Cisco® IPS Manager Express(IME)は、中堅・中小企業のニーズを満たすように設計された、強力なオールインワン型の IPS 管理アプリケーションです。1 つのアプリケーションで、5 つの Cisco IPS センサーに対してプロビジョニング、監視、トラブルシューティング、およびレポート生成を行うことができます。Cisco IPS Manager Express は Cisco IPS ソリューションの主要なパーツで、ネットワークと資産の直感的、強力、かつ安全な保護を実現します。
Intrusion Prevention System (IPS; 侵入防御システム) は、ワーム、トロイの木馬や、その他の悪意のある攻撃からネットワークと資産を保護します。Cisco® IPS Manager Express(IME) は、中堅・中小企業のニーズを満たすように設計された、強力なオールインワン型のIPS 管理アプリケーションです。1 つのアプリケーションで、5 台の Cisco IPS センサーに対してプロビジョニング、監視、トラブルシューティング、およびレポート生成を行うことができます。Cisco IPS Manager Express は Cisco IPS ソリューションの主要なパーツで、ネットワークと資産の直感的、強力、かつ安全な保護を実現します。
Cisco IPS Manager Express のダッシュボード(図 1) は、使いやすく作られています。1 つのダッシュボードで、IPS センサーの健全性とネットワーク セキュリティの健全性の両方を調査できます。10 を超えるドラッグアンドドロップ ガジェットで、ダッシュボードをカスタマイズできます。ダッシュボードには設定が保存されるため、Cisco IPS Manager Express の次回起動時に同じ設定を復元できます。Live RSS (Really Simple Syndication) フィードにより、最新のセキュリティの脅威に関する情報が提供されます。
図1 カスタマイズ可能なダッシュボード
Live RSS フィード(図 2) により、ネットワーク上の最新のセキュリティの脅威に関する情報が提供されます。RSSフィードは、ニーズに合わせてパーソナライズでき、また、ネットワークを保護するための推奨内容を提供できます。
図2 Live RSS フィード ガジェット
Cisco IPS Manager Expressは、分析とトラブルシューティングの時間を短縮するために、多くの高度なイベント監視機能を備えています。Cisco IPS Manager Express Event Viewer(図3)を使用すると、1つのビューでリアルタイムイベントとイベントの履歴を監視できます。分析に役立つように、Cisco IPS Manager Express Event Viewer にはフィルタリング、色分け、およびグループ化の機能があります。10を超えるパラメータを使用して、イベントを色分けまたはフィルタリングすることができます。マルチレベルのグループ化により、4レベルの階層グループ化が可能です。イベントをより深く理解できるように Event Details でイベントとシグニチャに関する情報を提供します。
図3 Cisco IPS Manager Express Event Viewer
Cisco IPS Manager Express のレポート作成ツールを使用すると、数秒でカスタム レポートや準拠レポートを生成できます。10を超える定義済みのテンプレートから選択したり、使いやすいフィルタを使用して独自のレポートを作成することができます。レポート作成ツールを使用して、円グラフまたは棒グラフを選択できます。選択した期間に合わせてレポートをカスタマイズできます。また、IPアドレスを含むレポートを表示できます。読みやすくするために、組み込まれた DNS 解決を使用して IP アドレスを DNS 名に変換できます。すべてのレポートは、共有したり後から表示するために、印刷したり PDF または RTF 形式で保存することができます。
Cisco IPS ポリシー プロビジョニング テーブルを使用すると、各イベントのリスク レベルを数量化するシスコの革新的な機能である Risk Rating に基づいて、ネットワーク セキュリティ ポリシーをすばやく簡単に定義することができます。Risk Rating のレンジに応じて、それぞれ異なるポリシー アクションを割り当てることができます。Risk Ratings が高いイベントからはパケットをドロップさせ、Risk Ratingsが中程度であるイベントについてはユーザに警告させるように、IPSを設定することができます。また、ポリシー例外テーブルを使用すると、ポリシーに対する例外を作成することもできます。
Cisco IPS Manager Express 内部の各アプリケーション機能が緊密に統合されることで、脅威への応答時間が短縮されます。ワンクリックで、イベントごとにイベントビューアからポリシーテーブルまたはシグニチャテーブルにリンクすることができます。イベントビューアからポリシーテーブルにリンクすると、事前に蓄積されているイベント情報が表示されます。この強力なリンクにより、ポリシープロビジョニングが簡素化され、誤操作の可能性が低くなります。ワンクリックブロックにより、イベント ビューアから攻撃を直接停止できます。
Cisco IPS Manager Express Startup Wizard は、IPSセンサーのセットアップを簡素化し、導入時間を短縮します。このウィザードでは、センサーが Cisco IPS 4200 シリーズ アプライアンスであっても Cisco ASA 5500 シリーズ アプライアンスのIPSモジュールであっても、IPSセンサーの設定方法がステップバイステップで説明されます。Cisco IPS ManagerExpress Startup Wizardを使用すると、IPSセンサーが完全に機能するように数分間で設定できます。
サポートされている機能を表 1 で説明します。
表1 サポートされている機能
| 機能 | 機能の説明 | IPSセンサー | Cisco IOS IPS |
|---|---|---|---|
| センサー健全性メーター | センサー健全性を示す直感的な 3 つのレベル(赤、黄、緑) のメーターにより、各センサーの健全性が一目でわかります。カスタマイズ可能な 6 つのパラメータのそれぞれについてしきい値を調整できるため、ユーザは組織のニーズに合わせてメーターをカスタマイズできます。 | 可 | 非対応 |
| セキュリティ健全性メーター | ネットワーク セキュリティ健全性ベースの Threat Ratingを示す直感的な3つのレベル(赤、黄、緑)のメーター。調整可能なしきい値により、ユーザは組織のニーズに合わせてメーターをカスタマイズできます。 | 可 | 非対応 |
| カスタマイズ可能なダッシュボード | |||
| 健全性ガジェットおよびリアルタイム トラフィックガジェット | センサー健全性統計情報およびリアルタイムトラフィック統計情報を一目でわかるようにするためのドラッグアンドドロップ ガジェット。
|
可 | 非対応 |
| イベント統計情報およびセキュリティ ニュース ガジェット | イベント統計情報およびセキュリティニュースを一目でわかるようにするためのドラッグアンドドロップ ガジェット。
|
可 | 可 |
| カスタマイズ可能なガジェット | パーソナライズのため、およびトラブルシューティングを容易にするためのグラフ(円グラフ、棒グラフ、表) と時間間隔のカスタマイズ。 | 可 | 可 |
| ガジェットの最小化 | ダッシュボードのスペースを節約するためにガジェットを最小化できます。 | 可 | 可 |
| 複数のダッシュボード ビュー | カスタマイズと柔軟性の高い表示のための複数のダッシュボード ビュー。 | 可 | 可 |
| ダッシュボードビューの保存 | 保存されたダッシュボード ビューにより、Cisco IPS Manager Expressの次回起動時に同じビューを表示することができます。 | 可 | 可 |
| イベント ビューア | |||
| リアルタイム イベント ビューア | リアルタイム イベント監視用のリアルタイム イベント ビューア。 | 可 | 可 |
| リアルタイム イベント ビューアの一時停止 | 分析やトラブルシューティングを行うために、一時停止して前後にスクロールできます。 | 可 | 可 |
| 履歴イベントビューア | 分析とトラブルシューティングを行うために、指定した時間間隔(日付と時刻)のイベントを表示できます。 | 可 | 可 |
| イベントの色分け | 分析とトラブルシューティングを改善するための強力なイベントの色分け(基準はシグニチャ、重大度、攻撃者/被害者の IP アドレス、被害者のポート、Risk Rating、Threat Rating、仮想センサー、センサー)。 | 可 | 可 |
| イベント フィルタリング | 分析とトラブルシューティングを簡素化するための強力なイベントのフィルタリング(基準はシグニチャ、重大度、攻撃者/被害者の IP アドレス、被害者のポート、Risk Rating、Threat Rating、仮想センサー、センサー)。 | 可 | 可 |
| マルチレベル イベント グループ化 | 分析とトラブルシューティングを簡素化するための強力なマルチレベル イベント グループ化(基準はシグニチャ、重大度、攻撃者/被害者の IP アドレス、Risk Rating、Threat Rating、センサー)。 | 可 | 可 |
| ドラッグアンドドロップ カラム | ドラッグアンドドロップ カラムにより、カラムの順序を簡単に変更したり、ビューをカスタマイズできます。 | 可 | 可 |
| マルチカラム ソート | 複数のカラムを確認しやすくするために、カラムをアルファベットと数字の順番にソートできます。 | 可 | 可 |
| カスタマイズ可能なビュー | ユーザは、分析とトラブルシューティングを簡素化するために、カスタマイズされたイベントビュー(フィルタ、色、グループ設定、およびカラム配置を含む)を作成し、保存できます。 | 可 | 可 |
| インライン パケット デコード | Event Detailsで、トラブルシューティングとフォレンジック(調査)のためにインライン パケット デコードを表示できます。 | 可 | 可 |
| Ethereal 統合サポートJ | Cisco IPS Manager Expressは、高度なトラブルシューティングとフォレンジックを行うために、Wireshark Ethereal を統合できます。 | 可 | 可 |
| Cisco Security Center への動的なリンク | Event Details では、Cisco Security Centerからのデータに基づくイベント情報を表示して、分析とトラブルシューティングを簡素化することができます。 | 可 | 可 |
| ポリシー テーブルへの動的なイベント リンク | ポリシー テーブルへの動的なイベント リンクにより、ポリシー例外を簡単に作成し、プロビジョニングを簡素化することができます。 | 可 | 非対応 |
| シグニチャ テーブルへの動的なリンク | シグニチャ テーブルへの動的なイベントリンクは、シグニチャのチューニングを簡素化します。 | 可 | 非対応 |
| ワンクリック ブロック/拒否 | ユーザは、イベント ビューアのボタン クリックで、攻撃者のパケットをブロックまたは拒否して、ただちに脅威を防止することができます。 | 可 | 非対応 |
| 統合されたネットワーク ツール | 分析とトラブルシューティングを簡素化するために、ping、trace-route、DNS lookup、whois などのネットワーク ツールがイベント ビューアに統合されています。 | 可 | 可 |
| イベント インシデント処理 | イベント インシデント処理設定は、インシデント処理プロセスの簡素化に役立ちます。インシデント処理設定(割り当て、確認応答、クローズ)をイベントに割り当て、これらの設定に基づいてイベントをフィルタリングし、各イベントのノーツを作成することができます。 | 可 | 可 |
| イベントの保存とエクスポート | 将来の分析や記録保持のために、すべてのイベントや選択したイベントを HTML または CSV に保存します。イベントを Cisco IPS Manager Expressからエクスポートして、共有や記録保持に使用できます。 | 可 | 可 |
| Events per Second(EPS)メーター | EPS は、Cisco IPS Manager Express が 1 秒間に処理するイベントの数を示します。EPS は、センサーごとに表示することもできます。 | 可 | 可 |
| 電子メール通知 | 電子メール通知により、離れた場所にいても脅威に関する情報を知ることができます。電子メール通知の間隔、および受信するイベントを指定できます。イベントは、重大度と Risk Rating に基づいてフィルタリングできます。 | 可 | 可 |
| データ アーカイブ | カスタマイズ可能なアーカイブ スケジュールによるオンボックス データ アーカイブにより、すばやいデータ分析が可能になります。 | 可 | 可 |
| 構成 | |||
| ポリシー プロビジョニング | Risk Rating に基づいて、ポリシーをプロビジョニングします。さまざまな Risk Rating 範囲に IPS アクションが割り当てられます。 | 可 | 非対応 |
| ポリシー例外 | Risk Rating、攻撃者の IP アドレス/ボート、被害者の IP アドレス/ボート、およびシグニチャに基づいて、ポリシー例外を定義します。 | 可 | 非対応 |
| 異常検出のプロビジョニング | 異常なネットワーク動作に対してアラートを送信するようにセンサーを設定できます。Cisco Anomaly Detection は、デイゼロ攻撃に対する保護を実現します。 | 可 | 非対応 |
| シグニチャ プロビジョニング | |||
| シグニチャ アクション割り当て | シグニチャに割り当てる 14 のアクションを選択できます。これらのアクションには、パケットの拒否やアラートが含まれます。 | 可 | 非対応 |
| シグニチャの有効化と無効化 | 要件に基づいてシグニチャを有効または無効にすることができます。 | 可 | 非対応 |
| 自動シグニチャ更新 | セキュリティを高めたり、導入を容易にするために、センサーによってユーザ指定の時間に自動的に新しいシグニチャ更新を受信し、適用します。 | 可 | 非対応 |
| シグニチャ ウィザード | シグニチャ ウィザードは、独自のシグニチャを作成する段階的なガイドです。 | 可 | 非対応 |
| シグニチャ フィルタリング | シグニチャ プロビジョニングを簡素化するための(シグニチャ、重大度、忠実度、Risk Rating、およびアクションによる)直感的なシグニチャ フィルタリング。 | 可 | 非対応 |
| カラムのドラッグアンドドロップ | カラムのドラッグアンドドロップにより、カラムの順序を簡単に変更し、カスタマイズしたビューを使用できます。 | 可 | 非対応 |
| カラム ソート | 簡単に表示するために、カラムをアルファベットと数字の順序に基づいてソートできます。 | 可 | 非対応 |
| シグニチャ エクスポート | シグニチャ エクスポートにより、シグニチャ テーブルを CSV(comma-separated value; カンマ区切り形式)または HTML にエクスポートできます。 | 可 | 非対応 |
| レポート機能 | |||
| 定義済みのレポート テンプレート | 簡単にレポートを生成できる 10 を超える定義済みのレポート テンプレート。定義済みのレポート テンプレートには、過去 1 時間での上位 10 位の攻撃者、過去 1 時間での上位 10 位の被害者、および過去 1 時間での攻撃が含まれます。 | 可 | 可 |
| カスタマイズ可能なレポート | ユーザは、指定した時間フレーム、および攻撃者の IP アドレス、被害者の IP アドレス、被害者のポート、シグニチャ、Risk Rating、Threat Rating、および行われたアクションなどのフィルタ基準に基づいて、カスタマイズされたレポートを作成できます。 | 可 | 可 |
| カスタマイズ可能なグラフ | ユーザは、パーソナライズされたレポート用に、グラフの種類(円グラフまたは棒グラフ)を指定できます。 | 可 | 可 |
| レポートの保存 | ユーザは、準拠レポートや記録のために、レポートを PDF または RTF 形式で保存できます。 | 可 | 可 |
| セットアップとヘルプ | |||
| Startup Wizard | 直感的な Startup Wizardがネットワーク設定、時間設定、およびインターフェイス構成を含む IPS の設定に関する段階的な手順を説明します。 | 可 | 非対応 |
| 管理者パスワードの必要条件 | 試行回数、最小文字数、最小文字種類、履歴パスワード数を含む、管理者パスワードの最低限の必要条件を指定できます。 | 可 | 非対応 |
| ビデオ ヘルプ | ビデオ ヘルプは、Cisco IPS Manager Express の主な機能の使用法に関する段階的なビジュアル ガイドです。 | 可 | 可 |
