Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
ボットネット トラフィック フィルタリング
ボットネット トラフィック フィルタリング
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

ボットネット トラフィック フィルタリング

ボットネット トラフィック フィルタリングに関する情報

ボットネット トラフィック フィルタリングに関連するクエリー基準、システム レポート、および規則

クエリー、レポート、および規則に関するボットネット サイトのクエリー基準

Botnet Traffic Filter のクエリー結果フォーマット

[Site Ranking] クエリー結果フォーマット

ボットネット サイトに基づく [All Matching Events] 結果フォーマット

システム レポート

ボットネット トラフィック フィルタリング向けの MARS のシステム規則および通知

Botnet Traffic Filter 通知

Botnet Traffic Filter 向けの MARS のイベント

サイト管理ページ

サイトの削除

ボットネット トラフィック フィルタリング

この章では、MARS アプライアンス上での Botnet Traffic Filter のサポートについて説明します。この章は、次の内容で構成されています。

「ボットネット トラフィック フィルタリングに関する情報」

「ボットネット トラフィック フィルタリングに関連するクエリー基準、システム レポート、および規則」

「サイト管理ページ」

ボットネット トラフィック フィルタリングに関する情報

 

表 12-1 MARS アプライアンスのボットネット トラフィック フィルタリングの機能履歴

リリース
変更

6.0.4

この機能が導入されました。

ここでのボットネットとは、ネットワーク ホスト上に組み込まれた悪意のあるソフトウェア ロボットのネットワークを指します。これらのソフトウェア ロボットは、遠隔地のボットネット コントローラによってアクティブになります。ボットネットの詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/prod/vpndevc/ps6032/ps6094/ps6120/botnet_index.html

表 12-2 に、この章で使用する短縮形および用語の定義を示します。

 

表 12-2 用語の定義

短縮形または用語
本書のコンテキストによる定義

BTF

Cisco ASA Botnet Traffic Filter

ボットネット サイト

Cisco ASA Botnet Traffic Filter 上で設定された、ブラックリスト サイト、グレーリスト サイト、またはホワイトリスト サイト。

ホワイトリスト サイトは理論上はボットネット サイトではありませんが、Cisco ASA Botnet Traffic Filter について説明する場合のコンテキストでは、この用語を使用します。

Phone Home

ネットワーク ホストからのブラックリスト サイトまたはグレーリスト サイトへのトラフィック。

偵察

ブラックリスト ホストまたはグレーリスト ホストからの、ネットワーク上の「感染」ホストへのトラフィック。

ブラックリスト

既知のマルウェア アドレス:これらのアドレスは、Cisco ASA の動的データベースおよび静的ブラックリストによって識別されたブラックリストに含まれます。

グレーリスト

曖昧アドレス:これらのアドレスは、複数のドメイン名に関連付けられますが、ブラックリストに含まれるのは、そのすべてのドメイン名ではなく一部になります。

ホワイトリスト

既知の許可済みアドレス:これらの IP アドレスは、Cisco ASA のホワイトリストに含まれます。一般的に、これらのアドレスは動的データベースによってブラックリストに追加された後に、Cisco ASA 管理者によって許容可能として識別されます。

Botnet Traffic Filter は、ブラックリスト ホスト、グレーリスト ホスト、またはホワイトリスト ホストの全ポート(ボットネット サイト)において送受信された不正なトラフィックを検出し、syslog メッセージを Cisco Security MARS に送信することにより、詳細なレポートおよび軽減の提示を行います。ボットネット トラフィック フィルタリングは、Cisco Ironport Web セキュリティ アプライアンスおよび Cisco ASA 5500 適合型セキュリティ アプライアンス(バージョン 8.2 以降)に実装されています。

Cisco ASA では、動的に更新されたボットネット サイトのリストを Cisco Ironport アップデート サーバからダウンロードしたり、ボットネット サイトを Cisco ASA 上のリストに手動で追加できます。誤った処理を防ぐため、ホワイトリストを Cisco ASA 上で設定することにより、既知のサーバを無視できます(例:Yahoo ツールバーや Google ツールバーのサーバなど)。

Cisco ASA 5500 適合型セキュリティ アプライアンス(バージョン 8.2)上での Botnet Traffic Filter の設定方法の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/security/asdm/6_2/user/guide/conns_botnet.html

MARS のデータベース相関付け機能、クエリー機能、およびレポート機能により、多くのファイアウォールを全体的に表示でき、多くの個別の期間における結果を保持できるため、MARS により、Cisco ASA のボットネット フィルタ検出機能と軽減機能が強化されます。また、管理者は、MARS の相関付け、レポート、およびトポロジ マッピングによって識別された実行デバイスに対して、軽減コマンドを発行することにより、ボットネットのアクティビティをより効果的に防ぐことができます。

MARS における Botnet Traffic Filter のサポートは、次のとおりです。

クエリー結果フォーマットによる、セッションごとにランク付けされたボットネット サイトの表示、および(セッション化された、またはリアルタイムの)サイト名を使用したボットネット イベントの表示。

オンデマンドのシステム レポートによる、ブラックリスト ホストに対する疑わしい Phone Home アクティビティの記録、およびブラックリスト ホストから内部ホストに対する偵察または攻撃の記録。

スケジュールされたシステム レポートによる、「上位ボットネット サイト」、「上位感染ホスト」、および「上位ボットネット ポート」の識別。

システム規則による、ブラックリスト ボットネット サイトおよびグレーリスト ボットネット サイトにおいて送受信された通信の検出。

上位ボットネット ポート、上位ボットネット サイト、および上位ボットネット ホストのアクティビティ チャート([Summary] ページ)。

電子メール通知による、上位 3 つのボットネット サイトのレポート。

MARS 上で Botnet Traffic Filter データの収集と相関付けを行うには、次の URL の説明に従い、MARS セキュリティ/モニタリング デバイスとして Cisco ASA(バージョン 8.2)をインストールします。

http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/device/configuration/guide/chAsa8x.html#wp1053948

ボットネット トラフィック フィルタリングに関連するクエリー基準、システム レポート、および規則

ここでは、次の事項について説明します。

クエリー、レポート、および規則に関するボットネット サイトのクエリー基準

Botnet Traffic Filter のクエリー結果フォーマット

システム レポート

Botnet Traffic Filter 向けの MARS のイベント

MARS のすべてのレポートおよび規則の説明については、次の URL にある「Systems Rule and Reports Reference」を参照してください。

http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/user/guide/combo/appMars.html

クエリー、レポート、および規則に関するボットネット サイトのクエリー基準

MARS において既知のボットネット サイトのドメイン名および IP アドレスは、クエリーおよび規則の一致基準の [Source IP] パラメータまたは [Destination IP] パラメータとして使用できます。

[Management] > [Site Management] ページには、Cisco ASA Botnet Traffic Filter によって MARS にレポートされたすべてのボットネット サイトの一覧が表示されます。

[Events] パラメータの設定時には、クエリーおよび規則の一致基準として Botnet Traffic Filter のイベント タイプを使用できます。図 12-1 に、[All Sites (ASA Botnet Traffic Filter)] を選択した場合に、[Source IP] クエリー パラメータとして使用可能なすべてのボットネット サイトが表示された例を示します。

図 12-1 Botnet Traffic Filter のクエリー基準

 

ボットネット サイトの名前または IP アドレスをクリックすると、そのサイトの詳細を示すポップアップ ウィンドウが開きます(図 12-2 を参照)。

図 12-2 ボットネット サイトの情報ウィンドウ

 

Botnet Traffic Filter のクエリー結果フォーマット

Botnet Traffic Filter に関連するクエリー結果フォーマットは、次のとおりです。

[Site Ranking (ASA Botnet Traffic Filter)]

[All Matching Events (with site from ASA Botnet Traffic Filter)]

[Site Ranking] クエリー結果フォーマット

この結果フォーマットでは、ボットネット サイトがセッションごとにランク付けされます。ボットネット サイトの合計セッション数には、ブラック サイトまたはグレー サイトが Cisco ASA の syslog 送信元サイトとして表示された(偵察または攻撃の可能性を示す)セッション、または宛先サイトとして表示された(Phone Home アクティビティの可能性を示す)セッションが含まれます。

クエリー結果(つまり、このクエリー フォーマットを使用したレポート結果)には、ボットネット サイトごとのセッションの合計数に加えて、送信元サイトおよび宛先サイトの内訳数を示す小計が表示されます(図 12-4 を参照)。

特定のボットネット サイトに対するフィルタリングを行うには、標準の [Event Type Ranking] 結果フォーマットを使用し、送信元 IP または宛先 IP を指定します。

[Site Ranking] クエリー結果フォーマットを表示するには、[Query/Reports] > [Edit] > [Site Ranking (ASA Botnet Traffic Filter)] にナビゲートします。

図 12-3 に、MARS の GUI に表示されたセッションごとの [Site Ranking] クエリー結果フォーマットを示します。

図 12-3 [Site Ranking] クエリー結果フォーマット

 

図 12-4 に、セッションごとのボットネット サイト ランキングの出力を示します。

図 12-4 ボットネット サイト ランキングの出力

 

ボットネット サイトに基づく [All Matching Events] 結果フォーマット

[All Matching Events (with sites with ASA Botnet Traffic Filter)] クエリー結果フォーマットは [All Matching Events] 結果フォーマットと同じですが、ボットネットの結果フォーマットのクエリー結果にはボットネット サイト名(送信元サイトまたは宛先サイト)が表示され、[All Matching Events] の出力にはボットネット サイト名が表示されません。ボットネット サイトの情報が含まれていないイベントについては、サイト情報として [N/A] が表示されます。非ボットネット イベントにはサイト情報が含まれていないため、[N/A] の横にクエリー アイコンは表示されません。

[All Matching Events (with sites with ASA Botnet Traffic Filter)] では、セッション化したイベントとして結果を表示したり、イベントをリアルタイムで表示できます。

図 12-5 に、MARS の GUI に表示された [All Matching Events] クエリー結果フォーマットを示します。

図 12-5 [All Matching Events (with Sites from ASA Botnet Traffic Filter)] 結果フォーマット

 

図 12-6 に、[All Matching Events] クエリー結果フォーマットのリアルタイムの出力を示します。

図 12-6 [All Matching Events (with Sites from ASA Botnet Traffic Filter)] のリアルタイム未処理イベント

 

図 12-7 に、[All Matching Events (with Sites from ASA Botnet Traffic Filter)] クエリー結果フォーマットのセッション化された出力を示します。

図 12-7 [All Matching Events (with Sites from ASA Botnet Traffic Filter)] のセッション化されたイベント出力

 

Botnet Traffic Filter イベントだけを示す結果を表示する手順は、次のとおりです。


ステップ 1 [Query/Reports] > [Query] ページにナビゲートし、[Edit] をクリックします。

[Result Format] ダイアログ画面が表示されます。

ステップ 2 [Result Format] の [All Matching Events (with sites with ASA Botnet Traffic Filter)] を選択します。

ステップ 3 [Filter by Time] パラメータを設定します。[Apply] をクリックします。

[Submit Query] ページが表示されます。

ステップ 4 [Events] パラメータをクリックし、[Group:ASA Traffic Filter criterion] 基準を選択します。[Apply] をクリックします。

[Submit Query] ページが表示されます。

ステップ 5 [Submit] をクリックします。


 

システム レポート

次の 5 つのシステム レポートでは、ボットネット トラフィック フィルタリングがサポートされます。

[Activity: ASA Botnet Traffic Filter - Top Botnet Ports]

このレポートでは、MARS によって認識されたすべてのセッションにおいて、感染ホストからブラックリスト サイトまたはグレーリスト サイトに送信されたトラフィックに関する、上位の宛先ポートがランク付けされます。

[Activity: ASA Botnet Traffic Filter - Top Botnet Sites]

このレポートでは、Cisco ASA Botnet Traffic Filter によってレポートされたすべてのインバウンド セッションおよびアウトバウンド セッションにおける、上位のボットネット サイト(ブラックリスト サイトまたはグレーリスト サイト)がランク付けされます。このレポートは、[Site Ranking (ASA Botnet Traffic Filter)] クエリー結果フォーマットを使用することにより、ボットネット サイトごとのセッション数と、送信元サイトおよび宛先サイトの内訳数を示す小計を表示します(図 12-9 を参照)。

[Activity: ASA Botnet Traffic Filter - Top Infected Hosts]

このレポートでは、MARS によって認識されたすべてのセッションにおいて、感染ホストからブラックリスト サイトまたはグレーリスト サイトに送信されたトラフィックに関する、上位の感染ポートがランク付けされます。

[Activity: ASA Botnet Traffic Filter: Phone Home - All Events]

このレポートでは、ASA Botnet Traffic Filter によってレポートされた Phone Home アクティビティに関連する、すべての疑わしいイベントの詳細が表示されます。

[Attacks: ASA Botnet Traffic Filter: Malicious Site Traffic - All Events]

このレポートでは、ASA Botnet Traffic Filter によってレポートされた、ブラック/グレー サイトおよびブラック/グレー IP から送信されたトラフィックに関連する、すべてのイベントの詳細が表示されます。

レポートを表示するには、[MARS Query/Reports] > [Report] > [ASA Botnet Traffic Filter] にナビゲートします。図 12-8 に、MARS の GUI に表示された Botnet Traffic Filter レポートの定義を示します。

図 12-8 Botnet Traffic Filter に関連する MARS レポート

図 12-9 に、[Top Botnet Sites] レポートの出力を示します。

図 12-9 MARS のレポート結果:[Top Botnet Sites]

図 12-10 に、断続的に更新される Botnet Traffic Filter レポート([Top Botnet Sites]、[Top Botnet Ports]、および [Top Botnet Infected Hosts])のチャートを示します。これらのレポートは、[Summary] > [ASA Botnet Reports] ページで使用できます。

図 12-10 ASA Botnet レポートの [Summary] ページ([Top Ports]、[Top Sites]、[Top Infected Hosts])

 

ボットネット トラフィック フィルタリング向けの MARS のシステム規則および通知

次の 2 つのシステム規則では、ボットネット トラフィック フィルタリングがサポートされます。

[System Rule: Suspicious Phone Home Activity: ASA Botnet Traffic Filter]

この規則では、Cisco ASA Botnet Traffic Filter によってレポートされた、ブラック/グレーリストのサイトおよび IP アドレスに対する Phone Home アクティビティが検出されます。

[System Rule: Suspicious Traffic from site: ASA Botnet Traffic Filter]

この規則では、Cisco ASA Botnet Traffic Filter によってレポートされた、ブラック/グレーリストのサイトおよび IP アドレスから送信されたトラフィック アクティビティが検出されます。

規則を表示するには、[MARS Rules] > [Inspection Rules] ページにナビゲートします。

図 12-11 に、MARS の GUI に表示された Botnet Traffic Filter 規則の定義を示します。

図 12-11 Cisco ASA Botnet Traffic Filter 向けの MARS のシステム規則

 

Botnet Traffic Filter 通知

Botnet Traffic Filter 規則を設定することにより、通知を送信できます。スペース上の制限のため、syslog および SNMP のインシデント通知では、ボットネット サイトの情報が明示的にラベル付けされません。電子メール通知には、「回数によって並べ替えられた上位 3 サイト」が含まれます(例 12-1 を参照)。

例 12-1 ボットネット サイト情報に基づく電子メール通知

From: notifier.pnmars@cisco.com [mailto:notifier.pnmars@cisco.com]
Sent: Friday, June 19, 2009 2:49 PM
To: Lavim Busa (labusa)
Subject: CS-MARS Incident Notification (yellow, Rule Name: labusa-notif)
 
The following incident occurred on "pnmars"
 
Start time: Fri Jun 19 14:46:22 2009
End time: Fri Jun 19 14:46:29 2009
Fired Rule Id: 328056
Fired Rule: labusa-notif
Incident Id: 607632
Incident Severity:yellow
 
Top 3 src-dest address pairs sorted by severity and count (showing 3 of 9):
1. N/A -> N/A Severity: yellow Count: 54
2. 1.2.3.4 -> 4.5.6.7 Severity: yellow Count: 6
3. 11.22.33.44 -> 41.52.63.74 Severity: yellow Count: 3
 
Top 3 src ip's address sorted by severity and count (showing 3 of 6):
1. N/A -> Severity: yellow Count: 54
2. 1.2.3.4 -> Severity: yellow Count: 6
3. 11.22.33.44 -> Severity: yellow Count: 5
 
Top 3 dest ip's address sorted by severity and count (showing 3 of 9):
1. N/A -> Severity: yellow Count: 54
2. 4.5.6.7 -> Severity: yellow Count: 6
3. 41.52.63.74 -> Severity: yellow Count: 3
 
Top 3 dest TCP/UDP ports sorted by severity and count (showing 2 of 2):
1. 80 Severity: yellow Count: 11
2. 80 Severity: green Count: 8
 
Top 3 event types sorted by severity and count (showing 3 of 16):
1. Download failed for dynamic filter data file from updater server Severity: yellow Count:9
2. Authentication failure with dynamic filter updater server Severity: yellow Count:9
3. Decryption of downloaded dynamic filter data file failed Severity: yellow Count:9
 
Top 3 reporting devices sorted by count (showing 1 of 1):
1. asa82 Count: 100
 
Top 3 sites sorted by count (showing 3 of 3):
1. cisco.com (Type: black) Count: 6
2. whitecisco.com (Type: white) Count: 6
3. altavista.com (Type: grey) Count: 5
 
For more details about this incident please go to:
https://pnmars/Incidents/IncidentDetails.jsp?Incident_Id=607632
https://pnmars.mars.cisco.com cisco.com/Incidents/IncidentDetails.jsp?Incident_Id=607632
https://192.168.1.10/Incidents/IncidentDetails.jsp?Incident_Id=607632
https://10.2.4.1/Incidents/IncidentDetails.jsp?Incident_Id=607632
 
For all incidents occurred recently please go to:
https://pnmars/Incidents/
https://pnmars.mars.cisco.com cisco.com/Incidents/
https://192.168.1.10/Incidents/
https://10.2.4.1/Incidents/

Botnet Traffic Filter 向けの MARS のイベント

次のイベント グループは、Botnet Traffic Filter 関連イベントによって構成されています。

ASATrafficFilter/All

ASATrafficFilter/TrafficFromMaliciousSite

ASA TrafficFilter/Misc

ASATrafficFilter/OperationalError

ASATrafficFilter/PhoneHomeTraffic

Info/UncommonTraffic/Suspicious

イベントおよびイベント グループを表示するには、[MARS Management] > [Event Management] ページにナビゲートします。

表 12-3 に、Cisco ASA Botnet Traffic Filter に関連するイベントの一覧を示します。

 

表 12-3 Botnet Traffic Filter に関連する MARS のイベント

イベント番号
イベント名

1734142

Traffic originating from Black-listed site

1734143

Phone home traffic to Black-listed site

1734144

Traffic originating from Black-listed IP

1734145

Phone home traffic to Black-listed IP

1734146

Traffic originating from White-listed site

1734147

Traffic destined to White-listed site

1734148

Traffic originating from White-listed IP

1734149

Traffic destined to White-listed IP

1734150

Traffic originating from Gray-listed site

1734151

Phone home traffic to Gray-listed site

1734152

Intercepted DNS reply for listed site

1734153

Adding an IP address to the dynamic filter rule

1734154

Removal of an IP address from the dynamic filter rule

1734155

Download dynamic filter data file from updater server succeeded

1734156

Download failed for dynamic filter data file from updater server

1734157

Authentication failure with dynamic

1734158

Decryption of downloaded dynamic filter data file failed

1734160

Current license does not support dynamic filter updater feature

1734161

Failed to receive an update from dynamic filter updater server

サイト管理ページ

サイト管理ページ(図 12-12 を参照)には、Cisco ASA の syslog に基づいて解析されたすべてのブラックリスト、グレーリスト、およびホワイトリストのボットネット サイトの一覧が表示されます。このページではサイトを削除できますが、サイトを編集したり、手動での追加はできません。

Cisco ASA の syslog においてブラックリストおよびグレーリストとしてレポートされたすべてのサイトは、マルウェア サイトです。ホワイトリストとしてレポートされたサイトは、マルウェアとは見なされません。MARS によって、Cisco ASA の syslog からボットネット アドレスが解析されるたびに、そのサイトは MARS のサイト管理の一覧に追加されます。時間が経つにつれて、一覧は内容が古く長くなるため、サイトを削除する必要性が生じます。MARS において実行したサイトの削除処理は、Cisco ASA の設定に影響しません。


) ホワイトリスト サイトは理論上は「ボットネット サイト」ではありませんが、"White-list" の用語が MARS に表示されるのは、Cisco ASA Botnet Traffic Filter に関連する場合だけであるため、本書では、ホワイトリスト サイトをボットネット サイトとして記載する場合があります。


図 12-12 MARS のサイト管理ページ

 

すべてのサイト、ブラックリスト サイト、グレーリスト サイト、またはホワイトリスト サイトを表示するには、[Site Type] プルダウン フィルタを使用します。

特定のサイト名を検索するには、目的の名前または名前の一部を [Site Name] フィールドに入力し、[Search] をクリックします。1 つのサイト名には、複数の IP アドレスが存在する場合があります。

サイトの削除

サイトを削除するには、サイトのチェックボックスをオンにしてから [Delete] をクリックします。ポップアップ ウィンドウが表示されます(図 12-13 を参照)。

図 12-13 サイト削除時の削除確認ポップアップ ウィンドウ

 

規則またはレポートが参照するサイトの削除

ユーザが作成した規則またはレポートの基準としてボットネット サイトが含まれている場合に、そのサイトの [Site] ページからの削除が試行された場合は、影響を受ける規則およびレポートを示す削除確認ポップアップ ウィンドウが表示されます(図 12-14 を参照)。

図 12-14 規則が参照するサイトを削除した場合の削除確認ポップアップ ウィンドウ

 

削除したサイトを参照する規則は非アクティブになります。

レポートが参照するサイトが削除された場合、そのレポートは削除され、すべて同じパラメータを使用する新しいレポートが作成されますが、このレポートには、削除されたボットネット サイトの情報は含まれません。

多数のサイトを選択して削除する場合は、サイトを削除する前に、すべての規則およびレポートにおいてボットネットの参照がないかがチェックされます。これにより、削除確認ページの表示に遅れが生じる場合があります。