Cisco Intrusion Prevention System Manager Express コンフィギュレーション ガイド for IPS 7.1
センサーのモニタリング
センサーのモニタリング
発行日;2012/04/23 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

センサーのモニタリング

イベントのモニタリング

[Events] ペイン

[Events] ペインのフィールド定義

[Event Viewer] ペインのフィールド定義

イベント表示の設定

イベント ストアのクリア

拒否攻撃者の設定とモニタリング

[Denied Attackers] ペイン

[Denied Attackers] ペインのフィールド定義

拒否攻撃者リストのモニタリングと拒否攻撃者の追加

ホスト ブロックの設定

[Host Blocks] ペイン

[Host Block] ペインのフィールド定義

[Add Host Block] ダイアログボックスのフィールド定義

ホスト ブロックの追加、削除、管理

ネットワーク ブロックの設定

[Network Blocks] ペイン

[Network Blocks] ペインのフィールド定義

[Add Network Block] ダイアログボックスのフィールド定義

ネットワーク ブロックの追加、削除、管理

レート制限の設定

[Rate Limits] ペイン

[Rate Limits] ペインのフィールド定義

[Add Rate Limit] ダイアログボックスのフィールド定義

レート制限の追加、削除、管理

IP ロギングの設定

IP ロギングについて

[IP Logging] ペイン

[IP Logging] ペインのフィールド定義

[Add IP Logging] および [Edit IP Logging] ダイアログボックスの定義

IP ロギングの設定

異常検出 KB のモニタリング

[Anomaly Detection] ペイン

KB について

[Anomaly Detection] ペインのフィールド定義

しきい値の表示

[Threshold for KB_Name] ウィンドウ

[Thresholds for KB_Name] ウィンドウのフィールド定義

KB しきい値のモニタリング

KB の比較

[Compare Knowledge Base] ダイアログボックス

[Differences between knowledge bases KB_Name and KB_Name] ウィンドウ

[Difference Thresholds between knowledge bases KB_Name and KB_Name] ウィンドウ

KB の比較

現在の KB の保存

[Save Knowledge Base] ダイアログボックス

KB のロード

KB の保存

KB の削除

KB の名前変更

KB のダウンロード

KB のアップロード

OS ID の設定

学習したオペレーティング システムの設定

インポートしたオペレーティング システムの設定

フロー状態のクリア

[Clear Flow States] ペイン

[Clear Flow States] ペインのフィールド定義

フロー状態のクリア

ネットワーク セキュリティの稼動状態のリセット

診断レポートの生成

統計情報の表示

システム情報の表示

センサーのモニタリング


) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


IME を使用すると、パフォーマンス、統計情報、接続を含む、センサーのすべての側面をモニタできます。また、拒否攻撃者やイベントの一覧を表示することもできます。IP ロギングの設定、ホストとネットワーク ブロックの設定、レート制限の設定と管理を行うことができます。OS ID と異常検出をモニタできます。ここでは、センサーのモニタ方法について説明します。内容は次のとおりです。

「イベントのモニタリング」

「拒否攻撃者の設定とモニタリング」

「ホスト ブロックの設定」

「ネットワーク ブロックの設定」

「レート制限の設定」

「IP ロギングの設定」

「異常検出 KB のモニタリング」

「OS ID の設定」

「フロー状態のクリア」

「ネットワーク セキュリティの稼動状態のリセット」

「診断レポートの生成」

「統計情報の表示」

「システム情報の表示」

イベントのモニタリング

ここでは、センサー上のイベント データのフィルタおよび表示方法について説明します。内容は次のとおりです。

「[Events] ペイン」

「[Events] ペインのフィールド定義」

「[Event Viewer] ペインのフィールド定義」

「イベント表示の設定」

「イベント ストアのクリア」

[Events] ペイン

[Events] ペインでは、イベント データをフィルタおよび表示できます。イベント、時間、またはその両方に基づいて、イベントをフィルタリングできます。デフォルトでは、過去 1 時間のすべてのアラートとエラー イベントが表示されます。これらのイベントにアクセスするには、[View] をクリックします。

[View] をクリックすると、まだ時間範囲を設定していない場合、IME によりイベントの時間範囲が定義されます。範囲の終了時間を指定しないと、[View] をクリックした時間に定義されます。

多数のイベントをセンサーから取得するときのシステム エラーを防ぐため、IME では、一度に表示できるイベントの数が制限されています(ページあたりの最大行数は 500 です)。他のイベントを表示するには [Back] および [Next] をクリックします。

[Events] ペインのフィールド定義

[Events] ペインには次のフィールドがあります。

[Show Alert Events]:表示するアラートのレベルを設定できます。

[Informational]

[Low]

[Medium]

[High]

デフォルトでは、すべてのレベルがイネーブルになっています。

[Threat Rating (0-100)]:脅威レーティングの値の範囲(最小および最大レベル)を変更できます。

[Show Error Events]:表示するエラーの種類を設定できます。

[Warning]

[Error]

[Fatal]

デフォルトでは、すべてのレベルがイネーブルになっています。

[Show Attack Response Controller events]:ARC(旧称 Network Access Controller)イベントを表示します。デフォルトはディセーブルです。


) NAC は ARC と呼ばれていますが、Cisco IPS では、IME と CLI 全体での名称変更が完了していません。


[Show status events]:ステータス イベントを表示します。デフォルトはディセーブルです。

[Select the number of the rows per page]:ページあたりに表示する行数を指定できます。有効な範囲は 100 ~ 500 です。デフォルトは 100 です。

[Show all events currently stored on the sensor]:センサーに格納されているすべてのイベントを取得します。

[Show past events]:指定した時間または分だけ戻って以前のイベントを表示します。

[Show events from the following time range]:指定した時間範囲のイベントを取得します。

詳細情報

脅威レーティングの詳細については、「脅威レーティングの概要」を参照してください。

[Event Viewer] ペインのフィールド定義

[Event Viewer] ペインには次のフィールドがあります。

[#]:結果クエリー内のイベントの順序番号を示します。

[Type]:イベントの種類(Error、NAC、Status、Alert)を示します。

[Sensor UTC Time]:イベントが発生した日時を示します。

[Sensor Local Time]:センサーのローカル時刻。

[Event ID]:センサーによりイベントに割り当てられた数値 ID。

[Events]:イベントの簡単な説明。

[Sig ID]:アラート イベントを発生しその原因となったシグニチャを示します。

[Performed Actions]:センサーが実行したアクション。

イベント表示の設定

イベントの表示方法を設定するには、次の手順を実行します。


ステップ 1 IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Events] の順に選択します。

ステップ 3 [Show Alert Events] で、表示するアラートのレベルのチェックボックスをオンにします。

ステップ 4 [Threat Rating] フィールドに、脅威レーティングの最小および最大範囲を入力します。

ステップ 5 [Show Error Events] で、表示するエラーの種類のチェックボックスをオンにします。

ステップ 6 ARC(旧称 Network Access Controller)イベントを表示するには、[Show Attack Response Controller events] チェックボックスをオンにします。

ステップ 7 ステータス イベントを表示するには、[Show status events] チェックボックスをオンにします。

ステップ 8 [Select the number of the rows per page] フィールドに、ページあたりに表示する行の数を入力します。デフォルトは 100 です。値は 100、200、300、400、または 500 です。

ステップ 9 表示するイベントの時刻を設定するには、次のいずれかのオプション ボタンをクリックします。

[Show all events currently stored on the sensor]

[Show past events] :以前のイベントを表示するために戻る時間と分を入力します。

[Show events from the following time range] :開始時刻と終了時刻を入力します。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 10 [View] をクリックして設定したイベントを表示します。

ステップ 11 列内で上下にソートするには、右側をクリックして上下の矢印を表示します。

ステップ 12 100 個ずつページを移動するには [Next] または [Back] をクリックします。

ステップ 13 イベントの詳細を表示するには、[Details] をクリックします。イベントの詳細が別のダイアログボックスに表示されます。ダイアログボックスのタイトルはイベント ID になります。


 

イベント ストアのクリア

イベント ストアをクリアするには、 clear events コマンドを使用します。

イベント ストアからイベントをクリアするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes と入力してイベントをクリアします。


 

拒否攻撃者の設定とモニタリング

ここでは、拒否攻撃者リストをモニタする方法について説明します。内容は次のとおりです。

「[Denied Attackers] ペイン」

「[Denied Attackers] ペインのフィールド定義」

「拒否攻撃者リストのモニタリングと拒否攻撃者の追加」

[Denied Attackers] ペイン


拒否攻撃者リストをモニタおよびクリアするには、管理者である必要があります。


[Denied Attackers] ペインには、拒否攻撃者のすべての IP アドレスとヒット カウントが表示されます。すべての IP アドレスのヒット カウントをリセットするか、拒否攻撃者のリストをクリアできます。また、モニタ対象の拒否攻撃者を設定することもできます。


) リセットとクリアはテーブル中のすべての項目に適用されます。


[Denied Attackers] ペインのフィールド定義

[Denied Attackers] ペインには次のフィールドがあります。

[Virtual Sensor]:攻撃者を拒否している仮想センサー。


) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


[Attacker IP]:センサーが拒否している攻撃者の IP アドレス。

[Victim IP]:センサーが拒否している攻撃対象の IP アドレス。

[Port]:センサーが拒否しているホストのポート。

[Protocol]:攻撃者が使用しているプロトコル。

[Requested Percentage]:インライン モードのセンサーによって拒否するよう設定したトラフィックのパーセンテージ。

[Actual Percentage]:センサーが実際に拒否しているインライン モードのトラフィックのパーセンテージ。


) センサーは要求されたパーセンテージに正確に一致するように拒否しようとしますが、パーセンテージの小数部のため、要求されたしきい値を下回ることがあります。


[Hit Count]:その拒否攻撃者のヒット カウントを表示します。

拒否攻撃者リストのモニタリングと拒否攻撃者の追加

拒否攻撃者のリストおよびそのヒットカウントの表示、拒否攻撃者の追加と削除、拒否攻撃者リストのクリア、ヒット カウントのリセットを行うには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Denied Attackers] の順に選択します。

ステップ 3 リストを更新するには、[Refresh] をクリックします。

ステップ 4 拒否攻撃者のリスト全体をクリアするには、[Clear List] をクリックします。

ステップ 5 すべての拒否攻撃者についてヒット カウントを最初からやり直すには、[Reset All Hit Counts] をクリックします。

ステップ 6 拒否攻撃者をモニタ対象リストに追加するには [Add] をクリックします。

ステップ 7 [Attacker IP] フィールドに、攻撃者の IP アドレスを入力します。


) IPv4 および IPv6 IP アドレスを入力できます。


ステップ 8 [Specify Victim Address or Port] チェックボックスをオンにし、IP アドレスとポート番号を入力します。

ステップ 9 [Specify Virtual Sensor] チェックボックスをオンにし、ドロップダウン リストから仮想センサーを選択します。


ヒント 変更内容を破棄して [Denied Attackers] ペインに戻るには、[Cancel] をクリックします。

ステップ 10 [OK] をクリックして変更を保存します。拒否攻撃者が [Denied Attacker] リストに表示されます。

ステップ 11 リストから拒否攻撃者を削除するには、そのエントリを選択し、次に [Delete] をクリックします。


 

ホスト ブロックの設定

ここではホスト ブロックの設定方法について説明します。内容は次のとおりです。

「[Host Blocks] ペイン」

「[Host Block] ペインのフィールド定義」

「[Add Host Block] ダイアログボックスのフィールド定義」

「ホスト ブロックの追加、削除、管理」

[Host Blocks] ペイン


アクティブ ホスト ブロックを設定するには、管理者またはオペレータであることが必要です。


ホストのブロックを設定および管理するには、[Host Blocks] ペインを使用します。ホスト ブロックは、特定のホストからのトラフィックを永続的(ブロックを削除するまで)または指定した期間拒否します。接続に対するブロックは、宛先 IP アドレス、宛先プロトコル、ポートで指定できます。ホスト ブロックはその送信元 IP アドレスで定義します。既存のブロックと同じ送信元 IP アドレスのブロックを追加した場合、新しいブロックで古いブロックが上書きされます。

ブロックの期間を指定する場合、値の範囲は 1 ~ 70560 分(49 日間)です。期間を指定しない場合、ホスト ブロックは、センサーを再起動するかブロックを削除するまで有効なままになります。


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


[Host Block] ペインのフィールド定義

[Host Blocks] ペインには次のフィールドがあります。

[Source IP]:ブロックの送信元 IP アドレス。

[Destination IP]:ブロックの宛先 IP アドレス。

[Destination Port]:ブロックの宛先ポート。

[Protocol]:プロトコルの種類(TCP、UDP、または ANY)。デフォルトは ANY です。

[Minutes Remaining]:ブロックの残り時間(分単位)。

[Timeout (minutes)]:ブロックの元のタイムアウト値(分単位)。有効な値の範囲は 1 ~ 70560 分(49 日間)です。

[VLAN]:シグニチャを発生したデータを伝送した VLAN を示します。


) ブロック要求に VLAN ID が含まれていますが、セキュリティ アプライアンスには渡されません。管理コンテキストにログインしている場合、センサーは FWSM 2.1 以降をブロックできません。


[Connection Block Enabled]:ホストの接続をブロックするかどうか。


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


[Add Host Block] ダイアログボックスのフィールド定義

[Add Active Host Block] ダイアログボックスには次のフィールドがあります。

[Source IP]:ブロックの送信元 IP アドレス。

[Enable connection blocking]:ホストの接続をブロックするかどうか。

[Connection Blocking]:接続ブロックのパラメータを設定できます。

[Destination IP]:ブロックの宛先 IP アドレス。

[Destination Port (optional)]:ブロックの宛先ポート。

[Protocol (optional)]:プロトコルの種類(TCP、UDP、または ANY)。デフォルトは ANY です。


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


[VLAN (optional)]:シグニチャを発生したデータを伝送した VLAN を示します。


) ブロック要求に VLAN ID が含まれていますが、セキュリティ アプライアンスには渡されません。管理コンテキストにログインしている場合、センサーは FWSM 2.1 以降をブロックできません。


[Enable Timeout]:ブロックのタイムアウト値を分単位で設定できます。

[Timeout]:ブロックを継続する時間(分単位)。有効な値の範囲は 1 ~ 70560 分(49 日間)です。

[No Timeout]:ブロックのタイムアウトを設定しないことを選択できます。

ホスト ブロックの追加、削除、管理

ホスト ブロックを追加、削除、および管理するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] の順に選択し、[Add] をクリックしてホスト ブロックを追加します。

ステップ 3 [Source IP] フィールドに、ブロックするホストの送信元 IP アドレスを入力します。

ステップ 4 接続ベースのブロックを行うには、[Enable Connection Blocking] チェックボックスをオンにします。


) 接続ブロックは、特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。



) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


a. [Destination IP] フィールドに、宛先 IP アドレスを入力します。

b. (任意)[Destination Port] フィールドに宛先ポートを入力します。

c. (任意)[Protocol] ドロップダウン リストからプロトコルを選択します。

ステップ 5 (任意)[VLAN] フィールドに接続ブロックの VLAN を入力します。

ステップ 6 次のようにしてタイムアウトを設定します。

指定した期間についてブロックを設定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに時間を分単位で入力します。

ブロックの期間を指定しない場合は、[No Timeout] オプション ボタンをクリックします。


ヒント 変更内容を破棄して [Add Host Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 7 [Apply] をクリックします。新しいホスト ブロックが [Host Blocks] ペインのリストに表示されます。

ステップ 8 [Refresh] をクリックしてホスト ブロック リストの内容を更新します。

ステップ 9 ブロックを削除するには、リスト中でホスト ブロックを選択し、[Delete] をクリックします。[Delete Host Block] ダイアログボックスが開き、このブロックを削除してよいかどうかを確認するメッセージが表示されます。


ヒント 変更内容を破棄して [Delete Host Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 10 ブロックを削除するには [Yes] をクリックします。ホスト ブロックが [Host Blocks] ペインのリストに表示されなくなります。


 

ネットワーク ブロックの設定

ここではネットワーク ブロックの設定方法について説明します。内容は次のとおりです。

「[Network Blocks] ペイン」

「[Network Blocks] ペインのフィールド定義」

「[Add Network Block] ダイアログボックスのフィールド定義」

「ネットワーク ブロックの追加、削除、管理」

[Network Blocks] ペイン


ネットワーク ブロックを設定するには、管理者またはオペレータであることが必要です。


ネットワークのブロックを設定および管理するには、[Network Blocks] ペインを使用します。ネットワーク ブロックは、特定のネットワークからのトラフィックを永続的(ブロックを削除するまで)または指定した期間拒否します。ネットワーク ブロックは、その送信元 IP アドレスとネットマスクで定義します。ネットマスクはブロックされるサブネットを定義します。ホスト サブネット マスクも指定できます。

ブロックの期間を指定する場合、値の範囲は 1 ~ 70560 分(49 日間)です。期間を指定しない場合、ブロックは、センサーを再起動するかブロックを削除するまで有効なままになります。


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


[Network Blocks] ペインのフィールド定義

[Network Blocks] ペインには次のフィールドがあります。

[IP Address]:ブロックの IP アドレス。

[Mask]:ブロックのネットワーク マスク。

[Minutes Remaining]:ブロックの残り時間(分単位)。

[Timeout (minutes)]:ブロックの元のタイムアウト値(分単位)。有効な値の範囲は 1 ~ 70560 分(49 日間)です。

[Add Network Block] ダイアログボックスのフィールド定義

[Add Network Block] ダイアログボックスには次のフィールドがあります。

[Source IP]:ブロックの IP アドレス。

[Netmask]:ブロックのネットワーク マスク。

[Enable Timeout]:ブロックのタイムアウト値を分単位で指定します。

[Timeout]:ブロック期間を分単位で指定します。有効な値の範囲は 1 ~ 70560 分(49 日間)です。

[No Timeout]:ブロックのタイムアウトを設定しないことを選択できます。

ネットワーク ブロックの追加、削除、管理


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされていません。適応型セキュリティ アプライアンスは、追加の接続情報があるホスト ブロックだけをサポートします。


ネットワーク ブロックを追加、削除、および管理するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [NetworkBlocks] の順に選択し、[Add] をクリックしてネットワーク ブロックを追加します。

ステップ 3 [Source IP] フィールドに、ブロックするネットワークの送信元 IP アドレスを入力します。

ステップ 4 [Netmask] ドロップダウン リストから、ネットマスクを選択します。

ステップ 5 次のようにしてタイムアウトを設定します。

指定した期間についてブロックを設定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに時間を分単位で入力します。

ブロックの期間を指定しない場合は、[No Timeout] オプション ボタンをクリックします。


ヒント 変更内容を元に戻して [Add Network Block] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 6 [Apply] をクリックします。ブロックがすでに追加されている場合、エラー メッセージが表示されます。新しいネットワーク ブロックが [Network Blocks] ペインのリストに表示されます。

ステップ 7 [Refresh] をクリックしてネットワーク ブロック リストの内容を更新します。

ステップ 8 リスト中でネットワーク ブロックを選択し、[Delete] をクリックしてそのブロックを削除します。[Delete Network Block] ダイアログボックスで、このブロックを削除してよいかどうかを質問されます。

ステップ 9 ブロックを削除するには [Yes] をクリックします。ネットワーク ブロックが [Network Blocks] ペインのリストに表示されなくなります。


 

レート制限の設定

ここでは、レート制限の設定および管理方法について説明します。内容は次のとおりです。

「[Rate Limits] ペイン」

「[Rate Limits] ペインのフィールド定義」

「[Add Rate Limit] ダイアログボックスのフィールド定義」

「レート制限の追加、削除、管理」

[Rate Limits] ペイン


レート制限を追加するには、管理者であることが必要です。


レート制限を設定および管理するには [Rate Limits] ペインを使用します。レート制限は、ネットワーク デバイス インターフェイス上で許可される、指定した種類のトラフィックの量を、最大帯域幅キャパシティの特定のパーセンテージに制限します。このパーセンテージを超えるトラフィックは、ネットワーク デバイスによってドロップされます。レート制限は、指定したターゲット ホストへのトラフィックや、設定したインターフェイスまたは方向に通過するすべてのトラフィックを制限できます。レート制限は、永続的に使用するか、指定した期間使用できます。レート制限は、プロトコル、オプションの宛先アドレス、オプションのデータ値で識別されます。

レート制限はパーセンテージで指定されるため、帯域幅容量が異なるインターフェイス上では、実際に異なる制限に変換されます。レート制限パーセント値は、1 ~ 100 の間の整数であることが必要です。

[Rate Limits] ペインのフィールド定義

[Rate Limits] ペインには次のフィールドがあります。

[Protocol]:レート制限されるトラフィックのプロトコル。

[Rate]:レート制限されるトラフィックに許可される最大帯域幅のパーセンテージ。この制限を超える一致トラフィックはドロップされます。

[Source IP]:レート制限されるトラフィックの、送信元ホストの IP アドレス。

[Source Port]:レート制限されるトラフィックの送信元ホスト ポート。

[Destination IP]:レート制限されるトラフィックの、宛先ホストの IP アドレス。

[Destination Port]:レート制限されるトラフィックの宛先ホスト ポート。

[Data]:指定したプロトコルについて、より正確にトラフィックを限定するための、追加の識別情報。たとえば、echo-request は、ICMP プロトコル トラフィックをレート制限された ping に絞り込みます。

[Minutes Remaining]:レート制限が有効な残り時間(分単位)。

[Timeout (minutes)]:このレート制限の合計時間(分単位)。

[Add Rate Limit] ダイアログボックスのフィールド定義

[Add Rate Limit] ダイアログボックスには次のフィールドがあります。

[Protocol]:レート制限されるトラフィックのプロトコル(ICMP、TCP、または UDP)。

[Rate](1-100):レート制限されるトラフィックに許可される最大帯域幅のパーセンテージ。

[Source IP](任意):レート制限されるトラフィックの、送信元ホストの IP アドレス。

[Source Port](任意):レート制限されるトラフィックの、送信元ホストのポート。

[Destination IP](任意):レート制限されるトラフィックの、宛先ホストの IP アドレス。

[Destination Port](任意):レート制限されるトラフィックの、宛先ホストのポート。

[Use Additional Data]:echo-reply、echo-request、halfOpenSyn などの追加データを指定するかどうかを選択できます。

[Timeout]:タイムアウトをイネーブルにするかどうかを選択できます。

[No Timeout]:タイムアウトはイネーブルになっていません。

[Enable Timeout]:タイムアウトを分単位で指定できます(1 ~ 70560)。

レート制限の追加、削除、管理

レート制限を追加、削除、および管理するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Rate Limits] の順に選択し、[Add] をクリックしてレート制限を追加します。

ステップ 3 [Protocol] ドロップダウン リストから、レート制限するプロトコル(ICMP、TCP、または UDP)を選択します。

ステップ 4 [Rate] フィールドに、レート制限のパーセンテージ(1 ~ 100)を入力します。

ステップ 5 (任意)[Source IP] フィールドに、送信元 IP アドレスを入力します。

ステップ 6 (任意)[Source Port] フィールドに、送信元ポートを入力します。

ステップ 7 (任意)[Destination IP] フィールドに、宛先 IP アドレスを入力します。

ステップ 8 (任意)[Destination Port] フィールドに宛先ポートを入力します。

ステップ 9 (任意)追加のデータを使用するようにレート制限を設定するには、[Use Additional Data] チェックボックスをオンにします。

ステップ 10 [Select Data] ドロップダウン リストから、追加データ(echo-reply、echo-request、または halfOpenSyn)を選択します。

ステップ 11 次のようにしてタイムアウトを設定します。

レート制限の期間を指定しない場合は、[No Timeout] オプション ボタンをクリックします。

タイムアウトを分単位で指定するには、[Enable Timeout] オプション ボタンをクリックし、[Timeout] フィールドに期間(分単位で 1 ~ 70560)を入力します。


ヒント 変更内容を破棄して [Add Rate Limit] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 12 [Apply] をクリックします。新しいレート制限が [Rate Limits] ペインのリストに表示されます。

ステップ 13 [Refresh] をクリックして [Rate Limits] リストの内容を更新します。

ステップ 14 レート制限を削除するには、リストからレート制限を選択し、[Delete] をクリックします。[Delete Rate Limit] ダイアログボックスで、このレート制限を削除してよいかどうかを質問されます。


ヒント [Delete Rate Limit] ダイアログボックスを閉じるには、[No] をクリックします。

ステップ 15 レート制限を削除するには [Yes] をクリックします。レート制限はレート制限リストに表示されなくなります。


 

詳細情報

シグニチャにアクションを割り当てる手順については、「シグニチャへのアクションの割り当て」を参照してください。

IP ロギングの設定

ここでは、IP ロギングを設定する方法について説明します。内容は次のとおりです。

「IP ロギングについて」

「[IP Logging] ペイン」

「[IP Logging] ペインのフィールド定義」

「[Add IP Logging] および [Edit IP Logging] ダイアログボックスの定義」

「IP ロギングの設定」

IP ロギングについて


注意 IP ロギングを有効にすると、システムのパフォーマンスが低下します。

最も単純な IP ロギングは IP アドレスで構成されます。IP アドレスで指定したホストに関連するすべての IP トラフィックをキャプチャするように、センサーを設定できます。センサーは、この IP アドレスを含まれている最初のパケットを検出するとすぐに収集を開始し、設定したパラメータに従って収集を続けます。その IP アドレスで IP トラフィックをログに記録する時間(分単位)、パケットの数、バイト数などを指定できます。指定したパラメータが 1 つでも該当した時点で、センサーは IP トラフィックのロギングを停止します。

ログ ファイルは、次の 3 つの状態のいずれかになります。

[Added]:IP ロギングが追加されている場合

[Started]:センサーが最初のパケットを検出すると、ログ ファイルがオープンされ Started 状態になります。

[Completed]:IP ロギングの制限に達した場合。

3 つの状態すべてのファイルの数は 20 に制限されます。IP ログは、循環バッファに格納されます。循環バッファは、新しい IP ログによって古いログが上書きされるので、いっぱいになることがありません。


) ログは、センサーによって再利用されるまでセンサー上に保持されます。センサー上の IP ログ ファイルを管理することはできません。


IP ログ ファイルを WireShark や TCPDUMP などのスニフィング ツールで表示するために、FTP または SCP サーバにコピーすることができます。ファイルは、PCAP バイナリ形式で、pcap ファイル拡張子付きで保存されます。

[IP Logging] ペイン


IP ロギングを設定するには、管理者であることが必要です。


[IP Logging] ペインには、システム上でダウンロード可能なすべての IP ログが表示されます。IP ログは、2 通りの方法で生成されます。

[Add IP Logging] ダイアログボックスで IP ログを追加した場合

シグニチャのイベント アクションとして次のいずれかを選択した場合

Log Attacker Packets

Log Pair Packets

Log Victim Packets

このシグニチャに基づく攻撃をセンサーが検出したときに、IP ログが作成されます。IP ログをトリガーしたイベント アラートが IP ロギング テーブルに表示されます。

[IP Logging] ペインのフィールド定義

[IP Logging] ペインには次のフィールドがあります。

[Log ID]:IP ログの ID。

[Virtual Sensor]:IP ログが関連付けられている仮想センサー。


) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


[IP Address]:ログがキャプチャされているホストの IP アドレス。

[Status]:IP ログのステータス。有効な値は、added、started、または completed です。

[Start Time]:最初にキャプチャされたパケットのタイムスタンプ。

[Current End Time]:最後にキャプチャされたパケットのタイムスタンプ。キャプチャが完了していない場合、タイムスタンプはありません。

[Alert ID]:IP ログをトリガーしたイベント アラートが存在する場合、その ID。

[Packets Captured]:現在キャプチャされたパケット数。

[Bytes Captured]:現在キャプチャされたバイト数。

[Add IP Logging] および [Edit IP Logging] ダイアログボックスの定義

[Add IP Logging] および [Edit IP Logging] ダイアログボックスには次のフィールドがあります。

[Virtual Sensor]:IP ログをキャプチャする仮想センサーを選択できます。


) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


[IP Address]:ログがキャプチャされているホストの IP アドレス。


) IPv4 および IPv6 IP アドレスを入力できます。


[Maximum Values]:IP ロギングの値を設定できます。

[Duration]:パケットをキャプチャする最大期間。指定できる範囲は 1 ~ 60 分です。デフォルトは 10 分です。


) [Edit IP Logging] ダイアログボックスの場合、[Duration] フィールドは、編集内容を IP ロギングに適用した後で延長される時間です。


[Packets](任意):キャプチャする最大パケット数。範囲は 0 ~ 4294967295 パケットです。

[Bytes](任意):キャプチャする最大バイト数。有効な範囲は 0 ~ 4294967295 バイトです。

IP ロギングの設定

特定のホストの IP トラフィックを記録するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [IP Logging] の順に選択し、[Add] をクリックします。

ステップ 3 [Virtual Sensor] ドロップダウン リストから、IP ロギングを有効にする仮想センサーを選択します。

ステップ 4 [IP Address] フィールドに、IP ログのキャプチャ元ホストの IP アドレスを入力します。すでに存在し Added または Started 状態のキャプチャを追加しようとすると、エラー メッセージが表示されます。


) IPv4 および IPv6 IP アドレスを入力できます。


ステップ 5 [Duration] フィールドに、IP ログをキャプチャする時間(分単位)を入力します。指定できる範囲は 1 ~ 60 分です。デフォルトは 10 分です。

ステップ 6 (任意)[Packets] フィールドに、キャプチャするパケット数を入力します。範囲は 0 ~ 4294967295 パケットです。

ステップ 7 (任意)[Bytes] フィールドに、キャプチャするバイト数を入力します。範囲は 0 ~ 4294967295 パケットです。


ヒント 変更内容を破棄して [Add IP Log] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 8 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。IP ログが、ログ ID とともに [IP Logging] ペインのリストに表示されます。

ステップ 9 リスト中の既存のログ エントリを編集するには、エントリを選択して [Edit] をクリックします。

ステップ 10 [Duration] フィールドで、パケットをキャプチャする時間(分単位)を編集します。

ステップ 11 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。編集した IP ログが、[IP Logging] ペインのリストに表示されます。

ステップ 12 IP ロギングを停止するには、停止するログのログ ID を選択し、[Stop] をクリックします。

ステップ 13 [OK] をクリックしてそのログの IP ロギングを停止します。

ステップ 14 IP ログをダウンロードするには、ログ ID を選択し、[Download] をクリックします。

ステップ 15 ログをローカル マシンに保存します。WireShark を使用してログを表示できます。


 

異常検出 KB のモニタリング


) AIP SSC-5 は異常検出をサポートしていません。


ここでは、異常検出 KB の使用方法について説明します。内容は次のとおりです。

「[Anomaly Detection] ペイン」

「KB について」

「[Anomaly Detection] ペインのフィールド定義」

「しきい値の表示」

「KB の比較」

「現在の KB の保存」

「KB の名前変更」

「KB のダウンロード」

「KB のアップロード」

[Anomaly Detection] ペイン


) AIP SSC-5 は異常検出をサポートしていません。



異常検出 KB をモニタするためには、管理者であることが必要です。


[Anomaly Detection] ペインには、すべての仮想センサーの KB が表示されます。[Anomaly Detection] ペインで、次のアクションを実行できます。

特定の KB のしきい値の表示

KB の比較

KB のロード

KB を現在の KB にする

KB の名前変更

KB のダウンロード

KB のアップロード

特定の KB またはすべての KB の削除


) [Anomaly Detection] ボタンは、リスト中の 1 つの行のみが選択されている場合にアクティブになります。例外は、2 つの行を選択できる [Compare KBs] の場合です。それ以外の数の行が選択されている場合、どのボタンもアクティブになりません。


KB について

KB はツリー構造になっており、次の情報が含まれています。

KB 名

ゾーン名

Protocol

サービス

KB には、スキャナしきい値とヒストグラムがサービスごとに保存されます。学習受け入れモードを自動に設定し、アクションを [Rotate] に設定した場合、新しい KB は 24 時間ごとに作成され、作成後 24 時間にわたり使用されます。学習受け入れモードを自動に設定し、アクションを [Save Only] に設定すると、新しい KB は作成されますが、現在の KB が使用されます。学習受け入れモードを自動に設定しない場合、KB は作成されません。


) 学習受け入れモードでは、センサーのローカル時刻が使用されます。


スキャナしきい値は、1 つの送信元 IP アドレスがスキャンできるゾーン IP アドレスの最大数を定義します。ヒストグラムしきい値は、指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。

異常検出は、攻撃が行われていない状態で学習したヒストグラムからの逸脱を発見した場合(つまり、定義されている数を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスの数が超過した場合)、ワーム攻撃と認識します。たとえば、ポート 445 に対するスキャンしきい値が 300 の場合、異常検出は、350 個のゾーン宛先 IP アドレスをスキャンするスキャナを検出すると、マス スキャナが検出されたことを示すアクションを生成します。ただし、このスキャナでは、ワーム攻撃が進行中かどうかはまだ確認されていません。 表 19-1 で、この例について説明します。

 

表 19-1 ヒストグラムの例

送信元 IP アドレス数

10

5

2

宛先 IP アドレス数

5

20

100

異常検出は、ポート 445 で 50 を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスを 6 つ検出すると、ポート 445 でワーム攻撃が検出されたことを示す、送信元 IP アドレスの指定がないアクションを作成します。動的なフィルタしきい値の 50 が新しい内部スキャンしきい値となり、それにより異常検出はスキャナのしきい値定義を引き下げます。その結果、異常検出は、新しいスキャンしきい値(50)を超えてスキャンする送信元 IP アドレスごとに追加の動的フィルタを作成します。

KB が学習した内容を異常検出ポリシーまたはゾーンごとにオーバーライドできます。ネットワーク トラフィックの詳細が判明している場合は、偽陽性を制限するためにオーバーライドを使用する必要が生じることもあります。

[Anomaly Detection] ペインのフィールド定義

[Anomaly Detection] ペインには次のフィールドとボタンがあります。

[Virtual Sensor]:KB が属する仮想センサー。

[Knowledge Base Name]:KB の名前。


) デフォルトでは、KB は日付に応じて名前が設定されます。デフォルトの名前は日付と時刻です(year-month-day-hour_minutes_seconds)。初期 KB は、デフォルトのしきい値を持つ最初の KB です。


[Current]:[Yes] は、現在ロードされている KB を示します。

[Size]:KB のサイズ(キロバイト単位)。通常の範囲は、1 KB から、500 ~ 700 KB です。

[Created]:KB が作成された日付。

ボタンの機能

[Show Thresholds]:選択した KB の [Thresholds] ウィンドウを表示します。このウィンドウでは、選択した KB のスキャナしきい値とヒストグラムを表示できます。

[Compare KBs]:[Compare Knowledge Bases] ダイアログボックスを表示します。このダイアログボックスでは、選択されている KB と比較する KB を選択できます。[Differences between knowledge bases KB name and KB name ] ウィンドウが表示されます。

[Load]:選択した KB をロードし、現在使用されている KB にします。

[Save Current]:[Save Knowledge Base] ダイアログボックスを表示します。このダイアログボックスでは、選択した KB のコピーを保存できます。

[Rename]:[Rename Knowledge Base] ダイアログボックスを表示します。このダイアログボックスでは、選択した KB の名前を変更できます。

[Download]:[Download Knowledge Base From Sensor] ダイアログボックスを表示します。このダイアログボックスでは、リモート センサーから KB をダウンロードできます。

[Upload]:[Upload Knowledge Base to Sensor] ダイアログボックスを表示します。このダイアログボックスでは、KB をリモート センサーにアップロードできます。

[Delete]:選択した KB を削除します。

[Delete All]:すべての KB を削除します。

[Refresh]:[Anomaly Detection] ペインを更新します。

しきい値の表示

ここでは、KB しきい値情報の表示方法について説明します。内容は次のとおりです。

「[Threshold for KB_Name] ウィンドウ」

「[Thresholds for KB_Name] ウィンドウのフィールド定義」

「KB しきい値のモニタリング」

[Threshold for KB_Name] ウィンドウ

[Thresholds for KB_Name ] ウィンドウには、選択した KB の次のしきい値情報が表示されます。

ゾーン名

プロトコル

学習したスキャナしきい値

ユーザ スキャナしきい値

学習したヒストグラム

ユーザ ヒストグラム

しきい値情報は、ゾーン、プロトコル、ポートでフィルタできます。ゾーンとプロトコルの各組み合わせに対し、学習(デフォルト)モードまたはユーザ設定可能モードのいずれかについて、スキャナしきい値とヒストグラムしきい値の 2 つのしきい値が表示されます。

[Thresholds for KB_Name ] ウィンドウのフィールド定義

[Thresholds for KB_Name ] ウィンドウには次のフィールドがあります。

[Filters]:ゾーンまたはプロトコルでしきい値情報をフィルタできます。

[Zones]:全ゾーン、外部のみ、不正のみ、または内部のみでフィルタします。

[Protocols]:全プロトコル、TCP のみ、UDP のみ、その他のみでフィルタします。


) 特定のプロトコルを選択した場合、すべてのポートまたは単一のポート(TCP および UDP)、すべてのプロトコル、単一のプロトコル(その他)に対してフィルタすることもできます。


[Zone]:ゾーン名(external、internal、illegal)を一覧表示します。

[Protocol]:プロトコル(TCP、UDP、または Other)を一覧表示します。

[Scanner Threshold (Learned)]:スキャナしきい値の学習した値を一覧表示します。

[Scanner Threshold (User)]:スキャナしきい値のユーザ設定値を一覧表示します。

[Histogram (Learned)]:ヒストグラムしきい値の学習した値を一覧表示します。

[Histogram (User)]:ヒストグラムしきい値のユーザ設定値を一覧表示します。

KB しきい値のモニタリング

KB しきい値をモニタするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 [Anomaly Detection] ペインを更新し最新の KB 情報を表示するには、[Refresh] をクリックします。

ステップ 4 KB のしきい値を表示するには、リスト中の KB を選択し、[Show Thresholds] をクリックします。[Thresholds for KB_Name ] ウィンドウが表示されます。デフォルト表示には、すべてのゾーンとすべてのプロトコルが表示されます。

ステップ 5 1 つのゾーンのみを表示するように表示をフィルタするには、[Zones] ドロップダウン リストからゾーンを選択します。

ステップ 6 1 つのプロトコルのみを表示するように表示をフィルタするには、[Protocols] ドロップダウン リストからプロトコルを選択します。デフォルトの表示には、TCP または UDP プロトコルの場合はポートが表示され、その他のプロトコルの場合はすべてのプロトコルが表示されます。

ステップ 7 TCP または UDP の単一のポートを表示するように表示をフィルタするには、[Single Port] オプション ボタンをクリックし、[Port] フィールドにポート番号を入力します。

ステップ 8 その他のプロトコルで単一のポートを表示するように表示をフィルタするには、[Single Protocol] オプション ボタンをクリックし、[Protocol] フィールドにプロトコル番号を入力します。

ステップ 9 ウィンドウを最新のしきい値情報で更新するには、[Refresh] をクリックします。


 

[Compare Knowledge Base] ダイアログボックス

2 つの KB を比較し、その間の違いを表示できます。また、しきい値の差が指定したパーセンテージを超えているサービスを表示することもできます。[Details of Difference] 列には、特定のポートまたはプロトコルが現れる KB か、しきい値パーセンテージの違いが表示されます。

フィールド定義

[Compare Knowledge Bases] ダイアログボックスには次のフィールドがあります。

すべての KB が含まれるドロップダウン リスト

[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウ

[Differences between knowledge base KB_Name and KB_Name ] ウィンドウには、次の種類の情報が表示されます。

ゾーン

プロトコル

差異の詳細

表示する差異のパーセンテージを指定できます。デフォルトは 10% です。

フィールド定義

[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウには次のフィールドがあります。

[Specify Percentage of Difference]:デフォルトを 10% から変更し、異なる差異パーセンテージを表示できます。

[Zone]:KB の差異のゾーンを表示します(internal、illegal、または external)。

[Protocol]:KB の差異のプロトコルを表示します(TCP、UDP、または Other)。

[Details of Difference]:第 2 の KB の差異の詳細を表示します。

[Difference Thresholds between knowledge bases KB_Name and KB_Name ] ウィンドウ

[Differences Thresholds between knowledge base KB_Name and KB_Name ] ウィンドウには、次の種類の情報が表示されます。

ナレッジ ベース名

ゾーン名

プロトコル

スキャナしきい値(学習およびユーザ設定)

ヒストグラム(学習およびユーザ設定)

フィールド定義

[Differences Thresholds between knowledge base KB_Name and KB_Name ] ウィンドウには、次の種類の情報が表示されます。

[Knowledge Base]:KB 名が表示されます。

[Zone]:ゾーン名が表示されます(internal、illegal、または external)。

[Protocol]:プロトコルが表示されます(TCP、UDP、または Other)。

[Scanner Threshold (Learned)]:スキャナしきい値の学習した値を一覧表示します。

[Scanner Threshold (User)]:スキャナしきい値のユーザ設定値を一覧表示します。

[Histogram (Learned)]:ヒストグラムしきい値の学習した値を一覧表示します。

[Histogram (User)]:ヒストグラムしきい値のユーザ設定値を一覧表示します。

KB の比較

2 つの KB を比較するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 [Anomaly Detection] ペインを最新の KB 情報で更新するには、[Refresh] をクリックします。

ステップ 4 リスト中で比較する KB を選択し、[Compare KBs] をクリックします。

ステップ 5 ドロップダウン リストから、比較で使用する他の KB を選択します。


) また、Ctrl キーを押しながら 2 つの KB を選択することもできます。


ステップ 6 [OK] をクリックします。[Differences between knowledge bases KB_Name and KB_Name ] ウィンドウが表示されます。


) 2 つの KB に違いがない場合、リストは空になります。


ステップ 7 差異のパーセンテージを 10% から変更するには、[Specify Percentage of Difference] フィールドに新しい値を入力します。

ステップ 8 差異の詳細を表示するには、行を選択して [Details] をクリックします。[Difference Thresholds between knowledge bases KB_Name and KB_Name ] ウィンドウに詳細が表示されます。


 

現在の KB の保存

ここでは、現在の KB の保存、ロード、削除方法について説明します。内容は次のとおりです。

「[Save Knowledge Base] ダイアログボックス」

「KB のロード」

「KB の保存」

「KB の削除」

「KB の名前変更」

「KB のダウンロード」

「KB のアップロード」

[Save Knowledge Base] ダイアログボックス

KB を異なる名前で保存できます。KB を保存しようとしたときに異常検出がアクティブでない場合、エラーが生成されます。KB 名がすでに存在する場合は、新しい名前を選択するか、デフォルトを使用して古い KB を上書きします。また、KB ファイルのサイズが制限されているため、新しいKB が生成されて制限に達すると、最も古い KBが削除されます(現在の KB または初期 KB でない限り)。


) 初期 KB は上書きできません。


フィールド定義

[Save Knowledge Base] ダイアログボックスには次のフィールドがあります。

[Virtual Sensor]:保存した KB の仮想センサーを選択できます。

[Save As]:デフォルトの名前をそのまま使用するか、保存する KB の新しい名前を入力します。

KB のロード


) KB をロードすると現在の KB に設定されます。


KB をロードするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 リスト中でロードする KB を選択し、[Load] をクリックします。[Load Knowledge Base] ダイアログボックスが開き、ナレッジ ベースをロードしてよいかどうかを確認するメッセージが表示されます。

ステップ 4 [Yes] をクリックします。この KB の [Current] 列が [Yes] になります。


 

KB の保存

KB を新しい KB および仮想センサーとともに保存するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 リスト中で新しい KB として保存する KB を選択し、[Save Current] をクリックします。

ステップ 4 [Virtual Sensor] ドロップダウン リストから、この KB を適用する仮想センサーを選択します。

ステップ 5 [Save As] フィールドで、デフォルトの名前をそのまま使用するか、KB の新しい名前を入力します。


ヒント 変更内容を破棄して [Save Knowledge Base] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 6 [Apply] をクリックします。KB が新しい名前で [Anomaly Detection] ペインのリストに表示されます。


 

KB の削除


) 現在の KB としてロードされている KB や初期 KB は削除できません。


KB を削除するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 リスト中で削除する KB を選択し、[Delete] をクリックします。[Delete Knowledge Base] ダイアログボックスが開き、ナレッジ ベースを削除してよいかどうかを確認するメッセージが表示されます。

ステップ 4 [Yes] をクリックします。KB が [Anomaly Detection] ペインのリストに表示されなくなります。


 

KB の名前変更


) 初期 KB の名前は変更できません。


KB の名前を変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 リスト中で名前を変更する KB を選択し、[Rename] をクリックします。

ステップ 4 [New Name] フィールドに KB の新しい名前を入力します。

ステップ 5 [Apply] をクリックします。新しい名前の KB が [Anomaly Detection] ペインのリストに表示されます。


 

KB のダウンロード

FTP または SCP プロトコルを使用して、KB を離れた場所にダウンロードできます。リモート URL、ユーザ名、パスワードを知っている必要があります。

フィールド定義

[Download Knowledge Base From Sensor] ダイアログボックスには次のフィールドがあります。

[File Transfer Protocol]:ファイル転送プロトコルとして SCP または FTP を選択できます。

[IP address]:KB のダウンロード元のリモート センサーの IP アドレス。

[Directory]:リモート センサー上の KB が存在するパス。

[File Name]:KB のファイル名。

[Username]:リモート センサー上のユーザ アカウントに対応するユーザ名。

[Password]:リモート センサー上のユーザ アカウントのパスワード。

KB のダウンロード

センサーから KB をダウンロードするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 センサーから KB をダウンロードするには、[Download] をクリックします。

ステップ 4 [File Transfer Protocol] ドロップダウン リストから、使用するプロトコル(SCP または FTP)を選択します。

ステップ 5 [IP address] フィールドに、KB のダウンロード元のセンサーの IP アドレスを入力します。

ステップ 6 [Directory] フィールドに、センサー上の KB が存在するパスを入力します。

ステップ 7 [File Name] フィールドに、KB のファイル名を入力します。

ステップ 8 [Username] フィールドに、センサー上のユーザ アカウントに対応するユーザ名を入力します。

ステップ 9 [Password] フィールドに、センサー上のユーザ アカウントのパスワードを入力します。


ヒント 変更を破棄してダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 10 [Apply] をクリックします。新しい KB が [Anomaly Detection] ペインのリストに表示されます。


 

KB のアップロード

FTP または SCP プロトコルを使用して、KB を離れた場所からアップロードできます。リモート URL、ユーザ名、パスワードを知っている必要があります。

フィールド定義

[Upload Knowledge Base to Sensor] ダイアログボックスには次のフィールドがあります。

[File Transfer Protocol]:ファイル転送プロトコルとして SCP または FTP を選択できます。

[IP address]:KB のアップロード先のリモート センサーの IP アドレス。

[Directory]:センサー上の KB が存在するパス。

[File Name]:KB のファイル名。

[Virtual Sensor]:この KB を関連付ける仮想センサー。

[Save As]:KB を新しいファイル名で保存できます。

[Username]:センサー上のユーザ アカウントに対応するユーザ名。

[Password]:センサー上のユーザ アカウントのパスワード。

KB のアップロード

センサーに KB をアップロードするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [Anomaly Detection] の順に選択します。

ステップ 3 センサーに KB をアップロードするには、[Upload] をクリックします。

ステップ 4 [File Transfer Protocol] ドロップダウン リストから、使用するプロトコル(SCP または FTP)を選択します。

ステップ 5 [IP address] フィールドに、KB のダウンロード先センサーの IP アドレスを入力します。

ステップ 6 [Directory] フィールドに、センサー上の KB が存在するパスを入力します。

ステップ 7 [File Name] フィールドに、KB のファイル名を入力します。

ステップ 8 [Virtual Sensor] ドロップダウン リストから、この KB を適用する仮想センサーを選択します。

ステップ 9 [Save As] フィールドに、新しい KB の名前を入力します。

ステップ 10 [Username] フィールドに、センサー上のユーザ アカウントに対応するユーザ名を入力します。

ステップ 11 [Password] フィールドに、センサー上のユーザ アカウントのパスワードを入力します。


ヒント 変更を破棄してダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 12 [Apply] をクリックします。新しい KB が [Anomaly Detection] ペインのリストに表示されます。


 

OS ID の設定

ここでは、センサーの学習した OS およびインポートした OS マップを表示する方法について説明します。内容は次のとおりです。

「学習したオペレーティング システムの設定」

「インポートしたオペレーティング システムの設定」

学習したオペレーティング システムの設定


) [Learned OS] ペインのリストのクリアまたはエントリの削除を行うには、管理者またはオペレータであることが必要です。


[Learned OS] ペインには、ネットワーク上のトラフィックを観察することでセンサーが学習した OS マップが表示されます。センサーは、TCP セッションのネゴシエーションを調べて、各ホストで動作している OS を判定します。

リストのクリアまたは 1 つのエントリの削除を行うには、行を選択して [Delete] をクリックします。[Refresh] をクリックしてリストを更新します。現在表示されている、テーブル内の学習した OS を、カンマ区切りの Excel ファイル(CSV を使用)または HTML ファイルにエクスポートするには、[Export] をクリックします。また、 Ctrl-C を使用して内容をクリップボードにコピーし、後で Ctrl-V を使用してメモ帳や Word に貼り付けることもできます。


) パッシブ OS フィンガープリントがイネーブルなままで、ホストがまだネットワーク上で通信している場合、学習した OS マップにはすぐに情報が設定されます。


フィールド定義

[Learned OS] ペインには次のフィールドがあります。

[Virtual Sensor]:OS の値が関連付けられている仮想センサー。


) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


[Host IP Address]:OS 値がマッピングされている IP アドレス。

[OS Type]:IP アドレスに関連付けられている OS の種類。

値の削除と学習した OS リストのクリア

学習した OS 値の削除またはリスト全体のクリアを行うには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [OS Identifications] > [Learned OS] の順に選択します。

ステップ 3 リスト中の 1 つのエントリを削除するには、そのエントリを選択し、[Delete] をクリックします。学習した OS の値が [Learned OS] ペインのリストに表示されなくなります。

ステップ 4 学習した OS の値の最新のリストを取得するには、[Refresh] をクリックします。学習した OS のリストが更新されます。

ステップ 5 学習した OS の値をすべてクリアするには、[Clear List] をクリックします。学習した OS のリストが空になります。

ステップ 6 学習した OS のリストを CSV および HTML 形式で保存するには、[Export] をクリックします。また、 Ctrl-C を使用して [Learned OS] ペインの内容をコピーし、 Ctrl-V を使用してメモ帳や Word に内容をコピーすることもできます。


 

詳細情報

設定された OS マップの追加、編集、削除、移動の詳細については、「OS ID の設定」を参照してください。

インポートしたオペレーティング システムの設定


) [Imported OS] ペインのリストのクリアまたはエントリの削除を行うには、管理者またはオペレータであることが必要です。


CSA MC が外部インターフェイス製品として設定されている場合、[Imported OS] ペインには、センサーが CSA MC からインポートした OS マップが表示されます。外部製品インターフェイスを追加するには、[Configuration] > [External Product Interfaces] を選択します。リストのクリアまたは 1 つのエントリの削除を行うには、行を選択して [Delete] をクリックします。

フィールド定義

[Imported OS] ペインには次のフィールドがあります。

[Host IP Address]:OS 値がマッピングされている IP アドレス。

[OS Type]:IP アドレスに関連付けられている OS の種類。

値の削除とインポートした OS リストのクリア

インポートした OS 値の削除またはリスト全体のクリアを行うには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Dynamic Data] > [OS Identifications] > [Imported OS] の順に選択します。

ステップ 3 リスト中の 1 つのエントリを削除するには、そのエントリを選択し、[Delete] をクリックします。インポートした OS の値が [Imported OS] ペインのリストに表示されなくなります。

ステップ 4 インポートした OS の値をすべてクリアするには、[Clear List] をクリックします。インポートした OS のリストが空になります。

ステップ 5 最新のインポートされた OS の値でペインを更新するには、[Refresh] をクリックします。


 

詳細情報

外部製品インターフェイスの詳細については、「外部製品インターフェイスの設定」を参照してください。

フロー状態のクリア

ここでは、センサー データベースのクリア方法について説明します。内容は次のとおりです。

「[Clear Flow States] ペイン」

「[Clear Flow States] ペインのフィールド定義」

「フロー状態のクリア」

[Clear Flow States] ペイン


注意 アラート データベースをクリアすると、進行中のすべてのサマリー アラートが削除され、最終的なサマリー アラートが生成されなくなります。アラート データベースは、トラブルシューティング目的でのみクリアすることをお勧めします。

[Clear Flow States] ペインでは、ノード、アラート、インスペクタ データベースなど、データベースの内容の一部または全部をクリアできます。仮想センサー名を指定しない場合、すべての仮想センサー データベースがクリアされます。


) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


データベース中のノードをクリアすると、再起動したかのようにセンサーが最初から開始されます。オープンされているすべての TCP ストリームの情報が削除され、新しいパケットが受信されるのに従って、新しい TCP ストリーム ノードが作成されます。

インスペクタ データベースをクリアすると、TCP および状態情報は保持されますが、将来アラートにつながる可能性があるすべての検査レコードは削除されます。新しいパケットの取得に従い、新しい検査レコードが作成されます。

アラート データベースをクリアすると、アラート データベースは完全にクリアされます。

[Clear Flow States] ペインのフィールド定義

[Clear Flow States] ペインには次のフィールドがあります。

[Clear Nodes]:パケット ノード、TCP セッション情報、インスペクタ リストを含め、パケット データベース要素全体をクリアします。

[Clear Inspectors]:ノード中に格納されているインスペクタ リストをクリアします。TCP セッション情報やノードはクリアされません。インスペクタ リストは、センサーの動作中に収集されたパケット作業と観察を表します。

[Clear Alerts](非推奨):アラート ノード、メタ インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベースをクリアします。


注意 アラート データベースをクリアすると、進行中のすべてのサマリー アラートが削除され、最終的なサマリー アラートが生成されなくなります。アラート データベースは、トラブルシューティング目的でのみクリアすることをお勧めします。

[Clear All]:すべての仮想センサー データベースをクリアします。

[Specify a Single Virtual Sensor (otherwise all virtual sensors will be cleared)]:特定の仮想センサーのデータベースをクリアできます。

フロー状態のクリア

フロー状態をクリアするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Properties] > [Clear Flow States] の順に選択します。

ステップ 3 クリアする値のオプション ボタンをクリックします。

[Clear Nodes]

[Clear Inspectors]

[Clear Alerts](非推奨)

[Clear All]


注意 アラート データベースをクリアすると、進行中のすべてのサマリー アラートが削除され、最終的なサマリー アラートが生成されなくなります。アラート データベースは、トラブルシューティング目的でのみクリアすることをお勧めします。

ステップ 4 1 つの仮想センサーのフロー状態をクリアするには、[Specify a Single Virtual Sensor (otherwise all virtual sensors will be cleared)] チェックボックスをオンにします。すべての仮想センサーのフロー状態をクリアするには、手順 6 に進みます。

ステップ 5 ドロップダウン リストから、フロー状態をクリアする仮想センサーを選択します。

ステップ 6 [Clear Flow State Now] をクリックします。


 

ネットワーク セキュリティの稼動状態のリセット


ネットワーク セキュリティの稼動状態をリセットするには、管理者であることが必要です。



) AIM IPS、AIP SSC-5、および NME IPS では仮想化がサポートされていません。


[Reset Network Security Health] ペインでは、ネットワーク セキュリティの稼動状態のステータスと計算をリセットできます。これにより、[Home] ページの [Network Security Health] ガジェットがクリアされます。仮想センサー名を指定しない場合、すべての仮想センサーのネットワーク セキュリティ稼動状態情報がクリアされます。

フィールド定義

[Reset Network Security Health] ペインには次のフィールドがあります。

[Specify a Single Virtual Sensor (otherwise network security for all virtual sensors will be reset)]:特定の仮想センサーのネットワーク セキュリティ データをクリアできます。

ネットワーク セキュリティの稼動状態データのリセット

ネットワーク セキュリティの稼動状態データをリセットするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Properties] > [Reset Network Security Health] の順に選択します。

ステップ 3 1 つの仮想センサーのネットワーク セキュリティ稼動状態をリセットするには、[Specify a Single Virtual Sensor (otherwise network security for all virtual sensors will be reset)] チェックボックスをオンにします。すべての仮想センサーのデータをリセットするには、ステップ 5 に進みます。

ステップ 4 ドロップダウン リストから、ネットワーク セキュリティ稼動状態データをクリアする仮想センサーを選択します。

ステップ 5 [Reset Network Security Health Now] をクリックします。[Home] ページの [Network Security Health] ガジェットのデータがクリアされます。


) [Network Security] ガジェットに表示される脅威しきい値を変更するには、[Configuration] > sensor_name > [Event Action Rules] > [rules0] > [Risk Category] の順に選択します。



 

詳細情報

ネットワーク セキュリティ データが含まれる [Sensor Health] ガジェットの詳細については、「[Sensor Health] ガジェット」を参照してください。

センサーの稼動状態を設定するための手順については、「センサーのヘルスの設定」を参照してください。

リスク カテゴリを設定するための手順については、「リスク カテゴリの設定」を参照してください。

診断レポートの生成


診断を実行するには、管理者であることが必要です。



) 診断レポートの生成には数分かかります。


トラブルシューティング用に、センサーの診断情報を取得できます。診断レポートには、ログ、ステータス、設定など、TAC がセンサーをトラブルシューティングするときに使用するための、システム内部の情報が含まれています。[Diagnostics Report] ペインでレポートを表示するか、[Save] をクリックしてハードディスク ドライブにレポートを保存できます。

ボタンの定義

[Diagnostics Report] ペインには次のボタンがあります。

[Save]:[Save As] ダイアログを開きます。このダイアログでは、診断レポートのコピーをハードディスク ドライブに保存できます。

[Generate Report]:診断処理を開始します。

この処理が完了するまでに数分の時間がかかることがあります。処理が完了した後、レポートが生成され、更新後のレポートで表示が更新されます。

診断レポートの生成


注意 診断処理を開始した後は、IME の他のオプションをクリックしたり [Diagnostics] ペインを閉じたりしないでください。センサーに対する他の作業は、この処理が完了してから実行する必要があります。

診断を実行するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] の順に選択し、[Generate Report] をクリックします。


) 診断処理は、完了までに数分かかります。処理が完了したら、更新後の結果で表示が更新されます。


ステップ 3 このレポートをファイルとして保存するには、[Save] をクリックします。[Save As] ダイアログボックスが開きます。このダイアログでは、レポートをハードディスク ドライブに保存できます。


 

統計情報の表示

[Statistics] ペインには、次のカテゴリの統計情報が表示されます。

分析エンジン

[Analysis Engine] セクションにはグローバル相関統計情報も含まれています。

Anomaly Detection

Event Store

External Product Interface

Host

Interface Configuration

Logger

Network Access(Attack Response Controller と呼ばれるようになりました)

Notification

OS Identification

Transaction Server

Virtual Sensor

Web Server

ボタンの定義

[Statistics] ペインには次のボタンがあります。

[Refresh]:センサー アプリケーションに関する最新情報を表示します。これには、Web Server、Transaction Source、Transaction Server、Network Access Controller、Logger、Host、Event Store、Analysis Engine、Interface Configuration、および Authentication が含まれています。


) Network Access Controller(Cisco IPS 5.1 からは Attack Response Controller と呼ばれるようになりました)は、統計情報出力に引き続き Network Access Controller として表示されます。


統計情報の表示

センサーの統計情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] の順に選択します。

ステップ 3 統計情報が変化したときに更新するには、[Refresh] をクリックします。


 

システム情報の表示

[System Information] ペインには、次の情報が表示されます。

TAC 連絡先情報

プラットフォーム情報

ブートしたパーティション

ソフトウェア バージョン

アプリケーションのステータス(MainApp、Analysis Engine、および CollaborationApp)

インストール済みアップグレード

PEP 情報

メモリ使用量

ディスク使用量

ボタンの定義

[System Information] ペインには次のボタンがあります。

[Refresh]:ソフトウェア バージョンや PEP 情報など、センサーに関する最新情報を表示します。

システム情報の表示

システム情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [System Information] の順に選択します。[System Information] ペインに、システムに関する情報が表示されます。

ステップ 3 [Refresh] をクリックします。ペインが更新され、新しい情報が表示されます。