Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
イベント アクション規則の設定
イベント アクション規則の設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

イベント アクション規則の設定

セキュリティ ポリシーについて

イベント アクション規則について

イベント アクション規則のコンポーネント

シグニチャ イベント アクション プロセッサ

イベント アクション

イベント アクション規則の設定手順

イベント アクション規則ポリシーの使用

イベント アクション変数の設定

イベント アクション変数について

イベント アクション変数の追加、編集、および削除

ターゲットの価値レーティングの設定

リスク レーティングの計算

脅威レーティングについて

ターゲットの価値レーティングの追加、編集、および削除

イベント アクション オーバーライドの設定

イベント アクション オーバーライドについて

イベント アクション オーバーライドの追加、編集、イネーブル化、およびディセーブル化

イベント アクション フィルタの設定

イベント アクション フィルタについて

イベント アクション フィルタの設定

OS ID の設定

パッシブ OS フィンガープリントについて

パッシブ OS フィンガープリントの設定に関する考慮事項

設定済みの OS マップの追加、編集、削除、および移動

OS ID の表示とクリア

一般設定

イベント アクションのサマライズについて

イベント アクションの集約について

一般設定

拒否された攻撃者リストの設定

拒否攻撃者エントリの拒否攻撃者リストへの追加

拒否された攻撃者リストのモニタリングとクリア

イベントのモニタリング

イベントの表示

イベント ストアのイベントのクリア

イベント アクション規則の設定

この章では、イベント アクション規則ポリシーの追加方法とイベント アクション規則の設定方法について説明します。次のような構成になっています。

「セキュリティ ポリシーについて」

「イベント アクション規則について」

「イベント アクション規則ポリシーの使用」

「イベント アクション変数の設定」

「ターゲットの価値レーティングの設定」

「イベント アクション オーバーライドの設定」

「イベント アクション フィルタの設定」

「OS ID の設定」

「一般設定」

「拒否された攻撃者リストの設定」

「イベントのモニタリング」

セキュリティ ポリシーについて


) AIM IPS および NME IPS は、複数のポリシーをサポートしません。


複数のセキュリティ ポリシーを作成して、それらを個々の仮想センサーに適用できます。セキュリティ ポリシーは、シグニチャ定義ポリシー、イベント アクション規則ポリシー、および異常検出ポリシーで構成されます。Cisco IPS には、sig0 と呼ばれるデフォルトのシグニチャ定義ポリシー、rules0 と呼ばれるデフォルトのイベント アクション規則ポリシー、および ad0 と呼ばれるデフォルトの異常検出ポリシーが含まれています。デフォルトのポリシーを仮想センサーに割り当てることも、新しいポリシーを作成することもできます。

複数のセキュリティ ポリシーを使用すると、異なる要件に基づいてセキュリティ ポリシーを作成し、これらのカスタマイズされたポリシーを VLAN または物理インターフェイスごとに適用できます。

イベント アクション規則について

ここでは、イベント アクション規則のコンポーネントについて説明します。内容は次のとおりです。

「イベント アクション規則のコンポーネント」

「シグニチャ イベント アクション プロセッサ」

「イベント アクション」

「イベント アクション規則の設定手順」

イベント アクション規則のコンポーネント


) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


イベント アクション規則は、センサーのイベント アクション処理コンポーネントの設定のグループです。これらの規則は、イベントの発生時にセンサーが実行するアクションを決定します。

イベント アクション処理コンポーネントで行われるタスクは次のとおりです。

リスク レーティングの計算

イベント アクション オーバーライドの追加

イベント アクションのフィルタリング

得られたイベント アクションの実行

イベントのサマライズと集約

拒否された攻撃者リストの維持

シグニチャ イベント アクション プロセッサ

シグニチャ イベント アクション プロセッサは、アラーム チャネル内のシグニチャ イベントからシグニチャ イベント アクション オーバーライド、シグニチャ イベント アクション フィルタ、およびシグニチャ イベント アクション ハンドラによる処理へのデータ フローを調整します。次のコンポーネントで構成されています。

アラーム チャネル

SensorApp インスペクション パスからシグニチャ イベントの処理へのシグニチャ イベントの通信を行う領域を表す単位です。

シグニチャ イベント アクション オーバーライド

リスク レーティング値に基づいてアクションを追加します。シグニチャ イベント アクション オーバーライドは、設定されたリスク レーティングのしきい値の範囲内のすべてのシグニチャに適用されます。各シグニチャ イベント アクション オーバーライドは独立しており、アクション タイプごとに独自の設定値があります。

シグニチャ イベント アクション フィルタ

シグニチャ イベントのシグニチャ ID、アドレス、およびリスク レーティングに基づいてアクションを取り除きます。シグニチャ イベント アクション フィルタへの入力は、シグニチャ イベント アクション オーバーライドによって追加される可能性があるアクションのあるシグニチャ イベントです。


) シグニチャ イベント アクション フィルタではアクションの除外のみを実行でき、新しいアクションを追加することはできません。


シグニチャ イベント アクション フィルタには次のパラメータが適用されます。

シグニチャ ID

サブシグニチャ ID

攻撃者のアドレス

攻撃者のポート

攻撃対象のアドレス

攻撃対象のポート

リスク レーティングのしきい値範囲

除外するアクション

シーケンス ID(任意)

停止または継続ビット

アクション フィルタ ライン ビットのイネーブル化

攻撃対象 OS との関連性または OS との関連性

シグニチャ イベント アクション ハンドラ

要求されたアクションを実行します。シグニチャ イベント アクション ハンドラからの出力は、実行中のアクションです。イベント ストアに書き込まれる evIdsAlert の可能性があります。

図 7-1 に、シグニチャ イベント アクション プロセッサからのシグニチャ イベントの論理フローと、このイベントのアクションで実行される動作を示します。この論理フローはアラーム チャネルで受信した設定済みのアクションがあるシグニチャ イベントで開始され、シグニチャ イベントがシグニチャ イベント アクション プロセッサの機能コンポーネントを通過しながら、上から下へと処理されます。

図 7-1 シグニチャ イベント アクション プロセッサでのシグニチャ イベント

 

詳細情報

リスク レーティングの詳細については、「リスク レーティングの計算」を参照してください。

イベント アクション

IPS イベント アクションは次のとおりです。

アラートおよびログ アクション:

produce-alert:イベントをアラートとしてイベント ストアに書き込みます。


) シグニチャに対してアラートをイネーブルにした場合、produce-alert アクションは自動的に実行されません。イベント ストアにアラートを作成するには、produce-alert を選択する必要があります。2 番目のアクションを追加し、イベント ストアにアラートを送信する場合は、produce-alert を含める必要があります。また、イベント アクションを設定するたびに、新しいリストが作成され、古いリストは置き換えられます。各シグニチャに対して必要なすべてのイベント アクションを含めます。



) produce-alert イベント アクションは、グローバル相関によってイベントのリスク レーティングが増加し、deny-packet-inline または deny-attacker-inline のいずれかのイベント アクションが追加されたときに、イベントに追加されます。


produce-verbose-alert:攻撃パケットの符号化されたダンプをアラートに含めます。このアクションを実行すると、produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。

log-attacker-packets:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションを実行すると、produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。

log-victim-packets:攻撃対象のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションを実行すると、produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。

log-pair-packets:攻撃者と攻撃対象のアドレスのペアが含まれているパケットに対する IP ロギングを開始します。このアクションを実行すると、produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。

request-snmp-trap:SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようにセンサーで設定されている必要があります。

拒否アクション:

deny-packet-inline:(インライン モードのみ)パケットを終了します。


) deny-packet-inline に対するイベント アクション オーバーライドは、保護されているため削除できません。オーバーライドを使用しない場合は、そのエントリに対して、override-item-status をディセーブルに設定します。


deny-connection-inline:(インライン モードのみ)TCP フローで、現在のパケットおよび将来のパケットを終了します。

deny-attacker-victim-pair-inline:(インライン モードのみ)指定された期間、この攻撃者と攻撃対象のアドレスのペアについては、現在のパケットおよび将来のパケットを送信しません。

deny-attacker-service-pair-inline:(インライン モードのみ)指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアについては、現在のパケットおよび将来のパケットを送信しません。

deny-attacker-inline:(インライン モードのみ)指定された期間、この攻撃者のアドレスからの、現在のパケットおよび将来のパケットを終了します。

センサーは、システムが拒否する攻撃者のリストを保持します。拒否攻撃者のリストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、タイマーの期限切れを待ちます。このタイマーとは、各エントリのスライディング タイマーです。したがって、攻撃者 A が拒否されているが、別の攻撃を実行しているという場合は、攻撃者 A のタイマーがリセットされ、攻撃者 A はタイマーが期限切れとなるまで拒否攻撃者リストに残ります。拒否攻撃者リストが容量に達し、新しいエントリを追加できない場合も、パケットが拒否されます。

modify-packet-inline:パケット データを変更して、エンドポイントによるパケットの処理に関して、あいまいな部分を取り除きます。


) modify-packet-inline オプションは Add Event Action Filter や Add Event Action Override で使用できません。


その他のアクション:


) IPv6 は、イベント アクション、request-block-host、request-block-connection、または request-rate-limit をサポートしていません


request-block-connection:この接続をブロックする要求を ARC に送信します ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。

request-block-host:この攻撃者のホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。

request-rate-limit:レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実行するように設定されている必要があります。


) request-rate-limit オプションは、シグニチャの選択セットに適用されます。


reset-tcp-connection:TCP リセットを送信し、TCP フローをハイジャックして終了します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープまたはフラッドに対しては機能しません。

パケットのインライン拒否について

deny-packet-inline をアクションとして設定されたシグニチャ、または deny-packet-inline をアクションとして追加するイベント アクション オーバーライドに対しては、次のアクションを実行できます。

droppedPacket

deniedFlow

tcpOneWayResetSent

Deny Packet Inline アクションは、アラート内で破棄されたパケット アクションとして表されます。TCP 接続に対して Deny Packet Inline を実行すると、自動的に Deny Connection Inline にアップグレードされ、アラート内で拒否されたフローとして見なされます。IPS がパケットを 1 つだけ拒否すると、TCP は同じパケットの送信を繰り返し試みます。そのため、IPS は接続全体を拒否して、パケットが再送信されないようにします。

Deny Connection Inline を実行すると、IPS は、TCP 一方向リセットも自動的に送信します。これは、アラート内で送信された TCP 一方向リセットとして表示されます。IPS が接続を拒否すると、クライアント(通常は攻撃者)とサーバ(通常は攻撃対象)の両方で接続が開いたままになります。開いた接続が多すぎると、攻撃対象でリソースの問題が発生する可能性があります。そのため、IPS は TCP リセットを攻撃対象に送信して攻撃対象側(通常はサーバ)の接続を閉じ、攻撃対象のリソースを保護します。また、フェールオーバーも防止することで、接続が別のネットワーク パスにフェールオーバーして攻撃対象に到達するのを防ぎます。IPS は、攻撃者側が開いたままとなり、攻撃者側からのすべてのトラフィックを拒否します。

詳細情報

拒否攻撃者を設定する手順については、「拒否された攻撃者リストのモニタリングとクリア」を参照してください。

一般設定を行う手順については、「一般設定」を参照してください。

ブロッキング デバイスを設定する手順については、「Attack Response Controller でのブロッキングとレート制限の設定」 を参照してください。

SNMP を設定する手順については、「SNMP の設定」を参照してください。

グローバル相関と produce-alert イベント アクションの詳細については、「グローバル相関と Produce Alert イベント アクション」を参照してください。

イベント アクション規則の設定手順

IPS のイベント アクション規則コンポーネントを設定するには、次の手順に従います。

1. イベント アクション フィルタで使用する変数を作成します。

2. ターゲットの価値レーティングを作成します。

ターゲットの価値レーティングをネットワーク資産に割り当て、リスク レーティングを計算できるようにします。

3. リスク レーティング値に基づいてアクションを追加するオーバーライドを作成します。

リスク レーティングを各イベント アクション タイプに割り当てます。

4. フィルタを作成します。

シグニチャの ID、IP アドレス、およびリスク レーティングに基づいて、アクションを取り除くフィルタを割り当てます。

5. OS マッピングを作成します。

OS マッピングは、アラートのリスク レーティングの計算で攻撃関連性レーティングに使用されます。

6. 一般設定を指定します。

Summarizer または Meta Event Generator を使用するように指定するか、拒否攻撃者パラメータを設定します。

イベント アクション規則ポリシーの使用

サービス イベント アクション規則サブモードで service event-action-rules name コマンドを使用して、イベント アクション規則ポリシーを作成します。このイベント アクション規則ポリシーの値は、編集するまでデフォルトのイベント アクション規則ポリシー rules0 と同じです。

また、特権 EXEC モードで copy event-action-rules source_destination コマンドを使用して、既存のポリシーのコピーを作成し、必要に応じて新しいポリシーの値を編集することができます。

特権 EXEC モードで list event-action-rules-configurations コマンドを使用すると、イベント アクション規則ポリシーの一覧が表示されます。

グローバル コンフィギュレーション モードで no service event-action-rules name コマンドを使用して、イベント アクション規則ポリシーを削除します。グローバル コンフィギュレーション モードで default service event-action-rules name コマンドを使用して、イベント アクション規則ポリシーを工場出荷時の設定にリセットします。

イベント アクション規則ポリシーを作成、コピー、表示、編集、および削除するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則ポリシーを作成します。

sensor# configure terminal
sensor(config)# service event-action-rules MyRules
sensor(config-eve)# exit
Apply Changes?[yes]: yes
sensor(config)# exit
sensor#
 

ステップ 3 既存のイベント アクション規則ポリシーを、新しいイベント アクション規則ポリシーにコピーします。

sensor# copy event-action-rules rules0 rules1
sensor#
 

) すでにポリシーが存在する場合、または新しいポリシーのための領域が不足している場合は、エラーが表示されます。


ステップ 4 デフォルトのイベント アクション規則ポリシー値のままにするか、次のパラメータを編集します。

a. イベント アクション規則の変数を追加します。

b. イベント アクション規則のオーバーライドを設定します。

c. イベント アクション規則のフィルタを設定します。

d. イベント アクション規則の一般設定を指定します。

e. イベント アクション規則のターゲット価値レーティングを設定します。

f. イベント アクション規則の OS ID を設定します。

ステップ 5 イベント アクション規則ポリシーをセンサーに表示するには、次のようにします。

sensor# list event-action-rules-configurations
Event Action Rules
Instance Size Virtual Sensor
rules0 255 vs0
temp 707 N/A
MyRules 255 N/A
rules1 141 vs1
sensor#
 

ステップ 6 イベント アクション規則ポリシーを削除するには、次のようにします。

sensor(config)# no service event-action-rules MyRules
sensor(config)#
 

) デフォルトのイベント アクション規則ポリシー rules0 は削除できません。


ステップ 7 イベント アクション規則インスタンスが削除されたことを確認します。

sensor# list event-action-rules-configurations
Event Action Rules
Instance Size Virtual Sensor
rules0 112 vs0
rules1 142 N/A
sensor#
 

ステップ 8 イベント アクション規則ポリシーを工場出荷時の設定にリセットするには、次のようにします。

sensor# configure terminal
sensor(config)# default service event-action-rules rules1
sensor(config)#
 


 

詳細情報

イベント アクション規則の変数を追加する手順については、「イベント アクション変数の設定」を参照してください。

イベント アクション規則のオーバーライドを設定する手順については、「イベント アクション オーバーライドの設定」を参照してください。

イベント アクション規則のフィルタを設定する手順については、「イベント アクション フィルタの設定」を参照してください。

一般設定を行う手順については、「一般設定」を参照してください。

イベント アクション規則のターゲット価値レーティングを設定する手順については、「ターゲットの価値レーティングの設定」を参照してください。

OS マップを設定する手順については、「OS ID の設定」を参照してください。

イベント アクション変数の設定

ここでは、イベント アクション変数について説明します。内容は次のとおりです。

「イベント アクション変数について」

「イベント アクション変数の追加、編集、および削除」

イベント アクション変数について


グローバル相関インスペクションおよびレピュテーション フィルタリング拒否機能では、IPv6 アドレスがサポートされていません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には、IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。



) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


イベント変数を作成して、イベント アクション フィルタでこれらの変数を使用できます。同じ値を複数のフィルタで使用する場合は、変数を使用します。変数の値を変更した場合は、その変数を使用するフィルタが新しい値で更新されます。


) 変数の前にドル記号($)を付けて、文字列ではなく変数を使用していることを示す必要があります。


シグニチャ システムに必要なため、削除できない変数もあります。変数が保護されている場合は、それを選択して編集することはできません。保護された変数を削除しようとすると、エラー メッセージが表示されます。一度に編集できる変数は 1 つだけです。

IPv4 アドレスを設定する場合は、完全な IP アドレスまたは範囲、あるいは範囲のセットを指定します。

10.89.10.10-10.89.10.23

10.90.1.1

192.56.10.1-192.56.10.255

10.1.1.1-10.2.255.255, 10.89.10.10-10.89.10.23

IPv6 アドレスを設定する場合は、次の形式を使用します。

<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>[,<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>]


) IPv6 アドレスは 128 ビットの 16 進数で表され、コロンで区切った 8 つの 16 ビットグループに分割されます。先行ゼロは省略でき、中間のゼロのグループは 2 つのコロン(::)で表すことができます。アドレスの先頭に 2001:db8 を付ける必要があります。



ワンポイント アドバイス たとえば、エンジニアリング グループに割り当てられる IP アドレス空間があり、そのグループに Windows システムが存在せず、Windows 関連の攻撃を心配する必要がない場合は、このエンジニアリング グループの IP アドレス空間として変数を設定できます。この変数を使用すると、このグループに対するすべての Windows 関連の攻撃を無視するフィルタを設定できます。


イベント アクション変数の追加、編集、および削除


グローバル相関インスペクションおよびレピュテーション フィルタリング拒否機能では、IPv6 アドレスがサポートされていません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には、IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。



) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


サービス イベント アクション規則サブモードで variables variable_name address ip_address コマンドを使用して、IPv4 イベント アクション変数を作成します。IPv4 アドレスは 1 つのアドレス、範囲、またはカンマで区切った複数の範囲のいずれかにすることができます。

サービス イベント アクション規則サブモードで variables variable_name ipv6-address ip_address コマンドを使用して、IPv6 イベント アクション変数を作成します。IPv6 アドレスは 128 ビットの 16 進数で表され、コロンで区切った 8 つの 16 ビットグループに分割されます。先行ゼロは省略でき、中間のゼロのグループは 2 つのコロン(::)で表すことができます。アドレスの先頭に 2001:db8 を付ける必要があります。

サービス イベント アクション規則サブモードで no variables variable_name コマンドを使用して、イベント アクション変数を削除します。

イベント アクション変数を追加、削除、および編集するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules0
 

ステップ 3 IPv4 イベント アクション規則変数を追加します。

sensor(config-eve)# variables variable-ipv4 address 10.89.130.108
 

address の有効な値は A.B.C.D-A.B.C.D [,A.B.C.D-A.B.C.D] です。

ステップ 4 IPv6 イベント アクション規則変数を追加します。

sensor(config-eve)# variables variable-ipv6 ipv6-address 2001:0db8:3c4d:0015:0000:0000:abcd:ef12
 

ipv6-address の有効な形式は次のとおりです。<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>[,<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>]

ステップ 5 追加したイベント アクション規則変数を確認します。

sensor(config-eve)# show settings
variables (min: 0, max: 256, current: 2)
-----------------------------------------------
variableName: variable-ipv6
-----------------------------------------------
ipv6-address: 2001:0db8:3c4d:0015:0000:0000:abcd:ef12 default: ::0-FFFF
:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
-----------------------------------------------
variableName: variable-ipv4
-----------------------------------------------
address: 10.89.130.108 default: 0.0.0.0-255.255.255.255
-----------------------------------------------
-----------------------------------------------
 

ステップ 6 イベント アクション規則変数を編集するには、IPv6 アドレスを範囲に変更します。

sensor(config-eve)# variables variable-ipv6 ipv6-address ::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
 

ステップ 7 編集したイベント アクション規則変数を確認します。

sensor(config-eve)# show settings
variables (min: 0, max: 256, current: 2)
-----------------------------------------------
variableName: variable-ipv6
-----------------------------------------------
ipv6-address: ::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF default: ::0
FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
-----------------------------------------------
 

ステップ 8 イベント アクション規則変数を削除するには、次のようにします。

sensor(config-eve)# no variables variable-ipv6
 

ステップ 9 削除したイベント アクション規則変数を確認します。

sensor(config-eve)# show settings
variables (min: 0, max: 256, current: 1)
-----------------------------------------------
variableName: variableipv4
-----------------------------------------------
address: 10.89.130.108 default: 0.0.0.0-255.255.255.255
-----------------------------------------------
-----------------------------------------------

ステップ 10 イベント アクション規則サブモードを終了します。

sensor(config-eve)# exit
Apply Changes:?[yes]:
 

ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

ターゲットの価値レーティングの設定

ここでは、リスク レーティングとは何か、およびこれを使用してターゲットの価値レーティングを設定する方法について説明します。次の項目について説明します。

「リスク レーティングの計算」

「脅威レーティングについて」

「ターゲットの価値レーティングの追加、編集、および削除」

リスク レーティングの計算

リスク レーティング(RR)は 0 ~ 100 の値で、ネットワーク上の特定のイベントに関連するリスクを数値的に定量化したものです。この計算では攻撃対象(たとえば、特定のサーバ)のネットワーク資産の価値が考慮されます。したがって、攻撃重大度レーティングおよびシグニチャの忠実度評価を使用してシグニチャごとに設定され、ターゲットの価値レーティングを使用してサーバごとに設定されます。リスク レーティングは、複数のコンポーネントから計算されます。そうしたコンポーネントとしては、設定済みのコンポーネントや、収集されたコンポーネントや、派生したコンポーネントもあります。


) リスク レーティングはシグニチャではなくアラートに関連付けられます。


リスク レーティングを使用すると、注意が必要なアラートに優先順位を付けることができます。これらのリスク レーティングの要素では、攻撃が成功した場合の重大度、シグニチャの忠実度、グローバル相関データからの攻撃者の評価スコア、ターゲット ホストの全体的な価値が考慮されます。リスク レーティングは evIdsAlert でレポートされます。

特定のイベントのリスク レーティングの計算には、次の値が使用されます。

シグニチャの忠実度評価(SFR):ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みです。シグニチャの忠実度評価はシグニチャごとに設定され、シグニチャがイベントやそれが示している状態を検出する精度を表します。

シグニチャの忠実度評価は、シグニチャごとに、シグニチャの作成者によって計算されます。シグニチャの作成者は、ターゲットの適格性情報がない場合のシグニチャ精度の基準信頼性ランキングを定義します。これは、分析中のパケットが配信を許可された場合は、検出された動作によってターゲット プラットフォームで意図された効果が得られる信頼性を表しています。たとえば、非常に特殊な規則(特定の正規表現)で作成されたシグニチャの忠実度評価は、一般規則で作成されたシグニチャよりも高くなります。


) シグニチャの忠実度評価は、検出されたイベントへの影響を示すわけではありません。


攻撃重大度レーティング(ASR):脆弱性の不正利用が成功した場合の重大度に関する重みです。

ASR はシグニチャのアラート重大度パラメータ(informational、low、medium、または high)から取得されます。ASR はシグニチャごとに設定され、検出されたイベントの危険度を示します。


) 攻撃重大度レーティングは、イベントが検出される精度を示すわけではありません。


ターゲットの価値レーティング(TVR):ターゲットの識別値に関する重みです。

ターゲットの価値レーティングはユーザが設定可能な値(0、低、中、高、重大)で、(IP アドレスを介して)ネットワーク資産の重要性を識別します。価値の高い企業リソースにはより厳しく、あまり重要でないリソースにはより緩やかなセキュリティ ポリシーを開発できます。たとえば、デスクトップ ノードに割り当てるターゲットの価値レーティングよりも高いターゲットの価値レーティングを会社の Web サーバに割り当てることができます。この場合、会社の Web サーバに対する攻撃には、デスクトップ ノードに対する攻撃よりも高いリスク レーティングが付与されます。ターゲットの価値レーティングはイベント アクション規則ポリシーで設定されます。

攻撃関連性レーティング(ARR):ターゲット オペレーティング システムの関連性に関する重みです。

ARR は派生値(relevant、unknown、または not relevant)であり、変更時に決定します。関連オペレーティング システムはシグニチャごとに設定されます。

Promiscuous Delta(PD):Promiscuous Delta に関する重みです。この重みは無差別モードでの全体的なリスク レーティングから除外できます。

Promiscuous Delta の範囲は 0 ~ 30 で、シグニチャごとに設定されます。


) トリガー パケットがインラインでない場合は、Promiscuous Delta がレーティングから除外されます。


ウォッチ リスト レーティング(WLR):0 ~ 100 の範囲内の CSA MC ウォッチ リストに関連付けられた重みです。CSA MC では 0 ~ 35 の範囲だけを使用します。

アラートの攻撃者がウォッチ リストで見つかった場合、その攻撃者のウォッチ リスト レーティングがレーティングに追加されます。

図 7-2 に、リスク レーティング式を示します。

図 7-2 リスク レーティング式

 

脅威レーティングについて

脅威レーティング、実行されたイベント アクションによって下げられたリスク レーティングです。ロギングされないイベント アクションでは、脅威レーティングが調整されています。実行されたすべてのイベント アクションからの最大の脅威レーティングがリスク レーティングから除外されます。

イベント アクアションには次の脅威レーティングがあります。

Deny attacker inline:45

Deny attacker victim pair inline:40

Deny attacker service pair inline:40

Deny connection inline:35

Deny packet inline:35

Modify packet inline:35

Request block host:20

Request block connection:20

Reset TCP connection:20

Request rate limit:20

ターゲットの価値レーティングの追加、編集、および削除


グローバル相関インスペクションおよびレピュテーション フィルタリング拒否機能では、IPv6 アドレスがサポートされていません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には、IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。



) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


ネットワーク資産にターゲットの価値レーティングを割り当てることができます。ターゲットの価値レーティングは、各アラートのリスク レーティング値の計算に使用される要素の 1 つです。複数のターゲットに複数のターゲットの価値レーティングを割り当てることができます。イベントのリスク レーティングが高いほど、より厳しいシグニチャ イベント アクションがトリガーされます。

IPv4 アドレスの場合は、サービス イベント アクション規則サブモードで target-value { zerovalue | low | medium | high | mission-critical } target-address ip_address コマンドを使用して、ネットワーク資産のターゲットの価値レーティングを追加します。デフォルトは medium です。サービス イベント アクション規則サブモードで no target-value { zerovalue | low | medium | high | mission-critical } コマンドを使用して、ターゲットの価値レーティングを削除します。

IPv6 アドレスの場合は、サービス イベント アクション規則サブモードで ipv6-target-value { zerovalue | low | medium | high | mission-critical } ipv6-target-address ip_address コマンドを使用して、ネットワーク資産のターゲットの価値レーティングを追加します。デフォルトは medium です。サービス イベント アクション規則サブモードで no ipv6-target-value { zerovalue | low | medium | high | mission-critical } コマンドを使用して、ターゲットの価値レーティングを削除します。

次のオプションが適用されます。

ターゲットの価値レーティング設定:ターゲットの価値レーティング設定を指定します。

zerovalue :このターゲットに値はありません。

low :このターゲットの値は小さい値です。

medium :このターゲットの値は中程度です。

high :このターゲットの値は大きい値です。

mission-critical :このターゲットの値は非常に大きい値です。

target-address ip_address :次の形式の IP アドレスの範囲セット。

<A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>]

ipv6-target-address ip_address :次の形式の IP アドレスの範囲セット。

<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>[,<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>]

ネットワーク資産のターゲットの価値レーティングを追加、編集、および削除するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules1
 

ステップ 3 IPv4 ターゲットの価値レーティングをネットワーク資産に割り当てます。

sensor(config-eve)# target-value mission-critical target-address 10.89.130.108
 

ステップ 4 IPv6 ターゲットの価値レーティングをネットワーク資産に割り当てます。

sensor(config-eve)# ipv6-target-value mission-critical ipv6-target-address 2001:0db8:3c4d:0015:0000:0000:abcd:ef12
 

ステップ 5 追加したターゲットの価値レーティングを確認します。

sensor(config-eve)# show settings
-----------------------------------------------
target-value (min: 0, max: 5, current: 1)
-----------------------------------------------
target-value-setting: mission-critical
target-address: 10.89.130.108 default: 0.0.0.0-255.255.255.255
-----------------------------------------------
ipv6-target-value (min: 0, max: 5, current: 2)
-----------------------------------------------
ipv6-target-value-setting: mission-critical
ipv6-target-address: 2001:0db8:3c4d:0015:0000:0000:abcd:ef12 default: ::0-
FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
-----------------------------------------------
sensor(config-eve)#
 

ステップ 6 ターゲットの価値レーティングを編集するには、資産のターゲットの価値レーティング設定を変更します。

sensor(config-eve)# target-value low target-address 10.89.130.108
 

ステップ 7 編集したターゲットの価値レーティングを確認します。

sensor(config-eve)# show settings
-----------------------------------------------
target-value (min: 0, max: 5, current: 1)
-----------------------------------------------
target-value-setting: low
target-address: 10.89.130.108 default: 0.0.0.0-255.255.255.255
-----------------------------------------------
 

ステップ 8 ターゲットの価値レーティングを削除するには、次のようにします。

sensor(config-eve)# no ipv6-target-value mission-critical
 

ステップ 9 削除したターゲットの価値レーティングを確認します。

sensor(config-eve)# show settings
-----------------------------------------------
ipv6-target-value (min: 0, max: 5, current: 0)
-----------------------------------------------
-----------------------------------------------
 

ステップ 10 イベント アクション規則サブモードを終了します。

sensor(config-rul)# exit
Apply Changes:?[yes]:
 

ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

イベント アクション オーバーライドの設定

ここでは、イベント アクション オーバーライドについて説明します。内容は次のとおりです。

「イベント アクション オーバーライドについて」

「イベント アクション オーバーライドの追加、編集、イネーブル化、およびディセーブル化」

イベント アクション オーバーライドについて


) deny-packet-inline に対するイベント アクション オーバーライドは、保護されているため削除できません。オーバーライドを使用しない場合は、そのエントリに対して、override-item-status オプションをディセーブルに設定します。


イベント アクション オーバーライドを追加すると、イベントのリスク レーティングに基づいて、そのイベントに関連付けられているアクションを変更できます。イベント アクション オーバーライドは、各シグニチャを個別に設定しないで、グローバルにイベント アクションを追加する方法です。各イベント アクションには、関連付けられたリスク レーティング範囲があります。シグニチャ イベントが発生し、そのイベントのリスク レーティングがイベント アクションの範囲内に入っていた場合、そのアクションがイベントに追加されます。たとえば、リスク レーティングが 85 以上のイベントで SNMP トラップを生成させる場合は、 request-snmp-trap のリスク レーティング範囲を 85-100 に設定できます。アクション オーバーライドを使用しない場合は、イベント アクション オーバーライド コンポーネント全体をディセーブルにします。

パケットのインライン拒否について

deny-packet-inline をアクションとして設定されたシグニチャ、または deny-packet-inline をアクションとして追加するイベント アクション オーバーライドに対しては、次のアクションを実行できます。

droppedPacket

deniedFlow

tcpOneWayResetSent

Deny Packet Inline アクションは、アラート内で破棄されたパケット アクションとして表されます。TCP 接続に対して Deny Packet Inline を実行すると、自動的に Deny Connection Inline にアップグレードされ、アラート内で拒否されたフローとして見なされます。IPS がパケットを 1 つだけ拒否すると、TCP は同じパケットの送信を繰り返し試みます。そのため、IPS は接続全体を拒否して、パケットが再送信されないようにします。

Deny Connection Inline を実行すると、IPS は、TCP 一方向リセットも自動的に送信します。これは、アラート内で送信された TCP 一方向リセットとして表示されます。IPS が接続を拒否すると、クライアント(通常は攻撃者)とサーバ(通常は攻撃対象)の両方で接続が開いたままになります。開いた接続が多すぎると、攻撃対象でリソースの問題が発生する可能性があります。そのため、IPS は TCP リセットを攻撃対象に送信して攻撃対象側(通常はサーバ)の接続を閉じ、攻撃対象のリソースを保護します。また、フェールオーバーも防止することで、接続が別のネットワーク パスにフェールオーバーして攻撃対象に到達するのを防ぎます。IPS は、攻撃者側が開いたままとなり、攻撃者側からのすべてのトラフィックを拒否します。

イベント アクション オーバーライドの追加、編集、イネーブル化、およびディセーブル化

サービス イベント アクション規則サブモードで overrides { request-block-connection | request-block-host | deny-attacker-inline | deny-packet-inline | deny-attacker-service-pair-inline | deny-attacker-victim-pair-inline | deny-connection-inline | log-attacker-packets | log-victim-packets | log-pair-packets | reset-tcp-connection | produce-alert | produce-verbose-alert | request-rate-limit | request-snmp-trap } コマンドを使用して、イベント アクション オーバーライドのパラメータを設定します。サービス イベント アクション規則サブモードで no overrides コマンドを使用して、イベント アクション オーバーライドのパラメータを削除します。


) deny-packet-inline に対するイベント アクション オーバーライドは、保護されているため削除できません。オーバーライドを使用しない場合は、そのエントリに対して、override-item-status オプションをディセーブルに設定します。


オーバーライド イベント アクション、リスク レーティング範囲を順に設定し、オーバーライドをイネーブルまたはディセーブルにします。

次のオプションが適用されます。

no :エントリまたは選択設定を削除します。

override-item-status { enabled | disabled }:このオーバーライド項目の使用をイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

risk-rating-range :このオーバーライド項目のリスク レーティング値の範囲。デフォルトは 0 ~ 100 です。

show :システム設定や履歴の情報を表示します。

イベント アクション オーバーライドを追加するには、次の手順に従ってください。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules0
sensor(config-eve)#
 

ステップ 3 オーバーライドのアクションを割り当てます。

攻撃者の送信元 IP アドレスからのパケットを拒否します。

sensor(config-eve)# overrides deny-attacker-inline
sensor(config-eve-ove)#
 

アラートを生成する単一パケットを送信しません。

sensor(config-eve)# overrides deny-packet-inline
sensor(config-eve-ove)#
 

指定された TCP 接続でパケットを送信しません。

sensor(config-eve)# overrides deny-connection-inline
sensor(config-eve-ove)#
 

接続を終了する TCP RST パケットを送信します。

sensor(config-eve)# overrides reset-tcp-connection
sensor(config-eve-ove)#
 

接続のブロックを要求します。

sensor(config-eve)# overrides request-block-connection
sensor(config-eve-ove)#
 

攻撃者のホストのブロックを要求します。

sensor(config-eve)# overrides request-block-host
sensor(config-eve-ove)#
 

攻撃者の IP アドレスからのパケットをログに記録します。

sensor(config-eve)# overrides log-attacker-packets
sensor(config-eve-ove)#
 

攻撃対象の IP アドレスからのパケットをログに記録します。

sensor(config-eve)# overrides log-victim-packets
sensor(config-eve-ove)#
 

攻撃者と攻撃対象の両方の IP アドレスからのパケットをログに記録します。

sensor(config-eve)# overrides log-pair-packets
sensor(config-eve-ove)#
 

アラートをイベント ストアに書き込みます。

sensor(config-eve)# overrides produce-alert
sensor(config-eve-ove)#
 

詳細なアラートをイベント ストアに書き込みます。

sensor(config-eve)# overrides produce-verbose-alert
sensor(config-eve-ove)#
 

SNMP トラップを要求するイベントをイベント ストアに書き込みます。

sensor(config-eve)# overrides request-snmp-trap
sensor(config-eve-ove)#
 

ステップ 4 このオーバーライド項目のリスク レーティングを設定します。

sensor(config-eve-ove)# risk-rating-range 85-100
 

) デフォルトのリスク レーティングの範囲は 0 ~ 100 です。85 ~ 100 など、別の値を設定します。


ステップ 5 このオーバーライド項目の使用をイネーブルまたはディセーブルにします。

sensor(config-eve-ove)# override-item-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

ステップ 6 設定を確認できます。

sensor(config-eve-ove)# exit
sensor(config-eve)# show settings
action-to-add: deny-attacker-inline
-----------------------------------------------
override-item-status: Enabled default: Enabled
risk-rating-range: 85-100 default: 0-100
-----------------------------------------------
 

ステップ 7 イベント アクション オーバーライドのリスク レーティングを編集します。

sensor(config-eve)# overrides deny-attacker-inline
sensor(config-eve-ove)# risk-rating 95-100
 

ステップ 8 編集したイベント アクション オーバーライドを確認します。

sensor(config-eve-ove)# exit
sensor(config-eve)# show settings
-----------------------------------------------
overrides (min: 0, max: 14, current: 1)
-----------------------------------------------
 
override-item-status: Enabled <defaulted>
risk-rating-range: 95-100 default: 0-100
-----------------------------------------------
 

ステップ 9 イベント アクション オーバーライドを削除するには、次のようにします。

sensor(config-eve)# no overrides deny-attacker-inline
sensor(config-eve-ove)#
 

) deny-packet-inline に対するイベント アクション オーバーライドは、保護されているため削除できません。オーバーライドを使用しない場合は、そのエントリに対して、override-item-status をディセーブルに設定します。


ステップ 10 削除したイベント アクション オーバーライドを確認します。

sensor(config-eve-ove)# exit
sensor(config-eve)# show settings
overrides (min: 0, max: 14, current: 1)
-----------------------------------------------
action-to-add: deny-attacker-inline
-----------------------------------------------
override-item-status: Enabled <defaulted>
risk-rating-range: 95 default: 0-100
-----------------------------------------------
override-item-status: Enabled <defaulted>
risk-rating-range: 90-100 <defaulted>
-----------------------------------------------
-----------------------------------------------
 

ステップ 11 イベント アクション規則サブモードを終了します。

sensor(config-eve)# exit
Apply Changes:?[yes]:
 

ステップ 12 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

詳細情報

すべてのイベント アクションの詳細については、「イベント アクション」を参照してください。

イベント アクション フィルタの設定

ここでは、イベント アクション フィルタについて説明します。内容は次のとおりです。

「イベント アクション フィルタについて」

「イベント アクション フィルタの設定」

イベント アクション フィルタについて


グローバル相関インスペクションおよびレピュテーション フィルタリング拒否機能では、IPv6 アドレスがサポートされていません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には、IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。



) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


イベント アクション フィルタは順序リストとして処理され、フィルタはリスト内で上下に移動できます。フィルタによって、センサーは、イベントに応答して特定のアクションを実行できます。すべてのアクションを実行したり、イベント全体を削除したりする必要はありません。フィルタは、イベントからアクションを削除することで機能します。1 つのイベントからすべてのアクションを削除するフィルタは、イベントを効率的に消費します。


) スイープ シグニチャをフィルタリングする場合は、宛先アドレスをフィルタリングしないことを推奨します。複数の宛先アドレスがある場合、最後のアドレスだけがフィルタとの照合に使用されます。



注意 送信元および宛先の IP アドレスに基づくイベント アクション フィルタは、通常のシグニチャとしてフィルタリングしないため、Sweep エンジンでは機能しません。スイープ アラートで送信元と宛先の IP アドレスにフィルタリングするには、Sweep エンジン シグニチャで送信元と宛先の IP アドレス フィルタ パラメータを使用します。

イベント アクション フィルタの設定


グローバル相関インスペクションおよびレピュテーション フィルタリング拒否機能では、IPv6 アドレスがサポートされていません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には、IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。



) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。


特定のアクションをイベントから削除するか、または、イベント全体を廃棄してセンサーによる今後の処理を回避するように、イベント アクション フィルタを設定できます。定義したイベント アクション変数を使用して、フィルタに合わせてアドレスをグループ化できます。


) 変数の前にドル記号($)を付けて、文字列ではなく変数を使用していることを示す必要があります。「$」を付けないと、Bad source and destination エラーが生じます。



注意 送信元および宛先の IP アドレスに基づくイベント アクション フィルタは、通常のシグニチャとしてフィルタリングしないため、Sweep エンジンでは機能しません。スイープ アラートで送信元と宛先の IP アドレスにフィルタリングするには、Sweep エンジン シグニチャで送信元と宛先の IP アドレス フィルタ パラメータを使用します。

サービス イベント アクション規則サブモードで filters { edit | insert | move] name1 {begin | end | inactive | before | after} コマンドを使用して、イベント アクション フィルタを設定します。

次のオプションが適用されます。

actions-to-remove :このフィルタ項目に対して削除するイベント アクション。

attacker-address-range :この項目の IPv4 攻撃者アドレスの範囲セット(たとえば、10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255)。


) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。攻撃者のアドレス範囲を指定しなかった場合は、すべての IPv4 の攻撃者アドレスが一致します。


attacker-port-range :この項目の攻撃者ポートの範囲セット(たとえば、147-147,8000-10000)。

default :値をシステム デフォルト設定に戻します。

deny-attacker-percentage :攻撃者拒否機能の拒否するパケットの割合。有効な範囲は 0 ~ 100 です。デフォルトは 100 です。

filter-item-status { enabled | disabled }:このフィルタ項目の使用をイネーブルまたはディセーブルにします。

ipv6-attacker-address-range :この項目の IPv6 の攻撃者アドレスの範囲セット(たとえば、<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>[,<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>]。


) 範囲内の 2 番目の IPv6 アドレスは、最初の IPv6 アドレス以上にする必要があります。攻撃者の IPv6 アドレス範囲を指定しなかった場合は、すべての IPv6 の攻撃者アドレスが一致します。


ipv6-victim-address-range :この項目の IPv6 の攻撃対象アドレスの範囲セット(たとえば、<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>[,<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>-<XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX>]。


) 範囲内の 2 番目の IPv6 アドレスは、最初の IPv6 アドレス以上にする必要があります。攻撃対象の IPv6 アドレス範囲を指定しなかった場合は、すべての IPv6 の攻撃対象アドレスが一致します。


no :エントリまたは選択設定を削除します。

os-relevance :このフィルタのイベント OS との関連性。

relevant :イベントがターゲット OS と関連しています。

not-relevant :イベントがターゲット OS と関連していません。

unknown :イベントが OS と関連しているかどうかが不明です。

risk-rating-range :このフィルタ項目のリスク レーティング値の範囲。

signature-id-range :この項目のシグニチャ ID の範囲セット(たとえば、1000-2000,3000-3000)。

stop-on-match {true | false} :このフィルタ項目と一致した場合は、フィルタの評価を続行するか、または停止します。

subsignature-id-range :この項目のサブシグニチャ ID の範囲セット(たとえば、0-2,5-5)。

user-comment :このフィルタ項目に関するコメントを追加できます。

victim-address-range :この項目の攻撃対象アドレスの範囲セット(たとえば、10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255)。


) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。攻撃対象のアドレス範囲を指定しなかった場合は、すべての IPv4 の攻撃者アドレスが一致します。


victim-port-range :この項目の攻撃対象ポートの範囲セット(たとえば、147-147,8000-10000)。

イベント アクション フィルタを設定するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules1
sensor(config-eve)#
 

ステップ 3 フィルタ名を作成します。

sensor(config-eve)# filters insert name1 begin
 

name1 name2 などを使用して、イベント アクション フィルタに名前を付けます。 begin | end | inactive | before | after キーワードを使用して、フィルタを挿入する場所を指定します。

ステップ 4 このフィルタの値を指定します。

a. シグニチャ ID の範囲を指定します。

sensor(config-eve-fil)# signature-id-range 1000-1005
 

デフォルトは 900 ~ 65535 です。

b. サブシグニチャ ID の範囲を指定します。

sensor(config-eve-fil)# subsignature-id-range 1-5
 

デフォルトは 0 ~ 255 です。

c. IPv4 または IPv6 の攻撃者のアドレス範囲を指定します。

sensor(config-eve-fil)# attacker-address-range 10.89.10.10-10.89.10.23
sensor(config-eve-fil)# ipv6-attacker-address-range 2001:0db8:3c4d:0015:0000:0000:abcd:ef12
 

d. IPv4 または IPv6 の攻撃対象のアドレス範囲を指定します。

sensor(config-eve-fil)# victim-address-range 192.56.10.1-192.56.10.255
sensor(config-eve-fil)# ipv6-victim-address-range ::0-FFFF:FFFF:FFFF:FFFF:FFFF:
FFFF:FFFF:FFFF
 

e. 攻撃対象のポート範囲を指定します。

sensor(config-eve-fil)# victim-port-range 0-434
 

デフォルトは 0 ~ 65535 です。

f. OS との関連性を指定します。

sensor(config-eve-fil)# os-relevance relevant
 

デフォルトは 0 ~ 100 です。

g. リスク レーティングの範囲を指定します。

sensor(config-eve-fil)# risk-rating-range 85-100
 

デフォルトは 0 ~ 100 です。

h. 削除するアクションを指定します。

sensor(config-eve-fil)# actions-to-remove reset-tcp-connection
 

i. 拒否アクションをフィルタリングしている場合は、目的の拒否アクションの割合を設定します。

sensor(config-eve-fil)# deny-attacker-percentage 90
 

デフォルトは 100 です。

j. フィルタのステータスがディセーブルかイネーブルかを指定します。

sensor(config-eve-fil)# filter-item-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

k. Stop on Match パラメータを指定します。

sensor(config-eve-fil)# stop-on-match {true | false}
 

true :この項目が一致した場合は、フィルタ処理を停止するようにセンサーに指示します。 false :この項目が一致した場合でも、フィルタ処理を継続するようにセンサーに指示します。

l. このフィルタの説明に使用するコメントを追加します。

sensor(config-eve-fil)# user-comment NEW FILTER
 

ステップ 5 フィルタのオプション設定を確認します。

sensor(config-eve-fil)# show settings
NAME: name1
-----------------------------------------------
signature-id-range: 1000-10005 default: 900-65535
subsignature-id-range: 1-5 default: 0-255
attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255
victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255
ipv6-attacker-address-range: 2001:0db8:3c4d:0015:0000:0000:abcd:ef12 default: ::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
ipv6-victim-address-range: ::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF default: ::0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 1-343 default: 0-65535
risk-rating-range: 85-100 default: 0-100
actions-to-remove: reset-tcp-connection default:
deny-attacker-percentage: 90 default: 100
filter-item-status: Enabled default: Enabled
stop-on-match: True default: False
user-comment: NEW FILTER default:
os-relevance: relevant default: relevant|not-relevant|unknown
------------------------------------------------
senor(config-eve-fil)#
 

ステップ 6 既存のフィルタを編集するには、次のようにします。

sensor(config-eve)# filters edit name1
 

ステップ 7 パラメータを編集します(ステップ 4a ~ 4l を参照)。

ステップ 8 フィルタ リストでフィルタを上または下に移動するには、次のようにします。

sensor(config-eve-fil)# exit
sensor(config-eve)# filters move name5 before name1
 

ステップ 9 フィルタが移動されたことを確認します。

sensor(config-eve-fil)# exit
sensor(config-eve)# show settings
-----------------------------------------------
filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive)
-----------------------------------------------
ACTIVE list-contents
-----------------------------------------------
NAME: name5
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
NAME: name1
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
NAME: name2
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
INACTIVE list-contents
-----------------------------------------------
-----------------------------------------------
sensor(config-eve)#
 

ステップ 10 フィルタを非アクティブ リストに移動するには、次のようにします。

sensor(config-eve)# filters move name1 inactive
 

ステップ 11 フィルタが非アクティブ リストに移動されたことを確認します。

sensor(config-eve-fil)# exit
sensor(config-eve)# show settings
-----------------------------------------------
INACTIVE list-contents
-----------------------------------------------
-----------------------------------------------
NAME: name1
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
sensor(config-eve)#
 

ステップ 12 イベント アクション規則サブモードを終了します。

sensor(config-eve)# exit
Apply Changes:?[yes]:
 

ステップ 13 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

詳細情報

イベント アクション変数を設定する手順については、「イベント アクション変数の追加、編集、および削除」を参照してください。

OS ID の設定

ここでは、OS ID および OS マップの設定方法について説明します。内容は次のとおりです。

「パッシブ OS フィンガープリントについて」

「パッシブ OS フィンガープリントの設定に関する考慮事項」

「設定済みの OS マップの追加、編集、削除、および移動」

「OS ID の表示とクリア」

パッシブ OS フィンガープリントについて

パッシブ OS フィンガープリントにより、センサーはホストが稼動している OS を特定できます。センサーはホスト間のネットワーク トラフィックを分析して、これらのホストの OS をその IP アドレスとともに格納します。センサーはネットワーク上で交換される TCP SYN および SYNACK パケットを検査して、OS タイプを特定します。

次に、センサーはターゲット ホスト OS の OS を使用し、リスク レーティングの攻撃関連性レーティング コンポーネントを計算することによって、攻撃対象への攻撃の関連性を決定します。センサーは、攻撃の関連性に基づいて、攻撃に対するアラートのリスク レーティングを変更したり、攻撃のアラートをフィルタリングしたりする場合があります。ここで、リスク レーティングを使用すると、false positive アラートの数を減らしたり(IDS モードの利点)、疑わしいパケットを明確にドロップしたり(IPS モードの利点)できます。また、パッシブ OS フィンガープリントでは、攻撃対象 OS、OS ID のソース、および攻撃対象 OS との関連性をアラート内にレポートすることによって、アラート出力が拡張されます。

パッシブ OS フィンガープリントは、次の 3 つのコンポーネントで構成されます。

パッシブ OS ラーニング

パッシブ OS ラーニングは、センサーがネットワーク上のトラフィックを監視しているときに行われます。TCP SYN および SYNACK パケットの特性に基づいて、センサーは送信元 IP アドレスのホスト上で稼動している OS を特定します。

ユーザ設定可能な OS ID

OS ホスト マッピングを設定できます。これは学習した OS マッピングに優先します。

攻撃関連性レーティングおよびリスク レーティングの計算

センサーは OS 情報を使用して、ターゲット ホストに対する攻撃シグニチャの関連性を決定します。攻撃の関連性は、攻撃アラートのリスク レーティング値を構成する攻撃関連性レーティング コンポーネントです。センサーは CSA MC からインポートしたホストのポスチャ情報でレポートされている OS タイプを使用して、攻撃関連性レーティングを計算します。

OS 情報には 3 つのソースがあります。センサーは OS 情報のソースを次の順序でランク付けします。

1. 設定した OS マッピング:入力する OS マッピング。

設定した OS マッピングはイベント アクション規則ポリシー内にあり、1 つまたは多数の仮想センサーに適用できます。


) 同じ IP アドレスの複数のオペレーティング システムを指定できます。リスト内の最後のオペレーティング システムは、一致したオペレーティング システムです。


2. インポートした OS マッピング:外部データ ソースからインポートした OS マッピング。

インポートした OS マッピングはグローバルであり、すべての仮想センサーに適用されます。


) 現在、CSA MC は唯一の外部データ ソースです。


3. 学習した OS マッピング:SYN 制御ビットが設定されている TCP パケットのフィンガープリントを介して、センサーが検知した OS マッピング。

学習した OS マッピングは、トラフィックを監視する仮想センサーに対してローカルです。

センサーは、ターゲット IP アドレスの OS を特定する必要がある場合に、設定した OS マッピングを調べます。ターゲット IP アドレスが設定した OS マッピングにない場合、センサーはインポートした OS マッピングを調べます。ターゲット IP アドレスがインポートした OS マッピングにない場合、センサーは学習した OS マッピングを調べます。そこでも見つからなかった場合、センサーはターゲット IP の OS を不明として処理します。


) パッシブ OS フィンガープリントはデフォルトでイネーブルになっており、IPS にはシグニチャごとにデフォルトの脆弱な OS リストが含まれています。


パッシブ OS フィンガープリントの設定に関する考慮事項

パッシブ OS フィンガープリントが機能するように設定する必要はありません。IPS は各シグニチャに対してデフォルトの脆弱な OS リストを提供し、デフォルトではパッシブな分析がイネーブルになっています。

パッシブ OS フィンガープリントについて次の点を設定できます。

OS マッピングを定義する

OS マッピングを設定して、重要なシステムで稼動している OS の ID を定義することを推奨します。重要なシステムの OS および IP アドレスが変更される可能性が少ない場合は、OS マッピングを設定するのが適切です。

攻撃関連性レーティングの計算を特定の IP アドレスの範囲に制限する

これによって、攻撃関連性レーティングの計算が、保護されているネットワーク上の IP アドレスに制限されます。

OS マッピングをインポートする

OS マッピングのインポートによって、パッシブな分析による OS ID の学習速度や忠実度の向上のためのメカニズムが実現します。CSA MC などの外部製品のインターフェイスがある場合は、OS ID をインポートできます。

ターゲットの OS 関連性の値を使用して、イベント アクション規則フィルタを定義します。

これによって、OS 関連性のみに基づいてアラートをフィルタリングする方法が提供されます。

パッシブな分析をディセーブルにする

センサーでの新しい OS マッピングの学習を停止します。

シグニチャの脆弱な OS リストを編集する

脆弱な OS リストでは、各シグニチャに対して脆弱な OS タイプが指定されます。デフォルトの General OS が脆弱な OS リストを指定しないすべてのシグニチャに適用されます。

設定済みの OS マップの追加、編集、削除、および移動

サービス イベント アクション規則サブモードで os-identifications コマンドを使用して、OS ホスト マッピングを設定できます。これは学習した OS マッピングよりも優先されます。設定済みの OS マップは追加、編集、削除できます。リスト内で OS マップを上下に移動すると、特定の IP アドレスと OS タイプの組み合わせに対する攻撃関連性レーティングおよびリスク レーティングの計算をセンサーが行う順序を変更できます。

また、リスト内で OS マップを上下に移動すると、特定の IP アドレスに関連付けられている OS をセンサーが解決する順序を変更できます。設定した OS マッピングでは、範囲を設定できます。そのため、ネットワーク 192.168.1.0/24 の場合、管理者は次のように定義できます( 表 7-1 )。

 

表 7-1 設定した OS マッピングの例

IP アドレス範囲の設定
OS

192.168.1.1

IOS

192.168.1.2-192.168.1.10,192.168.1.25

UNIX

192.168.1.1-192.168.1.255

Windows

より特定的なマッピングをリストの先頭に配置する必要があります。IP アドレス範囲設定では重複は許可されませんが、最もリストの先頭に近いエントリが優先されます。

次のオプションが適用されます。

calc-arr-for-ip-range :攻撃対象の攻撃関連性レーティングをこの範囲内で計算します。値は <A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>] で、たとえば 10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255 となります。


) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。


configured-os-map {edit | insert | move] name1{begin | end | inactive | before | after} :管理者が定義した OS ID への IP アドレスのマッピングの集合(設定した OS マッピングは、インポートされた OS マッピングや学習した OS マッピングよりも優先されます)。

ip :指定された OS を実行しているホスト IP アドレス。値は <A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>] で、たとえば 10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255 となります。


) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。


os :ホストが実行している OS タイプ。

general-os :すべての OS タイプ

ios :Cisco IOS のバリアント

mac-os :OS X よりも前の Apple System OS のバリアント

netware :Netware

other :その他のすべての OS

unix :UNIX のバリアント

aix :AIX のバリアント

bsd :BSD のバリアント

hp-ux :HP-UX のバリアント

irix :IRIX のバリアント

linux :Linux のバリアント

solaris :Solaris のバリアント

windows :Microsoft Windows のバリアント

windows-nt-2k-xp :NT、2000、および XP のバリアント

win-nt :Windows NT の特定のバリアント

unknown :不明な OS

default :値をシステム デフォルト設定に戻します。

no :エントリまたは選択設定を削除します。

passive-traffic-analysis {enabled | disabled} :OS パッシブ OS フィンガープリント分析をイネーブルまたはディセーブルにします。

OS マッピングを設定するには、次の手順に従ってください。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules1
sensor(config-eve)#
 

ステップ 3 OS マップを作成します。

sensor(config-eve)# os-identification
sensor(config-eve-os)# configured-os-map insert name1 begin
sensor(config-eve-os-con)#
 

name1 name2 などを使用して、OS マップに名前を付けます。 begin | end | inactive | before | after キーワードを使用して、フィルタを挿入する場所を指定します。

ステップ 4 この OS マップの値を指定します。

a. ホスト IP アドレスを指定します。

sensor(config-eve-os-con)# ip 10.20.1.0-10.20.1.255
 

b. ホスト OS タイプを指定します。

sensor(config-eve-os-con)# os unix
 

注意 同じ IP アドレスの複数のオペレーティング システムを指定できます。リスト内の最後のオペレーティング システムは、一致したオペレーティング システムです。

ステップ 5 OS マップの設定を確認します。

sensor(config-eve-os-con)# show settings
NAME: name1
-----------------------------------------------
ip: 10.20.1.0-10.20.1.255 default:
os: unix
-----------------------------------------------
sensor(config-eve-os-con)#
 

ステップ 6 IP アドレスの攻撃関連性レーティング範囲を指定します。

sensor(config-eve-os-con)# exit
sensor(config-eve-os)# calc-arr-for-ip-range 10.89.30.108-10.89.30.191
 

ステップ 7 パッシブ OS フィンガープリントをイネーブルにします。

sensor(config-eve-os)# passive-traffic-analysis enabled
 

ステップ 8 既存の OS マップを編集するには、次のようにします。

sensor(config-eve-os)# configured-os-map edit name1
sensor(config-eve-os-con)#
 

ステップ 9 パラメータを編集します(ステップ 4 ~ 7 を参照)。

ステップ 10 OS マップ リストで OS マップを上または下に移動するには、次のようにします。

sensor(config-eve-os-con)# exit
sensor(config-eve-os)# configured-os-map move name5 before name1
 

ステップ 11 OS マップが移動されたことを確認します。

sensor(config-eve-os)# show settings
os-identification
-----------------------------------------------
calc-arr-for-ip-range: 10.89.30.79 default: 0.0.0.0-255.255.255.255
configured-os-map (ordered min: 0, max: 50, current: 2 - 2 active, 0 inactive)
-----------------------------------------------
ACTIVE list-contents
-----------------------------------------------
NAME: name2
-----------------------------------------------
ip: 10.89.30.79 default:
os: aix
-----------------------------------------------
-----------------------------------------------
NAME: name1
-----------------------------------------------
ip: 10.20.1.0-10.20.1.255 default:
os: unix
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
passive-traffic-analysis: Enabled default: Enabled
-----------------------------------------------
sensor(config-eve-os)#
 

ステップ 12 OS マップを非アクティブ リストに移動するには、次のようにします。

sensor(config-eve-os)# configured-os-map move name1 inactive
 

ステップ 13 フィルタが非アクティブ リストに移動されたことを確認します。

sensor(config-eve-os)# show settings
os-identification
-----------------------------------------------
calc-arr-for-ip-range: 10.89.30.79 default: 0.0.0.0-255.255.255.255
configured-os-map (ordered min: 0, max: 50, current: 2 - 1 active, 1 inactive)
-----------------------------------------------
ACTIVE list-contents
-----------------------------------------------
NAME: name2
-----------------------------------------------
ip: 10.89.30.79 default:
os: aix
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
INACTIVE list-contents
-----------------------------------------------
NAME: name1
-----------------------------------------------
ip: 10.20.1.0-10.20.1.255 default:
os: unix
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
passive-traffic-analysis: Enabled default: Enabled
--MORE--#
 

ステップ 14 OS マップを削除するには、次のようにします。

sensor(config-eve-os)# no configured-os-map name2
 

ステップ 15 OS マップが削除されたことを確認します。

sensor(config-eve-os)# show settings
os-identification
-----------------------------------------------
calc-arr-for-ip-range: 10.89.30.79 default: 0.0.0.0-255.255.255.255
configured-os-map (ordered min: 0, max: 50, current: 1 - 0 active, 1 inactive)
-----------------------------------------------
INACTIVE list-contents
-----------------------------------------------
NAME: name1
-----------------------------------------------
ip: 10.20.1.0-10.20.1.255 default:
os: unix
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
passive-traffic-analysis: Enabled default: Enabled
-----------------------------------------------
sensor(config-eve-os)#
 

ステップ 16 イベント アクション規則サブモードを終了します。

sensor(config-eve-os)# exit
sensor(config-eve)# exit
Apply Changes:?[yes]:
 

ステップ 17 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

OS ID の表示とクリア

EXEC モードで show os-identification [ virtual-sensor ] learned [ ip-address ] コマンドを使用して、パッシブな分析によってセンサーが学習した IP アドレスに関連付けられた OS ID を表示します。

EXEC モードで clear os-identification [ virtual-sensor ] learned [ ip-address ] コマンドを使用して、パッシブな分析によってセンサーが学習した IP アドレスに関連付けられた OS ID を削除します。

IP アドレスを指定した場合は、指定された IP アドレスの OS ID だけが表示またはクリアされます。仮想センサーを指定した場合は、指定されたセンサーの OS ID だけが表示またはクリアされます。仮想センサーなしで IP アドレスを指定した場合は、すべての仮想センサーで IP アドレスが表示またはクリアされます。

次のオプションが適用されます。

virtual-sensor :(任意)表示またはクリアする必要のある仮想センサーの学習したアドレス。

ip-address :(任意)照会またはクリアする IP アドレス。センサーは、指定された IP アドレスにマッピングされた OS ID を表示またはクリアします。

OS ID を表示またはクリアするには、次の手順に従います。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。


) OS ID はビューア権限を持つアカウントで表示できます。


ステップ 2 特定の IP アドレスに関連付けられた学習した OS ID を表示します。

sensor# show os-identification learned 10.1.1.12
Virtual Sensor vs0:
10.1.1.12 windows
sensor# show os-identification learned
Virtual Sensor vs0:
10.1.1.12 windows
Virtual Sensor vs1:
10.1.0.1 unix
10.1.0.2 windows
10.1.0.3 windows
sensor#
 

ステップ 3 すべての仮想センサーで特定の IP アドレスの学習した OS ID をクリアするには、次のようにします。

sensor# clear os-identification learned 10.1.1.12
 

ステップ 4 OS ID がクリアされたことを確認します。

sensor# show statistics os-identification
Statistics for Virtual Sensor vs0
OS Identification
Configured
Imported
Learned
Statistics for Virtual Sensor vs1
OS Identification
Configured
Imported
Learned
sensor#
 


 

一般設定

ここでは、一般設定について説明します。内容は次のとおりです。

「イベント アクションのサマライズについて」

「イベント アクションの集約について」

「一般設定」

イベント アクションのサマライズについて

サマライズを使用すると、センサーから送信されたアラートの量を軽減すると同時に、基本集約機能として、複数のイベントを 1 つのアラートにまとめることができます。また、シグニチャごとに特別なパラメータを指定することにより、アラートの処理方法をさまざまに変更できます。各シグニチャは、推奨される通常の処理に反映されるデフォルトで作成されます。各シグニチャの設定を修正することにより、エンジンのタイプごとに定められた制約の範囲内でこのデフォルトの処理方法を変更できます。

nonalert-generating アクション(拒否、ブロック、TCP リセット)には、サマライズされていない各シグニチャ イベントのフィルタが適用されます。alert-generating アクションは、サマライズされたアラートに対しては実行されません。代わりに、このようなアクションは 1 つのサマリー アラートに適用され、フィルタ処理されます。

その他の alert-generating アクションのいずれかを選択し、フィルタ処理しない場合は、 produce-alert オプションを選択しなかった場合でも、アラートが作成されます。アラートの作成を防止するには、すべての alert-generating アクションをフィルタ処理する必要があります。

Meta エンジンがコンポーネント イベントを処理してから、サマライズおよびイベント アクションは処理されます。これによって、センサーは一連のイベントで疑わしいアクティビティが発生していないかどうかを監視できます。

イベント アクションの集約について

基本集約機能では、2 つの動作モードを利用できます。簡易モードには、アラートが送信される前にシグニチャが満たす必要があるヒット数のしきい値の設定が含まれています。一方、高度なモードでは、各インターバルにおけるヒット数がカウントされます。このモードでは、センサーが 1 秒あたりのヒット数を追跡し、しきい値が満たされた場合にだけアラートを送信します。この例では、ヒットとはイベントを表すために使用した用語で、基本的にはアラートを指します。ただし、ヒット数がしきい値を超過するまでは、センサーからアラートとして送信されることはありません。

次のサマライズ オプションから選択できます。

fire-all:シグニチャがトリガーされるたびにアラートを起動します。サマライズのしきい値が設定される場合は、サマライズが発生するまで、実行ごとにアラートを起動します。サマライズの開始後、サマリー間隔ごとに各アドレス セットに対して 1 つのアラートだけを起動します。その他のアドレス セットのアラートはすべて表示されるか、または個別にサマライズされます。シグニチャのアラートがない状態で一定期間が過ぎた後、シグニチャのすべてのモードが再起動します。

summary:シグニチャが最初にトリガーされたときにアラートを起動し、サマリー間隔の間にそのシグニチャの追加アラートがサマライズされます。サマリー間隔ごとに各アドレス セットに対して 1 つのアラートだけを起動します。グローバル サマリーしきい値に達した場合は、シグニチャがグローバル サマライズ モードになります。

global-summarization:サマリー間隔ごとにアラートを起動します。グローバル サマライズに対してシグニチャを事前設定できます。

fire-once:各アドレス セットに対してアラートを起動します。このモードをグローバル サマライズ モードにアップグレードできます。

一般設定

イベント アクション規則にグローバルに適用する一般設定を指定できます。たとえば、Summarizer や Meta Event Generator を使用するかどうかなどです。Summarizer はイベントを単一アラートにグループ化するため、センサーが送信するアラートの数が減少します。Meta Event Generator はコンポーネント イベントを処理します。これによって、センサーは一連のイベントで疑わしいアクティビティが発生していないかどうかを監視できます。


注意 トラブルシューティング目的以外では、Summarizer または Meta Event Generator をディセーブルにしないでください。Summarizer をディセーブルにすると、すべてのシグニチャがサマライズなしの Fire All に設定されます。Meta Event Generator をディセーブルにすると、すべてのメタ エンジン シグニチャがディセーブルになります。

また、脅威レーティングの調整やイベント アクション フィルタを使用することも、一方向の TCP リセットをイネーブルにすることもできます。一方向の TCP リセットはインライン モードでだけ動作し、Deny Packet Inline アクションに自動追加されます。TCP リセットがアラートの攻撃対象に送信されるため、攻撃者に対してブラック ホールが作成され、攻撃対象の TCP リソースがクリアされます。


) インライン センサーは、リスク レーティングが 90 以上のアラートのパケットを拒否するようになりました。また、リスク レーティングが 90 以上の TCP アラートで、一方向 TCP リセットを発行します。


攻撃者を拒否する時間、攻撃者拒否の最大回数、ブロックの継続時間を設定できます。

サービス イベント アクション規則サブモードで次のコマンドを使用して、イベント アクション規則の一般設定を指定します。

global-block-timeout :ホストまたは接続をブロックする時間(分)。有効な範囲は 0 ~ 10000000 です。デフォルトは 30 分です。

global-deny-timeout :攻撃者のインライン拒否の時間(秒)。有効な範囲は 0 ~ 518400 です。デフォルトは 3600 です。

global-filters-status { enabled | disabled} :フィルタの使用をイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

global-metaevent-status { enabled | disabled} :Meta Event Generator の使用をイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

global-overrides-status { enabled | disabled} :オーバーライドの使用をイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

global-summarization-status { enabled | disabled} :Summarizer の使用をイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

max-denied-attackers :一度にシステム内に許容できる拒否攻撃者の数を制限します。有効な範囲は 0 ~ 100000000 です。デフォルトは 10000 です。

イベント アクションの一般設定を設定するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント アクション規則サブモードを開始します。

sensor# configure terminal
sensor(config)# service event-action-rules rules0
 

ステップ 3 一般サブモードを開始します。

sensor(config)# general
 

ステップ 4 Meta Event Generator をイネーブルまたはディセーブルにするには、次のようにします。

sensor(config-eve-gen)# global-metaevent-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

ステップ 5 Summarizer をイネーブルまたはディセーブルにするには、次のようにします。

sensor(config-eve-gen)# global-summarization-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

ステップ 6 攻撃者のインライン拒否イベント アクションを設定します。

a. ある時点でのシステム内の拒否攻撃者の数を制限します。

sensor(config-eve-gen)# max-denied-attackers 100
 

デフォルトは 1000 です。

b. システム内で攻撃者を拒否する時間(秒)を設定します。

sensor(config-eve-gen)# global-deny-timeout 1000
 

デフォルトは 3600 秒です。

ステップ 7 ホストまたは接続をブロックする時間(分)を設定します。

sensor(config-eve-gen)# global-block-timeout 20
 

デフォルトは 30 分です。

ステップ 8 設定したオーバーライドをイネーブルまたはディセーブルにします。

sensor(config-eve-gen)# global-overrides-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

ステップ 9 設定したフィルタをイネーブルまたはディセーブルにします。

sensor(config-eve-gen)# global-filters-status {enabled | disabled}
 

デフォルトではイネーブルになっています。

ステップ 10 一般サブモードの設定を確認します。

sensor(config-eve-gen)# show settings
general
-----------------------------------------------
global-overrides-status: Enabled default: Enabled
global-filters-status: Enabled default: Enabled
global-summarization-status: Enabled default: Enabled
global-metaevent-status: Enabled default: Enabled
global-deny-timeout: 1000 default: 3600
global-block-timeout: 20 default: 30
max-denied-attackers: 100 default: 10000
-----------------------------------------------
sensor(config-eve-gen)#
 

ステップ 11 イベント アクション規則サブモードを終了します。

sensor(config-eve-gen)# exit
sensor(config-eve)# exit
Apply Changes:?[yes]:
 

ステップ 12 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

拒否された攻撃者リストの設定

ここでは、拒否攻撃者リストと、リストの追加、クリア、モニタの方法について説明します。次の項目について説明します。

「拒否攻撃者エントリの拒否攻撃者リストへの追加」

「拒否された攻撃者リストのモニタリングとクリア」

拒否攻撃者エントリの拒否攻撃者リストへの追加

deny attacker [ virtual-sensor name ] [ ip-address attacker-ip-address ] | victim victim-ip-address | port port-number ] コマンドを使用して、1つの拒否攻撃者エントリを拒否攻撃者のリストに追加します。リストから拒否攻撃者を削除するには、このコマンドの no 形式を使用します。

次のオプションが適用されます。

name :(任意)拒否攻撃者エントリを追加する仮想センサーの名前。

attacker-ip-address :攻撃者の IP アドレス。

victim-ip-address :(任意)攻撃対象の IP アドレス。

port-number :(任意)攻撃対象のポート番号。有効な範囲は 0 ~ 65535 です。

拒否する攻撃者エントリを拒否攻撃者のリストに追加するには、次の手順に従います。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。

ステップ 2 IP アドレス 10.1.1.1 の拒否する攻撃者エントリを追加します。

sensor# deny attacker ip-address 10.1.1.1
Warning: Executing this command will add deny attacker address on all virtual sensors.
Continue? [yes]:
 

ステップ 3 yes と入力して、この拒否する攻撃者エントリをすべての仮想センサーに追加します。

ステップ 4 拒否する攻撃者エントリを特定の仮想センサーに追加します。

sensor# deny attacker virtual-sensor vs0 ip-address 10.1.1.1
 

ステップ 5 リストから拒否する攻撃者エントリを削除します。

sensor# no deny attacker ip-address 10.1.1.1
Warning: Executing this command will delete this address from the list of attackers being denied by all virtual sensors.
Continue? [yes]:
 

ステップ 6 yes と入力して、リストから拒否する攻撃者エントリを削除します。


) 攻撃者の拒否をただちに停止するには、clear denied-attackers コマンドを使用して拒否攻撃者リストをクリアする必要があります。



 

詳細情報

拒否攻撃者リストから拒否された攻撃者を永続的にクリアする手順については、「拒否された攻撃者リストのモニタリングとクリア」を参照してください。

拒否された攻撃者リストのモニタリングとクリア

拒否された攻撃者のリストを表示するには、 show statistics denied-attackers コマンドを使用します。拒否された攻撃者のリストを削除し、仮想センサー統計情報をクリアするには、 clear denied-attackers [ virtual_sensor ] [ ip-address ip_address ] コマンドを使用します。

センサーがインライン モードで動作するように設定されている場合、トラフィックはセンサーを通過します。インライン モードでは、パケット、接続、および攻撃者を拒否するように、シグニチャを設定できます。つまり、センサーが 1 つのパケット、接続、および特定の攻撃者を検出した場合、これらは拒否されます(伝送されません)。

シグニチャが起動された場合、攻撃者は拒否され、リストに記載されます。センサー管理の一環として、リストを削除するか、リスト内の統計情報をクリアすることができます。

次のオプションが適用されます。

virtual_sensor :(任意)拒否された攻撃者リストをクリアする必要がある仮想センサー。

ip_address :(任意)クリアする IP アドレス。

拒否された攻撃者のリストを表示し、リストを削除し、統計情報をクリアするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 拒否された IP アドレスのリストを表示します。

sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
10.20.4.2 = 9
10.20.5.2 = 5
 

ここでは、拒否されている 2 つの IP アドレスがあることが統計情報に示されます。

ステップ 3 拒否された攻撃者のリストを削除します。

sensor# clear denied-attackers
Warning: Executing this command will delete all addresses from the list of attackers currently being denied by the sensor.
Continue with clear? [yes]:
 

ステップ 4 yes と入力して、リストをクリアします。

ステップ 5 特定の仮想センサーに対して、拒否された攻撃者のリストを削除します。

sensor# clear denied-attackers vs0
Warning: Executing this command will delete all addresses from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]:
 

ステップ 6 yes と入力して、リストをクリアします。

ステップ 7 特定の仮想センサーに対する拒否された攻撃者のリストから特定の IP アドレスを削除します。

sensor# clear denied-attackers vs0 ip-address 10.1.1.1
Warning: Executing this command will delete ip address 10.1.1.1 from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]:
 

ステップ 8 yes と入力して、リストをクリアします。

ステップ 9 リストがクリアされたことを確認します。

show statistics denied-attackers コマンドまたは show statistics virtual-sensor コマンドを使用できます。

sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
Denied Attackers and hit count for each.
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
Statistics for Virtual Sensor vs1
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
sensor#
 
sensor# show statistics virtual-sensor
Virtual Sensor Statistics
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor = mypair
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 2
Number of Denied Attackers Total Hits = 287
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 1
Denied Attackers and hit count for each.
 

ステップ 10 統計情報だけをクリアします。

sensor# show statistics virtual-sensor clear
 

ステップ 11 統計情報がクリアされたことを確認します。

sensor# show statistics virtual-sensor
Virtual Sensor Statistics
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor = mypair
Denied Address Information
Number of Active Denied Attackers = 2
Number of Denied Attackers Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 1
Denied Attackers and hit count for each.
10.20.2.5 = 0
10.20.5.2 = 0
 

Number of Active Denied Attackers と Number of exec Clear commands during uptime のカテゴリを除き、統計情報はすべてクリアされます。リストがクリアされたかどうかを確認することが重要です。


 

イベントのモニタリング

ここでは、イベント ストアのイベントを表示およびクリアする方法について説明します。内容は次のとおりです。

「イベントの表示」

「イベント ストアのイベントのクリア」

イベントの表示

イベント ストアのイベントを表示するには、 show events [{ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr ] | error [warning] [error] [fatal] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用します。

イベントは、開始時刻から表示されます。開始時刻を指定しなかった場合、イベントは現在の時刻から表示されます。イベント タイプを指定しない場合は、すべてのイベントが表示されます。


) イベントは、ライブ フィードとして表示されます。要求をキャンセルするには、Ctrl キーを押した状態で C キーを押します。


次のオプションが適用されます。

alert :アラートを表示します。攻撃が進行中であるか試みられたことを示す可能性がある、ある種の疑わしいアクティビティを通知します。アラート イベントは、シグニチャがネットワーク アクティビティによってトリガーされるたびに、分析エンジンによって生成されます。

レベル(informational、low、medium、または high)を選択しなかった場合は、すべてのアラート イベントが表示されます。

include-traits :指定した特性があるアラートを表示します。

exclude-traits :指定した特性があるアラートを表示しません。

traits :10 進数での特性ビット位置(0 ~ 15)。

min-threat-rating :脅威レーティングがこの値以上のイベントを表示します。デフォルトは 0 です。有効な範囲は 0 ~ 100 です。

max-threat-rating:脅威レーティングがこの値以下のイベントを表示します。デフォルトは 100 です。有効な範囲は 0 ~ 100 です。

error :エラー イベントを表示します。エラー イベントは、エラー条件が生じた場合に、サービスによって生成されます。

レベル(warning、error、または fatal)を選択しなかった場合は、すべてのエラー イベントが表示されます。

NAC :ARC(ブロック)要求を表示します。


) ARC は、以前は NAC と呼ばれていました。この名前変更は、IDM、IME、および CLI for Cisco IPS 7.0 全体に完全には適用されていません。


status :ステータス イベントを表示します。

past :指定した時間、分、および秒で、過去に開始されたイベントを表示します。

hh:mm:ss :表示を開始する過去の時間、分、および秒。


show events コマンドを実行すると、指定したイベントが見つかるまで、イベントが表示され続けます。終了するには、Ctrl キーを押した状態で C キーを押します。


イベント ストアからイベントを表示するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 現在から始まるすべてのイベントを表示します。

sensor# show events
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 12075
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 
evError: eventId=1041472274774840148 severity=error vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 351
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exception: handshake incomplete.
 

Ctrl キーを押した状態で C キーを押すまで、すべてのイベントが表示され続けます。

ステップ 3 2008 年 2 月 9 日、午前 10:00 以降のブロック要求を表示します。

sensor# show events NAC 10:00:00 Feb 9 2008
evShunRqst: eventId=1106837332219222281 vendor=Cisco
originator:
deviceName: Sensor1
appName: NetworkAccessControllerApp
appInstance: 654
time: 2008/02/09 10:33:31 2008/08/09 13:13:31
shunInfo:
host: connectionShun=false
srcAddr: 11.0.0.1
destAddr:
srcPort:
destPort:
protocol: numericType=0 other
timeoutMinutes: 40
evAlertRef: hostId=esendHost 123456789012345678
sensor#
 

ステップ 4 2008 年 2 月 9 日、午前 10:00 以降の warning レベルのエラーを表示します。

sensor# show events error warning 10:00:00 Feb 9 2008
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
originator:
hostId: sensor
appName: cidwebserver
appInstanceId: 12160
time: 2008/01/07 04:49:25 2008/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 

ステップ 5 過去 45 秒間のアラートを表示します。

sensor# show events alert past 00:00:45
 
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 367
time: 2008/03/02 14:15:59 2008/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
subsigId: 0
sigDetails: Nachi ICMP
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 10.89.228.202
target:
addr: locality=OUT 10.89.150.185
riskRatingValue: 70
interface: fe0_1
protocol: icmp
 
 
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
originator:
--MORE--
 

ステップ 6 過去 30 秒間に開始されたイベントを表示します。

sensor# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
originator:
hostId: sensor
appName: mainApp
appInstanceId: 2215
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
requestor:
user: cids
application:
hostId: 64.101.182.101
appName: -cidcli
appInstanceId: 2316
 
 
evStatus: eventId=1041526834774829056 vendor=Cisco
originator:
hostId: sensor
appName: login(pam_unix)
appInstanceId: 2315
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
syslogMessage:
description: session opened for user cisco by cisco(uid=0)
 


 

イベント ストアのイベントのクリア

イベント ストアをクリアするには、 clear events コマンドを使用します。

イベント ストアのイベントをクリアするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes と入力して、イベントをクリアします。