グローバル相関について
センサーが悪意のあるアクティビティのレピュテーションを持つネットワーク デバイスを認識し、それらのアクティビティに対処できるようにグローバル相関を設定できます。シスコの中央脅威データベースである SensorBase に IPS デバイスを加えることにより、グローバル相関更新を受信して取り込むことができます。グローバル相関更新に含まれているレピュテーション データは、ネットワーク トラフィックの分析に組み込まれます。これにより、トラフィックが送信元 IP アドレスのレピュテーションに基づいて拒否または許可されるため、IPS の有効性が高まります。参加している IPS デバイスは、Cisco SensorBase ネットワークにデータを送信して戻します。これにより、最新かつグローバルな更新を維持するフィードバック ループがもたらされます。
ヒント |
Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)の Botnet Traffic Filter 機能は、ネットワークに展開して、悪意のあるアクティビティに対する防衛を実現できるもう 1 つの動的機能です。IPS デバイスでグローバル相関を設定し、ASA ファイアウォールでボットネット トラフィック フィルタリングを設定すると、効果的な統合セキュリティ実装を実現できます。ボットネット トラフィック フィルタリングの詳細については、ファイアウォールの Botnet Traffic Filter ルールの管理を参照してください。 |
グローバル相関には、次の 3 つの主要機能があります。
-
グローバル相関インスペクション:IPS は、攻撃者に関するグローバル相関レピュテーション ナレッジに基づいてアラート処理を変更します。また、センサー上で悪いスコアを持つ攻撃者が認識されると、その攻撃者によるアクションを拒否します。レピュテーションの詳細については、レピュテーションについてを参照してください。
-
レピュテーション フィルタリング:悪意のある既知のサイトからのパケットに対して自動拒否アクションを適用します。
-
ネットワーク参加:センサーは、他のユーザがコミュニティ ナレッジで共有できるように、アラートおよび TCP フィンガープリント データを SensorBase ネットワークに送信します。詳細については、ネットワーク参加についてを参照してください。
グローバル相関には、次の目的があります。
-
アラートをインテリジェントに処理することにより、有効性を高める。
-
悪意のある既知のサイトに対する保護を強化する。
-
テレメトリ データを SensorBase ネットワークと共有して、アラートおよびセンサー アクションの可視性をグローバル規模で向上する。
-
設定を簡素化する。
-
情報のアップロードおよびダウンロードを自動的に処理する。
ヒント |
Report Manager を使用して、グローバル相関により生成されたアラート数と従来の IPS 検査によって生成されたアラート数を比較するレポートを生成できます。Inspection/Global Correlation レポートの詳細については、全般 IPS レポートについてを参照してください。レポートの生成については、レポートの起動と生成を参照してください。 |
グローバル相関の設定方法については、次の項を参照してください。