この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)のポリシー、ポリシー構造、およびポリシー テンプレートについて説明します。また、ポリシーおよびポリシー テンプレートのパラメータの設定方法についても説明します。
• ポリシーについて
• ポリシーの監視
トラフィックの統計分析を実行するため、Detector には特定のタイプのトラフィックを処理する方法についての定義が含まれています。これらの定義をポリシーといいます。ポリシーは、Detector モジュール統計エンジンの構成要素です。各ゾーンには、ゾーンのトラフィック パターンに合せて調整されたポリシーのセットがあります。これらのポリシーは、悪意となる可能性のある異常をトレースするために、Detector モジュールがゾーンのトラフィックと比較する基礎となります。ポリシーは、トラフィック フローを持続的に測定し、特定のトラフィック フローが悪意のあるものまたは異常であると判断すると、そのフローに対してアクションを実行します。このアクションは、フローがポリシーのしきい値を超過すると発生します。
ゾーンの特定のトラフィック特性に合ったポリシーを作成するために、Detector モジュールは 2 つのフェーズのラーニング プロセスでゾーンのトラフィックをラーニングします。また、定義済みのポリシー テンプレートを使用してポリシーを構築します。各ポリシー テンプレートは、ポリシーの作成に使用され、特定の DDoS 脅威を検出するために Detector モジュールが必要とする検出面を扱います。
ポリシーの作成後、ポリシーの追加および削除、またはポリシー パラメータの変更を行うことができます。
Detector モジュールは、ゾーンのトラフィック フローに関する統計分析を行います。各ポリシーは、特定のトラフィック フローを測定します。ポリシーは、Detector モジュールが分析に使用する特性を定義します。ポリシー名はセクションで構成されます。各セクションは、異なるトラフィック特性に関連する異なる役割を示します。たとえば、ポリシー http/80/analysis/syns/src_ip は、Detector モジュールの分析検出モジュールによって認証され、送信元 IP アドレスに応じて集約された、ポート 80 宛ての HTTP SYN パケットのトラフィック フローを測定します。
図 7-1 に、ポリシー名の例を示します。
表 7-1 で、ポリシー名のセクションについて詳しく説明します。
|
|
---|---|
ポリシーの構築に使用されたポリシー テンプレートを示します。各ポリシー テンプレートは、特定の DDoS 脅威を検出するために Detector モジュールが必要とする検出面を扱います。詳細については、「ポリシー テンプレートについて」を参照してください。 |
|
検出ポリシーに関連するポート番号またはプロトコル番号を示します。詳細については、「サービス」を参照してください。 |
|
Detector モジュールがトラフィック フローの処理に使用する検出モジュールを示します。詳細については、「検出モジュール」を参照してください。 |
|
Detector モジュールが監視するパケット タイプを示します。詳細については、「パケット タイプ」を参照してください。 |
|
Detector モジュールがポリシーの集約に使用するトラフィック特性を示します。詳細については、「トラフィック特性」を参照してください。 |
ポリシー名の最初の 4 つのセクション( ポリシー テンプレート 、 サービス 、検出 モジュール 、 および パケット タイプ )では、分析するトラフィックのタイプが定義されます。ポリシー パスの最後のセクション( トラフィック特性 )では、フローの分析方法が定義されます。
ポリシーには、相互依存性および優先度があります。同じトラフィック フローを定義する 2 つのポリシーがある場合、Detector モジュールは、より限定的なポリシーを使用してフローを分析します。たとえば、TCP サービスに関連するポリシーでは、HTTP 関連のポリシーによって処理される HTTP サービスが除外されます。
ポリシーの動作面を設定できます。動作面では、何がポリシーをトリガーするか、およびポリシーがアクティブになったときにポリシーが実行するアクションが定義されます。詳細については、「ポリシー パラメータの設定」を参照してください。
Detector モジュールは、ラーニング プロセスでゾーンのポリシーを作成します。ラーニング プロセスは 2 つのフェーズで構成され、これらのフェーズで Detector はゾーンのトラフィックをラーニングし、特定のゾーンのトラフィック特性に対応します。
1. ポリシー構築フェーズ :このフェーズでは、Detector はポリシー テンプレートを使用して、ゾーンのポリシーを構築します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。
2. しきい値調整フェーズ :このフェーズでは、Detector はゾーンのサービスのトラフィック レートに合せてポリシーのしきい値を調整します。トラフィックが透過的に Detector を通過し、Detector はポリシー構築フェーズ中に検出されたサービスのしきい値を調整できます。
詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。
ポリシー テンプレートは、ポリシー構築の規則をまとめたものです。Detector モジュールは、ポリシー構築フェーズでポリシー テンプレートを使用してゾーンのポリシーを作成します。ポリシー構築フェーズの終わりの各テンプレートの出力は、ポリシーのグループです。ポリシー テンプレートの名前は、作成されるすべてのポリシーに共通の特性に由来しています。テンプレートの名前として、プロトコル(DNS など)、アプリケーション(HTTP など)、または目的(ip_scan など)が使用されます。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを生成します。新しいゾーンを作成する場合、Detector モジュールのゾーン設定には一連のポリシー テンプレートが用意されています。
表 7-2 で、Detector モジュールのポリシー テンプレートについて説明します。DETECTOR_DEFAULT ゾーン テンプレートを使用して新しいゾーンを作成する場合、Detector モジュールには次のポリシー テンプレートが用意されています。
テンプレート |
|
---|---|
異なるタイプの TCP パケット間の比率。たとえば、SYN パケットと FIN/RST パケットの比率に関連するものです。 |
|
DETECTOR_WORM ゾーン テンプレートを使用してゾーンを定義する場合、Detector モジュールには追加のポリシー テンプレートが用意されています。
表 7-3 で、DETECTOR_WORM に関する Detector のポリシー テンプレートについて説明します。
テンプレート |
|
TCP ワーム。このポリシーは、ワーム攻撃を管理します。この攻撃では、1 つまたは複数の送信元 IP アドレスから、多数の宛先 IP アドレスに対する多数の未確立の接続が同一ポート上に作成されます。このポリシー テンプレートは、主として、IP アドレス定義がサブネットであるゾーンを対象に設計されています。 (注) このポリシー テンプレートを使用できるのは、 Detector モジュールは、ポリシー構築フェーズではなく、ラーニング プロセスのしきい値調整フェーズで、このポリシー テンプレートから作成されたポリシーにサービスを追加します。ポリシー テンプレート パラメータの max_services と min_threshold は、このポリシー テンプレートには適用されません。詳細については、「ワーム ポリシーについて」を参照してください。 |
GUARD_TCP_NO_PROXY ゾーン テンプレートでゾーンを定義した場合、Detector モジュールは 表 7-4 で説明されているポリシー テンプレートを使用します。Detector モジュールは、http、tcp_connections、および tcp_outgoing のポリシー テンプレートをそれぞれ http_ns、tcp_connections_ns、および tcp_outgoing_ns のポリシー テンプレートに置き換えます。http_ns、tcp_connections_ns、および
tcp_outgoing_ns のポリシー テンプレートでは、強力な保護メカニズムを使用することを Guard モジュールに要求するアクションを持つポリシーは作成されません。
表 7-4 で、GUARD_TCP_NO_PROXY に関する Detector のポリシーを詳しく説明します。
|
|
---|---|
すべてのポリシー テンプレートのリストを表示するには、ゾーン設定モードで policy-template コマンドを入力し、Tab キーを 2 回押してください。
ラーニング プロセス中、ゾーンのトラフィックは Detector を透過的に通過します。アクティブな各ポリシー テンプレートは、ゾーンのトラフィックの特性に応じてポリシーのグループを生成します。Detector では、特定のポリシー テンプレートから Detector が生成するポリシーの最大数を定義できます。Detector は、ポリシー テンプレートに関連するサービスをトラフィック量のレベルによってランク付けします。次に、Detector は、定義済みの最小しきい値を超えたサービスの中で最大のトラフィック量を持ついくつかのサービスをピックアップして、各サービスのポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。このようなポリシーは、any というサービスで追加されます。
• サービスの最大数の設定 :Detector がポリシー テンプレートから特定のポリシーを作成するときの対象となるサービスの最大数を定義します。
• 最小しきい値の設定 :Detector モジュールでサービスをランク付けするために超える必要のある最小しきい値を定義します。
• ポリシー テンプレートの状態の設定 :Detector モジュールがポリシー テンプレートからポリシーを生成するかどうかを定義します。
ポリシー テンプレート パラメータである、サービスの最大数と最小しきい値は、worm_tcp ポリシー テンプレートには影響しません。
ポリシー テンプレート パラメータを設定するには、ポリシー テンプレート設定モードに入ります。次のコマンドを入力します。
policy-template policy-template-name
policy-template-name 引数には、ポリシー テンプレートの名前を指定します。詳細については、 表 7-2 を参照してください。
このコマンドを実行すると、Detector モジュールはポリシー テンプレート設定モードに入ります。
特定のポリシー テンプレートのパラメータを表示するには、ポリシー テンプレート設定モードで show コマンドを使用します。
サービスの最大数のパラメータは、ポリシー テンプレートがピックアップしてポリシーを作成する対象となるサービスの最大数(プロトコル番号やポート番号)を定義します。 Detector は、ポリシー テンプレートに関連するサービスをトラフィック量のレベルによってランク付けします。Detector は、定義済みの最小しきい値( min-threshold パラメータで定義)を超えたサービスの中で最大のトラフィック量を持ついくつかのサービスをピックアップして、各サービスのポリシーを作成します。そのポリシー テンプレートの特性を備えた他のすべてのトラフィック フローを処理する追加のポリシーが、any というサービスで追加されることがあります。
(注) サービスの最大数が大きいほど、ゾーンが使用するメモリが多くなります。
このパラメータは、サービスを検出するポリシー テンプレート(tcp_services、tcp_services_ns、udp_services、および other protocols など)にのみ定義できます。特定のサービスに関連するポリシー テンプレート(サービス 53 に関連する dns_tcp など)や特定のトラフィック特性に関連するポリシー テンプレート( fragments など)にこのパラメータを設定することはできません。
Detector は、ポリシーのトラフィック特性に応じて、サービスに対するトラフィック レートを測定します。このトラフィック特性とは、送信元 IP アドレス、宛先 IP アドレス、または送信元ネットです。サービス any に関連するポリシーは、特定のポリシーによって処理されないすべてのサービスの送信元 IP アドレスのレートを測定します。したがって、こちらの値は精度が劣ります。
サービスの数を制限すると、希望のトラフィック フロー要件に合せて Detector のポリシーを設定できます。
max-services 引数は、Detector がピックアップするサービスの最大数を定義する 2 以上の整数です。サービスの最大数が 10 を超えないようにすることをお勧めします。
最小しきい値のパラメータは、サービスの最小トラフィック量を定義します。このしきい値を超えると、Detector は、しきい値を超えた特定のトラフィック フローに応じて、サービスのトラフィックに関連するポリシーを構築します。
正しいゾーン検出に不可欠であるために常にポリシーを構築するポリシー テンプレート(tcp_services、udp_services、other_protocols、http、および fragments)に、このパラメータを設定することはできません。
このしきい値を設定すると、Detector の検出をゾーンのサービスのトラフィック量に、よりよく適合させることができます。
min-threshold 引数は、0 以上の実数(小数点以下が 2 桁の浮動小数点型の数字)で、最小しきい値レート(pps)を定義します。同時接続および SYN/FIN の比率を測定する場合、しきい値は接続の合計数を定義する整数になります。
このパラメータは、ポリシー テンプレートの状態を定義します。ポリシー テンプレートは、イネーブルまたはディセーブルにすることができます。ポリシー テンプレートをディセーブルにすると、Detector がポリシー構築フェーズを経ても、ポリシー テンプレートからポリシーが生成されません。
1 つのコマンドで、ポリシー テンプレートのすべての動作パラメータを設定できます。次のコマンドを入力します。
policy-template policy-template-name max-services min-threshold {disabled | enabled}
表 7-5 で、policy-template コマンドの引数とキーワードについて説明します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表 7-1 を参照してください。 |
|
Detector が特定のポリシー テンプレートからポリシーをピックアップおよび構築するときの対象となるサービスの最大数。 Detector モジュールで現在の値が変更されないようにするには、-1 という値を入力します。 詳細については、「サービスの最大数の設定」を参照してください。 |
|
Detector モジュールでサービスをランク付けするために超える必要のある最小しきい値。 Detector モジュールで現在の値が変更されないようにするには、-1 という値を入力します。 詳細については、「最小しきい値の設定」を参照してください。 |
|
ポリシー テンプレートをディセーブルにして、ポリシーが生成されないようにします。詳細については、「ポリシー テンプレートの状態の設定」 を参照してください。 |
|
ポリシー テンプレートをイネーブルにします。 詳細については、「ポリシー テンプレートの状態の設定」 を参照してください。 |
次の例は、ポリシー テンプレート tcp_services のパラメータを設定する方法を示しています。サービスの最大数は 3 に設定されます。最小しきい値は変更されず(-1)、ポリシーの状態は enabled に設定されます。
• ポリシー テンプレート(「ポリシー テンプレートについて」を参照)
• サービス
• 検出モジュール
• パケット タイプ
• トラフィック特性
サービス セクションは、ポリシーに関連するゾーン アプリケーション ポートまたはプロトコルを示します。ポリシーには、相互依存性および優先度があります。同じトラフィック フローを定義する 2 つのポリシーがある場合、Detector モジュールは、より限定的なポリシーを使用してフローを分析します。サービス any は、同じポリシー テンプレートから作成された他のサービスと特に一致しないすべてのトラフィックに関連します。
ゾーンの主なサービスに対して特定のポリシーを定義し、検出が最適に調整されたことを保証するようお勧めします。
ゾーン ポリシーへのサービスの追加またはゾーン ポリシーからのサービスの削除を行うと、Detector モジュールはそのゾーン ポリシーに未調整のマークを付けます。ゾーンが検出およびラーニング動作状態の場合、Detector モジュールは、ユーザによって次のアクションのいずれかが実行されるまでゾーンのトラフィックの異常を検出できません。
• ラーニング プロセスのしきい値調整フェーズを実行して、その結果を受け入れる(「しきい値の調整」を参照)。
• ゾーン ポリシーを調整済みとしてマークする(「ポリシーに対する調整済みのマーク付け」を参照)。
• サービスの追加
• サービスの削除
特定のポリシー テンプレートから作成されたポリシーすべてにサービスを追加し、より限定的なポリシーを作成することができます。新しいサービスは、ポリシー構築フェーズ中に検出されたサービスに追加されます。新しいサービスは、デフォルト値を使用して定義されます。しきい値を手動で定義することはできますが、しきい値調整フェーズを実行し(詳細については、「しきい値の調整」を参照)、ポリシーをゾーン トラフィックに合せて調整することをお勧めします。
新しいサービスを追加できるのは、次のポリシー テンプレートから作成されたポリシーです。
• tcp_services、udp_services、tcp_services_ns、worm_tcp:サービスはポート番号を指定します。
• other_protocols:サービスはプロトコル番号を指定します。
(注) サービスの追加後にポリシー構築フェーズを実行すると、手動で追加したサービスを新しいサービスが上書きすることがあります。
次の状況において、ポリシー構築を再度実行しない場合は、サービスを手動で追加する必要があります。
• 新しいアプリケーションまたはサービスがゾーン ネットワークに追加された。
• ポリシー構築フェーズの実行期間が短かったため、一部のネットワーク サービスが反映されていない(たとえば、週に 1 回のみあるいは夜間のみアクティブになる既知のアプリケーションまたはサービスがある)。
サービスを追加するには、ポリシー テンプレート設定モードで次のコマンドを入力します。
policy-template policy-template-name add-service service-num
表 7-6 で、policy-template コマンドの引数について説明します。
|
|
---|---|
|
ポリシー テンプレート名。詳細については、 表 7-2 を参照してください。 |
-conf-zone-scannet-policy_template-tcp_services#
add-service 25
ポリシー テンプレートに関連する特定のサービスを削除できます。Detector モジュールは、特定のポリシー テンプレートから作成されたすべてのポリシーからサービスを削除します。
サービスを削除するには、ポリシー テンプレート設定モードで次のコマンドを入力します。
policy-template policy-template-name remove-service service-num
表 7-7 に、 remove-service コマンドの引数を示します。
|
|
---|---|
|
ポリシー テンプレート名。詳細については、 表 7-2 を参照してください。 |
• tcp_services、udp_services、tcp_services_ns:サービスはポート番号です。
• other_protocols:サービスはプロトコル番号です。
次の状況において、ラーニング プロセスのポリシー構築をアクティブにしない場合は、サービスを手動で削除する必要があります。
• アプリケーションまたはサービスがネットワークから削除された。
• イネーブルにするつもりのない(そのネットワーク環境では一般的でないため)アプリケーションまたはサービスが、ポリシー構築フェーズ中に識別された。
(注) サービスの削除後にポリシー構築フェーズを実行すると、そのサービスが再度追加されることがあります。
-conf-zone-scannet-policy_template-tcp_services#
remove-service 25
検出モジュール セクションは、Detector モジュールがトラフィック フローの処理に使用する検出モジュールを示します。このセクションは情報提供用で、検出モジュールを設定することはできません。
パケット タイプ セクションは、Detector モジュールが監視するパケット特性を示します。パケット特性は、次のいずれかです。
• Detector モジュールによるパケット分析:たとえば、認証されたパケットや、接続が TCP ハンドシェイクを実行していることを Detector モジュールが確認したパケット
表 7-8 で、Detector モジュールが監視するパケット タイプについて説明します。
|
|
---|---|
SYN および FIN フラグの付いたパケット。Detector モジュールは、SYN フラグの付いたパケット数と FIN フラグの付いたパケット数の比率を確認します。 |
|
トラフィック特性セクションは、ポリシーの集約に使用されたトラフィック特性を示します。ポリシー名の最初の 4 つのセクション( ポリシー テンプレート 、 サービス 、検出 モジュール 、 および パケット タイプ )では、分析するトラフィックのタイプが定義されます。トラフィック特性では、トラフィック フローを分析する方法が定義されます。したがって、同じトラフィック フローを分析するが、異なる特性に応じてレートを測定する異なるポリシーが存在することがあります。たとえば、 dns_tcp/53/analysis/pkts/dst_ip と dns_tcp/53/analysis/pkts/src_ip です。
表 7-9 で、Detector モジュールが監視するトラフィック特性について説明します。
|
|
---|---|
特定の宛先ポート上でゾーン宛先 IP アドレスをスキャンする送信元 IP アドレスの数のヒストグラム。詳細については、「ワーム ポリシーについて」を参照してください。 |
|
多数のゾーン IP アドレスが同じポートにあることを調査する 1 つの IP アドレスからのトラフィック。このキーは IP スキャニングに使用されます。 |
|
1 つのゾーン宛先 IP アドレスに多数のポートがあることを調査する 1 つの IP アドレスからのトラフィック。このキーはポート スキャニングに使用されます。 |
ラーニング プロセスの完了後、特定のポリシー パラメータを表示できます。ポリシー パラメータを表示すると、ポリシー パラメータがゾーンのトラフィックに適しているかどうかを判断できます。1 つのポリシーまたはポリシーのグループを設定できます。必要に応じて、ポリシー パラメータを設定し、ポリシーをゾーンのトラフィック要件に適合させることができます。
ポリシー パラメータの設定を表示するには、ポリシー設定モードで show コマンドを使用します。
1 つの特定のポリシーまたはポリシーのグループを設定できます。
ポリシー設定モードに入るには、ゾーン設定モードで次のコマンドを入力します。
policy-path 引数には、ポリシー パス セクションを指定します。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ポリシー パス構造」を参照してください。
(注) ポリシー パス プロンプトで policy .. と入力すると、ポリシー パス階層で 1 レベル上に移動します。
• ポリシーの状態:「ポリシーの状態の変更」を参照してください。
• ポリシーのしきい値:「ポリシーのしきい値の設定」を参照してください。
• ポリシーのタイムアウト:「ポリシーのタイムアウトの設定」を参照してください。
• ポリシーのアクション:「ポリシーのアクションの設定」を参照してください。
• ポリシーのインタラクティブ ステータス:「ポリシーのインタラクティブ ステータスの設定」を参照してください。
ポリシーの アクション 、 タイムアウト 、 しきい値 、およびラーニング パラメータの引数は、ポリシー パスの各セクションで変更できます。ただし、高レベルのポリシー セクション(ポリシー テンプレート セクションやサービス セクションなど)でこれらのパラメータを変更すると、より多くのポリシーが影響を受けます。上位レベルのポリシー パス階層でこれらのパラメータを設定すると、すべてのサブポリシー パスでこれらのパラメータが変更されます。
Detector モジュールでは、 show policies コマンドおよび show policies statistics コマンドを発行するときに、各ポリシー パス セクションでワイルドカード文字としてアスタリスク(*)を使用できます。ポリシー パス セクションを指定しないと、指定していないセクションが Detector モジュールによってワイルドカード(*)とみなされます。
たとえば、ポリシーを tcp_services//analysis//global のように指定する場合です。
Detector モジュールのポリシーには、次の 3 つの状態があります。
• Active:ポリシーがトラフィックに関連し、しきい値超過が発生するとアクションを実行します。
• Inactive:ポリシーがトラフィックに関連し、しきい値を取得しますが、しきい値超過が発生してもアクションを実行しません。したがって、ポリシーが新しいしきい値調整ラーニング フェーズを経るようにする必要はありません。
• Disabled:ポリシーがトラフィック フローに関連しないため、しきい値が取得されません。このため、ポリシーに新しいしきい値調整フェーズを実行して、Detector モジュールにポリシーの適切なしきい値を監視させる必要があります。
ポリシーの状態を変更するには、ポリシー設定モードで次のコマンドを入力します。
state { active | disabled | inactive }
次の例は、 /dns_tcp/53/analysis/syns に一致するフローを持つすべてのポリシーの状態をディセーブルに設定する方法を示しています。
ポリシーをディセーブルにした後でポリシー構築フェーズを実行すると、トラフィック フローに応じてポリシーが再設定されます。その結果、ポリシーが再びアクティブになることがあります。
ポリシーのしきい値は、特定のポリシーのしきい値トラフィック レートを定義します。このしきい値を超過すると、ポリシーはアクションを実行してゾーンを検出します。ポリシーのしきい値は、しきい値調整フェーズで調整されます。
しきい値は、次のポリシー テンプレートで構築されたポリシーを除き、pps で測定されます。
• num_soruces :しきい値は IP アドレスまたはポートの数で測定されます。
• tcp_connections :しきい値は接続の数で測定されます。
• worm_tcp :しきい値は、送信元 IP からスキャンできるゾーン宛先 IP アドレスの最大数として測定されます。
• しきい値を設定する:ポリシーのしきい値を設定できます。「ポリシーのしきい値の設定」を参照してください。
• しきい値の乗算を行う:Detector モジュールは、ポリシーの現在のしきい値に係数を掛けます。新しい値を固定値として設定しない場合、後続のしきい値調整フェーズでこの値が変更されることがあります。「係数によるしきい値の乗算」を参照してください。
• 特定の IP しきい値を設定する:Detector モジュールは、ゾーンのアドレス範囲内の特定の IP 送信元アドレスに対するしきい値を設定します。「特定の IP しきい値の設定」を参照してください。
別のしきい値調整フェーズを実行すると、ポリシーのしきい値が変化する場合があります。後続のしきい値調整フェーズでしきい値が変更されるかどうかは、次の方法で指定できます。
• しきい値を固定値として設定する :Detector モジュールは、後続のしきい値調整フェーズで、ポリシーのしきい値である proxy-threshold および
threshold-list を変更しません。「固定値としてのしきい値の設定」を参照してください。
• ポリシーのしきい値の固定乗数を設定する :Detector モジュールは、後続のしきい値調整フェーズで、ポリシーの現在のしきい値、ラーニングしたしきい値、および固定乗数に基づいてポリシーのしきい値を計算します。「しきい値の乗数の設定」を参照してください。
ポリシーのしきい値を設定するには、次のコマンドを入力します。
threshold 引数は、ポリシーのしきい値を指定する正数です。
次の例は、ポリシー http/80/analysis/pkts/global のしきい値を 300 に設定する方法を示しています。
ポリシーのしきい値である proxy-threshold と threshold-list は、固定値として設定できます。Detector は、ラーニング プロセスのしきい値調整フェーズにおいて新しいしきい値を無視し、現在のしきい値を保持します。この機能により、ポリシーのしきい値を設定しながらも、引き続き他のポリシーのしきい値をラーニングすることが可能になります。
ポリシーのしきい値を固定値として設定するには、ポリシー設定モードで次のコマンドを入力します。
learning-params fixed-threshold
1 つのコマンドで、複数のポリシーのしきい値を固定値として設定できます。この場合、ゾーン設定モードでコマンドを使用します。ゾーン設定モードでポリシーのしきい値を固定値として設定するには、次のコマンドを入力します。
policy policy-path learning-params fixed-threshold
policy-path 引数には、ポリシー パスを指定します。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ポリシー パス構造」を参照してください。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-parameters コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-parameters コマンドを使用します。
ポリシーのしきい値の乗数を設定できます。Detector モジュールは、後続のしきい値調整フェーズの結果を受け入れる前に、ラーニングしたしきい値に指定の乗数を掛けてポリシーのしきい値を計算します。Detector モジュールは、設定されているしきい値選択方式を使用して、しきい値調整フェーズの結果を受け入れます(「しきい値選択方式の設定」を参照)。
ポリシーのしきい値の乗数を設定するには、ゾーン設定モードで次のコマンドを入力します。
policy policy-path learning-params threshold-multiplier threshold-multiplier
表 7-10 で、 learning-params threshold- multiplier コマンドの引数について説明します。
|
|
---|---|
乗数を掛ける対象のしきい値を持つポリシーのパス。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ポリシー パス構造」を参照してください。 |
|
ポリシーのしきい値に掛ける正の実数(小数点以下が 2 桁の浮動小数点型の数字)。ポリシーのしきい値を小さくするには、1 より小さい数値を入力します。 |
ポリシー設定モードでポリシーのしきい値の乗数を設定するには、learning-params threshold-multiplier threshold-multiplier コマンドを使用します。
次の例は、ポリシー テンプレート dns_tcp から作成されたポリシーのしきい値を半分にする方法を示しています。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-parameters コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-parameters コマンドを使用します。
1 つのポリシーまたはポリシーのグループのしきい値に係数を掛けることができます。このようにして、トラフィック量がゾーンのトラフィックを表さない場合に、1 つのポリシーまたはポリシーのグループのしきい値を増減できます。Detector モジュールは、ポリシーのしきい値、プロキシしきい値、および policy threshold-list コマンドを使用して定義されたしきい値を乗算します。
ポリシーのしきい値に係数を掛けるには、次のコマンドを入力します。
policy policy-path thresh-mult threshold-multiply-factor
表 7-11 で、policy thresh-mult コマンドの引数について説明します。
|
|
---|---|
|
ポリシー テンプレート名。詳細については、 表 7-2 を参照してください。 |
|
しきい値に掛ける 正の実数 (小数点以下が 4 桁の浮動小数点型の数字)ポリシーのしきい値を小さくするには、1 より小さい数値を入力します。 |
Detector モジュールは、後続のしきい値調整フェーズでしきい値を変更する場合があります。Detector モジュールが後続のしきい値ラーニング フェーズでしきい値を変更できないようにするには、しきい値を固定値として設定します。「固定値としてのしきい値の設定」を参照してください。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-parameters コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-parameters コマンドを使用します。
特定の IP しきい値を設定するには、次の方法を使用します。
• ある IP 送信元から大量のトラフィックがあることが分かっている場合は、特定の IP 送信元アドレスに適用するしきい値を設定できます。
• ゾーンの一部だけに宛てた大量のトラフィックがあることが分かっている非同種ゾーン(複数の IP アドレスが定義されているゾーン)の場合は、特定の IP 宛先アドレスに適用するしきい値を設定できます。
宛先 IP(dest_ip)というトラフィック特性を持つポリシーだけに、特定の IP しきい値を設定できます。
特定の IP しきい値を設定するには、次のコマンドを入力します。
policy policy-path threshold-list ip threshold [ip threshold ...]
表 7-12 で、policy threshold-list コマンドの引数について説明します。
|
|
---|---|
|
ポリシー テンプレート名。詳細については、 表 7-2 を参照してください。 |
|
|
|
しきい値トラフィック レート(pps)。ただし、同時接続および SYN 対 FIN の比率を測定するポリシーの場合、しきい値は接続数になります。 |
ポリシーごとに特定の IP しきい値を 10 個まで追加できます。特定の IP しきい値をすべて 1 つのコマンドで入力できます。
しきい値選択方式が new-thresholds に設定されていると、Detector モジュールは後続のしきい値調整フェーズでポリシーのしきい値を変更する場合があります(詳細については、「しきい値選択方式の設定」を参照)。
次の例は、ポリシー http/80/analysis/syns/src_ip に、IP アドレス 10.10.10.2 および 10.10.15.2 の特定の IP しきい値を設定する方法を示しています。
user@DETECTOR-conf-zone-scannet-policy-/http/80/analysis/syns/src_ip#
threshold-list 10.10.10.2 500 10.10.15.2 500
ポリシーによって生成される動的フィルタがそのアクションを適用する最小期間を定義するタイムアウト パラメータ。
ポリシーのタイムアウトを設定するには、次のコマンドを入力します。
表 7-13 で、timeout コマンドの引数とキーワードについて説明します。
|
|
---|---|
|
|
|
ポリシーのグループのタイムアウトを同時に変更できます。ゾーン設定モードで policy set-timeout コマンドを使用します。
アクション パラメータは、しきい値超過が発生したときにポリシーが実行するアクションのタイプを定義します。ポリシーのアクションを設定するには、次のコマンドを入力します。
表 7-14 で、ポリシーのアクションについて説明します。
アクション |
|
---|---|
しきい値超過が発生すると、ポリシーはリモート Guard をアクティブにします。リモート Guard はリモート Guard リストに定義されています。詳細については、「リモート Guard のアクティブ化」および 「日付と時刻の設定」を参照してください。 |
ポリシーのグループのアクションを同時に変更するには、ゾーン設定モードで policy set-action コマンドを使用します。
次の例は、 dns_tcp に関連するすべてのポリシーのアクションを設定する方法を示しています。
インタラクティブ ステータスのパラメータは、ポリシーによって作成される保留動的フィルタのインタラクティブ ステータスを定義します。インタラクティブ ステータスは、検出がイネーブルで、ゾーンがインタラクティブ検出モードの場合にのみ、ゾーンに適用できます。詳細については、 第 8 章「インタラクティブ検出モード」 を参照してください。
現在保護されているゾーンの推奨事項のインタラクティブ ステータスを
always-accept または always-ignore に設定している場合、ポリシーの保留動的フィルタのステータスを変更するには、 interactive-status コマンドを使用します。
たとえば、推奨事項のステータスを always-accept に設定すると、推奨事項と推奨事項の保留動的フィルタが表示されなくなります。推奨事項または推奨事項によって生成される保留動的フィルタを無視することを選択するには、ポリシーのインタラクティブ ステータスを interactive または always-accept に変更します。
ポリシーのインタラクティブ ステータスを設定するには、次のコマンドを入力します。
interactive-status { always-ignore | always-accept | interactive }
表 7-15 で、interactive-status コマンドのキーワードについて説明します。
|
|
---|---|
ポリシーによって生成される動的フィルタを自動的に受け入れます。これは、ポリシーによって新しい推奨事項が生成されると必ず、自動的に適用されます。 |
|
ポリシーによって生成される動的フィルタを自動的に無視します。ポリシーは、いったんしきい値を超過すると推奨事項を生成しません。 |
|
インターネット ワームは、自動化された、自己伝搬する侵入エージェントであり、自身のコピーを容易に配布します。ワームは、脆弱なホストを攻撃して感染させた後、そのホストを基点として別の脆弱なターゲットを攻撃します。次に、何らかの手法でネットワークを探索(一般的にはスキャン)して他のターゲットを探し、次のターゲットに伝搬します。スキャニング ワームは、脆弱なホストを見つけるために、探索するアドレスのリストを生成し、各アドレスにアクセスします。Code Red ワーム、Sasser ワーム、Blaster ワーム、および Slammer ワームはすべて、この方法で蔓延する知名度の高いワームの例です。
Detector モジュールを使用することにより、TCP ワーム攻撃からゾーンを保護することができます。このモジュールは、ゾーン ネットワークがスキャンされていることを示す異常なトラフィック パターンに従ってワームを識別します。Detector モジュールは、TCP ワーム攻撃が進行中でない場合であっても、ネットワークにはスキャナーが存在する場合があると想定しています。このモジュールは、特定のポート上で、多くのゾーン宛先 IP アドレスに対する未確立の接続(SYN/ACK 応答パケットが識別されなかった着信 SYN パケット)の開始側である送信元 IP アドレスを、スキャナーとして識別します。ゾーン トラフィックを分析するために、Detector モジュールはネットワーク スキャナーのヒストグラムを使用します。Detector モジュールは、攻撃が進行中でないとき(平時)にゾーンのネットワークをラーニングし、同時スキャナーのヒストグラムを作成します。ヒストグラムには、特定の数のゾーン宛先 IP アドレスを同時にスキャンするスキャナーの数が記載されます。Detector モジュールは、特定の数より多くのゾーン宛先 IP アドレスにアクセスするスキャナーの数を測定します。
Detector モジュールは、次の 2 つのタイプのしきい値を使用して、ワームのトラフィック特性を分析します。
• スキャニングしきい値:単一の送信元 IP アドレスからスキャンできるゾーン IP アドレスの最大数を定義します。このしきい値は、ポリシーのしきい値によって定義されます。
• ヒストグラムしきい値:指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。
Detector モジュールは、平時にラーニングしたヒストグラムから偏差がある場合、ワーム攻撃を識別します。つまり、その場合は、定義された数を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスの数が超過しています。詳細については、「ワーム攻撃の識別」を参照してください。
これらのポリシーは、次の点で、他のポリシーと異なっています。
• Detector モジュールは、ポリシー構築フェーズ中ではなく、しきい値調整
フェーズ中にワーム ポリシーの新しいサービスをラーニングします。したがって、しきい値調整フェーズ中に、ワーム ポリシーに追加された新しいサービス(ポート)が表示される場合があります。
• any サービスは、Detector に特定のポリシーが存在しないポートに関連付けられます。たとえば、Detector に worm_tcp/80 と worm_tcp/50 のポリシーが存在する場合、 worm_tcp/any ポリシーは、ポート 50 または 80 以外を宛先とするトラフィックすべてを監視します。他のポリシーとは異なり、 any サービスは、指定されていないポートすべてに対するトラフィックを集約しません。Detector モジュールは、ゾーン トラフィックを監視するとき、スキャンされるポートごとに別個の内部ヒストグラムを保持しています。次に、このヒストグラムを any サービスのヒストグラムと比較します。
• ワーム攻撃の識別
worm_tcp ポリシー テンプレートは、DETECTOR_WORM ゾーン テンプレートだけで使用できます。
TCP ワームを管理するポリシーは、 worm_tcp ポリシー テンプレート、
non_estb_conns パケット タイプ、および scanners トラフィック特性から構築されます。
ヒストグラムを設定し、スキャニングしきい値を変更することができます。ヒストグラムを設定するには、ポリシー設定モードで次のコマンドを入力します。
histogram num-dst-ips num-src-ips [ num-dst-ips num-src-ips ...]
num-dst-ips 引数には、スキャンされたゾーン宛先 IP アドレスの数を指定します。 num-dst-ips の値は 5、20、および 100 で、システム定義になっています。 num-dst-ips ごとに定義される num-src-ips の値は変更できます。
num-src-ips 引数には、ヒストグラムしきい値を指定します。しきい値を超過すると、ポリシーはアクションを実行してゾーンを検出します。しきい値には、指定された数( num-dst-ips )のゾーン宛先 IP アドレスをスキャンできる送信元 IP アドレスの数を指定します。
ヒストグラムしきい値をすべて 1 つのコマンドで入力できます。
次の例は、すべての頻度についてヒストグラムしきい値を設定する方法を示しています。
user@DETECTOR-conf-zone-scannet- worm_tcp/445/analysis/non_estb_conns/scanners#
histogram 5 99 20 80 50 8 100 1
現在のヒストグラム設定を表示するには、 show policies コマンドを使用します。
単一の送信元 IP アドレスからスキャンできるゾーン IP アドレスの最大数を設定できます(スキャニングしきい値)。この数を設定するには、 threshold コマンドを使用します。詳細については、「ポリシーのしきい値の設定」を参照してください。
特定のポートのヒストグラムしきい値を指定するには、 add-service コマンドを使用して、特定のポート番号のサービスを、 worm_tcp ポリシー テンプレートから作成されたポリシーすべてに追加します。「サービスの追加」を参照してください。
Detector モジュールは、次の 2 つのタイプのしきい値を使用して、ワームのトラフィック特性を分析します。
• スキャニングしきい値:単一の送信元 IP アドレスからスキャンできるゾーン IP アドレスの最大数を定義します。このしきい値は、ポリシーのしきい値によって定義されます。このしきい値を超えた時点で、Detector モジュールはネットワークにマス スキャナーが存在すると判断します。ただし、このスキャナーからは、ワーム攻撃が進行中かどうかはわかりません。
• ヒストグラムしきい値:指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。ヒストグラムしきい値を超えた時点で、Detector モジュールはワーム攻撃であると判断します。
ヒストグラムしきい値を超えると、Detector モジュールは、指定されていない送信元 IP アドレス(*)を持つ動的フィルタを作成します。この動的フィルタは、ワーム攻撃が進行中であることを示します。動的フィルタのポリシーのしきい値は、超過したヒストグラムしきい値を指定します。Detector モジュールは、動的フィルタのポリシーしきい値と等しいスキャニングしきい値を新しく内部に定義します。
ゾーン宛先 IP アドレスをスキャンする送信元 IP アドレスは、ワームに感染したホストの IP アドレスです。ゾーンが攻撃中の場合、ワームに感染した各ホストがスキャンするゾーン宛先 IP アドレスの数が、新しい内部のスキャニングしきい値によって定義された最大数を超えると、動的フィルタが作成されます。Detector モジュールは、動的フィルタのアクションによって定義されたこれらの攻撃フローに対して作用します。
たとえば、ポリシーのしきい値(スキャニングしきい値)が 300 の場合、ポート 445 に関する scanners ポリシーのヒストグラムは次のようになります。
Detector モジュールは、350 個のゾーン宛先 IP アドレスをスキャンするスキャナーを識別した場合、マス スキャナーが検出されたことを示す動的フィルタを作成します。ただし、このスキャナーからは、ワーム攻撃が進行中かどうかはまだわかりません。
Detector モジュールは、ポート 445 で 50 個より多くのゾーン宛先 IP アドレスを同時にスキャンする 6 個の送信元 IP アドレスを識別すると、指定されていない送信元 IP アドレス(*)を持つ動的フィルタを worm_tcp policy から作成します。この動的フィルタは、Detector モジュールがポート 445 に対するワーム攻撃を識別したことを示します。動的フィルタのポリシーしきい値である 50 が、新しい内部のスキャニングしきい値に指定されます。このため、Detector モジュールはスキャナーのしきい値定義を小さくします。その結果、Detector モジュールは、新しいスキャニングしきい値(50)を超過してスキャンする送信元 IP アドレスごとに追加の動的フィルタを作成します。
ポリシーを監視して、ポリシーがゾーンのトラフィック量やサービスにどの程度適しているかを確認できます。
• ポリシーの表示
ゾーンのポリシーを表示して、ポリシーがゾーンのトラフィック特性に適しているかどうかを確認できます。ゾーンに構築されたポリシーを表示して、これらのポリシーがゾーンのトラフィックの特性に合せて適切に調整されていることを確認する必要があります。このリストに表示されるポリシーだけを設定できます。
Detector モジュールは、現在のゾーン ポリシーだけを表示します。ポリシー構築フェーズ中にポリシー テンプレートがディセーブルであった場合、Detector モジュールはそのポリシー テンプレートからポリシーを作成しないため、 show policies コマンドを発行してもそのポリシーは表示されません。
policy-path 引数には、ポリシーのグループを指定します。詳細については、「ポリシー パス構造」を参照してください。すべてのポリシーの統計情報を表示するには、アスタリスク(*)を入力します。
表 7-16 で、 show policies コマンド出力のフィールドについて説明します。
|
|
---|---|
ポリシー名を示します。詳細については、「ポリシー パス構造」を参照してください。 |
|
ポリシーの状態を示します。詳細については、「ポリシーの状態の変更」を参照してください。 |
|
ポリシーのインタラクティブ ステータスを示します。詳細については、「ポリシーのインタラクティブ ステータスの設定」を参照してください。 a-accept は always-accept、a-ignor は always-ignore、interac は interactive を指します。 |
|
ポリシーのしきい値を示します。このしきい値を超過すると、Detector モジュールはアクションを実行します。詳細については、「ポリシーのしきい値の設定」を参照してください。 |
|
ポリシーに定義されている特定の IP しきい値の数を示します。詳細については、「特定の IP しきい値の設定」を参照してください。 ワームに関連するポリシーの場合は、ヒストグラムを表す H が表示されます。「ワーム ポリシーについて」を参照してください。 |
|
しきい値超過が発生した場合にポリシーが実行するアクションを示します。詳細については、「ポリシーのアクションの設定」を参照してください。 |
|
ポリシーのアクションが有効な最小期間を示します。Detector モジュールは、filter-termination しきい値に従って、ポリシーによって生成された動的フィルタを非アクティブにするかどうかを決定します。詳細については、「ポリシーのタイムアウトの設定」を参照してください。 |
1 つのポリシーまたはポリシーのグループを通過するトラフィックのレートを表示できます。サービス タイプおよびトラフィック量がゾーンのトラフィックを表すかどうかを判断できます。Detector モジュールは、ゾーンに転送されたトラフィック フローの中で、ポリシーによって測定された最も高いレートを持ついくつかのトラフィック フローを表示します。レートは、トラフィックのサンプルに基づいて計算されます。
ポリシーの統計情報を表示するには、次のコマンドを入力します。
show policies policy-path statistics [num-entries]
表 7-17 で、show policies statistics コマンドの引数について説明します。
|
|
---|---|
|
統計情報を表示するポリシーのグループを指定します。詳細については、「ポリシー パス構造」を参照してください。すべてのポリシーの統計情報を表示するには、アスタリスク(*)を入力します。 |
|
表示するエントリの数を指定します。1 ~ 100 の数字を入力します。Detector モジュールは、最大の値を持つポリシーを表示します。 |
Detector モジュールは、4 つのテーブルに情報を表示します。各テーブルの情報は値によってソートされ、最大の値が一番上に表示されます。
(注) Detector モジュールは、データを含まないテーブルを表示しません。
表 7-18 で、show policies statistics コマンド出力テーブルのフィールドについて説明します。
|
|
---|---|
|
|
キー(ポリシーの集約に使用されたトラフィック特性)を示します。 たとえば、ポリシー tcp_services/any/analysis/syns/dst_ip の場合、キーは宛先 IP アドレス(dst_ip)です。ポリシーの集約に使用されたトラフィック特性が global である場合、キーには N/A と表示されます。 ワームに関連するポリシー 詳細については、 表 7-8 を参照してください。 |
|
ポリシー名を示します。詳細については、「ポリシー パス構造」を参照してください。 |
|
|
|
同時接続の数を示します。この情報は、tcp_connections ポリシーおよび次のパケット タイプについてのみ表示されます。 |
|
SYN フラグの付いたパケット数と FIN/RST フラグの付いたパケット数の比率を示します。この情報は、syn_by_fin ポリシーだけで使用できます。 |
|
ラーニング プロセス中の任意の段階でラーニング パラメータ(サービス、しきい値、その他のポリシー関連データ)のスナップショットを保存して、後で確認できます。2 つのゾーンのラーニング パラメータまたはスナップショットを比較して、ラーニング プロセスの結果を確認し、ポリシー、サービス、およびしきい値の違いをトレースできます。
ラーニング プロセス中、数時間ごとにスナップショットを保存することをお勧めします。ラーニング プロセス中に攻撃が発生した場合は、スナップショット ポリシーをゾーンに使用できます。スナップショットは、手動で撮ることも、Detector モジュールを設定して、指定した間隔で自動的に撮ることもできます。Detector モジュールは、ゾーンごとに最大 100 個のスナップショットを保存できます。以前のスナップショットは新しいスナップショットに置き換えられます。
スナップショットからポリシーをコピーすることで、必要に応じて、以前のラーニングの結果に基づいてゾーンを設定できます。
• ポリシーのコピー
ゾーン ラーニング パラメータのスナップショットを 1 つだけ保存することも、指定した間隔でスナップショットが自動的に撮られるように Detector モジュールを設定することもできます。Detector モジュールは、スナップショットが撮られている間も、ラーニング フェーズを続行します。
指定した間隔でスナップショットが自動的に撮られるように Detector モジュールを設定する方法の詳細については、「定期的なアクションの設定」を参照してください。
ゾーンのラーニング パラメータのスナップショットを 1 つ保存するには、ゾーン設定モードで次のコマンドを入力します。
snapshot [threshold-selection {new-thresholds | max-thresholds | cur-thresholds | weighted calc-weight }]
表 7-19 で、 snapshot コマンドの引数とキーワードについて説明します。
snapshot コマンドを使用すると、ゾーンのラーニング プロセスの結果が保存されます。この結果には、ゾーンのポリシー、サービス、およびしきい値が含まれます。スナップショットのパラメータを確認するか、2 つのスナップショットを比較するか、またはスナップショットのパラメータを新しいゾーンにコピーし終わったら、スナップショットを削除できます。
snapshot threshold-selection cur-thresholds コマンドを使用すると、現在のゾーン ポリシーをいつでもバックアップできます。
次の例は、ポリシーの現在のしきい値とラーニング プロセスの新しいしきい値のうちで最も大きい値をしきい値として持つスナップショットを作成する方法を示しています。
user@DETECTOR-conf-zone-scannet#
snapshot threshold-selection max-thresholds
グローバル モードでスナップショットを 1 つ保存するには、 snapshot zone-name [ threshold-selection { new-thresholds | max-thresholds | cur-thresholds | weighted weight }] コマンドを使用します。
2 つのスナップショットまたはゾーンのラーニングの結果を比較して、ポリシー、サービス、およびしきい値の違いをトレースできます。
• ゾーンの比較
2 つのスナップショットを比較するには、ゾーン設定モードで次のコマンドを入力します。
diff snapshots snapshot-id snapshot-id [ percent ]
表 7-20 で、 diff コマンドの引数について説明します。
次の例は、ゾーンのスナップショットを表示し、最新の 2 つのスナップショットを比較する方法を示しています。
グローバル モードでスナップショットを比較するには、diff zone-name snapshots snapshot-id snapshot-id [ percent ] コマンドを使用します。
2 つのゾーンのラーニング パラメータを比較するには、グローバル モードまたは設定モードで次のコマンドを入力します。
diff zone-name zone-name [ percent ]
表 7-21 で、 diff コマンドの引数について説明します。
|
|
---|---|
|
|
|
(オプション)トレースしきい値。Guard は、2 つのゾーンを比較した場合、相違点がここに指定したしきい値を超えているポリシーしきい値パラメータをすべてトレースします。デフォルトのパーセンテージは 100% で、Guard は 2 つのゾーンにおける相違をすべてトレースします。 |
ゾーンのラーニングの結果を明確に把握するために、ゾーンのスナップショットまたはスナップショット パラメータのリストを表示できます。
ゾーンのスナップショットを表示するには、次のコマンドを入力します。
show snapshots [ snapshot-id [ policies policy-path ]]
表 7-22 で、 show snapshots コマンドの引数とキーワードについて説明します。
|
|
---|---|
ゾーンのスナップショットを表示します。スナップショットの ID を指定しない場合、デフォルトでは、ゾーンのスナップショットすべてのリストが表示されます。 |
|
|
表示対象のラーニング パラメータを持つスナップショットの ID。ポリシーを指定しない場合、デフォルトでは、ゾーンのスナップショットすべてのリストが表示されます。スナップショットの ID を表示するには、 show snapshots コマンドを使用します。 |
|
表示対象のポリシーのグループを指定します。詳細については、「ポリシー パス構造」を参照してください。 |
グローバル モードでスナップショットを比較するには、show zone zone-name snapshots [ snapshot-id [ policies policy-path ]] コマンドを使用します。
次の例は、ゾーンのスナップショットのリストを表示し、次にスナップショット 2 の dns_tcp に関連するポリシーを表示する方法を示しています。
show zone zone-name snapshots snapshot-id policies policy-path コマンド出力のフィールドは、 show policies コマンド出力のフィールドと同じです。詳細については、「ポリシーの表示」を参照してください。
表 7-23 で、 show snapshots コマンド出力のフィールドについて説明します。
|
|
---|---|
|
|
|
ポリシーの設定または部分的な設定を現在のゾーンにコピーできます。
• サービスをコピーする:ソース ゾーンから別のゾーンにサービスをコピーできます。このようにして、サービスを検出するためにポリシー構築フェーズを適用せずに、ゾーンのポリシーを設定できます。サービスをゾーンにコピーするには、まず、そのゾーンが同様のトラフィック パターンを持つことを確認します。
• ポリシー パラメータをコピーする:ポリシー パラメータを、ゾーンのスナップショットの 1 つが持つポリシー パラメータに置き換えることができます。このようにして、以前のラーニングの結果に戻すことができます。Detector モジュールは、既存のポリシーのパラメータだけをコピーします。
ゾーンのポリシーをコピーするには、ゾーン設定モードで次のコマンドを入力します。
c opy-policies { snapshot-id | src-zone-name [service-path]}
表 7-24 で、copy-policies コマンドの引数とキーワードについて説明します。
次の例は、ポリシー テンプレート tcp_connections に関連するすべてのサービスを、ゾーン webnet から現在のゾーン scannet にコピーする方法を示しています。
次の例は、ゾーンのスナップショットのリストを表示し、次に ID が 2 のスナップショットからポリシーをコピーする方法を示しています。