管理者ガイド - IBMpublib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/ja_JA/... · 2004-02-04 · お願い本書および本書で紹介する製品をご使用になる前に、273

IBM Tivoli Risk Manager

管理者ガイド

バージョン 4.2

GC88-9793-00

(英文原典：GC32-1323-00)

��


管理者ガイド

バージョン 4.2

GC88-9793-00

(英文原典：GC32-1323-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、273 ページの『付録 D. 特記事項』に記載されている情報をお読みください。

本書は、Tivoli Risk Manager バージョン 4 リリース 2、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」を参照してください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： GC32-1323-00


Administrator’s Guide

Version 4.2

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2004.1

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2003. All rights reserved.

© Copyright IBM Japan 2004

目次まえがき . . . . . . . . . . . . . . vii本書の対象読者 . . . . . . . . . . . . . vii本書の構成 . . . . . . . . . . . . . . vii資料 . . . . . . . . . . . . . . . . viii

IBM Tivoli Risk Manager ライブラリー . . . . viii前提資料 . . . . . . . . . . . . . . ix関連資料 . . . . . . . . . . . . . . ixIBM Tivoli Risk Manager 製品情報 . . . . . . x

アクセシビリティー . . . . . . . . . . . . xカスタマー・サポートとの連絡 . . . . . . . . x本書の表記規則 . . . . . . . . . . . . . xi書体の規則 . . . . . . . . . . . . . . xi命名規則 . . . . . . . . . . . . . . xiオペレーティング・システム別の表記規則 . . . xii

第 1 章概要 . . . . . . . . . . . . . 1Tivoli Risk Manager のトポロジーとアーキテクチャー 2イベント・ソース . . . . . . . . . . . . 3イベント・アダプター . . . . . . . . . . 4Tivoli Risk Manager クライアント . . . . . . 6Tivoli Risk Manager イベント・サーバー . . . . 7Tivoli Risk Manager コンソール . . . . . . 10Tivoli Risk Manager の履歴レポート . . . . . 12

Tivoli Risk Manager のセキュリティー・イベント処理の概要 . . . . . . . . . . . . . . . 13検知 . . . . . . . . . . . . . . . . 14フィルター操作と要約 . . . . . . . . . . 151 次レベル相関 . . . . . . . . . . . . 152 位レベル相関 . . . . . . . . . . . . 17

Tivoli Enterprise Console に表示される情報 . . . . 17コンソール使用シナリオ . . . . . . . . . 17

インシデント・イベント・タイプ . . . . . . . 39ソース、宛先、カテゴリーの固有の組み合わせ(SrcDstCat) . . . . . . . . . . . . . . 39ソースとカテゴリーの固有の組み合わせ (SrcCat) 39宛先とカテゴリーの固有の組み合わせ (DstCat) . 40宛先とソースの固有の組み合わせ (SrcDst) . . . 40カテゴリーの固有の値 (Cat) . . . . . . . . 40ソースの固有の値 (Src) . . . . . . . . . 41宛先の固有の値 (Dst) . . . . . . . . . . 41

第 2 章イベント・サーバー . . . . . . 43相関の構成 . . . . . . . . . . . . . . 43インシデントとインシデント・グループ . . . . . 43Tivoli Risk Manager 相関コンポーネント . . . . 44イベント・サーバーの構成 . . . . . . . . . 44拡張構成 . . . . . . . . . . . . . . 44

パフォーマンスの考慮事項 . . . . . . . . . 51BAROC リストのカスタマイズ . . . . . . . 51イベント・キャッシュのサイズ設定 . . . . . 51属性のフィルター操作 . . . . . . . . . . 52

エージェント送信側でのインスタンス・カウントの設定 . . . . . . . . . . . . . . . 52Tivoli Risk Manager BAROC ファイル . . . . 53

第 3 章データベース . . . . . . . . 57データベースの構成 . . . . . . . . . . . 57

Tivoli Enterprise Console データベース . . . . 57Tivoli Enterprise Console 表とビュー . . . . . 57Tivoli Risk Manager 表とビュー . . . . . . 57イベント・アーカイブ表の作成 . . . . . . . 58

データベースの保守とサポート . . . . . . . . 64Tivoli Risk Manager データベース・ユーティリティー . . . . . . . . . . . . . . . . 64Tivoli Enterprise Console データ管理ユーティリティー . . . . . . . . . . . . . . . . 66RIM サポート・ユーティリティー . . . . . . 67

第 4 章エージェント . . . . . . . . 69概説 . . . . . . . . . . . . . . . . . 69エージェント構成 . . . . . . . . . . . . 71最上位構成ファイル (rmagent.xml) . . . . . . 71キューおよびイベント持続性 . . . . . . . 762 位レベル構成ファイル . . . . . . . . . 77

構成ファイルの関係 . . . . . . . . . . . 82クライアント・システム構成 . . . . . . . 82イベント・サーバー・システム構成 . . . . . 82分散相関サーバー・システム構成 . . . . . . 83ゲートウェイ・システム構成 . . . . . . . 84

Tivoli Risk Manager エージェントの管理 . . . . 85エージェントの開始および停止 . . . . . . . 85エージェント・キューの管理 . . . . . . . 87エージェント DNS 処理の管理 . . . . . . . 88Secure Sockets Layer 鍵ストアの作成と管理 . . 89パスワードの stash . . . . . . . . . . . 89

Secure Socket Layer (SSL) の使用情報 . . . . . 89JDBC ドライバーのセットアップ . . . . . . . 89

第 5 章エンジン構成 . . . . . . . . 91イベントの事前正規化 . . . . . . . . . . . 91属性マッピング . . . . . . . . . . . . 92

DNS 検索 . . . . . . . . . . . . . . . 92イベントの正規化 . . . . . . . . . . . . 94イベント・クラスの識別 . . . . . . . . . 94クラス・カテゴリーの割り当て . . . . . . . 94既知のシステムの識別 . . . . . . . . . . 95トラステッド・システムの識別 . . . . . . . 96既知のセンサーの識別 . . . . . . . . . . 96イベントのリンク . . . . . . . . . . . 97許容されるタイム・スタンプ変位の設定 . . . . 97追加属性の調整 . . . . . . . . . . . . 98

ハートビートのモニター . . . . . . . . . . 98

© Copyright IBM Corp. 2003 iii

拡張構成 . . . . . . . . . . . . . . 98

第 6 章イベント要約 . . . . . . . . 101概説 . . . . . . . . . . . . . . . . 101要約イベントの識別 . . . . . . . . . . . 101即時に使用可能なクライアント構成 . . . . . . 101要約ルールについて . . . . . . . . . . . 102要約ルールの構成 . . . . . . . . . . . . 104既存の要約ルールの更新 . . . . . . . . . 104新規要約ルールの作成 . . . . . . . . . 105変更のアクティブ化 . . . . . . . . . . 105

イベント要約処理の例 . . . . . . . . . . 106

第 7 章インシデント・ベースの相関 109概説 . . . . . . . . . . . . . . . . 109インシデントとは . . . . . . . . . . . 109rm_Level 属性とは. . . . . . . . . . . 109スライディング・ウィンドウとは . . . . . . 109クラス・カテゴリーとは . . . . . . . . . 110存在するインシデントのタイプ . . . . . . 111インシデントの原因となるイベントとは . . . 1111 つのイベントが複数のインシデントの原因となりうるのか . . . . . . . . . . . . . 112インシデントの重大度の設定方法 . . . . . . 112特定のイベント・クラスがインシデント・ベースの相関の原因にならないようにするには . . . 112

インシデント・ベースの相関処理 . . . . . . . 113インシデント・ベースの相関 XML 構文 . . . . 113インシデント・ベースの相関アクション機能 . . . 115インシデント・ベースの相関ルールのカスタマイズ 116インシデント・ベースの相関ルールの構成 . . . . 117既存のインシデント・ベースの相関ルール・ファイルの更新 . . . . . . . . . . . . . 117インシデント・ベースの新規相関ルール・ファイルの作成 . . . . . . . . . . . . . . 118インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化 . . . . . . . . . 120

カスタマー ID 属性を使用可能にしたインシデント・ベースの相関の拡張 . . . . . . . . . . 121

第 8 章 Web アプリケーション . . . . 123機能の概要 . . . . . . . . . . . . . . 123グローバル・セキュリティーおよび UTF-8 . . . 125Tivoli Enterprise Console を使用した Web アプリケーションへのアクセス . . . . . . . . . . 127Web アプリケーションのグラフィカル・ユーザー・インターフェースの概要 . . . . . . . . 128イベント詳細 . . . . . . . . . . . . . 131システム情報 . . . . . . . . . . . . . 137Advisor . . . . . . . . . . . . . . . 139

Advisor ルール・ファイル . . . . . . . . 140静的テキスト Web ページ . . . . . . . . 150URL Web ページ . . . . . . . . . . . 153プログラムの実行 Web ページ . . . . . . 155E メール Web ページ . . . . . . . . . 159

第 9 章レポート . . . . . . . . . . 165Tivoli Risk Manager Crystal Reports とは . . . . 165ファイアウォール管理レポート . . . . . . 165侵入検知レポート . . . . . . . . . . . 165リスク評価レポート . . . . . . . . . . 166イベント管理レポート . . . . . . . . . 166ウィルス管理レポート . . . . . . . . . 168

ODBC データ・ソース接続のセットアップ . . . 169DB2 . . . . . . . . . . . . . . . 169Oracle . . . . . . . . . . . . . . . 172Sybase . . . . . . . . . . . . . . . 173Microsoft SQL Server . . . . . . . . . . 174ODBC 接続を使用するための Crystal Reports の更新 . . . . . . . . . . . . . . . 174

Tivoli Risk Manager Crystal Reports の機能 . . . 175Tivoli Risk Manager アーカイブ表の作成 . . . 175Tivoli Risk Manager Crystal Reports の実行 . . 175

Crystal Reports Runtime Engine . . . . . . . 177

第 10 章タスク . . . . . . . . . . 179Tivoli タスク . . . . . . . . . . . . . 179タスクの作成とカスタマイズ方法 . . . . . . . 179Linux および UNIX ベースのシステム用のタスク 180Windows システム用のタスク . . . . . . . . 180イベント・サーバー用のタスク . . . . . . . 182エージェント用のタスク . . . . . . . . . . 182イベント管理用のタスク . . . . . . . . . . 183Check Point FireWall-1 用のタスク . . . . . . 183Cisco Secure PIX Firewall 用のタスク . . . . . 184Cisco Secure IDS 用のタスク . . . . . . . . 184ネットワーク IDS 用のタスク . . . . . . . . 185

第 11 章 Web 侵入検知 . . . . . . . 187サポートされる Web サーバー . . . . . . . 189Perl サポート . . . . . . . . . . . . . 190Web IDS の開始 . . . . . . . . . . . . 190

Windows システムのサービスとして Web IDSを実行 . . . . . . . . . . . . . . . 191

アクセス・ログのロールオーバー・サポート . . . 192sig.nefarious シグニチャー・ファイル . . . . . 192パーサー・エンジン . . . . . . . . . . 193パターン・エンジン . . . . . . . . . . 193suspicion エンジン . . . . . . . . . . . 194トラスト・エンジン . . . . . . . . . . 194スキップ・エンジン . . . . . . . . . . 195

Web IDS 構成ファイル . . . . . . . . . . 195Web IDS 構成ファイルの編集 . . . . . . . 196ロールオーバー・サポート用のログ・ファイル・アクセスの構成 . . . . . . . . . . . . 199

Web サーバー固有の構成 . . . . . . . . . 200共通ログ・フォーマットを使用する Web サーバーの構成 . . . . . . . . . . . . . . 200Apache Web サーバーの構成 . . . . . . . 200IBM Tivoli Access Manager WebSEAL Server の構成 . . . . . . . . . . . . . . . 200Sun ONE Web Server の構成 . . . . . . . 201

iv IBM Tivoli Risk Manager: 管理者ガイド

Microsoft Internet Information Server の構成 . . 201ログ・ファイルのフォーマットおよび値の指定 203

シグニチャーの編集 . . . . . . . . . . . 205Tivoli Risk Manager EIF と併用するための WebIDS の構成 . . . . . . . . . . . . . . 206イベント・モニターと併用するための Web IDS の構成 . . . . . . . . . . . . . . . . 208

Web IDS イベントをキャプチャーするためのイベント・モニターの構成 . . . . . . . . . 208

Web IDS の管理 . . . . . . . . . . . . 211Web アタックのイベントの分析 . . . . . . 211シグニチャー・クラスの追加と除去 . . . . . 212Web アタック・シグニチャーの追加と除去 . . 213パターン・テストの結合と詳細化 . . . . . . 213不審なホストの追加または除去 . . . . . . 214不審なアクティビティーのタイプの指定 . . . 215トラステッド・シグニチャーの追加または除去 215しきい値と減衰値の調整 . . . . . . . . . 216

第 12 章ネットワーク侵入検知システム . . . . . . . . . . . . . . . . 219サポートされるアダプター . . . . . . . . . 220ネットワーク IDS イベント相関 . . . . . . . 222ネットワーク IDS アラート . . . . . . . . 222ネットワーク IDS の構成 . . . . . . . . . 224ネットワーク IDS の Tivoli Risk Manager タスク 224ネットワーク IDS アダプターの開始 . . . . 224ネットワーク IDS アダプターの停止 . . . . 224

ネットワーク IDS の管理 . . . . . . . . . 225startnids コマンドによるネットワーク IDS の自動開始 . . . . . . . . . . . . . . . 225シグニチャー・ファイルの更新 . . . . . . 225雑多オペレーションのテスト . . . . . . . 226IP アドレスの省略. . . . . . . . . . . 226ホスト名の取得 . . . . . . . . . . . . 226

ネットワーク IDS アラートおよび情報のロギング 226Tivoli Risk Manager EIF で使用するためのネットワーク IDS の構成 . . . . . . . . . . . . 227イベント・モニターと併用するためのネットワークIDS の構成 . . . . . . . . . . . . . . 228ネットワーク IDS イベントをキャプチャーするためのイベント・モニターの構成 . . . . . . 228

nids コマンド . . . . . . . . . . . . . 230

付録 A. Event Integration Facility の送信側および受信側のキーワード . . . 231キーワード . . . . . . . . . . . . . . 231

付録 B. データベース・アーカイブ構成 241データベース・アーカイバーキーワード . . . . 241JDBC CLASSPATH 設定 . . . . . . . . . 243

付録 C. Secure Socket Layer (SSL)の概要と iKeyman . . . . . . . . . 245Secure Socket Layer (SSL) の概要 . . . . . . 245ディジタル証明書 . . . . . . . . . . . 245SSL の機能 . . . . . . . . . . . . . 252

Tivoli Risk Manager および SSL . . . . . . . 255デフォルトの鍵ストア・ファイル . . . . . . 255SSL パスワードの格納 . . . . . . . . . 256計画の際の考慮事項 . . . . . . . . . . 256SSL 構成ファイル . . . . . . . . . . . 257TrustStores . . . . . . . . . . . . . 258

Keytool によるディジタル証明書の管理. . . . . 259iKeyman によるディジタル証明書の管理 . . . . 261

iKeyman の始動 . . . . . . . . . . . 261鍵データベースの作成 . . . . . . . . . 261テスト用の自己署名ディジタル証明書の作成 . . 264CA ルート・ディジタル証明書の追加 . . . . 265CA ルート・ディジタル証明書の削除 . . . . 265鍵データベース間での証明書のコピー . . . . 266ディジタル証明書の要求 . . . . . . . . . 269ディジタル証明書の受信 . . . . . . . . . 270ディジタル証明書の削除 . . . . . . . . . 271鍵データベースのパスワードの変更 . . . . . 272

付録 D. 特記事項 . . . . . . . . . . 273商標 . . . . . . . . . . . . . . . . 274

用語集 . . . . . . . . . . . . . . 277

索引 . . . . . . . . . . . . . . . 281

目次 v

vi IBM Tivoli Risk Manager: 管理者ガイド

まえがき

本書では、IBM® Tivoli® Risk Manager のインストール方法、構成方法、および管理方法について説明します。また、IBM Tivoli Risk Manager の各コンポーネントの概要についても説明します。

本書の対象読者本書は、Tivoli Management Framework と Tivoli Enterprise Console に関する予備知識を持ち、サード・パーティーの侵入検知アプリケーションのインストール方法と使用方法をすでに把握しているユーザーを対象としています。

IBM Tivoli Risk Manager は、ネットワーク・セキュリティー・ポリシー、特に侵入検知システム (IDS) の導入ソフトウェアです。ユーザーは、ネットワーク・セキュリティーの実用的な知識を持ち、伝送制御プロトコル/インターネット・プロトコル(TCP/IP)、ネットワーキングの基礎概念、および経路指定されたネットワークに精通している必要があります。

本書の構成製品および本書に対する変更については、「IBM Tivoli Risk Manager リリース情報」を参照してください。

v 1ページの『第 1 章概要』は、Tivoli Risk Manager 製品とコンポーネントの概要について説明します。

v 43ページの『第 2 章イベント・サーバー』は、相関に関する用語、プロセス、および管理タスクなど、Tivoli Enterprise Console 相関について説明します。

v 57ページの『第 3 章データベース』は、Tivoli Risk Manager データベースの使用方法について説明します。

v 69ページの『第 4 章エージェント』は、Tivoli Risk Manager エージェントについて説明します。

v 91ページの『第 5 章エンジン構成』は、エージェントのエンジン・コンポーネントで構成可能なさまざまなオプションについて説明します。

v 101ページの『第 6 章イベント要約』は、イベント要約の目的について説明します。情報の損失を最低限に抑えながら、ネットワーク・トラフィックを削減するために使用されます。

v 109ページの『第 7 章インシデント・ベースの相関』は、インシデント・ベースの相関の構成方法について説明します。

v 123ページの『第 8 章 Web アプリケーション』は、Tivoli Enterprise Console

を使用した Tivoli Risk Manager 情報の表示方法について説明します。

v 165ページの『第 9 章レポート』は、エンタープライズ・リスク管理用の IBM

Tivoli Data Warehouse および Crystal Reports の要約を示します。

v 179ページの『第 10 章タスク』は、Tivoli Risk Manager が提供する Tivoli

Risk Manager タスクの概要について説明します。

© Copyright IBM Corp. 2003 vii

v 187ページの『第 11 章 Web 侵入検知』は、Tivoli Risk Manager が提供するセンサー、Web 侵入検知システム (Web IDS) について説明します。

v 219ページの『第 12 章ネットワーク侵入検知システム』は、ネットワーク IDS

のオプションについて説明します。

v 231ページの『付録 A. Event Integration Facility の送信側および受信側のキーワード』は、イベントの送受信を行うエージェント構成ファイルの構成に使用されるキーワードについて説明します。

v 241ページの『付録 B. データベース・アーカイブ構成』には、データベース・アーカイブ構成ファイル用のキーワードに関する参考情報があります。

v 245ページの『付録 C. Secure Socket Layer (SSL) の概要と iKeyman』は、SSL

の情報とともに、SSL と Tivoli Risk Manager の相互作用について説明します。

本書は、侵入検知およびセキュリティー関連の用語集および索引も記載します。

資料このセクションでは、以下の資料について説明します。

v Tivoli Risk Manager ライブラリー

v 前提資料

v 関連資料

v Tivoli Risk Manager オンライン情報

Tivoli Risk Manager ライブラリーの説明、前提資料、および関連資料を読み、参考となる資料を判断してください。

IBM Tivoli Risk Manager ライブラリーTivoli Risk Manager ライブラリーの資料は以下のとおりです。

v 「IBM Tivoli Risk Manager 管理者ガイドバージョン 4.2」は、Tivoli Risk

Manager の構成および管理方法について説明します。また、Tivoli Risk Manager

の各コンポーネントの概要についても説明します。

v 「IBM Tivoli Risk Manager アダプター・ガイドバージョン 4.2」には、現在リリースされている IBM Tivoli Risk Manager アダプターに関する詳細な説明が記載されています。

v 「IBM Tivoli Risk Manager コマンド・リファレンスバージョン 4.2」は、Tivoli

Risk Manager の管理に使用されるコマンドについて説明します。

v 「IBM Tivoli Risk Manager インストール・ガイドバージョン 4.2」は、ネットワーク・トポロジーや前提条件ソフトウェアのインストール方法など、製品のデプロイメント計画の情報、および Tivoli Risk Manager 製品とコンポーネントのインストールおよび構成方法について説明します。

v 「IBM Tivoli Risk Manager 問題判別ガイドバージョン 4.2」には、一貫した徹底的で明確な問題判別手順と、Tivoli Risk Manager の誤動作の原因を判別する際に役立つ事例が記載されています。

v 「IBM Tivoli Risk Manager 資料ロードマップ (Read Me First カード) バージョン 4.2」には、 Tivoli Risk Manager 資料の参照方法、目的および対象読者について記載されています。

viii IBM Tivoli Risk Manager: 管理者ガイド

v 「IBM Tivoli Risk Manager リリース情報バージョン 4.2」には、Tivoli Risk

Manager 製品のインストールおよび管理に関する最新情報が記載されています。

前提資料本書の情報を効果的に活用していただくためにはある程度の前提知識が必要とされ、次の資料から入手することをお勧めします。

v 「Tivoli Management Framework デプロイメントの計画ガイド」、「Tivoli

Management Framework Enterprise インストール・ガイド」、「Tivoli Management

Framework ユーザーズ・ガイド」、および「Tivoli Management Framework リファレンス・マニュアル」

これらの資料は、デスクトップ、管理対象ノード、アドミニストレーター、ポリシー・リージョン、プロファイル、通知、タスク、スケジューリング、およびコマンド行インターフェース (CLI) コマンドについて詳しく説明します。

v 「IBM Tivoli Enterprise Console ユーザーズ・ガイド」

この資料は、Tivoli Enterprise Console の使用方法について詳しく説明します。

関連資料Tivoli Risk Manager の関連情報は、次の資料から入手できます。

v 「IBM Tivoli Enterprise Console ルール・ビルダーのガイド」

この資料は、新規ルールを作成して統合する方法について詳しく記載します。

v 「Tivoli Event Integration Facility ユーザーズ・ガイド」

この資料は、Event Integration Facility (EIF) を使用した、ユーザー独自のイベント・アダプターの展開方法について説明します。これらのイベント・アダプターは、ユーザーのネットワーク環境とユーザー固有のニーズに合わせて調整されます。

v 「IBM Tivoli Enterprise Console リファレンス・マニュアル」

この資料は、コマンド行のコマンドについて詳しく記載します。

v 「IBM Tivoli Enterprise Console アダプター・ガイド」

この資料は、現在リリースされている Tivoli Enterprise Console アダプターについて詳しく説明します。

v 「Tivoli Management Framework タスク・ライブラリー言語開発者の手引きバージョン 4.1」

この資料は、タスクの作成方法およびカスタマイズ方法について詳しく説明します。

v Tivoli Software Library は、白書、データ・シート、デモンストレーション、レッドブック、発表レターなど、さまざまな Tivoli 資料を提供します。Tivoli

Software Library には、Web ページ http://www.ibm.com/software/tivoli/library/ からアクセスできます。

v Tivoli Software Glossary には、Tivoli ソフトウェアに関連する多くの技術用語の定義が含まれます。Tivoli Software Glossary は、Tivoli Software Library Web ページ http://www.ibm.com/software/tivoli/library/ の左側の Glossary リンクから英語版のみ入手できます。

まえがき ix

http://www.ibm.com/software/tivoli/library/



IBM Tivoli Risk Manager 製品情報IBM® Tivoli® のユーザーは、Tivoli セキュリティー製品および Tivoli Risk Manager

に関するオンライン情報を利用できます。

Tivoli Risk Manager アダプターは、現在 Tivoli Risk Manager サポート Web サイトからユーザーに提供されており、製品 CD には収録されていません。これにより、新規および改良されたアダプターは Tivoli Risk Manager の新規リリースとは別個に配布されるようになり、ユーザーは必要なアダプターのみをダウンロードできます。

Tivoli Risk Manager アダプター、センサーのシグニチャーなど最新の製品更新情報、および Tivoli Risk Manager に関するサービス情報については、次の Web サイトを参照してください。

http://www.ibm.com/software/sysmgmt/products/

support/IBMTivoliRiskManager.html

Tivoli Risk Manager 製品に関する情報については、次の Web サイトを参照してください。http://www.ibm.com/software/sysmgmt/products/risk-mgr.html

その他の Tivoli セキュリティー管理製品に関する情報については、次の Web サイトを参照してください。http://www.ibm.com/software/sysmgmt/

アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。この製品の主要なアクセシビリティー機能を使用して、以下の作業が行えます。

v スクリーン・リーダー・ソフトウェアやディジタル音声合成器などの支援テクノロジーを使用して、画面上に表示された内容を聞き取ることができます。支援テクノロジー製品を本製品とともに使用する方法の詳細については、使用する支援テクノロジー製品の資料を参照してください。

v 画面に表示している内容を拡大できます。

さらに、製品資料が修正され、アクセシビリティー支援機能に関する説明が記載されました。

v ユーザーがスクリーン・リーダー・ソフトウェアを最大限に活用できるようにするため、すべての資料が HTML フォーマットと変換可能な PDF フォーマットの両方で提供されています。

v 視覚に障害を持つユーザーが画像の内容を理解できるように、資料内のすべての画像について、代替テキストが提供されています。

カスタマー・サポートとの連絡資料およびカスタマー・サポートについては営業担当員にお問い合わせください。

x IBM Tivoli Risk Manager: 管理者ガイド

http://www.ibm.com/software/sysmgmt/products/support/IBMTivoliRiskManager.html


http://www.ibm.com/software/sysmgmt/products/risk-mgr.html

http://www.ibm.com/software/sysmgmt/

本書の表記規則本書における Windows® システムとは、Windows NT®、Windows 2000、またはWindows XP オペレーティング・システムを使用するコンピューター・システムを指します。 UNIX システムは、AIX®、Linux、HP-UX、または Solaris オペレーティング環境 (以下 Solaris と呼びます) などの UNIX™ オペレーティング・システムを使用するコンピューター・システムを指します。

書体の規則本書では、以下のような書体の規則が適用されています。

太字周辺のテキスト、キーワード、パラメーター、オプション、およびオブジェクトと区別しづらい小文字または大文字小文字の混合で表記されたコマンドは、太字で記載されます。

イタリック変数、資料タイトル、および強調された特殊な語句は、イタリックで記載されます。

モノスペース (Monospace)周辺のテキストと区別しづらい、コード例、コマンド行、画面出力、ファイル名およびディレクトリー名、システム・メッセージ、ユーザーが入力するテキスト、引き数またはコマンド・オプションの値は、モノスペースで記載されます。

命名規則本書では、以下の命名規則を使用します。

Linux for PowerPCiSeries および pSeries ハードウェア・システム上で実行される Linux に関する記述で使用します。

RMINSTDIRシステム上の RISKMGR サブディレクトリーを含む Tivoli Risk Manager のインストール・ディレクトリーを表します。例えば Solaris システムでは、デフォルトのインストール・ディレクトリーは /opt/RISKMGR です。

Solaris オペレーティング環境Solaris と表します。

UNIX ベースAIX、HP-UX、および Solaris システムに関する記述で使用します。

Tivoli Risk Manager エージェントエージェントと表します。

Tivoli Risk Manager クライアントクライアントと表します。

Tivoli Risk Manager 分散相関サーバー分散相関サーバーと表します。

Tivoli Risk Manager ゲートウェイゲートウェイと表します。

まえがき xi

Tivoli Risk Manager イベント・サーバーイベント・サーバーと表します。

Tivoli Risk Manager イベント・モニターイベント・モニターと表します。

Tivoli Enterprise Console ユーザー・インターフェースイベント・コンソールと表します。

オペレーティング・システム別の表記規則本書では、環境変数の指定およびディレクトリー表記において UNIX の規則を適用します。 Windows のコマンド行を使用する場合、環境変数については $variable を%variable% に、ディレクトリー・パスについては各スラッシュ (/) をバックスラッシュ (\) に置き換えてください。Windows システムで bash シェルを使用する場合は、UNIX の規則を使用できます。

xii IBM Tivoli Risk Manager: 管理者ガイド

第 1 章概要

今日では、ファイアウォール、侵入検知システム (IDS)、アンチウィルス・ソフトウェア、およびアクセス制御機構など、さまざまなセキュリティー・ソリューションが各企業にデプロイされています。各企業では、全社的なセキュリティー戦略の一環としてこれらのセキュリティー・ソリューションを使用することにより、善意のユーザーには内部へのアクセスを許可し、悪意のユーザーにはこれを禁止するというシンプルな目的の達成を図っています。ネットワーク、ホスト、およびアプリケーションの各レベルでインプリメントされたセキュリティー・ポリシーにより、許可されたユーザー、アプリケーション、およびシステムのみにアクセスが許可されます。しかし、ウィルスのリスク、無許可アクセス、および企業をターゲットとしたサービス妨害アタックのリスクは増加し続けており、ビジネスは引き続きこれらのリスクにさらされています。リスクは、企業の内部から発生することも、外部のインターネットから発生することもあります。非公式の調査によると、内部から発生したリスクの約半分は悪意による意図的なものであり、残りの半分はシステムの構成の誤りやセキュリティー・ポリシーのぜい弱さが原因で発生した偶発的なものであるとされています。このようなさまざまなリスクを効果的に防ぐには、セキュリティーについて企業レベルで考察することが必要です。この組織的なアプローチにより、企業内のさまざまなセキュリティー・チェックポイントの情報を利用できます。エンタープライズ・リスク管理は、以下に挙げる広範な目的の達成を目指しています。

v セキュリティー関連のアラートのモニター、表示、および管理を企業全体に対して実行できるよう、単純で使いやすいエンタープライズ・セキュリティー・コンソールを提供する。各企業では、このアプローチによって、リスクやぜい弱性の識別および管理を企業全体で行うことができるようになります。これにより、ネットワーク、システム、アプリケーション、およびデスクトップへのアクセスが、企業のセキュリティー・ポリシーと整合性のあるものになります。

v 高度な相関機能を使用してシステム管理者がさまざまなタイプのリスクやアタックを正確に識別できるようにする。これにより、企業は侵入パターンの識別、不要な情報の除去、報告なし異常 (false positive) のアラートの削減が可能になり、実際のセキュリティー上のリスクを速やかに識別して応答時間を短縮できます。

v アタック、リスク、および不審なアクティビティーの相関と管理の集中化により、企業内のアクティビティーをより大局的に把握できるようにする。侵入検知システムでは頻繁に大量のアラートが生成されます。また、複数の異なる侵入検知システム (またはアプリケーション) によって生成されたアラートが、同じ根本原因に関連していることも少なくありません。そのため、相関と管理の集中化は不可欠です。相関を集中化してパターンを識別することにより、実際の根本原因の検出に必要な情報が得られることがよくあります。

v サービス妨害アタック、ウィルス、無許可アクセスなどのセキュリティー上の緊急の問題を速やかに解決できるよう、事前定義されたさまざまな対応タスクを提供する。定義済みタスクには、サーバー上のユーザー・アカウントの取り消し、ファイアウォールの再構成、ぜい弱なサービスの無効化、および Tivoli Risk

Manager アーカイブ・データベースにキャプチャーされている情報の管理があります。

© Copyright IBM Corp. 2003 1

v さまざまなベンダーのセキュリティー製品との統合によって、包括的なセキュリティー管理環境を実現する。

v Tivoli のあらゆるネットワーク管理製品、システム管理製品、およびセキュリティー管理製品との統合により、長期的な是正処置を実施し、企業のセキュリティー・ポリシーを継続的に強化する。

v ユーザーのシステムで発生した侵入イベントの分析に使用できる、情報レポート機能を提供する。

Tivoli Risk Manager は、開放型クロス・プラットフォームの標準ベース・エンタープライズ管理プラットフォームであり、ネットワーク、ホスト、オペレーティング・システム、アプリケーション、サーバー、およびデスクトップの全体にわたる、セキュリティー侵犯とぜい弱性の管理を可能にします。企業の一部だけでなく全体がアタックや侵入のターゲットになることがますます増えてきています。

ユーザーは、Tivoli Enterprise Console と Tivoli Management Framework へのこれまでの投資を活用して、従来のエンタープライズ管理のサブセットとして、エンタープライズ・リスク管理をシームレスにインプリメントできます。

Tivoli Risk Manager を使用することで、企業内に広く配置されている多様なセキュリティー・テクノロジーとセキュリティー製品を管理できます。ファイアウォール、ルーター、ネットワーク、およびホスト・ベースの侵入検知システムからのイベントとアラートの管理や、ホスト・システムのセキュリティー、アンチウィルス・システム、およびデスクトップ・セキュリティー・システムの管理が可能です。高度な相関機能を使用すると、Tivoli Risk Manager によって多数のアラートが集約および要約され、報告なし異常 (false positive) が削減されて、不要な情報と繰り返しが大幅に削減されます。システム管理者は、相関、アラートの集約、および要約を利用して、リスクを識別できます。重大なアラート (アタック、無許可アクセス、不審なアクティビティー、およびポリシー違反) に対しては、ファイアウォール・ポリシーの更新、ユーザー・アカウントの無効化、悪意ある TCP

(Transmission Control Protocol) 接続のリセットなどの、自動タスクによる応答が可能です。標準的な e-business 環境に Tivoli Risk Manager を配置し、また、必要なインフラストラクチャーを理解するには、「IBM Tivoli Risk Manager インストール・ガイド」の計画に関する情報を参照してください。

Tivoli Risk Manager のトポロジーとアーキテクチャーTivoli Risk Manager デプロイメントの論理的コンポーネントの概念図を、 3ページの図 1 に示します。

2 IBM Tivoli Risk Manager: 管理者ガイド

主要な論理的コンポーネントは、通常、以下で構成されています。

v イベント・ソース

v イベント・アダプター

v Tivoli Risk Manager クライアント

v Tivoli Risk Manager イベント・サーバー (Tivoli Enterprise Console イベント・サーバー)

v Tivoli Risk Manager コンソール

v Tivoli Risk Manager の履歴レポート

イベント・ソースTivoli Risk Manager は、起こりうる侵入試行情報およびその他のセキュリティー関連のアラートを、さまざまなイベント・ソースから収集します。イベント・ソースには、侵入検知センサー (IDS)、ファイアウォール、アプリケーション、およびオペレーティング・システムが含まれます。これらのイベント・ソースは、センサーと呼ばれます。Tivoli Risk Manager は、さまざまな機能を提供してこの情報をキャプチャーし、Tivoli Risk Manager サーバーに転送して相関し、リアルタイム・コンソール上に表示、およびリレーショナル・データベースへ記録目的で保管を行いま

図 1. Tivoli Risk Manager デプロイメントの論理的コンポーネント

第 1 章概要 3

す。各種サード・パーティー・センサー、アプリケーション、およびオペレーティング・システムなどのサポートに加え、Tivoli Risk Manager には、侵入検知センサーのセットが組み込まれています。

Web ベース侵入検知センサーTivoli Risk Manager には、Web サーバー・アタック、その他の不審なアクティビティーを検知する Web 侵入検知システム (Web IDS) センサーが組み込まれています。

ネットワーク・ベース侵入検知センサーTivoli Risk Manager には、ネットワーク・ベース・アタック、その他の不審なアクティビティーを検知するネットワーク侵入検知システム (ネットワーク IDS) センサーが組み込まれています。

Tivoli Risk Manager のセンサーの詳細については、 187ページの『第 11 章 Web

侵入検知』および 219ページの『第 12 章ネットワーク侵入検知システム』を参照してください。

イベント・アダプターイベント・アダプターとは、イベント・ソースから関連する情報をキャプチャーし、その情報を Tivoli Risk Manager イベントにマッピングした後、イベントを転送するソフトウェア・コンポーネントです。Tivoli Risk Manager は、いくつかのタイプのイベント・アダプターをサポートします。

v カスタム・アダプター

v Tivoli Enterprise Console アダプター

v Tivoli Risk Manager イベント・モニター

カスタム・アダプターイベント・ソースまたはセンサーが非標準メカニズム (あるセンサーに特有のプログラミング API など) を使用してアラートをロギングする場合、カスタム・イベント・アダプターが必要です。カスタム・イベント・アダプターは、センサーと直接対話してイベントを獲得するよう設計されています。通常、カスタム・アダプターは、Tivoli Risk Manager が提供する単純なイベント実行依頼 API を使用して、フォーマット、要約、およびイベント・サーバーへのトランスポートを行うためにセンサー・イベントをエージェントに直接渡します。このイベント実行依頼 API はTivoli Risk Manager Event Integration Facility で、クライアントの一部として組み込まれます。 Cisco Secure IDS 用 Tivoli Risk Manager アダプターなどの Tivoli Risk

Manager カスタム・イベント・アダプターの多くは、イベント・アダプターがイベント・ソースからの情報の抽出に使用するフォーマット情報を含む XML ファイルを提供します。カスタム・イベント・アダプターは、クライアントと同じホスト・システムにインストールされます。

Tivoli Enterprise Console アダプター汎用 Tivoli Enterprise Console アダプターは、システム・ログ (または Simple

Network Management Protocol (SNMP) トラップ) から情報を抽出し、その情報をTivoli Risk Manager イベントにフォーマットし、さらにイベントをローカル・エージェントに転送して要約およびイベント・サーバーに送信するよう設計されています。Tivoli Risk Manager は、イベント・ソースからの情報の抽出のために Tivoli

Enterprise Console アダプターによって使用されるフォーマット情報を含む、フォー


マット・ファイル (.fmt) またはクラス定義ステートメント・ファイル (.cds) を提供します。侵入検知センサー、ファイアウォール、アプリケーション、オペレーティング・システムなど、さまざまなイベント・ソース用の .fmt または .cds ファイルが提供されます。 Tivoli Enterprise Console アダプターは、通常、クライアントと同じホスト・システムにインストールされます。 Tivoli Management Framework

(TME) Tivoli Enterprise Console アダプターを使用してイベント・ソースから情報をキャプチャーできますが、Tivoli Enterprise Console イベント・サーバーに情報を直接転送し、クライアント内の要約機能をバイパスする必要があります。 Tivoli Risk

Manager では、イベント・ソースから情報をキャプチャーし、その情報の要約やトランスポートのためにローカル・クライアントへ転送するために、非 TME Tivoli

Enterprise Console アダプターを使用することをお勧めします。

特定の Tivoli Enterprise Console アダプターの詳細については、「IBM Tivoli Risk

Manager アダプター・ガイド」を参照してください。

Tivoli Risk Manager イベント・モニターTivoli Risk Manager イベント・モニター (イベント・モニター) は、さまざまなイベント・ソースから情報を抽出するよう設計されています。そしてその情報をTivoli Risk Manager イベントにフォーマットし、イベントをローカル・エージェントに転送して要約し、イベント・サーバーにトランスポートします。以下のイベント・ソースがサポートされます。

v ファイル

v Windows イベント・ログ

v リレーショナル・データベース表

v 名前付きパイプ・キュー

イベント・モニターは、フォーマット情報を含む XML ファイルを使用して、イベント・ソースからの情報を抽出します。侵入検知センサー (IDS)、ファイアウォール、アプリケーション、オペレーティング・システムなど、さまざまなイベント・ソース用の XML ファイルがに提供されます。イベント・モニターは、クライアントの一部としてインストールされます。

イベントのキャプチャーや作成に使用するイベント・アダプターとしてイベント・モニターを使用する場合、Tivoli Enterprise Console アダプターを使用した場合よりも次のような利点があります。

v イベント・モニターは、クライアント (および分散相関サーバー、イベント・サーバー、ゲートウェイなど他の Tivoli Risk Manager 機構) と統合され、クライアントとともにインストールされます。 Tivoli Enterprise Console アダプターは、別個に構成、管理、およびインストールされます。

v イベント・モニター構成ウィザードは、イベント・ソースから情報を収集するイベント・モニターのインスタンスを自動的に構成し、イベント・ソースから情報を収集します。 Tivoli Enterprise Console アダプターの構成には、手動で行うステップが必要です。

v イベント・モニター構成ウィザードは、同一のシステム上で複数のイベント・ソースのマルチスレッド・モニターを実行するイベント・モニターを自動的に構成します。 Linux および UNIX ベースのシステム上で Tivoli Enterprise Console

アダプターの複数インスタンスをセットアップするには、複雑なインストールお

第 1 章概要 5

よびセットアップ手順が必要です。 Tivoli Enterprise Console アダプターの複数インスタンスは、Windows システムではサポートされません。

v 非常に多くのフォーマット・パターンを処理する場合、フォーマットに使用される XML ファイルを使用するイベント・モニターは、.fmt ファイルを使用するTivoli Enterprise Console アダプターよりも効率的です。

v イベント・モニターは、リレーショナル・データベース内の表から情報を選択できます。 Tivoli Enterprise Console アダプターに、この機能はありません。一部の Tivoli Risk Manager アダプターでこの機能を使用できます。

v Tivoli Risk Manager では、wrmfmt2xml コマンドを使用して、既存の .fmt ファイルをイベント・モニターが使用する XML 表記に変換できます。

イベント・モニターは、SNMP ベースのイベント・ソースをサポートしません。SNMP トラップを生成するイベント・ソースをモニターする場合は、Tivoli

Enterprise Console アダプターを使用する必要があります。 SNMP イベント・ソースをモニターする Tivoli Risk Manager アダプターには、ISS RealSecure 用 Tivoli

Risk Manager アダプターと Cisco ルーター用アダプターがあります。

特定の Tivoli Risk Manager アダプターの詳細については、「IBM Tivoli Risk


wrmfmt2xml コマンドの詳細については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

Tivoli Risk Manager クライアントクライアントは主要機能を提供します。また、通常はアダプターやセンサーと併せてデプロイされます。クライアントが提供する機能は、次のとおりです。

v クライアントには、統合コンポーネントとして、イベント・モニターが含まれています。イベント・モニターは、クライアントの一部としてインストールされます。イベント・モニターは、さまざまなイベント・ソースから情報を抽出するよう設計されています。そして情報を Tivoli Risk Manager Tivoli Enterprise Console

イベントにフォーマットし、そのイベントをローカル・エージェントに転送して要約してイベント・サーバーにトランスポートします。

v クライアントは、イベントを Tivoli Risk Manager サーバーに送信するための、さまざまなタイプのトランスポート機構を提供します。この機構には、単純なソケット・ベース通信、Tivoli Management Framework サーバーの提供するセキュア通信、および Secure Socket Layer (SSL) 通信などがあります。

v クライアントは、重複イベントまたは類似イベントを集約する要約機能を備えています。この要約機能によって、サーバーに潜在的に大量の重複イベントを送信するのではなく比較的少数の要約されたイベントが転送されます。これにより、ネットワーク・トラフィックやサーバー負荷、およびリレーショナル・イベント・リポジトリーに格納されている情報量などを削減できます。

v クライアントは、メッセージ・フォーマット機能を提供します (XML ベースのフォーマット・ファイルを使用)。このフォーマット機能は、多数のカスタム・アダプターやセンサー (Cisco Secure IDS アダプターや Check Point™ FireWall-1® アダプターを含む) によって利用されます。Tivoli Risk Manager センサー (Web

IDS およびネットワーク IDS を含む) は、イベント・モニターで使用されます。


v クライアントは、イベント・フィルター操作、または複数のサーバーやイベント宛先 (リレーショナル・データベースを含む) への経路指定を柔軟に行います。

v クライアントは、カスタム・イベント・アダプターによって使用される、非常に単純なイベント実行依頼 API を提供します。ユーザー独自の Tivoli Risk

Manager 互換アダプターを開発するには、この API を使用できます。

クライアントの詳細情報については、 69ページの『第 4 章エージェント』を参照してください。

エージェントレス・モードエージェントは、エージェントレス・モードと呼ばれる機能をサポートします。例えば、1 つ以上のサーバーが、中央システム上の syslog サーバーにセキュリティー・アラートを報告している場合、syslog サーバー上にクライアントをデプロイしてセキュリティー・アラートをキャプチャーできます。クライアントに組み込まれたイベント・モニター・コンポーネントは、syslog サーバーからのアラートを代行受信し、イベント・サーバーに転送できます。

また、非 TME Tivoli Risk Manager アダプターがさまざまなシステムにデプロイされる場合、そのアダプターは、イベントを 1 つのクライアントに経路指定するように構成できます。クライアントは、これらのイベントを、サーバーへの転送の前に要約します。

Tivoli Risk Manager イベント・サーバー最も単純なイベント・サーバーのデプロイメントでは、単一の Tivoli Enterprise

Console サーバーが、Tivoli Risk Manager 相関サーバー機能を運用します。これは、複数の Tivoli Enterprise Console 機能と 1 つの Tivoli Risk Manager 相関エンジンが、1 つのマシン、つまりイベント・サーバー上に存在することになります。このイベント・サーバーは、Tivoli 管理リージョン (TMR) の一部です。また、Tivoli Management Framework が提供するサービスだけでなく、リレーショナル・データベース¥インターフェースも使用します。Tivoli Enterprise Console は、以下のコンポーネントを装備します。

v Tivoli Enterprise Console サーバー。Prolog ベース・ルールを受信イベントに適用します。

v Tivoli Enterprise Console イベント・コンソール・サーバー。分散コンソールを管理します。

v Tivoli Enterprise Console イベント・コンソール。

v Adapter Configuration Facility (ACF)。TMR を通して、Tivoli Enterprise Console

アダプターのデプロイメントと管理を行うために使用されます。

v Tivoli Enterprise Console アダプター。

Tivoli Enterprise Console サーバーにイベント・サーバー・コンポーネントをインストールすると、Tivoli Enterprise Console サーバーは、Tivoli Risk Manager 相関機能を実行する手段となります。Tivoli Risk Manager アダプターとクライアントは、リアルタイム相関のためだけでなく、リレーショナル・データベースへのキャプチャーのためにもイベント・サーバーに Tivoli Risk Manager Tivoli Enterprise Console

イベントを送信します。Tivoli Enterprise Console サーバーの受信するイベントは、イベント・コンソールに表示されます。さらに、Tivoli Risk Manager 相関機能は、

第 1 章概要 7

2 レベル相関プロセスをインプリメントし、2 つのタイプのアラームを生成します。この 2 つのタイプのアラームは、Tivoli Enterprise Console イベント形式で生成され、イベント・コンソールに表示されます。

v インシデント

v インシデント・グループ

インシデントは、Tivoli Risk Manager 状態ベース相関エンジンによって生成されます。インシデントは、不審なアクティビティーをパターン検知するために、特許権を持つ時間ベースのスライディング・ウィンドウ・アルゴリズムを使用して生成されます。不審なアクティビティーの特定パターンが、設定された時間内で設定されたしきい値を超えるたびに、インシデントが生成され、Tivoli Enterprise Console

Prolog 相関エンジンに転送されて、そこで Tivoli Risk Manager ルールが、追加の集約を実行します。この 2 位レベルの集約により、図 2 に示されるインシデントの集約を表すインシデント・グループ・イベントが生成されます。

インシデント・イベントおよびインシデント・グループ・イベントは、イベント・コンソールに表示されます。Tivoli Enterprise Console は、リレーショナル・イベント・リポジトリーに、両方のイベントをキャプチャーおよび格納します。Tivoli Risk

図 2. インシデントの集約


Manager 相関エンジンが、アーカイブ表にセンサー・イベントを一定経路で送信します。アーカイブ表とは、各種のレポート機能によって効率的に情報を設定し、アクセスされる単層表です。

Tivoli Risk Manager は、以下のような、その他の情報もコンソールに通知します。

v トラステッド・ホストからの不審なアクティビティーを示すイベント。

v センサーから受信するセンサー・トラフィックに基づき、Tivoli Risk Manager センサーの存在を記録するイベント。

v Tivoli Risk Manager コンポーネントから受信されるハートビート・イベント。

v その他の例外。

イベント・コンソールは、ネットワーク内のセンサーから受信したイベントの複合ビューを表示します。このコンソールは、システム管理者に作成されたフィルターに基づき、イベント・アクティビティーの複数のビューを表示するように構成できます。Tivoli Risk Manager には、デフォルトのイベント・グループとイベント・フィルターを作成するためのインポート・ファイルが用意されています。インポート・ファイルは、システム管理者用のコンソール・インスタンスの作成時も使用できます。

分散相関イベント・サーバーは、Tivoli Risk Manager デプロイメントの必須コンポーネントです。イベント・サーバーは、コンソールとインシデント・グループを生成する集約ルールの両方を装備しています。インシデントを生成する 1 次レベルの相関プロセスは、 10ページの図 3 に示すように、ネットワーク内に 1 つ以上の Tivoli Risk

Manager 分散相関サーバーをインストールして、分散方式でデプロイできます。各分散相関サーバーは、一部のネットワーク・イベント・トラフィックに権限を持ちます。その一部のイベント・トラフィックに対してインシデント・ベースの相関を実行し、イベント・サーバーにインシデント・アラートとセンサー・イベントを転送して 2 位レベル相関を行い、コンソール上に表示します。ご使用の環境に分散相関サーバーをデプロイするかどうかを判断するには、以下を考慮します。

v 分散相関サーバーが、大量のイベント処理時の相関向けにロード・バランシング機構を装備しているか。

v ネットワーク・トポロジーと地理的な位置などに基づいて、論理的にグループ化されたセンサーやアダプターに専用の相関サーバーとして割り当てるために使用できるか。グループ化は、組織内の境界に基づいて行われる場合があります。

v 相関インフラストラクチャーに冗長性を追加するためにも使用できるか。

第 1 章概要 9

各種の構成オプションが、上記のように Tivoli Risk Manager 相関エンジンを分散させる場合に利用できます。例えば、最上位イベント・サーバーにすべてのセンサー・イベントを転送する代わりに、インシデント・イベントのみを転送します。このアプローチを使用すると、インシデントとインシデント・グループのみが、イベント・コンソールに表示され、イベント・サーバー上のイベント処理負荷が大幅に減少します。分散相関サーバーは、Tivoli Risk Manager アーカイブ表にセンサー・イベントを直接送信するようにも構成できます。アーカイブ表では、Tivoli

Enterprise Console と Tivoli Risk Manager によってサポートされている Web アクセス機能を使用して、センサー・イベントにアクセスできます。Web アプリケーション情報の詳細については、 123ページの『第 8 章 Web アプリケーション』を参照してください。

Tivoli Risk Manager コンソールTivoli Risk Manager アドミニストレーターは、Tivoli Enterprise Console のインシデント、インシデント・グループ、および個々のセンサー・イベント (特に、重大度の高いセンサー・イベント) をモニターします。インシデント・イベントおよびインシデント・グループ・イベントは、それぞれ相関結果および相関結果の集約を表します。 Tivoli Enterprise Console は構成が非常に容易です。カスタマイズして、

図 3. 分散方式でデプロイされたインシデント・ベース相関


Tivoli Risk Manager によって収集された情報や Tivoli Risk Manager の相関プロセスによって生成されたイベントのビューを複数表示できます。スタンドアロン Java

および Web ベースのバージョンの Tivoli Enterprise Console もサポートされます。

Tivoli Risk Manager Web アプリケーションTivoli Risk Manager は、Tivoli Enterprise Console の機能を拡張する Web アプリケーションを提供します。 Tivoli Risk Manager Web アプリケーションは、それぞれ異なる情報ソースを提供する、3 つの機能から成っています。

v イベント詳細

イベント詳細機能は、インシデント・イベント、インシデント・グループ・イベント、および個々のセンサー・イベントなどに関する詳細な情報を表示します。インシデント・イベントは、センサーやアプリケーションから受信する大量のイベント (センサー・イベント) 処理の結果として、Tivoli Risk Manager 相関ルールによって生成されます。インシデント・イベントは、イベント・サーバーからインシデント・グループ・イベントに集約されます。 Tivoli Enterprise Console

上でインシデント・イベントを選択して「情報」ボタンをクリックすると、イベント詳細機能により、選択したインシデント・イベント作成の原因となったセンサー・イベントのセットにアクセスできます。同様に、選択したインシデント・グループ・イベントの原因となったインシデント・イベントのセットにアクセスできます (選択したインシデント・グループ・イベントの原因となったセンサー・イベントについても同様です)。

v Advisor

Tivoli Risk Manager は、さまざまなセンサー (ファイアウォール、アプリケーション、およびオペレーティング・システム) からアラートを収集し相関化します。組織の管理者には専門的レベルの知識が必要で、一貫性のある方針でセキュリティー・ブリーチ (抜け穴) を検証および対処することが重要です。 Advisor

は、組織の専門メンバーによって作られてきた定義済みの知識にアクセスするメカニズムを、セキュリティー管理者に提供します。 Advisor 機能が提供する情報および推奨アクションは、ルールのセットに基づいています。このルールはあらかじめプログラム化された手順を使用して、情報への継続的なアクセス、および起こりうるリスクへの継続的な対応を確実に行なえるようにします。イベントに関連した情報や推奨アクションにアクセスするには (Advisor ルール・セットごと)、イベント・コンソール上のイベントを選択して「情報」ボタンをクリックします。

例えば、Advisor ルールにより、エクスポージャーに関する主要な詳細を提供する、Common Vulnerabilities and Exposures (CVE) Web ページに直接アクセスできます。また、Advisor ルールは特定の機密漏れやシグニチャーに関して、指定のスーパーバイザーへの E メール送信を推めます。Advisor ルールのライブラリー作成に関する情報については、 139ページの『Advisor』を参照してください。

v システム情報

セキュリティー・リスクを適切に分析できるかどうかは、不審なアクティビティーのターゲットまたはソースに関する詳細情報へのアクセスに左右されます。システム情報機能は、Tivoli Inventory アプリケーションによって収集されるソフトウェア情報およびハードウェア情報への直接アクセスを提供します。Tivoli

Inventory は、Tivoli Configuration Manager のアプリケーション・スイートのコンポーネントの 1 つです。例えば、Tivoli Risk Manager は、企業内の Web サーバーに対して実行されている Code Red アタックを検出し、Tivoli Enterprise

第 1 章概要 11

Console に 1 つのインシデント・イベントとして示します。コンソール上でこのインシデント・イベントを選択して「情報」ボタンをクリックすると、システム情報機能にアクセスでき、Code Red アタックのターゲットに関するハードウェア情報およびソフトウェア情報を Tivoli Inventory データベースから取得できます。また、ターゲット・システムが Linux オペレーティング・システム上でApache Web サーバーを実行している場合、管理者は、アタックが不審ではあるがターゲット・システムに障害は発生しないと判断できます。

次の図は、Tivoli Risk Manager デプロイメント内の Tivoli Risk Manager Web アプリケーション機能の配置の概念図を示しています。Web アプリケーション情報の詳細については、 123ページの『第 8 章 Web アプリケーション』を参照してください。

Tivoli Risk Manager の履歴レポートTivoli Risk Manager の Crystal Reports コンポーネントには、ユーザーのシステムに発生する可能性のある侵入イベントのタイプの分析に関する情報を与える 22 個のコンパイル済みレポートが用意されています。

図 4. Tivoli Risk Manager 配置内の Web アプリケーション


Tivoli Risk Manager で提供されているコンパイル済み Crystal Reports にはファイアウォール管理レポート、侵入検知レポート、リスク評価レポート、イベント管理レポート、およびウィルス管理レポートがあります。

コンパイル済みレポートのフォーマットを使用すると、システムに Crystal Reports

Designer がインストールされていなくてもレポートを実行できます。

注: Crystal Reports の作成または編集を行う場合には、Crystal Reports Designer を購入し、インストールする必要があります。

履歴レポートの詳細については、 165ページの『第 9 章レポート』を参照してください。

Tivoli Risk Manager のセキュリティー・イベント処理の概要このセクションでは、アタック (またはその他の不審な動作) が検知された場合に、Tivoli Risk Manager 環境内で行われる処理の論理的な概要について説明します。この論理的な概要には、以下のような 4 段階の処理が存在します。

1. 検知

侵入検知センサーまたはアプリケーションが、不審なアクティビティーまたはその他のセキュリティー関連のアクションを検知します。センサー (アプリケーション) の構成またはポリシーに基づき、アラートがログに記録されます。

2. フィルター操作と要約

Tivoli Risk Manager アダプターが、センサーのアラートを代行受信し、Tivoli

Risk Manager イベントにマップした後、クライアントに送信します。クライアントでは、重複イベントを集約し、追加のフィルター操作を行います。フィルター操作と集約後、結果のイベントが、Tivoli Risk Manager 相関サーバーに転送されます。

3. 1 次レベル相関

Tivoli Risk Manager 相関サーバーが、状態ベース相関エンジンを使用して、アクティビティーのパターンを検索します。特定レベルの不審なアクティビティーが検知されると、Tivoli Risk Manager 相関エンジンは、インシデント・イベントを生成します。このインシデントは、指定時間内で発生した不審なアクティビティーのパターンのスナップショットを表します。インシデント・イベントは、最上位の Tivoli Risk Manager 相関エンジンに転送され、さらに処理されます。この最上位相関エンジンは、Tivoli Enterprise Console サーバー上に位置します。

4. 2 位レベル相関

最上位相関プロセスは、Tivoli Enterprise Console Prolog ベース相関エンジン内で実行され、1 つ以上の状態ベース Tivoli Risk Manager 相関エンジンからインシデントを受信されるたびに、集約をさらに実行します。この集約の結果は、インシデントの集合体を表すインシデント・グループ・イベントの形式を取ります。

14ページの図 5 に、Web IDS センサーを使用して、一般的なアタックのシナリオの例を説明します。

第 1 章概要 13

この例では、Web IDS センサーとクライアント (要約機能付き) が、同一システム上にデプロイされています。同様に、状態ベース相関と Prolog 相関ルールも、同一イベント・サーバー上にデプロイされています。状態ベース相関エンジンによって実行される 1 次レベル相関は、インシデントをイベント・サーバーに供給する 1

つ以上の Tivoli Risk Manager 相関エンジン上にデプロイすることもできます。

4 段階の各論理的処理を、さらに詳しく説明します。

検知センサーまたはアプリケーションが、不審なアクティビティーとリスクの検知を実行します。多くの場合、センサーは、アラートの生成タイミングの決定において、センサー独自の高機能レベルを提供します。センサーは、シグニチャー、知識ベースまたは組み込みルールとポリシーを使用して、それ自身のしきい値選別、集約などを実行する場合もあります。例えば、あるホストが短時間にサーバー上で 10 以上のポートへの接触を試行している場合、ポート・スキャンを報告するようにネットワーク IDS ツールを構成することができます。

図 5. アタックが検知されたときの Tivoli Risk Manager


フィルター操作と要約クライアントは、多くの重複または類似イベントを要約するために使用します。この要約は、多くの環境において、イベント処理の不可欠なエレメントになります。特定のタイプのセンサーは、その多くが重複している大量のイベント・トラフィックを生成します。重要な情報を維持しながら、殺到するイベントを要約する機能は、以下のように、さまざまな理由から非常に重要になります。

v ネットワーク・トラフィックを大幅に減少できる

v 相関サーバー上の負荷を大幅に減少できる

v データベース・サーバー上の負荷を大幅に減少できる

v データベースのフットプリントが大幅に縮小される

要約ルール・ファイルのセットにより、要約プロセスが制御されます。新しいアプリケーションやセンサーに対する要約を行うためには、クライアントは、重大度の低いまたは関心の低いアラートをフィルターで操作して除去するように調整する新しい要約ルールをクライアントにデプロイします。

1 次レベル相関状態ベース Tivoli Risk Manager 相関エンジンは、以下の 2 つの相関機能をサポートしています。

v リンク・イベント

v ソース、宛先、アタック機密区分、およびオプションとしてカスタマー ID に基づくパターン・マッチング

リンク・イベントセンサーが生成する一連のイベントは、1 つにリンクされる場合があります。2 番目のリンク・イベントを受信すると、相関エンジンはそのリンク・イベントの重大度を引き上げます。ユーティリティーの実例として、Web IDS におけるイベントのリンク機能があります。例えば、Web IDS が不審な Common Gateway Interface

(CGI) 要求を報告した場合、イベントは、適切な重大度レベルに関連付けされます。ただし、不審な CGI 要求が実際に成功した場合は、2 番目のイベントの重大度が大幅に引き上げられることが適切です。

パターン・マッチングTivoli Risk Manager 相関プロセスは、受信する Tivoli Risk Manager センサー・イベントをすべて分析し、パターンを検索します。不審なアクティビティーが、パターン検索の結果として検知されると、Tivoli Risk Manager 相関エンジンは、インシデントと呼ばれるアラートを生成します。センサー・イベントとともに、インシデントは、Tivoli Enterprise Console イベントとして、Tivoli Enterprise Console に表示されます。インシデント生成は、以下の (各センサー・イベント内の情報から取得または派生される) キーに基づきます。

v 受信したイベントの種別またはカテゴリー

v 不審なアクティビティーのソース・ホスト

v 受信したイベントに報告されている不審なアクティビティー (アクセスされているリソース) の宛先ホスト

v カスタマー ID (相関目的のオプションのエレメント)

第 1 章概要 15

検知されたパターンのタイプにより、さまざまなタイプのインシデントが生成される可能性があります。表 1 に、デフォルトの相関ルールを使用して生成される可能性のあるインシデントのタイプを説明します。

表 1. 生成されるインシデントのタイプ

タイプキー 1 キー 2 キー 3 説明

カテゴリー、ソース、宛先

カテゴリーソース宛先所定のカテゴリーにおいて、単一のソース・ホストから単一の宛先ホストをターゲットにした特定のアクティビティーを表します。

ソース、宛先

カテゴリーのリスト

ソース宛先あるホストから別のホストをターゲットにした広範囲の不審なアクティビティーを表します。

カテゴリー、宛先

カテゴリーソースのリスト

宛先所定のカテゴリーの不審なアクティビティーにおいて、複数のソース・ホストから単一のホストへの不審なアクティビティーのパターンを表します。

カテゴリー、ソース

カテゴリーソース宛先のリスト単一のソース¥ホストから発信され、所定のカテゴリーの不審なアクティビティーにおける複数の宛先への、不審なアクティビティーのパターンを表します。

ソースカテゴリーのリスト

ソース宛先のリスト単一のソースから発信された広範囲に拡大したアクティビティーを表します。

宛先カテゴリーのリスト

ソースのリスト

宛先複数のソースから、単一の宛先ホストへの広範囲に拡大したアクティビティーのパターンを表します。これは、Web サーバーなど、外部から認識されやすいサーバーに最も発生しうるシナリオです。

カテゴリーカテゴリーソースのリスト

宛先のリスト複数のソースと宛先を持つ（単一カテゴリー内の) 特定のタイプの不審なアクティビティーのパターンを表します。このシナリオは一般的ではありませんが、アタックに対する新たなぜい弱性が広く知られるようになったときに起こる可能性があります。

重大度、しきい値、およびスライディング・タイム・ウィンドウ: Tivoli Risk

Manager は、インシデントの作成タイミングを決定するために、以下の 3 つのエレメントを使用します。

v 個々のセンサー・イベントに関連付けされている重大度の値 (センサー・イベントの rm_Level 属性内の値として表される)。アダプターまたはセンサーが、普通の場合、特定のセンサー・イベントに対する重大度レベルを割り当てます。


v 相関ルールに関連付けられているしきい値。特定のパターン・タイプにマッチングするセンサー・イベントのストリームが、インシデントの作成の正当な根拠となる集約重大度を持つ時点を決定するために使用されます。相関ルールは、相関サーバー上に存在します。

v エージェントによるアクティビティー・モニター期間であるスライディング・ウィンドウ。アクティビティーの開始時刻は、設定された時間内に受信されたイベントのみ能動的にモニターされるように自動的に調節されます。

2 位レベル相関状態ベース相関エンジンによって生成されるインシデント・イベントは、イベント・サーバーに転送されて、コンソールに表示され、Tivoli Enterprise Console データベースに格納されます。さらに、Tivoli Enterprise Console サーバー上で動作している相関ルールが、インシデント・イベントに対して追加レベルの集約を実行します。このレベルの集約は、Prolog ベース・ルールのセットとしてインプリメントされ、Tivoli Enterprise Console 相関エンジン内で実行されます。インシデント・イベントの集約は、結果として、インシデント・グループ・イベントを生成します。

Tivoli Enterprise Console に表示される情報ここでは、イベント・コンソールにおける Tivoli Risk Manager センサー・イベントとアラームの表示方法について説明します。センサー・イベントは、センサーによって生成され、イベント・サーバーに転送される未加工イベントを表します。アラームの別名は、以下のとおりです。

v インシデント

v インシデント・グループ

インシデントとは、Tivoli Risk Manager 相関プロセスによって生成されるイベントを指します。インシデントは、不審なアクティビティーが相関ルールに定義されているパターンとマッチングしたり、しきい値 (同様に相関ルールに定義されている)

を超える場合に、比較的短時間 (例えば、5 分または 10 分) で検知される不審なアクティビティーのバーストを表します。Tivoli Risk Manager 相関プロセスは、イベント・サーバー上で動作します。さらに、Tivoli Risk Manager 相関プロセスは、イベント・サーバーにインシデントを転送する 1 つ以上の分散相関サーバーに分散できます。

インシデント・グループ・イベントは、イベント・サーバー Prolog 相関エンジンにロードされている Tivoli Risk Manager ルールによって生成されます。インシデント・グループは、インシデント・イベントの集合体を表すものです。つまり、継続性のある不審なアクティビティーを示します。

コンソール使用シナリオイベント・コンソール上で利用できる情報の視覚的な理解のため、ここでは、以下のイベント・ソースの使用に基づいたシナリオを通して説明します。

v Tivoli Risk Manager Web 侵入検知システム (Web IDS)

v Check Point™ FireWall-1® 用 Tivoli Risk Manager アダプター

v Windows Host Intrusion Detection 用 Tivoli Risk Manager アダプター

第 1 章概要 17

Windows Host Intrusion Detection 用アダプターおよび Check Point FireWall-1 用アダプターの詳細については、「IBM Tivoli Risk Manager アダプター・ガイド」を参照してください。

このシナリオでは、2 つの Web サーバーが、Web IDS を使用して能動的にモニターされます。Web ベース・アタックが発生した場合の影響について簡単に説明します。また、イベント・コンソールを使用して、Web IDS の生成する侵入検知イベント、および Tivoli Risk Manager 相関プロセスの生成するインシデントとインシデント・グループ・イベントの表示方法も詳しく説明します。シナリオは、ファイアウォールと Host IDS アダプターにより検知される不審な情報を説明するように拡張されます。

Web サーバーに対するアタック (または不審なアクティビティー) を、Web IDS が検知した場合について説明します。Tivoli Risk Manager の Web IDS センサーは、Web サーバーをターゲットにする不審なアクティビティーを検知するため、Web サーバーの生成したアクセス・ログ・ファイルを分析します。 Web IDS センサーは、知識ベース・アプローチを使用して、検知された場合に不審なアクティビティーを表すシグニチャーのセットを利用して、不審な動作を検知します。シグニチャーのセットは広範囲にわたり、幅広いアタックを検知するために使用されます。シグニチャー・ファイルは、カスタマイズすることができるため、特定の環境の要件に適合するように調整できます。Web IDS が不審なアクティビティーを検知すると、Tivoli Risk Manager Tivoli Enterprise Console イベントが生成された後、イベント・サーバーに送信されます (または、分散相関サーバーに送信され、分散相関サーバーが、相関の結果をイベント・サーバーに転送します)。

ここに説明するシナリオでは、Web IDS は、Apache Web サーバー (Apache1 という名前) をターゲットにしたアタックを検知し、イベント・サーバーに複数のIDS イベントを通知したことを前提としています。イベント・サーバー上で動作している相関エンジンが、それらの Web IDS イベントを受信すると、イベントが分析されます。目的は、(各種の Web IDS センサーによって生成される) 個々のイベントに含まれている情報を超えて不審なアクティビティーのパターンを検知することです。この相関プロセスの値は、企業内のその他のリソースのモニターに使用されている別のタイプのセンサーやアダプターから情報を受信するたびに大きくなります。Tivoli Risk Manager 相関エンジンは、以下を使用します。

v イベントの報告に従ったアクティビティーの重大度 (rm_Level 属性に報告されている数値)。

v アクティビティーの容量。

v アクティビティーのタイミング。より短期間でより大量のアクティビティーの方が、より長期間にわたるより重大度の低いアクティビティーよりも、重要になる場合があります。ただし、常にこの結果になるとは限りません。

さらに、次のキーが、不審なアクティビティー・パターンの検知のために相関エンジンで使用されます。

v 不審なアクティビティーのカテゴリー化 (例えば、Web アタック、トロイの木馬、サービス妨害、ウィルス検知など)

v アタックのソース。一般的に、ホスト名またはインターネット・プロトコル (IP)

アドレスとして示されます。

v アタックの宛先。一般的に、ホスト名または IP アドレスとして示されます。


v カスタマー ID (オプション、デフォルトでは未使用)

Tivoli Risk Manager 相関エンジンは、最初の 3 つのデータ鍵およびそれらのキーの組み合わせに基づいて、イベントを集約した後、相関エンジンによって発行されたアラームを表すインシデント・イベントを生成します。Tivoli Risk Manager 相関エンジンは、それらのインシデント・イベントを Tivoli Enterprise Console サーバーに送信します。イベントは、アドミニストレーターのコンソールに表示されます。前述のとおり、Tivoli Risk Manager 相関エンジンは、イベント・サーバーに常駐し、オプションとして、分散相関サーバーとして、1 つ以上のシステム上に存在します。

Tivoli Enterprise Console イベント・グループイベント・グループは、イベント・サーバーが収集したイベントに対するフィルターで選別された各種ビューを表示するために使用されます。Tivoli Risk Manager

は、センサーやアダプターから Tivoli Risk Manager が収集したイベント、およびTivoli Risk Manager 自身が生成したイベントに対する各種ビューを提示する事前に定義されたイベント・グループ定義のデフォルトを装備しています。図 6 に、各種Tivoli Risk Manager イベントをグラフ形式で表示するイベント・コンソールの「要約図表」ビューの一例を示します。

RM_TrustedHost グループには、相関サーバーが、トラステッド・ホストの新しいインスタンスを検知した場合に生成されるイベントを含むフィルターを使用して、情報が設定されています。トラステッドと指定されているホストから発信される不審なアクティビティーは、相関処理されず、インシデントとインシデント・グループ・イベントの生成をもたらしません。例えば、ネットワーク管理者が、ネットワ

図 6. Tivoli Enterprise Console 要約図表ビュー

第 1 章概要 19

ークぜい弱性スキャンを定期的に実行し、このアクティビティーを相関エンジンによって不審なアクティビティーと解釈されたくない場合は、ネットワーク管理者のホストをトラステッドと指定できます。

RM_SensorEvent グループには、Tivoli Risk Manager センサーやアダプターから収集されたセンサー・イベントを含むフィルターを使用して情報が設定されています。このフィルターは、インシデント、トラステッド・ホスト・イベント、およびエラー・イベントなど、Tivoli Risk Manager が生成するイベントを除外します。

RM_Sensor グループには、Tivoli Risk Manager 相関サーバーが、特定のホスト上で特定のセンサーのインスタンスの存在を最初に検知した場合に生成されるイベントを含むフィルターを使用して情報が設定されています。つまり、Tivoli Risk

Manager 相関サーバーが、新しいセンサー・インスタンスを発見するたびに、(クラス名 RM_Sensor の) イベントが生成されます。

RM_IncidentGroup グループには、すべての Tivoli Risk Manager インシデント・グループ・イベントを含むフィルターを使用して、情報が設定されています。

RM_Incident グループには、すべての Tivoli Risk Manager インシデント・イベントを含むフィルターを使用して情報が設定されています。

RM_Event グループには、すべてのタイプの Tivoli Risk Manager イベント (センサー・イベント、インシデント・イベント、インシデント・グループ・イベント、エラーなど) をすべて含むフィルターを使用して情報が設定されています。

RM_Error グループには、Tivoli Risk Manager が生成するエラー・イベントを含むフィルターを使用して、情報が設定されています。

イベント・ビューアー「RM_SensorEvent」バーをクリックし、各種の Tivoli Risk Manager センサーとアダプターから受信されるセンサー・イベントのイベント・ビューアーを起動します。

このシナリオの例では、複数の不審な要求が、Apache1 という名前の Web サーバー上にデプロイされている Web IDS によって検知され、イベント・サーバーに報

図 7. Tivoli Enterprise Console イベント・ビューアー (センサー・イベント)


告されています。イベント・コンソール上に表示されている「ホスト名」属性には、以下の有益な情報が含まれています。

v アタック・カテゴリーの簡易形式の説明。この例では、カテゴリーは WEB です。

v イベントを生成したセンサーのホスト名 (または IP アドレス)。この例では、Apache1 が Web IDS センサーが位置している Web サーバーのホスト名です。

v 不審なアクティビティーのソースのホスト名 (または IP アドレス)。この例では、ホスト名は Source1 です。

v 不審なアクティビティーのターゲットのホスト名 (または IP アドレス)。この例では、ホスト名も Apache1 です。これは、Web IDS が、普通の場合、そのモニター対象のサーバー上に位置するためです。

ここに表示しているコンソール・ビューには、以下の情報が含まれています。

受信時刻イベント・サーバーがイベントを受信した時刻を示します。

クラスイベントのクラス名を示します。

ホスト名Tivoli Risk Manager に使用される、アタック・カテゴリー、センサー・ホスト名、ソース¥ホスト名、および宛先ホスト名の短縮表現を記載します。

重大度 Tivoli Enterprise Console イベント重大度を示します。

メッセージイベントの簡単な説明。通常、イベントに関連するシグニチャーが含まれます。

反復カウントイベントがクライアント要約機能によって生成される要約イベントである場合は、非ゼロ値がセットされます。非ゼロ値 (+ 1) は、要約イベントによって表された個別センサー・イベントの数を表します。ゼロ値は、イベントが要約イベントではないことを示します。各要約イベントは、rm_Level 値も持ちます。この値は、要約されたシーケンス内の最初のイベントに関連する rm_Level で、repeat_count+1 を乗算して計算されます。例えば、299 のrepeat_count 値と 0.5 のデフォルト rm_Level の要約イベントでは、rm_Level 属性は 150.0 になります。

サブオリジンセンサーまたはアダプターの名前。この例ではサブオリジンは webids と設定されています。

状況 Tivoli Enterprise Console イベント状況を示します。デフォルトでは、Tivoli

Risk Manager は、イベントをオープン状態にします。受信されたときにセンサー・イベントを自動的にクローズするイベント・サーバーの構成方法の詳細については、 47ページの『センサー・イベントのクローズ』を参照してください。wrmdbclose ユーティリティーを使用して、センサー・イベントのクローズをスケジューリングする方法については、 64ページの『Tivoli Risk Manager データベース・ユーティリティー』を参照してください。

第 1 章概要 21

注: 特定の属性では、カスタマイズおよびイベント・ビューアーにおける位置変更が可能です。イベント・ビューアーをカスタマイズして、以下のようなその他の Tivoli Enterprise Console 属性を含めることができます。

オリジンセンサー・イベントを生成したアダプターの IP アドレス。

アダプター・ホストセンサー・イベントを生成したアダプターのホスト名。

インシデント・イベント (フェーズ 1)19ページの図 6にある Tivoli Enterprise Console の「要約図表」ビューに戻り、「RM_Incident」イベント・グループをクリックすると、すべての Tivoli Risk

Manager インシデントを示すイベント・ビューアーが表示されます。

続いて、図 8 は、前の RM_SensorEvent イベント・グループ・ビューに示したように、SrcDstCat インシデント (クラス =RM_Src_DstCat_Incident) が、センサー・イベントのセットの受信に対する応答として、相関エンジンによって生成されたことを示します。

この場合も、イベント・コンソール上に表示されている「ホスト名」属性には、以下の有益な情報が短縮形式で含まれています。



v 不審なアクティビティーのターゲットのホスト名 (または IP アドレス)。この例では、ホスト名は Apache1 です。


受信時刻イベント・サーバーがインシデント・イベントを受信した時刻を示します。


ホスト名Tivoli Risk Manager に使用される、アタック・カテゴリー、宛先ホスト名、およびソース¥ホスト名の短縮表現を記載します。


図 8. Tivoli Enterprise Console イベント・ビューアー (インシデント・イベント)


メッセージアタックが WEB カテゴリーに属することを示す簡単なメッセージ。また、Apache1 という名前のホストをターゲットにする Source1 という名前のホストからの不審なアクティビティーとしてアタックを記述しています。

反復カウント反復カウント値 5 は、5 つのセンサー・イベントが、この特定のインシデント・イベントを実際にもたらしたことを示します。同一のソース、宛先、およびアタック・カテゴリーの 8 つのイベントが短時間に受信されているため、この反復カウント値により、その中の 5 つのイベントの受信が、設定しきい値を超え、インシデント・イベントの生成をトリガーする上で十分であったことがわかります。追加の 3 つのセンサー・イベントは、Web

IDS が、この特定のソースと宛先のイベントを設定されたタイム・ウィンドウ内に生成した場合に、もう 1 つのインシデント・イベントをもたらす可能性があります。

このインシデント・イベントから、Web IDS センサーにより生成されたイベントのセットに関する必須の情報が得られます。このインシデント・イベントは、以下のことを示します。

v 複数のセンサー・イベントが受信され、相関され、単一のソース・ホスト(Source1) が、Web 関連のアクティビティーの起点であり、単一の宛先 Web サーバー (Apache1) をターゲットにすることを示している。

v このインシデントをもたらしたセンサー・イベントが、指定されたタイム・ウィンドウ内で受信され、しきい値を超した。タイム・ウィンドウのサイズとしきい値の両方が、相関ルールで定義されています。

v 相関ルールが、このレベルのアクティビティーにより、重大度 Critical のインシデントが生成されることも指定している。

インシデント・イベントに関する追加の詳細情報は、該当するインシデントを選択してから、選択したイベントをダブルクリックして取得できます。この操作により、次の図に示される選択したイベントの詳細ビューが表示されます。

第 1 章概要 23

この詳細ビューには、その他の以下の有益な情報が表示されます。

rm_CategoryDisplayNamesより説明的な形式のアタック・カテゴリー。この場合は「Web Attack」です。簡易形式は rm_CategoryTokens にあります。

図 9. インシデント詳細ビュー


rm_CustomerID相関処理が、カスタマー (または組織) ベースで実行された場合は、rm_CustomerID 属性に、インシデントをもたらしたセンサー・イベントに関連する特定のカスタマー ID が反映される。この場合、デフォルト値の「N/A」がセットされています。

rm_Levelインシデントをもたらしたセンサー・イベントのセットの集約重大度レベル。この例では、値は 11.0 です。

rm_Signatures原因センサー・イベントのセットから取得される固有シグニチャーのリスト。

rm_Sensors受信イベントの発生元の固有センサーとホスト名ペアのリスト。このリストの各エレメントは、実際には、センサー・タイプとセンサー・ホスト名 (この場合、webids と Apache1) を結合したものになります。

rm_WindowSizeこのインシデントの生成を制御するために使用されるスライディング・ウィンドウのサイズ。この例では、6000000 ミリ秒 (100 分) が使用されています。

この詳細ビュー以外にも、ある特定のインシデント・イベントをもたらしたセンサー・イベントには、そのインシデント・イベントを選択してから、「情報」ボタンをクリックして、直接アクセスできます。Web ブラウザーがオープンし、原因センサー・イベントのビューを表示します。このアプリケーションの設定方法および使用方法については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

インシデント・グループ・イベント (フェーズ 1)19ページの図 6 にある Tivoli Enterprise Console の「要約図表」ビューに戻り、「RM_IncidentGroup」イベント・グループをクリックすると、すべての Tivoli

Risk Manager インシデント・グループ・イベントを示すイベント・ビューアーが表示されます。

第 1 章概要 25

続いて、図 10 は、SrcDstCat インシデント・グループ (クラス=RM_SrcDstCat_IncidentGroup) が、1 つ以上のインシデント・イベントの受信に対する応答として、Tivoli Enterprise Console イベント・サーバーで行われる 2 位レベル相関プロセスによって生成されたことを示します。この場合、このインシデント・グループ・イベントは、単一のインシデント・イベントが、イベント・サーバーで設定されているインシデント・グループのしきい値をトリガーしたために生成されています。

センサーおよびインシデント・イベントに関して、インシデント・グループ・イベントに対する「ホスト名」属性には、短縮形式の以下の有益な情報が含まれます。



v 不審なアクティビティーのターゲットのホスト名 (または IP アドレス)。この例では、ホスト名は Apache1 です。


受信時刻イベント・サーバーがインシデント・グループ・イベントを受信した時刻を示します。


ホスト名Tivoli Risk Manager に使用される、アタック・カテゴリー、ソース¥ホスト名、および宛先ホスト名の短縮表現を記載します。


メッセージアタックが WEB カテゴリーに属することを示す簡単なメッセージ。また、Apache1 という名前のホストをターゲットにする Source1 という名前のホストからの不審なアクティビティーとしてアタックを記述しています。

図 10. Tivoli Enterprise Console イベント・ビューアー (インシデント・グループ・イベント)


反復カウント反復カウント値 1 は、単一のインシデント・イベントが、この特定のインシデント・グループ・イベントをもたらしたことを示します。反復カウント値は、不審なアクティビティーが続き、インシデント・イベントがさらに生成され、このインシデント・グループ・イベントの原因となる場合に増加します。

インシデント・グループ・イベントに関する追加の詳細情報は、該当するインシデント・グループを選択してから、選択したイベントをダブルクリックして取得できます。次の図に示されているような、選択したイベントの詳細ビューが表示されます。

第 1 章概要 27

この詳細ビューには、その他の以下の有益な情報が表示されます。

rm_CategoryDisplayNamesより説明的な形式のアタック・カテゴリー。この場合は「Web Attack」です。簡易形式は rm_CategoryTokens にあります。

図 11. インシデント・グループ詳細ビュー


rm_CustomerID相関処理が、カスタマー (または組織) ベースで実行された場合は、rm_CustomerID 属性に、インシデント・グループをもたらしたインシデント・イベントに関連する特定のカスタマー ID が反映される。この例では、デフォルト値の「N/A」が設定されています。原因インシデントからのrm_CustomerID 属性が複数存在する場合、その属性は「*」で表されます。

rm_CombinedLevelインシデントをもたらしたインシデント・イベントの集約重大度レベル。この例では、値は 1.100000e+01 です。

rm_HighestLevel原因インシデントの最大の rm_Level。この例では、値は 1.100000e+01 です。

rm_LastLevelインシデント・グループをもたらした最新受信のインシデントのrm_Level。この例では、値は 1.100000e+01 です。

rm_Metricこのインシデント・グループ・イベントを生成、保持する数値基準が、集約重大度レベル (rm_Level) またはインシデント・カウントのいずれかに基づくかを示します。

rm_Sensors受信イベントの発生元の固有センサーとホスト名のペアのリスト。このリストの各エレメントは、実際には、センサー・タイプとセンサー・ホスト名(この場合、webids と Apache1) を結合したものになります。

rm_Signatures原因インシデント・イベントのセットから取得される固有シグニチャーのリスト。

この詳細ビュー以外にも、ある特定のインシデント・グループ・イベントをもたらしたインシデント・イベントおよびセンサー・イベントには、そのインシデント・グループ・イベントを選択してから、「情報」ボタンをクリックし、直接アクセスできます。Web ブラウザーがオープンし、原因インシデント・イベントおよび原因センサー・イベントのビューを表示します。このアプリケーションの設定方法および使用方法については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

Web IDS イベントの追加へのシナリオ: 30ページの図 12 に、追加の Web IDS

イベントが、イベント・サーバーで受信された後の、イベント・コンソールの「要約図表」ビューの一例を示します。次のシナリオ例では、Web IDS センサーが、2

番目の Web サーバー IBMHTTP1 上に位置し、同一のソース・ホスト Source1からの不審なアクティビティーを検知する場合のアタックの拡大化を説明します。

第 1 章概要 29

このように、追加のセンサー・イベントが受信され、追加のインシデント・イベントとインシデント・グループ・イベントが生成されています。「RM_SensorEvent」バーをクリックし、各種 Tivoli Risk Manager センサーとアダプターから受信されるセンサー・イベントのイベント・ビューアーを起動します。



この例では、複数の不審な要求が、Web IDS の 2 つのインスタンスによって検知され、イベント・サーバーに報告されています。この場合、Source1 からの不審なアクティビティーは、2 つの別個の Web サーバーの Apache1 と IBMHTTP1 をターゲットにしています。

インシデント・イベント (フェーズ 2)19ページの図 6 にある Tivoli Enterprise Console の「要約図表」ビューに戻り、「RM_Incident」イベント・グループをクリックすると、すべての Tivoli Risk



第 1 章概要 31

続いて、図 14 のように、5 つのインシデント・イベントがコンソール上に現在表示されています。

v Source1 から Apache1 をターゲットにする継続的なアクティビティーのスナップショットを反映する 2 つの追加 SrcDstCat インシデント。

v Source1 から IBMHTTP1 をターゲットにする新しいアクティビティーの予想外の発生を反映する 1 つの新しい SrcDstCat インシデント。

v Source1 が、複数の Web サーバーをターゲットにする単一カテゴリーのアタックを使用している事実を反映する単一の SrcCat インシデント。この特定のインシデントは、企業内の複数のシステムをターゲットにする広範囲なアタックを表します。

この時点で、SrcCat インシデント (クラス = RM_SrcCat_Incident) が焦点になります。SrcCat インシデント・グループ・イベントに関する追加の詳細情報は、該当するインシデント・グループを選択してから、選択したイベントをダブルクリックすると参照できます。この操作によって、選択したイベントの詳細ビューが表示されます。インシデント詳細ビューの例については、 24ページの図 9 を参照してください。

詳細ビューに有益な情報は、以下のとおりです。

rm_DestinationTokensアタックのターゲットを表すホスト名 (または IP アドレス) のリスト。


この詳細ビュー以外にも、ある特定のインシデント・イベントをもたらしたセンサー・イベントには、そのインシデント・イベントを選択してから、「情報」ボタンをクリックして、直接アクセスできます。この操作により、Web ブラウザーがロー



ドされ、原因センサー・イベントのビューが表示されます。このアプリケーションの設定方法および使用方法については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。



続いて、図 15 のように、3 つのインシデント・イベントが現在表示されているコンソール上に示されます。

v 2 つの SrcDstCat インシデント・グループ・イベントが、以下の 2 つの別個の予想外のアタックを反映します。

– Apache1 をアタックする Source1

– IBMHTTP1 をアタックする Source1

インシデント・イベント・ビューアーに表示される追加のインシデント・イベントも、ここに反映されています。追加のインシデント・グループ・イベントを作成する代わりに、インシデントは引き続き、既存のインシデント・グループ・イベントに集約されます。この現象の原因として、以下の 2 つが考えられます。

– インシデント・グループ・イベントに関連する repeat_count が加算され、3 になっている (この単一のインシデント・グループ・イベントが、3 つの別個のインシデント・イベントを表しているため)。

– インシデント・グループの重大度が、Minor に変化しているため。

v ソースが、一連の Web サーバーをターゲットにする単一カテゴリーのアタックを使用している事実を反映する単一の SrcCat インシデント・グループ・イベント。このインシデントは、企業内の複数のシステムをターゲットにする広範囲なアタックにフラグを立てます。


第 1 章概要 33

SrcCat インシデント・グループ (クラス =RM_SrcCat_IncidentGroup) を重視する方が、このアタックに関連する追加インシデントを追跡するよりも有効である場合があります。このアタックに関連する追加インシデントは、インシデント・ビューに作成されます。ただし、それらの新しいインシデントは、発生するたびに、既存のインシデント・グループ・イベントに含まれ、重大度が増加し、シグニチャーとターゲット・ホストに関する知識が拡張される可能性があります。SrcCat インシデント・グループ・イベントに関する追加の詳細情報を表示するには、該当するイベントをダブルクリックしてください。この操作により、詳細ビューが表示されます。

インシデント・グループの詳細ビューの例については、 28ページの図 11 を参照してください。



rm_Signatures原因インシデント・イベントのセットから取得される固有シグニチャーのリスト。

この詳細ビュー以外にも、ある特定のインシデント・グループ・イベントをもたらしたインシデント・イベントおよびセンサー・イベントには、そのインシデント・グループ・イベントを選択してから、「情報」ボタンをクリックして、直接アクセスできます。この操作により、Web ブラウザーがロードされ、原因センサー・イベントのビューが表示されます。このアプリケーションの設定方法および使用方法については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

ファイアウォールと Host IDS イベントの追加へのシナリオ: 35ページの図 16

に、追加のイベントが、イベント・サーバーで受信された後の、イベント・コンソールの「要約図表」ビューの一例を表示します。このシナリオの例には、ファイアウォールをモニターするアダプターおよびホスト・システムのアクティビティーをモニターするアダプターから収集されたイベントが含まれます。


このシナリオでは、追加のセンサー・イベントが受信され、追加のインシデント・イベントとインシデント・グループ・イベントが生成されています。「RM_SensorEvent」バーをクリックし、各種 Tivoli Risk Manager センサーとアダプターから受信されるセンサー・イベントのイベント・ビューアーを起動します。


第 1 章概要 35

この例では、複数のターゲットに対する各種アラートが、以下に示される各種カテゴリーを使用して、複数のセンサーおよび複数のソースから受信されています。

v 認証の失敗試行 (SECAUTH.DENY)

v ファイアウォール・ポリシーによって妨害されたサービスへのアクセス (SERV)

v ファイアウォール・ポリシーによって妨害されたネットワーク・サービスへのアクセス (NETLVL)

イベント・トラフィックは、以下のタイプのセンサーから受信しています。

v OS (Host IDS)

v fw_cpfw (Check Point FireWall-1 用アダプター)

v webids (Web IDS センサー)

各センサー・イベントの総数は、急速に大きくなり、個々の単位で追跡することが困難になります。個々のセンサー・イベントから得られる詳細情報は、貴重な情報にもなりますが、より大きな全体像を把握し、アクティビティーの概観を形成するための必須情報となります。インシデント・イベント・ビューは、この大きな全体像の形成に役立つ場合があります。

インシデント・イベント (フェーズ 3)19ページの図 6 にある Tivoli Enterprise Console の「要約図表」ビューに戻り、「RM_Incident」イベント・グループをクリックすると、すべての Tivoli Risk




続いて、図 18 のように、コンソール上に 19 個のインシデント・イベントの増加中のリストが示されます。各種 SrcDstCat インシデントが表示され、各インシデントは、単一カテゴリーの不審なアクティビティーを使用して、ソースと宛先の特定ペア間の相関アクティビティーを示します。

複数の Web サーバーをターゲットにする Source1 のアタックを反映する SrcCat

インシデントも、コンソール上に示されます。

また、2 つのホスト unixhost4 と unixhost5 における複数回の不成功の認証試行を反映する、一連の SrcDstCat インシデントも表示されています。1.1.1.1 が複数のシステムにログオンしようとしている事実は、広範囲の認証アクティビティーを目視する際に有効な SrcCat インシデントによって反映されます。

さらに、各種ソースと宛先間のサービス・アタック・アクティビティー (短縮名SERV) を反映する Cat インシデントも生成されています。この特定の Cat インシデントは、より絞り込まれた特定のインシデントの前に生成されたものです。これは、より広範囲のインシデントに対するしきい値が、より絞り込まれた特定のインシデントの前にトリガーされるためです。

NETLVL イベントに対するインシデント (SensorEvent コンソール・ビューに表示される) は、しきい値がまだトリガーしていないため、この段階では生成されていません。

生成された最新の Cat インシデント・イベントの表す情報に関して、より詳細な内容を表示するには、そのイベントを選択してから、「詳細」ボタンをクリックします (または、イベントをダブルクリックします)。この操作によって、選択したイベントの詳細ビューが表示されます。

インシデント詳細ビューの例については、 24ページの図 9 を参照してください。



第 1 章概要 37


rm_Sensorsアクティビティーを報告するセンサーを表すホスト名 (または IP アドレス)

のリスト。


rm_SourceTokensアタックのソースを表すホスト名 (または IP アドレス) のリスト。

この詳細ビュー以外にも、ある特定のインシデント・イベントをもたらしたセンサー・イベントには、そのインシデント・イベントを選択してから、「情報」ボタンをクリックして、直接アクセスできます。この操作により、Web ブラウザーがロードされ、原因センサー・イベントのビューが表示されます。このアプリケーションの設定方法および使用方法については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。



続いて、図 19 のように、10 個のインシデント・グループ・イベントが現在表示されているコンソール上に示されます。



追加の Web 関連アクティビティーが存在しないため、WEB インシデント・グループの表示は変更されません。

インシデント・グループ・ビュー内のイベントから、より短縮および集中された形式ですが、インシデント・ビューの表示項目と同じような情報が得られます。特に、インシデント・グループ・ビュー内の以下のエントリーは、個別のインシデントの集合体です。

v WEB:Source1=>Apache1 (3 つのインシデントの集約)

v SECAUTH.DENY:1.1.1.1=>* (2 つのインシデントの集約)

v SECAUTH.DENY:1.1.1.1=>unixhost5 (2 つのインシデントの集約)

上記のインシデント・グループをもたらす継続するインシデント・アクティビティーの結果として、関連の重大度と repeat_count の両方が増加しています。

これらのインシデント・グループに関連の追加インシデントはすべて、インシデント・ビューに作成されます。それらの新しいインシデントは、発生するたびに、既存のインシデント・グループ・イベントに含まれ、重大度が増加し、シグニチャーとターゲット・ホストに関する知識が拡張される可能性があります。インシデント・グループに関する追加詳細を表示するには、該当するインシデント・グループ・イベントをダブルクリックします。例えば、SECAUTH.DENY:1.1.1.1=>* インシデント・グループ・イベントを選択すると、その詳細ビューが表示されます。

インシデント・グループの詳細ビューの例については、 28ページの図 11 を参照してください。

インシデント・イベント・タイプ不審なアクティビティーが検知されたとき、Tivoli Risk Manager 相関エンジンによって生成されるインシデント・イベントには、7 つのタイプがあります。この 7 つのデフォルト・タイプを以下に説明します。各タイプのインシデントは、別個のルールによって制御され、他のタイプのインシデントとは無関係に生成されます。

ソース、宛先、カテゴリーの固有の組み合わせ (SrcDstCat)相関エンジンは、各種ソースから (センサー・イベントの形式で) 入力を受信すると、ソース、宛先、およびカテゴリーの各属性から成る固有の組み合わせのすべてを追跡します。ソース、宛先、カテゴリーの特定の組み合わせに対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。ソース、宛先、カテゴリーの固有の組み合わせに対する追加のイベントが受信された場合に限り、その組み合わせに対してトラッキングが継続されます。

このタイプのインシデントは、非常に重要なアクティビティーを表します。

ソースとカテゴリーの固有の組み合わせ (SrcCat)相関エンジンは、宛先に対する関連値を単純に合計しながら、ソース属性とカテゴリー属性の固有の組み合わせのすべてを追跡します。ソースとカテゴリーの特定の組み合わせに対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。ソ

第 1 章概要 39

ースとカテゴリーの固有の組み合わせに対する追加のイベントが受信された場合に限り、その組み合わせに対してトラッキングが継続されます。

このタイプのインシデントは、単一ソースからの、複数ターゲットへの非常に重要なアクティビティーを表します。この例では、このタイプのインシデントは、単独のハッカーが、複数の企業 Web サーバーに対して Web ベース・アタックを行った場合などを示します。

宛先とカテゴリーの固有の組み合わせ (DstCat)相関エンジンは、ソースに対する関連値を単純に合計しながら、宛先属性とカテゴリー属性の固有の組み合わせのすべてを追跡します。宛先とカテゴリーの特定の組み合わせに対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。宛先とカテゴリーの固有の組み合わせに対する追加のイベントが受信された場合に限り、その組み合わせに対してトラッキングが継続されます。

このタイプのインシデントは、複数のソースから行われる、単一の宛先ホストへの非常に重要なアクティビティーを表します。このインシデントは、ハッカーが、複数のホストから企業内の単一の Web サーバーをターゲットにするアタックを実行する場合などを示します。

宛先とソースの固有の組み合わせ (SrcDst)相関エンジンは、カテゴリーに対する関連値を単純に合計しながら、ソース属性と宛先属性の固有の組み合わせのすべてを追跡します。ソースと宛先の特定の組み合わせに対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。ソースと宛先の固有の組み合わせに対する追加のイベントが受信された場合に限り、その組み合わせに対してトラッキングが継続されます。

このタイプのインシデントは、ソース・ホストと宛先のホストの特定のペア間の広範囲のアクティビティーを表します。単一の特定のインシデントは、1 人のハッカーが単一のソースから単一の宛先をターゲットとして一連のアタックを実行する場合などを表します。同一のソースが、2 つの別個の宛先に広範囲のアタックを仕掛けた場合は、このタイプの別個のインシデントが 2 つ以上生成される可能性があります。

カテゴリーの固有の値 (Cat)相関エンジンは、ソースと宛先に対する関連値を単純に合計しながら、不審なアクティビティーの固有のカテゴリーのすべてを追跡します。カテゴリーの特定の値に対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。カテゴリーの特定の値に対する追加のイベントが受信された場合に限り、そのカテゴリーに対してトラッキングが継続されます。

このタイプのインシデントは、各種ソースと各種宛先の間で実行された特定タイプの不審なアクティビティーを表します。


このタイプのインシデントは、複数のソースと宛先の間で実行された特定タイプの広範囲のアクティビティーを表します。このタイプのインシデントは、新しいタイプのアタックが実行された場合に、そのハッカー・コミュニティーの複数のメンバーが、その新しいアタックを実行する場合などを表します。2 つの別々のタイプのアタックが、同じ方法で実行される場合は、このタイプの別個のインシデントが 2

つ以上生成される可能性があります。

ソースの固有の値 (Src)相関エンジンは、カテゴリーと宛先に対する関連値を単純に合計しながら、ソースの固有の値のすべてを追跡します。ソースの特定の値に対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。ソースの特定の値に対する追加のイベントが受信された場合に限り、そのソースに対してトラッキングが継続されます。

このタイプのインシデントは、単一のソースから、複数の宛先をターゲットにして実行された広範囲のアクティビティーを表します。このタイプのインシデントは、単独のハッカーが、企業内の多数のサーバーに対して一連のアタックを実行する場合などを表します。2 人の別々のハッカーが一連のサーバーに対して、広範なアタックを実行した場合は、このタイプの別個のインシデントが 2 つ以上生成される可能性があります。

宛先の固有の値 (Dst)相関エンジンは、カテゴリーとソースに対する関連値を単純に合計しながら、宛先の固有の値のすべてを追跡します。宛先の特定の値に対するイベント・アクティビティーが、設定されたタイム・ウィンドウ内でしきい値を超えた場合は、インシデント・イベントが常に生成されます。宛先の特定の値に対する追加のイベントが受信された場合に限り、その宛先に対してトラッキングが継続されます。

このタイプのインシデントは、複数のソースから、単一の宛先をターゲットにして実行された広範囲のアクティビティーを表します。このタイプのインシデントは、広範囲の連携の取れたアタックが、Web サーバーの 1 つに対して実行された場合などを表します。2 つの広範なアタックが、2 つの Web サーバーに対して実行される場合は、このタイプの別個のインシデントが 2 つ以上生成される可能性があります。

第 1 章概要 41


第 2 章イベント・サーバー

ネットワークにインストールされた各センサーは、単一のリソース、ホストやルーターなど、またはリソースのネットワークをモニターします。アクティビティーが検出されると、各センサーはイベント (アラートとも呼ばれる) のフォーマットで情報を生成し、イベント・サーバーに経路指定します。これらのイベントはそれぞれ、不審なアクティビティーやセキュリティー関連の問題が発生し、センサーがそれを検出したことを表しています。

Tivoli Risk Manager は、受信した Tivoli Risk Manager イベントを分析し、アクティビティーのパターンを検索します。パターン検索の結果、検出された不審なアクティビティーまたは問題を、インシデントと呼びます。インシデントは、Tivoli

Enterprise Console でイベントとして表示されます。インシデントは、Tivoli Risk

Manager イベント・サーバーに経路指定され、分析後、Tivoli Enterprise Console でイベントとして表示されます。イベント・サーバーでの分析後、インシデント・グループ・イベントが作成され、Tivoli Enterprise Console で表示されます。

インシデントとインシデント・グループを識別するプロセスを、相関と呼びます。相関プロセスは、複数のセンサーからの侵入検知情報を厳密に調査し、関連情報を簡潔なフォーマットで表示するため、冗長度とオペレーターの負担を削減します。

相関の構成v インシデントを識別する相関プロセスの構成については、 109ページの『第 7 章インシデント・ベースの相関』に説明があります。

v インシデント・グループを識別する相関プロセスの構成については、この後本章で説明します。

相関プロセス中、または相関ファイルのエラーの結果、発生する可能性があるエラーについては、¢IBM Tivoli Risk Manager 問題判別ガイド」を参照してください。

インシデントとインシデント・グループイベント・サーバーは、インシデント (RM_Incident) イベントを、Tivoli Risk

Manager イベント・クラスと Prolog ルールを使用して Tivoli Enterprise Console サーバーでモニターします。分散相関サーバー、またはイベント・サーバー上で実行されているインシデント・ベースの相関エンジンから、RM_Incident イベントを受信した場合に、インシデント・グループ (RM_IncidentGroup) イベントを生成するよう、イベント・サーバーを構成できます。

RM_IncidentGroup クラスは以下のとおりです。

RM_SrcDstCat_IncidentGroupRM_SrcDstCat_Incident イベントが指定されたしきい値に達した場合に生成されます。


RM_SrcDst_IncidentGroupRM_SrcDst_Incident イベントが指定されたしきい値に達した場合に生成されます。

RM_SrcCat_IncidentGroupRM_SrcCat_Incident イベントが指定されたしきい値に達した場合に生成されます。

RM_DstCat_IncidentGroupRM_DsCat_Incident イベントが指定されたしきい値に達した場合に生成されます。

RM_Src_IncidentGroupRM_Src_Incident イベントが指定されたしきい値に達した場合に生成されます。

RM_Cat_IncidentGroupRM_Cat_Incident イベントが指定されたしきい値に達した場合に生成されます。

Tivoli Risk Manager 相関コンポーネントTivoli Risk Manager サーバーには次のコンポーネントが含まれています。

v エージェント

v .baroc ファイル

v List (.lst) 構成ファイル

v .xml および .conf 構成ファイル

イベント・サーバーにも以下が含まれています。

v Prolog (.pro) 構成ファイル

v Rules (.rls) ファイル

イベント・サーバーの構成Tivoli Risk Manager イベント・サーバーの構成設定は、Prolog 構成ファイル、RMINSTDIR/etc/tec/rules/riskmg_config.pro にあります。このファイルに加えた変更を有効にするには、 rmcorr_cfg コマンドを使用します。このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

イベント・サーバー構成情報については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

拡張構成イベント・サーバーをインストールして必要な構成を実行したら、Prolog 構成設定を変更して、リスト (.lst) ファイルを構成できます。


Prolog 構成設定の変更Prolog 構成設定を変更するには、Prolog 構成ファイル riskmgr_config.pro を編集します。riskmgr_config.pro 構成ファイルは、RMINSTDIR/etc/tec/rules ディレクトリーにあります。

注: このファイルは、Prolog ソース・ファイルです。Prolog のステートメントは、述部と呼ばれます。正しい Prolog 構文を使用してください。

次の点に注意してください。

v 各エントリーの最後にピリオド ( . ) を付ける必要があります。

v ストリングは一重引用符 (’ ’) で囲む必要があります。

v 実数はピリオド ( . ) で終了できません。実数の終わりには、(.0) を付けてください。例えば、25 は 25.0 のように表記する必要があります。

v アンダースコアー ( _ ) は、ワイルドカードとして使用されます。

v 述部の順序は、特にしきい値の設定の場合に重要です。必ず、限定的な定義を最初に指定し、その後に一般的な定義を続けるようにしてください。

Prolog 構成ファイルに加えた変更を有効にするには、 rmcorr_cfg -reconfig コマンドを使用します。このコマンドの使用方法については、「IBM Tivoli Risk

Manager コマンド・リファレンス」を参照してください。

構成オプションの設定については、以下のセクションを参照してください。

v 『インシデント・グループの作成の無効化』

v 46ページの『インシデント・グループのしきい値の設定』

v 47ページの『インシデント・グループの最小重大度の設定』

v 47ページの『センサー・イベントのクローズ』

v 48ページの『非 TME イベント処理プロセスの決定』

インシデント・グループの作成の無効化disable_incident_group_creation 述部を使用すると、RM_IncidentGroup イベントを作成しないようにイベント・サーバーを構成できます。

有効なパラメーターは以下のとおりです。

ALL インシデント・グループの作成が完全に使用不可になります。

Cat インシデント・グループの作成が、RM_Cat_Incident イベントに対して使用不可になります。

Dst インシデント・グループの作成が、RM_Dst_Incident イベントに対して使用不可になります。

DstCatインシデント・グループの作成が、RM_DstCat_Incident イベントに対して使用不可になります。

NONE インシデント・グループの作成が完全に使用可能になります。これはデフォルト値です。

Src インシデント・グループの作成が、RM_Src_Incident イベントに対して使用不可になります。

第 2 章イベント・サーバー 45

SrcCatインシデント・グループの作成が、RM_SrcCat_Incident イベントに対して使用不可になります。

SrcDstインシデント・グループの作成が、RM_SrcDst_Incident イベントに対して使用不可になります。

SrcDstCatインシデント・グループの作成が、RM_SrcDstCat_Incident イベントに対して使用不可になります。

注: デフォルトでは、インシデント・グループの作成は使用可能になっています。

インシデント・グループのしきい値の設定set_incidentgroup_threshold 述部を使用すると、インシデント・グループ・イベントの作成と、割り当てる重大度を制御できます。

set_incidentgroup_threshold(type, metric, harmless, warning, minor,

critical, cust).

説明:

type

Cat このしきい値は、RM_Cat_IncidentGroup イベント用です。

Dst このしきい値は、RM_Dst_IncidentGroup イベント用です。

DstCatこのしきい値は、RM_DstCat_IncidentGroup イベント用です。

Src このしきい値は、RM_Src_IncidentGroup イベント用です。

SrcCatこのしきい値は、RM_SrcCat_IncidentGroup イベント用です。

SrcDstこのしきい値は、RM_SrcDst_IncidentGroup イベント用です。

SrcDstCatこのしきい値は、RM_SrcDstCat_IncidentGroup イベント用です。

アンダースコアー ( _ )このしきい値は、すべての RM_IncidentGroup イベント用です。

metric

level メトリックは、関連する RM_Incident イベントの合計 rm_Level になります。

count メトリックは、RM_IncidentGroup に関連する RM_Incident イベントの件数になります。

harmless

RM_IncidentGroup イベントが severity=’HARMLESS’ で作成される数値しきい値。


warning

RM_IncidentGroup イベントが severity=’WARNING’ で作成される数値しきい値。

minor RM_IncidentGroup イベントが severity=’MINOR’ で作成される数値しきい値。

critical RM_IncidentGroup イベントが severity=’CRITICAL’ で作成される数値しきい値。

cust これはオプションで、通常インシデント・グループを作成する必要がある場合に、通常指定されます。指定されると cust は Tivoli Enterprise Console

サーバーで受信された RM_Incident イベントの rm_CustomerID 属性と照合されます。cust はストリング値なので、set_incidentgroup_threshold 述部で一重引用符で囲む必要があります。特定のしきい値設定を持たないインシデント・グループ・イベントも rm_CustomerID に対して処理されるようにするには、cust 値を持たない set_incident_group_threshold 述部を少なくとも1 つ常に指定する必要があります。

以下は、cust を指定した設定の例です。

set_incidentgroup_threshold(_,’level’,5.0,10.0,30.0,50.0,’ABC Inc’).set_incidentgroup_threshold(_,’level’,1.0,10.0,30.0,50.0,’ZYX Corp’).set_incidentgroup_threshold(_,’level’,20.0,40.0,60.0,100.0).

注: インシデント・グループ・イベントは、metric が harmless 設定に達したときに生成されます。

すべてのインシデント・グループ処理に同じ metric を使用することをお勧めします。ただし、このようにする必要はありません。しきい値に 2 つの metric が使用され、両方の metric のしきい値が設定されている場合は、指定されている level しきい値が相関に使用されます。

インシデント・グループの最小重大度の設定highest_incident_severity_is_minimum_incidentgroup_severity 述部を使用すると、RM_IncidentGroup の重大度が、関連する RM_Incident イベントの重大度より低くならないように設定するよう、Tivoli Risk Manager イベント・サーバーに指示できます。この述部を使用可能にすると、RM_IncidentGroup イベントはしきい値設定よりも高い重大度を持つことができます。

有効なパラメーターは、’yes’ または ’no’ です。

RM_IncidentGroup イベントの重大度を、少なくとも関連するインシデント・イベントの重大度と等しくするには、次のように指定します。

highest_incident_severity_is_minimum_incidentgroup_severity(’yes’)

この機能を使用不可にするには、次のように指定します。

highest_incident_severity_is_minimum_incidentgroup_severity(’no’)

センサー・イベントのクローズclose_sensor_events 述部を使用すると、Tivoli Enterprise Console サーバーに送信された RM_SensorEvents をクローズするよう、Tivoli Risk Manager に指示できま


す。この述部を有効にするには、RM_SensorEvents を Tivoli Risk Manager 相関サーバー (エージェント) で「正規化」しておく必要があります。

有効なパラメーターは、’yes’ または ’no’ です。

例えば、以下のようにします。

close_sensor_events(’no’)close_sensor_events(’yes’)

非 TME イベント処理プロセスの決定システムをうまく構成するには、TME 以外のアダプターやセンサーからも、イベントを Tivoli Risk Manager 相関エージェントに経路指定できなければなりません。TME アダプターからは Tivoli Risk Manager 相関エージェントにイベントを経路指定できないため、TME アダプターからのイベントは自動的にローカルの Tivoli

Risk Manager 相関エージェントに経路指定されます。

non_TME_event_handling 述部を使用すると、非 TME アダプターまたはセンサーからイベントを直接 Tivoli Risk Manager イベント・サーバーに経路指定する方法を指定できます。

有効なパラメーターは、’correlate’、’drop’ および ’ignore’ です。

説明:

’correlate’非 TME RM_SensorEvent イベントは、Tivoli Enterprise Console のルール・ベースの rmlocal.conf ファイルで指定された Tivoli Risk Manager 相関エージェントに経路指定されます。rmlocal.conf ファイルを変更した場合を除き、デフォルト設定ではイベントはローカルの Tivoli Risk Manager 相関エージェントに経路指定されます。これがデフォルトの動作です。

’drop’ 非 TME RM_SensorEvent イベントは、Tivoli Risk Manager 相関エージェントに経路指定されず、したがってインシデントの識別に関係しません。これらのイベントは、イベント・コンソールで表示できず、Tivoli Enterprise

Console データベースに入力されません。

’ignore’非 TME RM_SensorEvent イベントは、Tivoli Risk Manager 相関エージェントに経路指定されず、したがってインシデントの識別に関係しません。これらのイベントは、イベント・コンソールで表示され、Tivoli Enterprise

Console データベースに保管されます。

デフォルトの動作は、’correlate’ です。


non_TME_event_handling(’correlate’).non_TME_event_handling(’drop’).non_TME_event_handling(’ignore’).

リスト・ファイルの構成リスト・ファイルとは、rmcorr_cfg コマンドで使用される構成ファイルを指します。


リスト・ファイルは、以下のとおりです。

v RMINSTDIR/etc/riskmgr_baroc.lst - アクティブな BAROC ファイルのリスト

このファイルは、エージェントが使用します。

v RMINSTDIR/etc/riskmgr_rules.lst - アクティブなルール・ファイルのリスト

v RMINSTDIR/etc/riskmgr_pro.lst - アクティブな Prologファイルのリスト

v RMINSTDIR/etc/riskmgr_cfg.lst - アクティブな Prolog 構成ファイルのリスト

riskmgr_baroc.lst ファイルの構成: riskmgr_baroc.lst ファイルのカスタマイズについては、 51ページの『BAROC リストのカスタマイズ』を参照してください。

riskmgr_rules.lst ファイルの構成: Tivoli Risk Manager のルール・ベースで有効にするカスタム Tivoli Enterprise Console ルールがある場合は、ルールを以下の手順で、riskmgr_rules.lst ファイルに追加してください。

1. ファイルを riskmgr_rules.lst の最後に追加する。

2. ルール (.rls) ファイルを RMINSTDIR/etc/tec/rules ディレクトリーに配置する。

注:

1. RM_SensorEvent イベントを Tivoli NetView で使用可能にする方法を示した、サンプルのルール・ファイルがイベント・サーバーに付属しています。このルール・ファイルを有効にするには、hostname_remap.rls を riskmgr_rules.lst ファイルに追加します。

2. riskmgr_rules.lst ファイルに加えた変更を有効にするには、 rmcorr_cfg-update コマンドを使用します。このコマンドの使用方法については、「IBM

Tivoli Risk Manager コマンド・リファレンス」を参照してください。

riskmgr_pro.lst ファイルの構成: riskmgr_pro.lst ファイルは、変更しないでください。これは、カスタマー・サポート専用のファイルです。

riskmgr_cfg.lst ファイルの構成: このファイルは、ルール・ベースが使用するProlog 構成ファイルの名前を指定します。カスタム・ルールにカスタムの prolog ファイルを作成した場合は、次の手順で、riskmgr_cfg.lst に作成した prolog ファイルを追加します。

1. ファイルを riskmgr_cfg.lst の最後に追加する。

2. Prolog (.pro) ファイルを RMINSTDIR/etc/tec/rules ディレクトリーに配置する。

注: riskmgr_cfg.lst ファイルに加えた変更を有効にするには、rmcorr_cfg-update コマンドを使用します。このコマンドの使用方法については、「IBM


ルール・ファイルの構成ルール (.rls) ファイルには、ルール・ベースに含まれている Tivoli Enterprise

Console ルールが含まれます。

ルール・ファイルは、以下のとおりです。

v RMINSTDIR/etc/tec/rules/riskmanager.rls

v RMINSTDIR/etc/tec/rules/boot.rls


v RMINSTDIR/etc/tec/rules/hostname_remap.rls

riskmanager.rls ファイルの構成: riskmanager.rls ファイルには以下のルールが含まれます。

v 相関に含まれなかった RM_SensorEvent イベントをローカル・エージェントに経路指定するルール。

v インシデント・グループの処理を実行するルール。

riskmanager.rls ファイルは、変更しないでください。Tivoli Risk Manager センサーまたはインシデント・イベントにカスタム・ルールが必要な場合は、独自のルール・ファイルを作成して、そのファイルを Tivoli Risk Manager ルール・ベースに含めます。ルール・ベースへのルール・ファイルの追加に関する詳細については、49ページの『riskmgr_rules.lst ファイルの構成』を参照してください。

boot.rls ファイルの構成: boot.rls ファイルには以下のルールが含まれます。

v riskmanager_config.pro ファイルで指定されている構成オプションをアクティブ化するルール。

v Tivoli Risk Manager ルールと構成設定がアクティブになっていることを確認するルール。これらがアクティブになっていない場合、RM_InputError イベントがTivoli Enterprise Console サーバーで発生します。

boot.rls ファイルは、変更しないでください。Tivoli Enterprise Console サーバーの始動時にカスタム・ルールを実行する必要がある場合は、独自のルール・ファイルを作成して、そのファイルを Tivoli Risk Manager ルール・ベースに含めます。ルール・ベースへのルール・ファイルの追加に関する詳細については、 49ページの『riskmgr_rules.lst ファイルの構成』を参照してください。

hostname_remap.rls ファイルの構成: hostname_remap.rls ファイルは、次のルールを含むサンプルのルール・ファイルです。

v 完全処理された RM_SensorEvent イベントのホスト名属性を rm_SensorHostname

属性値に設定するルール。

v adapter_host 属性を、Tivoli Risk Manager がホスト名属性に設定した複合ストリングに設定するルール。

hostname_remap.rls ファイルのルールは、デフォルトではアクティブになっていません。hostname_remap.rls のルールを使用可能にする方法の詳細については、 49

ページの『riskmgr_rules.lst ファイルの構成』を参照してください。Tivoli Risk

Manager センサー・イベントに応答するのに Tivoli NetView を使用している場合や、Tivoli Risk Manager センサー・イベントに応答するのに頻繁にタスクを使用している場合は、hostname_remap.rls のルールを使用可能にしてください。

Tivoli Risk Manager は、アタック情報をイベント・コンソールで表示するために、複合ストリングをホスト名属性に設定します。この複合ストリングには、以下が含まれます。

v アタックのカテゴリー

v アタックのソース

v アタックの宛先


hostname_remap.rls ファイルを変更して、複合ストリングを adapter_host 以外の属性に再マップできます。

rmcorr_cfg -update コマンドを使用して、hostname_remap.rls ファイルへの変更をアクティブにします。このコマンドの使用方法については、「IBM Tivoli Risk


パフォーマンスの考慮事項Tivoli Enterprise Console サーバーと Tivoli Risk Manager イベント・サーバーの構成オプションが、Tivoli Risk Manager イベント・サーバーのパフォーマンスに影響する場合があります。例えば、イベント・キャッシュのサイズはルール・ベースが一度に処理できるイベント数を制限するため、ルール処理パフォーマンスに影響します。

BAROC リストのカスタマイズ1. RMINSTDIR/etc/riskmgr_baroc.lst ファイルに指定されている .baroc ファイルの中で不要なファイルがあれば除去します。このファイルには、イベント・サーバーがロードする .baroc ファイル群が含まれています。ネットワークにデプロイしないアダプターまたはセンサーの .baroc ファイルは除去できます。例えば、旧式の Netranger アダプターと ISS RealSecure アダプターを使用しない場合は、riskmgr_baroc.lst ファイルから以下のファイルを除去します。

netranger.barocrealsecure.baroc

2. イベント量の最も多いアダプターの .barocファイルを、他のアダプターのファイルより前に置いてください。

3. ネットワークで使用するアダプター用の、追加の BAROC ファイルを加えます。

注:

1. riskmgr_baroc.lst ファイルの最初の 4 エントリーを、除去または置換しないでください。

root.baroctec.barocriskmanager.barocsensor_abstract.baroc

2. rmagent.baroc は置き換えられますが、このエントリーを riskmgr_baroc.lst

ファイルから除去しないでください。

3. riskmgr_baroc.lst ファイルに加えた変更を有効にするには、 rmcorr_cfg-update コマンドを使用します。このコマンドの使用方法については、「IBM


イベント・キャッシュのサイズ設定Tivoli Enterprise Console 環境では、ルールはイベント・キャッシュに保管されているイベントに適用されます。キャッシュがいっぱいになると、イベントは除去されるか、ルールによって処理されなくなります。イベント・キャッシュがいっぱいになると、相関の結果に影響するため、イベント・キャッシュのサイズを確認してください。


Tivoli Enterprise Console または Tivoli Risk Manager サーバーで Tivoli Enterprise

Console のイベント・キャッシュのサイズを検査するには、Tivoli Enterprise Console

製品に含まれている wlsesvrcfg コマンドを使用します。このコマンドの使用方法については、「IBM Tivoli Enterprise Console リファレンス・マニュアル」を参照してください。

Tivoli Enterprise Console のイベント・キャッシュ・サイズの値は 3000 エントリーとすることをお勧めします。イベント・キャッシュのサイズを変更するには、以下のように入力します。

wsetesvrcfg -c 3000

注: イベント・キャッシュのサイズが正しく設定されていない場合、Tivoli

Enterprise Console サーバーは、アクティブなルールが受信したイベントを処理するために、キャッシュを空にする場合があります。キャッシュがこのように空にされると、Tivoli Enterprise Console サーバーは、メッセージを「ルール・キャッシュがいっぱいです: 強制的にクリーニングが行われます。(Rule cache

full: forced cleaning.)」に設定して、TEC_Notice イベントを発行します。強制キャッシュ・クリーニングが発生すると、次の事態が発生することがあります。

v 既存のインシデント・グループ・イベントの処理が停止したように見える場合があります。これは、既存の RM_IncidentGroup イベントが処理に関連する追加イベントを受信しない場合に発生します。

v インシデント・グループ・イベントがイベント・リポジトリーで複写される場合があります。複写は、インシデント・グループに関連する追加イベントがサーバーに受信された場合に発生します。RM_IncidentGroup イベントの元のインスタンスがキャッシュから除去され、ルールで処理されなくなったために、複写が発生します。元の RM_IncidentGroup は更新されません (上記の箇条書きを参照)。

属性のフィルター操作属性をフィルター操作して、Tivoli Enterprise Console サーバーに送信されないように設定できます。

使用しているエージェントおよび分散相関サーバーで、eif_sender.conf ファイルに属性を追加し、一部の拡張スロットを Tivoli Enterprise Console サーバーに送信しないように構成できます。このフィルター操作の例については、RMINSTDIR/etc/templates/sensorevent/attributefilter.xml ファイルを参照してください。


attributefilter=filename

エージェント送信側でのインスタンス・カウントの設定大量のイベント・データがある場合、使用している送信側のいずれかをバックログできます。wrmqueue -l コマンドを使用すると、キュー・サイズが増大する場合があります。このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。Tivoli Risk Manager を調整して、このよ


うな送信側のイベントを複数スレッドで処理することができます。この処理を行うには、rmagent.xml ファイルを編集し、送信側に instanceCount="number" を追加します。


<sender name="eif_sender" class="com..." instance Count="8">

Tivoli Risk Manager BAROC ファイル各アダプターとセンサーには、サポートするイベントのクラスを記述した BAROC

ファイルが付属しています。アダプターまたはセンサーは通常、BAROC ファイルを使用しませんが、BAROC ファイルはアダプターとイベント・サーバー間の必須リンクの役割を果たします。 Tivoli Enterprise Console および Tivoli Risk Manager

相関サーバーがアダプターまたはセンサーから受信したイベントを認識するには、BAROC ファイルをロードする必要があります。BAROC ファイルには通常、.baroc の拡張子が付いています。Tivoli Risk Manager では、デフォルトでロードされる既知の BAROC ファイルのリストが用意されています。このファイルRMINSTDIR/etc/riskmgr_baroc.lst は、rmcorr_cfg コマンドがルール・ベースを操作するときと、Tivoli Risk Manager 相関エージェントが相関用にアクティブ化するBAROC ファイルを決定するときに使用されます。

Tivoli Risk Manager BAROC ファイルには、イベント・クラスの階層が含まれています。すべてのイベント・クラスは EVENT クラスから継承します。また、すべての Tivoli Risk Manager イベント・クラスは RM_Event から継承します。Tivoli

Risk Manager の最上位の抽象クラス、およびコンポーネント・イベント・クラスは、RMINSTDIR/etc/baroc サブディレクトリーにある BAROC ファイルで定義されています。

表 2 に、Tivoli Risk Manager に付属している BAROC ファイルについての説明がリストされています。

表 2. BAROC ファイル

BAROC ファイルの名前クラスのタイプ

cpfw.baroc Check Point FireWall-1 用アダプターのイベント・クラス。また、これらのイベント・クラスは、いくつかの汎用ファイアウォール・イベントを定義します。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

crouter_snmp.baroc Cisco ルーター用アダプターのイベント・クラス。また、これらのイベント・クラスは、汎用ルーター・イベントを定義します。このファイルには、Cisco ルーター用のクラス派生が含まれています。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

csids.baroc Cisco Secure IDS 用アダプターのイベント・クラス。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

generic.baroc アダプターの迅速な展開を容易にするために使用される汎用クラス。このファイルで定義されるクラスは、sensor_abstract.baroc ファイルで定義されるクラスに依存します。


表 2. BAROC ファイル (続き)


nids.baroc Tivoli Risk Manager のネットワーク IDS イベント・クラス。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

os.baroc Host IDS 用アダプターのイベント・クラス。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。注: BAROC ファイルの使用は避けてください。Host IDS アダプターは、generic.baroc に定義されたイベント・クラスを使用します。

os_linux.baroc Linux の Host IDS 用アダプター。このファイルのイベント・クラスは、os.baroc ファイルのクラスに依存します。注: BAROC ファイルの使用は避けてください。Host IDS アダプターは、generic.baroc に定義されたイベント・クラスを使用します。

os_unix.baroc UNIX (AIX および Solaris) オペレーティング・システムの、Host IDS 用アダプターのイベント・クラスこのファイルのクラスは、os.baroc ファイルのクラスに依存します。注: BAROC ファイルの使用は避けてください。Host IDS アダプターは、generic.baroc に定義されたイベント・クラスを使用します。

os_windows.baroc Windows システムの Host IDS 用アダプター。このファイルのイベント・クラスは、os.baroc ファイルのクラスに依存します。注: BAROC ファイルの使用は避けてください。Host IDS アダプターは、generic.baroc に定義されたイベント・クラスを使用します。

pix.baroc Cisco Secure PIX Firewall 用アダプターのイベント・クラス。また、これらのイベント・クラスは、いくつかの汎用ファイアウォール・イベントを定義します。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

realsecure.baroc ISS RealSecure 用アダプターのホスト・ベースおよびネットワーク・ベースのイベント・クラス。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

riskmanager.baroc 相関に使用される Tivoli Risk Manager クラス。

rmagent.baroc エージェントのアクティビティーと構成に関連するイベント。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。

rmvirus.baroc Norton AntiVirus 用アダプターのイベント・クラスと McAfee

Alert Manager 用アダプターのイベント・クラス。また、これらのイベント・クラスは、汎用アンチウィルス・イベントを定義します。このファイルのイベント・クラスは、sensor_abstract.baroc

ファイルのクラスに依存します。


表 2. BAROC ファイル (続き)


sensor_abstract.baroc センサーに関連した最上位の抽象クラス。これらのクラスのインスタンスを Tivoli Enterprise Console に送信しないでください。このファイルのクラスは、riskmgr.baroc ファイルのクラスに依存します。

webids.baroc Web IDS イベント・クラス。このファイルのクラスは、sensor_abstract.baroc ファイルのクラスに依存します。



第 3 章データベース

Tivoli Risk Manager データベースは、Tivoli Risk Manager が処理するすべてのイベントのリポジトリーです。この章では、データベースの構造と保守方法について説明します。

データベースの構成Tivoli Risk Manager データベースは、以下で構成されています。

v Tivoli Enterprise Console データベース

v Tivoli Enterprise Console 表とビュー

v Tivoli Risk Manager 表とビュー

Tivoli Enterprise Console データベースTivoli Risk Manager は、サポートされるすべてのデータベースで、Tivoli Enterprise

Console と同じ TEC という名前のデータベースを使用します。

Tivoli Risk Manager データベースのサポート情報については、「IBM Tivoli Risk

Manager リリース情報」を参照してください。

Tivoli Enterprise Console 表とビューTivoli Enterprise Console データベースの表とスキーマは、「IBM Tivoli Enterprise

Console リファレンス・マニュアル」にリストされています。これらの表とスキーマは、以下のように分類されます。

v 受信ログ表 - tec_t_evt_rec_log 表。

v イベント・リポジトリー表 - tec_t_evt_rep 表、tec_t_slots_evt 表と tec_t_task_evt

表で構成。

v イベント・コンソール用の表とビュー - オブジェクトは、tec_v_console_list ビューと、tec_t_consoles、tec_t_operators、tec_t_event_groups、tec_t_eg_whrclause、tec_t_assign_op、および tec_t_assign_eg の各表。

v Tivoli Enterprise Console のルール処理用表 - オブジェクトは tec_t_isa、tec_t_enumerations、tec_t_status_event、および tec_t_status_task の各表。

v Tivoli Risk Manager で使用されない、その他の表とビュー。

Tivoli Risk Manager 表とビューTivoli Risk Manager は、次の 4 つの機能を実行する目的でデータベース・オブジェクトを Tivoli Enterprise Console データベースに追加します。

1. イベント・アーカイブ

2. Web アプリケーション

3. オンライン・レポート (Crystal Reports)

4. Tivoli Enterprise Data Warehouse (TEDW)


表 3 に、Tivoli Risk Manager が追加するオブジェクトを示します。

表 3. Tivoli Risk Manager の表、ビューおよびその他のデータベース・オブジェクト

表またはビュー

説明

rm_t_arc41 Tivoli Risk Manager イベント・アーカイブ表。イベントは、Tivoli

Risk Manager エージェント・コンポーネントの Database Archiver によってここにアーカイブされます。イベント・アーカイブは、Web アプリケーション、オンライン・レポート (Crystal Reports) 、またはTivoli Enterprise Data Warehouse (TEDW) で使用されます。

rm_v_inc すべての Tivoli Risk Manager インシデント・イベントとその拡張スロット (RM_Incident クラスで定義) が含まれている Tivoli Enterprise

Console イベント・リポジトリー表のビュー。インシデント・ビューは、インシデント・グループに関連するインシデント・イベントを表示するために、Web アプリケーションで使用されます。

rm_v_inc_sub すべての Tivoli Risk Manager インシデント・イベントのスロットのサブセットが含まれている Tivoli Enterprise Console イベント・リポジトリー表のビュー。サブセット・インシデント・ビューは、1 次キー (サーバー・ハンドル、イベント・ハンドル、受信タイム・スタンプ)、イベント状況、インシデント・グループ ID を選択します。このビューは、インシデント・グループに関連するインシデント・イベントをクローズするために、データベース・ユーティリティーで使用されます。

rm_v_inc_grp すべての Tivoli Risk Manager インシデント・グループ・イベントとその拡張スロット (RM_IncidentGroup クラスで定義) が含まれているTivoli Enterprise Console イベント・リポジトリー表のビュー。

rm_v_inc_grp_sub すべての Tivoli Risk Manager インシデント・グループ・イベントのスロットのサブセットが含まれている Tivoli Enterprise Console イベント・リポジトリー表のビュー。サブセット・インシデント・グループ・ビューは、1 次キー (サーバー・ハンドル、イベント・ハンドル、受信タイム・スタンプ)、イベント状況、インシデント・グループID および、グループの最後のインシデントのタイプ・スタンプを選択します。このビューは、インシデント・グループに関連するインシデント・イベントをクローズするために、データベース・ユーティリティーで使用されます。

イベント・アーカイブ表の作成Tivoli Enterprise Console の場合と同様に、イベント・サーバーをインストールした後に、Tivoli Risk Manager データベースのオブジェクトを作成する必要があります。アーカイブ表の作成については、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

注: Tivoli Risk Manager の以下の機能を使用する場合は、アーカイブ表を作成する必要があります。

v イベント・アーカイブ

v Web アプリケーション

v オンライン・レポート (Crystal Reports)

v Tivoli Enterprise Data Warehouse (TEDW)


アーカイブ表の定義アーカイブ表 (rm_t_arc41) の定義は、Tivoli Enterprise Console のコア表(tec_t_evt_rep) の列のサブセットと、Tivoli Enterprise Console スロット表(tec_t_slots_evt) から選択された Tivoli Risk Manager 固有のスロットに基いています。

60ページの表 4 に、アーカイブ表の列の説明と、Tivoli Enterprise Console イベント・リポジトリー・データベースでの元の列が示されています。イベント表(tec_t_evt_rep) から取得された列は、元の表列に記載がなければ、アーカイブ表でも同じ列名を持ちます。スロット表 (tec_t_slots_evt) から取られた列については、( )

内にスロット名が記載されています。

第 3 章データベース 59

表4.アーカイブ表の列と

Tiv

oli

Ent

erpr

ise

Con

soleイベント・リポジトリー・データベースでのオリジン

列名

データ・タイプ

元の表

(スロット

)説明

SER

VE

R_H

ND

LIn

tege

rte

c_t_

evt_

rep

Tiv

oli

Ent

erpr

ise

Con

soleサーバーの固有

ID(イベン

ト・レコード鍵の一部

)。

DA

TE

_RE

CE

PTIO

NIn

tege

rte

c_t_

evt_

rep

1970年

1月

1日からの秒数で表した、イベント受信

時の協定世界時

(UT

C)

(イベント・レコード鍵の一

部)。

EV

EN

T_H

ND

LIn

tege

rte

c_t_

evt_

rep

同じ

date

_rec

eptio

n値を持つイベントの固有

ID(イベ

ント・レコード鍵の一部

)。

TIM

EST

AM

P32

Inte

ger

tec_

t_sl

ots_

evt

(rm

_Tim

esta

mp3

2)19

70年

1月

1日からの秒数で表した、イベント生成

時の協定世界時

(UT

C)。

TIM

E_E

VE

NT

Tim

esta

mp

*te

c_t_

slot

s_ev

t(r

m_T

imes

tam

p32)

イベントの日付と時刻

(UT

C)。

CL

ASS

Var

char

(64)

tec_

t_ev

t_re

pイベント・クラス名。

VE

RSI

ON

Var

char

(32)

tec_

t_sl

ots_

evt

(rm

_Ver

sion

)T

ivol

iR

isk

Man

agerのリリース番号と

CM

VCバージ

ョン番号の組み合わせ、「

4.1_

1.2」など。　

EV

EN

T_T

YPE

Var

char

(16)

tec_

t_ev

t_re

p(S

UB

_SO

UR

CE

)T

ivol

iR

isk

Man

agerイベントのタイプ

(ID

Sまたは各

種)。

AB

STR

AC

TV

arch

ar(1

28)

tec_

t_ev

t_re

p(H

OST

NA

ME

)センサー・ホスト名、宛先ホスト名、ソース・ホスト

名、イベント・カテゴリーから成る複合フィールド。

MSG

Var

char

(255

)te

c_t_

evt_

rep

Tiv

oli

Ent

erpr

ise

Con

soleに表示される説明メッセー

ジ。

CO

RR

EL

AT

ED

Var

char

(5)

tec_

t_sl

ots_

evt

(rm

_Cor

rela

te)

インシデントが存在しているかの判定に、イベントが

相関エンジンによって使用されたかどうか。

2つある

有効値は、

yesまたは

no。

CO

RR

EL

AT

OR

_HO

STV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Cor

rela

tedB

yAge

nt)

相関を実行したホスト。相関が実行されていない場合

は「

N/A」。

CO

RR

_LE

VE

LR

eal

tec_

t_sl

ots_

evt

(rm

_Lev

el)

イベント相関中にしきい値の計算に使用されたイベン

ト重大度を表す数値指定。

SEV

ER

ITY

Var

char

(16)

tec_

t_ev

t_re

pイベントの重大度レベル。

RE

PEA

T_C

OU

NT

Inte

ger

tec_

t_ev

t_re

p同じイベントの繰り返し発生件数。

AD

APT

ER

_HO

STV

arch

ar(1

28)

tec_

t_ev

t_re

pイベントを報告したイベント・アダプターがインスト

ールされているホストの名前。



Tiv

oli

Ent

erpr

ise

Con


(続き

)

列名


元の表

(スロット

)説明

SEN

SOR

_TY

PEV

arch

ar(3

2)te

c_t_

evt_

rep

(SU

B_O

RIG

IN)

報告を行ったホストのセンサー・タイプ

(net

rang

er、

web

idsなど

)。

SEN

SOR

_HO

STN

AM

EV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Sen

sorH

ostn

ame)

イベントを報告したホストの名前。

SEN

SOR

_IPA

DD

RV

arch

ar(3

2)te

c_t_

evt_

rep

(OR

IGIN

)イベントを報告したホストの

IPアドレス。

SEN

SOR

_OS

Var

char

(32)

tec_

t_sl

ots_

evt

(rm

_Sen

sorO

S)センサーがインストールされているホストのオペレー

ティング・システムのタイプ。

SEN

SOR

_TO

KE

NV

arch

ar(1

28)

rm_S

enso

rTok

enイベントの正規化中に、センサー

(またはアダプター

)

のタイプと、センサー

(またはアダプター

)を稼働する

ホスト名を示すストリングに割り当てられる値。

rm_S

enso

rTok

enは、イベントを識別したセンサーを一

意的に識別します。

SRC

_TO

KE

NV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Sou

rceH

ostn

ameまたは

rm_S

ourc

eIPA

ddr)

侵入イベントのソースとして特定されたホストの正規

化名。通常はホスト名。ホスト名が定義されていない

場合は、

IPアドレス。

SRC

_HO

STN

AM

EV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Sou

rceH

ostn

ame)

侵入イベントのソースとして特定されたホストの名

前。

SRC

_IPA

DD

RV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_S

ourc

eIPA

ddr)

侵入イベントのソースとして特定されたホストの

IPア

ドレス。

SRC

_PO

RT

Var

char

(16)

tec_

t_sl

ots_

evt

(rm

_Src

Port

)侵入イベントのソースとして特定されたホストのポー

ト番号

(または名前

)。

DST

_TO

KE

NV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Des

tinat

ionH

ostn

ameまたは

rm_D

estin

atio

nIPA

ddr)

侵入イベントのターゲットとして特定されたホストの

正規化名。通常はホスト名。ホスト名が定義されてい

ない場合は、

IPアドレス。

DST

_HO

STN

AM

EV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Des

tinat

ionH

ostn

ame)


名前。

DST

_IPA

DD

RV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_D

estin

atio

nIPA

ddr)


IPアドレス。

DST

_PO

RT

Var

char

(16)

tec_

t_sl

ots_

evt

(rm

_Dst

Port

)侵入イベントのターゲットとして特定されたホストの

ポート番号

(または名前

)。

SIG

NA

TU

RE

Var

char

(255

)te

c_t_

slot

s_ev

t(r

m_S

igna

ture

)侵入イベントを特定する説明ストリング。

CL

ASS

_CA

T_D

ESC

Var

char

(64)

tec_

t_sl

ots_

evt

(rm

_Cla

ssC

ateg

oryD

escr

iptio

n)イベント相関に使用されたカテゴリーの説明。



Tiv

oli

Ent

erpr

ise

Con


(続き

)

列名


元の表

(スロット

)説明

CL

ASS

_CA

TV

arch

ar(1

6)te

c_t_

slot

s_ev

t(r

m_C

lass

Cat

egor

y)イベント相関に使用されたカテゴリーの短縮名。

PRO

TO

CO

LV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_P

roto

col)

使用されている通信プロトコル。

SER

VIC

EV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_S

ervi

cena

me)

侵入イベントに関係したサービスの名前

(Tel

net、

FTP

など

)。

CU

STO

ME

R_I

DV

arch

ar(6

4)te

c_t_

slot

s_ev

t(r

m_C

usto

mer

ID)

侵入イベントのターゲットであるカスタマー

(個人また

は企業

)の

ID

CA

TE

GO

RY

Var

char

(32)

tec_

t_sl

ots_

evt

(rm

_Cat

egor

y)各種イベントのカテゴリー

(アクセス、構成、ポリシ

ー、状態など

)。

PRIN

CIP

AL

Var

char

(64)

tec_

t_sl

ots_

evt

(rm

_Pri

ncip

al)

各種イベントを開始したユーザーまたはグループ

ID。

OB

JEC

T_T

YPE

Var

char

(32)

tec_

t_sl

ots_

evt

(rm

_Obj

ectT

ype)

各種イベントのオブジェクト・タイプ

(ファイル、シス

テム、ユーザー、グループなど

)。

OB

JEC

TV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Obj

ect)

各種イベントのオブジェクト名

(ファイル名、ホスト

名、ユーザー名、ユーザー・グループ、アプリケーシ

ョン名など

)。

SEC

_OB

JEC

T_T

YPE

Var

char

(32)

tec_

t_sl

ots_

evt

(rm

_Sec

onda

ryO

bjec

tTyp

e)各種イベントのオブジェクト・タイプ

(ファイル、シス

テム、ユーザー、グループなど

)。2位レベルのオブジ

ェクト

(グループ内でのユーザー

IDの変更など

)。

SEC

_OB

JEC

TV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Sec

onda

ryO

bjec

t)各種イベントのオブジェクト名

(ファイル名、ホスト

名、ユーザー名、ユーザー・グループ、アプリケーシ

ョン名など

)。2位レベルのオブジェクト

(グループ内

でのユーザー

IDの変更など

)。

AC

TIO

NV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_A

ctio

n)各種イベントのアクション

(作成、変更、削除、開始、

停止など

)。

RE

SUL

TV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_R

esul

t)各種イベントの結果

(成功、完了、失敗、拒否など

)。

VU

LN

_ID

_TY

PEV

arch

ar(3

2)te

c_t_

slot

s_ev

t(r

m_N

ameT

ype)

ぜい弱性

IDのタイプ

(CV

E、

Bug

Tra

q、ベンダー定義

など

)。

VU

LN

_ID

Var

char

(64)

tec_

t_sl

ots_

evt

(rm

_Nam

eID

)ぜい弱性

ID(C

VEからなど

)。

VU

LN

_DA

TA

Var

char

(255

)te

c_t_

slot

s_ev

t(r

m_N

ameD

ata)

ぜい弱性に関する追加情報。

LO

G_D

AT

AV

arch

ar(2

55)

tec_

t_sl

ots_

evt

(rm

_Log

Dat

a)追加イベント・データ。



Tiv

oli

Ent

erpr

ise

Con


(続き

)

列名


元の表

(スロット

)説明

FAL

SE_P

OS

Var

char

(16)

tec_

t_sl

ots_

evt

(rm

_Fal

sePo

sitiv

e)報告なし異常

(fal

sepo

sitiv

e)以外は、

NO。報告なし異

常の場合は、報告なし異常を判定した

OPE

RA

TO

R、

PRO

GR

AMなどの方法。

FAL

SE_P

OS_

IDV

arch

ar(1

28)

tec_

t_sl

ots_

evt

(rm

_Fal

sePo

sitiv

eID

)報告なし異常

(fal

sepo

sitiv

e)以外は

<N

UL

L>。報告な

し異常の場合は、オペレーター名、相関ホスト名など

報告なし異常を判定したメカニズムの識別名。


注: DB2 では、TIMESTAMP タイプは、日付と時刻を両方表します。Oracle とMicrosoft SQL データベースでは、TIME_EVENT は DATE タイプとDATETIME タイプのそれぞれで表されます。

データベースの保守とサポートTivoli Risk Manager データベースの保守とサポートのツールは以下のとおりです。

v Tivoli Risk Manager データベース・ユーティリティー

v Tivoli Enterprise Console データ管理ユーティリティー

v RDBMS Interface Module (RIM) サポート・ユーティリティー

Tivoli Risk Manager データベース・ユーティリティーTivoli Risk Manager では、イベント・データベースの保守用にコマンド行ユーティリティーが用意されています。表 5 に、これらのユーティリティーがリストされています。

表 5. イベント・データベースの保守用のコマンド行ユーティリティー

コマンド目的

wrmdbclear (UNIX) クローズされた Tivoli Risk Manager イベントをイベント・リポジトリー表とイベント・アーカイブ表から除去する

wrmdbclear.cmd (Windows) クローズされた Tivoli Risk Manager イベントをイベント・リポジトリー表とイベント・アーカイブ表から除去する

wrmdbclose (UNIX) Tivoli Risk Manager イベントをイベント・リポジトリー表でクローズする

wrmdbclose.cmd (Windows) Tivoli Risk Manager イベントをイベント・リポジトリー表でクローズする

これらのユーティリティーについては、以下で詳しく説明します。

イベント除去プログラム (wrmdbclear)イベント除去プログラムは、時間単位で指定されたユーザー指定の時間しきい値より前の、Tivoli Risk Manager イベントを除去します。削除処理を実行する前に、ユーザーに確認のプロンプトが表示されます。

このプログラムは、Tivoli Enterprise Console イベント・リポジトリーと Tivoli Risk

Manager アーカイブ表の両方からイベントを除去するために使用できます。ただし、同時に実行することはできません。プログラムを別個に起動して Tivoli

Enterprise Console イベント・リポジトリーおよび Tivoli Risk Manager アーカイブ表からイベントを除去する必要があります。

構文

wrmdbclear -t hours [-D] [ -a | -e ] [-b records] [-f] [-c configfile] [RIM_object]

入力パラメーター

-t hours

経過時間しきい値。指定された時間数よりも古いイベントが除去されます。デフォルト値はありません。最小値は 0 (時間) です。アーカイブ表または


イベント・リポジトリーのイベントの場合、時間の比較はイベントの受信時間に対して行われます。0 (ゼロ) が指定された場合、コマンドを実行した現在時刻より前のイベントはすべて除去されます。

-D デバッグ。デバッグ情報とトレース情報を STDOUT に出力します。デフォルト値はデバッグなしです。

-a Tivoli Risk Manager アーカイブ表内のイベントのみ除去されます。デフォルト値は、off です。

-e Tivoli Enterprise Console イベント・リポジトリー内の Tivoli Risk Manager

イベントのみが除去されます。デフォルト値は、on です。

-b records

非推奨。n 個のレコードが削除されるごとに、データベースはコミットされます。デフォルト値は 100 個のレコードです。このオプションの指定がコマンド操作に影響を与えることはありません。

-f 強制除去。確認プロンプトは表示されません。デフォルト値は、off です。

-c configfile

Tivoli Risk Manager によりインストールまたは構成されたものとは異なるデータベースのデータベース構成データを含む構成ファイルを、オプションで指定可能にします。ファイルは db_sender.conf ファイルと同様のフォーマットである必要があります。完全指定されたファイル名をパラメーターとして入力してください。このパラメーターが指定されていない場合、RMADHOME/etc ディレクトリーの db_sender.conf ファイルのバージョンがデータベース構成情報の取得に使用されます。

RIM_object非推奨。イベントが保管される RIM データベースです。デフォルト値は、tec です。このオプションの指定がコマンド操作に影響を与えることはありません。

このコマンドの詳細については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

イベント・クローズ・プログラム (wrmdbclose)イベント¥クローズ・プログラムは、ユーザー指定のしきい値よりも古い Tivoli Risk

Manager イベントをすべてクローズするために使用できます。

インシデント・グループ・イベントのクローズにこのプログラムを使用すると、関連するすべてのインシデント・イベントもクローズされます。さらにこのプログラムは、イベント・サーバーに RM_CloseIncidentGroups などの特殊なイベントを送信するため、インシデント・グループに関連する既存の相関ファクトは Tivoli

Enterprise Console のキャッシュからパージされます。この特殊なイベントに組み込まれている属性の 1 つに、RMINSTDIR/etc/tec/rules/riskmgr_flush.dat ファイルから取得される共有秘密鍵があります。

このコマンドは共有秘密鍵を含むファイルにアクセスする必要があるため、Tivoli

Enterprise Console サーバーからのみ実行してください。

構文

wrmdbclose -t hours [-D] [-e | -g | -h | -i | -r | -s] [-c configfile] [RIM_object]



-t hours

経過時間しきい値。指定された時間数より古いインシデントとイベントがクローズされます。デフォルト値はありません。最小値は 0 (時間) です。この場合、すべてのイベントがクローズされます。インシデントおよびインシデント・グループの場合、時間の比較は、それぞれ最後に関連するイベントまたはインシデントの時間に対して行われます。センサー・イベントの場合、時間の比較はイベントの受信時間に対して行われます。

-D デバッグ。デバッグ情報とトレース情報を STDOUT に出力します。デフォルト値はデバッグなしです。

-e 内部エラー・イベント (RM_Error クラス) のみがクローズされます。

-g インシデント・グループ・イベント (RM_IncidentGroup クラス) とその関係インシデント (RM_Incident クラス) のみがクローズされます。

-h トラステッド・ホスト・イベント (RM_TrustedHost クラス) のみがクローズされます。

-i インシデント・イベント (RM_Incident クラス) のみがクローズされます。

-r 検出されたセンサー・ホスト・イベント (RM_Sensor クラス) のみがクローズされます。

-s センサー・イベント (RM_SensorEvent クラス) のみがクローズされます。

-c configfile

Tivoli Risk Manager によりインストールまたは構成されたものとは異なるデータベースのデータベース構成データを含む構成ファイルを、オプションで指定可能にします。ファイルは db_sender.conf ファイルと同様のフォーマットである必要があります。完全に指定されたファイル名をパラメーターとして入力してください。このパラメーターが指定されていない場合、RMADHOME/etc ディレクトリーの db_sender.conf ファイルのバージョンがデータベース構成情報の取得に使用されます。

RIM_object使用しないでください。イベントが保管される RIM データベースです。デフォルト値は、tec です。このオプションの指定がコマンド操作に影響を与えることはありません。


Tivoli Enterprise Console データ管理ユーティリティーTivoli Enterprise Console には、Tivoli Enterprise Console データベースのデータに直接アクセスするためのユーティリティーが多数用意されています。表 6 に、これらのユーティリティーがリストされています。

表 6. Tivoli Enterprise Console データベース・ユーティリティー

コマンド目的

wtdbclear イベント・データベースからのイベントのクリア

wtdbclear.pl データベースをクリアする Perl スクリプト


表 6. Tivoli Enterprise Console データベース・ユーティリティー (続き)

コマンド目的

wtdbspace データベースへの統計の提供

wtdbstat データベースの状況の表示

wtdumper イベント・レポートの生成 (イベント・リポジトリー表のダンプ)

wtdumprl 受信イベントのレポート生成 (受信ログのダンプ)

wtdumptr 完了タスクのレポート生成 (タスク表のダンプ)

これらのユーティリティーについては、「IBM Tivoli Enterprise Console リファレンス・マニュアル」で説明されています。上の表にリストされたユーティリティーはすべて、tec RIM オブジェクトを介してデータベースにアクセスします。

RIM サポート・ユーティリティーTivoli Enterprise Console からのデータベース・アクセスは、RIM を介して行われます。一部の RIM ユーティリティーは、Tivoli Enterprise Console データベースの問題の診断に有用です。表 7 に、RIM ユーティリティーがリストされています。

表 7. RIM ユーティリティー

コマンド目的

wcrtrim RIM オブジェクトの作成

wgetrim RIM オブジェクトに関する情報のリスト

wrimtest RIM オブジェクトの接続と機能の検証

wrimtrace RIM オブジェクトのトレースを使用可能または使用不可にする

wsetrim RIM オブジェクトのデータベース情報の変更

wsetrimpw RIM オブジェクト・データベースの RIM パスワードの設定

wrimsql RIM オブジェクトを介した SQL の実行

これらのユーティリティーについては、「Tivoli Management Framework リファレンス・マニュアル」で説明されています。



第 4 章エージェント

エージェントは、Tivoli Risk Manager イベント・サーバーのコンポーネント (クライアント、分散相関サーバー、およびゲートウェイ) です。エージェントは、Linux

デーモン、UNIX ベースのシステムのデーモン、および Windows サービスとして実行される Java アプリケーションです。エージェントは、インストール中に選択したシステム構成によって、異なる構成になります。デフォルトで、Tivoli Risk

Manager インストール・プログラムは、インストール・プロセス中に選択されたシステムをサポートするための適切なエージェント構成を作成します。

本章では、以下について説明します。

v エージェントについて

v エージェントの構成エレメント

v インストールおよび自動構成後のエージェントの管理

v エージェント構成のカスタマイズ。エージェントは、エージェント内およびエージェントとリモート・イベントの宛先の間の両方において、柔軟な経路指定およびフィルター操作を可能にします。この柔軟性を活用するために、エージェント構成をカスタマイズします。

概説エージェントは、相関エンジンがあるイベント・ルーターです。受信したイベントを変更でき、同様に、受信したイベント情報またはモニターされたシステム・リソースに基づいて新規イベントも作成できます。エージェントの構成は、受信または生成したイベントに対してエージェントが実行するプロセスを決定します。

各エージェントは、ソース、宛先、およびコネクターのセットで構成されます。また、フィルターおよびエンジンもエージェントに対して構成できます。コネクターを除き、各設定は固有の名前によって識別されます。

ソース各ソース定義は、イベント・ソースからイベントを受信、またはサブコンポーネント処理の一部としてイベントを生成するエージェントのサブコンポーネントを定義します。イベントは、非認証ソケットや SSL など、さまざまなイベント・プロトコルを使用して受信できます。 Tivoli Risk Manager イベント・モニターは、イベントを識別および生成するサブコンポーネントの一例です。エージェントは、複数のソースを構成できます。

宛先各宛先定義は、1 つ以上の受信側アプリケーションにイベントを送信するエージェントのサブコンポーネントを定義します。受信側アプリケーションは、別の Tivoli Risk Manager システム、Tivoli Enterprise Console サーバー、またはリレーショナル・データベースなどです。エージェントには、複数の宛先を構成できます。

エンジンエンジン定義は、イベント分析および相関を実行するエージェントのサブコンポーネントを定義します。エンジンを構成し、簡単なイベント要約 (クラ


イアントにおけるデフォルト構成) または Tivoli Risk Manager 相関 (サーバーにおけるデフォルト構成) を実行できます。エージェントに定義可能なエンジンは 1 つです。

接続各コネクターは、エージェントの 2 つのサブコンポーネント間のイベント・パスを定義します。各コネクター定義には、from 設定および to 設定が必要です。コネクターには、2 つのサブコンポーネント間の経路に適用させるフィルターをオプションで指定できます。

コネクターの from 設定は、ソースまたはエンジンのいずれかです。

コネクターの to 設定は、エンジンまたは宛先のいずれかです。各エンジンおよび宛先には、各エージェントのサブコンポーネントにおける異なる速度でのイベント処理を可能にするための関連付けられたキューがあります。

フィルター各フィルターは、イベントに適用可能な論理比較を定義します。イベントがフィルターと一致した場合、フィルターを使用するコネクターに指定された宛先に経路指定されます。フィルターと一致しないイベントは、コネクターに指定されたターゲット (to) に渡されません。

71ページの図 20 は、エージェントのサブコンポーネントの図を示します。ソース、エンジン、および宛先の間にある太字の矢印は、接続を表します。接続は、ソースとエンジン間、ソースと宛先間、エンジンと宛先間のいずれでも構成可能です。また各接続は、オプションでフィルターと関連付けしている場合があります。フィルターは、接続を経由する特定のタイプのイベントを制御するのに使用します。


エージェント構成エージェント構成情報は、RMINSTDIR/etc ディレクトリーにあります。エージェントの最上位の構成ファイルは rmagent.xml ファイルです。このファイルは、エージェント・サブコンポーネントによってアクティブに使用される他の構成ファイルを参照します。 2 位レベルの構成ファイルも、RMINSTDIR/etc ディレクトリーにあります。

最上位構成ファイル (rmagent.xml)最上位構成ファイル rmagent.xml には、エージェントのアクティブなサブコンポーネント (ソース、エンジン、宛先) の定義があり、そのサブコンポーネント間のイベント・パスを指定します。通常、サブコンポーネント定義には、別の構成ファイルへの参照があります。これら 2 位レベルの構成ファイルは、サブコンポーネントに関連付けられた動作を定義します。

図 20. エージェントのエレメント

第 4 章エージェント 71

サブコンポーネント定義 (ソース、宛先、およびエンジン)各サブコンポーネント定義には、以下が含まれている必要があります。

v 固有名

v 有効クラス

v キーに関連値を指定するゼロ (0) 以上の構成設定

各サブコンポーネントに指定されるクラスは、必要なイベント処理を実行するコンポーネントの実際の Java クラス名です。

例えば、以下は rmagent.xml ファイルにソースとして定義できます。このソースはイベントをエージェントに渡します。このソースに対する構成ファイルは、/IBM/RISKMGR/etc/eif_receiver.conf です。

<source name="eif_receiver"class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaEifReceiver">

<set key="RMA_conf" value="/IBM/RISKMGR/etc/eif_receiver.conf"/></source>

続いて、以下は rmagent.xml ファイルに宛先として定義できます。この宛先は、イベントを別のシステムに転送します。この宛先に対する構成ファイルは、/IBM/RISKMGR/etc/eif_sender.conf です。

<destination name="eif_sender"class="com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender">

<set key="RMA_conf" value="/IBM/RISKMGR/etc/eif_sender.conf"/></destination>

また、宛先に instanceCount 設定を構成できます。1 より大きい instanceCount

を使用すると、宛先クラスの複数のインスタンスが作成されます。各インスタンスは、自分自身のスレッド内で実行されるため、イベント処理の重複が可能です。

次のように通常のイベント宛先クラスに instanceCount を指定すると、エージェントのスループットが向上します。

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaArchiveDBSender

例えば、eif_sender 上で 4 つのスレッドにイベント処理させる場合、次のようになります。

<destination name="eif_sender"class="com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender"

instanceCount="4"><set key="RMA_conf" value="/IBM/RISKMGR/etc/eif_sender.conf"/>

</destination>

使用可能なクラス次の値は、ソース・コンポーネントのクラス設定として使用できます。

v com.tivoli.RiskManager.Agent.Transports.Receivers.rmaEifReceiver

v com.tivoli.RiskManager.Agent.Transports.Receivers.rmaMonitorReceiver

v com.tivoli.RiskManager.Agent.Transports.Receivers.rmaHeartBeat

次の値は、エンジン・コンポーネントのクラス設定として使用できます。

v com.tivoli.RiskManager.Agent.Engine.Engine


次の値は、宛先コンポーネントのクラス設定として使用できます。



v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToFile

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToStdout

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToStderr

注:

1. 通常、rmaSendToFile、rmaSendToStdout、および rmaSendToStderr 宛先クラスは、エージェントで発生した問題の診断の支援のみに使用されます。

2. 診断宛先クラスに、1 より大きい instanceCount を指定しないでください。指定すると、予期しない動作を引き起こします。

3. リストした前述のクラスは、エージェントのデフォルト・インストールで組み込まれます。また、インストール時に別のクラスを追加できます。例えば、エージェントのソース・コンポーネントとして構成されるクラスを含むアダプターなどがあります。ご使用のアダプターに提供されている資料に、アダプター構成に関する説明があります。

エージェント・サブコンポーネントのリンク (コネクター)コネクターは、エージェントの 2 つのサブコンポーネント間のイベント・パスを定義します。各コネクター定義には、以下が含まれている必要があります。

v from

v to

コネクターには、以下のものも含まれている必要があります。

v withfilter

v priority

コネクターの from 設定は、ソースまたはエンジンのいずれかです。ソースまたはエンジンの固有名は from name=value として指定されます。

コネクターの to 設定は、エンジンまたは宛先のいずれかです。エンジンまたは宛先の固有名は toname=value として指定されます。

コネクターの withfilter 設定は、フィルターの固有名を指定します。

コネクターの priority 設定は、コネクター経由で渡されるイベントの優先順位を指定します。有効な priority 設定は normal および high です。同じ 2 つのサブコンポーネント間にフィルター操作された複数のコネクターを指定できます。また、プライオリティーを high に設定して、特定のフィルターに対してイベントをマッチングするよう指定できます。こうして、通常の優先度で処理されるイベントよりも、特定のフィルターに一致するイベントを宛先において優先的に処理します。同じ 2 つのサブコンポーネント間に複数のコネクターを作成した場合、フィルターが適切に定義されていること、またはイベントが同じサブコンポーネントに複数回にわたって経路指定できることを確認する必要があります。

例えば、次のコネクターは、eif_receiver というソースと summary_engine というエンジンの間のイベント・パスを指定します。


<connector><from name="eif_receiver"/><to name="summary_engine"/>

</connector>

同様に、次のコネクターは、correlation というエンジンによって作成されるイベントを、db_sender という宛先に条件付きで経路指定します。この場合、DB_Sender

というフィルターがイベント・パスに適用されます。エンジンによって処理されるイベントがこのフィルターと一致しない場合、宛先に経路指定されません。

<connector><from name="correlation"/><to name="db_sender"/><withfilter name="DB_Sender"/>

</connector>

次は、コネクターの優先度指定を使用して、インシデント・イベントおよび非インシデント・イベントを correlation というエンジンから同じ送信側 eif_sender に送信する例です。インシデント・イベントは優先度 high で処理されます。

<connector priority="high"><from name="correlation"/><to name="eif_sender"/><withfilter name="Incidents"/>

</connector>

<connector><from name="correlation"/><to name="eif_sender"/><withfilter name="nonIncidents"/>

</connector>

フィルターフィルターは、コネクターに関連した、一意的に命名されるコンポーネントです。フィルター操作は、イベント・クラス名、属性値、およびイベント・クラス継承の組み合わせに基づいて処理できます。クラス継承に基づいたフィルター操作には、Tivoli Risk Manager BAROC ファイルに定義される、クラス継承に関する知識が必要です。通常、Tivoli Risk Manager イベント・サーバー (Tivoli Enterprise Console

サーバー上にインストールされる) および分散相関サーバーのみに BAROC ファイルがあります。

フィルターは、ネストできる <AND>、<OR>、および <NOT> タグを使用した基本的な論理構造をサポートします。基本的な論理構造タグ内でネストされると、イベントが次のものと一致するように指定できます。

v イベント・クラス名

v 属性値

v イベント・クラス継承

クラス名フィルター・コンポーネントの指定

イベントが classname と一致するように指定するには、<classname> タグを使用します。<classname> タグは次のように指定します。

<classnamematchtype=[contains | equals | startswith]

value="class name" />


例えば、classname が "WW_" で始まるイベントのみこのフィルターを通過させる場合、次のように指定します。

<classname matchtype="startswith" value="WW_" />

属性値フィルター・コンポーネントの指定

イベントが特定の属性設定を持つように指定するには、<field> タグを使用します。<field> タグは次のように指定します。

<fieldname="attribute name"matchtype=[contains | equals | startswith]value="class name" />

例えば、重大度が「クリティカル (CRITICAL)」であるイベントのみこのフィルターを通過させる場合、次のように指定します。

<field name="severity" matchtype="equals" value="CRITICAL" />

クラス継承フィルター・コンポーネントの指定

イベントが特定のイベント・クラスから継承されるよう指定するには、<isa> タグを使用します。 <isa> タグは、次のように指定します。

<isa value="parent class name" />

例えば、RM_Incident から継承されるイベントのみこのフィルターを通過させる場合、次のように指定します。

<isa value="RM_Incident" />

クラス継承情報のないエージェントで <isa> タグを使用すると、classname が完全に設定値とマッチングするイベントのみがフィルターを通過します。

クラスの役割 (ソース、宛先、エンジン)


このクラスは、ソケットを通じてイベントを受信します。非セキュアのソケットまたは SSL を使用するセキュアなソケットのいずれでも可能です。


このクラスは、さまざまなソースから情報を抽出し、その情報を Tivoli Risk

Manager イベントにフォーマットします。Tivoli Risk Manager イベント・モニターの使用に関する情報については、「IBM Tivoli Risk Manager アダプター・ガイド」を参照してください。


このクラスは、指定した頻度でハートビート・イベント RM_HeartBeat を生成します。


このクラスは、イベントを要約、正規化、および相関します。


このクラスは、さまざまなプロトコルを使用して、イベントをリモート・アプリケーションに送信します。使用可能なプロトコルは、ソケット、SSL ソケット、および TME です。



このクラスは、イベントを Tivoli Risk Manager アーカイブ表に経路指定します。このクラスは JDBC を使用して、アーカイブ表に情報を挿入します。

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToFile

このクラスは、イベントを ASCII ファイルに経路指定します。このクラスは、通常、エージェントで発生した問題の診断に使用されます。

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToStdout

このクラスは、イベントをシステム標準出力に経路指定します。このクラスは、通常、エージェントで発生した問題の診断に使用されます。

v com.tivoli.RiskManager.Agent.Transports.Senders.rmaSendToStderr

このクラスは、イベントをシステム標準エラー出力に経路指定します。このクラスは、通常、エージェントで発生した問題の診断に使用されます。

注: rmaSendToStdout および rmaSendToStderr 診断クラスは、出力をコンソールに表示します。コマンド行からのエージェントの開始方法については、 85ページの『エージェントの開始および停止』を参照してください。

キューおよびイベント持続性rmagent.xml ファイルでコネクター内の to 設定として参照されるエージェントの各サブコンポーネントには、その処理に関連付けられたキューが含まれます。サブコンポーネントで処理を必要とするイベントは、コネクター内で from 設定として指定されたサブコンポーネントにより関連付けられたキューに書き込まれます。処理を行うサブコンポーネントは、イベント処理の準備ができた段階でキューからイベントを除去します。デフォルトでは、イベントはキューに書き込まれた場合、ディスク上に持続します。処理中のサブコンポーネントがタスクを完了すると、イベントはディスクから削除されます。エンジンおよび宛先のコンポーネント・キューを、イベントがディスク上に持続しないように構成できます。この構成を行うには、rmagent.xml ファイルを編集し、サブコンポーネント定義に persist="no" を追加します。


<destination name="eif_sender"class="com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender"persist="no" >

</destination>

持続性をオフにする利点

イベント・データのディスクへの書き込みや削除の必要がないため、処理が早く行われます。

持続性をオフにしない利点

v エージェントに使用可能なメモリーには制限があります。持続性をオフにしないことにより、イベント・データをディスクは書き出し持続させることができるので、メモリー内に保持する必要がなくなります。

v 予期しないエラーによってエージェントが終了した場合、イベントを失わずに済みます。持続性がオフの場合は、イベント・データは失われます。


持続の必要性

持続性をオフにするオプションの使用は、推奨されません。使用するすべてのエージェントのキューに対し、デフォルトの persist="yes" を使用してください。

2 位レベル構成ファイルrmagent.xml ファイルは、エージェントのさまざまなエレメントを関係付けるファイルです。前のセクションで説明したように、rmagent.xml ファイルはエージェントの構成済み役割を実行するために必要なソース、宛先、エンジン、コネクター、およびフィルター操作された宛先を定義するものです。各ソース、宛先、およびエンジンは、通常、その構成ファイルに含まれています。通常、これらの 2 位レベル構成ファイルには、.conf のサフィックスが付いており、rmagent.xml ファイル内で RMA_conf パラメーター設定として参照されます。

v イベントの送受信

v イベント分析および相関

v イベントのデータベース表へのアーカイブ

v ハートビート・イベントの生成

v イベント・ソースからの情報のキャプチャー

イベントの送受信のための 2 位レベル構成ファイルこのタイプの構成ファイルを使用するクラスは、次のとおりです。



SOCKET、SSL、および TME などの Tivoli Enterprise Console プロトコルによる送受信に必要な定義を含みます。このタイプの 2 位レベル構成ファイルに含まれる構成パラメーターは、 231ページの『付録 A. Event Integration Facility の送信側および受信側のキーワード』に定義されています。

rmaEifSender コンポーネントに対して attributeFilter=<filename> 設定指定して、Tivoli Enterprise Console サーバーに送信されるイベントに含まれる拡張属性の数を最小化することもできます。 Tivoli Risk Manager がイベントを Tivoli Risk

Manager アーカイブ表に送信するよう構成し、特定のイベント・コンソールに組み込む必要がない場合、属性を選択的にフィルター操作することができます。拡張属性がイベントに含まれるときに、Tivoli Enterprise Console データベースが急速に増大したり、Tivoli Enterprise Console サーバーの性能が低下する場合、フィルター属性を使用できます。 Tivoli Enterprise Console に送信されるイベント・データに属性が含まれないように指定するには、attributeFilter ファイルに forward="no" と指定します。 attributeFilter XML ファイル内の設定処理は、上から順番に実行されます。

次は、フィルター操作される属性定義 forward="no" を含む XML ファイルの例です。

<filterAttributes><filter name="ALL_RM_SensorEvents">

<AND><isa value="RM_SensorEvent" />

</AND></filter>


<forEvents matchingFilter="ALL_RM_SensorEvents"><attribute name="severity" forward="yes" /><attribute name="source" forward="yes" /><attribute name="sub_source" forward="yes" /><attribute name="sub_origin" forward="yes" /><attribute name="origin" forward="yes" /><attribute name="hostname" forward="yes" /><attribute name="msg" forward="yes" /><attribute name="status" forward="no" /><attribute name="adapter_host" forward="yes" /><attribute name="repeat_count" forward="yes" /><attribute name="rm_Timestamp" forward="yes" /><attribute name="rm_Timestamp32" forward="no" /><attribute name="rm_TimestampFmt" forward="no" /><attribute name="rm_Version" forward="no" /><attribute name="rm_Correlate" forward="yes" /><attribute name="rm_CorrelatedByAgent" forward="no" /><attribute name="rm_Level" forward="yes" /><attribute name="rm_SensorType" forward="no" /><attribute name="rm_SensorHostname" forward="no" /><attribute name="rm_SensorToken" forward="yes" /><attribute name="rm_SensorIPAddr" forward="no" /><attribute name="rm_SensorPID" forward="yes" /><attribute name="rm_SensorOS" forward="no" /><attribute name="rm_SourceToken" forward="yes" /><attribute name="rm_SourceHostname" forward="no" /><attribute name="rm_SourceIPAddr" forward="no" /><attribute name="rm_SrcPort" forward="no" /><attribute name="rm_SpoofedSourceKnown" forward="no" /><attribute name="rm_DestinationToken" forward="yes" /><attribute name="rm_DestinationHostname" forward="no" /><attribute name="rm_DestinationIPAddr" forward="no" /><attribute name="rm_DstPort" forward="no" /><attribute name="rm_Signature" forward="yes" /><attribute name="rm_Description" forward="no" /><attribute name="rm_Priority" forward="no" /><attribute name="rm_ClassCategory" forward="no" /><attribute name="rm_ClassCategoryDescription" forward="no" /><attribute name="rm_Protocol" forward="no" /><attribute name="rm_Servicename" forward="no" /><attribute name="rm_CustomerID" forward="no" /><attribute name="rm_Category" forward="no" /><attribute name="rm_Principal" forward="no" /><attribute name="rm_ObjectType" forward="no" /><attribute name="rm_Object" forward="no" /><attribute name="rm_SecondaryObjectType" forward="no" /><attribute name="rm_SecondaryObject" forward="no" /><attribute name="rm_Action" forward="no" /><attribute name="rm_Result" forward="no" /><attribute name="rm_NameType" forward="no" /><attribute name="rm_NameID" forward="no" /><attribute name="rm_NameData" forward="no" /><attribute name="rm_LogData" forward="no" /><attribute name="rm_FalsePositive" forward="no" /><attribute name="rm_FalsePositiveID" forward="no" /><attribute name="rm_Comment" forward="no" /><attribute name="rm_PortCount" forward="no" /><attribute name="rm_ICMPCode" forward="no" /><attribute name="rm_ICMPType" forward="no" /><attribute name="rm_Reason" forward="no" /><attribute name="rm_Toolname" forward="no" /><attribute name="rm_Content" forward="no" /><attribute name="rm_File" forward="no" /><attribute name="rm_ThirdHost" forward="no" /><attribute name="rm_ThirdPort" forward="no" /><attribute name="rm_User" forward="no" />


<attribute name="rm_Password" forward="no" /><attribute name="rm_Domain" forward="no" /><attribute name="rm_Community" forward="no" /><attribute name="rm_Trojan" forward="no" /><attribute name="rm_OID" forward="no" /><attribute name="rm_Command" forward="no" /><attribute name="rm_Args" forward="no" /><attribute name="rm_LocalUser" forward="no" /><attribute name="rm_RemoteUser" forward="no" /><attribute name="rm_Address" forward="no" /><attribute name="rm_Url" forward="no" /><attribute name="rm_Cgi" forward="no" /><attribute name="rm_PtyInfo" forward="no" /><attribute name="rm_PID" forward="no" /><attribute name="rm_Name" forward="no" /><attribute name="rm_State" forward="no" /><attribute name="rm_HUsername" forward="no" /><attribute name="rm_HUserID" forward="no" /><attribute name="rm_HUserDomain" forward="no" /><attribute name="rm_HUPurpose" forward="no" /><attribute name="rm_HUAdditional" forward="no" /><attribute name="rm_HUTUAccountname" forward="no" /><attribute name="rm_HUTUAccountID" forward="no" /><attribute name="rm_HUTUAccountDomain" forward="no" /><attribute name="rm_HUTUPurpose" forward="no" /><attribute name="rm_HUTUAdditional" forward="no" /><attribute name="rm_HUTProcessID" forward="no" /><attribute name="rm_HUTProcessname" forward="no" /><attribute name="rm_HUTFilename" forward="no" /><attribute name="rm_HUTAccessFlags" forward="no" /><attribute name="rm_SystemSuccess" forward="no" /><attribute name="rm_SystemFailure" forward="no" /><attribute name="rm_LogonSuccess" forward="no" /><attribute name="rm_LogonFailure" forward="no" /><attribute name="rm_ObjectAccessS" forward="no" /><attribute name="rm_ObjectAccessF" forward="no" /><attribute name="rm_PrivilegeUseS" forward="no" /><attribute name="rm_PrivilegeUseF" forward="no" /><attribute name="rm_DetailedTrackingS" forward="no" /><attribute name="rm_DetailedTrackingF" forward="no" /><attribute name="rm_PolicyChangeS" forward="no" /><attribute name="rm_PolicyChangeF" forward="no" /><attribute name="rm_AccountMgmtS" forward="no" /><attribute name="rm_AccountMgmtF" forward="no" />

</forEvents>

</filterAttributes>

イベント分析および相関のための 2 位レベル構成ファイル: このタイプの構成ファイルを使用するクラスは、次のとおりです。


これらの構成ファイルには、Tivoli Risk Manager 状態ベース相関エンジンによってイベントの分析および相関化のために使用される定義があります。エンジンに関連したデフォルトの構成ファイルは、エージェントのシステム構成によって異なります。

v クライアントのエンジン定義は、要約エンジン構成ファイルsummary_engine.conf を参照します。このファイルには、個々の要約ルール・ファイルを識別するパラメーターのセットが含まれます。要約ルールの使用と作成の詳細については、 101ページの『第 6 章イベント要約』を参照してください。


v イベント・サーバーのエンジン定義は、インシデント・エンジン構成ファイルincident_engine.conf を参照します。このファイルには、追加の構成ファイルであるパラメーターのセットが含まれます。例えば、以下を incident_engine.conf

ファイルに指定できます。

– rules=/IBM/RISKMGR/etc/incident_rules.xml

– rules=/IBM/RISKMGR/etc/monitor_heartbeat_rules.xml

– barocfiles=/IBM/RISKMGR/etc/riskmgr_baroc.lst

– categoryfile=/IBM/RISKMGR/etc/categories.xml

– attributemap=/IBM/RISKMGR/etc/attributemap.xml

– hostsfile=/IBM/RISKMGR/etc/hosts.xml

– sensorsfile=/IBM/RISKMGR/etc/sensors.xml

– linkedeventsfile=/IBM/RISKMGR/etc/linkedevents.xml

– jittertime=86400

インシデント・ベースの相関エンジンの構成方法および BAROC ファイルの使用方法の詳細については、 43ページの『第 2 章イベント・サーバー』を参照してください。ハートビートのモニター、およびハートビート・イベントが時間どおりに受信されなかった場合の対処の詳細については、 98ページの『ハートビートのモニター』を参照してください。

イベントのデータベース表へのアーカイブのための 2 位レベル構成ファイル: このタイプの構成ファイルを使用するクラスは、次のとおりです。


データベース送信側に関連した構成ファイルは db_sender.conf です。データベース送信側コンポーネントの構成の詳細については、 241ページの『付録 B. データベース・アーカイブ構成』を参照してください。

ハートビート・イベント生成のための 2 位レベル構成ファイル: このタイプの構成ファイルを使用するクラスは、次のとおりです。


ハートビートに関連した構成ファイルは、heartbeat.conf ファイルです。ハートビートのモニター、およびハートビート・イベントが時間どおりに受信されなかった場合の対処の詳細については、 98ページの『ハートビートのモニター』を参照してください。

イベント・ソースから情報をキャプチャーするための 2 位レベル構成ファイル:このタイプの構成ファイルを使用するクラスは、次のとおりです。


この構成ファイルは、イベント・モニターを使用してのイベント・ソースからの情報のキャプチャーに関連しており、adaptername.conf として定義されています。adaptername は、個々のイベント・ソースまたはアダプターに関連した名前です。イベント・モニターのインスタンス構成の詳細については、「IBM Tivoli Risk



その他の構成ファイルrmagent.xml ファイルで参照される構成ファイルに加え、エージェントが使用する補助的な構成ファイルが 2 つあります。これらのファイルは、 RMINSTDIR/etc ディレクトリーにあります。

rmad.confこのファイルには、次の 2 つのタイプの構成情報があります。

v エージェントの管理ポート RmagentPort。デフォルトの RmagentPort は5531 です。このポートは、wrmqueue や wrmadmin などのローカル管理ユーティリティーによって、エージェントとの通信に使用されます。これらのコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

v Tivoli Risk Manager EIF API は、このファイルの情報を使用して、エージェントのイベント受信ポートへの接続を制御します。 Tivoli Risk

Manager EIF API を使用するアプリケーションは、基本的に、ローカル・アプリケーションからエージェントにイベントをサブミットして処理するアダプターです。

v Tivoli Risk Manager EIF API は、エージェントが SOCKET プロトコルによるイベント受信に使用するポートの eif_receiver.conf およびlocal_only_receiver.conf をスキャンすることで、エージェントのイベント受信ポート (type=SOCKET) の値を取得します。

v rmad.conf ファイルのデフォルトのパラメーター値は次のとおりです。

– ConnectionMode=connection_oriented

– BufEvtPath=c:¥IBM¥RISKMGR¥persistence¥rmeif.cache (例)

これらのパラメーターおよび rmad.conf ファイルに設定できるほかのパラメーターの詳細については、 231ページの『付録 A. Event Integration

Facility の送信側および受信側のキーワード』を参照してください。

rmclasspath.confこのファイルは、エージェントのクラス・パスに必要な Java jar ファイルのセットを定義します。通常、このファイルをカスタマイズする必要はありません。ただし、jar ファイルをこのファイルに追加する必要があるアダプターもあります。また、データベースを更新する場合、zip または jar ファイルの変更が必要な場合があります。

Tivoli Enterprise Console サーバー上に、追加の構成ファイル rmlocal.conf があります。Tivoli Risk Manager Prolog ルールは、このファイルの値を使用して、処理されなかった Tivoli Risk Manager センサー・イベントをローカル・エージェントに経路指定します。 rmlocal.conf に指定されたポートは、エージェントの有効ポートとマッチングする必要があります。つまり、local_only_receiver.conf またはeif_receiver.conf のいずれかに指定されたポートと同じポートが、rmlocal.conf

ファイルに設定される必要があります。


構成ファイルの関係以下の図では、さまざまなデフォルトのシステム構成における、構成ファイルの関係を示します。

v クライアント

v イベント・サーバー

v 分散相関サーバー

v ゲートウェイ

クライアント・システム構成図 21 は、クライアントの標準構成を示しています。

イベント・サーバー・システム構成83ページの図 22 は、Tivoli Enterprise Console サーバーにデプロイされた Tivoli

Risk Manager の標準構成を示しています。

図 21. クライアント構成


分散相関サーバー・システム構成84ページの図 23 は、分散相関サーバーの標準構成を示しています。

図 22. イベント・サーバー構成


ゲートウェイ・システム構成85ページの図 24 は、ゲートウェイの標準構成を示しています。

図 23. 分散相関サーバー構成


Tivoli Risk Manager エージェントの管理エージェントには、次のことを実行するためのコマンドがあります。

v 『エージェントの開始および停止』

v 87ページの『エージェント・キューの管理』

v 88ページの『エージェント DNS 処理の管理』

v 89ページの『Secure Sockets Layer 鍵ストアの作成と管理』

v 89ページの『パスワードの stash』

エージェントの開始および停止エージェントを管理するには、wrmadmin コマンドを使用します。このコマンドはエージェントでサポートされるすべてのオペレーティング・システムで使用可能で、状況の取得、個別のコンポーネントの開始および停止、エージェントの終了および再始動の機能を提供します。

図 24. ゲートウェイ構成


特定のコンポーネント名については、rmagent.xml ファイルを参照してください。このファイルの詳細については、 71ページの『最上位構成ファイル (rmagent.xml)』を参照してください。

Linux および UNIX ベースのシステムでは、次を実行して Tivoli Risk Manager 環境をセットアップする必要があります。

. /etc/Tivoli/rma_eif_env.sh

構文

wrmadmin [-i ] [-r component name ... ] [-s component name ... [ -k]


-i または -info個別のエージェントのコンポーネントのバージョン情報および状況 (アクティブまたは非アクティブ) を表示します。

例えば、-i オプションを使用すると、次の状況情報が実行中のエージェントに表示されます。

Tivoli Risk Manager Component Status==========================================Receiverseif_receiver: Runningheartbeat: StoppedEnginescorrelation: UnknownDestinationsdb_sender: Failed Retryingeif_sender:Instance 1 of 3: RunningInstance 2 of 3: Failed RetryingInstance 3 of 3: Running

それぞれについて以下に示します。

Running指定された Tivoli Risk Manager コンポーネントが実行中です。

Stopped指定された Tivoli Risk Manager コンポーネントが停止されています。

Failed Retrying指定された Tivoli Risk Manager コンポーネントで処理中にエラーが発生し、処理が再試行されます。

Unknown指定された Tivoli Risk Manager コンポーネントが認識できません。

-r component name または -restart component name

1 つ以上のエージェント・コンポーネントを停止し、その後再始動します。コンポーネント名が指定されていない場合、エージェントは停止し、その後再始動します。このオプションは、エージェント構成の変更をアクティブにします。 -r オプションを使用すると、-i オプションが自動的に実行されます。


-s component name または -stop component name

1 つ以上のエージェント・コンポーネントを停止します。 -s オプションを使用すると、-i オプションが自動的に実行されます。

-k または -killエージェント・デーモンを終了します。このオプションは、シャットダウンに使用します。

注:

1. 特定のコンポーネント名については、rmagent.xml ファイルを参照してください。このファイルの詳細については、 71ページの『最上位構成ファイル(rmagent.xml)』を参照してください。

2. コンポーネント名は、rmagent.xml 構成ファイル内に定義されたソース名、宛先名、またはエンジン名を参照します。

3. rmcorr_cfg コマンドを使用して Tivoli Enterprise Console サーバー上の Tivoli

Risk Manager イベント・サーバーを更新すると、エージェントが自動的に再始動します。Tivoli Enterprise Console サーバーとエージェントの両方とも、rmcorr_cfg コマンドで -install、-update、および -reconfig オプションを使用すると、停止して再始動します。このコマンドの使用方法については、「IBM


Windows システムでも、次のコマンドを使用することでエージェントを開始および停止できます。

net stop rmagentnet start rmagent


エージェント・キューの管理wrmqueue コマンドを使用して、エージェント・キューをモニターおよび管理します。rmagent.xml ファイルでコネクター内の to 設定で参照されるエージェントの各サブコンポーネントには、その処理で使用する関連付けられたキューが含まれます。サブコンポーネントでの処理を必要とするイベントは、コネクター内で from

設定で指定されたサブコンポーネントによりキューに書き込まれます。処理を行うサブコンポーネントは、イベント処理の準備ができた段階でキューからイベントを除去します。サブコンポーネントの処理がイベント・フローと同時進行できない場合、キューのイベント数が増加します。

キュー情報は、次のディレクトリーで管理されています。

v RMINSTDIR/persistence/engines (すべてのエンジン用のキュー)

v RMINSTDIR/persistence/senders (すべての送信元用のキュー)

構文

wrmqueue [-h | -l | -p | -x] queue_name


-h または -helpヘルプ・メッセージを表示します。


-l または -list名前、イベント数、およびすべてのキューのタイプをリストします。

-p または -purge特定のキューを 1 つクリアします (コマンド行で指定します)。

-x または -purgeallキューをクリアします。

出力

要求の結果を詳細に説明する単純なテキスト・ベースの表を戻します。キューをリストする場合、表は、キュー名、各キュー内のイベント数、および各キューのタイプで構成されます。キューをパージする場合、表は、キュー名、パージされたイベント数、および各キューのパージにかかった時間で構成されます。

使用法

少なくとも 1 つのオプションを指定する必要があります。-p オプションを指定する場合は、キュー名も指定する必要があります。

-p および -x オプションを使用する場合、パージされたキュー内のイベントは脱落することに注意してください。

キューをパージすると、すべての未処理イベントがキューから除去されます。以後、これらのパージ済みのイベントは処理されません。


エージェント DNS 処理の管理Tivoli Risk Manager DNS を表示および制御するには、wrmdns コマンドを使用します。これは、エージェントのエンジン・コンポーネント構成ファイルのRMA_conf パラメーターで構成されます。

Tivoli Risk Manager イベント相関は、使用しているマシンのトークン ID を使用して、アタックのソースとターゲットをマッチングします。トークン ID は、マシンのホスト名 (完全修飾を推奨) または IP アドレスです。 IP アドレスの動的な割り当てが次第に一般的になっているため、ある 1 つのマシンを識別することが困難になっています。適切にマシンを識別 (正しいトークン ID を作成) するために、Tivoli Risk Manager は、オプションのインターフェースをローカル DNS に提供し、選択した IP アドレスを完全修飾ホスト名にマップします。デフォルトでは、エージェントは IP アドレスをホスト名にマップしません。

構文

wrmdns [-listcache |-clearcache |-statistics |-resolve ipaddr |-on |-off]


-listcacheDNS キャッシュの内容をリストします。


-statisticsDNS キャッシュからのパフォーマンス統計を表示します。

-clearcacheDNS キャッシュをクリアします。

-resolve ipaddr

単一 IP アドレスに対する DNS 解決を実行します。

-on DNS 解決を有効にします。デフォルト値は、off です。

-off DNS 解決を無効にします。


Secure Sockets Layer 鍵ストアの作成と管理SSL、iKeyman、および Keytool については、 245ページの『付録 C. Secure Socket

Layer (SSL) の概要と iKeyman』を参照してください。

パスワードの stash平文のパスワードを暗号化されたフォーマットに変換してファイルに保管するには、wrmstashpw コマンドを使用します。また、SSL、JDBC、Web アプリケーション、および Tivoli Risk Manager イベント・サーバーのパスワードを隠すためにも使用されます。

構文

wrmstashpw filename [password]


filename 暗号化されたパスワードが保管されるファイルの名前。

password 平文パスワード。指定しない場合は、プロンプトで新しいパスワードを入力します。


Secure Socket Layer (SSL) の使用情報Secure Sockets Layer (SSL) の概要情報については、 245ページの『付録 C. Secure

Socket Layer (SSL) の概要と iKeyman』を参照してください。

JDBC ドライバーのセットアップイベント・サーバーまたは分散相関サーバーが Tivoli Risk Manager イベントをTivoli Risk Manager アーカイブ表にアーカイブするためには、エージェントがJDBC ドライバーを使用するように適切に構成される必要があります。JDBC ドライバーは、RDBMS と通信するために使用されます。インストール・プログラムは、JDBC ドライバー接続のセットアップ用の適切なパラメーターを要求します。


JDBC ドライバーのセットアップに関する情報は、 241ページの『付録 B. データベース・アーカイブ構成』を参照してください。

JDBC ドライバー・パスに関する詳細な情報は、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。


第 5 章エンジン構成

本章は、エージェントのエンジン・コンポーネントで構成可能なさまざまなオプションについて説明します。

RMINSTDIR/etc/rmagent.xml に指定されたエンジン・コンポーネントは Java クラスcom.tivoli.RiskManager.Agent.Engine.Engine を使用します。これにはエンジンのコンポーネント構成ファイルのファイル名を含む RMA_conf パラメーターが必要です。RMA_conf パラメーターが指定されていない場合、エンジンはイベント分析を実行せず、受信したすべてのイベントを、エンジンのすべての接続先に渡します。

RMA_conf パラメーターが指定されたエンジンのコンポーネント構成ファイルは、ゼロ (0) 行以上の rules=<filename> を含みます。ルール・ファイル名は、エンジンが受信するイベントに対して実行する処理のタイプを定義する XML ファイルを指定します。エンジンが実行可能な処理のタイプは、3 つあります。

v 98ページの『ハートビートのモニター』

v 101ページの『第 6 章イベント要約』

v 109ページの『第 7 章インシデント・ベースの相関』

また、エンジンは、Tivoli Risk Manager イベントの事前正規化および正規化を実行するように構成できます。エンジンが処理する Tivoli Risk Manager イベントは、sensor_abstract.baroc ファイルに定義された RM_SensorEvent クラスから継承されます。イベントの完全な正規化処理にはイベント・クラス継承の知識が必要であり、この処理は、Tivoli Enterprise Console サーバーおよび Tivoli Risk Manager 分散相関サーバーとしてインストールされたエージェントに制限されます。

Tivoli Risk Manager イベントの正規化中にエラーが検出されると、通常、Tivoli

Enterprise Console サーバーに経路指定された RM_Error または RM_InputError イベントが生成されます。このような各イベントの属性には、発生した問題の詳細が含まれます。イベント正規化中に検出されるエラーの大部分は、アダプターまたはセンサーにおける構成の問題です。これらのエラー・イベントは、Tivoli Enterprise

Console 上で検証できます。

イベントの事前正規化RMA_conf パラメーターが指定されたエンジンのコンポーネント構成ファイルが指定された場合、エンジンは設定に基づいてイベント属性を調整します。

すべてのエージェントが使用できるオプションは次のとおりです。

v attributemap=<filename>

v dnsResolver=[on|off]

v dnsNameServers=[ipaddr,,,]

v dnsRequestTimeout=[milliseconds]

v dnsSourceHostFilter=[ipaddr/mask,,,]

v dnsDestinationHostFilter=[ipaddr/mask,,,]


v dnsSensorHostFilter=[ipaddr/mask,,,]

v dnsTTL=[milliseconds]

v dnsCacheSize=[# of entries]

属性マッピング属性マップとして指定されたファイル名には、イベントの内容に基づいて行われる、1 つ以上の変更の定義が含まれます。ゼロ (0) 以上の属性に特定の値が含まれる場合、属性を特定の値に設定するよう指定できます。キーワード $CLASSNAME$

を、イベント・クラス名を使用するよう指定するフィールド・クラスとして使用できます。属性マッピングの比較はすべて、値をストリングとして使用します。つまり、数値の比較は行われないため、「10.0」は「10」とは等しくなりません。

例えば、センサー・タイプが csids で rm_Level が 5.0 であるすべてのイベントに対し、重大度属性を「クリティカル (CRITICAL)」に設定する場合、以下をattributemap ファイルに指定します。

<attributemap><setattr field="severity" value="CRITICAL" /><whenattr field="rm_SensorType" value="csids" /><whenattr field="rm_Level" value="5.0" />

</attributemap>

注:

1. 属性名は、BAROC ファイルのものと正確に一致している必要があります。

2. 指定された値が指定した属性に適切であるかを確認してください。例えば、rm_Level 属性には実際の値を使用してください。

3. whenattr 設定の有効な組み合わせを使用して、マッピングが意図されたイベントにのみ関係していることを確認してください。マッピングを行うには、マッピング whenattr 条件がすべて真 (論理 AND) である必要があります。 1 つのwhenattr 条件のみが真であればよい (論理 OR) 場合、各 whenattr 条件で別のattributemap エントリーを作成します。

4. $CLASSNAME$ キーワードを使用して classname を変更できます。

DNS 検索DNS は、構成および使用可能化にされた場合、エージェントによって処理されるイベントの選択属性の IP アドレスを完全修飾ホスト名にマップするために使用されます。DNS 構成値は、 RMA_conf パラメーターを含むエンジンのコンポーネント構成ファイルに設定されます。DNS マッピングが使用可能で、指定された IP アドレスのマッピングが成功した場合、 Tivoli Risk Manager イベントは自身のrm_SensorHostname、rm_SourceHostname、および rm_DestinationHostname を、イベントに含まれる対応する IP アドレスに関連付けられた完全修飾値に設定できます。

エージェントが Tivoli Enterprise Console サーバーまたは Tivoli Risk Manager 分散相関サーバー上で実行されている場合で、IP アドレスがホスト・ファイルまたはセンサー・ファイルのいずれかに既知のホストとしてリストされていない場合、DNS

検索が実行されます。


エージェントの DNS の使用を一時的に変更するには、wrmdns コマンドを使用します。これを永続的に変更するには、RMA_conf パラメーターで指定されるエンジンのコンポーネント構成ファイルに、次の構成オプションを設定します。

v dnsResolver=[on|off]

デフォルト値は、off です。前述の DNS 検索を使用可能にするには、これを on

に設定します。

v dnsNameServers=[ipaddr,,,]

DNS ネーム・サーバーを指定します。サーバーが指定されない場合、DNS リゾルバーは、ローカル・システム上に構成された DNS サーバーの検索を行います。

注: DNS サーバーによる検索が成功する保証はなく、失敗した場合に DNS 解決は使用できなくなってしまうため、このパラメーターを設定することをお勧めします。

v dnsRequestTimeout=[milliseconds]

DNS 要求のタイムアウト値です。デフォルト値は、1 秒 (1000ms (ミリ秒)) です。

v dnsSourceHostFilter=[ipaddr/mask,,,]

このパラメーターは、IP アドレスおよびサブネット・マスク上のさらなる DNS

解決のフィルターに使用されます。設定された場合、アプリケーションは、ipaddr/mask の指定に含まれるソース・ホスト・アドレスに対してのみ DNS 解決を実行します。指定された各 ipaddr/mask は、IP アドレスの範囲を定義できます。例えば、69.205.101.1/255.255.255.0 は 69.205.101.1 から 69.205.101.254 までのホスト範囲を示します。ゼロ (0) に設定された場合、フィルターは適用されず、DNS 解決に対するすべての要求はこのデータ・エレメントに引き渡されます。感嘆符 (!) を使用して、負の表記もできます。例えば、!0 はこのデータ・エレメントに対する DNS 解決が行われないことを暗黙指定します。同様にipaddr/mask の組み合わせの場合、感嘆符 (!) は、指定されたソース・ホスト・アドレスに対して DNS 解決を行わないように指定できます。 ipaddr/mask の組み合わせのテストは、順次実行されます。つまり、ANDing フィルターによって複雑なフィルターの組み合わせを作成することはできません。フィルター分析は、真の条件が満たされると停止します。dnsSourceHostFilter 設定は、Tivoli Risk

Manager イベントの rm_SourceHostname 属性の完全修飾ホスト名への設定に関連しています。

v dnsDestinationHostFilter=[ipaddr/mask,,,]

前述の dnsSourceHostFilter を参照してください。 rm_DestinationHostname 設定は、Tivoli Risk Manager イベントの rm_DestinationHostname 属性の完全修飾ホスト名への設定に関連しています。

v dnsSensorHostFilter=[ipaddr/mask,,,]

前述の dnsSourceHostFilter を参照してください。 rm_SensorHostname 設定は、Tivoli Risk Manager イベントの rm_DestinationHostname 属性の完全修飾ホスト名への設定に関連しています。

v dnsTTL=[milliseconds]

第 5 章エンジン構成 93

存続時間 (TTL) は、DNS キャッシュにおける不整合データの累積の制御に必要です。 DHCP の幅広い使用により、頻度に基づいてキャッシュ・エントリーをリフレッシュする際に有用です。

v dnsCacheSize=[# of entries]

最大キャッシュ・サイズを設定します。

イベントの正規化前のセクションで説明した、すべてのエンジンで使用可能な構成に加え、Tivoli

Enterprise Console サーバーおよび Tivoli Risk Manager 分散相関サーバーでのエンジンは、次の正規化オプションを使用できます。

v barocfiles=<filename>

v categoryfile=<filename>

v hostfile=<filename>

v sensorsfile=<filename>

v linkedeventsfile=<filename>

v jittertime=[milliseconds]

イベントの正規化は、相関に立って実行されます。 Tivoli Risk Manager アーカイブ表へのイベントの挿入では、イベントをアーカイブ表に書き込む前に正常に正規化する必要があります。

イベント・クラスの識別barocfiles=<filename> によって指定されるファイル名は、Tivoli Risk Manager エンジンが、受信するイベントの正規化のために使用可能な BAROC ファイルのリストを含みます。 BAROC ファイルは、イベント・クラス階層および各イベント・クラスの属性を定義します。インシデント・ベースの相関エンジンの構成方法およびBAROC ファイルの使用方法の詳細については、 43ページの『第 2 章イベント・サーバー』を参照してください。

リスト・ファイルにおいて、次のエントリーは、エージェントが Tivoli Risk

Manager イベントを正しく識別するために必要な最上位イベント・クラスを定義しているため、変更しないでください。

v root.baroc

v tec.baroc

v riskmanager.baroc

v sensor_abstract.baroc

クラス・カテゴリーの割り当てクラス・カテゴリーは、各 Tivoli Risk Manager センサー・イベントに割り当てられます。categoryfile=<filename> として指定されたファイル名は、この割り当てに使用されるクラス・カテゴリー定義を含みます。 categoryfile を編集して、ネットワークに合ったエントリーを追加または変更できます。カテゴリー割り当てが


インシデント・ベースの相関に使用する主な属性の 1 つであるため、ネットワーク内のすべての Tivoli Risk Manager サーバー役割エージェントと同じ categoryfile

を使用することが重要です。

各カテゴリー定義には、トークン、説明、および topclass 値が含まれています。あるカテゴリーに属する特定のイベントがあり、そのクラス階層により異なるカテゴリーに割り当てられる場合、そのクラスをメンバー・リストに指定されます。

サンプルのカテゴリー割り当て

<category token="DOS"description="Denial of Service"topclass= "RM_TDoS"members="RS_Imap_Overflow

"CSIDS_NetBios_OOB_Data"/>

既知のシステムの識別ネットワーク内の既知のシステムを定義することにより、RM_SensorEvent イベントにホスト名または IP アドレスが含まれていてもいなくても、アダプターが、システム内のセンサー、ソース、および宛先属性をマッチングできるようにします。アダプターの中には、イベントにホスト名のみを設定しているもの、IP アドレスのみを設定しているもの、あるいはいずれの値も設定しているものがあります。ホスト名または IP アドレスのみを設定しているアダプターやセンサーを使用していると認識していれば、システムは事前定義されていると見なすことができます。エイリアスを使用している、またはマルチホーム・システムであると認識した場合、これらをエージェントに通知します。

システム・ホストを事前定義しているか否かにかかわらず、すべての作業はソース、センサー、および宛先値をイベント正規化の一部として正確に一致するようにします。

例:

ホストに IP アドレス 1.1.1.1 とホスト名 tivoli.domain.com を定義するために、hostsfile ファイルに以下を指定します。

<host ipaddr="1.1.1.1" hostname="tivoli.domain.com" />

ホストにホスト名 my.machine1.com と IP アドレス 1.1.111.11 および 1.1.111.12 を定義するには、hostsfile に以下を設定します。

<host ipaddr="1.1.111.11" hostname="my.machine1.com"/><host ipaddr="1.1.111.12" hostname="my.machine1.com"/>

IP アドレス 1.1.111.13 にエイリアス名 my.machine2.com および othermachine2.com

を定義するには、hostsfile に以下を指定します。

<host ipaddr="1.1.111.13" hostname="my.machine2.com"/><host ipaddr="1.1.111.13" hostname="othermachine2.com"/>


トラステッド・システムの識別ご使用の環境で既知のシステムの識別に加え、hostfile 内で信頼するシステムも識別できます。システムをトラステッド・ホストとして識別することは、これらのシステムで発生したアクティビティーがインシデント・ベースの相関の原因としないことを望まないことを意味します。

例えば、トラステッド・ホストが my.machine2.com という名前で IP アドレスが1.1.111.12 である場合、以下を hostfile に指定します。

<trusted_host ipaddr="1.1.111.12" hostname="my.machine2.com" />

トラステッド・ホストのマッピングは、使用可能なすべての命名規則が確実に含まれるよう、ホスト名マッピングを使用します。

例えば、hostsfile に以下が含まれている場合、

...<host ipaddr = "1.1.111.12" hostname = "my.machine2.com" /><host ipaddr = "1.1.111.12" hostname = "othermachine2com" /><trusted_host ipaddr = "1.1.111.12" hostname = "my.machine2.com" />...

エイリアス、my.machine2.com または othermachine2.com のソースを持つイベントは、ソースがトラストされているため、インシデント・ベースの相関の原因となりません。

既知のセンサーの識別イベント処理の一部として、エージェントはエージェントにイベントを送信する新規センサーを識別します。デフォルトでは、未知のアダプターまたはセンサーからのイベントを受信した場合、エンジンはコンソールで表示可能な RM_Sensor イベントを生成します。既知のアダプターおよびセンサーを sensorsfile に事前定義できます。このファイルでは、以下を指定できます。

v 既知のセンサーとアダプター

v RM_Sensor イベントの重大度がデフォルト値の「警告 (WARNING)」ではなく「無害 (HARMLELESS)」であるアダプター・タイプ

v RM_Sensor イベントを生成しないアダプター・タイプ

例:

ホスト名が my.machine2.com で IP アドレスが 1.1.111.12 のネットワーク IDS アダプターがある場合、以下のセンサー・ファイルを追加できます。

<sensor sensortype="NIDS" ipaddr="1.1.111.12" hostname="my.machine2.com" />

Web IDS アダプター用の RM_Sensor の重大度を「無害」に指定するには、以下をsensorsfile に指定します。

<downgrade_sensor_creation sensortype="webids" />

Web IDS アダプターで RM_Sensor イベントの生成を使用不可にするには、以下をsensorsfile に指定します。

<ignore_sensor_creation sensortype="webids" />


イベントのリンクイベント処理の一部として、エージェントは前に受信したイベントに関連したイベントを識別して、インシデント・ベースの相関に 2 番目のイベントを含める前にrm_Level 属性を調整できます。例えば、WW_SuspiciousCgi イベントの後にWW_SuspiciousCgi 試行とマッチングする WW_Success イベントがある場合、WW_Success は通常より重大なイベントと見なされます。イベントのリンクは、イベントが受信された順番とイベント内でマッチングする特定の属性によります。

イベントのリンクの定義は、エージェントのエンジン・コンポーネントのRMA_conf パラメーターで指定されているファイルにあります。

linkedeventsfile=<fully-qualified file name of a file containing informationabout related events>

リンク・イベントの各ペアに sensortype、discardTime、firstEvent、secondEvent、increment、および matchingAttributes を指定します。discardTime

は、firstEvent を受信してから secondEvent を受信するまでの最大秒数です。

例えば、rm_SensorToken および webids_requid 属性がマッチングするWW_SuspiciousCgi および WW_Success イベントを、Web IDS アダプターから 2

分間で受信するようにリンクを定義するには、以下を linkedevents ファイルに指定します。

<sensortype name ="webids" discardTime = "120"><linkedevents

firstEvent = "WW_SuspiciousCgi"secondEvent = "WW_Success"increment = "25.0"matchingAttributes = "rm_SensorToken webids_requid"

/></sensortype>

許容されるタイム・スタンプ変位の設定イベント・モニターの一部として、エージェントはイベントの流れをモニターします。各イベントにはそれに関連するタイム・スタンプがあります。正常に機能している環境では、通常エージェントが処理するイベント間に大きなギャップはありません。イベント間の時間枠が構成された許容タイム・スタンプ変位より大きい場合、変位を警告するためにイベントが生成されます。エラー・イベントはユーザーのコンソールで表示可能です。エラー・イベントは、ネットワーク内のクロックが同期していないことを示す場合もあります。また、デプロイされているアダプターやセンサーからの 1 つ以上の問題がイベント・フローにあることも示します。

エージェントをサーバーとしてインストールする際に、エージェントのエンジン・コンポーネントの RMA_conf パラメーターで使用可能なタイム・スタンプ変位を指定します。

例えば、以下のようにエージェントのエンジン・コンポーネントの RMA_conf パラメーターで使用可能なタイム・スタンプ変位を指定します。

jittertime=86400

ここで 86400 は変数の秒数です。1 日は 86400 秒です。


追加属性の調整前述の変更に加えて Tivoli Risk Manager は、BAROC ファイルに指定されるデフォルト値を割り当て、各 RM_SensorEvent を調整します。

センサー・イベント説明

rm_Timestamp32 GMT に調整

rm_Timestamp rm_Timestamp32 から割り当て

rm_SensorToken 割り当て

rm_SourceToken 割り当て

rm_DestinationToken 割り当て

origin アダプターによって設定されない場合、rm_SensorIPAddr に設定

suborigin rm_SensorType に設定

hostname 次のフォーマットで値を割り当て

"category: sensor_token( source_token =>destination_token)"

msg アダプターによって設定されない場合、rm_Signature の値に設定

rm_Level 要約イベントに対して調整

rm_AgentNormalized 正規化が成功した場合 true に設定

ハートビートのモニターTivoli Risk Manager は、ネットワーク内にデプロイされているエージェントを自己モニターし、エージェントが非アクティブになるとユーザーに警告します。警告は、相関サーバーの 1 つで生成される RMAgent_Inactive イベントで行います。RMAgent_Inactive イベントは Tivoli Enterprise Console データベースに含まれ、コンソールで表示されます。デフォルトで、各エージェントは RMAgent_HeartBeat イベントを生成するように構成されています。各相関サーバーは、RMAgent_HeartBeat

イベントをモニターし、エージェントが通常の RMAgent_HeartBeat イベントの送信を停止する際に RMAgent_Inactive イベントを生成するように構成されています。デフォルトで、RMAgent_HeartBeat イベントを生成する各エージェントを表すために作成される RM_Sensor イベントがあります。RMAgent_HeartBeat イベントは、通常ユーザーの Tivoli Enterprise Console サーバーまたはデータベースに転送されません。

拡張構成このセクションでは、デフォルト構成以上にハートビートのモニターをカスタマイズする場合のオプションの構成ステップについて説明します。

ハートビートのモニターの拡張構成ステップは、以下のとおりです。

v 99ページの『ハートビート・イベントをモニターするための相関サーバーの構成』

v 99ページの『ハートビート・イベントを生成するためのエージェントの構成』

v 99ページの『ハートビート・イベント生成の使用不可』


v 『ハートビート・イベントのモニターの使用不可』

ハートビート・イベントをモニターするための相関サーバーの構成相関サーバーは、相関サーバーにイベントを転送するエージェントから受信したRMAgent_HeartBeat イベントをモニターします。相関サーバー・エージェントがハートビートをモニターできるようにするために、以下に示す類似したルールがアクティブ・エンジンの RMA_conf パラメーターによって指定されたファイルで使用可能であることを確認します。

rules=rmadhome/etc/monitor_heartbeat.xml

ハートビート・イベントを生成するためのエージェントの構成RMAgent_HeartBeat イベントは、1 次構成ファイルがクラスcom.tivoli.RiskManager.Agent.Transports.Receivers.rmaHeartBeat で受信側を定義している各エージェントで生成されます。ハートビート・イベント用の時間間隔 (ミリ秒単位) は、送信側の RMA_conf パラメーターによって指定されたファイル内に指定されます。

例えば、次のようにします。

RMINSTDIR/etc/rmagent.xml:...<receiver name="heartbeat"

class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaHeartBeat"><set key="RMA_conf" value="RMINSTDIR/etc/heartbeat.conf" />

</receiver>...RMINSTDIR/etc/heartbeat.conf:...time=360000...

ハートビート・イベント生成の使用不可ハートビート・イベントの生成を使用不可にするには、クラスcom.tivoli.RiskManager.Agent.Transports.Receivers.rmaHeartBeat を持つ受信側をエージェント構成ファイル RMINSTDIR/etc/rmagent.xml から除去します。ハートビートを参照するすべてのコネクターを除去してください。

ハートビート・イベントのモニターの使用不可相関サーバーでハートビート・イベントのモニターを使用不可にするには、ハートビート・イベントをモニターするためのルールが含まれているルール・ファイルのリファレンスを除去します。RMAgent_HeartBeat イベントがハートビートをモニターする相関サーバーで処理されない場合、RMAgent_HeartBeat イベントがイベント・コンソールとデータベースに出力される場合があります。



第 6 章イベント要約

Tivoli Risk Manager アダプターがモニターするデバイスの中には、非常に類似した一連のアクティビティーを表す多くのイベントを生成するものがあります。例えば、ポートをスキャンするごとに 1 イベントが生成される単一ポート・スキャンがあるセンサーもあります。できるだけ情報の欠落がないようにイベント・トラフィックを最小限にするために、エージェントは類似イベントを要約できます。


v 要約イベントの確認

v イベント要約ルールについて

v イベント要約ルールの構成

概説91ページの『第 5 章エンジン構成』で説明しているように、 Tivoli Risk

Manager エージェントのエンジン・コンポーネントが提供する機能の 1 つにイベント要約があります。イベント要約は、エージェントのエンジンが、短期間に発生する非常に類似したイベントの識別、およびイベント・セットの 1 つのイベントへのマップに使用するプロセスです。これにより、Tivoli Enterprise Console データベース表および Tivoli Risk Manager アーカイブ表におけるネットワーク上のイベント・トラフィックおよびスペースが最小化されます。

要約イベントの識別要約イベントは、repeat_count 属性が 1 以上に設定される RM_SensorEvent です。repeat_count 属性値は、要約イベントで表される元のイベント数より 1 小さくなります。例えば、repeat_count 属性が 9 である要約イベントは、非常に類似したイベントが 10 であることを示します。通常、Tivoli Risk Manager は、要約イベントのmsg 属性を単語 SUMMARY で始まる値に設定し、要約イベントの識別を支援します。

即時に使用可能なクライアント構成エージェントがクライアント役割にデプロイされると、エンジンは自動的に次のTivoli Risk Manager アダプターのイベント要約を実行します。

v Check Point FireWall-1 (CPFW_summary_rules.xml)

v Cisco-Secure IDS (CSIDS_summary_rules.xml)

v NIDS (NIDS_summary_rules.xml)

v PIX (PIX_summary_rules.xml)

v Real Secure (RS_summary_rules.xml)

デフォルトでは、クライアント・エンジンの 2 次構成ファイルはRMINSTDIR/etc/summary_engine.conf です。summary_engine.conf ファイルは、前


述の各アダプターで使用可能な rules= 行を含みます。デフォルトの要約ルール定義ファイルも、RMINSTDIR/etc ディレクトリーにあります。デフォルトの要約ルールが提供されているアダプターが 1 つ以上ない場合、RMINSTDIR/etc/summary_engine.conf ファイルで、不要な rules=<filename> 行を、ポンド記号 (#) を使用してコメント化するか、除去します。

デフォルトの各要約ルール・ファイルのコピーは、RMINSTDIR/etc/templates ディレクトリーにあります。アクティブな要約ルール XML ファイルは RMINSTDIR/etc

ディレクトリーにあります。

要約ルールについて各要約ルール XML ファイルには、複数のルール定義があります。各要約ルールは、以下の情報を含みます。

v 固有のルール ID

v 要約対象の Tivoli Risk Manager イベント・クラス

v 類似イベントをモニターするための、ミリ秒単位の時間フレーム

v 要約イベントに組み込むためにイベントとマッチングする属性のリスト

さらに、要約ルールには、特定のイベント属性に割り当てる 1 つ以上の値を定義できます。

要約ルールの例を以下に示します。

<rule id="PIX_PortScan_In"><eventType>PIX_TCP_in_conn_denied</eventType>

<collector timeInterval="30000">

<cloneableattributeSet="pix_sev

pix_codepix_ifnamerm_SourceIPAddrrm_DestinationIPAddrrm_SensorIPAddr"

ignoreMissingAttributes="true"/>

<predicate>true</predicate></collector>

<action function="RMSummary"><parameters>

<![CDATA[SET:rm_SrcPort=*SET:rm_DstPort=*

SET:msg=SUMMARY_Multiple_TCPIP_Inbound_connections_denied_by_PIX]]>

</parameters></action>

</rule>

この例では、<eventType>PIX_TCP_in_conn_denied</eventType> として指定されるように、PIX_TCP_in_conn_denied というイベント・クラスを持つ大量のイベントを要約するように設計されたルールを示しています。このイベントの固有のルール ID

は、<rule id="PIX_PortScan_in"> として指定されるように、PIX_PortScan_in です。 Cisco PIX ファイアウォールは、特定のポートへの接続をブロックするたびに


これらのイベントの 1 つを生成します。1 つのポート・スキャンが、それぞれ同じイベント・クラス名、pix_sev、pix_code、pix_ifname、ソース IP アドレス、宛先IP アドレス、センサー IP アドレスを持つイベントを大量にトリガーします。もちろん宛先ポートは異なることもありますが、必須の情報はポート・スキャンに関連したソースおよび宛先アドレスです。このルールは、timeInterval="30000" と指定されるように、 PIX_TCP_in_conn_denied イベントを 30 秒間モニターします。時間間隔は ms (ミリ秒) で指定します。発生する PIX_TCP_in_conn_denied イベントのルールの attributeSet に指定された属性が、元のイベントのものと同じ値を含む場合、1 つの要約イベントとして集約されます。このルールの例は、要約イベントの結果に次のような属性が設定されるよう指定もします。

v rm_SrcPort はワイルドカード文字 (*) を含み、複数の値が属性と関連付けられることを示します。

v rm_DstPort もワイルドカード文字 (*) を含みます。

v msg は次のものを含みます。

v SUMMARY:Multiple TCPIP Inbound connections denied by PIX

要約イベントの結果は、個々のイベントと同じイベント・クラス名PIX_TCP_in_conn_denied を持ちます。エージェントが、最初のイベントとマッチングするイベントを受信しない場合、指定された時間が経過すると元のイベントを転送します。

要約イベント・ルールの構文については、以下の点に注意してください。

v 要約イベントの msg 属性を設定する場合、ルール内ではスペースではなく下線文字を使用します。要約イベントの結果では、最初の下線文字がコロン (:) に置換され、後続の下線文字がスペースに置換されます。メッセージ設定の Tivoli Risk

Manager 規則に従って、要約イベントを識別できるように、SUMMARY で開始します。

v attributeSet の後に ignoreMissingAttributes="true" と指定すると、エンジンは、1 以上の attributeSet 属性を含まないイベントを集約します。前述の例で、pix_ifname 属性が指定されずにイベントが受信された場合、その特定の属性は欠落した同様のイベントとマッチングします。 ignoreMissingAttributes="true"

を指定しない場合、 1 以上の属性が欠落したイベントが要約されます。

v <predicate>true</predicate> の指定が必要で、通常、要約ルールに変更しません。

v ルール・ファイルは XML ファイルです。ルール・ファイル内では標準 XML コメントを使用できます。

v SET: パラメーターと同様に、attributeSet に指定されたイベント属性は、イベント・クラスに定義された属性である必要があります。要約処理中に、クライアントは通常、BAROC ファイルを使用できないため、BAROC ファイル定義に対して属性名は検証されません。具体的には、定義されていない属性を SET: に指定すると、 Tivoli Enterprise Console サーバーは要約イベントをリジェクトします。属性名およびイベント・クラス名は、大文字小文字を区別します。

v イベント・クラス名は、アダプターの BAROC ファイルに定義される有効なイベント・クラス名と完全にマッチングする必要があります。イベント・クラスを誤って指定すると、エージェントはイベントを要約できません。

第 6 章イベント要約 103

v SET:attribute に設定された値は、特定の属性に対して有効である必要があります。設定値が無効な場合、Tivoli Enterprise Console サーバーはイベントをリジェクトします。

v クライアントは、クラスが timeInterval の期間に使用可能な要約ルールとマッチングする最初のイベントを保持します。時間間隔を長く指定した場合、アダプターがイベントを作成する時間と、それを Tivoli Enterprise Console サーバーが受信または Tivoli Risk Manager アーカイブ表に書き込む時間との間に遅延が生じる場合があります。

要約ルールの構成要約ルール・ファイルに対して以下を実行できます。

v 『既存の要約ルールの更新』

v 105ページの『新規要約ルールの作成』

v 105ページの『変更のアクティブ化』

既存の要約ルールの更新追加のイベント・クラスに対し、既存の要約ルールを変更、または既存の要約ルール・ファイルにルールを追加できます。

例えば、ポート・スキャンにいくつかの要約イベントを受信しており、その特定のアタック・タイプに対するイベント・フローを削減するとします。特定のアタックに対する要約イベント数を削減するには、次のようにします。

v アタックの時間枠を記録します

v イベント・クラスを記録します

v クライアントで、適切な要約ルール XML ファイルを編集します

– その特定のイベント・クラスに関連したルールを変更し、使用している環境により適切な timeInterval 設定にします。例えば、デフォルトの時間間隔 (30

秒) を使用して、1 つのポート・スキャンに対して 10 の要約イベントを受信しているとします。この場合、時間間隔を 300 秒 (300000 ms (ミリ秒)) に変更し、1 つの要約イベントに対するスキャンを潜在的に削減します。または、要約イベント数を半分に削減する場合、時間間隔を 60 秒 (60000 ms (ミリ秒)) に指定します。

要約ルール XML ファイルがすでに定義済みのアダプターが、ルール定義されていない大量のイベントを生成している場合、その特定のイベント・タイプに対してルールを追加します。アダプターに関連した要約ルール XML ファイルを編集し、新規のルール指定を追加します。 102 ページの要約ルールの例を確認してください。また、要約ルールの構文については XML ファイル内の既存のルールを参照してください。

新規要約ルールを作成する前に、その新規ルールに対して適切なイベント属性を確認します。イベントに、アタックの詳細を診断する際に必要な値を持つ 1 つ以上の属性がある場合、要約イベントの結果にその値の 1 つが含まれてしまうため、そのイベント・クラスに対する要約ルールのインプリメントを再検討する必要がありま


す。要約処理の目的は、関連性のある情報を失わずにイベント・トラフィックを削減することです。定義するルールによって、重要な情報の欠落が引き起こされないことを確認してください。

新規ルールを追加する前に、以下を記録します。

v イベント・クラス名

v 要約イベントの一部としてマッチングさせる属性名

v 要約イベントに設定する属性名

v 要約イベントに設定する各属性のタイプ (属性タイプは BAROC ファイルに定義されます。)

v イベント処理の予想される時間枠

要約ルール XML ファイルに新規ルール定義を追加します。XML ファイルのルール・タグ内にルールを組み込みます。変更をアクティブにする前に、以下を確認します。

v 固有のルール ID を指定済みであること

v イベント・クラス名を正しく指定済みであること

v イベント属性名を正しく指定済みであること

v SET:attribute の指定では、その属性に対して有効な値を使用すること。例えば、INTEGER または REAL タイプの属性は数値ではないため、ワイルドカード文字 (*) は設定できません。設定した場合、Tivoli Enterprise Console サーバーはPARSING_ERROR でイベントをリジェクトします。

要約ルール変更の検証とアクティブ化については、『変更のアクティブ化』を参照してください。

新規要約ルールの作成ユーザー自身の要約ルール XML ファイルを作成して、その環境のイベントに対する要約ルールを指定できます。作成する新規要約ルール XML ファイルには、既存の要約ルール XML ファイルをテンプレートとして使用することを強くお勧めします。要約ルールの例については、 104ページの『既存の要約ルールの更新』を参照してください。また、要約ルールの構文については既存の要約ルール XML ファイルのルール定義を参照してください。 104ページの『既存の要約ルールの更新』に定義されている、新規要約ルールの作成のプロセスに従ってください。

ルールの検証とアクティブ化については、『変更のアクティブ化』を参照してください。

変更のアクティブ化要約ルール XML ファイルへの変更をアクティブ化する前に、ファイル内に構文エラーがないことを確認します。変更後の構文の妥当性を確認するには、checkrulesコマンドを使用します。要約ルール XML ファイル内に構文エラーがあると、エージェントはそのルールを無視して処理を続行します。つまり、要約ルール XML ファイル内に構文エラーがあっても、エージェントは処理を停止しません。代わりに、エージェントは、定義された要約ルールは存在しないものとしてイベントを処理します。


新規または更新した要約ルール XML ファイルの構文を検証後、RMA_conf パラメーターがあるエンジンのコンポーネント構成ファイルに、要約ルール XML ファイルを指定する rules= 行があることを確認してください。

checkrules コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

変更をアクティブにするには、wrmadmin コマンドを使用します。

wrmadmin -restart コマンドでエージェントを停止および再始動できます。また、次のようにするとエージェントのエンジン・コンポーネントを停止および再始動できます。

1. エンジンを停止するには、wrmadmin -s summary_engine コマンドを使用します。

2. エンジンを再始動するには、wrmadmin -r summary_engine コマンドを使用します。

wrmadmin コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

イベント要約処理の例次の例では、同じソース IP アドレスおよび宛先 IP アドレスのイベントとマッチングするように定義された要約ルールがある、1 つのイベント・クラスに対するイベント要約の結果を示します。この例では、ソース・ポートおよび宛先ポートがルールによってワイルドカード文字に設定されているとします。次の表は、要約の時間間隔内で受信される、このクラス・タイプのすべてのイベントに対する属性値を示します。

表 8. センサーが受信した元のイベント

イベント番号ソース IPアドレス

宛先 IP アドレスソース・ポート

宛先ポート

1 23.56.78.99 32.11.22.33 5432 389

2 44.55.66.77 66.77.88.99 6000 1000

3 23.56.78.99 32.11.22.33 5432 390

4 44.55.66.77 66.77.77.99 6000 1002

5 44.55.66.77 66.77.77.99 6000 1002

6 23.56.78.99 32.11.22.33 5432 391

7 11.11.11.11 22.22.22.22 10000 9999

8 23.56.78.99 32.11.22.33 5432 392

9 44.55.66.77 66.77.77.99 6000 1001

10 44.55.66.77 66.77.77.99 6000 1002

このイベント・セットの場合、要約処理による出力は次のようになります。

v 上記表のイベント番号 1、3、6、および 8 を表す要約イベント。この要約イベントは、以下のようになります。

– repeat_count 属性が 3


– ソース IP アドレスが 23.56.78.99

– 宛先 IP アドレスが 32.11.22.33

– ソース・ポートが「*」

– 宛先ポートが「*」

v 上記表のイベント番号 2、4、5、および 9 を表す要約イベント。この要約イベントは、以下のようになります。


– ソース IP アドレスが 44.55.66.77

– 宛先 IP アドレスが 66.77.88.99

– ソース・ポートが「*」

– 宛先ポートが「*」

v 上記表のイベント番号 7 を表す要約されなかったイベント。このイベントは変更されません。


– ソース IP アドレスが 11.11.11.11

– 宛先 IP アドレスが 22.22.22.22

– ソース・ポートが 10000

– 宛先ポートが 9999



第 7 章インシデント・ベースの相関

Tivoli Risk Manager がイベント・サーバーおよび分散相関サーバーにインストールされる際、エージェントはインシデント・ベースの相関を実行します。インシデント・ベースの相関は、エージェントが受信した RM_SensorEvent イベントからの情報を使用した RM_Incident イベントの識別および作成プロセスです。このコンテキストでは、RM_SensorEvent は Tivoli Risk Manager アダプターまたはセンサーが作成したイベントです。エージェントは、ネットワーク内のアクティビティーがネットワーク管理者へ警告すべきレベルに達したか否かを判断するために、受信したイベントをモニターします。


v インシデント・ベースの相関処理

v インシデント・ベースの相関 XML 構文

v インシデント・ベースの相関アクション機能

v インシデント・ベースの相関ルールのカスタマイズ

v インシデント・ベースの相関ルールの構成

v カスタマー ID 属性を使用可能にしたインシデント・ベースの相関の拡張

概説このセクションでは、インシデントに関する一般的な内容を説明します。

インシデントとはインシデントは、構成スライディング・ウィンドウ時間フレーム内の設定しきい値に達した、結合 rm_Level 属性を持つ一連の RM_SensorEvents を表すイベントです。インシデントの識別の一部として、エージェントは以下のものもモニターします。

v アクティビティーのソース

v アクティビティーの宛先 (またはターゲット)

v アクティビティーのクラス・カテゴリー

rm_Level 属性とはrm_Level 属性は、イベントを生成したアダプターまたはセンサーが各RM_SensorEvent に割り当てた値です。

スライディング・ウィンドウとはこのコンテキストでは、スライディング・ウィンドウは、エージェントがアクティビティーをモニターする時間枠です。アクティビティーの開始時刻は、設定された時間内に受信されたイベントのみ能動的にモニターされるように自動的に調節されます。


クラス・カテゴリーとはクラス・カテゴリーは、RM_SensorEvent イベントと既知のタイプの侵入アクティビティーとの関連を示します。クラス・カテゴリーは、イベントが表したアクティビティーのタイプに基づいて、各 RM_SensorEvent に割り当てられます。クラス・カテゴリーの割り当ては、一般的にイベントの継承の階層に基づいています。特定のイベント・クラスは、その継承の階層から独立したカテゴリーに割り当てられます。表 9 は、デフォルトのクラス・カテゴリーを示しています。

表 9. デフォルトのクラス・カテゴリー

カテゴリー名説明

CMD コマンド・レベル・アクティビティー

CONFIG 構成変更アクティビティー

DOS サービス妨害

EMAIL E メール・アクティビティー

HOSTLVL ホスト・レベル・アクティビティー

IDSLVL IDS レベル・アクティビティー

INSTALL インストール・アクティビティー

MISCLVL 各種レベル・アクティビティー

NETLVL ネットワーク・レベル・アクティビティー

NETMAN ネットワーク管理アクティビティー

NOMAPPING 全イベント、カテゴリーなし注: このカテゴリーに割り当てられるイベントは、アダプターまたはセンサーに、イベントの特定のシグニチャーがないことを示します。アダプターまたはセンサー・フォーマット・ファイルを更新し、イベントをより詳細にカテゴリー化できます。

RESOURCE リソース・アラート

SECADMIN セキュリティー管理アクティビティー

SECACCESS.ALLOW アクセス許可アクティビティー

SECACCESS.DENY アクセス否認アクティビティー

SECAUTH.ALLOW 認証許可アクティビティー

SECAUTH.DENY 認証否認アクティビティー

SERV サービス・アタック

SERVCMP サービスの妥協

STATECHG 状態変更アクティビティー

SYSERROR システム・エラー

TDOS ターゲット・サービス妨害

TOPLVL カテゴリー・トップレベル注: このカテゴリーに割り当てられるイベントは、アダプターまたはセンサーに、イベントの特定のシグニチャーがないことを示します。アダプターまたはセンサー・フォーマット・ファイルを更新し、イベントをより詳細にカテゴリー化できます。

TROJ トロイの木馬アクティビティー

USER ユーザー・レベル・アクティビティー


表 9. デフォルトのクラス・カテゴリー (続き)

カテゴリー名説明

VIRUS ウィルス・アクティビティー

WEB Web アタック

クラス・カテゴリー割り当ての構成の詳細については、 94ページの『クラス・カテゴリーの割り当て』を参照してください。

存在するインシデントのタイプ表 10 は、ネットワーク内の不審なアクティビティーを表す RM_Incident イベントについて示しています。

表 10. 不審なアクティビティーを表す RM_Incidents イベント

RM_Incident イベント・タイプこのインシデント・タイプが表す内容

RM_Cat_Incident 特定のクラス・カテゴリー内のアクティビティーが変化しました。このアクティビティーは複数のソース・ホストおよび複数の宛先ホストから発生したものです。

RM_Dst_Incident 1 つの宛先ホストをターゲットとしているアクティビティーが変化しました。このアクティビティーは複数のソース・ホストから発生し、複数のクラス・カテゴリーを表しています。

RM_DstCat_Incident 特定のクラス・カテゴリー内の 1 つの宛先ホストをターゲットとするアクティビティーが変化しました。このアクティビティーは複数のソース・ホストから発生したものです。

RM_Src_Incident 1 つのソース・ホストからのアクティビティーが変化しました。このアクティビティーは、複数の宛先ホストをターゲットとしており、複数のクラス・カテゴリーを表します。

RM_SrcCat_Incident 1 つのクラス・カテゴリー内の 1 つのソース・ホストからのアクティビティーが変化しました。このアクティビティーは複数の宛先ホストをターゲットとしています。

RM_SrcDst_Incident 1 つの宛先ホストをターゲットとしている 1 つのソース・ホストからのアクティビティーが変化しました。アクティビティーは複数のカテゴリー内にあります。

RM_SrcDstCat_Incident 特定のクラス・カテゴリー内にある、1 つの宛先ホストをターゲットとしている 1 つのソース・ホストからの特定のアクティビティーが変化しました。

インシデントの原因となるイベントとはrm_Correlate=yes 属性を持つ RM_SensorEvent から継承している適格イベントはすべてインシデントの原因となる可能性があります。適格イベントには以下の属性セットがあります。

v rm_SensorType

第 7 章インシデント・ベースの相関 111

v rm_SensorHostname

v rm_SensorIPAddr

v rm_SourceHostname、rm_SourceIPAddr、またはこの両方

v rm_DestinationHostname、rm_DestinationIPAddr、またはこの両方

v rm_Level

これらの属性はセンサーまたはアダプターに設定されたものか、あるいは BAROC

ファイルから割り当てられた有効なデフォルト値を持っています。加えて、rm_Level 属性は、インシデントの原因となるイベントで、0.0 より大きい必要があります。トラステッド・ホストからのイベントはインシデントの原因とはなりません。

1 つのイベントが複数のインシデントの原因となりうるのか単一の RM_SensorEvent イベントが最大 7 つのインシデント・イベントの原因となる場合があります。

インシデントの重大度の設定方法RM_Incident イベントの重大度は、原因イベントがしきい値設定に達する速度に基づいて設定されます。経過時間がスライディング・ウィンドウ時間の半分以上である場合に重大度が警告 (WARNING) となります。経過時間がスライディング・ウィンドウ時間の 4 分の 1 の場合、マイナー (MINOR) となります。経過時間がスライディング・ウィンドウの 4 分の 1 に満たない場合クリティカル (CRITICAL) となります。

特定のイベント・クラスがインシデント・ベースの相関の原因にならないようにするには

RM_SensorEvent から継承するクラスはどれも、インシデント・ベースの相関の原因となります。rm_Correlate 属性を no に設定することでインシデント処理に対するイベントの寄与を使用不可にできます。

特定のイベント用のデフォルトの rm_Correlate 値を変更するには以下のようにします。

1. 変更するクラスを含む BAROC ファイルを編集する。

2. イベントの rm_Correlate に使用する値を指定する。

a. 相関を使用不可にする場合

rm_Correlate: default=’no’;

b. 相関を使用可能にする場合

rm_Correlate: default=’yes’;

3. rmcorr_cfg -update コマンドを使用して Tivoli Enterprise Console およびサーバー・エージェントを更新する。このコマンドの使用方法については、「IBM


4. Tivoli Risk Manager BAROC ファイルがネットワーク全体で同じレベルであることを検査する。


アダプターの中には、アダプターの特定のインスタンスに対して rm_Correlate 値を設定できるものがあります。例えば、アダプターが XML ファイルを使用する場合、XML ファイル内のマッピングを変更して希望する値を割り当てられます。再構成するアダプターに付属の資料を参照してください。

インシデント・ベースの相関処理91ページの『第 5 章エンジン構成』で説明しているように、Tivoli Risk Manager

エージェントのエンジン・コンポーネントが提供する機能の 1 つにインシデント・ベースの相関があります。インシデント・ベースの相関は、大きなアクティビティーが検出された場合に、関連するセキュリティー・アクティビティーの識別や、RM_Incident イベントの生成のためにエージェントのエンジンによって使用されるプロセスです。デフォルトでは、Tivoli Enterprise Console サーバー上のエージェントおよび分散相関サーバー上のエージェントでは、エンジンの 2 次構成ファイルはRMINSTDIR/etc/incident_engine.conf です。incident_engine.conf ファイルには、rules=RMINSTDIR/etc/incident_rules.xml があります。RMINSTDIR/etc/incident_rules.xml に定義されているルールは、デフォルトのインシデント・ベースの相関ルールを含みます。 CorrelationEvent キーワードを、ルールが使用するイベントのタイプとして使用する XML ルールがある場合、エンジンは、インシデント・ベースの相関を実行するルールを識別します。

Tivoli Risk Manager センサー・イベント (RM_SensorEvent) が、インシデント・ベースの相関を実行するよう構成されたエンジンによって処理される場合、エンジンは以下を行います。

v イベントを正規化します (正規化済みでない場合)

v インシデント・ベースの相関によって使用される属性で、イベントから一時イベントを作成します

v 正規化イベントを、エンジンに定義されたコネクターに経路指定します

v 一時イベントをインシデント・ベースの相関処理に使用します

v エンジンは、インシデント・イベントがの生成時に、エンジンに定義されたコネクターに経路指定します

インシデント・ベースの相関 XML 構文デフォルトの incident_rules.xml ファイルには、RM_Incident イベントを生成する 7 つのルールがあります。各インシデント・ルールの内容は以下になります。

v 固有のルール ID

v eventType として定義された CorrelationEvent キーワード

v 元の RM_SensorEvents の集約された rm_Level 属性を示すしきい値

v イベントをモニターするためのスライディング・ウィンドウを ms (ミリ秒) で指定する時間間隔

v 元のイベント属性が、元の RM_SensorEvents が集約の原因となることを識別するためにルールによって使用されることを示す attributeSet

v しきい値がクロスする場合に、ルールが生成する RM_Incident のタイプを指定するアクション機能


有効なアクション機能については、表 11で説明しています。

表 11. 有効なアクション

アクション関数実行するアクション

CatIncident RM_Cat_Incident イベントを生成します。原因イベントのソースや宛先に変化がない場合、生成されるインシデント・イベントはありません。

DstCatIncident RM_DstCat_Incident イベントを生成します。原因イベントのソースに変化がない場合、生成されるインシデントはありません。

DstIncident RM_Dst_Incident イベントを生成します。原因イベントのソースやカテゴリーに変化がない場合、生成されるインシデント・イベントはありません。

SrcCatIncident RM_SrcCat_Incident イベントを生成します。原因イベントの宛先に変化がない場合、生成されるインシデント・イベントはありません。

SrcDstCatIncident RM_SrcDstCat_Incident イベントを生成します。

SrcDstIncident RM_SrcDst_Incident を生成します。処理されるイベントのカテゴリー属性に変化がない場合、生成されるインシデント・イベントはありません。

SrcIncident RM_Src_Incident イベントを生成します。原因イベントの宛先またはカテゴリーに変化がない場合、生成されるインシデント・イベントはありません。

以下は、インシデント・ベースの相関ルールの例です。

<rule id="RM.Incident.DstCat"> <eventType>CorrelationEvent</eventType><threshold

thresholdCount="10" timeInterval="600000" timeIntervalMode="slideWindow" triggerMode="allEvents" 

><cloneable

attributeSet="rm_DestinationToken rm_CategoryToken"

/><aggregate> <![CDATA[

&rm_Level]]>

</aggregate><predicate>true</predicate></threshold><action function="DstCatIncident"/>



</rule>


インシデント・ベースの相関アクション機能インシデント・イベントは、ルールで定義されている attributeSet とマッチングする属性を持つ一連のイベントに対して生成されます。アクション関数が生成されるインシデント・タイプを決定します。デフォルトでは、アクション関数が原因イベントをチェックして、ルールの attributeSet にはないと予想される相関属性のイベントに、複数の固有値が表記されていることを確認します。相関属性はrm_SourceToken、 rm_DestinationToken、および rm_CategoryToken です。原因イベントに、チェックされる相関属性値が複数含まれていない場合、生成されるイベントはありません。デフォルトの Tivoli Risk Manager インシデント・ルールは、生成されたインシデント・イベントがネットワーク・アクティビティーをできるだけ簡素に表していることを確認するために、このように機能します。

次の表は、デフォルトのアクション関数の動作を示したものです。

表 12. デフォルトのアクション機能の動作

アクション関数 attributeSet 内の予想される相関属性

これらの相関属性が原因イベントからのものと同じ場合インシデントは生成されない

CatIncident rm_CategoryToken rm_SourceToken

rm_DestinationToken

DstCatIncident rm_DestinationToken

rm_CategoryToken

rm_SourceToken

DstIncident rm_DestinationToken rm_SourceToken

rm_CategoryToken

SrcCatIncident rm_SourceToken

rm_CategoryToken

rm_DestinationToken

SrcDstCatIncident rm_SourceToken

rm_DestinationToken

rm_CategoryToken

該当なし - すべての相関属性がattributeSet にあるため変更されません。

SrcDstIncident rm_SourceToken

rm_DestinationToken

rm_CategoryToken

SrcIncident rm_SourceToken rm_DestinationToken

rm_CategoryToken

原因イベント相関属性において、ルール内の RequireAttributeVariation:false パラメーターを使用して、予想される変更が検出されない場合、インシデント・イベントを作成するようにアクション関数を構成できます。

例えば、次のようになります。

...<action function="SrcIncident" >

<parameters><![CDATA[

RequireAttributeVariation:false]]>

</parameters></action>


例えば、生成されるインシデントが特定のホストがアタックのソースになるたびにインシデントを生成し、特定ホストに対して 7 つのルール (各アクション関数に対して 1 ルール) を記述したくない場合、アクションをこのように構成できます。

インシデント・ベースの相関ルールのカスタマイズルールの述部は、ルールがアクション機能を起動するときに使用するイベントを指定します。デフォルトは <predicate>true</predicate> であり、attributeSet に指定された属性に一致する値を持つイベントがすべてルールに使用されます。述部をより選択的に変更すると、指定した述部基準と一致する属性を持つイベントのみがルールに使用されます。以下の表に、相関エンジンへの STRING として定義される属性の有効な述部値を示します。相関エンジンの場合のみは、Tivoli Risk Manager はrm_Level を除くすべての属性を STRING として定義します。Tivoli Risk Manager

は、rm_Level 属性を浮動小数点数として定義します。

述部の設定では、STRING 属性について以下の論理演算子を使用できます。

論理演算子意味説明

== 等しい指定された属性に指定されたストリング値が含まれます。

!= 等しくない指定された属性に指定された値と異なる値が含まれます。

startsWith(&attributeName,″startValue″) 前方一致指定された属性は、指定された「startValue」で始まる値に設定されています。

endsWith(&attributeName,″endValue″) 後方一致指定された属性は、指定された「endValue」で終わる値に設定されています。

iceq(&attributeName,″value″) 大文字小文字を無視 (一致)

指定された属性は、大文字小文字にかかわらず、指定された「value」と一致します。

icne(&attributeName,″value″) 大文字小文字を無視 (不一致)

指定された属性は、大文字小文字にかかわらず、指定された「value」と一致しません。

&& 論理積前後の式を論理積演算します。

|| 論理和前後の式を論理和演算します。

以下の比較演算子は、述部設定の rm_Level 属性の浮動小数点値に対して使用できます。

比較演算子意味説明

== 等しい数値例えば、rm_Level が 3.0 と等しい必要があることを指定する場合: &rm_Level== 3.0

!= 等しくない数値例えば、rm_Level が 3.0 以外である必要があることを指定する場合: &rm_Level!=3.0


比較演算子意味説明

< より小さい数値例えば、rm_Level が 4.0 より小さいことを指定する場合:

&rm_Level < 4.0

<= 以下の数値例えば、rm_Level が 4.0 以下であることを指定する場合:

&rm_Level <= 4.0

> より大きい数値例えば、rm_Level が 4.0 より大きいことを指定する場合:

&rm_Level > 4.0

>= 以上の数値例えば、rm_Level が 4.5 以上であることを指定する場合:

&rm_Level >= 4.5

例えば、「SERV」から始まるカテゴリー内のイベントのみが必要な場合で、ルールに則るために rm_Level 属性が 1.0 と 100.0 の間である必要がある場合、次の述部を指定します。

<predicate><![CDATA[

startsWith(&rm_CategoryToken,"SERV.") &&(&rm_Level>=1.0 && &rm_Level <=100.0)

]]></predicate>

インシデント・ベースの相関ルールの構成インシデント・ベースの相関ルール・ファイルに対して、以下を実行できます。

v 『既存のインシデント・ベースの相関ルール・ファイルの更新』

v 118ページの『インシデント・ベースの新規相関ルール・ファイルの作成』

v 120ページの『インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化』

既存のインシデント・ベースの相関ルール・ファイルの更新インシデント・ベースの相関ルールを更新して、以下の内容を変更できます。

v インシデント・イベントが作成されるしきい値レベル

v アクティビティーのモニターの時間間隔

v 結果となるインシデント・イベントの属性に対する特定の値の指定

しきい値レベルを変更するには、指定のルール・ファイルを編集し、ルール内のthresholdCount 設定を変更します。アクティビティーのモニターの時間間隔を変更するには、指定のルール・ファイルを編集し、timeInterval の設定を適切な値に変更します。

結果となるインシデント・イベントの属性に対して特定の値を指定するには、ルールのアクション・セクションにパラメーターを追加します。


属性を特定の値に設定RM_Incident イベントに特定の値を設定する場合、アクション関数のパラメーターを指定してください。例えば、RM_SrcDst_Incident イベントの重大度をクリティカルにする場合、以下のようにパラメーターを設定します。

...<action function="SrcDstIncident">


SET:severity=CRITICAL]]>

</parameters></action>...

有効な属性名と値のみを指定してください。msg 属性にスペースを含んだ値を設定する場合、スペースの位置に下線 ( _ ) 文字を使用してください。


...<action function="SrcDstIncident">


SET:msg=Your_customized_message_goes_here]]>

</parameters></action>...

XML ルールの変更内容の検証およびアクティブ化については、 120ページの『インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化』を参照してください。

インシデント・ベースの新規相関ルール・ファイルの作成以下を行うには、インシデント・ベースの新規相関ルールを作成する必要があります。

v 特定のカテゴリー用に異なるしきい値を設定する

v 特定のホストからのアクティビティーをモニターする

incident_rules.xml のコピーは、RMINSTDIR/etc/templates ディレクトリーにあります。

個々のイベント・カテゴリーに対する異なるしきい値の指定標準的なシステム・イベントのフローを分析すると、より詳細にモニターする必要があるイベント・クラスの存在に気付くことがあります。単にルールで eventType

を特定のイベント・クラスの名前に変更するだけでも良いと思われがちですが、これを実行すると、特定のイベント・クラスのイベントが相関サーバーで破棄されてしまいます。代わりに、特定のカテゴリー用にルールを作成できます。場合によっては、独自のクラス・カテゴリーを作成し、それに特定のイベント・クラスを割り当てます。新規クラス・カテゴリーの作成に関する詳細については、 94ページの『クラス・カテゴリーの割り当て』を参照してください。また、特定のイベントのデフォルト rm_Level 属性の変更を検討してください。


例えば、カテゴリー SERV.ALLOW 内のイベントが該当イベントであることを示し、以下のようなルールをルール・ファイルに追加します。

<rule id="RM.Incident.SrcDstCat.SERV.ALLOW" ><eventType>CorrelationEvent</eventType><threshold thresholdCount="100" timeInterval="600000"

timeIntervalMode="slideWindow" triggerMode="allEvents" ><cloneable attributeSet="rm_SourceToken rm_DestinationToken

rm_CategoryToken" /><aggregate><!CDATA[ &rm_Level]]><predicate><![CDATA[

&rm_CategoryToken=="SERV.ALLOW"]]></predicate></threshold>

<action funtion="SrcDstCatIncident"><parameter><![CDATA[SET:severity="CRITICAL"]]></parameter></action>

</rule>

<rule id="RM.Incident.Cat.SERV.ALLOW"><eventType>CorrelationEvent</eventType><threshold thresholdCount="100" timeInterval="600000"

timeIntervalMode="slideWindow" triggerMode="allEvents"><cloneable attributeSet="rm_CategoryToken" /><aggregate><![CDATA[ &rm_Level ]]><predicate><![CDATA[&rm_CategoryToken=="SERV.ALLOW"]]></predicate></threshold><action function="CatIncident"><parameter><![CDATA[SET:severity="CRITICAL"]]></parameter>

</action></rule>

元のインシデント・ルールを削除しなかった場合、SERV.ALLOW カテゴリー内のイベントは、元のルールで作成されたインシデントとの関連を継続して保持します。 SERV.ALLOW カテゴリー内のイベントと元のインシデント・ルールとの関係を断つ場合は、元のルールの <predicate>true</predicate> を次のように変更します。

<predicate><![CDATA[&rm_CategoryToken!="SERV.ALLOW"]]>

</predicate>

特定のホストのアクティビティーのモニターご使用のシステム・セキュリティー・イベントをモニター中、特定のマシンが頻繁に不審なアクティビティーの対象となっていることが検出される場合があります。このマシンが再度その対象となった場合に迅速にインシデント・イベントを生成するルールを作成できます。例えば、以下のルールは、ホスト "abc.our.domain" が任意のソースのターゲットとなった場合、結合した rm_Level 5.0 以上を使用して、1 分以内に RM_Dst_Incident イベントを作成します。


<rule id="ABC.HIT_AGAIN"><eventType>CorrelationEvent</eventType><threshold thresholdCount="5" timeInterval="6000"

timeIntervalMode="slideWindow" triggerMode="allEvents"><cloneable attributeSet="rm_DestinationToken" /><aggregate><![CDATA[ &rm_Level ]]></aggregate><predicate>&rm_DestinationToken=="abc.our.domain"</predicate>

</threshold><action function="DstIncident"><parameters><![CDATA[

SET:msg=Activity_targeted_at_ABCSET:severity=CRITICAL

]]></parameters></action>

</rule>

XML ルールの変更内容の検証およびアクティブ化については、『インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化』を参照してください。

インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化

インシデント XML ファイルへの変更をアクティブ化する前に、ファイル内に構文エラーがないことを確認してください。変更後の構文の妥当性を確認するには、checkrules コマンドを使用します。要約ルール XML ファイル内に構文エラーがあると、エージェントはそのルールを無視して処理を続行します。つまり、ルールXML ファイル内に構文エラーがあっても、エージェントは処理を停止しません。代わりに、エージェントは、定義されたルールは存在しないものとしてイベントを処理します。

checkrules コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

新規に作成または更新したルール XML ファイルの構文を検証後、RMA_conf パラメーターがあるエンジンのコンポーネント構成ファイルに、ルール XML ファイルを指定する rules= 行があることを確認してください。

変更をアクティブにするには、wrmadmin コマンドを使用します。

wrmadmin -restart コマンドでエージェントを停止および再始動できます。また、次のようにするとエージェントのエンジン・コンポーネントを停止および再始動できます。

1. エンジンを停止するには、wrmadmin -s summary_engine コマンドを使用します。

2. エンジンを再始動するには、wrmadmin -r summary_engine コマンドを使用します。

wrmadmin コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。


カスタマー ID 属性を使用可能にしたインシデント・ベースの相関の拡張以下に、カスタマー ID 属性を使用可能にして、IBM Tivoli Risk Manager イベントの相関に使用する方法を示します。

イベント・サーバーで、カスタマー ID 属性 rm_CustomerID を使用してイベントを集約できるようにするには、各サーバーに対して以下を実行してください。

1. 次のファイルを RMINSTDIR/etc ディレクトリーにコピーします。ここで、RMINSTDIR は、IBM Tivoli Risk Manager のインストール・ディレクトリーです。

RMINSTDIR/etc/templates/provider_incident_rules.xml

2. ファイルを確認し、しきい値設定やその他すべての設定が、ご使用の環境に適切であるか確認します。

3. 相関エンジンの構成ファイルを、RMA_conf パラメーターを使用して編集し、RMINSTDIR/etc/provider_incident_rules.xml ファイル内のルールをアクティブ化します。アクティブ化するには、ファイル内の行を次のように変更するか、次の行を含むファイルを追加します。

rules=RMINSTDIR/etc/provider_incident_rules.xml

4. ルール・ファイルに対する変更内容を確認し、エージェントを再始動する方法については、 120ページの『インシデント・ベースの相関ルール・ファイルへの変更のアクティブ化』を参照してください。

provide_incident_rules.xml ファイルを更新してアクティブ化した後、カスタマーID 属性を RM_SensorEvent イベントで設定し、カスタマーごとのインシデント作成を完全に可能にするようにする必要があります。デプロイされたアダプターのタイプに応じて、カスタマー ID 属性の設定にはいくつかのオプションがあります。

v ログ・ファイル・タイプのアダプターについては、フォーマットに使用されるXML ファイルを編集し、通常はベース・レベルのイベント・クラスで、属性を適切な値に設定します。

v すべてのアダプターについて、RMA_conf パラメーターを使用して、相関エンジンの構成ファイルに属性マップ定義を追加できます。これを行うにはrm_CustomerID 属性を設定するエントリーを追加します。この変更をアクティブ化するには、エージェントを再始動する必要があります。

v すべてのアダプターについて、BAROC ファイルを編集して rm_CustomerID 属性のデフォルト設定を追加します。 Tivoli Enterprise Console サーバーでは、この種の変更は次のコマンドを入力することでアクティブ化します。

rmcorr_cfg -update

他のイベント・サーバーの場合は、次のコマンドを使用してエージェントを再始動します。

wrmadmin -r

rmcorr_cfg コマンドと wrmadmin コマンドの使用方法については、「IBM Tivoli

Risk Manager コマンド・リファレンス」を参照してください。



第 8 章 Web アプリケーション

Tivoli Risk Manager 4.2 には、Tivoli Risk Manager インシデントおよびインシデント・グループ・イベント用の Web アプリケーションが含まれています。これらのアプリケーションを使用して、以下を実行できます。

v インシデントおよびインシデント・グループについて、ポリシーや推奨事項を作成する。

v 個々の Tivoli Risk Manager インシデント・イベントについて、追加情報を表示する。

v Tivoli Risk Manager インシデントに関連するセンサー・イベントのリストを表示する。

v インシデント・グループに関連するインシデントのリストを表示する。

v インシデントおよびインシデント・グループに関連するシステムについて、Tivoli

Inventory データベースに保管された情報を表示する。

Web アプリケーションには、イベント詳細、システム情報、および Advisor という3 つのアプリケーションが含まれます。これらのアプリケーションを使用して、上記を実行できます。

機能の概要Web アプリケーションは、Tivoli Presentation Services ToolKit (PS)、Java Server

Pages (JSP)、および Java サーブレット・テクノロジーを使用してビルドされた、Web ブラウザー・ベースのアプリケーションです。これらのテクノロジーは、ユーザーに共通コンソールを表示するために使用されます。コンソールでは、rmeventdetails、rmadvisor、および rmsysteminfo という役割が使用されます。役割rmeventdetails で、ユーザーはイベント詳細アプリケーションにアクセス可能になります。役割 rmadvisor で、ユーザーは Advisor アプリケーションにアクセス可能になります。役割 rmsysteminfo で、ユーザーはシステム情報アプリケーションにアクセス可能になります。

これらの役割はすべて、Tivoli Risk Manager Web アプリケーションのインストール時に、WebSphere のアドミニストレーターに割り当てられます。アドミニストレーターは、WebSphere 管理コンソールを使用して、Tivoli Risk Manager Web アプリケーションのアクセス権を他のユーザーやグループに付与できます。ユーザーやグループに対する Tivoli Risk Manager Web アプリケーションの役割のマッピングを変更するには、以下の手順を実行します。

1. WebSphere 管理コンソールで、「アプリケーション」→「エンタープライズ・アプリケーション」→「IBMTivoliRiskManager4.2」→「セキュリティー役割をユーザー/グループにマップ」を選択します。

2. メンバーシップを変更する役割を選択し、「ユーザー/グループのルックアップ:使用可能なユーザーを検索します」をクリックします。ユーザーが検索されます。


3. 使用可能なユーザーのリストが表示されます。「使用可能」リストから変更するユーザーを選択し、「選択済み」リストに移します。変更が完了したら、「OK」をクリックします。

4. 画面上部の「保管」リンクをクリックします。

5. 「保管」ボタンをクリックします。アプリケーション・サーバーを再始動してください。

RmWeb.properties ファイルには、イベント詳細およびシステム情報のデータベース接続情報や、Advisor の SMTP メール・サーバー情報など、Web アプリケーション固有の情報が含まれます。このファイルのデータベース接続情報や SMTP メール・サーバー情報は、インストールの Web アプリケーション構成中に更新されます。Tivoli Risk Manager Web アプリケーションのインストール後に、ユーザー ID とパスワード、またはそのいずれかのようなデータベース接続情報を更新する必要がある場合は、wrmstashpw コマンドを実行してパスワードを隠し、RmWeb.properties

ファイルにファイル名を入力します。ファイルは編集可能で、該当エントリーを更新できます。このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。このファイルは、WEB-INF ディレクトリーにインストールされます。例えば、次のようになります。

$WAS_HOME/installedApps/$NODE/ IBMTivoliRiskManagerWebApp42.ear/rmwebapp42.war/WEB-INF

ここで、$WAS_HOME は WebSphere のインストール・ディレクトリーであり、$NODE

は管理対象サーバーの名前を指します。変更内容を有効にするには、アプリケーション・サーバーを再始動する必要があります。このファイルの内容を以下に示します。

// Indicates if the Event Details is configured.EventDetailsConfig = true

// The JDBC URL for the Event Details TEC database.// Syntax: protocol:driver:subname: Example: jdbc:db2://foo.ibm.com:6789/tecEventDetailsTecDbUrl = jdbc:db2://foo.ibm.com:6789/tec

// The class name of the driver for the Event Details TEC DatabaseEventDetailsTecDbDriver = COM.ibm.db2.jdbc.net.DB2Driver

// Event Details TEC Database user ID Example: db2EventDetailsTecDbUser = db2

// Event Details TEC Database password fileEventDetailsTecDbPasswordFile = c:/IBM/RISKMGR/etc/stashDBED.pwd

// Max number of connections that need to established for the pool for Event// Details TEC DatabaseEventDetailsTecDbMaxConnections = 10

// The JDBC URL for the Event Details Risk Manager Archive database.// Syntax: protocol:driver:subname:// Example: jdbc:db2://foo.ibm.com:6789/tecEventDetailsRmArchiveDbUrl =

// The class name of the driver for the Event Details Risk Manager Archive// Database. Example: COM.ibm.db2.jdbc.net.DB2DriverEventDetailsRmArchiveDbDriver =

// Event Details Risk Manager Archive Database user ID Example: db2EventDetailsRmArchiveDbUser =


// Event Details Risk Manager Archive Database password fileEventDetailsRmArchiveDbPasswordFile =

// Max number of connections that need to established for the pool for Event// Details Risk Manager Archive DatabaseEventDetailsRmArchiveDbMaxConnections =

// Indicates if the advisor is configured.AdvisorConfig = true

// Name of the Rules file for AdvisorAdvisorRuleFile = AdvisorRules.xml

// The prioritiesAdvisorHighestTitlePriority = 1AdvisorLowestTitlePriority = 100AdvisorDefaultTitlePriority = 50

// Name of the email serverAdvisorSMTPServer = us.ibm.com

// Indicates if the System Information is configured.SystemInfoConfig = true

// The JDBC URL for the System Information database.// Syntax: protocol:driver:subname// Example: jdbc:db2://foo.ibm.com:6789/inv_dbSystemInfoDbUrl = jdbc:db2://foo.ibm.com:6789/inv_db

// The class name of the driver for System Information Database// Example: COM.ibm.db2.jdbc.net.DB2DriverSystemInfoDbDriver = COM.ibm.db2.jdbc.net.DB2Driver

// System Information Database user ID Example: invtivSystemInfoDbUser = invtiv

// System Information Database passwordSystemInfoDbPasswordFile = c:/IBM/RISKMGR/etc/stashDBSI.pwd

// Max number of connections that need to established for the pool for System// Information DatabaseSystemInfoDbMaxConnections = 10

グローバル・セキュリティーおよび UTF-8Tivoli Risk Manager Web アプリケーションを使用する場合は、WebSphere

Application Server のグローバル・セキュリティーが使用可能になっている必要があります。複数言語サポートを利用するには、UTF-8 エンコードが使用可能である必要があります。グローバル・セキュリティーおよび UTF-8 エンコードは、ユーザーが手動で操作します。グローバル・セキュリティーは Web アプリケーションのインストール前に使用可能でなければならず、複数言語サポートが機能するためには、UTF-8 が使用可能である必要があります。

権限を付与されたユーザーのみが管理コンソールを使用して WebSphere を管理できるようにするには、WebSphere グローバル・セキュリティーが使用可能である必要があります。Tivoli Risk Manager Web アプリケーションのインストール中、WebSphere アドミニストレーター・ユーザー ID およびパスワードの入力を求めるプロンプトが表示されます。ここで指定したユーザーには、すべての役割へのアクセス権が付与されます。グローバル・セキュリティーを使用可能にするには、以下を実行します。

第 8 章 Web アプリケーション 125

注: 以下の例では、ローカルの OS をユーザー・レジストリーとして使用しています。他のユーザー・レジストリーを使用する場合は、WebSphere Application

Server の資料を参照してください。

1. ユーザー・レジストリーとしてローカル・オペレーティング・システムを使用する WebSphere Application Server では、以下のステップでグローバル・セキュリティーを使用可能にする必要があります。

a. WebSphere Application Server を始動した後、ブラウザーで次の URL にアクセスし、管理コンソールを開始します。

http://yourhost.domain:9090/admin

ここで、yourhost.domain は WebSphere Application Server を実行しているマシンのホスト名およびドメイン名です。 WebSphere Application Server コンソール用にデフォルト以外のポートを使用している場合は、その番号を上記の 9090 の代わりに使用します。セキュリティーが現在使用不可になっている場合は、任意のユーザー ID でログインしてください。

b. 次に、左端のペインで「セキュリティー」→「ユーザー・レジストリー」→「ローカル OS」を選択し、ユーザー・レジストリーを構成します。「ローカル OS ユーザー・レジストリー」ウィンドウで「サーバー・ユーザーID」および「サーバー・ユーザー・パスワード」を入力します。 LocalOSレジストリーに、WebSphere Application Server の Administrators グループの一部である有効なユーザー IDを入力します。このユーザー ID は、Windows システムの場合は「オペレーティング・システムの一部として機能」権限を保有している必要があり、Linux および UNIX ベースのシステムの場合はルートであるか、ルート権限を保有している必要があります。「適用」をクリックします。上部のメニュー・バーで「保管」をクリックし、構成を保存します。「保管」パネルが表示される場合は、再度「保管」をクリックします。

c. 左端のペインで「セキュリティー」→「グローバル・セキュリティー」をクリックします。「グローバル・セキュリティー」ウィンドウが表示されます。「使用可能」チェック・ボックスを選択し、「Java 2 セキュリティーの強制」チェック・ボックスの選択を解除します。これらは最初の 2 つの項目です。

d. 「適用」または「OK」をクリックし、変更を保存します。上部のメニュー・バーで「保管」をクリックし、構成を保存します。「保管」パネルが表示される場合は、再度「保管」をクリックします。

2. WebSphere Application Server を再始動する前に、管理コンソールからログオフします。ログオフするには、メニュー・バーの「ログアウト」を選択します。

3. WebSphere Application Server/bin ディレクトリーでコマンド・プロンプトを使用し、次のコマンドを入力してサーバーを停止します。

stopServer server_name

4. 次のコマンドを入力し、サーバーをセキュア・モードで再始動します。

startServer server_name -username <Server User ID>-password <Server User Password>


5. WebSphere Application Server のセキュリティーを使用可能にすると、サーバーを停止する場合にアドミニストレーター・ユーザーの ID とパスワードの指定が必要になります。セキュリティーが使用可能になった状態でサーバーを停止するには、次のコマンドを入力します。

stopServer server_name -username <Server User ID>-password <Server User Password>

各国語エンコード・サポートを使用するには、アプリケーション・サーバーをUTF-8 エンコード方式を使用可能にした状態で構成する必要があります。アプリケーション・サーバーを UTF-8 エンコード方式を使用可能にした状態で構成するには、以下の手順を実行します。

1. WebSphere Application Server 管理コンソールにログインします。「サーバー」→「アプリケーション・サーバー」をクリックします。

2. 「アプリケーション・サーバー」ウィンドウで、UTF-8 を使用可能にするサーバーの名前をクリックします。

3. 選択したアプリケーション・サーバーの設定ページで「プロセス定義」をクリックします。

4. 「プロセス定義」ウィンドウで、「Java 仮想マシン」をクリックします。

5. 「Java 仮想マシン」ウィンドウで、「汎用 JVM 引き数」に-Dclient.encoding.override=UTF-8 と入力し、「OK」をクリックします。

6. コンソール・タスクバーの「保管」をクリックします。

7. アプリケーション・サーバーを再始動します。

Tivoli Enterprise Console を使用した Web アプリケーションへのアクセス

Web アプリケーションが正常に機能するには、以下の要件を満たしている必要があります。

v イベント・コンソールを、「IBM Tivoli Risk Manager インストール・ガイド」で説明しているように構成しなければなりません。

v Tivoli Enterprise Console が使用するデータベースのインシデント・ビューを、「IBM Tivoli Risk Manager インストール・ガイド」で説明しているように定義しなければなりません。

Tivoli Enterprise Console を使用して Tivoli Risk Manager Web アプリケーションにアクセスします。 Web アプリケーションにアクセスするには、Tivoli Enterprise

Console を構成する必要があります。以下の手順を実行し、Tivoli Enterprise Console

を使用して Tivoli Risk Manager Web アプリケーションを使用できるようにします。

1. Tivoli Enterprise Console で、「Windows」→「構成」を選択します。

2. 「コンソール」をクリックし、「コンソール・プリファレンス」を選択します。

3. 「Web サーバー」をクリックし、「別の Web サーバーの使用」ラジオ・ボタンを選択します。

4. 「サーバー URL」を入力します。サーバー URL は、IBM HTTP Server とWebSphere がインストールされたホストの名前です。


5. 「サーバー・ポート」を入力します。サーバー・ポートは、IBM HTTP Server

が listen しているポートです。デフォルトは 80 です。

6. 「コンソール・プリファレンス」で、「Web サーバー」を展開し、「イベント情報」をクリックします。「使用可能」ラジオ・ボタンを選択します。

7. 「プログラム・パス」を入力します。プログラム・パスは、cgi-bin PERL スクリプトへの次のようなパスです。

/riskmgr/cgi-bin/rmweb.pl

「OK」をクリックします。これで Tivoli Enterprise Console サーバーの構成が完了しました。

Tivoli Enterprise Console から Tivoli Risk Manager Web アプリケーションを参照します。「要約図表」ビューからは、RM_Incident または RM_IncidentGroup 用のイベント・ビューアーを選択します。Tivoli Risk Manager Web アプリケーションを参照するには、以下の手順を実行します。

1. Tivoli Risk Manager RM_Incident イベント・ビューアーから、表示するインシデントを選択します。

2. 「情報」ボタンをクリックします。代わりに、右マウス・ボタンでクリックして図 25 で示しているようにポップアップ・メニューを表示し、「情報」オプションを選択する方法もあります。

Web アプリケーションのグラフィカル・ユーザー・インターフェースの概要

以下の画面は、Tivoli Risk Manager Web アプリケーションの一般的なグラフィカル・ユーザー・インターフェースを示します。 Web アプリケーションのグラフィカル・ユーザー・インターフェースには、ポートフォリオ、バナー、ワークスペースの 3 つの主要な領域があります。 Tivoli Risk Manager Web アプリケーションのグラフィカル・ユーザー・インターフェースの一例を示します。

図 25. アタックに関する情報を示している Tivoli Enterprise Console イベント・ビューアー


画面のポートフォリオ部分では、アクセス権限を所有しているアクションが表示されます。アクションには、イベント詳細、システム情報、および Advisor があります。画面上部のバナー部分では、ログオンしたユーザーに応じて製品または会社のロゴが表示されます。画面中央のワークスペース部分では、選択されたアクションに関する作業の内容が表示されます。また、ユーザーがログインすると、ワークスペースにはデフォルトで「ようこそ」ページが表示されます。

注: システム情報へのアクセス権のみを所有している場合、「ようこそ」ページやポートフォリオ領域は表示されません。

Tivoli Risk Manager Web アプリケーションには、堅固かつ動的なオンライン・ヘルプ・システムがあります。このシステムにアクセスするには、ワークスペースの右上に表示される疑問符 (?) アイコンをクリックします。アイコンをクリックすると、ユーザーが現在表示しているウィンドウに関連したオンライン・ヘルプのトピックが、システムによって自動的に表示されます。これらのトピックは、ウィンドウの全般的な目的と、ウィンドウ内の入力フィールドやボタンについて説明します。トピックには、現行ウィンドウで実行できるタスクに関する情報や、より高度な機能に関する説明を行う他のトピックへのリンクも含まれます。ヘルプ・システムには検索機能や、特定のトピックを検索するためのトピック索引もあります。検索ウィンドウでは部分検索も可能であり、ワイルドカードも使用できます。

図 26. Tivoli Risk Manager Web アプリケーションのグラフィカル・ユーザー・インターフェース


Tivoli Risk Manager Web アプリケーションを開始すると、最初にサインオン・ウィンドウが表示されます。この画面は、セキュリティーを確保し、ユーザーがどのWeb アプリケーションに対してアクセス権を所有しているか確認するために使用されます。この画面には、「ユーザー名」と「パスワード」の 2 つの入力フィールドがあります。これらのフィールドは、いずれも必須フィールドです。 Tivoli Risk

Manager Web アプリケーション全般について、タイトルの横にアスタリスクが表示され、背景が黄色の入力フィールドは、必須フィールドです。次の図は、サインオン・ウィンドウの一例です。

サインオン・ウィンドウが表示されたら、「ユーザー名」と「パスワード」フィールドに、それぞれ有効なユーザー ID とパスワードを入力し、「OK」をクリックします。サインオン処理が正常に完了しない場合、「不正なユーザー ID またはパスワードが指定されました。」というエラー・メッセージが表示されます。このエラーに対する対処法については、「IBM Tivoli Risk Manager 問題判別ガイド」のエラー・メッセージに関する付録を参照してください。

図 27. サインオン・ウィンドウ


イベント詳細イベント詳細アプリケーションにより、個々の Tivoli Risk Manager インシデント・イベントに関する追加情報の表示、Tivoli Risk Manager インシデントに関連するセンサー・イベントのリストの表示、そして関連するインシデント・グループのインシデントのリストの表示ができます。現在、インシデントとインシデント・グループには、それぞれ 7 つのタイプがあります。 Tivoli Enterprise Console で詳細を表示するインシデントまたはインシデント・グループを選択し、「情報」ボタンをクリックします。

イベント詳細アプリケーションが表示する情報を理解するには、センサー・イベント、インシデント、およびインシデント・グループの違いと関係について理解している必要があります。センサー・イベントは、Tivoli Risk Manager センサーあるいはアダプターによって Tivoli Risk Manager サーバーにレポートされる単一イベントです。これには、日時、イベント・クラス、作成元ホスト、重大度、説明メッセージなど、多くの属性が含まれます。インシデントは、5 から 20 分程度の限られた時間内に発生するセンサー・イベントの累積です。インシデントは、重大度しきい値を時間内に超過した場合に作成されます。重大度レベルは、関連するすべてのセンサー・イベントの重大度レベルの累積です。センサー・イベントをインシデントに関連付けるためには、イベント・カテゴリー (またはファミリー)、ソース・ホスト、宛先ホストの属性のうち、1 つ以上の属性が、関して以前に発生したイベントと一致する必要があります。インシデントは、センサー・イベントより少ない属性を持ちます。これらの属性には、ウィンドウ開始タイム・スタンプ、ウィンドウ終了タイム・スタンプ、累積重大度レベル、センサーのリスト、シグニチャーのリスト、ソース・ホストのリスト、宛先ホストのリスト、カテゴリーのリストが含まれます。それぞれの新規インシデントは、インシデント・グループにも関係します。以前のインシデントと同じマッチング属性を持つインシデントは、以前に作成されたインシデント・グループに追加されます。新しいインシデント・グループは、以前のインシデントと共通のマッチング属性を持たない複数のインシデントから作成されます。

イベント詳細アプリケーションには、5 つのウィンドウがあります。「イベント詳細 — イベント」ウィンドウは、インシデントまたはインシデント・グループを構成するセンサー・イベントに関する特定のセンサー・イベント情報を戻す、カスタマイズした照会の作成に使用します。次の図は、「イベント詳細 — イベント」ウィンドウの例です。


「イベント詳細 — イベント結果 (Event Details — Events Results)」ウィンドウには、「イベント詳細 - イベント」ウィンドウを使用して作成した照会と一致するセンサー・イベント情報を表に表示します。次の図は、「イベント詳細 — イベント結果」ウィンドウの例です。

図 28. 「イベント詳細 — イベント」ウィンドウ


「イベント詳細 — インシデント」ウィンドウは、インシデント・グループを構成するインシデントに関する特定のインシデント情報を戻す、カスタマイズした照会の作成に使用します。次の図は、「イベント詳細 — インシデント」ウィンドウの例です。

図 29. 「イベント詳細 — イベント結果」ウィンドウ


「イベント詳細 — インシデント結果 (Event Details — Incidents Results)」ウィンドウには、「イベント詳細 - インシデント」ウィンドウを使用して作成した照会と一致するセンサー・イベント情報を表に表示します。次の図は、「イベント詳細 —

インシデント結果」ウィンドウの例です。

図 30. 「イベント詳細 — インシデント」ウィンドウ

図 31. 「イベント詳細 — インシデント結果」ウィンドウ


「イベント詳細 - 詳細」ウィンドウには、センサー・イベント、インシデント、またはインシデント・グループに関する情報を表に表示します。表示される情報は、Tivoli Enterprise Console 製品に関するものです。次の図は、「イベント詳細 — 詳細」ウィンドウの例です。


「イベント詳細 — 詳細」ウィンドウに表示される属性の 1 つ、センサー・カテゴリーの値について以下に説明します。

表 13. 「イベント詳細 — 詳細」ウィンドウのセンサー・タイプ

センサー・カテゴリーセンサー名センサーの省略形

Web IDS Web IDS センサー webids

Host IDS HostIDS for AIX センサー OS_AIX

HostIDS for Solaris センサー OS_Solaris

HostIDS for Linux センサー OS_Linux

HostIDS for Windows センサー OS_Win

HostIDS for HP-UX センサー OS_HPUX

Symantec Intruder Alert ITA

ISS RealSecure System Agent realsecureSA

ネットワーク IDS NetworkIDS センサー NIDS

Cisco Secure IDS (旧 NetRanger) csids

NetRanger netranger

ISS RealSecure IDS realsecure

Snort IDS Snort

図 32. 「イベント詳細 — 詳細」ウィンドウ


表 13. 「イベント詳細 — 詳細」ウィンドウのセンサー・タイプ (続き)

センサー・カテゴリーセンサー名センサーの省略形

ファイアウォール CheckPoint™ Firewall-1® fw_cpfw

Cisco Secure PIX FW fw_pix

IBM SecureWay Firewall fw_ibm

CyberGuard Firewall fw_CyberGuard

NetScreen Firewall fw_NetScreen

Zone Alarm Personal Firewall fw_zafw

Microsoft Windows XP Firewall fw_xpfw

Tiny Personal Firewall fw_tpfw

ルーター Cisco Routers CiscoRouter

AntiVirus Symantec AntiVirus AV_Symantec

McAfee Alert Manager AV_McAfee

Trend Micro Control Manager AV_TrendMicroControlManager

無線 Wireless Security Auditor WSA

アクセス・コントロール

IBM Tivoli Access Manager AM4.1

プライバシー管理 IBM Tivoli Privacy Manager PM1.1

データベース Oracle Enterprise Server DB_Oracle

IBM DB2 ユニバーサル・データベース

DB_MSSQL

管理ポイント他 ISS RealSecure SiteProtector (ISS

RealSecure Sensor の管理ポイント)

ISS SiteProtector またはSENSORNAME フィールドに基づいた変数

Enterasys Dragon Server (Enterasys

Dragon Sensor の管理ポイント)

Dragon

OpenSSH Secure Shell openSHH

システム情報インシデントは、送信されるセンサー・イベントのストリームに対して適用されるTivoli Risk Manager 相関ルールにより生成されます。特定の時間内に受け取るセンサー・イベントのセットに、相関ルールと一致する特徴がある場合、インシデントが作成されます。インシデントが以前に作成されたインシデント・グループに関係している場合、そのインシデント・グループには新しいインシデントの情報が追加されます。インシデントまたはインシデント・グループには、ソース・システム、宛先システム、そしてセンサーが配置される複数のシステムのホスト名または IP

アドレスが格納されます。これらのホスト名や IP アドレスは、実際には同じシステムである場合も、4 つの別々のシステムである場合もあります。

システム情報により、アドミニストレーターはこれらのシステムに関する特定の情報を参照できます。システム情報は、IBM Tivoli Configuration Manager の Tivoli

Inventory データベースを使用します。したがって、Inventory データベースと Tivoli

Configuration Manager がある場合のみ、システム情報を使用できます。システム情報は、コンピューター、オペレーティング・システム、IP アドレス、コンピュータ


ー・メモリー、システム区画、インストール済みソフトウェア、ネイティブ・ソフトウェア、およびネットワーク・カードなど、ビュー内に事前定義された Tivoli

Inventory データベースの名前属性のサブセットを表示します。これらのビューの詳細については、IBM Tivoli Configuration Manager の製品資料を参照してください。

システム情報アプリケーションには、「システム情報」と「システム情報 — 結果(System Information — Results)」ウィンドウの 2 つのウィンドウがあります。「システム情報」ウィンドウでは、システム・アドレス・カテゴリーを選択し、IP アドレスまたはホスト名を指定して、そのシステムの Tivoli Inventory データベース情報を表示できます。

「システム情報 - 結果 (System Information - Results)」ウィンドウには、システム情報の検索結果が表示されます。この結果には、Tivoli Inventory データベース内で検出された情報が含まれます。空白の行は、そのフィールドについて情報がなかったことを示します。

図 33. 「システム情報」ウィンドウ


システム情報の使用方法と、表示される情報の詳細については、オンライン・ヘルプを参照してください。

AdvisorAdvisor アプリケーションは、センサー・イベント、インシデント、またはインシデント・グループに対応して、情報と、関連した Web サイトの情報を含んだ Web ページを、アドミニストレーターに対して表示します。 Advisor GUI の使用方法については、オンライン・ヘルプを参照してください。

Advisor ツールキットを使用して、ファイル AdvisorRules.xml に、XML でセキュリティー・ルールや応答アクションを定義できます。 Web アプリケーションではこのファイルを使用して Tivoli Enterprise Console で選択されたイベントに対して定義されたセキュリティー・ルールを適用します。そしてルール・ファイルに定義

図 34. 「システム情報 — 結果 (System Information — Results)」ウィンドウ


された応答アクションを実行します。応答アクションとして、イベントを最も適切に処理する手順または推奨事項を示した Web ページが表示されます。

Advisor ツールキットでは、サンプル・ルール・ファイル内に、セキュリティー・ルールと関連アクションのサンプルを提供しています。このファイルは、このツールを効果的に使用する方法を紹介しています。セキュリティー・ルールと応答アクションは、必要に応じて修正または拡張できます。手順または推奨事項は、Advisor の4 つのタイプの Web ページ (静的テキスト、URL ページ、E メール・ページ、プログラムの実行ページ) のいずれかで表示できます。

Advisor ルール・ファイルAdvisor ツールキットのサンプル・ルール・ファイルは、Advisor のインストール時に DTD ファイルとともにインストールされます。 DTD ファイルには、ルール・ファイル内のエントリーに使用できる値とその使用方法について記述されています。サンプル・ルール・ファイルは、Web アプリケーションの RmWeb.properties

構成ファイルの AdvisorRulesFile セクションで、デフォルトで使用可能になっています。

AdvisorRuleFile=AdvisorRules.xml

これとは別のルール・ファイルを使用する場合、あるいは複数のルール・ファイルを使用する場合は、RmWeb.properties 構成ファイルの AdvisorRulesFile セクションを更新してください。例えば、以下のようにします。

AdvisorRuleFile = rule.xml, rule2.xml, ruleN.xml

これらのファイルは、両方とも同じディレクトリーにあります。

<WebSphereinstdir>/IBMTivoliRiskManagerWebApp42.ear/rmwebapp42.war/WEB-INF

ここで、<WebSphereinstdir> は、WebSphere Application Server のインストール先です。

Advisor ルール・ファイルには、フィルターのリスト、ルールのリスト、そしてアクションのリストという 3 つの主要コンポーネントがあります (Web ページで表示)。これら 3 つのコンポーネントでは、エントリーごとに固有の ID を使用し、同一コンポーネント内、あるいはコンポーネント間でエントリーを区別しています。

フィルターのリストフィルターは、既知のイベント属性値のユーザー定義セットと論理演算子を併せて使用します。これらの属性名や要求される値が、実際のイベント属性値と比較されます。イベントが、フィルターによって設定された基準に合致した場合、Advisor はルール・ファイルの他のエントリーを使用してそのイベントに対応します。

フィルターでは、論理演算子 AND、OR、XOR、および NOT を使用できます。比較に使用されるイベント属性には、以下のキー名があります。

classnameattributelogineventtime


classname キー名は、CSIDS_Route_Down などのイベント・タイプを定義するのに使用されます。比較に使用できる値は、完全一致、前方一致、後方一致、またはサブセット一致です。 classname に対しては、次の比較を使用できます。

startswithendswithequalscontains

例えば、検索する classname 値が、startswith CSIDS や contains Route である可能性があります。

attribute キー名は、任意のイベント属性名であり、以下のいずれかの比較を使用できます。

notnullnullcontainsequalsequalsignorecasestartswithendswithnumeric_equalnumeric_greaternumeric_lessnumeric_greater_equalnumeric_less_equal

login 値はオペレーティング・システムのログイン ID であり、完全一致突き合わせのみ使用できます。 eventtime は hours:min:seconds のように指定します。eventtime は、特定の時刻、特定の時刻の後、または開始時と終了時の間に実行できます。

これらのフィルター鍵名は、センサー・イベント、インシデント、またはインシデント・グループに対して使用できます。エージェント相関属性マッピング中に指定された属性は、有効なフィルター属性です。例えば、rm_CustomerID の比較などです。次に、固有 ID「route_down」を持ち、イベント・タイプ CSIDS_Route_Down の完全一致を検索して、CSIDS_Route_Down という classname をフィルター操作するフィルターの例を示します。

<filter id="route_down">

<AND>

<classname matchtype="equals" value="CSIDS_Route_Down"/>

</AND>

</filter>

次の例には、cve_link という ID を持ち、論理演算子「OR」および「AND」と、フィルター鍵名 classname および attribute を使用するフィルターが含まれています。cve_link フィルターは NIDS または Web IDS から発生したイベントのみが有効なイベントであることを指定しています。 OR タグで囲まれた定義については、いずれかのフィルター定義が合致すれば、OR が真に解決します。フィルターは AND タグに囲まれた部分についても比較を行います。これらの比較は、特定のイベント属性キー、rm_NameType および rm_NameID に対して行われます。これらの


キーが存在している必要があり、rm_NameType に格納されたテキスト・ストリングが「CVE」と完全一致し、rm_NameID が「null」以外でなければなりません。

<filter id="cve_link">

<AND>

<OR>

<classname matchtype="startswith" value="WW_"/><classname matchtype="startswith" value="NIDS_"/>

</OR>

<attribute id="rm_NameType" matchtype="equals" value="CVE"/><attribute id="rm_NameID" matchtype="notnull"/>

</AND>

</filter>

次は、時間と数値の比較に関するフィルター機能の一例です。午後 5 時から翌朝 9

時の間に受信される、rm_Level に 5 以上の値を持つ重要なイベントをフィルターする基準を定義しています。

<filter id="after_hours>

<AND>

<attribute id="severity" matchtype="equals" value="CRITICAL"/><eventtime matchtype="between" start="17:00:00" end="09:00:00"/><attribute id="rm_Level" matchtype="numeric_greater" value="5.0"/>

</AND>

</filter>

次は、「NOT」演算子の使用法を示した例です。権限を保有するユーザーがフィルター定義ファイアウォール・ポリシーを変更した場合は無視されますが、他のユーザーが変更した場合はこのフィルターの基準に合致します。

<filter id="cpfw_change_policy">

<AND>

<classname matchtype="equals" value="CPFW_Control"/>

<NOT>

<attribute id="rm_SourceHostname" matchtype="contains" value="<SysAdminInfo>"/>

</AND>

</filter>

ここで、<SysAdminInfo> はシステム管理者の情報を示します。

チーム内のメンバーによって責任の度合いや権限の有無が異なる場合があるため、ログイン ID でのフィルター操作は有効です。次の例で、特定のユーザーにのみ情報を提供する方法を説明します。この例では、ユーザーが Admin5 としてログインした場合、あるいは不特定ユーザーが不正なユーザー ID を使用してシステムに対して繰り返し FTP でファイル転送を試行した場合、フィルターが起動します。


<filter id="cpfw_ftp_deny">

<AND>

<classname matchtype="equals" value="CPFW_FTP_Deny"/><attribute id="cpfw_additional_info" matchtype="notnull"/><login id="Admin5"/>

</AND>

</filter>

ルールのリストルールは、アクションの実行のために基準が合致する必要がある 1 つ以上のフィルターを定義します。フィルターと同様、各ルールには固有 ID があります。ルールのコンポーネントは、matchfilter と withaction です。

matchfilter コンポーネントは、1 つのフィルター ID またはフィルター ID のリストを提供します。フィルター ID のリストが提供される場合、関連アクションを実行するためには、指定された各フィルターがすべての基準と合致する必要があります。 withaction コンポーネントは実行されるアクションを定義します。ここでいうアクションとは、1 つの Web ページまたは Web ページのリストを表示することです。

次の例のルール cve_recommendations は、cve_link という 1 つのフィルターを定義します。cve_link のフィルター基準に合致した場合、goto_cve_site のアクション ID により 1 つの Web ページが表示されます。

<rule id="cve_recommendations">

<matchfilter id="cve_link"/><withaction id="goto_cve_site"/>

</rule>

次の例のルールは、複数のフィルターと複数のアクションを使用しています。複数のフィルターやアクションは、必ずコンマで分離してください。

<rule id="crit_after_hours">

<matchfilter id="after_house, cpfw_change_policy"/><withaction id="notify_after_hours, restore_firewall_policy"/>

</rule>

アクションのリストアクションとは、Web ページの表示のことを指します。Web ページには、静的テキスト・ページ、URL ページ、E メール・ページ、プログラムの実行ページの、4 つの事前定義されたテンプレートがあります。同じ Web ページを複数のルールに指定することはできますが、その場合 Web アプリケーション・タスク・リストに表示されるのは、特定の Web ページのコピー 1 つのみです。つまり、2 つのルールに XYZ に連絡する E メール・ページが指定されており、この 2 つのルールが同時に起動した場合、Web アプリケーション・タスク・リストには XYZ に連絡する1 つの E メール・ページのみがリストされます。ただし、各 Web ページのアクション ID が異なる場合は、Web アプリケーション・タスク・リストに複数の E メール・ページをリストさせることもできます。例えば、1 つの E メール・ページがXYZ に連絡するためのものであり、もう 1 つの E メール・ページがトラブル・チ


ケットを開くためのものである場合です。これら 2 つの Web ページには、異なるアクション ID が必要であるため、それぞれ固有とみなされます。この場合、両方の E メール・ページを Web アプリケーション・タスク・リストに同時にリストできます。

アクションにより、事前定義されたテンプレート Web ページの情報をどのように表示するか指定されます。各アクションには固有 ID があります。事前定義された4 つのテンプレート Web ページでは、title、titleLayout、および content 領域を表示できます。title は、タイトル・バーとポートフォリオ領域に表示されたテキストです。ポートフォリオ領域の例については、 129ページの図 26 を参照してください。 titleLayout は、content 領域のタイトルとなるテキストです。content

領域には、ユーザーが実行すべきことに関する詳細なメッセージが表示されます。例えば下図で、title は「View CVE Recommendations」、titleLayout は「Click

on the link below to view more details about the alert」、そして content 領域は「CVE Link」というテキストが表示されたハイパーリンクの部分になります。


リソース ID および動的データ: これらの領域に表示されるテキストは、リソースID、またはハードコーディングされたテキストにより指定されます。リソース ID

は CustomAdvisorResource_msg.properties ファイル内のエントリーに対応し、このデータが Web ページに表示されます。リソース ID には静的データまたは動的データを含めることができます。静的データはテキスト・ストリングです。静的データは、ルール・ファイル内でリソース ID を指定するだけで使用できます。例えば、ルール・ファイルに次のようなエントリーがあるとします。

title="cveTitle"

ここで、cveTitle はリソース ID です。また、CustomAdvisorResource_msg.properties ファイルに、 cveTitle リソース ID を定義する次のようなエントリーがあるとします。

cveTitle=View CVE Recommendations

図 35. IBM Tivoli Risk Manager Web アプリケーション Advisor の Web ページ・レイアウト例


この場合、Web ページが表示されると、title 領域に「View CVE

Recommendations」というテキストが表示されます。

動的データはリソース ID と入力パラメーターを使用して Web ページに表示するものを判別します。例えば resource_ID:inputparameter です。イベント属性からのデータを含む変数を、入力パラメーター、またはその一部として使用することもできます。変数は、最初と最後にパーセント (%) 記号をつけて定義します。次に、リソース ID と動的データの例を示します。

content="cveContent:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=%rm_NameID%"

ここで、cveContent はリソース ID、http//www.cve.mitre.org/cgi-bin/cvename.cgi?name= は入力パラメーター、%rm_NameID% は rm_Name イベント属性からのデータを含む変数を表します。CustomAdvisorResource_msg.properties ファイルには、次のエントリーがあります。

cveContent=<li><a href = {0}>CVE Link</a>

動的データを使用するリソース ID は、上記の例の {0} のように大括弧に囲まれた数字を、ルール・ファイルのアクションで指定された入力パラメーター情報で置き換えます。上記の例では、content 領域にリソース ID と動的データ情報が使用されています。 Advisor アプリケーションが URL Web ページを作成する際、content 領域は、

<li><a href={0}>CVE Link</a>

から、次のように変換されます。

<li><a href=http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0835</a>

<li> という HTML タグは黒丸付きリスト文字であり、<a href={0}>CVE Link</a>

という HTML アンカー・タグは、ハイパーリンク情報を表します。 {0} は動的データのプレースホルダー (置き換え) であり、通常 URL アドレスに置き換えられます。上記の例のアクションは、{0} をhttp://www.cve.mitre.org/cgi-bin/cvename.cgi?name=%rm_NameID% に置き換えることを指定しています。%rm_NameID% というイベント属性キー名は、そのイベント属性の値に置き換えられます。例えば、rm_NameID イベント属性に「CAN-2001-0835」という値が含まれる場合、URL Web ページのハイパーリンクには、http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0835 のように表示されます。ユーザーがこのハイパーリンクをクリックすると、CAN-2001-0835 のぜい弱性について説明する CVE Web ページにリダイレクトされます。

上記の例では、動的データが 1 つの入力パラメーターのみをリストしていましたが、複数の入力パラメーターをコロンで区切って使用することもできます。例えば、動的に取得された複数の入力値を使用するリソース ID は、ResourceID:inputParm1:inputParm2:inputParmN のように表されます。対応するCustomAdvisorResource_msg.properties ファイルには、{0}、{1}、および {2} という 3 つの入力パラメーターを含む ResourceID=Message text というエントリーがあるはずです。最初の入力パラメーターは {0}、2 番目の入力パラメーターは{1}、そして 3 番目の入力パラメーターは {2} の代わりに使用されます。


次に、ルール・ファイルで定義可能なアクションの例を示します。この例では URL

Web ページを定義しており、CustomAdvisorResource_msg.properties ファイルで定義されたリソース ID を使用して、表示するテキストを指定しています。以下でgoto_cve_site として一意的に識別されるアクション UrlPage は、title とtitleLayout には動的データを使用しないリソース ID を使用し、content 領域に対しては動的データを表示するリソース ID を使用しています。

<urlPage id="goto_cve_site"

title="cveTitle"

titleLayout="cveTitleLayout"

content="cveContent:http//www.cve.mitre.org/cgi-bin/cvename.cgi?name=%rm_NameID%"

タスク・リスト内の Web ページの優先順位付け: タスク・リストには複数のWeb ページ・タイプを含めることができるため、Web ページの優先順位付けを行う方法が必要です。 Advisor ツールキットには、Web アプリケーション・タスク・リスト内の複数の Web ページの優先順位付けを行う機能があります。 Advisor アプリケーションが Web ページの優先順位付けを正確に行うためには、Advisor アプリケーションが最下位値と最上位値を認識し、Web ページを昇順に並べ替えるか、降順に並べ替えるか決定できる必要があります。 Web アプリケーションの構成ファイル RmWeb.properties には、優先順位の最上位および最下位のデフォルト値が定義されています。例えば次のようになります。

AdvisorHighestTitlePriority = 1AdvisorLowestTitlePriority = 100AdvisorDefaultTitlePriority = 50

アクションには、優先順位の値の定義に使用される数値を受け入れるtitlePriority というキー名があります。タスク・リストに表示する Web ページのリストが確認されると、titlePriority の設定によってその表示順序が決定されます。アクション定義に titlePriority の情報がない場合は、デフォルトの優先順位の値が使用されます。 Web アプリケーション構成ファイルにデフォルト値が指定されておらず、最上位および最下位の優先順位値のみが指定されている場合、デフォルトはそれらの値の平均値になります。最上位または最下位の優先順位の値のうちいずれかが指定されていない場合、titlePriority 機能は使用不可となり、アクションの titlePriority に指定された値は無視されます。

次は、構成ファイルに優先順位の範囲を指定し、それをルール・ファイルに適用する場合の例です。 RmWeb.properties ファイルに、以下のエントリーを作成します。

AdvisorHighestTitlePriority = 1AdvisorLowestTitlePriority = 100AdvisorDefaultTitlePriority = 50.0

AdvisorRules.xml のアクション定義に、以下のエントリーを作成します。

<staticTextPage id="1"title="myTitle"titleLayout="myDescription"content="myDetails"titlePriority="25"/>

<staticTextPage id="2"title="myTitle2"


titleLayout="myDescription2"content="myDetails2"titlePriority="100"/>

<staticTextPage id="3"title="myTitle3"titleLayout="myDescription3"content="myDetails3"/>

<staticTextPage id="4"title="myTitle4"titleLayout="myDescription4"content="myDetails4"titlePriority="75"/>

上記の 4 つの Web ページがタスク・リストに表示される場合、その順序は1、3、4、2 になります。RmWeb.properties ファイルで、優先度順位の最上位値が1、最下位値が 100 に指定されているため、Advisor アプリケーションは Web ページを昇順に順序付けます。 ID 3 では titlePriority が指定されなかったため、RmWeb.properties ファイルに指定されたデフォルトの優先順位の値 50 が、特定のWeb ページの titlePriority 値として使用されます。

注: この機能は、Advisor アプリケーションのみで使用できます。

Web ページのカスタマイズ: プログラムの実行ページおよび E メール・ページの入力フィールドには、アクション定義を使用してカスタマイズできるものがあります。プログラムの実行 Web ページには、実行するプログラムを入力する「コマンド」入力フィールドがあります。また、必須プログラム環境変数を入力する「環境設定」入力フィールドもあります。「コマンド」入力フィールドをカスタマイズするには、アクション定義の program 値を使用します。「環境設定」入力フィールドをカスタマイズするには、アクション定義の programEnv 値を使用します。 E メール Web ページには、受信者リスト (宛先、CC、および BCC)、E メールの件名、そして E メールの本文のテキストを入力するフィールドがあります。これらのフィールドをカスタマイズしてデフォルト値にできます。「宛先」入力フィールドをカスタマイズするには、アクション定義の sendTo 値を使用します。「CC」入力フィールドをカスタマイズするには、アクション定義の sendCC 値を使用します。「BCC」入力フィールドをカスタマイズするには、アクション定義の sendBCC 値を使用します。「件名」入力フィールドをカスタマイズするには、アクション定義のsendSubject 値を使用します。「本文」テキスト域をカスタマイズするには、アクション定義の sendBody 値を使用します。「差出人」入力フィールドだけはカスタマイズすることができません。「差出人」入力フィールドには、E メールの送信時に手動で値を入力する必要があります。

アクションでデフォルト値が定義されていない入力フィールドは、Web ページを作成すると空白になります。入力フィールドの値を変更した後「リセット」ボタンをクリックすると、ルール・ファイルに指定されたデフォルト値に戻すことができます。これらの Web ページのカスタマイズ方法の詳細については、本章の 155ページの『プログラムの実行 Web ページ』と 159ページの『E メール Web ページ』を参照してください。


特殊文字: Web ページに表示するテキスト・ストリングに二重引用符のような特殊文字が含まれる場合、ハードコーディングされたストリングの前後に単一引用符のXML タグ (") を使用する必要があります。これにより、Web ページに表示する引用符付きストリングが、ハードコーディングされたストリングに埋め込まれます。例えば、Web ページに「My "friend" Bob will be joining us.」というテキストを表示する場合、アクション定義では、次のように表します。

content="'My "friend" Bob will be joining us.'"

XML ファイルで特定の意味を持つ文字の場合、XML 構文解析エラーを回避するためには、同等の XML タグで置き換える必要があります。以下に、同等の XML タグに置き換える必要がある文字をリストします。

同等の XML タグ文字

& &

< <

> >

&apos: ’

" ″

Web ページにおける英語以外の言語の使用: Web ページでさまざまな言語を使用するには、リソース ID と、CustomAdvisorResource_msg.properties ファイル内の対応するテキスト・ストリングを使用する必要があります。Web ページに表示するためにローカルで作成されたテキストを、 CustomAdvisorResource_msg.properties

というデフォルトのリソース・ファイルに保管します。このファイルの翻訳バージョンを使用するには、CustomAdvisorResource_msg_xx.properties (xx は言語) という命名規則に則って作成したリソース・ファイルと、CustomerAdvisorResource_msg_xx_yy.properties (xx は言語、yy は国) の両方またはいずれかに翻訳したテキストを保管します。以下に、言語の値をリストします。

v de

v es

v ja

v it

v ja

v ko

v zh_CN

v zh_TW

v pt_BR

これらのファイルは、IBMTivoliRiskManagerWebApp42.ear¥rmwebapp42.war ディレクトリーにあります。CustomAdvisorResource_msg.properties ファイルのサンプルが製品とともに提供されており、このディレクトリーにあります。サンプル・プロパティー・ファイル内のリソース ID は、サンプル AdvisorRules.xml ファイルで指定されたリソース ID に対応しています。これにより、翻訳対象テキストとルールのロジックを区別し、具体性のある例を提供してます。複数のメッセージ・プロパティー・ファイルがある場合、翻訳されたテキストに対してどのファイルを使用するかは、クライアントのブラウザーの国と言語に応じて決定されます。まず、ク


ライアントのブラウザーの国および言語と一致する検索が実行され、一致するCustomAdvisorResource_msg_xx_yy.properties ファイルが検出されると、そのファイルからアクションに対して指定されたリソース ID が抽出されます。クライアントのブラウザーの国と言語指定と一致するプロパティー・ファイルがない場合、マッチング率を下げて検索が行われます。この 2 度目の検索では、クライアントのブラウザーの言語設定とマッチングが行われ、一致するCustomAdvisorResource_msg_xx.properties ファイルが検出されると、そのファイルで指定されたリソース ID が抽出されます。クライアントのブラウザーの言語設定と一致するプロパティー・ファイルがない場合は、デフォルトのメッセージ・ファイルが使用されます。

静的テキスト Web ページ静的テキスト Web ページは、Web ページの事前定義された 4 つのテンプレートの1 つです。静的テキストの情報は、Advisor ルール・ファイルのアクション定義で指定されたハードコーディングされたテキストか、CustomAdvisorResource_msg.properties というリソース・ファイルから抽出されます。静的テキスト Web ページでは、複数のリソース ID をリストできます。リソース ID は、単一文または完全な段落を含む場合があります。また、イベントからの情報を、shutdownPort=Shut down the port for {0} のようにテキストに挿入することもできます。リソース ID に関連するテキストが複数行に渡る場合は、バックスラッシュ (¥) を追加して、行が次行に続くことを示してください。 {0} はrm_DestinationToken のように、属性に保管された値で置換されます。静的テキスト Web ページの content 領域を、HTML タグや Java スクリプトを使用してカスタマイズすることもできます。

次に、イベント・タイプ属性をフィルター基準に使用する例と、アクションを使用して、アラート情報に対して対応する手順を示す静的テキスト Web ページを作成する例を示します。 Advisor ルール・ファイルには、イベント・タイプCSIDS_Route_Down を検索する route_down というフィルター定義があります。ルール・ファイル内のフィルター・エントリーは次のとおりです。

<filter id"route_down">

<AND>

<classname matchtype="equals" value="CSIDS_Route_Down"/>

</AND>

</filter>

ルール・エントリー csids_route_down_recommendations は単一のフィルター ID

route_down を指定し、フィルター定義が満たされた場合に withaction 以下で指定された 2 つの Web ページが生成され、ブラウザーに表示されることを指定します。

<rule id="csids_route_down_recommendations">

<matchfilter id="route_down"/>

<withaction id="view_route_down_rec,notify_route_down_rec"/>

</rule>


上記のアクション定義、view_route_down_rec および notify_route_down_recは、2

つの Web ページが表示されることを示します。 view_route_down_rec アクションは、静的テキスト Web ページの例です。 notify_route_down_rec は、E メールWeb ページの例です。このセクションでは静的テキスト Web ページについて説明しているため、最初のアクションについてのみ解説します。この例では、Web ページの title、titleLayout、および content 領域について、リソース ID ではなく、ハードコーディングされたテキストを使用する方法も示します。

<staticTextPage id"view_route_down_rec"

title=""CSIDS Route Down Alert Recommendations""

titleLayout="%rm_Description%"

content=""The alert was triggered at %rm_Timestampt%from sensor id %rm_SensorPID% perform procedures A, B, and C""

/>

Web ページは、以下のように表示されます。

HTML タグを使用してデータをフォーマットする場合は、以下の例のようにテキストを定義します。この情報をルール・ファイルにハードコーディングすることは可能ですが、引用符 (″)、<、および > 記号の代わりに XML タグを使用すると、例が判別しにくくなります。 content のアクション定義は、次のようになります。

図 36. 静的テキスト Web ページの例 — フォーマット設定なし


content="HtmlTable:%rm_Timestamp%:%rm_SensorPID%"

CustomAdvisorResource_msg_.properties ファイル内の HtmlTable 定義は次のようになります。

HtmlTable=<table BORDER="1" CELLPADDING="3" CELLSPACING="0">¥<tr BGCOLOR="#CCCCFF" CLASS="TableHeadingColor">¥<td COLSPAN=2><b>Alert Information</b></td>¥<tr><td><b>Time</b></td><td> {0} </td></tr>¥<tr><td><b>Sensor ID</b><td></td> {1} </td></tr>¥<tr><td><b>Procedures to perform</b></td><td>A, B, C</td></tr></table>¥

行の最後の「¥」は、定義が次行に続くことを示します。 Web ページは、以下のように表示されます。

また、Java スクリプトを使用して content 領域をカスタマイズすることもできます。例えば、ポップアップ・ウィンドウを表示して Web ページにメッセージを表示するには、リソース値を次のように設定します。

JSexample=<SCRIPT LANGUAGE="javascript">¥alert ("Hi this is an example of using Java script");¥document.write("Use Java script to write this");</SCRIPT>

図 37. 静的テキスト Web ページの例 — フォーマット済み


URL Web ページAdvisor ツールキットを使用して、Web ページを、Web アプリケーション・ウィンドウの別の Web サイトから表示できます。また、Web ブラウザーのオプションを使用して別のウィンドウで開くこともできます。

次の例では、イベント属性値 rm_NameID および rm_NameType を使用して、Common

Vulnerabilities and Exposures (CVE) Web ページを表示する URL を作成します。Web ページには、イベント属性値に関連する不審なイベントに関する説明や推奨事項が表示されます。ここでは rm_NameID=CAN-2001-0835 と rm_NameType=CVE を使用します。この場合、使用する URL はhttp://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0835 になります。このURL ページの定義に使用するフィルターには、Web IDS または NID から発生したイベントの情報に CVE ID が含まれる場合に合致することになります。例えば、以下のようになります。

<filter id="cve_link">

<AND>

<OR>

<classname matchtype="startswith" value="WW_"/><classname matchtype="startswith" value="NIDS_"/>

</OR>

<attribute id="rm_NameType" matchtype="equals" value="CVE"/><attribute id="rm_NameID" matchtype="notnull"/>

</AND>

</filter>

この URL ページの定義のルールは、フィルターの基準 cve_link が満たされると、cve_recommendations に対して定義された Web ページが表示されることを示します。

<rule id="cve_recommendations">

<matchfilter id="cve_link"/><withaction id="goto_cve_site"/>

</rule>

この URL ページの定義のアクションは、URL Web ページのテンプレートを以下の情報とともにロードする必要があることを示します。

<urlPage id="goto_cve_site"

title="cveTitle"

titleLayout="cveTitleLayout"

content="cveContent:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=%rm_NameID%"

/>

リソース ID cveTitle、cveTitleLayout、および cveContent は、CustomAdvisorResource_msg.properties ファイルに、以下のように定義されます。


cveTitle=View CVE RecommendationscveTitleLayout=Click on the link below to view more details about the alertcveContent=<li><a href={0}>CVE Link</a>


「CVE Link」を選択すると、Web ページは以下のように表示されます。

図 38. URL web ページの例 — リンク


プログラムの実行 Web ページプログラムの実行 Web ページでは、Web サーバーのローカルのプログラムを実行できます。プログラムの実行と、必須入力パラメーターおよび環境変数またはその一方の指定に関するルールを指定できます。プログラムを実行すると、通常標準出力ログファイル STDOUT と標準エラー・ログ・ファイル STDERR に送られるデータが Web ページで表示されるようにリダイレクトされます。プログラムの実行ページを使用してスクリプトを実行することはできません。これは、Java API をプロセスの起動に使用する場合に制限事項があることと、子プロセスへのアクセス権がないことが原因です。

プログラムの実行 Web ページには、2 つの入力フィールドがあります。最初の入力フィールドは、「コマンド」です。「コマンド」入力フィールドにはアスタリスクが付いており、デフォルトで入力フィールドが黄色になっています。アスタリスクと、入力フィールドの黄色は、その入力フィールドが必須フィールドであることを示します。 2 番目の入力フィールドは、「環境設定」です。この入力フィールドは必須フィールドではないため、アスタリスクが付いておらず、入力フィールドは白です。「環境設定」入力フィールドでは、プログラムが正常に実行されるために必要な環境変数を設定できます。

図 39. URL Web ページの例 — 別の Web サイト


プログラムの実行 Web ページには、「開始」、「打ち切り」、および「リセット」という 3 つのボタンもあります。「開始」ボタンを選択すると、Java API

RunTime.exec() が起動され、「コマンド」入力フィールドに指定したプログラムが実行されます。また、プログラムの環境情報を、「環境設定」入力フィールドに指定したデータに設定します。「打ち切り」ボタンを選択すると、プログラムが実行されて終了していない場合、RunTime.exec() で実行されたプロセスが強制終了されます。「リセット」ボタンを選択すると、入力フィールドのデフォルト値が表示されます。デフォルト値は、「コマンド」および「環境設定」入力フィールドのアクション定義から取得されます。また、プログラムの入力パラメーターとして、イベント・データを使用することもできます。例えば、次のようにします。

"java -d somepath companyProgram -alert %rm_SensorToken%"

変数 %rm_SensorToken% は、RunTime.exec() の起動前に、属性に保管された実際の値に置換されます。

次に、イベントからのアラート情報に対応して、Web サーバー上の Java プログラムが実行されることを示す、プログラムの実行 Web ページの例を示します。「コマンド」入力フィールドは、ourProgramOnWebSphereServer という Java プログラムに事前設定され、プログラムの classpath が -cp c:¥ourCompany.jar に事前設定されます。プログラムの実行アクション定義にも、Java プログラムが正常に実行されるために必要な 2 つの環境変数、ログイン ID、およびテキスト・ストリングが用意されています。

プログラムの実行ページの表示に使用されるフィルターの ID はcpfw_change_policy です。このフィルターは、適切な権限を持たないユーザーがファイアウォール・ポリシーを変更したかどうか判別します。例えば次のようになります。

<filter id="cpfw_change_policy">

<AND>

<classname matchtype="equals" value="CPFW_Control"/>

<NOT>

<attribute id="rm_SourceHostname" matchtype="contains"value=".sys3Admin.ourcompany.com"/>

</NOT>

</AND>

</filter>

プログラムの実行ページのルールの ID は、restore_policy です。このルールは、フィルター ID cpfw_change_policy が合致した場合に、アクション ID

restore_firewall_policy のアクション定義を表示することを指定します。例えば次のようになります。

<rule id="restore_policy">

<matchfilter id="cpfw_change_policy"/><withaction id="restore_firewall_policy"/>

</rule>


プログラムの実行ページのアクションの ID は、restore_firewall_policy です。このアクションは、プログラムの実行 Web ページの title、titleLayout、およびcontent 領域をカスタマイズします。さらに、Web ページに表示される 2 つの入力フィールドもカスタマイズします。「コマンド」入力フィールドは、アクション定義のプログラム値に指定されたデータを表示します。「環境設定」入力フィールドは、アクション定義の programEnv 値に指定されたデータを表示します。例えば次のようになります。

<runProgramPage id="restore_firewall_policy"title="restoreFireWallPolicy"titleLayout="changeDetected"content="invokeProgram"program=""java -cp c:¥ourCompany.jar ourProgramOnWebSphereServer""programEnv="&aps;userID=%login% preference="fast cars"'"/>

restoreFireWallPolicy、changeDetected、および invokeProgram に対応するリソース ID は、 CustomAdvisorResource_msg.properties に、以下のように定義されます。

restoreFireWallPolicy=Restore Fire Wall PolicychangeDetected=CheckPoint Firewall Detected Change in PolicyinvokeProgram=Invoke the following program to restore the firewall.

Look at the logs to verify change.



「開始」を選択すると、RunTime.exec() が起動します。通常標準出力ログ(STDOUT) に送信されるデータは、ページ下部の「コマンド応答」領域の下に表示されます。また、通常標準エラー (STDERR) に送信されるデータは、エラー・メッセージとして表示されます。例えば、プログラム ourProgramOnWebSphereServer がエラー・メッセージをエラー・ログに送信し、メッセージを System.out に送信する場合、以下が表示されます。

図 40. プログラムの実行 Web ページの例


プログラムの実行ページのエラーに関するトラブルシューティングについては、「IBM Tivoli Risk Manager 問題判別ガイド」を参照してください。

E メール Web ページE メール Web ページでは、イベントに対する応答として E メールを送信できます。 E メール Web ページには、「宛先」、「CC」、「BCC」、「差出人」、「件名」という 5 つの入力フィールドがあります。また、E メールのメッセージを入力する「本文」というテキスト域もあります。「宛先」と「差出人」入力フィールドは、アスタリスクと黄色の入力フィールドからも分かるように、必須フィールドです。「宛先」、「CC」、「BCC」、および「差出人」フィールドには、name@mailServerName のフォーマットを使用した適切な E メール・アドレスを入力する必要があります。E メール Web ページには、「送信」と「リセット」という2 つのボタンもあります。「送信」ボタンを選択すると、受信者リストに E メールが送信されます。メール・サーバーへの接続中にエラーが発生した場合、または指定した E メール・アドレスが適切なフォーマットではなかった場合、問題を説明したエラー・メッセージが表示されます。「リセット」ボタンを選択すると、すべてのフィールドに対してデフォルト値が適用されます。

E メールを転送するメール・サーバーは、Web アプリケーションの構成ファイルRmWeb.properties に指定されています。例えば次のようになります。

// Name of the email server AdvisorSMTPServer = us.myCompany.com

図 41. プログラムの実行 Web ページ — エラー


インストール中、有効なメール・サーバー名の入力を求められます。ここで指定する値は、RmWeb.properties ファイルの AdvisorSMTPServer 値として保管されます。Web アプリケーションのインストール・プロセスの詳細については、「IBM Tivoli

Risk Manager インストール・ガイド」を参照してください。

次に、特定のユーザーに対して表示され、特定のイベントに対して作成され、「宛先」、「CC」、「BCC」、「件名」、および「本文」フィールドを持つ E メールWeb ページの例を示します。

この E メール Web ページ例には、2 つのフィルターが指定されています。これにより、フィルターを特殊化する方法と、特殊化したフィルターの集合を特定のルールの定義に使用する方法を示します。以下のルールは、フィルター ID

cpfw_ftp_deny およびフィルター ID after_hours に指定されたすべての基準が満たされない限り、ルールのアクションが起動されないことを示します。フィルター定義 cpfw_ftp_deny は、タイプ CPFW_FTP_Deny で、イベント属性cpfw_additional_info に適切な値を持つすべてのイベントが、ユーザー ID Admin5

を持つユーザーに対して表示されることを示します。このシナリオでは、特定のユーザーに対してのみ表示するように、Web ページがカスタマイズされます。例えば次のようになります。

<filter id="cpfw_ftp_deny">

<AND>

<classname matchtype="equals" value="CPFW_FTP_Deny"/><attribute id="cpfw_additional_info" matchtype="notnull"/><login id="Admin5"/>

2 番目のフィルター定義は、午後 5 時から午前 9 時の間に受信され、rm_level の値が 5 以上のすべての重要イベントがフィルターの基準に合致することを指定します。例えば次のようになります。

<filter id="after_hours">

<AND>

<attribute id="severity matchtype="equals" value="CRITICAL"/><eventtime matchtype="between" start="17:00:00" end="09:00:00"/><attribute id="rm_Level" matchtype="numeric_greater" value="5.0"/>

</AND>

</filter>

E メール・ページのルールの ID は、crit_after_hours です。また、フィルターID after_hours とフィルター ID cpfw_ftp_deny の基準が合致する場合、アクション notify_after_hours に定義されているように 1 つの E メール Web ページが表示されることを示します。例えば次のようになります。

<rule id="crit_after_hours">

<matchfilter id="after_hours, cpfw_ftp_deny"/><withaction id="notify_after_hours"/>

</rule>


E メール・ページのアクションの ID は、notify_after_hours です。このアクションは、title、titleLayout、content、sendTo、sendCC、sendSubject、およびsendBody のカスタマイズ例を示します。例えば次のようになります。

<sendEmailPage id="notify_after_hours"title="notify"titleLayout="afterHoursAlert"content="openTroubleTicket"sendTo="openTroubleTicket"sendCC="[email protected]"sendSubject="%msg%"sendBody="afterHoursEmail:%cpfw_additional_info%:%rm_SourceToken%"titlePriority="1"/>

Web ページに表示するテキストは、notify、afterHoursAlert、openTroubleTicket、および afterHoursEmail のリソース ID 定義に含まれます。これらの定義は、CustomAdvisorResource_msg.properties ファイルから抽出され、以下のように定義されます。

notify=Notify Appropriate PersonnelopenTroubleTicket=Open Sev 1 trouble ticketafterHoursAlert=Critical Alert Received After HoursafterHoursEmail={0} orginating from {1}

このアクションの titlePriority は 1 であり、 RmWeb.properties ファイルにAdvisorHighestTitlePriority=1 と設定されているため、この Web ページをタスク・リストの最初にリストすることを示します。 Web ページの優先順位の設定方法の詳細については、 147ページの『タスク・リスト内の Web ページの優先順位付け』を参照してください。

E メール Web ページは、以下のように表示されます。


「送信」ボタンの選択後、エラーが発生しなかった場合は、次のメッセージが表示されます。

図 42. E メール Web ページの例


「メッセージのクローズ」リンクをクリックすると、直前のページが再度表示され、「送信」ボタンを選択した時に入力フィールドに入力されていた情報が表示されます。デフォルト値を表示する場合は、「リセット」ボタンをクリックします。

図 43. E メール Web ページの例 — 成功メッセージ



第 9 章レポート

Tivoli Risk Manager の Crystal Reports コンポーネントには、ユーザーのシステムで発生する可能性のある侵入イベントを分析するための情報を提供する、22 のコンパイル済みレポートがあります。

これらのレポートを実行するには、レポートを実行するシステムに、サポートされている RDBMS クライアントをあらかじめインストールして構成しておく必要があります。また、アーカイブ表を作成したデータベースに作動中の Open Database

Connectivity (ODBC) 接続もセットアップしなければなりません。 169ページの『ODBC データ・ソース接続のセットアップ』を参照してください。

Tivoli Risk Manager Crystal Reports とはTivoli Risk Manager には、Crystal Reports Designer プログラムの Compiled Reports

機能を使用して作成されたコンパイル済みレポートが含まれています。

コンパイル済みレポートのフォーマットを使用すると、システムに Crystal Reports

Designer がインストールされていなくてもレポートを実行できます。

注: Crystal Reports の作成または編集を行う場合には、Crystal Reports Designer を購入し、インストールする必要があります。

Tivoli Risk Manager から供給されるコンパイル済み Crystal Reports にはファイアウォール管理レポート、侵入検知レポート、リスク評価レポート、イベント管理レポート、およびウィルス管理レポートがあります。

ファイアウォール管理レポート以下のレポートはファイアウォール管理用です。

ネットワーク・アドレス別の拒否接続 (rm_fw_02.exe)このレポートは、ユーザーのネットワーク内の拒否接続の数を、拒否接続のタイプ別に要約します。

上位ファイアウォール・イベント (rm_fw_07.exe)このレポートは、ファイアウォールが検出したすべてのクラスのイベントを、各クラス内のイベント数と重大度グループでランク付けてリストします。

侵入検知レポート以下のレポートは侵入検知用です。

ネットワーク・アドレス別の侵入イベント (rm_ids_05.exe)このレポートは、各ホスト・アドレスごとに、イベント・クラス別に IDS

イベント数を表示します。レポートが表示されると、各イベントの詳細を参照できます。


上位アタック・ホスト (rm_ids_04.exe)このレポートは、侵入イベントの上位 10 個のターゲット・ホストを表す棒グラフを示します。データを展開すると、クラスごとのイベント分布を表す円グラフを表示できます。

上位侵入者 (rm_ids_12.exe)このレポートは、侵入イベントの上位 10 個のソース・ホストを表す棒グラフを示します。データを展開すると、クラスごとのイベント分布を表す円グラフを表示できます。

カテゴリーごとの上位侵入イベント (rm_ids_13.exe)このレポートは、上位 10 個の侵入イベント・カテゴリーを表す棒グラフを示します。イベント・カテゴリーの例は、Web アタック、サービス・アタック、IDS レベルなどです。データを展開すると、クラスごとのイベント分布を表す円グラフを表示できます。

上位 Web 侵入イベント (rm_ids_14.exe)このレポートは、(センサー・タイプが「webids」である) Web 侵入イベントのすべてのクラスを、各クラス内のイベント数でランク付けて表示します。

リスク評価レポート以下のレポートはリスク評価用です。

ネットワーク・アドレス別のアクセス違反 (rm_ra_01.exe)このレポートは、サブネットワーク内の拒否アクセス試行を、拒否アクセスのクラス別に要約します。

ネットワーク・アドレス別の認証イベント (rm_ra_02.exe)このレポートは、各ホスト・アドレスごとの認証イベント数を表示します。レポートの最初にある要約グラフは、ほとんどの認証イベントを表示します。認証イベントは、2 つのカテゴリー (Allowed および Denied) に分けられます。認証カテゴリーをダブルクリックすると、選択されたホストおよびカテゴリーの個々のイベントのリストを表示できます。

ホストおよびユーザーによる失敗ログイン (rm_ra_03.exe)このレポートは、ホストごとの失敗ログインを表示します。Group By パラメーターを使用して、宛先ホスト (ログオン先となるマシン)、またはソース・ホスト (ログオン元となるマシン) の観点からデータを表示できます。レポートの最初にある要約グラフは、ログイン試行の失敗数で順位付けされた上位 10 個のホストを表示します。レポート・テキストは、ログイン試行の失敗数で順位付けされたすべてのホストをリストします。テキストのセクション内でホストをダブルクリックすると、ユーザー ID 別の詳細を示す円グラフが表示されます。円グラフの一部をダブルクリックすると、各イベントの詳細が表示されます。

イベント管理レポート以下のレポートはイベント管理用です。


カテゴリー別のイベント (rm_evt_08.exe)このレポートはすべてのレポートをカテゴリー別に要約します。カテゴリー名の例としては、サービス妨害、ネットワーク・レベル・アタック、トロイの木馬などがあります。

カスタマー別のイベント (rm_evt_04.exe)このレポートは、イベント分布を示す円グラフをカスタマー名別に表示します。カスタマー名は、会社名、基幹業務、ジオグラフィー、部門番号、または固有のユーザー ID などです。カスタマー名をダブルクリックすると、イベント分布をホストおよびクラス・カテゴリー別に示す棒グラフが表示されます。また、棒グラフの任意の場所をクリックすると、各ホストおよびクラス・カテゴリー内のイベントのリストが表示されます。

月別のイベント (rm_evt_02.exe)このレポートは、現行年の最初の月から各月に受信したイベント数を示す要約グラフを表示します。 Year パラメーターを使用して、去年またはそれ以前の年も選択できます。グラフ内の任意の月をダブルクリックすると、週単位のイベント要約を表示できます。また、週単位の要約グラフから任意の週をクリックすると、日別のイベント要約を表示可能です。特定の日に受信したすべてのイベントを発生順に表示するには、表示する日のバーをダブルクリックします。

重大度別のイベント (rm_evt_03.exe)このレポートは、イベント分布を示す円グラフを重大度別に表示します。重大度レベルをダブルクリックすると、分布をクラス別に示す円グラフが表示されます。また、各クラス内のイベントのリストを表示するには、表示するクラスをダブルクリックします。

過去 7 日間のイベント (rm_evt_07.exe)このレポートは、過去 7 日間の日別のイベント数を示す棒グラフを表示します。色付けされた各セグメントは、特定のセンサー・タイプ・グループのイベント数を示します (センサー・タイプ・グループの説明については、次の『アドレスおよびセンサー・タイプ別の日ごとのイベント』を参照してください)。色付けされたセグメントをダブルクリックすると、1 日のセンサー・タイプ・グループに対するイベント・リストを表示できます。

過去 24 時間のイベント (rm_evt_24.exe)このレポートは、過去 24 時間の 1 時間ごとのイベント総数を、センサー・タイプ・グループ別に示すグラフを表示します。色付けされた各セグメントは、センサー・タイプ・グループを示します (センサー・タイプ・グループの説明については、次の『アドレスおよびセンサー・タイプ別の日ごとのイベント』を参照してください)。セグメントをダブルクリックすると、1

時間のセンサー・タイプ・グループに対するイベント・リストを表示できます。

アドレスおよびセンサー・タイプ別の日ごとのイベント (rm_evt_05.exe)このレポートは、ネットワーク上におけるイベント分布をセンサー・タイプ別に表示します。 3D の要約グラフは、イベント数の多い上位 7 つの IP

アドレスをセンサー・タイプ・グループ別に表示します。テキストのセクションは、ネットワーク上の書くホストで 1 日に受信したイベント数を、センサー・タイプ・グループ別に表示します。すべてのイベントは、以下のセンサー・タイプのいずれかから生成されます。

第 9 章レポート 167

v アンチウィルス - Norton や McAfee などのアンチウィルス・センサー

v データベース - セキュリティー関連アクセス試行および Oracle や DB2

などのデータベース管理システム (DBMS) で報告するセンサー

v ファイアウォール - Check Point™ FireWall-1®、Cisco Secure PIX、IBM

Firewall、ZoneAlarm などのファイアウォール・センサー

v Host IDS - AIX、Solaris、Linux、Windows、RealSecure System Agent などのホスト・ベース・センサー

v ネットワーク IDS - NIDS、Cisco Secure IDS、RealSecure、IDS、SNORT

などのネットワーク・ベース・センサー

v Web IDS - Web 侵入検知システム (Web IDS) などの Web ベース・センサー

v ワイヤレス - Wireless Security Auditor などのワイヤレス・ベースのセンサー

イベント照会 (rm_evt_10.exe)このレポートは、イベント分布をユーザーが選択可能なグループ別に表示します。次のリストから、Primary および Secondary グループ・パラメーターを選択する必要があります。

v Destination Host (宛先ホスト)

v Source Host (ソース・ホスト)

v Customers (カスタマー)

v Sensor Type (センサー・タイプ)

v Sensor Host (センサー・ホスト)

v Event Category (イベント・カテゴリー)

v Event Class (イベント・クラス)

v Severity (重大度)

v Date (日付)

v Day of Week (曜日)

v Hour of Day (時刻)

Primary グループのデフォルトは Customer で、Secondary グループのデフォルトは DestinationHost です。レポートは、Primary グループ内の上位 10

個のイベントを示す要約棒グラフを表示します。グラフをダブルクリックすると、Secondary グループ内の上位 15 個のイベントを示す円グラフを表示できます。また、円グラフの一部をダブルクリックすると、選択したグループ内のすべてのイベントのリストを表示できます。

上位イベント (rm_evt_09.exe)このレポートは、すべてのクラスのイベントを、各クラス内のイベント数と重大度グループごとにリストします。

ウィルス管理レポート以下のレポートはウィルス管理用です。

アンチウィルス・スキャンおよび更新 (rm_av_10.exe)このレポートは、ウィルス・スキャンおよびシグニチャー更新を行ったすべ


てのホストを、最後にスキャンしてから経過日数でランク付けて表示します。カウントされる最大日数は 30 日です。過去 30 日間にウィルス・スキャンを行わなかったホストの場合、最後にスキャン実行からの経過日数は30 日になります。

要約棒グラフは、最近スキャンを行わなかった上位 10 個のホストを示します。各ホストに対し、一方の棒グラフで最後のスキャン実行からの経過日数を表し、もう一方で最後の更新からの経過日数を表します。レポートのテキスト・セクションでホストをダブルクリックすると、そのホストにおけるウィルス・スキャンおよびシグニチャー更新の日時順のリストを表示できます。

上位感染ホスト (rm_av_06.exe)このレポートは、ウィルスに感染した上位 10 個のホストを表示します。ホストをダブルクリックすると、日付、時間、アンチウィルス・ベンダー名、およびウィルス説明とともにウィルスのリストを表示できます。

上位ウィルス (rm_av_02.exe)このレポートは、上位 15 個のウィルス・シグニチャーを示す円グラフを表示します。シグニチャー・グループをクリックすると、イベント時刻、感染ホスト、アンチウィルス・ベンダー名、および説明メッセージなどのウィルス・イベント詳細を表示できます。

ODBC データ・ソース接続のセットアップODBC 接続を作成する前に、データベース・クライアントをインストールし、構成します。適切なクライアント構成についてはデータベース管理者に相談してください。

データベース・クライアントをインストールし構成した後、Tivoli Risk Manager

Crystal Reports を実行しているシステムから Tivoli Risk Manager データベースにアクセスするために ODBC データ・ソース接続をセットアップします。以下のセクションに従って、使用しているデータベース用の ODBC データ・ソース接続をセットアップします。

DB2ODBC ドライバー・マネージャーで DB2® をデータベース・ソースとして登録します。Windows システムでは、データ・ソースをシステムの全ユーザーが使用可能(システム・データ・ソース) とするか、または現在のユーザーのみ使用可能 (ユーザー・データ・ソース)のいずれかに設定できます。データ・ソースを追加するのに以下の 3 つの方式を使用できます。ただし DB2 をインストールする際にクライアント構成アシスタント (CCA) をインストールする場合、1 番目の方式を使用することを推奨します。

DB2 データベースをデータ・ソースとして登録するための CCA の使用DB2 データベースをデータ・ソースとして登録するために CCA を使用するには、以下のようにします。

1. DB2 のクライアント構成アシスタント・プログラムを始動する。DB2 データベースで使用可能なリストが表示されます。


2. データベースがリスト内にある場合、データベースを選択して以下のステップに従います。

a. 「プロパティー (Properties)」をクリックする。「データベース・プロパティ (Database Properties)」ウィンドウが開きます。

b. すでに選択されていない場合、「ODBC 用にこのデータベースを登録(Register this database for ODBC)」チェック・ボックスを選択する。

Windows システムでは、ユーザーまたはシステム・データ・ソースとしてデータ・ソースを追加するのにラジオ・ボタンを使用できます。

c. 「OK」をクリックする。

データベースがリストされていない場合、以下のステップを実行します。

a. 「追加 (Add)」をクリックする。「データベース SmartGuide の追加 (Add

Database SmartGuide)」ダイアログ・ボックスが開きます。

b. 「DB2 データベースへの接続を手動で構成する (Manually configure aconnection to a DB2 database)」を選択する。「次へ」をクリックします。

c. DB2 サーバーのホスト名とポート番号を入力する。

DB2 サーバー用のデフォルトのポート番号は 50000 です。適切なポート番号についてはデータベース管理者にお問い合わせください。

サービス名を入力しないでください。

d. 「次へ」をクリックする。

e. サーバーで定義したものをデータベース名として入力する。

すべての Tivoli Risk Manager 用のインストールでは、デフォルト名は TEC

です。適切なデータベース名についてはデータベース管理者にお問い合わせください。

f. 別名と説明を入力する。

別名は CCA データベース・リストで使われていない名前を使用します。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。　　　

g. 「次へ」をクリックする。

h. 「ODBC 用にこのデータベースを登録 (Register this database forODBC)」チェック・ボックスが選択されていることを確認する。

i. 「終了 (Done)」をクリックする。

j. 「クローズ (Close)」をクリックして終了する。

注: 接続を検証する場合、「クローズ (Close)」をクリックして終了する前に、「接続のテスト (Test Connection)」をクリックします。

DB2 データベースをデータ・ソースとして登録するための Microsoft32-bit ODBC 管理ツールの使用Microsoft® 32-bit ODBC 管理ツールを使用して DB2 データベースをデータ・ソースとして登録するためには、以下のようにします。

1. Windows NT の場合、Windows の「コントロールパネル」から、「ODBC データソース」をクリックして ODBC Administrator プログラムを実行する。


Windows 2000 の場合、Windows「コントロールパネル」から、「管理ツール」→「データソース (ODBC)」をクリックし、ODBC Administrator プログラムを実行します。

2. Windows システムでは、ユーザー・データ・ソースのリストがデフォルトで表示される。システム・データ・ソースを追加する場合、「システム DSN(System DSN)」をクリックするか、「システム DSN (System DSN)」タブを選択します (プラットフォームによります)。

3. 「追加 (Add)」をクリックする。

4. リスト内の「IBM DB2 ODBC Driver」をダブルクリックする。

DB2 データベースが「データベース別名 (Database alias)」ドロップダウン・リストにある場合、これを選択する。必要な場合、「データ・ソース名 (Datasource name)」を変更します。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。「OK」をクリックして終了します。

データベースがドロップダウン・リストにない場合、以下の手順でデータベースを追加します。

a. 「追加 (Add)」または「データベースの追加 (Add Database)」をクリックする。「データベース SmartGuide の追加 (Add Database SmartGuide)」ダイアログ・ボックスが開きます。

b. 「DB2 データベースへの接続を手動で構成する (Manually configure aconnection to a DB2 database)」を選択する。「次へ」をクリックします。

c. DB2 サーバーのホスト名とポート番号を入力する。

DB2 サーバー用のデフォルトのポート番号は 50000 です。適切なポート番号についてはデータベース管理者にお問い合わせください。

サービス名を入力しないでください。

d. 「次へ」をクリックする。

e. サーバーで定義したものをデータベース名として入力する。

すべての Tivoli Risk Manager 用のインストールでは、デフォルト名は TEC

です。適切なデータベース名についてはデータベース管理者にお問い合わせください。

f. 別名と説明を入力する。

別名は CCA データベース・リストで使われていない名前を使用します。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。　　　

g. 「次へ」をクリックする。

h. 「ODBC 用にこのデータベースを登録 (Register this database forODBC)」チェック・ボックスが選択されていることを確認する。

i. 「終了 (Done)」をクリックする。

j. 「クローズ (Close)」をクリックして終了する。

注: 接続を検証する場合、「クローズ (Close)」をクリックして終了する前に、「接続のテスト (Test Connection)」をクリックします。


DB2 データベースをデータ・ソースとして登録するためのCATALOG ODBC DATA SOURCE コマンドの使用DB2 データベースをデータ・ソースとして登録するために CATALOG ODBCDATA SOURCE コマンドを使用するには、以下のようにします。

ODBC ドライバー・マネージャーを使用して DB2 データベースをデータ・ソースとして登録するために、Windows システムのコマンド行プロセッサーで CATALOGODBC DATA SOURCE コマンドを発行できます。例えば、このコマンドを使用するために、まず必要なデータベースを登録するためのコマンド行プロセッサーを作成できます。次に ODBC を介して DB2 データベースにアクセスする必要のあるすべてのマシン上で、このスクリプトを実行します。詳細については、「IBM DB2 ユニバーサル・データベースコマンド解説書」の CATALOG [ user | system ]ODBC DATA SOURCE コマンドの項を参照してください。

Oracleこのセクションでは、Oracle データベースへの ODBC 接続のセットアップ方法について説明します。

データベース・クライアントの構成中、Tivoli Risk Manager データベース用にデータベース別名 (ネット・サービス名) を作成しなければなりません。ステップ 7 の手順に従って、この別名をデータ・ソース・サーバー名として使用します。

注: データベース・クライアントをセットアップするための情報については、システム管理者にお問い合わせください。データベース別名を作成するために、Net8 Easy Configuration プログラムを使用します。

Oracle データベース別名の作成後、以下の手順を使用して Tivoli Risk Manager データベース用の ODBC データ・ソースを作成します。

1. Windows NT の場合、Windows の「コントロールパネル」から、「ODBC データソース」をクリックして ODBC Administrator プログラムを実行する。Windows 2000 の場合、Windows「コントロールパネル」から、「管理ツール」→「データソース (ODBC)」をクリックし、ODBC Administrator プログラムを実行します。

2. 「システム DSN (System DSN)」タブを選択する。


4. 「Oracle ODBC Driver」を選択して「完了」をクリックする。

5. 「データソース名」テキスト・ボックスにこの ODBC データ・ソース用の名前を入力する。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。　　　

6. 「説明 (Description)」テキスト・ボックスにデータ・ソース用の説明を入力する。

7. 「サービス名 (Service Name)」テキスト・ボックスにデータベースのネット・サービス名を入力する。

注: データベースのネット・サービス名は、データベース・クライアントを構成した際にデータベースに指定した別名でなければなりません。


8. Tivoli Risk Manager データベースのユーザー名 (デフォルトは tec) を「ユーザー ID (Userid)」テキスト・ボックスに入力する。

9. 「OK」を 2 回クリックしてデータ・ソース名を保管し、ODBC Administrator

を終了する。

Sybaseこのセクションでは、Sybase データベースへの ODBC 接続のセットアップ方法について説明します。

データベース・クライアントの構成中、Tivoli Risk Manager データベース用にデータベース別名を作成しなければなりません。ステップ 7 の手順に従って、この別名をデータ・ソース・サーバー名として使用します。

注: データベース・クライアントをセットアップするための情報については、システム管理者にお問い合わせください。データベース別名を作成するために、Sybase DSEdit プログラムを使用します。

Sybase データベース別名の作成後、以下の手順を使用して Tivoli Risk Manager データベース用の ODBC データ・ソースを作成します。




4. 「Sybase ASE ODBC Driver」を選択して「完了」をクリックする。「ODBC Sybase ASE ODBC セットアップ (ODBC Sybase ASE ODBCSetup)」ダイアログ・ボックスが開きます。

5. 「データソース名」テキスト・ボックスにこの ODBC データ・ソース用の名前を入力する。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。　　　


7. 「サーバー名 (Server Name)」テキスト・ボックスにデータベースのサーバー名を入力する。

注: データベースのサーバー名は、データベース・クライアントを構成した際にデータベースに指定した別名でなければなりません。

8. Tivoli Risk Manager データベース名 (デフォルトは tec) を「データベース名(Database Name)」テキスト・ボックスに入力する。

9. データ・ソース接続を検査するために、「テスト接続 (Test Connect)」をクリックする。適切なデータベース ID およびパスワードを入力します。

10. 「OK」を 2 回クリックしてデータ・ソース名を保管し、ODBC Administrator

を終了する。


Microsoft SQL Serverこのセクションでは、Microsoft SQL Server データベースへの ODBC 接続のセットアップ方法について説明します。ODBC 接続を作成する前に、Tivoli Risk Manager

データベース用にデータベース別名を作成する必要はありません。以下の手順を使用して Tivoli Risk Manager データベース用の ODBC データ・ソースを作成します。




4. 「SQL Server」を選択して「完了」をクリックする。

5. 「名前 (Name)」テキスト・ボックス内に ODBC データ・ソース名を入力する。Tivoli Risk Manager Crystal Reports で使用されるデフォルトのデータ・ソース名である RMDB を使用することを推奨します。　　　


7. 「サーバー (Server)」テキスト・ボックス内に SQL サーバー名を入力する。サーバー名は SQL Server がインストールされているマシンのホスト名です。希望のサーバーがドロップダウン・リストにない場合、このリストから選択できます。

8. 「次へ」をクリックする。

9. 「SQL サーバー認証を使用 (With SQL Server authentication)」を選択して「SQL サーバーへ接続 (Connect to SQL Server)」というボックスをチェックする。「ログイン ID (Login ID)」および「パスワード (password)」を入力して「次へ」をクリックします。

10. デフォルトのデータベースが Tivoli Risk Manager アーカイブ表を作成したデータベースであることを確認してください。残りのフィールドはデフォルト値のままにして、「次へ」をクリックします。

11. このパネルをデフォルト値のままにして、「終了 (Finish)」をクリックする。

12. 「OK」を 2 回クリックして終了する。

ODBC 接続を使用するための Crystal Reports の更新Tivoli Risk Manager Crystal Reports は、デフォルトで RMDB という名前のデータ・ソース、tec というデータベース、tec というユーザー ID にアクセスするよう設計されています。アーカイブ・データベースが異なるデータ・ソース名(DSN)、データベース、またはユーザー ID を使用する場合、使用する DSN、データベース、ユーザー ID をレポートの実行時に毎回入力する必要があります。

同じ情報 (DSN、データベース、ユーザー ID) を毎回入力せずレポートを実行するには、Crystal Decisions のユーティリティーを使用して、指定した DSN、データベース、およびユーザー ID を使用するようにレポートを永続的にカスタマイズします。 Crystal Decisions サポート Web サイト (http://support.crystaldecisions.com) か


http://support.crystaldecisions.com

ら、Update8x.exe ユーティリティー・プログラムを検索します。プログラムをダウンロードし、 Readme ファイルおよびプログラムのオンライン・ヘルプにある指示に従ってください。

Tivoli Risk Manager Crystal Reports の機能Tivoli Risk Manager 用の Crystal Reports コンポーネントは、アーカイブ済みイベントの表に対して実行されます。センサーは、処理のためにエージェントへイベントを送信します。エージェントの処理の一部として、センサー・イベントはイベント・アーカイブ表に転送されます。この表は、レポートを実行するのに必要なデータを Crystal Reports に提供します。

Tivoli Risk Manager アーカイブ表の作成Crystal Reports を使用する前に、アーカイブ表を作成しなければなりません。Tivoli

Risk Manager アーカイブ表の作成については、「IBM Tivoli Risk Manager インストール・ガイド」の『構成』の章を参照してください。

Tivoli Risk Manager Crystal Reports の実行以下のステップを使用して Tivoli Risk Manager Crystal Reports にアクセスします。

1. 「スタート」メニューから「プログラム」→「IBM Tivoli Risk Manager レポート (IBM Tivoli Risk Manager Reports)」を選択する。

2. IBM Tivoli Risk Manager レポートのフォルダーから、レポート・タイプを次のサブフォルダーから 1 つ選択する。

v イベント管理

v ファイアウォール管理

v 侵入検知

v リスク・アセスメント

v ウィルス管理

3. サブフォルダーから、レポート・タイトルを選択する。初期レポート・ウィンドウが表示されます。レポート名がウィンドウの上部に表示されます。

4. 以下のステップを使用してレポートの出力、表示、およびエクスポート・オプションをカスタマイズする。

a. 最初のウィンドウで以下から 1 つ選択する。

v レポートをウィンドウに出力 (Print the report to a window)

v レポートのエクスポート (Export the report)

v レポートをプリンターで印刷 (Print the report to a printer)

b. 「レポートのエクスポート (export the report)」を選択した場合、「エクスポート・オプション (Export Options)」を選択してエクスポートのファイル形式と宛先を選択する。エクスポート・ファイル形式には、コンマ区切りテキスト、Excel、HTML などがあります。

c. 「レポートをプリンターで印刷 (print the report to a printer)」を選択した場合、「プリンター・オプション (Printer Options)」を押してプリンターを選択し他のプリンター・オプションを設定する。


d. このレポート出力すべてに対し、変更されたオプションは永続的に保管され、レポートの次回実行時に再入力の必要はない。

5. すべての値を入力し終わったら、「プリント (Print)」を選択してレポートを印刷、表示、またはエクスポートする。データベース・ログイン・ウィンドウが表示されます。 169ページの『ODBC データ・ソース接続のセットアップ』にあるステップを使用して構成された ODBC ソース名を入力します。「データベース(Database)」フィールドにサーバー上のデータベース名を入力します。データベース管理者のユーザー ID およびパスワードを「ユーザー名 (User Name)」および「パスワード (Password)」フィールドに入力し、「OK」をクリックします。

174ページの『ODBC 接続を使用するための Crystal Reports の更新』のステップを実行すると、パスワード入力だけで済みます。

6. 「パラメーター値入力 (Enter Parameter Values)」ウィンドウが表示される。ウィンドウ内の Parameter Fields セクションから、次のいずれかのパラメーターを選択します。

v Reporting Period

v Date Range - オプション

v Customer

v Host

パラメーターを選択しない場合、「OK」をクリックしてイベント属性をフィルター操作しないように設定できます。

Reporting Period を選択した場合、ドロップダウン・リストからレポートの範囲を選択し、「OK」をクリックします。

Date Range を選択した場合、範囲の開始と終了のフィールドに日付を入力し、「OK」をクリックします。各日付のフィールド横にある矢印をクリックすることで、カレンダーから日付を選択できます。

Customer を選択した場合、指定したレポートの作成時に使用されるカスタマー名を入力し、「OK」をクリックします。カスタマー名は、会社名、基幹業務、ジオグラフィー、部門番号、または固有のユーザー ID などです。ワイルドカード文字 (「*」や「?」など) を使用して、一致する複数のカスタマー名を入力できます。

Host を選択した場合、指定したレポートの作成時に使用されるホスト名またはIP アドレスを入力し、「OK」をクリックします。ワイルドカード文字 (「*」や「?」など) を使用して、一致する複数のホスト名を入力できます。

パラメーターのデフォルト値を変更する場合、ダイアログ・ウィンドウのパラメーター・フィールドを選択して値を入力します。パラメーターの値の変更がすべて終了したら、「OK」をクリックします。各パラメーターを変更するごとに「OK」をクリックしないでください。

Reporting Period と Date Range のデフォルト値の両方を変更した場合、Reporting Period の変更は無視され、Date Range の変更が使用されます。


7. 選択したレポートが、新しいウィンドウに表示されるか、選択したプリンターに印刷されるか、または選択した場所にエクスポートされる。

新しいウィンドウにレポートが表示されている場合、ウィンドウ内でナビゲートするには、ウィンドウ最上部のツールバーにある、次ページと前ページのアイコンを使用します。

ある特定のイベントまたはレポート項目の詳細を見るには、詳細を知りたいデータの上にカーソルを置き、カーソルが拡大鏡を表示したらダブルクリックします。さらに詳しいデータが表示されます。

8. レポートを検討し終わったら、ウィンドウを閉じる。初期レポート・ウィンドウに戻ります。

9. Crystal Reports を完全に終了するには、「終了 (Done)」を選択する。

Crystal Reports Runtime EngineTivoli Risk Manager は Crystal Reports Runtime Engine を備えており、ユーザーはこれを使用して、コンパイル済みの Crystal Reports をプレビューし、印刷できます。Tivoli Risk Manager は、Crystal Reports を作成または編集するのに使用するCrystal Reports Designer プログラムを装備していません。



第 10 章タスク

Tivoli Risk Manager には、Risk Manager Task Library に定義済みの Tivoli タスクのセットがあります。この章は、これらのタスクのクイック・リファレンスです。Tivoli Risk Manager アダプター固有のタスクの詳細については、「IBM Tivoli Risk


Tivoli タスクタスクは、ネットワーク全域にわたって管理対象ノードとエンドポイントで定期的に実行されるアクションです。各タスクは、スクリプト、コマンド、または処理を実行する他の実行可能ファイルを参照します。またタスクは、スクリプトを実行するために必要な許可の役割と、タスクを実行するユーザーまたはグループ ID を定義します。タスクの例としては、プリンター・キューのクリア、システム・バックアップの開始、Tivoli Enterprise Console イベント・サーバーへのイベントの転送など、Tivoli がサポートする操作の実行が含まれています。

可変値は実行時にタスクへ渡されます。可変値は、指定した入力パラメーターおよび実行オプションから、またはタスクが使用可能なイベント属性から取得できます。

タスクは、タスク・ライブラリーに格納されます。通常タスク・ライブラリーには、同じ許可の役割が必要なタスクや、単一の製品やリソースの管理を支援するタスクなど、近い関係のタスクが含まれています。

Tivoli Risk Manager には、Tivoli Risk Manager タスク・ライブラリーに定義済みのタスクのセットがあります。このタスク・ライブラリーの名前 Risk Manager Task

Library は、タスク・ダイアログに表示され、コマンド行でタスク・ライブラリーを指定する際に使用します。Tivoli Risk Manager タスクにより、特定のリスクに対処し、システム・コンポーネントを管理できるようになります。

Tivoli Risk Manager は、デフォルトの Tivoli Enterprise Console ポリシー・リージョンである TEC リージョンにタスク・ライブラリーをインストールします。Tivoli

Risk Manager タスクは Tivoli エンドポイントのみでサポートされます。Tivoli エンドポイントのインストールと構成についての詳細は、Tivoli Framework の資料を参照してください。

タスクの作成とカスタマイズ方法Risk Manager Task Library はタスク言語ライブラリー・ファイル (tll ファイル)

の rmt_tasks.tll として定義され、Tivoli Risk Manager のインストール中にイベント・サーバー構成スクリプトの rmcorr_cfg を実行して構築されます。タスク・ライブラリー・ファイルに変更が加えられる場合、タスク・ライブラリーは以下のコマンドを使用して再ビルドされます。

rmcorr_cfg -tasklib


各タスクが呼び出すスクリプト、コマンド、および他の実行可能ファイルは、このファイルを見ることで検索できます。tll ファイルと、タスクの作成とカスタマイズの詳細については、Tivoli Management Framework の資料「タスク・ライブラリー言語開発者の手引き」を参照してください。

Linux および UNIX ベースのシステム用のタスクTivoli Risk Manager タスクを使用して Linux および UNIX ベースのシステムの標準タスクを実行するには、以下のようにします。

1. Tivoli デスクトップ上で、「TEC リージョン」をクリックし、その後「RiskManager タスク・ライブラリー」をクリックする。

2. 以下のリストから実行する Tivoli Risk Manager タスクをクリックする。

Unix_Deactivate_User_Accountこの Tivoli Risk Manager タスクは、ユーザーのアカウントを非アクティブ化するためにユーザー ID を指定するのに使用します。

Unix_Kill_Processこの Tivoli Risk Manager タスクは、停止させたいプロセスのプロセスID (PID) を指定するために使用します。

Unix_List_Active_Processesこの Tivoli Risk Manager タスクは、アプリケーション・プロセス ID

(PID) の名前で指定されたアクティブ・プロセスをリストするために使用します。入力フィルターとしてプロセス ID が指定されていない場合、すべてのアクティブ・プロセスがリストされます。

Unix_Run_Commandこの Tivoli Risk Manager タスクは、実行する Linux または UNIX ベース・システムのコマンドを入力するために使用します。

Windows システム用のタスクTivoli Risk Manager タスクを標準 Windows システムのタスクに使用するには、以下のようにします。


2. 以下のリストから実行する Tivoli Risk Manager タスクをクリックする。

Windows_Deactivate_User_Accountこの Tivoli Risk Manager タスクは、ユーザーのアカウントを非アクティブ化するために Windows システムのユーザー ID を指定するのに使用します。

Windows システムの場合、セキュリティー・イベントをシステムでキャプチャーするか否かを制御できます。以下の 2 つのタスクは、Windows システムのエンドポイントでのセキュリティー・イベントの監査を使用可能または使用不可にします。

rmt_ntaudit.exe プログラムは、これらのタスクをサポートするために、監査されるシステムの RMINSTDIR¥bin ディレクトリーにインストールされなければな


りません。このプログラムは、RMINSTDIR¥etc¥tec¥tasks ディレクトリー内のTivoli Risk Manager イベント・サーバーに供給されます。このプログラムは、Tivoli Enterprise Console Adapter Configuration Facility (ACF) を使用して監査されるシステムに配布されています。ACF によるプログラムのインストールについては、「IBM Tivoli Enterprise Console ユーザーズ・ガイド」で説明しています。

Windows_Disable_Event_Auditing

この Tivoli Risk Manager タスクは、Windows システム上のイベント監査を使用不可にするために使用します。この Tivoli Risk Manager タスクは rmt_ntaudit.exe 実行可能ファイルが必要で、タスクを実行するWindows システム上にインストールされていなければなりません。

Windows_Enable_Event_Auditingこの Tivoli Risk Manager タスクは、Windows システム上のイベント監査を使用可能にするために使用します。この Tivoli Risk Manager タスクは rmt_ntaudit.exe 実行可能ファイルが必要で、タスクを実行するWindows システム上にインストールされていなければなりません。

タスク引き数には以下があります。

成功または失敗の値を選択します。

v 成功および失敗

v 成功

v 失敗

v 成功でも失敗でもない

イベント・タイプを選択します。

v ログオンおよびログオフ

v ファイルおよびオブジェクト・アクセス

v ユーザー権限の使用

v ユーザーおよびグループ管理

v セキュリティー・ポリシー変更

v 再始動、終了、およびシステム

v プロセス・トラッキング

Windows_List_Active_Servicesこの Tivoli Risk Manager タスクは、Windows システム上でアクティブになっている Windows システムのサービスをリストするために使用します。

Windows_Run_Commandこの Tivoli Risk Manager タスクは、cmd.exe を使用して Windows システムのコマンドを実行するために使用します。

Windows_Start_Serviceこの Tivoli Risk Manager タスクは、NET START を使用して開始させたい Windows システムのサービスの名前を指定するために使用します。

第 10 章タスク 181

例えば、Apache Web サーバーを開始する場合には、サービス名としてapache を指定します。また、Check Point FireWall-1 用アダプターを開始する場合には、サービス名として rma_cpfw を指定します。

Windows_Stop_Serviceこの Tivoli Risk Manager タスクは、NET STOP を使用して停止するWindows システムのサービスの名前を指定するために使用します。

イベント・サーバー用のタスクTivoli Risk Manager には、Tivoli Risk Manager イベント・サーバーの状況を表示するための Tivoli Risk Manager タスクがあります。

RM_Component_View_Status_for_Unixこの Tivoli Risk Manager タスクは、Tivoli Enterprise Console サーバー上でアクティブな Tivoli Risk Manager コンポーネントの現在の状況を表示するのに使用します。このタスクは Tivoli Risk Manager サーバーで実行しなければなりません。

RM_Component_View_Status_for_Windowsこの Tivoli Risk Manager タスクは、Tivoli Enterprise Console サーバー上でアクティブな Tivoli Risk Manager コンポーネントの現在の状況を表示するのに使用します。このタスクは Tivoli Risk Manager サーバーで実行しなければなりません。

出力は、次の例のようになります。

C:¥Tivoli¥db¥excalibur-win.db>rmt_corrstatus.cmdC:¥WINNT¥SYSTEM32¥DRIVERS¥ETC¥Tivoli¥tmrset.txtC:¥Tivoli¥db¥excalibur-win.db¥region.out

1 file(s) copied.Tivoli environment variables configured.

C:¥Tivoli¥db¥excalibur-win.db>cd C:¥RM42¥RISKMGR¥bin

C:¥IBM¥RISKMGR¥bin>bash rmcorr_cfg -statusrmcorr_cfg: ---------------------------------------------rmcorr_cfg: Checking Status of Tivoli Risk Manager Components...rmcorr_cfg: ---------------------------------------------rmcorr_cfg: The Tivoli Enterprise Console Server is running.rmcorr_cfg: TMR Host: excalibur-winrmcorr_cfg: TMR install dir: C:/Tivoli/bin/w32-ix86rmcorr_cfg: Region name: excalibur-win-regionrmcorr_cfg: Risk Mgr install dir: C:/IBM/RISKMGRrmcorr_cfg: Current rulebase: RM42RBrmcorr_cfg: Current rulebase path: c:/IBM/RuleBasermcorr_cfg: Event cache size: 1000rmcorr_cfg: Class RM_SensorEvent is definedrmcorr_cfg: Event source RISKMGR is definedrmcorr_cfg: Rules files in rulebase:Rule Set files--------------riskmanager.rlsboot.rls

エージェント用のタスクTivoli Risk Manager には、エージェント用の以下の Tivoli Risk Manager タスクがあります。


RM_Agent_Restart_on_Unixこの Tivoli Risk Manager タスクは、Linux および UNIX システム上のエージェントを停止および再始動するために使用します。

RM_Agent_Restart_on_Windowsこの Tivoli Risk Manager タスクは、Windows システム上のエージェントを停止および再始動するために使用します。

RM_Agent_View_Status_on_Unixこの Tivoli Risk Manager タスクは、Linux および UNIX ベース・システム上のエージェント状況を報告するために使用します。

RM_Agent_View_Status_on_Windowsこの Tivoli Risk Manager タスクは、Windows システムのエージェント状況を報告するために使用します。

イベント管理用のタスクイベント管理用の Tivoli Risk Manager タスクは、イベント・データベース管理を支援するのに使用します。これらのタスクは、wrmdbclear および wrmdbcloseデータベース・ユーティリティーを実行します。これらのユーティリティーの詳細については、 64ページの『Tivoli Risk Manager データベース・ユーティリティー』を参照してください。

Tivoli Risk Manager には、イベント管理用の以下の Tivoli Risk Manager タスクがあります。

Event_Management_Close_Eventsこの Tivoli Risk Manager タスクは、インシデント・グループ、関連したインシデント、およびイベントをクローズするために使用します。

Event_Management_Remove_Eventsこの Tivoli Risk Manager タスクは、Tivoli Enterprise Console イベント・リポジトリーおよび Tivoli Risk Manager アーカイブ表内のクローズされたイベントを除去するために使用します。

注: またイベント管理タスクはジョブとして定義され、Tivoli Enterprise Console サーバー上で実行するために構成されます。

Check Point FireWall-1 用のタスクTivoli Risk Manager には、このアダプター用の Tivoli Risk Manager タスクがあります。

CheckPoint_FW-1_Manage_by_IP_Addressこの Tivoli Risk Manager タスクは、Check Point FireWall-1 システム内のSAM サーバーへ Suspicious Activity Monitor (SAM) 要求を送信するために使用します。

CheckPoint_FW-1_Manage_by_Source_and_Destinationこの Tivoli Risk Manager タスクは、Check Point FireWall-1 システム内のSAM サーバーへ SAM 要求を送信するために使用します。

第 10 章タスク 183

CheckPoint_Start_Firewall_Adapter_on_Linuxこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを開始するために使用します。

CheckPoint_Start_Firewall_Adapter_on_Solarisこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを開始するために使用します。

CheckPoint_Start_Firewall_Adapter_on_Windowsこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを開始するために使用します。

CheckPoint_Stop_Firewall_Adapter_on_Linuxこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを停止するために使用します。

CheckPoint_Stop_Firewall_Adapter_on_Solarisこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを停止するために使用します。

CheckPoint_Stop_Firewall_Adapter_on_Windowsこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCheck Point FireWall-1 アダプターを停止するために使用します。

詳細については、「IBM Tivoli Risk Manager アダプター・ガイド」を参照してください。

Cisco Secure PIX Firewall 用のタスクTivoli Risk Manager には、このアダプター用の Tivoli Risk Manager タスクがあります。

PIX_Configure_Firewall_Accessこの Tivoli Risk Manager タスクは、PIX Firewall の構成を変更して、接続(既存および新規の両方) をブロック化したり、非ブロック化 (再確立を許可) したりできるようにします。

PIX_Show_Firewall_Configurationこの Tivoli Risk Manager タスクは、PIX Firewall の現在の構成を表示するために使用します。これは、サイトのセキュリティー・ポリシーがインプリメントされているかを確認するのに使用できます。

PIX_Configure_Firewall_Loggingこの Tivoli Risk Manager タスクは、ロギング用の PIX Firewall の構成を変更するために使用します。


Cisco Secure IDS 用のタスクTivoli Risk Manager には、このアダプター用の Tivoli Risk Manager タスクがあります。


Cisco_Configure_DataFeed_Componentこの Tivoli Risk Manager タスクは、Cisco Secure IDS DataFeed アダプター・クライアントを構成するために使用します。

Cisco_Start_Secure_IDS_Adapter_on_Linuxこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを開始するために使用します。

Cisco_Start_Secure_IDS_Adapter_on_Solarisこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを開始するために使用します。

Cisco_Start_Secure_IDS_Adapter_on_Windowsこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを開始するために使用します。

Cisco_Stop_Secure_IDS_Adapter_on_Linuxこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを停止するために使用します。

Cisco_Stop_Secure_IDS_Adapter_on_Solarisこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを停止するために使用します。

Cisco_Stop_Secure_IDS_Adapter_on_Windowsこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのCisco Secure IDS アダプターを停止するために使用します。


ネットワーク IDS 用のタスクTivoli Risk Manager には、このアダプター用の Tivoli Risk Manager タスクがあります。

NIDS_Start_Adapterこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのネットワーク IDS アダプターを開始するために使用します。

NIDS_Stop_Adapterこの Tivoli Risk Manager タスクは、選択されたターゲット・ホストのネットワーク IDS アダプターを停止するために使用します。

第 10 章タスク 185


第 11 章 Web 侵入検知

Web 侵入検知システム (Web IDS) は、Web サーバーによって生成されるアクセス・ログ・ファイルを分析します。これらのファイルを分析して、Web サーバー・アタックを検出します。Web サーバーは、要求をアクセス・ログ・ファイルで管理します。Web サーバーによって作成されるアクセス・ログ・ファイルには、Web サーバーにポストされる要求と Web サーバー自体が生成する状況情報が含まれています。Web IDS は、Web サーバーのアクセス・ログ・ファイルを読み取ります。

Web サーバーによっては、アクセス・ログ・エントリーは特定のフォーマットでフォーマット化されます。最も一般的なフォーマットの 1 つは、Apache サーバーとSun ONE Web Server で使用される共通ログ・フォーマット (CLF) です。ログ・エントリーの最初の部分が CLF に準拠し、Web IDS は、最後の追加フィールドを無視するため、拡張共通ログ・フォーマット (ECLF) もサポートされます。サポートされるログ・フォーマットの完全なリストについては、 189ページの表 14 を参照してください。使用する Web サーバーが 189ページの『サポートされる Web サーバー』にリストされておらず、アクセス・ログ・ファイルは CLF から逸脱するがASCII で作成され、適切なシグニチャー・マッチングに必要な要求されたデータが格納されている場合は、この新規フォーマットの記述を追加し、Web IDS が Web

サーバー要求を正確に読み込んで処理できるように、Web IDS 構成ファイルを変更できます。

アクセス・ログ・ファイル・フォーマットを指定するには、Web サーバーを正しいフォーマットに構成しなければなりません。

Web IDS は、知識ベースのアプローチを使用して悪意のある動作を検出します。Web IDS は、Web サーバー¥アタックの汎用シグニチャーを定義することによって、さまざまなサーバー・アタックを検出できます。アタック・シグニチャーは、単純なテキスト・ストリング (phf など)、または、次のような Perl 正規表現です。

(?i)count¥.cgi

Tivoli Risk Manager には、Web サーバー¥アタックのシグニチャーが格納されている sig.nefarious ファイルが組み込まれています。

Web サーバーを使用している場合は、Web IDS を使用して、以下を実行します。

v リアルタイム・モードかバッチ・モードで分析する。

リアルタイム・モードアクセス・ログ・ファイルにあるすべての新規ログ・エントリーが読み取られます。分析は、新規ログ・エントリーがログ・ファイルに追加される時に実行されます。リアルタイム・モードの場合は、モニター対象の各Web サーバーに Web IDS をデプロイする必要があります。Web IDS

は、ロールオーバー・ログ・サポートに対応します。 199ページの『ロールオーバー・サポート用のログ・ファイル・アクセスの構成』では、Web

IDS を構成して複数のログ・ファイルを処理する方法について説明しています。


バッチ・モードWeb IDS は、Web サーバーで実行する必要はありません。Web IDS

は、明示的に実行されて、ログ・ファイルを 1 度だけ読み取ります。

これまでに収集された知識を活用するために、Web IDS を調整できます。詳細については、 216ページの『しきい値と減衰値の調整』を参照してください。

アタックが発見されると、Web IDS はイベントを生成し、相関のために Tivoli Risk

Manager に送ります。

Tivoli Risk Manager はイベントを相関してグループ化し、ネットワークのセキュリティー状況を分かりやすくします。相関プロセスでは、システムのセキュリティーにとって重大なイベントを高い重大度レベルとして表示し、関連情報を簡潔な形式で取り入れます。相関を実行すると、結論を支持するのに十分な情報が複数のソースから寄せられていることが確認されるため、誤ったアラームの発生率も低下します。Tivoli Risk Manager イベント相関の詳細については、 43ページの『第 2 章イベント・サーバー』を参照してください。

Web IDS メッセージについては、「IBM Tivoli Risk Manager 問題判別ガイド」を参照してください。

189ページの図 44 に、Web サーバー、Web IDS、および Tivoli Enterprise Console

サーバー間のデータ・フローを示します。


サポートされる Web サーバーWeb IDS は、次の Web サーバーの侵入検知イベントをモニターできます。

表 14. Web IDS でサポートされる Web サーバー

Web IDS でサポートされる Web サーバーログ・ファイル・フォーマット

Apache Web サーバー CLF アクセス・ログ・ファイル・フォーマット

BEA WebLogic Server CLF アクセス・ログ・ファイル・フォーマット

IBM HTTP Server CLF アクセス・ログ・ファイル・フォーマット

IBM Tivoli Access Manager WebSEAL Server CLF アクセス・ログ・ファイル・フォーマット

図 44. Web サーバーから Web IDS を経由して Tivoli Enterprise Console サーバーへのデータ・フロー

第 11 章 Web 侵入検知 189

表 14. Web IDS でサポートされる Web サーバー (続き)

Web IDS でサポートされる Web サーバーログ・ファイル・フォーマット

Microsoft Internet Information Server (IIS) 以下のフォーマット

v W3C 拡張フォーマット (W3C)

v Internet Information Server (IIS)

v オープン・データベース・コネクティビティー (ODBC)

v National Center for Supercomputing

Applications (NCSA)

Sun ONE Web Server CLF アクセス・ログ・ファイル・フォーマットまたはカスタマイズされたアクセス・ログ・ファイル・フォーマット

詳細な Web サーバーのサポート・リストについては、「IBM Tivoli Risk Manager

リリース情報」を参照してください。

必要に応じて、Web サーバーを構成する必要があります ( 200ページの『Web サーバー固有の構成』を参照)。例えば、W3C 拡張フォーマットを Web IDS で使用するには、「拡張プロパティー (Extended Property)」ウィンドウで特定のオプションを選択する必要があります (手順については、 201ページの『Microsoft Internet

Information Server の構成』を参照してください)。

Perl サポートWeb IDS を使用するためには、Tivoli Risk Manager とともに提供される Perl を使用する必要があります。

Perl サポートのインストールについては、「IBM Tivoli Risk Manager インストール・ガイド」を参照してください。

Web IDS の開始次の示すように、Web IDS は Perl スクリプト・ファイルを実行して開始できます。また、Windows システムのサービスとして Web IDS を実行することもできます。詳細については、 191ページの『Windows システムのサービスとして Web

IDS を実行』を参照してください。

構文

webids [-d | -e | -h | -t | -v | -i input_file | -c configuration_file]


-d デバッグ情報を出力します。プログラムは標準出力に (STDOUT)

書き込みを行いますが、その後でこれをファイルにリダイレクトできます。

-e 構成ファイル内の librmad_value の値に応じて、情報を syslog また


は Tivoli Risk Manager EIF に印刷します。このオプションを使用しない場合、Web IDS 構文解析結果およびアラートは STDOUT に出力されます。

-h Web IDS についてのヘルプ情報を表示します。

-t Web サーバー・ログを継続的にモニターします。

-v バージョン情報を出力します。

-i input_file アクセス・ログ・ファイルの完全修飾パスおよび名前を指定します。

-c configuration_file

構成ファイルの完全修飾パスおよび名前を指定します。デフォルトは、次のとおりです。

$RMADHOME/etc/webids.cfg

例えば、Web IDS を実行し、Web サーバーのアクセス・ログ (webserver.accesslog)

からこれを読み込んで、その出力を Tivoli Enterprise Console イベント・ログ・アダプターに送信するには、次のように入力します。

webids -e -i webserver.accesslog

注: Linux および UNIX ベースのシステムでは、次を実行して Tivoli Risk Manager

環境をセットアップする必要があります。

. /etc/Tivoli/rma_eif_env.sh

このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

Windows システムのサービスとして Web IDS を実行Web IDS サービス (rma_webids) は、Windows サービスとしての Web IDS の始動を簡素化する付加的なプログラムです。Web IDS サービスは、イベント送信メカニズムとして Event Integration Facility (EIF) を使用します。

Windows システムのサービスとして Web IDS を構成Tivoli Risk Manager をインストール後、Web IDS Service を Windows サービスとしてインストールし、Web IDS 構成ファイルを使用するように構成する必要があります。

rma_webids -i webids コマンドを使用して、Web IDS を Windows システムのサービスとしてインストールできます。

f:¥>rma_webids -i webidsHRMWS0007I: Attempting to install service: webidsHRMWS0008I: Service installed: webidsHRMWS0030I: WebIDS service commands:"e:¥IBM¥RISKMGR¥perl¥bin¥perl.exe" "e:¥IBM¥RISKMGR¥bin¥webids.bat" -c

"e:¥IBM¥RISKMGR¥etc¥webids.cfg" -t -e syslogHRMWS0002I: Exiting...

サービス名を変更するかまたは複数のサービス・エントリーを作成した場合は、指定した元の名前を使用して正しいエントリーを確実に除去してください。


注: Web IDS サービスは、次のコマンドを使用して Web IDS をサービスとして実行します。

"e:¥IBM¥RISKMGR¥perl¥bin¥perl.exe" "e:¥IBM¥RISKMGR¥bin¥webids.bat" -c"e:¥IBM¥RISKMGR¥etc¥webids.cfg" -t -e syslog

ロールオーバー・ログ・ファイル機構を使用して、Web サーバー HTTP アクセス・ログの場所を指定する必要があります。また、Tivoli Risk Manager EIF を使用してイベントを送信するように構成する必要があります。

Web IDS サービスを除去するには、Web IDS サービスをインストールするために使用されたサービス名を、サービスのアンインストールで使用する必要があります(webids は、サービスに割り当てられた名前で、Windows サービスのコントロールパネルにリストされます)。

rma_webids -r webids

f:¥>rma_webids -r webidsHRMWS0008I: Attempting to remove service: webidsHRMWS0011I: Service removed: webidsHRMWS0002I: Exiting...


アクセス・ログのロールオーバー・サポートWeb サーバーは、比較的短時間で大量のアクセス・ログを生成する可能性があります。このため、大半の Web サーバーは、ログをロールオーバーするよう構成できます。事前定義されたファイルの限度を超えた場合、または特定の時間が経過した場合、アクセス・ログはアーカイブにコピーされ、新しいログが開始されます。Web IDS にはこのアクティビティーをトラッキングする機能があり、継続的にアクティブ・ログ・ファイルをモニターします。

sig.nefarious シグニチャー・ファイルTivoli Risk Manager の sig.nefarious ファイルは、Web アタックのシグニチャーを保管します。Web IDS は、このファイルを使用して Web サーバーをモニターし、アタックがないかどうかを調べます。

インストールされると、デフォルトの sig.nefarious ファイルはすべてのサポートされるオペレーティング・システムの RMINSTDIR/etc ディレクトリーに存在します。

独自のシグニチャー・ファイルを作成するには、Tivoli Risk Manager のインストール時に提供されたデフォルトのシグニチャーをコピーするか、または次の Tivoli サポート Web サイトからシグニチャー・ファイルの最新バージョンをダウンロードします。






パーサー・エンジンパーサー・エンジンは、ログ・ファイルの読み方を指示し、実行する分析のタイプを判別します。不審アクティビティーの例としては、特定の文字を 16 進数でエンコードすることが挙げられます。

このエンジンは、メソッド、ストリング、およびプロトコルを評価するテストを実行して、以下のような不審 URL アクティビティーを検出します。

v ログ・レコードのフィールドが欠落しているなどのログ・エントリーの不適格なフォーマット

v 日時情報の理解または解釈が不能

v 空の URL 要求

v 正しくない URL 形式

v URL 要求で使用されている無効な 16 進数エンコード

v 照会要求で使用されている無効な 16 進数エンコード

v URL 要求で使用されている不審な 16 進数コード

v 照会要求で使用されている不審な 16 進数コード

クラスは事前定義されています。クラスは、追加または除去できません。

クラス・ヘッダーの形式は、次のとおりです。

[class=classname; level1=count1; level2=count2; k=decay_param]

変更できるのは、以下のクラス・パラメーターのみです。

v level1=count1;

v level2=count2;

v k=decay_param

パーサー・エンジンのクラス・パラメーターを調整する方法については、 216ページの『しきい値と減衰値の調整』を参照してください。

パターン・エンジンパターン・エンジンは、ログ・ファイル・エントリーの指定したフィールドの中でアタック・シグニチャーを検索します。パターン・エンジンが検索するフィールドのタイプの例は、次のとおりです。

v URL

v status

v query

v method

パーサー・エンジンの場合とは異なり、クラスは事前定義されておらず、追加または除去できます。


[class=classname; field=fieldname; level1=count1;level2=count2; k=decay_param]


このエンジンは、パーサー・エンジンと同様に、ログ・エントリーに対してテストを実行します。テストで警告が発せられた場合、以下の点を確かめるために追加のテストを実行できます。

v 不審な要求の照会フィールドの中に不審なエントリーもあるかどうか

v 不審な要求が成功したかどうか

v 不審な要求に 16 進数エンコード (16 進コード) が含まれているかどうか

結合テストの場合のクラス・ヘッダーの形式は、次のとおりです。

[class=classname; field=field; requires=class; level1=count1;level2=count2; k=decay_param]

最新の侵入検知の場合、新たに発見されたアタックおよびシステムのぜい弱性を、このファイルのシグニチャーのリストに追加します。セキュリティー・コミュニティー・データベースを使用して、新しいアタックを定期的に調査し、追跡してください。

Web IDS パターン・エンジンを構成するには、sig.nefarious ファイルのパターン・エンジン・セクションを編集します。構成タスクは、次のとおりです。

v 213ページの『Web アタック・シグニチャーの追加と除去』

v 212ページの『シグニチャー・クラスの追加と除去』

v 216ページの『しきい値と減衰値の調整』

v 213ページの『パターン・テストの結合と詳細化』

suspicion エンジンsuspicion エンジンは、不審であると見なすホストをトラックします。Web IDS が警告またはアラートを発する原因となる要求をあるホストが送信した場合は、そのホスト名を sig.nefarious ファイルに追加すると、この特定のホストの追跡を継続できます。


[class=suspiciousHosts; printLvl=level]

Web IDS を構成するには、sig.nefarious ファイルの suspicion エンジン・セクションを編集します。構成タスクは、次のとおりです。

v 214ページの『不審なホストの追加または除去』

v 215ページの『不審なアクティビティーのタイプの指定』

トラスト・エンジンホストの特定のセットをトラステッドとして定義できます。トラステッド・ホストからの要求を受信すると、生成されるすべてのアラームは抑止されます。トラステッド・ネットワーク管理者がスキャン・ソフトウェアを企業内で使用する場合に、この抑止は便利です。多くの誤ったアラームが除去されます。

シグニチャーの特定のセットをトラステッドとして定義できます。さまざまなアタックを検出するには、アタック・シグニチャーの汎用性を可能な限り高くします。しかし、アタック・シグニチャーの汎用性の度合いが高すぎると、偽アラームがトリガーされることがあります。トラスト・エンジンを使用すると、偽アラームの数


を減らすことができます。まず、あるシグニチャーをトラステッドにできると判断します。次に、偽アラームの数を減らすためにこのシグニチャーを追加します。


[class=classname; field=fieldname; cancels=class]


[class=trustedSig; field=url; cancels=all]/cgi-bin/fortune/cgi-bin/here

Web IDS を構成するには、sig.nefarious ファイルのトラスト・エンジン・セクションを編集します。詳細については、 215ページの『トラステッド・シグニチャーの追加または除去』を参照してください。

スキップ・エンジンスキップ・エンジンはトラスト・エンジンと似ています。スキップするシグニチャーの特定のセットを定義 (正規表現として) します。Web IDS は、このパターンと一致する要求を処理しません。スキップ・エンジンとトラスト・エンジンの異なる点は微妙ですが、重要です。トラスト・エンジンを使用して、一致した場合に、特定のアラート・クラスをキャンセルして排除するシグニチャーを定義します。スキップ・エンジンを使用すると、シグニチャーが一致しても、要求では何も実行されません。デフォルトでは、Web IDS は GIF または JPEG イメージの要求を、不審として処理しません。これらのファイルはアタックの発生元ではないためです。例えば、次のようになります。

[class=pictures; field=url]¥.gif$ gif¥.jpg$ jpg

Web IDS 構成ファイルWeb IDS は、オプションの設定および構成のために構成ファイル (webids.cfg) を用意しています。この構成ファイルには、Tivoli Risk Manager Web IDS がサポートする各 Web サーバー用のセクションが設定されています。

注: 構成する Web サーバーのタイプに合った、構成ファイルの正しいセクションを編集するようにしてください。

デフォルトでは、共通ログ・フォーマットを使用する Web サーバー用の構成になっています。CLF というデフォルトのフォーマットから別のログ・ファイル・フォーマットに変更するには、CLF エントリーをコメント化し、構成する Web サーバーのタイプ用の構成ファイルの正しいセクションを見付けます。次に、ポンド記号(#) を除去して、そのセクションの行のコメントを解除します。

次のように Web IDS 構成ファイルを編集できます。

v システム・ログ (Linux および UNIX ベース・システムの syslog またはWindows イベント・ログ・アダプター) または Tivoli Risk Manager EIF に転送するイベントを指定する。

v Web IDS の各種コンポーネント (例えば、シグニチャー・ファイルや Tivoli Risk

Manager EIF ライブラリー・ファイル) の完全修飾パス情報を指定する。


v エラー出口ステートメントを提供する。

v Web サーバーのログ・ファイル構文を指定する。

– Web サーバーが読み取るアクセス・ログ・ファイルのフォーマットを指定する。つまり、CLF から逸脱するか CLF に従うかということ。

– 受け入れ可能な日付形式を指定する。

– 辞書構成を定義する。

– キー変数と Web サーバーの記述用語を区切るために使用するテキスト文字を定義する。

– 除去する外部テキストを定義する。

v ロールオーバー・サポートのログ・ファイル・アクセスを指定する。

構成ファイルを変更する方法の詳細については、『Web IDS 構成ファイルの編集』を参照してください。

Web IDS 構成ファイルの編集構成ファイルの編集を開始する前に、 195ページの『Web IDS 構成ファイル』で説明されている概要を参照してください。

webids.cfg 構成ファイルは編集可能なテキスト・ファイルであり、Web IDS が稼働する環境をカスタマイズできます。

この構成ファイルには、Tivoli Risk Manager の Web IDS がサポートする Web サーバー用のセクションが含まれています。

通常、ファイル内の変数はインストール時に設定されるため、変更する必要はありません。以下のセクションで、ファイルの変数をリストします。

注: 構成する Web サーバーのタイプに該当するセクションを編集してください。

ロケール情報の変更米国英語以外の言語ファイルを使用する場合は、National Language Service (NLS)

パスをセットしてロケールを設定する必要があります。デフォルトの NLS パスは、Web IDS インストールおよびセットアップ手順で自動的に設定されます。nlsPath_value パラメーターは、自動的に次のように設定されます。

nls_Path_value = nlspath

ここで、nlspath は Web IDS メッセージ・カタログ・ファイル (webids.cat) への完全修飾パスです。

例えば、nlsPath_value は次のように設定されます。

nlsPath_value = x:¥webids¥%L¥%N.cat

ここで、x: はドライブ文字です。言語変数 (%L) とメッセージ・カタログ・ファイル名変数 (%N.cat) は実行時に解決されます。

注: %L と %N は大文字でなければなりません。


ライブラリー情報の変更Web IDS が Tivoli Risk Manager EIF Perl インターフェースを使用してイベントをTivoli Risk Manager サーバーに送信する場合、webids.cfg ファイル内のlibrmadPath_value パラメーターに関連する値を使用してライブラリーを探します。このパラメーターは、Web IDS インストールおよびセットアップ手順で自動的に設定されます。例えば、Web IDS を Windows システムにインストールする場合、次のパラメーターを設定します。

librmad_value=1librmadPath_value=x:¥IBM¥RISKMGR¥bin

ここで、librmad_value=1 は、Web IDS がそのイベントを Tivoli Risk Manager

EIF に転送し、librmadPath_value は、Tivoli Risk Manager EIF でインストールされたように、必要なライブラリーのパスを指定していることを示します。

sig.nefarious シグニチャー・ファイルの位置の指定Tivoli Risk Manager の sig.nefarious ファイルは、Web アタックのシグニチャーを保管します。Web IDS は、このファイルを使用して Web サーバーをモニターし、アタックがないかどうかを調べます。sig.nefarious ファイルの詳細については、 192ページの『sig.nefarious シグニチャー・ファイル』を参照してください。

注: Tivoli Risk Manager に用意されているオリジナルの sig.nefarious ファイルを編集しないでください。このファイルをコピーし、名前を変更して、そのコピーを編集してください。

webids.cfg 構成ファイルを編集して、ロードするシグニチャー・ファイルのパスと名前を指定します。


signatureFilePath_value = Path¥SignaturesFileName

ここで、Path¥SignaturesFileName は次のいずれか 1 つです。

v デフォルトの sig.nefarious ファイルの完全修飾パスとファイル名。

v Tivoli Risk Manager に用意されている sig.nefarious ファイルをコピーして、名前を変更し、編集して作成した独自のシグニチャー・ファイルへの完全修飾パス。


signatureFilePath_value = g:¥webids¥sig.mysignatures

sig.nefarious シグニチャー・ファイルの最新バージョンをダウンロードするには、次の Support Web サイトを参照してください。



終了情報の指定終了するまでのエラーの数、つまり予期したフォーマットと一致していないアクセス・ログ・ファイルのエントリーを指定します。

exit_value = n




エラー状態が発生したらいつ終了するのかを指定するには、以下の値から選択します。

0 終了しません。

1 1 回目のエラーの後に終了します。

n 指定した回数のエラー (予期したフォーマットと一致しないアクセス・ログ・ファイルのエントリー) の後に終了します。アクセス・ログ・ファイルのエラー数は (2**53)-1 を超えることはできません。

リフレッシュ情報の指定すべての保管済みアラート情報を破棄する前に収集するアラート情報の数を指定します。リフレッシュの値は、シグニチャー・ファイルに指定された level2 の最大値以上にすることをお勧めします。 refresh_value が 1 に設定されている場合、Web IDS はリフレッシュの値を level2 の最大値の 1.5 倍として計算します。

refresh_value=0

以下の場合にリフレッシュが実行されます。

v Web IDS は不整合なアラート情報を廃棄しない = 0

v Web IDS が適切なリフレッシュ速度を計算する = 1

v Web IDS はリフレッシュ速度を指定された数に設定する = n

Web IDS を構成して、不整合で不審な要求情報をクリーンアップするようにするには、webids.cfg ファイルの refresh_value 属性値を適切に設定します。このリフレッシュ機能を使用不可にするには、refresh_value を 0 に設定します。refresh_value を 1 に設定すると、Web IDS が最適なリフレッシュ値を計算します。refresh_value に設定される n は、不整合な要求のクリーンアップを起動するために最低限必要な、Web IDS が受信する不整合な要求の数です。不審な要求の数 n

は、level2 の最大値より小さくしないでください。

ファイル・パターン情報の指定ファイル・パターン (filePattern_value) には、ファイルと一致するための正規表現(ワイルドカードではない) を指定します。このため、Web IDS は再始動せずに、使用可能になった最新のログ・ファイルに切り替えることができます。

ファイル・パス (filePath_value) には、Web IDS がログ・ファイルを検索するロケーションのパスを指定します。

ファイルのマッチング (fileMatch_value) には、この機能を使用不可にするか使用可能にするかを指定します。

this feature is disabled=0this feature is enabled=1

以下に、Linux システムで Apache をサポートする場合の共通値の例を示します。

filePattern_value=^access_log.*filePath_value=/usr/local/apache/logsfileMatch_value=1


機能の再開情報の指定Web IDS には、ファイルが最後に実行された際に終了した場所から分析を再開する機能があります。この機能により、Web IDS を実行するたびに同じアラートが発行されるのを回避できます。

再開位置には、この機能を使用不可にするか使用可能にするかを指定します。

Resuming is disabled=0Resuming is enabled=1

以下は再開機能の一例です。

resumePosition_value=1

Windows システムでは、Web IDS が特定の間隔で再開情報を書き込む必要があります。この値は、この情報が保管される前に生成される必要があるアラートの数を指定します。このオプションを指定しない場合、Web IDS はデフォルトの 20 を設定します。

resumeWindowsInterval_value=20

ロールオーバー・サポート用のログ・ファイル・アクセスの構成ほとんどの Web サーバーは、指定したある一定の時間 (例えば、1 日)後に、別のログ・ファイルに切り替えるようにスケジューリングできます。Web IDS もまた、終了せずに新しいログ・ファイルに切り替えることができます。ログ・ファイルを指定できる webids.cfg ファイル内の変数を編集します。

filePattern_value有効なログ・ファイルの検索に使用する Web IDS の正規表現を指定します。Web IDS は、このパターンと一致する最近変更されたファイルを使用します。

filePath_valueログ・ファイルが存在するディレクトリーを指定します。

fileMatch_value

1 ロールオーバー・ログ・サポートを使用可能にします。

0 ロールオーバー・ログ・サポートを使用不可にします。Web IDS

は、filePattern_value と filePath_value、および指定を無視します。

例えば、Linux および UNIX ベースのシステム上の Apache Web サーバーの場合、以下のようになります。

filePattern_value = access_log.*filePath_value = /usr/local/apache/logsfileMatch_value = 1

コマンド行で -i オプションが指定されたファイルにより、webids.cfg ファイルに指定された値がオーバーライドされます。ただし、この情報が構成ファイルに指定されている場合は、コマンド行にファイル名を明示的に指定する必要はありません。


Web サーバー固有の構成Web サーバーのアクセス・ログ・ファイルを構成しないと、Web IDS を使用することができません。Web サーバーによって、構成タスクは次のように異なります。

v CLF で以下の Web サーバーを構成する。

– Apache Web サーバーの構成

– IBM HTTP Server の構成

– IBM Tivoli Access Manager WebSEAL の構成

v Sun ONE Web Server の構成

v 以下のファイル・フォーマットで Microsoft Internet Information Server を構成する

– W3C

– IIS

– NCSA

– ODBC

Web サーバーのサポート情報については、「IBM Tivoli Risk Manager リリース情報」を参照してください。

共通ログ・フォーマットを使用する Web サーバーの構成CLF を使用してアクセス・ログ・ファイルを作成する Web サーバーは、次のとおりです。

v Apache Web サーバー

v IBM Tivoli Access Manager WebSEAL

v IBM HTTP Server

Sun ONE Web Server では、CLF を選択して共通ログ・フォーマット設定出力を生成できます。追加の構成上の説明については、 201ページの『Sun ONE Web Server

の構成』を参照してください。

Apache Web サーバーの構成Apache Web サーバーでは、アクセス・ログ・ファイルは、Apache インストール時に /logs ディレクトリーにインストールされます。Linux および UNIX ベースのシステムでは、情報は access_log ファイルに書き込まれます。Windows システムでは、情報は access.log ファイルに書き込まれます。

IBM Tivoli Access Manager WebSEAL Server の構成Tivoli Access Manager WebSEAL では、要求、リファラー、およびエージェントの各ログ・レコードは同じファイルに格納されます。ただし、Web IDS は要求ログ・レコードのみ認識します。WebSEAL を構成する場合は、要求ログ・レコードをリファラーおよびエージェント情報とは別のファイルに格納します。3 つのタイプのログ情報の場所のファイル・パスと名前を WebSEAL 構成ファイルの wand セクションに指定できます。


Sun ONE Web Server の構成Sun ONE Web Server を構成するには、以下の手順で行います。

1. /*/netscape/server4 ディレクトリーに存在する startconsole.sh スクリプト・ファイルを実行する。このスクリプト・ファイルにより、アドミニストレーターのツールが Netscape Web ブラウザーで始動します。

2. そのページの上部にある「サーバー (Servers)」タブの「サーバーの選択(Select a Server)」メニューから構成する Web サーバーを選択します。

3. 「管理 (Manage)」をクリックして、新しい Web ページをロードします。

4. 「状況 (Status)」タブをクリックします。

5. 「ロギング設定 (Logging Preferences)」をクリックして、アクセス・ログ構成ページを表示します。

6. 「ドメイン名 (Domain Names)」を選択して、レコードのタイプを設定します。

7. 「共通ログ・ファイル・フォーマットを使用する (Use Common LogfileFormat)」を選択してフォーマットのタイプを設定します。

デフォルトのアクセス・ログ・ファイル名とその位置は、次のとおりです。

/*/netscape/server4/https-hostname.domain.com/logs/access

Microsoft Internet Information Server の構成Web IDS では、ロールオーバー・サポートがデフォルトでは使用不可になっています。Microsoft Internet Information Server (IIS) がすべての Web サーバー要求を 1

つのファイルに格納するよう構成するには、次の指示に従います。

1. IIS Microsoft Management Console で、Web サーバーの名前を右クリックします。

2. 「プロパティ (Properties)」、「Web サイト (WebSite)」タブの順に選択します。

3. ロギング・セクションの「プロパティ (Properties)」を選択します。

4. 「ログ期間 (log period)」を「ファイル・サイズの制限なし (unlimited filesize)」に変更します。

この指示の後では、IIS はログをスワップアウトしませんが、代わりに同じファイルに制限なく書き込みます。

ロールオーバー・サポートを使用可能にするには、Web IDS 構成ファイルを更新する必要があります。長期間の値を設定をするための詳細と IIS の構成については、199ページの『ロールオーバー・サポート用のログ・ファイル・アクセスの構成』を参照してください。

IIS W3C 拡張フォーマットの場合、Windows の「拡張プロパティ (Extended

Property)」オプションの最小限必要なものを選択しなければなりません。National

Center for Supercomputing Applications (NCSA) などの、IIS が提供するその他のフォーマットには「拡張プロパティ (Extended Property)」オプションを指定する必要はありません。


W3C フォーマット用の「拡張プロパティ」ウィンドウから、次のようなオプションのセットを選択しなければなりません。

v Date (日付)

v Time (時刻)

v Client IP address (クライアント IP アドレス)

v Method (メソッド)

v URI stem (URI 語幹）

v URI query （URI 照会）

v Bytes sent (送信バイト数)

v HTTP status (HTTP 状況）

v Protocol version (プロトコル版番号)

Cookie やサーバー・ポートなどの付加的なオプションを選択すると、Web IDS

は、これらのオプションに関する情報を Tivoli Risk Manager EIF または Windows

イベント・ログ・アダプターに送信する前に除去します。これらのオプションは、webids.cfg ファイルの W3C セクションに指定されるディクショナリー定義で「無視 (ignore)」に設定されています。

拡張プロパティーの完全なリストを表示するには、以下のようにします。

1. 「Microsoft Personal WebServer」→「インターネットサービスマネージャ(Internet Service Manager)」の順にクリックします。

2. コンソールから「既定の Web サイト (Default Web Sit)」を選択します。

3. 必要に応じて、コンピューター・ホストのアイコンを展開します。

4. 「プロパティ (Properties)」→「アクティブなログ形式 (Active Log Format)」の順にクリックします。

5. 「アクティブなログ形式 (Active Log Format)」から「W3C 拡張ログ・ファイル形式 (W3C Extended Logfile Format)」を選択します。

6. 「プロパティ (Properties)」→「拡張プロパティ (Extended Properties)」タグの順にクリックします。

選択したオプションは、ログ・ファイルにコメント行として出力されます。例えば、次のようになります。

#Fields: date time c-ip cs-method cs-uri-stem cs-uri-query sc-statussc-bytes cs-version

プロパティーの最小限必要なオプションを選択しないと、Web IDS がエラーのフラグを立てます。その後、Web IDS は不足しているオプションとログ・ファイル内での行数を記録して、次のイベントを生成します。

ALERT :parser(readAccessLog)==>nnnn:Malformed line in the log file.the other tests skipped.

IIS サーバーが作成するログ・ファイルは、YYMMDD フォーマット (例えばex000530.log) でディレクトリーに保管されます。

c:¥winnt¥system¥logfiles¥w3svc1¥exYYMMDD.log

National Computer Security Association (NCSA) フォーマットが使用される場合、ログ・ファイルの名前は ncYYMMDD.log です。


ログ・ファイルのフォーマットおよび値の指定Web IDS がサポートする複数の Web サーバーは、異なるログ・フォーマットを使用している場合があります。各ログ・フォーマットについて、使用する Web サーバーに応じた異なるパラメーター値が webids.cfg 構成ファイルに定義されています。

リストされたパラメーターがすべて各サーバーに適用されるわけではありません。構成ファイルはセクションごと区切られており、各セクションは Web サーバーのそれぞれのログ・フォーマット・タイプに対応します。

Common Log Format (CLF) のデフォルト・パラメーターはコメント化されていないため、デフォルトの CLF を使用する場合、特別な作業は必要ありません。

CLF 以外の Web サーバー・フォーマットを使用する場合は、以下を実行します。

v Common Log Format セクション内で CLF に対応する行をコメント化します。コメント化するには、該当するパラメーター値の行の前にポンド記号 (#) を追加します。

v 使用するログ・フォーマットに対応するセクションで、各パラメーター値の行の前に挿入されたポンド記号 (#) を削除します。

使用する Web サーバーに応じた以下の値が、webids.cfg 構成ファイルに定義されています。

clf_valueログ・ファイルが CLF 標準に準拠するかどうか選択します。

Deviates from Common Log Format = 0Adheres to Common Log Format = 1

dictionary_valueWeb サーバーの中には、Web サーバーのログ・ファイルに記録される情報の内容と順序に関する記述を提供するものがあります。 dictionary_valueは、Web IDS が Web サーバーの命名規則を解釈する方法を示します。Web サーバーのコメント行にはログ・エントリー・フィールドがリストされます。 Web IDS がそのコメント行を解釈するには、使用される Web

IDS のキー変数 (host、method など) と、Web サーバーが使用する命名規則を、Web IDS が同一であると認識する必要があります。

Web IDS のキー変数には、以下があります。

v bytes

v day

v host

v hour

v method

v min

v month

v protocol

v query

v rfc


v sec

v status

v timezone

v user

v url

v year

Web サーバーが Web IDS キー変数と同等でない他の情報を提供する場合は、Web サーバーのキー変数を Web IDS の条件 ignore にマップします。例えば、Microsoft Internet Information Server の W3C ログ・ファイルが、Web IDS キー変数のいずれにもマップされないので ignore に設定されたキー変数 s-sitename をリストする場合があります。 ignore の使用例については、W3C dictionary_value を参照してください。

注: ログ・フォーマットをログ・ファイルに組み込み、辞書値キーを構成キーに指定すると、Web IDS はその情報を使用して新規ログ・ファイル・フォーマットを評価します。

辞書値またはコメント値を指定しない場合、Web IDS がログ・エントリーを分離するのに使用する正規表現に準拠していない各要求は、警告イベントを発生させます。例えば、バッチ・モードの実行中に、ログ・フォーマットをログ・ファイルの最初の行として書き込む Web サーバーもあります。これが発生すると、ログ・エントリーが CLF に準拠していないため、Web IDS は以下のイベントを生成します。

ALERT :parser(readAccessLog)==><line1>:Malformed line in the logfile. the other tests skipped.

dictionary_delimWeb IDS キー変数と Web サーバーの記述用語を区切るために使用するテキスト文字をリストします。

date_valueWeb サーバーはさまざまな方法を使用して日付形式を指定します。date_value フラグを使用することで、Web サーバーのログ・ファイル・フォーマットに標準的な日付形式を指定できます。

logPattern_value を使用して中間定義を作成できます。中間定義は、最終的には Web IDS キー変数または変数に解決される必要があります。

例えば、day、month、および year を使用する、Sun ONE Web Server のdictionary_value ステートメントの中間定義 clfdate_value を参照してください。

中間定義では、day、month、および year を使用し、自らの区切り文字リスト clfdate_delim を使用して新しい clfdate_value を作成します。

eofPadded_value多くの Web サーバーは、新しいログ・エントリーをファイルの末尾に追加します。ただし、Web サーバーの中には、ログ・エントリーをファイルの末尾に追加するのではなく、大きい固定サイズのファイルを作成し、そのファイルにログ・エントリーを挿入するものもあります。例えば Microsoft

Internet Information Server の場合、初期サイズが 65,627 バイトのログ・フ


ァイルを作成し、各ログ・エントリーを、ファイルの末尾ではなく最後に書き込まれた行の後ろに挿入します。テール機能 (webids -t) を使用してwebids プログラムを起動すると、eofPadded_value フラグにより、ログ・ファイルへのリアルタイム更新を読み込む場所が示されます。

ログ・ファイルのエントリーを書き込む場所を選択します。

Appended to the end of file = 0Inserted after last written line = 1

extraneous_valueWeb サーバーのログ・パターンの内容および順序に関する記述に、常に追加されるテキストを含みます。ログ・パターン・エレメントとログ・パターン定義間の適切な相関が行われるよう、無関係なテキストは、ログ・パターンの順序を計算する前に Web IDS によって除去される必要があります。

logPattern_delimWeb サーバーのログ・ファイル・エントリーの構文解析に使用されるテキスト文字を、ホスト、URL、バイトなどのサブエレメントにリストします。区切り文字は、URL ストリングで頻繁に使用されるものを避けて指定してください。

区切り文字がログ・エントリーの他の場所にある場合、ストリングの構文解析に使用する区切り文字が、予期しない結果を引き起こす場合があります。例えば、データにスラッシュ記号 (/) が含まれている場合、logPattern_delim にスラッシュ記号 (/) が含まれていると、logPattern_value は正確に解析されません。これは、/ 記号がURL にも頻繁に使用されるためです。過剰な構文解析を回避するため、独自の区切り文字リストを使用して中間定義を作成してください。中間定義は、最終的にWeb IDS キー変数に解決される必要があります。例えば、logPattern_value に clfdate が含まれる場合、clfdate_value は Web IDS

キー変数、日付、月、および年に解決され、/ と等しい clfdate_delim は、ログ・エントリー全体ではなく、clfdate と同等のサブストリングのみを構文解析します。

logPattern_valueWeb サーバーがロギング情報コメントを追加するたびに、Web IDS がWeb サーバーのログ・ファイル・フォーマットを動的に解釈できるようにします。この値を次のように設定します。

logPattern_value = dictionary

シグニチャーの編集独自のシグニチャー・ファイルを作成するには、Tivoli Risk Manager のインストール時に提供されたデフォルトのシグニチャーをコピーするか、または次の Tivoli サポート Web サイトからシグニチャー・ファイルの最新バージョンをダウンロードします。






また、webids.cfg 構成ファイルを編集して、ロードするシグニチャー・ファイルの新規のパスおよび名前を指定しなければなりません。signatureFilePath_value= 値を設定する必要があります。

シグニチャーを作成するには、Perl の正規表現の知識が必要です。シグニチャー・ファイルを作成したり変更するときは、以下の基本ルールに従ってください。

v 元のデフォルトの sig.nefarious ファイルを、バックアップのためにコピーして名前変更します。

v webids.cfg 構成ファイルを編集して、新規のシグニチャー・ファイルの完全修飾パスを指すようにします。例えば、次のようになります。

signatureFilePath_value = ¥Fully_Qualified_Path¥new_filename

v クラスは、クラス・ヘッダーとシグニチャーのリストで構成しなければなりません。

v 各シグニチャーを別々の行に置きます。

v シグニチャー行には、次の 4 つのエントリーがあります。

1. Perl 正規表現構文で表現されるシグニチャー。

2. アタックの名前を表すテキスト・ストリング。

3. 既知の場合は、ぜい弱性 ID。

4. CVE または Bugtraq などのぜい弱性の情報源。

v 4 つのエントリーは、4 つの列に配置されます。例えば、次のようになります。

(?i)showcode¥.asp showcode.asp [CAN-1999-0737] [CVE]

v 新規のシグニチャーを定義する場合、シグニチャー名の一部としてポンド記号 (#)

を使用しないでください。ポンド記号以降のテキストは無視されます。

v Web IDS は、空の行を無視します。

v 同一のクラス名を使用できます。ただし、これらのクラスが異なるエンジンにある場合に限ります。各エンジン・セクション内で、クラス名は固有でなければなりません。

v 類似のアタック・シグニチャーは同一のクラスに入れてください。Web IDS が報告するクラスは 1 つだけです (例えば、複数のぜい弱性 CGI プログラムを同一クラスに入れます)。

v [class= ディレクティブは、次の [engine= または [class= ディレクティブが出てくるまで、ファイルの中を下方向に読み取られます。

v セミコロン (;) でパラメーターを分離します。

sig.nefarious ファイルにはメイン・セクションがあり、各セクションにシグニチャーが入っています (クラスとして定義されます)。このセクションで使用されるファイルは、メイン・エンジンに対応しています。

Tivoli Risk Manager EIF と併用するための Web IDS の構成Web IDS はデフォルトで、Tivoli Risk Manager が提供する単純なイベント実行依頼 API を使用するよう構成されており、フォーマット、要約、およびイベント・サーバーへのトランスポートのためにセンサー・イベントをエージェントに直接渡します。このイベント実行依頼 API は Tivoli Risk Manager EIF で、エージェントの一部として組み込まれます。Web IDS は、フォーマット情報を含むフォーマット用


の XML ファイルを提供します。フォーマット情報は、エージェントによる Web

IDS 生成イベントからの情報の抽出および Tivoli Risk Manager イベントの作成に使用されます。

インストール中、Web IDS XML ファイルを指定することで、エージェントは Web

IDS イベントのフォーマットを使用可能にするよう構成されます。このファイルは、Web IDS がインストールされるホストの受信側構成ファイル内でのフォーマットに使用されます。クライアントでは、この構成ファイルはRMINSTDIR/etc/local_only_receiver.conf です。イベント・サーバーまたは分散相関サーバーでは、この構成ファイルは RMINSTDIR/etc/eif_receiver.conf です。

以下は、Windows システム上で Web IDS を実行しているクライアント用に構成された local_only_receiver.conf の例です。

TransportList=t1t1Type=LOCALONLYSOCKETt1Channels=c1c1ServerLocation=yourserver.comc1Port=5529BufferEvents=NO

EventDefinitions=C:¥IBM¥RISKMGR¥etc¥webids.xml# UnmatchedLog=C:¥temp¥local_only_receiver_webids_unmatch.log

#TraceLevel=ALL#TraceFileName=C:¥temp¥local_only_receiver_trace.log

#LogLevel=ALL#LogFileName=C:¥temp¥local_only_receiver_msg.log

以下に、Linux および UNIX ベースのシステムで Web IDS を実行する分散相関サーバー用に構成した eif_receiver.conf の例を示します。

TransportList=t1t1Type=SOCKETt1Channels=c1c1ServerLocation=yourserver.comc1Port=5539ConnectionMode=connection_orientedBufferEvents=NO

EventDefinitions=/opt/RISKMGR/etc/webids.xml# UnmatchedLog=/opt/RISKMGR/persistence/eif_receiver_webids_unmatch.log

#TraceLevel=ALL#TraceFileName=/opt/RISKMGR/persistence/eif_receiver_trace.log

#LogLevel=ALL#LogFileName=/opt/RISKMGR/persistence/eif_receiver_msg.log

注: UnmatchedLog パラメーターは、XML ファイル内のフォーマット指定と一致しないログを記録する場所を指定します。これは、開発やデバッグ目的のみで定義および使用してください。


イベント・モニターと併用するための Web IDS の構成Web IDS は、イベントをオペレーティング・システムのログ (Linux および UNIX

ベースのシステムの syslog、Windows システムのイベント・ログ) に送信するように構成できます。イベント・モニターは、このイベントをそれらのシステム・ログからキャプチャーするために使用できます。イベント・モニターは、さまざまなイベント・ソースから情報を抽出し、その情報を Tivoli Risk Manager イベントにフォーマットし、さらにイベントをローカル・エージェントに転送して要約およびイベント・サーバーにトランスポートするよう設計されています。イベント・モニターは、エージェントの一部としてインストールされ、同じフォーマットのライブラリーをイベント実行依頼 API Tivoli Risk Manager EIF として使用します。そのため、フォーマット設定に使用された同じ Web IDS XML ファイルを使用します。

オペレーティング・システムのシステム・ログ・ファイルにイベントを記録するように Web IDS を構成するには、次のようにします。

1. librmad_value=0 を webids.cfg ファイルに設定する。

Web IDS イベントをキャプチャーするためのイベント・モニターの構成

システム・ログから Web IDS のイベントをキャプチャーするように、イベント・モニターを構成する方法については、「IBM Tivoli Risk Manager アダプター・ガイド」を参照してください。この資料には、Tivoli Risk Manager イベント・モニター構成ウィザードを使用したイベント・モニターのインスタンスの定義方法と、イベント・モニター構成パラメーターに関する説明が記載されています。

ウィザードを使用したイベント・モニターの構成イベント・モニターを Linux または UNIX ベースのシステムにインストールする場合、次の情報が必要です。

表 15. 必要情報 - Web 侵入検知システム - Linux および UNIX ベースの syslog を使用したロギング

イベント・モニター・パラメーター

説明推奨値

ID イベント・モニターのユーザー定義 ID。

tivoliWebIDS

イベント・ソース・タイプ

イベント・モニターのタイプ。

ログ・ファイル

イベント・ソースイベント・モニターの入力イベント・ソース。

/var/adm/messages

イベント・ソース定義ファイル

イベントのフォーマット設定に使用される XML ファイル。

$RMADHOME/etc/webids.xml

イベント・モニター構成ファイル

エージェントによってイベント・モニターに使用される構成ファイル。

$RMADHOME/etc/tivoliWebIDS.conf

ポーリング間隔イベント・ソースが新規データを検査した秒単位の間隔。

10


表 15. 必要情報 - Web 侵入検知システム - Linux および UNIX ベースの syslog を使用したロギング (続き)


説明推奨値

アンマッチのイベント・ログ・ファイル

イベント・モニターによるイベント定義ファイルではフォーマットできないイベント・データを含むログ・ファイルを指定します。

デバッグする場合のみ値を指定

イベント・モニターを Windows システムにインストールする場合、次の情報が必要です。

表 16. 必要情報 - Web 侵入検知システム - Windows イベント・ログへのロギング


説明推奨値


tivoliWebIDS

イベント・ソース・タイプ

イベント・モニターのタイプ。

ログ・ファイル


/var/adm/messages



%RMADHOME%¥etc¥webids.nt.xml



%RMADHOME%¥etc¥tivoliWebIDS.conf


10




イベント・モニターの手動構成イベント・モニターを手動で構成して Web IDS のイベントをキャプチャーするには、次のようにします。

1. フォーマットに使用される Web IDS XML ファイルが、ディレクトリーRMINSTDIR/etc にインストール済みであることを確認します。

v Linux および UNIX ベースのシステムでは webids.xml です。

v Windows システムでは webids.nt.xml です。

2. イベント・モニター構成ファイル monitor_receiver_webids.conf をディレクトリー RMINSTDIR/etc に作成し、以下を追加します。


Linux および UNIX ベースのシステム:

RMMonitorList=A1A1Type=LogFileA1PollingInterval=10A1Source=/var/log/messagesA1EventDefinitions=/opt/RISKMGR/etc/webids.xml#A1UnmatchedEventLog=/opt/RISKMGR/persistence/

monitor_receiver_webids_unmatch.logA1ID=webidsA1CrcByteCount=50

ここで、Source は syslogd のログ・ファイルを指します。

Windows システム:

RMMonitorList=A1A1Type=WindowsA1PollingInterval=10A1Source=applicationA1EventDefinitions=C:¥IBM¥RISKMGR¥etc¥webids.nt.xml#A1UnmatchedEventLog=C:¥temp¥monitor_receiver_webids_unmatch.logA1ID=webidsA1CrcByteCount=50

ここで、Source は Windows アプリケーション・イベント・ログを指します。

注: UnmatchedLog パラメーターは、XML ファイル内のフォーマット指定と一致しない、ログを記録する場所を指定します。これは、開発やデバッグ目的のみで定義および使用してください。

3. 次のイベント・モニターの受信側ソース定義を RMINSTDIR/etc/rmagent.xml ファイルに追加します。


<source name="monitor_receiver_webids"class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaMonitorReceiver"><set key="RMA_conf" value="/opt/RISKMGR/etc/monitor_receiver_webids.conf"/>

</source>


<source name="monitor_receiver_webids"class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaMonitorReceiver"><set key="RMA_conf" value="C:¥IBM¥RISKMGR¥etc¥monitor_receiver_webids.conf"/>

</source>

4. 次のイベント・モニターのコネクター定義を RMINSTDIR/etc/rmagent.xml ファイルに追加します。

クライアント:

<connector><from name="monitor_receiver_webids"/><to name="summarization"/>

</connector>

分散相関サーバーおよびイベント・サーバー:

<connector><from name="monitor_receiver_webids"/><to name="correlation"/>

</connector>


5. エージェントを再始動するか、wrmadmin コマンドを使用して、追加したイベント・モニターを開始します。

wrmadmin -r monitor_receiver_webids

注: Web IDS とともに Solaris システム上でイベント・モニターを使用する場合、メッセージ ID オプションを使用不可にする必要があります。msgid=0 が/kernel/drv/log.conf ファイルに設定されていることを確認してください。Web IDS がイベントを Tivoli Risk Manager EIF API に送信するように構成されている場合は、/kernel/drv/log.conf ファイル内の msgid 設定値は関係ありません。

Web IDS の管理Web IDS を管理するために、次のタスクをアドミニストレーターが実行できます。

v Web アタックのイベントの分析

v シグニチャー・クラスの追加と除去

v Web アタック・シグニチャーの追加と除去

v パターン・テストの結合と詳細化

v 不審なホストの追加または除去

v 不審なアクティビティーのタイプの指定

v トラステッド・シグニチャーの追加または除去

v しきい値と減衰値の調整

Web アタックのイベントの分析Web IDS には、アタックが既知かどうかを検査するための情報が用意されています。次はキャプチャーされた情報の一例です。

956066584_1some.host.org - - [03/May/2001:03:42:23 +0000] "GET /cgi-bin/test-cgi

HTTP/1.1" 500 345WARNING : pattern(serverError) ==> 5xxWARNING : pattern(cgi) ==> test-cgiALERT : pattern(cgi) ==> class ’cgi’: lvl=1.00 >= 1!DECODED :REQUEST : GET /cgi-bin/test-cgi HTTP/1.1HOST/USR: some.host.org - -STATUS : 500BYTES : 345METHOD : GETURL : /cgi-bin/test-cgiQUERY :VERSION : 1.1DATE : 03/May/2001:03:42:23 +0000-------------------------------------------

Web IDS は、あるホストから送信された要求が原因となってアラームが出されると、そのホストからの要求をキャプチャーします。次に、ここでキャプチャーした情報を分析して、新しいシグニチャーまたはシグニチャーのクラスをシグニチャー・データベース (sig.nefarious ファイル) に定義するかどうかを決定できます。

データベース内で検出されないアタックは全く認識されないままになることがあります。知識ベース・システムでは、データベースの定期的な更新が必要です。


最新の侵入検知の場合、新たに発見されたアタックおよびシステムのぜい弱性をsig.nefarious ファイル内のシグニチャー・リストに追加します。この目的のために保持されているセキュリティー・コミュニティー・データベースを使用して、新しいアタックを定期的に検討し、追跡してください。

以下は、このようなデータベースの 2 つの例です。

v Bugtraq Web サイト: http://www.securityfocus.com

v Common Vulnerabilities Enumeration (CVE) Web サイト: http://www.cve.mitre.org

ここでキャプチャーした情報を手動で分析して、問題解決のための必要なアクションを決定する必要があります。

シグニチャー・クラスの追加と除去sig.nefarious ファイルのエンジン・パターン・セクションには、シグニチャーのグループ (クラス) があり、これを基にログ・エントリーのフィールド内でアタック・シグニチャーのパターンを探します。単一アクセスは警告として報告されます。

新しいクラスを作成する際には、フィールド名をクラス定義の一部として指定する必要があります。

Web アタック・シグニチャーのクラスを追加または除去するには、以下のようにします。

1. sig.nefarious の ENGINE PATTERN セクションに移動します。

2. ファイルを追加するには、次をファイルに追加します。a. [class=classname; field=fieldname; level1=count1;

level2=count2; k=decay_param]


class=classname

パターン・エンジン内で指定されているシグニチャーの固有名です。

field=fieldname シグニチャーをマッチングする必要があるフィールドです。パターン・エンジンの有効フィールドは、host、method、url、status、query です。

level1=count1 詳細については、 216ページの『レベル・カウンターの調整』を参照してください。

level2=count2 詳細については、 216ページの『レベル・カウンターの調整』を参照してください。

必ず新しいシグニチャーのクラスを説明するコメント行を追加してください。各コメント行は、ポンド記号 (#) で始まっていなければなりません。

3. 既存のシグニチャー・クラスを除去するには、除去するシグニチャー・クラスを定義している行を削除します。

4. ファイルを保管してクローズします。



http://www.securityfocus.com

http://www.cve.mitre.org

[class=directory; field=url; level1=2; level2=1; k=1000]# Some servers are sensitive to directory tricks like specifying /./# in the path name./¥.¥.//¥.¥

Web アタック・シグニチャーの追加と除去Web アタック・シグニチャーを追加または除去するには、以下のようにします。

1. sig.nefarious ファイルを編集します。

2. このファイルの ENGINE PATTERN セクションに移ります。

3. 適切なクラス・セクションを見つけます (例えば、[class=cgi; field=url;)。

4. 以下のうちのいずれかを実行します。

a. 次のような 4 列のシグニチャー行を追加して、新しいシグニチャーを追加します。

# CVE-1999-0067, Bugtraq ID 629, input validation errorphf phf [CVE-1999-0067] CVE

新しいシグニチャーを説明するポンド記号 (#) で始まるコメント行を追加します。Bugtraq ID 番号 (分かっている場合)、CVE ID 番号 (分かっている場合)、およびシグニチャーの簡単な説明を入力します。

b. 除去するシグニチャーを定義している行を削除して、既存の Web アタック・シグニチャーを除去します。


パターン・テストの結合と詳細化sig.nefarious ファイルのパターン・エンジン・セクションには、ログ・エントリーのフィールド内でアタック・シグニチャーを探すシグニチャーのグループ (クラス) が含まれています。

また、このエンジンはログ・ファイルのエントリー・フィールドのいずれかに対して警告やアラートが出された際に付加的な結合テストも実行します。例えば、警告やアラートが出された後は、アタックを受けやすい CGI プログラムに対する要求が正常に完了しているかどうかを確認するために、付加的なテストを実行できます。

そのためには、requires=class 属性を用いてテストを結合し、詳細化します。この属性は、Web IDS がこれらのテストを実行する前に、アラートを出したクラスを割り出します。有効なクラスは、sig.nefarious ファイルのパーサー・エンジン、およびパターン・エンジンのセクションに属するクラスです。以下はその例です。

requires=pattern(cgi)requires=parser(suspiciousHexCodesUrl)requires=parser(suspiciousHexCodesQuery)requires=pattern(cgi)|pattern(directory)requires=(pattern(cgi)|pattern(directory))&(parser

(suspiciousHexCodesUrl)|parser(suspiciousHexCodesQuery))

classname は、クラス名のブール式を表します。括弧を使用すると、ブール式をグループ化できます。requires=class 属性を入力する際に有効なブール演算子は次のとおりです。


| := OR& := AND! := NOT

結合テストを定義または詳細化するには、以下のようにします。


2. このファイルの ENGINE PATTERN セクションに移ります。

3. 以下のうちのいずれかを実行します。

a. 次のフォーマットに従って、新しいテストの組み合わせを 1 行に追加する。

[class=classname; field=fieldname; requires=class; level1=count1;level2=count2; k=decay_param]

必ずこの新しいクラスについて説明するコメント行を追加してください。各コメント行は、ポンド記号 (#) で始まっていなければなりません。

b. level1=、level2=、k= の値を追加または変更する。詳細については、 216ページの『しきい値と減衰値の調整』を参照してください。

c. 除去する既存のシグニチャーのクラスに関連する行を削除することによって、そのクラスを除去する。


不審なホストの追加または除去トラストできない不審なホストを識別できます。ホストが不審な要求を送信していると判断したら、Web サーバーのホスト名または IP アドレスを sig.nefarious ファイルに追加してください。

Web IDS は、小文字でホスト名を比較します。不審なエンジン内の要求およびクラス名の中のホスト名は、比較が行われる前に小文字に変換されます。

A から Z までの文字、0 から 9 までの数字、ピリオド (.)、およびダッシュ (-) のみを使用してください。

不審なホストのリストに IP アドレスを追加するには、次のような行を追加します。

9.37.47.192 # suspicious host

あるいは、そのホスト名に対応する行を次のように小文字で追加します。

possible.attack.org # suspicious host

この行はクラス・ヘッダーの下に追加されます。フォーマットは次のとおりです。



class= これは、suspicion エンジンで指定された不審なホストの固有名です。

printLvl= 受信する要求のタイプを指定します。有効な要求のタイプは、all、alerts、warnings です。詳細については、 215ページの『不審なアクティビティーのタイプの指定』を参照してください。


不審なホストを除去するには、sig.nefarious ファイルを編集して、そのホストのホスト名または IP アドレスが指定されている行を除去します。

不審なアクティビティーのタイプの指定記録および分析する不審なアクティビティーのタイプ (アラートまたは警告あるいはその両方) を指定できます。



受信する要求のタイプを変更するには、printLvl= に別のレポート・レベルを指定します。有効なレポート・レベルは次のとおりです。

all 最初の警告の後のすべての要求が報告されます。

warnings警告とアラートが報告されます。

alerts アラートだけが報告されます。

トラステッド・シグニチャーの追加または除去初期インストールの後、最初に Web IDS を開始するときに、多数のイベントがイベント・コンソールに転送されることがあります。これらの侵入検知イベントのなかには、偽アラームが含まれている場合があります。あるシグニチャーがトラストできるものであると判断した場合は、そのシグニチャーをトラスト・エンジンに追加して、偽アラームの数を減らすことができます。


[class=classname; field=fieldname; cancels=class]


class=classname

トラスト・エンジンで指定されているシグニチャー・クラスの固有名です。

field=fieldname

シグニチャーをマッチングする必要があるフィールドです。トラスト・エンジンの有効なフィールドは、host、method、url、query です。

cancels=class

指定されたクラスにマッチングするシグニチャーが検出されると、警告またはアラートは報告されません (取り消されます)。取り消されるクラスの有効なキーワードは次のとおりです。

all マッチングするアラートと警告をすべて取り消します。

engine_name(class_name)指定されたエンジン名およびクラス名にマッチングするアラートと警告を取り消します。

engine_name(class_name),engine_name(class_name)エンジン名とクラス名を 1 つずつそれぞれコンマ (,) で区切ったリストの中で、それぞれの名前にマッチングするアラートと警告を取り消します。


いくつかの例を示します。

[class=trustedHosts; field=host; cancels=all]friendly¥.computer¥.org

[class=linuxDistr; field=url; cancels=pattern(cgi),pattern(file)]^¥~linus/mirror/linux

しきい値と減衰値の調整Tivoli Risk Manager Web IDS は、警告とアラートという、2 つのタイプのアラームを区別しています。警告はアラートよりも重大度が低いものと見なされ、通常はTivoli Enterprise Console イベント・コンソールに報告されません。同じタイプの警告が一定の回数以上出されると、その警告はアラートに変わります。例えば、ある種の Web サーバー・アタックは、同一のホストから実行依頼された認証要求が繰り返し失敗するなど、同じ不審な要求が一定の回数以上確認されてはじめてアラートになります。

以下のクラス・パラメーターを調整することによって、警告がアラートになるまでの速さを指定するように Web IDS を構成できます。

v level1

v level2

v k

受信されるアラートが多すぎたり少なすぎたりする場合は、クラス・パラメーターを調整することを考慮してください。クラス・パラメーターを調整するには、sig.nefarious ファイル内の Web IDS パーサーとパターン・エンジンのセクションを編集します。

Web アタック・シグニチャーの情報を調整するには、以下のようにします。

1. sig.nefarious ファイルをバックアップします。


3. ファイルの ENGINE PATTERN または ENGINE PARSER セクションに移動します。

4. level1=、level2=、k= の値を調整して、レベルおよび減衰情報を調整します。詳細については、『レベル・カウンターの調整』を参照してください。

5. 新しい値を説明する場合は、コメント行を追加します。各コメント行は、ポンド記号 (#) で始まっていなければなりません。


レベル・カウンターの調整Tivoli Risk Manager の Web IDS は、同一タイプの不審な要求の数を、指定したしきい値レベルを超えるまでカウントします。しきい値を超えると、Web IDS はアラートを発行します。指定および調整できるしきい値レベルは、次のとおりです。

level1=count1

同一のドメインの同一イベント・クラス・タイプの不審な要求の数。level1

値には、level2 の値以上の値を指定する必要があります。

level2=count2

同一のホストの同一イベント・クラス・タイプの不審な要求の数。


使用するしきい値は、同一ドメインか同一ホストかによって異なります。ここでは、www.austin.tivoli.com というホスト名を使用します。

v ドメインは level1 のしきい値 tivoli.com を使用します。

v ホスト名のその他の部分は level2 のしきい値 www および austin を使用します。

level1 または level2 のパラメーター値を調整するには、Web IDS ASCII テキスト・ファイル sig.nefarious を編集してしきい値を指定します。ファイルを変更するには、テキスト・エディターを使用します。最初にこのファイルを編集する場合は、編集を始める前に、オリジナルのファイルのコピーを取ってください。



第 12 章ネットワーク侵入検知システム

ネットワーク侵入検知システム (ネットワーク IDS) は、ネットワーク・ベースの侵入検知センサーです。

ネットワーク IDS メッセージについては、「IBM Tivoli Risk Manager 問題判別ガイド」を参照してください。

ネットワーク IDS は、ネットワーク・トラフィックを listen して、スキャンや実際の侵入アタックなどの悪意あるアクティビティーの兆候を待機します。通常、ファイアウォールの直前または直後にある単一の専用マシンでネットワーク IDS を稼働して、インターネットから受信する侵入試行をモニターします。ネットワーク IDS

は Linux および UNIX ベースのシステム上で稼働します。

ネットワーク上のすべてのノード間のトラフィックをモニターするために、ネットワーク IDS を雑多モードで実行できます。またネットワーク IDS があるサーバーを宛先とするトラフィックのみをモニターする場合、そのサーバー上でネットワーク IDS を非雑多モードで実行することも可能です。単一のノードからのトラフィックをモニターすることが不可能または事実上不可能な交換網や超高速ネットワークの場合、非雑多モードを使用すると便利です。

ネットワーク IDS センサーは、アラートをイベント・サーバーへ送信する 2 つのタイプのオプションをサポートしています。

v エージェントの一部として組み込まれた Tivoli Risk Manager イベント実行依頼API を使用して、アラートを直接送信します。

v syslog にアラートを記録し、イベント・モニターを使用してイベントのキャプチャーおよび転送を実行します。

ネットワーク IDS アラートのロギング用のオプションに関する詳細については、226ページの『ネットワーク IDS アラートおよび情報のロギング』を参照してください。 220ページの図 45 では、ネットワーク IDS アラートをサーバーへ送信するための 2 つのタイプの経路指定オプションについて説明しています。


サポートされるアダプター次の表は、対応ネットワーク・インターフェースまたはデバイスのリストです。

表 17. サポートされるデバイス

サポートされるネットワーク・インターフェースまたはデバイス

説明

イーサネットイーサネットは、ネットワーク標準 IEEE 802.3 です。イーサネットはローカル・エリア・ネットワーク (LAN) 通信で最も広く使用されている規格であり、通常は 10

Mbps で稼働しますが、最近のシステムでは 100 Mbps 転送やギガビット転送も使用されています。

図 45. ネットワーク IDS アラートのサーバーへの送信


表 17. サポートされるデバイス (続き)


説明

FDDI (Fiber Distributed Data

Interface)

FDDI は、ローカル・エリア・ネットワーク内の光ファイバー回線上でのデータ伝送用に米国規格協会 (ANSI) と国際標準化機構 (ISO) がそれぞれ定めた規格を組み合わせたものであり、最大 200km (124 マイル) までの延長が可能です (総延長)。

PPP (Point-to-Point Protocol) PPP は、2 つのコンピューターの間でのシリアル・インターフェースを使用した通信のためのプロトコルです。通常、2 つのコンピューターとは、電話回線で接続されたパーソナル・コンピューターとサーバーを指します。

SLIP SLIP は、互いにあらかじめ通信するように構成された 2

つのコンピューター間の通信に使用される TCP/IP プロトコルです。

トークンリングトークンリング・ネットワークは、すべてのコンピューターがリング型またはスター型トポロジーに接続されているLAN で、同時にメッセージを送信する 2 つのコンピューター間でのデータの衝突を避けるために、2 進数のトークン・パッシング方式が使用されています。

注: ネットワーク IDS の場合、OSA アダプター構成に関して Linux for zSeries では制限がいくつかあります。例えば、雑多モードは Linux for zSeries ではサポートされていません。

次の表は、Linux for zSeries のみについてサポートされる、非雑多モードのネットワーク・インターフェースまたはデバイスのリストです。

表 18. Linux for zSeries でサポートされる非雑多モードのネットワーク・インターフェースまたはデバイス


説明

OSA2 ENTR イーサネット - トークンリング

OSA2 高速イーサネット高速イーサネット 100 ビット/秒

OSA EXPRESS 高速イーサネット非 QDIO モードで構成。CHPID TYPE -

OSE - OSA Express チャネル

次の表は、Linux for zSeries のネットワーク IDS でサポートされないネットワーク・インターフェースまたはデバイスをリストしたものです。

表 19. Linux for zSeries 上の NIDS でサポートされないネットワーク・インターフェースまたはデバイス

ネットワーク・インターフェースまたはデバイス

説明

OSA EXPRESS 高速イーサネット QDIO モードで構成。CHPID TYPE - OSD -

OSA Direct Express チャネル

第 12 章ネットワーク侵入検知システム 221

表 19. Linux for zSeries 上の NIDS でサポートされないネットワーク・インターフェースまたはデバイス (続き)

ネットワーク・インターフェースまたはデバイス

説明

OSA EXPRESS ギガビット・イーサネット

ギガビット・イーサネット 1000 ビット/秒。

OSA ATM あらゆるタイプの ATM。

チャネル間 (CTC) 2 つの Linux イメージ間で稼働する ESCON

ファイバー。

ハイパーソケット同一ハードウェア内における複数のイメージの間のメモリー間接続。

IUCV 同一仮想マシン・イメージ上の 2 つのイメージ間接続。

VLAN 同一仮想マシン・イメージ上での多数のイメージ間接続。

ネットワーク IDS イベント相関ネットワーク IDS は、ネットワークのアクティビティーをモニターし、予想される侵入の既知のパターン (シグニチャー) とそのアクティビティーをマッチングします。ネットワーク IDS はマッチングするものを検出すると、システム・ログへメッセージを書き込みます。Tivoli ログ・ファイル・アダプターがイベントをイベント・サーバーへ送信します。

Tivoli Risk Manager は、ネットワーク IDS イベントを、他のタイプのセンサーから送信されるその他のイベントと関連づけ、Tivoli Risk Manager アドミニストレーターが侵入検知イベント全体を把握できるようにします。

ネットワーク IDS アラートネットワーク IDS で報告されるアラートには以下の情報が含まれています。

v 固有の識別番号

v 重大度レベル

v テキスト記述

ネットワーク IDS は、識別 (ID) 番号を使用してアラートを識別し、区別します。ネットワーク IDS はぜい弱性以外のセキュリティー問題 (構成エラー、バック・ドア、スキャン) をテストするものであり、またネットワーク IDS はアタックを包括的に認識しようとするもので、ID 番号は Common Vulnerability Entry (CVE) 番号に対応しません。

例えば、ネットワーク IDS には一般的なバッファー・オーバーフローを検索する 3

つのタイプのシグニチャーがあります。これらのオーバーフロー・シグニチャーは、多数の CVE 固有のバッファー・オーバーフロー・アタックをキャッチします。ネットワーク IDS は、最初に検出し CVE に登録されていないシグニチャーでも汎用のものとするため、あらゆるバッファー・オーバーフローをキャッチできま


す。シグニチャーが汎用的であるため、ネットワーク IDS ではアタックを受けたバッファー・オーバーフローのぜい弱性を正確に区別することはできません。

多くの場合、アタックが行われることを確実に知ることの方が、どのようなぜい弱性が含まれているかを正確に知ることより重要です。

CVE エントリーに正確に対応しているネットワーク IDS シグニチャーについて、ネットワーク IDS ではレポート・ストリングの先頭に CVE 参照 ID が付いています。それぞれの CVE ID の詳細については、以下を参照してください。

http://csrc.nist.gov/icat

ネットワーク IDS は、重大度レベルを整数で指定します。ゼロ (0) はリスクの重大度が低いことを示し、値が増加するにつれ、より重大な状態を表します。

アラート用の各テキスト記述は、アラートをカテゴリー化するキーワードで始まります。アラートのカテゴリーは以下のとおりです。

キーワード説明

CVE CVE データベースにリストされている特定のぜい弱性。

ALERT CVE にリストされていない一般的なアタック。

DOS 既知のサービス妨害アタック。

SCAN アタックの前の偵察を示すトラフィック・パターン。

CONFIG セキュリティー関連構成エラーを活用しようとする試行。

AUTH アタックを示す可能性のある認証失敗。

BACKDOOR バック・ドア・プログラムのトラフィック。

STEALTH 既知の秘密アタックにおける一般的なトラフィック。

ネットワーク IDS には、検出のカテゴリーが 2 つあります。

組み込みアラート組み込みアラートは、セッションやパケット・データ内の単純なパターンを検索するだけではネットワーク IDS で検出できない状態を扱います。これらのアラートでは、プロトコル内のステートフル相互作用を調べたり、複数のセッションにわたる分析が必要です。ネットワーク IDS ではこれらのテストをハードウェア・コーディングします。これを変更することはできません。

ネットワーク IDS は、これらの組み込みアラート用の出力ストリングと重大度レベルを ids.msg ファイルに指定します。

シグニチャー・ベースのアラートシグニチャー・ベースのアラートでは、ネットワーク IDS は所定のプロトコル・レベルにおけるパケットまたはセッション・データ・ストリーム内の指定パターンを検出します。ネットワーク IDS は、これらのシグニチャーのパターン、アラートの優先順位、および出力メッセージを ids.rules ファイルに指定します。


http://csrc.nist.gov/icat

ネットワーク IDS 用のシグニチャーの作成についての詳細は、以下のTivoli Risk Manager Support Files and Adapters Web サイトから「Network

Intrusion Detection System Language Reference Guide」を参照してください。



Tivoli Risk Manager では、サポート Web サイトで ids.rules ファイルが定期的に更新されているため、このファイルを最新のシグニチャー・ファイルに置き換えることができます。手順については、 225ページの『シグニチャー・ファイルの更新』を参照してください。

ネットワーク IDS の構成ネットワーク IDS は、ローカルで構成することも、Access Control Facility (ACF)

で構成することもできます。

1. 必要に応じて、ids.cfg 構成ファイルを編集します。中央設置場所に構成する場合、ACF を使用してファイルを再配布します。

2. 更新済みのシグニチャー・ファイルが使用可能であれば、必要に応じてシグニチャー・ファイル (ids.rules) を置き換えて更新します。手順については、 225ページの『シグニチャー・ファイルの更新』を参照してください。

3. 構成が完了した後、Tivoli Risk Manager に提供される Tivoli Enterprise Console

タスクを使用してネットワーク IDS を開始します。『ネットワーク IDS アダプターの開始』を参照してください。

ネットワーク IDS の Tivoli Risk Manager タスクTivoli Risk Manager には、Tivoli Risk Manager タスク・ライブラリーという独自のタスク・ライブラリーがあります。Tivoli Risk Manager は、このタスク・ライブラリーをデフォルトの Tivoli Enterprise Console ポリシー・リージョンにインストールします。

Tivoli Risk Manager には、ネットワーク IDS を開始し停止するタスクが含まれています。

ネットワーク IDS アダプターの開始ネットワーク IDS を開始するには、以下のようにします。

1. ネットワーク・インターフェースからパケットを読み取りたい場合、ネットワーク IDS を root として実行しなければなりません。ダンプ・ファイルから読み取る場合、root 権限は不要です。


3. Tivoli Risk Manager タスクの「NIDS_Start_Adapter」をクリックする。

ネットワーク IDS アダプターの停止ネットワーク IDS を停止するには、以下のようにします。





2. Tivoli Risk Manager タスクの「NIDS_Stop_Adapter」をクリックする。

ネットワーク IDS の管理ネットワーク IDS を管理するため、アドミニストレーターは次のタスクを実行できます。

v startnids コマンドによるネットワーク IDS の自動開始

v シグニチャー・ファイルの更新

v 雑多オペレーションのテスト

v IP アドレスの省略

v ホスト名の取得

startnids コマンドによるネットワーク IDS の自動開始ネットワーク IDS には Inittab ファイルへ行を書き込む startnids 開始スクリプトがあるため、ネットワーク IDS はシステムがリブートする前に停止しても自動的に開始します。この自動開始機能により、リブート後でもネットワーク IDS が常に実行することを認識しているユーザーに、特定レベルのセキュリティーを提供できます。

startnids コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

シグニチャー・ファイルの更新Tivoli Risk Manager では、サポート Web サイトでネットワーク IDS シグニチャー・ファイルが定期的に更新されています。

Tivoli 環境のシグニチャー・ファイルを置き換えるには、以下のようにします。

1. ids.rules および他の必要なファイルを以下のサポート Web サイトからダウンロードする。



2. ACF を使用して新バージョンのシグニチャー・ファイルを配布し、旧バージョンのファイルを置き換える。

シグニチャー・ファイルを手動で置き換えるには、以下のようにします。

1. 以下のスクリプトを実行してネットワーク IDS デーモンを停止する。

stopnids

2. ids.rules および他の必要なファイルを以下のサポート Web サイトからダウンロードする。



3. 以下のスクリプトを実行してネットワーク IDS デーモンを再始動する。

startnids






雑多オペレーションのテストすべてのネットワーク・インターフェースが雑多モード・オペレーションをサポートしているわけではありません。特に、一部の ISA や旧式の PCMCIA トークンリング・カードでは雑多探知をサポートしていません。ハードウェアの雑多オペレーションをテストするには、tcpdump コマンドを実行して、ローカル・ホスト間でやりとりされないパケット、およびマルチキャストやブロードキャストではないパケットを検出します。

注: オープン・システム・アダプターは Linux for zSeries で雑多オペレーションをサポートしません。

IP アドレスの省略ネットワーク IDS が受動専用インターフェースで listen すると便利な場合があります。このインターフェースは、パケットを送信しないセグメントでは認識できないインターフェースを意味します。受動専用インターフェースの例としては、インターフェースが外部 (ファイアウォール外) セグメントに受動に接続されており、第 2

のインターフェースが内部セグメントでアクティブな状態でネットワーク IDS アラートをファイアウォール内の Tivoli Risk Manager に報告する場合があります。

ネットワーク IDS を受動インターフェース上で実行するには、インターフェースをアップ・モード用に構成する必要がありますが、インターネット・プロトコル (IP)

アドレスは割り当てません。

ifconfig up コマンドを使用して、IP アドレスの指定を省略してください。インターフェースがアップ・モードである間は、ネットワークでの IP アドレス情報がないため、パケット送信は行われません。ネットワーク IDS は、ダウン・インターフェースでは listen しません。

ホスト名の取得ネットワーク IDS は、センサー・ホストの IP アドレス、および完全修飾されたホスト名 (例 host.company.com) を Tivoli Risk Manager に送信されるアラートへ組み込みます。完全修飾されたホスト名は、Tivoli Risk Manager においてアラートのソース名を固有のものとする上で重要となります。ネットワーク IDS が完全修飾ホスト名を取得できるようにするには、完全修飾名を gethostbyaddr( ) 照会に戻すようにローカルのリゾルバーを構成する必要があります。通常は、代替的にドメイン・ネーム・システム (DNS) またはネットワーク情報サービス (NIS) 照会による場合でも、/etc/hosts ファイル内のローカル・ホストに対して構成を行います。詳細については、resolver man ページを参照してください。また、IP アドレスを完全修飾ホスト名に解決するために、逆 DNS 解決が可能なエージェントに対してこの機能を残すこともできます。

ネットワーク IDS アラートおよび情報のロギングネットワーク IDS は、以下のいくつかの場所にアラートおよびロギング情報を送信できます。

v Syslog

v ローカル・ファイル


v コンソール (標準出力をプロセスに使用)

v Tivoli Risk Manager EIF

これらの宛先の選択をコマンド行、または ids.cfg 構成ファイルで指定できます。ids.cfg ファイルは、デフォルトのロギング・ロケーションを設定します。コマンド nids の -y または -e オプションを使用して syslog または EIF へ強制的に出力するため、あるいは -q オプションを使用してコンソール出力をオフにするために、ids.cfg ファイル内のデフォルトをオーバーライドできます。Tivoli Risk

Manager で使用する場合、通常これらのスイッチを指定して出力を syslog またはEIF に送るようにし、ネットワーク IDS で /usr ディレクトリーに作成されるファイルのサイズが増大しないようにします。ids.cfg ファイル内のデフォルト構成では、情報を Tivoli Risk Manager EIF へ記録します。

nids コマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

Tivoli Risk Manager EIF で使用するためのネットワーク IDS の構成ネットワーク IDS はデフォルトで、Tivoli Risk Manager が提供する単純なイベント実行依頼 API を使用するよう構成されており、フォーマット、要約、およびイベント・サーバーへのトランスポートのためにセンサー・イベントをエージェントに直接渡します。このイベント実行依頼 API は Tivoli Risk Manager EIF で、エージェントの一部として組み込まれます。ネットワーク IDS は、フォーマット情報を含むフォーマット用の XML ファイルを提供します。フォーマット情報は、エージェントによるネットワーク IDS 生成イベントからの情報の抽出および Tivoli Risk

Manager イベントの作成に使用されます。

インストール中、ネットワーク IDS XML ファイルを指定することで、エージェントはネットワーク IDS イベントのフォーマットを使用可能化にするよう構成されます。このファイルは、ネットワーク IDS がインストールされるホストの受信側構成ファイル内でのフォーマットに使用されます。クライアントでは、この構成ファイルは RMINSTDIR/etc/local_only_receiver.conf です。イベント・サーバーまたは分散相関サーバーでは、この構成ファイルは RMINSTDIR/etc/eif_receiver.conf です。

以下は、Linux または UNIX ベースのシステム上でネットワーク IDS を実行しているクライアント用に構成された local_only_receiver.conf の例です。

TransportList=t1t1Type=LOCALONLYSOCKETt1Channels=c1c1ServerLocation=yourserver.comc1Port=5529BufferEvents=NO

EventDefinitions=/opt/RISKMGR/etc/nids.xml# UnmatchedLog=/opt/RISKMGR/persistence/eif_receiver_nids_unmatch.log




以下は、ネットワーク IDS を実行している Linux または UNIX ベースの分散相関サーバーとして構成された eif_receiver.conf の例です。

TransportList=t1t1Type=SOCKETt1Channels=c1c1ServerLocation=yourserver.comc1Port=5539ConnectionMode=connection_orientedBufferEvents=NO

EventDefinitions=/opt/RISKMGR/etc/nids.xml# UnmatchedLog=/opt/RISKMGR/persistence/eif_receiver_nids_unmatch.log



注: UnmatchedLog パラメーターは、XML ファイル内のフォーマット指定と一致しない、ログを記録する場所を指定します。これは、開発やデバッグ目的のみで定義および使用してください。

イベント・モニターと併用するためのネットワーク IDS の構成ネットワーク IDS は、イベントをオペレーティング・システムのログ (Linux および UNIX ベースのシステムの syslog) に送信するように構成できます。イベント・モニターは、このイベントをそれらのシステム・ログからキャプチャーするために使用できます。イベント・モニターは、さまざまなイベント・ソースから情報を抽出し、その情報を Tivoli Risk Manager イベントにフォーマットし、さらにイベントをローカルに転送して要約およびイベント・サーバーに送信するよう設計されています。イベント・モニターは、エージェントの一部としてインストールされ、同じフォーマットのライブラリーをイベント実行依頼 API Tivoli Risk Manager EIF

として使用します。そのため、フォーマット設定に使用された同じネットワークIDS XML ファイルを使用します。

オペレーティング・システムのシステム・ログ・ファイルにイベントを記録するようにネットワーク IDS を構成するには、次のようにします。

1. nids コマンドを -y オプションで使用するか、ids.cfg ファイルを編集して適切な変更を加えます。

ネットワーク IDS イベントをキャプチャーするためのイベント・モニターの構成

システム・ログからネットワーク IDS イベントをキャプチャーするようにイベント・モニターを構成するには、「IBM Tivoli Risk Manager アダプター・ガイド」から、 Tivoli Risk Manager イベント・モニター構成ウィザードを使用したイベント・モニターのインスタンスの定義方法と、イベント・モニター構成パラメーターに関する説明を参照してください。

ウィザードを使用したイベント・モニターの構成イベント・モニターを Linux または UNIX ベースのシステムにインストールする場合、次の情報が必要です。


表 20. 必要情報 - ネットワーク侵入検知システム - Linux および UNIX ベースの syslog を使用したロギング


説明推奨値


tivoliNIDS

イベント・ソース・タイプイベント・モニターのタイプ。

Logfile


/var/adm/messages



$RMADHOME/etc/nids.xml



$RMADHOME/etc/tivoliNIDS.conf


10




イベント・モニターの手動構成イベント・モニターを手動で構成してネットワーク IDS イベントをキャプチャーするには、次のようにします。

1. フォーマットに使用されるネットワーク IDS XML ファイルが、ディレクトリー RMINSTDIR/etc にインストール済みであることを確認します。

v Linux および UNIX ベースのシステムでは nids.xml です。

2. イベント・モニター構成ファイル monitor_receiver_nids.conf をディレクトリー RMINSTDIR/etc に作成し、以下を追加します。


RMMonitorList=A1A1Type=LOGFILEA1PollingInterval=10A1Source=/var/log/messagesA1EventDefinitions=/opt/RISKMGR/etc/nids.xml#A1UnmatchedEventLog=/opt/RISKMGR/persistence/monitor_receiver_nids_unmatch.logA1ID=nidsA1CrcByteCount=50

ここで、Source は syslogd のログ・ファイルを指します。

注: UnmatchedLog パラメーターは、XML ファイル内のフォーマット指定と一致しないログを記録する場所を指定します。これは、開発やデバッグ目的のみで定義および使用してください。




<source name="monitor_receiver_webids"class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaMonitorReceiver"><set key="RMA_conf" value="/opt/RISKMGR/etc/monitor_receiver_nids.conf"/>

</source>


<source name="monitor_receiver_webids"class="com.tivoli.RiskManager.Agent.Transports.Receivers.rmaMonitorReceiver"><set key="RMA_conf" value="C:¥IBM¥RISKMGR¥etc¥monitor_receiver_nids.conf"/>

</source>


クライアント:

<connector><from name="monitor_receiver_nids"/><to name="summarization"/>

</connector>

分散相関サーバーまたはイベント・サーバー:

<connector><from name="monitor_receiver_nids"/><to name="correlation"/>

</connector>

5. エージェントを再始動するか、wrmadmin コマンドを使用して、追加したイベント・モニターを開始します。

wrmadmin -r monitor_receiver_nids

注: ネットワーク IDS とともに Solaris システム上でイベント・モニターを使用する場合、メッセージ ID オプションを使用不可にする必要があります。msgid=0

が /kernel/drv/log.conf ファイルに設定されていることを確認します。ネットワーク IDS がイベントを Tivoli Risk Manager EIF API に送信するように構成されている場合は、/kernel/drv/log.conf ファイル内の msgid 設定値は関係ありません。

nids コマンドネットワーク IDS を手動で開始、またはその他オプションを使用するには、以下の構文で nids コマンドを使用します。このコマンドの使用方法については、「IBM



付録 A. Event Integration Facility の送信側および受信側のキーワード

このセクションには、イベントを送受信するためのエージェント構成ファイルを構成するのに使用するキーワードに関する参照情報があります。これらの構成ファイルは、マスター・エージェント構成ファイルの rmagent.xml ファイルで参照されます。Event Integration Facility (EIF) の送信側および受信側の RMA_conf 値として指定されている構成ファイルは、以下で説明するキーワードを使用できます。特に、以下と関連する rmagent.xml のセクションに適用されます。

v クラス名「com.tivoli.RiskManager.Agent.Transports.Receivers.rmaEifReceiver」のソース

v クラス名「com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender」の宛先

Tivoli Risk Manager は Tivoli Enterprise Console サーバーの EIF を使用してイベントを送受信します。このセクションにある情報はイベント・サーバーの EIF 機能を反映したもので、Tivoli Risk Manager 環境で使用するように調整されています。例えば、資料が「アダプター」について述べている場合、それはサーバーの Event

Integration Facility を使用しているイベントを送受信するアプリケーションなので、エージェントは「アダプター」です。

本書で述べていない他の EIF 構成パラメーターについては、「IBM Tivoli Event

Integration Facility ユーザーズ・ガイド」を参照してください。

キーワードキーワードは、keyword=value のフォーマットを使用します。

キーワード・ステートメントにブランク・スペースを使用する場合は単一引用符で囲んでください。 BAROC ファイルに定義されていないクラス名を構成オプションと一緒に使用してはなりません。

注: Tivoli Risk Manager は、キーワードのミススペルや有効でない値を設定したキーワードに対してエラー・メッセージを発行しません。

構成ファイルには以下のキーワードが含まれています。

BatchCount=number

宛先への 1 回のバッチで送信するイベントの数を指定します。

BufEvtMaxSize=kilobytes

イベント送信側または受信側用のキャッシュ・ファイルの最大サイズをキロバイト単位で指定します。デフォルト値は 64KB です。BufferEvents キーワードが YES に設定されている場合、キャッシュ・ファイルはイベントをディスクに格納します。ファイルの最小サイズは 8KB です。これより低く指定したファイル・サイズは無視され、8KB が使用されます。ファイル・サイズの上限はありません。


注: キャッシュ・ファイルがすでに存在する場合、BufEvtMaxSize の最大サイズを変更した場合は、キーワード変更を反映させるためにキャッシュ・ファイルを削除しなければなりません。

BufEvtMaxSize キーワードはオプションです。

BufEvtPath=pathname

イベント送信側または受信側用のキャッシュ・ファイルの絶対パス名を指定します。 BufferEvents=YES の場合、Tivoli Risk Manager はイベント送信側および受信側のイベント・キャッシュ・ファイルを Tivoli Risk Manager

RMINSTDIR¥persistence ディレクトリー内に自動的に作成します。デフォルトでは、 BufferEvents=NO です。イベント・キャッシュ・ファイルの位置の変更 (および BufferEvents=YES と変更すること) の必要がない限り、BufEvtPath パラメーターを指定する必要はありません。

注: イベント送信側および受信側のキャッシュのデフォルト位置を指定変更するのに BufEvtPath を使用する場合、各イベント送信側および受信側が別のキャッシュ・ファイルにあることが重要です。キャッシュ・ファイルが複数のイベント・ハンドラー (受信側および送信側) で共有されている場合、動作は保証されません。

BufferEvents=YES | MEMORY_ONLY | NOイベント・バッファリングを使用可能にする方法を指定します。BufferEvents が YES に設定されている場合、イベントは BufEvtPath キーワードに指定されているファイルに格納されます。BufEvtPath が指定されていない場合、Tivoli Risk Manager は適切なキャッシュ・ファイルをTivoli Risk Manager の RMINSTDIR/persistence ディレクトリーに作成します。BufferEvents が MEMORY_ONLY に設定されている場合、イベントはメモリー内にバッファーされます。キーワードが NO に設定されている場合、イベントはバッファーに格納されません。

この値には大文字小文字の区別はありません。デフォルト値は NO です。このキーワードはオプションです。

BufferFlushRate=events_per_minute

分ごとに送信されるイベント数を指定します。切断された接続が回復され、バッファー内にイベントがある場合は、イベントは毎分当たりこの速度で送信されます。デフォルト値はゼロ (0) で、すべてのイベントは 1 つのバースト単位で送信されます。

BufferFlushRate キーワードはオプションです。

ConnectionMode=connection_oriented | connection_lessイベント・サーバーまたは IBM Tivoli Enterprise Console ゲートウェイに接続するために使用する接続モードを指定します。有効な値はconnection_oriented (またはその省略形 CO および co) およびconnection_less です。Tivoli Risk Manager のデフォルト値はconnection_oriented または CO です。

connection_less を指定すると、送信されるイベントごとに新規の接続が確立され (次いで廃棄され) ます。connection_oriented または省略形の 1 つを指定すると、接続は初期化時に確立され、送信されるすべてのイベントの


ために保持されます。新規の接続は、初期接続が失われた場合にのみ確立されます。接続は、Tivoli Risk Manager エージェントが停止すると廃棄されます。

ConnectionMode キーワードはオプションです。

Filter イベントをフィルター操作する方法を決定するには、FilterMode キーワードと連動します。イベントが Filter ステートメントとマッチングするのは、Filter ステートメントの各 attribute=value のペアがイベントの対応するattribute=value のペアと等しい場合です。

Filter ステートメントには、イベント・クラスの指定が必要です。また、イベント・クラスのために定義された他のすべての attribute=value ペアを指定することもできます。フィルター・ステートメントの形式は、次の通りです。

Filter:Class=class_name;[attribute=value;...;attribute=value]

各ステートメントは単一の行でなければなりません。attributre=value のペアは大文字小文字の区別があります。このキーワードはオプションです。

LogFileName=pathname

Java API に対するログ・ファイルの絶対パス名を指定します。ファイルのデフォルトのロケーションは、$TIVOLIHOME/tec/eif.log です。

UseStateCorrelation=YES の場合、LogFileName キーワードは、保管する状態相関のログ・ファイルのパスも定義します。 Tivoli Event Integration

Facility は、指定したファイル名に prefix _sc を追加します。プレフィックスにより、Java API のログ・ファイルと状態相関のログ・ファイルが識別されます。パスのデフォルト値は、$TIVOLIHOME/tec/eif_sc.log です。

無効なパス名を指定すると、API は次のエラーを戻します。

LOG0014E Unable to open the handler output file <filename>.java.io.FileNotFoundException:<filename> (The system cannot findthe path specified)

このキーワードはオプションです。

LogLevel=level

Java API がログ・メッセージを生成するかどうかを指定します。デフォルトでは、メッセージは生成されません。メッセージを生成するには、ALL

を指定します。その他の値を指定した場合、または値を指定しなかった場合、API はメッセージを生成しません。


MaxPacketSize=bytes

BufferFlushRate で指定した速度で送信されるバイト数を指定します。デフォルト値はゼロ (0) で、同時に送信されるのは 1 イベントです。

RmadLogging=YES | NOTivoli Risk Manager EIF API のトレースを可能にするために、rmad.conf

ファイル内で RmadLogging=YES と指定します。デフォルトで NO に設定されています。

付録 A. Event Integration Facility の送信側および受信側のキーワード 233

RMAgentSenderRetryInterval=seconds宛先サーバーが使用できない場合の再試行間の秒数を指定します。これはEvent Integration Facility を使用してイベント・サーバーへイベントを送信する Tivoli Risk Manager エージェント送信側コンポーネント、およびイベントを (リレーショナル・データベース内の) Tivoli Risk Manager アーカイブ表に挿入する送信側の再試行速度を制御するのに使用します。EIF 送信側の場合、デフォルト値は 30 秒です。データベース送信側の場合、デフォルト値は 120 秒です。

これは、サーバーが使用できない際、BufferEvents=no、ConnectionMode=co で、EIF がイベントをキャッシュしない場合に便利です。

注: デフォルトで、エージェントは RetryInterval をRMAgentSenderRetryInterval と同じ値に設定します。

RMAgentSenderRetryAttempts=integer宛先サーバーが使用できない場合のイベント送信の再試行数を指定します。再試行間の秒数は RMAgentSenderRetryInterval パラメーターで指定します。指定した試行数の後に Tivoli Risk Manager エージェントが正常にイベントを転送できない場合、イベントはエージェント・キュー内に残り、エージェントはキュー内の次のイベントを処理します。デフォルト値はゼロ (0) で、再試行数は無制限です。

ServerLocation=host

イベント・サーバーをインストールするホストの名前を指定します。このフィールドの値は表 21 で示したもののいずれかでなければなりません。これはイベント・プロトコル、およびイベント・サーバーが相互接続 Tivoli

管理リージョンの一部であるかどうかによって異なります。

表 21. ServerLocation キーワード用形式

プロトコルフォーマット

TME @EventServer

相互接続 Tivoli 管理リージョン内の TME

@EventServer#region_name

非 TME (SOCKET または SSL) host_name または IP_address。IP_address にはドット形式を使用します。

管理対象ノードおよびアダプターの TME アダプターの場合、ServerLocation にはコンマで区切った値を 8 つまで入れることができます。最初の場所は 1 次イベント・サーバーで、2 番目以降の場所は 1 次サーバーがダウンしているときに指定した順番で使用される 2 次サーバーです。

エンドポイント・アダプターの場合、2 次イベント・サーバーがある場合はIBM Tivoli Enterprise Console ゲートウェイ構成ファイル内に定義されています。エンドポイント・アダプターに対して、1 次イベント・サーバーのみを構成ファイルに指定します。

ServerLocation キーワードはオプションで、TransportList キーワードが指定されている場合は使用しません。


注: ServerLocation は、TestMode=YES と共に使用する場合、イベント・サーバーではなくロギング・イベント用のパスとファイル名を定義します。

ServerPort=number

イベント・サーバーまたはゲートウェイがイベントを listen するポート番号を指定します。

イベント・サーバーが UNIX システムで稼働する Tivoli Enterprise Console

サーバーで portmapper サービスをアクティブにしている場合、このキーワード値をゼロ (0) に設定できます。ただし、Tivoli Risk Manager 4.1 サーバーが Tivoli Enterprise Console サーバーで稼働していて接続が非 TME ソケット・ベースの場合、デフォルトの Tivoli Risk Manager エージェント・ポート値を 5539 に指定することを推奨します。これは、イベントをイベント・サーバーを通してエージェントへ経路指定するより効率的です。

イベント・サーバーが Windows システムで稼働している Tivoli Enterprise

Console サーバーの場合、アダプターが実行時に受信ポートを照会できるようにする portmapper サービスはありません。Tivoli Enterprise Console サーバーは、非 TME 接続でデフォルトが 5529 の固定ポート (.tec_conf ファイル内の tec_recv_agent_port) を listen します。ただし、Tivoli Risk

Manager 4.1 サーバーが Tivoli Enterprise Console サーバーで稼働していて接続が非 TME (ソケット・ベース) の場合、エージェント・ポート値を5539 に指定することを推奨します。これは、イベントをイベント・サーバーを通してエージェントへ経路指定するより効率的です。

非 TME 接続が使用されていて、リモート・イベント・サーバーが以下のいずれかであった場合、(非デフォルト・ポートがイベント・サーバーで使用されていない限り) デフォルト・ポートの 5529 を使用することを推奨します。

v Tivoli Risk Manager 分散相関エンジン

v Tivoli Risk Manager ゲートウェイ

v Tivoli Availability Intermediate Manager

SSL ベースの接続を使用していて、リモート・イベント・サーバーが以下のいずれかの場合、(非デフォルト・ポートがイベント・サーバーで使用されていない限り) デフォルト・ポートの 5549 を使用することを推奨します。

v Tivoli Risk Manager Tivoli Enterprise Console サーバー

v Tivoli Risk Manager 分散相関エンジン

v Tivoli Risk Manager ゲートウェイ

ServerPort キーワードは、TransportList キーワードが指定されている場合は使用されません。

TestMode=YES | NOテスト・モードが on か off かを指定します。TestMode=YES の場合、ServerLocation キーワードは、イベントがイベント・サーバーへ送信されるかわりに記録されるファイルを指定します。有効な値は YES および NO

で、大文字小文字の区別はありません。デフォルトは NO です。


TestMode キーワードはオプションです。

TraceFileName=pathname

Java API に対するトレース・ファイルの絶対パス名を指定します。ファイルのデフォルトのロケーションは、$TIVOLIHOME/tec/eif.trc です。

UseStateCorrelation キーワードを YES に設定した場合、TraceFileName キーワードは、状態相関のトレースを保管するパスも定義します。 Tivoli Event Integration Facility は、指定したファイル名にプレフィックスを追加します。プレフィックスにより、Java API のトレース・ファイルと状態相関のトレース・ファイルが識別されます。パスのデフォルト値は、$TIVOLIHOME/tec/eif_sc.trc です。

無効なパス名を指定すると、API は次のエラーを戻します。

LOG0014E Unable to open the handler output file <filename>.java.io.FileNotFoundException: <filename> (The system cannot findthe path specified)


TraceLevel=level

Java API がトレース・メッセージを生成するかどうかを指定します。デフォルトでは、メッセージは生成されません。メッセージを生成するには、ALL を指定します。その他の値を指定した場合、または値を指定しなかった場合、API はメッセージを生成しません。


TransportList=type_name...

使用されるトランスポート機構の、ユーザーの用意する名前を指定します。イベントを送信する際、前のトランスポート機構に障害が発生した場合、指定された順番でトランスポート機構が使用されます。イベントを受信する際、すべてのトランスポート機構はクリアされた後に使用されます。

このキーワードはオプションです。type_name のトランスポートのタイプとチャネルは、Channels および Type キーワードで指定します。

type_nameChannels=channel_name...

TransportList キーワードで指定されるトランスポート機構が使用する、ユーザーの用意するチャネルの名前を指定します。

このキーワードは必須です。

type_nameType=LCF | SOCKET | TME | SSL | LOCALONLYSOCKETTransportList キーワードで指定されるトランスポート機構のトランスポート・タイプを指定します。

タイプ SOCKET および SSL はいずれのシステムでも使用できます。TME 送信イベント・プロトコルをエンドポイントで使用している場合に LCF の Type 値が使用されます。TME の Type 値は、Tivoli

Enterprise Console サーバーへイベントを送信するために Tivoli

Risk Manager がインストールされている場合のみ Tivoli Risk

Manager で使用されます。TME が使用される場合、TMEHost、TMEPassword、および TMEUserID も指定されなければなりません。


このキーワードは、TransportList が使用されている場合に必要です。

各 channel_name 用のサーバーおよびポートは、ServerLocationおよび Port キーワードで指定されます。指定した Type によって、以下のキーワードを 1 つ以上使用します。

channel_namePort=number

トランスポート機構サーバーが (Channel キーワードで指定した)

チャネル用に listen するポート番号を指定します。channel_nameポート・パラメーターを使用してポート・パラメーターの使用情報を見てください。

channel_name ServerLocation=server[region]トランスポート機構サーバーが (Channel キーワードで指定した)

チャネル用に位置しているイベント・サーバー名とリージョンを指定します。このキーワードは、Type キーワードが TME、LCF、SOCKET、LOCALONLYSOCKET、または SSL に設定されている場合に必要です。server フィールドおよび region フィールド内のフォーマットについては、 234ページの表 21 を参照してください。

channel_nameSSLCipherList=cipherList

SSLSecurityLevel に関連した設定をオーバーライドする、暗号スイートの明示的リストを指定します。SSLCipherList に関連したSSLCipher のインスタンスは、使用可能な暗号スイートのリストを明示的に指定するのに使用します。使用可能な暗号のリストについては、240 ページの『SSLCipher』を参照してください。

channel_nameSSLKeystoreSSL 鍵ストア・ファイルのパス。このファイルは、一般的に秘密鍵などの個人証明書を保管するのに使用します。

channel_nameSSLKeystorePWSSL 鍵ストア・ファイルのパスワードを指定します。ここで指定されるパスワードは平文です。また Tivoli Risk Manager には、暗号化されたパスワードを保管し検索する機能があります。Tivoli Risk

Manager ユーティリティーは、平文のパスワードを取得し、暗号化して、stash ファイルに保管するためのものです。

channel_nameSSLKeystorePWFileSSLKeystore パラメーターで指定される、SSL 鍵ストアへのアクセスに使用する暗号化されたパスワードを含む stash ファイルへのパスを指定します。鍵ストア・ファイル内のパスワードを変更するか、あるいは異なる鍵ストア・ファイルを使用する場合、鍵ストア・ファイル内の暗号化されたパスワードをリセットする必要があります。新規パスワードを暗号化された形で保管するには、wrmstashpw コマンドを使用します。このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

channel_nameSSLRequireClientAuthenticationサーバー・サイドのサポート用に、接続にクライアント認証を含めるか否かを指定します。


v NO - クライアントは認証情報を提供する必要がありません (デフォルト)。

v YES - クライアントは認証情報を提供しなければなりません。

channel_nameSSLSecurityLevelIBM JSSE プロバイダーと連動して EIF SSL クライアントまたはサーバーで使用される暗号保護のレベルを指定します。便宜上、保護のレベルは以下の値を使用して 3 つの機密区分にグループ化されます。

v 高

v 中

v 低

SSLSecurityLevel (と SSLCipherList) が指定されない場合、暗号保護レベルはデフォルトで「高」になります。「高」に設定されてEIF SSL の構成がクライアントまたはサーバーのいずれかの場合、以下の暗号スイートが使用可能です。

v SSL_RSA_WITH_RC4_128_MD5

v SSL_RSA_WITH_RC4_128_SHA

v SSL_ RSA_WITH_3DES_EDE_CBC_SHA

v SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

v SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

「中」に設定されて EIF SSL の構成がクライアントまたはサーバーのいずれかの場合、以下の暗号スイートが使用可能です。

v SSL_RSA_EXPORT_WITH_RC4_40_MD5

v SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

v SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5

v SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA

v SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

「低」に設定されて EIF SSL がサーバーの場合、以下の暗号スイートが使用可能です。これらのスイートはペイロードを暗号化しませんが、ペイロードが通過中に変更されていないことを確認するために完全性チェックを実行します。

v SSL_RSA_WITH_NULL_MD5

v SSL_RSA_WITH_NULL_SHA

v SSL_DH_anon_WITH_RC4_128_MD5

v SSL_DH_anon_WITH_DES_CBC_SHA

v SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

v SSL_DH_anon_EXPORT_WITH_RC4_40_MD5

v SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA

「低」に設定されて、EIF SSL の構成がクライアントの場合、以下の暗号スイートが使用可能です。これらのスイートはペイロードを


暗号化しませんが、ペイロードが通過中に変更されていないことを確認するために完全性チェックを実行します。

v SSL_RSA_WITH_NULL_MD5

v SSL_RSA_WITH_NULL_SHA

channel_nameSSLTruststoreSSL トラスト保管ファイルへのパスです。このファイルは、一般的に、サーバー証明書の署名者がトラストされるか否かを指定する署名者の証明書を保管するのに使用します。トラスト・ファイルは、組織が接続を許可した署名者を管理するのに役立ちます。これにより、クライアントおよびサーバーは (秘密鍵などの) 個人証明書を鍵ストア・ファイルに保管し、またそのすべての署名者をトラスト保管ファイルに保管できます。指定されない場合、SSLTruststoreは SSLKeystore に関連した値に設定されます。

channel_nameSSLTruststorePW=password

SSL トラスト保管ファイルのパスワードを指定します。ここで指定されるパスワードは平文です。Tivoli Risk Manager には、暗号化されたパスワードを保管し検索する機能があります。Tivoli Risk

Manager ユーティリティーは、平文のパスワードを取得し、暗号化して、stash ファイルに保管するためのものです。

channel_nameTMEHost=hostname

Java API の場合のみ、イベント・サーバーが位置するホスト名と管理対象ノードを指定します。これは、Type キーワードが TME に設定されている場合に必要なキーワードです。

channel_nameTMEPassword=password

エージェントから Tivoli Enterprise Console サーバーへ TME プロトコルを使用してイベントを送信するのに使用する平文のパスワードを指定します。デフォルトで、Tivoli Risk Manager はキーワードを使用しません。パスワードは stash ファイルに暗号化された形で保管されます。詳細については TMEPasswordFile を参照してください。このキーワード、あるいは代わりの TMEPasswordFile は、Type キーワードが TME に設定されている場合に必要です。

channel_nameTMEPasswordFile=pathname

TME プロトコルを使用して、エージェントから Tivoli Enterprise

Console サーバーへ送信するために使用する暗号化されたパスワードが含まれている stash ファイルへのパスを指定します。この接続を行うために使用されているパスワードを変更する場合、TME パスワード stash ファイル内の暗号化されたパスワードをリセットする必要があります。新規パスワードを暗号化された形で保管するには、wrmstashpw コマンドを使用します。このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

channel_nameTMEPort=number


Console サーバーへイベントを送信するのに使用するポート番号を指定します。このオプションのキーワード用のデフォルト値は 94


です。このキーワードは、Type キーワードが TME に設定されている場合にデフォルトを指定変更するのに使用します。

channel_nameTMEUserID=name


Console サーバーへイベントを送信するのに使用する TME アドミニストレーター ID を指定します。user 役割を持った TME アドミニストレーターであれば十分です。Tivoli Risk Manager 環境では、このパラメーターは供給されたユーザー ID を参照するために、インストール中に自動的に設定されます。これは、Type キーワードが TME に設定されている場合に必要なキーワードです。

cipher_listSSLCipher=cipher

SSLCipherList に関連したリスト内に特定の暗号スイートを指定します。IBM JSSE プロバイダーを使用する場合、SSLSecurityLevelの資料に記載されているすべての暗号スイートに加えて、以下の暗号スイートも使用可能です。

v SSL_IBM_DH_EKE_EXPORT_WITH_RC4_40_MD5

v SSL_IBM_DH_EKE_EXPORT_WITH_DES40_CBC_SHA

v SSL_RSA_WITH_IDEA_CBC_SHA

v SSL_IBM_DH_EKE_WITH_RC4_128_MD5

v SSL_IBM_DH_EKE_WITH_DES_CBC_SHA

v SSL_IBM_DH_EKE_WITH_3DES_EDE_CBC_SHA


付録 B. データベース・アーカイブ構成

このセクションには、データベース・アーカイブ構成ファイル用のキーワードに関する参照情報があります。データベース・アーカイブに必要な 2 つの構成ファイルは以下のとおりです。

v db_sender.conf

v rmclasspath.conf

データベース・アーカイバーは、以下のクラス名を持つ宛先として rmagent.xml 内に定義されています。

classname="com.tivoli.RiskManager.Agent.Transports.Senders.rmaArchiveDBSender"

また RMA_conf パラメーターで定義された構成ファイルもあります。デフォルトのデータベース・アーカイブ構成ファイルは RMINSTDIR/etc/db_sender.conf です。このファイルは、Tivoli Risk Manager アーカイブ表を含むデータベースに接続するためにエージェントで必要なパラメーターで構成されなければなりません。パラメーターは以下のセクションで説明しています。

データベース・アーカイバーキーワードデータベース・アーカイブ構成ファイルには、以下のキーワードが含まれています。

ArchiveDBUserid=useridアーカイブ・データベース・ユーザー ID。

ArchiveDBPasswordFile=passwordfilename

データベース・ユーザーの stashed パスワード。

ArchiveDBType= DB2 | ORACLE | MSSQL | SYBASEデータベース・タイプを指定。

ArchiveDBPort=databaseportnumber

データベースと通信するために JDBC で使用されるポート。各データベースのデフォルト値は共通です。

ArchiveDBName=databasename

Tivoli Risk Manager イベントを保管するために使用するデータベース名。多くのインスタンスでは、イベントのアーカイブ用に別のデータベースを作成する場合を除いて、Tivoli Enterprise Console データベースを使用できます。データベースは Tivoli Risk Manager インストールを実行する前に作成されていなければなりません。

ArchiveDBDescriptionXML=XMLfilename

アーカイブ・データベース・エントリーを記述する XML ファイル。デフォルト値は RMINSTDIR/etc/archive_db.xml です。

ArchiveDBDriver=JDBCdrivername

使用される JDBC ドライバー。


DB2:

COM.ibm.db2.jdbc.net.DB2Driver

Oracle:

oracle.jdbc.driver.OracleDriver

Microsoft SQL:

Microsoft ドライバー用の例を以下に示します。

com.microsoft.jdbc.sqlserver.SQLServerDriver

DataDirect ドライバー用の例を以下に示します。

com.ddtek.jdbc.sqlserver.SQLServerDriver

Avenir ドライバー用の例を以下に示します。

net.avenir.jdbc2.Driver

Sybase:

デフォルトの Sybase ドライバー用の例を以下に示します。

com.sybase.jdbc2.jdbc.SybDriver


com.ddtek.jdbc.sqlserver.SybaseDriver

ArchiveDBHostName=hostname

データベースが常駐するホスト名。

ArchiveJDBCUrl=UrlstringJDBC 接続 URL。これは、MSSQL および Sybase で使用されます。

Microsoft SQL:


jdbc:microsoft:sqlserver://acme.com:1433


jdbc:datadirect:sqlserver://acme.com:1433

Avenir ドライバー用の例を以下に示します。

jdbc:avenirdriver://acme.com:1433

Sybase:

デフォルトの Sybase ドライバー用の例を以下に示します。

jdbc:sybase:Tds:acme.com:4100


jdbc:datadirect:sybase://acme.com:5000


JDBC CLASSPATH 設定JDBC ドライバーを機能させるために、エージェントがドライバー・クラス・ファイルの位置を認識する必要があります。情報は rmclasspath.conf ファイル内にあり、データベース・ドライバーを含む JAR または ZIP ファイルを示します。

DB2:

$DB2PATH/java12/db2java.zip

Oracle:

$ORACLE_HOME/jdbc/lib/classes111.zip

Microsoft SQL:


C:¥temp¥mssqlserver.jar;C:¥temp¥msutil.jar;C:¥temp¥msbase.jar


C:¥temp¥sqlserver.jar;C:¥temp¥base.jar;C:¥temp¥util.jar

Sybase:

C:¥sybase¥jConnect-5_2¥classes¥jconn2.jar

付録 B. データベース・アーカイブ構成 243


付録 C. Secure Socket Layer (SSL) の概要と iKeyman

今日の電子ビジネス環境では、プライバシーとセキュリティーはこれまで以上に重要な概念です。あらゆるビジネスにおいて、インターネットのような公開された通信ネットワークに対してセキュリティーを考慮しておく必要があります。Web サイトを保護するだけでは不十分なので、Web サイト間の通信を保護して外部から不正に閲覧されないようにする必要があります。ユーザー同士が機密保護機能のある環境を持ち、安心してビジネスを行えるようにする必要があります。

本付録では、Secure Socket Layer (SSL) の概念を説明します。SSL は、ディジタル証明書を使用して Tivoli Risk Manager の通信セキュリティーを実現します。ディジタル証明書については、『ディジタル証明書』で詳しく説明されています。

Secure Socket Layer (SSL) の概要セキュアな通信には暗号化が必要です。SSL はこの暗号化を提供し、通信可能な接続を保護します。

SSL は、Netscape Communications 社と RSA Data Security 社によって共同開発されました。世界中の多くの企業が SSL を通信プロトコルとして採用してきました。実際に、オンライン・バンキングなどのインターネットによる多くの金融トランザクションは、SSL を使用して処理されています。

ディジタル証明書は SSL の重要なコンポーネントなので、本付録は次のセクションで構成されています。

v 『ディジタル証明書』

v 252ページの『SSL の機能』

v 255ページの『Tivoli Risk Manager および SSL』

v 259ページの『Keytool によるディジタル証明書の管理』

v 261ページの『iKeyman によるディジタル証明書の管理』

ディジタル証明書ディジタル証明書によって、エンティティーの固有の識別が可能です。ディジタル証明書とは、基本的に、トラストできる相手によって発行される電子 ID カードです。ディジタル証明書を使用することにより、ユーザーは、証明書の発行先と発行者を検証できます。

ディジタル証明書は、SSL によって公開鍵の暗号方式に使用される機能です。公開鍵の暗号方式には、秘密鍵と公開鍵の 2 つの異なる暗号鍵が使用されます。公開鍵の暗号方式は、1 つの鍵を使用して情報を暗号化し、それを指定した公開鍵と秘密鍵のペアの補数鍵で暗号化解除できるため、非対称暗号方式とも呼ばれます。

公開鍵と秘密鍵のペアは、ユーザーの暗号化構造に鍵として機能するデータを単に長ストリングで表したものです。ユーザーは、秘密鍵を保護された場所に保管し(例えば、コンピューターのハード・ディスク上に暗号化するなど)、通信する相手に


公開鍵を提供します。秘密鍵は、ユーザーから送信されたすべてのセキュアな通信をディジタル署名するために使用されます。公開鍵は、受信側が送信側の署名を検証するために使用されます。

公開鍵の暗号方式はトラスト関係で成り立っており、公開鍵の受信側はその鍵が不審な人物ではなく送信側のものであるという信頼性が必要になります。ディジタル証明書はその信頼性を提供します。

ディジタル証明書には、所有者の ID を確立し、所有者の公開鍵を使用可能にするという 2 つの目的があります。ディジタル証明書は、トラストできる権限者 (認証局 (CA)) によって発行され、発行時間に制限があります。有効期限が切れた場合は、ディジタル証明書を置き換える必要があります。

ディジタル証明書のフォーマットディジタル証明書には、証明書の所有者の ID と認証局に関する次のような特定の情報が含まれています。

v 所有者の識別名。識別名は、所有者の共通名と、それに対応するディレクトリー・ツリー内のコンテキスト (位置) の組み合わせで表します。例えば、 247ページの図 46 に示される簡単なディレクトリー・ツリーの場合、LaurenA が所有者の共通名で、コンテキストが OU=Engnring.O=XYZCorp ならば、識別名は次のように表します。

.CN=LaurenA.OU=Engnring.O=XYZCorp

v 所有者の公開鍵。

v ディジタル証明書の発行日。

v ディジタル証明書の有効期限が切れる日。

v 発行者の識別名。これは、認証局 (CA) の識別名です。

v 発行者のディジタル・シグニチャー


248ページの図 47 は、一般的なディジタル証明書のレイアウトを示しています。

図 46. ディレクトリー・ツリーの簡略図

付録 C. Secure Socket Layer (SSL) の概要と iKeyman 247

ディジタル証明書に関するセキュリティーの考慮事項公開鍵を含むディジタル証明書を他人に送信する場合、送信相手がディジタル証明書を悪用し所有者本人となるのを防ぐには、秘密鍵を使用します。

ディジタル証明書自体がユーザーの ID の証明になることはありません。ディジタル証明書では、ディジタル証明書の所有者のディジタル・シグニチャーを検査するのに必要な公開鍵を含むことによってディジタル証明書の所有者の ID を確認することしかできません。したがって、ディジタル証明書の所有者は、ディジタル証明書内の公開鍵が属する秘密鍵を保護する必要があります。秘密鍵が奪取される、それを奪取した者はそのディジタル証明書の所有者本人になることができます。秘密鍵がなければ、ディジタル証明書は悪用できません。

認証局と trust 階層トラストはディジタル証明書において非常に重要な概念です。各組織やユーザーは、トラストできる認証局を判断する必要があります。

公開鍵の知識を要するセキュリティー・サービスを使用するユーザーは、通常、要求された公開鍵を含むディジタル証明書を取得しその妥当性を検証する必要があります。リモートのユーザーからディジタル証明書を受信しても、ディジタル証明書の認証性に関する保証はありません。受信したディジタル証明書が正しいことを確認するには、受信側は、ディジタル証明書を発行した認証局の公開鍵が必要です。

図 47. ディジタル証明書の簡易レイアウト


公開鍵のユーザーが、ディジタル証明書に署名が入った認証局の公開鍵の保証コピーを持たない場合は、公開鍵を取得するために追加のディジタル証明書が必要になる場合があります。通常、1 つの認証局によって署名された公開鍵の所有者 (エンド・エンティティー) のディジタル証明書と、オプションとして別の認証局によって署名された、1 つまたは複数の追加のディジタル証明書で構成された複数のディジタル証明書のチェーンが必要になる場合があります。図 48 は、trust チェーンを示しています。

対象となるディジタル証明書を受信側に送信する多くのアプリケーションでは、ディジタル証明書のみでなく、最初のディジタル証明書からルート CA までを検証するのに必要なすべての CA のディジタル証明書を送信することに注意してください。

trust チェーンは、ルート CA から開始されます。ルート CA のディジタル証明書には自己署名が採用されています。つまり、認証局が独自の秘密鍵を使用してディジタル証明書に署名します。シグニチャーを検証するために使われる公開鍵は、ディジタル証明書自体に含まれる公開鍵です ( 251ページの図 49 を参照)。trust チェーンを確立するには、公開鍵のユーザーは次のいずれかの方法でルート CA のディジタル証明書を受信しておく必要があります。

v 書留郵便か手渡しのディスケットで受け取る。

v トラストできるソースから受け取ったソフトウェアからプリロードするか、認証されたサーバーからダウンロードする。

図 48. trust チェーン - ルート CA まで CA ディジタル証明書を署名する CA


インターネット・アプリケーションでのディジタル証明書の使用鍵の交換やディジタル・シグニチャーに公開鍵の暗号方式を使ったアプリケーションには、ディジタル証明書を使用して必要な公開鍵を取得する必要があります。このようなインターネット・アプリケーションは数多く存在します。次に、公開鍵の暗号方式を採用する、よく使われるインターネット・アプリケーションのいくつかを簡単に説明します。

SSL 通信にプライバシーと保全性を提供するプロトコル。このプロトコルは、Web サーバーと Web ブラウザー間の接続にセキュリティーを設定するために Web サーバーによって、LDAP クライアントと LDAP サーバー間の接続にセキュリティーを設定するために LDAP によって、またクライアントとサーバー間の接続にセキュリティーを設定するために Tivoli Risk

Manager で使用されます。

SSL は、鍵の交換、サーバーの認証、さらにオプションでクライアントの認証にディジタル証明書を使用します。

クライアントの認証クライアントの認証とは、クライアントがある特定のリソースにログオンしたりアクセスしたりできるようにする前に、サーバーがクライアントのディジタル証明書を認証する必要がある SSL のオプションです。サーバーは、SSL ハンドシェーク時にクライアントのディジタル証明書を要求し認証します。そのとき、サーバーは、クライアントにディジタル証明書を発行したCA を信用するかどうかを判断することもできます。

保護された電子メール保護された電子メール・システムに Privacy Enhanced Mail (PEM) やSecure/Multipurpose Internet Mail Extensions (S/MIME) などの標準を使った数多くの電子メール・システムでは、ディジタル・シグニチャーと、メッセージの暗号化および暗号化解除のためのキー交換にディジタル証明書を使用します。

仮想プライベート・ネットワーク (VPN)仮想プライベート・ネットワークは、セキュア・トンネルとも呼ばれ、ファイアウォール間にセットアップして、保護されていない通信リンク上のセキュア・ネットワーク間の接続を保護できます。このようなネットワークを経由するすべてのトラフィックは、ファイアウォール間で暗号化されます。

トンネリングに使用されるプロトコルは、IP セキュリティー (IPsec) 標準に既定します。接続先のファイアウォール間で鍵を交換するために、Internet

Key Exchange (IKE) 標準 (従来は ISAKMP/Oakley と呼ばれていた) が定義されています。

また、標準規格では、例えば在宅勤務の社員などのリモート・クライアントとセキュア・ホストやネットワーク間の接続が保護され暗号化されます。

セキュア電子トランザクション ( SET™ )SET は、保護されていないネットワーク (インターネット) でクレジット・カードの支払いが安全に処理されるように設計された標準規格です。ディジタル証明書は、カードの所有者 (電子クレジット・カード) と販売店で使用されます。SET のディジタル証明書を使用することによって、カードの所有者、販売店、および銀行間でセキュアな専用の接続が実現します。作成さ


れたトランザクションは安全かつ確実で、不正に使用されることはありません。販売店では、悪用したり不正に閲覧できるクレジット・カード情報は受信しません。

ディジタル証明書と認証要求単純化された署名付きディジタル証明書には、所有者の識別名、所有者の公開鍵、認証局 (発行者) の識別名、さらに認証局のシグニチャーがこれらのフィールドに含まれます。

自己署名付きディジタル証明書には、図 49 で示されているように所有者の識別名、所有者の公開鍵、さらに所有者固有のシグニチャーがこれらのフィールドに含まれます。

ルート CA のディジタル証明書は、自己署名ディジタル証明書の一例です。独自の自己署名ディジタル証明書を作成して、サーバー製品を開発およびテストするときに使用することもできます。Java 仮想マシン (JVM) に搭載されている keytool ユーティリティーで自己署名ディジタル証明書を作成できます。または、iKeyman ユーティリティーを使用することもできます。ikeyman を使った自己署名証明書の作成については、 264ページの『テスト用の自己署名ディジタル証明書の作成』を参照してください。

署名のために認証局に送信される認証要求には、所有者 (要求者) の識別名、所有者の公開鍵、さらに所有者固有のシグニチャーがこれらのフィールドに含まれます。認証局は、ディジタル証明書の公開鍵を用いてこのシグニチャーを検証し、以下について確認します。

v 認証要求が要求者と認証局間の転送中に変更されていない。

v 要求者が、認証要求の公開鍵に属する秘密鍵を保持している。

図 49. 自己署名ディジタル証明書


認証局は、識別検査のいくつかのレベルも実行します。その範囲は、所有者の ID

をほとんどチェックしないレベルから完全に保証するレベルに至ります。

SSL の機能SSL は、TCP/IP を介して 2 つの通信アプリケーション間のプライバシーと保全性を提供するプロトコルです。WWW 用の Hypertext Transfer Protocol (HTTP) では、SSL を使用してセキュアな通信を実現します。

クライアントとサーバー間で送受信されるデータは、DES や RC4 などの対称アルゴリズムで暗号化されます。暗号化鍵の交換とディジタル・シグニチャーには通常、RSA の公開鍵のアルゴリズムが採用されています。アルゴリズムでは、サーバーのディジタル証明書内の公開鍵を使用します。サーバーのディジタル証明書により、クライアントはサーバーの ID を検証することもできます。SSL のプロトコルのバージョン 1 および 2 では、サーバーを認証することしかできません。バージョン 3 では、クライアントとサーバーの両方のディジタル証明書を使用してクライアントを認証します。

SSL ハンドシェークSSL 接続は、常にクライアントによって開始されます。SSL セッションの始めに、SSL ハンドシェークが実行されます。このハンドシェークによって、セッションの暗号パラメーターが作成されます。SSL のハンドシェークがどのように処理されるかを簡単に説明した概要が、 253ページの図 50 に表示されています。この例は、SSL 接続が Web ブラウザーと Web サーバー間で確立されていると想定しています。


1. クライアントが、SSL のバージョン、クライアント対応の暗号スイート、クライアント対応のデータ圧縮メソッドなどのクライアントの暗号能力をクライアント設定順に並べ替えてリストした「ハロー (hello)」というメッセージを別のクライアントに送信する。このメッセージには 28 バイトの乱数も含まれています。

2. サーバーは、暗号メソッド (暗号スイート) と、サーバー、セッション ID、および別の乱数によって選択されたデータ圧縮メソッドを含む、サーバーの「ハロー(hello)」メッセージで応答する。

注: クライアントとサーバーは、少なくとも 1 つの共通の暗号スイートに対応している必要があります。対応していない場合は、ハンドシェークに失敗します。サーバーは通常、最も堅固な共通の暗号スイートを選択します。

3. サーバーは、サーバー自身のディジタル証明書を送信する (サーバーは SSL を採用した X.509 V3 ディジタル証明書を使用)。

サーバーが SSL V3 を採用する場合、さらに Web サーバーのようなサーバー・アプリケーションによってクライアントの認証にディジタル証明書が要求される場合は、サーバーは「ディジタル証明書要求 (digital certificate request)」メッセージを送信します。「ディジタル証明書要求 (digital certificate request)」メッセージでは、サーバーは、対応するディジタル証明書のタイプと許容される認証局の識別名のリストを送信します。

図 50. サーバー認証を使った SSL ハンドシェーク


4. サーバーは「ハロー終了 (hello done)」メッセージをサーバーに送信し、クライアントの応答を待つ。

5. サーバーの「ハロー終了 (hello done)」メッセージを受信したら、クライアント(Web ブラウザー) はサーバーのディジタル証明書の妥当性を確認し、サーバーの「ハロー (hello)」パラメーターが受け入れ可能かどうかをチェックする。

サーバーがクライアントのディジタル証明書を要求した場合は、クライアントはディジタル証明書を送信します。あるいは、適切なディジタル証明書が使用可能でない場合は、クライアントは「ディジタル証明書なし (no digital certificate)」アラートを送信します。このアラートは警告のみですが、クライアント認証が必須の場合は、サーバー・アプリケーションでセッションに失敗する場合があります。

6. クライアントは、「クライアントのキー交換 (client key exchange)」メッセージを送信する。このメッセージには、対称暗号鍵の生成に使用される 46 バイトの乱数であるプリマスター・シークレットと、サーバーの公開鍵を使用して暗号化されたメッセージ確認コード (MAC) の鍵が含まれます。

クライアントがディジタル証明書をサーバーに送信すると、クライアントは、クライアントの秘密鍵で署名された「ディジタル証明書検査 (digital certificate

verify)」メッセージを送信します。このメッセージのシグニチャーを確認することによって、サーバーはクライアントのディジタル証明書の所有権を明示的に検証できます。

注: それ以外にサーバーのディジタル証明書を検証する必要はありません。サーバーが、ディジタル証明書に属する秘密鍵を持たない場合は、プリマスター・シークレットを暗号化解除し、対称暗号化アルゴリズムの正しい鍵を作成することができないため、ハンドシェークに失敗します。

7. クライアントは、一連の暗号操作を使用して、暗号化とメッセージの認証に必要なすべての鍵が派生されるようにプリマスター・シークレットをマスター・シークレットに変換する。その後、クライアントは「暗号仕様の変更 (change cipher

spec)」メッセージを送信して、サーバーを、新しく交渉した暗号スイートに切り替えます。クライアントによって送信される次のメッセージ (「終了 (finished)」メッセージ) は、この暗号メソッドと鍵で暗号化された最初のメッセージです。

8. サーバーは、サーバー自身の「暗号仕様の変更 (change cipher spec)」メッセージと「終了 (finished)」メッセージで応答する。

9. SSL ハンドシェークが終了し、暗号化されたアプリケーション・データが送信される。

SSL 採用のディジタル証明書と trust チェーンSecure Socket Layer V3 では、サーバーのディジタル証明書とクライアントのディジタル証明書を使用できます。前述のように、サーバーのディジタル証明書は SSL

セッションに必須ですが、クライアントのディジタル証明書はクライアントの認証要求によってオプションとなります。

SSL によって使用される public key infrastructure (PKI) では、任意の数のルート認証局を指定できます。組織やエンド・ユーザーは、どの認証局がトラステッドとして受け入れられるかを決定する必要があります。サーバーのディジタル証明書を検証できるようにするには、クライアントが、サーバーによって使用されるルートCA ディジタル証明書を所有している必要があります。


SSL セッションは、クライアントの truststore ファイルに定義されていないルートCA のディジタル証明書とディジタル証明書を送信するサーバーで確立しようとしても確立できません。これを回避するには、ルート CA のディジタル証明書をクライアントの鍵ストアまたは truststore にインポートします。

クライアントの認証が使用されるとき、サーバーでは、クライアントによって使用されるルート CA のディジタル証明書が要求されます。デフォルトのサーバーの鍵ストアの一部ではない、すべてのルート CA のディジタル証明書は、クライアントのディジタル証明書がこれらの CA によって発行される前に、iKeyman ユーティリティーを使用してインストールされている必要があります。iKeyman について詳しくは、 261ページの『iKeyman によるディジタル証明書の管理』を参照してください。

Tivoli Risk Manager および SSLTivoli Risk Manager では、クライアントとサーバーの両方の領域で SSL を使用します。Tivoli Risk Manager システムが SSL 接続でイベントのトラフィックを受信する場合、システムは SSL サーバーとして稼働しています。Tivoli Risk Manager

システムが SSL 接続でイベントのトラフィックを送信する場合は、システムがSSL クライアントとして稼働しています。SSL 接続でイベントを受信し転送する構成では、サーバーとクライアントの両方の役割を果たしています。さまざまなTivoli Risk Manager 構成によって実行される SSL の役割は次のとおりです。

v クライアント - SSL クライアントとして参加

v 分散相関サーバー - イベント情報をクライアントから受信し、アップストリーム・サーバーへ転送するため、SSL クライアントおよび SSL サーバーとして参加。

v イベント・サーバー - SSL サーバーとして参加。

v ゲートウェイ - イベント情報の送受信を行うため、SSL クライアントおよびSSL サーバーとして参加。

特定の Tivoli Risk Manager システムは通常、それぞれの SSL の役割ごとに鍵ストアを備えています。例えば、クライアントはクライアント用鍵ストアを使用します。ゲートウェイや分散相関サーバーは、クライアント用の鍵ストアとサーバー用の鍵ストアの両方を備えています。イベント・サーバーは、サーバー用の鍵ストアのみを備えています。

デフォルトの鍵ストア・ファイルTivoli Risk Manager をインストールするときに、Tivoli Risk Manager に格納されているデフォルトのクライアントとサーバーの鍵ストア・ファイルを使用できます。これらのファイルを使用することにより、クライアントとサーバーの認証などの、さまざまな Tivoli Risk Manager システム間に SSL を使用してセキュアな接続を確立できます。このようにして Tivoli Risk Manager をすばやく稼働させ暗号化された接続を確立するのは便利ですが、秘密鍵は完全に秘密ではないため、これらのファイルを使用しても完全に機密保護機能のある環境は確立できません。

次のデフォルトの鍵ストア・ファイルが Tivoli Risk Manager とともにインストールされます。

v RMINSTDIR/etc/SSLclient.jks


v RMINSTDIR/etc/SSLsvr.jks

これらのデフォルトの鍵ストア・ファイルに関連付けられているパスワードは、riskmgr です。

実稼働環境では、デフォルトの鍵ストアを使用しないでください。秘密鍵と署名付き証明書は、ご使用の環境に必要な鍵ストア・ファイルを作成するように生成され使用される必要があります。ご使用の環境に対応する鍵ストアを作成する際の考慮事項については、『計画の際の考慮事項』を参照してください。

SSL パスワードの格納セキュア SSL 接続を作成するとき、Tivoli Risk Manager では鍵ストア・ファイルにアクセスするためのパスワードにアクセスする必要があります。パスワードは、構成ファイルにそのまま格納されず、stash ファイルに暗号化されて格納されます。

適切なローカル・ファイルのシステム・セキュリティーを使用するなど、鍵ストア・ファイルとそれに関連付けられた stash ファイルを保護することが大切です。これらのファイルは、トラストできない人物とは共有しないでください。

stash ファイルの名前は、通常、関連付けられた鍵ストア・ファイル名から派生します。例えば、デフォルトの鍵ストア・ファイルと関連付けられた stash ファイルの名前は次のとおりです。

v stashSSLclient.pwd (SSLclient.jks と関連)

v stashSSLsvr.pwd (SSLsvr.jks と関連)

さらに、カスタムの鍵ファイルに foo.jks という名前を付けると、関連付けられたstash ファイルは stashfoo.pwd という名前になります。関連付けられた stash ファイルは、関連付けられた鍵ストア・ファイルと同じディレクトリーに格納されている必要があります。

wrmstashpw コマンドは、暗号化されたパスワードで stash ファイルを作成するために使用します。新しい鍵ストアを作成したり、既存の鍵ストアのパスワードを変更する場合は、wrmstashpw を使用して stash ファイルにマッチングするパスワードを作成します。このユーティリティーの使用方法については、「IBM Tivoli Risk


計画の際の考慮事項SSL 構成を計画する際には、次の事項を考慮してください。

v 各サーバーには、秘密鍵とそれに関連付けられた署名付き証明書を含むサーバーの鍵ストアが必要です。この証明書は、自己署名でも認証局 (CA) によって署名されたものでも構いません。

v 各サーバーには、異なる秘密鍵とそれに関連付けられた署名付き証明書を含む独自の鍵ストアが必要です。

v 各クライアントには、サーバーの鍵ストア内の署名付き証明書と同じ署名者によって署名された CA 証明書を含むクライアントの鍵ストアが必要です。

v クライアントの認証を使用する場合は、各クライアントの鍵ストアに秘密鍵とそれに関連付けられた署名付き証明書が含まれている必要があります。サーバーの


鍵ストアには、クライアントの鍵ストア内の署名付き証明書と同じ署名者によって署名された CA 証明書が含まれている必要があります。

v クライアントの認証を使用するときは、各クライアントには、異なる秘密鍵とそれに関連付けられた署名付き証明書を含む独自の鍵ストアが必要です。

v 証明書の署名に認証局 (CA) を使用するか、自己署名を使用するかを決定します。次の特性は、どちらを選ぶ場合にも対応します。

– 自己署名証明書:

- 長所

v コストなし。

v 外部の依存関係なし。

v クイック・スタート。

v 小規模のイントラネット環境に適切。

- 短所

v 各クライアントには通信するサーバーごとの証明書を含む鍵ストアを含んでいる必要があるため、より複雑なクライアント構成となる。

v 自己署名証明書がクライアントに使用される場合は、複数のクライアントのためのサーバーにはクライアントごとの署名証明書を含む鍵ストアが必要です。

– CA 署名証明書:

- 長所

v より単純なクライアント構成は通常、デフォルトで機能する (デフォルトのクライアントの鍵ストアに適切な署名者の認証書が含まれている場合)。各クライアントは、複数のサーバーが使用されていても同じ鍵ストアを使用できます。

v インターネットの e-commerce 環境と大規模なイントラネット環境に適切。

- 短所

v コスト高 (場合によっては証明書を購入する必要がある)。

v 証明書が要求される (場合によっては署名証明書の取得に遅延が発生する)。

SSL 構成ファイルTivoli Risk Manager システムが SSL 接続を受け入れるよう構成されているとき、1

次 Tivoli Risk Manager 構成ファイル (rmagent.xml) にソースを定義する必要があります。同様に、イベント情報を転送するためにアウトバウンド SSL 接続を作成するように Tivoli Risk Manager システムが構成されている場合は、rmagent.xml にも宛先を定義する必要があります。次の例では、SSL 受信側と SSL 送信側のそれぞれのソースおよび宛先定義を示しています。

<source name = "eif_receiver"class = "com.tivoli.RiskManager.Agent.Transports.Receivers.rmaEifReceiver">

<set key="RMA_conf" value="f:¥Program Files¥RISKMGR¥etc¥eif_receiver.conf"/></source>


<destination name = "incident_sender"class = "com.tivoli.RiskManager.Agent.Transports.Senders.rmaEifSender">

<set key="RMA_conf" value="f:¥Program Files¥RISKMGR¥etc¥incident_sender.conf"/></destination>

ソースおよび宛先定義では、EIF SSL 接続を制御するために必要な、固有の EIF 構成パラメーターを含む構成ファイルを参照します。

この例では、eif_receiver.conf ファイルに通常、次のタイプの情報が含まれています。ここでは、gateway1.dev.tivoli.com はローカル・ホスト名であり、クライアント認証が必要です (各クライアントは証明書を提供する必要がある)。この設定ファイルは、SSL サーバーの役割を定義します。

TransportationList=t1t1Type=SSLt1Channels=c1c1ServerLocation=gateway1.tivoli.comc1Port=5549c1SSLRequireClientAuthentication=YESc1SSLKeystore=f:¥Program Files¥RISKMGR¥etc¥SSLsvr.jksc1SSLKeystorePWFile=f:¥Program Files¥RISKMGR¥etc¥stashSSLsvr.pwdc1SSLSecurityLevel=HIGH

同様に、incident_sender.conf ファイルは次のように表示されます。server1.tivoli.com は、情報が転送されるリモート・サーバーです。この構成ファイルは SSL クライアントの役割を定義します。

TransportList=t1t1Type=SSLt1Channels=c1c1ServerLocation=server1.tivoli.comc1Port=5549c1SSLKeystore=f:¥Program Files¥RISKMGR¥etc¥SSLclient.jksc1SSLKeystorePWFile=f:¥Program Files¥RISKMGR¥etc¥stashSSLclient.pwdc1SSLSecurityLevel=HIGH

エージェントと rmagent.xml ファイルを構成する詳細については、 69ページの『第 4 章エージェント』を参照してください。個別の EIF 構成ファイルで SSL

を構成する詳細については、 231ページの『付録 A. Event Integration Facility の送信側および受信側のキーワード』を参照してください。

TrustStoresデフォルトにより、Tivoli Risk Manager は次の情報を鍵ストアに格納します。

v SSL 認証に使われる鍵ペアと証明書

v 他のクライアントとサーバーの ID を検証するために使用するトラステッド CA

証明書 (署名者証明書とも呼ばれる)

SSL 環境のアドミニストレーターは、鍵ペアと証明書を鍵ストアに保守し、CA 証明書 (署名者の証明書とも呼ばれる) を別の truststore に保守してください。trustfile

では、組織が接続できる署名者を管理できます。これにより、クライアントとサーバーは、秘密鍵などの個人用認証書を鍵ストア・ファイルに、すべての署名者をtruststore ファイルに格納できます。truststore が指定されていない場合は、CA 証明書は鍵ストア・ファイルに格納されていると見なされます。

この例では、サーバー・サイド構成ファイルによって別の鍵ストアと truststore ファイルが定義されます。


TransportationList=t1t1Type=SSLt1Channels=c1c1ServerLocation=gateway1.tivoli.comc1Port=5549c1SSLRequireClientAuthentication=YESc1SSLKeystore=f:¥IBM¥RISKMGR¥etc¥SSLsvr.jksc1SSLKeystorePWFile=f:¥IBM¥RISKMGR¥etc¥stashSSLsvr.pwdc1SSLTruststore=f:¥IBM¥RISKMGR¥etc¥SSLsvrTrust.jksc1SSLTruststorePWFile=f:¥IBM¥RISKMGR¥etc¥stashSSLsvrTrust.pwdc1SSLSecurityLevel=HIGH

Keytool によるディジタル証明書の管理Tivoli Risk Manager で使用される Java Runtime Environment (JRE) は、鍵と証明書管理ユーティリティーである keytool を提供します。keytool を使用して、公開鍵および秘密鍵のペアとそれに関連付けられた証明書を管理できます。また、認証要求を生成できるため、民間の認証局を使用して証明書に署名することもできます。

Tivoli Risk Manager は、iKeyman という代替ツールを備えています。このツールでは、グラフィカル・インターフェースで証明書と鍵ストアを管理できます。iKeyman

の使用については、 261ページの『iKeyman によるディジタル証明書の管理』を参照してください。

keytool ユーティリティーは、次を入力してコマンド行から実行します。

keytool

UNIX システムをお使いの場合、keytool は通常、次の位置に格納されます。

$JAVA_HOME/bin/keytool

Windows システムをお使いの場合、keytool は Tivoli Risk Manager とともにインストールされる JRE に搭載されており、次の位置に格納されます。

RMINSTDIR¥jre¥jre¥bin¥keytool.exe

コマンド行のオプションの順序は異なる場合があります。keytool -help と入力して、keytool の使用法の要約を表示します。UNIX システムでは、man keytool を使用して詳しい使用法を表示します。

keytool の詳細については、次の Web リソースを参照してください。

v http://java.sun.com/j2se/1.3/docs/tooldocs/solaris/keytool.html (UNIX)

v http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html (Windows)

ここでは、keytool を実行するためのサンプル・スクリプトを示します。このような特質のスクリプトは、実稼働環境で大量の証明書と鍵ストアを生成するのに役立つ場合があります。このサンプル・スクリプトは、一般的な使用法を示しています。適切にカスタマイズすれば、ご使用の環境に対応するモデルとなります。

#!/bin/sh

# This sample script depicts the sequence of steps for using keytool# to create self-signed client and server certificates for use with# Risk Manager’s SSL support.## Note that this script assumes that private keys and public certificates# are stored in the same keystore file (client and server). Public# certificates can be stored in separate, password-protected truststores.


# Setup common environment variables

CLIENT_DNAME="cn=Risk Manager Agent SSL Sender,ou=Tivoli,o=IBM,c=US"CLIENT_ALIAS="rma_ssl_sender"CLIENT_PW="rma_sender_pw"CLIENT_KEYSTORE="$CLIENT_ALIAS".jksCLIENT_CERTFILE="$CLIENT_ALIAS".cert

SERVER_DNAME="cn=Risk Manager Agent SSL Receiver,ou=Tivoli,o=IBM,c=US"SERVER_ALIAS="rma_ssl_receiver"SERVER_PW="rma_receiver_pw"SERVER_KEYSTORE="$SERVER_ALIAS".jksSERVER_CERTFILE="$SERVER_ALIAS".certSERVER_NCAUTH_KEYSTORE="$SERVER_ALIAS"_ncauth.jks

DAYS_VALID=365

set -x

# Generate client’s keypair and keystore# Also creates a self-signed public key certificate for the client# By creating a keypair, the client can support client authentication# when connecting to the Tivoli Risk Manager server. If not using client# authentication, it is sufficient to import the server’s public# key certificate into the client’s keystore.

keytool -genkey -validity "$DAYS_VALID" -keypass "$CLIENT_PW" ¥-dname "$CLIENT_DNAME" -alias "$CLIENT_ALIAS" ¥-keystore "$CLIENT_KEYSTORE" -storepass "$CLIENT_PW"

# Export client’s public key certificate to a filekeytool -export -keystore "$CLIENT_KEYSTORE" -storepass "$CLIENT_PW" ¥-alias "$CLIENT_ALIAS" -rfc -file "$CLIENT_CERTFILE"

# Generate server’s keypair and keystore# Also creates a self-signed public key certificate for the server# A server always requires a keypair, unlike the client

keytool -genkey -validity "$DAYS_VALID" -keypass "$SERVER_PW" ¥-dname "$SERVER_DNAME" -alias "$SERVER_ALIAS" ¥-keystore "$SERVER_KEYSTORE" -storepass "$SERVER_PW"

# Export server’s public key certificate to a filekeytool -export -keystore "$SERVER_KEYSTORE" -storepass "$SERVER_PW" ¥-alias "$SERVER_ALIAS" -rfc -file "$SERVER_CERTFILE"

# Import server’s public key certificate into client’s keystore as a# new trusted certificate.keytool -import -keystore "$CLIENT_KEYSTORE" -storepass "$CLIENT_PW" ¥-alias "$SERVER_ALIAS" -file "$SERVER_CERTFILE" -noprompt

# Make a copy of the server keystore before adding the client’s certificate# This can be used to test the case where no client authentication is requiredcp "$SERVER_KEYSTORE" "$SERVER_NCAUTH_KEYSTORE"

# Import client’s public key certificate into the server’s keystore as a# new trusted certificate. This is required only when client authentication# is required by the server.keytool -import -keystore "$SERVER_KEYSTORE" -storepass "$SERVER_PW" ¥-alias "$CLIENT_ALIAS" -file "$CLIENT_CERTFILE" -noprompt


iKeyman によるディジタル証明書の管理iKeyman ユーティリティーは、ディジタル証明書を管理するためのツールです。iKeyman を使用すると、新規の鍵データベースまたはテスト・ディジタル証明書の作成、使用するデータベースへの CA ルートの追加、データベース間での証明書のコピー、ディジタル証明書の要求と CA からの受信、デフォルト鍵の設定、およびパスワードの変更を実行できます。

iKeyman ユーティリティーは、IBM Java Secure Socket Extension パッケージの一部です。

iKeyman の始動iKeyman ユーティリティーは Tivoli Risk Manager とともにインストールされます。iKeyman をロードするには、RMINSTDIR/etc/bin に格納されている wrmikeyman

シェル・スクリプトを実行します。

UNIX システム:

wrmikeyman


wrmikeyman.cmd

このコマンドの使用方法については、「IBM Tivoli Risk Manager コマンド・リファレンス」を参照してください。

鍵データベースの作成鍵データベースを使用することにより、クライアント・アプリケーションは、ユーザーがディジタル証明書に署名した CA によって署名されたディジタル証明書を含むサーバーに接続できます。

鍵ファイルを作成するには、次のステップを行ってください。

1. iKeyman が実行されていない場合は、これを始動する。

2. 「鍵データベース・ファイル」→「新規」をクリックする。図 51 に示されているような「新規」ウィンドウが表示されます。

3. 「鍵データベース・タイプ」フィールドで「JKS」を選択する。

図 51. 「新規鍵データベース・ファイル」ウィンドウ


4. 必要に応じて、「ファイル名」と「位置」の値を変更する。

5. 「OK」をクリックする。

図 52 に示されているような「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。

6. 「パスワード」フィールドにパスワードを入力し、それを「確認パスワード」フィールドに再入力する。


確認ウィンドウが表示され、鍵データベースを作成したことが確認されます。


これにより、鍵データベースが正しく作成され、「IBM 鍵管理」ウィンドウが表示されます。

263ページの図 53 に示されている例である「IBM 鍵管理」には、新しい鍵ファイル名と署名者のディジタル証明書が反映されます。

図 52. 「パスワード・プロンプト (Password Prompt)」ウィンドウ


次の署名者のディジタル証明書が iKeyman で提供されます。v RSA Secure Server CA

v Thawte Personal Premium CA

v Thawte Personal Freemail CA

v Thawte Personal Basic CA

v Thawte Premium Server CA

v Thawte Server CA

v VeriSign Class 1 Public Primary CA



v VeriSign Test CA ルート証明書

これらの署名者のディジタル証明書により、クライアントは、これらの署名者からの有効なディジタル証明書を持つサーバーに接続できます。これで鍵データベースが作成されました。これをクライアントで使用して、いずれかの署名者の有効なディジタル証明書を持つサーバーに接続できます。

このリストに表示されていない署名者のディジタル証明書を使用する必要がある場合は、それを CA に要求し、鍵データベースに追加する必要があります ( 265ページの『CA ルート・ディジタル証明書の追加』を参照)。

注: VeriSign Test CA ルート証明書は、テスト用に組み込まれた、保証の低い CA

です。鍵データベースを実動アプリケーションに配置する前に、このルートを除去してください。

図 53. 「IBM 鍵管理」ウィンドウ


テスト用の自己署名ディジタル証明書の作成実動アプリケーションをテストするとき、製品のテストが完了するまでは実際にディジタル証明書を購入しないでください。iKeyman により、自己署名ディジタル証明書を作成して、それをテストが完了するまで使用できます。自己署名ディジタル証明書は、CA として自分自身に発行する、一時的なディジタル証明書です。

自己署名ディジタル証明書を作成するには、次のステップを行ってください。


2. 「鍵データベース・ファイル (Key Database File)」→「オープン (Open)」をクリックして、「オープン (Open)」ウィンドウを表示する。

3. 自己署名ディジタル証明書を追加する鍵データベース・ファイルを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (PasswordPrompt)」ウィンドウが表示されます。

4. パスワードを入力し、「OK」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。選択した鍵データベース・ファイルの名前がタイトル・バーに表示され、そのファイルが開いて作動可能であることが示されます。

5. リストから「個人用証明書 (Personal Certificates)」を選択する。

6. 「新規の自己署名 (New Self-Signed)」をクリックする。図 54 に表示されているように、「新規の自己署名証明書の作成」ウィンドウが表示されます。

図 54. 「自己署名証明書の新規作成 (Create New Self-Signed Certificate)」ウィンドウ


7. 自己署名ディジタル証明書に、keytest などの「鍵ラベル」を入力する。

8. 「共通名」と「組織」を入力し、「国」を選択する。その他のフィールドには、デフォルト値を受け入れるか、新しい値を入力または選択します。

9. 「OK」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。「個人用証明書 (Personal Certificates)」フィールドには、すでに作成した自己署名ディジタル証明書の名前が表示されます。

CA ルート・ディジタル証明書の追加CA に CA ルート・ディジタル証明書を要求し受信したら、それをデータベースに追加できます。ほとんどのルート・ディジタル証明書には form *.arm (cert.arm など) が含まれています。

CA ルート・ディジタル証明書をデータベースに追加するには、次のステップを行ってください。



3. CA ルート・ディジタル証明書に追加する鍵ディジタル・ファイルを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (PasswordPrompt)」ウィンドウが表示されます。


5. リストから「署名者証明書」を選択する。

6. 「追加 (Add)」をクリックする。「ファイルから CA の証明書を追加 (AddCA’s Certificate from a File)」ウィンドウが表示されます。

7. 「データ・タイプ (Data type)」をクリックし、「Base64 エンコード ASCIIデータ (Base64-encoded ASCII data)」などのデータ・タイプを選択する。

8. CA ルート・ディジタル証明書の「証明書ファイル名 (Certificate filename)」と「位置 (Location)」を入力し、「ブラウズ (Browse)」をクリックしてファイル名とその位置を選択する。

9. 「OK」をクリックする。「ラベルの入力 (Enter a Label)」ウィンドウが表示されます。

10. 「VeriSign Test CA Root Certificate」などの CA ルート・ディジタル証明書のラベルを入力し、「OK」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。

「署名者証明書」フィールドには、追加した CA ルート・ディジタル証明書のラベルが表示されます。

CA ルート・ディジタル証明書の削除署名者ディジタル証明書リスト内の署名者をこれ以上サポートする必要がない場合は、その CA ルート・ディジタル証明書を削除する必要があります。

注: CA ルート・ディジタル証明書を削除する前に、後に CA ルートを再作成するために備えてバックアップを作成してください。


データベースから CA ルート・ディジタル証明書を削除するには、次のステップを行ってください。



3. CA ルート・ディジタル証明書を削除する鍵データベース・ファイルを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (PasswordPrompt)」ウィンドウが表示されます。


5. プルダウン・リストから「署名者証明書」を選択する。

6. 削除する CA ルート・ディジタル証明書を選択し、「削除」をクリックする。「確認 (Confirm)」ウィンドウが表示されます。

7. 「はい (Yes)」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。これで、削除した CA ルート・ディジタル証明書のラベルは、「署名者証明書」フィールドに表示されなくなります。

鍵データベース間での証明書のコピーテスト用に専用の trust ネットワークをセットアップするか、自己署名証明書を使用するときに、あるデータベースから証明書を抽出して署名者またはサイト証明書として別のデータベースに追加する必要のある場合があります。または、個人用証明書をエクスポートし、それを個人用証明書としてインポートします。

第 1 シナリオ：(ソース) 鍵データベースから証明書を抽出して署名者またはサイト証明書として (ターゲット) 鍵データベースに追加するには、次のステップを行ってください。


2. 「鍵データベース・ファイル (Key Database File)」→「オープン (Open)」をクリックする。「オープン (Open)」ウィンドウが表示されます。

3. 署名者またはサイト証明書として別の (ターゲット) 鍵データベースに追加する証明書を含む (ソース) 鍵データベースを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。


5. 抽出する証明書のタイプを、「個人用 (Personal)」、「署名者 (Signer)」、または「サイト (Site)」から選択する。

6. 別のデータベースに追加する証明書を選択する。

7. 「個人用 (Personal)」を選択する場合は、「証明書の抽出 (ExtractCertificate)」ボタンをクリックする。「署名者 (Signer)」または「サイト(Site)」を選択する場合は、「抽出 (Extract)」ボタンをクリックする。「証明書をファイルへ抽出 (Extract a Certificate to a File)」ウィンドウが表示されます。ステップを最後まで続行します。


8. 「データ・タイプ (Data type)」をクリックし、「Base64 エンコード ASCIIデータ (Base64-encoded ASCII data)」などのデータ・タイプを選択する。選択したデータ・タイプは、証明書ファイルに格納されている証明書のデータ・タイプとマッチングする必要があります。iKeyman ツールは、Base64 エンコード ASCII ファイルとバイナリー DER エンコードをサポートします。

9. 証明書を格納する証明書ファイル名と位置を入力するか、「ブラウズ(Browse)」をクリックしてファイル名とその位置を選択する。

10. 「OK」をクリックする。これにより、指定したファイルに証明書が書き込まれ、「IBM 鍵管理」ウィンドウが表示されます。

データベース (ターゲット) に署名者またはサイト証明書として証明書を追加するには、次のステップを行ってください。



3. 前述で抽出された証明書を追加する鍵データベースを選択し、「オープン(Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。


5. 追加する証明書のタイプを、「署名者 (Signer)」またはサイト (Site)」から選択する。

6. 「追加 (Add)」をクリックする。リストから「署名者証明書 (SignerCertificates)」を選択している場合は、「ファイルから CA の証明書を追加(Add CA’s Certificate from a File)」ウィンドウが表示されます。リストから「サイト証明書 (Site Certificate)」を選択している場合は、「サイト証明書の追加 (Add Site Certificate)」ウィンドウが表示されます。これらの 2 つのウィンドウの詳細については、前述の第 1 シナリオのステップ 8 を参照してください。

7. 証明書を抽出したときに使った証明書ファイル名を入力する。詳しくは、前述した第 1 シナリオのステップ 9 を参照してください。

8. 「ラベルの入力 (Enter a Label)」ウィンドウが表示される。

9. 証明書の名前を指定し、「OK」をクリックする。

これにより、選択した証明書が (ターゲット) データベースに追加されます。

第 2 シナリオ：前述のシナリオでは、ソース・データベースから個人用、署名者、またはサイト証明書を抽出し、それを署名者またはサイト証明書としてターゲット・データベースに追加しました。このシナリオでは、ソース・データベースから個人用証明書をエクスポートし、それを個人用証明書としてターゲット・データベースにインポートします。

(ソース) 鍵データベースから個人用証明書をエクスポートして個人用証明書として(ターゲット) 鍵データベースにインポートするには、次のステップを行ってください。




3. 別の (ターゲット) 鍵データベースに個人用証明書として追加する証明書を含む(ソース) 鍵データベースを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。



6. エクスポートする個人用証明書を選択する。

7. 現行のデータベースと PKCS12 または別のデータベース間でキーを転送するために「エクスポート/インポート (Export/Import)」ボタンを選択する。「エクスポート/インポート鍵 (Export/Import Key)」ウィンドウが表示されます。

8. 「アクション・タイプの選択 (Choose Action Type)」から「エクスポート(Export)」を選択する。

9. エクスポートするリストから「鍵ファイル・タイプ (Key File Type)」(PKCS12 ファイルなど) を選択する。

10. エクスポートする証明書ファイル名 (copy.p12 など) と、証明書を格納する位置を入力するか、「ブラウズ (Browse)」をクリックしてファイル名と位置を選択し、「OK」をクリックする。「パスワード・プロンプト (PasswordPrompt)」ウィンドウが表示されます。

11. パスワード・ファイルのパスワードを入力し、そのパスワードを確認したら「OK」をクリックする。

これにより、証明書は (ソース) データベースから抽出されます。

個人用証明書を (ターゲット) 鍵データベースにインポートするには、次のステップを行ってください。



3. 上記でエクスポートした証明書をインポートする (ターゲット) 鍵データベースを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト(Password Prompt)」ウィンドウが表示されます。



6. ターゲットとなる鍵データベースに個人用証明書が含まれていない場合は、「インポート (Import)」ボタンをクリックして PKCS12 ファイルまたは別のデータベースからキーをインポートする。「インポート鍵 (Import Key)」ウィンドウが表示されます。ターゲットとなる鍵データベースに 1 つまたは複数の個人用証明書が含まれている場合は、次のステップを行ってください。


v 「エクスポート/インポート鍵 (Export/Import key)」ボタンをクリックし、「エクスポート/インポート鍵 (Export/Import key)」ウィンドウを表示する。

v 「アクション・タイプの選択 (Choose Action Type)」から「インポート(Import)」を選択する。

7. エクスポートから指定したファイルと同じ鍵ファイル・タイプを選択する。詳しくは、ステップ 10 (267 ページ) を参照し、「OK」をクリックしてください。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。

8. エクスポートしたときに使ったパスワードを指定する。詳しくは、第 2 シナリオのステップ 11 (268 ページ) を参照し、「OK」をクリックしてください。

これにより、証明書が (ターゲット) データベースにインポートされます。

ディジタル証明書の要求ディジタル証明書は、SSL 対応のサーバー・コードを実行するために必要で、クライアント・アプリケーションに必要となる場合があります。ディジタル証明書を取得するためには、iKeyman を使用して要求を生成し、その要求を CA にサブミットします。これにより、CA はユーザーの ID を検証し、ディジタル証明書を送信します。

ディジタル証明書を要求するには、次のステップを行ってください。



3. 要求を生成する鍵データベース・ファイルを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。


5. リストから「個人用証明書の要求 (Personal Certificate Requests)」を選択する。

6. 「新規 (New)」をクリックする。 270ページの図 55 に示されるような「新規のキーおよび認証要求の作成」ウィンドウが表示されます。


7. 自己署名ディジタル証明書に、「Production Certificate for MyWeb at My

Company」などの鍵ラベルを入力する。

8. 「共通名」と「組織」を入力し、「国」を選択する。その他のフィールドには、デフォルト値を受け入れるか、新しい値を入力または選択します。

9. ウィンドウの一番下に、certreq.arm などのファイルの名前を入力する。

10. 「OK」をクリックする。確認ウィンドウが表示され、新しいディジタル証明書の要求が作成されたことが確認されます。

11. 「OK」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。「個人用証明書の要求(Personal Certificate Requests)」フィールドには、新規作成したディジタル証明書要求の鍵ラベルが表示されます。

12. 新しいディジタル証明書を要求するために CA にファイルを送信するか、CA

の Web サイトの要求フォームに要求をカット¥アンド¥ペーストする。

ディジタル証明書の受信CA から新しいディジタル証明書を受信したら、要求を生成した鍵データベースにそれを追加する必要があります。

ディジタル証明書を受信するには、次のステップを行ってください。



図 55. 「新規のキーおよび認証要求の作成」ウィンドウ


3. 要求を生成した鍵データベースを選択し、「オープン (Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。



6. 「受信 (Receive)」をクリックする。「ファイルから証明書を受信 (ReceiveCertificate from a File)」ウィンドウが表示されます。

7. 「データ・タイプ (Data type)」をクリックし、「Base64 エンコード ASCIIデータ (Base64-encoded ASCII data)」などの、新しいディジタル証明書のデータ・タイプを選択する。CA が証明書を E メール・メッセージの一部として送信する場合、受信した証明書を別のファイルにカット¥アンド¥ペーストする必要がある場合があります。

8. 新しいディジタル証明書の「証明書ファイル名 (Certificate file name)」と「位置 (Location)」を入力し、「ブラウズ (Browse)」をクリックしてファイル名とその位置を選択する。

9. 「OK」をクリックする。「ラベルの入力 (Enter a Label)」ウィンドウが表示されます。

10. 新しいディジタル証明書に「RALVS6 銀行用証明書 (RALVS6 Banking

Certificate)」などのラベルを入力し、「OK」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。「個人用証明書 (Personal Certificates)」フィールドに、追加した、新しいディジタル証明書のラベルが表示されます。

ディジタル証明書の削除ディジタル証明書が不要になった場合は、それをデータベースから削除する必要があります。

注: ディジタル証明書を削除する前に、後に再作成するために備えてバックアップを作成してください。

ディジタル証明書を削除するには、次のステップを行ってください。



3. ディジタル証明書を削除する鍵データベース・ファイルを選択し、「オープン(Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。



6. 削除するディジタル証明書を選択し、「削除 (Delete)」をクリックする。「確認(Confirm)」ウィンドウが表示されます。


7. 「はい (Yes)」をクリックする。「IBM 鍵管理」ウィンドウが表示されます。削除したディジタル証明書のラベルは、「個人用証明書 (PersonalCertificates)」フィールドに表示されなくなります。

鍵データベースのパスワードの変更iKeyman ツールでは、鍵データベースに関連付けられたパスワードを変更できます。鍵データベースに関連付けられたパスワードを変更するには、次のステップを行ってください。

注: 鍵データベースを参照する Tivoli Risk Manager エージェント構成ファイルでは、パスワードをそのままテキスト形式で定義するか (推奨しません)、パスワードを解読できない形式で含む stash ファイルを参照する必要があります。新しく設定したパスワードを含む stash ファイルを作成するには、wrmstashpwコマンドを使用します。このユーティリティーの使用方法については、「IBM




3. パスワードを変更する鍵データベース・ファイルを選択し、「オープン(Open)」をクリックする。「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。


5. 「鍵データベース・ファイル (Key Database File)」→「パスワード変更(Change Password)」をクリックする。「パスワード変更 (ChangePassword)」ウィンドウが表示されます。

6. 「パスワード (Password)」フィールドに新しいパスワードを入力し、それを「確認パスワード (Confirm Password)」フィールドに再入力する。

7. 「OK」をクリックする。これにより、要求が正しく完了したというメッセージが状況バーに表示されます。


付録 D. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 製以外の製品と組み合わせた場合、その操作の評価と検証については、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。使用許諾については、下記の宛先に書面にてご照会ください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム（本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation

2Z4A/101

11400 Burnet Road

Austin, TX 78758

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、 IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

商標以下は、IBM Corporation の商標です。

AIX

DB2

IBM

Tivoli

Tivoli Enterprise

Tivoli Enterprise Console

Tivoli Management Framework

Tivoli Management Environment

TME


Tivoli ロゴTivoli Ready

zSeries

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

UNIX は、The Open Group がライセンスしている米国およびその他の国における登録商標です。

Intel、Intel Inside (ロゴ)、MMX および Pentium は、Intel Corporation の米国およびその他の国における商標です。

SET および SET ロゴは、SET Secure Electronic Transaction LLC の商標です。

Crystal Reports は、Crystal Decisions, Inc. の技術です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

付録 D. 特記事項 275


用語集

［ア行］アタック (attack). 許可されていない人物が、ネットワーク・システムの機能を危険にさらそうとすること。侵入試行 (intrusion attempt) も参照。

アタック・シグニチャー (attack signature). ネットワーク・メッセージのペイロードに出力される文字ストリングで、メッセージに有害な内容 (ウィルスやトロイの木馬などの侵入アクティビティー) が含まれていることを示す。

アドミニストレーター (administrator). 役割 (roles)

を参照。

イベント (event). Tivoli 環境における、システム・リソース、ネットワーク・リソース、またはネットワーク・アプリケーションの状態の有効な変更。Tivoli Risk

Manager では、問題、問題解決、またはタスクの正常終了のイベントを生成できる。イベントの例としては、通常の処理の開始や停止、処理の異常終了、およびサーバーの誤動作などがある。Tivoli Risk Manager の場合、イベントは侵入検知イベントである。

イベント相関 (event correlation). パターン、共通の原因、および根本原因を識別するためのイベントのデータの分析プロセス。イベント相関により、定義済みのルールで、受信イベントが定義済みの状態で、また定義済みの関係で分析される。

イベント・グループ (event group). Tivoli 環境において、特定の基準を満たすイベントの集合。イベント・コンソールのアイコンは、各イベント・グループを表す。Tivoli アドミニストレーターは、特定分野の責任と関係のあるイベント・グループをモニターできる。

イベント・グループ・フィルター (event groupfilter). Tivoli 環境において、イベント・グループ・フィルターは、アダプター・レベルでフィルター操作されるイベント・グループごとに、イベントのクラス、ソース、発生源を定義する。

イベント・コンソール (event console). Tivoli 環境において、システム管理者がイベント・サーバーからディスパッチされたイベントを表示し応答できるようにするグラフィカル・ユーザー・インターフェース (GUI)。

イベント・サーバー (event server). Tivoli 環境において、イベントを処理する中央サーバー。イベント・サ

ーバーは、受信イベントごとにエントリーを作成する。イベント・サーバーは、イベントをルール・ベースに突き合わせて評価し、イベントへ自動的に応答するか、またはイベントを自動的に変更するかどうかを決定する。さらにイベント・サーバーは、イベント・コンソールを現在のイベント情報で更新する。1 次イベント・サーバーが利用できない場合、イベントを 2 次イベント・サーバーに送信する。

インシデント (incident). 設定可能な指定時間内に一定の重大度のしきい値を超える一連のセンサー・イベントが起きること。

インシデント・グループ (incident group). 指定した宛先ホスト、ソース・ホスト、カテゴリー、またはカスタマー ID 組み合わせであり、基準にマッチングする 2

つ以上のインシデントの集まり。

インシデント・ベースの相関 (incident-basedcorrelation). エージェントが受信するRM_SensorEvent イベント内に含まれる情報を使用してRM_Incident イベントを認識および作成するプロセス。

エンドポイント・ノード (end point node). 1)

Tivoli 管理リージョン (TMR) の中で、管理操作のターゲットとして単独で構成された Tivoli クライアント。2)

1 つのブランチの終端にあるノード。周辺ノードと同義語。

［カ行］管理対象ノード (managed node). Tivoli 環境において、Tivoli Enterprise Framework がインストールされる管理対象リソース。

グラフィカル・ユーザー・インターフェース (graphicaluser interface). Tivoli 環境において、システム管理者がそれぞれのネットワーク・コンピューティング環境を管理するために使用するグラフィカル・ユーザー・インターフェース (GUI)。Tivoli Risk Manager イベント・コンソールでは、Tivoli デスクトップが使用される。イベント・コンソール (event console) も参照。

［サ行］サービス妨害アタック (Denial of Service attacks).サイバー・アタックの一種。


システム構成 (system configuration). Tivoli Risk

Manager は、イベント・サーバー、クライアント、分散相関サーバー、およびゲートウェイの 4 つのシステムで構成されている。これらの構成は、Tivoli Risk

Manager 環境に異なるシステムの目的を定義する。

システム弱点度評価プロダクト (vulnerabilityassessment products). システム弱点度評価プロダクトでは、システムをアクティブにスキャンすることによって、システム管理者は、実行中の弱点となるサービスについてのレポート、または構成ミスのレポートを受ける。

重大度 (severity). アプリケーションによって割り当てられ、イベント・コンソールに反映される重大度の値を示す。通常、アラートには、低レベルに警告、中レベルにマイナー、高レベルにクリティカルが指定される。重大度の値は、イベントが Tivoli Enterprise Console に送信されるときにアプリケーションによって動的に割り当てられるか、アプリケーションの BAROC ファイル内に格納されているイベント定義を使用して静的に定義される。

侵入検知システム (intrusion detection system). ネットワークまたはホスト・システムの一部である、モニターされているリソースへの侵入試行やアタックを検知するソフトウェアのこと。

侵入試行 (intrusion attempt). 許可されていない人物が、ネットワーク・リソースにアクセスしたり破壊したりしようとすること。

スクリプト (script). 一連のイベントを表す論理構造。

センサー (sensor). セキュリティー関連情報のためのセキュリティー・ネットワーク、アプリケーション、またはシステムをモニターし不審なアクティビティーを表示するソフトウェア。

センサー・イベント (sensor event). Tivoli Risk

Manager センサーまたはアダプターから Tivoli Risk

Manager サーバーにレポートされる侵入検知イベント。イベント (event) も参照。

センサー・イベント・アダプター (sensor eventadapter). 1 つまたは複数のセンサーによって生成された情報のインターセプト、データのフィルター操作、データの適切なセンサー・イベントへの再フォーマット、および Tivoli Risk Manager へのセンサー・イベントの転送などを行うソフトウェア。

相関エンジン (correlation engine). Tivoli Risk

Manager ルール・エンジン。ルール・エンジン (rules

engine) も参照。

［タ行］妥当性検査 (validation). データの正確さ、またはデータがアプリケーション規格、ルール、規則に準拠していることを調べること。

［ハ行］ファイアウォール (firewall). 外の世界と内部のネットワークを取り持ち、明確なデータだけを通過させるホスト。

フォーマット・ファイル (format file). フォーマット・ファイル (.fmt) は、Tivoli Management Environment

アダプターのクラス定義ステートメント・ファイル(.cds) を生成する。フォーマット・ファイルを使用して、これらのアダプターのイベント・クラスを変更し、フォーマット・ファイルから新しいクラス定義ステートメント・ファイルを生成する。Tivoli Risk Manager では、Tivoli Management Environment アダプターによって、データを Tivoli Enterprise Console に伝送できるようにマッチングして再フォーマットするために使用される。

ホスト (host). ネットワークにおいて、データ通信アクセス方式が存在する処理装置。

［ヤ行］役割 (roles). Tivoli Management Framework アドミニストレーターの役割には、super、senior、admin、およびuser がある。これらの役割は、ユーザーがイベントに応答して事前に決められたタスク群を実行することを可能にする、許可の集合である。

優先度 (priority). Tivoli Risk Manager は、UNIX ベース・システムから開始したイベントを警告する優先順位を割り当てる。例えば、UNIX syslogd 優先順位パラメーターを設定することができる。このパラメーターは、Tivoli Enterprise Console アダプターによる後続の処理のためにイベントをリモート UNIX ベースの syslog デーモンに経路指定するときにのみ使用する。

要約 (summarization). イベントを集合させ、イベントよりずっと少ない数の要約イベントを使用してイベントのセットを代替するプロセス。

要約エンジン (summarization engine). Tivoli Risk

Manager 要約機能を実行するコンポーネント。


［ラ行］リスク相関 (risk correlation). Tivoli Risk Manager 環境内の不審なアクティビティーに対処する相関センサー・イベントのプロセス。イベント相関 (event

correlation) も参照。

リスク相関エンジン (risk correlation engine). リスク相関機能を実行する Tivoli Risk Manager のコンポーネント。リスク相関 (risk correlation) も参照。

ルール (rule). XML で記述された論理的なステートメントの集合であり、イベント・サーバーがリスク相関および要約の実行中にイベント同士の関係を認識し、それに応じて自動応答を実行できる。

ルール・エンジン (rules engine). ルール・エンジンは、Tivoli Enterprise Console の心臓部分である。これは一群のルールを使い、イベントに対してアクションを実行する必要があるかどうかを判別する。

ルール・ベース (rule base). Tivoli 環境において、ルールの集合であり、ルールが作成されるときのイベント・クラス定義の集合。Tivoli Enterprise Console は、イベントを管理するときにこのルール・ベースを使用する。組織は、多くのルール・ベースを作成し、それぞれのルール・ベースが、ネットワーク・コンピューティング管理の個別の必要を満たすようにすることができる。

B

BAROC ファイル (BAROC file). C によるオブジェクトの基本レコーダー (BAROC) ファイル。イベント・サーバー内の、定義済みイベント・クラスの内部表記。Tivoli Risk Manager の場合、BAROC ファイルは、Tivoli Risk Manager アダプターの特定タイプによってサポートされるイベントのクラスを記述する。

E

EIF. Tivoli Risk Manager Event Integration Facility を参照。

G

GUI. グラフィカル・ユーザー・インターフェース(graphical user interface) を参照。

I

IDS. 侵入検知システム (intrusion detection system) を参照。

IIS. Internet Information Server を参照。

Internet Information Server (IIS). Microsoft Web サーバー。

J

Java 仮想マシン (Java Virtual Machine). Java ソフトウェアのために、システムに依存しないインターフェースを提供するソフトウェア (Java ランタイム環境を含む)。この用語は、実際の Java 仮想マシンを指すときに使用するもので、Java ランタイム環境を指すわけではない。

Java ランタイム環境 (Java Runtime Environment).Java ソフトウェアのランタイム環境を提供する。Java

仮想マシン (JVM) の上で稼働する。特に注記がなければ、この用語は、ブラウザー、Web サーバー、あるいは他のコンテキストが提供する一般の Java 実行環境を指すもので、Sun 社固有の JRE 製品を指すものではない。

JRE. Java ランタイム環境 (Java Runtime Environment)

を参照。

JVM. Java 仮想マシン (Java Virtual Machine) を参照。

P

Perl. Practical Extraction and Report Language。

Prolog. Programming in Logic。論理プログラム言語のファミリーからのプログラム言語の 1 つ。

R

RMA_conf パラメーター (RMA_conf parameter).RMINSTDIR/etc/rmagent.xml に指定されたエンジン・コンポーネントは Java クラスcom.tivoli.RiskManager.Agent.Engine.Engine を使用する。これにはエンジンの構成ファイルのファイル名を含むRMA_conf パラメーターが必要である。 RMA_conf パラメーターが指定されていない場合、エンジンはイベント分析を実行せず、受信したすべてのイベントを、エンジンのすべての接続先に渡す。

T

Tivoli Enterprise Console. システム、アプリケーション、ネットワーク、およびデータベース・イベントへの修正アクションを収集し、処理し、自動的に開始する

用語集 279

Tivoli 製品。Tivoli Enterprise Console は、ネットワーク・コンピューティング環境を中央化し、グローバルに表す。

Tivoli Enterprise Console イベント (TivoliEnterprise Console event). Tivoli Enterprise Console

固有のイベント。

Tivoli Management Framework. このソフトウェアのインフラストラクチャーが整えられると、Tivoli とTivoli パートナーのシステム管理アプリケーション・プログラムを統合することができる。Framework には、次のものが含まれる。

v オブジェクト要求ブローカー (oserv)

v 分散オブジェクト・データベース

v 基本管理機能

v 基本アプリケーション・サービス

v グラフィカル・ユーザー・インターフェース (GUI)

などの基本デスクトップ・サービス

Tivoli Risk Manager Event Integration Facility(EIF). 簡単なアプリケーション・プログラミング・インターフェース (API) を提供し、ユーザーと Tivoli パートナーが Tivoli Risk Manager の新しいイベント・アダプターを開発して、イベントを Tivoli Enterprise

Console へ転送できるようにするためのツールキット。ユーザーは、サード・パーティーまたは企業内開発のアプリケーションから、イベントを変換することもできる。

Tivoli Risk Manager イベント・サーバーのシステム構成 (Tivoli Risk Manager event server systemconfiguration). 中央相関を実行する Tivoli Enterprise

Console サーバー自体にデプロイできるシステム構成。

Tivoli Risk Manager エージェント (Tivoli RiskManager agent). センサー・イベントのすべてのカテゴリーの処理、およびセンサー・イベントの要約および相関を行い、それを Tivoli Enterprise Console またはTivoli Risk Manager サーバーに送信する Tivoli Risk

Manager コンポーネント。エージェントは、リスク管理環境でクライアント、Tivoli Enterprise Console サーバー、分散相関サーバー、またはゲートウェイとして実行するように構成できる。

Tivoli Risk Manager クライアントのシステム構成(Tivoli Risk Manager client system configuration).センサーまたはセンサー付近にデプロイできるシステム構成。アダプターやセンサーによって作成されたイベントを集めて要約するために使用する。

Tivoli Risk Manager ゲートウェイのシステム構成(Tivoli Risk Manager gateway system

configuration). 単一のシステムが各種アダプターやセンサーから Tivoli Risk Manager クライアント経由で情報を収集するために使用するシステム構成。単一接続を使用してファイアウォール環境から情報を転送する。

Tivoli Risk Manager 分散相関サーバーのシステム構成(Tivoli Risk Manager distributed correlation serversystem configuration). 追加のシステムへの相関プロセスと Tivoli Enterprise Console サーバーからのオフロード相関を分散するために使用するシステム構成。

Tivoli 管理リージョン (Tivoli Management Region).Tivoli Management Framework において、TMR はサーバーであると同時にサーバーと結ばれているクライアントのセットである。1 つの組織で複数の TMR を設定することができる。TMR はリソースの物理接続を指し、ポリシー・リージョンはリソースの論理編成を指すものである。

TME. Tivoli Management Framework を参照。

TMR. Tivoli 管理リージョン (Tivoli Management

Region) を参照。


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アーカイバーキーワード 241

アクセシビリティー x

アクセス・ログ・ファイル構成 200

紹介 187

リアルタイムで更新 187, 191

アタック・イベント、分析 211

アダプター 4

アラートネットワーク IDS 222

ネットワーク IDS 組み込み 223

暗号化 245

公開鍵 245

説明 245

非対称 245

イベントアダプター 4

管理レポート 166

キャッシュ・サイズの設定 51

処理 48

ソース 3

バッファー・ファイル 232

リンク 97

イベント持続性 76

イベント詳細概要 131

センサー・タイプ 136

イベント除去プログラム 64

イベントの正規化イベントのリンク 97

イベント・クラス 94

既知のシステムの識別 95

既知のセンサーの識別 96

許容されるタイム・スタンプ変位 97

クラス・カテゴリーの割り当て 94

属性マッピング 92

トラステッド・システムの識別 96

DNS 検索 92

イベントのリンク 97

イベント要約要約ルール 102

イベント・アダプターカスタム・アダプター 4

イベント・クローズ・プログラム 65

イベント・サーバーエージェント 69

概要 7

拡張構成 44

Prolog 構成設定 45

構成 82

ポート番号 235

Tivoli Risk Manager イベント・サーバーの構成 43

イベント・ソース 3

インシデント 43, 109

カスタマイズ 116

グループ作成の無効化 45

原因イベント 111

構成 117

既存 117

新規 118

変更のアクティブ化 120

重大度設定 112

重大度の設定 47

相関アクション機能 115

相関プロセス 113

タイプ 16, 111

XML 構文 113

インシデント・グループ 43

インシデント・ベースの相関イベントのリンク 97

オプショナル構成相関プロセスの使用不可化 112


構成 109

インストールWeb IDS 195

ウィルス管理レポート 168

エージェント 69

宛先 69, 72

イベント実行依頼 API 69

エンジン 69, 72

開始 85

概要 69

管理 85

キュー 69, 87

構成ファイル 71, 77, 81

使用可能なクラス 72

接続 69

ソース 69, 72

停止 85

ハートビート・イベントの生成 99

フィルター 69

DNS の制御 88

エージェント、送信側インスタンス・カウントの設定 52

エージェントのエレメント 71

エラー・メッセージ 231

エンジンスキップ、sig.nefarious ファイル 195

トラスト、sig.nefarious ファイル 195,

215

パーサー、sig.nefarious ファイル 193,

213

パターン、sig.nefarious ファイル 193,

212, 213

ルール 91

suspicion、sig.nefarious ファイル 194,

214

オンライン・ヘルプWeb アプリケーション 129

［カ行］開始ネットワーク IDS 225

Web IDS 190

概要イベントの正規化 91, 94

イベント要約 101

インシデント・ベースの相関 109

クライアント 6, 7

コンソール 10

サポートされる Web サーバー 189

セキュリティー・イベント処理 13,

17

タスク 179

ネットワーク IDS 219

ネットワーク侵入検知システム 219

ハートビートのモニター 98

分散相関 9

履歴レポートCrystal Reports 12

Perl サポート 190

Tivoli Risk Manager 1

Tivoli Risk Manager セキュリティー・イベント処理 13

Tivoli Risk Manager のトポロジーとアーキテクチャー 2

Tivoli タスク 179

Web IDS sig.nefarious ファイル 206

Web アプリケーション 11

イベント詳細 11

システム情報 11

Advisor 11


カウンター、レベル 216

鍵対 245

リング 254

鍵ペア 245

拡張プロパティー、W3C フォーマット用の 201

カスタマー ID 属性使用可能化 121

カスタマー・サポート x

仮プライベート・ネットワーク(VPN) 250

キーデータベースの作成 261

キーワード 231

規則書体 xi

命名 xi

キャッシュイベント送信速度 232, 233

キーワード 231, 232

キュー 76

共通ログ・フォーマット 203

参照： CLF


組み込みアラート 223

クライアントエージェント 69

概要 6

構成 82

認証 250, 255

クラス・カテゴリー 110

ゲートウェイエージェント 69

システム構成 84

IBM Tivoli Enterprise Console 接続232

結合、sig.nefarious パターン・テストの213

減衰値 216

公開鍵 245

公開鍵、所有者の 246

公開鍵と秘密鍵のペア 245, 248

公開鍵の暗号化 245

構成アクセス・ログ・ファイル 200

イベント・サーバー 44, 82

インシデント・ベースの相関 109

エージェントの 2 位レベル・ファイル77

エージェント・ファイル 71

クライアント・システム 82

ゲートウェイ・システム 84

構成ファイルの関係 82

相関 43


構成 (続き)

ネットワーク IDS、イベント・モニターイベント 228

ウィザード 228

手動 229

ハートビート・イベントを生成するためのエージェント 99

ハートビート・イベントをモニターするための相関サーバー 99

ファイルキーワード 231

分散相関サーバー 83

リスト・ファイルriskmgr_baroc.lst ファイル 49

riskmgr_cfg.lst ファイル 49

riskmgr_pro.lst ファイル 49

riskmgr_rules.lst ファイル 49

リスト・ファイル、.lst 48

ルール・ファイル 49

boot.rls ファイル 50

hostname_remap.rls ファイル 50

riskmanager.rls ファイル 50

Apache Web サーバー 200

Event Integration Facility 231

IBM Tivoli Access Manager WebSEAL

Server 200

Microsoft Internet Information

Server 201


SSL ファイル 257

Sun ONE Web Server 201

Tivoli Risk Manager イベント・サーバー 43

Tivoli Risk Manager イベント・サーバーの拡張 44

Web IDS

Tivoli Risk Manager EIF 206

Web IDS、イベント・モニターイベント 208

ウィザード 208

手動 209

Web サーバー 200

共通ログ・フォーマット 200

構成ファイルwebids.cfg 195

コネクター 73

コマンドiKeyman 261

keytool 259

nids 230

rma_webids 191

webids 187, 190

wrmadmin 85

wrmdbclear 64

wrmdbclose 65

wrmdns 88

コマンド (続き)

wrmqueue 87

wrmstashpw 89

コンポーネント 44

イベント・アダプター 4

イベント・サーバー 7


イベント・モニター 5

エージェントレス・モード 7

カスタム・アダプター 4

クライアント 6

コンソール 10

履歴レポートCrystal Reports 12

Tivoli Enterprise Console アダプター。4


［サ行］削除ディジタル証明書 271

CA ルート・ディジタル証明書 265

作成鍵データベース 261

自己署名ディジタル証明書 264

雑多オペレーション 226

サポートと保守、データベース 64

しきい値グループのしきい値の設定 46

調整 216

識別名所有者 246

発行者 246

シグニチャー 212

シグニチャー・ファイル 205


編集 205

自己署名ディジタル証明書作成 264

説明 249

内容 251

システム情報概要 137

詳細化、refining sig.nefarious パターン・テストの 213

状態相関キャッシュ 232

使用不可ハートビート・イベントの生成 99

ハートビート・イベントのモニター99

除去シグニチャー・クラス 212

トラステッド・シグニチャー 215

不審なホストの定義 214

Web アタック・シグニチャー 213


書体の規則 xi

署名者のディジタル証明書 263

署名付きディジタル証明書 251

所有者の公開鍵 246

所有者の識別名 246

資料オンライン情報 x

本書の関連資料 ix

Tivoli Enterprise Console の前提条件ix

Tivoli Framework の前提条件 ix

Tivoli Risk Manager viii

身体障害 x

侵入検知レポート 165

スキップ・エンジン 195

スペース、ブランク 231

スライディング・ウィンドウ 109

セキュア・トンネル 250

セキュリティーに関する考慮事項 248

セキュリティー・イベント処理概要 13, 17

検知 13, 14

しきい値 16

重大度 16

スライディング・タイム・ウィンドウ16

パターン・マッチング 15

フィルター操作と要約 13, 15

リンク・イベント 15

1 次レベル相関 13, 15

2 位レベル相関 13, 17

接続キーワード 232

センサー・イベント 47

前提条件本書を利用するための資料 ix

相関コンポーネント 44

ハートビート・イベントのモニター99

プロセス 112

属性のフィルター操作 52

ソケット 236

［タ行］タイプ、不審なアクティビティーの 215

タスクイベント管理 183


エージェント 182

概要 179

カスタマイズ 179

管理 211

作成 179


タスク (続き)

Check Point FireWall-1 183

Cisco Secure IDS 184

Cisco Secure PIX Firewall 184

Linux および UNIX ベースのシステム180

Windows システム 180

タスク・ライブラリー 179, 224

単一引用符 231

チャネルキーワード 236

調整しきい値と減衰値 216

追加シグニチャー・クラス 212


不審なホストの定義 214

CA ルート・ディジタル証明書 265


データベースアーカイバーキーワード 241

鍵データベースの作成 261

構成 57

データベース・ユーティリティー 64

パスワードの変更 272

保守とサポート 57, 64

データベース管理ユーティリティー 66

データベースのパスワードの変更 272

デーモン、portmapper 235

定義sig.nefarious パターン・エンジン・テスト 213

ディジタル証明書概要 245

削除 271

自己署名 249, 251, 264

受信 270

使用 250

署名者 263

署名付き 251

セキュリティーに関する考慮事項 248

抽出 266

認証局 (CA) 246, 248

フォーマット 246

目的 246

有効期限 246

要求 251, 269

ルート CA の削除 265

ルート CA の追加 265

レイアウト 247

keytool 259

RSA Secure Server CA 263

SSL と trust チェーン 254

Thawte Personal Basic CA 263

Thawte Personal Freemail CA 263

Thawte Personal Premium CA 263

Thawte Premium Server CA 263

ディジタル証明書 (続き)

Thawte Server CA 263

VeriSign Class 1 Public Primary

CA 263


CA 263


CA 263

VeriSign Test CA ルート証明書 263

ディジタル証明書の受信 270

ディジタル証明書の抽出 266

ディジタル証明書のフォーマット 246

ディジタル証明書の要求 251, 269

ディジタル証明書のレイアウト 247

ディジタル・シグニチャー、発行者 246

デフォルトのインシデント・イベント・タイプ宛先 (Dst) 39

宛先とカテゴリー (DstCat) 39

カテゴリー (Cat) 39

ソース (Src) 39

ソース、宛先、およびカテゴリー(SrcDstCat) 39

ソースと宛先 (SrcDst) 39

ソースとカテゴリー (SrcCat) 39

電子メール 250

トポロジーとアーキテクチャーイベント・アダプター 4



エージェントレス・モード 7

概要 2

カスタム・アダプター 4

クライアント 6

コンソール 10

分散相関 9

履歴レポート 12

Tivoli Enterprise Console アダプター。4

Tivoli Risk Manager イベント・モニター、イベント・モニター 5



トラスト・エンジン 195, 215

［ナ行］認証、クライアント 250, 255

認証局 (CA)

ディジタル証明書 246

ルート CA 249

trust 階層 248

ネットワーク IDS

アダプターの開始 224

アダプターの停止 224

アラート 222

索引 283

ネットワーク IDS (続き)

開始 225

管理タスク 225

組み込みアラート 223

構成 224

イベント・モニター 228

Tivoli Risk Manager EIF 227

雑多オペレーション 226

シグニチャー・ファイル、更新 225

シグニチャー・ベースのアタック・シグニチャー 223

紹介 219

ホスト名の取得 226

ロギング 226

IP アドレスの省略 226

nids コマンド 230

Tivoli Enterprise Console 相関 222

ネットワーク侵入検知システム管理タスク 225

紹介 219

ネットワーク侵入検知システム (NIDS) 4

［ハ行］パーサー・エンジン 193, 213

ハートビートのモニター拡張構成 98

ハートビート・イベントの生成の無効化 99

ハートビート・イベントのモニターの無効化 99

ハートビート・イベントを生成するためのエージェント 99

ハートビート・イベントをモニターするための相関サーバー 99

ハートビート・イベントの使用不可99

ハートビート・イベントのモニターの使用不可 99

分散相関サーバー 99

パスワード、データベースに応じて変更272

パスワードの stash 89

パスワード・スタッシュ (隠蔽) 89

パターン・エンジン 193, 212, 213

パターン・テスト、sig.nefarious 213

発行者の識別名 246

バッファー・ファイル 232

パフォーマンスの考慮事項 51

ハンドシェーク 252

非 TME 48

非対称暗号方式 245

秘密鍵 245, 248

ビューと表 57

表アーカイブの作成 58

表 (続き)

アーカイブ表の定義 59

表とビュー 57

ファイアウォール管理レポート 165

ファイルアクセス・ログ 187

構成 231

バッファー 232

BAROC 231

sensor_abstract.baroc 55

sig.nefarious 206, 213

startconsole.sh Sun ONE Web Server

スクリプト 201

webids コマンド 190

webids.baroc 55

フィルター 74

フィルター・イベントキーワード 233

不審なアクティビティー 188, 214, 215

ホスト 188

不審なアクティビティーのタイプの指定215

ブランク・スペース 231

プリマスター・シークレット 254

プログラムwrmdbclear 64

wrmdbclose 65

分散相関概要 9

分散相関サーバーエージェント 69

構成 83

分析手動でキャプチャーした情報 212

Web アタックのイベント 211

Web サーバー・アクセス・ログ 187,

191

ポートキーワード 237

ポート番号、イベント・サーバー用 235

保護された電子メール 250

保守とサポート、データベース 64

ホスト、不審な 214

ホスト名の検索 226

ポリシー・リージョン 179

本書について vii

本書の関連資料 ix

本書の構成 vii

本書の内容 vii

［マ行］まえがき情報 vii

マスター・シークレット 254

命名規則 xi

メッセージ確認コード (MAC) 254

［ヤ行］ユーティリティー、データベース管理の

66

要約Tivoli Risk Manager タスク 179

Web IDS タスク 211

要約ルール構成 104

既存の要約ルールの更新 104

新規要約ルールの作成 105

変更のアクティブ化 105

作成 105

理解 102

［ラ行］リスク評価レポート 166

履歴レポート概要 12

ルート CA 249

ルールエンジン 91

高度な変更属性の設定、特定の値 118

レベル・カウンター 216

レベル・カウンターの調整 216

ロギングネットワーク IDS アラート 226

ログ・ファイルWeb IDS 187

ログ・フォーマット参照： CLF

AAdvisor

概要 139

ルール・ファイル 140

アクション 143

動的データ 145

特殊文字 149

フィルター 140

リソース ID 145

ルール 143

Web ページのカスタマイズ 148

Web ページの国際化対応 149

Web ページの優先順位付け 147

Apache Web サーバー 200

attribute

カスタマー ID、cust 46


BBAROC

構成ファイル内のクラス名 231

要約 53

BAROC リストのカスタマイズ 51

BatchCount キーワード 231

BufEvtMaxSize キーワード 231

BufEvtPath キーワード 232

BufferEvents キーワード 232

BufferFlushRate キーワード 232

Bugtraq Web サイト 212

CCA ルート・ディジタル証明書削除 265

追加 265

CLF 187, 203

clf_value 203

Common Vulnerabilities Enumeration

(CVE) 212

ConnectionMode キーワード 232

Crystal Reports

イベント管理レポート 166

ウィルス管理レポート 168

概要 165, 175

実行 175

侵入検知レポート 165

ファイアウォール管理レポート 165

リスク評価レポート 166

ODBC 接続のための更新 174

Runtime Engine 177

CVE

エントリーの Web サイト 223

DDB2

ODBC データ・ソース接続のセットアップ 169

DB2 をデータ・ソースとして登録 170,

172

dictionary_value 203

EEvent Integration Facility 231

FFilter キーワード 233

HHTTP 252

IIBM Tivoli Access Manager WebSEAL

Server 200

IKE 標準 250

iKeyman

概要 261

鍵データベースの作成 261

自己署名ディジタル証明書の作成 264

データベースのパスワードの変更 272

ディジタル証明書の削除 271

ディジタル証明書の受信 270

ディジタル証明書の抽出 266

ディジタル証明書の要求 269

CA ルート・ディジタル証明書の削除265

CA ルート・ディジタル証明書の追加265

IP アドレスの省略 226

IP (インターネット・プロトコル) のセキュリティー 250

IPsec 標準 250

JJDBC CLASSPATH 設定 243

JDBC ドライバーセットアップ 89

Kkeytool 259

LLCF トランスポート・タイプ 236

LDAP (Lightweight Directory Access

Protocol) 250

LogFileName キーワード 233

LogLevel キーワード 233

MMaxPacketSize キーワード 233

Microsoft Internet Information Server 201

Microsoft SQL Server


Nnids コマンド 230

OODBC データ・ソースセットアップ 169


Oracle


PPEM 250

Perl サポート 190

portmapper デーモン 235


public key infrastructure (PKI) 254

RRIM ユーティリティー 67

RmadLogging キーワード 233

RMAGENT.XML

最上位構成ファイル 71

参照：エージェントrma_webids 191

rm_Level 109

RSA Secure Server CA 263

Ssensor_abstract.baroc 55

ServerLocation キーワード 234, 237

ServerPort キーワード 235

SET 250

SET (Secure Electronic Transaction) 250

sig.nefarious

シグニチャー・ファイル 192

パターン・テスト 213

Web IDS 206

SSL

暗号化 245

概要 245, 252

構成ファイル 257

定義 250

ディジタル証明書と trust チェーン254

デフォルトの鍵ストア・ファイル 255

パスワードの格納 256

ハンドシェーク 252

SSL の機能 252

索引 285

startconsole.sh Sun ONE Web Server スクリプト 201

Sun ONE Server 201

suspicion エンジン 194, 214

Sybase


S/MIME 250

TTestMode キーワード 235

Thawte

Personal Basic CA 263

Personal Freemail CA 263

Personal Premium CA 263

Premium Server CA 263

Server CA 263

Tivoli Enterprise Console

データベース管理ユーティリティー66

Tivoli Enterprise Console 相関ネットワーク IDS 222

Tivoli Enterprise Console で表示する情報17

Tivoli Enterprise Console-Region ポリシー・リージョン 224

Tivoli Risk Manager

タスク・ライブラリー 179

データベース・ユーティリティー 64

Apache Web サーバーの構成 200


Server の構成 200

Sun ONE Web Server の構成 201

Web IDS の紹介 187

Web サーバーの構成 200

Tivoli Risk Manager および SSL 255

Tivoli Risk Manager 相関Web IDS 188

Tivoli Risk Manager タスク要約 179

Tivoli Risk Manager の更新 x

Tivoli Risk Manager の製品更新 x

Tivoli のセキュリティー管理製品 x

TME アダプターWeb IDS の使用 188

TME トランスポート・タイプ 236

TraceFileName キーワード 236

TraceLevel キーワード 236

TransportList キーワード 236

trust 階層 248

trust チェーン 248, 249, 254

説明 248, 249

ディジタル証明書と SSL 254

TrustStores 258

UURL

カスタマー・サポート x

Tivoli Risk Manager 更新とサービスx

Tivoli Risk Manager 製品 x

Tivoli セキュリティー管理製品 x

VVeriSign, Inc.

Class 1 Public Primary CA 263



Test CA ルート証明書 263

WW3C フォーマット 201

Web IDS

アクセス・ログ・ファイル 187

アクセス・ログ・ファイルの構成 200

イベント相関 188

インストール 195

開始 190

管理 211

構成イベント・モニター 208

構成ファイル 195

アクセス・ログのロールオーバー・サポート 199

機能の再開情報 199

終了情報 197

ファイル・パターン情報 198

編集 196

ライブラリー情報 197

リフレッシュ情報 198

ロケール情報 196

sig.nefarious ファイルのロケーション 197

webids.cfg 195

サポートされる Web サーバー 189

サポートされるアダプター 220

しきい値と減衰値の調整 216

シグニチャー・クラスの除去 212

シグニチャー・クラスの追加 212

紹介 187

トラステッド・シグニチャーの追加または除去 215

パターン・テストの結合と詳細化 213

不審なアクティビティーのタイプの指定 215

不審なホストの追加または除去 214

ユーザー・タスク 211

レベル・カウンターの調整 216

Web IDS (続き)

ログ・ファイル・フォーマット、値203

Apache Web サーバーの構成 200



Microsoft Internet Information Server の構成 201

Perl 前提条件 190

sig.nefarious ファイルの紹介 206


Web アタックのイベントの分析 211

Web アタック・シグニチャーの追加と除去 213

Web IDS の管理 211

しきい値と減衰値 216

シグニチャー・クラス 212

タイプ、不審なアクティビティーの215


パターン・テストの結合と詳細化 213

不審なホスト 214

レベル・カウンター 216

Web アタックのイベント 211


Web IDS のデプロイ 187, 188

Web IDS のユーザー・タスク 211

Web アタックイベント 211

シグニチャー 213

Web アプリケーションイベント詳細 131

センサー・タイプ 136

オンライン・ヘルプ 129

機能の概要 123

グラフィカル・ユーザー・インターフェースの概要 128

グローバル・セキュリティーの使用可能化 125

サインオン・ウィンドウ 130

システム情報 137

複数言語サポート 125

Advisor 139

RmWeb.properties ファイル 124

Tivoli Enterprise Console からのアクセス 127

UTF-8 の使用可能化 125

Web サーバーApache Web サーバーの構成 200



Microsoft IIS の構成 201


Tivoli Risk Manager でサポートされる189


Web サイトBugtraq 212

Common Vulnerabilities Enumeration

(CVE) 212

CVE エントリー 223

Web 資料Tivoli Risk Manager x

Web 侵入検知システム (Web IDS) 4, 17

宛先 (Dst) 41

宛先とカテゴリー (DstCat) 40

カテゴリー (Cat) 40

ソース (Src) 41

ソース、宛先、およびカテゴリー(SrcDstCat) 39

ソースと宛先 (SrcDst) 40

ソースとカテゴリー (SrcCat) 39

webids 190, 191

webids のオプション 190

webids.baroc 55

wrmadmin 85

wrmdbclear 64

wrmdbclose 65

wrmdns 88

wrmqueue 87

wrmstashpw 89

索引 287


��

Printed in Japan

GC88-9793-00

Documents

管理者ガイド - IBMpublib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/ja_JA/... · 2004-02-04 · お願い 本書および本書で紹介する製品をご使用になる前に、273

管理者ガイド - IBMpublib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/ja_JA/... · 2004-02-04 · お願い本書および本書で紹介する製品をご使用になる前に、273