FireSIGHT システム ユーザ ガイド バージョン 5.3.1
侵入ポリシーの設定
侵入ポリシーの設定
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

侵入ポリシーの設定

侵入ポリシーの計画と実装

侵入ポリシーの管理

侵入ポリシーの作成

侵入ポリシーの編集

ナビゲーション パネルの使用

侵入ポリシー変更のコミット

侵入ポリシーの再適用

侵入ポリシー レポートの表示

2 つの侵入ポリシーの比較

侵入ポリシー比較ビューの使用

侵入ポリシー比較レポートの使用

インライン展開での破棄動作の設定

基本ポリシーについて

デフォルト侵入ポリシーの使用

カスタム基本ポリシーの使用

ルール更新による基本ポリシーの変更の許可

基本ポリシーの選択

カスタム基本ポリシーからのルール設定変更の受け入れ

侵入ポリシーの設定

侵入ポリシー は、定義された侵入検知および防御構成のセットです。シスコから提供されるデフォルト侵入ポリシー内の設定を使用して侵入ポリシーを作成することも、ネットワークを通過するトラフィックを検査するための独自のポリシーを特別に作成することもできます。侵入ポリシーを調整することによって、環境内のパフォーマンスを向上させたり、ネットワーク上のトラフィックに焦点を当てたビューを提供したりできます。

少なくとも、次の設定は行うように意識してください。

インライン展開で [Drop and Generate Events] に設定されたルールをトリガーしたパケットをドロップするかどうかを指定します。詳細については、「インライン展開での破棄動作の設定」を参照してください。

ホーム ネットワーク、外部ネットワーク、および必要に応じてネットワーク上のサーバを正確に反映した変数を設定します。詳細については、「変数セットの操作」を参照してください。

パフォーマンスの向上とネットワークの絞り込みを可能にする次の機能を利用するかどうかも考慮する必要があります。

環境に適用されていないルールを無効にし、環境に 適用されている すべてのルールが有効になっているかどうかを検証し、ルール属性(抑止、しきい値、アラートなど)を設定する。詳細については、「ルール状態の設定」を参照してください。

ネットワーク上のホストとアプリケーションを保護するために作成されたルールを、それらのホストとアプリケーションに関連付け、ルール状態の変更を推奨する。詳細については、「FireSIGHT ルール状態推奨の管理」を参照してください。

詳細については、次の項を参照してください。

「侵入ポリシーの計画と実装」では、侵入ポリシーを作成するためのプロセスの概要について説明します。

「侵入ポリシーの管理」では、侵入ポリシーのリストを表示する方法と、ポリシーを作成して編集する方法について説明します。

「インライン展開での破棄動作の設定」では、インライン展開で [Drop and Generate Events] に設定されたルールの違反パケットをポリシーでドロップするかどうかを設定する方法について説明します。

「基本ポリシーについて」では、基本ポリシーを、シスコから提供された別のデフォルト侵入ポリシーまたは自分で作成したカスタム基本ポリシーに置き換える方法について説明します。

「侵入ポリシー内のルールの管理」では、ルールを有効または無効にする方法と、しきい値や抑止などの他のルール属性を設定する方法について説明します。

「FireSIGHT ルール状態推奨の管理」では、ネットワーク上のホストとアプリケーションに基づいて侵入ルールのルール状態推奨を生成する方法について説明します。

「侵入ポリシーの詳細設定の使用」では、プリプロセッサとその他の高度な検出およびパフォーマンス機能を有効化、無効化、および設定する方法について説明します。

「侵入ポリシーでのレイヤの使用」では、侵入ポリシー層を使用して、複雑なネットワーク環境内の複数の侵入ポリシーをより効率的に管理する方法について説明します。

「変数セットの操作」では、変数セット内の変数を使用して、自分のポリシーとその他の侵入ポリシー機能で有効になっている侵入ルールを、ネットワーク上のトラフィックと適合するように調整する方法について説明します。

侵入ポリシーの計画と実装

ライセンス:Protection

カスタム侵入ポリシーを作成すれば、環境内のシステムのパフォーマンスを向上させ、ネットワーク上で発生する悪意のあるトラフィックやポリシー違反に焦点を当てたビューを提供できます。

トラフィックのプロファイルや特性は、設計によるものか悪意のある操作の結果かによって異なる可能性があります。シスコでは、さまざまなトラフィック条件でモニタリングの成功を保証するようにカスタマイズされた侵入ポリシーを作成することを推奨しています。

次の図は、侵入ポリシーを定義してシステムを調整するために使用するプロセスを示しています。

 

侵入ポリシーを計画する場合、以下を行います。

1. 管理対象デバイスの設置場所を決定します。

デバイスを調整するためのさまざまな展開オプションがあります。重要なトラフィックを監視するのに最適な管理対象デバイスの設置場所を決定する方法については、デバイスに応じた 『インストレーション ガイド』 を参照してください。

2. ネットワーク セグメントを通過するトラフィックについて把握します。

侵入ポリシーを調整する前に、監視するトラフィックについて把握することが重要です。たとえば、DMZ 内のトラフィックを監視する場合は、Web サーバに特別な注意を払って、適用可能なすべての Web サーバ ルールがアクティブになっていることを確認する必要があります。外部向けのサーバが存在しない内部サブネットを監視する場合は、システムを別途調整する必要があります。

3. セキュリティ ポリシーを定義します。

セキュリティ ポリシーには、内部セキュリティ ガイドラインだけでなく、変数、プリプロセッサ、およびルールの構成も含まれています。次の操作を実行する必要があります。

サブネット上のホストを統制するセキュリティ ガイドラインを定義します。

内部セキュリティ ポリシーでは、デコーダ エンジン、プリプロセッサ エンジン、およびルール エンジンの調整方法が示されます。たとえば、セキュリティ ポリシーでインスタント メッセージングが禁止されている場合は、ネットワークを通過するインスタント メッセージ トラフィックを識別する必要があります。

必要に応じて、プリプロセッサを設定して、適宜、オプションを有効または無効にします。

FireSIGHT システムに付属のプリプロセッサの詳細とその設定方法については、「侵入ポリシーの詳細設定の使用」を参照してください。

ホーム ネットワークと外部ネットワークを正確に反映した変数を定義します。

変数を定義すると、特定の IP アドレスとポートの間で送受信されるトラフィックを検査するようにルールを調整することによって、ルール検査の有効性と効率性が高まります。デフォルトの変数セットまたはカスタム セット内でこれらを定義すれば、すべてのルールを編集せずに、ポリシーまたはシステムを調整できます。変数は、ルールを抑止したり、高度な適応型プロファイル機能を設定したりするときにも使用できます。変数の管理方法については、「変数セットの操作」を参照してください。

環境に適用されていない共有オブジェクト ルールと標準テキスト ルールを無効にし、環境に 適用されている すべてのルールが有効になっていることを検証します。インライン展開では、単にイベントを生成するだけでなく、パケットをドロップする侵入ルールを慎重に選択します。ルール状態の設定方法については、「ルール状態の設定」を参照してください。

4. 既存の侵入ルールがニーズを満たさない場合は、侵入の試みを検査する新しいルールを作成します。

カスタム標準テキスト ルールを作成するためのルール キーワードと、そのルールの構文については、「侵入ルールの概要と作成」を参照してください。

5. 設定をテストします。

侵入ポリシーの管理

ライセンス:Protection

[Intrusion Policy] ページ([Policies]> [Intrusion] > [Intrusion Policy])では、オプションの説明と次の情報と一緒に、現在の侵入ポリシーのすべてを名前別に表示できます。

ポリシーが最後に変更された日時とそれを変更したユーザ

インライン展開でのパケットのドロップがポリシー内で有効になっているかかどうか

ポリシーに未保存の変更が含まれている場合の イタリック体 の黒色のテキスト

このページ上のオプションを使用すれば、新しいポリシーを作成したり、2 つのポリシーまたは同じポリシーの 2 つのリビジョンを比較したり、各ポリシーに最近保存された設定のすべてを列挙するレポートを表示したり、ポリシーを編集、削除、またはエクスポートしたりできます。


ヒント 展開内の他の防御センターから侵入ポリシーをインポートできます。詳細については、「設定のインポートおよびエクスポート」を参照してください。

[Intrusion Policy] ページにはポリシーの最終更新時刻が現地時間で表示されますが、侵入ポリシー レポートではポリシーの最終更新時刻が協定世界時(UTC)で表示されることに注意してください。

次の表では、[Intrusion Policy] ページでポリシーを管理するために実行可能な操作について説明しています。

 

表 20-1 侵入ポリシー管理操作

目的
操作

2 つの侵入ポリシーまたは同じポリシーの 2 つのリビジョンの設定を比較する

[Compare Policies] をクリックします。必要に応じて、[Comparison Report] をクリックしてレポートの PDF バージョンのオープンや保存を行ったり、[New Comparison] をクリックして新しい比較を開始したりします。詳細については、「2 つの侵入ポリシーの比較」を参照してください。

新しい侵入ポリシーを作成する

[Create Policy] をクリックします。詳細については、「侵入ポリシーの作成」を参照してください。

侵入ポリシーを管理対象デバイスに再適用する

適用アイコン( )をクリックします。詳細については、「侵入ポリシーの再適用」を参照してください。

侵入ポリシー内の現在の構成設定がリストされた PDF レポートを表示する

レポート アイコン( )をクリックします。詳細については、「侵入ポリシー レポートの表示」を参照してください。

同じタイプの別のアプライアンス上で使用する侵入ポリシーをエクスポートする

エクスポート アイコン( )をクリックします。詳細については、「設定のエクスポート」を参照してください。

既存の侵入ポリシー内の設定を変更する

編集アイコン( )をクリックします。詳細については、「侵入ポリシーの編集」を参照してください。

侵入ポリシーを削除する

削除アイコン( )をクリックしてから、[OK] をクリックするか、ポリシーを削除しない場合は、[Cancel] をクリックします。続行するかどうかを尋ねるプロンプトで、ポリシー内に別のユーザの未保存の変更が存在するかどうかも通知されます。

アクセス コントロール ポリシーが参照している侵入ポリシーは削除できません。

詳細については、次の項を参照してください。

「侵入ポリシーの作成」

「侵入ポリシーの編集」

「ナビゲーション パネルの使用」

「侵入ポリシー変更のコミット」

「侵入ポリシーの再適用」

「侵入ポリシー レポートの表示」

「2 つの侵入ポリシーの比較」

侵入ポリシーを管理するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 「侵入ポリシー管理操作」 の表に記載された操作のいずれかを実行します。


 

侵入ポリシーの作成

ライセンス:Protection

1 つ以上の侵入ポリシーを作成できます。たとえば、ネットワーク上のトラフィックを監視するポリシーを作成できます。安全なネットワーク環境でテストしたり、FireSIGHT の推奨ルールやシスコから提供される別のデフォルト ポリシーなどの機能に精通したりするためのポリシーを作成することもできます。

ポリシーを作成すると、ポップアップ ウィンドウから、最も設定する可能性の高い機能にすばやくアクセスできます。ポップアップ ウィンドウ内のオプションのみを使用して侵入ポリシーを作成することも、変更を保存して、高度な侵入ポリシー エディタに切り替えることもできます。このエディターでは、任意の侵入ポリシー機能を設定できます。


ヒント 展開内の他の防御センターから侵入ポリシーをインポートできます。詳細については、「設定のインポートおよびエクスポート」を参照してください。

侵入ポリシーを作成するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 [Create Policy] をクリックします。

別のポリシー内に未保存の変更が存在する場合は、[Intrusion Policy] ページに戻るかどうか尋ねられたときに [Cancel] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Create Intrusion Policy] ポップアップ ウィンドウが表示されます。

ステップ 3 ポリシーを識別する 50 文字以下の一意の名前と、必要に応じて、他のポリシーと区別するための説明を入力します。

ステップ 4 インライン展開で [Drop and Generate Events] に設定されたルールをパケットがトリガーしたときに、システムがパケットをドロップしてイベントを生成するかどうかを指定します。

パケットをドロップしてイベントを生成する場合は、[Drop when Inline] チェック ボックスをオンにします。

イベントを生成するものの、パケットをドロップしない場合は、[Drop when Inline] チェック ボックスをオフにします。

ルール状態や侵入ポリシーのインライン ドロップ動作に関係なく、インライン インターフェイスがタップ モードの場合も含め、パッシブ展開ではパケットがドロップされないことに注意してください。詳細については、「ルール状態の設定」「インライン展開での破棄動作の設定」「パッシブ インターフェイスの設定」「タップ モード」を参照してください。

ステップ 5 必要に応じて、[Base Policy] ドロップダウン リストから、侵入ポリシーの基本ポリシーとして使用する別のシスコ デフォルト ポリシーまたはカスタム ポリシーを選択します。詳細については、「基本ポリシーについて」を参照してください。

ステップ 6 次の選択肢があります。

ポリシーを作成せずにポップアップ ウィンドウを終了するには、[Cancel] をクリックします。

[Intrusion Policy] ページが表示されます。

変更を保存するには、[Create Policy] をクリックします。

[Intrusion Policy] ページが表示されます。

変更を有効にするには、該当するアクセス コントロール ポリシーを適用する必要があります。詳細については、 アクセス コントロール ポリシーの適用を参照してください。

高度な侵入ポリシー エディタを開くには、[Create and Edit Policy] をクリックします。詳細については、「侵入ポリシーの編集」を参照してください。


 

侵入ポリシーの編集

ライセンス:Protection

高度な侵入ポリシー エディタを使用して、侵入ポリシー機能を設定できます。最も頻繁に使用される設定を [Policy Information] ページで行うか、そのページから直接移動して設定することができます。高度な侵入ポリシー機能の詳細については、「侵入ポリシーの詳細設定の使用」「侵入ポリシーでのレイヤの使用」を参照してください。

次の表では、侵入ポリシーの編集時に実行する最も一般的な操作について説明しています。

 

表 20-2 一般的な侵入ポリシー編集操作

目的
操作

インライン展開での別のドロップ動作を指定する

[Drop when Inline] チェック ボックスをオンまたはオフにします。詳細については、「インライン展開での破棄動作の設定」を参照してください。

別の基本ポリシーを選択する

[Select Base Policy] をクリックします。詳細については、「基本ポリシーについて」を参照してください。

基本ポリシーでデフォルトで有効になっている詳細設定を表示する

[Manage Base Policy] をクリックします。詳細については、「侵入ポリシーの詳細設定の使用」を参照してください。

特定のネットワーク環境に合わせて変数と変数セットを調整する

「変数セットの操作」を参照してください。

侵入ポリシー内のルールに設定されたルール属性を表示または変更する

[Manage Rules] をクリックします。詳細については、「侵入ポリシー内のルールの管理」を参照してください。

侵入ポリシー [Rules] ページのフィルタ処理されたビュー(ポリシー内で有効になっているルールを現在のルール状態ごとに表示し、必要に応じて、特定のルールにルール属性を設定する)を表示する

[Manage Rules] で、[Generate Events] または [Drop and Generate Events] に設定されたルールの番号の横にある [View] をクリックします。詳細については、「侵入ポリシー内のルールの管理」を参照してください。

[FireSIGHT Recommended Rules] 構成ページを表示する

ナビゲーション パネルで [FireSIGHT Recommendations] をクリックします。また、推奨を生成していない場合は [Policy Information] ページで [Click here to set up FireSIGHT recommendations] をクリックするか、推奨を生成した場合は [Click to change recommendations] をクリックします。詳細については、「FireSIGHT ルール状態推奨の管理」を参照してください。

推奨ルール状態のルールを示す [Rules] ページのフィルタ処理されたビューを表示し、必要に応じて、特定のルールにルール属性を設定する

イベントの生成、パケットのドロップおよびイベントの生成、またはルールの無効化を行う推奨の番号の横にある [View] をクリックするか、[View Recommended Changes] をクリックして、すべての推奨を表示します。これらのオプションは推奨を生成した場合にのみ表示されます。詳細については、「FireSIGHT ルール状態推奨の管理」を参照してください。

詳細設定を編集する

ナビゲーション パネルで [Advanced Settings] をクリックします。詳細については、「侵入ポリシーの詳細設定の使用」を参照してください。

基本ポリシー層で詳細設定構成をデフォルト構成設定に戻す

詳細設定構成ページで [Revert to Defaults] をクリックしてから、プロンプトで [OK] をクリックします。詳細については、「基本ポリシーについて」を参照してください。

ポリシー層を管理する

ナビゲーション パネルでポリシー層をクリックします。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ポリシーに対する変更を保存する

[Commit Changes] をクリックします。変更を有効にするには、該当するアクセス コントロール ポリシーを適用する必要があります。詳細については、「侵入ポリシーの編集」「侵入ポリシー変更のコミット」、および アクセス コントロール ポリシーの適用を参照してください。

すべての未保存の変更を破棄する

[Discard Changes] をクリックしてから、[OK] をクリックして変更を破棄し、[Intrusion Policy] ページに移動するか、[Cancel] をクリックして変更を維持し、[Policy Information] ページに戻ります。

ポリシーに対する変更をシステム キャッシュに残したまま、ポリシーを終了する

任意のメニューまたは別のページへの他のパスを選択します。終了時に、表示されたプロンプトで [Leave page] をクリックするか、[Stay on page] をクリックして高度なエディタに残ります。システムがユーザあたり 1 つずつのポリシーをキャッシュする方法については、「侵入ポリシー変更のコミット」を参照してください。

侵入ポリシーを編集するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )または侵入ポリシー名をクリックします。

[Policy Information] ページが表示されます。

ステップ 3 「侵入ポリシーの編集」に記載された任意の操作を実行できます。

ステップ 4 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残した状態での終了を行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

ナビゲーション パネルの使用

ライセンス:Protection

ナビゲーション パネルは、侵入ポリシーを編集しているときに、Web インターフェイスの左側に表示されます。境界線が、ポリシー層との直接対話を使用して構成可能なポリシー設定へのリンク(下側)とポリシー層との直接対話を使用せずに構成可能なポリシー設定へのリンク(上側)にナビゲーション パネルを分割します。

境界線の上側の 2 つの主なリンクで、侵入ポリシー設定が [Policy Information](最も頻繁に使用される設定)と [Advanced Settings](通常は変更がほとんどまたはまったく不要で、構成には特殊な専門知識を必要とする設定)に分けられています。

[Policy Information] をクリックすると、[Policy Information] ページが表示されます。このページには、頻繁に使用される設定用の構成オプションとその他の頻繁に使用される設定用の構成ページへのリンクが表示されます。[Policy Information] の下のサブリンクは同じ構成ページへ直接アクセスを提供します。

[Advanced Settings] をクリックすると、[Advanced Settings] ページが表示されます。このページでは、詳細設定を有効または無効にしたり、侵入ポリシー内の詳細設定用の構成ページにアクセスしたりできます。[Policy Information] ページからは、詳細侵入ポリシー設定にアクセスできないことに注意してください。

[Advanced Settings] リンクを展開すると、侵入ポリシー内で有効になっているすべての詳細設定用の個々の構成ページへのサブリンクが表示されます。これらのサブリンクをクリックすると、[Advanced Settings] ページからアクセス可能な同じ詳細設定構成ページが表示されます。詳細については、「侵入ポリシーの詳細設定の使用」を参照してください。

[Policy Layers] をクリックすれば、侵入ポリシーを構成する侵入ポリシー層の概要を表示できます。[Policy Layers] リンクを展開すると、侵入ポリシー内の階層に関する概要ページへのサブリンクが表示されます。各階層サブリンクを展開すると、その階層内で有効になっているすべての詳細設定用の構成ページへのサブリンクと、侵入ルール設定の階層のフィルタ処理されたビューへのサブリンクが表示されます。詳細については、「侵入ポリシーでのレイヤの使用」および「侵入ポリシー内のルールの管理」を参照してください。

ナビゲーション パネルで項目に付けられた影は、侵入ポリシー内の現在の位置を強調しています。たとえば、上の図では、[Policy Information] ページがナビゲーション パネルの右側に表示されます。

侵入ポリシーに未保存の変更が含まれている場合は、[Policy Information] の横にポリシー変更アイコン( )が表示されます。このアイコンは、[Policy Information] ページで変更を保存すると消えます。ポリシー変更アイコンまたは [Policy Information] をクリックすれば、[Policy Information] ページを表示できます。

侵入ポリシー変更のコミット

ライセンス:Protection

侵入ポリシーに対する変更を保存(つまり、コミット)してからでなければ、変更がシステムで認識されません。侵入ポリシーをアクセス コントロール ポリシーに関連付けると、システムは最近保存された構成を関連付けます。詳細については、「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。

変更を保存せずにポリシーを終了すると、システムはそのポリシーに対する変更をシステム ディスクにキャッシュします。システム キャッシュには、ユーザごとに 1 つのポリシーの未保存の変更しか保存されないため、同じユーザとしてログインしている間は他のポリシーを編集する前にその変更をコミットまたは破棄する必要があります。

変更は、システムからログアウトしたり、システム クラッシュが発生したりした場合でもキャッシュされます。同じユーザとして変更を保存せずに別のポリシーを編集した場合やルール更新をインポートした場合は、キャッシュされた変更が破棄されます。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

変更をコミットすると、次のような現象も発生します。

システム ポリシー内で [Intrusion Policy Preferences] オプション [Write changes in Intrusion Policy to audit log] が有効になっている場合は、変更の説明が監査ログに記録されます。詳細については、「システム ポリシーの編集」および「監査レコードの表示」を参照してください。

システム ポリシー内の [Intrusion Policy Preferences] オプションの [Comments on policy change] の構成によっては、変更を保存するときに [Description of Changes] ポップアップ ウィンドウが表示され、変更の説明を入力するように促される場合があります。任意で、または必要に応じて、変更の説明を入力してから、[OK] をクリックして変更を保存するか、[Cancel] をクリックして変更を保存せずに高度なエディタに戻ります。詳細については、「侵入ポリシー設定の構成」を参照してください。

プリプロセッサやその他の高度な機能を無効にする必要がある標準テキスト ルールまたは共有オブジェクト ルールが構成に含まれている場合は、ポリシー内の機能を自動的に有効にしてポリシーをコミットするためのプロンプトで [OK] をクリックします。[Cancel] をクリックすると、[Policy Information] ページに戻ります。詳細については、「詳細設定の自動有効化」を参照してください。

他のユーザと同じポリシーを編集中に、他のユーザがそのポリシーに対する変更を保存した後で、ポリシーをコミットすると、他のユーザの変更が上書きされることが警告されます。続行して変更を上書きする場合は [OK] をクリックし、変更を保存せずに [Policy Information] ページに戻るには [Cancel] をクリックします。

同じユーザとして複数の Web インターフェース経由で同じポリシーを編集中に、1 つのインスタンスの変更を保存する場合、変更を保存できないポリシーをコミットしようとすると他のインスタンスに関するプロンプトが表示されます。[OK] をクリックして、変更を破棄し、[Intrusion Policy] ページに移動します。

侵入ポリシーの再適用

ライセンス:Protection

アクセス コントロールを使用している管理対象デバイスに侵入ポリシーを適用(「アクセス コントロール ポリシーの適用」を参照)した場合は、その侵入ポリシーをいつでも再適用できます。これにより、アクセス コントロール ポリシーを再適用せずに、監視対象ネットワーク上で侵入ポリシーを変更できます。再適用中は、比較レポートを表示して、最後に侵入ポリシーが適用されてから加えられた変更を確認できます。

侵入ポリシーを再適用する際は次の点に注意してください。

侵入ポリシー再適用タスクは定期的に実行するようにスケジュールできます。詳細については、「侵入ポリシーの適用の自動化」を参照してください。

無効なターゲット デバイス上での侵入ポリシー再適用は失敗します。たとえば、既に適用されている侵入ポリシーをデバイスから削除するアクセス コントロール ポリシーを適用した場合、アクセス コントロール ポリシー適用タスクが解決される前に侵入ポリシーを再適用しようとすると、侵入ポリシー再適用が失敗します。

FireSIGHT システムの違うバージョンを実行しているスタックされたデバイス(1 つのデバイス上のアップグレードが失敗した場合など)に侵入ポリシーを適用することはできません。侵入ポリシーをデバイス スタックに再適用することは可能ですが、スタック内の個別のデバイスに再適用することはできません。詳細については、「スタックに含まれるデバイスの管理」を参照してください。

ルール更新をインポートするときに、インポートの完了後に自動的に侵入ポリシーを適用できます。このオプションを有効にしなかった場合は、ルール更新によって変更されたポリシーを手動で再適用する必要があります。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

防御センター上の Snort のバージョンが管理対象デバイスのものと異なる場合、アクセス コントロール ポリシーを適用せずに侵入ポリシーをデバイスに適用することはできません。侵入ポリシーの適用がこの理由で失敗した場合、代わりに、アクセス コントロール ポリシー全体を再適用します。

侵入ポリシーを再適用するには、以下を行います。

アクセス:Admin/Security Approver


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 再適用するポリシーの横にある適用アイコン( )をクリックします。

[Reapply Intrusion Policy] ウィンドウが開いて、ポリシーが現在適用されているデバイスがリストされます。

 

ステップ 3 ポリシーを再適用するデバイスを指定します。


ヒント デバイスが [Out-of-date] としてリストされている場合、必要に応じて、比較アイコン()をクリックし、現在適用されている侵入ポリシーと更新された侵入ポリシーを比較するレポートを表示することもできます。詳細については、「侵入ポリシー レポートのセクション」の表を参照してください。

ステップ 4 [Reapply] をクリックします。

ポリシーが再適用されます。タスク キューを使用して適用のステータスを監視できます([System] > [Monitoring] > [Task Status])。詳細については、「タスク キューの表示」を参照してください。


 

侵入ポリシー レポートの表示

ライセンス:Protection

侵入ポリシー レポートは、特定の時点で有効になっているすべての侵入ポリシー機能と設定を記録したものです。システムは、基本ポリシー内の設定とポリシー層の設定を統合して、基本ポリシーに起因する設定とポリシー層に起因する設定を区別しません。このレポートは、監査目的や侵入ポリシーの現在の構成を検査するために使用します。侵入ポリシー レポートを生成する前に未確定の変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。


ヒント また、2 つの侵入ポリシーまたは同じ侵入ポリシーの 2 つのリビジョンを比較する侵入ポリシー比較レポートを生成することもできます。詳細については、「2 つの侵入ポリシーの比較」を参照してください。

構成に応じて、次の表に示す 1 つ以上のセクションを侵入ポリシー レポートに含めることができます。

 

表 20-3 侵入ポリシー レポートのセクション

セクション
説明

Title Page

侵入ポリシー レポートの名前、侵入ポリシーが最後に変更された日時、その変更を実施したユーザの名前を識別します。

侵入ポリシー レポートでは最終変更時刻が UTC でリストされますが、[Intrusion Policy] ページでは変更時刻が現地時間でリストされることに注意してください。

Table of Contents

レポートの内容が記載されます。有効になっている侵入ポリシー機能だけがレポートに表示されます。たとえば、侵入ポリシー内で DNS 構成機能が有効になっていない場合は、目次またはレポートに表示されません。

Policy Information

侵入ポリシーの名前と説明、インライン展開でのパケットのドロップが有効になっているか無効になっているか、現在のルール更新のバージョン、基本ポリシーが現在のルール更新にロックされているかどうか、侵入ポリシーが最後に変更された日時、およびその変更を実施したユーザの名前を提供します。「侵入ポリシーの編集」を参照してください。

FireSIGHT Recommendations

ネットワーク上のホストとアプリケーションに基づく推奨ルール状態に関する情報を提供します。必要に応じて、侵入ポリシーを [Include all differences between recommendations and rule states in policy reports] に設定できます。「FireSIGHT ルール状態推奨の管理」を参照してください。

Advanced Settings

すべての高度な機能の設定(チェックサム検証や DCE/RPC 構成など)と構成(有効化、デフォルト、ステートフルなど)をリストします。「侵入ポリシーの詳細設定の使用」を参照してください。

Rules

有効になっているすべてのルール(
[Backdoor - Dagger] や [DDOS TFN Probe] など)とその動作([Generate events] や [Drop and generate events] など)をリストします。「侵入ポリシー内のルールの管理」を参照してください。

侵入ポリシー レポートを表示するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 レポートを生成する侵入ポリシーの横にあるレポート アイコン( )をクリックします。侵入ポリシー レポートを生成する前に未確定の変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。

システムが侵入ポリシー レポートを生成します。ブラウザの設定に応じて、レポートがポップアップ ウィンドウに表示される場合とレポートをコンピュータに保存するように促される場合があります。


 

2 つの侵入ポリシーの比較

ライセンス:Protection

ポリシー変更が組織の標準に準拠しているかどうかを確認するため、またはシステムのパフォーマンスを最適化するために、2 つの侵入ポリシーの違いを確認することができます。アクセス可能な侵入ポリシーの場合は、2 つの侵入ポリシーまたは同じ侵入ポリシーの 2 つのリビジョンを比較できます。比較した後に、必要に応じて、2 つのポリシーまたはポリシー リビジョン間の違いを記録した PDF レポートを生成できます。

侵入ポリシーまたは侵入ポリシー リビジョンを比較するための 2 つのツールが用意されています。

比較ビューには、2 つの侵入ポリシーまたは侵入ポリシー リビジョン間の違いだけが並べて表示されます。各ポリシーまたはポリシー リビジョンの名前が比較ビューの左右のタイトル バーに表示されます。

これを使用して、Web インターフェイスで相違点を強調表示したまま、両方のポリシーのリビジョンを表示し移動することができます。

比較レポートは、2 つの侵入ポリシーまたは侵入ポリシー リビジョン間の違いのみを記録したもので、PDF であるという以外は、侵入ポリシー レポートと類似した形式になっています。

これは、ポリシー比較を保存、コピー、出力、および共有して、詳しく調査するために使用できます。

侵入ポリシー比較ツールとその使い方の詳細については、以下を参照してください。

「侵入ポリシー比較ビューの使用」

「侵入ポリシー比較レポートの使用」

侵入ポリシー比較ビューの使用

ライセンス:Protection

比較ビューには、両方の侵入ポリシーまたはポリシー リビジョンが並べて表示されます。それぞれのポリシーまたはポリシー リビジョンは、比較ビューの左右のタイトル バーに表示された名前で識別されます。最終変更時刻と最終変更ユーザが、ポリシー名の右側に表示されます。[Intrusion Policy] ページにはポリシーが最後に変更された時刻が現地時間で表示されますが、侵入ポリシー レポートでは変更時刻が UTC でリストされることに注意してください。2 つの侵入ポリシーまたはポリシー リビジョン間の違いが強調表示されます。

青色は強調表示された設定が 2 つのポリシーまたはポリシー リビジョンで違うことを意味します。違いは赤色のテキストで表示されます。

緑色は強調表示された設定が 1 つのポリシーまたはポリシー リビジョンにだけ存在することを意味します。

次の表内の操作を実行できます。

 

表 20-4 侵入ポリシー比較ビューの操作

目的
操作

変更を 1 つずつ移動する

タイトル バーの上にある [Previous] または [Next] をクリックします。

左側と右側の間にある二重矢印アイコン( )が移動し、表示している違いを示す [Difference] 番号が変わります。

特定の詳細設定の構成を含む階層を特定する

表示する構成の横にある詳細構成アイコン( )の上にカーソルを移動します。

ウィンドウに、詳細構成を含む階層の名前が表示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

新しい侵入ポリシー比較ビューを生成する

[New Comparison] をクリックします。

[Select Comparison] ウィンドウが表示されます。詳細については、 侵入ポリシー比較レポートの使用を参照してください。

侵入ポリシー比較レポートを生成する

[Comparison Report] をクリックします。

侵入ポリシー比較レポートは、2 つの侵入ポリシーまたは侵入ポリシー バージョン間の違いのみをリストする PDF を作成します。

侵入ポリシー比較レポートの使用

ライセンス:Protection

侵入ポリシー比較レポートは、PDF で提供される、侵入ポリシー比較ビューで特定された 2 つの侵入ポリシー間または同じ侵入ポリシーの 2 つのリビジョン間のすべての違いを記録したものです。このレポートは、2 つの侵入ポリシー構成間の違いをさらに調査し、その結果を保存して共有するために使用できます。

侵入ポリシー比較レポートは、アクセス可能な任意の侵入ポリシーの比較ビューから生成できます。侵入ポリシー レポートを生成する前に未確定の変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。

侵入ポリシー比較レポートの形式は 1 つの例外(侵入ポリシー レポートには侵入ポリシー内のすべての設定が含まれる)を除いて侵入ポリシー レポートと同じであり、侵入ポリシー比較レポートにはポリシー間で異なる設定のみがリストされます。

構成に応じて、侵入ポリシー比較レポートに 「侵入ポリシー レポートのセクション」 の表に示す 1 つ以上のセクションを含めることができます。

次のサンプル グラフィックは、侵入ポリシー比較レポートの [Advanced Settings] セクションを示しており、両方の侵入ポリシー構成の詳細設定ごとの構成がリストされています。それぞれのセクションで、同じ形式が使用され、同じレベルの詳細が提供されます。[Value A] 列と [Value B] 列は、比較ビューで設定されたポリシーまたはポリシー リビジョンを表していることに注意してください。

FireSIGHT システム上で同様の手順を使用して他のポリシー タイプを比較します。詳細については、以下を参照してください。

「システム ポリシーの比較」

「正常性ポリシーの比較」

2 つの侵入ポリシーまたは同じポリシーの 2 つのリビジョンを比較するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 [Compare Policies] をクリックします。

[Select Comparison] ウィンドウが表示されます。

ステップ 3 [Compare Against] ドロップダウン リストから、比較するタイプを次のように選択します。

異なる 2 つのポリシーを比較するには、[Other Policy] を選択します。

同じポリシーの 2 つのリビジョンを比較するには、[Other Revision] を選択します。

侵入ポリシー レポートを生成する前に変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。

ステップ 4 選択した比較タイプに応じて、次のような選択肢があります。

2 つのポリシーを比較する場合は、[Policy A] ドロップダウン リストと [Policy B] ドロップダウン リストから比較するポリシーを選択します。

同じポリシーの 2 つのリビジョンを比較する場合は、[Policy] ドロップダウン リストからポリシーを選択してから、[Revision A] ドロップダウン リストと [Revision B] ドロップダウン リストから比較するリビジョンを選択します。

ステップ 5 侵入ポリシー比較ビューを表示するには、[OK] をクリックします。

比較ビューが表示されます。

ステップ 6 侵入ポリシー比較レポートを生成するには、[Comparison Report] をクリックします。

ステップ 7 侵入ポリシー レポートが表示されます。ブラウザの設定に応じて、レポートがポップアップ ウィンドウに表示される場合とレポートをコンピュータに保存するように促される場合があります。


 

インライン展開での破棄動作の設定

ライセンス:Protection

廃棄ルール は、ルール状態が [Drop and Generate Events] に設定された侵入ルールまたはプリプロセッサ ルールです。侵入ポリシー内で [Drop when Inline] オプションを使用して、インライン展開でシステムが廃棄ルールをどのように処理するかを指定できます。侵入ポリシー内でのルール状態の設定方法については、「ルール状態の設定」を参照してください。

インライン展開では、廃棄ルールをトリガーしたパケットをドロップするように侵入ポリシーを設定するのが一般的です。ただし、パケットをドロップしないようにポリシーを設定して、ネットワーク上で構成がどのように機能するかを評価することもできます。この場合、システムはイベントを生成しますが、廃棄ルールをトリガーしたパケットをドロップしません。結果に満足したら、パケットをドロップするようにポリシーを設定できます。その後で、そのポリシーを含むアクセス コントロール ポリシーを再適用できます。

インライン展開でパケットをドロップするように侵入ポリシーを設定すると、システムが有効な廃棄ルールをトリガーしたパケットをドロップし、トリガーされたルールに対するイベントを生成します。

FTP 用のブロック マルウェア ルールを含むファイル ポリシーを使用したアクセス コントロール ポリシーの場合は、[Drop when Inline] が無効になっている侵入ポリシーにデフォルト アクションを設定すると、システムがルールとの一致が検出されたファイルまたはマルウェアに対するイベントを生成しますが、ファイルはドロップしません。ファイル ポリシーを選択するアクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを使用しながら FTP ファイル転送をブロックするには、[Drop when Inline] が有効になっている侵入ポリシーを選択する必要があります。

パッシブ展開(インライン インターフェイスがタップ モードの場合を含む)では、システムが [Drop and Generate Events] に設定されたルールを [Generate Events] に設定されたルールと同じものとして扱います。つまり、システムは、イベントを生成しますが、ポリシーのドロップ動作に関係なく、ルールをトリガーしたパケットをドロップしません。詳細については、「タップ モード」を参照してください。

侵入イベントのテーブル ビューは、インライン展開で [Drop when Inline] が有効になっている場合にパケットがドロップされるタイミングと、[Drop when Inline] が無効になっている場合にパケットがドロップされるタイミングを示していることにも注意してください。パッシブ展開(インライン インターフェイスがタップ モードの場合を含む)では、侵入イベントのテーブル ビューで、[Drop when Inline] の設定に関係なく、常に、インライン展開で廃棄ルールがパケットをドロップすることが示されます。詳細については、「侵入イベントについて」を参照してください。


ヒント 展開に関係なく、システムがプルーニングしている間に検出されるパケットのイベント タイプは、常に、[Would have dropped] です。

次の表に、パッシブ展開とインライン展開における廃棄ルール動作の概要を示します。

 

表 20-5 廃棄ルールの動作

展開
インラインが以下の場合にドロップされる
違反パケット
イベント タイプ

インライン

有効

ドロップされる

Dropped

インライン

無効

ドロップされない

Would have dropped

インライン(タップ モード)

有効

ドロップされない

Would have dropped

インライン(タップ モード)

無効

ドロップされない

Would have dropped

パッシブ

有効

ドロップされない

Would have dropped

パッシブ

無効

ドロップされない

Would have dropped

パス ルール と呼ばれる [Generate Events] への設定は別の効果があることに注意してください。詳細については、「ルール アクションの指定」を参照してください。

インライン侵入ポリシーには replace キーワードを使用するルールを含めることができることにも注意してください。詳細については、「インライン展開でのコンテンツの置換」を参照してください。

侵入ポリシーのドロップ動作を設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 パケットがインライン展開で [Drop and Generate Events] に設定されたルールをトリガーしたときに、パケットをドロップしてイベントを生成するかどうかを指定します。

パケットをドロップしてイベントを生成する場合は、[Drop when Inline] チェック ボックスをオンにします。

イベントを生成するものの、パケットをドロップしない場合は、[Drop when Inline] チェック ボックスをオフにします。

ルール状態や侵入ポリシーのインライン ドロップ動作に関係なく、インライン インターフェイスがタップ モードの場合も含め、パッシブ展開ではパケットがドロップされないことに注意してください。詳細については、「ルール状態の設定」「インライン展開での破棄動作の設定」「パッシブ インターフェイスの設定」「タップ モード」を参照してください。


ヒント 3D9900 と シリーズ 3 デバイス上では、インライン セットでタップ モードを使用できます。これを使用すれば、トラフィックをパッシブに監視できます。

ステップ 4 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残した状態での終了を行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。

基本ポリシーについて

ライセンス:Protection

侵入ポリシー内の基本ポリシーは、そのポリシー内のすべてのルールと詳細設定のデフォルト設定を定義します。シスコ脆弱性調査チーム(VRT)から提供されるデフォルト ポリシーを基本ポリシーとして使用することも、作成したカスタム ポリシーを基本ポリシーとして使用することもできます。

基本ポリシーに関する以下の重要な情報に注意してください。

基本ポリシーにはルールと詳細設定の構成が含まれています。FireSIGHT 推奨ルールは含まれていません。

ポリシー内のルールまたは詳細設定を変更すると、基本ポリシー内の対応するデフォルト設定が上書きされます。

基本ポリシーは侵入ポリシー内の最下層です。複数の侵入ポリシーをより効率的に管理するポリシー層の使い方については、「侵入ポリシーでのレイヤの使用」を参照してください。

構成によっては、ルール更新をインポートすると、基本ポリシー内の設定が変更される場合があります。ただし、ルール更新によって基本ポリシーが変更されても、ポリシー内のルールまたは詳細設定に加えられた変更は上書きされません。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

詳細については、次の項を参照してください。

「デフォルト侵入ポリシーの使用」

「カスタム基本ポリシーの使用」

「ルール更新による基本ポリシーの変更の許可」

「基本ポリシーの選択」

「カスタム基本ポリシーからのルール設定変更の受け入れ」

デフォルト侵入ポリシーの使用

ライセンス:Protection

5 つのデフォルト侵入ポリシーが FireSIGHT システムに付属しています。これらのデフォルト ポリシーのうち 4 つを使用できます。5 つ目の Experimental Policy 1 は シスコがテスト目的で使用します。このポリシーはシスコの担当者の指示があるまで使用しないでください。

シスコの脆弱性調査チーム(VRT)が、各デフォルト ポリシー内のそれぞれの侵入ルールとプリプロセッサ ルールの状態を設定します。VRT は、各プリプロセッサおよびその他の高度な機能のデフォルト状態(有効または無効)とそれぞれのデフォルト オプション設定も指定します。たとえば、ルールを Security over Connectivity デフォルト ポリシーでは有効にして、Connectivity over Security デフォルト ポリシーでは無効にすることができます。作成した侵入ポリシー内の侵入防御機能は、ポリシーの作成で使用するデフォルト ポリシー内のデフォルト設定を継承します。シスコから提供されるポリシーを侵入ポリシーの基礎として使用することによって、VRT のエクスペリエンスを活用できます。

使用可能なデフォルト侵入ポリシーは次のとおりです。

Balanced Security and Connectivity

このポリシーは、速度と検出の両方用に作られています。ほとんどの組織にとって有効な出発点になります。また、どのタイプの展開にとっても有効な出発点になります。

Connectivity Over Security

このポリシーは、接続(すべてのリソースに到達可能な)の方がネットワーク インフラストラクチャのセキュリティより優先される組織向けに作られています。また、このポリシーは、Security over Connectivity ポリシー内で有効になっているルールよりはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールだけが有効にされます。

No Rules Active

このポリシー内のすべての侵入ルール、プリプロセッサ、およびその他の設定可能な侵入ポリシー機能はデフォルトで無効になっています。このポリシーは、シスコから提供される他のポリシーのいずれかで有効になっているルールと機能をベースにするのではなく、独自のポリシーを作成する場合の出発点を提供します。有効にしたルールに必要なプリプロセッサが、システムによって自動的に有効にされます。

このポリシー内では、すべてのルール、ほとんどのプリプロセッサ、およびその他の高度な機能が無効になっていることに注意してください。

Security Over Connectivity

このポリシーは、ネットワーク インフラストラクチャのセキュリティがユーザの利便性より優先される組織向けに作られています。また、このポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常ルールを有効にします。

シスコのデフォルト ポリシーのコピーを使用することも、ユーザにとって最も重要な方法でトラフィックを検査するようにルール セットと詳細設定構成が調整された独自のポリシーを作成することもできます。この方法では、管理対象デバイスのパフォーマンスと、生成されたイベントに効率的に応答できる能力の両方を向上させることができます。

システムに付属している以下の初期ポリシーは、デフォルト ポリシーではなく、シスコから提供されるカスタム ポリシーであることに注意してください。

Initial Inline Policy

Initial Passive Policy

これらのカスタム ポリシーのそれぞれで、デフォルト ポリシーが基本ポリシーとして使用されます。

カスタム基本ポリシーの使用

ライセンス:Protection

カスタム ポリシーには、作成したポリシーと、システムに付属している以下の 2 つの初期ポリシーが含まれます。

Initial Inline Policy

Initial Passive Policy

カスタム ポリシーを基本ポリシーとして使用することができます。カスタム ポリシー内のルールと詳細設定に加えた変更は、コミットした時点、つまり、変更をカスタム ポリシーに保存した時点で、自動的に基本ポリシーに追加されます。ただし、デフォルト設定は、カスタム ポリシーを基本ポリシーとして使用するポリシー内で変更することによって上書きできます。

最大 5 つのカスタム ポリシーをチェーンすることができます。5 つのうちの 4 つのポリシーで事前に作成されたポリシーが基本ポリシーとして使用され、5 つ目のポリシーでデフォルト侵入ポリシーが基本ポリシーとして使用されます。

カスタム基本ポリシーには、ルール更新で基本ポリシーを変更可能なオプションがありません。ただし、親ポリシー(つまりカスタム 基本ポリシーとして使用するオリジナルのポリシー)でルール更新による基本ポリシーの変更が許可されている場合は、ルール更新をインポートすると、カスタム基本ポリシーに影響を与える可能性があります。詳細については、「ルール更新による基本ポリシーの変更の許可」を参照してください。

ルール更新による基本ポリシーの変更の許可

ライセンス:Protection

ルール更新をインポートすると、侵入ルールとプリプロセッサ ルールの新規作成または更新、既存のルール状態の変更、およびデフォルト侵入ポリシー設定の変更が実施されます。ルール更新では、ルールを削除したり、新しいルール カテゴリとデフォルト変数を提供したりすることもできます。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

ルール更新では必ず、ルールと詳細設定に対する変更によって、シスコから提供されているデフォルト ポリシーが変更されます。デフォルト変数とルール カテゴリに対する変更はシステム レベルで処理されます。詳細については、「デフォルト侵入ポリシーの使用」「定義済みのデフォルトの変数の最適化」、および「ルール カテゴリについて」を参照してください。

シスコから提供されるデフォルト ポリシーを基本ポリシーとして使用する場合は、ルール更新で基本ポリシーの変更を許可するかどうかを選択できます。

ルール更新で基本ポリシーの更新を許可する場合は、新しいルール更新によって、基本ポリシーとして使用されるデフォルト ポリシー内のルールと詳細設定に対する変更と同じ変更が基本ポリシーにも加えられます。対応する設定を変更しなかった場合は、基本ポリシー内の設定によって、新しいポリシー内の設定が決定されます。ただし、新しいルール更新では、ポリシーに加えられた変更が上書きされません。

ルール更新で基本ポリシーの更新を許可しない場合は、1 つ以上のルール更新のインポート後に、基本ポリシーを手動で更新できます。

ルール更新では、ポリシー内のルール状態またはルール更新で基本ポリシーの更新が許可されているかどうかに関係なく、VRT が削除したルールが必ず削除されることに注意してください。ルール更新でルールが削除された後に新しいポリシーを含むアクセス コントロール ポリシーを再適用するまで、現在適用されている侵入ポリシー内のルールが次のように動作します。

無効になっているルールは無効のままになります。

[Generate Events] に設定されたルールでは、トリガーされたときのイベントの生成が継続されます。

[Drop and Generate Events] に設定されたルールでは、トリガーされたときのイベントの生成と違反パケットのドロップが継続されます。

この場合は、基本ポリシーがシスコから提供されたデフォルト ポリシーではないため、カスタム 基本ポリシーに、ルール更新による基本ポリシーの変更を許可するオプションがないことにも注意してください。ただし、次の両方の条件が満たされていれば、ルール更新でカスタム基本ポリシーを変更できます。

ルール更新で、親ポリシーの基本ポリシー(つまり、カスタム基本ポリシーを起源とするポリシー)を変更できる。

親の基本ポリシー内の対応する設定が上書きされる親ポリシー内の変更を実施していない。

両方の条件が満たされている場合は、親ポリシーを保存したときに、ルール更新内の変更が子ポリシー(つまり、カスタム基本ポリシーを使用したポリシー)に渡されます。

たとえば、ルール更新で無効になっていたルールを有効にして、親ポリシー内のルール状態を変更していない場合は、親ポリシーを保存したときに、変更されたルール状態がカスタム基本ポリシーに渡されます。詳細については、「カスタム基本ポリシーの使用」を参照してください。

基本ポリシーの選択

ライセンス:Protection

侵入ポリシーの基本ポリシーを選択し、その基本ポリシーがシスコから提供されるデフォルト ポリシーの場合は、[Base Policy] 概要ページでルール更新による基本ポリシーの更新を許可するかどうかを選択できます。また、プリプロセッサとその他の高度な機能のデフォルト状態(有効または無効)を表示できますが、変更することはできません。このページから、高度な機能の構成ページにアクセスできます。ここでは、デフォルトのオプション設定を表示できますが、変更することはできません。また、[Rules] ページの読み取り専用画面にアクセスすることもできます。ここでは、基本ポリシー内のすべてのルールのデフォルト状態を確認したり、ルールのサブセットを表示するように画面をフィルタ処理したり、個別のルールの詳細を表示したりできます。

侵入ポリシー内の基本ポリシーを選択するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 [Policy Information] ページで [Manage Base Policy] をクリックします。

[Base Policy] 概要ページが表示されます。

ステップ 4 [Base Policy] ドロップダウン リストから、侵入ポリシーの基本ポリシーとして使用するシスコのデフォルト ポリシーまたはカスタム ポリシーを選択します。詳細については、「基本ポリシーについて」を参照してください。

ステップ 5 必要に応じて、[Update when a new Rule Update is installed] チェック ボックスをオンまたはオフにして、新しいルール更新で基本ポリシーを更新するかどうかを指定します。

このチェック ボックスをオフにして変更を保存してから、ルール更新をインポートすると、[Base Policy] 概要ページに [Update Now] ボタンが表示され、そのページ上のステータス メッセージが更新されて、ポリシーが期限切れであることが示されます。必要に応じて、[Update Now] をクリックして、最近インポートしたルール更新内の変更で基本ポリシーを更新できます。

詳細については、「ルール更新による基本ポリシーの変更の許可」を参照してください。

ステップ 6 必要に応じて、ページで次の操作のいずれかを実行します。

読み取り専用モードの [Rules] ページで基本ポリシー内のすべてのルールを表示するには、[View Rule] をクリックします。

このページの読み取り専用画面では、基本ポリシー内のルールのサブセットを表示するようにビューをフィルタ処理することができます。個別のルールの詳細を表示することもできます。詳細については、「侵入ポリシー内のルールの管理」を参照してください。

基本ポリシー内で有効または無効になっているプリプロセッサとその他の高度な機能を表示するには、ページをスクロール ダウンします。詳細については、「侵入ポリシーの詳細設定の使用」を参照してください。

読み取り専用モードで高度な機能の構成ページとデフォルト設定を表示するには、デフォルト設定を表示する機能の横にある [View] をクリックします。有効または無効にできる高度な機能と、デフォルト設定を変更できる高度な機能の概要については、「侵入ポリシーの詳細設定の使用」を参照してください。

ステップ 7 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残した状態での終了を行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

カスタム基本ポリシーからのルール設定変更の受け入れ

ライセンス:Protection

基本ポリシーとして使用するカスタム ポリシー内で選択したルールのイベント フィルタ、動的状態、および警告を設定してから、基本ポリシーとしてカスタム ポリシーを使用するポリシー内でそれらの設定を削除した場合、基本ポリシーとして使用するカスタム ポリシー内の影響を受けるルールに対する以降の設定変更は侵入ポリシーで無視されます。

次の手順では、基本ポリシーとして使用されるカスタム ポリシーで実施されたルール設定に対する変更を受け入れるように、階層を追加しなかったポリシーを設定する方法について説明します。階層を追加したポリシーでこれらのルールの設定を受け入れるには、「マルチレイヤのルール設定の削除」を参照してください。

階層を追加しなかったポリシー内のルール設定変更を受け入れるには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 設定のブロックを解除する侵入ポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 ナビゲーション パネルで [Policy Layers] を展開します。

ステップ 4 名前を変更していない場合は、[Policy Layers] の下にある [My Changes] という名前のリンクを展開します。

ステップ 5 [My Changes] の下にある [Rules] をクリックします。

[My Changes] の [Rules] ページが表示されます。

ステップ 6 設定を受け入れるルールを探します。次の選択肢があります。

現在の画面をソートするには、列見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。

左側のフィルタ パネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、「侵入ポリシー内のルール フィルタ処理について」および「侵入ポリシー内のルール フィルタの設定」を参照してください。

ページが更新されて、一致するすべてのルールが表示されます。

ステップ 7 設定を受け入れるルールを選択します。次の選択肢があります。

特定のルールを選択するには、そのルールの横にあるチェック ボックスをオンにします。

現在のリスト内のすべてのルールを選択するには、列の一番上にあるチェック ボックスをオンにします。

ステップ 8 [Rule State] ドロップダウン リストから、[Inherit] を選択します。

ステップ 9 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残した状態での終了を行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。