セキュリティ : Cisco IPS 4200 シリーズ センサー

Cisco Secure IDS - False Positive アラームの除外

2002 年 10 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 10 月 26 日) | フィードバック

目次


注: この文書の情報は、Cisco Secure Intrusion Detection System(IDS)のバージョン 2.2.1 をベースとしています。 

False Positive アラームと False Negative アラーム

Cisco Secure IDS(旧称 NetRanger)では、パケットまたは一連のパケットが、Cisco Secure IDS シグニチャで定義されている既知の攻撃プロファイルの特性と一致したときにアラームを発生します。重要な IDS シグニチャの設計基準は、false positive アラームおよび false negative アラームの発生頻度を最小限にすることです。

false positive(悪意のないアクティビティによるトリガ)は、IDS から、悪意のないアクティビティが、悪意のあるものとして報告されたときに発生し、このイベントの診断には人による操作を必要とします。明かに、大量の false positive が発生するとリソースが不足します。かつ、この現象の解析には専門の技術が必要であるため、発見も難しく費用もかかります。

一方、false negative は、実際の悪意のあるアクティビティが IDS で検出および報告されない場合に発生します。この結果は致命的であるため、シグニチャは継続的に更新し、新しい不正利用方法やハッキング テクニックを検出できるようにする必要があります。false negative を最小限にすることは非常に優先順位が高い項目であり、時には false positive の発生が高くなることを承知した上で行う必要があります。

残念なことに、IDS が悪質なアクティビティの検出に使用しているシグニチャの性質からみて、false positive や false positive を、IDS の効力を著しく低下させずに、あるいは組織のコンピュータ基盤(ホストやネットワークなど)を阻害することなく、完全に排除することは実質的に不可能です。しかし、IDS を配置する際に個別の調整を行うことで、false positive を最小限にすることはできます。コンピュータ環境が変更されたときなどは(新しいシステムやアプリケーションの導入など)、定期的な再調整も必要です。Cisco Secure IDS では、安定状態の操作を続けながら false positive を最小限にするという、柔軟性に富んだ調整機能を備えています。

Cisco Secure IDS での除外のメカニズム

Cisco Secure IDS には、特定のホストやネットワーク アドレスに対する特定のシグニチャを除外する機能があります。除外されたシグニチャは、このメカニズムによって明確に除外されたホストやネットワークからトリガされた場合にはアラーム アイコンやログ レコードを生成しません。たとえば、ネットワーク管理ステーションが ping スイープの実行によってネットワーク ディスカバリを実行することによって、ICMP Network Sweep w/Echo シグニチャ(シグニチャ ID 2100)がトリガされてしまう場合があります。このシグニチャを除外すると、ネットワーク ディスカバリ プロセスが実行されるたびに、アラームを解析、削除する必要がなくなります。

:Excluded Addresses タブを使用して、アラームの送信元としてホストだけを除外することができます。

ホストの除外

特定のシグニチャ アラームの生成から特定のホストを除外(送信元 IP アドレス)するには、次の手順を実行してください。

  1. nrConfigureIntrusion Detection ウィンドウで、Excluded Addresses タブを選択します。
  2. Add ボタンをクリックします。
  3. 次のウィンドウを参照して、SignatureSubsignature、および Network Address に必要事項を入力してください。次に OK をクリックします。

ネットワークの除外

Excluded Networks タブでは、送信元あるいは宛先のネットワーク アドレスをベースとして、特定のシグニチャを除外することができます。add windowAddr Role フィールドを使用して、検出されたネットワーク アドレスが、アラームの送信元、宛先、あるいはその両方であるかどうかを指定します。Excluded Networks タブは、個々のホストの除外にも使用できます。この場合、ホストの IP アドレスを指定し、32 ビットの Subnet Mask を使用します。Excluded Networks タブを使用してホストを除外する場合、Addr Role を使用して、ホストをアラームの宛先として指定することができます。 Excluded Hosts タブでは、アラームの送信元は定義できません。

特定のシグニチャ アラームの生成からネットワークを除外するには、次の手順を実行してください。

  1. nrConfigureIntrusion Detection ウィンドウで、Excluded Networks タブを選択します。
  2.  

  3. Add ボタンをクリックします。
  4. SignatureSubsignatureNetwork Address、および Subnet Mask に必要な内容を入力し、次に Addr Role として SourceDestination、または Both を選択します。OK をクリックします。

シグニチャのグローバルな無効化

あるシグニチャについて、いかなる場合もアラームを発生させないようにしたい場合があります。このようにシグニチャをグローバルに無効にするには、General Signatures ウィンドウの loggerd 列または smid 列(あるいは loggerd 列と smid 列の両方)で重大度を 0(ゼロ)に指定します。たとえば、次のウィンドウ(シグニチャ ID 2100)で強調表示されているシグニチャの重大度は、loggerdsmid の両方でゼロに設定されています。これは ping スイープが記録されず、HPOV 表示にアラーム アイコンとして表示されないことを意味します。

アラームを一時的に除外

アラーム アイコンを右クリックすると、Exclude Alarm メニュー オプションが表示されます(次の図を参照)。このオプションを選択すると、センサーで実行されている設定にある、このアラームの特定のシグニチャ ID とそのアラームの発信元 IP アドレスが除外されます。この除外はセンサーのコンフィギュレーション ファイルには書き込まれないため、packetd プロセスが再起動された際(たとえば、新しい設定を適用した場合など)には、この除外設定は失われます。

:この方法で除外された項目を表示したり、削除したりすることはできないため、この機能を使用する際は注意してください。誤ってこの除外方法を適用した場合には、センサー上で次のいずれかの方法を実行して packetd を再起動し、除外された設定を元に戻します。

  1. HP Open View(HPOV)で Sensor アイコンをクリックします。
  2. Security DaemonsRestart の順に選択します。

または

  1. Machine/Services サブマップで、packetd アイコンを右クリックします。
  2. Control Stop Daemon の順に選択します。
  3. Start Daemon を選択して、packetd を再起動します。

除外を永続的に適用する場合は、上で説明した Excluded Addresses タブまたは Excluded Networks タブを使用してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報



Document ID: 13876