Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
ゾーン トラフィックのラーニ ングとポリシーの構築
ゾーン トラフィックのラーニングとポリシーの構築
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーン トラフィックのラーニングとポリシーの構築

概要

ゾーンのトラフィックのラーニング

ポリシーの構築

ポリシー構築フェーズの終了

しきい値の調整

しきい値調整フェーズの終了

ゾーンのポリシー

画面フィルタの設定

ポリシーの設定

サービスの追加

サービスの削除

パラメータの設定

特定の IP に関するしきい値の設定

スナップショット

ポリシーの比較

受け入れるポリシー パラメータの選択

ゾーン トラフィックのラーニングとポリシーの構築

ここでは、ゾーンのトラフィックに適用するポリシーを Cisco Traffic Anomaly Detector で Web-Based Management (WBM)を使用して作成する方法について説明します。

この章は、次の項で構成されています。

概要

ゾーンのトラフィックのラーニング

ゾーンのポリシー

スナップショット

ポリシーの比較

概要

ポリシーは、特定のトラフィック フローを計測して、しきい値を超過した場合にフローに対してアクションを実行するメカニズムです。このアクションでは、リモートで Guard を有効にするか、Detector ログにイベントを記録することができます。検出ポリシーは、ポリシー テンプレートに基づいて構築されます。

ポリシー テンプレートは、ゾーンのポリシーを構築するためにラーニング フェーズ中に使用される規則をまとめたものです。

ラーニング プロセスは、Detector がゾーンのトラフィックをラーニングし、特定の特性に合わせて自身を調整するという 2 つのフェーズで構成されます。

1. ポリシー構築フェーズ :このフェーズでは、Detector のポリシー テンプレートを使用してゾーンのポリシーが作成されます。トラフィック フローは Detector をそのまま通過し、Guard はゾーンが使用している主要サービスを検出します。

2. しきい値調整フェーズ :このフェーズでは、ゾーンのサービスのトラフィック レートに合わせてポリシーが調整されます。トラフィック フローは Detector をそのまま通過し、Guard はポリシー構築フェーズで検出されたサービスに使用するしきい値を調整します。

Detector は、ゾーンのトラフィックの特性をラーニングしてゾーン トラフィックの比較基準となる値を取得し、悪意を持っている可能性のあるトラフィック異常をトレースします。

ポリシーが作成された後は、ポリシーを追加または削除できます。また、しきい値、サービス、タイムアウト、アクションなどのポリシー パラメータを変更することもできます。

ポリシーのアクションでは、リモートで Guard を有効にするか、Detector ログにイベントを記録することができます。

詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

ゾーンのトラフィックのラーニング

ラーニング フェーズでは、Detector がゾーンのトラフィックの特性をラーニングします。ラーニングの結果は検出ポリシーに変換されます。ラーニング システムによって Detector の検出ポリシーが構築されます。これらのポリシーは、ゾーンのトラフィック フローの識別方法を Detector の検出システムに指示するものです。


) ラーニングを実行するには、スイッチ上のポートのミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する必要があります。


ポリシー テンプレートは、Detector でポリシーの構築に使用されるツールです。ポリシー テンプレートでは、トラフィックの特性に基づいて作成されるゾーン ポリシーのタイプを定義します。また、定義したパラメータに基づいて、各サービス ポリシーの Maximum Services および Minimum Threshold も定義されます。詳細については、「ゾーン フィルタとポリシー テンプレートの設定」を参照してください。

図 6-1 ゾーンのラーニングのメニュー

 

 

ポリシーの構築

最初のラーニング フェーズ(ポリシー構築)を開始するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Learning > Construct Policies を選択します。

ステップ 3 十分に時間をおいてからポリシー構築フェーズを終了し、新しく構築されたポリシーの取り扱いを決定します。


 

ポリシー構築フェーズは、少なくとも 2 時間継続してから次のフェーズに進むことをお勧めします。

ポリシー構築フェーズの終了

ポリシー構築フェーズを終了する方法には、次の 3 つがあります。

1. 提案されたポリシーを受け入れる :提案されたポリシーを受け入れるには、ゾーンのメイン メニューの Learning > Accept を選択するか、 Accept をクリックします(図 6-1 を参照)。以前にラーニングしたポリシーおよびしきい値は消去されます。提案されたポリシーの中から一部を選択して受け入れることもできます。「受け入れるポリシー パラメータの選択」を参照してください。


) 新しく構築されたポリシーを受け入れた後は、ポリシーを手動で追加または削除することができます。また、ポリシーのパラメータを変更することもできます。詳細については、「サービスの追加」「サービスの削除」、および「パラメータの設定」を参照してください。


2. 提案されたポリシーを拒否する :提案されたポリシーを拒否するには、ゾーンのメイン メニューの Learning > Abort を選択します。Detector はプロセスを停止し、ラーニングしたデータをすべて消去して、新しいゾーンの場合はデフォルト設定に戻し、それ以外の場合はラーニング フェーズ以前のゾーン トラフィック設定に戻します。

3. 提案されたポリシーを表示する :受け入れるかどうかを決定する前にラーニング プロセスの結果を表示するには、ゾーンのメイン メニューの Learning > Snapshot を選択します。詳細については、「スナップショット」を参照してください。

しきい値の調整

しきい値調整フェーズでは、Detector がゾーンのトラフィックをさらに分析し、ポリシー構築フェーズで構築されたポリシーのしきい値を定義します。Detector のポリシーのパラメータは、システム管理者が設定できます。

2 番目のラーニング フェーズ(しきい値調整)を開始するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Learning > Tune Threshold を選択します。

ステップ 3 十分に時間をおいてからしきい値調整フェーズを終了し、新しく構築されたポリシーの取り扱いを決定します。


 

しきい値調整フェーズは、少なくとも 24 時間実行することをお勧めします。

しきい値調整フェーズの終了

しきい値調整フェーズを終了する方法には、次の 3 つがあります。

1. 提案されたポリシーを受け入れる :提案されたポリシーを受け入れるには、ゾーンのメイン メニューの Learning > Accept を選択します(図 6-1 を参照)。以前にラーニングしたしきい値は消去されます。ポリシーの特定の部分のみを受け入れることもできます。「受け入れるポリシー パラメータの選択」を参照してください。


) 新しいしきい値を受け入れた後は、ポリシーのパラメータを手動で変更できます。詳細については、「パラメータの設定」を参照してください。


2. 提案されたポリシーを拒否する :提案されたポリシーを拒否するには、ゾーンのメイン メニューの Learning > Abort を選択します(図 6-1 を参照)。Detector はしきい値調整フェーズを停止し、ポリシー構築フェーズの結果および以前のしきい値を適用します。新しく構築されたポリシーには、以前のトラフィック特性に基づいて取得したしきい値が使用されます。

3. 提案されたポリシーを表示する :受け入れるかどうかを決定する前にラーニング プロセスの結果を表示するには、ゾーンのメイン メニューの Learning > Snapshot を選択します。詳細については、「スナップショット」を参照してください。

ゾーンのポリシー

ゾーンのポリシーを表示するには、ゾーンのメイン メニューの Configuration > Policy を選択します。図 6-2 の画面が表示されます。

図 6-2 ポリシー テーブル

 

次の表に、ポリシー テーブルに含まれているフィールドの説明を示します。

表 6-1 ポリシー テーブルに含まれているフィールドの説明

フィールド
説明

Policy Template

ポリシーの構築に使用されたポリシー テンプレート。

Service

ポリシーに関連付けられているサービス。 サービスは、アプリケーション ポートまたはプロトコルのいずれかです。 サービスを追加すると、特定のゾーン サービスを対象として構築されたポリシーをさらに適切なものに調整できます。「サービスの追加」を参照してください。

サービス any は、同じポリシー テンプレートに基づいて作成された他のサービスに一致しない、すべてのトラフィックに関連付けられます。

Level

トラフィック フローの処理に使用されたモジュール。

Type

パケットのタイプ。表示される値は、次のいずれかです。

auth_pkts :TCP ハンドシェイクまたは UDP 認証を受けたパケット。

auth_tcp_pkts :TCP ハンドシェイクを受けたパケット。

auth_udp_pkts :UDP 認証を受けたパケット。

in_nodata_conns :接続でデータ転送が発生していない、ゾーンへの着信接続(データ ペイロードを含んでいないパケット)。

in_conns :ゾーンへの着信接続。

in_pkts :ゾーンに着信する DNS クエリー パケット。

in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。

out_pkts :ゾーンに着信する DNS 応答パケット。

reqs :データ ペイロードを含んだ要求パケット。

syns :同期パケット(TCP の SYN フラグ付きパケット)。

syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。SYN フラグ付きパケット数と FIN フラグ付きパケット数の比率を確認してください。

unauth_pkts :TCP ハンドシェイクを受けていないパケット。

pkts :同じ検出レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。

Key

ポリシーの集計に使用されたキー(トラフィックの特性)。

キー名をダブルクリックすると詳細が表示されます。表示される値は、次のいずれかです。

dst_ip :ゾーンの IP アドレスが送信先となっているトラフィック。

dst_ip_ratio :特定の IP アドレスが送信先となっている
SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

dst_port_ratio :特定のポートが送信先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。

src_ip :送信元 IP アドレスに基づいて集計された、ゾーンが送信先となっているトラフィック。

src_net :送信元サブネットの IP アドレスに基づいて集計された、ゾーンが送信先となっているトラフィック。

dst_port :ゾーンの特定のポートが送信先となっているトラフィック。

protocol :プロトコルに基づいて集計された、ゾーンが送信先となっているトラフィック。

src_ip_many_dst_ips :これは IP スキャニングに使用されるキーです。単一の IP からゾーンの多数の IP アドレスに送信されるトラフィックです。

src_ip_many_ports :これはポート スキャニングに使用されるキーです。単一の IP からゾーンの多数のポートに送信先されるトラフィックです。

State

ポリシーの状態。表示される値は、次のいずれかです。

Active :ポリシーは有効になっています。

Inactive:ポリシーはトラフィック フローを計測しますが、しきい値を超過した場合もアクションを実行しません。

Disabled:ポリシーはディセーブルになっています。

Action

しきい値を超過した場合にポリシーが実行するアクション。詳細については、「パラメータの設定」を参照してください。

Threshold

特定のポリシーのしきい値トラフィック レート。このしきい値を超過すると、ポリシーはアクションを実行します。デフォルトでは、しきい値はオンデマンド アクションに適した値に設定されています。この値は、ラーニング フェーズのしきい値調整後に調整できます。手動で設定することもできます。

Timeout

ポリシーがアクションを適用するまでの最短時間(無期限にすることもできます)。

画面フィルタの設定

ポリシー構造の各セクションは、トラフィックの保護に関してそれぞれが異なる役割を果たしています。管理を容易にするには、画面フィルタを設定して、目的のセクションを含んだ一部のポリシーのみを表示するようにします。

画面フィルタを設定するには、Policies 画面の Set Screen Filter をクリックし、パラメータの値を Policy Filter のドロップダウン リストから選択して、 OK をクリックします。

指定した基準を満たすポリシーのリストが表示されます。選択したパス、状態、およびアクションの詳細が Screen Filter フレームに表示されます。


) いずれかのパラメータを変更すると、その下に表示されているパラメータがすべて自動的に消去されるため、新しい値を入力する必要があります。


ポリシーの設定

ラーニング プロセスが完了した後は、個々のポリシーの運用パラメータを表示できます。これらのパラメータを確認すると、ポリシーのパラメータがゾーンのトラフィックに適したものかどうかを判断できます。ポリシーは 1 つだけ設定することも、複数のポリシーを設定することもできます。必要に応じてパラメータの設定を変更すると、ポリシーをゾーンのトラフィック要件に合わせてさらに適切なものに調整できます。

ゾーン ポリシーを設定するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy を選択します。

ステップ 3 リストに含まれている必要なポリシーのチェックボックスをオンにし、 Config Selection をクリックします。

ステップ 4 関連するパラメータを Zone Policies Parameter Form に入力します。


 

次の表で説明するポリシー特性が、フォームに表示されます。互いに異なる特性を持つ複数のポリシーを選択した場合、フォームに含まれているパラメータは値 multiple を保持しています。 表 6-2 に、定義可能なパラメータの説明を示します。

表 6-2 Zone Policies Parameter Form

パラメータ
説明

State

ポリシーの状態。表示される値は、次のいずれかです。

active :ポリシーはトラフィックに関連付けられ、しきい値を超過した場合にアクションを実行します。

inactive :ポリシーはトラフィックに関連付けられ、しきい値を取得するものの、しきい値を超過した場合にアクションを実行しません。

disabled :ポリシーはトラフィック フローに関連付けられず、しきい値も取得されません。

Action

しきい値を超過した場合にポリシーが実行するアクションを選択します。使用可能な値は、次のいずれかです。

notify :ポリシーは、ユーザにしきい値超過を通知します。

remote_activation :ポリシーは、リモートで Guard を有効にします。リモート Guard はリモート Guard リストに定義されています。詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

Threshold multiplier

しきい値を増減するときの単位。

Timeout

ポリシーがアクションを適用するまでの最短の時間スパン。タイムアウトは、秒を単位にして整数で指定する必要があります。

サービスの追加

ポリシー構築で検出されなかったサービスを手動で追加して、作成されたポリシーをより適切なものに調整することができます。 このサービスのための新しいポリシーが、ポリシー テンプレートに基づいて作成されたポリシーに追加されます。 新しいサービスを追加できるのは、次のポリシー テンプレートです。

http

other_protocols

tcp_services

udp_services


) http、tcp_services、および udp_services については、追加するサービスをポート番号で指定します。other_protocols については、追加するサービスをプロトコル番号で指定します。


サービスをポリシーに追加するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Configuration > Add service を選択します。

または、次の操作を行います。

ゾーンのメイン メニューの Configuration > Policy を選択し、 Add service をクリックします。

ステップ 3 ポリシー テンプレートをリストから選択し、 Next をクリックします。

ステップ 4 新しいサービスを Add Service Form に入力し、 OK をクリックします。


 

新しいサービスは、デフォルト値を使用して定義されます。このしきい値は、手動で定義することができます。ただし、しきい値調整フェーズを実行して、ポリシーをゾーンのトラフィックに合わせて調整する方法をお勧めします。詳細については、「しきい値の調整」を参照してください。

サービスの削除

ポリシー テンプレートに関連付けられている個々のサービスを削除できます。

サービスをポリシーから削除するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Configuration > Remove service を選択します。

または、次の操作を行います。

ゾーンのメイン メニューの Configuration > Policy を選択し、 Remove service をクリックします。

ステップ 3 削除するサービスを含んだポリシー テンプレートをリストから選択し、 Delete をクリックします。

ステップ 4 警告メッセージが表示されます。削除するサービスであることを確認して、 OK をクリックします。


 


注意 サービスを削除すると、Detector のポリシーは削除されたトラフィック サービスを関連付けできなくなるため、ゾーン検出のレベルが低下する可能性があります。

パラメータの設定

ゾーンのポリシーを構築してしきい値を調整した後は、パラメータを手動で設定できます。 表 6-3 に、設定可能なパラメータの説明を示します。

表 6-3 ゾーンのポリシーのパラメータ

パラメータ
説明

Operation mode

ポリシーが作成した保留中の動的フィルタが、インタラクティブ モードであるかどうかを示すステータス。詳細については、「インタラクティブ推奨モード」を参照してください。


) 検出実行中のゾーンの Interactive-Status を表示および設定できるのは、インタラクティブ モードになっている場合のみです。


 

State

ポリシー セクションの状態。表示される値は、次のいずれかです。

Active:ポリシーはトラフィックに関連付けられ、しきい値を超過した場合にアクションを実行します。

Inactive:ポリシーはトラフィックに関連付けられ、しきい値を取得するものの、しきい値を超過した場合にアクションを実行しません。デフォルトでは、Detector のポリシーはすべて有効になっています。

Disabled:ポリシーはトラフィック フローに関連付けられず、しきい値も取得されません。このため、ポリシーに新しいしきい値調整フェーズを実行して、ポリシーに適用されるしきい値を修正する必要があります。

Operation mode

ポリシーが作成した保留中の動的フィルタが、インタラクティブ モードであるかどうかを示すステータス。詳細については、「インタラクティブ推奨モード」を参照してください。

保護されているゾーンの Interactive-Status を表示および設定できるのは、インタラクティブ モードになっている場合のみです。

Action

しきい値を超過した場合にポリシーが実行できるアクション。使用可能な値は、次のいずれかです。

notify :ポリシーはユーザにしきい値超過を通知します。

remote-activate :しきい値を超過した場合に、1 つまたはそれ以上のリモート Guard が有効になります。リモート Guard はリモート Guard リストに定義されています(詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください)。

Threshold

特定のポリシーのしきい値トラフィック レート。このしきい値を超過すると、ポリシーはゾーンを保護するアクションを実行します。しきい値は、次のポリシーを除いてパケット/秒(pps)単位で計測されます。

tcp_connections :接続の数で計測されます。

tcp_ratio :比率値で計測されます。

Timeout

ポリシーがアクションを適用するまでの最短時間。タイムアウト期限が満了すると、ポリシーのしきい値を再び超過するまでポリシーはアクションを終了します。

パラメータを設定するには、次の手順を実行します。


ステップ 1 リストに含まれている必要なポリシー テンプレートのチェックボックスをオンにし、 Config Selection をクリックします。

または、次の操作を行います。

Key を選択し、 Config をクリックします。

ステップ 2 表示されているフォームのドロップダウン リストから状態を選択し、 OK をクリックします。


 


注意 Detector のポリシーを不必要に無効またはディセーブルにすると、ポリシーが役割を果たせなくなり、ゾーン検出のレベルが低下する可能性があります。ポリシーをディセーブルにすると、そのポリシーの対象となっていたトラフィックは、他のポリシーに属するものと見なされます。ポリシーを適用する前に、すべてのポリシーに対して新しいしきい値調整フェーズを実行する必要があります。なお、ポリシーをディセーブルにした後でポリシー構築フェーズを実行すると、トラフィック フローに基づいてポリシーが再設定される可能性があります。その結果、ポリシーが再び有効になることがあります。

特定の IP に関するしきい値の設定

IP 送信元から既知の大量トラフィックが送信される場合は、その特定の IP 送信元アドレスに適用するしきい値を設定できます。

非同質ゾーン(IP が複数定義されているゾーン)において、ゾーンの一部のみを送信先とする既知の大量トラフィックが発生している場合は、その特定の IP 宛先アドレスに適用するしきい値を設定できます。

特定 IP に関するしきい値を設定できるのは、次に示すいくつかのポリシーのみです。

送信元 IP および送信元サブネットのトラフィック特性に基づいて、drop アクションを実行するポリシー。

宛先 IP のトラフィック特性に基づいて、to-user アクション、strong アクション、notify アクション、および drop アクションを実行するポリシー。

特定の IP に関するしきい値を設定するには、次の手順を実行します。


ステップ 1 Policy details ページの Add をクリックします。

ステップ 2 表示されるフォームに IP アドレスとしきい値を入力し、 OK をクリックします。


 

特定の IP に関するしきい値を削除するには、IP アドレスの隣にあるチェックボックスをオンにし、 Delete をクリックします。

スナップショット

スナップショットは、ラーニング プロセスの結果を確認するために、Compare Policies とともに使用します。

ラーニング フェーズの任意の段階でラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存しておいて、後で確認することができます。スナップショットしたラーニング フェーズ パラメータとゾーン設定パラメータを、新しいゾーン名でファイルに保存します。この手順によって、スナップショットを取得したときのゾーンの設定パラメータとポリシー パラメータ(サービスの数、しきい値、アクション、タイムアウトなど)を使用して新しいゾーンが作成されます。


) Detector は、スナップショットの取得中にもラーニング フェーズを引き続き実行します。


ゾーンのラーニング パラメータのスナップショットを作成するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Learning > Snapshot を選択します。


Snapshot コマンドを使用できるのは、ゾーンがラーニング フェーズに入っている場合のみです。


ステップ 3 スナップショットの名前を入力し、 OK をクリックします。


 

スナップショット機能を実行すると、新しいゾーンが作成されます。スナップショットのパラメータを確認するか、2 つのスナップショットを比較し終わったら、スナップショットは削除してもかまいません。また、スナップショットの方を残して元のゾーンを削除することもできます。

2 つのスナップショットのポリシーのパラメータを比較するには、「ポリシーの比較」を参照してください。

スナップショットのパラメータを選択して一部のみ受け入れるには、「受け入れるポリシー パラメータの選択」を参照してください。

ポリシーの比較

スナップショットのラーニング パラメータは、ゾーンのラーニング パラメータと比較することができます。比較することで、ポリシー、サービス、およびしきい値の相違点をトレースできます。比較の詳細度は定義することができます。

相違点が見つかった場合は、比較対象となったゾーンのポリシーのパラメータに基づいて、元のゾーンのポリシーを変更できます。ラーニングしたポリシー パラメータを一部のみ選択して受け入れることができるため、この方法は非常に有効です。詳細については、「受け入れるポリシー パラメータの選択」を参照してください。

2 つのラーニング パラメータ ファイルを比較するには、次の手順を実行します。


ステップ 1 ゾーンのメイン メニューの Configuration > Compare Policies を選択します。

または、次の操作を行います。

Detector のメイン メニューの Zones > Compare Zone policies を選択します。

ステップ 2 パラメータの値を Policies Comparison query に入力し、 OK をクリックします。 表 6-4 に、パラメータの説明を示します。


 

表 6-4 ポリシー比較のパラメータ

パラメータ
説明

Base Zone

ラーニング パラメータの比較元となるゾーンの名前。比較元ゾーンのポリシーは、比較先ゾーンのパラメータに基づいて変更できます。

Compared Zone

比較元ゾーンのラーニング パラメータとの比較対象になる、ゾーンまたはスナップショットの名前。

Minimal difference

Detector は、相違点がここに定義した割合を超えているパラメータをすべてトレースします。

図 6-3 に、ポリシー比較テーブルの例を示します。

図 6-3 ポリシー比較テーブル

 

比較結果は 2 つのセクションに分かれています。

1. Difference in services :このセクションでは、サービスが次の 2 つのテーブルに分かれて表示されます。

比較元ゾーンのポリシーにのみ存在するサービス。

比較元ゾーンに存在しないサービス。これらは、比較先のゾーンにのみ定義されているサービスです。

2. Difference in policy parameters :ポリシーの運用パラメータ(state、action、threshold)の相違点が表示されます。このテーブルの各セクションは、1 つのポリシーの中で見つかった相違点を示しています。各セクションの最初の行は、比較元ゾーンのパラメータを示します。各セクションの 2 行目は、比較先ゾーンのパラメータを示します。

受け入れるポリシー パラメータの選択

ポリシーを比較して相違点が見つかった場合は、比較対象となったゾーンのポリシーのパラメータに基づいて、元のゾーンのポリシーを変更できます。ラーニングしたポリシー パラメータを一部のみ選択して受け入れることができるため、この方法は非常に有効です。

図 6-3 に、ポリシー比較テーブルの例を示します。詳細については、「ポリシーの比較」を参照してください。

比較元ゾーンのポリシーからサービスを削除するには、 Services only in zone-name で、削除するサービスの隣にあるチェックボックスをオンにし、 Delete をクリックします。選択したサービスが削除されます。

比較元ゾーンのポリシーにサービスを追加するには、 Services missing from
zone-name
で、追加するサービスの隣にあるチェックボックスをオンにし、 Add をクリックします。サービスが比較元ゾーンのポリシーに追加されます。

比較先ゾーンの運用パラメータを比較元ゾーンにコピーするには、対象となるポリシーの隣にあるチェックボックスをオンにし、 Copy Parameters をクリックします。

比較先ゾーンのパラメータ(2 行目)が比較元ゾーンにコピーされます。

すべてのテーブル エントリを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

スナップショット機能を実行すると、新しいゾーンが作成されます。2 つのゾーン(またはスナップショット)を比較して比較元ゾーンのポリシーを修正した後は、比較先ゾーンを削除できます。