セキュリティ : Cisco Firepower Management Center

FireSIGHT システムのパス ルールの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

アラート ルールをある特定の状況では引き起こすことからのパス ルールで定義される条件を満たすパス ルールを作成できまアラート ルールをディセーブルにしますよりもむしろパケットを防ぐ。 デフォルトで、パス ルール上書きする アラート ルール。 FireSIGHT システムは各ルールおよび、ルール トリガーで規定 される条件に対してパケットデータがルールで規定 される条件すべてと一致すればパケットを比較します。 ルールがアラート ルールである場合、不正侵入 イベントを生成します。 パス ルールである場合、トラフィックを無視します。

たとえば、アクティブのままになるために」匿名ユーザ「として FTP サーバにログイン する試みを探すルールがほしいと思うかもしれません。 ただし、ネットワークに 1つ以上の正当 な 匿名FTP サーバがあれば、それらの特定のサーバのために、匿名ユーザーはオリジナル ルールを引き起こさないこと規定 するパス ルールを書き、アクティブにする可能性があります。

それをおよび不正侵入 ポリシーでそれを作成する方法をパス ルールはであるものこの資料に、有効に する方法を記述されています。

注意パス ルールが基づいているオリジナル ルールが修正を受け取るとき、パス ルールは自動的にアップデートされません。 従って、パス ルールは維持しにくくないですかもしれません。

: ルールのための抑制機能を有効に する場合、そのルールのためのイベント 通知を抑制します。 ただしルールはまだ評価されますあります。 たとえば、ドロップするルールを抑制すれば、ルールを一致するパケットは無言で廃棄されます。 

Nazmul Rajib および Josiah Zimmermann によって貢献される、Cisco TAC エンジニア。

設定

パス ルールを作成して下さい


1. Webインターフェイスを使用しているルール エディタを開くためにポリシー > 不正侵入 > ルール エディタに、ナビゲート して下さい

2. フィルタリングしたいと思うルールを見つけて下さい。 パスを支配させるたいと思うルールを見つけるのに検索ボックスかカテゴリ リストを使用して下さい。

3. 条件を満たすルールを編集して下さい:

  • ルールに相当して Edit ボタンをクリックして下さい。
  • 警告 するルールがほしいと思わないことホストかネットワークにソース IP および宛先IP を変更して下さい。
  • 渡るためにアラートから処理を変更して下さい。




4. 新しい『Save As』 をクリック して下さい。 新しいルールの ID 番号に注意して下さい。 たとえば、1000000。

パス ルールを有効に して下さい

規定 した 送信元または宛先アドレスのトラフィックを通過させることを適切な不正侵入 ポリシーの新しいルールが可能にする必要があります。 パス ルールを有効に するために下記のステップに従って下さい:

1. アクティブな不正侵入 ポリシーを修正して下さい。

  • ポリシー > 不正侵入 > 不正侵入 ポリシーへのナビゲート
  • はたらくポリシーの隣で『Edit』 をクリック して下さい。


2. ルール リストに新しいルールを追加して下さい。

  • 左側 ペインで『Rules』 をクリック して下さい。
  • フィルタ ボックスで先に注意したルール ID を入力して下さい。
  • Rules チェックボックスを選択し、イベントを生成するためにルール状態を変更して下さい。
  • 左側 ペインのポリシー情報をクリックして下さい。 託します変更ボタンをクリックして下さい。


3. 不正侵入 ポリシーの隣で適用ポリシー ボタンをクリックして下さい。 デバイスを選択し、再適用しますクリックして下さい。
 

確認

イベントが定義されたソースまたは宛先IP のこの特定のルールのために生成されないことを確かめるために新しいイベントをしばらくの間監視する必要があります。



Document ID: 118411