シグニチャについて
ネットワークへの侵入とは、ネットワーク リソースへの攻撃、またはネットワーク リソースの不正使用を指しています。Cisco IPS センサーおよび Cisco IOS IPS デバイスでは、シグニチャベースのテクノロジーを使用して、ネットワーク侵入を検出します。シグニチャによって、センサーが検出およびレポートするネットワーク侵入のタイプを指定します。センサーは、ネットワーク パケットをスキャンするときに、シグニチャを使用して、Denial of Service(DoS; サービス拒絶)攻撃などの既知のタイプの攻撃を検出し、定義したアクションに従って対応します。
基本的なレベルでは、シグニチャベースの侵入検知テクノロジーは、ウイルス チェック プログラムにたとえることができます。Cisco IPS には、センサーがネットワーク アクティビティと照合するシグニチャのセットが含まれています。一致が見つかると、センサーは、イベントのロギングや、Security Manager Event Viewer へのアラームの送信などのアクションを実行します。
シグニチャによって false positive が生成される場合もあります。通常のネットワーク アクティビティであっても、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、一部のネットワーク アプリケーションやオペレーティング システムは、多数の ICMP メッセージを送信することがありますが、シグニチャベースの検出システムでは、このメッセージが攻撃者によるネットワーク セグメント特定の試みであると解釈されてしまう可能性があります。シグニチャ パラメータを編集(シグニチャを調整)することにより、false positive を最小限に抑えることができます。
特定のシグニチャを使ってネットワーク トラフィックをモニタするようにセンサーを設定するには、そのシグニチャをイネーブルにする必要があります。デフォルトでは、重要なシグニチャはシグニチャ更新のインストール時にイネーブルになります。イネーブルなシグニチャに一致する攻撃が検出されると、センサーはアラートを生成します。生成されたアラートはセンサーのイベント ストアに保存されます。アラートは他のイベントと同様、Event Viewer などの Web ベースのクライアントによって、イベント ストアから取得される場合があります。デフォルトでは、センサーは Informational 以上のすべてのアラートをログに記録します。
シグニチャには、サブシグニチャを持つもの(サブカテゴリに分類されているもの)があります。サブシグニチャを設定した場合、あるサブシグニチャのパラメータを変更しても、変更が適用されるのはそのサブシグニチャだけです。たとえば、シグニチャ 3050 のサブシグニチャ 1 を編集し重大度を変更した場合、重大度の変更はサブシグニチャ 1 だけに適用され、3050 2、3050 3、および 3050 4 には適用されません。
Cisco IPS には、10,000 を超えるデフォルトの組み込みシグネチャが含まれています。組み込みシグニチャのリストにあるシグニチャの名前の変更および削除はできません。ただし、シグニチャをセンシング エンジンから削除して廃棄できます。あとで廃棄されたシグニチャをアクティブにできます。ただし、このプロセスにはセンシング エンジンの設定の再構築が必要です。この再構築には時間がかかり、トラフィックの処理を遅延させる可能性があります。組み込みシグニチャのチューニングは可能です。これには、シグニチャのいくつかのパラメータを変更します。変更された組み込みシグニチャは、チューニング済みシグニチャと呼ばれます。
(注) |
使用していないシグニチャを廃棄することを推奨します。廃棄によって、センサーのパフォーマンスが向上します。 |
カスタム シグニチャと呼ばれるシグニチャを作成できます。カスタム シグニチャ ID は、60000 から始まります。いくつかの項目に対して、カスタム シグニチャを設定できます。たとえば、UDP 接続の文字列との一致やネットワーク フラッドの追跡、スキャンなどです。シグニチャは、モニタするトラフィックの種類に対して特別に設計されたシグニチャ エンジンを使って作成します。
シグニチャの詳細については、以下を参照してください。
関連項目
シグネチャの詳細情報の取得
Cisco Security Intelligence Operations Web サイトで、各シグネチャの詳細情報を表示できます。Web サイトには、ネットワーク セキュリティに関する豊富な情報とベスト プラクティスの推奨事項が含まれており、IntelliShield アラートを設定できます。また、Web サイトでは、ネットワークを保護し、修復に優先順位を付け、組織のリスクを減らすようにシステムを構築するために役立つ高度なセキュリティ項目に関する情報も提供しています。
Security Manager の Signatures ポリシーを編集する際([Signatures] ページを参照)、シグネチャ ID は IPS シグネチャの Cisco Security Intelligence Operations データベースに直接リンクされています。シグネチャ ID をクリックすると、シグネチャに関する情報(説明、シグネチャが基づく脆弱性、シグネチャが作成された日時など)を含むページが開きます。このデータベースは、http://tools.cisco.com/security/center/search.x?search=Signature でユーザー自身が検索できます(データベースは以前、Cisco Network Security Database または NSDB と呼ばれていました)。
Cisco.com にアクセスできない場合、シグニチャ ID はシグネチャ データベース情報のローカル コピーにリンクされています。Security Manager によって、Cisco.com にアクセスできるかどうかが検出され、適切なリンクが作成されるため、ユーザはプリファレンスを設定する必要がありません。
データベースには、デフォルトの組み込みシグネチャの情報のみが含まれます。カスタム シグネチャ(ユーザが定義したシグネチャ)の情報は表示できません。
Security Manager 4.4 以降、[シグネチャ(Signatures)] ページ([IPS] > [シグネチャ(Signatures)] > [シグネチャ(Signatures)])には、各シグネチャの [説明(Explanation)] タブと [関連する脅威(Related Threats)] タブが含まれています。別のウィンドウの [シグネチャ(Signatures)] ページで、これらのタブに詳細情報が表示されます。たとえば、[説明(Explanation)] タブには、説明、シグネチャ ID などが表示されます。[関連する脅威(Related Threats)] タブには、使用している可能性のある他のソフトウェアの脆弱性などが表示されます。
ヒント |
このウィンドウが表示されていない場合は、[シグネチャ(Signatures)] ページの左下隅にある上矢印ボタンを使用してウィンドウを展開します。このウィンドウを非表示にするには、[シグネチャ(Signatures)] ページの左下隅にある、対応する下矢印を使用してウィンドウを折りたたみます。このウィンドウのサイズは、標準のコントロールで変更できます。 |
シグニチャ継承について
IPS デバイスのシグニチャ継承は、他のどの Security Manager のルール ベースのポリシーの場合とも異なります。継承とは、最初に一致したルールベースのポリシーの階層リスト(アクセス ルールなど)を適用する、Security Manager の機能のことです。シグニチャ継承での相違点は、IPS デバイスの場合、Security Manager によってシグニチャ単位の継承が可能になる点です。
次の例は、シグニチャ単位の継承がどのように行われるかを示しています。
手順
ステップ 1 |
ポリシービューで、[IPS] > [シグネチャ(Signatures)] > [シグネチャ(Signatures)] を選択します。 |
ステップ 2 |
test1 という名前のポリシーを作成します。 |
ステップ 3 |
test2 という名前の別のポリシーを作成します。 |
ステップ 4 |
[test 2] を右クリックし、[シグニチャの継承(Inherit Signatures)] を選択します。[Inherit Rules - test 2] ダイアログボックスが表示されます。 |
ステップ 5 |
[test1] を選択し、[OK] ボタンをクリックします。 |
ステップ 6 |
[test1] を選択し、シグニチャを編集します。編集した内容をメモし、変更内容を保存します。 |
ステップ 7 |
[test2] を選択し、編集したシグニチャを選択します。test2 が、test1 に対して行った編集内容を継承していることを確認します。 |
IPS シグネチャの削除
Security Manager 4.1 から、(導入されている一番低いシグネチャ レベルより古いシグネチャとして定義される)古いシグネチャ バージョンは、データベースの最適化を目的とする定期的な削除操作によって削除されます。
(注) |
削除操作の結果、一部の未使用のチューニング コンテキストが削除されることに注意してください。 |
削除されたシグネチャの一部は、Cisco.com から IPS シグネチャ パッケージを次回ダウンロードする際に復元できる可能性があります。
デフォルトでは、IPS シグネチャの削除はディセーブルになっています。IPS シグネチャの削除をイネーブルにするには、次の手順を実行します。
手順
ステップ 1 |
Cisco Security Manager Daemon Manager を停止します。コマンドプロンプトで、net stop crmdmgtd と入力します。 |
ステップ 2 |
NMSROOT \MDC\ips\etc\sensorupdate.properties ファイルに移動します(NMSROOT は Security Manager インストールディレクトリへのパスを表します)。デフォルトは C:\Program Files\CSCOpx です。 |
ステップ 3 |
sensorupdate.properties で、purgeUnusedSignautesEntriesinDB:false を purgeUnusedSignautesEntriesinDB:true に変更します。 |
ステップ 4 |
Cisco Security Manager Daemon Manager を再起動します。コマンドプロンプトで、net start crmdmgtd と入力します。 これで、IPS シグネチャの削除が毎日 0 時に実行されます。 |