各種操作 / その他の設定 / Nozomi Networks産業制御システムセキュリティソリューションとの連携

Nozomi Guardianのセキュリティー通知に基づくエンドポイントの自動遮断

ネットワーク内でNozomi Networks社の産業制御システムセキュリティソリューション Nozomi Guardian（以下、「Nozomi Guardian」と記載します）を使用している場合、AVM EXに内蔵されたNozomiプラグインを介することで、Nozomi Guardianによって検出されたデバイスをAVM EXの資産管理画面で確認したり、ネットワークマップにアイコンを表示することができます。

Note
Nozomi Guardianプラグインの使用には、プラグインのライセンスは不要です。

動作確認済み環境

弊社にて動作を確認している環境は次の通りです。

Nozomi Guardian：
23.2.0-08022302_214DC-advanced-guardian.ova
Nozomi Guardian機能拡張用ファイル：
23.2.0-08022302_214DC-advanced-update.bundle
※機能拡張用ファイルはSmartPolling機能を有効にする際に使用します。Nozomi検出機器（Windows製品）を状態監視に追加したい場合にだけ必要なファイルです。

準備

ここでは、「システム管理」画面の「プラグイン」にてNozomiプラグインを登録する手順を説明します。
なお、Nozomi Guardianの設定が正しく行われており、ネットワークのデバイス検出が正常に動作しているものとします。

Nozomi Guardian側

Nozomi Guardian側では次の準備が必要となります。

Nozomi Guardian バージョン23.2.0以降を使用している
Nozomi Guardianが起動している　※起動していれば連携時にNozomi Guardianへのログインは不要
プラグイン登録時に使用するキー名、キートークンを設定している
検出した機器を状態監視の対象機器にも追加したい場合、Nozomi Guardian側でWinRMを使用したSmartPollingを設定している

Note
Nozomi Guardianで検出した機器のうち状態監視画面でも表示できるのはWindows製品のみです。

AT-Vista Manager EX側

Nozomiプラグインの登録

メインメニューから「システム管理」を選択します。
コンテンツ欄左側の一覧から「プラグイン」を選択します。
プラグイン管理画面下部のプラグイン一覧から、右上の「プラグインを追加」ボタンをクリックします。
サーバー URLに、AVM EXに内蔵のNozomiプラグインに対応したURLを入力し、「プラグインを登録」ボタンをクリックします。
```
https://（AVM EXのIPアドレス）:15443
```
内蔵のNozomiプラグインのプラグイン証明書フィンガープリントが表示されます。
「フィンガープリントの一致を確認」ボタンをクリックします。
Nozomi Guardianセットアップ情報を入力する画面に切り替わります。
Nozomi Guardianで設定したキー名、キートークン、IPアドレスを入力して、「保存」ボタンをクリックします。

プラグインの連携が成功すると、プラグイン一覧に「Nozomiプラグイン」が追加されます。

以後、Nozomi Guardianで検出されたデバイスは、ネットワークマップや資産管理画面、状態監視画面で確認できるようになります。

Note
Nozomi Guardianで検出されたデバイスのステータスは反映されません。常にオンラインとして表示されます。

■ ネットワークマップの例

Note
Nozomiプラグインやその他のプラグインをAMFネットワークの管理と組み合わせている場合、それぞれの情報をすべて合わせて表示するため、Nozomiプラグインが受け取った接続情報がその他の接続情報と異なる場合、それぞれのリンクが複数表示されます。この場合、マップ編集モードで重複したデバイスアイコンのコンテキストメニューから非表示にすることができます。

■ 状態監視の例

syslogセキュリティーメッセージ変換

Nozomi Guardianからのデバイスに関する情報はsyslogメッセージでAVM EXに通知されます。
syslogセキュリティーメッセージ変換を有効にすることで、ネットワークマップや資産管理のデバイス一覧、エンドポイント一覧にて、不審な挙動を行うデバイスにアラームアイコンを表示して注意を促すことができます。
syslog セキュリティーメッセージ変換は「システム管理」画面で設定します。

メインメニューから「システム管理」を選択します。
コンテンツ欄左側の一覧から「設定」を選択します。
設定画面下部の「オプション機能」から、「syslogセキュリティーメッセージ変換」を有効に設定します。

有効にすると、「イベント」画面の「ルール」タブにルールセットが自動登録され、特定のsyslogメッセージを受信するとイベントとして通知を発生させます。
各ルールは必要に応じて有効/無効を設定できます。編集はできません。また、イベントのログレベルはsyslogメッセージのログレベルに依存します。

また、「インテリジェント・エッジ・セキュリティー（IES）」を併用している場合は、「資産管理」画面の「エンドポイント」タブにこれらのセキュリティーイベントの通知件数が表示されます。

Nozomi Guardianのセキュリティー通知に基づくエンドポイントの自動遮断

「資産管理」画面の「エンドポイント」タブでは、Nozomi Guardianにより検出されたエンドポイントにセキュリティーアラームが発生した際、該当のエンドポイントのMACアドレスを拒否するようRADIUSサーバーに要求し、この通信を自動的に遮断することができます。
本機能を使用する場合は、次の3つに加え、エンドポイントの自動遮断を有効に設定している必要があります。

インテリジェント・エッジ・セキュリティー（IES）
Nozomi Guardianとの連携（Nozomiプラグインの登録）
syslogセキュリティーメッセージ変換

エンドポイントの自動遮断の設定は、エンドポイントタブで行います。

メインメニューから「資産管理」を選択します。
コンテンツ欄右上の「表設定」ボタン（歯車アイコン）をクリックします。
「エンドポイントの自動遮断」ダイアログが表示されます。
「安全でないエンドポイントの自動遮断」を有効に設定します。
併せて、「エンドポイント自動遮断の発生時にメール通知を送信」、「アラーム重要度の下限」を設定します。

設定は以上です。