Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Cisco IPS 6.x および 7.x デバイスとバーチャ ル センサー
Cisco IPS 6.x および 7.x デバイスとバーチャル センサー
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco IPS 6.x および 7.x デバイスとバーチャル センサー

Cisco Sensor のブートストラップ

Cisco IPS 5.x、6.x、および 7.x ソフトウェア

Cisco IPS デバイスの詳細なイベント データの表示

適切なシグニチャとアクションのイネーブル化

MARS での Cisco IPS 6.x または 7.x デバイスの追加および設定

MARS が Cisco IPS デバイスからイベントがプルされることの検証

IPS シグニチャのダイナミック アップデート設定

IPS シグニチャのダイナミック アップデートのトラブルシューティング

カスタム シグニチャ アップデートの適用

カスタム シグニチャ マップ ファイルの命名、エンコーディング、および構造のガイドライン

カスタム シグニチャ マップ ファイルの例

カスタム シグニチャ マップの MARS へのインポート

Cisco IPS 6.x および 7.x デバイスとバーチャル センサー

ここでは、Cisco IPS 6.x および 7.x デバイスと任意の設定済みバーチャル センサーを、Cisco Secure MARS のレポート デバイスとして動作するように準備する方法について説明します。

この章は、次の内容で構成されています。

「Cisco Sensor のブートストラップ」

「MARS での Cisco IPS 6.x または 7.x デバイスの追加および設定」

「MARS が Cisco IPS デバイスからイベントがプルされることの検証」

「IPS シグニチャのダイナミック アップデート設定」

「カスタム シグニチャ アップデートの適用」

Cisco Sensor のブートストラップ

MARS によって監視されるセンサーを準備するには、MARS がセンサーと通信できるようにセンサーを準備し、正しいデータが生成されるようにする必要があります。

ここでは、次の内容について説明します。

「Cisco IPS 5.x、6.x、および 7.x ソフトウェア」

「Cisco IPS デバイスの詳細なイベント データの表示」

Cisco IPS 5.x、6.x、および 7.x ソフトウェア

Cisco IPS 5.x、6.x、および 7.x デバイスの場合、MARS は SDEE over SSL を使用してログをプルします。そのため、MARS からセンサーに対して HTTPS アクセスできる必要があります。センサーを準備するには、センサーで HTTP サーバをイネーブルにし、TLS が HTTP アクセスできるようにし、MARS の IP アドレスを許可ホスト(センサーにアクセスし、イベントをプルできるホスト)として定義する必要があります。ネットワーク上の限られたホストまたはサブネットからのアクセスを許可するようにセンサーを設定した場合、 access-list ip_address/netmask コマンドを使用してこのアクセスをイネーブルにできます。

Cisco IPS デバイスの詳細なイベント データの表示

アラート メッセージに加え、センサー アプライアンスかモジュールかに関係なく、Cisco IDS 4.x と、Cisco IPS 5.x、6.x、および 7.x の各デバイスから報告されるインシデントに関連するトリガー パケットおよび IP ログ データを表示できます。この情報は、攻撃方法を詳細に理解する必要がある場合に役立ちます。MARS には、これら 2 つのデータ タイプを中心にした 2 つのイベント タイプが含まれます。

トリガー パケット データ。 アラームが検出されたときにネットワークで送信されたデータを特定します。この情報は、攻撃の性質を診断するために利用できます。トリガー パケットには、アラームを発生させた単一のデータ パケットがあります。

パケット データ。 アラームが検出されたときにネットワークで送信されたデータを特定します。この情報は、攻撃の性質を診断するために利用できます。IP ログに含まれるデータのサイズはセンサーの設定によって変わりますが、デフォルトで、IP ログには 30 秒のパケット データが含まれます。このデータを表示するには、Cisco IPS デバイスで [Admin] > [System Setup] > [Security and Monitor Devices] を選択し、[Pull IP Logs] オプションをイネーブルにする必要があります。

このデータの生成に必要な正しいシグニチャ設定については、「適切なシグニチャとアクションのイネーブル化」を参照してください。

レポート Cisco IPS デバイスで IP ログ機能がイネーブルの場合、これらのイベント タイプはインシデント デバイスの一部として組み合わせられます。このデータを表示するには、インシデントをドリル ダウンし、目的のイベント タイプ([Packet Data] または [Trigger Packet Data])を展開し、イベントを選択し、そのイベントの [Reporting Device] 列の [RAW Events for this Session] アイコンをクリックします。これらのイベントについて表示される送信元、宛先、および他のデータは、元のアラートのデータと一致します。さらに、このデータは 16 進のバイナリ形式で表示されます。


) トリガー パケットおよび IP ログ データは、base64 エンコーディング形式を使用して MARS データベースに保存されます。そのため、検索文字列を指定しただけの場合、キーワード検索は役立ちません。


適切なシグニチャとアクションのイネーブル化

シグニチャ アクションが適切に設定されている場合、Cisco IDS または IPS デバイスでシグニチャを発生させる最初のイベントのトリガー パケット情報を MARS で表示できます。また、Cisco IDS および IPS デバイスから IP ログ データをプルすることもできますが、この操作にはシステムのリソースが大量に消費されます。そのため、IP ログ データを生成するシグニチャのセットを選択する場合は注意が必要です。

Cisco IDS または IPS デバイスでアクティブなシグニチャを設定する場合、アラート アクションおよび目的のデータを生成するアクションを指定する必要があります。

トリガー パケットを表示するには、「produce-verbose-alert」アクションをイネーブルにする必要があります。

IP ログを表示するには、アラート、または「produce-verbose-alert」アクションおよび「log-pair-packets」アクションをイネーブルにする必要があります。


注意 IP ロギングおよび詳細なアラートをセンサーに設定すると、システムのリソースが大量に消費され、センサーのパフォーマンスに影響があります。さらに、MARS Appliance のパフォーマンスに影響があります。このような影響があるため、IP ログを生成するシグニチャを設定する場合は注意してください。

MARS での Cisco IPS 6.x または 7.x デバイスの追加および設定

MARS で Cisco IPS 6.x または 7.x デバイスを定義する場合、そのデバイスに設定されているバーチャル センサーを検出できます。このようなバーチャル センサーが検出されると、バーチャル センサーによってレポートされるイベントを MARS で区別できます。また、監視対象ネットワークのリストを各バーチャル センサーに合わせて調整し、目的のレポートの精度を改善できます。

MARS で Cisco IPS 6.x または 7.x デバイスを追加および設定するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから [Cisco IPS 6.x] または [Cisco IPS 7.x] を選択します。

図 4-1 Cisco IPS 6.x の設定

 

ステップ 3 [Device Name] フィールドにセンサーのホスト名を入力します。

[Device Name] 値は、設定済みのセンサー名と同じにする必要があります。

ステップ 4 管理 IP アドレスを [Reporting IP] フィールドに入力します。

[Reporting IP] アドレスは、管理 IP アドレスと同じアドレスです。

ステップ 5 レポート デバイスへのアクセスに使用される管理アカウントに関連付けられたユーザ名を [Login] フィールドに入力します。

ステップ 6 [Login] フィールドに指定したユーザ名に関連付けられたパスワードを [Password] フィールドに入力します。

ステップ 7 センサー上で実行されている Web サーバがリッスンする TCP ポートを [Port] フィールドに入力します。デフォルトの HTTPS ポートは 443 です。


) HTTP のみを設定することもできますが、MARS には HTTPS が必要です。


ステップ 8 [Monitor Resource Usage] リストで [NO] が選択されていることを確認します。

このページに [Monitor Resource Usage] オプションが表示されますが、Cisco IPS の場合は機能しません。

ステップ 9 (任意)センサーから IP ログをプルするには、[Pull IP Logs] リストで [Yes] を選択します。

この設定は、バーチャル センサーのアラートのために生成されるログを含め、センサー全体に適用されます。この設定の詳細については、「Cisco IPS デバイスの詳細なイベント データの表示」を参照してください。

ステップ 10 設定を確認し、バーチャル センサーのディスカバリをイネーブルにするには、[Test Connectivity] をクリックします。

ステップ 11 すべての定義済みバーチャル センサーを検出するには、[Discover] をクリックします。


ヒント MARS は、センサーに加えられる変更を認識できません。バーチャル センサー設定を変更する度に、そのセンサーの設定ページで [Discover] をクリックして、MARS のバーチャル センサーの詳細情報を更新する必要があります。


すべてのバーチャル センサーが検出されます。

 

ステップ 12 各バーチャル センサーの監視対象ネットワークを定義するには、[Virtual Sensor Name] の横のチェックボックスを選択し、[Edit] をクリックします。

[IPS Module] ページが表示されます。

 

ステップ 13 (任意)攻撃パスの算出および軽減のために、センサーの監視対象のネットワークを指定します。ネットワークを手動で定義するには、[Define a Network] オプション ボタンを選択します。

a. ネットワーク アドレスを [Network IP] フィールドに入力します。

b. 対応するネットワーク マスク値を [Mask] フィールドに入力します。

c. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

d. 必要に応じて繰り返します。

ステップ 14 (任意)デバイスに接続するネットワークを選択するには、[Select a Network] オプション ボタンをクリックします。

a. [Select a Network] リストからネットワークを選択します。

b. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

c. 必要に応じて繰り返します。

ステップ 15 (任意)バーチャル センサーごとに、ステップ 12ステップ 14を繰り返します。

ステップ 16 変更内容を保存するには、[Submit] をクリックします。

[Security and Monitoring Information] リストの下にデバイス名が表示されます。送信操作によって、データベース テーブルに変更内容が記録されます。ただし、変更内容は MARS Appliance の作業メモリにはロードされません。アクティベーション操作によって、送信した変更内容は作業メモリにロードされます。

ステップ 17 MARS が、このデバイスからセッション化イベントを開始できるようにするには、[Activate] をクリックします。

MARS は、このモジュールによって生成されたイベントのセッション化を開始し、定義済みのインスペクション規則とドロップ規則を使用してそのイベントを評価します。アクティベーション前にデバイスから MARS に対して発行されたイベントは、一致条件としてデバイスのレポート IP アドレスを使用して照会できます。アクティベーション アクションの詳細については、「レポート デバイスおよびセキュリティ デバイスのアクティブ化」を参照してください。


 

MARS が Cisco IPS デバイスからイベントがプルされることの検証


) MARS Web インターフェイスで Cisco IPS デバイスを設定するときに、[Test Connectivity] 操作が失敗しなければ、通信はイネーブルになります。また、このタスクを実行すると、アラートの生成およびプルが正しく行われることを検証できます。


データ フローを検証するために、ネットワークに悪意のあるイベントを作成する方法は一般的です。Cisco IPS デバイスと MARS 間のデータ フローを検証するには、次のタスクを実行します。

1. Cisco IPS デバイスで、シグニチャ 2000 および 2004 をイネーブルにし、アラートします。これらのシグニチャは ICMP メッセージ(ping)を監視します。

2. Cisco IPS デバイスがリッスンしているサブネット上のデバイスに ping を送信します。イベントの生成とプルが MARS によって行われます。

3. イベントが MARS Web インターフェイスに表示されることを確認します。Cisco IPS デバイスを使用してクエリーを実行できます。

4. データフローを検証したら、Cisco IPS デバイスで 2000 および 2004 シグニチャをディセーブルにできます。

IPS シグニチャのダイナミック アップデート設定

リリース 6.0 以降の Cisco IPS では、ダイナミック シグニチャ アップデートをサポートします。MARS は、新しいシグニチャを検出し、適切に処理し、そのシグニチャに一致する受信イベントを分類できます。この機能が設定されない場合、クエリーおよびレポートでこのイベントは不明なイベントと表示され、そのイベントは MARS のインスペクション規則に含まれません。このアップデートにはイベントの正規化およびイベント グループ マッピングの機能があり、MARS Appliance で IPS デバイスからの Day Zero シグニチャを解析できます。

ダウンロードされるアップデート情報は、IPS シグニチャを含む XML ファイルです。ただし、このファイルには、脆弱性情報などの詳細情報が含まれません。詳細なシグニチャ情報は、サードパーティのシグニチャと同様に、後で MARS シグニチャ アップグレード パッケージで提供されます。


) ダイナミック IPS シグニチャ アップデートは、MARS Appliance で動作するソフトウェアのバージョンの 1 つの側面です。そのため、Global Controller および Local Controller 上で同じ MARS ソフトウェア バージョンが動作するだけでなく、IPS シグニチャ バージョンも一致する必要があります。一致しない場合、通信は失敗します。バージョンを確認するには、[Help] > [About] をクリックします。


始める前に

ダイナミック IPS シグニチャ アップデートは、デフォルトでディセーブルです。

カスタム IPS シグニチャはサポートされません。「カスタム シグニチャ アップデートの適用」で定義されているプロセスを使用して、これらのシグニチャを手動でインポートする必要があります。

CCO またはローカル Web サーバからアップデートを取得できます。アップデートをダウンロードおよびインストールすると、MARS Appliance で自動アクティブ化が実行され、新しいシグニチャ情報がロードされます。

CCO からシグニチャを取得するように MARS を設定した場合、パッケージ名と MD5 サムの組み合わせて決定された最新パッケージがダウンロードされます。

更新は、指定した間隔、時間単位(1、2、3、6、または 12)、または日数単位(1 ~ 14)で確認されます。

Global Controller-Local Controller 展開の場合、Global Controller でダイナミック シグニチャ URL とすべての関連設定を設定します。Web インターフェイスで使用できる場合でも、Local Controller でこれらの機能を設定しないでください。

Global Controller が CCO から新しいシグニチャをプルすると、すべての管理 Local Controller は Global Controller から新しいシグニチャをダウンロードします。

ダイナミック アップデートの設定を指定するには、次の手順を実行します。


ステップ 1 [ADMIN] > [System Setup] > [IPS Signature Dynamic Update Settings] をクリックします。

 

ステップ 2 次の値を入力します。

[URL]:ソフトウェア ロケータのパスを定義します。デフォルト値は https://www.cisco.com/cgi-bin/front.x/ida/locator/locator.pl (https://www.cisco.com/cgi-bin/front.x/ida/locator/locator.pl)です。これは、Cisco Software Download サイトにあります。https://myserver.com/cs-mars-ips.zip の例を使用して、ローカル サーバを指定できます(この zip ファイルは、 http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup からダウンロードできます)。

[Username]:セキュア サーバにアクセスするアカウントのユーザ名を指定します。デフォルトの URL 値を使用している場合、これは CCO ユーザ名です。

[Password]:指定したユーザ名の値に関連付けるパスワードを指定します。

[Signature Pulling Interval]:URL フィールドで指定されたサーバから、シグニチャのアップデートを更新する間隔を指定します。有効なオプションは、[Never](デフォルト)、[Every 1(または 2、3、6、12) hours]、または [Every 1 days] ~ [Every 14 days] です。

ステップ 3 設定が正しいことを確認するには、[Test Connectivity] をクリックします。

ステップ 4 設定の確認が変わったら、[Submit] をクリックします。

ステップ 5 [Activate] をクリックします。


ヒント この機能をイネーブルにすると、[Help] > [About] を選択し、[IPS Signature Version] の値を確認することで、MARS でプルされた最新のシグニチャ バージョンを判断できます。



 

IPS シグニチャのダイナミック アップデートのトラブルシューティング

次の 2 種類のエラーが発生する可能性があります。また、エラーは、[IPS Signature Dynamic Update Settings] ページの [Status] フィールドで特定されます。

パッケージのダウンロードの失敗。 MARS Appliance から指定した宛先に接続できること、および正しいユーザ名とパスワードを使用していることを確認します。

インストールの失敗。 ダウンロード中に破損したなど、パッケージ自体の問題を示します。

カスタム シグニチャ アップデートの適用

Cisco IPS 6.0 を使用して、Cisco IPS デバイスのカスタム シグニチャを定義できます。シグニチャが検出されたときに実行される MARS でインスペクション規則を定義する前に、そのシグニチャを MARS イベント タイプにマップする必要があります。

MARS 内でこのマッピングをイネーブルにするには、次のタスクを実行する必要があります。

1. カスタム IPS シグニチャと MARS イベント タイプ間をマップするカスタム シグニチャ マップ ファイル(XML ファイル)を定義します。

2. カスタム シグニチャが実行される Cisco IPS デバイスを監視する Local Controller に、このカスタム マップ ファイルをインポートします。


) すべての Global Controller/Local Controller の関係は、カスタム シグニチャ アップデートを適用する前に確立しておくことをお勧めします。


ここでは、次の内容について説明します。

「カスタム シグニチャ マップ ファイルの命名、エンコーディング、および構造のガイドライン」

「カスタム シグニチャ マップ ファイルの例」

「カスタム シグニチャ マップの MARS へのインポート」

カスタム シグニチャ マップ ファイルの命名、エンコーディング、および構造のガイドライン

カスタムの Cisco IPS シグニチャを MARS イベント タイプにマップする XML ファイルには、次の命名規則に従って名前を付けます。

<number>.custom.inc.xml :この <number> は整数です。この数字は、1 から始まり、シグニチャを追加する度に 1 ずつ増え(たとえば、1.custom.inc.xml)、カスタム シグニチャ パッケージのバージョン番号を示します。アップデートの度に、このバージョン番号は 1 ずつ増えます。

MARS は、この番号を使用して、Local Controller が Global Controller と同期されていることを確認します。MARS Appliance の [Help About] ページには、[Custom version: 1] など、カスタム シグニチャのバージョンが表示されます。

カスタム シグニチャの XML マッピング ファイルには、次のエレメントまたはアトリビュートが必要です。

エンコーディング :XML ファイルのヘッダーは、MARS Appliance 上で動作しているソフトウェアのバージョンによって異なります。ソフトウェア バージョンが 4.3.1 の場合、ヘッダーには <?xml version="1.0" encoding="ISO-8859-1"?> と指定します。また、バージョンが 5.3.1 の場合、ヘッダーには <?xml version="1.0" encoding="UTF-8"?> と指定します。

<EventType /> :このエレメントには、このイベントのカスタム シグニチャの ID を指定します。EVENT_TYPE アトリビュート値には、既存の MARS イベント タイプまたは新しい MARS イベント タイプを指定します。新しい MARS イベント タイプの場合、90000000 ~ 9049000 の範囲の値を指定する必要があります。たとえば、ET-9000000 です。「ET-xxxxxxx」というプレフィクスは、このアトリビュートのすべての値に必要です。この値の範囲は、カスタム シグニチャ ID のために予約されています。


) この ID が以前に使用したカスタム ID にマッピングされる場合、そのカスタム イベントの情報は、この XML ファイルのデータで更新されます。ID がシステム イベント タイプにマッピングされる場合、情報は更新されません。


<EVENT_PRIORITY /> :このエレメントで、このカスタム シグニチャの優先度を構成します。使用できる値は、HIGH、MEDIUM、または LOW です。イベントの優先度は、Cisco IPS デバイスに設定されているシグニチャ実行の重大度と一致する必要があります。

<EVENT_TYPE_NAME /> :このエレメントには、カスタム シグニチャ イベントの名前を指定します。300 文字以下のストリングを指定できます。有効な文字セットは 4.3.1 の場合は WE8ISO8859P1、5.3.1 の場合は AL32UTF8 です。イベント タイプ名が、Cisco IPS デバイスに設定されているシグニチャ名と一致することをお勧めします。

<LONG_DESCRIPTION /> :このエレメントには、カスタム シグニチャ イベントの説明を指定します。ストリングを指定できます。文字の長さは「無制限」です。有効な文字セットは 4.3.1 の場合は WE8ISO8859P1、5.3.1 の場合は AL32UTF8 です。

<Device Event Type DEVICE_ET="signatureId/subId"/> :このエレメントの DEVICE_ET アトリビュートには、IPS カスタム signatureId/subId を指定します。たとえば、sigID=60001 および subID=0 の IPS シグニチャの場合、DEVICE_ET=NR-60001/0 を指定します。「NR-」というプレフィクスは、このアトリビュートのすべての値に必要です。

<DeviceType DEVICE_TYPE="Cisco IPS"/> :DEVICE_TYPE アトリビュート値は、すべてのシグニチャが Cisco IPS デバイスから送信されることを示します。マッピング ファイルの Cisco IPS にこの値を指定する必要があります。

<EventTypeGroup> :必要なエレメントの値は、既存の MARS イベント タイプ グループにする必要があります。複数の MARS イベント タイプを複数のイベント タイプにマップできます。

カスタム シグニチャ マップ ファイルの例

この例の 1.custom.inc.xml では、カスタム シグニチャ NR-60000/0 を新しい MARS 正規化イベント タイプ ET-9000001 にマップします。このファイルは 5.3.1 を実行する MARS Appliance 用に作成されています。

<?xml version="1.0" encoding="UTF-8"?>

<CS_MARS_EVENT_DATA_UPDATE xsi:schemaLocation="EventDataUpdate.xsd" xmlns="http://www.cisco.com/2007/CS-MARS/EVENT-DATA-UPDATE" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<EventTypeList>

<EventTypeListElement>

<EventType EVENT_TYPE="ET-9000001">

<EVENT_PRIORITY>LOW</EVENT_PRIORITY>

<EVENT_TYPE_NAME>Custom Event 9000001</EVENT_TYPE_NAME>

<LONG_DESCRIPTION>This is custom event</LONG_DESCRIPTION>

<CVE_NAME>String</CVE_NAME>

<AffectedPlatforms>

<OSInfo>

<Vendor>String</Vendor>

<Model>String</Model>

<Version>String</Version>

<Patch>String</Patch>

</OSInfo>

<ApplicationInfo>

<Program>String</Program>

<ProgramVersion>String</ProgramVersion>

<Application>

<Vendor>String</Vendor>

<Model>String</Model>

<Version>String</Version>

<Patch>String</Patch>

</Application>

</ApplicationInfo>

</AffectedPlatforms>

<VULNTY_FLAG>0</VULNTY_FLAG>

<DENY_FLAG>0</DENY_FLAG>

<INFO_LINKS>http://cve.mitre.org</INFO_LINKS>

<FP_CONDITION>None</FP_CONDITION>

<RECOM_ACTION>None</RECOM_ACTION>

</EventType>

<EventTypeGroup ET_GROUP_NAME="Penetrate/BufferOverflow/Web"/>

<DeviceEventType DEVICE_ET="NR-60001/0">

<DeviceType DEVICE_TYPE="Cisco IPS"/>

<LINKS>http://www.mycompany.com</LINKS>

</DeviceEventType>

</EventTypeListElement>

</EventTypeList>

<Version>001</Version>

</CS_MARS_EVENT_DATA_UPDATE>

 

 

このシグニチャ NR-60000/0 を異なる MARS イベント タイプに再マップするには、2.custom.inx.xml という新しい XML ファイルを作成し、<EventType> アトリビュートを異なる MARS イベント タイプ(たとえば、システムの MARS 正規化 イベント タイプである ET-3002071)に変更します。

MARS 正規化イベント タイプがユーザ作成の新しい正規化イベント タイプの場合、イベント タイプの情報を変更できます。この例の 3.custom.inc.xml では、優先度を HIGH に設定しています。また、4.3.1 を実行する MARS Appliance 用に作成されています。

<?xml version="1.0" encoding="ISO-8859-1"?>

<CS_MARS_EVENT_DATA_UPDATE xsi:schemaLocation="EventDataUpdate.xsd" xmlns="http://www.cisco.com/2007/CS-MARS/EVENT-DATA-UPDATE" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<EventTypeList>

<EventTypeListElement>

<EventType EVENT_TYPE="ET-9000001">

<EVENT_PRIORITY>HIGH</EVENT_PRIORITY>

<EVENT_TYPE_NAME>Custom Event 9000001</EVENT_TYPE_NAME>

<LONG_DESCRIPTION>This is custom event</LONG_DESCRIPTION>

<CVE_NAME>String</CVE_NAME>

<AffectedPlatforms>

<OSInfo>

<Vendor>String</Vendor>

<Model>String</Model>

<Version>String</Version>

<Patch>String</Patch>

</OSInfo>

<ApplicationInfo>

<Program>String</Program>

<ProgramVersion>String</ProgramVersion>

<Application>

<Vendor>String</Vendor>

<Model>String</Model>

<Version>String</Version>

<Patch>String</Patch>

</Application>

</ApplicationInfo>

</AffectedPlatforms>

<VULNTY_FLAG>0</VULNTY_FLAG>

<DENY_FLAG>0</DENY_FLAG>

<INFO_LINKS>http://cve.mitre.org</INFO_LINKS>

<FP_CONDITION>None</FP_CONDITION>

<RECOM_ACTION>None</RECOM_ACTION>

</EventType>

<EventTypeGroup ET_GROUP_NAME="Penetrate/BufferOverflow/Web"/>

<DeviceEventType DEVICE_ET="NR-60001/0">

<DeviceType DEVICE_TYPE="Cisco IPS"/>

<LINKS>http://www.mycompany.com</LINKS>

</DeviceEventType>

</EventTypeListElement>

</EventTypeList>

<Version>001</Version>

</CS_MARS_EVENT_DATA_UPDATE>

カスタム シグニチャ マップの MARS へのインポート

カスタム シグニチャ マップを定義した後は、そのマップを Local Controller にインポートできます。この操作で、カスタム シグニチャに関するイベント プロセスを MARS で開始できます。また、このイベントをイベント タイプ グループおよびインスペクション規則に含めることができます。

始める前に

この手順を実行する前に、次の要件を満たす必要があります。

XML ファイルには、カスタム シグニチャ マッピングを定義し、「カスタム シグニチャ マップ ファイルの命名、エンコーディング、および構造のガイドライン」に指定されているガイドラインに従う必要があります。

HTTP サーバは、Local Controller にアップロードされる XML ファイルをホストする必要があります。

カスタム シグニチャ マップ ファイルを MARS にインポートするには、次の手順を実行します。


ステップ 1 カスタム シグニチャ マップ ファイルをインポートするには、Local Controller の Web インターフェイスで、[Admin] > [System Setup] > [IPS Custom Signature Update] をクリックします。

 

ステップ 2 URL フィールドにローカル サーバと XML ファイル名を入力します。

このサーバには、MARS がカスタム XML ファイルをダウンロードできる HTTP サーバを指定します。たとえば、 https://www.myserver.com/1.custom.inc.xml です。

ステップ 3 ローカル サーバの要件に応じて、Local Controller に必要な Username/password を入力し、そのサーバに対して認証を行います。

ステップ 4 [Update Now] をクリックして、オンデマンドのカスタム シグニチャ インポートを開始します。

ステップ 5 [Activate] をクリックして、Local Controller 上でカスタム シグニチャをイネーブルにします。