このドキュメントでは、Cisco Secure Intrusion Prevention System(IPS)の false positive アラームの除外について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、Cisco Secure Intrusion Prevention System(IPS)バージョン7.0およびCisco IPS Manager Express 7.0に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
Cisco Secure IPSは、特定のパケットまたはパケットシーケンスが、Cisco Secure IPSシグニチャで定義されている既知の攻撃プロファイルの特性と一致すると、アラームをトリガーします。IPSシグニチャの重要な設計基準は、false positiveアラームとfalse negativeアラームの発生を最小限に抑えることです。
誤検出(誤検知要因)は、IPSが悪意のないアクティビティとして報告した場合に発生します。これは、イベントを診断するために人間の介入を必要とします。多数のfalse positiveによってリソースが大幅に枯渇する可能性があり、それらを分析するために必要な特殊なスキルはコスト高で見つけるのが困難です。
false negativeは、IPSが実際の悪意のあるアクティビティを検出して報告しない場合に発生します。この結果は致命的である可能性があり、新しい不正利用やハッキングの手法が発見されるたびに、シグニチャを継続的に更新する必要があります。false negative を最小限にすることは非常に優先順位が高い項目であり、時には false positive の発生が高くなることを承知した上で行う必要があります。
悪意のあるアクティビティを検出するためにIPSが使用するシグニチャの性質により、IPSの効率を大幅に低下させたり、組織のコンピューティングインフラストラクチャ(ホストやネットワークなど)を著しく中断させることなく、false positiveやnegativeを完全に排除することはほぼ不可能です。IPS導入時のカスタマイズされた調整により、誤検出を最小限に抑えます。コンピュータ環境が変更されたときなどは(新しいシステムやアプリケーションの導入など)、定期的な再調整も必要です。Cisco Secure IPSは、定常状態での動作中に誤検出を最小限に抑えることができる柔軟な調整機能を備えています。
Cisco Secure IPSは、特定のホストまたはネットワークアドレスに対して特定のシグニチャを除外する機能を提供します。除外されたシグニチャは、このメカニズムによって明確に除外されたホストやネットワークからトリガされた場合にはアラーム アイコンやログ レコードを生成しません。たとえば、ネットワーク管理ステーションは、pingスイープを実行してネットワーク検出を実行し、これによりエコーシグニチャ(シグニチャID 2100)を含むICMPネットワークスイープがトリガーされます。シグニチャを除外すると、ネットワーク検出プロセスが実行されるたびにアラームを分析して削除する必要がなくなります。
特定のシグニチャアラームの生成から特定のホスト(送信元IPアドレス)を除外するには、次の手順を実行します。
Configuration > Corp-IPS > Policies > Event Action Rules > rules0の順に選択し、Event Action Filtersタブをクリックします。
[Add] をクリックします。
フィルタ名、シグニチャID、攻撃者のIPv4アドレス、および減算するアクションを該当するフィールドに入力して、OKをクリックします。
注:異なるネットワークから複数のIPアドレスを除外する必要がある場合は、カンマをデリミタとして使用できます。ただし、カンマを使用する場合は、カンマの後にスペースを入力しないでください。スペースを入力すると、エラーが発生する可能性があります。
注:さらに、[イベント変数]タブで定義した変数を使用できます。これらの変数は、複数のイベントアクションフィルタで同じ値を繰り返す必要がある場合に便利です。変数の接頭辞にはドル記号($)を使用する必要があります。変数は次のいずれかの形式になります。
完全なIPアドレス。例:10.77.23.23
IPアドレスの範囲(10.9.2.10 ~ 10.9.2.155など)。
IPアドレスの範囲。172.16.33.15 ~ 172.16.33.100,192.168.100.1 ~ 192.168.100.11など。
イベントアクションフィルタは、送信元または宛先ネットワークアドレスに基づいてアラームを起動する特定のシグニチャも除外します。
特定のシグニチャアラームの生成からネットワークを除外するには、次の手順を実行します。
Event Action Filtersタブをクリックします。
[Add] をクリックします。
フィルタ名、シグニチャID、サブネットマスク付きネットワークアドレス、および減算するアクションを該当するフィールドに入力して、OKをクリックします。
シグニチャのアラームはいつでも無効にできます。シグニチャを有効、無効、およびリタイアするには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用してIMEにログインします。
Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signaturesの順に選択します。
シグニチャを検索するには、Filterドロップダウンリストからソートオプションを選択します。たとえば、ICMP Network Sweepシグニチャを検索する場合は、sig0の下のAll Signaturesを選択してから、シグニチャIDまたは名前で検索します。sig0ペインが更新され、ソート基準に一致するシグニチャのみが表示されます。
既存のシグニチャを有効または無効にするには、シグニチャを選択し、次の手順を実行します。
「Enabled」列を表示して、シグニチャのステータスを確認します。有効なシグニチャのチェックボックスはオンになっています。
無効になっているシグニチャを有効にするには、Enabledチェックボックスをオンにします。
有効になっているシグニチャを無効にするには、Enabledチェックボックスのチェックマークを外します。
1つ以上のシグニチャをリタイアするには、シグニチャを選択して右クリックし、Change Status To > Retiredの順にクリックします。
変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
10-Dec-2001 |
初版 |