Cisco Security Manager 4.1 ユーザ ガイド
IPS シグニチャの定義
IPS シグニチャの定義
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IPS シグニチャの定義

シグニチャについて

シグネチャの詳細情報の取得

シグニチャ継承について

IPS シグネチャの削除

シグニチャの設定

[Signatures] ページ

シグネチャのショートカット メニュー

[Edit Action]、[Add Action]、[Replace Action] ダイアログボックス

[Edit Fidelity] ダイアログボックス

シグネチャ更新レベルの表示

シグニチャのイネーブル化とディセーブル化

シグネチャの編集

[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス

カスタム シグニチャの追加

エンジンのオプション

シグニチャのクローニング

シグニチャ パラメータの編集(シグニチャの調整)

[Edit Signature Parameters] ダイアログボックス

Meta エンジン シグネチャのコンポーネント リストの編集

[Obsoletes] ダイアログボックス

シグニチャの設定値の設定

IPS シグニチャの定義

Security Manager を使用すると、専用の IPS アプライアンスやサービス モジュール、または Cisco IOS IPS デバイスに IPS シグニチャを設定できます。Cisco IOS IPS のシグニチャを設定する場合、ルータでは、専用のアプライアンスやサービス モジュールほどは多くのシグニチャを使用できないことに注意してください。

この章は、次の内容で構成されています。

「シグニチャについて」

「シグニチャの設定」

「シグニチャの設定値の設定」

シグニチャについて

ネットワークへの侵入とは、ネットワーク リソースへの攻撃、またはネットワーク リソースの不正使用を指しています。Cisco IPS センサーおよび Cisco IOS IPS デバイスでは、シグニチャベースのテクノロジーを使用して、ネットワーク侵入を検出します。シグニチャによって、センサーが検出およびレポートするネットワーク侵入のタイプを指定します。センサーは、ネットワーク パケットをスキャンするときに、シグニチャを使用して、Denial of Service(DoS; サービス拒絶)攻撃などの既知のタイプの攻撃を検出し、定義したアクションに従って対応します。

基本的なレベルでは、シグニチャベースの侵入検知テクノロジーは、ウイルス チェック プログラムにたとえることができます。Cisco IPS には、センサーがネットワーク アクティビティと照合するシグニチャのセットが含まれています。一致が見つかると、センサーは、イベントのロギングや、Security Manager Event Viewer へのアラームの送信などのアクションを実行します。

シグニチャによって false positive が生成される場合もあります。通常のネットワーク アクティビティであっても、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、一部のネットワーク アプリケーションやオペレーティング システムは、多数の ICMP メッセージを送信することがありますが、シグニチャベースの検出システムでは、このメッセージが攻撃者によるネットワーク セグメント特定の試みであると解釈されてしまう可能性があります。シグニチャ パラメータを編集(シグニチャを調整)することにより、false positive を最小限に抑えることができます。

特定のシグニチャを使ってネットワーク トラフィックをモニタするようにセンサーを設定するには、そのシグニチャをイネーブルにする必要があります。デフォルトでは、重要なシグニチャはシグネチャ更新のインストール時にイネーブルになります。イネーブルなシグネチャに一致する攻撃が検出されると、センサーはアラートを生成します。生成されたアラートはセンサーのイベント ストアに保存されます。アラートは他のイベントと同様、Event Viewer などの Web ベースのクライアントによって、イベント ストアから取得される場合があります。デフォルトでは、センサーは Informational 以上のすべてのアラートをログに記録します。

シグニチャには、サブシグニチャを持つもの(サブカテゴリに分類されているもの)があります。サブシグニチャを設定した場合、あるサブシグニチャのパラメータを変更しても、変更が適用されるのはそのサブシグニチャだけです。たとえば、シグニチャ 3050 のサブシグニチャ 1 を編集し重大度を変更した場合、重大度の変更はサブシグニチャ 1 だけに適用され、3050 2、3050 3、および 3050 4 には適用されません。

Cisco IPS には、10,000 を超えるデフォルトの組み込みシグネチャが含まれています。組み込みシグネチャのリストにあるシグネチャの名前の変更および削除はできません。ただし、シグネチャをセンシング エンジンから削除して廃棄できます。あとで廃棄されたシグネチャをアクティブにできます。ただし、このプロセスにはセンシング エンジンの設定の再構築が必要です。この再構築には時間がかかり、トラフィックの処理を遅延させる可能性があります。組み込みシグニチャのチューニングは可能です。これには、シグニチャのいくつかのパラメータを変更します。変更された組み込みシグニチャは、チューニング済みシグニチャと呼ばれます。


) 使用していないシグネチャを廃棄することを推奨します。廃棄によって、センサーのパフォーマンスが向上します。


カスタム シグニチャと呼ばれるシグニチャを作成できます。カスタム シグニチャ ID は、60000 から始まります。いくつかの項目に対して、カスタム シグニチャを設定できます。たとえば、UDP 接続の文字列との一致やネットワーク フラッドの追跡、スキャンなどです。シグニチャは、モニタするトラフィックの種類に対して特別に設計されたシグニチャ エンジンを使って作成します。

詳細については、以下を参照してください。

「シグネチャの詳細情報の取得」

「シグニチャ継承について」

関連項目

「シグニチャの設定」

「グローバル相関の設定」

シグネチャの詳細情報の取得

Cisco Security Intelligence Operations Web サイトで、各シグネチャの詳細情報を表示できます。Web サイトには、ネットワーク セキュリティに関する豊富な情報とベスト プラクティスの推奨事項が含まれており、IntelliShield アラートを設定できます。また、Web サイトでは、ネットワークを保護し、修復に優先順位を付け、組織のリスクを減らすようにシステムを構築するために役立つ高度なセキュリティ項目に関する情報も提供しています。

Security Manager の Signatures ポリシーを編集する際(「[Signatures] ページ」を参照)、シグネチャ ID は IPS シグネチャの Cisco Security Intelligence Operations データベースに直接リンクされています。シグネチャ ID をクリックすると、シグネチャに関する情報(説明、シグネチャが基づく脆弱性、シグネチャが作成された日時など)を含むページが開きます。このデータベースは、 http://tools.cisco.com/security/center/search.x?search=Signature でユーザ自身が検索できます(データベースは以前、Cisco Network Security Database または NSDB と呼ばれていました)。

Cisco.com にアクセスできない場合、シグニチャ ID はシグネチャ データベース情報のローカル コピーにリンクされています。Security Manager によって、Cisco.com にアクセスできるかどうかが検出され、適切なリンクが作成されるため、ユーザはプリファレンスを設定する必要がありません。

データベースには、デフォルトの組み込みシグネチャの情報のみが含まれます。カスタム シグネチャ(ユーザが定義したシグネチャ)の情報は表示できません。

シグニチャ継承について

IPS デバイスのシグニチャ継承は、他のどの Security Manager のルール ベースのポリシーの場合とも異なります。継承とは、最初に一致した規則ベースのポリシーの階層リスト(アクセス規則など)を適用する、Security Manager の機能のことです。シグニチャ継承での相違点は、IPS デバイスの場合、Security Manager によってシグニチャ単位の継承が可能になる点です。

次の例は、シグニチャ単位の継承がどのように行われるかを示しています。


ステップ 1 ポリシー ビューで、[IPS] > [Signatures] > [Signatures] を選択します。

ステップ 2 test1 という名前のポリシーを作成します。

ステップ 3 test2 という名前の別のポリシーを作成します。

ステップ 4 [test 2] を右クリックし、[Inherit Signatures] を選択します。[Inherit Rules - test 2] ダイアログボックスが表示されます。

ステップ 5 [test1] を選択し、[OK] ボタンをクリックします。

ステップ 6 [test1] を選択し、シグニチャを編集します。編集した内容をメモし、変更内容を保存します。

ステップ 7 [test2] を選択し、編集したシグニチャを選択します。test2 が、test1 に対して行った編集内容を継承していることを確認します。


 

IPS シグネチャの削除

Security Manager 4.1 から、(導入されている一番低いシグネチャ レベルより古いシグネチャとして定義される)古いシグネチャ バージョンは、データベースの最適化を目的とする定期的な削除操作によって削除されます。


) 削除操作の結果、一部の未使用のチューニング コンテキストが削除されることに注意してください。


削除されたシグネチャの一部は、Cisco.com から IPS シグネチャ パッケージを次回ダウンロードする際に復元できる可能性があります。

デフォルトでは、IPS シグネチャの削除はディセーブルになっています。IPS シグネチャの削除をイネーブルにするには、次の手順を実行します。


ステップ 1 Cisco Security Manager Daemon Manager を停止します。コマンド プロンプトで、 net stop crmdmgtd と入力します。

ステップ 2 NMSROOT ¥MDC¥ips¥etc¥sensorupdate.properties ファイルに移動します( NMSROOT は Security Manager インストール ディレクトリへのパスを表します)。デフォルトは C:¥Program Files¥CSCOpx です。

ステップ 3 sensorupdate.properties で、purgeUnusedSignautesEntriesinDB:false を purgeUnusedSignautesEntriesinDB:true に変更します。

ステップ 4 Cisco Security Manager Daemon Manager を再起動します。コマンド プロンプトで、 net start crmdmgtd と入力します。

これで、IPS シグネチャの削除が毎日 0 時に実行されます。


 

シグニチャの設定

Signatures ポリシーで、Cisco IPS センサーと Cisco IOS IPS デバイスのシグニチャを設定します。

ここでは、次の内容について説明します。

「[Signatures] ページ」

「シグネチャ更新レベルの表示」

「シグニチャのイネーブル化とディセーブル化」

「シグネチャの編集」

「カスタム シグニチャの追加」

「シグニチャのクローニング」

「シグニチャ パラメータの編集(シグニチャの調整)」

[Signatures] ページ

[Signatures] ページを使用して、IPS シグニチャの追加、編集および削除を実行できる、シグニチャ サマリー テーブルを表示します。このページで、シグニチャをイネーブルまたはディセーブルにして、ポリシー内のアクティブなシグニチャ セットを調整できます。このページを使用して、エンジンからシグニチャをアンロードすることもできます。

ヒント

ディセーブルなシグネチャには、テーブルの行にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルなシグネチャはデバイスから削除されます。詳細については、「シグニチャのイネーブル化とディセーブル化」を参照してください。

多くのカラムでは、カラムを右クリックして直接プロパティを編集できます。編集した内容は、選択したすべての行に適用されます。複数の行を選択した場合、選択できるオプションは選択したすべての行に有効なものに限られます。右クリック メニューの内容は、右クリックしたセルに基づいて異なります。使用可能なコマンドの詳細については、「シグネチャのショートカット メニュー」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

「シグニチャについて」

「シグニチャ継承について」

「シグニチャのイネーブル化とディセーブル化」

「シグニチャのクローニング」

「シグニチャ パラメータの編集(シグニチャの調整)」

「イベント アクション フィルタの設定」

「イベント アクション規則の設定」

フィールド リファレンス

 

表 35-1 シグネチャのポリシー

要素
説明

[ID]

シグネチャ ID。このシグニチャに割り当てられた一意の数値を示します。この値により、センサーは特定のシグニチャを識別します。ID 番号をクリックすると、「シグネチャの詳細情報の取得」で説明したように、Web ブラウザでシグネチャの詳細情報が表示されたページが開きます。

[Sub]

サブシグネチャ ID。このサブシグニチャに割り当てられた一意の数値を示します。サブシグニチャ ID によって、広範なシグニチャのより詳細なバージョンが識別されます。

[Name]

証明書に割り当てられる名前を示します。

[Action]

このシグニチャが起動されたときにセンサーが実行するアクションを示します。

[Severity]

シグニチャによってレポートされる重大度レベル([High]、[Medium]、[Low]、または [Informational])を示します。

[Fidelity]

ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Source]

シグニチャの設定を上書きする、継承階層内の一番低いポリシーを示します。値は次のとおりです。

[Default]:シグネチャはデフォルトのシスコ定義の設定を使用します。

[Local]:シグネチャは選択したデバイス向けに特別に定義されています(デバイス ビューのみ)。

[Policy name]:継承階層内の一番低い共有ポリシーを示します。ポリシー名はポリシー ビューで表示するか、またはデバイスに共有シグネチャ ポリシーを割り当てる場合はデバイス ビューで表示できます。

[Enabled]

シグネチャがこのポリシーでイネーブルになっているかどうかを示します。イネーブルの場合は [true]、ディセーブルの場合は [false] です。シグニチャで指定されている攻撃からの保護をセンサーが提供するには、シグニチャをイネーブルにする必要があります。

[Base Risk Rating]

シグニチャの基本リスク レーティング値を示します。

[Retired]

シグネチャが廃棄される条件(条件が存在する場合)。廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。

ワンポイント アドバイス [Retired] フィールドを使用して、IOS-IPS デバイス上のディセーブルにしたシグニチャをアンロードし、そのデバイスのメモリ使用量を最適な量にします。

シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired] フィールドの値は [false] と [true] のどちらかになります。[false] の場合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。

シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired] フィールドの値は次の 4 つのいずれかになります。

[false]:シグネチャは廃棄されません。

[low-mem-retired]:シグネチャは、メモリ容量が少ないプラットフォームで廃棄されます。メモリ容量が少ないデバイスとは、メモリが 2 MB 以下のものを指します。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。メモリ容量が中程度のデバイスとは、メモリが 2 MB より大きく 4 MB 以下のものを指します(メモリが 4 MB を超えるデバイスは、メモリ容量が多いプラットフォームと見なされます)。

[true]:シグネチャはすべてのプラットフォームで廃棄されます。

[low-mem-retired] または [med-mem-retired] を選択すると、Security Manager はデバイスに対して、それらの条件を持ったシグネチャを設定します。デバイスでシグネチャが実際に廃棄されるかどうかはデバイスに取り付けられているメモリの容量によって異なります。デバイスによって実際に廃棄されるシグネチャが判断されます。

という用語とは異なります。

[Obsolete]

シグニチャが古いかどうかを示します。古いシグニチャは、シグニチャ エンジンから削除されます。再度アクティブにすることはできません。このカラムは読み取り専用です。

[Engine]

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。

[View Update Level] ボタン

(デバイス ビューだけ)

このデバイスのシグネチャ更新レベルを表示するには、このボタンをクリックします。詳細については、「シグネチャ更新レベルの表示」を参照してください。

[Export to File] ボタン

このボタンをクリックして、現在のデバイスのシグニチャ サマリーを Comma Separated Value(CSV; カンマ区切り値)ファイルにエクスポートします。Security Manager サーバ上のフォルダを選択し、ファイル名を指定するように要求されます。

[Add] ボタン

カスタム シグネチャを追加するには、このボタンをクリックします。詳細については、次の項を参照してください。

「カスタム シグニチャの追加」

「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」

[Edit] ボタン

選択したシグネチャを編集するには、このボタンをクリックします。一度に編集できるシグニチャは 1 つです。詳細については、次の項を参照してください。

「シグネチャの編集」

「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」

[Delete] ボタン

選択したカスタム シグネチャを削除するには、このボタンをクリックします。

シスコ定義のシグネチャは削除できません。シスコ定義のシグネチャを展開しない場合は、シグネチャを廃棄またはディセーブルにできます。

シグネチャのショートカット メニュー

シグネチャ ポリシーのシグネチャ サマリー テーブル内を右クリックすると、選択したシグネチャに対してさまざまな機能を実行するためのショートカット メニューが表示されます。コマンドには、単一のシグネチャを選択した場合のみに表示されるものもあれば、複数のシグネチャに対して同時に使用でき、変更内容が選択したすべてのシグネチャに適用されるものもあります。シグネチャ ポリシーの詳細については、「[Signatures] ページ」を参照してください。

また、使用可能なコマンドは右クリックしたセルによって異なります。コマンドには、どのセルを右クリックしても使用できるものもあれば、単一のセルだけで使用できるものもあります。


ヒント 右クリック コマンドを使用してデフォルト シグネチャのセルの値を変更するときには、シグネチャはデバイス ビューでローカル シグネチャに変換されるか、ポリシー ビューで共有ポリシー固有のシグネチャに変換されます。

次の表に、使用可能なコマンドの説明を示します。

 

表 35-2 シグネチャのショートカット メニュー

メニュー コマンド
説明
すべてのセルに使用できるコマンド

[Add Row]

カスタム シグネチャを追加します。詳細については、次の項を参照してください。

「カスタム シグニチャの追加」

「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」

[Edit Row]

選択したシグネチャを編集します。一度に編集できるシグニチャは 1 つです。詳細については、次の項を参照してください。

「シグネチャの編集」

「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」

[Delete Row]

選択したカスタム シグネチャを削除します。

シスコ定義のシグネチャは削除できません。シスコ定義のシグネチャを展開しない場合は、シグネチャを廃棄またはディセーブルにできます。

[Clone]

選択したシグネチャと同一のプロパティを持つ新規カスタム シグネチャを作成します。詳細については、「シグニチャのクローニング」を参照してください。

[Enable]、[Disable]

シグニチャをイネーブルまたはディセーブルな状態にします。ディセーブルなシグニチャは、網掛けされて表示されます。詳細については、「シグニチャのイネーブル化とディセーブル化」を参照してください。

[Show Events]

Cisco Security MARS アプリケーションへの移動をイネーブルにして、選択したシグニチャによって検出されたリアルタイムのイベントまたは過去のイベントを表示できるようにします。詳細については、「IPS シグニチャの CS-MARS イベントの表示」を参照してください。

[Action] セルのコマンド

[Add to Actions]

選択したシグニチャの現在のアクション リストにアクションを追加します。

[Delete from Actions]

選択したシグニチャの現在のアクション リストからアクションを削除します。

[Replace Actions With]

選択したシグニチャの現在のアクション セットを、選択した単一のアクションに置き換えます。複数のアクションを選択する場合、サブメニューから [More] を選択し、次に Ctrl キーを押した状態で目的のアクションをクリックして選択します。

[Edit Actions]

[Edit Actions] ダイアログボックスが開きます。このダイアログボックスで、シグネチャに対して実行するアクションを選択できます。選択したアクションで、シグニチャの現在のアクション リストを置き換えます。詳細については、「[Edit Action]、[Add Action]、[Replace Action] ダイアログボックス」を参照してください。

[Severity] セルのコマンド

[High]

[Medium]

[Low]

[Informational]

シグネチャの重大度レベルを、選択したレベルに変更します。

[Fidelity] セルのコマンド

[Edit Fidelity]

シグニチャの忠実度評価を変更します。忠実度評価は、ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Retired] セルのコマンド

[Retire]

[Activate]

[Retire on Low Memory]

[Retire on Medium Memory]

シグネチャの廃棄ステータスを、選択したステータスに変更します。廃棄ステータス カテゴリの詳細については、「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」を参照してください。

[Edit Action]、[Add Action]、[Replace Action] ダイアログボックス

シグネチャに定義されているアクションを変更するには、[Edit Action]、[Add Action]、または [Replace Action] ダイアログボックスを使用します。これらのダイアログボックスは、「シグネチャのショートカット メニュー」で説明したように、右クリック メニューを使用して [Action] セルを編集するときにのみ使用できます。動作はダイアログボックス名によって異なります。

[Add Actions]:選択したアクションは、シグネチャですでに定義されているアクションに追加されます。このダイアログボックスを開くには、シグネチャの [Actions] セルを右クリックし、[Add to Actions] > [More] を選択します。

[Replace Actions]:選択したアクションは、シグネチャで定義されているアクションをすべて置き換えます。このダイアログボックスを開くには、シグネチャの [Actions] セルを右クリックし、[Replace Actions With] > [More] を選択します。

[Edit Actions]:選択したアクションは、シグネチャで定義されているアクションをすべて置き換えます。このダイアログボックスを開くには、シグネチャの [Actions] セルを右クリックし、[Edit Actions] を選択します。

使用可能なアクションの説明については、「IPS イベント アクションについて」を参照してください。Ctrl キーを押した状態でクリックすることで、複数のアクションを選択できます。


) ダイアログボックスを開いたときに表示されるアクションのリストは、状況に応じて変わります。アクションのリストは、[Actions] カラムで 1 つのシグニチャ行だけを右クリックしたか、[Actions] カラムで右クリックする前に複数のシグニチャ行を選択したか、によって変わります。[Actions] カラムで 1 つのシグニチャ行だけを右クリックした場合、アクションのリストは、そのシグニチャのエンジンのリストになります。[Actions] カラムで右クリックする前に複数のシグニチャ行を選択した場合、アクションのリストは、影響を受ける各エンジンで使用できるリストになります(リストには、共通のアクションが含まれます。選択したシグニチャのすべてのアクションが含まれるわけではありません)。


[Edit Fidelity] ダイアログボックス

[Edit Fidelity] ダイアログボックスを使用して、特定のシグニチャの [Fidelity Rating] で変更を行います。忠実度評価、または Signature Fidelity Rating(SFR; シグニチャの忠実度評価)は、ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。この評価には、0 ~ 100 の任意の数字を指定できます。100 は、シグニチャの信頼性が最も高いことを意味します。

ナビゲーション パス

シグネチャ ポリシーで、シグネチャの [Fidelity] セルを右クリックし、[Edit Fidelity] を選択します。シグネチャ ポリシーを開く方法については、「[Signatures] ページ」を参照してください。シグネチャのショートカット メニューの詳細については、「シグネチャのショートカット メニュー」を参照してください。

シグネチャ更新レベルの表示

デバイス ビューで、Security Manager のデバイスに適用されている現在のシグネチャ更新パッケージを判定し、デバイスに展開されているパッケージと比較できます。

適用された更新レベルと展開された更新レベルとの間の相違は、次の場合に発生する可能性があります。

デバイスが、Security Manager の外部で更新された。

Security Manager で更新はポリシーに適用されたが、デバイスにまだパブリッシュされていない。

Security Manager の初回の展開時に、デバイスがまだ Security Manager の制御下にない。

シグネチャ更新レベルを表示するには、デバイス ビューで IPS デバイスに対して、[IPS] > [Signatures] > [Signatures] ポリシーを選択します。次に、[View Update Level] ボタンをクリックして、[Update Level] ダイアログボックスを開きます。

次の表に、ダイアログボックスに表示される情報を示します。

 

表 35-3 [Update Level] ダイアログボックス

要素
説明

[Applied Level]

このカラムには、Security Manager でこのデバイスに適用されるパッチ レベルが表示されます。

[Deployed Level]

このカラムには、選択したデバイスで現在実行されているパッチ レベルが表示されます。

[Major Update]

メジャー更新レベルを示します。

[Minor Update]

マイナー更新レベルを示します。

[Service Pack]

サービス パック レベルを示します。

[Patch]

パッチ レベルを示します。

[Engine]

エンジン レベルを示します。

[Signature Update]

シグニチャ更新レベルを示します。

(注) このフィールドは、このページにおいて、IOS IPS デバイスに適用される唯一のフィールドです。その他のフィールドはすべて、IPS デバイス専用です。

[Revert] ボタン

誤って [Applied Level] を変更した場合は、新しい [Applied Level] を廃棄できます、[Revert] をクリックすると、[Applied Level] が [Deployed Level] に同期されます。

ヒント 復元が実行される前に、警告ダイアログが表示されます。アクティビティを送信するかどうかを確認する警告ダイアログも表示されます。

シグニチャのイネーブル化とディセーブル化

個別のシグネチャをイネーブルまたはディセーブルにできます。変更は、設定をデバイスに再展開すると有効になります。

シグネチャがディセーブルになっている場合、テーブルでその規則にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルなシグネチャはデバイスから削除されます。

シグネチャのディセーブル化は、デバイスで使用するシグネチャの数を減らす場合や、カスタム シグネチャを削除せずにその使用を一時的に停止する場合に役立ちます。あとでディセーブルにしたシグネチャを再びイネーブルにできます。


) 廃棄されたシグニチャをイネーブルにできますが、廃棄されたシグニチャはシグニチャ マイクロ エンジンに含まれていないため、トラフィックのスキャンには使用されません。特定のシグニチャに関してネットワーク トラフィックをセンサーでスキャンする場合は、そのシグニチャをイネーブルにし、廃棄はしないでください。AIP-SSC-5 では、廃棄されたシグニチャをイネーブルにできません。



ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Signature] ページが表示されます(「[Signatures] ページ」を参照)。

ステップ 2 イネーブル ステータスを変更するシグネチャを右クリックして、適宜 [Enable] または [Disable] を選択します。


 

シグネチャの編集

シグネチャを編集して、その動作を変更できます。たとえば、シグネチャが起動するときに実行するアクションや、シグネチャのリスク評価の計算に使用される重大度および忠実度評価を変更できます。

一部のシグニチャには、次に示す特別な要件があります。たとえば、ACL 違反シグニチャを検出するようにセンサーを設定するには、ACL 違反を記録するように 1 つ以上の Cisco IOS ルータを最初に設定する必要があります。次に、センサーと通信するようにそれらのルータを設定する必要があります。最後に、これらのルータから syslog トラフィックを受信するようにセンサーを設定する必要があります。


ヒント この手順では、シグネチャ全体を編集する方法について説明します。シグネチャ ポリシーの右クリック メニューを使用することで、シグネチャの個別のプロパティを選択して編集することもできます。使用可能なコマンドの詳細については、「シグネチャのショートカット メニュー」を参照してください。

関連項目

「シグニチャについて」

「IPS イベント アクションについて」

「シグニチャのイネーブル化とディセーブル化」

「シグニチャのクローニング」

「イベント アクション フィルタの設定」

「イベント アクション規則の設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Signature] ページが表示されます(「[Signatures] ページ」を参照)。

ステップ 2 編集するシグネチャを右クリックし、[Edit Row] を選択します。シグネチャを選択して、シグネチャ テーブルの下にある [Edit Row](鉛筆)ボタンをクリックすることもできます。[Edit Signature] ダイアログボックスが開きます。


ヒント テーブルの上にある [Filter] フィールドを使用すると、目的のシグネチャを検索しやすくなります。テーブルのフィルタリングの詳細については、「テーブルのフィルタリング」を参照してください。


ステップ 3 シグネチャに目的の変更を加えます。各オプションの具体的な詳細については、「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」を参照してください。

シグネチャを編集するときは、次の点を考慮してください。

デフォルト シグネチャは編集できません。デフォルト シグネチャは、シスコ定義バージョンのシグネチャです。デフォルト シグネチャを編集する前に、デフォルト シグネチャをローカル シグネチャ(選択したデバイスに定義されているシグネチャ)または共有ポリシー固有のシグネチャ(共有ポリシーで定義されているシグネチャ)のいずれかに変換する必要があります。[Edit Signature] ダイアログボックスのフィールドを変更する前に、[Source Policy] フィールドから [Local] または共有ポリシー名を選択する必要があります。

シグネチャのすべての特性を変更できるわけではありません。たとえば、シグネチャ ID またはサブシグネチャ ID は変更できません。このフィールドは読み取り専用です。

シグネチャの詳細パラメータを変更する場合は、「シグニチャ パラメータの編集(シグニチャの調整)」で説明する手順に従ってください。

ステップ 4 [OK] をクリックして変更を保存します。


 

[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス

[Edit Signature] ダイアログボックスと [Add Custom Signature] ダイアログボックスは基本的には同じです。ほとんどのフィールドは同一ですが、レイアウトが多少異なります。このダイアログボックスは、次のように使用します。

[Edit Signature] ダイアログボックスを使用して、デフォルト以外のシグネチャの特性を編集します(読み取り専用モードでは、デフォルト シグネチャの特性の表示のみが可能です)。

デフォルト シグネチャは編集できません。シグネチャに変更を加えるには、ダイアログボックスの一番上にある [Source Policy] フィールドで [Default] 以外のシグネチャを選択する必要があります。

[Add Custom Signature] ダイアログボックスを使用して、カスタム シグニチャを作成します。[Add Custom Signature] ダイアログボックスで、名前を入力してから、ドロップダウン リストから既存のエンジンを選択します。シグニチャ ID とサブシグニチャ ID は、Security Manager によって割り当てられます。残りのパラメータの選択を終了すると、新しいシグニチャは、[Signatures] ページの適切な数値位置に追加され、選択された状態になります。

ナビゲーション パス

[Signatures] ページから、次の作業ができます。

シグネチャを編集するには、編集するポリシーを右クリックし、[Edit Row] を選択します。

カスタム シグネチャを追加するには、テーブルの下にある [Add Row](+)ボタンをクリックするか、任意の行を右クリックし、[Add Row] を選択します。

[Signature] ページを開く方法については、「[Signatures] ページ」を参照してください。

関連項目

「[Edit Action]、[Add Action]、[Replace Action] ダイアログボックス」

「[Edit Signature Parameters] ダイアログボックス」

「エンジンのオプション」

フィールド リファレンス

 

表 35-4 [Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス

要素
説明

[Source Policy]

([Edit signature] のみ)

シグネチャの編集におけるポリシーは、次のとおりです。

[Default]:デフォルトのシスコ定義のシグネチャ。このシグネチャは編集できません。シグネチャを編集するには、[Default] 以外のシグネチャを選択する必要があります。

[Local]:選択したデバイス向けに特別に定義されているローカル シグネチャです。このオプションはポリシー ビューでは使用できません。

[Policy name](変数):共有ポリシーの名前。デバイス ビューでは、デバイスに共有ポリシーを割り当てた場合のみ、ポリシー名を使用できます。ポリシー ビューでは、編集しているポリシー名を指します。ポリシー名を選択して、シグネチャを編集し、編集した内容を共有ポリシーが割り当てられているすべてのデバイスに反映します。

Name

([Add] のみ)

シグネチャの名前。

いったん作成したシグネチャの名前は変更できません。名前を変更する場合、シグネチャの複製を作成する必要があります。

[Inheritance Mandatory]

([Edit signature] のみ)

選択すると、このポリシーから継承されるすべてのポリシーで、定義されたシグニチャ設定が使用されるようになります。

Enabled

シグニチャがイネーブルかどうかを示します。

[Severity]

シグニチャによってレポートされる重大度レベル([High]、[Medium]、[Low]、または [Informational])を示します。

[Fidelity Rating]

ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。

[Actions]

このシグニチャが起動されたときにセンサーが実行するアクションを示します。アクションの一覧については、「IPS イベント アクションについて」を参照してください。

Ctrl キーを押した状態でクリックすることで、複数のアクションを選択できます。

[Base Risk Rating]

[Risk Rating]

(シグネチャの追加または編集で、フィールドの名前は若干異なります)

シグネチャの基本リスク レーティング値。この値は、忠実度評価と重大度係数を掛け合わせたものを 100 で割ることによって(忠実度評価 x 重大度係数 /100)計算されます。この値は読み取り専用です。直接変更できません。値を変更するには、[Severity] フィールドと [Fidelity] フィールドを変更します。

重大度係数は、[Severity] フィールドでの選択内容に応じて、次の値をとります。

High = 100

Medium = 75

Low = 50

Informational = 25

[Engine]

(編集時は読み取り専用。カスタム シグネチャの追加時は読み書き可能)

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。エンジンの詳細については、「エンジンのオプション」を参照してください。

カスタム シグネチャを追加するときは、適切なエンジンを選択する必要があります。各エンジンに関する詳細情報と使用可能なパラメータについては、ご使用の IPS ソフトウェア リリースに対応した『 Installing and Using Cisco Intrusion Prevention System Device Manager 』マニュアルの「Signature Engines」セクションを参照してください。

という用語とは異なります。

[Retired]

シグネチャが廃棄される条件(条件が存在する場合)。廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。

ワンポイント アドバイス [Retired] フィールドを使用して、IOS-IPS デバイス上のディセーブルにしたシグニチャをアンロードし、そのデバイスのメモリ使用量を最適な量にします。

シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired] フィールドの値は [false] と [true] のどちらかになります。[false] の場合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。

シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired] フィールドの値は次の 4 つのいずれかになります。

[false]:シグネチャは廃棄されません。

[low-mem-retired]:シグネチャは、メモリ容量が少ないプラットフォームで廃棄されます。メモリ容量が少ないデバイスとは、メモリが 2 MB 以下のものを指します。

[med-mem-retired]:シグニチャは、メモリ容量が中程度のプラットフォームで廃棄されます。メモリ容量が中程度のデバイスとは、メモリが 2 MB より大きく 4 MB 以下のものを指します(メモリが 4 MB を超えるデバイスは、メモリ容量が多いプラットフォームと見なされます)。

[true]:シグネチャはすべてのプラットフォームで廃棄されます。

[low-mem-retired] または [med-mem-retired] を選択すると、Security Manager はデバイスに対して、それらの条件を持ったシグネチャを設定します。デバイスでシグネチャが実際に廃棄されるかどうかはデバイスに取り付けられているメモリの容量によって異なります。デバイスによって実際に廃棄されるシグネチャが判断されます。

という用語とは異なります。

[Obsolete]

([Edit signature] のみ)

シグニチャが古いかどうかを示します。古いシグニチャは、シグニチャ エンジンから削除されます。再度アクティブにすることはできません。

[Restore Defaults] ボタン

(カスタム以外のシグネチャのみ。[Edit signature] のみ)

このボタンをクリックして、このシグネチャをシスコ定義のデフォルト値に戻します。

[Edit Parameters] ボタン

このボタンをクリックして、[Edit Signature Parameters] ダイアログボックスを使用し、このシグネチャの詳細パラメータを編集します。詳細については、次の項を参照してください。

「[Edit Signature Parameters] ダイアログボックス」

「シグニチャ パラメータの編集(シグニチャの調整)」

カスタム シグニチャの追加

組み込みシグネチャで指定されていないトラフィック パターンが必要な場合、独自のカスタム シグネチャを作成してトラフィック パターンを定義できます。

組み込みシグネチャがトラフィック パターンを網羅している場合でも、デフォルト シグネチャを変更せずに、カスタム シグネチャを作成し、詳細シグネチャ パラメータを編集できます。既存のシグネチャと同様のカスタム シグネチャを作成する場合は、「シグニチャのクローニング」で説明するように、シグネチャを複製するのが最も簡単な方法です。


) AIP-SSC-5 では、カスタム シグニチャはサポートされていません。



ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Signature] ページが表示されます(「[Signatures] ページ」を参照)。

ステップ 2 シグネチャ テーブルの下にある [Add Row](+)ボタンをクリックし、[Add Custom Signature] ダイアログボックスを開きます。

ステップ 3 必要な設定を行います。各オプションの具体的な詳細については、「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」を参照してください。

シグネチャを作成するときは、次の点を考慮してください。

いったん定義したシグネチャの名前は変更できません。あとで名前を変更する場合、シグネチャを複製し、複製を作成する際に名前を変更する必要があります。

シグネチャに適したシグネチャ エンジンを選択します。シグネチャ エンジンの詳細については、「エンジンのオプション」を参照してください。いったんシグネチャを作成すると、エンジンは変更できません。誤ったエンジンを選択した状態で [OK] をクリックしシグネチャを保存した場合、最初からやり直して、完全に新しいシグネチャを作成する必要があります。

デフォルトでは、イネーブルのシグネチャが作成されます。ただし、[Enabled] チェックボックスの選択を解除して、最初からディセーブルのシグネチャを作成できます。これで、パラメータの編集が終っていない場合に、シグネチャをディセーブルにできます。

「シグニチャ パラメータの編集(シグニチャの調整)」で説明する手順に従って、シグネチャの詳細パラメータを定義します。多くのパラメータがシグネチャ エンジンによって決まるため、パラメータを編集する前に目的のエンジンを選択する必要があります。

パラメータを設定する前にシグネチャを保存できるかどうかは、選択したエンジンによって異なります。シグネチャの定義を保存するには、少なくとも、[Edit Parameters] をクリックして [Edit Signature Parameters] ダイアログボックスを開いてから、[Edit Signature Parameters] ダイアログボックスで [OK] をクリックする必要があります。ただし、有効なシグネチャを作成するには、パラメータを設定して目的のトラフィック パターンを指定する必要があります。

ステップ 4 [OK] をクリックして変更を保存します。

カスタム シグネチャはテーブルの最後に追加され、60000 から始まるシグネチャ ID のうち、次に使用可能なシグネチャ ID が設定されます。


 

エンジンのオプション

次のリストに、[Edit Signature Parameters] ダイアログボックスの [Engine] フィールドで指定できるオプションを示します。各エンジンに関する詳細情報と使用可能なパラメータについては、ご使用の IPS ソフトウェア リリースに対応した『 Installing and Using Cisco Intrusion Prevention System Device Manager 』マニュアルの「Signature Engines」セクションを参照してください。

[AIC FTP]:FTP トラフィックを検査し、発行するコマンドを制御できるようにします。

[AIC HTTP]:HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。

[Atomic ARP]:レイヤ 2 ARP プロトコルを検査します。Atomic ARP エンジンが異なるのは、大半のエンジンはレイヤ 3 IP に基づいているためです。

[atomic-ip]:IP プロトコル パケット、および関連付けられているレイヤ 4 トランスポート プロトコルを検査します。

[Atomic IPv6]:不正な形式の IPv6 トラフィックによって引き起こされる IOS 脆弱性を検出します。

[Flood Host]:ホストに向けられた ICMP フラッドと UDP フラッドを検出します。

[Flood Net]:ネットワークに向けられた ICMP フラッドと UDP フラッドを検出します。

[Meta]:スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。

[multi-string]:1 つのシグニチャに一致する複数のストリングを使用して、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。

[normalizer]:IP および TCP ノーマライザが機能する方法を設定し、IP および TCP ノーマライザに関連するシグニチャ イベントに設定を提供します。RFC 準拠を強制できます。

[service-dns]:DNS(TCP および UDP)トラフィックを検査します。

[service-ftp]:FTP トラフィックを検査します。

[Service Generic]:カスタム サービスおよびペイロードをデコードします。

Service Generic エンジンを使用すると、設定ファイルでシグニチャを更新するだけで、プログラム シグニチャを発行できます。このエンジンには、設定ファイルで定義されている簡易マシンおよびアセンブリ言語が含まれています。このエンジンは、仮想マシンを介して(アセンブリ言語から導出された)マシン コードを実行します。仮想マシンは、命令を処理し、パケットから重要な情報を引き出して、マシン コードに指定されている比較および演算を実行します。このエンジンは、String エンジンと State エンジンを補足する迅速なシグニチャ応答エンジンとして設計されています。

Service Generic エンジンを使用してカスタム シグニチャを作成することはできません。


) 複雑な言語特有の性質上、Service Generic エンジンのシグニチャ パラメータを編集することは推奨しません。シグネチャの重大度とイベント アクションのみを変更してください。


[Service Generic Advanced]:ネットワーク プロトコルの一般的な分析を行います。

[Service H225]:VoIP トラフィックを検査します。

[service-http]:HTTP トラフィックを検査します。WEBPORTS 変数では、HTTP トラフィックの検査ポートを定義します。

[Service IDENT]:IDENT(クライアントおよびサーバ)トラフィックを検査します。

[Service MSRPC]:MSRPC トラフィックを検査します。

[Service MSSQL]:Microsoft SQL トラフィックを検査します。

[Service NTP]:NTP トラフィックを検査します。

[service-rpc]:RPC トラフィックを検査します。

[Service SMB]:SMB トラフィックを検査します。

[Service SMB Advanced]:Microsoft SMB パケットと Microsoft RPC over SMB パケットを処理します。

[Service SNMP]:SNMP トラフィックを検査します。

[Service SSH]:SSH トラフィックを検査します。

[Service TNS]:TNS トラフィックを検査します。

[state]:SMTP などのプロトコル内の文字列をステートフル検索します。

[string-icmp]:ICMP プロトコルに基づいて正規表現文字列を検索します。

[string-tcp]:TCP プロトコルに基づいて正規表現文字列を検索します。

[string-udp]:UDP プロトコルに基づいて正規表現文字列を検索します。

[Sweep]:1 つのホスト(ICMP と TCP)、宛先ポート(TCP と UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからの、ポート、ホスト、およびサービスのスイープを分析します。

[Sweep Other TCP]:1 つのホストに関する情報を取得しようとしている監視スキャンからの、TCP フラグの組み合わせを分析します。シグニチャは、フラグ A、B、および C をモニタします。3 つのフラグがすべて検出されると、アラートが起動します。

[Traffic ICMP]:TFN2K、LOKI、DDOS などの非標準プロトコルを分析します。パラメータを設定できるのは 2 つのシグニチャだけです。

[Traffic Anomaly]:ワームに感染したホストの TCP、UDP、およびその他のトラフィックを分析します。

[Trojan Bo2k]:非標準プロトコル BO2K からのトラフィックを分析します。このエンジンには、ユーザが設定できるパラメータはありません。

[Trojan Tfn2k]:非標準プロトコル TFN2K からのトラフィックを分析します。このエンジンには、ユーザが設定できるパラメータはありません。

[Trojan UDP]:UDP プロトコルからのトラフィックを分析します。このエンジンには、ユーザが設定できるパラメータはありません。

シグニチャのクローニング

既存のシグネチャと同様のカスタム シグネチャを作成する場合、シグネチャの複製、つまりコピーを作成できます。次に、複製が要件に応じて実行されるように、パラメータを編集できます。

たとえば、シスコ定義のシグネチャの複製を作成し、ニーズに合わせてカスタマイズできます。シスコのシグネチャをローカル シグネチャまたは共有ポリシー シグネチャに変換して直接パラメータを編集するよりも、実行しやすい場合があります。

シグニチャを複製するには、次の手順を実行します。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Signature] ページが表示されます(「[Signatures] ページ」を参照)。

ステップ 2 複製するシグネチャを右クリックし、[Clone] を選択します。

Security Manager によるコピーの作成には、時間がかかることがあります。一部の属性は読み取り専用でコピーできない旨の警告が表示される場合があります。警告が表示されたら、[OK] をクリックします。次に、[Add Custom Signature] ダイアログボックスが表示されます。

ステップ 3 「カスタム シグニチャの追加」の説明に従って、複製したシグネチャのプロパティを編集します。

ステップ 4 [OK] をクリックします。複製したシグニチャは、[Signatures] ページのサマリー テーブルに最後のシグネチャとして表示されます。

複製したシグニチャは、デフォルトでイネーブルおよびアクティブになります。


 

シグニチャ パラメータの編集(シグニチャの調整)

イベント アクション フィルタおよびオーバーライド ポリシーを使用するか、またはシグネチャに関連したアクションを変更して、ニーズに合うようにシグネチャの動作を変更できない場合、シグネチャ パラメータの微調整が必要になる場合があります。ただし、これらのパラメータは複雑で、パケットの特性に対する深い理解がしばしば必要になる場合があるため、パラメータの編集は最後のオプションとして検討してください。

パラメータを編集する理由は、false positive と false negative を減らすためです。

false positive は、ウイルス スキャンなどの正当なネットワーク アクティビティが攻撃として解釈およびレポートされた場合に発生します。これは、攻撃が行われる前に、攻撃を識別するために指定されている基準をネットワーク アクティビティが満たした場合に発生します。センサーの設定を調整することにより、false positive の数を減らすことができます。

false negative は、攻撃が検出されなかった場合に発生します。センサーの設定を調整することにより、false negative の数を減らすことができます。


ヒント デフォルト シグネチャのパラメータは編集できません。デフォルト シグネチャのパラメータを編集する前に、シグネチャをローカル シグネチャまたは共有ポリシー シグネチャに変換する必要があります。正規表現の編集など、シグネチャを複製し、カスタム シグネチャに変換する必要がある場合があります。

この手順では、シグニチャ パラメータを編集してシグニチャを調整する方法について説明します。

関連項目

「シグネチャの編集」

「シグニチャについて」

「イベント アクション フィルタの設定」

「イベント アクション オーバーライドの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。

(ポリシー ビュー、IPS アプライアンスおよびサービス モジュール)[IPS] > [Signatures] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

(ポリシー ビュー、Cisco IOS IPS デバイス)[IPS (Router)] > [Signatures] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Signature] ページが表示されます(「[Signatures] ページ」を参照)。

ステップ 2 パラメータを編集するシグネチャを右クリックし、[Edit Row] を選択します。[Edit Signature] ダイアログボックスが表示されます(「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」を参照)。

ステップ 3 [Source Policy] フィールドに [Default] が表示されている場合、パラメータを編集できるようにするには、[Source Policy] を [Local] または共有ポリシーの名前に変更する必要があります。[Local] オプションはデバイス ビューのみで使用可能です。このオプションでは、変更内容を編集中のデバイスに適用し、その他のデバイスには適用しません。共有ポリシーの名前を選択した場合、変更内容はポリシーが割り当てられているすべてのデバイスに適用されます。

ステップ 4 [Edit Parameters] をクリックします。[Edit Signature Parameters] ダイアログボックスが表示されます。

[Edit Signature Parameters] ダイアログボックスは、フォルダ ツリー構造を保持しています。左側のツリーにはパラメータ名が表示され、右側にはパラメータの値が表示されます。

変更できる値には、名前の部分に小さなボックスがあります。これはチェックボックスです。チェックボックスが空の場合、パラメータのデフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します(フィールドを編集すると、通常ボックスにチェック マークが追加されます)。

パラメータを変更するには、右側の対象フィールドをクリックします。パラメータをクリックした場合の動作は、パラメータ タイプによって異なります。

読み取り専用のパラメータ:多くのパラメータは読み取り専用で変更できません(シグネチャ ID など)。これらのパラメータをクリックしても通常無効になります。ただし、パラメータ リストでは、ダイアログボックスが開きます([Obsoletes] リストなど)。

テキストまたは数値のパラメータ:英数字または数字の値を入力する必要があるパラメータをクリックすると、フィールドは編集ボックスになります。目的の値を入力し、Enter キーを押すか、または編集ボックスの外側をクリックします。

事前に定義された値のパラメータ:多くのパラメータには、数個の選択できる値があります([Yes]/[No] など)。これらのパラメータをクリックすると、ドロップダウン リストがアクティブになります。目的のオプションを選択し、フィールドの外側をクリックします。

リストのパラメータ:項目のリストを保持しているパラメータもあります。これらのパラメータでは、パラメータ値に [Set] または [List] などの単語と鉛筆アイコンが表示されます。フィールド内をクリックすると、ダイアログボックスが開き、項目に関連するリストを設定できます。例としては、Meta エンジン コンポーネントのリストがあります。詳細については、「Meta エンジン シグネチャのコンポーネント リストの編集」を参照してください。

変数パラメータ:ポリシー オブジェクトを選択して、パラメータの内容を指定できるパラメータもあります。たとえば、一部のシグネチャ エンジンでは、ポート リスト オブジェクトを選択して、ポートを指定できます。これらのパラメータをクリックすると、[Select] ボタンのついた編集ボックスが表示されます。編集ボックスにポリシー オブジェクトの名前を含む項目を直接入力するか、[Select] をクリックしてリストからポリシー オブジェクトを選択するか、または新しいオブジェクトを作成することもできます。

[Edit Signature Parameters] ダイアログボックスの詳細については、「[Edit Signature Parameters] ダイアログボックス」を参照してください。

ステップ 5 必要に応じて設定を変更してから、[OK] をクリックし変更を保存します。[Edit Signature] ダイアログボックスに戻ります。

ステップ 6 [Edit Signature] ダイアログボックスで、[OK] をクリックしてシグネチャへの変更を保存します。


ヒント 編集内容で望ましい効果が得られなかった場合、または編集を誤った可能性がある場合は、[Edit Signature] ダイアログボックスで [Restore Defaults] ボタンをクリックして、変更内容を消去できます。その後、もう一度やり直すことができます。



 

[Edit Signature Parameters] ダイアログボックス

[Edit Signature Parameters] ダイアログボックスを使用して、特定のシグニチャの組み込みマイクロエンジン パラメータを編集(調整とも呼びます)します。エンジンが異なると、そのパラメータも異なるため、[Edit Signature Parameters] ダイアログボックスの表示は変化します。シグネチャ パラメータの編集の詳細については、「シグニチャ パラメータの編集(シグニチャの調整)」を参照してください。

[Edit Signature Parameters] ダイアログボックスは、フォルダ ツリー構造を保持しています。左側のツリーにはパラメータ名が表示され、右側にはパラメータの値が表示されます。

変更できる値には、名前の部分に小さなボックスがあります。これはチェックボックスです。チェックボックスが空の場合、パラメータのデフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します(フィールドを編集すると、通常ボックスにチェック マークが追加されます)。

パラメータを変更するには、右側の対象フィールドをクリックします。パラメータをクリックした場合の動作は、パラメータ タイプによって異なります。

読み取り専用のパラメータ:多くのパラメータは読み取り専用で変更できません(シグネチャ ID など)。これらのパラメータをクリックしても通常無効になります。ただし、パラメータ リストでは、ダイアログボックスが開きます([Obsoletes] リストなど)。

テキストまたは数値のパラメータ:英数字または数字の値を入力する必要があるパラメータをクリックすると、フィールドは編集ボックスになります。目的の値を入力し、Enter キーを押すか、または編集ボックスの外側をクリックします。

事前に定義された値のパラメータ:多くのパラメータには、数個の選択できる値があります([Yes]/[No] など)。これらのパラメータをクリックすると、ドロップダウン リストがアクティブになります。目的のオプションを選択し、フィールドの外側をクリックします。

リストのパラメータ:項目のリストを保持しているパラメータもあります。これらのパラメータでは、パラメータ値に [Set] または [List] などの単語と鉛筆アイコンが表示されます。フィールド内をクリックすると、ダイアログボックスが開き、項目に関連するリストを設定できます。例としては、Meta エンジン コンポーネントのリストがあります。詳細については、「Meta エンジン シグネチャのコンポーネント リストの編集」を参照してください。

変数パラメータ:ポリシー オブジェクトを選択して、パラメータの内容を指定できるパラメータもあります。たとえば、一部のシグネチャ エンジンでは、ポート リスト オブジェクトを選択して、ポートを指定できます。これらのパラメータをクリックすると、[Select] ボタンのついた編集ボックスが表示されます。編集ボックスにポリシー オブジェクトの名前を含む項目を直接入力するか、[Select] をクリックしてリストからポリシー オブジェクトを選択するか、または新しいオブジェクトを作成することもできます。

ナビゲーション パス

[Edit Signature] ダイアログボックスまたは [Add Custom Signature] ダイアログボックスから、[Edit Parameters] ボタンをクリックします。これらのダイアログボックスを開く方法については、「[Edit Signature] ダイアログボックス、[Add Custom Signature] ダイアログボックス」を参照してください。


ヒント ボタンがアクティブでない場合、最初に [Source Policy] フィールドから [Local] または共有ポリシーの名前を選択するか、シグネチャを複製しカスタム ポリシーを作成する必要があります。[Local] オプションはデバイス ビューのみで使用可能です。このオプションでは、変更内容を編集中のデバイスに適用し、その他のデバイスには適用しません。共有ポリシーの名前を選択した場合、変更内容はポリシーが割り当てられているすべてのデバイスに適用されます。

フィールド リファレンス

 

表 35-5 [Edit Signature Parameters] ダイアログボックス

要素
説明

[Tuning Context]

(ポリシー ビューだけ)

特定のシグニチャ ポリシーのシグニチャ パラメータが編集された(調整された)方法を一意に示すために、Security Manager が必要とする情報を表示します。[Tuning Context] フィールドは、次の項目が含まれている文字列です。

[Context]:マイクロエンジンを一意に定義するために、Security Manager サーバによって提供される識別情報。

[SigLevel](IPS)または [Version](IOS IPS):IPS ポリシーの場合、シグニチャ マイクロエンジンの定義が適用されるシグニチャ更新レベルの範囲を示します。IOS IPS の場合、IOS IPS バージョンを示します。

[Engine]:IPS エンジンの名前。

ヒント 例として、[Tuning Context] フィールドには、Context:9、SigLevel:302-449、Engine:atomic-ip の文字ストリングを含めることができます。

[Tuning Context] フィールドには、すべてのシグネチャ ポリシーに対して、それぞれ 1 つ以上のチューニング コンテキストを含めることができます。

最も高いシグネチャ レベルのチューニング コンテキストには、「Reference context」が先頭に追加されます。

「Reference context」が先頭に追加された共有ポリシーを変更する場合、Security Manager から、ポリシーを他の適用可能なコンテキストにコピーするかどうかを尋ねられる場合があります(特定のデバイスが、複数のコンテキストで表示される場合があります)。

ポリシーを他の適用可能なコンテキストにコピーすることを選択した場合、コピーできないパラメータがある場合はエラー メッセージが表示されます。

(注) Security Manager 4.1 から、(導入されている一番低いシグネチャ レベルより古いシグネチャとして定義される)古いシグネチャ バージョンは、データベースの最適化を目的とする定期的な削除操作によって削除されます。結果として、一部の未使用のチューニング コンテキストが削除されることに注意してください。

[Signature ID]

このシグニチャに割り当てられた一意の数値。この値により、センサーは特定のシグニチャを識別します。

値は 1000 ~ 65000 です。

[SubSignature ID]

このサブシグニチャに割り当てられた一意の数値。サブシグニチャ ID によって、広範なシグニチャのより詳細なバージョンが識別されます。

値は 0 ~ 255 です。

[Promiscuous Delta]

無差別モードでの動作時におけるアラートの重大度を変更します。値は、アラートの全体的なリスク レーティングから除外されます。インライン モードでの動作時は、[Promiscuous Delta] は無視されます。指定できる値の範囲は、0 ~ 30 です。

[Sig Description]

シグネチャを他のシグネチャとシグネチャを識別するために役立つシグネチャの説明。

[Alert Notes]:アラート メッセージに含まれる、シグニチャに関する追加情報。

[User Comments]:シグニチャに関するコメント。

[Alarm Traits]:このシグニチャについて文書化する特性。値は 0 ~ 65535 です。デフォルトは 0 です。

[Release]:シグニチャが最後に更新されたリリース。

[Signature Creation Date]:シグネチャが作成された日付。

[Signature Type]:シグネチャのタイプ([Anomaly]、[Component]、[Exploit]、[Vulnerability] または [Other])。

[Engine]

このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。エンジンは、Engines フォルダで使用可能なパラメータを決定します。エンジンの詳細については、「エンジンのオプション」を参照してください。

各エンジンに関する詳細情報と使用可能なパラメータについては、ご使用の IPS ソフトウェア リリースに対応した『 Installing and Using Cisco Intrusion Prevention System Device Manager 』マニュアルの「Signature Engines」セクションを参照してください。

ヒント 多くのエンジンには、[Fragment Status] パラメータが含まれています。このパラメータによって、パケット フラグメントを検査する必要があるかどうかを指定できます。フラグメントを検査するかしないか、またはシグネチャをすべてのパケット ステータスに適用するかを選択できます。

[Event Counter]

センサーがイベントをカウントする方法。たとえば、センサーが、同じシグニチャが同じアドレス セットに対して 5 回起動した場合にだけアラートを送信するように指定できます。次の値を設定します。

[Event Count]:アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デフォルトは 1 です。

[Event Count Key]:シグニチャのイベントをカウントするために使用されるストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。

[Specify Alert Interval]:イベント カウントをリセットするアラート間の時間を指定するかどうかを示します([Yes] または [No])。[Yes] を選択した場合は、時間を秒単位で入力します(2 ~ 1000)。

[Alert Frequency]

シグニチャが起動した場合に、センサーがアラートを送信する回数。シグニチャに対して次のパラメータを指定します。以下に、パラメータの説明を記載します。

[Summary Mode]

[Summary Interval]

[Summary Key]

[Specify Global Summary Threshold]

[Summary Mode]

([Alert Frequency] グループ)

アラートのサマライズのモード。Fire All、Fire Once、Summarize、および Global Summarize という 4 つのモードがあります。サマリー モードは、現在のアラート量に応じて動的に変わります。たとえば、シグニチャを [Fire All] に設定できますが、一定のしきい値に達するとサマライズが開始されます。選択したサマリー モードによって、[Summary Mode] グループで使用可能な他のパラメータの種類を制御します。

[Fire All]:すべてのイベントについてアラートを起動します。

[Fire Once]:1 回だけアラートを起動します。

[Summarize]:アラートをサマライズします。

[Global Summarize]:攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起動されるようにアラートをサマライズします。

(注) ASA デバイスの複数のコンテキストが 1 つの仮想センサーに含まれている場合、サマリー アラートには、サマライズされた最後のコンテキストのコンテキスト名が含まれています。このため、このサマリーは、サマライズされるすべてのコンテキストのうち、このタイプのすべてのアラートの結果となります。

[Specify Summary Threshold]

([Summary Mode] グループ)

[Fire All] を選択すると、デバイスがサマリー モードに動的に変化した場合に使用されるサマリーのしきい値の設定値を設定するかどうかを選択できます。[Yes] を選択した場合、サマリー間隔、サマリー キー、またはグローバルなサマリーのしきい値を設定できます。

[Summary Interval]

([Summary Mode] グループ)

各サマリー アラートで使用される時間間隔(秒数)。値は 1 ~ 65535 です。デフォルトは 15 です。

[Summary Key]

([Summary Mode] グループ)

アラートのサマライズに使用されるストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。

[Specify Global Summary Threshold]

([Summary Mode] グループ)

アラートをグローバル サマリーにサマライズするための、イベントのしきい値を指定するかどうかを示します([Yes] または [No])。[Yes] を選択した場合は、イベントのしきい値を入力します(1 ~ 65535)。デフォルトは 240 です。

[Status]

シグネチャの状態。

[Obsoletes] リストでは、このシグネチャで使用されていないシグネチャが表示されます。鉛筆アイコンをクリックして、リストを開きます。ほとんどの場合、この情報は読み取り専用です。リストを変更できる場合は、パラメータ フィールド内の [Set] をクリックして、リストを開きます。このリストでは、使用されていないシグネチャ ID を追加できます。

[Vulnerable OS List]

攻撃者がターゲットとしているオペレーティング システムのリスト。

[MARS Category]

シグニチャが属している、Cisco Security MARS でのカテゴリ。このメタデータを使用して、MARS が学習したイベント カテゴリに関連するシグニチャを処理するために必要なデータを MARS に提供するように生成されたイベントを特徴付けます。

[Expand All] ボタン

すべてのカテゴリおよびサブカテゴリを展開します。

[Collapse All] ボタン

このカテゴリのすべてのフィールドを折りたたみます。

Meta エンジン シグネチャのコンポーネント リストの編集

[Edit Signature Parameter - Component List] ダイアログボックスを使用して、Meta エンジン シグネチャのコンポーネント リストを編集します。

Meta エンジンでは、スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。シグネチャ イベントが生成されると、Meta エンジンはシグネチャ イベントを検査して、1 つ以上の Meta 定義に一致するかどうかを判定します。Meta エンジンは、すべてのイベント要件が満たされるとシグネチャ イベントを生成します。

すべてのシグネチャ イベントは、シグニチャ イベント アクション プロセッサによって Meta エンジンに渡されます。シグニチャ イベント アクション プロセッサは、最小ヒット数オプションを処理してからイベントを渡します。Meta エンジンがコンポーネント イベントを処理してから、サマライズおよびイベント アクションは処理されます。

Meta エンジンは、ほとんどのエンジンがパケットを入力としているにもかかわらず、アラートを入力としている点が他のエンジンとは異なります。このため、Meta エンジン シグネチャでは、Meta シグネチャの検索対象となるシグネチャを指定する必要があります。このシグネチャのリストは、[Component List] に含まれています。

[Component List] は、シグネチャ パラメータの一部です。パラメータを編集するには、「シグニチャ パラメータの編集(シグニチャの調整)」で説明した手順に従ってください。Meta エンジンを使用するシグネチャの [Edit Signature Parameters] ダイアログボックスを開いて、[Engine] > [Component List] パラメータを確認してください。パラメータ値には、鉛筆アイコンと単語 [List] が含まれています。[List] をクリックして、[Edit Signature Parameter - Component List] ダイアログボックスを開きます。

ダイアログボックスは、非アクティブ リスト(左側)とアクティブ リスト(右側)の 2 つのリストに分けられます。アクティブ リストは、Meta エンジン シグネチャが検索するシグネチャを定義します。

コンポーネント リストを変更するには、次の手順を実行します。

新しいコンポーネントの追加 :非アクティブ リストの左側にある [Add Entry](+)ボタンをクリックします。[Add Signature Parameter -List Entry] ダイアログボックスが開きます。次の値を設定します。

[Entry Key]:コンポーネントの名前。

[Component Sig ID]:検索するシグネチャのシグネチャ ID。

[Component SubSig ID]:サブシグネチャ ID。サブシグネチャが存在しない場合は、0 を入力します。

[Component Count]:Meta シグネチャがトリガーされるまでにシグネチャが起動する回数。

[Is a Not Component]:このフィールドでは、ネガティブ エントリを作成できます。このため、起動させるシグネチャと起動させないシグネチャのリストを指定できます。起動させるシグネチャには [No] を選択し、起動させないシグネチャには [Yes] を選択します。

[Add Signature Parameter - List Entry] ダイアログボックスで [OK] をクリックすると、新しいコンポーネントが非アクティブ リストに追加されます。新しいコンポーネントを選択し、[>>] ボタンをクリックしてアクティブ リストに移動します。次に、上下の矢印ボタンを使用して、アクティブ コンポーネント リストでのコンポーネントの位置を移動します。3 つめのボタンを使用して、コンポーネントの順番を前回保存した順番にリセットできます。

既存のコンポーネントの編集 :(いずれかのリストで)コンポーネントを選択して、リストの間にある [Edit Entry](鉛筆)ボタンをクリックします。[Edit Signature Parameter - List Entry] ダイアログボックスが開きます。コンポーネント名を変更できないこと以外は、パラメータは新しいエントリの追加と同様です。

コンポーネントの削除 :非アクティブ リストのコンポーネントを選択し、非アクティブ リストの左側にある [Delete Entry](ゴミ箱)ボタンをクリックします。アクティブ コンポーネントを削除する場合、最初にアクティブ リストでアクティブ コンポーネントを選択し、[<<] ボタンをクリックして、非アクティブ リストに移動します。

デフォルトの復元 :コンポーネントのデフォルト値を復元する場合、コンポーネントを選択し、[Restore] をクリックします。

[Obsoletes] ダイアログボックス

[Obsoletes] ダイアログボックスを使用して、特定のシグニチャに関連付けられている古いシグニチャを識別します。ほとんどの場合、この情報は読み取り専用です。場合によっては、読み書き可能になります。たとえば、ローカル シグネチャまたは共有ポリシー固有のシグネチャにおける IOS IPS シグネチャ ポリシーのリストを編集できます。

リストを編集できる場合は、次の作業が実行できます。

[Add Entry](+)ボタンをクリックして、編集中のシグネチャで使用されていないシグネチャのシグネチャ ID およびサブシグネチャ ID を追加します。

エントリを選択し、[Delete Entry](ゴミ箱)ボタンをクリックして、使用されていないシグネチャのリストからエントリを削除します。

ナビゲーション パス

[Obsoletes] リストは、シグネチャ パラメータの一部です。パラメータを編集するには、「シグニチャ パラメータの編集(シグニチャの調整)」で説明した手順に従ってください。[Edit Signature Parameters] ダイアログボックスを開いて、[Status] > [Obsoletes] パラメータを確認してください。パラメータ値には、鉛筆アイコンと単語 [Set] が含まれています(パラメータが読み取り専用でない場合)。鉛筆アイコンまたは単語をクリックして、[Obsoletes] ダイアログボックスを開きます。

シグニチャの設定値の設定

[Signature Settings] ページを使用して、IPS アプライアンスとサービス モジュール(Cisco IOS IPS デバイスを除く)の設定値を定義します。これらの設定値では、次のポリシーを定義します。

アプリケーション ポリシー :HTTP をイネーブルまたはディセーブルにし、HTTP 要求の最大数を決定および指定し、AIC Web ポートを指定して、FTP をイネーブルまたはディセーブルにします。

フラグメント再構築ポリシー :IP 再構築モードを選択して、複数のパケットにわたってフラグメント化されたデータグラムを再構築するように、センサーを設定します。

ストリーム再構築ポリシー :TCP ハンドシェイクを必須とするかどうかを指定し、TCP 再構築モードを選択して、完全なスリーウェイ ハンドシェイクによって確立された TCP セッションだけをモニタするように、センサーを設定します。

IP ロギング ポリシー :許可される最大ログ パケット数、IP ログ時間、および許可される最大 IP ログ サイズを決定および選択して、センサーが攻撃を検出したときに IP セッション ログを生成するように、センサーを設定します。


ヒント これらのすべての設定には、デフォルト値が存在します。このため、デフォルト以外の値を使用する必要がある場合のみ、このポリシーを設定してください。

Signature Settings ポリシーを設定するには、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Settings] を選択します。

(ポリシー ビュー)[IPS] > [Signatures] > [Settings] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

その後、次の表で説明するオプションを設定できます。

 

表 35-6 [Signature Settings] ページ

要素
説明

[Enable HTTP]

Web サービスの保護をイネーブルにします。RFC に準拠するために、センサーで HTTP トラフィックを検査する必要がある場合は、[Yes] を選択します。

[Max HTTP Requests]

各接続の未処理の HTTP 要求の最大数。

[AIC Web Ports]

AIC トラフィックを検索するポート。ポート番号またはポートを定義するポート リスト オブジェクトのカンマ区切りのリストを入力します。[Select] をクリックしてリストからポート リスト オブジェクトを選択するか、新しいオブジェクトを作成できます。

[Enable FTP]

FTP サービスの保護をイネーブルにします。センサーで FTP トラフィックを検査する必要がある場合は、[Yes] を選択します。

[IP Reassembly Mode]

オペレーティング システムに基づいて、センサーがフラグメントの再構築に使用する方式。

[TCP Handshake Required]

センサーが、スリーウェイ ハンドシェイクが実行されたセッションだけを追跡するかどうかを示します。

[TCP Reassembly Mode]

センサーが、次のオプションを使用する TCP セッションの再構築に使用するモード。

[Asymmetric]:双方向トラフィック フローのいずれかの方向だけをモニタします。

(注) [Asymmetric] モードの場合、センサーは状態をフローと同期し、双方向を必要としないエンジンの検査を継続します。完全な保護には双方向のトラフィックを確認する必要があるため、[Asymmetric] モードではセキュリティが低下します。

[Loose]:パケットがドロップされる可能性がある状況で使用します。

[Strict]:何らかの理由でパケットが失われた場合、失われたパケット以降のすべてのパケットが処理されなくなります。

[Max IP Log Packets]

記録するパケットの数。

[IP Log Time]

センサーが記録する期間(1 ~ 60 分)。デフォルトは 30 分です。

[Max IP Log Bytes]

記録する最大バイト数。