Active
[有効(Enabled)]
([Active] は Cisco IOS IPS デバイスには適用されません)
|
フィルタ ルールがアクティブであるかどうか、およびイネーブルであるかどうかを示します。アクティブとは、フィルタがフィルタ リストに含まれており、イベントのフィルタリングで実行されることを意味します。デフォルトでは、ルールはアクティブかつイネーブルであり、このことはイベントが処理されるときにそのルールが使用されることを意味します。
ヒント
-
フィルタがアクティブだがイネーブルではない場合、そのフィルタは順序リストに含まれたままになります。つまり、処理されますが、使用されません。
-
フィルタがアクティブではない場合、そのフィルタはフィルタの順序に含まれません。つまり、処理されません。
-
ディセーブルにしたルールは、イベント アクション フィルタ テーブルに網掛けで表示されます。
|
名前
|
フィルタ ルールの名前。フィルタ名に使用できる文字は次のとおりです。
a-z、A-Z、0-9、-、. (ドットまたはピリオド)、:(コロン)、および _(下線)。
|
Signature IDs
|
フィルタ ルールを適用する数字のシグニチャ ID。単一のシグニチャ ID、カンマ区切りリスト、または ID の範囲を入力できます。デフォルトでは、900 ~ 65535 の範囲のシグニチャにルールが適用されます。
|
サブシグニチャ ID
|
フィルタ ルールを適用する指定したシグニチャのサブシグニチャ ID。サブシグニチャ ID は広範なシグニチャをより詳細に識別しますが、すべてのシグニチャに使用されるわけではありません。
指定したシグニチャ ID に適したサブシグニチャ ID を入力するか、またはサブシグニチャ ID の範囲を入力します。デフォルト値は 0 ~ 255 の範囲です。
|
攻撃者の IPv4 アドレス
|
攻撃パケットを送信するホストの IP アドレス。単一のホスト IP アドレス、アドレス範囲、またはアドレスやアドレス範囲を識別するネットワーク/ホスト ポリシー オブジェクトの名前を指定できます。[選択(Select)] をクリックしてネットワーク/ホストオブジェクトをリストから選択するか、または新しいオブジェクトを作成します。
(注)
|
IPv4 オブジェクトと IPv6 オブジェクトを同じ名前で作成しないでください。作成すると展開が失敗します。
|
デフォルト値はすべての IPv4 アドレスの範囲(0.0.0.0-255.255.255.255)です。
|
攻撃者の IPv6 アドレス
|
攻撃パケットを送信するホストの IP アドレス。単一のホスト IP アドレス、アドレス範囲、またはアドレスやアドレス範囲を識別するネットワーク/ホスト ポリシー オブジェクトの名前を指定できます。[選択(Select)] をクリックしてネットワーク/ホストオブジェクトをリストから選択するか、または新しいオブジェクトを作成します。
(注)
|
IPv4 オブジェクトと IPv6 オブジェクトを同じ名前で作成しないでください。作成すると展開が失敗します。
|
デフォルト値は、すべての IPv6 アドレスの範囲(::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF)です。
|
Attacker Port
|
攻撃者ホストによって使用されるポート。これは、攻撃パケットの発信元のポートです。ポートの範囲を入力することもできます。
デフォルト値はすべてのポートの範囲(0-65535)です。
|
攻撃対象の IPv4 アドレス
|
攻撃されているホスト(攻撃パケットの受信者)の IP アドレス。単一のホスト IP アドレス、アドレス範囲、またはアドレスやアドレス範囲を識別するネットワーク/ホスト ポリシー オブジェクトの名前を指定できます。[選択(Select)] をクリックしてネットワーク/ホストオブジェクトをリストから選択するか、または新しいオブジェクトを作成します。
(注)
|
IPv4 オブジェクトと IPv6 オブジェクトを同じ名前で作成しないでください。作成すると展開が失敗します。
|
デフォルト値はすべての IPv4 アドレスの範囲(0.0.0.0-255.255.255.255)です。
|
攻撃対象の IPv6 アドレス
|
攻撃されているホスト(攻撃パケットの受信者)の IP アドレス。単一のホスト IP アドレス、アドレス範囲、またはアドレスやアドレス範囲を識別するネットワーク/ホスト ポリシー オブジェクトの名前を指定できます。[選択(Select)] をクリックしてネットワーク/ホストオブジェクトをリストから選択するか、または新しいオブジェクトを作成します。
(注)
|
IPv4 オブジェクトと IPv6 オブジェクトを同じ名前で作成しないでください。作成すると展開が失敗します。
|
デフォルト値は、すべての IPv6 アドレスの範囲(::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF)です。
|
攻撃対象のポート
|
攻撃されているホスト(攻撃パケットの受信者)のポート。これは、攻撃パケットの送信先のポートです。ポートの範囲を入力することもできます。
デフォルト値はすべてのポートの範囲(0-65535)です。
|
リスク レーティングの最小と最大
|
このイベント アクション フィルタをトリガーするために使用されるリスク レーティング範囲(0 ~ 100)。デフォルト値は範囲全体(0 ~ 100)です。
イベントが発生し、そのリスク レーティングがここで設定した最小-最大範囲に入っていた場合、イベントはこのイベント フィルタのルールと比較して処理されます。
|
OS Relevance
|
アラートが、攻撃対象用として識別されている OS と関連があるかどうかを示します。指定可能な値は、[Not Relevant]、[Relevant]、[Unknown] のうちの 1 つ以上です。Ctrl を押しながらクリックすることで、複数の値を選択できます。デフォルトでは、すべての値が選択されます。
(注)
|
[OS Relevance] は、IPS 6.x 以降のソフトウェアを実行しているアプライアンスおよびサービス モジュールだけに適用可能です。Cisco IOS IPS デバイスの場合、このフィールドは読み取り専用になり、編集はできません。IPS
5.x デバイスの場合、このフィールドは空白になります。
|
|
説明
|
ルールの目的に関する説明など、このフィルタに関連付けるユーザ コメント。
|
Actions to Subtract
|
イベントの条件がイベント アクション フィルタの基準を満たしている場合に、イベントから削除されるアクション。このリスト ボックスから 1 つ以上のアクションを選択できます。選択したすべてのアクションがイベントから削除されます。Ctrl を押しながらクリックすることで、複数の値を選択できます。指定可能なアクションの詳細については、[Edit Action]、[Add Action]、[Replace Action] ダイアログボックスを参照してください。
IOS IPS デバイスの場合、指定できるのは次の値だけです。
-
[インラインで攻撃者を拒否(Deny Attacker Inline)] は、攻撃者の送信元 IP アドレスを完全にブロックします。遮断時間が経過するまで攻撃者からルータへの接続は確立されません。この時間は、イベント アクションの設定で説明されているように、Event Actions Settings ポリシーで設定できます。
-
[インラインで接続を拒否(Deny Connection Inline)] は、攻撃者からの該当する TCP フローをブロックします。攻撃者からルータへのその他の接続は確立されます。
-
[インラインでパケットを拒否(Deny Packet Inline)] は、リセットを送信せずにパケットを廃棄します。「drop と reset」はアラームとともに使用することを推奨します。
-
[アラートを生成(Produce Alert)] は、syslog または SDEE を介して攻撃に関する通知を送信します。
-
[TCP接続をリセット(Reset TCP Connection)] は、TCP ベースの接続に有効で、送信元アドレスおよび宛先アドレスの両方にリセットを送信します。たとえば、ハーフオープン SYN 攻撃の場合に、Cisco IOS IPS は TCP 接続をリセットできます。
|
% to Deny
|
攻撃者拒否機能で拒否するパケットのパーセンテージ。範囲は 0 ~ 100 です。デフォルトは 100% です。
(注)
|
IOS IPS デバイスの場合、このフィールドは読み取り専用で、編集はできません。
|
|
Stop on Match
|
このフィルタ ルールを停止ルールとして定義するかどうかを指定します。この設定によって、イベント アクション フィルタ ルール テーブルに残っているルールを処理する方法が決まります。
-
このオプションを選択し、イベントがルールの条件を満たす場合、このルールは、イベントに対してテストされる最後のルールとなります。このルールによって識別されたアクションはイベントから削除され、デバイスは、イベントに割り当てられている残りのすべてのアクションを実行します。
-
このオプションを選択していない場合、このフィルタ ルールの条件を満たすイベントも、イベント アクション フィルタ テーブル内の後続のルールと比較されます。後続のルールは、すべてのルールがテストされるか、またはイベントが停止ルールに一致するまでテストされます。
|