Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
異常の検出のアクティブ化
異常の検出のアクティブ化
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

異常の検出のアクティブ化

異常の検出のオプション

Detect と Detect and Learn

自動動作モードとインタラクティブ動作モード

異常の検出の管理

異常の検出のアクティブ化

トラフィック異常の検出の確認

異常の検出の非アクティブ化

動的フィルタの管理

動的フィルタのリストの表示

動的フィルタの詳細の表示

動的フィルタの追加

動的フィルタの削除

不要な動的フィルタの作成の防止

Detector モジュールが実行するゾーンの異常検出方法の設定

自動検出モードのアクティブ化

インタラクティブ検出モードのアクティブ化

保留動的フィルタの数が 1,000 を超えた場合の対応

動的フィルタに対する Detector モジュールの推奨事項の管理

推奨事項の表示

推奨事項の管理

推奨事項の保留動的フィルタの表示

保留動的フィルタの詳細の表示

保留動的フィルタの受け入れ

異常の検出のアクティブ化

ユーザがゾーンの異常検出をアクティブにすると、Detector モジュールは、受信するゾーンのトラフィックのコピーにゾーンのポリシーを適用します。トラフィックの異常によってポリシーのしきい値の超過が発生し(攻撃の兆候が示され)、ポリシーのアクションがトリガーされると、Detector モジュールは、ユーザに通知を送信するか、Cisco Anomaly Guard Module をアクティブにします。この章では、WBM を使用してゾーンの異常の検出をアクティブにし、管理する方法について説明します。

この章は、次の項で構成されています。

異常の検出のオプション

異常の検出の管理

動的フィルタの管理

Detector モジュールが実行するゾーンの異常検出方法の設定

動的フィルタに対する Detector モジュールの推奨事項の管理

異常の検出のオプション

Detector モジュールには、異常の検出を実行するためのオプションがいくつか用意されています。たとえば、異常検出の処理すべてをDetector モジュールで管理するように設定することも、攻撃の進行中にユーザが Detector モジュールを監視し、指示することもできます。

この項は、異常の検出に関する次の情報で構成されています。

Detect と Detect and Learn

自動動作モードとインタラクティブ動作モード

Detect と Detect and Learn

ゾーンの異常検出をアクティブにする場合、Detector モジュールでは次のオプションを選択できます。

Detect:Detector モジュールは、ゾーンのトラフィックを分析し、トラフィックの異常を検出すると、動的フィルタの作成を開始します。

Detect and Learn:Detector モジュールは、ゾーンのトラフィックに異常がないかどうか分析すると同時に、ラーニング プロセスのしきい値調整フェーズを開始します。Detector モジュールは、しきい値調整フェーズのトラフィックを分析しながら、ゾーン設定のポリシーしきい値を新しいしきい値情報に合せて自動調整します。Detector モジュールは、トラフィックの分析中に攻撃を検出すると、しきい値調整フェーズを一時停止します。ゾーンへの攻撃が終了すると、Detector モジュールは、しきい値調整フェーズと異常の検出をともに再開します。

自動動作モードとインタラクティブ動作モード

ゾーンの異常検出がイネーブルの場合、動作モードにより Detector モジュールが動的フィルタをどのようにアクティブにするか定義されます。動作モードは、ゾーンの設定時に定義します。

ゾーン異常検出は、次の 2 つの動作モードでアクティブにできます。

自動検出モード:Detector モジュールは、作成した動的フィルタをユーザの介入なしで自動的にアクティブにします。これがデフォルトの動作モードです。

インタラクティブ検出モード:Detector モジュールはインタラクティブ モードで動的フィルタをアクティブにします。動的フィルタは推奨されるグループに分けられます。動的フィルタを確認して、どれを受け入れるか、無視するか、または自動アクティブ化するかを決定できます。

ゾーンの設定の動作モード設定値は、いつでも変更することができます。

異常の検出の管理

この項の手順では、ゾーン トラフィックの異常の検出を手動でアクティブまたは非アクティブにする方法について説明します。

この項では、次の手順について説明します。

異常の検出のアクティブ化

トラフィック異常の検出の確認

異常の検出の非アクティブ化

異常の検出のアクティブ化

ゾーンの異常検出をアクティブにする前に、ラーニング プロセスを使用して Detector モジュールにゾーン トラフィック パターンを学習させることができます。Detector モジュールはゾーンのトラフィック パターンを学習し、ゾーン トラフィックの統計分析に従って一連の推奨しきい値を作成できます。

ゾーンが攻撃を受けていない場合は、Detector モジュールでゾーン ポリシーを構築することをお勧めします。その後 Detect and Learn 機能をイネーブルにします。Detector モジュールは、ゾーン トラフィックをラーニングすると同時に、最後に受け入れられたポリシーしきい値を監視してトラフィックの異常を検出します。Detector モジュールがゾーンで攻撃を検出すると、しきい値調整フェーズを停止しますが、Detector モジュールが悪意あるトラフィックのしきい値をラーニングしないように、ゾーン トラフィックの異常検出を続行します。ラーニング プロセスの詳細については、 第7章「ゾーン トラフィックのラーニング」 を参照してください。

異常の検出をアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、異常の検出をアクティブにします。

検出をアクティブにするには、 Detect をクリックするか、ゾーンのメイン メニューの Detection > Detect を選択します。

Detect and Learn をアクティブにするには、 Detect & Learn をクリックします。

Detector モジュールがトラフィック フローの分析を開始して、トラフィックの異常を検出します。

ナビゲーション ペインの Under Detection ゾーン リストにゾーン名が追加され、Recent Events テーブルには、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。

ゾーンのステータス アイコンが検出 に変更されます。


 

トラフィック異常の検出の確認

ゾーンのステータス画面からトラフィックのカウンタを表示すると、異常の検出プロセスが正常に動作しているかどうかを確認できます。

ナビゲーション ペインで、検出実行中のゾーンをクリックしてゾーンのステータス画面を表示します。次の条件を満たしている場合、異常の検出が機能しています。

Recent Events テーブルに、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。

Traffic Rate テーブルの受信トラフィック レートが 0 より大きい値を示します。

異常の検出の非アクティブ化

異常の検出を非アクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出中のゾーンをクリックします。ゾーンのメイン メニューとゾーンのステータス ページが表示されます。

ステップ 2 次のいずれかの方法で、異常の検出を非アクティブにします。

ゾーンのステータス画面の Deactivate をクリックします。

ゾーンのメイン メニューの Detection > Deactivate を選択します。

検出機能がイネーブルの場合、Detector モジュールはゾーン トラフィックの分析を停止し、ゾーンのステータスがスタンバイ に変更されます。

Detect and Learn 機能がイネーブルの場合は、Deactivate ウィンドウが表示されます。

ステップ 3 Stop Detection チェックボックスをオンにします。

ステップ 4 (オプション)ラーニング プロセスのしきい値調整フェーズを停止するには、Stop Learning チェックボックスをオンにします。

a. Deactivate ウィンドウから次のいずれかのオプションを選択して、Detector モジュールによる新しいしきい値の処理方法を定義します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果をゾーンの設定に使用します。使用するしきい値の選択方法を定義します。

表9-1 に、しきい値の選択方法のパラメータの説明を示します。

 

表9-1 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Detector モジュールは、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Detector モジュールは、ポリシーの現在のしきい値をラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Detector モジュールは、次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Keep current thresholds :Detector モジュールは、ラーニング プロセスの提案されたしきい値をすべて拒否し、ポリシーが現在のしきい値を保持します。

Weight

Detector モジュールが新しいしきい値の計算に使用する重みを定義します。このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Detector モジュールが使用する重み値を入力します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

ステップ 5 OK をクリックして、選択を確認します。

Detector モジュールはゾーン トラフィックの分析を停止し、ナビゲーション ペインの Under Detection リストからゾーン名が削除されます。


 

動的フィルタの管理

動的フィルタは、必要な保護レベルをトラフィック フローに適用し、攻撃の対処法を定義します。 Detector モジュールはゾーン トラフィックの異常を検出した場合に動的フィルタを作成しますが、これは、フローがゾーン ポリシーのしきい値を超過した場合に実行されます。この一連のフィルタは、ゾーン トラフィックおよび特定の DDoS 攻撃に対して継続的に適用されます。Detector モジュールは、ユーザが異常検出をアクティブにした後にのみ動的フィルタを作成します。このため、動的フィルタを表示および管理できるのは、Detector モジュールがゾーン トラフィックに異常を検出したときのみです。

攻撃中に手動でゾーンの異常検出を制御するには、攻撃中に動的フィルタを追加または削除します。Detector モジュールは、攻撃が終了するとすべての動的フィルタを削除します。Detector モジュールは、すべてのゾーンで最大 150,000 の動的フィルタを同時にアクティブにします。

この項では、次の手順について説明します。

動的フィルタのリストの表示

動的フィルタの詳細の表示

動的フィルタの追加

動的フィルタの削除

不要な動的フィルタの作成の防止

動的フィルタのリストの表示

動的フィルタのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューの Detection > Dynamic filters を選択します。

ゾーン ステータス テーブルの Active Dynamic filters をクリックします。

Dynamic filters 画面が表示されます。


 

動的フィルタのテーブルには、動的フィルタを作成したポリシーに基づいてフィルタリングされた動的フィルタが示され、進行中の攻撃に関する情報を提供します。 表9-2 に、動的フィルタのテーブルに表示される情報の説明を示します。

 

表9-2 動的フィルタに含まれているフィールドの説明

フィールド
説明

Created by

動的フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。

Activation

動的フィルタがアクティブになった日時。

Expiration

フィルタの有効期限が満了する時刻。この時刻を過ぎると、動的フィルタは削除されます。

Src IP

フィルタが処理するトラフィックの送信元 IP アドレス。

Dst IP

動的フィルタの適用対象となる宛先 IP アドレス。

Detector モジュールは、宛先 IP アドレスと、ゾーンに設定された Protect-IP state の値に基づいて、Cisco Anomaly Guard Module 上で保護をアクティブにします。

Protocol

フィルタが処理するトラフィックのプロトコル番号。

Dst Port

フィルタが処理するトラフィックの宛先ポート。

Fragments

トラフィック フローの断片化設定で、攻撃ストリームの中に断片化されたパケットが含まれているかどうかを示します。

Action

動的フィルタが実行するアクション。

Rate (pps)

このフィルタに対して測定された pps 1 単位の現在のトラフィック レート。

Details

このフィルタに対する追加情報が存在するかどうかの表示。 i をクリックすると、追加情報が表示されます。

1.pps = packets per second

Src IP、Protocol、および Dst Port は特定のものでなくても問題ありません。アスタリスク(*)は、このフィルタがすべてのフィールド値に対応しているか、複数の値がフィルタに一致したことを示します。

特定の動的フィルタの詳細の表示については、「動的フィルタの詳細の表示」の項を参照してください。

動的フィルタの詳細の表示

特定の動的フィルタの詳細情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューの Detection > Dynamic filters を選択します。

ゾーン ステータス テーブルの Active Dynamic filters をクリックします。

Dynamic filters 画面が表示されます。

ステップ 3 Dynamic filter 画面の Details カラムで i をクリックすると、フィルタの詳細情報が表示されます。Dynamic filter details 画面が表示されます。


 

Dynamic filter details 画面には、次の情報を表示する 3 つのテーブルがあります。

動的フィルタを作成したポリシー。

攻撃フローに関する情報。

動的フィルタを作成したトリガーに関する情報。 表9-3 に、トリガーのパラメータの説明を示します。

 

表9-3 トリガーに含まれているフィールドの説明

フィールド
説明

Policy Threshold

攻撃フローによって超過したポリシーのしきい値。

Triggering rate

動的フィルタの作成原因となった攻撃の概算レート。

動的フィルタの追加

ゾーンに対する攻撃中に、動的フィルタを追加して、ゾーンの異常検出を管理できます。リモート Guard リストに定義された Cisco Anomaly Guard Module(リモート Guard)をアクティブにしてゾーンを保護するよう、動的フィルタを設定することができます。動的フィルタの宛先 IP アドレスは、ゾーンに設定された Protect-IP state およびアドレス範囲に一致する必要があります。一致しない場合、リモート アクティベーションは失敗します。次のいずれかの方法で、リモート Guard 上でゾーン保護をアクティブにするように動的フィルタを設定できます。

リモート Guard 上で、ゾーン全体に対してゾーン保護をアクティブにする:ゾーン全体に対してゾーン保護をアクティブにするには、Destination IP フィールドにアスタリスク(*)を入力するか、フィールドをブランクのままにします。

ゾーンの Protect-IP state を Entire Zone または Policy type に設定する必要があります。

リモート Guard 上で、ゾーンの IP アドレス範囲内の特定の IP アドレスのみ、ゾーン保護をアクティブにする:特定の IP アドレスに対してゾーン保護をアクティブにするには、Destination IP フィールドにその IP アドレスを入力します。

ゾーンの Protect-IP state を Only Dst IP に設定する必要があります。

リモート Guard リストの設定は、CLI を使用しないと設定できません。CLI の使用の詳細については、『 Cisco Traffic Anomaly Detector Configuration Guide 』を参照してください。

ゾーンの Protect-IP state の詳細については、「Guard ゾーンの設定」を参照してください。

動的フィルタを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューの Detection > Dynamic filters を選択します。

ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。

Dynamic filters 画面が表示されます。

ステップ 3 Add をクリックします。Add Dynamic Filter 画面が表示されます。

表9-4 の説明に従って、動的フィルタのパラメータを定義します。

 

表9-4 動的フィルタに含まれているフィールドの説明

フィールド
説明

Destination IP

Detector モジュールは、宛先 IP アドレスと、ゾーンに設定された Protect-IP state の値に基づいて、リモート Guard 上で保護をアクティブにします。ブランクのままにするか、「すべて」の IP アドレスを表すアスタリスク(*)を入力します。

Action

特定のトラフィック タイプに対してフィルタが実行するアクションを指定します。フィルタのアクションを Action ドロップダウン リストから選択します。

remote-activate: Detector モジュールは、リモート Guard リストに定義されたリモート Guard をアクティブにしてゾーンを保護します。リモート Guard リストを設定するには CLI を使用します。Detector モジュールの CLI へのアクセスと使用の詳細については、『 Cisco Traffic Anomaly Detector Module Configuration Guide 』を参照してください。

Timeout (Sec)

フィルタがアクティブである最低限の時間。次のいずれかのオプションを選択します。

無期限の場合は、Forever チェックボックスをオンにします。

seconds チェックボックスをオンにして、時間を秒単位で入力します。

ステップ 4 OK をクリックして動的フィルタをアクティブにします。


 

動的フィルタの削除

すべての動的フィルタを削除できますが、削除が有効な期間は限られています。これは、動的に変化するトラフィックの状態に合せて、Detector モジュールが攻撃の進行中に新しい動的フィルタを設定し続けるためです。

動的フィルタを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューの Detection > Dynamic filters を選択します。

ゾーン ステータス テーブルの Active Dynamic filters をクリックします。

Dynamic filters 画面が表示されます。

ステップ 3 削除する動的フィルタの隣にあるチェックボックスをオンにします。

ステップ 4 Delete をクリックして動的フィルタを削除します。


 

不要な動的フィルタの作成の防止

Detector モジュールで不要な動的フィルタが作成されないようにするには、次のいずれかのアクションを実行できます。

動的フィルタを作成するポリシーを非アクティブにする。ポリシーの動作状態の変更の詳細については、 第8章「ゾーンのポリシーの管理」 「ポリシーのパラメータの変更」の項を参照してください。動的フィルタのリストを表示して、不要な動的フィルタを作成したポリシーを検索するには、「動的フィルタのリストの表示」の項を参照してください。

対象となるトラフィック フローにバイパス フィルタを設定する。バイパス フィルタの設定の詳細については、 第5章「ゾーンのフィルタの設定」 「バイパス フィルタの管理」の項を参照してください。

不要な動的フィルタを作成したポリシーのしきい値を大きくする。ポリシーのしきい値の変更の詳細については、 第8章「ゾーンのポリシーの管理」 「ポリシーのパラメータの変更」の項を参照してください。

Detector モジュールが実行するゾーンの異常検出方法の設定

Detector モジュールがゾーンに対する攻撃を検出したときに、どのように動的フィルタをアクティブにするかを設定できます。次のいずれかのモードで動作するように Detector モジュールを設定できます。

自動検出モード:Detector モジュールは、動的フィルタを作成すると、それらをすべてアクティブにします。

インタラクティブ検出モード:ユーザは、Detector モジュールが攻撃の進行中に作成する動的フィルタの推奨事項に対応する必要があります。Detector モジュールの推奨事項をアクティブにすることも、無視することもできます。

ゾーンの検出モードは、ゾーンの設定の一部として設定します。ゾーンの検出モードの設定値は、Detector モジュールがゾーンへの攻撃を管理している間を含め、いつでも変更できます。

この項は、次の情報で構成されています。

自動検出モードのアクティブ化

インタラクティブ検出モードのアクティブ化

保留動的フィルタの数が 1,000 を超えた場合の対応

自動検出モードのアクティブ化

自動検出モードは、新しいゾーンのデフォルトの検出モードです。ゾーンの検出モード設定値は、いつでも変更することができます。ゾーンを自動検出モードでアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。

ステップ 5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。ゾーンの動作が現在アクティブになっている場合、Detector モジュールは、すべての保留および新規の動的フィルタを自動的にアクティブにします。


 

インタラクティブ検出モードのアクティブ化

ゾーンをインタラクティブ検出モードでアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Operation Mode parameter ドロップダウン リストから、 interactive を選択します。

ステップ 5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。異常の検出が現在アクティブになっている場合、Detector モジュールは攻撃を検出すると推奨事項を作成します。


 

保留動的フィルタの数が 1,000 を超えた場合の対応

Detector モジュールが保留している動的フィルタの数が 1,000 を超えると、次のアクションが実行されます。

ゾーンを非アクティブにして自動検出モードで再度アクティブにするよう指示するエラー メッセージを表示する。

ゾーンのログ ファイルおよびレポートに推奨事項を記録後、推奨事項を破棄する。

Detector モジュールの保留動的フィルタが 1,000 個を超える場合にゾーン トラフィックの異常を検出するには、次の手順を実行してゾーンに自動検出モードを設定する必要があります。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 Deactivate をクリックします。Detector モジュールは異常の検出を停止し、すべての保留動的フィルタを削除します。

ステップ 3 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。

ステップ 4 Config をクリックします。Config 画面が表示されます。

ステップ 5 Operation Mode ドロップダウン リストから automatic を選択して、 OK をクリックします。ゾーンの設定が、新しい異常検出設定でアップデートされます。

ステップ 6 Protect をクリックします。Detector モジュールはゾーンの自動動作を開始し、動的フィルタを作成すると、それらをすべてアクティブにします。


 

動的フィルタに対する Detector モジュールの推奨事項の管理

インタラクティブ検出モードで異常の検出を実行する場合、Detector モジュールは、攻撃の進行中に動的フィルタのキューを作成します。キューイングされた動的フィルタは、保留動的フィルタと呼ばれます。Detector モジュールは、保留動的フィルタを作成したポリシーに従って保留動的フィルタをグループ化し、Detector モジュールの推奨事項としてユーザに提示します。この推奨事項は、保留フィルタの要約と、保留動的フィルタの作成の元になるポリシーの名前、ポリシーのアクティベーションの原因となったトラフィック異常に関するデータ、保留動的フィルタの数、および推奨アクションについての情報を提供します。ユーザは Detector モジュールの推奨事項(関連付けられているすべての保留動的フィルタを含む)に対応することも、各保留動的フィルタに個別に対応することもできます。

この項では、次の手順について説明します。

推奨事項の表示

推奨事項の管理

推奨事項の保留動的フィルタの表示

保留動的フィルタの詳細の表示

保留動的フィルタの受け入れ

推奨事項の表示

Detector モジュールでは、新しい推奨事項が使用可能になると、次の場所に推奨事項のアイコン が表示されます。

ナビゲーション ペインにある、All Zones リストのゾーン アイコンの隣

ナビゲーション ペインにある、Under Detection リストのゾーン アイコンの隣

ゾーン ステータス ページにあるゾーン ステータス バー

ゾーン リストのテーブル

Detector モジュールに新しい推奨事項がある場合は、保留動的フィルタの数が 0 を超えています。Detector モジュールは、ゾーン ステータス画面にある保留動的フィルタの数をゾーン ステータス テーブルに表示します。

Detector モジュールの推奨事項のリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。


 

表9-5 に、推奨事項テーブルに含まれているフィールドの説明を示します。

 

表9-5 推奨事項テーブルに含まれているフィールドの説明

フィールド
説明
ID

Detector モジュールが推奨事項に割り当てた識別番号。

Recommendation

Detector モジュールが推奨するアクション。

Created By

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。

# of PFs

推奨事項を構成している保留動的フィルタの数。保留になっている各フィルタは、トラフィック フローがポリシーのしきい値を超過した結果、作成されたものです。数値をクリックすると、推奨事項に関連付けられている保留動的フィルタが表示されます。

Attack flow

攻撃フローに関する情報。次の情報が提供されます。

Src IP :攻撃ストリームの送信元 IP アドレス。

Protocol :攻撃ストリームのプロトコル番号。

Dst Port :攻撃ストリームの宛先ポート。

Dst IP :攻撃ストリームの宛先 IP アドレス。

Thr.

攻撃フローが超過した、ポリシーのしきい値。

Min.

攻撃レートの最小値。いくつかの保留中フィルタを含んでいる推奨事項において、保留動的フィルタの最小のレートが表示されます。

Max.

攻撃レートの最大値。いくつかの保留中フィルタを含んでいる推奨事項において、保留動的フィルタの最大のレートが表示されます。

Creation

推奨事項が作成された日時。

Detector モジュールは、次の場合パラメータの 1 つにワイルドカードとしてアスタリスク(*)を使用します。

値が特定されていない。

パラメータに対して複数の値が測定された。異なる値を表示するには、すべての保留動的フィルタのリストを確認します。

推奨事項の管理

推奨事項をアクティブにするかどうかを決定できます。すべての推奨事項、特定の推奨事項、または特定の保留動的フィルタに対して決定することができます。その決定により、ポリシーの保留動的フィルタが動的フィルタになるかどうか、およびその期間が決まります。

特定のポリシーの保留動的フィルタを自動的にアクティブにするよう、Detector モジュールに指示できます。また、ポリシーによって推奨事項が生成されないように Detector モジュールに指示することもできます。Detector モジュールのポリシーは、ゾーンがインタラクティブ保護モードで、DDoS 攻撃が進行中の場合、推奨事項を継続して作成します。ゾーンのステータスを検証して、さらにアクションが必要かどうかを判断するために推奨事項を管理する場合、ゾーンのステータスを表示することをお勧めします。

推奨事項を管理するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 Filters timeout ボックスに、フィルタのタイムアウト値を秒単位で入力します。

ステップ 4 受け入れる推奨事項の隣にあるチェックボックスをオンにします。

ステップ 5 必要なアクションを選択します。

accept :特定の推奨事項を受け入れます。Detector モジュールは、当該推奨事項に関連付けられている保留動的フィルタをアクティブにします。

always-accept :特定の推奨事項を受け入れます。推奨ポリシーにより新しい推奨事項が生成されると、この決定は必ず自動的に適用されます。保留動的フィルタは、自動的に動的フィルタになります。このアクションを実行すると、Detector モジュールはこのような推奨事項を表示しなくなります。

always-ignore :特定の推奨事項を常に無視します。動的フィルタも保留動的フィルタも作成されません。この決定は、ポリシーにより作成される将来のすべての推奨事項に自動的に適用されます。推奨事項を常に無視するように決定した場合、Detector モジュールは推奨事項を表示しなくなります。将来の攻撃でポリシーが推奨事項を作成しないようにするには、そのポリシーをディセーブルまたは非アクティブにします( 第8章「ゾーンのポリシーの管理」 「ポリシーのパラメータの変更」の項を参照)。

特定の推奨事項への対応として決定した always-ignore は、その推奨事項の保留動的フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。


 

必要に応じて、推奨事項に関連付けられている保留動的フィルタをすべて受け入れるのではなく、保留動的フィルタの一部を選択して受け入れることもできます。詳細については、「保留動的フィルタの受け入れ」の項を参照してください。

推奨事項の保留動的フィルタの表示

Detector モジュールの推奨事項に関連付けられている保留動的フィルタを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。


 

表9-6 に、保留動的フィルタのテーブルに含まれているフィールドの説明を示します。

 

表9-6 保留動的フィルタに含まれているフィールドの説明

フィールド
説明

Created by

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、 第8章「ゾーンのポリシーの管理」 を参照してください。

Activation

フィルタが作成された日時。

Src IP

攻撃ストリームの送信元 IP アドレス。

Protocol

攻撃ストリームのプロトコル番号。

Dst Port

攻撃ストリームの宛先ポート。

Fragments

フィルタの断片化設定で、攻撃ストリームの中に断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。

Recent rate

フィルタによって測定された現在の攻撃レート。

Rate (pps)

トリガー レート。保留動的フィルタ作成の原因となった攻撃の概算レート。

Details

このフィルタに関する追加情報が存在するかどうかを示します。 i をクリックすると、追加情報が表示されます。

Detector モジュールは、パラメータの 1 つにワイルドカードとしてアスタリスク(*)を使用します。

Detector モジュールでは、ポリシーが作成した保留動的フィルタは少なくともユーザが定義した期間中(フィルタ タイムアウト)はアクティブになります。

保留動的フィルタの詳細の表示

動的フィルタの詳細情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending Dynamic Filters 画面が表示されます。

ステップ 4 保留動的フィルタの Details カラムにある i をクリックします。Filter Details 画面が表示されます。


 

Filter Details 画面には、次の情報を表示する 3 つのテーブルがあります。

フィルタを作成したポリシー。

攻撃フロー。

フィルタ作成のトリガー(攻撃フローが超過したポリシーのしきい値、およびフィルタ作成の原因となった攻撃の概算レートを表示)。

保留動的フィルタの受け入れ

保留動的フィルタを選択的に受け入れるには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。

ステップ 4 Filters timeout ボックスに、動的フィルタのタイムアウト値を秒単位で入力します。

ステップ 5 アクティブにする保留動的フィルタの隣にあるチェックボックスをオンにします。

ステップ 6 Accept をクリックして保留動的フィルタをアクティブにします。