Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.0)
ゾーンのトラフィックのラーニ ング
ゾーンのトラフィックのラーニング
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンのトラフィックのラーニング

ラーニング プロセスの概要

ラーニング プロセスのフェーズ

Detect and Learn 機能

ラーニング プロセスの結果の受け入れまたは拒否

ラーニング プロセスの実行

ポリシー構築フェーズの開始

ポリシー構築フェーズの停止

しきい値調整フェーズの開始

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの停止

Detect and Learn を使用したラーニング プロセスの実行

自動ラーニングのパラメータの設定

Detect and Learn のアクティブ化

Detect and Learn の非アクティブ化

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

ラーニング プロセスのスナップショットの管理

ラーニング プロセスの現在の結果のスナップショットを取得

ゾーンの設定のポリシーのスナップショットを取得

スナップショットの結果の表示、変更、および保存

スナップショットの削除

2 つのゾーンまたはスナップショットのポリシーの設定の比較

ポリシーの設定の相違点の表示

比較元ゾーンのサービスの削除

比較元ゾーンへのサービスの追加

比較元ゾーンへのポリシー パラメータのコピー

ゾーンのトラフィックのラーニング

この章では、Detector モジュールのラーニング プロセスを使用して、ゾーンのトラフィックを分析し、ゾーン設定の保護機能を微調整する方法について説明します。

この章は、次の項で構成されています。

ラーニング プロセスの概要

ラーニング プロセスの実行

Detect and Learn を使用したラーニング プロセスの実行

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

ラーニング プロセスのスナップショットの管理

2 つのゾーンまたはスナップショットのポリシーの設定の比較

ラーニング プロセスの概要

ラーニング プロセスにより、Detector モジュールはゾーンのトラフィックを分析し、Detector モジュールが検出するトラフィック フロー サービスに基づいてゾーン固有のポリシーのセットを作成できます。ラーニング プロセス中、Detector モジュールは、自身が作成する各ポリシーのしきい値の調整も行います。ポリシーのしきい値は、Detector モジュールがゾーンのトラフィック異常を検出する際に、トラフィック レートが通常の値を超えてゾーンへの攻撃の兆候を示していることを判別するために使用する基準点です。Detector モジュールがゾーンのトラフィックをラーニングしている間、ユーザはラーニング プロセスを監視し、ラーニング プロセスの結果を受け入れるか拒否するかを決定します。ユーザがラーニング プロセスの結果を受け入れると、Detector モジュールは、ポリシー情報をゾーン設定に保存し、それ以前のゾーン設定のポリシーをすべて削除します。ユーザがラーニング プロセスの結果を拒否すると、Detector モジュールは、そのラーニング プロセスの結果を削除し、ゾーン設定にすでに存在するポリシーを引き続き使用します。

この項は、ラーニング プロセスに関する次の情報で構成されています。

ラーニング プロセスのフェーズ

Detect and Learn 機能

ラーニング プロセスの結果の受け入れまたは拒否

ラーニング プロセスのフェーズ

ラーニング プロセスは、Detector モジュールでユーザが個別に実行する次の 2 つのフェーズで構成されています。

ポリシー構築フェーズ :このフェーズでは、Detector モジュールは、トラ
フィック フローで検出するサービスに基づいてポリシーを作成します。各ポリシーには、トラフィックの異常を検出したときに Detector モジュールが実行するアクションが設定されています。ポリシー テンプレートは、ポリシーを作成するときに Detector モジュールが従うガイドラインを提供しています。たとえば、ポリシー テンプレートは、Detector モジュールがポリシー構築フェーズ中にテンプレートから生成することが可能なポリシーの数を制限できます。さらにポリシー テンプレートは、Detector モジュールがデフォルトのしきい値を使用してポリシー テンプレートから作成する各ポリシーも設定します。

しきい値調整フェーズ :このフェーズでは、Detector モジュールは、ゾーン ポリシーのしきい値を調整します。ポリシーのしきい値は、通常のトラフィックがポリシーのアクションをアクティブにすることなく Detector モジュールを通過できる値に設定されています。ゾーンを保護する場合、Detector モジュールはトラフィック フローにゾーンのポリシーを適用します。ポリシーのしきい値超過が発生すると、Detector モジュールはポリシーのアクションを実行します。

ポリシー構築フェーズとしきい値調整フェーズを使用するタイミングおよび方法については、次に示す 2 つの例外があります。

ポリシー構築フェーズは、Guard_Link ゾーン テンプレートを使用して作成するゾーンに対しては実行できません。

ゾーンの設定に worm_tcp ポリシー テンプレートが含まれている場合、Detector モジュールは、作成する各ポリシーのしきい値を調整するときだけでなく、テンプレートからポリシーを作成するときにもしきい値調整フェーズを使用します。

ラーニング プロセスを発生させるには、ゾーンに送信されたトラフィックをキャプチャし、そのコピーを Detector モジュールに送信するようにスイッチを設定する必要があります。

Detector モジュールのスナップショット機能を使用すれば、ラーニング プロセスのどちらのラーニング フェーズであっても、いつでも現在の結果を保存できます。ラーニング プロセスのスナップショットを取得することにより、Detector モジュールがそのスナップショットの時点までに作成したポリシー情報を表示できます。ラーニング フェーズの結果をスナップショットに保存しても、ゾーンの設定には影響しません。ラーニング プロセスのスナップショットは、必要に応じていくつでも取得できます。また、スナップショットに保存したポリシー情報を使用してゾーンの設定をアップデートすることもできます。スナップショット機能の使用の詳細については、「ラーニング プロセスのスナップショットの管理」の項を参照してください。

Detect and Learn 機能

Detector モジュールがラーニング プロセスのポリシー構築フェーズを実行した後に、Detect and Learn 機能をアクティブにすることができます。Detect and Learn 機能により、Detector モジュールは、しきい値調整フェーズを実行(Learn)しながら、同時にトラフィックの異常を検出(Detect)できます。Detector モジュールは、攻撃を検出すると、ラーニング プロセスを一時停止します。攻撃が終わると、Detector モジュールはラーニング プロセスを再開します。検出とラーニングの動作状態により、Detector モジュールは、ゾーン トラフィックの特性に応じてポリシーのしきい値を常にアップデートしながら異常を検出できるので、悪意のあるトラフィックのしきい値が Detector モジュールでラーニングされなくなります。

ラーニング プロセスの結果の受け入れまたは拒否

ポリシー構築フェーズまたはしきい値調整フェーズの結果は、フェーズの実行中またはフェーズを停止したときに、受け入れまたは拒否できます。ラーニング プロセス中、Detector モジュールはゾーン設定のポリシーを変更しません。ユーザがラーニング フェーズの結果を受け入れた場合のみ、Detector モジュールはゾーン設定をアップデートし、新しいポリシーまたはポリシーしきい値による動作を開始します。

ラーニング プロセスの実行

この項の手順では、ラーニング プロセスの 2 つのフェーズ、ポリシー構築フェーズとしきい値調整フェーズを開始および停止する方法について説明します。ラーニング プロセスは、ゾーンの保護を次の方法で最適化するために使用します。

選択したゾーン テンプレートのデフォルト ポリシーとポリシーしきい値を使用して設定した、新しいゾーンのポリシーを微調整する。

ゾーンのトラフィック パターンが変化したときに、ゾーンの既存の設定をアップデートする。

ラーニング プロセスの結果を正確なものにし、通常時のゾーン トラフィックに適合した設定結果を得るためには、ゾーンのトラフィックが次の条件を満たしたときにラーニング プロセスをアクティブにします。

ゾーン トラフィックが通常状態である(攻撃を受けていない):この場合、
Detector モジュールが DDoS 攻撃のトラフィックの特性に従ってゾーンのポリシーを構築および調整しないことが保証されます。ゾーンが攻撃を受けているときにラーニング プロセスを開始すると、Detector モジュールはその攻撃のトラフィック パターンをラーニングし、今後の参照基準としてラーニングの結果を保存します。そのため、Detector モジュールが将来攻撃を受けてもそれらを通常のトラフィック状態と見なす場合があり、攻撃が検出されなくなります。

ゾーン トラフィックの量がピークに達している:この場合、Detector モジュールは、ポリシーのしきい値を通常のトラフィックのピーク時に相当する値に設定し、通常のトラフィックのピークが攻撃として認識されないようにすることができます。

この項では、次の手順について説明します。

ポリシー構築フェーズの開始

ポリシー構築フェーズの停止

しきい値調整フェーズの開始

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの停止

ポリシー構築フェーズの開始

ポリシー構築フェーズは、新しいゾーンを作成した後、または新しいサービス ポリシーを使用してゾーンの設定をアップデートする必要があるときに使用します。ポリシー構築フェーズを実行した後は、しきい値調整フェーズを実行して各ポリシーのしきい値を微調整します。


) ポリシー構築フェーズは、いずれかの Guard_Link ゾーン テンプレートを使用して作成したゾーンに対しては実行できません。



) ゾーンの設定に worm_tcp ポリシー テンプレートを使用する場合、Detector モジュールは、作成する各ポリシーのしきい値を調整するときだけでなく、テンプレートからポリシーを作成するときにもしきい値調整フェーズを使用します(「しきい値調整フェーズの開始」の項を参照)。


ポリシー構築フェーズを開始するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Construct Policies を選択します。次の処理が実行されます。

Policy Templates 画面が表示されます。

Detector モジュールは、トラフィック フローで使用されているサービスに対するゾーン トラフィックのコピーの分析を開始し、検出する各サービスに関連するポリシーを作成します。

ゾーンのステータス アイコンがラーニング に変更されます。

ステップ 3 (オプション)ポリシー構築フェーズの任意の時点で、 Learning > Snapshot を選択してこのフェーズの現在の結果(提案されているポリシー)を保存し、確認します。スナップショット機能の使用の詳細については、「ラーニング プロセスのスナップショットの管理」の項を参照してください。


 

Detector モジュールが十分時間を費やして、通常のゾーン トラフィックの正確な状態を受信し、分析できるように、ポリシー構築フェーズは少なくとも 2 時間実行した後で停止することをお勧めします。

ポリシー構築フェーズの停止

ポリシー構築フェーズを停止するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ポリシー構築フェーズの現在の結果を受け入れるか拒否するには、次のいずれかのオプションを使用します。

ゾーンのメイン メニューの Learning > Accept を選択して、ラーニング
フェーズの結果を受け入れます。Detector モジュールは、ゾーン設定の現在のポリシーをすべて削除し、提案されたゾーン ポリシーに置き換えます。Detector モジュールは、ポリシー構築フェーズを停止せず、ゾーン サービスのラーニングを続行します。

ゾーンのメイン メニューの Learning > Stop Learning を選択します。Stop Learning ウィンドウが表示されます。次のいずれかのオプションを選択して、ステップ 3 に進みます。

Reject:提案されたゾーン ポリシーを拒否します。

Accept:提案されたゾーン ポリシーを受け入れます。

ステップ 3 このステップが必要になるのは、ステップ 2 で Learning > Stop Learning を選択した場合のみです。次のいずれかのオプションを選択します。

OK:このオプションを選択した場合の結果は、ポリシー構築フェーズの結果を受け入れるか、拒否するかによって次のように異なります。

Reject を選択すると、Detector モジュールは、提案されたゾーン ポリシーをすべて削除します。ゾーンの設定は一切変更されません。

Accept を選択すると、Detector モジュールは、ゾーン設定の現在のポリシーをすべて削除して、提案されたゾーン ポリシーに置き換えます。その後、ポリシー構築フェーズが終了します。

Clear :Stop Learning ウィンドウの設定をデフォルトの Accept に戻します。

Cancel:Stop Learning ウィンドウを閉じて、ポリシー構築フェーズを続行します。


 

しきい値調整フェーズをアクティブにするのは、ポリシー構築フェーズの結果を受け入れた後にすることをお勧めします。しきい値調整フェーズを実行すると、受け入れたポリシーのしきい値が、ゾーンのトラフィック フローの特性に基づいて設定されます。ポリシーは、しきい値調整フェーズを実行するまでは工場出荷時のデフォルトしきい値を使用して設定されます。

しきい値調整フェーズの開始

しきい値調整フェーズは、ポリシー構築フェーズを実行した後、またはゾーンのポリシーのしきい値をアップデートする必要が生じたときに使用します。


) ゾーンの設定に worm_tcp ポリシー テンプレートが含まれている場合、Detector モジュールは、作成する各ポリシーのしきい値を調整するときだけでなく、テンプレートからポリシーを作成するときにもしきい値調整フェーズを使用します。


しきい値調整フェーズを開始するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Tune Threshold を選択します。次の処理が実行されます。

Detector モジュールは、ゾーン トラフィックの分析を開始し、トラフィック フローの特性に合せてゾーン ポリシーのしきい値を調整します。

ゾーンのステータス ラーニング アイコン が、作業領域内の、ナビゲーション パネルのゾーン名の隣に表示されます。

しきい値調整フェーズは、少なくとも 24 時間実行してから終了することをお勧めします。

ステップ 3 (オプション)しきい値調整フェーズの任意の時点で、 Learning > Snapshot を選択してこのフェーズの現在の結果(提案されているしきい値)を保存し、確認します。スナップショット オプションの使用の詳細については、「ラーニング プロセスのスナップショットの管理」の項を参照してください。


 

Detector モジュールが十分時間を費やして、通常のゾーン トラフィックの正確な状態を受信し、分析できるように、しきい値調整フェーズは少なくとも 24 時間実行した後で終了することをお勧めします。

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの現在の結果を受け入れて、Detector モジュールがしきい値調整フェーズを続行できるようにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Accept を選択します。Accept Thresholds ウィンドウが表示されます。

ステップ 3 使用するしきい値選択方法を定義します。 表 7-1 に、Accept Thresholds ウィンドウに表示されるパラメータの説明を示します。

 

表 7-1 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Detector モジュールは、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Detector モジュールは、ポリシーの現在のしきい値をラーニングしたしきい値と比較して、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Detector モジュールは、保存するポリシーのしきい値を次の公式に基づいて計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

重み値は、システム管理者が定義します。

Keep current thresholds :Detector モジュールは、ラーニング プロセスの結果として提案されたしきい値をすべて拒否し、ポリシーはしきい値調整フェーズ以前の値を引き続き使用します。

weight

このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Detector モジュールが使用する重み値を入力します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

ステップ 4 次のいずれかのオプションを選択します。

OK:Detector モジュールは、しきい値調整フェーズの現在の結果を使用してゾーン設定のポリシーをアップデートし、しきい値調整フェーズを続行します。

Clear :Accept Thresholds ウィンドウの設定をデフォルトに戻します。

Cancel:Accept Thresholds ウィンドウを閉じて、しきい値調整フェーズを続行します。


 

しきい値調整フェーズの停止

しきい値調整フェーズの現在の結果を受け入れるか拒否して、しきい値調整フェーズを停止するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Stop Learning を選択します。Stop Learning ウィンドウが表示されます。

ステップ 3 Stop Learning ウィンドウで、次のいずれかのオプションを選択します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果をゾーンの設定に使用します。使用するしきい値選択方法を定義します。 表 7-2 に、しきい値選択方法のパラメータの説明を示します。

 

表 7-2 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Detector モジュールは、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Detector モジュールは、ポリシーの現在のしきい値をラーニングしたしきい値と比較して、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Detector モジュールは、保存するポリシーのしきい値を次の公式に基づいて計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

重み値は、システム管理者が定義します。

Keep current thresholds :Detector モジュールは、ラーニング プロセスの結果として提案されたしきい値をすべて拒否し、ポリシーはしきい値調整フェーズ以前の値を引き続き使用します。

weight

このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Detector モジュールが使用する重み値を入力します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

ステップ 4 次のいずれかのオプションを選択します。

OK:Detector モジュールは、しきい値調整フェーズの現在の結果を使用してゾーン設定のポリシーをアップデートし、しきい値調整フェーズを停止します。

Clear :Stop Learning ウィンドウの設定をデフォルトに戻します。

Cancel:Stop Learning ウィンドウを閉じて、しきい値調整フェーズを続行します。


 

Detect and Learn を使用したラーニング プロセスの実行

この項の手順では Detect and Learn 動作の管理方法について説明します。Detect and Learn 動作では、Detector モジュールはゾーン トラフィックに異常がないかを分析しながら、ゾーン トラフィックをラーニングしてポリシーしきい値を調整します。Detect and Learn をアクティブにする前に、Detector モジュールがラーニング プロセスの結果を受け入れるタイミングと方法を設定できます。Detector モジュールは、ゾーンへの攻撃を検出するとラーニング プロセスを一時停止し、攻撃が終了するとラーニング プロセスを再開します。

この項では、次の手順について説明します。

自動ラーニングのパラメータの設定

Detect and Learn のアクティブ化

Detect and Learn の非アクティブ化

自動ラーニングのパラメータの設定

自動ラーニング パラメータを設定することにより、Detect and Learn をアクティブにする場合に、Detector モジュールがラーニング プロセス(しきい値調整フェーズ)の現在の結果を自動的に受け入れるタイミングと方法を制御できます。

自動ラーニングを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Learning parameters を選択します。Learning parameters 画面が表示されます。

ステップ 3 Config をクリックします。Config learning parameters 画面が表示されます。

ステップ 4 自動ラーニングのパラメータを定義します。 表 7-3 に、ラーニング パラメータの説明を示します。

 

表 7-3 ラーニングのパラメータ

パラメータ
説明

Zone is tuned

ゾーンのポリシーを調整済みまたは未調整としてマークします。このオプションを選択すると、ポリシーが調整済みとしてマークされ、Detector モジュールは、ゾーンの異常を検出するためにそのポリシーをすぐに使用できます。このオプションを選択解除すると、ポリシーが未調整としてマークされ、ユーザは Detector モジュールがゾーンの異常を検出する前に、しきい値調整フェーズの結果を受け入れる必要があります。詳細については、「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

Set periodic learning

自動ラーニング プロセスをイネーブルにします。このオプションを選択する場合は、次のラーニング パラメータを設定します。

Learning cycle:Detector モジュールがラーニング プロセスの結果を保存する頻度を定義します。保存の間隔は、週、日、時間、および分単位で定義します。0 ~ 1000 までの整数を各時間フィールドに入力します。

Learning results:Detector モジュールがラーニング プロセスの結果を保存する方法を定義します。次のいずれかの方法を選択します。

Automatic accept :指定した間隔で Detector モジュールがゾーン設定に提案するラーニング プロセスの結果(ポリシーのしきい値)を受け入れます。Detector モジュールは新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。

Snapshot only :ラーニング プロセスのスナップショット(ポリシーのしきい値)を指定した間隔で保存します。Detector モジュールは新しいポリシーを受け入れず、ゾーン設定のポリシーのしきい値を変更しません。

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Detector モジュールは、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Detector モジュールは、ポリシーの現在のしきい値をラーニングしたしきい値と比較して、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Detector モジュールは、保存するポリシーのしきい値を次の公式に基づいて計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

重み値は、システム管理者が定義します。

Keep current thresholds :Detector モジュールは、ラーニング プロセスの結果として提案されたしきい値をすべて拒否し、ポリシーはしきい値調整フェーズ以前の値を引き続き使用します。

weight

このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Detector モジュールが使用する重み値を入力します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

ステップ 5 次のいずれかのオプションを選択します。

OK:Detector モジュールは、自動ラーニングのパラメータをゾーンの設定に保存します。

Clear :Learning Parameters フォームの設定をデフォルトに戻します。

Cancel:Config learning parameters 画面を閉じます。


 

Detect and Learn のアクティブ化

Detect and Learn をアクティブにすると、Detector モジュールは、ゾーン トラフィックをラーニングして、ポリシーしきい値を調整する一方で、ゾーンの異常を検出できます。 Detect and Learn をアクティブにする前に、ゾーンのポリシーが調整済みまたは未調整のどちらにマークされているのかを確認する必要があります。これは、ゾーンのポリシーの調整状態によって Detector モジュールの動作が異なるためです。Detect and Learn をアクティブにするときにポリシーが調整済みとしてマークされている場合、Detector モジュールは、 攻撃を検出しながらゾーン トラフィックをラーニングできます。Detect and Learn をアクティブにするときに、ゾーンのポリシーが未調整としてマークされている場合、Detector モジュールの動作は次のいずれかになります。

Detector モジュールは、ゾーンのポリシーしきい値が受け入れられるまで、ゾーン トラフィックの攻撃を検出しない。

Detector モジュールは、しきい値選択方法として Accept new thresholds のみをアクティブにする(「自動ラーニングのパラメータの設定」の項を参照)。

ポリシーを調整済みまたは未調整としてマークする方法の詳細については、「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

Detect and Learn をアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 Detect and Learn をクリックします。

ステップ 3 次の処理が実行されます。

Detector モジュールがトラフィック フローの分析を開始して、トラフィックの異常を検出します。

Detector モジュールがラーニング プロセスのしきい値調整フェーズを開始します。

ゾーンの名前が、ナビゲーション ペインの Under Detection ゾーン リストに追加されます。

ゾーンのステータス アイコンが、スタンバイ から検出 に変更されます。

Recent Events テーブルに、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。


 

Detect and Learn の非アクティブ化

Detect and Learn を非アクティブにする場合、Detector モジュールでは、異常検出とラーニングの両方、またはこの 2 つの動作のいずれかだけを非アクティブにすることができます。

Detect and Learn を非アクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、検出実行中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、Detect and Learn を非アクティブにします。

ゾーンのステータス画面の Deactivate をクリックします。

ゾーンのメイン メニューの Detection > Deactivate を選択します。

Deactivate ウィンドウが表示されます。

ステップ 3 必要なアクションの隣にあるチェックボックスをオンにします。次のアクションをいずれかまたは両方選択します。

Stop Detection :異常の検出を停止します。

Stop Learning :しきい値調整フェーズを停止します。次のいずれかのオプションを選択します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果をゾーンの設定に使用します。使用するしきい値選択方法を定義します。 表 7-4 に、しきい値選択方法のパラメータの説明を示します。

 

表 7-4 しきい値の選択方法

パラメータ
説明

Threshold selection method

Accept new thresholds :Detector モジュールは、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Detector モジュールは、ポリシーの現在のしきい値をラーニングしたしきい値と比較して、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Detector モジュールは、保存するポリシーのしきい値を次の公式に基づいて計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

重み値は、システム管理者が定義します。

Keep current thresholds :Detector モジュールは、ラーニング プロセスの結果として提案されたしきい値をすべて拒否し、ポリシーはしきい値調整フェーズ以前の値を引き続き使用します。

weight

このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Detector モジュールが使用する重み値を入力します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み))/ 100

異常の検出とラーニングを両方とも非アクティブにすると、次の処理が実行されます。

ゾーンの名前が、ナビゲーション ペインの Detected Zones リストから削除されます。

ゾーンのステータス アイコンが、検出 からスタンバイ に変更されます。

Recent Events テーブルに、検出が実行されていないゾーンの詳細なリストとともに、保護停止のイベント タイプが表示されます。


 

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

Detector モジュールは、次の条件に応じて、ゾーン ポリシーが調整済みまたは未調整であると見なします。

未調整:ゾーンの設定がゾーン テンプレートのデフォルトのポリシーしきい値を使用している場合、Detector モジュールは、ゾーンを「未調整」としてマークします。次のいずれかの操作を実行すると、ゾーンの設定にはデフォルトのポリシーのしきい値が使用されます。

新しいゾーンを作成する。

ゾーンに関するポリシー構築フェーズの結果を受け入れる。

ゾーンのポリシーにサービスを追加するか、ゾーンのポリシーからサービスを削除する。

調整済み:Detector モジュールは、しきい値調整フェーズの結果を受け入れ、ゾーン トラフィックの特性に合せてしきい値が特別に調整された後で、ゾーンを「調整済み」としてマークします。

ゾーンに対して Detect and Learn をアクティブにするときは、ゾーンの調整状態を把握しておくことが重要です。Detect and Learn をアクティブにするときにゾーンの調整状態が未調整である場合、Detector モジュールは、自動ラーニングのパラメータに従ってしきい値調整フェーズの結果を受け入れるまで、ゾーンへの攻撃を検出できません(「自動ラーニングのパラメータの設定」を参照)。自動ラーニングのしきい値選択方法を Accept new thresholds 以外に設定していても、Detector モジュールは、 Accept new thresholds の設定値を使用して、しきい値調整フェーズの最初の結果を受け入れます。これ以降、Detector モジュールは、ユーザが選択したしきい値の選択方法を使用します。

ゾーンの調整状態は手動で変更できます。次のいずれかの条件に当てはまるときは、状態を 調整済み に変更することを検討してください。

トラフィック特性が似ている既存ゾーンの設定をコピーしてゾーンを作成した。

ポリシーのすべてのしきい値を手動で設定した。

次のいずれかの条件に当てはまるときは、ゾーンの調整状態を未調整に変更することを検討してください。

ゾーンのネットワークが大幅に変更された。

ゾーンの IP アドレスまたはサブネットが変更された。

検出とラーニングの動作状態をトラフィックのピーク時に開始しなかった(Detector モジュールがピーク時のトラフィックを攻撃と見なさないようにするため)。

ゾーンを未調整としてマークすると、Detector モジュールは、現在のポリシーしきい値との関連付けを行わず、これらのしきい値で超過が発生してもゾーンへの攻撃を検出しません。

ゾーンを調整済みまたは未調整としてマークするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Learning parameters を選択します。Learning parameters 画面が表示されます。

ステップ 3 Config をクリックします。Config learning parameters 画面が表示されます。

ステップ 4 Learning Parameters フォームから、次のいずれかのオプションを選択します。

Select Zone is tuned :Detector モジュールは、ポリシーを調整済みとしてマークし、ゾーンの異常を検出するためにそのポリシーをすぐに使用できます。

Deselect Zone is tuned :Detector モジュールは、ポリシーを未調整としてマークし、ユーザは Detector モジュールがゾーンの異常を検出する前に、しきい値調整フェーズの結果を受け入れる必要があります。

ステップ 5 次のいずれかのオプションを選択します。

OK:Detector モジュールは、調整済みの設定をゾーンの設定に保存します。

Clear :Learning Parameters フォームの設定をデフォルトに戻します。

Cancel:Config learning parameters 画面を閉じます。


 

Learning Parameter フォームのオプションの詳細については、「自動ラーニングのパラメータの設定」の項を参照してください。

ラーニング プロセスのスナップショットの管理

Detector モジュールのスナップショット機能を使用すると、ポリシーの表示や比較の目的でゾーンのポリシー情報を保存できます。スナップショット機能を使用して、次の操作を実行することができます。

ラーニング プロセスの現在の結果を表示する。

スナップショットのポリシー情報をゾーンの設定に保存する。

ポリシーのスナップショットの結果を、他のスナップショットまたはゾーンの設定と比較する(「2 つのゾーンまたはスナップショットのポリシーの設定の比較」の項を参照)。

ゾーンの設定に含まれている、ゾーンの現在のポリシーをバックアップする。

ラーニング プロセスの任意の段階で、現在のラーニング パラメータ(サービス、しきい値、およびその他のポリシー関連データ)のスナップショットを保存できます。Detector モジュールは、スナップショットの情報を記録し、スナップショットに連続した ID 番号を割り当てながら、現在のラーニング フェーズの実行を続行します。

この項では、次の手順について説明します。

ラーニング プロセスの現在の結果のスナップショットを取得

ゾーンの設定のポリシーのスナップショットを取得

スナップショットの結果の表示、変更、および保存

スナップショットの削除

ラーニング プロセスの現在の結果のスナップショットを取得

ラーニング プロセス(ポリシー構築またはしきい値調整)の現在の結果のスナップショットを取得するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っているゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot を選択します。Detector モジュールは、ラーニング パラメータを保存し、連続した ID 番号をスナップショットに割り当てます。


 

ゾーンの設定のポリシーのスナップショットを取得

ゾーン トラフィックをラーニングしていないゾーン(スタンバイ モードまたは検出モードのゾーン)のスナップショットをユーザが取得すると、Detector モジュールはそのゾーン設定の現在のポリシー情報を含むスナップショットを作成します。このタイプのスナップショットは、ゾーンのポリシーのバックアップを作成するために、または比較の対象として使用することができます。

ゾーンの設定のポリシーのスナップショットを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っていないゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot を選択します。Detector モジュールは、ゾーン設定に含まれているポリシーをスナップショットに保存し、連続した ID 番号をスナップショットに割り当てます。


 

スナップショットの結果の表示、変更、および保存

スナップショットの結果を表示、変更、またはゾーンの設定に保存するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っているゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot List を選択します。スナップショットのリストが表示され、各スナップショットの ID 番号が、スナップショットの取得日時とともに示されます。

ステップ 3 表示するスナップショットの ID 番号または日付を選択します。Policies 画面が表示され、Detector モジュールがスナップショットの時点で記録したポリシーが表示されます。

ステップ 4 (オプション)スナップショットの Policies 画面で、次のいずれかのオプションを選択します。

Configure Selection :1 つ以上のポリシーのパラメータを再設定します( 第 8 章「ゾーンのポリシーの管理」 「ポリシーのパラメータの変更」の項を参照)。

Add service または Remove service :スナップショットの時点で検出されたサービスのリストに対してサービスを追加または削除します( 第 8 章「ゾーンのポリシーの管理」 「サービスの追加または削除」の項を参照)。

Accept Thresholds :スナップショットのポリシーをゾーンの設定に保存します。


 

スナップショットの削除

スナップショットを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っているゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot List を選択します。スナップショットのリストが表示され、各スナップショットの ID 番号が、スナップショットの取得日時とともに示されます。

ステップ 3 削除するスナップショットの ID 番号の隣にあるチェックボックスをオンにします。

ステップ 4 Delete をクリックします。選択したスナップショットが Snapshot リストから削除されます。


 

2 つのゾーンまたはスナップショットのポリシーの設定の比較

2 つのゾーン、2 つのスナップショット、またはゾーンとスナップショットの間で、ポリシーの設定を比較することができます。Detector モジュールは、ポリシーの設定のサービス、ポリシー、およびポリシーしきい値の相違点をトレースします。2 つのゾーンまたはスナップショットのポリシーの設定を比較するときは、次の操作を実行できます。

比較の詳細度を定義する。

ポリシーの設定のアトリビュートを削除または追加して、比較した 2 つのゾーンを互いに類似させる。

ラーニングしたポリシーのアトリビュートについて、一部を選択して受け入れる。

この項では、次の手順について説明します。

ポリシーの設定の相違点の表示

比較元ゾーンのサービスの削除

比較元ゾーンへのサービスの追加

比較元ゾーンへのポリシー パラメータのコピー

ポリシーの設定の相違点の表示

2 つのゾーンまたはスナップショットのポリシーを比較して相違点を表示するには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ポリシーの比較プロセスを開始します。

Detector モジュールの要約メイン メニューの Zones > Compare Zone policies を選択します。

ゾーンのメイン メニューの Configuration > Compare policies を選択します。

Policies Comparison クエリーが表示されます。

ステップ 2 比較元および比較先となるゾーンまたはスナップショットを定義します。 表 7-5 に、Policies Comparison クエリーのパラメータの説明を示します。

 

表 7-5 ポリシー比較のパラメータ

パラメータ 1
パラメータ 2
説明

Base Zone

Zone

ゾーンまたはスナップショットの名前。比較されている 2 つのゾーンのポリシーの設定に見つかった相違点を修正するために、設定を変更する必要がある場合は、比較元のゾーンに変更を加えます。比較元となるゾーンをドロップダウン リストから選択します。

Policy Configuration

選択した比較元ゾーンのポリシーの設定。デフォルト値は、ゾーンの設定の現在のポリシーの設定です。ただし、スナップショットを使用できる場合はスナップショットもドロップダウン リストに表示されます。比較元となるゾーンのポリシーの設定をドロップダウン リストから選択します。

Compared Zone

Zone

比較元ゾーンとの比較の対象になるゾーンまたはスナップショットの名前。比較先となるゾーンをドロップダウン リストから選択します。

Policy Configuration

選択した比較先ゾーンのポリシーの設定。デフォルト値は、ゾーンの設定の現在のポリシーの設定です。ただし、スナップショットを使用できる場合はスナップショットもドロップダウン リストに表示されます。ポリシーの設定をドロップダウン リストから選択します。

Minimal difference

比較元のゾーンと比較先のゾーンで、ポリシーの設定が異なっている割合。Detector モジュールは、相違点がここに定義した割合を超えているパラメータをすべてトレースします。デフォルトでは、Detector モジュールは比較対象ゾーンのすべての違いをトレースします(100%)。相違点のパーセンテージ値を入力します。

ステップ 3 次のいずれかのオプションを選択します。

OK :2 つのゾーンのポリシーの設定を比較します。Policy Comparison 画面が表示され、サービスとポリシー パラメータの相違点が示されます(図 7-1 を参照)。

Cancel: ゾーンのポリシーを比較せずに Policies Comparison クエリーを終了します。


 

図 7-1 に、ポリシー比較テーブルの例を示します。比較元のゾーンにのみ存在するポリシー設定アトリビュートは黒色で表示され、比較先のゾーンにのみ存在するアトリビュートは赤色で表示されます。

図 7-1 ポリシー比較テーブル

 

Policy Comparison 画面は、次の 2 つのセクションに分かれています。

Difference in services :このセクションでは、2 つのテーブルに次の情報が表示されます。

比較元ゾーンのポリシーにのみ存在するサービス。

比較元ゾーンに存在しないサービス。このリストに含まれているサービスは、比較先のゾーンにのみ定義されているサービスです。

Difference in policy parameters :ポリシーの動作パラメータ(state、action、
threshold、proxy-threshold)の相違点が表示されます。このテーブルの各セクションは、1 つのポリシーの中で見つかった相違点を示しています。各セクションの最初の行は、比較元ゾーンのパラメータを示します。各セクションの 2 行目は、比較先ゾーンのパラメータを示します。


) Detector モジュールは、表示されているサービスのうち、比較元ゾーンに対する追加または削除が可能なサービスの隣にのみチェックボックスを表示します。タイプが any のサービスなど、表示されている一部のサービスはゾーン固有のサービスではないため、追加および削除できません。


比較元ゾーンのサービスの削除

比較元ゾーンの設定からサービスを削除するには、次の手順を実行します。


ステップ 1 Services only in ゾーン名 テーブルで、比較元ゾーンの設定から削除するサービスの隣にあるチェックボックスをオンにします。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Delete をクリックします。選択したサービスが比較元ゾーンのポリシーの設定から削除されます。


 

比較元ゾーンへのサービスの追加

比較元ゾーンの設定にサービスを追加するには、次の手順を実行します。


ステップ 1 Services missing from ゾーン名 テーブルで、比較元ゾーンの設定に追加するサービスの隣にあるチェックボックスをオンにします。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Add をクリックします。選択したサービスが比較元ゾーンのポリシーの設定に追加されます。


 

比較元ゾーンへのポリシー パラメータのコピー

ポリシーのパラメータを比較先ゾーンから比較元ゾーンにコピーするには、次の手順を実行します。


ステップ 1 Difference in policy parameters テーブルで、比較元ゾーンにコピーするポリシーの隣にあるチェックボックスをオンにします。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Copy Parameters をクリックします。 選択した ポリシーが比較先ゾーン(赤色)から比較元ゾーン (黒色)のポリシーの設定にコピーされます。