セキュリティ : Cisco Firepower Management Center

FireSIGHT システムのカスタム ローカル ルールを作成し、インポートし、管理するステップおよび助言

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 1 月 5 日) | フィードバック

概要

FireSIGHT システムのカスタム ローカル ルールはローカルマシンから ASCII テキストファイル ファイル形式でインポートするカスタム標準 Snort ルールです。 FireSIGHT システムは Webインターフェイスを使用してローカル ルールをインポートすることを可能にします。 ローカル ルールをインポートするステップは非常に簡単です。 ただし、最適ローカル ルールを書くために、ユーザは Snort およびネットワーキングプロトコルの深い知識を必要とします。

この資料の目的はカスタム ローカル ルールを書く助言および支援を与えることです。 ローカル ルールの作成に関する手順は snort.org で利用可能の Snort ユーザー・マニュアルで利用できます。 Cisco はカスタム ローカル ルールを書く前にユーザー・マニュアルをダウンロードし、読むことを推奨します。 

: Sourcefire ルール アップデート(SRU)パッケージで提供されるルールは Cisco Talos 安全保障局および研究 グループ作成され、テストされ、Cisco Technical Assistance Center (TAC)によってサポートされます。 Cisco TAC は書き込みかカスタム ローカル ルールを調整することでが支援を提供しません、FireSIGHT システムのルール インポート機能性においての問題に直面したら、Cisco TAC に連絡して下さい。

警告: 不完全に書かれていたカスタム ローカル ルールはネットワーク全体のパフォーマンス低下の原因となる場合がある FireSIGHT システムのパフォーマンスに影響を与えることができます。 ネットワークのパフォーマンス上の問題に直面し、FireSIGHT システムで有効に なるいくつかのカスタム ローカル Snort ルールがあれば場合 Cisco はそれらのローカル ルールをディセーブルにするために推奨します。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

前提条件

要件

Cisco は Snort ルールおよび FireSIGHT システムのナレッジがあることを推奨します。

使用するコンポーネント

この資料の情報はこれらのハードウェア および ソフトウェア バージョンに基づいています:

  • FireSIGHT Management Center (別名防御センター)
  • ソフトウェア バージョン 5.2 以降

カスタム ローカル ルールを操作する場合

インポート ローカル ルール

始める前に、ファイルのルールが拡張文字が含まれていないことを確かめて下さい。 ルール インポーターは ASCII か UTF-8 エンコードを使用してインポートされるすべてのカスタマイズした方法を必要とします。

次のプロシージャはローカルマシンからのローカル標準テキスト ルールをインポートする方法を説明します:

1. ポリシー > 不正侵入 > ルール エディタへのナビゲートによってルール エディタ ページにアクセスして下さい。

2. ルールを『Import』 をクリック して下さい。 Updates ページ ルールは現われます。

図: Updates ページ ルールのスクリーン ショット


3. rules ファイルを選択するためにアップロードし、インストールし、『Browse』 をクリック するようにルール アップデートかテキスト rules ファイルを選択して下さい。

: すべてのアップロードされたルールはローカル ルール カテゴリで保存されます。


4. [Import] をクリックします。 rules ファイルはインポートされます。

注意: FireSIGHT システムはインスペクション用に設定 される新しいルールを使用しません。 ローカル ルールをアクティブにするために、不正侵入 ポリシーでそれを有効に する必要があり次にポリシーを適用します。

ローカル ルールを表示して下さい

  • 現在のローカル ルールのためのリビジョン番号を表示するために、ルール エディタ ページ(ポリシー > 不正侵入 > ルール エディタ)にナビゲート して下さい。



  • ルール エディタ ページで、フォルダを開くためにローカル ルール カテゴリをクリックしそしてルールの隣で『Edit』 をクリック して下さい。
  • すべてのインポートされたローカル ルールはローカル ルール カテゴリで自動的に保存されます。

イネーブル ローカル ルール

  • デフォルトで、FireSIGHT システムは使用不可状態のローカル ルールを設定 します。 不正侵入 ポリシーでそれらを使用できる前に手動でローカル ルールの状態を設定 して下さい。
  • ローカル ルールを、ナビゲート ポリシーエディタ ページ(ポリシー > 不正侵入 > 不正侵入 ポリシー)に有効に するため。 左パネルで『Rules』 を選択 して下さい。 カテゴリの下で、ローカルを選択して下さい。 ローカル ルールすべてはもし可能であれば現われる必要があります。



  • 望ましいローカル ルールを選択した後、ルールに状態を選択して下さい。


  • ルール状態が選択されたら、左パネルのポリシー情報 オプションをクリックして下さい。 託変更ボタンを選択して下さい。 不正侵入 ポリシーは検証されます。

: ポリシー 検証は不正侵入 ポリシーで不正侵入 イベント スレッシュホールドの設定機能と組み合わせて非難されたしきい値 キーワードを使用するインポートされたローカル ルールを有効に する場合失敗します。

削除されたローカル ルールを表示して下さい

  • すべての削除されたローカル ルールはローカル ルール カテゴリから削除されたルール カテゴリに移られます。
  • 削除されたローカル ルールのリビジョン番号を表示するために、ルール エディタ ページに行って下さい、フォルダを開くために削除されたカテゴリをクリックしそしてルール エディタ ページのルールの詳細を表示するために鉛筆アイコンをクリックして下さい。

ローカル ルールの番号

  • ジェネレーター(GID)を規定 する必要がありません; 場合、標準テキスト ルールのための GID だけ 1 規定できますまたは機密データのための 138 は支配します。
  • ルールをはじめてインポートした場合 Snort ID (SID)またはリビジョン番号を規定 しない で下さい; これは削除されたルールを含む他のルールの SID の衝突を、避けます。
  • FireSIGHT Management Center は自動的に 1000000 の次の利用可能 なカスタマイズした方法 SID かより大きい、および 1.のリビジョン番号を割り当てます。
  • より 2147483647 大きい SID の不正侵入ルールをインポートするように試みる場合、認証エラーは発生します。
  • 以前にインポートしたローカル ルールの更新バージョンをインポートした場合 IPS によって割り当てられる SID および現在のリビジョン番号より大きいリビジョン番号を含んで下さい。
  • IPS によって割り当てられる SID を使用してルールおよびリビジョン番号のインポートによって削除した現在のリビジョン番号より大きいローカル ルールを復帰できます。 ローカル ルールを削除する時 FireSIGHT Management Center が自動的にリビジョン番号を増分することに注目して下さい; これはローカル ルールを復帰させることを可能にするデバイスです。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117924