Cisco Security Manager 4.0 ユーザ ガイド
IPS シグニチャの定義
IPS シグニチャの定義
発行日;2012/02/02 | 英語版ドキュメント(2010/07/28 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

IPS シグニチャの定義

シグニチャの設定

シグニチャについて

Cisco NSDB へのアクセス

シグニチャ継承について

シグニチャの編集 - 重大度、忠実度評価、およびアクション

シグニチャのイネーブル化とディセーブル化

シグニチャのクローニング

カスタム シグニチャの追加

シグニチャ パラメータの編集(シグニチャの調整)

シグニチャの設定値の設定

シグニチャ ポリシー

[Signatures] ページ

[Edit Signature] ダイアログボックス

行のショートカット メニュー

[Add Custom Signature] ダイアログボックス

[Update Level] ダイアログボックス

アクションのショートカット メニュー

[Edit Actions] ダイアログボックス

[Edit Fidelity] ダイアログボックス

Cisco NSDB へのアクセス

[Edit Signature Parameters] ダイアログボックス

エンジンのオプション

[Edit Signature Parameter - Component List] ダイアログボックス

[Add Signature Parameter - List Entry] ダイアログボックス

[Edit Signature Parameter - List Entry] ダイアログボックス

[Obsoletes] ダイアログボックス

[Add an Entry] ダイアログボックス

[Settings] ページ

IPS シグニチャの定義

Security Manager を使用すると、専用の IPS アプライアンスやサービス モジュール、または Cisco IOS IPS デバイスに IPS シグニチャを設定できます。Cisco IOS IPS のシグニチャを設定する場合、ルータでは、専用のアプライアンスやサービス モジュールほどは多くのシグニチャを使用できないことに注意してください。

この章は、次の内容で構成されています。

「シグニチャの設定」

「シグニチャの設定値の設定」

「シグニチャ ポリシー」

シグニチャの設定

Signatures ポリシーで、Cisco IPS センサーのシグニチャを設定します。

「シグニチャについて」

「Cisco NSDB へのアクセス」

「シグニチャ継承について」

「シグニチャの編集 - 重大度、忠実度評価、およびアクション」

「シグニチャのイネーブル化とディセーブル化」

「シグニチャのクローニング」

「カスタム シグニチャの追加」

「シグニチャ パラメータの編集(シグニチャの調整)」


) IPv6 は、Security Manager でサポートされていません。


シグニチャについて

ネットワークへの侵入とは、ネットワーク リソースへの攻撃、またはネットワーク リソースの不正使用を指しています。Cisco IPS センサーおよび Cisco IOS IPS デバイスでは、シグニチャベースのテクノロジーを使用して、ネットワーク侵入を検出します。シグニチャによって、センサーが検出およびレポートするネットワーク侵入のタイプを指定します。センサーは、ネットワーク パケットをスキャンするときに、シグニチャを使用して、Denial of Service(DoS; サービス拒絶)攻撃などの既知のタイプの攻撃を検出し、定義したアクションに従って対応します。

基本的なレベルでは、シグニチャベースの侵入検知テクノロジーは、ウイルス チェック プログラムにたとえることができます。Cisco IPS には、センサーがネットワーク アクティビティと照合するシグニチャのセットが含まれています。一致が見つかると、センサーは、イベントのロギングや、Security Manager Event Viewer へのアラームの送信などのアクションを実行します。

シグニチャによって false positive が生成される場合もあります。通常のネットワーク アクティビティであっても、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、一部のネットワーク アプリケーションやオペレーティング システムは、多数の ICMP メッセージを送信することがありますが、シグニチャベースの検出システムでは、このメッセージが攻撃者によるネットワーク セグメント特定の試みであると解釈されてしまう可能性があります。シグニチャ パラメータを編集(シグニチャを調整)することにより、false positive を最小限に抑えることができます。

Cisco NSDB へのアクセス

Cisco Network Security Database(NSDB)は、Security Manager のユーザ インターフェイスからアクセスまたは起動できます。

NSDB は、IPS で使用されるシグニチャとこれらのシグニチャがベースにしている脆弱性に関するセキュリティ情報のデータベースです。NSDB には、センサーで検出できる各攻撃シグニチャに関する説明が格納されています。

Security Manager では、IPS Signatures ポリシーのコンテンツ領域のテーブルに、デフォルトで複数のカラムが含まれており、そのうちの 1 つに [Signature ID] があります。[Signature ID] カラムには、NSDB へのハイパーリンクが含まれています。[ID] カラムのリンクをクリックすると、そのシグニチャの MySDN 内のエントリを開く外部ブラウザ ウィンドウが開きます。

MySDN(My Self-Defending Network を表します)は、現在の脆弱性と脅威に関する最新のインテリジェンス レポートを提供しています。また、ネットワークを保護し、修復に優先順位を付け、組織のリスクを減らすようにシステムを構築するために役立つ高度なセキュリティ項目に関する情報も提供しています。詳細については、http://www.cisco.com/go/MySDN を参照してください。

Cisco.com にアクセスできる場合、シグニチャ ID は MySDN にリンクされています。Cisco.com にアクセスできない場合、シグニチャ ID は NSDB のローカル コピーにリンクされています。Security Manager によって、Cisco.com にアクセスできるかどうかが検出され、適切なリンクが作成されるため、ユーザはプリファレンスを設定する必要がありません。

IPS 5.x、IPS 6.0、および IOS IPS の一部のシグニチャには、特殊な文字が含まれています。組み込みシグニチャは、IPS 自体とともに提供されているため、追加や削除、または名前を変更することはできません(「組み込み」とは、自分で作成したシグニチャ以外のすべてのシグニチャを意味します)。組み込みシグニチャの情報(名前、ID など)は NSDB と同様に表示されます。もう 1 つのタイプのシグニチャであるカスタム シグニチャは、自分で作成したシグニチャです。カスタム シグニチャには、MySDN リンクは含まれていません。


ヒント NSDB 内の特定のシグニチャの場合、「Release Version」はシグニチャが最初に表示された IPS または最後に変更された IPS のバージョンを指します。「Release Version」は、特定のシグニチャを調べるときにヘッダー情報の左下に表示されます。


シグニチャ継承について

IPS デバイスのシグニチャ継承は、他のどの Security Manager ポリシーの場合とも異なります。継承とは、最初に一致した規則ベースのポリシーの階層リスト(アクセス規則など)を適用する、Security Manager の機能のことです。シグニチャ継承での相違点は、IPS デバイスの場合、Security Manager によってシグニチャ単位の継承が可能になる点です。

次の例は、シグニチャ単位の継承がどのように行われるかを示しています。


ステップ 1 ポリシー ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 2 test1 という名前のポリシーを作成します。

ステップ 3 test2 という名前の 2 つ目のポリシーを作成します。

ステップ 4 [test 2] を右クリックし、[Inherit Signatures] を選択します。[Inherit Rules - test 2] ダイアログボックスが表示されます。

ステップ 5 [test1] を選択し、[OK] ボタンをクリックします。

ステップ 6 [test1] を選択し、シグニチャを編集します。編集した内容をメモし、変更内容を保存します。

ステップ 7 [test2] を選択し、編集したシグニチャを選択します。test2 が、test1 に対して行った編集内容を継承していることを確認します。


 

シグニチャの編集 - 重大度、忠実度評価、およびアクション

Cisco IPS シグニチャの次のプロパティを編集できます。

[Enable]:特定のシグニチャに関してネットワーク トラフィックをスキャンし、攻撃が検出されたらアラームを生成するようにセンサーを設定します。シグニチャをディセーブルにすると、センサーは、シグニチャを示すネットワーク トラフィックをすべて無視します。

[Retire]:シグニチャ マイクロ エンジンからシグニチャを削除します。


) 廃棄されたシグニチャをイネーブルにすることができますが、廃棄されたシグニチャはシグニチャ マイクロ エンジンに含まれていないため、トラフィックのスキャンには使用されません。特定のシグニチャに関してネットワーク トラフィックをセンサーでスキャンする場合は、そのシグニチャをイネーブルにし、廃棄はしないでください。



) AIP-SSC-5 では、廃棄されたシグニチャをイネーブルにすることはできません。


[Activate]:[Retired] フィールドの値を [No] から [Yes] に変更します。

[Sig Fidelity Rating (SFR)]:ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。この評価には、0 ~ 100 の任意の数字を指定できます。100 は、シグニチャの信頼性が最も高いことを意味します。

[Severity]:攻撃を分類します。重大度の設定は、記録される攻撃タイプを区別するために、Security Monitor の Event Viewer で使用されます。

[Action]:攻撃を検出した場合に、アラームの生成に加えて、センサーが実行するアクション(1 つまたは複数)を決定します。アクションは、Cisco IPS 6.x での用語であり、以前はイベント アクションまたはアラームと呼ばれていました。シグニチャ イベントに関連付けられているアクティビティを追加または削除するために、さまざまなアクションを設定できます。

[Signature Name]:新しいシグニチャを追加するときに使用します(シグニチャのすべてのカテゴリまたはグループ化に使用するわけではありません)。

シグニチャの次のプロパティは編集できません。

[Signature ID]:シグニチャの ID。Security Manager によって生成されます(カスタマー シグニチャに対してだけ生成されます)。

[Subsig ID]:サブシグニチャ ID を指定します(すべてのシグニチャに使用されるわけではありません)。たとえば、すべてのストリング照合型シグニチャには、Security Manager によって生成されたサブシグニチャ ID が含まれています。また、すべての ACL 違反シグニチャには、Security Manager によって生成されたサブシグニチャ ID が含まれています。ACL 違反シグニチャを作成した場合、[Subsig ID] フィールドには、リスト内で最も大きい数を持つサブシグニチャよりも 1 だけ大きい値が挿入されます。

一部のシグニチャには、次に示す特徴があります。

組み込みシグニチャは、センサー ソフトウェアとともに提供されているため、追加や削除、または名前を変更することはできません。

カスタム シグニチャは、新しい 5.x または 6.x センサーでは提供されていません。カスタム シグニチャを作成したり、既存のカスタム シグニチャを変更したりできます。ただし、別のカスタム シグニチャと同じ ID を持つカスタム シグニチャを作成することはできません。

組み込みシグニチャの名前や ID など、組み込みシグニチャに関する情報には、組み込みシグニチャが Cisco Network Security Database(NSDB)に記録される方法が反映されています。[Signatures] ページで NSDB を表示するには、[ID] カラムでシグニチャ ID(2000 など)をクリックします。[ID] カラムのエントリは、NSDB へのハイパーリンクになっています。

一部のシグニチャには、次に示す特別な要件があります。たとえば、ACL 違反シグニチャを検出するようにセンサーを設定するには、ACL 違反を記録するように 1 つ以上の Cisco IOS ルータを最初に設定する必要があります。次に、センサーと通信するようにそれらのルータを設定する必要があります。最後に、これらのルータから syslog トラフィックを受信するようにセンサーを設定する必要があります。

シグニチャを編集するには、次の手順を実行します。


ステップ 1 デバイス ビューで、編集するシグニチャが登録されているセンサーを選択します。

ステップ 2 デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。シグニチャ サマリー テーブルが表示されます。

シグニチャ テーブルの表示はフィルタリングできます。フィルタ リストを使用して、表示されている任意のカラムをフィルタ ソースとして選択します。次に、隣接フィールドに値を入力し、[Apply] をクリックします。たとえば、リスト ボックスで [Severity] を選択し、隣接フィールドに値 High を入力します。[Apply] をクリックすると、重大度が高いすべてのシグニチャがシグニチャ テーブルに表示されます。フィルタリングをキャンセルする場合は、[Clear] をクリックします。

ステップ 3 [Signatures] ページのサマリー テーブルで、編集するシグニチャを探し、その行を右クリックします。行のショートカット メニューが表示されます。

ステップ 4 行のショートカット メニューで、[Edit Row] をクリックします。[Edit Signature] ダイアログボックスが表示されます。


) デフォルトのポリシーは編集できないため、シグニチャ設定を変更する場合は、デバイスのローカル ポリシー内のシグニチャ設定を上書きする必要があります。上書きするには、[Source Policy] リスト ボックスから [Local] を選択します。ソース ポリシーを [Local] に変更すると、コントロールがイネーブルになります。


ステップ 5 重大度、忠実度、またはアクションを編集する場合は、これらのフィールドで新しい値を選択します。

ステップ 6 [OK] をクリックします。編集されたシグニチャ プロパティが、[Signatures] ページのサマリー テーブルに表示されます。


 

シグニチャのイネーブル化とディセーブル化

シグニチャをイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 デバイス ビューで、イネーブルまたはディセーブルにするシグニチャが登録されているセンサーを選択します。

ステップ 2 デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 3 [Signatures] ページのサマリー テーブルで、イネーブルまたはディセーブルにするシグニチャを探し、その行を右クリックします。行のショートカット メニューが表示されます。

ステップ 4 行のショートカット メニューで、[Enable] または [Disable] をクリックします。シグニチャが、[Signatures] ページのサマリー テーブルで、イネーブルまたはディセーブルとして表示されます。


 

シグニチャのクローニング

シグニチャを複製するには、次の手順を実行します。


ステップ 1 デバイス ビューで、複製するシグニチャが登録されているセンサーを選択します。

ステップ 2 デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 3 [Signatures] ページのサマリー テーブルで、複製するシグニチャを探し、その行を右クリックします。行のショートカット メニューが表示されます。

ステップ 4 行のショートカット メニューで、[Clone] をクリックします。[Add Custom Signature] ダイアログボックスが表示されます。

ステップ 5 複製したシグニチャのプロパティを編集します。

ステップ 6 [OK] をクリックします。複製したシグニチャが、[Signatures] ページのサマリー テーブルに表示されます。


) 複製したシグニチャは、デフォルトでイネーブルおよびアクティブになります。



 

カスタム シグニチャの追加

カスタム シグニチャを追加するには、次の手順を実行します。


) AIP-SSC-5 では、カスタム シグニチャはサポートされていません。



ステップ 1 デバイス ビューで、カスタム シグニチャを追加するセンサーを選択します。

ステップ 2 デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 3 [Signatures] ページのサマリー テーブルで、行(任意の行)を右クリックします。行のショートカット メニューが表示されます。

ステップ 4 行のショートカット メニューで、[Add Row] をクリックします。[Add Custom Signature] ダイアログボックスが表示されます。


ワンポイント アドバイス ステップ 3 と 4 を実行する代わりに、テーブルの下部にある [Add] ボタンをクリックすることもできます。


ステップ 5 [Edit Parameters] ボタンをクリックします。[Edit Signature Parameters] ダイアログボックスが表示されます。[Edit Signature Parameters] ダイアログボックスの [OK] ボタンを必ずクリックしてください。パラメータを編集する必要はありませんが、[Cancel] ボタンを最初にクリックすると、カスタム シグニチャは作成されません。

ステップ 6 [OK] をクリックします。カスタム シグニチャが、[Signatures] ページのサマリー テーブルに表示されます。


) カスタム シグニチャは、デフォルトでイネーブルおよびアクティブになります。



 

シグニチャ パラメータの編集(シグニチャの調整)

センサーを設定したあとに、ネットワークで最適なパフォーマンスを実現し、特に false positive と false negative を最小限に抑えるために、センサーのパラメータを編集(調整)する必要があります。

false positive は、ウイルス スキャンなどの正当なネットワーク アクティビティが攻撃として解釈およびレポートされた場合に発生します。これは、攻撃が行われる前に、攻撃を識別するために指定されている基準をネットワーク アクティビティが満たした場合に発生します。センサーの設定を調整することにより、false positive の数を減らすことができます。

false negative は、攻撃が検出されなかった場合に発生します。センサーの設定を調整することにより、false negative の数を減らすことができます。

ここでは、シグニチャ パラメータを編集する(シグニチャを調整する)方法について説明します。


ステップ 1 デバイス ビューで、デバイス セレクタから IPS デバイスを選択します。

ステップ 2 デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 3 [Signatures] ページのサマリー テーブルで、編集するパラメータが含まれたシグニチャを探し、その行を右クリックします。行のショートカット メニューが表示されます。

ステップ 4 [Edit Row] をクリックします。[Edit Signature] ダイアログボックスが表示されます。

ステップ 5 [Source Policy] フィールドで、設定を [Local] に変更して、編集を実行できるようにします。

ステップ 6 [Edit Parameters] をクリックします。[Edit Signature Parameters] ダイアログボックスが表示されます。

ステップ 7 Engine など、目的のカテゴリで、必要な設定(Fragment Status など)を選択し、使用可能な値(Fragmented など)から 1 つの値を選択します。

ステップ 8 [OK] ボタンをクリックして、変更を保存します。


 

シグニチャの設定値の設定

[Settings] ページで、Cisco IPS センサーのシグニチャの設定値を設定します。これらの設定によって、アプリケーション ポリシー(HTTP のイネーブル化、HTTP 要求の最大数、AIC Web ポート、および FTP のイネーブル化)、フラグメント再構築ポリシー、ストリーム再構築ポリシー、および IP ロギング ポリシーを定義します。これらの設定は、共有はできるが継承はされないポリシーとなります。新しい IPS デバイスを追加すると、そのデバイスには、すべてのシグニチャのデフォルト設定を含むローカル ポリシーが適用されます。

シグニチャの設定のポリシーは、次の設定を使用して定義されます。

[Enable HTTP]

[Max HTTP Requests]

[AIC Web Ports]

[Enable FTP]

[IP Reassembly Mode]

[TCP Handshake Required]

[TCP Reassembly Mode]

[Max IP Log Packets]

[IP Log Time]

[Max IP Log Bytes]

シグニチャの設定値の設定は、次の 4 つの作業で構成されています。


ステップ 1 アプリケーション ポリシーを定義します。 HTTP をイネーブルまたはディセーブルにし、HTTP 要求の最大数を決定および指定し、AIC Web ポートを指定して、FTP をイネーブルまたはディセーブルにします。これらの設定の詳細については、表 29-39を参照してください。

ステップ 2 フラグメント再構築ポリシーを定義します。 IP 再構築モードを選択して、複数のパケットにわたってフラグメント化されたデータグラムを再構築するように、センサーを設定します。IP 再構築モードの詳細については、表 29-39を参照してください。

ステップ 3 ストリーム再構築ポリシーを定義します。 TCP ハンドシェイクを必須とするかどうかを指定し、TCP 再構築モードを選択して、完全なスリーウェイ ハンドシェイクによって確立された TCP セッションだけをモニタするように、センサーを設定します。これらの設定の詳細については、表 29-39を参照してください。

ステップ 4 IP ロギング ポリシーを定義します。 許可される最大ログ パケット数、IP ログ時間、および許可される最大 IP ログ サイズを決定および選択して、センサーが攻撃を検出したときに IP セッション ログを生成するように、センサーを設定します。これらの設定の詳細については、表 29-39を参照してください。


 

シグニチャ ポリシー

デバイス ビューの [Signatures] フォルダからアクセスするページを使用して、シグニチャおよびその設定値を設定できます。

次の各項では、[Signatures] フォルダから使用可能なメイン ページについて説明します。

「[Signatures] ページ」

「[Settings] ページ」

[Signatures] ページ

[Signatures] ページを使用して、IPS シグニチャの編集および削除を実行できる、シグニチャ サマリー テーブルを表示します。このページで、シグニチャをイネーブルまたはディセーブルにして、ポリシー内のアクティブなシグニチャ セットを調整できます。このページを使用して、エンジンからシグニチャをアンロードすることもできます。シグニチャ サマリー テーブルでは、カスタム シグニチャを追加したり、Cisco NSDB にアクセスしたりすることもできます。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Intrusion Prevention System] > [Signatures] > [Signatures] を選択します。[Signatures] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Edit Signature] ダイアログボックス」

「行のショートカット メニュー」

「アクションのショートカット メニュー」

「[Edit Actions] ダイアログボックス」

「Cisco NSDB へのアクセス」

フィールド リファレンス

 

表 29-1 シグニチャ サマリー テーブル

要素
説明

[ID]

シグニチャ ID。このシグニチャに割り当てられた一意の数値を示します。この値により、センサーは特定のシグニチャを識別します。[ID] カラムのリンクをクリックすると、ブラウザ ウィンドウが起動し、シグニチャの MySDN のエントリが開きます。このカラムはデフォルトで表示されます。

[Sub]

サブシグニチャ ID。このサブシグニチャに割り当てられた一意の数値を示します。サブシグニチャ ID によって、広範なシグニチャのより詳細なバージョンが識別されます。このカラムはデフォルトで表示されます。

[Name]

シグニチャに割り当てられている名前を示します。このカラムはデフォルトで表示されます。

[Action]

このシグニチャが起動されたときにセンサーが実行するアクションを示します。

[Action] で行った変更は、選択したすべての行に反映されます。このカラムはデフォルトで表示されます。

[Severity]

シグニチャによってレポートされる重大度レベル([High]、[Informational]、[Low]、[Medium])を示します。

[Severity] で行った変更は、選択したすべての行に反映されます。このカラムはデフォルトで表示されます。

[Fidelity]

ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Fidelity] で行った変更は、選択したすべての行に反映されます。このカラムはデフォルトで表示されます。

[Source]

シグニチャの設定を上書きする、継承階層内の一番低いポリシーを表示します。このカラムはデフォルトで表示されます。

[Enabled]

シグニチャをこのポリシーでイネーブルにするかどうかを指定します。シグニチャで指定されている攻撃からの保護をセンサーが提供するには、シグニチャをイネーブルにする必要があります。

値は次のとおりです。

[true]。シグニチャはこのポリシーでイネーブルになります。

[false]。シグニチャはこのポリシーでディセーブルになります。

[Base Risk Rating]

各シグニチャの基本リスク レーティング値を表示します。

[Retired]

シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。このカラムはデフォルトで表示されます。

ワンポイント アドバイス [Retired] カラムを使用して、IOS-IPS デバイス上のディセーブルにしたシグニチャをアンロードし、そのデバイスのメモリ使用量を最適な量にします。

シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired] フィールドの値は [false] と [true] のどちらかになります。[false] の場合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。

シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired] フィールドの値は次の 4 つのいずれかになります。

[false]:シグニチャは廃棄されません。

[low-mem-retired]:シグニチャは、メモリ容量が少ないプラットフォームで廃棄されます。

(注) IOS IPS デバイスの [Retired] フィールドを [low-mem-retired] に設定すると、展開の前に、Security Manager は、[low-mem-retired] を [false] に変更します。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。

(注) IOS IPS デバイスの [Retired] フィールドを [med-mem-retired] に設定すると、展開の前に、Security Manager は、[med-mem-retired] を [false] に変更します。

[true]:シグニチャは廃棄されます。

RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラットフォームとして分類されます。

RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中程度のプラットフォームとして分類されます。

RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォームとして分類されます。

という用語とは異なります。

注意 Security Manager は廃棄の調整をデバイスにプッシュし、それらの調整はデバイス上の実行コンフィギュレーションに反映されます。ただし、これは、シグニチャが実際にデバイスで廃棄されることを保証するものではありません。デバイス上におけるシグニチャの実際の状態は、デバイスの RAM の容量によって異なります。

[Obsolete]

シグニチャが古いかどうかを示します。古いシグニチャは、シグニチャ エンジンから削除されます。再度アクティブにすることはできません。このカラムはデフォルトで表示され、読み取り専用です。

[Engine]

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。このカラムはデフォルトで表示されます。

[View Update Level] ボタン

このボタンをクリックして、現在のデバイスの [Update Level] ダイアログボックスを開きます。

[Export to File] ボタン

このボタンをクリックして、現在のデバイスのシグニチャ サマリーを Comma Separated Value(CSV; カンマ区切り値)ファイルにエクスポートします。Security Manager サーバ上のフォルダを選択し、ファイル名を指定するように要求されます。

[Add] ボタン

[Add Custom Signature] ダイアログボックスを開きます。

[Edit] ボタン

[Edit Signature] ダイアログボックスを開きます。複数の行を選択すると、[Edit] 行オプションが無効になります。

[Delete] ボタン

選択したシグニチャをテーブルから削除します。[Delete] ボタンが有効になるのは、選択した一連の行にカスタム シグニチャだけが含まれている場合だけです。

[Edit Signature] ダイアログボックス

シグニチャ設定のソースをデフォルト ポリシー以外にする場合は、[Edit Signature] ダイアログボックスを使用します。デフォルトのポリシーは編集できないため、シグニチャの設定を変更する場合は、デバイスのローカル ポリシーのシグニチャ設定を上書きする必要があります。上書きするには、[Source Policy] ドロップダウン リストから [Local] を選択します。ソース ポリシーを [Local] に変更すると、コントロールがイネーブルになります。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Edit] ボタンをクリックして、[Edit Signature] ダイアログボックスを開きます。

関連項目

「[Edit Actions] ダイアログボックス」

「[Edit Signature Parameters] ダイアログボックス」

「エンジンのオプション」

フィールド リファレンス

 

表 29-2 [Edit Signature] ダイアログボックス

メニュー コマンド
説明

[Source Policy]

値は、[Default] または [Local] です。新たに追加したデバイスの場合、シグニチャ設定のソースは Default ポリシーになります。このポリシーは編集できないため、これらの設定の値を変更する場合は、[Local] を選択して、デバイスのローカル ポリシーの設定値を上書きする必要があります。

[Inheritance Mandatory]

選択すると、このポリシーから継承されるすべてのポリシーで、定義されたシグニチャ設定が使用されるようになります。

[Enabled] チェックボックス

シグニチャをイネーブルにするかどうかを指定します。

[Severity]

シグニチャによってレポートされる重大度レベル([High]、[Informational]、[Low]、[Medium])を示します。

[Fidelity Rating]

ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Actions]

このシグニチャが起動されたときにセンサーが実行するアクションを示します。アクションの一覧については、「[Edit Actions] ダイアログボックス」を参照してください。

[Base Risk Rating]

シグニチャの基本リスク レーティング値を設定します。リスク レーティングは、忠実度評価と重大度係数を掛け合わせたものを 100 で割ることによって(忠実度評価 x 重大度係数 /100)基本リスク レーティングとして計算されます。

重大度係数の値は次のとおりです。

重大度係数 = 100(シグニチャの重大度レベルが [High] の場合)

重大度係数 = 75(シグニチャの重大度レベルが [Medium] の場合)

重大度係数 = 50(シグニチャの重大度レベルが [Low] の場合)

重大度係数 = 25(シグニチャの重大度レベルが [Informational] の場合)

[Engine]

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。

という用語とは異なります。

注意 Security Manager は廃棄の調整をデバイスにプッシュし、それらの調整はデバイス上の実行コンフィギュレーションに反映されます。ただし、これは、シグニチャが実際にデバイスで廃棄されることを保証するものではありません。デバイス上におけるシグニチャの実際の状態は、デバイスの RAM の容量によって異なります。

[Retired]

シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。このカラムはデフォルトで表示されます。

ワンポイント アドバイス [Retired] カラムを使用して、IOS-IPS デバイス上のディセーブルにしたシグニチャをアンロードし、そのデバイスのメモリ使用量を最適な量にします。

シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired] フィールドの値は [false] と [true] のどちらかになります。[false] の場合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。

シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired] フィールドの値は次の 4 つのいずれかになります。

[false]:シグニチャは廃棄されません。

[low-mem-retired]:シグニチャは、メモリ容量が少ないプラットフォームで廃棄されます。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。

[true]:シグニチャは廃棄されます。

RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラットフォームとして分類されます。

RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中程度のプラットフォームとして分類されます。

RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォームとして分類されます。

という用語とは異なります。

[Obsolete]

シグニチャが古いかどうかを示します。古いシグニチャは、シグニチャ エンジンから削除されます。再度アクティブにすることはできません。

[Restore Defaults] ボタン

シスコによって定義されているデフォルト値に戻します。

[Edit Parameters] ボタン

[Edit Signature Parameters] ダイアログボックスを開きます。

行のショートカット メニュー

[Signature Summary] テーブルで、シグニチャを追加および編集できるショートカット メニューにアクセスできます。このショートカット メニューは、[Actions]、[Severity]、および [Fidelity] を除くすべてのカラムで使用できます。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Actions]、[Severity]、または [Fidelity] 以外のカラム内のセルを右クリックします。

関連項目

「アクションのショートカット メニュー」

「[Edit Actions] ダイアログボックス」

「Cisco NSDB へのアクセス」

フィールド リファレンス

 

表 29-3 行のショートカット メニューのオプション

メニュー コマンド
説明

[Add] ボタン

[Add Custom Signature] ダイアログボックスを開きます。

[Edit] ボタン

[Edit Signature] ダイアログボックスを開きます。複数の行を選択すると、[Edit] 行オプションが無効になります。

[Delete] ボタン

選択したシグニチャをテーブルから削除します。[Delete] ボタンが有効になるのは、選択した一連の行にカスタム シグニチャだけが含まれている場合だけです。

[Clone]

[Add Custom Signature] ダイアログボックスが開き、選択したシグニチャのプロパティが表示されます。これにより、選択したシグニチャに設定されている設定値を使用して、カスタム シグニチャを作成できます。

[Enable]/[Disable]

シグニチャをイネーブルまたはディセーブルな状態にします。ディセーブルなシグニチャは、網掛けされて表示されます。

[Show Events]

選択したシグニチャによって検出されたリアルタイムのイベントまたは過去のイベントを表示するために、MARS へのナビゲーションをイネーブルにします。

[Add Custom Signature] ダイアログボックス

[Add Custom Signature] ダイアログボックスを使用して、カスタム シグニチャを作成します。[Add Custom Signature] ダイアログボックスで、名前を入力し、ドロップダウン リストから既存のエンジンを選択します。シグニチャ ID とサブシグニチャ ID は、Security Manager によって割り当てられます。残りのパラメータの選択を終了すると、新しいシグニチャは、[Signatures] ページの適切な数値位置に追加され、選択された状態になります。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Add] ボタンをクリックし、[Add Custom Signature] ダイアログボックスを開きます。

関連項目

「[Edit Signature Parameters] ダイアログボックス」

「エンジンのオプション」

フィールド リファレンス

 

表 29-4 [Add Custom Signatures] ダイアログボックス

メニュー コマンド
説明

[Name]

シグニチャの名前。

[Engine]

シグニチャに使用するエンジンを指定します。「エンジンのオプション」を参照してください。

という用語とは異なります。

[Actions]

このシグニチャが起動されたときにセンサーが実行するアクションを示します。アクションの一覧については、「[Edit Actions] ダイアログボックス」を参照してください。

[Enabled] チェックボックス

シグニチャをイネーブルにするかどうかを指定します。

[Severity]

シグニチャによってレポートされる重大度レベル([High]、[Informational]、[Low]、[Medium])を示します。

[Retired]

シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。

エンジン レベルが E-4 よりも少ないシグニチャ パッケージでカスタム シグニチャを作成した場合、[Retired] フィールドは表示されません。

エンジン レベルが E-4 であるシグニチャ パッケージでカスタム シグニチャを作成した場合、[Retired] フィールドには次の 3 つの値が表示されます。

[false]:シグニチャは廃棄されません。

[low-mem-retired]:シグニチャは、メモリ容量が少ないプラットフォームで廃棄されます。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。

RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラットフォームとして分類されます。

RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中程度のプラットフォームとして分類されます。

RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォームとして分類されます。

という用語とは異なります。

注意 Security Manager は廃棄の調整をデバイスにプッシュし、それらの調整はデバイス上の実行コンフィギュレーションに反映されます。ただし、これは、シグニチャが実際にデバイスで廃棄されることを保証するものではありません。デバイス上におけるシグニチャの実際の状態は、デバイスの RAM の容量によって異なります。

[Fidelity Rating]

ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Risk Rating]

シグニチャの基本リスク レーティング値を設定します。リスク レーティングは、忠実度評価と重大度係数を掛け合わせたものを 100 で割ることによって(忠実度評価 x 重大度係数 /100)基本リスク レーティングとして計算されます。

重大度係数の値は次のとおりです。

重大度係数 = 100(シグニチャの重大度レベルが [High] の場合)

重大度係数 = 75(シグニチャの重大度レベルが [Medium] の場合)

重大度係数 = 50(シグニチャの重大度レベルが [Low] の場合)

重大度係数 = 25(シグニチャの重大度レベルが [Informational] の場合)

[Edit Parameters] ボタン

[Edit Signature Parameters] ダイアログボックスを開きます。「[Edit Signature Parameters] ダイアログボックス」を参照してください。

[Update Level] ダイアログボックス

Security Manager で適用される更新パッケージと、IPS デバイスに展開される更新パッケージとの間のデルタを表示します。

適用と展開との間の相違は、次の場合に発生する可能性があります。

デバイスが、Security Manager の外部で更新された。

Security Manager で更新がポリシーに適用されたが、デバイスにまだパブリッシュされていない。

Security Manager の初回の展開時に、デバイスがまだ Security Manager の制御下にない。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[View Update Level] ボタンをクリックして、[Update Level for...] ダイアログボックスを開きます。

フィールド リファレンス

 

表 29-5 [Update Level for] ダイアログボックス

メニュー コマンド
説明

[Applied Level]

このカラムには、Security Manager でこのデバイスに適用されるパッチ レベルが表示されます。

[Deployed Level]

このカラムには、選択したデバイスで現在実行されているパッチ レベルが表示されます。

[Major Update]

メジャー更新レベルを示します。

[Minor Update]

マイナー更新レベルを示します。

[Service Pack]

サービス パック レベルを示します。

[Patch]

パッチ レベルを示します。

[Engine]

エンジン レベルを示します。

[Signature Update]

シグニチャ更新レベルを示します。

(注) このフィールドは、このページにおいて、IOS IPS デバイスに適用される唯一のフィールドです。その他のフィールドはすべて、IPS デバイス専用です。

[Revert] ボタン

誤って [Applied Level] を変更した場合は、新しい [Applied Level] を廃棄できます、[Revert] をクリックすると、[Applied Level] が [Deployed Level] に同期されます。

ヒント 復元が実行される前に、警告ダイアログが表示されます。アクティビティを送信するかどうかを確認する警告ダイアログも表示されます。

アクションのショートカット メニュー

[Signature Summary] テーブルで、アクションを追加および削除できるショートカット メニューにアクセスできます。このショートカット メニューは、[Actions] カラムでだけ使用できます。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Actions] カラムのセルを右クリックします。

関連項目

「行のショートカット メニュー」

「[Edit Actions] ダイアログボックス」

「Cisco NSDB へのアクセス」

フィールド リファレンス

 

表 29-6 アクションのショートカット メニューのオプション

メニュー コマンド
説明

[Add to Actions]

選択したシグニチャの現在のアクション リストにアクションを追加します。

[Delete from Actions]

選択したシグニチャの現在のアクション リストからアクションを削除します。

[Replace Actions With]

選択したシグニチャの現在のアクション セットを、選択した単一のアクションに置き換えます。

[Edit Actions]

[Edit Actions] ダイアログボックスを開きます。

[Edit Actions] ダイアログボックス

[Edit Actions] ダイアログボックスを使用して、[Add to Actions] または [Replace Actions with] のメニューにないアクションを選択したり、複数のアクションを選択したりします。


) [Edit Actions] ダイアログボックスを開いた場合、表示されるアクションのリストは状況に応じて変わります。アクションのリストは、(1)[Actions] カラムで 1 つのシグニチャ行だけを右クリックしたか、(2)[Actions] カラムで右クリックする前に複数のシグニチャ行を選択したか、によって変わります。[Actions] カラムで 1 つのシグニチャ行だけを右クリックした場合、アクションのリストは、そのシグニチャのエンジンのリストになります。[Actions] カラムで右クリックする前に、複数のシグニチャを選択した場合、アクションのリストは、影響を受ける各エンジンで使用できるリストになります(リストには、共通のアクションが含まれます。選択したシグニチャのすべてのアクションが含まれるわけではありません)。


ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Actions] カラムのセルを右クリックします。ショートカット メニューから [Edit Actions] を選択します。

関連項目

「行のショートカット メニュー」

「アクションのショートカット メニュー」

「Cisco NSDB へのアクセス」

フィールド リファレンス

 

表 29-7 [Edit Actions] ダイアログボックス

メニュー コマンド
説明

[Deny Attacker Inline]

指定された期間、この攻撃者のアドレスからの、現在のパケットおよび将来のパケットを終了します。

[Deny Attacker/Service Pair Inline]

指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアについては、現在のパケットおよび将来のパケットを送信しません。

[Deny Attacker/Victim Pair Inline]

指定された期間、この攻撃者と攻撃対象のアドレスのペアについては、現在のパケットおよび将来のパケットを送信しません。

[Deny Connection Inline]

TCP フローの現在のパケットおよび将来のパケットを終了します。

[Deny Packet Inline]

パケットを終了します。

[Log Attacker Packets]

攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。

[Log Pair Packets]

攻撃者と攻撃対象のアドレスのペアが含まれているパケットに対する IP ロギングを開始します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。

[Log Victim Packets]

攻撃対象のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。

[Modify Packet Inline]

エンドポイントによるパケットの処理に関するあいまいさを取り除くために、パケット データを変更します。

[Product Alert]

イベントをアラートとしてイベント ストアに書き込みます。

[Produce Verbose Alert]

攻撃パケットの符号化されたダンプをアラートに含めます。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。

[Request Block Connection]

この接続をブロックする要求を送信します。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。

[Request Block Host]

この攻撃者ホストをブロックする要求を送信します。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。

[Request Rate Limit]

レート制限を実行するレート制限要求を送信します。レート制限デバイスは、このアクションを実行するように設定されている必要があります。

[Request SNMP Trap]

センサーに要求を送信して、SNMP 通知を実行します。このアクションを実行すると、Produce Alert が選択されていない場合でも、アラートが書き込まれます。このアクションを実行するように、センサー上で SNMP を設定している必要があります。

[Reset TCP Connection]

TCP リセットをハイジャックに送信し、TCP フローを終了します。TCP 接続のリセットは、単一接続を分析する TCP シグニチャに対してだけ機能します。スイープまたはフラッドに対しては機能しません。

[Edit Fidelity] ダイアログボックス

[Edit Fidelity] ダイアログボックスを使用して、特定のシグニチャの [Fidelity Rating] で変更を行います。忠実度評価、または Signature Fidelity Rating(SFR; シグニチャの忠実度評価)は、ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。この評価には、0 ~ 100 の任意の数字を指定できます。100 は、シグニチャの信頼性が最も高いことを意味します。

Cisco NSDB へのアクセス

Cisco Network Security Database(NSDB)は、Security Manager のユーザ インターフェイスからアクセスまたは起動できます。

NSDB は、IPS で使用されるシグニチャとこれらのシグニチャがベースにしている脆弱性に関するセキュリティ情報のデータベースです。NSDB には、センサーで検出できる各攻撃シグニチャに関する説明が格納されています。

IPS 5.x 以降、および IOS IPS の一部のシグニチャには、特殊な文字が含まれています。組み込みシグニチャは、IPS 自体とともに提供されるため、追加や削除、または名前を変更することはできません(「組み込み」とは、自分で作成したシグニチャ以外のすべてのシグニチャを意味します)。組み込みシグニチャの情報(名前、ID など)は NSDB と同様に表示されます。


ヒント NSDB 内の特定のシグニチャの場合、「Release Version」はシグニチャが最初に表示された IPS または最後に変更された IPS のバージョンを指します。「Release Version」は、特定のシグニチャを調べるときにヘッダー情報の左下に表示されます。


[Edit Signature Parameters] ダイアログボックス

[Edit Signature Parameters] ダイアログボックスを使用して、特定のシグニチャの組み込みマイクロエンジン パラメータを編集(調整とも呼びます)します。エンジンが異なると、そのパラメータも異なるため、[Edit Signature Parameters] ダイアログボックスの表示は変化します。

ナビゲーション パス

([Tuning Context] を除くすべてのフィールドのデバイス ビュー)ポリシー セレクタから、[IPS] > [Signatures] > [Signatures] を選択します。編集するシグニチャが含まれる行を右クリックし、表示されるショートカット メニューから [Edit Row] を選択します。最後に、[Edit Parameters] をクリックします。

([Tuning Context] を除くすべてのフィールドのポリシー ビュー)ポリシー セレクタから、[IPS] > [Signatures] > [Signatures] を選択します。編集するシグニチャが含まれる行を右クリックし、表示されるショートカット メニューから [Edit Row] を選択します。最後に、[Edit Parameters] をクリックします。

関連項目

「[Add Custom Signature] ダイアログボックス」

「[Edit Signature] ダイアログボックス」

「エンジンのオプション」

フィールド リファレンス

 

表 29-8 [Edit Signature Parameters] ダイアログボックス

プライマリ要素とセカンダリ要素
説明

[Tuning Context]

(ポリシー ビューだけに表示されます)特定のシグニチャ ポリシーのシグニチャ パラメータが編集された(調整された)方法を一意に示すために、Security Manager が必要とする情報を表示します。

[Tuning Context] フィールドは、次の項目 [Context]、[SigLevel]、および [Engine] が含まれている文字ストリングです。

[Context]:マイクロエンジンを一意に定義するために、Security Manager サーバによって提供される識別情報。

[SigLevel]:シグニチャ マイクロエンジンの定義が適用されるシグニチャ更新レベルの範囲。

[Engine]:IPS エンジンの名前。

ヒント 例として、[Tuning Context] フィールドには、Context:9、SigLevel:302-449、Engine:atomic-ip の文字ストリングを含めることができます。

[Signature Definition]

--

[Signature ID]

このシグニチャに割り当てられた一意の数値を示します。この値により、センサーは特定のシグニチャを識別します。

値は 1000 ~ 65000 です。

[SubSignature ID]

このサブシグニチャに割り当てられた一意の数値を示します。サブシグニチャ ID によって、広範なシグニチャのより詳細なバージョンが識別されます。

値は 0 ~ 255 です。

[Promiscuous Delta] チェックボックス

アラートの重大度を特定できます。

[Sig Description]

シグニチャを他のシグニチャと識別するために役立つ次の属性を指定できます。

[Alert Notes]

[User Comments]

[Alarm Traits]

[Release]

[Alert Notes]

アラートに関する注意事項をこのフィールドに追加します。

[User Comments]

シグニチャに関するコメントをこのフィールドに追加します。

[Alert Traits]

アラームの特性をこのフィールドに追加します。値は 0 ~ 65535 です。デフォルトは 0 です。

[Release]

シグニチャが最後に更新されたリリース。

[Engine]

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを選択できます。選択できる値のリストについては、「エンジンのオプション」を参照してください。

[Fragment Status]

フラグメントが必要かどうかを指定します。

任意のフラグメント ステータス。

フラグメントを検査しない。

フラグメントを検査する。

[Regex String]

--

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

[Direction]

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Event Counter]

センサーがイベントをカウントする方法を設定できます。たとえば、センサーが、同じシグニチャが同じアドレス セットに対して 5 回起動した場合にだけアラートを送信するように指定できます。

[Event Count]

[Event Count Key]

[Specify Alert Interval]

[Event Count]

アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デフォルトは 1 です。

[Event Count Key]

シグニチャのイベントをカウントするために使用されるストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。

[Specify Alert Interval]

イベント カウントがリセットされるまでの時間(秒数)を指定します。ドロップダウン リストから [Yes] または [No] を選択し、時間間隔を指定します。

[Alert Frequency]

シグニチャが起動した場合に、センサーがアラートを送信する回数を設定できます。シグニチャに対して次のパラメータを指定します。

[Summary Mode]

[Summary Interval]

[Summary Key]

[Specify Global Summary Threshold]

[Summary Mode]

アラートのサマライズのモード。[Fire All]、[Fire Once]、[Global Summarize]、または [Summarize] を選択します。

(注) 適応型セキュリティ アプライアンスの複数のコンテキストが 1 つの仮想センサーに含まれている場合、サマリー アラートには、サマライズされた最後のコンテキストのコンテキスト名が含まれています。このため、このサマリーは、サマライズされるすべてのコンテキストのうち、このタイプのすべてのアラートの結果となります。

[Summary Mode Interval]

各サマリー アラートで使用される時間間隔(秒数)。値は 1 ~ 65535 です。デフォルトは 15 です。

[Summary Key]

アラートのサマライズに使用されるストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。

[Specify Global Summary Threshold]

アラートをグローバル サマリーにサマライズするための、イベントのしきい値を指定できます。[Yes] または [No] を選択し、イベントのしきい値を指定します。

[Status]

シグニチャをイネーブルまたはディセーブルにするか、あるいはシグニチャを廃棄または廃棄解除することができます。

[Enabled]:シグニチャをイネーブルにするかディセーブルにするかを選択できます。デフォルトは [yes](イネーブル)です。

[Retired]:シグニチャを廃棄するかどうかを選択できます。デフォルトは [no](廃棄しない)です。

廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。このカラムはデフォルトで表示されます。

ワンポイント アドバイス [Retired] カラムを使用して、IOS-IPS デバイス上のディセーブルにしたシグニチャをアンロードし、そのデバイスのメモリ使用量を最適な量にします。

シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired] フィールドの値は [false] と [true] のどちらかになります。[false] の場合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。

シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired] フィールドの値は次の 4 つのいずれかになります。

[false]:シグニチャは廃棄されません。

[low-mem-retired]:シグニチャは、メモリ容量が少ないプラットフォームで廃棄されます。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。

[true]:シグニチャは廃棄されます。

RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラットフォームとして分類されます。

RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中程度のプラットフォームとして分類されます。

RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォームとして分類されます。

という用語とは異なります。

注意 Security Manager は廃棄の調整をデバイスにプッシュし、それらの調整はデバイス上の実行コンフィギュレーションに反映されます。ただし、これは、シグニチャが実際にデバイスで廃棄されることを保証するものではありません。デバイス上におけるシグニチャの実際の状態は、デバイスの RAM の容量によって異なります。

[Obsoletes]

このシグニチャで使用されていないシグニチャが一覧表示されます。

[Vulnerable OS List]

攻撃者がターゲットとしているオペレーティング システムのリストを示します。

[MARS Category]

シグニチャが属している、Cisco Security MARS でのカテゴリを示します。このメタデータを使用して、MARS が学習したイベント カテゴリに関連するシグニチャを処理するために必要なデータを MARS に提供するように生成されたイベントを特徴付けます。

[Expand All]

すべてのカテゴリおよびサブカテゴリを展開します。

[Collapse All]

このカテゴリのすべてのフィールドを折りたたみます。

エンジンのオプション

IOS IPS および IPS のエンジンのオプションを次に示します。

次のリストに、[Edit Signature Parameters] ダイアログボックスの [Engine] フィールドで指定できるオプションを示します。

[AIC FTP]:FTP トラフィックを検査し、発行するコマンドを制御できるようにします。

[AIC HTTP]:HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。

[Atomic ARP]:レイヤ 2 ARP プロトコルを検査します。Atomic ARP エンジンが異なるのは、大半のエンジンはレイヤ 3 IP に基づいているためです。

[atomic-ip]:IP プロトコル パケット、および関連付けられているレイヤ 4 トランスポート プロトコルを検査します。オプションの詳細については、「Atomic IP エンジンのオプション」を参照してください。

[Atomic IPv6]:不正な形式の IPv6 トラフィックによって引き起こされる IOS 脆弱性を検出します。

[Flood Host]:ホストに向けられた ICMP フラッドと UDP フラッドを検出します。

[Flood Net]:ネットワークに向けられた ICMP フラッドと UDP フラッドを検出します。

[Meta]:スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。

[multi-string]:1 つのシグニチャに一致する複数のストリングを使用して、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。オプションの詳細については、「Multi String エンジンのオプション」を参照してください。

[normalizer]:IP および TCP ノーマライザが機能する方法を設定し、IP および TCP ノーマライザに関連するシグニチャ イベントに設定を提供します。RFC 準拠を強制できます。オプションの詳細については、「ノーマライザ エンジンのオプション」を参照してください。

[service-dns]:DNS(TCP および UDP)トラフィックを検査します。オプションの詳細については、「Service DNS エンジンのオプション」を参照してください。

[service-ftp]:FTP トラフィックを検査します。オプションの詳細については、「Service FTP エンジンのオプション」を参照してください。

[Service Generic]:カスタム サービスおよびペイロードをデコードします。

[Service Generic Advanced]:ネットワーク プロトコルの一般的な分析を行います。

[Service H225]:VoIP トラフィックを検査します。

[service-http]:HTTP トラフィックを検査します。WEBPORTS 変数では、HTTP トラフィックの検査ポートを定義します。オプションの詳細については、「Service HTTP エンジンのオプション」を参照してください。

[Service IDENT]:IDENT(クライアントおよびサーバ)トラフィックを検査します。

[Service MSRPC]:MSRPC トラフィックを検査します。

[Service MSSQL]:Microsoft SQL トラフィックを検査します。

[Service NTP]:NTP トラフィックを検査します。

[service-rpc]:RPC トラフィックを検査します。オプションの詳細については、「Service RPC エンジンのオプション」を参照してください。

[Service SMB]:SMB トラフィックを検査します。

[Service SMB Advanced]:Microsoft SMB パケットと Microsoft RPC over SMB パケットを処理します。

[Service SNMP]:SNMP トラフィックを検査します。

[Service SSH]:SSH トラフィックを検査します。

[Service TNS]:TNS トラフィックを検査します。

[state]:SMTP などのプロトコル内の文字列をステートフル検索します。オプションの詳細については、「State エンジンのオプション」を参照してください。

[string-icmp]:ICMP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細については、「String ICMP エンジンのオプション」を参照してください。

[string-tcp]:TCP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細については、「String TCP エンジンのオプション」を参照してください。

[string-udp]:UDP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細については、「String UDP エンジンのオプション」を参照してください。

[Sweep]:1 つのホスト(ICMP と TCP)、宛先ポート(TCP と UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからの、ポート、ホスト、およびサービスのスイープを分析します。

[Sweep Other TCP]:1 つのホストに関する情報を取得しようとしている監視スキャンからの、TCP フラグの組み合わせを分析します。シグニチャは、フラグ A、B、および C をモニタします。3 つのフラグがすべて検出されると、アラートが起動します。

[Traffic ICMP]:TFN2K、LOKI、DDOS などの非標準プロトコルを分析します。パラメータを設定できるのは 2 つのシグニチャだけです。

[Traffic Anomaly]:ワームに感染したホストの TCP、UDP、およびその他のトラフィックを分析します。

[Trojan Bo2k]:非標準プロトコル BO2K からのトラフィックを分析します。このエンジンには、ユーザが設定できるパラメータはありません。

[Trojan Tfn2k]:非標準プロトコル TFN2K からのトラフィックを分析します。このエンジンにはユーザが設定できるパラメータはありません。

[Trojan UDP]:UDP プロトコルからのトラフィックを分析します。このエンジンにはユーザが設定できるパラメータはありません。

Atomic IP エンジンのオプション

表 29-9に、Atomic IP エンジンに固有のパラメータを示します。

 

表 29-9 Atomic IP エンジンのパラメータ

パラメータ
説明

[Fragment Status]

フラグメントが必要かどうかを指定します。

[Specify Layer 4 Protocol]

レイヤ 4 プロトコルを指定します。

[Specify IP Payload Length]

IP データグラム ペイロードの長さを指定します。

[Specify IP Header Length]

IP データグラム ヘッダーの長さを指定します。

[Specify IP Type of Service]

サーバのタイプを指定します。

[Specify IP Time-to-Live]

存続可能時間を指定します。

[Specify IP Version]

IP プロトコル バージョンを指定します。

[Specify IP Identifier]

IP 識別子を指定します。

[Specify IP Total Length]

IP データグラムの合計の長さを指定します。

[Specify IP Option Inspection]

IP 検査オプションを指定します。

[Specify IP Addr Options]

IP アドレスを指定します。

Meta エンジンのオプション

表 29-10に、Meta エンジンに固有のパラメータを示します。

 

表 29-10 Meta エンジンのパラメータ

パラメータ
説明

[meta-reset-interval]

META シグニチャをリセットする時間間隔(秒数)。

0 ~ 3600

[component-list]

Meta コンポーネントのリスト:

[edit]:既存のエントリを編集します

[insert]:リストに新しいエントリを次のように挿入します。

[begin]:エントリをアクティブ リストの先頭に配置します。

[end]:エントリをアクティブ リストの終わりに配置します。

[inactive]:エントリを非アクティブ リストに入れます。

[before]:エントリを指定したエントリの前に配置します。

[after]:エントリを指定したエントリの後ろに配置します。

[move]:リスト内のエントリを移動します。

[ name1 ]

[meta-key]

Meta シグニチャのストレージ タイプ:

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

攻撃対象のアドレス

[AaBb]、[AxBx]、[Axxx]、[xxBx]

[unique-victim-ports]

Meta シグニチャごとに一意の必須攻撃対象ポートの番号。

1 ~ 256

[component-list-in- order]

コンポーネント リストを順序立てて生成するかどうか。

[true] | [false]

Service MSRPC エンジンのオプション

表 29-11に、Service MSRPC エンジンに固有のパラメータを示します。

 

表 29-11 Service MSRPC エンジンのパラメータ

パラメータ
説明

[protocol]

このインスペクタの該当プロトコル。

[tcp]、[udp]

[specify-operation]

(任意)MSRPC 動作の使用をイネーブルにします。

[operation]:要求する MSRPC 動作。SMB_COM_TRANSACTION コマンドに必要です。完全一致。

0 ~ 65535

[specify-regex-string]

(任意)正規表現文字列の使用をイネーブルにします。

[specify-exact-match-offset]:完全一致オフセットをイネーブルにします。

[exact-match-offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

[specify-min-match-length]:最小一致長をイネーブルにします。

[min-match-length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

[specify-uuid]

(任意)UUID をイネーブルにします。

[uuid]:[MSRPC UUID] フィールド。

000001a000000000c000000000000046

Service MSSQL エンジンのオプション

Service MSSQL エンジンは、Microsoft SQL サーバによって使用されるプロトコルを検査します。

このエンジンには 1 つの MSSQL シグニチャが含まれています。このシグニチャは、デフォルトの sa アカウントを使用した MSSQL サーバへのログイン試行を検出すると、アラートを起動します。

ログイン ユーザ名や、パスワードが使用されたかどうかなど、MSSQL プロトコル値に基づいてカスタム シグニチャを追加できます。

表 29-12に、Service MSSQL エンジンに固有のパラメータを示します。

 

表 29-12 Service MSSQL エンジンのパラメータ

パラメータ
説明

[password-present]

MS SQL ログインでパスワードが使用されたかどうか。

[true] | [false]

[specify-sql-username]

(任意)SQL ユーザ名の使用をイネーブルにします。

[sql-username]:MS SQL サービスにログイン中のユーザのユーザ名(完全一致)。

[sa]

Multi String エンジンのオプション

Multi String エンジンでは、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。この検査は、1 つのシグニチャに対して複数の文字列を照合して行います。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。たとえば、UDP サービスで regex 1 とそれに続く regex 2 を検索するシグニチャを定義できます。UDP および TCP の場合は、ポート番号と方向を指定できます。単一の送信元ポート、単一の宛先ポート、または両方のポートを指定できます。文字列の照合は両方向で実行されます。

Multi String エンジンは、複数の正規表現パターンを指定する必要がある場合に使用します。それ以外の場合は、String ICMP、String TCP、または String UDP エンジンを使用して、これらのプロトコルのいずれかに対応した単一の正規表現パターンを指定できます。

表 29-13に、Multi String エンジンに固有のパラメータを示します。

 

表 29-13 Multi String エンジンのパラメータ

パラメータ
説明

[Inspect Length]

起動するシグニチャに対して違反するすべての文字列を含める必要があるストリームまたはパケットの長さ。

0 ~ 4294967295

[Protocol]

レイヤ 4 のプロトコルを選択します。

[Icmp]、[Tcp]、[Udp]

[Regex Component]

正規表現コンポーネントのリスト:

[Regex String]:検索文字列。

[Spacing Type]:前回一致した箇所から、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要があるスペーシングのタイプ。

[list](1 ~ 16 項目)、[exact]、[minimum]

[Port Selection]

検査する TCP または UDP ポートのタイプ。[Protocol] フィールドで [TCP] または [UDP] が選択されている場合にだけ表示されます。

宛先ポートと送信元ポートの両方

[Source Ports]

送信元ポートの範囲を指定します。

(注) ポートの照合は、クライアントからサーバ、およびサーバからクライアントへの両方のトラフィック フロー方向に対して双方向で実行されます。たとえば、クライアントからサーバへのトラフィック フロー方向で送信元ポートの値が 80 である場合、クライアント ポートが 80 の場合に検査が実行されます。サーバからクライアントへのトラフィック フロー方向では、サーバ ポートがポート 80 である場合に検査が実行されます。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Dest Ports]

宛先ポートの範囲を指定します。

0 ~ 65535

[Exact Spacing]

この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要のある正確なバイト数。

0 ~ 4294967296

[Minimum Spacing]

この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要のある最小バイト数。

0 ~ 4294967296

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]


注意 Multi String エンジンは、メモリの使用状況に大きく影響することがあります。

ノーマライザ エンジンのオプション

表 29-14に、ノーマライザ エンジンに固有のパラメータを示します。

 

表 29-14 ノーマライザ エンジンのパラメータ

パラメータ
説明

[Edit] のデフォルト

[Specify Service Ports]

(任意)サービス ポートをイネーブルにします。

[Specify TCP Max MSS]

(任意)TCP 最大 mss(最大セグメント サイズ)をイネーブルにします。

[Specify TCP Min MSS]

(任意)TCP 最小 mss をイネーブルにします。

[Specify TCP Option Number]

(任意)TCP オプション番号をイネーブルにします。

[Specify TCP Max Queue]

(任意)TCP 最大キューをイネーブルにします。

[Specify TCP Closed Timeout]

(任意)TCP クローズド タイムアウトをイネーブルにします。

[Specify TCP Embryonic Timeout]

(任意)TCP 初期接続タイムアウトをイネーブルにします。

[Specify TCP Idle Timeout]

(任意)TCP アイドル タイムアウトをイネーブルにします。

[Specify Fragment Reassembly Timeout]

(任意)フラグメント再構築タイムアウトをイネーブルにします。

[Specify Max Fragments per Datagram]

(任意)データグラムあたりの最大フラグメントをイネーブルにします。

[Specify Max Small Frags]

(任意)最大スモール フラグメントをイネーブルにします。

[Specify Min Fragment Size]

(任意)最小フラグメント サイズをイネーブルにします。

[Specify Max Partial Datagrams]

(任意)最大部分データグラムをイネーブルにします。

[Specify Max Datagram Size]

(任意)最大データグラム サイズをイネーブルにします。

[Specify Max Fragments]

(任意)最大フラグメントをイネーブルにします。

[Specify Max Last Fragments]

(任意)直前の最大フラグメントをイネーブルにします。

[Specify Hijack Max Old Ack]

(任意)hijack-max-old-ack をイネーブルにします。

[Specify SYN Flood Max Embryonic]

(任意)SYN フラッドの最大初期接続をイネーブルにします。

Atomic ARP エンジンのオプション

Atomic ARP エンジンは、レイヤ 2 の基本的な ARP シグニチャを定義し、ARP スプーフィング ツールである dsniff と ettercap に対して高度な検出を実行します。

表 29-15に、Atomic ARP エンジンに固有のパラメータを示します。

 

表 29-15 Atomic ARP エンジンのパラメータ

パラメータ
説明

[specify-mac-flip]

この IP アドレスに対して MAC アドレスが指定した回数を超えて変化した場合に、アラートを起動します。

[specify-type-of-arp-sig]

起動する ARP シグニチャのタイプを指定します。

[Source Broadcast](デフォルト):255.255.255.255 の ARP 送信元アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Destination Broadcast]:255.255.255.255 の ARP 宛先アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Same Source and Destination]:送信元と宛先の MAC アドレスが同じである ARP 宛先アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Source Multicast]:ARP 送信元 MAC アドレス 01:00:5e:(00-7f)を検出した場合に、このシグニチャのアラームを起動します。

[specify-request-inbalance]

特定の IP アドレスに対して、応答よりも要求の方が指定した数より多い場合に、アラートを起動します。

[specify-arp-operation]

このシグニチャの ARP 演算コード。

Service DNS エンジンのオプション

Service DNS エンジンは、高度な DNS デコードを行います。これには、反回避技術(複数のジャンプの追跡など)が含まれます。長さ、命令コード、文字列などの多数のパラメータがあります。Service DNS エンジンは、2 つのプロトコルに対応するインスペクタであり、TCP ポート 53 と UDP ポート 53 の両方で稼動します。TCP の場合はストリームを使用し、UDP の場合はクワッドを使用します。

表 29-16に、Service DNS エンジンに固有のパラメータを示します。

 

表 29-16 Service DNS エンジンのパラメータ

パラメータ
説明

[Protocol]

このインスペクタの該当プロトコル。

[TCP]、[UDP]

[Specify Query Type]

(任意)クエリー タイプをイネーブルにします。

[Query Type]:DNS クエリー タイプの 2 バイト値

0 ~ 65535

[Specify Query Opcode]

(任意)クエリー命令コードをイネーブルにします。

[Query Opcode]:DNS クエリー命令コードの 1 バイト値

0 ~ 65535

[Specify Query Record Data Length]

(任意)クエリー レコード データ長をイネーブルにします。

[Query Record Data Length]:DNS 応答レコード データ長

0 ~ 65535

[Specify Query Record Data Invalid]

(任意)無効なレコード データのクエリーをイネーブルにします。

[Query Record Data Invalid]:不完全な DNS レコード データ

[Yes] | [No]

[Specify Query Src Port 53]

(任意)クエリー送信元ポート 53 をイネーブルにします。

[Query Src Port 53]:DNS パケットの送信元ポート 53

[Yes] | [No]

[Specify Query Value]

(任意)クエリー値をイネーブルにします。

[Query Value]:クエリーは [0]、応答は [1]

[Yes] | [No]

[Specify Query Stream Length]

(任意)クエリー ストリーム長をイネーブルにします。

[Query Stream Length]:DNS パケット長

0 ~ 65535

[Specify Query Jump Count Exceeded]

(任意)しきい値を超えたジャンプ カウントのクエリーをイネーブルにします。

[Query Jump Count Exceeded]:DNS 圧縮カウンタ

[Yes] | [No]

[Specify Query Invalid Domain Name]

(任意)無効なドメイン名のクエリーをイネーブルにします。

[Query Invalid Domain Name]:255 を超える DNS クエリー長

[Yes] | [No]

[Specify Query Class]

(任意)クエリー クラスをイネーブルにします。

[Query Class]:DNS クエリー クラスの 2 バイト値

0 ~ 65535

[Specify Query Chaos String]

(任意)DNS クエリー クラスのカオス文字列をイネーブルにします。

[query-chaos-string]

Flood エンジンのオプション

Flood エンジンは、複数のパケットを単一のホストまたはネットワークに送信しているホストまたはネットワークをモニタするシグニチャを定義します。たとえば、1 秒あたりに(特定タイプの)150 以上のパケットが攻撃対象ホストに送信されていることを検出した場合に起動されるシグニチャを作成できます。

Flood Host と Flood Net という 2 つのタイプの Flood エンジンがあります。

表 29-17に、Flood Host エンジンに固有のパラメータを示します。

 

表 29-17 Flood Host エンジンのパラメータ

パラメータ
説明

[protocol]

検査するトラフィックの種類。

[ICMP]、[UDP]

[rate]

秒あたりのパケット数のしきい値。

0 ~ 65535

[icmp-type]

ICMP ヘッダー タイプの値を指定します。

0 ~ 65535

[dst-ports]

UDP プロトコルを選択した場合の宛先ポートを指定します。

0 ~ 65535 a-b[,c-d]

[src-ports]

UDP プロトコルを選択した場合の送信元ポートを指定します。

0 ~ 65535 a-b[,c-d]

Flood Net エンジンのパラメータ

表 29-18に、Flood Net エンジンに固有のパラメータを示します。

 

表 29-18 Flood Net エンジンのパラメータ

パラメータ
説明

[gap]

フラッド シグニチャの許容ギャップ時間(秒数)。

0 ~ 65535

[peaks]

フラッド トラフィックの許容ピーク回数。

0 ~ 65535

[protocol]

検査するトラフィックの種類。

[ICMP]、[TCP]、[UDP]

[rate]

秒あたりのパケット数のしきい値。

0 ~ 65535

[sampling-interval]

トラフィックをサンプリングする間隔。

1 ~ 3600

[icmp-type]

ICMP ヘッダー タイプの値を指定します。

0 ~ 65535

Service FTP エンジンのオプション

Service FTP エンジンは、FTP ポート コマンドのデコードを行います。無効な port コマンドと PASV ポート スプーフィングをトラップします。このエンジンによって、String エンジンが検出に適さない場合のギャップをカバーできます。パラメータはブール値であり、 port コマンドのデコードでさまざまなエラー トラップ条件に割り当てられます。Service FTP エンジンは、TCP ポート 20 および 21 で稼動します。ポート 20 はデータ用であり、Service FTP エンジンはこのポートを検査しません。Service FTP エンジンは、ポート 21 の制御トランザクションを検査します。

表 29-19に、Service FTP エンジンに固有のパラメータを示します。

 

表 29-19 Service FTP エンジンのパラメータ

パラメータ
説明

[Direction]

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

[FTP Inspection Type]

実行する検査のタイプ:

FTP ポート コマンド内の無効なアドレスを検索します。

FTP ポート コマンド内の無効なポートを検索します。

PASV ポート スプーフィングを検索します。

ポート コマンド内の無効なアドレス、ポート コマンド内の無効なポート、PASV ポート スプーフィング

すべてのエンジンの汎用オプション

次のパラメータは、Master エンジンの一部であり、すべてのシグニチャに適用されます。

表 29-20に、Master エンジンの汎用パラメータを示します。

 

表 29-20 Master エンジンの汎用パラメータ

パラメータ
説明

[Alert Severity]

アラートの重大度:

危険なアラート

中レベルのアラート

低レベルのアラート

情報アラート

[high]、[medium]、[low]、[informational]

[Engine]

シグニチャが属すエンジンを指定します。

--

[Event Counter]

イベント カウント設定をグループ化します。

--

[Event Count]

アラートを生成するまでのイベントの発生回数。

1 ~ 65535

[Event Count Key]

このシグニチャに関するイベントをカウントするストレージ タイプ:

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

[Axxx]、[AxBx]、[Axxb]、[xxBx]、[AaBb]

[Specify Alert Interval]

アラートの間隔をイネーブルにします。

[yes] | [no]

[Alert Interval]

イベント カウントをリセットするまでの時間(秒数)。

2 ~ 1000

[promisc-delta]

アラートの重大度を決定するために使用されるデルタ値。

0 ~ 30

[sig-fidelity-rating]

このシグニチャの忠実度の評価。

0 ~ 100

[sig-description]

シグニチャの説明をグループ化します。

--

[sig-name]

シグニチャの名前。

[sig-name]

[sig-string-info]

アラート メッセージに含まれる、このシグニチャに関する追加情報。

[sig-string-info]

[sig-comment]

このシグニチャに関するコメント。

[sig-comment]

[Alert Traits]

このシグニチャについて文書化する特性。

0 ~ 65335

[Release]

シグニチャが最後に更新されたリリース。

[release]

[Status]

シグニチャが、イネーブルとディセーブルのどちらであるか、アクティブと廃棄のどちらであるか。

[enabled]、[retired]

Service Generic エンジンのオプション

Service Generic エンジンを使用すると、設定ファイルでシグニチャを更新するだけで、プログラム シグニチャを発行できます。このエンジンには、設定ファイルで定義されている簡易マシンおよびアセンブリ言語が含まれています。このエンジンは、仮想マシンを介して(アセンブリ言語から導出された)マシン コードを実行します。仮想マシンは、命令を処理し、パケットから重要な情報を引き出して、マシン コードに指定されている比較および演算を実行します。

このエンジンは、String エンジンと State エンジンを補足する迅速なシグニチャ応答エンジンとして設計されています。


) Service Generic エンジンを使用してカスタム シグニチャを作成することはできません。



注意 複雑な言語特有の性質上、Service Generic エンジンのシグニチャ パラメータについては、重大度とイベント アクションを除き、編集することは推奨しません。

表 29-21に、Service Generic エンジンに固有のパラメータを示します。

 

表 29-21 Service Generic エンジンのパラメータ

パラメータ
説明

[specify-dst-port]

(任意)宛先ポートをイネーブルにします。

[dst-port]:シグニチャの該当宛先ポート。

0 ~ 65535

[specify-ip-protocol]

(任意)IP プロトコルをイネーブルにします。

[ip-protocol]:インスペクタが検査する IP プロトコル。

0 ~ 255

[specify-payload-source]

(任意)ペイロード送信元の検査をイネーブルにします。

[payload-source]:次のタイプのペイロード送信元検査:

ICMP データの検査

レイヤ 2 ヘッダーの検査

レイヤ 3 ヘッダーの検査

レイヤ 4 ヘッダーの検査

TCP データの検査

UDP データの検査

[icmp-data]、[l2-header]、[l3-header]、[l4-header]、[tcp-data]、[udp-data]

[specify-src-port]

(任意)送信元ポートをイネーブルにします。

[src-port]:シグニチャの該当送信元ポート。

0 ~ 65535

Service H225 エンジンのオプション

表 29-22に、Service H225 エンジンに固有のパラメータを示します。

 

表 29-22 Service H.225 エンジンのパラメータ

パラメータ
説明

[message-type]

シグニチャを適用する H225 メッセージのタイプ:

[SETUP]

[ASN.1-PER]

[Q.931]

[TPKT]

[asn.1-per]、[q.931]、[setup]、[tpkt]

[policy-type]

シグニチャを適用する H225 ポリシーのタイプ:

フィールド長を検査する。

存在を検査する。特定のフィールドがメッセージ内に存在する場合は、アラートが送信されます。

正規表現を検査する。

フィールドの妥当性を検査する。

値を検査する。

TPKT シグニチャの場合、[regex] と [presence] は有効な値ではありません。

[length]、[presence]、[regex]、[validate]、[value]

[specify-field-name]

(任意)使用するフィールド名をイネーブルにします。SETUP および Q.931 メッセージ タイプの場合にだけ有効です。シグニチャを適用するフィールド名のドット付き表記を指定します。

[field-name]:検査するフィールドの名前。

1 ~ 512

[specify-invalid- packet-index]

(任意)ASN と TPKT 固有のエラー、および固定マッピングを持つその他のエラーで使用する無効なパケット インデックスをイネーブルにします。

[invalid-packet-index]:無効なパケット インデックスを検査します。

0 ~ 255

[specify-regex- string]

ポリシー タイプが [regex] の場合に検索する正規表現。TPKT シグニチャには設定しないでください。

単一の TCP パケット内で検索する正規表現。

(任意)使用する最小一致長をイネーブルにします。一致と見なされるために必要な正規表現の最小一致長です。TPKT シグニチャには設定しないでください。

[regex-string]、[specify-min-match-length]

[specify-value-range]

[length] または [value] ポリシー タイプの場合に有効です(0x00 ~ 6535)。その他のポリシー タイプの場合は無効です。

[value-range]:値の範囲。

0 ~ 65535 a-b

Service HTTP エンジンのオプション

表 29-23に、Service HTTP エンジンに固有のパラメータを示します。

 

表 29-23 Service HTTP エンジンのパラメータ

パラメータ
説明

[De Obfuscate]

検索の前に反回避解読を適用します。

[Yes] | [No]

[Max Field Sizes]

最大フィールド サイズ グループ。

--

[Specify Max URI Field Length]

(任意)[URI] フィールドの最大長をイネーブルにします。

[Max URI Field Length]:[URI] フィールドの最大長。

0 ~ 65535

[Specify Max Arg Field Length]

(任意)引数フィールドの最大長をイネーブルにします。

[Max Arg Field Length]:引数フィールドの最大長。

0 ~ 65535

[Specify Max Header Field Length]

(任意)ヘッダー フィールドの最大長をイネーブルにします。

[Max Header Field Length]:ヘッダー フィールドの最大長。

0 ~ 65535

[Specify Max Request Length]

(任意)要求フィールドの最大長をイネーブルにします。

[Max Request Length]:要求フィールドの最大長。

0 ~ 65535

[Regex]

正規表現グループ。

--

[Specify URI Regex]

(任意)[HTTP URI] フィールドで検索する正規表現。[URI] フィールドは、HTTP メソッド(たとえば、GET)の後ろで、最初の CRLF の前まで定義されます。正規表現は保護されています。つまり、値は変更できません。

[/\\][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][.]jpeg

[Specify Arg Name Regex]

(任意)特定の正規表現の [Arguments] フィールドの検索をイネーブルにします。

[Arg Name Regex]:[HTTP Arguments] フィールド(コンテンツ長によって定義されているように、? の後ろのエンティティ本体の中)で 検索する正規表現。

--

[Specify Header Regex]

(任意)特定の正規表現の [Header] フィールドの検索をイネーブルにします。

[Header Regex]:[HTTP Header] フィールドで検索する正規表現。ヘッダーは、最初の CRLF の後ろから定義され、CRLFCRLF まで続きます。

--

[Specify Request Regex]

(任意)特定の正規表現の [Request] フィールドの検索をイネーブルにします。

[Request Regex]:[HTTP URI] フィールドと [HTTP Argument] フィールドの両方で検索する正規表現。

[Specify Min Request Match Length]:要求の最小一致長の設定をイネーブルにします。

0 ~ 65535

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

アラート頻度のオプション

サマリー パラメータの目的は、stick などの IDS DoS ツールに対抗するために、イベント ストアに書き込まれるアラートの量を削減することです。Fire All、Fire Once、Summarize、および Global Summarize という 4 つのモードがあります。サマリー モードは、現在のアラート量に応じて動的に変わります。たとえば、シグニチャを Fire All に設定できますが、一定のしきい値に達するとサマライズが開始されます。

 

表 29-24 Master エンジンのアラート頻度のパラメータ

パラメータ
説明

[alert-frequency]

アラートをグループ化するためのサマリー オプション。

[summary-mode]

サマライズに使用するモード。

[fire-all]

すべてのイベントについてアラートを起動します。

[fire-once]

1 回だけアラートを起動します。

[global-summarize]

攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起動されるようにアラートをサマライズします。

[summarize]

アラートをサマライズします。

[specify-summary- threshold]

(任意)サマリーのしきい値をイネーブルにします。

[yes] | [no]

[summary-threshold]

アラート数のしきい値。この値を超えるとシグニチャはサマリー モードに送られます。

0 ~ 65535

[specify-global-summary-threshold]

グローバル サマリーのしきい値をイネーブルにします。

[yes] | [no]

[global-summary- threshold]

イベント数のしきい値。この値を超えるとアラートはグローバル サマリーにサマライズされます。

1 ~ 65535

[summary-interval]

各サマリー アラートで使用される時間(秒数)。

1 ~ 1000

[summary-key]

シグニチャをサマライズするストレージ タイプ:

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

[Axxx]

[AxBx]

[Axxb]

[xxBx]

[AaBb]

Service NTP エンジンのオプション

Service NTP エンジンは、NTP プロトコルを検査します。このエンジンには、1 つの NTP シグニチャ(NTPd readvar オーバーフロー シグニチャ)が含まれます。このシグニチャは、サイズが大きいため NTP サービスでキャプチャできない NTP データが、readvar コマンドに指定されていることを検出した場合に、アラートを起動します。

NTP プロトコルの値(モードや制御パケットのサイズなど)に基づいて、シグニチャを調整したり、カスタム シグニチャを作成したりできます。

表 29-25に、Service NTP エンジンに固有のパラメータを示します。

 

表 29-25 Service NTP エンジンのパラメータ

パラメータ
説明

[inspection-type]

実行する検査のタイプ。

[inspect-ntp-packets]

NTP パケットを検査します。

[control-opcode]:RFC1305 の付録 B に基づく NTP 制御パケットの命令コード番号。

[max-control-data-size]:制御パケットで送信されるデータの最大許容量。

[mode]:RFC 1305 に基づく NTP パケットの動作モード。

0 ~ 65535

[is-invalid-data-packet]

無効な NTP データ パケットを検索します。NTP データ パケットの構造を調べ、サイズが正しいことを確認します。

[true] | [false]

[is-non-ntp-traffic]

NTP ポートの非 NTP パケットをチェックします。

[true] | [false]

Service RPC エンジンのオプション

表 29-26に、Service RPC エンジンに固有のパラメータを示します。

 

表 29-26 Service RPC エンジンのパラメータ

パラメータ
説明

[Direction]

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[Protocol]

該当プロトコル。

[TCP]、[UDP]

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Specify Regex String]

正規表現のフィールドをイネーブルにします。

[Specify Exact Match Offset]

[Regex String]

[Specify Min Match Length]

[Yes] | [No]

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

[Regex String]

検索する文字列。

--

[Specify Min Match Length]

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

[Specify Port Map Program]

(任意)ポートマッパー プログラムをイネーブルにします。

[Port Map Program]:シグニチャのポートマッパーに送信されたプログラム番号。

0 ~ 9999999999

[Specify RPC Program]

(任意)RPC プログラムをイネーブルにします。

[RPC Program]:シグニチャの RPC プログラム番号。

0 ~ 1000000

[Specify Spoof Src]

(任意)スプーフィングの送信元アドレスをイネーブルにします。

[Spoof Src]:送信元アドレスが 127.0.0.1 の場合にアラートを起動します。

[true] | [false]

[Specify RPC Max Length]

(任意)RPC 最大長をイネーブルにします。

[RPC Max Length]:RPC メッセージ全体の最大許容長。長さが指定した値より長いとアラートを起動します。

0 ~ 65535

[Specify RPC Procedure]

(任意)RPC プロシージャをイネーブルにします。

[RPC Procedure]:シグニチャの RPC プロシージャ番号。

0 ~ 1000000

SMB Advanced エンジンのオプション

表 29-27に、Service SMB Advanced エンジンに固有のパラメータを示します。

 

表 29-27 Service SMB Advanced エンジンのパラメータ

パラメータ
説明

[service-ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535 a-b[,c-d]

[specify-command]

(任意)SMB コマンドをイネーブルにします。

[command]:SMB コマンドの値。完全に一致する必要があります。SMB パケットのタイプを定義します。

0 ~ 255

[specify-direction]

(任意)トラフィック方向をイネーブルにします。

[direction]:トラフィックの方向を指定できます。

[from-service]:サービス ポートからクライアント ポート宛のトラフィック。

[to-service]:クライアント ポートからサービス ポート宛のトラフィック。

[from service]、[to service]

[specify-operation]

(任意)MSRPC over SMB をイネーブルにします。

[msrpc-over-smb-operation]:SMB_COM_TRANSACTION コマンドに使用します。完全に一致する必要があります。

0 ~ 65535

[specify-regex-string]

(任意)正規表現文字列の検索をイネーブルにします。

[regex-string]:単一の TCP パケット内で検索する正規表現。

[specify-exact-match-offset]

(任意)完全一致オフセットをイネーブルにします。

[exact-match-offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

[specify-min-match- length]

(任意)最小一致長をイネーブルにします。

[min-match-length]:正規表現文字列が一致する必要がある最小バイト数。

[specify-payload- source]

(任意)ペイロード送信元をイネーブルにします。

[payload-source]:ペイロード送信元の検査。

[specify-scan-interval]

(任意)スキャン間隔をイネーブルにします。

[scan-interval]:アラート率の計算に使用される間隔(秒数)。

1 ~ 131071

[specify-tcp-flags]

(任意)TCP フラグをイネーブルにします。

[msrpc-tcp-flags]

[msrpc-tcp-flags-mask]

[concurrent execution]

[did not execute]

[first fragment]

[last fragment]

[maybe]

[object UUID]

[pending cancel]

[reserved]

[specify-type]

(任意)MSRPC over SMB パケットのタイプをイネーブルにします。

[type]:MSRPC over SMB パケットの [Type] フィールド。

[0] = 要求

[2] = 応答

[11] = バインド

[12] = バインド応答

[specify-uuid]

(任意)UUID を経由した MSRPC をイネーブルにします。

[uuid]:[MSRPC UUID] フィールド。

16 進数の 0 ~ 9、a ~ f、A ~ F で構成される 32 文字の文字列。

[specify-hit-count]

(任意)ヒット カウントをイネーブルにします。

[hit-count]:scan-interval 内の発生回数のしきい値。この値を超えるとアラートが起動されます。

1 ~ 65535

[swap-attacker- victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [true]。スワップしない場合は [false](デフォルト)。

[true] | [false]

SMB エンジンのオプション

Service SMB エンジンは、SMB パケットを検査します。SMB 制御トランザクション交換および SMB NT_Create_AndX 交換に基づいて、SMB シグニチャを調整したり、カスタム SMB シグニチャを作成したりできます。

表 29-28に、Service SMB エンジンに固有のパラメータを示します。

 

表 29-28 Service SMB エンジンのパラメータ

パラメータ
説明

[service-ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535 a-b[,c-d]

[specify-allocation-hint]

(任意)MSRPC 割り当てのヒントをイネーブルにします。

[allocation-hint]:MSRPC 割り当てヒント。SMB_COM_TRANSACTION コマンドの解析で使用されます。

0 ~ 42949677295

[specify-byte-count]

(任意)バイト カウントをイネーブルにします。

[byte-count]:SMB_COM_TRANSACTION 構造からのバイト カウント。

0 ~ 65535

[specify-command]

(任意)SMB コマンドをイネーブルにします。

[command]:SMB コマンドの値。

0 ~ 255

[specify-direction]

(任意)トラフィック方向をイネーブルにします。

[direction]:トラフィックの方向を指定できます。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[from service]、[to service]

[specify-file-id]

(任意)トランザクション ファイル ID の使用をイネーブルにします。

[file-id]:トランザクション ファイル ID。

このパラメータにより、シグニチャの適用が特定の不正利用インスタンスだけに限定されることがあるため、使用する場合は慎重に検討する必要があります。

0 ~ 65535

[specify-function]

(任意)名前付きパイプ機能をイネーブルにします。

[function]:名前付きパイプ機能。

0 ~ 65535

[specify-hit-count]

(任意)ヒット カウントをイネーブルにします。

[hit-count]:scan-interval 内の発生回数のしきい値。この値を超えるとアラートが起動されます。

0 ~ 65535

[specify-operation]

(任意)MSRPC 動作をイネーブルにします。

[operation]:要求する MSRPC 動作。SMB_COM_TRANSACTION コマンドに必要です。完全に一致する必要があります。

0 ~ 65535

[specify-resource]

(任意)リソースをイネーブルにします。

[resource]:アラートを制限するために使用するパイプまたは SMB ファイル名を指定します。ASCII 形式です。完全に一致する必要があります。

[ resource ]

[specify-scan-interval]

(任意)スキャン間隔をイネーブルにします。

[scan-interval]:アラート率の計算に使用される間隔(秒数)。

0 ~ 131071

[specify-set-count]

(任意)セットアップ ワードのカウントをイネーブルにします。

[set-count]:セットアップ ワードの数。

0 ~ 255

[specify-type]

(任意)MSRPC パケットの [Type] フィールドの検索をイネーブルにします。

[type]:MSRPC パケットの [Type] フィールド。[0] = 要求、[2] = 応答、[11] = バインド、[12] = バインド応答

0 ~ 255

[specify-word-count]

(任意)コマンド パラメータのワード カウントをイネーブルにします。

[word-count]:SMB_COM_TRANSACTION コマンド パラメータのワード カウント。

0 ~ 255

[swap-attacker-victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [true]。スワップしない場合は [false](デフォルト)。

[true] | [false]

SNMP エンジンのオプション

Service SNMP エンジンは、ポート 161 宛のすべての SNMP パケットを検査します。特定のコミュニティ名とオブジェクト ID に基づいて、SNMP シグニチャを調整したり、カスタム SNMP シグニチャを作成したりできます。

コミュニティ名とオブジェクト ID を照合するために、文字列比較や正規表現演算を使用する代わりに、整数を使用してすべての比較を実行し、プロトコル デコードを高速化しストレージ要件を削減します。

表 29-29に、Service SNMP エンジンに固有のパラメータを示します。

 

表 29-29 Service SNMP エンジンのパラメータ

パラメータ
説明

[inspection-type]

実行する検査のタイプ。

--

[brute-force-inspection]

総当たり攻撃の試行を検査します。

[brute-force-count]:総当たり攻撃と見なされる一意の SNMP コミュニティ名の数。

0 ~ 65535

[invalid-packet-inspection]

SNMP プロトコル違反を検査します。

--

[non-snmp-traffic- inspection]

UDP ポート 161 宛の非 SNMP トラフィックを検査します。

--

[snmp-inspection]

SNMP トラフィックを検査します。

specify-community-name [yes | no]:

[community-name]:SNMP コミュニティ名、つまり SNMP パスワードを検索します。

specify-object-id [yes | no]:

[object-id]:SNMP オブジェクト ID を検索します。

[ community-name ]

[ object-id ]

SSH エンジンのオプション

Service SSH エンジンは、ポート 22 の SSH トラフィックに対して使用します。SSH セッションのセットアップを除いてすべてが暗号化されるため、エンジンはセットアップのフィールドだけをモニタします。SSH には 2 つのデフォルト シグニチャがあります。これらのシグニチャを調整することはできますが、カスタム シグニチャは作成できません。

表 29-30に、Service SSH エンジンに固有のパラメータを示します。

 

表 29-30 Service SSH エンジンのパラメータ

パラメータ
説明

[length-type]

次の SSH 長さタイプのいずれかを検査します。

[key-length]:検査対象の SSH キーの長さ:

[length]:キーがこれよりも長い場合は、RSAREF オーバーフローが発生します。

[user-length]:ユーザ長の SSH 検査:

[length]:キーがこれよりも長い場合は、RSAREF オーバーフローが発生します。

0 ~ 65535

[service-ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535 a-b[,c-d]

[specify-packet-depth]

(任意)パケット数をイネーブルにします。

[packet-depth]:セッション キーが失われたと判断するまでにモニタするパケット数。

0 ~ 65535

State エンジンのオプション

表 29-31に、State エンジンに固有のパラメータを示します。

 

表 29-31 State エンジンのパラメータ

パラメータ
説明

[State Machine]

ステート マシン グループ。

--

[Cisco Login]

Cisco ログインのステート マシンを指定します。

[state-name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

シスコ デバイスの状態

Control-C 状態

パスワード プロンプト状態

開始状態

[cisco-device]、[control-c]、[pass-prompt]、[start]

[LPR Format String]

LPR フォーマット ストリングの脆弱性を検査するステート マシンを指定します。

[state-name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

LPR フォーマット ストリング検査を終了する中断状態

フォーマット文字の状態

開始状態

[abort]、[format-char]、[start]

[Specify Min Match Length]

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

SMTP

SMTP プロトコルのステート マシンを指定します。

[State Name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

LPR フォーマット ストリング検査を終了する中断状態

メール本文の状態

メール ヘッダーの状態

SMTP コマンドの状態

開始状態

[abort]、[mail-body]、[mail-header]、[smtp-commands]、[start]

[Regex String]

検索する文字列。

--

[Direction]

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

String ICMP エンジンのオプション

表 29-32に、String ICMP エンジンに固有のパラメータを示します。

 

表 29-32 String ICMP エンジンのパラメータ

パラメータ
説明

[Specify Min Match Length]

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

[Regex String]

検索する文字列。

--

[Direction]

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[ICMP Type]

ICMP ヘッダーの TYPE 値。

0 ~ 18

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

String TCP エンジンのオプション

表 29-33に、String TCP エンジンに固有のパラメータを示します。

 

表 29-33 String TCP エンジン

パラメータ
説明

[Strip Telnet Options]

パターンを検索する前に、データから Telnet オプション文字を削除します。

(注) このパラメータは、主に、IPS 反回避ツールとして使用します。

[Yes] | [No]

[Specify Min Match Length]

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

[Regex String]

検索する文字列。

--

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Direction]

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

String UDP エンジンのオプション

表 29-34に、String UDP エンジンに固有のパラメータを示します。

 

表 29-34 String UDP エンジン

パラメータ
説明

[Specify Min Match Length]

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

(注) 範囲の 2 番目の数は、最初の数以上である必要があります。

[Regex String]

検索する文字列。

--

[Service Ports]

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535

[Direction]

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

[From Service]、[To Service]

[Swap Attacker Victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

[Specify Exact Match Offset]

(任意)完全一致オフセットをイネーブルにします。

[Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

Sweep Other TCP エンジンのオプション

表 29-35に、Sweep Other TCP エンジンに固有のパラメータを示します。

 

表 29-35 Sweep Other TCP エンジンのパラメータ

パラメータ
説明

[specify-port-range]

(任意)検査でのポート範囲の使用をイネーブルにします。

[port-range]:検査で使用する UDP ポート範囲。

0 ~ 65535 a-b[,c-d]

[set-tcp-flags]

照合する TCP フラグを設定します。

[tcp-flags]:検査で使用される TCP フラグ:

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

[urg]、[ack]、[psh]、[rst]、[syn]、[fin]

Sweep エンジンのオプション

表 29-36に、Sweep エンジンに固有のパラメータを示します。

 

表 29-36 Sweep エンジンのパラメータ

パラメータ
説明

[protocol]

このインスペクタの該当プロトコル。

[icmp]、[udp]、[tcp]

[specify-icmp-type]

(任意)ICMP ヘッダー タイプをイネーブルにします。

[icmp-type]:ICMP ヘッダーの TYPE 値。

0 ~ 255

[specify-port-range]

(任意)検査でのポート範囲の使用をイネーブルにします。

[port-range]:検査で使用する UDP ポート範囲。

0 ~ 65535 a-b[,c-d]

[fragment-status]

フラグメントが必要かどうかを指定します。

任意のフラグメント ステータス。

フラグメントを検査しない。

フラグメントを検査する。

[any]、[no-fragments]、[want-fragments]

[inverted-sweep]

一意のカウントの対象として宛先ポートではなく送信元ポートを使用します。

[true] | [false]

[mask]

TCP フラグの比較に使用するマスク:

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

[urg]、[ack]、[psh]、[rst]、[syn]、[fin]

[storage-key]

固定データを保存するために使用するアドレス キーのタイプ。

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

[Axxx]、[AxBx]、[Axxb]

[suppress-reverse]

このアドレス セットで反対方向にスイープが実行されている場合、アラートを起動しません。

[true] | [false]

[swap-attacker-victim]

アドレス(およびポート)の送信元と宛先をアラート メッセージでスワップする場合は [true]。スワップしない場合は [false](デフォルト)。

[true] | [false]

[tcp-flags]

マスクによってマスクされた場合に照合する TCP フラグ。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

[urg]、[ack]、[psh]、[rst]、[syn]、[fin]

[unique]

2 つのホスト間の一意のポート接続数のしきい値。

0 ~ 65535

Service TNS エンジンのオプション

表 29-37に、Service TNS エンジンに固有のパラメータを示します。

 

表 29-37 Service TNS エンジンのパラメータ

パラメータ
説明

[type]

TNS フレーム値のタイプを指定します。

[1]:接続

[2]:受け入れ

[4]:拒否

[5]:リダイレクト

[6]:データ

[11]:再送信

[12]:マーカー

1 2 4 5 6 11 12

[specify-regex-string]

(任意)正規表現文字列の使用をイネーブルにします。

[specify-exact-match-offset]:完全一致オフセットをイネーブルにします。

[exact-match-offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

[specify-min-match-length]:最小一致長をイネーブルにします。

[min-match-length]:正規表現文字列が一致する必要があるバイトの最小数。

0 ~ 65535

[specify-regex- payload]

検査するプロトコルを指定します。

[TCP data]:TCP パケットのデータ部分に対して正規表現を実行します。

[TNS data]:すべての空白が削除されている TNS データに対してだけ正規表現を実行します。

[TCP]、[TNS]

Traffic ICMP エンジンのオプション

Traffic ICMP エンジンは、TFN2K、LOKI、DDoS などの非標準プロトコルを分析します。このエンジンには、ユーザが設定可能なパラメータを持つ 2 つのシグニチャ(LOKI プロトコルに基づく)だけが含まれます。

TFN2K は、TFN の新しいバージョンです。TFN2K は DDoS エージェントの一種であり、感染した複数のコンピュータ(ゾンビ)による協調した攻撃(何百または何千もの未知の攻撃ホストから 1 つのコンピュータまたはドメインに向けて偽のトラフィック フラッドを送信する攻撃)を制御します。TFN2K はランダムに抽出されたパケット ヘッダー情報を送信しますが、それにはシグニチャの定義に使用できる 2 つの識別子が付いています。1 つは L3 チェックサムが不正かどうかを示し、もう 1 つはペイロードの末尾に文字 64「A」が検出されたかどうかを示します。TFN2K は、任意のポートで実行可能であり、ICMP、TCP、UDP、またはこれらのプロトコルの組み合わせを使用して通信できます。

LOKI は、バック ドア型トロイの木馬タイプです コンピュータが感染すると、悪意のあるコードにより ICMP トンネルが作成されます。この ICMP トンネルは、ICMP 応答内での小さなペイロードの送信に使用されるおそれがあります(ICMP をブロックするように設定していないと、ICMP 応答はファイアウォールを通過することがあります)。LOKI シグニチャは、ICMP エコーの要求と応答のアンバランス、簡易 ICMP コード、およびペイロード識別子をモニタします。

(TFN2K を除く)DDOS カテゴリは、ICMP ベースの DDOS エージェントを対象とします。ここで使用する主なツールは、TFN と Stacheldraht です。これらは TFN2K と同様に動作しますが、ICMP だけに依存し、固定コマンド(整数および文字列)を備えています。

表 29-38に、Traffic ICMP エンジンに固有のパラメータを示します。

 

表 29-38 TRAFFIC ICMP エンジンのパラメータ

パラメータ
説明

[parameter-tunable-sig]

設定可能なパラメータがシグニチャに存在するかどうか。

[yes] | [no]

[inspection-type]

実行する検査のタイプ:

最初の LOKI トラフィックを検査する。

変更された LOKI トラフィックを検査する。

[is-loki]、[is-mod-loki]

[reply-ratio]

要求と応答のアンバランス。要求と比べて、応答が指定した数より多い場合に、アラートを起動します。

0 ~ 65535

[want-request]

アラートを起動する前に、ECHO REQUEST の検出が必要となります。

[true] | [false]

[Edit Signature Parameter - Component List] ダイアログボックス

[Edit Signature Parameter - Component List] ダイアログボックスを使用して、Meta エンジンのコンポーネント リストを編集します。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。Meta エンジンを使用するシグニチャが含まれる行を右クリックし、表示されるショートカット メニューから [Edit Row] をクリックします。[Edit Parameters] をクリックします。[Edit Signature Parameters] ダイアログボックスで、[Value] カラムの [List] をクリックします。

[Add Signature Parameter - List Entry] ダイアログボックス

[Add Signature Parameter - List Entry] ダイアログボックスを使用して、Meta エンジンのコンポーネントを追加します。

[Edit Signature Parameter - List Entry] ダイアログボックス

[Edit Signature Parameter - List Entry] ダイアログボックスを使用して、Meta エンジンのコンポーネントを編集します。

[Obsoletes] ダイアログボックス

[Obsoletes] ダイアログボックスを使用して、特定のシグニチャに関連付けられている古いシグニチャを識別します。

[Add an Entry] ダイアログボックス

[Add an Entry] ダイアログボックスを使用して、特定のシグニチャに関連付けられている古いシグニチャを追加します。

[Settings] ページ

[Settings] ページを使用して、アプリケーション ポリシー(HTTP のイネーブル化、HTTP 要求の最大数、AIC Web ポート、および FTP のイネーブル化)、フラグメント再構築ポリシー、ストリーム再構築ポリシー、および IP ロギング ポリシーを定義します。これらの設定は、共有はできるが、継承はされないポリシーとなります。新しい IPS デバイスを追加すると、そのデバイスには、すべてのシグニチャのデフォルト設定を含むローカル ポリシーが適用されます。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [IPS] > [Signatures] > [Signature Settings] を選択します。[Signature Settings] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「シグニチャ ポリシー」

「Cisco NSDB へのアクセス」

フィールド リファレンス

 

表 29-39 [Settings] ページ

要素
説明

[Enable HTTP]

Web サービスの保護をイネーブルにします。RFC に準拠するために、センサーで HTTP トラフィックを検査する必要がある場合は、[Yes] を選択します。

[Max HTTP Requests]

未処理の HTTP 要求の最大数を接続ごとに指定します。

[AIC Web Ports]

AIC トラフィックを検索するポートの変数を指定します。

[Enable FTP]

FTP サービスの保護をイネーブルにします。センサーで FTP トラフィックを検査する必要がある場合は、[Yes] を選択します。

[IP Reassembly Mode]

オペレーティング システムに基づいて、センサーがフラグメントの再構築に使用する方式を示します。

[TCP Handshake Required]

センサーが、スリーウェイ ハンドシェイクが実行されたセッションだけを追跡することを指定します。

[TCP Reassembly Mode]

センサーが、次のオプションを使用する TCP セッションの再構築に使用するモードを指定します。

[Asymmetric]:双方向トラフィック フローのいずれかの方向だけをモニタします。

(注) [Asymmetric] モードの場合、センサーは状態をフローと同期し、双方向を必要としないエンジンの検査を継続します。完全な保護には双方向のトラフィックを確認する必要があるため、[Asymmetric] モードではセキュリティが低下します。

[Loose]:パケットがドロップされる可能性がある状況で使用します。

[Strict]:何らかの理由でパケットが失われた場合、失われたパケット以降のすべてのパケットが処理されなくなります。

[Max IP Log Packets]

記録するパケットの数を示します。

[IP Log Time]

センサーが記録する期間を示します。有効な値は、1 ~ 60 秒です。デフォルトは 30 秒です。

[Max IP Log Bytes]

[Max IP Log Bytes]:記録する最大バイト数を示します。