cisco cyber threat defense solution 1.1 設計および …図 1 cyber threat defense solution 1.1...

Cisco Cyber Threat Defense Solution 1.1設計および実装ガイド最終更新日： 2013 年 7 月 28 日

2 Cisco Validated Design2

Matt Robertson

Brian MacMahon

Cisco Validated Design 3

執筆者について

Matt は、シスコのセキュリティテクノロジーグループのテクニカルマーケティングエンジニアとして、シスコの世界最大規模の顧客を担当しています。ウォータールー大学でコンピュータ工学の学士号と修士号を取得しており、現在は、高度な脅威検出と防御を行うソリューションの開発に注力しています。

Brian McMahon は、過去 25 年間にわたり、さまざまな規模の機関向けの教育、テスト、テクニカルサポートなど、コンピュータおよびネットワークセキュリティに関する多様な業務を担当してきました。現在は、シスコのテクニカルマーケティングエンジニアとして、ネットワークの動作に基づく脅威検出システムの開発に取り組んでいます。

執筆者について

C O N T E N T S

はじめに 6製品およびリリース 7

ソリューションの概要 9アーキテクチャ 9NetFlow の概要 10モニタリング場所の選択 111 秒あたりのフローボリュームの決定 14

Lancope StealthWatch システムの導入 16設計上の考慮事項 16Lancope StealthWatch システムの導入 21Lancope StealthWatch システムの初期化 28

シスコデバイスでの Flexible NetFlow の設定 33Flexible NetFlow の設定の概要 33Cisco Catalyst 3560-X および 3750-X シリーズ 34Cisco Catalyst 4500 シリーズ Supervisor Engine 7-E/7-LE 40Cisco Catalyst 6500 シリーズ Supervisor Engine 2T 44シスコサービス統合型ルータ G2 48Cisco ASR 1000 シリーズ 52Cisco NetFlow Generation Appliance 56Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス 59Flexible NetFlow エクスポートの確認 62

NetFlow 分析とアイデンティティ、デバイスプロファイリングおよびユーザサービスとの統合 66

概要 66Lancope SMC と Cisco Identity Services Engine の統合 66

まとめ 73

付録 A ：参照 74セキュアネットワークサービス 74NetFlow 74Identity Services Engine 74

Cisco Validated Design プログラムについて 75

4Cisco Cyber Threat Defense Solution 1.1


はじめに脅威の状況は進化しています。政府機関および大企業には Advanced Persistent Threat （APT）として知られるターゲットを絞ったカスタム攻撃が押し寄せています。これらの APT は多くの場合、組織の境界防御を擦り抜けてネットワークにアクセスできるような動機と資金力がある攻撃者によって開始されます。これに対応するために政府機関や大企業の多くは、ネットワークを脅かす攻撃を特定し、調査するツールに注目しています。

Cisco Cyber Threat Defense Solution 1.1 は、内部ネットワークですでに動作中の脅威を検出するプロアクティブな機能を備えています。このソリューションはネットワークデバイスからテレメトリを使用して、ネットワーク内部全体の広範囲にわたる本格的な可視性を提供します。これにより、セキュリティオペレータはネットワークトラフィックの「誰が、何を、いつ、どこで、なぜ、どのように」を把握して異常を検出することができます。このアプローチにより、従来のネットワークセキュリティプラットフォームが通常存在しないアクセスレイヤおよびディストリビューションレイヤで、疑わしいアクティビティをさらに可視化できます。 Cisco Cyber Threat Defense Solution 1.1 が提供する可視性およびコンテキストのレベルは、脆弱性が悪用される時間を大幅に削減し、セキュリティオペレータの手に管理を戻すことができます。

ネットワーク全体に Cisco Cyber Threat Defense Solution 1.1 を配置すると、次を含む（ただしこれに限定されません）広範なセキュリティタスクに役立つ情報と可視性が提供され、セキュリティオペレータをサポートします。

• データ損失イベントの検出

• 内部ネットワーク上のネットワーク調査アクティビティの検出

• 内部ネットワーク全体へのマルウェア拡散の検出および監視

• 内部ネットワークのボットネットコマンドとコントロールチャネルの検出

Cisco Cyber Threat Defense Solution 1.1 は、 NetFlow や Network-Based Application Recognition（NBAR）などのシスコのネットワーキングテクノロジーや、 Cisco Identity Services Engine（ISE）のアイデンティティ、デバイスプロファイリング、ポスチャおよびユーザポリシーサービスを利用します。

Copyright © 2013 Cisco Systems, Inc. All rights reserved

シスコシステムズ合同会社

〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー

はじめに

シスコは、 Lancope® と共同で Cisco Cyber Threat Defense Solution 1.1 を開発し提供しています。シスコが提供する Lancope StealthWatch® System は、現在市販されているフローベースセキュリティモニタリングソリューションの中でもトップクラスのソリューションであり、 Cisco Cyber Threat Defense Solution 1.1 では、 NetFlow アナライザおよび管理システムとして動作します。

このマニュアルでは、 Cisco Cyber Threat Defense Solution 1.1 の設計、導入および実装の詳細について説明します。

製品およびリリース

Cisco Cyber Threat Defense Solution 1.1 は、表 1 に示すコンポーネントを使用して、明示されたすべての目標が達成されることが実証されたシステムです。

表 1 Cisco Cyber Threat Defense Solution 1.1 のコンポーネント

コンポーネントハードウェアリリースイメージタイプとライセンス

Cisco Catalyst®

3560-X または 3750-X シリーズ

バージョン ID ： 02

リビジョン 0x03

10 GE サービスモジュール

Cisco IOS® ソフトウェアリリース 15.0(1)SE3

ユニバーサルおよび IP サービス

Cisco Catalyst 4500E シリーズ

Supervisor 7E Cisco IOS ソフトウェアリリース 15.0(2)X0

ユニバーサルおよび IP Base

Supervisor 7L-E Cisco IOS ソフトウェアリリース 15.0(2)X0


Cisco Catalyst 6500 シリーズ

Supervisor 2T Cisco IOS ソフトウェアリリース 15.0(1)SY2

Advanced Enterprise

Services、 Advanced IP Services および IP Base

Cisco ISR G2 任意 Cisco IOS ソフトウェアリリース 15.2(4)M2


Cisco ASR 1000 シリーズアグリゲーションサービスルータ

Cisco ASR 1000 シリーズルータプロセッサ 1 または 2 （RP1/RP2）、Cisco ASR 1001 ルータ、 Cisco ASR 1002 固定ルータ、 Cisco 1004、1006、および次のプロセッサが装備された 1013 ルータ

• 10、 20、または 40 Gbps の Embedded Services

Processor （ESP）

• SPA インターフェイスプロセッサ（SIP） 10/40

Cisco IOS Software

Release 15.2(1)S または XE3.5


Cisco Adaptive Security Appliance

任意 Cisco ASA ソフトウェアリリース 8.4(4)1

任意


7

はじめに

（注）現在、 WS-X6908-10G-2T/2TXL、 WS-X6816-10T-2T/2TXL、 DFC4/DFC4XL を搭載した WS-X6716-10G、および DFC4/DFC4XL を搭載した WS-X6716-10T ラインカードのみが、Supervisor Engine 2T ベースのシステムで NetFlow レコードのエクスポートを実行できます。将来、すべての Cisco Catalyst 6500 シリーズモジュールがこの機能をサポートする予定です。

（注） Cisco Catalyst 3560-X/3750-X シリーズスイッチでは、 NetFlow サービスは、サービスモジュールの 2 個の 10 ギガビットイーサネットポートでのみサポートされます。現在のリリースでは、これらのポートは 10 ギガビットイーサネットケーブル配線またはファイバチャネル SFP のみをサポートしています。

（注）ベストプラクティス：ネットワーク全体を、リストしたシスコのネットワークデバイスのみで構築できない場合があります。こうした状況で、ソリューションに必要な広範囲にわたるネットワークの可視化を実現するには、 Lancope StealthWatch FlowSensor を使用する必要がある場合があります。

Cisco NetFlow Generation Appliance

3140 Cisco NGA ソフトウェアリリース 1.0

任意

Cisco Identity Services Engine

任意（VM を含む） Cisco ISE ソフトウェアバージョン 1.1.1

任意

Lancope StealthWatch

管理コンソール任意（VM を含む） StealthWatch 6.3 任意

Lancope StealthWatch FlowCollector

任意（VM を含む） StealthWatch 6.3 任意

Lancope StealthWatch FlowSensor


Lancope StealthWatch FlowReplicator


表 1 Cisco Cyber Threat Defense Solution 1.1 のコンポーネント（続き）


ソリューションの概要


アーキテクチャ

Cisco Cyber Threat Defense Solution 1.1 は、 Cisco NetFlow テクノロジーを使用して、すべてのネットワークトラフィックへの包括的な可視性を提供します。 Cisco NetFlow テクノロジーは、シスコエンタープライズスイッチおよびルータでサポートされ、パフォーマンスに影響しない完全なテレメトリをネットワークのすべての層で実装できるようにします。この強化された可視性と Cisco TrustSec® ソリューションからのアイデンティティおよびコンテキスト情報を組み合わせることで、セキュリティオペレータはネットワークのトラフィックをよりよく把握できます。図 1 に、 Cisco Cyber Threat Defense Solution 1.1 のハイレベルなシステムアーキテクチャを示します。

図 1 Cyber Threat Defense Solution 1.1 アーキテクチャ

ネットワークトラフィックへの可視性は、シスコルータおよびスイッチからの NetFlow エクスポートを通じて提供されます。アイデンティティサービス（ユーザ名とプロファイル情報を含む）は、 Cisco TrustSec ソリューションで提供されます。 Lancope StealthWatch FlowCollector は NetFlow 収集サービスを提供し、疑わしいアクティビティを検出する分析を実行します。StealthWatch 管理コンソールは、すべての StealthWatch アプライアンスの一元管理を実現し、NetFlow とアイデンティティの複合分析のリアルタイムのデータ相関、可視化、および統合レポートを提供します。

Cisco Cyber Threat Defense Solution 1.1 のコンポーネントには、ユーザを認証し NetFlow データを生成するネットワークデバイス、 Lancope StealthWatch システムのコンポーネント、および Cisco TrustSec からのコンポーネントが含まれます。フローと動作の可視性を得るための小システム要件は、 StealthWatch 管理コンソールで管理される単一の StealthWatch FlowCollector を搭載した 1 つ以上の NetFlow ジェネレータです。アイデンティティサービスを得るための小要件は、有効な Cisco TrustSec モニタリングモードの展開で Cisco ISE と 1 つ以上の認証アクセスデバイスを配置することです。


9


NetFlow の概要

NetFlow は、シスコデバイスを通過するトラフィックフロー（フローは、任意の送信元と宛先間の単方向のパケットストリームとして識別）の IP ネットワークトラフィック属性を計測するシスコのアプリケーションです。当初、 NetFlow は帯域幅、アプリケーションパフォーマンス、使用率などのネットワークトラフィックの特性を測定するために作成されました。これまでに NetFlow は、課金とアカウンティング、ネットワークの容量計画、および可用性モニタリングに使用されています。 NetFlow はレポートテクノロジーです。トラフィックがデバイスを通過するとき、デバイスはトラフィックフローの情報を収集し、フローが発生した後に情報をレポートします。 NetFlow レポートには、否認防止、異常検出、調査機能を提供する機能を含む強力なセキュリティアプリケーションが付属しています。

NetFlow は初の導入以来、表 2 に示すように多くのバージョンを経ています。固定エクスポート形式のバージョン（1、 5、 7、 8）は柔軟性または適応性がなく、各新バージョンには、以前のバージョンと互換性のない新しいエクスポートフィールドが含まれています。 NetFlow バージョン 9 では、収集とエクスポートプロセスが完全に分離され、 NetFlow 収集のカスタマイズができます。

表 2 NetFlow のバージョン

Cisco Cyber Threat Defense Solution 1.1 は、カスタマイズ可能な NetFlow v9 レコードに対応できるように、 Cisco IOS の Flexible NetFlow 機能のカスタマイズ機能を利用します。このアプローチを使用して、 Cisco Cyber Threat Defense Solution 1.1 は TCP フラグ、パケット存続時間（TTL）値、プロトコル、および NBAR を使用したアプリケーション名などのパケットフィールドを収集することにより、各デバイスのセキュリティモニタリングの可能性を大限に高めるために各ソリューションデバイスの NetFlow レコードを定義しています。これらのフィールドの多くは、 NetFlow プロトコルの以前のバージョンでは使用できません。それらを使用しないと、 Cisco Cyber Threat Defense Solution 1.1 に存在する微調整された検出アルゴリズムの一部によって提供される利点が失われます。

（注）ベストプラクティス： Cisco IOS Flexible NetFlow 機能を可能な限り使用してください。

バージョンステータス

1 元のバージョン。 v5 と似ていますが、シーケンス番号または BGP 情報がありません

2 リリースされていません



5 固定形式。実稼動でも一般的なバージョン。


7 v5 と似ていますが、 AS インターフェイス、 TCP フラグ、および ToS 情報が含まれません。 Cisco Catalyst 6500 および 7600 に固有

8 11 の集約方式の選択。企業では広く普及しませんでした

9 追加フィールドおよび技術のサポートを可能にする柔軟で拡張可能なエクスポート形式

IPFIX v9 と似ていますが、標準化されていて可変長フィールドが付属しています



図 2 に、シスコデバイスでの NetFlow 動作を示します。

1. フローがシスコデバイス（NetFlow ジェネレータ）を通過する際、 NetFlow キーフィールドが抽出されます。

2. キーフィールドは、NetFlow キャッシュのフローを識別するために使用されます。NetFlow キャッシュは、デバイス上に保持されるフローのデータベースです。キーフィールドに加えて、シスコデバイスは TCP フラグ、バイトカウンタ、開始および終了時間などの追加で設定された収集フィールドを収集し、このフローの NetFlow キャッシュエントリにこの情報を保存します。

3. フローが終了するか、タイムアウトイベントが発生すると、フローレコードと呼ばれる NetFlow Protocol Data Unit （PDU）が生成されてフローコレクタに送信されます。

図 2 シスコデバイスでの NetFlow の動作

モニタリング場所の選択

Cisco Cyber Threat Defense Solution 1.1 は、 NetFlow がネットワークのすべてのレイヤのネットワークデバイスでイネーブルになっているときにも効果を発揮します。このレベルの可視性では、すべてのネットワークトラフィックを記録および分析し、内部ネットワークを介して横方向に広がったマルウェア、つまり VLAN を出ることなくレイヤ 3 境界を通過せずに他のホストに広がるマルウェアなどの脅威を識別することができます。ネットワーク全体の可視性は、トラフィックの送信元に近いとき、行動アルゴリズムの精度が向上し、ネットワーク通信が消失しないことを保証します。

（注）ベストプラクティス： NetFlow ができるだけアクセスレイヤの近くになるようにします。

Cisco Cyber Threat Defense Solution 1.1 実装では、完全な（非サンプル）方法で NetFlow を使用する必要があります。関連付けられたネットワークレコードがあるのは特定の割合のネットワークフローのみなので、サンプリングされた NetFlow では盲点が残ります。したがって、悪意のあるアクティビティを示す単一のトラフィック異常を検出することが困難になります。


11


一部の古いシスコデバイス、 Cisco サービス統合型ルータ（ISR）および Cisco Aggregated Services Router （ASR）は、機能セットのソフトウェア実装を使用して NetFlow サービスをサポートします。ソフトウェアでサポートされている NetFlow サービスを展開するときは、ソフトウェアルータの現在の使用率を考慮してください。 NetFlow の使用可能性がデバイスパフォーマンスに影響を与える可能性があるためです。たとえば、 Cisco IOS ソフトウェアを実行しているフルロードされたソフトウェアルータは、 NetFlow の有効化により CPU 使用率が約 15 パーセント上昇する場合があります。ソフトウェアでサポートされている NetFlow サービスを実装する場合は、次の URL にある Cisco NetFlow パフォーマンス分析のホワイトペーパーを参照してください：http://www.cisco.com/en/US/solutions/collateral/ns341/ns524/ns562/ns583/net_implementation_white_paper0900aecd80308a66.pdf

ハードウェアでサポートされている NetFlow を搭載したシスコデバイスは、 NetFlow サービスがイネーブルのときに小限のパフォーマンス低下が起こります。これらのデバイスでのも重要なパフォーマンス制限は、ハードウェアでサポートされる NetFlow キャッシュのサイズです。表 3 に、 CTD 1.1 ソリューションコンポーネントがハードウェアまたはソフトウェアでサポートされるかどうかを示します。

表 3 NetFlow サポート：ハードウェアまたはソフトウェア

表 4 に、ハードウェアでサポートされる NetFlow を搭載したソリューションデバイスのキャッシュサイズの制限を示します。デバイスの NetFlow キャッシュが満杯になると、デバイスはデバイスを通過する新しいフローの NetFlow レコードを生成しません。

表 4 シスコデバイスの NetFlow キャッシュサイズの制限

コンポーネントハードウェアサポートソフトウェアのサポート

Cisco Catalyst 3560-X または 3750-X シリーズ

X

Cisco Catalyst 4500E シリーズ X

Cisco Catalyst 6500 シリーズ X

Cisco NetFlow Generation Appliance X

Cisco ISR G2 X

Cisco ASR 1000 シリーズ X

Cisco Adaptive Security Appliance X1

1. NetFlow Security Event Logging （NSEL）として知られる ASA NetFlow 実装は、ほとんどのソフトウェアでサポートされる NetFlow 実装とは異なります。詳細については、このガイドの ASA に関する項を参照してください。

コンポーネントハードウェアキャッシュサイズ（フロー）

Cisco Catalyst 3500-X 10 GE サービスモジュール 32,000

Cisco Catalyst 4500E シリーズ Supervisor 7E 128,000

Supervisor 7L-E 128,000

Cisco Catalyst 6500 シリーズ Supervisor 2T 512,000

Supervisor 2TXL 100 万


http://www.cisco.com/en/US/solutions/collateral/ns341/ns524/ns562/ns583/net_implementation_white_paper0900aecd80308a66.pdf




（注）ソフトウェアでサポートされている NetFlow を搭載したデバイス（ISR など）での NetFlow キャッシュサイズは、使用可能なメモリ量で制限されます。

Cisco Cyber Threat Defense Solution 1.1 のすべての NetFlow 生成デバイスは Flexible NetFlow 機能をサポートしていますが、カスタマイズ可能なフローレコードのサポートは、プラットフォームによって異なります。これは、すべての必要なセキュリティ情報を把握し、ソリューションのあらゆるデバイスにそれを適用できるユニバーサルフローレコードはないことを意味します。表 5 に、ソリューションデバイスでのフローレコードのサポートを示します。サポートの差異を考慮すると、良の結果は可視性のギャップを埋めるために導入環境に異機種混在型のソリューションコンポーネントがある場合に得られます。

表 5 フローレコードのサポート

最適なソリューションフローレコード

Cisco Catalyst 3560-X/ 3750-X

Cisco Catalyst 4500 Sup7-E/ Sup7L-E

シスコ Catalyst 6500 Sup2T Cisco ISR

Cisco ASR 1000

シスコ NGA

match ipv4 tos Yes Yes Yes Yes Yes Yes

match ipv4 protocol Yes Yes Yes Yes Yes Yes

match ipv4 source address Yes Yes Yes Yes Yes Yes

match ipv4 destination address Yes Yes Yes Yes Yes Yes

match ipv4 destination address Yes Yes Yes Yes Yes Yes

match transport destination-port

Yes Yes Yes Yes Yes Yes

match interface input Yes Yes Yes Yes Yes Yes

match datalink mac source-address

Yes No No No No No

match datalink mac destination-address

Yes No No No No No

collect routing next-hop address ipv4

No No No Yes Yes Yes

collect ipv4 dscp No No Yes Yes Yes

collect ipv4 ttl minimum match ipv4 ttl No Yes Yes Yes

collect ipv4 ttl maximum match ipv4 ttl No Yes Yes Yes

collect transport tcp flags No Yes Yes Yes Yes Yes

collect interface output Yes Yes Yes Yes Yes Nocollect counter bytes Yes Yes Yes Yes Yes Yes

collect counter packets Yes Yes Yes Yes Yes Yes

collect timestamp sys-uptime first


collect timestamp sys-uptime last


collect application name No No No Yes Yes No


13


（注）ベストプラクティス：ソリューションが機能するためにすべてのシスコネットワークデバイスがその展開に存在する必要はありませんが、各プラットフォームで NetFlow サポートの違いがあるため一覧表示されているデバイスの異機種混在を導入することを推奨します。

モニタリングの場所と NetFlow 生成デバイスを選択後、 NetFlow をそのデバイスでイネーブルにする必要があります。詳細については、このガイドのデバイス固有の NetFlow 設定の項を参照してください。

1 秒あたりのフローボリュームの決定

モニタリングの場所を特定したら、次の手順はモニタリングの場所によって生成される 1 秒あたりのフロー数（fps）を決定し測定することです。 fps の数（量）は、 StealthWatch FlowCollector で受信して分析できる必要があるレコードの数を示します。この数は、（後の項で説明する） StealthWatch FlowCollector モデルの選択時に考慮される必要があります。

Cisco Cyber Threat Defense Solution 1.1 の導入前に fps 数を決定する場合は慎重な検討を必要とします。多くの要因がネットワークデバイスによって生成されるフローボリュームに影響を与える可能性があるため、正確な数を予測することは困難な場合があります。一般に、NetFlow ジェネレータは、通過するトラフィックの 1 Gbps あたり 1000 ～ 5000 fps を生成します。ただし、これは一般的なガイドラインで、開始点としてのみ使用してください。

トラフィックスループット（Gbps）は fps 数に直接影響しません。直接影響を与える唯一の尺度は、デバイスを通過するフローの数（およびレート）です。たとえば、単一の大容量（1 Gbps）のフローがポートを通過すると、 fps 数が 1 未満になる場合があります。その一方、ポートを通過する少容量のフローがあると、合計スループットは低く fps 数は高くなる（たとえば、合計スループットが 100 Mbps で 4000 フロー）場合があります。 fps 数は、次の測定値に大きく影響されます。

• デバイスを通過する一意のフローの数

• 1 秒あたりの新しい接続数

• フローの有効期間（短寿命か長寿命か）

一般に重要な問題ではありませんが、 NetFlow レコードがネットワークトラフィックに与える影響を考慮してください。 NetFlow レコードがトラフィックフロー全体に関するレポートを表すため、 NetFlow は一般にネットワークに微小のトラフィックを追加します。ただし、一部のトラフィックセットは他のセットよりも多くの NetFlow レコードを生成できます。以下は、 NetFlow によって生じるネットワークオーバーヘッドに影響する可能性がある要因の一部です。

• 1 秒あたりのフロー数

• NetFlow レコードのサイズ。Cyber Threat Defense Solution 1.1 は、1500 バイトパケットあたり平均 34 の NetFlow レコードをもたらす NetFlow v9 を推奨します。

• フロータイマー（フローのアクティブおよび非アクティブタイムアウト）。 Cyber Threat Defense Solution 1.1 は、 60 秒のアクティブタイマーと 15 秒の非アクティブタイマーを推奨します。

NetFlow のイネーブル化の影響を予測するには、次の URL で入手できる Lancope NetFlow Bandwidth Calculator を使用してください。http://www.lancope.com/resource-center/netflow-bandwidth-calculator-stealthwatch-calculator/


http://www.lancope.com/resource-center/netflow-bandwidth-calculator-stealthwatch-calculator/



（注）ベストプラクティス： NetFlow のオーバーヘッドを小化することが懸案事項の場合は、NetFlow 収集をできるだけ NetFlow ジェネレータの近くで行う必要があります。

（注）ベストプラクティス：非対称のルーティング状況では、非対称ルートのすべてのデバイスが同じ FlowCollector に NetFlow レコードを送信する必要があります。

モニタリングの場所を決定し、設計を検討した後は、 Cisco Cyber Threat Defense Solution 1.1 導入の次のステップとして、 Lancope StealthWatch システムコンポーネントを選択し配置します。


15

Lancope StealthWatch システムの導入

Lancope StealthWatch システムの導入シスコによって提供される Lancope StealthWatch® System は、現在市販されているフローベースセキュリティモニタリングソリューションの中でもトップクラスのソリューションであり、 Cisco Cyber Threat Defense Solution 1.1 で NetFlow アナライザおよび管理システムとして動作します。表 6 では、 Lancope StealthWatch システムの各コンポーネントを簡単に紹介して説明します。

表 6 Lancope StealthWatch システムコンポーネント

設計上の考慮事項

StealthWatch FlowSensor の追加（オプション）

NetFlow 生成をネットワーク機器から行えない場合は、 Lancope StealthWatch FlowSensor および FlowSensor VE を使用して、通信をフローレコードに変換できます。これにより、このガイドで指定されていないネットワーキング機器を Cisco Cyber Threat Defense Solution 1.1 の導入に参加させることができます。また、 StealthWatch FlowSensor はネットワークの重要な領域に対するパケットレベルのアプリケーション ID とパフォーマンスメトリックの追加に使用できます。

Cisco Cyber Threat Defense Solution 1.1 の導入に StealthWatch FlowSensor を追加することを検討する場合は、次の手順を実行します。

コンポーネント説明

StealthWatch

管理コンソール企業内のセキュリティとネットワークインテリジェンスを関連付けるために、すべての StealthWatch アプライアンスを管理、調整、および設定します。フローとアイデンティティを関連付けるために、 Cisco Identity Services Engine から認証されたセッション情報を取得します。

StealthWatchFlowCollector

NetFlow 対応デバイスによって生成されるフローデータの中央集中型コレクタとして機能します。 StealthWatch FlowCollector は、ネットワークトラフィックを監視、分類、および分析して、ネットワークとホストの両方のレベルで包括的なセキュリティインテリジェンスを作成します。

StealthWatchFlowReplicator

単一の高速アプライアンスの NetFlow、 syslog、および SNMP 情報を集約します。この高速 UDP パケットレプリケータは、FlowReplicator で複数の場所から必要なネットワークの適化およびセキュリティの情報を収集し、この情報を単一のデータストリームで 1 つ以上の StealthWatch FlowCollector アプライアンスに転送します。

StealthWatch FlowSensor すべてのホストとサーバの通信およびネットワークトラフィック統計情報を受動的にモニタし、それを FlowCollector に送信されるフローレコードに変換します。

StealthWatch FlowSensor VE 仮想サーバ内部で動作するように設計された仮想アプライアンス。 FlowSensor VE は、 VM 内トラフィックを受動的にモニタし、それを FlowCollector に送信されるフローレコードに変換します。



手順

ステップ 1 StealthWatch FlowSensor を選択します。

StealthWatch FlowSensor を選択する場合は、モニタリングポイントの予期されるトラフィックプロファイルを考慮します。 FlowSensor でそのポイントに送信されているトラフィックのレベルを処理できるようにする必要があるためです。 Cisco Cyber Threat Defense Solution 1.1 の他の NetFlow 生成デバイスと同じように、 FlowSensor をできるだけアクセスレイヤの近くに配置することを推奨します。

表 7 に、 StealthWatch FlowSensor アプライアンスモデルとその仕様を示します。表示される処理容量は、サポートされる平均レートです。 FlowSensor は、表示された容量を超える短期バーストを処理できます。すべての NetFlow ジェネレータと同様に、 StealthWatch FlowSensor によって生成される NetFlow トラフィックの量はモニタ対象のトラフィックプロファイルによって異なります。

（注） 1 つの StealthWatch FlowSensor の処理容量に到達した場合は、適切なイーサネットロードバランサを使用して複数の FlowSensor をスタックできます。

StealthWatch FlowSensor VE は、 vSphere/ESX ホスト内にインストールされ、そのホスト内の VM 間のトラフィックの NetFlow レコードを生成するために使用できる仮想アプライアンスです。 FlowSensor VE は仮想スイッチに無差別に接続します。これは、監視するトラフィックからイーサネットフレームを受動的にキャプチャし、カンバセーションペア、ビットレートおよびパケットレートに関係する貴重なセッション統計情報を含むフローレコードを作成します。 FlowSensor VE はその後、 StealthWatch FlowCollector にこれらのレコードを送信します。表 8 では、 StealthWatch FlowCollector VE の導入要件について説明します。

表 8 StealthWatch FlowSensor VE の仕様

表 7 StealthWatch FlowSensor アプライアンスの仕様

モデル処理容量インターフェイス速度物理層フォームファクタ電源

250 100 Mbps 2 10/100/100 銅 1 RU ショート非冗長

1000 1 Gbps 3 10/100/1000 銅 1 RU ショート非冗長

2000 60,000 5 10/100/1000 銅またはファイバ 1 RU 冗長

3000 120,000 1 または 2 1 GB ファイバ 1 RU 冗長

ディスク領域の要件

フローエクスポート形式 CPU の最低要件最小メモリ要件インターフェイス

1.4 GB NetFlow v9 2 GHz プロセッサ 512 MB

アプリケーションインスペクション用に 1024 MB

大 16 個の vNIC


17


ステップ 2 ネットワークに StealthWatch FlowSensor を統合します。

StealthWatch FlowSensor は、レイヤ 1 またはレイヤ 2 に隣接した形でモニタリングポイントに配置する必要があります。サンプル配置モードでは、テストアクセスポート（TAP）、Switched Port Analyzer （SPAN）ポート、またはネットワークハブを使用します。ネットワークに StealthWatch FlowSensor を統合する方法の詳細については、 Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

StealthWatch FlowCollector の選択

StealthWatch FlowCollector は、 Cisco Cyber Threat Defense Solution 1.1 ですべての NetFlow ジェネレータによって生成される NetFlow データの中央集中型コレクションおよび分析ポイントとして機能します。ソリューションの導入に必要な StealthWatch FlowCollector の数とモデルの選択は、次の要因によって異なります。

• StealthWatch FlowCollector に到達する 1 秒あたりのフローボリュームに影響する前の項で行った決定

• StealthWatch FlowCollector の導入戦略

• 各 StealthWatch FlowCollector の物理容量

手順

ステップ 1 StealthWatch FlowCollector の導入戦略を決定します。

StealthWatch FlowCollector は分散型または集中型方式で配置できます。分散配置では、FlowCollector は複数のサイトに配置され、通常はも多い NetFlow レコード数を生成する送信元の近くに配置されます。この配置は、 NetFlow によって生じるオーバーヘッドを制限するという利点があります。集中型配置では、すべての StealthWatch FlowCollector は単一のデータセンターに配置され（通常はロードバランサの背後など）、 NetFlow 収集全体に対する 1 つの収集場所、または1 つの IP アドレスの利点が得られます。この配置は、 NetFlow ジェネレータが離れている環境で利点をもたらします。

サイト間の帯域幅が制限されることがあるという点も考慮する必要があります（WAN 経由の場合など）。一般に、 1 つの FlowCollector をできるだけ関連トラフィックに使用する必要があります。一元化されたコレクションの利点は、トラフィックが類似していないと小さくなります。

特定の FlowCollector がフローデータを受信するときに、重複フローレコードを重複除去します。これは、 1 つのデータベースエントリがそのフローに対して作成されることを意味します。この重複除去プロセスにより、 FlowCollector は各フローエクスポータに関する詳細を保持し、急増したトラフィック量のレポートを排除すると同時にも効率的な方法でフローデータを保存できます。

理想的な実装では、特定のフローに関連するデータをエクスポートするすべてのルータはそのデータを同じ FlowCollector に送信します。ただし、一意の各ホストペア（またはカンバセーション）は FlowCollector で追加のリソースを消費します。同時接続数が多すぎる場合、フローレコードはメモリから消去されます。カンバセーションがしばらくの間アイドル状態になるまでレコードを消去することなく、すべてのアクティブなカンバセーションで状態を保つのに十分なリソースが FlowCollector に確実に割り当てられるよう、導入計画時に配慮してください。

（注）ベストプラクティス：フローに属するすべての NetFlow レコードは、同じ StealthWatch FlowCollector に送信される必要があります。



ステップ 2 パフォーマンス上の考慮事項

各 StealthWatch FlowCollector は、表 9 に示すように小の保証フローボリュームをサポートできます。ただし、 Cisco Cyber Threat Defense Solution 1.1 用の StealthWatch FlowCollector を選択する際は次の要因についても考慮してください。

• エクスポータカウント：各 StealthWatch FlowCollector が受け入れることができる NetFlow 生成デバイスの数。

• データレート： StealthWatch FlowCollector が受信している fps のレート。

• ホストカウント： StealthWatch FlowCollector が状態を維持できるホストの数（ネットワークの内部と外部の両方）。内部ホストの数はホストカウント値の 60 パーセントを超えないことを推奨します。

• フローストレージ：ネットワークの特定のロケーションに必要なきめ細かいフローデータの量。

（注）特定のシャーシに対しエクスポータの大数および大データレートの両方に近づいたシステムは、パフォーマンスの問題の影響を受ける可能性があります。たとえば、大データレートの推定 10% ～ 20% の低下は、エクスポータの大数で発生する場合があります。

表 10 に、VM の予約済みメモリと CPU 数に基づく StealthWatch FlowCollector VE のサポートを示します。

StealthWatch 管理コンソールの選択

StealthWatch 管理コンソール（SMC）は、 StealthWatch システム全体のインストールを管理し、システムに接続される FlowCollector の数とシステム全体でモニタされるフローの総ボリュームによってライセンス供与されます。

表 11 に、 SMC モデルとそれらがサポートできる StealthWatch FlowCollector の数を示します。表 12 に、 SMC VE がサポートできる（予約済みメモリと CPU に基づく） FlowCollector と同時使用ユーザの数を示します。

表 9 StealthWatch FlowCollector アプライアンスの仕様

モデル1 秒あたりのフロー数エクスポータホストストレージ

StealthWatch FlowCollector 1000 大 30,000 大 500 大 250,000 1.0 TB

StealthWatch FlowCollector 2000 大 60,000 大 1000 大 500,000 2.0 TB

StealthWatch FlowCollector 4000 大 120,000 大 2000 大 1,000,000 4.0 TB

表 10 StealthWatch FlowCollector VE の仕様

1 秒あたりのフロー数エクスポータホスト予約済みメモリ予約済み CPU

大 4500 大 250 大 125,000 4 GB 2

大 15,000 大 500 大 250,000 8 GB 3

大 22,500 大 1000 大 500,000 16 GB 4

大 30,000 大 1000 大 500,000 32 GB 5


19


表 11 SMC アプライアンスの仕様

表 12 SMC VE の仕様

（注）導入環境で多数のホストグループとモニタ対象インターフェイスが予想される場合は、 SMC に送信されるデータの量がこれらの環境で増加する可能性があるため、より高性能な SMC を検討する必要があります。

StealthWatch FlowReplicator の選択（オプション）

StealthWatch FlowReplicator は、 UDP パケットをモニタし、それらのパケットのコピーを生成して 1 つ以上の新しい宛先に送信します。パケットはアプライアンスを通過するときに元の送信元から送信されたように見えるように変換されます。各 FlowReplicator には 2 つのアクティブなインターフェイスが用意されています。一方はパケットコピーの管理、モニタリング、および生成用に IP アドレスが割り当てられ、もう一方はモニタリング用の無差別モードにすることができます。

各 FlowReplicator は、 1 秒あたりのパケット数（pps）の観点から、一定ボリュームの出入力について評価されます。それぞれは、パケットあたり 2 ～ 3 個のコピーの生成に対してテストされますが、必要に応じてより多くの宛先をサポートできます。表 13 に、 StealthWatch FlowReplicator モデルと仕様を示します。

表 13 StealthWatch FlowReplicator アプライアンスの仕様

（注）アプライアンスの物理的制限を超過し、多くのコピーがリンクに対して生成されている場合、パケットはドロップされます。

SMC モデル最大 FlowCollector 数サイズストレージメモリ

SMC 1000 5 1 RU 1.0 TB 8 GB

SMC 2000 25 2 RU 2.0 TB 16 GB

FlowCollector 同時使用ユーザ予約済みメモリ予約済み CPU1 2 4 GB 2

3 5 8 GB 3

5 10 16 GB 4

FlowReplicator モデル処理容量物理層

フォームファクタ電源耐障害性

1000 10,000 pps の入力

20,000 pps の出力

銅 1 RU ショート

非冗長 No

2000 20,000 pps の入力

60,000 pps の出力

銅またはファイバ

1 RU 冗長 Yes




ここでは、各アプライアンスを Lancope StealthWatch システムに配置し、 Cisco Cyber Threat Defense Solution 1.1 で動作できるようにする準備に必要な手順について説明します。

各アプライアンスの取り付け

各アプライアンスを取り付けるには、次の手順を実行します。

手順

ステップ 1 StealthWatch 管理コンソール（SMC）をインストールします。

管理デバイスとして、 SMC アプライアンスはすべての StealthWatch システムコンポーネントと管理デバイスにアクセスでき Cisco Identity Services Engine への HTTPS 接続を開くことができるネットワーク上の場所に取り付ける必要があります。フェールオーバー SMC がある場合は、プライマリおよびセカンダリ SMC を別々の物理的な場所に設置することを推奨します。詳細については、 Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

ステップ 2 （オプション） StealthWatch FlowSensor を取り付けます。

パッシブモニタリングデバイスとして、 StealthWatch FlowSensor は IP アクティビティを監視および記録するネイティブ NetFlow サポートが現在ないネットワークの任意の場所に配置できます。Cisco Cyber Threat Defense Solution 1.1 の NetFlow 設定と同様に、 FlowSensor はアクセスレイヤトラフィックをモニタできるように配置するとも効果的です。 StealthWatch FlowSensor の取り付けの詳細については、 Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

ステップ 3 （オプション） StealthWatch FlowSensor VE をインストールます。

StealthWatch FlowSensor VE は、単一の vSphere/ESX ホスト内の VM 間通信を無差別にモニタするために使用されます。詳細については、 Lancope StealthWatch Documentation CD の『FlowSensor VE Installation and Configuration Guide』を参照してください。

ステップ 4 StealthWatch FlowCollector を取り付けます。

収集およびモニタリングデバイスとして、各 StealthWatch FlowCollector アプライアンスは NetFlow データを生成して FlowCollector に送信するデバイスにアクセス可能なネットワーク上の場所に設置する必要があります。また FlowCollector は、 SMC からの HTTPS アクセスを含めて、管理インターフェイスにアクセスする必要があるデバイスにアクセスできることが必要です。詳細については、 Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

ステップ 5 （オプション） StealthWatch FlowReplicator を取り付けます。

StealthWatch FlowReplicator を配置する唯一の要件は、 StealthWatch システムコンポーネントの他の部分に対して妨げられていない通信パスがあることです。詳細については、次の手順（ファイアウォールの設定）と Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

StealthWatch FlowReplicator には 2 つのアクティブなインターフェイスが用意されています。一方はパケットコピーの管理、モニタリング、および生成用に IP アドレスが割り当てられ、もう一方はモニタリング用の無差別モードにすることができます。


21


ファイアウォールの設定

ファイアウォールが配置のどこかにある場合は、 Cyber Threat Defense Solution 1.1 のデータフローを示した図 3 を参照し、適切なポートおよびサービスが許可されていることを確認してください。表 14 では、必要なサービスをさらに詳しく示します。追加情報については、 Lancope StealthWatch Documentation CD の『System Hardware Installation Guide』を参照してください。

図 3 Cisco Cyber Threat Defense Solution 1.1 のデータフロー

表 14 必要なサービス

クライアントサーバポート CommentSMC FlowCollector TCP/443 HTTPSSMC Cisco Identity Services

EngineTCP/443 HTTPS

SMC エクスポータ UDP/161 SNMPSMC – UDP/123 NTPSMC –- TCP/25 SMTP （オプション）

SMC - UDP/53 DNSSMC - UDP/162 SNMP-TRAP （オプション）

SMC - UDP/514 SYSLOG （オプション）

SMC Identity Services Engine TCP/443 HTTPS

–- SMC UDP/514 SYSLOG （オプション）

–- SMC UDP/161 SNMP （オプション）



表 14 必要なサービス（続き）

各アプライアンスでのシステム設定の実行

システム設定ダイアログは、各 StealthWatch コンポーネントのネットワーキングおよびアクセス情報を初期化するために使用されます。ダイアログおよび設定手順は各 StealthWatch アプライアンスで同じです。この設定の詳細情報は、 Lancope StealthWatch Documentation CD の『System Configuration Guide』で入手できます。

手順

ステップ 1 コンソールインターフェイスを介してアプライアンスにログインします。

（注）デフォルトのコンソールユーザ名は sysadmin で、パスワードは lan1cope です。

ステップ 2 システム設定プログラムを実行します。図 4 のような画面が表示されます。

図 4 システム設定画面

クライアントサーバポート CommentSW Web インターフェイス SMC TCP/443 HTTPSFlowCollector SMC TCP/443 HTTPSFlowCollector FlowSensor TCP/443 HTTPSFlowCollector –- UDP/123 NTPFlowCollector –- UDP/53 DNSFlowSensor –- UDP/123 NTPFlowSensor –- UDP/53 DNSFlowSensor FlowCollector UDP/2055 NetFlowエクスポータ FlowCollector UDP/2055 NetFlow


23


（注）追加情報については、 StealthWatch の『System Configuration Guide』の第 1 章を参照してください。

（注）コマンドプロンプトで SystemConfig を入力するとシステムコンフィギュレーションが開始します。

ステップ 3 管理ポートネットワーキングを設定します。

これは、アプライアンスがネットワークに接続するために必要な IP アドレスとサブネットの情報です。また、 Web インターフェイス経由でアプライアンスに接続するために使用される IP アドレスでもあります。

（注）追加情報については、 StealthWatch の『System Configuration Guide』の第 2 章を参照してください。

（注）ベストプラクティス：すべての StealthWatch システムコンポーネントに対し DNS エントリを設定します。

ステップ 4 ユーザパスワードを変更します。

コンソールインターフェイスにアクセスするために使用されるパスワードを変更します。これは、アプライアンスのコマンドプロンプトへの SSH アクセスに使用するパスワードでもあります。

（注）詳細情報については、『System Configuration Guide』の第 3 章を参照してください。

（注） SSH アクセスはデフォルトではディセーブルになっており、 Web インターフェイスを介してイネーブルにできます。これは、次の手順で説明します。

ステップ 5 信頼できるホストの設定を行います（オプション）。

これらの設定は、アプライアンスにアクセスできるホストの IP アドレスを反映します。追加情報については、『System Configuration Guide』の第 4 章を参照してください。



各アプライアンスの Web インターフェイスにログインします。

手順

ステップ 1 StealthWatch FlowCollector の Web インターフェイスにアクセスします。

Web インターフェイスは https://sfc.demo.local からアクセスできます。 sfc.demo.local は前の手順で設定した IP アドレスに対する DNS エントリです。

ステップ 2 SMC の Web インターフェイスにアクセスします。

Web インターフェイスは https://smc.demo.local/smc/login.html からアクセスできます。smc.demo.local は前の手順で設定した IP アドレスに対する DNS エントリです。

（注） Web インターフェイスのアクセスクレデンシャルはコンソールアクセスクレデンシャルとは異なります。デフォルトのユーザ名は admin で、パスワードは lan411cope です。

ステップ 3 各アプライアンスの Web インターフェイスは、図 5 のように表示されます。

図 5 StealthWatch FlowCollector の Web インターフェイス

（注）詳細情報については、『System Configuration Guide』の第 6 章を参照してください。


25


ホスト名および DNS の設定

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [Naming and DNS] をクリックします。

ステップ 2 アプライアンスのホスト名およびドメイン名を入力します。

ステップ 3 [Apply] をクリックします。

ステップ 4 テキストボックスに、 DNS サーバのアドレスを入力します。

ステップ 5 [Add] をクリックします。


時刻設定値の設定

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [System Time and NTP] をクリックします。

ステップ 2 [Enable Network Time Protocol] チェックボックスがオンになっていることを確認します。

ステップ 3 ドロップダウンメニューから推奨される NTP サーバを選択するか、テキストボックスにローカル NTP サーバの IP アドレスを入力します。

（注）ベストプラクティス：NetFlow ジェネレータを含むすべての Cisco Cyber Threat Defence Solution コンポーネントに対して同じ時刻源を使用します。

ステップ 4 [Add] をクリックします。


ステップ 6 StealthWatch アプライアンスが設置されているタイムゾーンになるようにタイムゾーンの設定を行います。


管理パスワードを設定します。

Web インターフェイスの管理アカウントのパスワードを変更するには、次の手順に従います。

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [Password] をクリックします。

ステップ 2 テキストボックスに現在のパスワードと新しいパスワードを入力します。




認証局の証明書を設定します

（注）認証局の証明書は、この手順を開始する前に取得し、ローカルディスクに保存しておく必要があります。

（注）ベストプラクティス：ここで使用される認証局の証明書は、 Cisco Identity Services Engine にアイデンティティ証明書を発行するために使用されるものと同じである必要があります。

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [Certificate Authority Certificates] をクリックします。

ステップ 2 [Choose File] をクリックし、ローカルディスクを参照して、 CA 証明書を検索します。

ステップ 3 SMC 設定で識別されるように証明書に名前を付けます。

ステップ 4 [Add Certificate] をクリックします。

アプライアンスのアイデンティティ証明書の設定

（注）証明書と秘密キーは、この手順を開始する前に、（前のステップで追加した）認証局から取得し、ローカルディスクに保存しておく必要があります。

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [SSL Certificate] をクリックします。

ステップ 2 1 番目の [Choose File] をクリックし、ローカルディスクを参照して、アプライアンスのアイデンティティ証明書を検索します。

ステップ 3 （オプション） 2 番目の [Choose File] をクリックして、ローカルディスクを参照し、アイデンティティ証明書の発行に使用する証明書チェーンを検索します。

ステップ 4 3 番目の [Choose File] をクリックし、ローカルディスクを参照して、アプライアンスの秘密キーを検索します。

ステップ 5 [Upload Certificate] をクリックします。


27


（オプション）管理システムの設定

SMC 以外の StealthWatch コンポーネント（FlowCollector など）では、アプライアンスにアクセスするために SMC によって使用されるクレデンシャルはデフォルト設定から変更できます。この手順の完了は、企業の要件に完全に依存し、 Cisco Cyber Threat Defense Solution 1.1 の動作には影響しません。

（注）このオプションのセットアップ手順を完了するには、 SMC IP アドレスを把握している必要があります。

手順

ステップ 1 Web インターフェイスのホームページから、 [Configuration] > [Management Systems Configuration] をクリックします。

ステップ 2 [Add New Management System] をクリックします。

ステップ 3 SMC の IP アドレスを入力します。

ステップ 4 [Is SMC] チェックボックスをオンにします。

ステップ 5 マネージャクレデンシャルを入力します。

ステップ 6 イベントクレデンシャルを入力します。


アプライアンスの再起動

上記の手順では、アプライアンスのホストと時間の設定に対して変更を行いました。この時点で、アプライアンスを再起動してすべての設定が正しく動作することを確認することを強く推奨します。

（注） Web インターフェイスの各設定項目の詳細情報は、 Web インターフェイスの [Help] をクリックしてアクセスできるオンラインヘルプで確認できます。

Lancope StealthWatch システムの初期化

前の項の手順を完了した後、 2 つの必須の Lancope StealthWatch アプライアンス（FlowCollector と SMC）をすぐに導入して動作状態にする必要があります。ただし、アプライアンスは互いにまだリンクされておらず、 StealthWatch システムは完全に初期化されていません。

StealthWatch FlowCollector は完全に配置されて動作状態になっており、 NetFlow エクスポータから NetFlow レコードを受信し、そのデータベースへの入力を開始することができます。必要に応じて、このドキュメントの前述の手順を省略し、 NetFlow エクスポータが NetFlow を生成し FlowCollector に送信を開始するように NetFlow エクスポータで NetFlow エクスポートを設定できます。

ここでは、 Lancope SMC に Lancope StealthWatch FlowCollector を統合し、 NetFlow の分析用に StealthWatch システムを準備するプロセスについて説明します。



SMC クライアントソフトウェアの実行

手順

ステップ 1 SMC の Web インターフェイスにアクセスします。

ステップ 2 クライアントコンピュータの SMC に割り当てるメモリ量を選択します。

ステップ 3 開いている多くの文書があったり大きなデータセット（100,000 レコードを超えるフロークエリなど）が予想される場合は、より大きなメモリ割り当てを考慮します。ローカルワークステーションは、少なくとも 2 倍のメモリ割り当てを選択している必要があります。

ステップ 4 [Start] をクリックして、 SMC クライアントソフトウェアをダウンロードし、インストールします。

ドメインの設定

SMC クライアントに初めてログインすると、 [Default Domain Properties] ページが表示されます。ドメインは、すべてのホストとホストグループ、ネットワークデバイス、 FlowCollector、Cisco Identity Services Engine などの、この導入に関連する情報のセットを定義します。

（注）ベストプラクティス：企業向けの Cisco Cyber Threat Defense Solution 1.1 の導入には単一のドメインを使用します。

手順

ステップ 1 [Name] フィールドに、ドメインの名前を入力します。

ステップ 2 [Archive Hour] フィールドに、アーカイブ時間を指定します。

アーカイブ時間は、関連ドメイン内のすべての StealthWatch FlowCollector がデータ収集の新しい 1 日（24 時間）を開始し、すべてのインデックスカウンタをゼロにリセットする時刻です。前の 24 時間で受信したすべてのデータはデータベースにアーカイブされます。

（注）ベストプラクティス：アーカイブ時間をネットワークトラフィックが小の時刻に設定します。


29


ステップ 3 図 6 のように [OK] をクリックします。

図 6 アーカイブ時間の設定

ステップ 4 SMC の表示をよく理解します（図 7 を参照）。

上部のバーは、メニューオプションを示します。左側には、エンタープライズツリーが表示され、ホストグループツリーも含まれています。右側には、ドキュメントが表示されます。

図 7 アーカイブ時間の設定



StealthWatch FlowCollector の追加

手順

ステップ 1 エンタープライズツリーのドメインを強調表示します。

ステップ 2 [Configuration] > [Add FlowCollector] をクリックします。

ステップ 3 StealthWatch FlowCollector の名前と IP アドレスを入力します（図 8 を参照）。

図 8 FlowCollector の追加

ステップ 4 マネージャおよびイベントクレデンシャルを入力します（オプション）。クレデンシャルが FlowCollector の導入時のデフォルトから変更された場合にのみこのステップを実行します。

ステップ 5 [OK] をクリックします。

ステップ 6 [Properties for FlowCollector] ダイアログが開きます。表 15 を使用してデフォルト設定を確認します。.

表 15 デフォルト設定の詳細

設定項目 Options 設定

FlowCollector 名前 sfc.demo.local

Advanced Ignore flows between inside hosts オフ

Ignore flows between outside hosts オフ

Ignore flow to and from non-routable addresses オフ

Ignore flows between inside hosts when calculating File Sharing Index

オン

Ignore null0 flows オフ

Seconds required to qualify a flow as long duration 32.4k

Suspect long duration flow trust threshold 6

Minimum number of asymmetric flows per 5-minute period to trigger Asymmetric_Route alert

50

Minimum number of Class C subnets an infected host must contact before a worm alarm is triggered

8


31


ステップ 7 [Synchronize] > [Synchronize] をクリックし、 [Close] をクリックします。

ステップ 8 エンタープライズツリーを展開し、 FlowCollector を表示します（図 9 を参照）。

図 9 FlowCollector の表示

展開のこの時点で、 StealthWatch システムが導入され、 NetFlow レコードを受信して分析を開始する準備ができました。

Store flow interface data 可能なかぎり

Watch List 空

Broadcast List 空

Ignore List 空

Mitigation White List IP ranges SMC IP アドレス

ドメイン名空

Monitor Port ポート 2055

エクスポータおよびインターフェイス

Accept flows from any exporter オン

システムアラーム FlowCollector Data Deleted オフ

FlowCollector Flow Data Lost オン

FlowCollector Log Retention Reduced オン

FlowCollector Management Channel Down オン

FlowSensor Time Mismatch オン

FlowSensor Traffic Lost オン

FlowSensor VE Configuration Error オン

Interface Utilization Exceeded Inbound オン

Interface Utilization exceeded Outbound オン

新しい VM オン

V-Motion オン

表 15 デフォルト設定の詳細（続き）

設定項目 Options 設定


シスコデバイスでの Flexible NetFlow の設定

シスコデバイスでの Flexible NetFlow の設定前述したように、 Cisco Cyber Threat Defense Solution 1.1 は特定のシスコプラットフォームの Flexible NetFlow 機能を使用します。ここでは、 Cisco IOS での Flexible NetFlow の設定に必要な概念と手順の概要を説明し、Cisco Cyber Threat Defense Solution 1.1 リリースのコンポーネントであるシスコデバイスの詳細な設定およびトラブルシューティングのガイダンスを提供します。

Flexible NetFlow の設定の概要

Cisco IOS デバイスでの Flexible NetFlow の設定は、次の詳細で説明する 4 つの手順から成ります。

• フローレコードの設定

• フローエクスポータの設定

• フローモニタの作成

• 1 つ以上のインターフェイスへのフローモニタの適用

フローレコードの設定

フローレコードは、フロー内のパケットやフロー単位で収集されたカウンタのタイプなどの NetFlow プロセスによって収集される情報を定義します。カスタム NetFlow レコードは、発信 NetFlow レコードに含めるフィールドをシスコデバイスに伝える一連の一致および収集コマンドを指定します。 Cisco Cyber Threat Defense Solution 1.1 は、各サポート対象デバイスの特定のフローレコードを定義します。シスコは、展開から大の結果を得るためにこれらのフローレコードを使用することを強く推奨します。

一致フィールドは、フローの一意性を決定するために使用されることを意味するキーフィールドです。収集フィールドは、レポートと分析のためにコレクタに詳細を提供するためのレコードに含まれる追加情報です。

フローエクスポータの設定

フローエクスポータは、 NetFlow レコードが送信される場所と方法を定義します。フローエクスポータの設定は、 Cyber Threat Defense Solution 1.1 で使用されるすべての Cisco IOS デバイスで同じです。この設定は、古い Cisco IOS およびプラットフォームのリリースでは NetFlow 設定と異なる場合があることに注意してください。

フローモニタの作成

フローモニタは、 NetFlow キャッシュまたはキャッシュを保存されている情報について説明します。また、フローモニタは、フローレコードおよびフローエクスポータをリンクします。フローモニタには、エクスポートのタイマー、キャッシュのサイズ、および必要に応じて、パケットのサンプリングレートなどのさまざまなキャッシュ特性が含まれます。

ネットワークトラフィックがシスコデバイスを通過するとき、フローは継続的に作成され追跡されます。フローが期限切れになると、 NetFlow キャッシュから StealthWatch FlowCollector にエクスポートされます。フローが特定の時間にわたって非アクティブの場合（たとえば、新しいパケットがフローに対し受信されていない場合）、またはフローが長時間存続している（アクティブ）およびアクティブタイマーよりも長く存続している場合（たとえば、長時間の FTP ダウンロード）、フローはエクスポートの準備ができています。フローが非アクティブか長時間存続しているかどうかを指定するタイマーがあります。


33


（注）ベストプラクティス： Cisco Cyber Threat Defense Solution 1.1 は、 60 秒のアクティブタイムアウトと 15 秒の非アクティブタイムアウトを推奨します。

インターフェイスへのフローモニタの適用

フローモニタがインターフェイスに割り当てられるまで、シスコデバイスは NetFlow レコードを生成しません。インターフェイスに適用されると、フローモニタがアクティブになり、NetFlow レコードがモニタが適用されているインターフェイスに対してのみ生成されます。

（注）ベストプラクティス： Cisco Cyber Threat Defense solution 1.1 は、フローのセキュリティの可視性が必要なすべてのインターフェイスにフローモニタを適用することを推奨します。

Cisco Catalyst 3560-X および 3750-X シリーズ

Flexible NetFlow は、 10GE サービスモジュールの Cisco Catalyst 3560-X および 3750-X（Cat3k-X）シリーズスイッチでサポートされています。以前プラットフォームでサポートされていなかったサービスモジュールは、モジュールを通過するすべてのトラフィックでハードウェアでサポートされるラインレート NetFlow をイネーブルにできます。

アクセスレイヤで NetFlow を生成し、フローの可視性を取得する機能は、 Cisco Cyber Threat Defense Solution 1.1 の主要コンポーネントです。以前は、 NetFlow によって提供される可視性はレイヤ 3 境界でのみ使用可能で内部 LAN 攻撃は明らかになりませんでした。 NetFlow はアクセスレイヤで使用可能になったので、 LAN に存在する疑わしい動作を検出できるようになりました。


Cisco Catalyst 3500 シリーズでの NetFlow サービスは、10GE サービスモジュールが搭載された Cisco Catalyst 3500-X シリーズ（3560-X および 3750-X）プラットフォームでのみサポートされます。これは、 NetFlow 機能をイネーブルにするサービスモジュールであることに注意してください。 NetFlow データは、モジュールを通過するトラフィックに対してのみ生成されます。したがって、サービスモジュールは、 Cisco Cyber Threat Defense Solution 1.1 の重要なコンポーネントになります。

10GE サービスモジュールは、「ノースサウス」 NetFlow と称されるものをサポートします。つまり、スイッチを通過するフローに対する NetFlow レコードを生成することを意味します。たとえば、トランクポートで送受信されるフローなどです。サービスモジュールは、「イーストウェスト」 NetFlow をサポートしていません。これは、 NetFlow がサービスモジュールを通過しないトラフィックに対して生成されないことを意味します。たとえば、ローカルで切り替えられるトラフィックなどです。 Cisco Cyber Threat Defense Solution 1.1 の目的の 1 つは、ローカルで切り替えられるトラフィックの可視性を取得することなので、導入オプションは慎重に考慮してください。

NetFlow は、サービスモジュールのハードウェアでサポートされます。ハードウェアは、常駐するキャッシュ内の 32,000 のフローをサポートできます。この数字は Cisco Catalyst 3750-X スイッチのスタック内で拡大縮小されることに注意してください。たとえば、 4 つのサービスモジュールが搭載された 4 台のスイッチのスタックは 128,000 のフローをサポートできます。NetFlow がサービスモジュールでイネーブルの場合、スイッチでパフォーマンス低下は生じません。



サービスモジュールのイネーブル化

正常に動作するには、サービスモジュールをサポートするハードウェアプラットフォームにインストールし、適切な Cisco IOS ソフトウェアイメージとライセンスが必要です。表 16 に、サービスモジュールで Flexible NetFlow をイネーブルにするための小要件を示します。

表 16 Cisco Catalyst 3500-X シリーズサービスモジュールの要件

（注）サービスモジュールには、独自のオペレーティングシステムがあります。正しく機能するには、サービスモジュールのオペレーティングシステムをスイッチのオペレーティングシステムに一致させる必要があります。

（注）次の手順は、ハードウェア要件を満たし、 IP Services ライセンスと適切な Cisco IOS ソフトウェアパッケージをすでに入手していることを前提としています。

手順

ステップ 1 サービスモジュールをインストールし、スイッチの電源を入れます。

ステップ 2 正しいソフトウェアイメージにスイッチをアップグレードします。

3560X# archive download-sw /overwrite /reload image-name

ステップ 3 IP Services ライセンスをインストールします。

3560X# license install license-name

（注）状況に応じて、ライセンスをアクティブにするためにスイッチを再起動する必要があります。

ステップ 4 ライセンスがアクティブであることを確認します。

3560X# show license detailIndex: 1 Feature: ipservices Version: 1.0

License Type: Permanent License State: Active, In Use License Priority: Medium License Count: Non-Counted Store Index: 1Store Name: Primary License Storage

ステップ 5 正しいソフトウェアイメージにサービスモジュールをアップグレードします。

3560X# archive download-sw service-module-image-name

コンポーネント要件

ハードウェアの小条件バージョン ID ： 02

リビジョン： 0x03Cisco IOS ソフトウェア 15.0(1)SE3ライセンス IP サービス


35


ステップ 6 サービスモジュールが動作可能であることを確認します。

3560X#show switch service-modulesSwitch/Stack supports service module CPU version: 03.00.41

Temperature CPU Switch# H/W Status (CPU/FPGA) CPU Link Version--------------------------------------------------------------------------------------------------------------------------1 OK 67C/74C connected 03.00.41

正しく設定されていない場合、次のようなメッセージが表示されます。

3560X#show switch service-modulesSwitch/Stack supports service module CPU version: 03.00.41

Temperature CPU Switch# H/W Status (CPU/FPGA) CPU Link Version---------------------------------------------------------------------------------------------------------------------------------1 LB-PASS-THRU * 71C/87C notconnected N/A* Module services not supported on a Lanbase license

ハードウェアステータスが PASS-THRU モードの場合、設定ミスが発生しています。エラーメッセージには、ハードウェア、ソフトウェアイメージ、またはライセンスが要件を満たしていないことを示すエラーの原因に関する詳細情報が提示されます。チェックリストと前述の手順を確認し修正します。

ケーブル接続

10GE サービスモジュールには、 2 つのデュアル速度 10 ギガビットイーサネット SFP+ ポートがあります。現在のバージョン（15.01）以降では、これらのポートは銅線の 1000BASE-T をサポートしていません。サービスモジュールを銅線ネットワークにケーブル配線するときは、特別な考慮が必要です。

（注）ベストプラクティス：標準の 10GbE 銅ケーブルを使用します（アグリゲーション /コアスイッチに使用可能な 10GbE ポートが必要です）。

（注）ベストプラクティス：メディアコンバータを搭載したマルチモードギガビットイーサネットファイバ SFP （GLC-SX-MM）を使用します。

Flexible NetFlow の設定

Cisco Catalyst 3500-X シリーズスイッチは、通常の場合アクセスレイヤに配置されます。この項では、アクセスレイヤスイッチとして Cisco Catalyst 3500-X シリーズの Flexible NetFlow 機能を大限に使用するために必要なフローの可視性レベルを実装する方法について説明します。




手順

ステップ 1 次のコマンドを使用して、フローレコードを作成します。

3560X(config)#flow record CYBER_3KX_RECORD3560X(config-flow-record)#match datalink mac source-address3560X(config-flow-record)#match datalink mac destination-address3560X(config-flow-record)#match ipv4 tos3560X(config-flow-record)#match ipv4 ttl3560X(config-flow-record)#match ipv4 protocol3560X(config-flow-record)#match ipv4 source address3560X(config-flow-record)#match ipv4 destination address3560X(config-flow-record)#match transport source-port3560X(config-flow-record)#match transport destination-port3560X(config-flow-record)#collect interface input snmp3560X(config-flow-record)#collect interface output snmp3560X(config-flow-record)#collect counter bytes3560X(config-flow-record)#collect counter packets3560X(config-flow-record)#collect timestamp sys-uptime first3560X(config-flow-record)#collect timestamp sys-uptime last

上記のサンプルレコードは、アクセスレイヤスイッチとして、エンドユーザデバイスとトラフィックセットを一意に識別できるという事実を利用しています。

データリンク MAC 宛先/送信元アドレスは、その組織固有識別子（OUI）から使用可能なデバイスベンダーに関する情報とともに、スイッチにトラフィックを送受信するユーザデバイスの一意の ID を提供します。

入力/出力インターフェイス値は、トラフィックがスイッチを出入りする物理インターフェイスの Simple Network Management Protocol （SNMP）インターフェイスインデックス値をレポートします。たとえば、ダウンストリームフローの場合、入力インターフェイス値はサービスモジュールのポートを示し、出力インターフェイス値はダウンリンクポートを示します。有線ロケーションデータベースからの情報と統合すると、後者はユーザデバイスの場所を追跡するために使用できます。


フローエクスポータは、宛先 IP アドレスおよびポートを含む FlowCollector について説明します。

手順

ステップ 1 エクスポータを定義します。

3560X(config)#flow exporter CYBER_EXPORTER

ステップ 2 （オプション）説明を追加します。

3560X(config-flow-exporter)#description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat Defense Solution

ステップ 3 送信元を定義します。

3560X(config-flow-exporter)#source <SVI Interface>

この設定は、スイッチの NetFlow レコードの送信元である IP アドレスです。ベストプラクティスは、管理 VLAN 上の IP アドレスでループバックまたは SVI インターフェイスを定義し、送信元としてそのインターフェイスを使用することです。


37


ステップ 4 宛先 IP アドレスを定義します。

3560X(config-flow-exporter)#destination <ip-address>

ステップ 5 トランスポートプロトコルを定義します。

3560X(config-flow-exporter)#transport udp 2055

（注）ベストプラクティス： NetFlow は通常、 UDP ポート 2055 上で送信されます。


フローモニタは、デバイスの NetFlow データベースを表し、フローレコードとフローモニタを関連付けます。

手順

ステップ 1 フローモニタを定義します。

3560X(config)#flow monitor CYBER_MONITOR


3560X(config-flow-monitor)#description Main NetFlow Cache for the Cisco Cyber Threat Defense Solution

ステップ 3 フローレコードを設定します。

3560X(config-flow-monitor)#record CYBER_3KX_RECORD

ステップ 4 エクスポータを設定します。

3560X(config-flow-monitor)#exporter CYBER_EXPORTER

ステップ 5 アクティブタイムアウトを定義します。

アクティブタイムアウトは、まだアクティブなフローに対してどのような頻度で NetFlow レコードが生成されるかを示します。シスコは、 60 秒の値を使用することを推奨します。

3560X(config-flow-monitor)#cache timeout active 60

ステップ 6 非アクティブタイムアウトを定義します。

非アクティブタイムアウトは、非アクティブ（データを送信していない）だがまだキャッシュ内に常駐しているフローがキャッシュからタイムアウトになる時間帯を示します。シスコは、15 秒の値を使用することを推奨します。

3560X(config-flow-monitor)#cache timeout inactive 15


手順

ステップ 1 インターフェイスコンフィギュレーションモードを開始します。

3560X(config)#interface range tenGigabitEthernet 1/1-2



ステップ 2 入力トラフィックにフローモニタを適用します。

3560X(config-if-range)#ip flow monitor CYBER_MONITOR input

ステップ 3 出力トラフィックにフローモニタを適用します。

3560X(config-if-range)#ip flow monitor CYBER_MONITOR output

確認

手順

ステップ 1 show コマンドを使用して設定を確認します。

3560X#show run flow [exporter|monitor|record]

NetFlow レコードがアプライアンスからエクスポートされ、 FlowCollector によって受信されていることを確認します。（詳細は、後述の「Flexible NetFlow エクスポートの検証」の項に記載されています。）

Cisco Catalyst 3500-X シリーズ NetFlow の最終設定

!flow record CYBER_3KX_RECORDmatch datalink mac source-addressmatch datalink mac destination-address match ipv4 tosmatch ipv4 ttlmatch ipv4 protocolmatch ipv4 source addressmatch ipv4 destination address match transport source-portmatch transport destination-port collect interface input snmp collect interface output snmp collect counter bytescollect counter packetscollect timestamp sys-uptime first collect timestamp sys-uptime last!!flow exporter CYBER_EXPORTERdescription Lancope StealthWatch FlowCollector for the Cisco Cyber Threat DefenseSolutiondestination <ip-address> source <SVI-interface> transport udp 2055!!flow monitor CYBER_MONITORdescription Main NetFlow Cache for the Cisco Cyber Threat Defense Solution record CYBER_3KX_RECORDexporter CYBER_EXPORTERcache timeout active 60 cache timeout inactive 15!!interface TenGigabitEthernet1/1/1 switchport trunk encapsulation dot1q switchport mode trunk


39


ip flow monitor CYBER_MONITOR input ip flow monitor CYBER_MONITOR output!interface TenGigabitEthernet1/1/2 switchport trunk encapsulation dot1q switchport mode trunkip flow monitor CYBER_MONITOR inputip flow monitor CYBER_MONITOR output?!

（注）詳細については、次の URL で『Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access』を参照してください。http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10745/white_paper_c11-691508_ps10744_Products_White_Paper.html [英語]

Cisco Catalyst 4500 シリーズ Supervisor Engine 7-E/7-LEネイティブ Flexible NetFlow のサポートは、 Supervisor Engine 7-E および 7-LE のリリースで Cisco Catalyst 4500 シリーズに導入されました。以前は、 Cisco Catalyst 4500 シリーズはオプションの NetFlow サービスカードで NetFlow をサポートしていました。

モジュラ型の Cisco Catalyst 4500 シリーズでは、アクセスレイヤとアグリゲーションレイヤの両方にプレゼンスがあり、 IP ベースイメージとライセンスに NetFlow サービスが含まれています。


Cisco Cyber Threat Defense Solution 1.1 は、アクセスレイヤとアグリゲーションレイヤ両方のスイッチとして Cisco Catalyst 4500 Supervisor 7-E/7-LE を導入することを推奨します。 Supervisor 7-E および 7-LE は、すべてのフローモニタで共有される 128,000 エントリハードウェアフローテーブルをサポートします。フローモニタ内のキャッシュエントリを制限することができますが（フローモニタの設定で cache entries numbers コマンドを使用）、この導入ガイドでは、スイッチ全体に対するフローモニタは 1 つで、完全なフローキャッシュが Cisco Cyber Threat Defense Solution 1.1 に割り当てられていると仮定しています。

Cisco Catalyst 4500 シリーズは、単一のフローレコード内のレイヤ 2 およびレイヤ 3 フィールドの両方の選択をサポートしていません。これは、ソリューションの他のアクセスレイヤスイッチと異なります（Cisco Catalyst 3500-X シリーズ）。


前述のとおり、 Supervisor 7-E および 7-LE はさまざまな NetFlow サービスをサポートし、アクセスレイヤおよびアグリゲーションレイヤの両方で効果的に使用できます。ここでは、Supervisor 7 E/7-LE で必要なフローの可視性の推奨レベルを実装する手順について説明します。

Cisco Catalyst 4500 シリーズスイッチは、アクセスレイヤスイッチとアグリゲーションレイヤスイッチの両方として機能できるため、アクセスポートおよびトランクポートに対し異なるフローレコードおよびフローモニタを定義することができます。ただし、 Cisco Cyber Threat Defense Solution 1.1 は、完全な機能を維持すると同時に、設定をできる限り容易に維持できるように、両方に対し同じ設定を使用することを推奨します。


http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10745/white_paper_c11-691508_ps10744_Products_White_Paper.html






手順

ステップ 1 次のコマンドを使用して、フローレコードを作成します。

4500sup7e(config)#flow record CYBER_4K_RECORD4500sup7e(config-flow-record)#match ipv4 tos4500sup7e(config-flow-record)#match ipv4 protocol4500sup7e(config-flow-record)#match ipv4 source address4500sup7e(config-flow-record)#match ipv4 destination address4500sup7e(config-flow-record)#match transport source-port4500sup7e(config-flow-record)#match transport destination-port4500sup7e(config-flow-record)#collect ipv4 dscp4500sup7e(config-flow-record)#collect ipv4 ttl minimum4500sup7e(config-flow-record)#collect ipv4 ttl maximum4500sup7e(config-flow-record)#collect transport tcp flags4500sup7e(config-flow-record)#collect interface output4500sup7e(config-flow-record)#collect counter bytes4500sup7e(config-flow-record)#collect counter packets4500sup7e(config-flow-record)#collect timestamp sys-uptime first4500sup7e(config-flow-record)#collect timestamp sys-uptime last

（注） Cisco Catalyst 4500 シリーズは、単一のフローレコード内でレイヤ 2 およびレイヤ 3 フィールドを両方選択することを許可していません。



手順


4500sup7e(config)#flow exporter CYBER_EXPORTER


4500sup7e(config-flow-exporter)#description Lancope StealthWatch FlowCollector for Cisco Cyber Threat Defense Solution


4500sup7e(config-flow-exporter)#source <SVI Interface>



4500sup7e(config-flow-exporter)#destination <ip-address>


4500sup7e(config-flow-exporter)#transport udp 2055


41





手順


4500sup7e(config)#flow monitor CYBER_MONITOR


4500sup7e(config-flow-monitor)#description Main NetFlow Cache for the Cisco Cyber Threat Defense Solution


4500sup7e(config-flow-monitor)#record CYBER_4K_RECORD


4500sup7e(config-flow-monitor)#exporter CYBER_EXPORTER



4500sup7e(config-flow-monitor)#cache timeout active 60



4500sup7e(config-flow-monitor)#cache timeout inactive 15


手順


4500sup7e(config)#interface GigabitEthernet 1/1

ステップ 2 レイヤ 2 スイッチド入力トラフィックにフローモニタを適用します。

4500sup7e(config-if)#ip flow monitor CYBER_MONITOR layer2-switched input



確認


4500sup7e#show run flow [exporter|monitor|record]


Cisco Catalyst 4500 シリーズ Supervisor 7-E/7-LE NetFlow の最終設定

!flow record CYBER_4K_RECORDmatch ipv4 tosmatch ipv4 protocolmatch ipv4 source addressmatch ipv4 destination address match transport source-portmatch transport destination-port match interface inputcollect ipv4 dscpcollect ipv4 ttl minimum collect ipv4 ttl maximumcollect transport tcp flags collect interface output collect counter bytes collect counter packetscollect timestamp sys-uptime firstcollect timestamp sys-uptime last!!flow exporter CYBER_EXPORTER?description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat DefenseSolution?destination <ip-address> source <SVI-interface> transport udp 2055!!flow monitor CYBER_MONITORdescription Main NetFlow Cache for the Cisco Cyber Threat Defense Solution 1 record CYBER_4K_RECORDexporter CYBER_EXPORTERcache timeout active 60 cache timeout inactive 15!interface GigabitEthernet1/1ip flow monitor CYBER_MONITOR input!

（注）詳細については、次の URL の『Cisco Catalyst 4500 Series Switch Software Configuration Guide, Release IOS-XE 3.1.0 SG: Configuring Flexible NetFlow』を参照してください。http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/fnf.html [英語]


43

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/fnf.html


Cisco Catalyst 6500 シリーズ Supervisor Engine 2TCisco Catalyst 6500 シリーズの導入以来、 NetFlow サービスはプラットフォームで使用できます。 Cisco Catalyst 6500 シリーズへの Supervisor Engine 2T の導入により、 Flexible NetFlow サポートの導入や NetFlow フィーチャセットの完全なハードウェアサポートなど、 NetFlow サービスが向上し続けています。


Cisco Catalyst 6500 シリーズの Supervisor Engine 2T は、単一システムの NetFlow データ収集のかつてないレベルをサポートしています。 13,000,000 のフローエントリをサポートできるよう展開を拡大できます。表 17 に、 Supervisor Engine 2T の改善された NetFlow フィーチャセットの詳細を示します。

表 17 Cisco Catalyst 6500 シリーズスイッチ Supervisor Engine 2T NetFlow のサポート

（注）現在、 WS-X6908-10G-2T/2TXL、 WS-X6816-10T-2T/2TXL、 DFC4/DFC4XL を搭載した WS-X6716-10G、および DFC4/DFC4XL を搭載した WS-X6716-10T ラインカードのみが、Supervisor Engine 2T ベースのシステムで NetFlow レコードのエクスポートを実行できます。将来、すべての 6500 シリーズモジュールがこの機能をサポートする予定です。


ここでは、Supervisor Engine 2T での Cisco Cyber Threat Defense Solution 1.1 に必要なフローの可視性の推奨レベルを実装する手順について説明します。

Cisco Catalyst 6500 シリーズスイッチは、アクセス、アグリゲーション、またはディストリビューションレイヤスイッチとして機能できるため、アクセスポートおよびトランクポートに対し異なるフローレコードおよびフローモニタを定義することができます。ただし、このガイドは、完全な機能を維持すると同時に、設定をできる限り容易に維持できるように、両方に対し同じ設定を使用することを推奨します。


手順

ステップ 1 次のキーフィールドおよび非キーフィールドを使用して、フローレコードを作成します。

6500sup2T(config)#flow record CYBER_6K_RECORD6500sup2T(config-flow-record)#match ipv4 tos6500sup2T(config-flow-record)#match ipv4 protocol6500sup2T(config-flow-record)#match ipv4 source address

機能 Supervisor Engine 2T/2TXL

NetFlow テーブルサイズ 512,000/100 万NetFlow ハッシュ効率 99%

大フローエントリ（6513-E） 1300 万出力 NetFlow YesTCP Flags Yes



6500sup2T(config-flow-record)#match ipv4 destination address6500sup2T(config-flow-record)#match transport source-port6500sup2T(config-flow-record)#match transport destination-port6500sup2T(config-flow-record)#match interface input6500sup2T(config-flow-record)#collect transport tcp flags6500sup2T(config-flow-record)#collect interface output6500sup2T(config-flow-record)#collect counter bytes6500sup2T(config-flow-record)#collect counter packets6500sup2T(config-flow-record)#collect timestamp sys-uptime first6500sup2T(config-flow-record)#collect timestamp sys-uptime last

（注） Supervisor Engine 2T は、 TCP フラグの収集をサポートしていますが、 ipv4 ヘッダーの TTL フィールドの収集はサポートしていません。



手順


6500sup2T(config)#flow exporter CYBER_EXPORTER


6500sup2T(config-flow-exporter)#description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat Defense Solution


6500sup2T(config-flow-exporter)#source <SVI-interface>



6500sup2T(config-flow-exporter)#destination <ip-address>


6500sup2T(config-flow-exporter)#transport udp 2055





45


手順


6500sup2T(config)#flow monitor CYBER_MONITOR


6500sup2T(config-flow-monitor)#description Main NetFlow Cache for the Cisco Cyber Threat Defense Solution


6500sup2T(config-flow-monitor)#record CYBER_6K_RECORD


6500sup2T(config-flow-monitor)#exporter CYBER_EXPORTER



6500sup2T(config-flow-monitor)#cache timeout active 60



6500sup2T(config-flow-monitor)#cache timeout inactive 15


Cisco Catalyst 6500 シリーズスイッチでは、フローモニタはルーティングされた（レイヤ 3）ポートにのみ適用できます。ただし、ルーテッドポートに適用されると、 NetFlow レコードはレイヤ 3 境界を越えるトラフィックに対してのみ生成され、 VLAN 内のトラフィックに対しては生成されません。

VLAN 内のトラフィックをモニタするには、フローモニタを VLAN インターフェイスに適用する必要があります。

手順

ステップ 1 VLAN インターフェイスコンフィギュレーションモードを開始します。

6500sup2T(config)#interface vlan 100


6500sup2T(config-if)#ip flow monitor CYBER_MONITOR input

ステップ 3 出力トラフィックにフローモニタを適用します。

6500sup2T(config-if)#ip flow monitor CYBER_MONITOR output



確認

手順


6500sup2T#show run flow [exporter|monitor|record]


Final Cisco Catalyst 6500 Series Supervisor 2T NetFlow Configuration

!flow record CYBER_6K_RECORDmatch ipv4 tosmatch ipv4 protocolmatch ipv4 source addressmatch ipv4 destination address match transport source-portmatch transport destination-port match interface inputcollect transport tcp flagscollect interface output collect counter bytes collect counter packetscollect timestamp sys-uptime first collect timestamp sys-uptime last!!flow exporter CYBER_EXPORTERdescription Lancope StealthWatch FlowCollector for the Cisco Cyber Threat DefenseSolutiondestination <ip-address>source <SVI-interface>transport udp 2055!!flow monitor CYBER_MONITORdescription Main NetFlow Cache for the Cisco Cyber Threat Defense Solution record CYBER_6K_RECORDexporter CYBER_EXPORTER cache timeout active 60 cache timeout inactive 15!!interface Vlan 200ip flow monitor CYBER_MONITOR input ip flow monitor CYBER_MONITOR output!

（注）詳細については、次の URL で『Cisco Catalyst 6500 Supervisor Engine 2T: NetFlow Enhancements』を参照してください。http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-652021.html [ 英語 ]


47

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-652021.html


シスコサービス統合型ルータ G2Cisco ISR G2 ルータでの Flexible NetFlow サポートは、 Cisco IOS ソフトウェアのガイドに記載されているように、 NetFlow のプラットフォームに依存しない実装に準拠しています。 ISR では、 NetFlow サービスのサポートは、レイヤ 3 境界を超えるフローに関する情報を収集し NetFlow レコードを生成する従来の NetFlow アプローチを取ります。この場合、ネットワークのさまざまな領域を通過するフローへの可視性を提供する際に Cisco ISR は主要コンポーネントになります。

また、 ISR G2 には NetFlow サービスと完全に統合されたソフトウェアでサポートされる Network-Based Application Recognition （NBAR）が含まれます。イネーブルの場合、 NBAR はインターフェイスを通過するパケットでディープパケットインスペクションを実行し、トラフィックを生成しているアプリケーションを認識して分類できます（サポートされているプロトコルの場合）。トラフィックセットのアプリケーション分類は、 NetFlow レコードでエクスポートできます。


Cisco ISR G2 プラットフォームは、フィーチャセットのソフトウェア実装を使用して NetFlow および NBAR サービスをサポートします。ソフトウェアでサポートされている NetFlow サービスを展開するときは注意してください。機能がパフォーマンスに影響する可能性があるためです。たとえば、 Cisco IOS ソフトウェアを実行しているフルロードされた ISR は、 NetFlow の有効化に起因して CPU 使用率が約 15 パーセント上昇する場合があります。

ソフトウェアでサポートされている NetFlow サービスを実装する場合は、次の URL にある Cisco NetFlow パフォーマンス分析のホワイトペーパーを参照してください。http://www.cisco.com/en/US/solutions/collateral/ns341/ns524/ns562/ns583/net_implementation_white_paper0900aecd80308a66.pdf


Cisco ISR G2 プラットフォームは通常、 VLAN 間のレイヤ 3 境界として、多くの場合ブランチネットワークのエッジに配置されます。ここでは、 Cisco ISR G2 の Flexible NetFlow および NBAR の機能を大限に使用するために推奨されるフローの可視性レベルを実装する手順を説明します。


手順


ISR(config)#flow record CYBER_ISR_RECORD ISR(config-flow-record)#match ipv4 tos ISR(config-flow-record)#match ipv4 protocolISR(config-flow-record)#match ipv4 source address ISR(config-flow-record)#match ipv4 destination address ISR(config-flow-record)#match transport source-port ISR(config-flow-record)#match transport destination-port ISR(config-flow-record)#match interface inputISR(config-flow-record)#collect routing next-hop address ipv4ISR(config-flow-record)#collect ipv4 dscp ISR(config-flow-record)#collect ipv4 ttl minimum ISR(config-flow-record)#collect ipv4 ttl maximum






ISR(config-flow-record)#collect transport tcp flags ISR(config-flow-record)#collect interface output ISR(config-flow-record)#collect counter bytes ISR(config-flow-record)#collect counter packetsISR(config-flow-record)#collect timestamp sys-uptime firstISR(config-flow-record)#collect timestamp sys-uptime lastISR(config-flow-record)#collect application name

上記のフローレコードは、 NetFlow バージョン 9 のフォーマットと ISR の場所をレイヤ 3 境界として利用し、 [Time To Live] フィールド、 TCP フラグ、およびネクストホップアドレスなどの、 NetFlow のすべてのスイッチベースの実装で使用できないさまざまなレイヤ 3 および 4 のフィールドを収集します。

ISR は NBAR をサポートする Cisco Cyber Threat Defense Solution 1.1 の唯一のデバイスです。上記のフローレコードでは、 [collect application name] オプションを使用してフローを作成しているアプリケーションの名前を収集できます。

（注）ルータで NBAR サービスを使用すると、ルータのパフォーマンスに影響を与える可能性があります。アプリケーション名の収集は Cisco Cyber Threat Defense Solution 1.1 での重要な機能ですが、 NBAR サービスの有効化は慎重に行う必要があります。



手順


ISR(config)#flow exporter CYBER_EXPORTER


ISR(config-flow-exporter)#description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat Defense Solution


ISR(config-flow-exporter)#source loopback 1

この設定は、スイッチの NetFlow レコードの送信元である IP アドレスです。ベストプラクティスは、管理 VLAN 上で IP アドレスでループバックインターフェイスを定義し、送信元としてそのインターフェイスを使用することです。


ISR(config-flow-exporter)#destination <ip-address>


ISR(config-flow-exporter)#transport udp 2055



49




手順


ISR(config)#flow monitor CYBER_MONITOR


ISR(config-flow-monitor)#description Main NetFlow Cache for the Cisco Cyber Threat Defense Solution


ISR(config-flow-monitor)#record CYBER_ISR_RECORD


ISR(config-flow-monitor)#exporter CYBER_EXPORTER



ISR(config-flow-monitor)#cache timeout active 60



ISR(config-flow-monitor)#cache timeout inactive 15


フローモニタは、すべてのルーティングインターフェイスとサブインターフェースに適用する必要があります。

手順


ISR(config)#interface GigabitEthernet 0/0


ISR(config-if)#ip flow monitor CYBER_MONITOR input



確認

手順


ISR#show run flow [exporter|monitor|record]


Final Configuration

!flow record CYBER_ISR_RECORDmatch ipv4 tosmatch ipv4 protocolmatch ipv4 source addressmatch ipv4 destination address match transport source-portmatch transport destination-port match interface inputcollect routing next-hop address ipv4collect ipv4 dscpcollect ipv4 ttl minimum collect ipv4 ttl maximum collect transport tcp flags collect interface output collect counter bytes collect counter packetscollect timestamp sys-uptime first collect timestamp sys-uptime last collect application name!!flow exporter CYBER_EXPORTERdescription Lancope StealthWatch FlowCollector for the Cisco Cyber Threat DefenseSolutiondestination <ip-address> source loopback 1 transport udp 2055!!flow monitor CYBER_MONITORdescription Main NetFlow Cache for the Cisco Cyber Threat Defense Solution record CYBER_ISR_RECORDexporter CYBER_EXPORTER cache timeout active 60 cache timeout inactive 15!!interface GigabitEthernet0/0ip address <ip-address> <net-mask>ip flow monitor CYBER_MONITOR input!


51


（注）詳細については、次の URL にある『NetFlow Configuration Guide, Cisco IOS Software Release 15.2 M&T』を参照してください。http://www.cisco.com/en/US/partner/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book.html [ 英語 ]

Cisco ASR 1000 シリーズ

Cisco ASR G2 1000 シリーズルータでの Flexible NetFlow サポートは、 Cisco IOS のガイドに記載されているように、 NetFlow のプラットフォームに依存しない実装に準拠しています。 ASR での NetFlow サポートは、レイヤ 3 境界を越えるフローに関する情報を収集し NetFlow レコードを生成する従来の NetFlow アプローチを取ります。この場合、ネットワークのさまざまな領域を通過するフローへの可視性を提供する際に ASR は主要コンポーネントになります。


Cisco ASR 1000 には、 NetFlow サービスと完全に統合されたソフトウェアでサポートされる NBAR が含まれます。イネーブルの場合、 NBAR はインターフェイスを通過するパケットでディープパケットインスペクションを実行し、トラフィックを生成しているアプリケーションを認識して分類できます（サポートされているプロトコルの場合）。トラフィックセットのアプリケーション分類は、 NetFlow レコードでエクスポートできます。

NetFlow および NBAR は ASR 1000 シリーズでソフトウェアサービスとして実装されるため、これらの機能を展開するときは、デバイスパフォーマンスに影響を及ぼす可能性があるため注意が必要です。

NetFlow エクスポートの設定


フローレコードの設定では、各フローに対し収集されるデータフィールドが定義されます。

手順


ASR(config)#flow record CYBER_ASR_RECORD ASR(config-flow-record)#match ipv4 tos ASR(config-flow-record)#match ipv4 protocolASR(config-flow-record)#match ipv4 source address ASR(config-flow-record)#match ipv4 destination address ASR(config-flow-record)#match transport source-port ASR(config-flow-record)#match transport destination-port ASR(config-flow-record)#match interface inputASR(config-flow-record)#collect routing next-hop address ipv4ASR(config-flow-record)#collect ipv4 dscp ASR(config-flow-record)#collect ipv4 ttl minimum ASR(config-flow-record)#collect ipv4 ttl maximum ASR(config-flow-record)#collect transport tcp flags ASR(config-flow-record)#collect interface output ASR(config-flow-record)#collect counter bytes ASR(config-flow-record)#collect counter packets


http://www.cisco.com/en/US/partner/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book.html



ASR(config-flow-record)#collect timestamp sys-uptime first ASR(config-flow-record)#collect timestamp sys-uptime last ASR(config-flow-record)#collect application name

NetFlow バージョン 9 のフォーマットと ASR のロールをレイヤ 3 境界として利用することで、存続可能時間値、 TCP フラグおよびネクストホップアドレスなどの、 NetFlow のスイッチベースの実装で必ずしも使用できるとは限らないさまざまなレイヤ 3 および 4 のフィールドの収集が可能になります。

上記のフローレコードでは、 [collect application name] オプションを使用して NBAR からアプリケーションの名前の収集が可能です。 NBAR が実行されていない場合、この行は省略される場合があります。

（注） NBAR サービスはルータのパフォーマンスに影響を及ぼす可能性があります。アプリケーション名の収集は Cisco Cyber Threat Defense Solution での重要な機能ですが、 NBAR サービスの有効化は慎重に行う必要があります。


フローエクスポータの設定では、宛先 IP アドレスやポートなど、フローレコードが送信される場所（FlowCollector）が定義されます。

手順


ASR(config)#flow exporter CYBER_EXPORTER


ASR(config-flow-exporter)#description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat Defense Solution


ASR(config-flow-exporter)#source Loopback 1

この設定は、スイッチが NetFlow エクスポートレコードの送信元として使用する IP アドレスです。ベストプラクティスは、管理 VLAN 上で IP アドレスでループバックインターフェイス（例で示す Loopback 1）を定義し、送信元としてそのインターフェイスを使用することです。ループバックインターフェイスは、フローエクスポートの送信元として使用する前に設定する必要があることに注意してください。


ASR(config-flow-exporter)#destination ip-address-of-FlowCollector


ASR(config-flow-exporter)#transport udp 2055



53



フローモニタは、デバイスのメモリ常駐型 NetFlow データベースを表し、フローレコードとフローエクスポータの設定を関連付けます。

手順


ASR(config)#flow monitor CYBER_MONITOR


ASR(config-flow-monitor)#description Main NetFlow Cache for the Cisco Cyber ThreatDefense Solution


ASR(config-flow-monitor)#record CYBER_ASR_RECORD


ASR(config-flow-monitor)#exporter CYBER_EXPORTER


アクティブタイムアウトは、まだアクティブなフローに対してどのような頻度で NetFlow レコードが生成されるかを示します。 60 秒の値を使用することを推奨します。

ASR(config-flow-monitor)#cache timeout active 60



ASR(config-flow-monitor)#cache timeout inactive 15


フローモニタは、すべてのルーティングインターフェイスとサブインターフェースに適用する必要があります。

手順


ASR(config)#interface GigabitEthernet 0/0/0


ASR(config-if)#ip flow monitor CYBER_MONITOR input



確認

手順


ASR#show run flow [exporter|monitor|record]

ステップ 2 NetFlow レコードがアプライアンスからエクスポートされ、 FlowCollector によって受信されていることを確認します。（詳細については、『Design and Implementation Guide』を参照してください。）

Final Configuration

!flow record CYBER_ASR_RECORDmatch ipv4 tosmatch ipv4 protocolmatch ipv4 source addressmatch ipv4 destination address match transport source-portmatch transport destination-port match interface inputcollect routing next-hop address ipv4 collect ipv4 dscpcollect ipv4 ttl minimumcollect ipv4 ttl maximum collect transport tcp flags collect interface output collect counter bytes collect counter packetscollect timestamp sys-uptime firstcollect timestamp sys-uptime last collect application name!!flow exporter CYBER_EXPORTER?description Lancope StealthWatch FlowCollector for the Cisco Cyber Threat DefenseSolution?destination <ip-address> source loopback 1 transport udp 2055!!flow monitor CYBER_MONITORdescription Main NetFlow Cache for the Cisco Cyber Threat Defense Solution record CYBER_ASR_RECORDexporter CYBER_EXPORTERcache timeout active 60?cache timeout inactive 15!!interface GigabitEthernet0/0/0ip address <ip-address> <net-mask>ip flow monitor CYBER_MONITOR input!


55


（注）詳細については、次の URL にある『NetFlow Configuration Guide, Cisco IOS XE Release 3S (ASR 1000)』を参照してください。http://www.cisco.com/en/US/docs/ios-xml/ios/netflow/configuration/xe-3s/asr1000/nf-xe-3s-asr1000-book.pdf [ 英語 ]

Cisco NetFlow Generation Appliance大規模なデータセンターでは、高レートで NetFlow を生成することは難しい場合があります。マルチギガビットデータセンターでのフロー可視性に対する専用の高性能なソリューションである Cisco NetFlow Generation Appliance （NGA）は、 Cisco Cyber Threat Defense Solution の一部として、スケーラブルかつ低コストな方法で、これらの環境でフローの可視性を復元できます。


Cisco NGA には、 4 つの 10G モニタリングインターフェイスと大 4 つの独立したフローキャッシュおよびフローモニタが付属しています。これは、 Cisco NGA が大 40 ギガビットのデータを受信し、データポート、レコードテンプレートおよびエクスポートパラメータのさまざまな組み合わせをサポートできることを意味します。これは、 NGA をデータセンター内に配置するときに考慮することが重要です。

NGA は、物理アクセス、アグリゲーションおよびコアレイヤからデータを受信するように配置できます。目的は、データセンター内のすべてのトラフィックとデータセンターから発信されるトラフィックの完全な可視性を確保することです。仮想環境内のトラフィック（VM-to-VM トラフィック）は、 StealthWatch FlowSensor VE を使用してモニタできます。データセンターに出入りするトラフィックは、 ASA などのエッジデバイスを使用してモニタできます。アグリゲーションおよびコアレイヤに NGA を戦略的に配置することで、データセンター内のトラフィックの有効なモニタリングを確実に行うことができ、データセンターから発信されるトラフィックの追加の統計情報も提供されます。 Cisco NGA は非常にスケーラブルで、大 64,000,000 のアクティブフローをサポートできます。インストールの詳細については、『Quick Start Guide for Cisco NetFlow Generation Appliance 3140』を参照してください。

（注）ベストプラクティス： NGA のモニタリングインターフェイスは、データセンター内のトラフィックへの完全な可視性を確保するためにチョークポイントから提供される必要があります。

NGA で NetFlow を設定する場合は、次のサポート対象の項目に留意してください。

• 大 10 のフィルタ：これらは、どのフローが特定のコレクタに送信されるかを定義します。これにより、ユーザはコレクタの分析アプリケーションを使用して、コレクタ間で NetFlow データを負荷分散できます。

• 大 4 台の管理対象デバイス：前述のとおり、管理対象デバイスを設定することで、トラフィックの送信元からインターフェイス情報を収集することができます。

• 大 6 台のコレクタ：大 6 台の NetFlow コレクタに NetFlow エクスポートを有効化することで、データセンターで NetFlow データエクスポートを負荷分散し、特定のアプリケーションをモニタできます。

• 大 4 台のモニタ：大 4 台の独立したフローモニタ（フローキャッシュ）を同時にアクティブにできます。各モニタは大 3 件のレコードをサポートします。これら 3 件のレコードのうち、 IPv4、 IPv6 およびレイヤ 2 のレコードタイプがそれぞれ 1 つずつサポートされます。


http://www.cisco.com/en/US/docs/ios-xml/ios/netflow/configuration/xe-3s/asr1000/nf-xe-3s-asr1000-book.pdf

http://www.cisco.com/en/US/docs/ios-xml/ios/netflow/configuration/xe-3s/asr1000/nf-xe-3s-asr1000-book.pdf



Cisco NGA が導入され、ネットワークトラフィックのコピーを受信した後（詳細については『Cisco Cyber Threat Defense Solution 1.1 How-to Guide: Gain Visibility in the Data Center with the Cisco NetFlow Generation Appliance』を参照）、 Flexible NetFlow エクスポートを設定する必要があります。 Cisco NGA での Flexible NetFlow 設定は、 Web インターフェイス経由または CLI から直接行うことができます。ここでは、 Cisco NGA Web インターフェイスを使用した検証済みの設定について説明します。

NetFlow のクイック設定の実行

これは、 v5 または v9 NetFlow パケットをコレクタにエクスポートするためのも簡単な設定です。

手順

ステップ 1 図 10 に示すように、 [Setup] > [Quick Setup] をクリックします。

図 10 クイック設定

ステップ 2 名前を定義します。

この設定を識別する一意の名前を入力します。

ステップ 3 1 つ以上のデータポートを定義します。

着信パケットを受け入れる各アプライアンスのデータポートのチェックボックスをオンにします。

ステップ 4 コレクタのアドレスを定義します。

[Collector Address] フィールドにコレクタの IP アドレスを入力します。

ステップ 5 UDP コレクタポートを定義します。

コレクタデバイスがリスンするポートを入力します。これは通常、コレクタデバイスで設定できます。 StealthWatch はデフォルトで UDP ポート 2055 上で NetFlow を予期します。


57


ステップ 6 NetFlow バージョンを定義します。

標準の NetFlow バージョン 5 のモニタリングおよびエクスポートを実行するようにアプライアンスを設定するには、バージョン 5 を選択します。フィールドは NetFlow バージョン 5 の規格によって決定されるため、個々のレコードフィールドを選択する必要はありません。

モニタリング/収集に含めるバージョン 9 フィールドを選択します。

（注）ベストプラクティス：バージョン 9 を使用し、図 11 に示すようにフィールドを選択します。

図 11 クイック設定ウィンドウ

（注） MAC フィールドはオプションで、管理対象デバイスの設定が確立されているかどうかに基づきます。管理対象デバイスの設定が確立されている場合は、 MAC フィールドを選択する必要があります。管理対象デバイスの設定が確立されていない場合、 MAC フィールドは選択しないでください。

ステップ 7 [Submit] をクリックします。 ` 次のコンポーネントが作成されます。

• V5 の場合

– Cyber_Example_collector という名前のコレクタ

– Cyber_Example_exporter という名前のエクスポータ

– Cyber_Example _monitor という名前のモニタ



• V9 の場合

– Cyber_Example_collector という名前のコレクタ

– Cyber_Example_exporter という名前のエクスポータ

– Cyber_Example_monitor という名前のモニタ

– Cyber_Example_record という名前のレコード

ステップ 8 [Monitor] タブで [Cyber_Example_monitor] を選択し、 [Activate/Inactivate] をクリックします。

これにより、新しく作成されたフローモニタが入力トラフィックの NetFlow 情報を生成し、それを StealthWatch FlowCollector に送信できるようになります。

フィルタの作成、複数のコレクタ、レコード、エクスポータおよびモニタの設定に関する詳細については、『Cisco NetFlow Generation Appliance (NGA) 3140 User Guide』の「Setting Up Multiple NetFlow Monitor Instances」の項を参照してください。

Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス

NetFlow セキュリティイベントロギングについて

NetFlow の Cisco ASA 実装は、 NetFlow Security Event Logging （NSEL）として知られています。初に Cisco ASA ソフトウェアバージョン 8.2(1) に導入された NSEL により、特定の大容量の

トラフィック関連イベントを標準の syslog ロギングで提供されるものよりも効率的でスケーラブルな方法でセキュリティアプライアンスからエクスポートすることができます。

NSEL は NetFlow v9 プロトコルの上に組み込まれます。ただし、 NetFlow v9 レコード内のフィールドは標準の NetFlow レポートとは異なって使用されます。

標準の NetFlow と NSEL との主な違いは、 NSEL が IP フロー内の重要なイベントを示すレコードのみをエクスポートするステートフルフロートラッキングメカニズムであることです。NSEL イベントは、フローステータスに関するデータをエクスポートするために使用され、標準の NetFlow などのアクティビティタイマーによってではなく、状態変更をもたらすイベントによって発生します。 ASA は現在、 3 つのイベントタイプでレポートしています。

• Flow Create

• Flow Tear Down

• Flow Denied

NSEL 実装と標準の NetFlow バージョン 9 の実装における他のわずかな違いにも注意する必要があります。

• NSEL は双方向です。 Cisco IOS デバイスを介した接続では 2 つのフローが生成されます。一方は各方向用であるのに対し、 NSEL は接続ごとに単一のフローを送信します。

• NSEL は各方向のバイト数ではなく、双方向フローの総バイト数を報告します。

• NSEL はパケット数を報告しません。

• NSEL には 3 つのイベントタイプの事前定義済みテンプレートがあります。これらのテンプレートは通常、 NSEL データが記録される前にエクスポートされます。

NSEL flow-export アクションは、インターフェイスベースのポリシーではサポートされません。これらはグローバルサービスポリシーにのみ適用できます。


59


NSEL は独自の利点を提供し、 NSEL レコードとデータがそれに従って処理され対処される場合に、ネットワークエッジを通過するトラフィックへのより深い洞察と可視性を提供できます。 Cisco Cyber Threat Defense Solution のコンポーネントとして、 Lancope StealthWatch システムは一意のフィールドを把握して活用し、ネットワークの脅威を検出するセキュリティアナリストを支援するための可視性とコンテキストを提供します。

（注）ベストプラクティス： ASA データから大限のメリットを得るためには、欠落したタイムアウト、パケットおよびバイトカウントデータを入力するために従来の NetFlow を同じフローデータの StealthWatch にエクスポートする他のデバイスを用意することを推奨します。これにより、 NSEL によって提供される一意のコンテキストの利点を維持しながら、完全なフローの可視性が確保されます。

NSEL の設定

NSEL は、モジュラポリシーフレームワーク（MPF）を使用して ASA アプライアンスで設定されます。すべてのフローで NSEL をイネーブルにするもっとも簡単な方法は、次の手順に従って、グローバルポリシーの一部として設定することです。

NSEL コレクタの設定

手順

ステップ 1 NSEL コレクタを設定します。

この手順では、 NetFlow レコードが ASA によって送信される NetFlow コレクタを定義します。

ASA(config)# flow-export destination interface-name collector-ip-address port

interface-name はコレクタ（collector-ip-address および port で）が到達可能な ASA アプライアンスのインターフェイスです。次に例を示します。

ASA(config)# flow-export destination inside 192.168.200.25 2055

グローバルポリシーで NSEL を設定します

手順

ステップ 1 global_policy コンフィギュレーションを開始します。

ASA(config)# policy-map global_policy

ステップ 2 class-default コンフィギュレーションを開始します。

ASA(config-pmap)# class class-default

ステップ 3 すべてのトラフィックの flow-export アクションを定義します。

ASA(config-pmap-c)# flow-export event-type all destination collector-ip-address

collector-ip-address は、前に作成されたコレクタに与えられた IP アドレスと同じです。



（オプション）テンプレートタイムアウト間隔の調整

手順

ステップ 1 テンプレートレコードが送信される間隔を変更します。

ASA(config)# flow-export template timeout-rate 2

（注）ベストプラクティス：次に示すように、 2 分間のインターバルレートを使用します。

（オプション）冗長な syslog メッセージの無効化

NSEL の目的はフローベースのイベントをロギングするより高性能な方法を作成することであったため、 NSEL を有効にすると、複数の冗長な syslog メッセージが作成されます。高性能展開では、これらの冗長メッセージを無効にすることが推奨されます。

手順

ステップ 1 冗長な syslog メッセージを無効にします。

ASA(config)# logging flow-export-syslogs disable

ステップ 2 冗長な syslog メッセージのステータスを示します。

ASA# show logging flow-export-syslogs

確認

手順


ステップ 2 ランタイムカウンタをチェックして NSEL の統計データとエラーデータを確認します。

ASA# show flow-export countersdestination: management 192.168.200.25 2055

Statistics:packets sent 2896

Errors:block allocation failure 0 invalid interface 0 template send failure 0 no route to collector 0

設定が正しい場合、コマンドの出力が次のように表示されます。

• StealthWatch FlowCollector の IP アドレスになる宛先

• ゼロより大きくなるように送信されるパケット（フローがデバイスを経由していると仮定）

• エラーゼロ

ステップ 3 ASA が SMC の StealthWatch FlowCollector のエクスポータツリーにあることを確認します。

ステップ 4 ASA を右クリックし、 [Flows] > [Flow Table] を選択して、フローテーブルを開きます。


61


Final Configuration

!flow-export destination management <ip-address> 2055!policy-map global_policy class class-defaultflow-export event-type all destination <ip-address>

!flow-export template timeout-rate 2 logging flow-export syslogs disable!

（注）詳細については、『Configuring Network Secure Event Logging』（http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/monitor_nsel.html [ 英語 ]）および『Cisco ASA 5500 Series Implementation Note for NetFlow Collectors, 8.4, 8.5, and 8.6』（http://www.cisco.com/en/US/docs/security/asa/asa84/system/netflow/netflow.html [ 英語 ]）を参照してください。

Flexible NetFlow エクスポートの確認

NetFlow をソリューションの各デバイスで設定するときは、フローモニタが動作可能で NetFlow レコードを StealthWatch FlowCollector にエクスポートしていることを確認する必要があります。前の項では、デバイスは Flexible NetFlow で設定され、設定は Cisco Cyber Threat Defense Solution 1.1 で推奨されている Flexible NetFlow 設定と一致することが確認されました。NetFlow 設定が動作可能であることを確認するには、次の手順を使用します。

Cisco IOS ソフトウェアベースのデバイスでの NetFlow エクスポートの確認

手順

ステップ 1 キャッシュ内に存在するフローレコードを表示します。

Cisco-IOS#show flow monitor CYBER_MONITOR cache

このコマンドは、現在 CYBER_MONITOR のメモリ内にあるすべてのフローレコードを表示します。フローが設定されたインターフェイスを通過していると仮定して、レコードが表示されます。そうでない場合は、フローモニタが正しいインターフェイスに正しい方向で適用されていて、トラフィックがインターフェイス上にあることを確認します。

ステップ 2 フローモニタの履歴統計を表示します。

Cisco-IOS#show flow monitor CYBER_MONITOR statisticsCache type: NormalCache size: 128Current entries: 0High Watermark: 0

Flows added: 0Flows aged: 0- Active timeout ( 60 secs) 0- Inactive timeout ( 15 secs) 0- Event aged 0- Watermark aged 0- Emergency aged 0


http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/monitor_nsel.html

http://www.cisco.com/en/US/docs/security/asa/asa84/system/netflow/netflow.html


Cache type: Normal (Platform cache)Cache size: UnknownCurrent entries: 19

Flows added: 0Flows aged: 171593- Active timeout ( 60 secs) 171593

このコマンドは、キャッシュ内に現在あるフローの数やキャッシュからエージングされたフローの数など、 CYBER_MONITOR の履歴統計を表示します。キャッシュのサイズ、および、アクティブおよび非アクティブタイムアウトもここで確認できます。

ステップ 3 フローレコードがデバイスからエクスポートされていることを確認します。

Cisco-IOS#show flow exporter CYBER_EXPORTER statisticsFlow Exporter CYBER_EXPORTER:

Packet send statistics (last cleared 8w4d ago):Successfully sent: 702414 (147362340 bytes)

Client send statistics:Client: Flow Monitor EXAMPLE_MONITOR

Records added: 0- sent: 1404828Bytes added: 0- sent: 147362340

このコマンドは、フローエクスポータからエクスポートされたパケットおよびバイトの履歴数を表示します。送信されたパケット数（および送信されたレコード数）は、ゼロよりも大きくて、増加している必要があります。そうでない場合は、フローエクスポータがフローモニタに適切に適用されていることを確認します。

（注） NetFlow では、複数のフローレコードを単一のパケットで送信できるため、上記の出力のレコード数とパケット数が異なっている場合があります。

Cisco ASA アプライアンスでの NetFlow エクスポートの確認

手順

ステップ 1 ランタイムカウンタをチェックして NSEL の統計データとエラーデータを確認します。

ASA# show flow-export countersdestination: management 192.168.200.25 2055

Statistics:packets sent 2896

Errors:block allocation failure 0 invalid interface 0 template send failure 0 no route to collector 0


63


設定が正しい場合、コマンドの出力が次のように表示されます。

• StealthWatch FlowCollector の IP アドレスになる宛先

• ゼロより大きくなるように送信されるパケット（フローがデバイスを経由していると仮定）

• エラーゼロ

NetFlow レコードが FlowCollector によって受信されていることの確認

設定が動作可能であることを確認する後の手順は、各エクスポータのフローレコードが FlowCollector によって受信されていることを確認することです。

（注）この手順は、前の手順が成功して、 NetFlow が NetFlow 生成デバイスからエクスポートされていることを想定しています。

手順

ステップ 1 SMC のコンソールにログインします。

ステップ 2 エンタープライズツリーで FlowCollector を展開します。

ステップ 3 図 12 に示すように、設定したフローエクスポータが展開したツリーに表示されていることを確認します。

図 12 展開したツリー

ステップ 4 フローエクスポータを右クリックし、 [Flows] > [Flow Table] をクリックします。

ステップ 5 図 13 に示すように、（予期した）フローレコードがテーブルに表示されていることを確認します。



図 13 フローテーブル


65

NetFlow 分析とアイデンティティ、デバイスプロファイリングおよびユーザサービスとの統合


概要

Cisco Cyber Threat Defense Solution 1.1 は Cisco TrustSec ソリューションと連携して動作するように設定されています。これは、両方のソリューションを同時に展開できるとともに、管理者に強化された可視性とネットワークの制御が提供されることを意味します。

（注）読者は Cisco TrustSec Solution 2.0 以降をよく理解していて、それを少なくともモニタモードまたはより良い配置で導入していることを前提としています。 TrustSec の詳細については、次の URL を参照してください： http://www.cisco.com/go/trustsec

Lancope StealthWatch 管理コンソール（SMC）と Cisco Identity Services Engine （ISE）の統合により、管理者はユーザおよびデバイスの ID を SMC コンソール内のフローまたはフローのセットに迅速に関連付けることができます。図 14 に、ユーザ名、デバイスタイプ、および他のセッション情報を IP アドレスを持つすべての関連フローとともに使用できるこの拡張機能を示します。ここでは、 Cisco Cyber Threat Defense Solution の機能を強化するために、 Lancope SMC と Cisco TrustSec ソリューションまたは Cisco ISE 展開を統合するプロセスについて説明します。

図 14 [Identity and Device] テーブル

Lancope SMC と Cisco Identity Services Engine の統合

StealthWatch 6.3 は、 Cisco ISE モニタリング（MNT）ノードから ID 情報を収集するために Representational State Transfer （REST） API を使用します。 REST API コールは、安全で認証済みの HTTPS セッションを通過します。

Identity Services Engine モニタリングノードの配置の確認

Cisco ISE ノードで API コールを正常に呼び出すためには、ノードを有効な MNT ノードとして配置する必要があります。この配置は、 ISE ダッシュボードの ISE 展開構成をチェックすることで確認できます。


http://www.cisco.com/go/trustsec

NetFlow 分析とアイデンティティ、デバイスプロファイリングおよび

手順

ステップ 1 Cisco ISE ダッシュボードにログインします。

ステップ 2 [Administration] > [System] > [Deployment] に移動します。

展開されたすべての設定済みノードがリストされた [Deployment Nodes] ページが表示されます。

ステップ 3 [Deployment Nodes] ページの [Role(s)] カラムで、モニタするターゲットノードのロールが図 15 に示すように Cisco モニタリング ISE ノードのタイプとして表示されていることを確認します。（注：スタンドアロンロールには MNT 機能が付属しています。）

図 15 [Deployment Nodes] 画面

アクセスをモニタするための ISE での管理ユーザの作成

（注）ベストプラクティス：Cisco Cyber Threat Defense Solution および ISE REST API を使用する展開の場合、推奨されるプラクティスは、 API の使用を認証するために ISE で別のユーザアカウントを作成することです。

手順

ステップ 1 ISE ダッシュボードにログインします。

ステップ 2 [Administration] > [System] > [Admin Access] > [Administrators] に移動します。

ステップ 3 [Admin Users] を選択します。図 16 に示すように、 [Add] をクリックし、 [Create an Admin User] を選択します。


67


図 16 管理ユーザの作成

ステップ 4 [Admin User]、 [Password]、 [User Information]、 [Account Options]、および [Admin Groups] セクションに入力します（表 18 を参照）。

表 18 管理ユーザ情報

ステップ 5 [Submit] をクリックします。

ISE にアクティブなセッションがあることを確認します

手順

ステップ 1 ISE ダッシュボードにログインします。

ステップ 2 [Operations] > [Authentications] をクリックします。

ステップ 3 ライブ認証テーブルが空でないことを確認します。

設定項目設定

Admin User 容易に識別できる管理ユーザの名前を付けます。アカウントステータス

が [Enabled] に設定されていることを確認します。 Password ユーザのパスワードを作成します。 User Information オプション：ユーザを説明する情報を追加します。 Account Options オプション：下記のような有意義な説明を追加します。

Account used the StealthWatch Management Console to access ISE Session information for the Cisco Cyber Threat Defense Solution.

Admin Groups ユーザを事前定義済みの Helpdesk Admin グループに入れます。



ISE API が Web ブラウザを使用していることを確認します

Cisco ISE と Lancope SMC の統合は、Cisco ISE でサポートされる 2 つの API コールを活用します。

• 認証済みセッションのリスト：現在アクティブなすべての認証済みセッションのリストを取得します。

• IP アドレスによるエンドポイント： IP アドレスによるホストの認証済みセッション情報を取得します。

統合を進める前に、管理者クレデンシャルと API 動作を Web ブラウザを使用して検証することを推奨します。

手順

ステップ 1 Web ブラウザを開きます（Mozilla Firefox が推奨されます）。

ステップ 2 次の URL を使用して AuthList API を呼び出します。

https://ise.demo.local/ise/mnt/api/Session/AuthList/null/null

（注）この例では、 ise.demo.local は ISE ノードの DNS 名です。ご使用の環境の ISE MNT ノードの正しい DNS 名または IP アドレスに置き換えてください。

ステップ 3 手順 2 のモニタリングクレデンシャルを使用してログインします。

ステップ 4 認証リストが表示されることを確認します。

（注） ISE 内で管理されているアクティブな認証済みセッションがない場合、認証リストは空になっています。セッションが API から返されない場合は、 ISE ダッシュボードに移動してアクティブなセッションがあることを確認します。

ステップ 5 ISE 内のアクティブなセッションからの IP アドレスを使用して、次の URL で Endpoint by IP Address API を呼び出します。

https://ise.demo.local/ise/mnt/api/Session/EndPointIPAddress/<ip-address>

ステップ 6 手順 2 のモニタリングクレデンシャルを使用してログインします。

ステップ 7 認証セッションの情報が取得されていることを確認します。

認証局の証明書を設定します。

SMC は、 Cisco ISE のアイデンティティ証明書を発行した認証局を信頼するように設定する必要があります。ベストプラクティスが StealthWatch システムの導入に従っている場合、この手順はすでに完了しています。そうでない場合は、認証局の証明書を SMC で取得してインストールする必要があります。


69


手順

ステップ 1 SMC （管理） Web インターフェイスにログインします。

ステップ 2 ホームページから、 [Configuration] > [Certificate Authority Certificates] をクリックします。

ステップ 3 [Choose File] をクリックし、ローカルディスクを参照して、 CA 証明書を検索します。

ステップ 4 SMC 設定で識別されるように証明書に名前を付けます。

ステップ 5 [Add Certificate] をクリックします。

Cisco ISE を Lancope SMC に登録します。

導入のこの時点で、 Cisco ISE にアクティブな認証セッションがあり、設定したユーザ名とパスワードを使用して外部エンティティによってそれらを取得できることが確認済みです。

手順

ステップ 1 SMC クライアントソフトウェアにログインします。

ステップ 2 ドメインを強調表示し、 [Configuration] > [Add Cisco ISE …] をクリックします。

ステップ 3 図 17 に示すように、 ISE 展開の名前を入力します。

図 17 Cisco ISE の追加

ステップ 4 [Add] をクリックして、名前、 IP アドレス、ユーザ名、およびパスワードを入力します。 Cisco Identity Services Engine が配置されるタイムゾーンを確認し、 [OK] をクリックします。（図 18 を参照）。



図 18 Cisco ISE 展開ノードの追加

ステップ 5 冗長性のために 2 つ目の ISE MNT ノードを入力するには、 2 つ目のノードに対し上記の手順を繰り返します。

ステップ 6 Cisco Identity Services Engine で通信ステータスを確認します。

図 19 に示すように、 [Identity Services] メニューを展開し、 [Identity Services Engine] アイコンにマウスオーバーし、通信ステータスを確認します。


71


図 19 通信ステータスの確認

ステップ 7 [Identity Services Engine] アイコンを右クリックし、[Hosts] > [Identity and Device Table] に移動します。図 20 に示すように、 [Identity and Device] テーブルが開きます。認証済みのユーザ名がテーブルにあることを確認します。

図 20 [Identity and Device] テーブル


まとめ

まとめこのマニュアルでは、 Cisco Cyber Threat Defense Solution 1.1 の設計、導入および実装の詳細について説明します。運用ソリューションは、ネットワーク上にあり、高度な脅威防御の検出とインシデント対応の迅速化を支援する準備が整っている必要があります。 Cyber Threat Defense に対しこのソリューションを大限利用する方法については、 Cisco Cyber Threat Defense ガイドシリーズの他のマニュアルを参照してください。


付録 A ：参照

付録 A ：参照

セキュアネットワークサービス

• 『Cisco TrustSec Solution 2.0 Design and Implementation Guide』：http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/TrustSec_2.0/trustsec_2.0_dig.pdf [英語]

NetFlow• 『Lancope NetFlow Bandwidth Calculator』：


• 『NetFlow Performance Analysis』：http://www.cisco.com/en/US/solutions/collateral/ns341/ns524/ns562/ns583/net_implementation_ white_paper0900aecd80308a66.pdf

• 『Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access』：http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10745/white_paper_c11-691508_ ps10744_Products_White_Paper.html [英語]

• 『Cisco Catalyst 4500 Series Switch Software Configuration Guide, Cisco IOS-XE Software Release

• 3.1.0 SG: Configuring Flexible NetFlow』：http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/fnf.html

[英語]

• 『Cisco Catalyst 6500 Series Supervisor Engine 2T: NetFlow Enhancements』：http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-652021.html [英語]

• 『NetFlow Configuration Guide, Cisco IOS Software Release 15.2 M&T』：http://www.cisco.com/en/US/partner/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book.html [英語]

• 『Configuring Network Secure Event Logging (NSEL)』：

• http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/monitor_nsel.html [英語]

• 『Cisco ASA 5500 Series Implementation Note for NetFlow Collectors 8.4, 8.5, and 8.6』：http://www.cisco.com/en/US/docs/security/asa/asa84/system/netflow/netflow.html [英語]

Identity Services Engine• 『Cisco Identity Services Engine API Reference Guide, Release 1.0.4』：

http://www.cisco.com/en/US/docs/security/ise/1.0/api_ref_guide/ise10_api_ref_guide.html [ 英語 ]


74

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/TrustSec_2.0/trustsec_2.0_dig.pdf





http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/fnf.html

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-652021.html



http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/monitor_nsel.html

http://www.cisco.com/en/US/docs/security/asa/asa84/system/netflow/netflow.html

http://www.cisco.com/en/US/docs/security/ise/1.0/api_ref_guide/ise10_api_ref_guide.html

http://www.cisco.com/en/US/docs/security/ise/1.0/api_ref_guide/ise10_api_ref_guide.html

Cisco Validated Design プログラムについて

Cisco Validated Design プログラムについてCVD プログラムは、お客様による信頼性の高い、確実かつ迅速な導入を促進するために設計、テスト、および文書化されたシステムとソリューションで構成されています。詳細については、 http://www.cisco.com/go/designzone をご覧ください。

このマニュアルに記載されているデザイン、仕様、表現、情報、および推奨事項（総称して「デザイン」）は、障害も含めて本マニュアル作成時点のものです。シスコおよびそのサプライヤは、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をはじめとする、一切の保証の責任を負わないものとします。いかなる場合においても、シスコおよびそのサプライヤは、このデザインの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはそのサプライヤに知らされていても、それらに対する責任を一切負わないものとします。デザインは予告なしに変更されることがあります。このマニュアルに記載されているデザインの使用は、すべてユーザ側の責任になります。これらのデザインは、シスコ、そのサプライヤ、パートナーの技術的な助言や他の専門的な助言に相当するものではありません。ユーザは、デザインを実装する前に技術アドバイザーに相談してください。シスコによるテストの対象外となった要因によって、結果が異なることがあります。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries.シスコの商標の一覧は、 http://www.cisco.com/go/trademarks に掲載されています。 Third-party trademarks mentioned are the property of their respective owners. 「パートナー」または「partner」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。 (1005R)このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。


http://www.cisco.com/go/designzone

http://www.cisco.com/go/trademarks

cisco cyber threat defense solution 1.1 設計および …図 1 cyber threat defense solution 1.1...

Documents