Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
グローバル相関の設定
グローバル相関の設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

グローバル相関の設定

について

SensorBase ネットワークへの参加

レピュテーションについて

について

有効性について

レピュテーションとリスク レーティング

グローバル相関の機能と目的

グローバル相関の要件

グローバル相関のセンサー ヘルス メトリックについて

グローバル相関インスペクションおよびレピュテーション フィルタリングの設定

グローバル相関インスペクションおよびレピュテーション フィルタリングについて

グローバル相関インスペクションおよびレピュテーション フィルタリングの設定

ネットワーク参加の設定

グローバル相関のトラブルシューティング

グローバル相関のディセーブル化

グローバル相関の設定


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、グローバル相関の設定について説明します。次のような構成になっています。

「グローバル相関について」

「SensorBase ネットワークへの参加」

「レピュテーションについて」

「ネットワーク参加について」

「有効性について」

「レピュテーションとリスク レーティング」

「グローバル相関の機能と目的」

「グローバル相関の要件」

「グローバル相関のセンサー ヘルス メトリックについて」

「グローバル相関インスペクションおよびレピュテーション フィルタリングの設定」

「ネットワーク参加の設定」

「グローバル相関のトラブルシューティング」

「グローバル相関のディセーブル化」

グローバル相関について

センサーが悪意のあるアクティビティのレピュテーションを持つネットワーク デバイスを認識し、それらのアクティビティに対処できるようにグローバル相関を設定できます。シスコの中央脅威データベースである SensorBase ネットワークに IPS デバイスを加えることにより、グローバル相関更新を受信して取り込むことができます。グローバル相関更新に含まれているレピュテーション情報は、ネットワーク トラフィックの分析に組み込まれます。これにより、送信元 IP アドレスのレピュテーションに基づいてトラフィックが拒否または許可されるため、IPS の有効性が高まります。参加している IPS デバイスは、Cisco SensorBase ネットワークにデータを送り返します。これによってフィードバック ループが発生し、最新かつグローバルな更新が維持されます。

グローバル相関更新またはテレメトリ データ送信に参加するようセンサーを設定することも、これら両方のサービスをオフにすることもできます。イベントでレピュテーション スコアを表示して、攻撃者のレピュテーション スコアを確認できます。レピュテーション フィルタから統計を表示することもできます。

SensorBase ネットワークへの参加

Cisco IPS のセキュリティ機能である Cisco グローバル相関では、シスコが数年にわたって蓄積した膨大なセキュリティ情報が使用されます。Cisco IPS は、Cisco SensorBase ネットワークから脅威に関する更新情報を定期的に受け取ります。これには、連続攻撃者、ボットネット利用者、マルウェアの出現、ダークネットなど、インターネット上の既知の脅威に関する詳細な情報が含まれています。IPS はこの情報を使用して、重要な資産に攻撃が加えられる前に、最悪の攻撃者をフィルタリングして排除します。次に、グローバルな脅威データをシステムに取り込み、悪意あるアクティビティを事前に検知して阻止します。

ユーザが SensorBase ネットワークへの参加に同意すると、シスコはそのユーザの IPS に送信されたトラフィックの集約的統計情報を収集します。これには Cisco IPS ネットワーク トラフィック プロパティの概要データと、このトラフィックが Cisco アプリケーションによってどのように処理されたかが含まれます。シスコがトラフィックのデータ コンテンツ、企業秘密、または個人情報を収集することはありません。すべてのデータは集約され、セキュア HTTP によって Cisco SensorBase ネットワーク サーバへ定期的に送信されます。シスコと共有されるすべてのデータは匿名であり、厳重な機密事項として扱われます。

表 10-1 に、データがどのように利用されるかを示します。

 

表 10-1 シスコ ネットワーク参加データの利用方法

参加レベル
データのタイプ
目的

Partial

プロトコル属性
(TCP 最大セグメント サイズ、オプション ストリングなど)

潜在的脅威を追跡し、脅威による影響の把握に役立てます

攻撃のタイプ
(シグニチャの起動、リスク レーティングなど)

現在の攻撃および攻撃の重大度を理解するために使用されます

接続している IP アドレスおよびポート

攻撃元を特定します

サマリー IPS パフォーマンス
(CPU 使用率、メモリ使用率、インライン対 無差別など)

製品の有効性を追跡します

Full

攻撃対象の IP アドレスおよびポート

脅威の動作パターンを検知します

Partial または Full ネットワーク参加をイネーブルにすると、ネットワーク参加の免責条項が表示されます。参加するには yes を入力する必要があります。ライセンスをインストールしていない場合は警告が表示され、センサーがライセンスされない限り、グローバル相関インスペクションとレピュテーション フィルタリングはディセーブルであることが通知されます。ライセンスは http://www.cisco.com/go/licens で取得できます。

詳細情報

センサー ライセンスの取得とインストールの方法については、「ライセンス キーのインストール」を参照してください。

レピュテーションについて

レピュテーションとは、人間社会の場合と同様、インターネット上でのデバイスに対する評価のことです。これにより、現場にインストールされた IPS センサーは、既存のネットワーク インフラストラクチャを使用して協力することが可能になります。多くの場合、レピュテーションを持つネットワーク デバイスは悪意があるか、感染しています。レピュテーションの情報と統計は CLI で確認できます。

IPS センサーはグローバル相関サーバ(レピュテーション サーバとも呼ばれる)と協力して、センサーの有効性を改善します。

図 10-1 にセンサーとグローバル相関サーバの役割を示します。

図 10-1 IPS の管理とグローバル相関サーバの対話

 

グローバル相関サーバは、悪意がある、または感染しているホストとして識別される可能性がある特定の IP アドレスについて、センサーに情報を提供します。センサーはこの情報を使用して、既知のレピュテーションを持つホストから潜在的に有害なトラフィックを受信した場合に実行すべきアクション(ある場合)を判断します。グローバル相関データベースはすばやく変更されるので、センサーは定期的にグローバル相関のアップデートをグローバル相関サーバからダウンロードする必要があります。


注意 センサーがシグニチャまたはグローバル相関のアップデートを適用すると、バイパスがトリガーされる場合があります。バイパスがトリガーされるかどうかは、センサーのトラフィック負荷とシグニチャまたはグローバル相関アップデートのサイズによって決まります。バイパス モードをオフにすると、インライン センサーはアップデートの適用中にトラフィックの送信を停止します。

詳細情報

グローバル相関統計情報の表示については、「統計情報の表示」を参照してください。

ネットワーク参加について

ネットワーク参加によって、シスコは世界中のセンサーからほぼリアルタイムでデータを収集できます。カスタマー サイトにインストールされたセンサーは、SensorBase ネットワークにデータを送信できます。これらのデータがグローバル相関データベースに提供されることで、レピュテーションの正確性が向上します。センサーと SensorBase ネットワーク間の通信には、TCP/IP を介した HTTPS 要求および応答が使用されます。ネットワーク参加では、インターネットへのネットワーク接続が必要です。

ネットワーク参加によって次のデータが収集されます。

シグニチャ ID

攻撃者の IP アドレス

攻撃者のポート

最大セグメント サイズ

攻撃対象の IP アドレス

攻撃対象のポート

シグニチャのバージョン

TCP オプション ストリング

レピュテーション スコア

リスク レーティング

ネットワーク参加に関する統計情報には、アラートのヒット数とミス数、レピュテーション アクション、拒否されたパケットのカウンタが示されます。

ネットワーク参加には次の 3 つのモードがあります。

オフ:ネットワーク参加サーバは、データの収集、統計情報の追跡、または Cisco SensorBase ネットワークへの接続試行は行いません。

部分的参加:ネットワーク参加サーバは、データ収集、統計情報の追跡、SensorBase ネットワークとの通信を行います。潜在的に機密性が高いと見なされるデータは、フィルタリングによって除外され、送信されません。

完全参加:ネットワーク参加サーバは、データ収集、統計情報の追跡、SensorBase ネットワーク との通信を行います。ネットワーク参加データから除外された IP アドレスを除き、収集されたデータはすべて送信されます。


注意 シグニチャ アップデートの場合と同様に、センサーがグローバル相関のアップデートを適用すると、バイパスがトリガーされる場合があります。バイパスがトリガーされるかどうかは、センサーのトラフィック負荷とシグニチャまたはグローバル相関アップデートのサイズによって決まります。バイパス モードをオフにすると、インライン センサーはアップデートの適用中にトラフィックの送信を停止します。


) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP で実行されるアクティビティのタイプに応じて、フェールオープン、フェールクローズ、フェールオーバーのいずれかを実行します。


詳細情報

ネットワーク参加の詳細については、「ネットワーク参加の設定」を参照してください。

有効性について

参加している IPS クライアントからデータを取得し、それを既知の脅威に関する既存の資料とともに使用すると、IPS の有効性が向上します。有効性は以下に基づいて測定されます。

実行可能なイベントの偽陽性(パーセンテージ)

実行可能なイベントにはならない脅威の偽陰性(パーセンテージ)

すべてのイベントのうち実行可能なイベント(パーセンテージ)

このデータを使用して、IPS シグニチャ チームはシグニチャの正確性を高め、IPS エンジニアリング チームはセンサーのさまざまな配置タイプを把握します。

詳細情報

レピュテーションとリスク レーティングの詳細については、「レピュテーションとリスク レーティング」を参照してください。

レピュテーションとリスク レーティング

リスク レーティングとは、ネットワーク イベントに悪意がある確立に関する概念のことです。ユーザは、ネットワーク上の特定のイベントに関連付けられたリスクについて、定量化された数値を指定できます。デフォルトでは、極端なリスク レーティングを持つアラートがあると、トラフィックがシャットダウンされます。レピュテーションは、既知のアクティビティに基づいて、特定の攻撃者の IP アドレスから悪意のある動作が開始される可能性を示します。アラーム チャネルによってこのレピュテーションに対する特定のスコアが計算され、リスク レーティングに追加されることで、IPS の有効性が向上します。攻撃者のレピュテーション スコアが悪い場合は、差分リスクがリスク レーティングに追加され、攻撃性がさらに高くなります。

アラーム チャネルは、データ パスからのシグニチャ イベントを処理します。アラート処理ユニットは、複数の集約技術、アクション オーバーライド、アクション フィルタ、攻撃者レピュテーション、アクション別のカスタム処理方式を備えています。シスコはレピュテーション参加クライアントからの大量のレピュテーション データを使用して、アラーム チャネルで攻撃者のスコアを計算し、このスコアを使用してリスク レーティングとアラートのアクションを調整します。

詳細情報

リスク レーティングの詳細については、「リスク レーティングの計算」を参照してください。

脅威レーティングの詳細については、「脅威レーティングについて」を参照してください。

イベント アクション フィルタの詳細については、「イベント アクション フィルタの設定」を参照してください。

アラーム チャネルの詳細については、「SensorApp について」を参照してください。

イベント アクション集約の詳細については、「イベント アクション集約について」を参照してください。

グローバル相関の機能と目的

グローバル相関には、主として次の 3 つの機能があります。

グローバル相関インスペクション:攻撃者に対する既知のグローバル相関レピュテーションを使用してアラート処理を調整し、悪いスコアを持つ攻撃者がセンサーで検知された場合にアクションを拒否します。

レピュテーション フィルタリング:悪意のある既知のサイトからのパケットに対して自動拒否アクションを適用します。

ネットワーク レピュテーション:センサーがアラートと TCP フィンガープリントを SensorBase ネットワークに送信します。

グローバル相関の目的は次のとおりです。

アラートをインテリジェントに処理することにより、有効性を高める。

悪意のある既知のサイトに対する保護を強化する。

テレメトリ データを SensorBase ネットワークと共有し、アラートおよびセンサー アクションの可視性をグローバル規模で向上させる。

設定を簡素化する。

情報のアップロードおよびダウンロードを自動的に処理する。

グローバル相関の要件

グローバル相関には次の要件があります。

有効なライセンス

グローバル相関機能が動作するには、有効なセンサー ライセンスを所有している必要があります。グローバル相関機能の統計情報については引き続き設定および表示できますが、グローバル相関データベースはクリアされ、アップデートは試行されなくなります。有効なライセンスをインストールすると、グローバル相関機能が再アクティブ化されます。

ネットワーク参加免責条項への同意

センサーおよび DNS サーバ用の外部接続

Cisco IPS のグローバル相関機能では、センサーを Cisco SensorBase ネットワークに接続する必要があります。これらの機能が動作するには、ドメイン名解決も必要となります。DNS クライアントが稼動している HTTP プロキシ サーバを介して接続するようにセンサーを設定するか、またはセンサーの管理インターフェイスにルーティング可能なインターネット アドレスを割り当て、DNS サーバを使用するようにセンサーを設定できます。Cisco IPS では、HTTP プロキシおよび DNS サーバはグローバル相関機能でのみ使用されます。


注意 低速コマンドとコントロール コネクションを使用する環境に配置されたセンサーは、グローバル相関更新を低速でダウンロードします。

IPv6 アドレスのサポートなし

グローバル相関インスペクションとレピュテーション フィルタリング拒否機能では、IPv6 アドレスはサポートされません。グローバル相関インスペクションでは、センサーは IPv6 アドレスのレピュテーション データを受信または処理しません。IPv6 アドレスのリスク レーティングは、グローバル相関インスペクション用に変更されません。同様に、ネットワーク参加には IPv6 アドレスからの攻撃に関するイベント データは含まれていません。また、IPv6 アドレスは拒否リストに表示されません。

インライン モードのセンサー

インライン拒否アクションを使用することでグローバル相関機能の有効性を高めることができるよう、センサーはインライン モードで動作する必要があります。

グローバル相関機能をサポートするセンサー

グローバル相関機能をサポートする IPS バージョン

詳細情報

センサー ライセンスの取得とインストールの方法については、「ライセンス キーのインストール」を参照してください。

ネットワーク参加の免責条項については、「SensorBase ネットワークへの参加」を参照してください。

グローバル相関をサポートする HTTP プロキシまたは DNS サーバの設定については、「グローバル相関用の DNS サーバとプロキシ サーバの設定」を参照してください。

グローバル相関のセンサー ヘルス メトリックについて

グローバル相関では、次のメトリックがセンサー ヘルス モニタリングに追加されます。

緑色は前回の更新が正しく行われたことを示します。

黄色は、過去 1 日(86,400 秒)以内に成功した更新がないことを示します。

赤色は、過去 3 日(259,200 秒)以内に成功した更新がないことを示します。

ネットワーク参加では、次のメトリックがセンサー ヘルス モニタリングに追加されます。

緑色は前回の接続が正しく行われたことを示します。

黄色は、6 回未満の接続が連続して失敗したことを示します。

赤色は、6 回を超える接続が連続して失敗したことを示します。

センサーのヘルス統計情報を設定するには、サービス サブモードで health-monitor コマンドを使用します。 health-monitor コマンドの結果を表示するには、 show health コマンドを使用します。


注意 グローバル相関のヘルス ステータスは、デフォルトで赤に設定され、グローバル相関が正しくアップデートされると緑に変わります。グローバル相関の正常なアップデートには、DNS サーバまたは HTTP プロキシ サーバが必要です。DNS および HTTP プロキシ サーバ設定機能は IPS 7.0(1)E3 以降に装備されているため、6.x から 7.0(1)E3 以上にアップグレードした場合は未設定になっています。その結果、センサーに DNS または HTTP プロキシ サーバが設定されるまで、グローバル相関ヘルスおよび全体センサー ヘルス ステータスは赤になっています。DNS または HTTP プロキシ サーバを使用できない環境にセンサーが配置されている場合、グローバル相関をディセーブルにし、グローバル相関ヘルス ステータスを除外するようにセンサー ヘルス ステータスを設定すると、赤色のグローバル相関ヘルスおよび全体センサー ヘルス ステータスに対処できます。

詳細情報

センサー ヘルス メトリックの詳細およびグローバル相関ヘルス ステータスをイネーブルまたはディセーブルにする方法については、「ヘルス ステータス情報の設定」を参照してください。

センサー ヘルス メトリックの表示手順については、「センサーの全体的なヘルス ステータスの表示」を参照してください。

グローバル相関をサポートする HTTP プロキシまたは DNS サーバの設定については、「グローバル相関用の DNS サーバとプロキシ サーバの設定」を参照してください。

グローバル相関をディセーブルにする手順については、「グローバル相関インスペクションおよびレピュテーション フィルタリングの設定」を参照してください。

グローバル相関インスペクションおよびレピュテーション フィルタリングの設定

ここでは、グローバル相関インスペクションとレピュテーション フィルタリング、およびそれらの設定方法について説明します。次のような構成になっています。

「グローバル相関インスペクションおよびレピュテーション フィルタリングについて」

「グローバル相関インスペクションおよびレピュテーション フィルタリングの設定」

グローバル相関インスペクションおよびレピュテーション フィルタリングについて

ユーザは、SensorBase ネットワークからのアップデートを使用してリスク レーティングを調整できるよう、センサーを設定することができます。クライアントはグローバル相関更新サーバおよびファイル サーバと通信することで、使用可能なアップデートとセンサーに適用可能なアップデートを判断します。グローバル相関更新サーバは、センサーにサーバ マニフェスト ドキュメントを提供します。このドキュメントには、使用可能なアップデート、およびファイル サーバからそれらを取得する方法が指定されています。センサーは、サーバ マニフェストの情報を使用して、ファイル サーバからアップデート ファイルをダウンロードします。

図 10-2 に、グローバル相関アップデート クライアントがファイルを取得する方法を示します。

図 10-2 グローバル相関アップデート クライアント

 


注意 グローバル相関機能が動作するには、有効なセンサー ライセンスを所有している必要があります。グローバル相関機能の統計情報については引き続き設定および表示できますが、グローバル相関データベースはクリアされ、アップデートは試行されなくなります。有効なライセンスをインストールすると、グローバル相関機能が再アクティブ化されます。

グローバル相関を設定すると、定期的な間隔で自動アップデートが実行されます。デフォルトの間隔は約 5 分ですが、この間隔はグローバル相関サーバで変更できます。センサーは完全なアップデートを取得した後、定期的に差分アップデートを適用します。

HTTP プロキシまたは DNS サーバの設定は、サービス ネットワーク設定サブモードで行います。グローバル相関をオンにしている場合は、悪意のあるホストに対してどれだけ積極的に拒否アクションを実施するかを選択できます。次に、悪意のある既知のホストへのアクセスを拒否するために、レピュテーション フィルタリングをイネーブルにします。発生する可能性があった内容に関するレポートだけが必要な場合は、test-global-correlation をイネーブルにします。これにより、センサーは監査モードに設定され、センサーが実行したと想定されるアクションがイベント内に生成されます。

特権 EXEC モードで show health コマンドを使用して、センサーの全体的なヘルス ステータス情報を表示します。ヘルス ステータス カテゴリは赤色と緑色で評価され、赤色が重大であることを示します。


注意 シグニチャ アップデートの場合と同様に、センサーがグローバル相関のアップデートを適用すると、バイパスがトリガーされる場合があります。バイパスがトリガーされるかどうかは、センサーのトラフィック負荷とシグニチャまたはグローバル相関アップデートのサイズによって決まります。バイパス モードをオフにすると、インライン センサーはアップデートの適用中にトラフィックの送信を停止します。


) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP で実行されるアクティビティのタイプに応じて、フェールオープン、フェールクローズ、フェールオーバーのいずれかを実行します。


詳細情報

グローバル相関機能の設定手順については、「グローバル相関インスペクションおよびレピュテーション フィルタリングの設定」を参照してください。

センサー ヘルス メトリックの表示手順については、「センサーの全体的なヘルス ステータスの表示」を参照してください。

CollaborationApp の詳細については、「CollaborationApp」を参照してください。

グローバル相関インスペクションおよびレピュテーション フィルタリングの設定

グローバル相関が動作するには、DNS サーバまたは HTTP プロキシ サーバが常時設定されている必要があります。

オプション

次のオプションが適用されます。

global-correlation-inspection {off | on} :グローバル相関インスペクションのオン/オフを切り替えます。オンの場合、センサーは、SensorBase ネットワークからの更新を使用して、リスク レーティングを調整します。デフォルトは on です。

global-correlation-inspection-influence { permissive | standard | aggressive }:グローバル相関インスペクションのレベルを選択できます。デフォルトは standard です。

permissive :トラフィック拒否の決定にグローバル相関データはほとんど影響しません。

standard:グローバル相関は、トラフィック拒否の決定に一定の影響を与えます。

aggressive:グローバル相関データは、トラフィック拒否の決定に大きく影響します。

reputation-filtering {on | off} :レピュテーション フィルタリングのオン/オフを切り替えます。オンの場合、センサーは、グローバル相関データベースにリストされている悪意のあるホストへのアクセスを拒否します。デフォルトは on です。

test-global-correlation {on | off}:グローバル相関の影響を受けた拒否アクションのレポートをイネーブルにします。実際にホストを拒否しなくても、グローバル相関機能をテストすることができます。デフォルトは off です。

グローバル相関の設定

グローバル相関機能を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル相関サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service global-correlation
ips-ssp(config-glo)#
 

ステップ 3 グローバル相関インスペクションをオンにします。

ips-ssp(config-glo)# global-correlation-inspection on
ips-ssp(config-glo)#
 

ステップ 4 グローバル相関インスペクションのレベルを指定します。

ips-ssp(config-glo)# global-correlation-inspection-influence aggressive
ips-ssp(config-glo)#
 

ステップ 5 レピュテーション フィルタリングをオンにします。

ips-ssp(config-glo)# reputation-filtering on
ips-ssp(config-glo)#
 

ステップ 6 グローバル相関データをテストします。ただし、実際にはトラフィックを拒否しません。

ips-ssp(config-glo)# test-global-correlation on
ips-ssp(config-glo)#
 

ステップ 7 設定を確認できます。

ips-ssp(config-glo)# show settings
global-correlation-inspection: on default: on
global-correlation-inspection-influence: aggressive default: standard
reputation-filtering: on default: on
test-global-correlation: on default: off
ips-ssp(config-glo)#
 

ステップ 8 グローバル相関サブモードを終了します。

ips-ssp(config-glo)# exit
Apply Changes:?[yes]:
 

ステップ 9 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

グローバル相関をサポートするプロキシまたは DNS サーバの設定については、「グローバル相関用の DNS サーバとプロキシ サーバの設定」を参照してください。

センサー ライセンスの取得とインストールの方法については、「ライセンス キーのインストール」を参照してください。

センサー ヘルス メトリックの詳細については、「センサーの全体的なヘルス ステータスの表示」を参照してください。

ネットワーク参加の設定

ユーザは、SensorBase ネットワークにデータを送信するようにセンサーを設定できます。センサーが完全に参加して、すべてのデータを SensorBase ネットワークに送信するように設定することができます。あるいは、データは収集するが、潜在的に機密性の高いデータ(トリガー パケットの宛先 IP アドレスなど)は除外するようにセンサーを設定することもできます。


) センサーを部分的ネットワーク参加用に設定すると、第三者がグローバル相関データベースから内部ネットワークに関する調査情報を抽出するときに制限が課されます。


オプション

次のオプションが適用されます。

network-participation :ネットワーク参加のレベルを設定します。デフォルトは off です。

off:SensorBase ネットワークにデータは提供されません。

partial:データが SensorBase ネットワークに提供されますが、潜在的に機密性の高いデータは除外されます。

full:すべてのデータが SensorBase ネットワークに提供されます。


) ネットワーク参加をオンにするには、ネットワーク参加の免責条項に同意する必要があります。


ネットワーク参加の開始

ネットワーク参加をオンにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル相関サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service global-correlation
ips-ssp(config-glo)#
 

ステップ 3 ネットワーク参加をオンにします。

ips-ssp(config-glo)# network-participation [full | partial]
ips-ssp(config-glo)# exit
 

ステップ 4 yes を入力して SensorBase ネットワークへの参加に同意します。

If you agree to participate in the SensorBase Network, Cisco will collect aggregated statistics about traffic sent to your IPS. This includes summary data on the Cisco IPS network traffic properties and how this traffic was handled by the Cisco appliances. We do not collect the data content of traffic or other sensitive business or personal information. All data is aggregated and sent via secure HTTP to the Cisco SensorBase Network servers in periodic intervals. All data shared with Cisco will be anonymous and treated as strictly confidential.
The table below describes how the data will be used by Cisco.
Participation Level = "Partial":
* Type of Data: Protocol Attributes (e.g. TCP max segment size and
options string)
Purpose: Track potential threats and understand threat exposure
* Type of Data: Attack Type (e.g. Signature Fired and Risk Rating)
Purpose: Used to understand current attacks and attack severity
* Type of Data: Connecting IP Address and port
Purpose: Identifies attack source
* Type of Data: Summary IPS performance (CPU utilization memory usage,
inline vs. promiscuous, etc)
Purpose: Tracks product efficacy
Participation Level = "Full" additionally includes:
* Type of Data: Victim IP Address and port
Purpose: Detect threat behavioral patterns
 
Do you agree to participate in the SensorBase Network?[no]:
 

ステップ 5 設定を確認できます。

ips-ssp(config-glo)# show settings
network-participation: full default: off
global-correlation-inspection: on default: on
global-correlation-inspection-influence: aggressive default: standard
reputation-filtering: on default: on
test-global-correlation: on default: off
ips-ssp(config-glo)#
 

ステップ 6 グローバル相関サブモードを終了します。

ips-ssp(config-glo)# exit
Apply Changes:?[yes]:
 

ステップ 7 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

SensorBase ネットワークへの参加の詳細については、「SensorBase ネットワークへの参加」を参照してください。

グローバル相関のトラブルシューティング

グローバル相関を設定する場合は、以下が順守されていることを確認してください。

グローバル相関の更新はセンサー管理インターフェイスを介して行われるので、ファイアウォールでポート 443/80 トラフィックが許可されている必要があります。

グローバル相関機能が動作するには、HTTP プロキシ サーバまたは DNS サーバが設定されていなければなりません。

グローバル相関機能が動作するには有効な IPS ライセンスが必要です。

グローバル相関機能には外部 IP アドレスのみが含まれるため、センサーを社内ラボに配置するとグローバル相関情報を受信できません。

お使いのセンサーがグローバル相関機能をサポートしていることを確認してください。

お使いの IPS バージョンがグローバル相関機能をサポートしていることを確認してください。

詳細情報

DNS または HTTP プロキシ サーバの設定手順については、「グローバル相関用の DNS サーバとプロキシ サーバの設定」を参照してください。

IPS ライセンスの取得手順については、「ライセンス キーのインストール」を参照してください。

グローバル相関のディセーブル化

DNS サーバまたは HTTP プロキシ サーバを使用できない環境にセンサーが配置されている場合は、グローバル相関をディセーブルにすると、全体センサー ヘルス内で、グローバル相関ヘルスが問題を通知する赤色で表示されなくなります。グローバル相関ステータスを除外するようセンサー ヘルスを設定することもできます。

オプション

次のオプションが適用されます。

global-correlation-inspection {off | on} :グローバル相関インスペクションのオン/オフを切り替えます。オンの場合、センサーは、SensorBase ネットワークからの更新を使用して、リスク レーティングを調整します。デフォルトは on です。

reputation-filtering {on | off} :レピュテーション フィルタリングのオン/オフを切り替えます。オンの場合、センサーは、グローバル相関データベースにリストされている悪意のあるホストへのアクセスを拒否します。デフォルトは on です。

network-participation :ネットワーク参加のレベルを設定します。デフォルトは off です。

off:SensorBase ネットワークにデータは提供されません。

partial:データが SensorBase ネットワークに提供されますが、潜在的に機密性の高いデータは除外されます。

full:すべてのデータが SensorBase ネットワークに提供されます。

グローバル相関のディセーブル化

グローバル相関をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル相関サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service global-correlation
ips-ssp(config-glo)#
 

ステップ 3 グローバル相関インスペクションをオフにします。

ips-ssp(config-glo)# global-correlation-inspection off
ips-ssp(config-glo)#
 

ステップ 4 レピュテーション フィルタリングをオフにします。

ips-ssp(config-glo)# reputation-filtering off
ips-ssp(config-glo)#
 

ステップ 5 ネットワーク参加をオフにします。

ips-ssp(config-glo)# network-participation off
ips-ssp(config-glo)# exit
 

ステップ 6 設定を確認できます。

ips-ssp(config-glo)# show settings
network-participation: full default: off
global-correlation-inspection: on default: off
reputation-filtering: on default: off
ips-ssp(config-glo)#
 
 

ステップ 7 グローバル相関サブモードを終了します。

ips-ssp(config-glo)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。