 

対してのみ使用できます。このため、McAfee NAC 通知が使用できるのは In-Line ポー 

70


統合要件 

トに対してのみです。これは、In-Line、SPAN、および TAP ポートに対して McAfee NAC 

通知を使用できたバージョン 5.1 とは異なります。 

• IPv6 トラフィックは、この統合ではサポートされていません。このため、センサは IPv6 

ホストに関しては McAfee NAC サーバと通信を行いません。 

このセクションでは、センサと McAfee NAC サーバ間の通信を有効にする際に必要な詳細 

情報について説明します。 

ePO システムに必要な設定 

• 使用している ePO システムに、特定バージョンの ePO、Rogue System Detection お 

よび McAfee NAC をインストールする必要があります。以下のインストールパスのい 

ずれかを使用します。 

パス 1: ePO バージョン 4.5.0.1148.3 (推奨) をインストールし、McAfee NAC バー 

ジョン 3.1.1.160.1 をインストールします。 

ePO バージョン 4.5 の場合、ePO パッケージに RSD が組み込まれています。こ 

のため、RSD を個別にインストールする必要ありません。 

パス 2: ePO バージョン 4.0.0.1015.13 をインストールし、以下を順番にインス 

トールします。 

i. ePO パッチ 5, 4.0.0.1221.5 をインストールします。 

ii. Rogue System Detection バージョン 2.0.0.405.2 をインストールします。 

iii. RSD パッチ 2、バージョン 2.0.2.105.2 をインストールします。 

iv. McAfee NAC サーバ 3.0.0.585.1 以上をインストールします。 

必要な ePO/McAfee NAC の詳細情報 

以下では、Network Security Sensor と McAfee NAC 間で信頼された通信を隔離するために 

必要な情報について説明します。 

McAfeeNAC サーバの IP アドレス: McAfee NAC がインストールされている ePO サーバ 

の IP アドレスを指定する必要があります。 

コンソールとアプリケーションサーバ間の通信ポート: McAfee NAC (ePO) サーバと信頼 

関係を構築するときにセンサが使用するポート番号を指定します。使用可能な最小ポート 

番号は 1 で最大ポート番号は 65535 です。デフォルトのポート番号は 8443 です。詳細に 

ついては、McAfee NAC サーバの管理者に確認してください。 

クライアント/サーバ認証通信ポート: McAfee NAC サーバと信頼された通信を行うために 

センサが使用するポート番号を指定します。デフォルトポート番号は 8444 です。詳細に 

ついては、McAfee NAC サーバ管理者にお問い合わせください。 

McAfee NAC サーバとセンサ間の通信ポート: センサが McAfee NAC サーバからの非同期 

メッセージを待機するポートを指定します。デフォルトのポート番号は 8445 です。 

71


センサと NAC クライアント間の通信ポート: センサが McAfee NAC クライアントまたは 

ホスト上の Guest クライアントとの通信に使用するポート番号を指定します。デフォルト 

は 8444 です。 

ePO ユーザ名とパスワード: 管理者権限を持つ ePO ユーザ名とパスワード。センサが 

ePO/McAfee NAC サーバと信頼関係を構築するには、これらの情報が必要です。 

McAfee NAC サーバの root 証明書: これは、McAfee NAC インストールの一部となる自己 

署名電子証明書です。この証明書ファイルは、いつでもアクセスできる場所に保存してく 

ださい。これはマネージャにインポートする必要があります。インポートすると、マネー 

ジャがセンサに自動的に送信します。この証明書は、センサが McAfee NAC サーバの認証 

を行う場合にのみ必要になります。 

注意: この証明書 (root.pem) は、ePO インストールディレクトリにあります。デフォ 

ルトの保存場所は \Server\extensions\installed\NAC\\keystore です。 

McAfee NAC 側で必要な設定については、『NAC Configuration Guide』 (NAC コンフィ 

グレーションガイド) の最新版で確認してください。 

センサと McAfee NAC サーバの統合 

センサと McAfee NAC サーバを統合することにより、センサは、McAfee NAC または ePO 

サーバだけでなく、ネットワークのホストにインストールされている McAfee NAC Client 

および Guest Client と通信できます。 

ePO サーバ設定を開始する前に、71 ページの「統合要件」に記載されている要件を満たし 

ているか確認してください。 

統合するには、次の 3 つの手順を完了する必要があります。 

1 管理ドメインのマネージャで、ePO サーバの詳細情報を入力します。詳細情報には、 

ePO IP や通信するポートメンバなどが含まれます。72 ページの「管理ドメインレベ 

ルの構成」を参照してください。 

2 管理ドメインで ePO サーバとセンサ間の信頼関係を確立します。73 ページの「セン 

サおよび McAfee NAC/ePO サーバ間での信頼関係の確立」を参照してください。 

3 ポートレベルでNAC (DHCP または Standard) を有効にします。詳細については、 

『NAC Configuration Guide』 (NAC コンフィグレーションガイド) を参照してください。 

管理ドメインレベルでの構成 

管理ドメインレベルでは、ePO サーバの設定を表示および編集できます。子管理ドメイン 

の場合は、親管理ドメインの設定を継承するか、違う設定にすることができます。 

72


ePO サーバを設定するには、以下の手順に従います。 

1 リソースツリーから、[Admin-Domain-Name] (管理ドメイン名)、[Operational Status McAfee 

NAC] (McAfee NAC の動作ステータス) の順に選択します。 

2 [Operational Status Policies] (動作ステータスポリシー) では、各リンクから管理対象およ 

び管理対象外のホストに対する動作ステータスポリシーを設定します。 

3 ePO サーバ設定を指定し、[Save] (保存) をクリックします。このページのフィールド 

の詳細については、71ページの「必要な ePO/McAfee NAC の詳細情報」を参照して 


注意: ePO サーバの設定ページから ePO にログインし、管理対象または管理対象外 

の動作ステータスポリシーを管理することができます。Network Security Platform 

でシステム状態に基づいた NAC 機能を使用している場合は、これらのポリシーが必 

要です。 

信頼関係を確立した後に管理ドメインレベルで ePO サーバ設定を編集すると、対応する 

Sensor の [Operational Status] (動作ステータス) ページに警告メッセージが表示されます。 

この場合は、信頼関係を再度確立する必要があります。 

警告の詳細を表示するには、[Operational Status] (動作ステータス) ページの [Warning] (警 

告) カラムで n/n リンクをクリックします。[Operational Status] (動作ステータス) ページの 

アクセスおよび使用方法の詳細については、『System Status Monitoring Guide』 (システムの状 

態の監視ガイド) を参照してください。 

センサおよび McAfee NAC/ePO サーバ間での信頼関係の確立 

センサと McAfee NAC/ePO サーバ間に信頼関係を確立するには、次の手順に従います。 

1 リソースツリーから [Admin-Domain-Name] (管理ドメイン名)、[NAC Settings] (NAC の設定)、 

[Sensor-Name] (センサ名)、[NAC Sensor] (NAC センサ)、[McAfee NAC]、の順に選択します。 

フェールオーバーペアノードからは [Admin-Domain-Name] (管理ドメイン名)、[NAC 

Settings] (NAC の設定)、[Sensor-Name] (センサ名)、[NAC Failover pair] (NAC フェールオー 

バーペア)、[McAfee NAC] の順に選択します。 

注意: [Operational Status Policies] (動作ステータスポリシー) では、各リンクから 

管理対象および管理対象外のホストに対する動作ステータスポリシーを設定し 

ます。 

2 [Install McAfee NAC] (McAfee NAC のインストール) をクリックします。センサがアクティ 

ブでない場合、このボタンは使用できません。 

3 ePO サーバ設定を確認します。これらの設定を変更するには、[Configure] (構成) リン 

クをクリックして、[ePO Server Settings] (ePO サーバの設定) ページに移動します。 

4 ePO ユーザ名およびパスワードを入力します。 

5 センサが McAfee NAC サーバを認証できるように、McAfee NAC サーバの root 証明書 

をプッシュする場合は、[Require McAfee NAC Server Root Certificate?] (McAfee NAC サーバ 

の root 証明書が必要ですか?) を選択します。これを選択した場合は、手順 6 に進みま 

す。選択しない場合は手順 7 に進みます。 

6 McAfee NAC サーバの root 証明書のステータスには、証明書がすでにセンサに存在す 

るかどうかが表示されます。root 証明書をセンサにプッシュするには、root 証明書ファ 

73


イルのパスを入力するか、このファイルを [Browse] (参照) から選択し、[Import] (イン 

ポート) をクリックします。 

センサから既存の証明書を削除するには、[Remove Certificate] (証明書を削除する) をク 

リックします。 

7 [Establish Trust] (信頼関係を確立する) をクリックします。 

センサと ePO サーバ間に信頼関係を確立した後は、以下のセンサ CLI コマンドを使用して 

確認することができます。 

Show: このコマンドを使用して、特定のセンサの ePO 設定の詳細を表示すること 

ができます。これを行うことで、ePO 設定の詳細情報がセンサに存在するかを確 

認できます。 

Status: このコマンドを使用して、信頼関係が確立されたかどうか、および 

McAfee NAC の root 証明書がセンサに存在するかどうかを確認できます。 

センサの CLI コマンドの使用方法の詳細については、『CLI Guide』 (CLIガイド) を参照して 


注意: McAfee NAC をアップグレードする場合は、まず通信を切断してから McAfee 

NAC をアップグレードし、その後に信頼関係を再度確立します。新しい Client 

Identification Request Setup を McAfee NAC に生成する場合、信頼関係を再度確立 

する必要があります。Client Identification Request Setup とは、センサ、McAfee NAC 

サーバおよび McAfee NAC クライアント間の通信を検証するために使用される共有 

鍵です。この共有鍵の詳細については、McAfee NAC の最新のマニュアルを参照し 


フェールオーバーペアでセンサがある場合は、両方のセンサが有効な NAC ライセンスを 

持っている必要があります。また、各メンバのセンサに McAfee NAC をインストールする 

必要があります。プライマリセンサの他の McAfee NAC 設定は、セカンダリセンサにも 

同様に適用されます。 

センサが McAfee NAC サーバと通信できない場合は、次の原因が考えられます。 

• SSL 通信エラー 

• HTTP 応答エラー 

• 不正な ePO サーバ IP 

• 不正な ePO ログオン認証情報 

• センサから転送された通知の処理時に発生した McAfee NAC サーバエラー 

• センサと McAfee NAC サーバ間の接続タイムアウト 

センサと McAfee NAC サーバ間の通信を切断するには、以下の手順に従います。 

1 リソースツリーから [Admin-Domain-Name] (管理ドメイン名)、[NAC Settings] (NAC の設定)、 

[McAfee NAC] の順に選択します。 

2 [Uninstall McAfee NAC] (McAfee NAC のアンインストール) をクリックします。 

重要: 信頼関係を確立した後は、NAC (動作ステータスに基づいた NAC、IBAC また 

は IBAC と動作ステータスに基づいた NAC) をセンサのポートレベルで有効にし、 

ホストで生成された攻撃に関しても McAfee NAC に通知できるようにする必要があ 

ります。 

74


McAfee NAC 関連の詳細表示 

このセクションでは、[Operational Status] (動作ステータス) ページと Network Security 

Platform レポートを使用して、統合の詳細を表示する方法について説明します。 

注意: このセクションでは、マネージャの統合詳細の表示についてのみ説明します。 

IPS 隔離や NAC に関する詳細の表示方法については、該当するセクションを参照し 


McAfee NAC 関連の動作ステータスメッセージの表示 

信頼関係を確立後にセンサが McAfee NAC サーバと通信できない場合、重大度が Critical の 

マネージャに障害メッセージが送信されます。[Fault Detail] (障害の詳細) ページの 

[Condition Type] (条件タイプ) フィールドに、通信障害の理由が表示されます。 

条件タイプ説明 

接続エラー/タイムアウト McAfee NAC サーバに到達できず、通信がタイムアウト 

になりました。 

SSL エラー SSL プロトコルエラーが発生しました。 

McAfee NAC サーバのエラーセンサによって転送されるアラートが処理されたとき 

に、McAfee NAC サーバでエラーが発生しました。 

HTTP 応答エラー McAfee NAC サーバからの HTTP 応答でエラーが発生し 

ました。 

URI が無効 HTTP post URI が無効です。 

ReinstallOnUpdate 信頼関係確立後に、ePO サーバ設定がアップデートされ 

ました。信頼関係を再度確立する必要があります。 

図 68: 動作ステータスのメッセージ 

障害が解決されると、[Operational Status] (動作ステータス) ページの障害メッセージは消 

去されます。 

75


マネージャレポートを使用する McAfee NAC 詳細の表示 

このセクションでは、McAfee NAC 関連の詳細を表示するレポートについて説明します。 

NAC 管理構成レポート 

NAC 管理構成レポートを使用して、選択した管理ドメインで McAfee NAC 構成の詳細を 

表示できます。以下は、NAC 管理ドメイン構成レポートで表示される McAfee NAC 関連 

の詳細です。 

• ePO サーバの IP アドレス 

• センサとサーバ間インストールポート 

• センサとサーバ間通信ポート 

• サーバとセンサ間通信ポート 

これらのフィールドの詳細については、「ePO および McAfee NAC に関する必要な詳細情 

報」を参照してください。 

NAC 管理ドメイン構成レポートとその生成方法については、『Reports Guide』 (レポートガ 

イド) を参照してください。 

NAC センサ構成レポート 

NAC センサ構成レポートを使用して、ePO/McAfee NAC サーバおよび ePO サーバ IP 間 

で信頼関係が確立されているかどうかを確認できます。 

レポートの詳細については、『Reports Guide』 (レポートガイド) を参照してください。 

76

第 5 章 

McAfee Artemis との統合 

McAfee Network Security Platform には McAfee Artemis 技術が統合されています。これは、 

インターネットクラウドを使用してマルウェアの検出を行うインターネットベースの 

サービスです。 

ユーザがインターネットからファイルをダウンロードすると、Network Security Sensor は 

McAfee Artemis を使用してリアルタイムにマルウェア検出を行います。また、Network 

Security Platform では、マルウェア検出に使用できるカスタムフィンガープリントをアッ 

プロードできます。 

この統合により、Network Security Platform は次の機能を提供します。 

• マルウェアに対する応答アクション (アラートの生成、ファイルのブロックなど) 

• マルウェア検出用のカスタムフィンガープリントのアップロード。この機能は 

Network Security Platform の管理者が使用できます。 

• Artemis 検出レポート。関連する統計データの提供。 

以下の図は、Network Security Platform と Artemis の統合の概要を示しています。 

図 69: Network Security Platform と Artemis の統合に関連する処理 

センサはインターネットからのトラフィックを継続的に監視します。インターネットから 

のファイルダウンロードが検出される場合、センサが不正コンテンツを特定すると、その 

ファイルは「不審」に分類されます。 

センサは不審と見なしたファイルのフィンガープリント (MD5 ハッシュ値) を作成し、 

Artemis に送信します。Artemis では Community Threat Intelligence を使用してこのフィン 

ガープリントを確認します。Community Threat Intelligence では McAfee Labs が保守して 

いる包括的な脅威データベースでフィンガープリントを検索することができます。フィン 

77

McAfee® Network Security Platform 6.0 McAfee Artemis との統合 

用語 

ガープリントが既知のマルウェアと特定されると、Artemis より該当ファイルが脅威である 

ことが Network Security Platform に通知されます。その後、Network Security Platform で 

は、Artemis から取得した情報を処理し、マルウェアに対する応答アクションを施行します。 

応答アクションには、ファイルダウンロードのアラートやブロックなどがあります。脅威 

の詳細は、Network Security Manager Threat Analyzer (Threat Analyzer) より確認すること 

ができます。 

注意 1: フィンガープリントとは、オリジナルファイルを一意的に特定するショート 

ビットの文字列 (MD5 ハッシュ値) です。 

注意 2: Community Threat Intelligence の詳細については、『Artemis Documentation』 

(Artemis の資料) を参照してください。 

Network Security Platform と Artemis の統合を使用したマルウェア検出の詳細については、 

以下の項を参照してください。 

• 用語 (78 ページ) 

• Network Security Platform と Artemis の統合の詳細 (79 ページ) 

• 制限事項 (81 ページ) 

• マネージャでの Artemis 統合設定 (81 ページ) 

• Network Security Platform と Artemis の統合の CLI コマンド (94 ページ) 

• マルウェア検出レポート (90 ページ) 

感度レベル 

マルウェアの悪質度は、マルウェアフィンガープリントにおける不正コンテンツのレベル 

です。高い悪質度は既知のマルウェアを指します。 

感度レベルは、Artemis からの応答に含まれるマルウェア悪質度レベルに対して Network 

Security Platform が反応する必要があるレベルを指します。 

マネージャには、Very Low (非常に低い)、Low (低)、Medium (中)、High (高)、Very High (非 

常に高い) の 5 段階の感度レベルがあります。デフォルトの感度レベルは Very Low (非常 

に低い) です。 

感度レベルを Very Low (非常に低い) に設定する (デフォルト) と、センサは悪質度が高い 

(既知のマルウェア) マルウェアフィンガープリントにのみ反応します。センサからの反応 

には、前述のとおり、アラート、ブロックまたはその両方があります。 

検出タイプ 

マルウェアに対して必要な検出タイプを定義します。マルウェアの検出は、Artemis のみを 

使用するか、カスタムフィンガープリント検出を使用するか、またはその両方を使用でき 

ます。Artemis 検出タイプとカスタムフィンガープリント検出タイプの両方を有効にする 

と、前者より後者が優先されます。 

78


プライマリおよびセカンダリ DNS サーバ IP アドレス 

ローカルのプライマリおよびセカンダリ DNS サーバに関連する IP アドレス情報です。セ 

ンサは DNS 要求にファイルの MD5 ハッシュ値を埋め込みます。ローカルの DNS サーバ 

がセンサから Artemis サーバに DNS 要求を転送します。Artemis サーバは DNS 応答 (マル 

ウェア悪質度などの情報が含まれます) をローカルの DNS サーバを介してサーバに返送し 

ます。 

Network Security Platform と Artemis の統合の詳細 

以下の図は、センサ、マネージャおよび Artemis DNS サーバ間の通信を示しています。 

図 70: Network Security Platform と Artemis の統合 - 通信 

Artemis では、インターネット DNS メカニズムを使用して通信し、ユーザシステムでの 

ファイルダウンロードに関連する情報をキャッシュします。 

前述のとおり、センサはファイルダウンロードを検出し、プロトコル使用で定義されてい 

るとおりに不審として分類します。たとえば、HTTP ダウンロードのタイプが .exe、.dll、.scr 

で、最大ファイルサイズが 1MB の場合は、「不審」として分類されます。 

センサでは、ファイルのフィンガープリント (MD5 ハッシュ値) を作成し、標準 DNS 要求 

にフィンガープリントを埋め込み、Artemis DNS サーバに送信します。センサは DNS ク 

エリを交換し、設定済みのローカル DNS サーバ (プライマリおよびセカンダリ) を介して 

Artemis DNS サーバと応答します。 

注意: プライマリとセカンダリのローカル DNS サーバは、マルウェア検出設定の 

[Fingerprints] (フィンガープリント) タブからマネージャで設定できます。センサの 

マネジメントポート設定に応じて、IPv4 または IPv6 ローカル DNS サーバを設定で 

きます。マネージャでの DNS サーバ設定は、設定のアップデート時にセンサにプッ 

シュされます。 

79


センサのマネジメントポートは、複数の DNS 要求および応答を処理できます。Artemis 

DNS クエリ (UDP DNS 要求) は、センサのマネジメントポートからローカルの DNS サー 

バに送信されます。Artemis はローカルの DNS サーバを介して応答します。Artemis DNS は 

ローカルの DNS サーバからの応答を受信し、標準の DNS 応答でエンコードされます。 

センサはマルウェア検出設定の応答アクションと同様、ファイルに対して応答アクション 

(アラートまたはブロック、またはその両方) を実行します。応答アクションがアラートに 

設定されている場合は、Threat Analyzer でアラートが発生しますが、ファイルダウンロー 

ドはブロックされません。 

応答アクションがアラートおよびブロックに設定されている場合は、Threat Analyzer でア 

ラートが発生し、ファイルダウンロードがブロックされます。 

Threat Analyzer で発生したアラートには、マルウェアの MD5 ハッシュ値と、マルウェア 

をダウンロードした先の URL が表示されます。 

マネージャでは、Artemis のみ、カスタム、またはその両方の 3 種類の検出タイプを有効 

化できます。 

Artemis 検出タイプよりカスタムフィンガープリント検出が優先されます。 

また、センサでは IPS 攻撃検出のほうがユーザ定義フィンガープリント検出よりも優先さ 

れるため、注意してください。つまり、トラフィックに IPS 攻撃と Network Security 

Platform と Artemis の統合で検出されたマルウェアコンテンツの両方が含まれる場合、攻 

撃はマルウェア攻撃としてではなく IPS 攻撃として検出されます。攻撃のブロックは IPS 

攻撃定義と同様に実行されます。 

注意: DNS サーバ IP アドレス、カスタム応答アクションおよび検出タイプ設定は、 

センサの再起動後にのみ保存されます。ただし、センサで resetconfig コマンド 

を実行すると、エントリが消去されます。 

不正ファイルは、フラグメント化トラフィック、セグメント化トラフィック、またはトン 

ネルトラフィックなどのトラフィックタイプごとに Network Security Platform と Artemis 

の統合で検出され応答することに注意してください。また、ファイルはブラウザのさまざ 

まな HTTP バージョン (1.0、1.1 など) で検出されます。 

各センサモードでのマルウェア検出: 

この統合では、センサはすべての動作モード (In Line、TAP および SPAN) でマルウェア検 

出を実行します。In Line モードでは、マルウェアは In Line フェールオープンおよび In Line 

フェールクローズモードの両方で検出されます。 

Manager Disaster Recovery (MDR) セットアップでの Network Security Platform 

と Artemis の統合 

MDR が作成されると、すべてのセンサはプライマリおよびセカンダリマネージャの両方 

との信頼関係が構築され、同じマルウェア設定がセカンダリ (スタンバイ) マネージャでも 

使用できるようになります。 

スイッチオーバーがある場合は、セカンダリマネージャがアクティブとなり、マルウェア 

スキャン機能も引き続き使用可能となります。また、プライマリマネージャがアクティブ 

80


制限事項 

モードに切り替わると、セカンダリでの変更が取得され、プライマリマネージャで適切に 

アップデートされます。 

センサのマルウェアアラートはプライマリおよびセカンダリマネージャの両方に送信さ 

れます。 

• Network Security Platform と Artemis の統合は M シリーズモデルのセンサでのみサ 

ポートされます。 

• センサがレイヤ 2 モード (L2 モード) の場合、Network Security Platform と Artemis の 

統合と同様、マルウェアコンテンツの検出は行われません。 

マネージャでの Artemis 統合設定 

以下の項では、Network Security Platform と Artemis の統合をマネージャで設定する方法 

について説明します。 

IPS 設定からのマルウェア検出設定により、Artemis 検出およびカスタムフィンガープリ 

ント検出を設定することができます。設定には、感度レベル、ローカル DSN サーバの IP ア 

ドレス、および検出タイプごとにカスタマイズしたセンサ応答アクションが含まれます。 

これは、[IPS Settings] (IPS 設定)、[Malware Detection] (マルウェア検出) タブの順に選択して実 

行できます。カスタムフィンガープリントのアップロード、およびカスタムフィンガープ 

リントファイルタイプの選択は、IPS 設定からのみ設定できます。 

IPS センサでのマルウェア検出設定により、センサでのマルウェア検出を設定することが 

できます。また、IPS 設定からセンサへ設定を継承することもできます。 

センサポートレベルでマルウェアスキャン設定を有効にする必要があるので注意が必要 

です。たとえば、ポート 1A に対して検出およびマルウェアスキャンの検出タイプを設定 

できます。また、センサポートをポートクラスタ (インターフェースグループ)、VLANS ま 

たは CIDR ブロックとして設定すると、マルウェアスキャンを有効化できます。 

マルウェアアラートの詳細は Threat Analyzer から表示できます。 

詳細については、以下のセクションを参照してください。 

• IPS 設定でのマルウェア検出設定 (81 ページ) 

• IPS センサでのマルウェア検出設定 (87 ページ) 

• Threat Analyzer でのマルウェア検出の表示 (91 ページ) 

マルウェア検出の設定 

マルウェア検出には、IPS Settings ノードから以下の設定をする必要があります。 

• IPS 設定からの Artemis およびカスタムフィンガープリント設定 ( 82 ページ) 

• IPS設定からのマルウェア検出の有効化 (86ページ) 

81


注意: マルウェア検出の詳細については、『Integration Guide』 (統合ガイド) の「Network 

Security Platform と Artemis の統合」を参照してください。 

IPS 設定からの Artemis およびカスタムフィンガープリント設定 

IPS 設定の [Fingerprints] (フィンガープリント) タブ ([IPS Settings] (IPS 設定)、[Malware 

Detection] (マルウェア検出)、[Fingerprints] (フィンガープリント) の順に選択) を使用して、 

Artemis 検出設定およびカスタムフィンガープリント検出設定を設定することができます。 

図 71: Artemis およびカスタム検出のフィンガープリント設定 

IPS 設定からの Artemis 関連の設定 

Artemis 関連の検出を設定するには、以下の手順に従います。 

1 [Artemis] ページで、スキャンの最大ファイルサイズを表示できます。 

また、Artemis でスキャンされるファイルタイプを [View File] (ファイルの表示) で表示 

できます。[< Back] (< 戻る) オプションを選択して、メインウィンドウに戻ります。 

2 ローカル DNS サーバ IP アドレスを設定するには、以下に IP アドレス (IPv4 または 

IPv6) を入力します。 

プライマリ DNS サーバ 

セカンダリ DNS サーバ 

注意: DNS サーバでは IPv4 と IPv6 アドレスを一緒に設定することはできません。 

3 [Response Action] (応答オプション) で以下のオプションのいずれかを選択します。 

82


図 72: Artemis の設定 

この設定は、Artemis でマルウェアとして識別されたファイルに対するセンサの応答ア 

クションを示します。デフォルトは [Alert Only] (アラートのみ) です。 

Alert Only (アラートのみ) - Threat Analyzer でアラートが発生しますが、ファイル 

のダウンロードはブロックされません。 

Alert and Block (アラートおよびブロック) - Threat Analyzer でアラートが発生し、 

ファイルダウンロードがブロックされます。 

Alert, Block and Send TCP Reset(to src and dest) (アラート、ブロックおよび TCP reset の 

攻撃元および攻撃対象への送信) - Threat Analyzer でアラートが発生し、ファイ 

ルダウンロードがブロックされ、攻撃元および攻撃対象 IP に TCP reset が送信 


4 [Sensitivity Level] (感度レベル) を選択します。デフォルトは [Very Low] (非常に低い) です。 

Very Low (非常に低い) 

Low (低) 

Medium (中) 

High (高) 

Very High (非常に高い) 

5 [Save] (保存) を選択します。 

IPS 設定からのカスタムフィンガープリント設定 

[Custom] (カスタム) ウィンドウで、カスタムフィンガープリントの数、カスタムフィンガー 

プリントファイルの種類、およびカスタムフィンガープリントに対するセンサの応答アク 

ションを設定できます。 

カスタムフィンガープリントの管理 

マネージャでカスタムフィンガープリントを管理できます。これには、カスタムフィン 

ガープリントの数の修正や、マネージャでのカスタムフィンガープリントファイルのエク 

スポートまたはインポートが含まれます。 

1 カスタムフィンガープリントの数を修正するには、[Custom] (カスタム) ウィンドウで 

[Manage Custom Fingerprints] (カスタムフィンガープリントの管理) を選択します。 

ページが更新され、[Manage Fingerprints] (フィンガープリントの管理) および [Import] (イ 

ンポート) ウィンドウにカスタムフィンガープリントのエクスポートおよびインポー 

トオプションが表示されます。 

83


図 73: フィンガープリントの管理 

2 マネージャからローカルシステムに必要なカスタムフィンガープリントをエクス 

ポートするには、[Export] (エクスポート) をクリックします。ファイルを保存するか開 

くかを確認するポップアップメッセージが表示されます。実行するオプションをク 

リックします。ファイルは CSV 形式で保存されるので注意してください。 

3 また、マネージャに必要なカスタムフィンガープリントをインポートすることもでき 

ます。[Configuration Update] (構成のアップデート) タブを介して後でセンサに設定がプッ 

シュされます。 

[Import] (インポート) ウィンドウで、[Browse] (参照) をクリックし、インポートするファ 

イル (カスタムフィンガープリントを含むファイル) を選択します。 

注意: インポート時に、ファイルを以下の CSV 形式にする必要があります。 

,,,, 

ファイル形式の例:Application.exe, 1024000, MD5, 

30a4edd18db6dd6aaa20e3da93c5f425, textual description 

また、複数ファイルをインポートする場合は、各ファイルごとに新しい行が必 

要となるため、注意してください。 

4 また、[Append] (追加) および [Replace] (置換) オプションも選択できます。 

Append (追加) - 既存のファイルにマルウェア構成ファイルを追加するオプショ 

ン 

Replace (置換) - マルウェア構成ファイルを別ファイルに置換するオプション 

5 [Save] (保存) オプションを使用して構成ファイルを保存します。 

6 [< Back] (< 戻る) ボタンで、メインウィンドウに戻ります。 

カスタムファイルの管理 

[Custom] (カスタム) ウィンドウで、マルウェアに対するスキャンの最大ファイルサイズを 

表示できます。 

また、[Manage Custom Files] (カスタムファイルの管理) からカスタムフィンガープリント 

ファイルタイプを管理できます。ここで、マルウェアをスキャンするファイルタイプ (.com、 

dll、exe など) を指定できます。アップロード済みのカスタムフィンガープリントと同様 

にファイルタイプを選択できます。 

84


図 74: カスタムファイルタイプの管理 

[< Back] (< 戻る) ボタンで、メインウィンドウに戻ります。 

カスタムフィンガープリントのセンサの応答アクション 

以下の手順では、カスタムフィンガープリント検出に対して [Custom] (カスタム) ウィンド 

ウでセンサの応答アクションを設定する方法について説明します。 

図 75: [Custom] (カスタム) ウィンドウでの設定 

1 [Custom] (カスタム) ウィンドウで、[Response Action] (応答アクション) から以下のオプ 

ションのいずれかを選択します。この設定は、マネージャにアップロードしたカスタ 

ムフィンガープリントと同様、マルウェアとして識別されたファイルに対するセンサ 

の応答アクションを示します。デフォルトは [Alert Only] (アラートのみ) です。 

Alert Only (アラートのみ) - Threat Analyzer でアラートが発生しますが、ファイル 

のダウンロードはブロックされません。 

Alert and Block (アラートおよびブロック) - Threat Analyzer でアラートが発生し、 

ファイルダウンロードがブロックされます。 

Alert, Block and Send TCP Reset(to src and dest) (アラート、ブロックおよび TCP reset の 

攻撃元および攻撃対象への送信) - Threat Analyzer でアラートが発生し、ファイ 

ルダウンロードがブロックされ、攻撃元および攻撃対象に TCP reset が送信され 

ます。 

2 変更を保存するには、[Save] (保存) を選択します。 

85


IPS 設定からのマルウェア検出の有効化 

IPS Settings ノードから IPS センサでマルウェア設定を有効にするには、以下の手順に従い 

ます。 

1 [IPS Settings] (IPS 設定)、[Malware Detection] (マルウェア検出)、[Enable] (有効) の順に選択 

します。 

図 76: IPS 設定からのマルウェア検出の有効化 

2 ドロップダウンメニューから IPS センサを選択します。 

ページが更新され、スキャンの方向と選択したセンサの検出タイプ設定が表示されま 

す。 

3 以下の設定を編集できます。 

スキャントラフィックの方向 

• インバウンド 

• アウトバウンド 

• インバウンドとアウトバウンド 

• 無効 


• Artemis のみ 

• カスタムのみ 

• Artemis およびカスタム 

デフォルトでは、マルウェアスキャンは、特定のセンタポートのインバウンドおよび 

アウトバウンド方向の両方で無効化されています。 


注意: 親ドメインからの継承を設定している場合、上記の設定は IPS センサで 

[Enable] (有効) に継承されます。 

また、CLI コマンドの show malware config を使用して、センサのマルウェア検出設 

定を表示できます。詳細については、『CLI Guide』 (CLI ガイド) を参照してください。 

86


IPS センサでのマルウェア検出設定 

このページでは、特定のセンサに対してマルウェア検出を設定できます。 

注意 1: マルウェア検出は M シリーズセンサでのみサポートされています。 

注意 2: センサでマルウェアスキャン設定を有効にする前に、センサポートまたは 

ポートペアでの HTTP 応答スキャンを有効にする必要があります。これは、[IPS 

Settings] (IPS 設定)または [Sensor_Name]、[IPS Sensor] (IPSセンサ)、[HTTP Response 

Scanning] (HTTP応答のスキャン) の順に選択するか、[IPS Settings] (IPS 設定)、[Policies] 

(ポリシー)、[HTTP Response Scanning] (HTTP応答のスキャン) の順に選択して有効にし 

ます。センサポートまたはポートペアの HTTP 応答スキャンを有効にする方法につ 

いては、『IPS Configuration Guide』 (IPS コンフィグレーションガイド) の「HTTP 応 

答スキャンの管理」を参照してください。 

センサポートでマルウェアスキャンを無効化すると、各ポートの HTTP 応答スキャ 

ンも無効化する必要があるかどうかを確認するポップアップメッセージが表示され 

ます。 

マルウェアスキャンを有効または無効にした後で、センサで設定をアップデートする必要 

があります。詳細については、『IPS Configuration Guide』 (IPS コンフィグレーションガイ 

ド) の「すべてのセンサの設定のアップデート」を参照してください。 

IPS センサからのマルウェア検出設定については、以下の項を参照してください。 

• IPS センサでのマルウェア検出の有効化 (87 ページ) 

• IPS センサでの Artemis およびカスタムフィンガープリント設定 ( 88 ページ) 

IPS センサでのマルウェア検出の有効化 

IPS センサでマルウェア設定を有効にするには、以下の手順に従います。 

1 マネージャで、[IPS Settings] (IPS 設定) または [Sensor_Name]、[Malware Detection] (マルウェ 

ア検出)、[Enable] (有効) の順に選択します。 

図 77: IPS センサからのマルウェア検出の有効化 

87


2 センサのポートレベルでマルウェアスキャン設定を有効化します。 

3 特定のセンサポート (1A) で、以下の設定を有効化できます。 

スキャントラフィックの方向 

• インバウンド 

• アウトバウンド 

• インバウンドとアウトバウンド 

• 無効 


• Artemis のみ 

• カスタムフィンガープリントのみ 

• Artemis とカスタムフィンガープリント 

デフォルトでは、マルウェアスキャンは、特定のセンタポートのインバウンドおよび 

アウトバウンド方向の両方で無効化されています。 

4 [Save] (保存) を選択します。 

[Configuration Update] (設定のアップデート) で、[Update] (アップデート) を選択します。 

センサの設定のアップデートの詳細については、『IPS Configuration Guide』 (IPS コン 

フィグレーションガイド) の「すべてのセンサの設定のアップデート」を参照してく 

ださい。 

また、CLI コマンドの show malware config を使用して、センサのマルウェア検出設 

定を表示できます。詳細については、『CLI Guide』 (CLI ガイド) を参照してください。 

IPS センサでの Artemis およびカスタムフィンガープリント設定 

IPS センサの [Fingerprints] (フィンガープリント) タブ ([IPS Settings] (IPS 設定)、[Malware 

Detection] (マルウェア検出)、[Fingerprints] (フィンガープリント) の順に選択) を使用して、セ 

ンサでの Artemis 検出設定およびカスタムフィンガープリント検出設定を設定することが 

できます。 

図 78: IPS センサからの Artemis およびカスタムフィンガープリント設定の管理 

88


注意 1:親ノード (IPS Settings) から同じ設定を継承する場合は、[Inherit from Parent] (親 

からの継承) を選択してください。 

注意 2: センサでマルウェアスキャン設定を有効にする前に、センサポートまたは 

ポートペアでの HTTP 応答スキャンを有効にする必要があります。 

IPS センサでの Artemis 関連の設定 

Artemis 関連の設定を IPS センサで設定するには、以下の手順に従います。 

1 ローカルの DNS サーバ IP アドレスを設定するには、[Artemis] ウィンドウで以下 (IPv4 

または IPv6 アドレス)を入力します。 

プライマリ DNS サーバ 

セカンダリ DNS サーバ 

2 Artemis でマルウェアとして識別されたファイルに対するセンサの応答アクションを 

設定するには、[Response Action] (応答アクション) で以下のオプションのいずれかを選 

択します。デフォルトは [Alert Only] (アラートのみ) です。 

Alert Only (アラートのみ) 

Alert and Block (アラートとブロック) 

Alert, Block and Send TCP Reset (tosrc and dest) (アラート、ブロックおよび TCP reset の 

攻撃元および攻撃対象への送信) 

注意: 応答アクションが [Alert Only] (アラートのみ) に設定されている場合は、 

Threat Analyzer でアラートが発生しますが、ファイルダウンロードはブロック 


応答アクションが [Alert and Block] (アラートおよびブロック) に設定されている 

場合は、Threat Analyzer でアラートが発生し、ファイルダウンロードがブロッ 

クされます。 

3 [Sensitivity Level] (感度レベル) を選択します。デフォルトは [Very Low] (非常に低い) です。 

Very Low (非常に低い) 

Low (低) 

Meidum (中) 

High (高) 

Very High (非常に高い) 


IPS センサでのカスタムフィンガープリントに対するセンサ応答アクション 

IPS センサでカスタムフィンガープリント検出に必要なセンサ応答アクションを設定する 

には、以下の手順に従います。 

注意: カスタムフィンガープリントの数や最大ファイルサイズは [Custom] (カスタ 

ム) ウィンドウに表示されます。設定の詳細については、82 ページの「IPS 設定から 

の Artemis およびカスタムフィンガープリント設定」を参照してください。 

89


[Custom] (カスタム) ウィンドウで、[Response Action] (応答アクション) から以下のオプショ 

ンのいずれかを選択します。この設定は、マネージャにアップロードしたカスタムフィン 

ガープリントと同様、マルウェアとして識別されたファイルに対するセンサの応答アク 

ションを示します。デフォルトは [Alert Only] (アラートのみ) です。 

Alert Only (アラートのみ) 

Alert and Block (アラートとブロック) 

Alert, Block and Send TCP Reset (tosrc and dest) (アラート、ブロックおよび TCP reset の 

攻撃元および攻撃対象への送信) 

注意: 応答アクションが [Alert Only] (アラートのみ) に設定されている場合は、 

Threat Analyzer でアラートが発生しますが、ファイルダウンロードはブロック 


応答アクションが [Alert and Block] (アラートおよびブロック) に設定されている 

場合は、Threat Analyzer でアラートが発生し、ファイルダウンロードがブロッ 

クされます。 

マルウェア検出レポート 

マルウェア検出レポートには、悪質度、一致したフィンガープリント、センサのソース IP、 

ソースポートなどの Artemis 関連のアラートの詳細が表示されます。 

1 マネージャのホームページから [Reports] (レポート) アイコンを選択します。 

2 [Traditional] (従来)、[IPS Events] (IPS イベント)、[Malware Detection] (マルウェア検出) の順 

にクリックします。 

図 79: マルウェア検出レポートの設定 

90


3 [Configure Malware Detection Report] (マルウェア検出レポートの設定) ウィンドウで、以下 

を選択します。 

a. Admin Domain (管理ドメイン):マルウェア検出を設定した管理ドメインを選択しま 

す。子管理ドメインからのデータも含める場合は、[Include Child Admin Domains] (子 

管理ドメインを含める) を選択します。 

b. Sensor (センサ): マルウェア検出に設定した IPS センサを選択します。[All Devices] 

(すべてのデバイス) を選択解除すると、表示されているリストから個別のセンサ 

を選択することができます。 

c. Sub-category (サブカテゴリ):Artemis 検出、カスタムフィンガープリント検出、ま 

たはその両方を選択します。 

d. Alert State (アラートの状態):未確認のアラート、またはすべてのアラートの参照を 

選択できます。 

e. Attacks (攻撃) :特定日の攻撃、特定期間内の攻撃、または日数を指定した過去の 

攻撃を選択します。 

f. レポート形式:HTML、PDF または CSV のいずれかです。 

4 レポートを生成するには、[Run Report] (レポートの実行) を選択します。 

[Malware Detection Report] (マルウェア検出レポート) が表示されます。 

図 80: マネージャでのマルウェア検出レポート 

注意: マルウェア検出は M シリーズセンサでサポートされます。 

Threat Analyzer でのマルウェア詳細の表示 

Threat Analyzer の [Alerts] (アラート) ページでマルウェアの詳細を表示することができま 

す。Artemis で検出されたマルウェアアラートをダブルクリックします。アラートの詳細 

91


は、マルウェアの MD5 ハッシュ値、マルウェアのダウンロード先 URL、検出メカニズム 

などの詳細とともに表示されます。 

図 81: Threat Analyzer で表示されるマルウェア詳細 

センサごとのマルウェア統計の表示 

以下の手順を実行することで、センサごとのマルウェア統計を表示することができます。 

1 マネージャのホームページからリアルタイム Threat Analyzer を起動します。 

[Summary] (サマリ) ページが開きます。 

2 [Options] (オプション)、[Dashboard] (ダッシュボード)、[New] (新規作成) の順にクリック 

します。 

図 82: [Dashboard] (ダッシュボード) ダイアログウィンドウ 

3 ダッシュボードの名前を入力し、[OK] をクリックします。 

4 [Assign monitor] (モニタの割り当て) をクリックしてダッシュボードにモニタを割り当 

てます。 

92


5 次のいずれかを選択します。 

図 83: [Dashboard] (ダッシュボード) ダイアログウィンドウ 

Assign an existing monitor (既存のモニタを割り当て): リストから事前定義のモニタ 

を 1 つ選択します。 

Create a new monitor (モニタを新規作成): カスタマイズしたモニタを作成するか、 

ダッシュボードに作成したモニタまたはデフォルトのモニタを割り当てます。 

6 [Type] (タイプ) で [Sensor Performance] (センサのパフォーマンス) を選択します。 

7 [Monitor] (モニタ) で [Statistics- Malware] (マルウェア統計) を選択して、[OK] をクリックし 

ます。 

[Statistics- Malware] (マルウェア統計) ページに統計が表示されます。 

図 84: [Statistics- Malware] (マルウェア統計) ページ 

8 [Refresh] (更新) をクリックすると更新されたマルウェア統計が表示されます。 

CLI コマンドの show malware statistics を使用すると、Artemis 検出またはカスタ 

ムフィンガープリント検出の統計も表示することができます。Network Security Platform 

と Artemis の統合によって検出されたマルウェアアラートの数を表示するには、status 

93


コマンドを使用します。これらのコマンドの詳細については、『CLI Guide』 (CLI ガイド) を 

参照してください。 

Network Security Platform と Artemis の統合での CLI コマンド 

Network Security Platform と Artemis の統合に関連するセンサの CLI コマンドは以下のと 

おりです。 

• show malware config 

• show malware stats 

• status 

これらのコマンドの詳細については、『CLI Guide』 (CLI ガイド) を参照してください。 

トラブルシューティング 

ネームサーバ接続エラー 

DNS サーバでは、センサへの応答が継続的に遅延する場合があります。10 分間応答が遅 

延すると、ネームサーバ接続エラーのシステムイベントがトリガされます。 

この場合、how malconfig コマンドを使用してネームサーバ統計を表示してください。 

Nameserver Connectivity issues パラメータで多くのエラー数が表示される場合は、set 

artemis timeout コマンドを使用して Artemis タイムアウトの時間を設定する必要があ 

ります。これにより、設定された時間内にクエリが解決しない場合にクエリが消去されま 

す。 

Artemis カウンタの消去 

Artemis カウンタを消去する場合は、clrstat コマンドを使用してください。 

CLIコマンドの詳細については、『CLI Guide』 (CLIガイド) を参照してください。 

DNS エラーのシステムイベント 

不正な Artemis DNS 設定がある場合、マルウェア Artemis DNS エラーが表示されます。こ 

のエラーの詳細については、『Troubleshooting guide』 (トラブルシューティングガイド) の 

「Critical の障害」を参照してください。 

94

索引 

B 

Bug Track ID .................................................34 

E 

ePO コンソール ............................................12 

ePO との統合..................................................1 

ePO データベース............................................... 2 

管理対象ホスト ............................................... 6, 9 

McAfee NAC 

M 

センサレベル.................................................... 73 

レポート ............................................................ 76 

N 

Network Security Platform 形式.........48, 50, 51 

R 

root 証明書.....................................................71 

V 

Vulnerability Manager との統合 ....................34 

CVE ID ........................................................ 34, 58 

Foundstone スケジューラ................................. 51 

Network Security Platform................................. 34 

Network Security Platform 攻撃定義モジュール34 

SSL タイプ........................................................ 40 

Vulnerability Manager キャッシュのリロード... 56 

Vulnerability Manager 構成 ............................... 46 

Vulnerability Manager 構成ウィザード ............. 46 

Vulnerability Manager スキャン ........................ 58 

Vulnerability Manager のインストール ............. 36 

宛先 IP のスキャン............................................ 58 

アラートの相互分析 .......................................... 34 

インポートの頻度.............................................. 51 

オンデマンドスキャン ............................... 58, 66 

関連性キャッシュ ............................................. 57 

関連性構成ウィザード ...................................... 54 

関連性の解析....................... 46, 47, 48, 51, 52, 53 

攻撃の関連性の解析.......................................... 48 

自動インポート................................................. 51 

手動インポート................................................. 48 

スキャナバージョン......................................... 50 

スキャンエンジンの設定.................................. 42 

スキャン設定..................................................... 43 

スキャン名 ........................................................ 43 

スケジューラの実行時間................................... 51 

スケジューラの詳細を表示............................... 51 

脆弱性キャッシュ ............................................. 34 

脆弱性評価 ........................................................ 34 

脆弱性レポート................................................. 51 

接続のテスト..................................................... 40 

ソース IP のスキャン........................................ 58 

組織名 ............................................................... 43 

データベースアップデート.............................. 57 

データベースの設定.......................................... 40 

同時スキャン..................................................... 67 

トラブルシューティングオプション.......... 56, 57 

メニューオプション................................... 37, 47 

リスクレベル.................................................... 58 

レポート形式..................................................... 50 

Vulnerability Manager のインストール .........36 

い 

インストールポート.....................................71 

か 

カスタムクライアント証明書.......................58 

カスタムフィンガープリント.................82, 88 

感度レベル ....................................................78 

管理対象ホスト.............................................10 

管理ドメインレベル.....................................72

け 

検出タイプ ....................................................90 

さ 

サポートされる脆弱性スキャナ ....................50 

せ 

センサとサーバ間..........................................71 

センサレベル................................................73 

て 

テクニカルサポート .................................... viii 

ひ 

表記規則........................................................ vii 

ほ 

ホストの Forensic 解析 ..................................6

Network Security Platform 6.0 Integration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?