Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
自動シグニチャ生成
自動シグニチャ生成
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

自動シグニチャ生成

概要

基本

自動シグニチャ生成

DoS 攻撃の防止

スタックの復元

保護されるインターフェイス

信頼されないペイロードと 変更されないペイロード

シグニチャの信頼度レベル

シグニチャのグループ化とタギング

シグニチャの調整

永続的シグニチャと失効するシグニチャ

オフライン エージェントと相関がとられたシグニチャ

シグニチャベースのアンチウイルスと自動シグニチャ生成の違い

グローバル シグニチャと ローカル シグニチャの管理

グローバル シグニチャの管理

グローバル シグニチャの表示

グローバル シグニチャの操作

ローカル シグニチャの管理

シグニチャのインポート、エクスポート、およびアップグレード

調整したシグニチャのアップグレード

CSA MC のアップグレードによるシグニチャのアップグレード

シグニチャのレポート

シグニチャ機能の展開

正当なシグニチャと False Positive の区別

ウィザードによる生成されたシグニチャの例外作成

Event Management Wizard を使用して、アプリケーションの動作を許可する

不要な相関のとられたシグニチャのディセーブル化

自動シグニチャ生成

概要

自動シグニチャ生成機能は、Windows プラットフォームで実行されるホストに、いくつかの新機能を提供します。

自動生成されたシグニチャ

DoS 攻撃からの保護

プロセス スタックの復元

Cisco Security Agent は、攻撃で使用される悪意のあるペイロードを識別して、これらのペイロードを表すシグニチャをダイナミックに作成し、このシグニチャを使用して類似のペイロードからの以後の攻撃を防ぐことで、特定の攻撃に対応するようになりました。

これらの自動生成されたシグニチャは、さまざまな攻撃(主にバッファ オーバーフロー。高度に限定されたもの、対象を絞っているもの、多様性が高いものを含む)を捕捉することを目的としています。現在、自動シグニチャ生成機能は、LPC および MSRPC インターフェイスの保護に焦点を合わせています。

自動シグニチャ生成機能は、疑わしい動作のカテゴリを見つける規則を使用して動作します。疑わしい動作が見つかると、規則がトリガーされ、同時に疑わしいペイロードが CSA MC に送信されて、エージェントによって分析されます。十分なペイロードが受信されると、エージェントが、ホストを保護するためのシグニチャをローカルに作成します。または、CSA MC が、受信したすべてのペイロードに基づいてシグニチャを生成し、すべてのホストにそのシグニチャを配布します。

自動シグニチャ生成は、一定間隔でダウンロードするスタティック シグニチャに依存しないため、効果的です。シグニチャはリアルタイムで生成され、すべてのエージェントに自動的に配布するか、管理者によるレビューの後で配布できます。シグニチャを配布するために、CSA MC 規則を生成する必要はありません。

DoS 保護機能は、MSRPC または LPC インターフェイスで DoS 攻撃を検出します。これらのインターフェイスに送信された悪意のあるペイロードは識別され、ドロップされます。

システム API 制御規則で Stack Recovery アクションを使用すると、処理されない例外からの復元を試行するようにシステムが構成されます。スタック復元によって、悪意のあるペイロードが破棄され、そのペイロードを処理するためにプログラムが呼び出された時点にスタックが戻されます。攻撃を受けたとき、CSA はクラッシュまたは不正利用が実行制御を取得しないように、アプリケーションに実行制御を渡すことで、アプリケーションの復元を試行します。


) 自動シグニチャ生成機能のテスト中に、CSA は自動的にいくつかのシグニチャを生成し、MSRPC および LPC インターフェイスでの攻撃を防ぐことに成功しました。お客様の便宜を図るため、これらのシグニチャは製品に付属しています。これらのシグニチャは、付属していなかったとしても、自動シグニチャ生成機能によってダイナミックに作成されます。

このリリースでいくつかのシグニチャが提供されますが、将来、追加のシグニチャを定期的に配布することはありません。自動シグニチャ生成機能によって、直近の攻撃を「オンザフライ」で防ぐシグニチャが作成されます。配布されるシグニチャ アップデートには依存しません。


 

この章は、次の内容で構成されています。

「基本」

「保護されるインターフェイス」

「自動シグニチャ生成」

「DoS 攻撃の防止」

「スタックの復元」

「信頼されないペイロードと 変更されないペイロード」

「シグニチャの信頼度レベル」

「シグニチャのグループ化とタギング」

「シグニチャの調整」

「永続的シグニチャと失効するシグニチャ」

「オフライン エージェントと相関がとられたシグニチャ」

「シグニチャベースのアンチウイルスと自動シグニチャ生成の違い」

「グローバル シグニチャと ローカル シグニチャの管理」

「グローバル シグニチャの管理」

「ローカル シグニチャの管理」

「シグニチャのインポート、エクスポート、およびアップグレード」

「シグニチャのレポート」

「シグニチャ機能の展開」

「正当なシグニチャと False Positive の区別」

「ウィザードによる生成されたシグニチャの例外作成」

基本

この項では、自動シグニチャ生成スタック復元、およびインターフェイス ブロッキングの基本概念について説明します。

自動シグニチャ生成

ホストで MSRPC または LPC インターフェイスが攻撃された場合、ローカル エージェントは、この攻撃に関連付けられているペイロードを受信し、「信頼できない」というマークを付け、CSA MC に転送します。CSA MC は、類似の信頼できないペイロードの相関をとり、攻撃を表すシグニチャを作成します。ローカル エージェントも、同じ信頼できないペイロードの相関をとり、CSA MC からシグニチャを受信していなければ、独自のシグニチャを作成します。シグニチャはシグニチャ タグで参照されます。シグニチャ ペイロードは、すべての攻撃ペイロードに共通のサブストリングで構成されます。

グローバル シグニチャまたはローカル シグニチャとしてシグニチャが生成されると、このシグニチャは @signatures トークンに関連付けられます。@signatures トークンに関連付けられると、トークンに関連付けられている各シグニチャで同じ動作をする CSA 規則を作成できるようになります。たとえば、@signatures トークンに関連付けられているシグニチャのいずれかと一致した場合、Firewall - Centrally Managed (desktops)、Firewall - Centrally Managed (servers)、および Firewall - User Managed ポリシーの規則で、着信攻撃ペイロードをドロップできます。これによって、シグニチャの生成元となった攻撃が停止されます。

グローバル シグニチャおよびローカル シグニチャは、受信した信頼できないペイロードの数が、構成可能なしきい値を超えた後で作成されます。グローバル シグニチャの相関をとるためのデフォルト設定は、2 つのエージェントが 2 つの類似のペイロードを 1,440 分(24 時間)以内に送信した後です。ローカル シグニチャは、エージェントが 3 つの信頼できないペイロードを 1,440 分以内に収集した後で生成されます。

グローバルに相関をとられたシグニチャは、エージェントがポーリングしてきたときに配布されます。グローバルに相関をとられたシグニチャが配布され、既にエージェント上にあるローカルに相関がとられたシグニチャと一致した場合、ローカルに相関がとられたシグニチャがグローバルに相関がとられたシグニチャで置き換えられます。

DoS 攻撃の防止

シグニチャが生成されずに、MSRPC または LPC インターフェイスが継続的に攻撃された場合、CSA はこれを DoS 攻撃として処理します。インターフェイスを攻撃する以後のペイロードは、@highrisk_signatures トークンに関連付けられます。@highrisk_signatures トークンに関連付けられると、トークンに関連付けられている各シグニチャ タグで同じ動作をする CSA 規則を作成できるようになります。たとえば、ペイロード タグが @highrisk_signatures トークンに関連付けられているシグニチャ タグのいずれかと一致した場合、このリリースに付属の Firewall - Centrally Managed (desktops)、Firewall - Centrally Managed (servers)、および Firewall - User Managed ポリシーの規則で、着信攻撃ペイロードをドロップできます。これによって、このペイロードを使用する DoS 攻撃が阻止されます。

シグニチャ タグは、MSRPC または LPC インターフェイスがローカル シグニチャの相関付けをトリガーし、設定可能な一定回数失敗した後で、@highrisk_signatures トークンに関連付けられます。デフォルトでは、シグニチャ タグは、MSRPC または LPC インターフェイスが直前の 30 分間に 10 回、ローカル シグニチャ生成をトリガーした後で @highrisk_signatures に追加されます。

スタックの復元

コール スタックとは、コンピュータ プログラムのアクティブなサブルーチンを格納する、ダイナミックなスタック データ構造です。この種のスタックは、実行スタック、コントロール スタック、関数スタック、ランタイム スタックとも呼ばれ、単に『スタック』と略されることもあります。」( http://en.wikipedia.org/wiki/Call_stack

システム API 制御規則で Stack Recovery アクションを使用すると、処理されない例外からの復元を試行するようにシステムが構成されます。スタック復元によって、悪意のあるペイロードが破棄され、そのペイロードを処理するためにプログラムが呼び出された時点にスタックが戻されます。攻撃を受けたとき、CSA はクラッシュまたは不正利用が実行制御を取得しないように、アプリケーションに実行制御を渡すことで、アプリケーションの復元を試行します。

この機能は、ユーザからの情報の要求に応答するが、トランザクションの処理またはデータベースとの対話は行わない、重要なアプリケーションに適しています。重要でないサービスは、サービスを保護するために、シグニチャを生成できるまで失敗させるほうが安全で効果的です。

警告 スタックの巻き戻しを使用してクラッシュからアプリケーションを保護すると、残余損傷が残ることがあります。スタック復元機能は、データベース アプリケーション、トランザクションを処理するアプリケーション、障害から回復するために独自の方式でレコードを保持するアプリケーションには適しません。アプリケーションの動作を完全に理解していない場合は、スタック復元機能で保護しないでください。

保護されるインターフェイス

現在、エージェントは、MSRPC および LPC インターフェイスに到達するペイロードを分析できます。

MSRPC(Microsoft Remote Procedure Call)

MSRPC プロトコルは、Microsoft 社のさまざまなサービスをカプセル化します。これらは、ネットワークへの既製の Microsoft OS インターフェイスで、攻撃の対象になる可能性があります。

LPC(Local Procedure Call)

LPC プロトコルは、プロセス間システム通信に使用されます。LPC は、マルウェアの権限の昇格に使用されたり、リモートの不正利用で使用されることがあります。

MSRPC および LPC シグニチャはどちらも、特定のオペレーティング システムで実行される対象のアプリケーションに固有です。

信頼されないペイロードと 変更されないペイロード

データ ペイロードは、システム API 制御の「Set」規則で、一定の基準に一致するペイロードに「unchanged(変更されない)」または「untrusted(信頼されない)」のマークを付けるように示されている場合に、収集されます。

シグニチャは、「untrusted」ペイロードだけから生成されます。ペイロードに「unchanged」のマークを付けると、そのペイロードのシグニチャは作成されません。ペイロードに unchanged と untrusted の両方のマークが付いている場合、unchanged タグが優先され、ペイロードはシグニチャ生成に使用されません。

シグニチャの信頼度レベル

シグニチャが自動的に生成されると、CSA MC は、そのシグニチャにデフォルトで Low の信頼度レベルを割り当てます。シグニチャが CSA MC にインポートされた場合は、シグニチャと共に信頼度レベルがインポートされます。管理者は、シグニチャに割り当てられた信頼度レベルを Low、Medium、または High に変更できます。

シグニチャに信頼度レベルを割り当てると、シグニチャの信頼度レベルを指定するデータ セットに関連付けることができるようになります。これによって、シグニチャの信頼度レベルに基づいてペイロードで動作するデータ アクセス制御規則(DACL)を作成できます。たとえば、信頼性の高いシグニチャと一致するパケットをドロップし、信頼性の低いシグニチャとパケットが一致したときはユーザに通知する DACL を作成できます。

このリリースに付属の Firewall - Centrally Managed (desktops)、Firewall - Centrally Managed (servers)、および Firewall - User Managed ポリシーの DACL は、この方式を反映しています。

シグニチャのグループ化とタギング

CSA は、攻撃で識別されたペイロードに、攻撃の対象を識別するタグを付けます。タグは、攻撃下のオペレーティング システム、攻撃されているプロセス、攻撃がバッファ オーバーフローか例外処理の結果か、攻撃で使用されているプロトコル、攻撃されている API、インターフェイス、またはポート、およびペイロードをキャプチャした規則 ID で構成されます。

同じタグを持つペイロードはグループ化され、シグニチャを形成します。ペイロードの比較に使用されるタグが、シグニチャ タグになります。グローバル シグニチャ タグの詳細については、「グローバル シグニチャの表示」を参照してください。

シグニチャの調整

同じインターフェイスを攻撃する複数のペイロードに共通のすべてのサブストリングによって、攻撃のシグニチャが作成されます。同じインターフェイスを攻撃するペイロードが増えると、最新のペイロードのサブストリングが、シグニチャの共通サブストリングと比較されます。CSA は、シグニチャのサブストリングが既存のシグニチャと最新のペイロードに共通のサブストリングだけになるようにして、シグニチャを調整します。

[Manage Global Signatures] ダイアログで [Permanent] のマークが付けられたシグニチャは、調整できません。

永続的シグニチャと失効するシグニチャ

「失効する」シグニチャは、設定可能な期間が経過すると、CSA MC から削除されます。デフォルトでは、自動的に生成されたシグニチャは失効します。@signatures で識別されるシグニチャは、[Signatures Settings] ページの <Common> エリアの [Expire signatures after X days] フィールドの値に基づいて失効します。デフォルトの有効期間は 30 日間です。

「永続的」シグニチャは、CSA MC から削除されず、調整できません。

@highrisk_signatures トークンで識別されるペイロードは、[Signature Settings] ページの [MSRPC and LPC protocol] エリアの [Local] セクションの設定に基づいて失効します。@highrisk_signatures で識別されるインターフェイスのデフォルトの有効期間は 60 分間です。

シグニチャを永続的または失効するように設定する方法の詳細については、「グローバル シグニチャの操作」を参照してください。

オフライン エージェントと相関がとられたシグニチャ

何らかの理由でエージェントが CSA MC に到達できない場合、ローカル シグニチャ相関は利用できますが、グローバルに相関がとられたシグニチャは、CSA MC に到達できるようになり、ポーリングするまで利用できません。エージェントのローカル機能によって、MSRPC および LPC プロトコルを使用するバッファ オーバーフロー、例外処理、および DoS 攻撃からホストが保護されます。

シグニチャベースのアンチウイルスと自動シグニチャ生成の違い

このリリースの CSA が提供するシグニチャベースのアンチウイルスは、従来型のアンチウイルス セキュリティ機能です。ファイルの内容をスキャンし、既知のウイルス シグニチャのライブラリの内容と比較します。ファイルにウイルスが含まれる場合、そのファイルはファイルの読み取り、書き込み、または実行を禁止する CSA ポリシーによって不活性化されます。

すべてのローカル ファイルは、定期的にスキャンされます。一部のファイルはデスクトップとサーバに対するアンチウイルス - シグニチャベース ポリシーの規則に基づいて、開いたときまたは閉じたときにスキャンされます。アンチウイルスがファイル内に存在する最新の既知のウイルスを適切に識別できるよう、ウイルス シグニチャ ファイルの定期的な更新が必要です。

自動シグニチャ生成機能は、バッファ オーバーフロー攻撃と DoS 攻撃から MSRPC および LPC インターフェイスを保護するために設計されました。いずれかのインターフェイスが攻撃されると、自動シグニチャ生成機能によって、その攻撃を識別するシグニチャが自動的に作成されます。次に、このシグニチャは他の類似した攻撃を防止するために、規則によって使用されます。

自動的に生成されるシグニチャは、リアルタイムに作成されます。この機能は、定期的にダウンロードする必要がある静的シグニチャに依存しません。

グローバル シグニチャと ローカル シグニチャの管理

[Signature Settings] ページは、CSA MC メニューバーから [Configuration] > [Global Settings] > [Signature Settings] に移動することでアクセスできます。このページを使用すると、グローバル シグニチャとローカル シグニチャの相関の値、DoS 攻撃を防止するためのしきい値を設定し、新しいシグニチャをグローバルにイネーブルにし、シグニチャ相関に関連するその他の管理タスクを実行できます。[Signature Settings] ページは、拡張モードでだけ表示されます。

図 14-1 [Signature Settings] ページ

[Signature Settings] ページには、次のセクションがあります。

[Common]:このセクションには、自動シグニチャ生成を利用するすべてのホストに共通のシグニチャ設定が含まれます。

[Expire signatures after X days] フィールドは、ローカル シグニチャおよびグローバル シグニチャが失効する日を示します。デフォルトでは、ローカルまたはグローバルに相関をとられたシグニチャは、30 日後に失効します。

[Enable new local signatures] チェックボックスは、デフォルトでイネーブルです。これによって、ローカル シグニチャをローカルに生成できます。[Enable new local signatures] が選択されていない場合、ローカル シグニチャは生成されません。

[Enable new global signatures] チェックボックスは、デフォルトでイネーブルです。[Enable new global signatures] がイネーブルの場合、MSRPC または LPC 相関しきい値が満たされた後、シグニチャが自動的に生成され、信頼度レベル Low が割り当てられます。グローバルに相関をとられたシグニチャは、ホストが次にポーリングしてきたときに配布されます。


) 新しいグローバル シグニチャを自動的にディセーブルにするには、[Enable new signatures] チェックボックスをオフにして、変更を保存し、CSA MC で規則を生成します。


[MSRPC]:[Correlate untrusted MSRPC payloads received by Cisco Security Agent systems] チェックボックスは、信頼されない MSRPC ペイロード シグニチャの生成をオンにします。このチェックボックスは、デフォルトで選択されています。次のセクションでは、グローバル シグニチャ相関がトリガーされるために、特定の時間枠内で、信頼されない MSRPC ペイロードを受信する類似のイベントが生じる必要があるエージェントの数を決定します。デフォルトは、1,440 分(24 時間)以内に、2 つの類似の MSRPC ペイロードをレポートする 2 つのシステムです。

MSRPC シグニチャ生成の次のセクションでは、DoS (サービス拒絶)攻撃に関連するローカル ペイロードのみを扱います。管理者は、シグニチャの相関がとられない、特定の期間にわたるインターフェイス上の指定件数の攻撃として、DoS 攻撃を定義します。しきい値に達したら、そのインターフェイスを攻撃する今後のペイロードは、@highrisk_signatures トークンに関連付けられます。設定可能な期間の後に、ペイロードと @highrisk_signatures の関連付けは解除されます。

デフォルトでは、30 分以内に 10 のペイロードが受信され、その攻撃に対してシグニチャを作成できない場合に、インターフェイスは DoS 攻撃を受けていると見なされ、60 分後に、ペイロードと @highrisk_signatures トークンの関連付けが解除されます。

[LPC]:[Correlate untrusted LPC payloads received by Cisco Security Agent systems] チェックボックスは、信頼されない LPC ペイロード シグニチャの生成をオンにします。このチェックボックスは、デフォルトで選択されています。次のセクションでは、すべてのエージェントに対してグローバル シグニチャ相関がトリガーされるために、特定の時間枠内で、信頼されない LPC ペイロードを受信する類似のイベントが生じる必要があるエージェントの数を決定します。デフォルトは、1440 分(24 時間)以内に、2 つの類似の LPC ペイロードをレポートする 2 つのシステムです。

LPC シグニチャ生成の次のセクションでは、DoS (サービス拒絶)攻撃に関連するローカル ペイロードのみを扱います。管理者は、シグニチャの相関がとられない、特定の期間にわたるインターフェイス上の指定件数の攻撃として、DoS 攻撃を定義します。しきい値に達したら、そのインターフェイスを攻撃する今後のペイロードは、@highrisk_signatures トークンに関連付けられます。設定可能な期間の後に、ペイロードと @highrisk_signatures の関連付けは解除されます。

デフォルトでは、30 分以内に 10 のペイロードが受信され、その攻撃に対してシグニチャを作成できない場合に、インターフェイスは DoS 攻撃を受けていると見なされ、60 分後に、ペイロードと @highrisk_signatures トークンの関連付けが解除されます。

[Expand all] および [Collapse all] というラベルが付いているリンクでは、このページの <Common>、<MSRPC>、および <LPC> エリアに対するすべての設定を表示または非表示にできます。

[Tasks] メニューにあるメニュー項目は 1 つです。[Manage Global Signatures] をクリックすると、グローバルに相関されたシグニチャのリストを表示し、これらのシグニチャを管理することができます。

グローバル シグニチャの管理

[Signature Settings] ページから、[Tasks] メニューの [Manage global signatures] リンクをクリックします。これによって、[Global Signature Management] ページが開きます。このウィンドウには、CSA MC で管理されるグローバルに生成されたすべてのシグニチャ、およびこのリリースの CSA にデフォルトで付属するすべてのシグニチャが表示されます。

図 14-2 [Global Signature Management] ページ

[Global Signature Management] ページには、次の情報カラムが表示されます。

[Exploit]:このカラムには、シグニチャを生成した不正利用に関する簡単な説明が表示されます。ここでは、プロセス名、不正利用の種類、攻撃されたインターフェイス、および GUID またはポート名が提供されます (MSRPC シグニチャ タグは、GUID(Global Unique Identifier)と API 番号で識別されます。LPC シグニチャ タグは、ポート名と API 番号で識別されます)。

[details] リンクをクリックして、シグニチャ タグと、シグニチャを構成する共通サブストリングを読みやすい形式で表示できます。[Attack Details] ダイアログの詳細については、「グローバル シグニチャの表示」を参照してください。

[Enabled]:イネーブル化されたシグニチャは、エージェントがポーリングしてきたときに配布されます。[Signature Setting] ページの <Common> エリアの [Enable new signatures] が選択されている場合、グローバルに相関をとられたシグニチャは、作成された後、イネーブル化されます。デフォルトでは、グローバルに相関をとられたシグニチャはイネーブル化されます。

[Confidence]:シグニチャが自動的に生成されると、Low の信頼度レベルが割り当てられます。信頼度レベルは、生成されたシグニチャが危険な攻撃から派生した可能性を示します。信頼度レベルは、ドロップダウン メニューを使用して、Low、Medium、または High に設定できます。

[Permanent]:[Permanent] は、[Signature Settings] ページの <Common> エリアの [Expire signatures after X days] フィールドで定義された時間が経過したときに、シグニチャが削除されないようにします。シグニチャが削除されないようにするには、[Permanent] を [Yes] に設定します。

[Source]:シグニチャが CSA 規則で自動的に生成されたか、別のソースからインポートされたかを示します。

[Last Updated]:シグニチャがグローバル相関リストに追加された日付です。

テーブルの下部に、[Operations] ボタンと [Refresh] ボタンがあります。これらのコマンド ボタンの使用方法については、「グローバル シグニチャの操作」を参照してください。

グローバル シグニチャの表示

グローバル シグニチャの詳細を表示するには、次の手順に従います。


ステップ 1 CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Signature Settings] に移動します。

ステップ 3 [Tasks] メニューを展開し、[Manage global signatures] をクリックします。

ステップ 4 調べるシグニチャを検索して、[details] リンクをクリックします。[Attack Details] ページが開きます。

ステップ 5 [Global Signature Management] ページに表示されるシグニチャ タグをクリックすると、[Attack Details] ポップアップ ウィンドウが表示され、シグニチャがテキスト形式で表示されます。

図 14-3 [Attack Details] ポップアップ ウィンドウ

[Attack Details] ポップアップ ウィンドウには、次の情報が表示されます。

[Attack Details] ポップアップ ウィンドウの最上部のセクションに、シグニチャ タグが読みやすい形式で表示されます。

[Platform]:アプリケーションが攻撃されたオペレーティング システムおよびサービス パック レベル。

[Process]:攻撃されたアプリケーションまたはプロセスの名前。

[Violation]:攻撃の形式を識別します。図 14-3 は、この攻撃形式が例外処理によるものであることを示しています。

[Protocol]:攻撃に使用されたプロトコルが MSRPC か LPC かを示します。

[GUID]:攻撃されたインターフェイスの GUID(Globally Unique Identifier)です。リンクをクリックすると、Google 検索エンジンを使用して、この GUID に関する情報がインターネットで検索されます。

[Port]:攻撃されている LPC ポートの名前。

[API Number]:オブジェクト内でのメソッド番号が表示されます。

[Tag]:このシグニチャを識別するラベルです。

[Audit Mode]:このシグニチャが、監査モードで実行中の規則で見つかったか、そうではないかを示します。[Yes] または [No] リンクをマウスでポイントすると、監査モードで実行されているシステムの数が表示されます。

[Common Payload Substrings]:現在までに関連をとったペイロードの数が表示されます。[Expand] または [Collapse] リンクをクリックすると、関連をとったペイロード サブストリングが表示または非表示になります。

[Correlating events]:このシグニチャの関連をとったイベント ログのイベントが表示されます。[View] リンクをクリックすると、これらのイベントが表示されます。

グローバル シグニチャの操作

[Global Signature Management] ウィンドウでシグニチャを管理することもできます。そのためには、次の手順に従います。


ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Signature Settings] に移動します。

ステップ 3 [Tasks] メニューを展開し、[Manage global signatures] をクリックします。

ステップ 4 管理するシグニチャの横にあるチェックボックスをクリックします。

ステップ 5 [Global Signature Management] ページの下部にある [Operations] ボタンをクリックします

ステップ 6 次のいずれかの操作とリスト ボックスを選択して、[Execute] をクリックします。

[Remove]:リストからシグニチャを削除します。

[Enable]:すべてのエージェントにシグニチャを配布できます。このシグニチャの [Enable] カラムで [Yes] を選択することと同じです。

[Disable]:シグニチャがすべてのエージェントに配布されないようにします。このシグニチャの [Enable] カラムで [No] を選択することと同じです。

[Import]:グローバル シグニチャのリストにシグニチャを追加します。[Import] を選択した後、シグニチャ ファイルの場所を参照します。該当する場合、[Importing refinable signatures exported from the same MC] を選択して、[Execute] をクリックします。

[Importing refinable signatures exported from the same MC] を選択しなかった場合、再インポートするときに、シグニチャから RuleID が切り離されます。これによって、シグニチャがさらに調整されることを防ぎます。

ある CSA MC で生成されたシグニチャを別の CSA MC にインポートするときは、[Importing refinable signatures exported from the same MC] を選択しないでください。

[Importing refinable signatures exported from the same MC] を選択すると、その攻撃についてさらにレポートがあった場合に、同じ CSA MC が再インポートされたシグニチャ定義を調整できます。

[Export]:選択したシグニチャをローカル MC にエクスポートします。[Execute] をクリックして、ファイルのエクスポートを確認すると、エクスポートが成功したことを示すメッセージと、エクスポートされたシグニチャをダウンロードするためのリンクが表示されます。リンクをクリックしてシグニチャ リストを検索し、保存します。[Done] をクリックすると、[export signature] ボックスが閉じます。


) シグニチャ相関プロセスで、さらにシグニチャが調整されることを防ぐには、シグニチャをエクスポートし、[Importing refinable signatures exported from the same MC] をオフにしたまま再インポートします。


[Make permanent]:[Make permanent] を選択すると、[Signature Settings] ページの <Common> エリアの [Expire signatures after X days] フィールドで定義された時間が経過したときに、シグニチャが削除されません。このシグニチャの [Permanent] カラムで [Yes] を選択することと同じです。

永続的なシグニチャでも、前に説明した [Remove] 操作を使用して、手動で削除できます。

[Make expiring]:[Make expiring] を選択すると、[Signature Settings] ページの <Common> エリアの [Expire signatures after X days] フィールドで定義された時間が経過したときに、シグニチャが削除されます。このシグニチャの [Permanent] カラムで [No] を選択することと同じです。

[Permanent] から [Expiring] にシグニチャが変更された場合、シグニチャは、[Permanent] から [Expiring] に変更された日付ではなく、作成日に基づいて削除されます。

[Set confidence]:[Set confidence] を選択して、シグニチャの信頼度レベルを Low、Medium、または High に変更できます。このシグニチャの [Confidence] カラムで [Low]、[Medium]、または [High] を選択することと同じです。シグニチャが作成されたとき、自動的に信頼度レベル Low が設定されます。

[Global Signature Management] 画面の [Refresh] をクリックすると、最新の相関をとられたグローバル シグニチャを使用して、開いている画面が更新されます。

ローカル シグニチャの管理

ローカル シグニチャは、グローバル シグニチャと同様に、個別に管理できます。ローカルに生成されたシグニチャを削除するには、ローカル エージェントをリセットする必要があります。


注意 ローカル シグニチャを削除するためにローカル エージェントをリセットすると、ローカル シグニチャ以外にも影響を与えます。ほとんどすべてのエージェント設定が、エージェントをインストールしたときの、元の状態に戻ります。

ローカル セキュリティ エージェントをリセットするには、
[Start] > [Programs] > [Cisco] > [Cisco Security Agent] > [Reset Cisco Security Agent] に移動します。

シグニチャのインポート、エクスポート、およびアップグレード

[Global Signature Management] ウィンドウの操作メニューを使用して、シグニチャをインポートおよびエクスポートできます。シグニチャのインポートおよびエクスポートの詳細については、「グローバル シグニチャの操作」を参照してください。

調整したシグニチャのアップグレード

シグニチャを調整すると、エージェントがアップデートのためにポーリングしてきたときに、ローカル エージェントに配布されます。通常、シグニチャ タグのアトリビュートおよびシグニチャの永続性設定は、シグニチャがアップグレードされるときに保持されます。

グローバルに相関をとられたシグニチャは、エージェントがポーリングしてきたときに配布されます。グローバルに相関をとられたシグニチャが配布され、既にエージェント上にあるローカルに相関がとられたシグニチャと一致した場合、ローカルに相関がとられたシグニチャがグローバルに相関がとられたシグニチャで置き換えられます。

CSA MC のアップグレードによるシグニチャのアップグレード

あるリリースの CSA MC から別のリリースにシグニチャをアップグレードする方法は、CSA MC に付属のシステム API 制御「Set」規則が変更されているかどうかによって異なります。

CSA MC のアップグレードでは、すべての依存関係で、新しい規則モジュールと既存の規則モジュールを完全に比較します。違いがない場合、CSA MC は、規則モジュールに最新バージョンのラベルを付け直し、規則 ID はそのまま残します。規則モジュール間に違いがある場合、CSA MC は、新しいキット バージョン番号を名前に追加して新しいモジュールを作成し、これに新しい規則を設定します。

プライベートな例外モジュールはアップグレードされないため、生成したシグニチャは調整可能なままになります。

シグニチャのレポート

シグニチャ作成およびシグニチャを使用した保護のさまざまな観点を説明するレポートを生成できます。作成できるシグニチャ詳細レポートについては、「シグニチャ情報の詳細」を参照してください。

シグニチャ機能の展開

自動シグニチャ生成機能を展開する最も単純な方法は、デフォルトの Windows Desktops または Windows Servers エージェント キットを展開し、生成されたシグニチャを評価する方法です。次に、グローバルに相関をとられた正当なシグニチャの信頼度を Medium または High に上げ、false positive から生成されたシグニチャの例外を作成します (false positive は、CSA が良性のペイロードを悪意があると解釈し、そのペイロードが再び配信されないようにシグニチャを作成したときに発生します)

データ領域またはスタック領域から実行されたコードからシステム関数にアクセスしようとするアクションを拒否したり、このようなプロセスを終了させたり、例外処理ルーチンを実行するシステム API 制御規則は、別の規則モジュール全体に広がり、またはユーザによって作成されて、特定のアプリケーションを保護します。


) データ ペイロードを信頼できないものとして設定するシステム API 制御規則は、CSA がアプリケーションによる例外処理ルーチンの実行試行を拒否した後、デフォルトでディセーブルになります。これらの規則の例については、Security-Signature-based protection - LPC-borne exploits および Security-Signature-based protection - MSRPC-borne exploits 規則モジュールを参照してください。


デフォルトの Windows Desktops またはデフォルトの Windows Servers エージェント キットには、いずれかのシステム API 規則がトリガーされた後でローカルまたはグローバルに相関をとられたシグニチャを生成するポリシーが含まれています。このポリシーは、Firewall - Centrally Managed (desktops)、Firewall - Centrally Managed (servers)、および Firewall - User Managed です。

正当なシグニチャと False Positive の区別

生成されたシグニチャが、正当な攻撃から派生したものか、false positive かを判別する基本的な方式を示します。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 シグニチャが生成された GUID の情報をインターネットで検索します。「グローバル シグニチャの表示」を使用して、クリックして GUID を検索できるリンクを表示します。たとえば、20610036-fa22-11cf-9823-00a0c911e5df を検索すると、この GUID が攻撃に関連付けられていることがわかります。この検索を行っても、シグニチャが正当な攻撃から派生したかどうかがわからない場合は、次の手順に進みます。

ステップ 3 「グローバル シグニチャの表示」を使用して、シグニチャ自身の共通ペイロード サブストリングを表示します。ペイロードの「sled code」を検索します。最も単純なケースとして、共通ペイロード サブストリングにストリング 90 90 90 90 90 ... があります。このストリングは、正当な攻撃を表します(sled コードを実装する別の方式については、インターネットで sled code program attack を検索してください)。シグニチャが正当な攻撃から派生したかどうかがわからない場合は、次の手順に進みます。

ステップ 4 ペイロード自身で、sled code を調べます。

a. 管理者として、CSA MC を実行しているサーバにログインします。

b. 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

c. CSA MC の [Configuration] メニューから、[Global Settings] > [Signature Settings] の順に選択します。[Manage Global Signatures] をクリックして、[Global Signature Management] ページを開きます。新しく生成されたシグニチャが、ピンクで強調表示されます。

d. 新しく生成されたシグニチャを評価する場合は、[warning - not enforced] リンクをクリックします。既に展開されている既存のシグニチャを評価する場合は、シグニチャの [details] リンクをクリックします。これらのリンクによって、ポップアップが開き、シグニチャのシグニチャ タグとペイロード サブストリングが表示されます。評価するシグニチャのシグニチャ タグを検索します。たとえば、次に示すシグニチャ タグは、ステップ 2 で説明した GUID に関連付けられています。

msrpc://windows/51/0/"svchost.exe"?guid={20610036-fa22-11cf-9823-00a0c911e5df}&api_num=12&sec_v=exception&blob={2A66}

e. コマンド プロンプトを開き、ディレクトリを
Program Files¥Cisco¥CSA MC¥CSAMC60¥bin に変更します。

f. プロンプトに dumpgsig -p と入力し、<Enter> キーを押します。

パラメータ -p を付けて dumpgsig を実行すると、データベースに保存されているすべてのパケットが画面に表示されます。出力で、前の手順で識別したシグニチャと関連付けられているパケットを検索します。このパケットの sled code を検索します。

ステップ 5 シグニチャを評価した後、シグニチャが正当かどうかを決定し、次のいずれかのアクションを実行します。

これが正当な攻撃であると確信が持てる場合は、[Global Signature Management] ページで信頼度レベルを Medium または High に設定して、シグニチャをイネーブルにします。

このシグニチャが false positive を表していると確信が持てる場合は、例外ウィザードを使用して例外を作成し、不要なシグニチャをディセーブルにします。 「ウィザードによる生成されたシグニチャの例外作成」 を参照してください。ローカル エージェントで相関をとられたシグニチャがある場合は、Reset Cisco Security Agent 機能を使用して削除できます。「ローカル シグニチャの管理」を参照してください。

ウィザードによる生成されたシグニチャの例外作成

自動的に相関をとられたシグニチャが、良性のトラフィックを停止させていると考えられる場合は、トラフィックを許可するために、Event Management Wizard を使用して例外を作成できます。

シグニチャが生成されてから良性の動作を許可するには、2 つのタスクを実行する必要があります。

1. 「Event Management Wizard を使用して、アプリケーションの動作を許可する」.これによって、シグニチャの生成を防ぎます。

2. グローバルに相関をとられたシグニチャをディセーブルにする。詳細については、「不要な相関のとられたシグニチャのディセーブル化」を参照してください。

Event Management Wizard を使用して、アプリケーションの動作を許可する

図 14-4 に、グローバル シグニチャの相関に関する一連のイベントを示します。

図 14-4 シグニチャ生成イベントのシーケンス

イベント 8 は、msrpc_s.exe が例外処理ルーチンを呼び出そうとして、イベントが拒否されたことを示します。

イベント 9 は、データ ペイロードが信頼できないとしてマークされたことを示します。

イベント 8 および 9 は、一連のイベント(表示されていません)の最後のイベントで、グローバル シグニチャの相関の原因になっています。イベント 8 をトリガーした規則の例外を作成すると、msrpc_s.exe が「ホワイト リストに追加され」、類似のアクションではグローバルに相関をとられたシグニチャが作成されません。

イベント 10 は、CSA MC が MSRPC インターフェイスでの攻撃のシグニチャを生成したことを報告しています。これは、グローバルに相関をとられたシグニチャです。

イベント 11 は、msrpc_s.exe がデータを受信しようとして、アクションが阻止されなかったことを示します。この形式のイベントは、規則が msrpc_s.exe ペイロードと、相関をとられたシグニチャを一致させたために報告されます。このイベントによって、最終的に例外処理を発生させた、msrpc_s.exe が収集したデータを表示できます。

アプリケーションの動作をブロックする、グローバルに相関をとられたシグニチャが CSA MC で作成される原因になった規則は、この例と異なることがあります。重要なことは、例外を作成するときは、Event Management Wizard が提案する設定のままにすることです。


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。

ステップ 2 [Event] メニューから [Event Log] を選択します。

ステップ 3 アラート イベントをトリガーした規則の [Wizard] リンクをクリックします。図 14-4 では、イベント 8 の規則 762 です。

ステップ 4 [Event Management Wizard] ボックスで、ウィザードによる選択を受け入れます。

[Classify Application] を選択します。

[Application that triggered this event] フィールドに、分類するアプリケーションのパスが表示されます。

[Action] フィールドで、[I trust this application] の設定を受け入れます。

この例外を作成する理由を [Justification] フィールドに入力します。

図 14-5 Event Management Wizard

ステップ 5 [Finish] をクリックします。グローバルな [Application Trust Levels] リスト ビューが開き、「ホワイト リスト」に追加したアプリケーションのリストが表示されます。アプリケーションの white-list ステータスは、規則を生成し、エージェントが CSA MC にポーリングした後で認識されます。

不要な相関のとられたシグニチャのディセーブル化

CSA が良性のアクションまたは目的のアクションを拒否しないように、グローバル シグニチャをディセーブルにすることは、シグニチャをすぐに削除するよりも優れた方法です。

シグニチャを削除すると、関連するペイロードおよび情報が失われます。グローバル シグニチャに「Expiring」のマークが付けられている場合、CSA MC は、60 日が経過するとこのシグニチャを無効にします。

シグニチャのディセーブル化およびシグニチャの失効設定値の設定の詳細については、「グローバル シグニチャの操作」を参照してください。