セキュリティ : Cisco 侵入防御システム

イベント アクション フィルタを使用した誤検出防止用の IPS の調整

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料が IPS デバイスマネージャ(IDM)または Express (IME) IPS マネージャを使用して False positive 防止のための侵入防御システム(IPS)を調整するために必要なステップを提供したものです。 IPS で調整する False positive は検知時のアクション フィルタ(EAF)と呼ばれる機能によって実現します。

注: Aastha Chaudhary によって貢献される、Cisco TAC エンジニア。

はじめに

要件

この ドキュメント を 読む人は Cisco IPS のナレッジがあるはずです。

使用するコンポーネント

この文書に記載されている情報は特定のハードウェア および ソフトウェア バージョンに基づいていません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

EAFs の概要

EAFs は false positive 調整のために主に設定されます。 EAF は特定のシグニチャをトラフィックのサブセットのための望ましい アクションを奪取 しなくてもらう機能を提供します。

EAFs は複数の条件を満たすことを必要とする状況で役立ちます(以下を参照):

  • シグニチャ X はトラフィックの望ましいサブネットのための処置 y をとりません。

  • シグニチャ X は他のすべてのトラフィックのための処置 y をとります。

EAFs はシグニチャの良性に引き起こすことをあつかう上で役立ちます。

設定

例: False positive イベント: 既知 信頼できるホストからおよびに来るトラフィックのためのシグニチャ 1300 トリガー。

注: これはデモンストレーション目的でのみちょうど例です。 シグニチャ トリガーによる特定のイベントは良性であるかどうか不確実、更なる分析に関しては Cisco テクニカル サポートに連絡して下さい。

注: IPS シグニチャに関するその他の情報に関しては Cisco 侵入防御システム シグニチャを参照して下さい。

次の手順を実行します。

  1. EAF が設定される必要があるシグニチャ(この例の 1300、)があるようにデフォルト アクションを確認して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-01.gif

    シグニチャ 1300 のデフォルト アクションは生成 し、アラートをインラインに否定します接続を含んでいます。

  2. このシグニチャが起動 するべきではないホストを識別して下さい。 たとえば、シグニチャに 10.1.1.1-10.1.1.254 のような信頼されたサブネットから、来るトラフィックで起動 してほしくないです。

  3. ステップ 2 に説明がある基準のための EAF を作成して下さい:

    1. IDM/IME から、> IPS ポリシー Configuration > Policies の順に進んで下さい。 検知時のアクション Filters タブをクリックして下さい。 このタブの下で、『Add』 をクリック して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-02.gif

      このウィンドウは表示する:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-03.gif

    2. 名前シグニチャ ID攻撃者 IP、先祖などのようなさまざまなフィールドを設定して下さい

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-04.gif

    3. フィールドを編集操作ダイアログボックスを開くために引く操作の右へアイコンをクリックして下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-05.gif

      このウィンドウで、IPS に実行してほしくないシグニチャ操作を規定できます。

      注: 正しくシグニチャを引きたいと思う操作は選択するためにステップ 1.に記述されているようにデフォルト シグニチャ操作を理解する必要があります。

      この例では、生成 し、アラートをインラインに否定します接続を選択しました。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-06.gif

      IPS はこれらの処置を 10.1.1.1-10.1.1.254 から来るトラフィックのための 1300 のシグニチャ トリガーとりません。

      他のすべてのトラフィックに関しては、インラインに Produce アラートおよび拒否接続のデフォルト シグニチャ操作はまだ適用します。

      選択した後アラートを生成 し、パケットを、見ます EAF スクリーンの一番下でこれらの操作にデータを入力するをインラインに拒否して下さい:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-07.gif

    4. 『OK』 をクリック し、次に変更を保存するために適用して下さい

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-08.gif

CLI を使用して検知時のアクション フィルタの設定には、コンフィギュレーション ガイド ページの IPS Command Line Interface セクションを参照して下さい。 適切なコンフィギュレーション ガイドから、検知時のアクション ルールを設定することをクリックし、「検知時のアクションの設定をフィルタリングします」捜して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113575