Cisco Guard Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
ゾーン トラフィックのラーニング
ゾーン トラフィックのラーニング
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーン トラフィックのラーニング

ラーニング プロセスについて

ラーニング プロセスのフェーズについて

保護およびラーニング機能について

ラーニング プロセスの結果の管理

ラーニング プロセスの実行

ポリシー構築フェーズの開始

ポリシー構築フェーズの現在の結果の受け入れ

ポリシー構築フェーズの停止

しきい値調整フェーズの開始

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの停止

Protect and Learn を使用したラーニング プロセスの実行

自動ラーニングのパラメータの設定

Protect and Learn のアクティブ化

Protect and Learn の非アクティブ化

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

ラーニング プロセスのスナップショットの管理

ラーニング プロセスの結果のスナップショット取得

現在のゾーン設定ポリシーのスナップショット取得

スナップショットの結果の表示と使用

スナップショットの削除

2 つのゾーンまたはスナップショットのポリシーの設定の比較

ポリシーの設定の相違点の表示

比較元ゾーンからのサービスの削除

比較元ゾーンへのサービスの追加

比較元ゾーンへのポリシー パラメータのコピー

ゾーン トラフィックのラーニング

この章では、Guard のラーニング プロセスを使用して、ゾーンのトラフィック特性を分析し、Guard がゾーン保護に使用するポリシーを作成および微調整する方法について説明します。

この章は、次の項で構成されています。

ラーニング プロセスについて

ラーニング プロセスの実行

Protect and Learn を使用したラーニング プロセスの実行

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

ラーニング プロセスのスナップショットの管理

2 つのゾーンまたはスナップショットのポリシーの設定の比較

ラーニング プロセスについて

ラーニング プロセスは、ネットワーク上で攻撃が発生していないときに、正常なトラフィック パターンのベースラインを作成します。Guard は、このベースラインを、ゾーン トラフィックの異常を検出するための参照ポイントとして使用します。このような参照ポイントは、 ポリシー と呼ばれます。

ラーニング プロセス中に、Guard はポリシーを作成し、作成した各ポリシーのしきい値を調整します。Guard がゾーンのトラフィックをラーニングしている間、システム管理者はラーニング プロセスを監視して、ラーニング プロセスの結果を受け入れるか拒否するかを決定できます。

この項は、次の情報で構成されています。

ラーニング プロセスのフェーズについて

保護およびラーニング機能について

ラーニング プロセスの結果の管理

ラーニング プロセスのフェーズについて

ラーニング プロセスは、Guard 上で個別に実行する次の 2 つのフェーズで構成されます。

1. ポリシー構築フェーズ :Guard がポリシー テンプレートを使用してゾーン ポリシーを作成します。各ポリシーは、デフォルトのしきい値とアクションで設定されます。トラフィックが通過することにより、Guard はゾーンが使用している主要サービスの検出が可能になります。新しいポリシーは、既存のポリシーを上書きします。

ポリシー テンプレートは、ポリシーを構築するための Guard ツールです。これらのテンプレートは、Guard が作成するゾーン ポリシーのタイプを定義します。ポリシー テンプレートは、Guard が詳細に監視するサービスの最大数、および Guard による新しいポリシーの作成をトリガーする最小しきい値も定義します。ゾーン ポリシーを構築するための規則を変更するには、ポリシー構築フェーズを開始する前に、ポリシー テンプレートのパラメータを変更する必要があります。

しきい値調整フェーズ :Guard がゾーン ポリシーのしきい値を調整します。ポリシーのしきい値は、通常のトラフィックがポリシーのアクションをアクティブにすることなく Guard を通過できる値に設定されます。ゾーンを保護しているとき、Guard はゾーンのポリシーをトラフィック フローに適用し、ポリシーのしきい値を超過した場合は Guard がポリシーのアクションで動的フィルタを作成します。

ポリシー構築フェーズは、Guard_Link ゾーン テンプレートを使用して作成するゾーンに対しては実行できません。

ゾーンのトラフィック特性をラーニングするには、ゾーンのトラフィックを Guard に宛先変更する必要があります。外部デバイスを使用して、ラーニング プロセスを開始する前に宛先変更を設定するか、ゾーンのトラフィックを Guard に手動で宛先変更する必要があります。Guard のルーティング設定を使用して、ゾーンの宛先変更を設定してください。Guard のルーティング設定は、CLI を使用しないと設定できません。詳細については、『 Cisco Guard Configuration Guide 』を参照してください。

どちらのラーニング フェーズでも、ラーニング プロセスの任意の時点で Guard のスナップショット機能を使用して現在の結果を保存することができます。ラーニング プロセスのスナップショットを取得すると、そのスナップショットの時点までに Guard が作成したポリシーの情報を確認できます。ラーニング フェーズの結果をスナップショットに保存しても、ゾーンの設定には影響しません。ラーニング プロセスのスナップショットは、必要に応じていくつでも取得できます。ゾーンの設定は、スナップショットに保存したポリシー情報を使用していつでもアップデートできます。スナップショット機能の使用の詳細については、この章の「ラーニング プロセスのスナップショットの管理」の項を参照してください。

保護およびラーニング機能について

Guard がラーニング プロセスのポリシー構築フェーズを実行した後は、保護およびラーニング機能をアクティブにできます。この機能を使用すると、しきい値調整フェーズ(Learn)を実行しながら、同時に Guard でトラフィックの異常を検出(Protect)することができます。Guard はゾーンに対する攻撃を検出すると、ラーニング プロセスを一時停止し、攻撃からのゾーンの保護を開始します。攻撃が終了したことを確認すると、Guard はラーニング プロセスを再開します。保護およびラーニング機能を使用すると、Guard は、ゾーンを保護することや、ゾーンのトラフィック特性に基づいてポリシーのしきい値を常にアップデートすることが可能になるため、Guard が悪意のあるトラフィックのしきい値をラーニングすることが防止されます。

ラーニング プロセスの結果の管理

ポリシー構築フェーズまたはしきい値調整フェーズを停止したとき、そのフェーズの結果を受け入れるか拒否するかを決定できます。結果を受け入れてラーニング フェーズを継続することもできます。ラーニング プロセス中に、Guard がゾーンの設定のポリシーを変更することはありません。Guard がゾーンの設定をアップデートし、新しいポリシーまたはポリシーのしきい値を使用して動作を開始するのは、システム管理者がラーニング フェーズの結果を受け入れた後だけです。

ラーニング プロセスの実行

この項の手順では、ラーニング プロセスの 2 つのフェーズ、ポリシー構築フェーズとしきい値調整フェーズを開始および停止する方法について説明します。ラーニング プロセスは、ゾーン保護を次の方法で最適化するために使用します。

選択したゾーン テンプレートのデフォルト ポリシーとポリシーしきい値を使用して設定した、新しいゾーンのポリシーを微調整する。

ゾーンのトラフィック パターンが変化したときに、ゾーンの既存の設定をアップデートする。

ラーニング プロセスの結果を正確なものにし、通常時のゾーン トラフィックに適合した設定結果を得るためには、ゾーンのトラフィックが次の条件を満たしたときにラーニング プロセスをアクティブにします。

ゾーンのトラフィックが通常の状態である(攻撃を受けていない):Guard が、DDoS 攻撃のトラフィック特性に従ってゾーンのポリシーを作成および調整しないことが保証されます。ゾーンが攻撃を受けているときにラーニング プロセスを開始した場合、Guard は攻撃のトラフィック パターンをラーニングして、そのラーニング結果を以後の参照基準として保存します。この結果、Guard が以後の攻撃を通常のトラフィック状態と見なすことがあるため、攻撃を検出できなくなる可能性が生じます。

ゾーンのトラフィックがピーク量に達している:Guard が、ポリシーのしきい値を通常のトラフィックのピーク時に適合した値に設定できるようになります。また、Guard が通常のトラフィックのピーク時の状態を攻撃と見なさないことが保証されます。

この項では、次の手順について説明します。

ポリシー構築フェーズの開始

ポリシー構築フェーズの現在の結果の受け入れ

ポリシー構築フェーズの停止

しきい値調整フェーズの開始

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの停止

ポリシー構築フェーズの開始

ポリシー構築フェーズは、新しいゾーンを作成した後、または新しいサービス ポリシーを使用してゾーンの設定をアップデートする必要があるときに使用します。ポリシー構築フェーズを実行した後は、しきい値調整フェーズを実行して各ポリシーのしきい値を微調整します。


) ポリシー構築フェーズは、いずれかの Guard_Link ゾーン テンプレートを使用して作成したゾーンに対しては実行できません。


ポリシー構築フェーズを開始するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Construct Policies を選択します。Guard が、宛先変更されたゾーン トラフィックの分析を開始して、トラフィック フローのサービスを検出し、検出したサービスのポリシーを作成します。

ゾーンのステータス アイコンがラーニング に変更されます。

ステップ 3 (オプション) ポリシー構築フェーズの任意の時点で、 Learning > Snapshot を選択してこのフェーズの現在の結果と提案されているポリシーを保存し、確認します。スナップショット機能の使用の詳細については、「ラーニング プロセスのスナップショットの管理」を参照してください。


 

Guard が十分な時間をかけて、通常時のゾーン トラフィックが正確に表現されているトラフィックを受信し、分析できるようにするには、ポリシー構築フェーズを少なくとも 2 時間実行してから停止することをお勧めします。

ポリシー構築フェーズの現在の結果の受け入れ

ラーニング プロセスの結果を受け入れた後も Guard によるゾーンのトラフィック特性のラーニングを継続するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Accept を選択します。Guard は、ゾーンの設定の現在のポリシーをすべて削除して、提案されたゾーン ポリシーで置き換えます。Guard は、ポリシー構築フェーズを停止せず、ゾーンのサービスを引き続きラーニングします。


 

ポリシー構築フェーズの停止

ポリシー構築フェーズを停止するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Stop Learning を選択します。
Stop Learning ウィンドウが表示されます。

ステップ 3 次のいずれかのオプションを選択します。

Reject:提案されたゾーン ポリシーを拒否します。

Accept:提案されたゾーン ポリシーを受け入れます。

ステップ 4 次のいずれかのオプションを 選択します。

OK:このオプションを選択した場合の結果は、ポリシー構築フェーズの結果を受け入れるか、拒否するかによって次のように異なります。

Reject を選択した場合、 Guard は提案されたゾーン ポリシーをすべて 削除 します。ゾーンの設定は一切変更されません。

Accept を選択した場合、Guard は、ゾーンの設定の現在のポリシーを、提案されたゾーン ポリシーで置き換え、ポリシー構築フェーズを終了します。

Clear :Stop Learning ウィンドウの設定をデフォルトの Accept に戻します。

Cancel:Stop Learning ウィンドウを閉じて、ポリシー構築フェーズを続行します。


 

ポリシー構築フェーズの結果を受け入れてから、しきい値調整フェーズをアクティブにします。しきい値調整フェーズを実行すると、受け入れたポリシーのしきい値が、ゾーンのトラフィック フローの特性に基づいて設定されます。ポリシーは、しきい値調整フェーズを実行するまでは工場出荷時のデフォルトしきい値を使用して設定されます。

しきい値調整フェーズの開始

ポリシー構築フェーズの実行後、またはゾーンのポリシーのしきい値をアップデートする必要があるときは、しきい値調整フェーズを使用します。

しきい値調整フェーズを開始するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Tune Threshold を選択します。Guard がゾーンのトラフィックの分析を開始して、ゾーンのポリシーのしきい値をトラフィック フローの特性に合せて調整します。

ゾーンのステータス ラーニング アイコン が、作業領域内の、ナビゲーション パネルのゾーン名の隣に表示されます。

しきい値調整フェーズは、少なくとも 24 時間実行してから終了することをお勧めします。

ステップ 3 (オプション) しきい値調整フェーズの任意の時点で、ゾーンのメイン メニューの Learning > Snapshot を選択して、このフェーズの現在の結果と提案されているしきい値を保存し、確認します。スナップショット オプションの使用の詳細については、「ラーニング プロセスのスナップショットの管理」の項を参照してください。


 

Guard が十分な時間をかけて、通常時のゾーン トラフィックが正確に表現されているトラフィックを受信し、分析できるようにするには、しきい値調整フェーズを少なくとも 24 時間実行してから終了することをお勧めします。

しきい値調整フェーズの現在の結果の受け入れ

しきい値調整フェーズの現在の結果を受け入れて、Guard がしきい値調整フェーズを継続できるようにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Accept を選択します。Accept Thresholds ウィンドウが表示されます。

ステップ 3 使用するしきい値の選択方法を定義します。 表7-1 に、Accept Thresholds ウィンドウに表示されるパラメータの説明を示します。

 

表7-1 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Guard は、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Guard は、ポリシーの現在のしきい値をラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Guard は、次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Keep current thresholds :Guard は、ラーニング プロセスの提案されたしきい値をすべて拒否し、ポリシーが現在のしきい値を保持します。

Weight

Guard が新しいしきい値の計算に使用する重みを定義します。このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Guard が使用する重み値を入力します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

ステップ 4 次のいずれかのオプション を選択します。

OK:Guard は、ゾーンの設定のポリシーをしきい値調整フェーズの現在の結果でアップデートして、しきい値調整フェーズを継続します。

Clear :Accept Thresholds ウィンドウの設定をデフォルトに戻します。

Cancel:Accept Thresholds ウィンドウを閉じて、ポリシー構築フェーズを継続します。


 

しきい値調整フェーズの停止

しきい値調整フェーズの現在の結果を受け入れるか拒否して、しきい値調整フェーズを停止するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Stop Learning を選択します。
Stop Learning ウィンドウが表示されます。

ステップ 3 Stop Learning ウィンドウで、次のいずれかのオプションを選択します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果をゾーンの設定に使用します。使用するしきい値の選択方法を定義します。

表7-2 に、しきい値の選択方法のパラメータの説明を示します。

 

表7-2 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :Guard は、ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :Guard は、ポリシーの現在のしきい値をラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :Guard は、次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Keep current thresholds :Guard は、ラーニング プロセスの提案されたしきい値をすべて拒否し、ポリシーが現在のしきい値を保持します。

Weight

Guard が新しいしきい値の計算に使用する重みを定義します。このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Guard が使用する重み値を入力します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

ステップ 4 次のいずれかのオプション を選択します。

OK:Guard は、ゾーンの設定のポリシーをしきい値調整フェーズの現在の結果でアップデートして、しきい値調整フェーズを停止します。

Clear :Stop Learning ウィンドウの設定をデフォルトに戻します。

Cancel:Stop Learning ウィンドウを閉じて、しきい値調整フェーズを続行します。


 

Protect and Learn を使用したラーニング プロセスの実行

この項の手順では、Protect and Learn の動作を管理する方法について説明します。Protect and Learn では、Guard でゾーンのトラフィックをラーニングしてポリシーのしきい値調整を実行しながら、ゾーンを保護することができます。Protect and Learn をアクティブにする前に、ラーニング プロセスの結果を Guard が受け入れるタイミングと方法を設定できます。Guard は、ゾーンに対する攻撃を検出するとラーニング プロセスを一時停止し、攻撃が終了するとラーニング プロセスを再開します。

この項では、次の手順について説明します。

自動ラーニングのパラメータの設定

Protect and Learn のアクティブ化

Protect and Learn の非アクティブ化

自動ラーニングのパラメータの設定

自動ラーニングのパラメータを設定すると、Protect and Learn をアクティブにした場合に、ラーニング プロセス(しきい値調整フェーズ)の現在の結果を Guard が自動的に受け入れるタイミングと方法を制御できます。

自動ラーニングのパラメータを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policies > Learning Parameters を選択します。Learning parameters 画面が表示されます。

ステップ 3 Config をクリックします。Config learning parameters 画面が表示されます。

ステップ 4 自動ラーニングのパラメータを定義します。

表7-3 に、ラーニングのパラメータの説明を示します。

 

表7-3 ラーニングのパラメータ

パラメータ
説明

Zone is tuned

ゾーンのポリシーを調整済みまたは未調整としてマークします。ポリシーを調整済みとしてマークし、Guard がポリシーを使用してすぐにゾーンを保護できるようにするには、このオプションをオンにします。ポリシーを未調整としてマークし、システム管理者がしきい値調整フェーズの結果を受け入れた後にのみ Guard がゾーンを保護できるようにするには、このオプションをオフにします。詳細については、「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

Set periodic learning

自動ラーニング プロセスをイネーブルにします。このオプションを選択する場合は、次のラーニング パラメータを設定します。

Learning cycle:Guard がラーニング プロセスの結果を保存する頻度を定義します。保存の間隔は、週、日、時間、および分単位で定義します。0 ~ 1,000 までの整数を各時間フィールドに入力します。

Learning results:Guard がラーニング プロセスの結果を保存する方法を定義します。次のいずれかの方法を選択します。

Automatic accept :Guard が提案するラーニング プロセスの結果(ポリシーのしきい値)を、指定した間隔で受け入れます。Guard は新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。

Snapshot only :ラーニング プロセスのスナップショット(ポリシーのしきい値)を指定した間隔で保存します。Guard は新しいポリシーを受け入れず、ゾーンの設定のポリシーのしきい値を変更しません。

Threshold selection method

受け入れるしきい値を選択するために Guard が使用する方法を定義します。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :ポリシーの現在のしきい値を、ラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Weight

Guard が新しいしきい値の計算に使用する重みを定義します。このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Guard が使用する重み値を入力します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

ステップ 5 次のいずれかのオプション を選択します。

OK:Guard は、自動ラーニングのパラメータをゾーンの設定に保存します。

Clear :Learning Parameters フォームの設定をデフォルトに戻します。

Cancel:Config learning parameters 画面を閉じます。


 

Protect and Learn のアクティブ化

Protect and Learn をアクティブにすると、Guard でゾーンのトラフィックをラーニングしてポリシーのしきい値を調整しながら、ゾーンを保護することができます。 Protect and Learn をアクティブにする前に、ゾーンのポリシーが調整済みまたは未調整のどちらとしてマークされているかを確認する必要があります。これは、ゾーンのポリシーの調整状態によって Guard の動作が異なるためです。Protect and Learn をアクティブにするときにポリシーが調整済みとしてマークされている場合、Guard は攻撃を検出し、 ゾーンのトラフィックをラーニングします。Protect and Learn をアクティブにするときにゾーンのポリシーが未調整としてマークされている場合、Guard は、ゾーンのポリシーのしきい値が一度受け入れられるまで次のように動作します。

Guard は、ゾーン トラフィックに含まれている攻撃を検出しません。

Guard は、しきい値の選択方法 Accept new thresholds をアクティブにします(「自動ラーニングのパラメータの設定」を参照)。

ポリシーを調整済みまたは未調整としてマークする方法の詳細については、「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

Protect and Learn をアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 Protect and Learn をクリックします。

ラーニング プロセスのしきい値調整フェーズ(ゾーンのメイン メニューの Learning > Tune Thresholds を選択 )とゾーン保護( Protect をクリック )の両方をアクティブにすることもできます。この順序は重要ではありません。

次の処理が実行されます。

Guard は、ゾーン トラフィックを自身に宛先変更し、異常についてトラフィック フローの分析を開始します。正当なトラフィックは、その目的の宛先へと転送されるネットワークに再び注入されます。悪意のあるトラフィックは Guard によってフィルタリングされ、ドロップされます。

Guard は、ラーニング プロセスのしきい値調整フェーズを開始します。

ナビゲーション ペインの Protected Zones リストにゾーン名が追加され、Recent Events テーブルには、保護されるゾーンの詳細なリストとともに、保護開始のイベント タイプが表示されます。


 

Protect and Learn の非アクティブ化

Protect and Learn を非アクティブにするときは、Guard でゾーン保護とラーニングの両方を非アクティブにすることも、2 つの動作のいずれか一方のみを非アクティブにすることもできます。

Protect and Learn を非アクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、Protect and Learn を非アクティブにします。

ゾーンのステータス画面の Deactivate をクリックします。

ゾーンのメイン メニューの Protection > Deactivate を選択します。

Deactivate ウィンドウが表示されます。

ステップ 3 必要なアクションの隣にあるチェックボックスをオンにします。次のアクションをいずれかまたは両方選択します。

Stop Protection :ゾーン保護を停止します。

Stop Learning :ラーニング プロセスのしきい値調整フェーズを停止します。次のいずれかのオプションを選択します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果をゾーンの設定に保存します。使用するしきい値の選択方法を定義します。

表7-4 に、しきい値の選択方法のパラメータの説明を示します。

 

表7-4 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択するために Guard が使用する方法を定義します。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds :ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :ポリシーの現在のしきい値をラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Accept current :ラーニング プロセスの提案されたしきい値を拒否します。ポリシーがしきい値調整フェーズ前の値を保持します。

Weight

Guard が新しいしきい値の計算に使用する重みを定義します。このオプションがアクティブになるのは、しきい値の選択方法として Accept weighted thresholds を選択したときのみです。次の式に、Guard が使用する重み値を入力します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

ゾーン保護とラーニングの両方を非アクティブにした場合、Guard はゾーン トラフィックの自身への宛先変更を停止します。ナビゲーション ペインの Protected Zones リストからゾーン名が削除され、Recent Events テーブルには、保護されないゾーンの詳細なリストとともに、保護停止のイベント タイプが表示されます。ゾーンのステータス アイコンが、保護 からスタンバイ に変更されます。


 

ゾーンのポリシーに対する調整済みまたは未調整のマーク付け

Guard は、ゾーンのポリシーを次の条件に基づいて調整済みまたは未調整と判断します。

未調整:次のいずれかの操作を実行した場合、Guard はゾーン ポリシーを未調整としてマークします。

新しいゾーンを作成する。

ゾーンに関するポリシー構築フェーズの結果を受け入れる。

ゾーンのポリシーにサービスを追加するか、ゾーンのポリシーからサービスを削除する。

調整済み:Guard は、しきい値調整フェーズの結果を受け入れると、ゾーンを調整済みとしてマークします。この時点では、しきい値はゾーンのトラフィック特性に合せて個別に調整されています。

ゾーンに対して Protect and Learn をアクティブにするときは、ゾーンの調整状態を把握しておくことが重要です。Protect and Learn をアクティブにするときにゾーンの調整状態が未調整の場合、Guard は、しきい値調整フェーズの結果を一度受け入れるまで、ゾーンに対する攻撃を検出しません。Guard は、自動ラーニングのパラメータに基づいて、しきい値調整フェーズの結果を受け入れることができます(「自動ラーニングのパラメータの設定」の項を参照)。または、管理者が手動で結果を受け入れることもできます。Guard は、Threshold selection method の設定にかかわらず、しきい値調整フェーズの最初の結果を受け入れるときに Accept new thresholds 設定を使用します。これ以降は、Guard はシステム管理者が選択したしきい値の選択方法を使用します。

ゾーンの調整状態は手動で変更できます。次のいずれかの条件に当てはまるときは、状態を 調整済み に変更することを検討してください。

トラフィック特性が似ている既存ゾーンの設定をコピーしてゾーンを作成した。

ポリシーのすべてのしきい値を手動で設定した。

次のいずれかの条件に当てはまるときは、ゾーンの調整状態を未調整に変更することを検討してください。

ゾーンのネットワークが大幅に変更された。

ゾーンの IP アドレスまたはサブネットが変更された。

トラフィックのピーク時に保護およびラーニング機能を開始していない(ピーク時のトラフィックを Guard が攻撃と見なさないようにするため)。

ゾーンを未調整としてマークすると、Guard は現在のポリシーのしきい値に関連付けられず、これらのしきい値を超過してもゾーンに対する攻撃を検出しません。

ゾーンを調整済みまたは未調整としてマークするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policies> Learning Parameters を選択します。Learning parameters 画面が表示されます。

ステップ 3 Config をクリックします。Config learning parameters 画面が表示されます。

ステップ 4 Learning Parameters フォームから、次のいずれかのオプションを選択します。

ゾーン ポリシーを調整済みとしてマークするには、 Zone is tuned チェックボックスをオンにします。これにより、Guard はポリシーを調整済みとしてマークし、すぐにそのポリシーをゾーンの保護に使用できるようになります。

ゾーン ポリシーを未調整としてマークするには、 Zone is tuned チェックボックスをオフにします。これにより、Guard はポリシーを未調整としてマークし、Guard はそのポリシーをゾーンの保護に使用する前に、しきい値調整フェーズの結果を受け入れるように求めます。

ステップ 5 次のいずれかのオプション を選択します。

OK:Guard が、調整状態の設定をゾーンの設定に保存します。

Clear Guard が変更内容を廃棄し、フォームに現在の設定が表示されます。

Cancel:Config learning parameters 画面を閉じます。


 

Learning Parameter Form のオプションの詳細については、「自動ラーニングのパラメータの設定」の項を参照してください。

ラーニング プロセスのスナップショットの管理

Guard のスナップショット機能を使用すると、ゾーンのポリシー情報を保存できます。これによって、ポリシーを表示して比較することが可能になります。スナップショット機能を使用して、次の操作を実行することができます。

ラーニング プロセスの現在の結果を表示する。

スナップショットのポリシー情報をゾーンの設定に保存する。

ポリシーのスナップショットの結果を、他のスナップショットまたはゾーンの設定と比較する(「2 つのゾーンまたはスナップショットのポリシーの設定の比較」の項を参照)。

ゾーンの設定に含まれている、ゾーンの現在のポリシーをバックアップする。

ラーニング プロセスの任意の段階で、現在のラーニング パラメータ(サービス、しきい値、およびその他のポリシー関連データ)のスナップショットを保存できます。Guard は、スナップショット情報を記録してスナップショットに連続 ID 番号を割り当て、ラーニング フェーズを継続します。

この項では、次の手順について説明します。

ラーニング プロセスの結果のスナップショット取得

現在のゾーン設定ポリシーのスナップショット取得

スナップショットの結果の表示と使用

スナップショットの削除

ラーニング プロセスの結果のスナップショット取得

ラーニング プロセス(ポリシー構築またはしきい値調整)の現在の結果のスナップショットを取得するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っているゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot を選択します。Create Snapshot 画面が表示されます。

ステップ 3 スナップショットの名前を Snapshot name フィールドに入力します。

Threshold selection method ドロップダウン リストから、ポリシーのしきい値を受け入れるために Guard が使用するしきい値の選択方法を選択します。

Accept new thresholds :ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds :ポリシーの現在のしきい値をラーニングしたしきい値と比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds :次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Accept current :ラーニング プロセスの提案されたしきい値を拒否します。ポリシーがしきい値調整フェーズ前の値を保持します。

ステップ 4 Accept weighted thresholds というしきい値調整方法を選択した場合は、しきい値の計算に Guard が使用する重み値を Weight フィールドに入力します。

ステップ 5 OK をクリックしてスナップショットを保存します。Guard が、ゾーンのポリシーを保存してスナップショットに連続 ID 番号を割り当てます。


 

現在のゾーン設定ポリシーのスナップショット取得

ゾーン トラフィックがラーニングされていない(ゾーンがスタンバイ モードであるか、ゾーン保護がイネーブルになっている)ゾーンのスナップショットを取得すると、Guard はゾーンの設定の現在のポリシー情報が含まれたスナップショットを作成します。このタイプのスナップショットは、ゾーンのポリシーのバックアップを作成するために、または比較の対象として使用することができます。

ゾーンの設定のポリシーのスナップショットを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ラーニング フェーズに現在入っていないゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot を選択します。Create Snapshot 画面が表示されます。

ステップ 3 スナップショットの名前を Snapshot name フィールドに入力し、 OK をクリックします。Guard が、ゾーンのポリシーを保存してスナップショットに連続 ID 番号を割り当てます。


 

スナップショットの結果の表示と使用

スナップショットの結果を使用して、ポリシーを表示します。次の作業を実行できます。

スナップショットのポリシーを修正する。

ゾーン ポリシーをスナップショットからゾーンの設定にコピーする。

2 つのゾーン スナップショットのラーニング パラメータを比較してラーニング プロセスの結果を確認し、ポリシー、サービス、およびしきい値の相違点をトレースする(詳細については、この章の「2 つのゾーンまたはスナップショットのポリシーの設定の比較」の項を参照)。

スナップショットの結果を表示および使用するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot List を選択します。スナップショットのリストが表示され、各スナップショットの ID 番号と名前が、スナップショットの取得日時とともに示されます。

ステップ 3 スナップショットを表示するには、テーブル内のスナップショット フィールドのいずれかをクリックします。Policies 画面が表示され、スナップショットの時点で Guard が記録したポリシーが示されます。

ステップ 4 次の操作のいずれかまたはすべてを実行して、スナップショット ポリシーを設定します。

1 つまたは複数のポリシーのパラメータを設定し直すには、 Configure Selection をクリックします。 詳細については、「ゾーンのポリシーの管理」「ポリシーのパラメータの変更」の項を参照してください。

サービスをポリシーに追加するには、 Add service をクリックします。詳細については、「ゾーンのポリシーの管理」「サービスの追加」の項を参照してください。

サービスをポリシーから削除するには、 Remove service をクリックします。詳細については、「ゾーンのポリシーの管理」「サービスの削除」の項を参照してください。

ステップ 5 Accept Thresholds をクリックして、スナップショットのポリシーをゾーンの設定に保存します。


 

スナップショットの削除

古いスナップショットを削除すると、ディスク スペースを解放できます。

スナップショットを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot List を選択します。スナップショットのリストが表示され、各スナップショットの ID 番号と名前が、スナップショットの取得日時とともに示されます。

ステップ 3 削除するスナップショットの ID 番号の隣にあるチェックボックスをオンにするか、ヘッダー行にあるチェックボックスをオンにしてすべてのスナップショットを選択し、 Delete をクリックします。

Guard が、選択したスナップショットを Snapshot リストから削除します。


 

2 つのゾーンまたはスナップショットのポリシーの設定の比較

2 つのゾーン、2 つのスナップショット、またはゾーンとスナップショットの間で、ポリシーの設定を比較することができます。Guard は、ポリシーの設定のサービス、ポリシー、およびポリシーのしきい値の相違点をトレースします。2 つのゾーンまたはスナップショットのポリシー設定を比較しながら、ポリシー設定のアトリビュートを比較元のゾーンまたはスナップショットから削除したり、そこに追加したりできます。比較元のゾーンまたはスナップショットの設定を修正することにより、ラーニングしたポリシー アトリビュートを選択的に受け入れることができます。

この項では、次の手順について説明します。

ポリシーの設定の相違点の表示

比較元ゾーンからのサービスの削除

比較元ゾーンへのサービスの追加

比較元ゾーンへのポリシー パラメータのコピー

ポリシーの設定の相違点の表示

2 つのゾーンまたはスナップショットのポリシーを比較して相違点を表示するには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ポリシーの比較プロセスを開始します。

Guard の要約のメイン メニューの Zones > Compare Zone policies を選択します。

ゾーンのメイン メニューの Configuration > Policies > Compare Policies を選択します。

Policies Comparison クエリーの画面が表示されます。

ステップ 2 比較元を定義し、ゾーンまたはスナップショットを比較します。

比較元ゾーンとは、設定を変更できるゾーンです。比較先ゾーンとは、サービスまたはポリシーのコピー元にできるゾーンです。

表7-5 に、Policies Comparison クエリーのパラメータの説明を示します。

 

表7-5 ポリシー比較のパラメータ

パラメータ 1
パラメータ 2
説明

Base Zone

Zone

ゾーンまたはスナップショットの名前。ゾーンの設定を変更するには、そのゾーンを比較元ゾーンとして選択します。比較元となるゾーンをドロップダウン リストから選択します。

Policy Configuration

選択した比較元ゾーンのポリシーの設定。デフォルト値は、ゾーンの現在のポリシーの設定です。ドロップダウン リストからゾーン ポリシーのスナップショットを選択できます。

Compared Zone

Zone

比較元ゾーンとの比較の対象になるゾーンまたはスナップショットの名前。比較先ゾーンの設定を修正することはできません。比較先となるゾーンをドロップダウン リストから選択します。

Policy Configuration

選択した比較先ゾーンのポリシーの設定。デフォルト値は、ゾーンの現在のポリシーの設定です。ドロップダウン リストからゾーン ポリシーのスナップショットを選択できます。

Minimal difference

比較元ゾーンと比較先ゾーンにおけるポリシーの設定の相違点の割合。Guard は、2 つのゾーンを比較し、指定された値より大きいポリシーしきい値の相違点だけを表示します。デフォルトの割合は 100% です。この割合では、Guard は 2 つのゾーン間のすべての相違点を表示します。

ステップ 3 次のいずれかのオプションを選択します。

OK :2 つのゾーンのポリシーの設定を比較します。Policy Comparison 画面が表示され、サービスとポリシー パラメータの相違点が示されます(図 7-1 を参照)。

Cancel :ゾーンのポリシーを比較せずに Policies Comparison クエリーを終了します。


 

図 7-1 に、ポリシー比較テーブルの例を示します。比較元のゾーンにのみ存在するポリシー設定アトリビュートは黒色で表示され、比較先のゾーンにのみ存在するアトリビュートは赤色で表示されます。

図 7-1 ポリシー比較テーブル

 

Policy Comparison 画面は、次の 2 つのセクションに分かれています。

Difference in services :このセクションの 2 つのテーブルには、次の情報が表示されます。

比較元ゾーンのポリシーにのみ存在するサービス。

比較元ゾーンに存在しないサービス。このリストに含まれているサービスは、比較先のゾーンにのみ定義されているサービスです。


) Guard は、比較元ゾーンに追加できるサービスと比較元ゾーンから削除できるサービスの隣だけにチェックボックスを表示します。タイプが any のサービスなど、一部のサービスはゾーン固有のサービスではないため、追加または削除できません。


Difference in policy parameters :ポリシーの動作パラメータ(state、action、threshold、proxy-threshold)の相違点を表示します。このテーブルの各セクションは、1 つのポリシーの中で見つかった相違点を示しています。各セクションの最初の行は、比較元ゾーンのパラメータを示します。各セクションの 2 行目は、比較先ゾーンのパラメータを示します。

比較元ゾーンからのサービスの削除

比較元ゾーンの設定からサービスを削除するには、次の手順を実行します。


ステップ 1 Services only in ゾーン名 テーブルで、比較元ゾーンの設定から削除するサービスの隣にあるチェックボックスをオンにします。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Delete をクリックします。Guard が、サービスを比較元ゾーンの設定から削除します。


 

比較元ゾーンへのサービスの追加

比較元ゾーンの設定にサービスを追加するには、次の手順を実行します。


ステップ 1 Services missing from ゾーン名 テーブルで、比較元ゾーンの設定に追加するサービスの隣にあるチェックボックスをオンにします。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Add をクリックします。Guard が、選択したサービスを比較元ゾーンのポリシーの設定に追加します。


 

比較元ゾーンへのポリシー パラメータのコピー

ポリシーのパラメータを比較先ゾーンから比較元ゾーンにコピーするには、次の手順を実行します。


ステップ 1 Difference in policy parameters テーブルで、比較元ゾーンにコピーするポリシーの隣にあるチェックボックスをオンにします。比較元ゾーンのポリシーは黒色で示されます。比較先ゾーンのポリシーは赤色で示されます。すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 2 Copy Parameters をクリックします。選択した ポリシーが Guard によって比較先ゾーンから比較元ゾーンのポリシーの設定にコピーされます。 選択したポリシーがテーブルから削除されます。