Management Center for IDS Sensors 2.0 ユーザ ガイド
Sensor およびシグニチャの設 定
Sensor およびシグニチャの設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Sensor およびシグニチャの設定

Sensor およびシグニチャの設定タスク リスト

IOS IPS ルールの指定

Sensor に適用される特定のシグニチャが使用する追加ポートの識別

IOS IPS デバイスが使用する別のポートの識別

内部ネットワークの識別

リンク ステータスの設定

データ ソースの識別

NTP サーバの識別

ブロッキング プロパティの指定

ブロックされないネットワークとホストの指定

ブロッキング デバイスの使用方法

マスター ブロッキング Sensor の指定

イベント ログの設定

自動 IP ログの設定

IP ログの設定

ポストオフィス設定の指定

RDEP プロパティの指定

リモート ホストの追加

許可ホストの識別

IOS IPS 一般プロパティの指定

IOS IPS SDEE プロパティの指定

追加設定の使用方法

Sensor の識別プロパティの定義

検知インターフェイスの設定

シグニチャの詳細について

シグニチャの設定と調整

Sensor のフィルタの定義

IOS IPS デバイスのフィルタの定義

Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定

IOS IPS デバイスのリアセンブリ オプションの指定

Sensor 設定の調整

コンフィギュレーション ファイル設定のコピー

保留コンフィギュレーション ファイル設定の再検討

保留コンフギュレーション設定のロック解除

履歴コンフィギュレーション ファイル設定の再検討

IDS Sensor ソフトウェア バージョンとシグニチャ リリース レベルのアップデート

IDS Sensor ソフトウェアを 3.x から 4.x にアップデート

その他の IDS Sensor ソフトウェアを 3.x から 4.x にアップデート

シグニチャのバージョンの比較

Configuration Comparison Tool について

Sensor およびシグニチャの設定

ネットワーク検知は、Sensor または Intrusion Detection System Module(IDSM)を使用して行います。これらの検知プラットフォームは、どちらも Cisco Intrusion Detection System のコンポーネントであり、Management Center for IDS Sensors(IDS MC)によって管理できます。検知プラットフォームは、どちらもネットワーク トラフィックの監視と分析をリアル タイムで行います。これを行うため、広範な埋め込み型シグニチャ ライブラリをベースにして、異常と誤用を検索します。しかし、この 2 つのプラットフォームでは、検知した侵入への応答方法が異なります。

Sensor は、高パフォーマンスのプラグアンドプレイ アプライアンスです。Sensor は不正なネットワーク アクティビティを検知すると、接続の終了、関連ホストの永久ブロック、状況の記録、IDS MC へのアラームの送信を実行できます。

IDSM は、Catalyst 6000 ファミリのスイッチ用に設計されたスイッチイング モジュールです。Cisco Intrusion Detection System が不正なネットワーク アクティビティを検知すると、IDSM は、アラームを生成して応答します。アラームは、IDS MC によって記録され、表示されます。IDSM は、Sensor ソフトウェア バージョン 3.0 以降を実行している場合、ネットワーク接続を終了できますが、それ以前のバージョンを実行している場合は終了できません。

IDS 4.1 ソフトウェアからは、Cisco 2600/3600 IOS ルータ用のモジュールを使用できます。

バージョン 2.0 以降、IDS MC は、IOS IPS デバイスの設定を管理できるようになりました。

Sensor か IDSM のどちらかを使用してネットワーク検知を行うには、多くの Sensor(または IDSM)とシグニチャを設定する必要があります。設定の後は、最適なパフォーマンスを実現するために調整が必要です。特に false positive と false negative を最低限に抑える必要があります。


) Sensor の設定の調整と各シグニチャのパラメータの調整は異なります。


Sensor およびシグニチャの設定タスク リスト

Sensor、Sensor グループ、シグニチャ設定を設定するには、次のタスクのうち 1 つ以上を実行します。一部の設定は、Sensor レベルまたはグループ レベルだけで設定できます。たとえば、Sensor のフィルタの定義は Sensor レベルのみで行えます。ほかの例を挙げると、特定のシグニチャによって使用される追加ポートの識別は、グループ レベルのみで実行できます。

「IOS IPS ルールの指定」

「Sensor に適用される特定のシグニチャが使用する追加ポートの識別」

「内部ネットワークの識別」

「リンク ステータスの設定」

「データ ソースの識別」

「NTP サーバの識別」

「ブロッキング プロパティの指定」

「ブロックされないネットワークとホストの指定」

「ブロッキング デバイスの使用方法」

「マスター ブロッキング Sensor の指定」

「イベント ログの設定」

「自動 IP ログの設定」

「IP ログの設定」

「ポストオフィス設定の指定」

「リモート ホストの追加」

「RDEP プロパティの指定」

「許可ホストの識別」

「IOS IPS SDEE プロパティの指定」

「追加設定の使用方法」

「Sensor の識別プロパティの定義」

「検知インターフェイスの設定」

「シグニチャの設定と調整」

「Sensor のフィルタの定義」

「Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定」

すべてのタスクは、Configuration > Settings の TOC で開始します。 Configuration > Settings を選択すると、最初は図 5-1 のように表示されます。ほとんどのタスクでは、Object Selector を使用する必要があります。Object Selector ハンドルは、図 5-1 の左側に表示されます。

図 5-1 設定の TOC

 


ヒント IDS MC での Object Selector の使用は、Configuration > Settings TOC および Configuration > History ページに限られます。


IOS IPS ルールの指定

この手順は、IOS IPS デバイスに適用されます。


) このページで ACL を入力しても、ACL の名前または番号が特定されるだけです。ACL は作成されません。ACL を作成するには、設定している IOS IPS デバイスでコマンドラインを使用します。ACL の名前または番号を入力してコンフィギュレーションを展開しても、対応する ACL がルータに存在しない場合、このコマンドは無効です。


IOS IPS ルールを識別するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、IOS IPS ルールを指定する IOS IPS デバイスを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 IOS IPS Rules を選択します。

IPS Rules ページが表示され、Object Selector で選択した IOS IPS デバイスが Object バーに表示されます。

ステップ 5 IOS IPS ルールを追加するには、 Add をクリックします。

Enter IPS Rules Details ページが表示されます。

ステップ 6 必要なデータを入力します。


Query Interface をクリックして、新しい IPS ルールを作成する必要があります。作成していない場合、Interface ドロップダウン リストには何も表示されません(つまり空です)。


ステップ 7 変更内容を破棄して Enter IPS Rules Details ページを閉じるには、 Cancel をクリックします。

ステップ 8 変更内容を保存して Enter IPS Rules Details ページを閉じるには、 OK をクリックします。


 

Sensor に適用される特定のシグニチャが使用する追加ポートの識別

IDS MC がサポートしている IDSM デバイスを使用する場合は、特定のネットワーク サービスの調査用シグニチャが調査対象とする追加ポートを指定できます(ネットワーク サービスによって使用される TCP ポートによって識別)。ポート設定により、内部ネットワークで再割り当てした、well-known ネットワーク サービス ポートをすべて識別できるようになります。内部ネットワークで動作しているカスタム TCP ベース サービスを識別し、このようなネットワーク サービスを標的にした特殊な攻撃を Sensor に調査させることもできます。

ポート マッピングは、3.x IDS モジュール、4.x Sensor アプライアンス、および IDS MC グループのみに適用されます。3.x Sensor アプライアンスには適用されません。

追加ポートや再マップしたポートを識別し、特定のシグニチャによって、より広範囲に評価するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、追加ポートや再マップしたポートを識別するデバイスまたはグループを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Port Mapping を選択します。

Port Mapping ページが表示されます。

 

ステップ 5 TCP ベース サービスでハイジャックされたポートを調査するシグニチャが、調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP HIJACK Ports フィールドにそれぞれのポート番号を入力します。

ステップ 6 TCP ベースのフラッド攻撃の調査用シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP SYNFLOOD Ports フィールドにそれぞれのポート番号を入力します。

ステップ 7 Telnet ベース攻撃の調査用攻撃シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP TELNET Ports フィールドにそれぞれのポート番号を入力します。

ステップ 8 HTTP ベース攻撃の調査用攻撃シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP HTTP Ports フィールドにそれぞれのポート番号を入力します。

ステップ 9 変更内容を受け入れて Port Mapping ページを閉じるには、 Apply をクリックします。


 

IOS IPS デバイスが使用する別のポートの識別

IDS MC がサポートしている IOS IPS デバイスを使用する場合、特定のネットワーク プロトコルに別のポートを指定できます。このプロセスは、ポート マッピングと呼ばれます。IOS IPS ポート マッピングは、IDS Sensor ソフトウェアのバージョン 4.x で動作する Sensor が使用するポート マッピングと同様です。

ポート マッピングを使用すると、内部ネットワークで再割り当てした、well-known ネットワーク サービス ポートをすべて識別できるようになります。内部ネットワークで動作しているカスタム TCP ベース サービスを識別し、このようなネットワーク サービスを標的にした特殊な攻撃を Sensor に調査させることもできます。


) このページで ACL を入力しても、ACL の番号が特定されるだけです。ACL は作成されません。ACL を作成するには、設定している IOS IPS デバイスでコマンドラインを使用します。ACL 番号を入力してコンフィギュレーションを展開しても、対応する ACL がルータに存在しない場合、このコマンドは無効です。


IOS IPS デバイスが使用する他のポートを識別するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、別のポートを識別する IOS IPS デバイスを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 IOS IPS Port Mapping を選択します。

IOS IPS Port Mapping ページが表示されます。

ステップ 5 IOS IPS Port Mapping ページで、特定のプロトコルに対するデフォルト値とは異なるポートを追加、編集、または削除できます。


 

内部ネットワークの識別

IDS MC で管理する、それぞれの Sensor や Sensor グループでは、内部ネットワークを識別できます。これらは、信頼できるとみなすネットワークです。内部ネットワークは、レポートとアラーム用に、外部ネットワークとは異なる方法で処理されます。

内部ネットワークを識別するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、内部ネットワークを識別する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 Internal Networks を選択します。

Internal Networks ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 Internal Networks ページで、内部ネットワークを追加できます。内部ネットワークを追加すると、ネットワークのプロパティを編集したり、削除したりできます。


 

リンク ステータスの設定

IDS MC で管理する、それぞれの Sensor や Sensor グループでは、Monitoring Center for Security(Security Monitor)の Event Viewer によってレポートされるリンク ステータスの確認方法を設定できます。リンク ステータスは、特定の Sensor または Sensor グループおよび Security Monitor 間の通信を参照します。リンクへの割り込みがレポートされるまでの経過時間を指定できます。割り込みを、重大度が高いイベント、低いイベント、または中程度のイベントとみなすかどうかを指定することもできます。

次の手順は、Sensor アプライアンスに実行できますが、IDSM には実行できません。

リンク ステータスのクエリーを行うには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、リンク ステータスのレポートを設定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 Link Status を選択します。

Link Status ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 Link Status ページでは、グローバル設定の指定、またはグローバル設定の上書きを選択できます。


 

データ ソースの識別

Cisco IOS ルータでは、syslog データを Sensor に発行できます。Cisco IOS ルータが使用するインターフェイスを指定する必要があります。

Cisco IOS ルータが Sensor への syslog データの発行に使用するインターフェイスを識別するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、syslog データの発行用の Cisco IOS ルータ インターフェイスを指定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Data Sources を選択します。

Data Sources ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 Data Sources ページで、Cisco IOS ルータが syslog データを発行するインターフェイスを追加できます。インターフェイスを追加すると、インターフェイスの編集または削除ができます。


 

NTP サーバの識別

Sensor が IDS Sensor ソフトウェア バージョン 4.0 以降で動作している場合、NTP(Network Timing Protocol)サーバ時間を Sensor で使用できます。この機能は、IDS MC 2.0 の新機能です。

ここで説明する手順では、Sensor 上の時間を設定する方法ではなく、Sensor と共に使用する NTP サーバを識別する方法について説明します。

Sensor の時間を設定する方法については、
http://www.cisco.com/en/US/partner/products/sw/secursw/ps2113/products_installation_and_configuration_guide_book09186a00801a0c69.html の『 Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1 』を参照してください(ナビゲーション パスは、www.cisco.com > [log in] > Products & Services > Security and VPN Software > Cisco Intrusion Detection System > Installation and Configuration Guides > Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1 です)。CCO ユーザ名とパスワードの入力プロンプトが表示されます。


ヒント IDS Sensor ソフトウェアのアップデートに問題が発生している場合は、
IDS Sensor の時刻をチェックします。関連付けられている証明書の時刻より Sensor の時刻の方が進んでいる場合、証明書が拒否され、Sensor ソフトウェアのアップデートが失敗する可能性があります。


NTP サーバを識別するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、NTP 時刻を設定するオブジェクト(Sensor またはグループ)を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 NTP Server を選択します。

NTP Server ページが表示され、Object Selector で選択したオブジェクト(Sensor またはグループ)が Object バーに表示されます。

 

ステップ 5 Server IP フィールドで、NTP サーバの IP アドレスを入力します。

ステップ 6 Key フィールドで、NTP サーバのキー値を入力します。

ステップ 7 Key ID フィールドで、NTP サーバの Key ID 値を入力します。有効な値は、1 ~ 4294967295 です。

ステップ 8 ステップ 3 で、Sensor ではなく、グループが選択されていると、Mandatory チェックボックスが表示されます。 Mandatory チェックボックスをオンにして、これらの設定をグループおよびすべてのサブグループ内にあるすべてのオブジェクトに適用します。オンにしないと、このグループのオブジェクトとすべてのサブグループ内のオブジェクトはこのグループの設定を上書きできます。


 

ブロッキング プロパティの指定

Cisco IOS ルータへ発行する ACL ルールを生成することで、攻撃をブロックするように Sensor を設定できます。ブロック期間、ACL エントリの最大数、ACL ログをイネーブルにするかどうか、ブロッキング デバイスによる Sensor の IP アドレスのブロックを許可するかどうかを指定できます。

ブロッキング プロパティを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、ブロックキング プロパティを指定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Blocking Properties を選択します。

Blocking Properties ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 Blocking Properties ページで、グローバル設定の指定、またはグローバル設定の上書きを選択できます。


 

ブロックされないネットワークとホストの指定

Cisco IOS ルータへ発行する ACL ルールを生成し、攻撃をブロックするように Sensor を設定できます。しかし、Sensor シグニチャを調整し、ブロックされないホストおよびネットワークを識別することが重要です。たとえば、通常の予期される動作が攻撃であるように表示される、信頼できるネットワーク デバイスが存在することがあります。このようなデバイスのブロックはできません。また、信頼できる内部ネットワークもブロックできません。適切に調整すると、false positive の数を減らし、適切なネットワーク オペレーションを保証できます。

攻撃が検出された際にブロックされないネットワークやホストを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、ブロックしないホストおよびネットワークを識別する Sensor を選択します。

ステップ 4 TOC で、 Blocking > Never Block Addresses を選択します。

IP Addresses ページが表示されます。このページには、選択した Sensor の設定により、ブロックされる可能性があるデバイスとネットワークのリストが表示されます。このページでは、ホストおよびネットワークの追加、編集、削除ができます。

 

ステップ 5 選択した Sensor によってブロックされない対象のリストに、ホストまたはネットワークを追加するには、 Add をクリックします。

Enter Network ページが表示されます。

次の情報を Enter Network ページに入力します。

IP アドレス

ネットワーク マスク

コメント

ステップ 6 選択した Sensor によってブロックされない対象のリストに載っている、ホストまたはネットワークの関連情報を編集するには、そのホストかネットワークのアドレスの横にあるチェックボックスをオンにし、 Edit をクリックします。

Enter Network ページが表示されます。

Enter Network ページに次の情報を入力します。

IP アドレス

ネットワーク マスク

コメント

ステップ 7 選択した Sensor によってブロックされない対象のリストから、ホストまたはネットワークを削除するには、そのホストかネットワークのアドレスに対応するチェックボックスをオンにし、 Delete をクリックします。

選択したホストまたはネットワークが削除されます。

ステップ 8 ホストまたはネットワークの追加、編集、削除をさらに行うには、ステップ 2 ~ 7 を繰り返します。

ステップ 9 Sensor の設定を続けるには、 Configuration > Settings を選択します。


 

ブロッキング デバイスの使用方法

指定した IP トラフィックの拒否を、Cisco IOS ルータ、Catalyst 6000 VACL、または PIX Firewall に要求するように Sensor を設定すると、ネットワークへの攻撃をブロックできます。この状況の Cisco IOS ルータ、Catalyst 6000 VACL、PIX Firewall は、「 ブロッキング デバイス 」と呼ばれます。Cisco IOS ルータ、Catalyst 6000 VACL、または PIX Firewall をブロッキング デバイスとして使用する前に、IDS MC で識別し、プロパティを指定する必要があります。

ブロッキング デバイスを識別し、プロパティを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックして Object Selector を開きます。

ステップ 3 Object Selector で、ブロッキング デバイスおよびプロパティを指定する Sensor を選択します。

Object Selector が閉じ、Object Selector で選択した Sensor が、Object バーに表示されます。

ステップ 4 TOC で、 Blocking Devices を選択します。

Blocking Devices ページが表示されます。

 

ステップ 5 Blocking Devices ページでは、ブロッキング デバイスとして使用する Cisco IOS ルータ、Catalyst 6000 VACL、または PIX Firewall を追加できます。ブロッキング デバイスを追加すると、ブロッキング デバイスの編集または削除ができます。

ステップ 6 ブロッキング デバイスの追加または編集中にブロック前の ACL またはブロック後の ACL を追加するには、Blocking Devices ページ上の Add または Edit をクリックして、表示される Blocking Device ページ上の Edit Interfaces クリックします。ブロック前の ACL とブロック後の ACL の詳細については、Cisco IDS technical マニュアルを参照してください。 http://www.cisco.com/go/ids に移動し、ログインします。


 

マスター ブロッキング Sensor の指定

Sensor は、Sensor が検出する攻撃をブロックする ACL ルールの生成および適用ができます。しかし、一部の設定では、ネットワークの別の Sensor によって検出された攻撃に対し、プロキシ Sensor がルールの生成と適用を行うと、より効果的であることがあります。このプロキシ Sensor は、「マスター ブロッキング Sensor」と呼びます。

特定の Sensor をマスター ブロッキング Sensor として使用する場合、その Sensor では SSH キーを使用できません。

マスター ブロッキング Sensor が TLS を使用する場合、IDS Sensor ソフトウェア コマンドライン インターフェイス(CLI)を使用して、ブロック転送 Sensor を設定する必要があります。ブロック転送 Sensor で CLI を使用して次の操作を行います。

1. conf term

2. tls trust ip <master blocking sensor IP address>

3. exit

次に、ブロック転送 Sensor をリブートします。

選択した Sensor によって検出された攻撃のブロックに使用するマスター ブロッキング Sensor を指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、マスター ブロッキング Sensor を指定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Master Blocking Sensors を選択します。

Master Blocking Sensors ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 マスター ブロッキング Sensor を識別するには、 Add をクリックします。

識別した Sensor は、マスター ブロッキング Sensor として動作します。


 

イベント ログの設定

Sensor は、Sensor が調査するように設定されたネットワーク データ ストリームか syslog データ ストリーム、またはその両方に基づいて、監査イベント ログ ファイルを生成できます。生成されるログ ファイルは、Sensor でローカルに保存されます。

監査イベント ログ ファイルを生成するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Logging > Event Logging を選択します。

Event Logging ページが表示されます。

 

ステップ 3 Event Logging ページで、グローバル設定の指定、またはグローバル設定の上書きの選択ができます。上書きを選択するには、Override チェックボックスをオンにします。

ステップ 4 監査イベント ログ ファイルの生成をイネーブルにするには、 Generate audit event log files チェックボックスをオンにします。

ステップ 5 記録する最低イベント レベルを設定するには、Minimum event level to be logged リストボックスを使用します。

ステップ 6 Sensor がアーカイブした(新しいログ ファイルの作成後に書き込みを停止)監査イベント ログ ファイルのコピーを公開する FTP サーバを指定するには、 Export archived event log files チェックボックスをオンにします。

ステップ 7 ターゲットの FTP サーバを指定するには、サーバの IP アドレス、または DNS 名を Target FTP Server フィールドに入力し、 Tab キーを押します。

ステップ 8 ターゲット FTP サーバの目的のディレクトリ パスを指定するには、Target FTP directory ボックスにパスを入力し、 Tab キーを押します。

ステップ 9 Sensor がターゲット FTP サーバへのログインに使用するユーザ アカウントを指定するには、そのユーザ アカウントを Username フィールドに入力し、 Tab キーを押します。

ステップ 10 Username ボックスに指定したユーザ アカウントに対応するパスワードを指定するには、そのパスワードを Password フィールドに入力します。

FTP サーバに Sensor を認証するために、このユーザ名とパスワードのペアが使用されます。


 

自動 IP ログの設定

Sensor が攻撃を検出した場合、IP セッション ログを生成するように、Sensor を設定できます。Sensor にこのアクションを実行させるには、それぞれのシグニチャの設定時に、アクションを指定する必要があります。Sensor が攻撃を検出した際、IP ログを実行する時間を分単位で指定する必要があります。

次の手順は、Sensor アプライアンスに実行できますが、IDSM には実行できません。

IP ログの長さを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Logging > Automatic IP Logging を選択します。

Automatic IP Logging ページが表示されます。

 

ステップ 3 Automatic IP Logging ページで、グローバル設定の指定、グローバル設定の上書きの選択ができます。上書きを選択するには、Override チェックボックスを使用します。

ステップ 4 3.x Sensor の場合、IP ログを実行する、分単位の時間を指定するには、その値を Length of Auto Logging ボックスに入力します。1 ~ 60 までの整数値が有効です。

ステップ 5 4.x Sensor の場合は、ログ パラメータをさらに指定できます。

ステップ 6 変更内容を保存するには、 Apply をクリックします。

ステップ 7 変更内容を破棄するには、 Reset をクリックします。


 

IP ログの設定

Sensor を設定し、特定の IP アドレスのログ ファイルを生成できます。

次の手順は、Sensor アプライアンスに実行できますが、IDSM には実行できません。

特定の IP アドレスのログ ファイルを生成するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Logging > IP Logging を選択します。

IP Logging ページが表示されます。

 

ステップ 3 IP Logging ページで、ログ ファイルを生成する IP アドレスを追加できます。IP アドレスを追加すると、IP アドレスの編集または削除ができます。


 

ポストオフィス設定の指定

Sensor は、動作しているサービスを監視できます。サービスがダウンしたか、サービスを再開できない場合、Sensor は、監査イベントを警告として生成できます。この監視機能は Watchdog と呼ばれ、Sensor の状態と目的の動作を追跡できます。Watchdog は、ポストオフィス サービスの機能です。

Watchdog は、Sensor での動作が想定されているサービスのアベイラビリティをチェックし、目的の Sensor からほかのネットワーク オブジェクトへの通信(ポストオフィスに基づく)が可能であることを検証します。Watchdog は、サービスを照会して動作しているかどうかを確認し、動作していない場合は、ユーザに警告を発行してサービスの再開を試みます。この警告のアラーム レベルを指定できます。

指定できるその他のポストオフィス設定は、ポストオフィス ポートとハートビート間隔です。


) ポストオフィス設定を修正する必要はほとんどありません。修正する場合は、熟練したユーザが行ってください。ほとんどのユーザは、デフォルト値を修正する必要がありません。


ポストオフィス設定を指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Communications > Postoffice Settings を選択します。

Postoffice Settings ページが表示されます。

 

ステップ 3 Postoffice Settings ページで、デフォルト設定の指定、またはデフォルト設定の上書きを選択できます。上書きを選択するには、Override チェックボックスをオンにします。

ステップ 4 デフォルト値以外のポストオフィス ポートを指定するには、Postoffice Port フィールドに新しい値を入力します。

ステップ 5 IDS MC が、通信するその他すべてのポストオフィス クライアントへのアクセスが可能であるか、またネットワーク上で使用可能かどうかの確認に使用する間隔を修正するには、その値を Heartbeat Interval フィールドに入力します。

IDS MC は、クライアントのアベイラビリティをチェックするため、既知のクライアントごとにポストオフィス パケットを送信し、応答パケットを待ちます。IDS MC ポストオフィスは、応答を受信しない場合、そのクライアントのルートが使用できなくなったとみなし、 route down 監査イベントを発行します。ハートビート値は、IDS MC で動作しているポストオフィスが、クライアントのアベイラビリティ チェックごとに待機する秒数を表す整数です。

ステップ 6 Sensor での動作が想定されているサービスを、Watchdog 機能で照会する頻度を秒単位で指定するには、Watchdog Properties の Watchdog Interval フィールドにその値を入力します。

ステップ 7 Sensor での動作が想定されているサービスからのクエリー応答を Watchdog 機能が待機する時間を指定するには、Watchdog Timeout フィールドにその値を入力します。

ステップ 8 動作していないと判断されたサービスの再開を Watchdog 機能が試行する回数を指定するには、Number of Restarts フィールドにその値を入力します。

ステップ 9 サービスが Watchdog クエリーに応答しない場合に発行する警告のレベルを指定するには、Daemon Errors の Daemon Down Alarm Level リストボックスでその値を選択します。

ステップ 10 ダウンしているサービスを Watchdog が再開できない場合に発行する警告のレベルを指定するには、Daemon Unstartable Alarm Level ボックスでその値を選択します。

ステップ 11 変更内容を破棄し、前の設定を復元するには、 Reset をクリックします。

ステップ 12 変更内容を保存するには、 Apply をクリックします。


 

RDEP プロパティの指定

IDS Sensor ソフトウェアのバージョン 4.x では、旧バージョンで使用されているポストオフィスの代わりに、Remote Data Exchange Protocol(RDEP)が使用されます。HTTP/1.1 プロトコルのサブセットである RDEP は、クライアントが要求してサーバが応答するモデルを使用します。IDS MC は、Sensor との通信に RDEP 自体を使用しません。しかし、ユーザは RDEP プロパティを Sensor 上で設定できます。

RDEP プロパティを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、RDEP プロパティを指定する Sensor かグループを選択します。RDEP は、IDS Sensor ソフトウェアのバージョン 4.x を使用する Sensor とグループのみで使用できます。

Object Selector が閉じます。

ステップ 4 TOC で、 Communications > RDEP Properties を選択します。

RDEP Properties ページが表示され、Object Selector で選択した Sensor またはグループが Object バーに表示されます。

 

ステップ 5 Web Server Port フィールドで、Sensor が RDEP に使用するポートを入力します(Sensor が RDEP サーバで、IDS MC サーバが RDEP クライアント)。デフォルト値は 443 であり、通常は変更する必要はありません。

IDS MC が Sensor との通信に Web Server Port を使用することに注意してください。そのため、Web Server Port 値を変更する場合、IDS Device Manager(IDM)か、IDS Sensor ソフトウェア(IDS MC ではない)のコマンドライン インターフェイス(CLI)を使用する必要があります。

ステップ 6 Sensor の Web サーバを識別するため、Server ID を入力します。デフォルト値は HTTP/1.1 であり、通常は変更する必要はありません。

ステップ 7 RDEP サーバと RDEP クライアント間でセキュアなやり取りを可能にするには、 Enable TLS をオンにします。TLS(Transaction Layer Security)では、暗号化と秘密キー ネゴシエーション、セッションのプライバシーと統合性、およびサーバ認証が提供されます。このチェックボックスは、デフォルトでオンになっています。

マスター ブロッキング Sensor 上の TLS を使用する場合、IDS Sensor ソフトウェア コマンドライン インターフェイス(CLI)を使用して、ブロック転送 Sensor を設定する必要があります。ブロック転送 Sensor で CLI を使用して次の操作を行います。

1. conf term

2. tls trust ip <master blocking sensor IP address>

3. exit

次に、ブロック転送 Sensor をリブートします。

ステップ 8 変更内容を破棄し、デフォルト値を復元するには、 Default をクリックします。

ステップ 9 変更内容を保存するには、 Apply をクリックします。

ステップ 10 変更内容を破棄し、前の設定を復元するには、 Reset をクリックします。

ステップ 11 Sensor の代わりにグループの RDEP プロパティを指定する場合は、設定を必須にするオプションもあります。設定を必須にするには、 Mandatory チェックボックスをオンにします。


) Mandatory チェックボックスをオンにすると、Object Selector の階層で下位にあるグループによって、設定が上書きされることはありません。



 

リモート ホストの追加

この手順は、3.x Sensor に適用されます。別のホストを指定しない限り、Sensor は、IDS MC をインストールしたホストに、監査イベント ストリームを発行します。

Sensor が監査イベント ストリームを発行する、追加のネットワーク オブジェクトを識別できます。追加のネットワーク オブジェクトが、IDS MC の「リモート ホスト」です。Sensor の監査イベント ストリームを処理でき、ポストオフィスベースのネットワーク セッションを使用する管理クライアントは、すべてリモート ホストにできます。

Sensor は、通常、攻撃を検出すると、通知イベント レコードと監査イベント レコードを生成します。次の手順を実行すると、報告されるイベントの最小レベルを設定できます。報告されるイベントの最小レベルの設定は、シグニチャを調整する方法の 1 つです。シグニチャを調整すると、false positive の数が減少します。

3.x Sensor のリモート ホストを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Communications > Remote Hosts を選択します。

Remote Hosts ページが表示されます。

 

ステップ 3 リモート ホストを追加するには、 Add をクリックします。

Remote Host ページが表示されます。

 

ステップ 4 リモート ホストの IP アドレスを IP Address フィールドに入力します。

ステップ 5 入力した IP アドレスのリモート ホストに、Sensor が監査イベント ストリームを送信できるようにするには、 Send Events チェックボックスをオンにします。

ステップ 6 サービスを Service リストボックスに指定します。「デーモン」とも呼ばれる、次の 4 つのサービスを使用できます。

loggerd

eventd

smid

managed


) loggerd、eventd、smid、および managed の詳細については、
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/index.htm で利用可能な『Cisco Secure Intrusion Detection System Internal Architecture』を参照してください。


ステップ 7 リモート ホストに送信する最低イベント レベルを Minimum Event Level リストボックスで設定します。

次の値のうちいずれかを選択できます。

Info :ネットワークの標準アクティビティの結果であるイベントを分類する。

Low :重大度が低い攻撃を分類する。この攻撃は、Security Monitor の Event Viewer で、緑色のアイコンとして表示されます。

Medium :重大度が中程度の攻撃に分類する。この攻撃は、Security Monitor の Event Viewer で黄色いアイコンとして表示されます。

High :重大度が高い攻撃に分類する。この攻撃は、Security Monitor の Event Viewer で赤いアイコンとして表示されます。

ステップ 8 コメントを入力します(オプション)。

ステップ 9 ホスト名を入力します。

ステップ 10 ホスト ID を入力します。通常は、リモート ホストの IP アドレスの最終オクテットです。

ステップ 11 組織名と組織 ID を入力します。


) 組織名を定義するには、小文字のみを使用します。組織名にはスペースを含めないでください。ホスト名および組織名は、ローカル ホスト上でポストオフィスが監査イベントを処理する方法に対して、大文字と小文字を区別します。ホスト名と組織名は、異なるポストオフィス クライアント間では渡されません。ホスト ID 値と組織 ID 値のみが渡されます。



) ポストオフィス ドメイン内では、組織 ID とホスト ID の各ペアが、一意である必要があります。つまり、Sensor、Sensor グループ、リモート ホストは、ほかの Sensor、Sensor グループ、またはリモート ホストと同じ組織 ID およびホスト ID のペアを所有できません。


ステップ 12 IDS MC が、通信するその他すべてのポストオフィス クライアントへのアクセスが可能であるか、またネットワーク上で使用可能かどうかの確認に使用する間隔を修正するには、その値を Heartbeat Timeout フィールドに入力します。

IDS MC は、クライアントのアベイラビリティをチェックするため、既知のクライアントごとにポストオフィス パケットを送信し、応答パケットを待ちます。IDS MC ポストオフィスは、応答を受信しない場合、そのクライアントのルートが使用できなくなったとみなし、 route down 監査イベントを発行します。ハートビート値は、IDS MC で動作しているポストオフィスが、クライアントのアベイラビリティ チェックごとに待機する秒数を表す整数です。

ステップ 13 デフォルト値以外のポストオフィス ポートを指定するには、Postoffice Port フィールドに新しい値を入力します。

ステップ 14 変更内容を破棄して Remote Host ページを閉じるには、 Cancel をクリックします。

ステップ 15 変更内容を保存して Remote Host ページを閉じるには、 OK をクリックします。

追加したリモート ホストを含む Remote Host ページが表示されます。

ステップ 16 リモート ホストを追加すると、プロパティの編集または削除ができます。


 

許可ホストの識別

この手順は、4.x Sensor に適用されます。別のホストを指定しない限り、ネットワーク上のすべてのホストが Sensor に接続して Sensor を設定したり、アラーム データを受信したりできるようになります。ただし、許可ホストを特定できます。許可ホストを特定すると、その他のホストでは、Sensor に接続できなくなります。

4.x Sensor の許可ホストを特定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Communications > Allowed Hosts を選択します。

Allowed Hosts ページが表示されます。

 

ステップ 3 リモート ホストを追加するには、 Add をクリックします。

Enter Allowed Host ページが表示されます。

 

ステップ 4 許可ホストの IP アドレスを IP Address フィールドに入力します。

ステップ 5 許可ホストのネット マスクを Net Mask フィールドに入力します。

ステップ 6 変更内容を破棄して Enter Allowed Host ページを閉じるには、 Cancel をクリックします。

ステップ 7 変更内容を保存して Enter Allowed Host ページを閉じるには、 OK をクリックします。


 

IOS IPS 一般プロパティの指定

IOS IPS デバイスには定義が可能な一般プロパティがいくつかあります。

IOS IPS デバイスに一般プロパティを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、一般プロパティを指定する IOS IPS デバイスまたはグループを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 IOS IPS General Properties を選択します。

IOS IPS General Properties ページが表示されます。

ステップ 5 Engine Fail Closed の一般プロパティをイネーブルまたはディセーブルにします。デフォルトでは、IOS が特定のエンジン用に新しいシグニチャを収集している場合、その特定のエンジンへのスキャニングなしでパケットを渡します。Engine Fail Closed の一般プロパティをイネーブルにすると、IOS が収集処理を行っている間に IOS はパケットをドロップします。

ステップ 6 Built-In Signatures の一般プロパティをイネーブルまたはディセーブルにします。Built-in Signatures の一般プロパティをイネーブルにする場合、シグニチャのロケーションにより指定された SDF を検出できなければ、IOS IPS デバイスは組み込みのシグニチャをロードします。


) Engine Fail Closed をイネーブルにし、Built-In Signatures をディセーブルにすることはお勧めしません。SDF のロードに失敗した場合、このコンフィギュレーションでは、IPS ルールが適用されている方向のインターフェイスを通過するトラフィックを停止する可能性があるためです。



 

IOS IPS SDEE プロパティの指定

RDEP v2 としても知られている Security Device Event Exchange(SDEE)を使用して、IOS IPS デバイスのイベントが管理されています。Security Monitor は、収集システムで SDEE を使用して IOS IPS デバイスからイベントを取得するので、重要です。また、SDEE は IDS MC にとっても重要です。IDS MC は SDEE を使用して、展開後に IOS IPS デバイスに問い合せ、展開が成功したことを確認するためです。IOS IPS デバイスの展開中、IDS MC は常にそのデバイス上の SDEE をイネーブルにします。また、IDS MC を使用して、デバイス上の SDEE をディセーブルにする方法はありません。

IOS IPS デバイス用の SDEE プロパティを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、SDEE プロパティを指定する Sensor かグループを選択します。SDEE は、IOS IPS を持つ IOS IPS デバイスとグループだけが使用できます。

Object Selector が閉じます。

ステップ 4 TOC で、 Communications > IOS IPS SDEE Properties を選択します。

IOS IPS SDEE Properties ページが表示されます。

ステップ 5 最大サブスクリプションの値を指定します。最大サブスクリプションは、許可されている同時 SDEE サブスクリプションの最大数のことです。

ステップ 6 最大イベントの値を指定します。最大イベントは、ある瞬間においてデバイス イベント ストレージに存在できる SDEE イベントの最大数のことです。


) 最大イベント パラメータに非常に低い値を設定すると、監視用ソフトウェアを使用して、収集する前に、IOS IPS デバイス バッファ内のイベントが上書きされる可能性があります(IOS IPS デバイスは循環バッファを使用)。最大イベント パラメータはデバイスに影響を与えるデバイス設定です。



 

追加設定の使用方法

この手順は、3.x Sensor に適用されます。IDS MC でサポートされていないコンフィギュレーション ファイル設定は、テキスト入力として手動で入力できます。

3.x Sensor の追加設定を入力するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Advanced > Additional Settings を選択します。

Additional Settings ページが表示されます。

 

ステップ 3 テキストを追加する Sensor のコンフィギュレーション ファイルを File Name リストボックスで選択します。

ステップ 4 選択した Sensor コンフィギュレーション ファイルに追加するテキストを Contents フィールドに入力します。

ステップ 5 変更内容を破棄し、前の設定を復元するには、 Reset をクリックします。

ステップ 6 変更内容を保存するには、 Apply をクリックします。

ステップ 7 設定を必須にするには、 Mandatory チェックボックスをオンにします。


) Mandatory チェックボックスをオンにすると、Object Selector の階層で下位にあるデバイスによって、設定が上書きされることはありません。



 

Sensor の識別プロパティの定義

ネットワークにすでに追加されている Sensor のプロパティを変更できます。ただし、一部のプロパティは変更できません。

Sensor の識別プロパティを定義するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

Settings ページと TOC が表示されます。4.x Sensor は、次のように表示されます。

 

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、識別プロパティを定義する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Identification を選択します。

Identification ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。Sensor のプロパティも表示されます。3.x Sensor の Identification ページは、次のように表示されます。バージョン 4.x には、Root Password または Postoffice Settings のフィールドがありません。

 

ステップ 5 Sensor にインストールされている Sensor ソフトウェアのバージョンを判断するには、 Query Sensor をクリックします。必要に応じて、このアクションを行うことにより、Identification ページに表示される情報をアップデートできます。 Apply をクリックすると、照会したバージョンが現行バージョンと異なる場合、設定は新しいバージョンにアップグレードされます。 Cancel をクリックすると、変更内容は適用されません。

ステップ 6 Identification ページの IP Address フィールド、NAT Address フィールド、Sensor Name フィールド、および Comment フィールドの値を任意に変更します。Group リストボックスを使用すると、Sensor が所属するグループを変更できます。このページの Version フィールドで値は変更できません。

ステップ 7 SSH Settings 領域では、ホストと Sensor 間の Secure Shell(SSH; セキュア シェル)通信用に、パスワードの使用か既存の SSH キーの使用を選択できます。

Password :このオプションを使用するには、ユーザ ID とパスワードを入力します。

Existing SSH Keys :このオプションを使用するには、ユーザ ID を入力し、 Use Existing SSH Keys チェックボックスをオンにします。

ステップ 8 Postoffice Settings 領域では、Host ID(通常は、Sensor の IP アドレスの最終オクテット)、Org Name(すべて小文字でスペースを含まない)、および Org ID(デフォルト値は 100)、Sensor のポストオフィス設定を入力します。

ポストオフィス ドメイン内では、組織 ID とホスト ID の各ペアが、一意である必要があります。つまり、Sensor か Sensor グループは、別の Sensor または Sensor グループと同じ組織 ID およびホスト ID のペアを所有できません。


) 組織名を定義するには、小文字のみを使用します。組織名にはスペースを含めないでください。ホスト名および組織名は、ローカル ホスト上でポストオフィスが監査イベントを処理する方法に関して、大文字と小文字を区別します。ホスト名と組織名は、異なるポストオフィス クライアント間で渡されません。ホスト ID 値と組織 ID 値のみが渡されます。


ステップ 9 変更内容を破棄し、前の設定を復元するには、 Reset をクリックし、残りの手順を省略します。

ステップ 10 変更内容を保存するには、Apply をクリックします。データベースにコミットするまで、変更内容は Sensor 設定に影響しません。

ステップ 11 変更した識別プロパティを確認するには、 Configuration > Pending を選択します。

Pending ページが表示されます。識別プロパティが変更されたデバイスが、次のように表示されます。

 

ステップ 12 保留コンフィギュレーションをデータベースにコミットせずに削除するには、削除するコンフィギュレーションのチェックボックスをオンにし、 Delete をクリックします。

ステップ 13 保留コンフィギュレーションをデータベースにコミットするには、データベースにコミットするコンフィギュレーションのチェックボックスをオンにし、 Save をクリックします。


 

検知インターフェイスの設定

IDS 4.1 を使用している場合は、Sensor の複数の検知インターフェイスを設定できます。

検知インターフェイスを設定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックして Object Selector を開きます。

ステップ 3 Object Selector で、検知インターフェイスを設定する Sensor を選択します。Sensor は、IDS 4.1 を使用する必要があります。

Object Selector が閉じ、Object Selector で選択した Sensor が、Object バーに表示されます。

ステップ 4 TOC で、 Sensing Interfaces を選択します。

Sensing Interfaces ページが表示されます。

 

Sensing Interfaces ページには、次の 2 つの方法で Sensor が表示されます。

設定がインポートされた Sensor には、検知インターフェイス、およびイネーブル/ディセーブルを示すステータスのリストが表示されます。

設定がデフォルト設定で構成されている Sensor には、検知インターフェイスが表示されません。

ステップ 5 設定がデフォルト設定で構成されている検知インターフェイスを検出するには、 Query Interfaces をクリックします。


) Query Interfaces をクリックしない場合、設定がデフォルト設定で構成されている Sensor を展開できません。


ステップ 6 特定のインターフェイスの状態を変更するには、 Enable または Disable をクリックします。


 

シグニチャの詳細について

ネットワーク侵入は、ネットワーク リソースへの攻撃か、リソースの誤用として定義できます。Cisco IDS Sensors では、「シグニチャベース」のテクノロジーを使用してネットワーク侵入を検出します。「シグニチャ」は、Sensor が検出と報告を行うネットワーク侵入のタイプを指定します。シグニチャは、サービス拒絶攻撃(DoS)など、典型的な侵入アクティビティの検出に Sensor が使用するルールのセットと考えられています。Sensor は、ネットワーク パケットをスキャンし、シグニチャを使用して、既知の攻撃の検出、および定義したアクションによる応答を行います。

基本的なレベルでは、「シグニチャベース」の侵入検出技術をウィルスチェック プログラムと比較することができます。Cisco Systems は、Sensor がネットワーク アクティビティと比較するシグニチャのリストを生成しています。Sensor は、一致が検出されると、イベントの記録、または Security Monitor で提供される Event Viewer へのアラーム送信などのアクションを行います。Sensor を使用すると、ユーザは既存のシグニチャの修正と新しいシグニチャの定義ができます。ただし、ほとんどのお客様は、Cisco Systems が提供する最新のシグニチャを使用し、Sensor を最新に保って新しい攻撃を検出できるようにします。


ヒント シグニチャのアップデートについて電子メールで通知を受けるには、Cisco IDS Active Update Notification に登録してください。登録のフォームは、
http://www.cisco.com/offer/newsletter/123668_4/で入手できます。


シグニチャベースの侵入検知では、通常のネットワーク アクティビティが、悪意があると解釈されることがあるため、false positive が生成される可能性があります。たとえば、一部のネットワーク アプリケーションやオペレーティング システムは、多くの ICMP メッセージを送信することがありますが、シグニチャベースの検知システムは、攻撃者がネットワーク セグメントを精密に調査していると、これを解釈することがあります。false positive は、Sensor を調整して、最低限に抑えることができます。

アラームの生成に加えて、次の 3 つのアクションのうち 1 つ以上を実行するように、Sensor を設定できます。

IP Log :このアクションでは、IP セッション データがファイルに書き込まれます。このアクションは、デフォルトでは実行されません。IDSM を使用している場合、IP ログ アクションは使用できません。Sensor アプライアンスを使用している場合のみ使用できます。

Reset :このアクションでは、攻撃シグニチャが検出されたセッションに、TCP リセット コマンドが送信されます。このアクションは、デフォルトでは実行されません。リセット アクションは、TCP ベースの攻撃シグニチャのみに使用できます。IDSM を使用している場合は、使用できません。Sensor アプライアンスを使用している場合のみ使用できます。

Block :このアクションにより、Sensor は、Cisco IOS ルータ、Catalyst 6000 VACL、または PIX Firewall にコマンドを発行し、攻撃シグニチャと一致するトラフィックを指定した発信元アドレスが送信することをブロックします。Cisco IOS ルータの場合は、ACL 文の一時的な変更として、ルータ設定にこのコマンドが発行されます。指定した期間が経過すると、Sensor は、この文を削除し、攻撃前の設定状態にルータを戻します。

IDS 3.x ソフトウェアで動作する Sensor では、ホストとネットワークをブロックできます。IDS 4.x ソフトウェアで動作する Sensor では、ホスト、ネットワーク、および接続をブロックできます。

シグニチャの分類とグループ化は、複数の方法で行うことができます。次に、その一部を示します。

「埋め込み型」シグニチャは、Sensor ソフトウェアに組み込まれています。埋め込み型攻撃シグニチャのリストへの追加または削除はできません。名前の変更もできません。Sensor で使用できる埋め込み型シグニチャのリストは、Sensor が実行するソフトウェアのバージョンによって決まります。埋め込み型シグニチャの詳細については、Cisco Network Security Database を参照してください。Network Security Database を表示するには、Web ブラウザを開き、 https:// host name /vms/nsdb/html/all_sigs_index.html を表示します。
host name
は、IDS MC がインストールされているコンピュータの名前を表しています。

「TCP 接続」シグニチャは、監視するトラフィックのトランスポート層プロトコル(TCP)とポート番号に基づいて、ユーザが設定できるシグニチャです。「UDP 接続」シグニチャは、監視するトラフィックのトランスポート層プロトコル(UDP)とポート番号に基づいて、ユーザが設定できるシグニチャです。

「文字列マッチング」シグニチャは、パケットによって運ばれるデータ、つまり特定のセッションのコンテンツに基づいて、ユーザが設定できるシグニチャです。文字列マッチング シグニチャでは、正規表現を使用し、パケット データ ペイロードで文字列マッチングを実行します。さらに、文字列マッチング シグニチャは、文字列の着信ネットワーク トラフィック、発信ネットワーク トラフィック、双方向ネットワーク トラフィックのうちいずれかを調査することもできます。

「ACL 違反」シグニチャは、ネットワーク デバイスが syslog ストリームで記録するアクセス制御違反に基づいて、ユーザが設定できるシグニチャです。ACL シグニチャを検出するように Sensor を設定するには、まず 1 台以上のルータを設定し、ACL 違反を記録します。次に、Sensor と通信するようにルータを設定し、ルータからの syslog トラフィックを受け入れるように Sensor を設定します。

「カスタム」シグニチャは、シグニチャ エンジン パラメータによって最大限に調整できる、ユーザが定義できるシグニチャです。カスタム シグニチャは、Sensor アプライアンス上で調整できます。IDS モジュール上ではできません。使用できるシグニチャ エンジン パラメータの詳細については、
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids6/index.htm の『 Cisco Intrusion Detection System Signature Engines Version 3.0 』を参照してください。

IDS MC 2.0 以降では、Signature Wizard を使用してカスタム シグニチャを作成できます。Signature Wizard を使用するには、 Configuration Settings を選択します。TOC で、 Signature Wizard を選択します。

3.x Sensor および 4.x Sensor には、Signature ID、L2/L3/L4 Protocol、Service、Attack、および OS という同じ「カテゴリ」があります。

 

3.x Sensor と 4.x Sensor のグループは異なります。たとえば、3.x Sensor の Signature ID カテゴリには、General、TCP、UDP、String Match、ACL Violation、Custom の「グループ」があり、4.x Sensor の同じカテゴリには、General と Custom のグループがあります(3.x Sensor の場合、 General は埋め込みという意味です。埋め込み型シグニチャは、Sensor ソフトウェアの一部です)。4.x Sensor の場合、 General は、ユーザが作成した以外のすべてのシグニチャを表します。

次に、シグニチャのカテゴリとグループの例を図示します。

1. 4.x Sensor の場合は、L2/L3/L4 Protocol カテゴリを選択します。表示されるページには、このカテゴリのグループが表示されます。

 

2. この例の説明を続けるため、TCP Anomalies グループを選択します。表示されるページには、このグループのシグニチャが表示されます。

 

シグニチャの設定と調整

シグニチャの次のプロパティを設定できます。

Severity :攻撃を分類します。重大度設定は、記録される攻撃のタイプを区別するため、Security Monitor の Event Viewer で使用されます。

Enabled :ネットワーク トラフィックをスキャンして特定のシグニチャを検出し、攻撃が検出された場合にアラームを生成するように、Sensor を設定します。シグニチャをディセーブルにすると、Sensor は、そのシグニチャを表すネットワーク トラフィックを無視します。

Action :Sensor が、攻撃の検出時に、アラームの生成以外に実行する、アクション(または複数のアクション)を判断します。

Signature Name :新しいシグニチャの追加時に使用されます(一部のシグニチャのカテゴリおよびグループには使用されません)。

Signature ID :シグニチャの ID。IDS MC によって生成され、値を変更することはできません。カスタム シグニチャのみで使用されます。

Subsig ID :サブシグニチャ ID を指定します(一部のシグニチャには使用できません)。たとえば、すべての文字列マッチング シグニチャには IDS MC によって生成されたサブシグニチャ ID があり、この値を変更できません。すべての ACL 違反シグニチャにも IDS MC によって生成されたサブシグニチャ ID があり、この値を変更できません。新しい ACL 違反シグニチャを作成すると、リスト内で最大の数値を含むサブシグニチャより 1 大きい値が、Subsig ID フィールドに入ります。

Port :ポート番号の設定に使用されます(一部のシグニチャのカテゴリとグループには使用できません)。たとえば、TCP 接続シグニチャ、UDP 接続シグニチャ、文字列マッチング シグニチャで使用されます。

ACL Name :監視する ACL の名前か番号を指定します(ACL 違反シグニチャのみで使用されます)。

String :マッチングする文字列を指定します。文字列は、正規表現の形式にします(文字列マッチング シグニチャのみに使用されます)。

Direction :監視するトラフィックの方向を指定します(一部のシグニチャのカテゴリとグループでは使用されません)。

Occurrences :Sensor がアラームを生成する前に、特定文字列が検出される回数を指定します(一部のシグニチャのカテゴリとグループでは使用されません)。

Select and Unselect :IOS IPS デバイスのみに使用します。これらのプロパティを設定すると、IOS IPS デバイスの展開中に IDS MC に対して、次のアクションを指示します。選択された(「yes」の付いた)シグニチャは、IOS IPS デバイスに展開されます。選択解除された(「no」の付いた)シグニチャは、IOS IPS デバイスに展開されません。


注意 IOS IPS デバイスを設定している場合、必要なシグニチャだけを選択します。IDS MC で使用可能なすべてのシグニチャを選択する場合、IOS IPS デバイスの展開は失敗します。

IDS MC 2.0 以降ではグループ レベルでシグニチャを設定できます。

一部のシグニチャは調整できます。調整はすべてのデバイスに対して同様に行えます(アプライアンス、モジュール、IOS IPS デバイスなど)。シグニチャ パラメータの調整と Sensor 設定の調整は異なります。

グループ レベルでのシグニチャの調整は複雑な場合があります。グループには、すべてのバージョンのすべての Sensor が存在する可能性があるためです。グループ レベルでシグニチャを調整する必要があり、そのグループに異なるマイクロエンジンが含まれている場合は、IDS MC GUI はコンテキストを表示します。そのコンテキストは、シグニチャのグループのバージョンとシグニチャ マイクロエンジンを一意に識別します。

一部のシグニチャには、次のように特殊な特徴があります。

埋め込み型シグニチャの追加、削除、および名前変更はできません。Sensor ソフトウェア自体とともにこれらが提供されるためです。埋め込み型シグニチャは、3.x Sensor および 4.x Sensor のどちらにも、Signature ID カテゴリの General グループにあります。

名前や ID など、埋め込み型シグニチャの情報は、Cisco Network Security Database(NSDB)と同じように表示されます。Signatures ページから NSDB を表示するには、 2000 など、ID カラムのシグニチャ ID をクリックします。ID カラムのエントリは、NSDB のハイパーリンクになっています。

3.x Sensor を使用している場合は、デフォルト TCP 接続シグニチャの名前変更、修正、および削除を行ったり、必要に応じて TCP 接続シグニチャを追加したりできます。ただし、重複した TCP 接続シグニチャの作成はできません。重複した TCP 接続シグニチャでは、ポート番号が別の TCP 接続シグニチャと同じです。

3.x Sensor を使用している場合は、デフォルト UDP 接続シグニチャの名前変更、修正、および削除を行ったり、必要に応じて UDP 接続シグニチャを追加したりできます。ただし、重複した UDP 接続シグニチャの作成はできません。重複した UDP 接続シグニチャでは、タイプとポート番号が、別の UDP 接続シグニチャと同じです。

3.x Sensor を使用している場合は、デフォルト文字列マッチング シグニチャの名前変更、修正、および削除を行ったり、必要に応じて文字列マッチング シグニチャを追加したりできます。ただし、重複した文字列マッチング シグニチャの作成はできません。重複した文字列マッチング シグニチャでは、文字列、ポート、および方向が別の文字列マッチング シグニチャと同じです。

3.x Sensor の場合は、Sensor を初めて設定する際、デフォルト ACL 違反シグニチャが提供されません。ACL 違反シグニチャは作成する必要があり、作成後は修正できます。ただし、重複した ACL 違反シグニチャの作成はできません。重複した ACL シグニチャとは、ACL 名やサブシグニチャ ID が別の ACL 違反シグニチャと同じ ACL シグニチャのことです。

新しい 3.x Sensor や新しい 4.x Sensor では、カスタム シグニチャが提供されません。カスタム シグニチャは作成できます。既存のカスタム シグニチャを修正することもできます。ただし、重複したカスタム シグニチャの作成はできません。重複したカスタム シグニチャとは、ID が別のカスタム シグニチャと同じカスタム シグニチャのことです。

IOS IPS デバイス用のシグニチャには、特殊な特徴があります。IDS MC(IDS MC サーバに対して行われた最新のシグニチャのアップデートに基づくシグニチャが数多く含まれている)で設定されているデフォルトのシグニチャと、IOS IPS デバイス(132 シグニチャを保持)上に設定されている組み込み型シグニチャは、別のものです。

一部のシグニチャには特殊な要件があります。たとえば、ACL 違反シグニチャを検出するように Sensor を設定するには、1 台以上の Cisco IOS ルータをまず設定し、ACL 違反を記録する必要があります。次に、Sensor と通信するように、ルータを設定する必要があります。最後に、ルータからの syslog トラフィックを受け入れるように、Sensor を設定する必要があります。

シグニチャを設定するには、次の手順を実行します。


ステップ 1 次のように、必要に応じて Signatures ページを表示し、設定する特定のシグニチャを選択します。

a. Configuration > Settings を選択します。

b. TOC で、 Object Selector ハンドルをクリックします。

c. Object Selector で、シグニチャを設定する Sensor を選択します。

Object Selector が閉じます。

d. TOC で、 Signatures を選択します。

Signatures ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

Group Signatures リストボックスに Signature ID カテゴリが表示されることに注意してください。Group Signatures リストボックスを使用し、L2/L3/L4 Protocol Signatures カテゴリ、Service Signatures カテゴリ、Attack Signatures カテゴリ、および OS Signatures カテゴリを表示することもできます。これは、3.x Sensor と 4.x Sensor の両方に当てはまります。

3.x Sensor の場合、Signature ID カテゴリには、General グループ、TCP Connection グループ、UDP Connection グループ、String Match グループ、ACL Violation グループ、および Custom グループが含まれます。4.x Sensor の場合、Signature ID カテゴリには、General グループと Custom グループが含まれます。

3.x Sensor の場合、 General は埋め込みという意味です。埋め込み型シグニチャは、Sensor ソフトウェアの一部です。4.x Sensor の場合、 General は、ユーザが作成した以外のすべてのシグニチャを表します。

IOS IPS デバイスの場合、Signature ID カテゴリには、Built-in グループと Custom グループが含まれます。

e. カテゴリとグループを使用し、設定するシグニチャの選択を続けます。


ヒント シグニチャ テーブルの表示は、フィルタリングできます。Filter Source リストを使用し、表示されている任意のカラムをフィルタ ソースとして選択してください。次に、隣のフィールドに値を入力し、Filter をクリックします。たとえば、リストボックスで Severity を選択し、隣のフィールドに値 High を入力します。Filter をクリックすると、重大度が高いすべてのシグニチャがシグニチャ テーブルに表示されます。検索文字列をクリアしたり、ワイルドカード文字(「*」)を入力したりすると、フィルタリングはキャンセルされます。このフィルタは、Configuration > Settings の TOC のフィルタとは異なります。

ステップ 2 必要であれば、特定のグループのシグニチャをすべてイネーブルまたはディセーブルにします。

a. Signature ID for 3.x sensor などの任意のカテゴリで、General などのグループを選択します。

b. たとえば、General グループのすべてのシグニチャをイネーブルにするには、一般シグニチャに対応するチェックボックスをオンにし、 Enable をクリックします。デフォルトでは、IDS MC のインストール時に、ほとんどの重要なシグニチャがイネーブルになっています。

ステップ 3 必要であれば、特定のグループのシグニチャを 1 つ以上設定します。

a. Signature ID for 3.x sensor などの任意のカテゴリで、General などのグループを選択します。

Signature(s) in Group ページが表示され、グループ名と Sensor 名が Object バーに表示されます。この例では、Signature Group リストに General が表示されます。

b. 設定するシグニチャに対応するチェックボックスをオンにします。ここでの「設定」とは、イネーブル化またはディセーブル化、重大度の設定、およびアクションの選択のことです。複数のチェックボックスをオンにできますが、この場合は、設定できるプロパティが少なくなります。


ヒント シグニチャ テーブルの見出しのチェックボックスをオンにすると、すべてのシグニチャを選択できます。カラムのタイトルをクリックすると、カラムをソートすることもできます。

c. Edit をクリックします。

選択したシグニチャ名を含む Edit Signature(s) ページが表示されます。設定するシグニチャのカテゴリとグループにより、Edit Signature(s) ページのフィールドが異なります。

d. シグニチャ名を編集するには(一部のシグニチャのカテゴリおよびグループでは編集できません)、Signature フィールドを変更します。


) IDS 4.1 ソフトウェアからは、Cisco 2600/3600 IOS ルータ用のモジュールを使用できます。これらのモジュール上のすべてのシグニチャをイネーブルにすることは、お勧めしません。特定のシステムでは、搭載されている RAM が 512 MB のみなので、パフォーマンスや機能に影響がある可能性があります。


e. イネーブルになっているシグニチャをディセーブルにするには、 Enable チェックボックスをオフにします。ディセーブルになっているシグニチャをイネーブルにするには、 Enable チェックボックスをオンにします。

f. シグニチャの重大度を変更するには、Severity リストボックスを使用します。シグニチャごとに、次のいずれかの値を選択できます。

Info :ネットワークの標準アクティビティの結果であるイベントを分類する。

Low :重大度が低い攻撃を分類する。この攻撃は、Security Monitor の Event Viewer で、緑色のアイコンとして表示されます。

Medium :重大度が中程度の攻撃に分類する。この攻撃は、Security Monitor の Event Viewer で黄色いアイコンとして表示されます。

High :重大度が高い攻撃に分類する。この攻撃は、Security Monitor の Event Viewer で赤いアイコンとして表示されます。

g. 特定の攻撃の検出時に Sensor が実行するアクション(複数可)を指定するには、次のチェックボックスを 1 つ以上オンにします。


) Sensor ソフトウェアの特定のバージョンでは、一部のアクションを使用できません。


Block :Sensor は、PIX Firewall、Cisco ルータ、Catalyst 6000 スイッチ、またはその他のサポートされているデバイスにコマンドを発行します。デバイスは、攻撃元のホストやネットワークが、監視対象ネットワークに入ることを拒否します。

TCP Reset :Sensor は、攻撃シグニチャが検出された TCP セッションをリセットします。リセットは、TCP ベースの攻撃シグニチャのみに使用できます。使用できない場合、このアクションは暗く表示されます。

IP Log :Sensor は、攻撃に関する情報を含む IP セッション ログを生成します。このアクションを使用できない、Sensor ソフトウェアのバージョンもあります。使用できない場合、このアクションは暗く表示されます。

h. 文字列を編集するには(文字列マッチング シグニチャのみ)、String フィールドを変更します。 ここで入力する正規表現は、正規表現コンパイラによってコンパイルされません。したがって、有効な正規表現を入力するよう注意してください。ここでは確認されません。

i. Sensor がアラームを生成することになる、文字列の出現回数を編集するには(文字列マッチング シグニチャのみ)、Occurrences フィールドを変更します。

j. ポート番号を編集するには(使用できないシグニチャもあります)、Port フィールドを変更します。

k. ACL 名か番号を編集するには(ACL 違反シグニチャのみ)、ACL Name フィールドを変更します。

l. 監視するトラフィックの方向を編集するには(使用できないシグニチャもあります)、Direction リストボックスを使用します。次の値のうちいずれかを選択できます。

To :着信パケットを検索し、定義済み文字列を探すことを指定します。

From :発信パケットを検索し、定義済み文字列を探すことを指定します。

Both :着信パケットと発信パケットの両方を検索し、定義済み文字列を探すことを指定します。

m. 変更内容を受け入れて Edit Signature(s) ページを閉じるには、 OK をクリックします。

変更内容を含む Signature(s) in Group ページが表示されます。

ステップ 4 必要であれば、次のように特定のシグニチャを調整します。


) 調整できないシグニチャもあります。特定のシグニチャの Engines カラムにエントリがない場合、そのシグニチャは調整できません。エンジン名が Other になっているシグニチャも調整できません。


a. Signature ID for 4.x sensor などの任意のカテゴリで、General などのグループを選択します。

b. 調整するシグニチャに対応する Engine Name を選択します。

選択したシグニチャ名を含む Tune Signature ページが表示されます。このページでは、選択したエンジン用に、パラメータを編集したり、パラメータをデフォルト値に設定したりできます。

Default をクリックすると、調整するシグニチャのビルトイン マイクロエンジン パラメータ情報が回復されます。必要な場合は、デフォルト値を調整できます。ビルトイン マイクロエンジン パラメータ情報からの偏差のみが、IDS MC によって保存されます。この偏差しか保存する必要がないためです。

シグニチャ エンジン パラメータの詳細については、
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids6/index.htm の『 Cisco Intrusion Detection System Signature Engines Version 3.0 』を参照してください。

c. 変更内容を受け入れて Tune Signature ページを閉じるには、 OK をクリックします。

Signature(s) in Group ページが表示されます。

ステップ 5 必要であれば、次のようにシグニチャを追加します。


) 一部のシグニチャのカテゴリおよびグループは、シグニチャを追加できません。たとえば、カスタム シグニチャ、文字列マッチング シグニチャ、UDP 接続シグニチャ、TCP 接続シグニチャを追加できます。


a. 4.x Sensor の Signature ID など、必要なカテゴリで、Custom などのグループを選択します。

Signature(s) in Group ページが表示され、グループ名と Sensor 名が Object バーに表示されます。この例では、Signature Group リストに Custum が表示されます。

b. Add をクリックします。

Tune Signature ページが表示されます。

c. 追加するシグニチャの名前を入力します。

d. Enginelist ボックスでシグニチャエンジンを選択します。

e. この手順のステップ 4 で説明したように、新しいシグニチャを調整します。

f. この手順のステップ 3 で説明したように、新しいシグニチャを設定します。


 

Sensor のフィルタの定義

フィルタを使用すると、Sensor によって報告される false positive の数を減らすことができるため、Sensor を調整する手法を検討します。

アラームのフィルタリングは、Sensor はデータストリームを分析しても、アラームは生成しないことを示しています。特定のシグニチャのすべてのアラームをフィルタ処理するということは、そのシグニチャをディセーブルにするということではありません。シグニチャを無効にすると、そのシグニチャのデータ ストリームは分析されません。


) IDS MC の Sensor のフィルタ、および Security Monitor のイベント ルールの一部であるイベント フィルタは異なります。


フィルタを定義するには、シグニチャ、発信元アドレス、宛先アドレスを指定し、包含フィルタであるか排他フィルタであるかを指定します。発信元アドレスなど、フィルタの一部を包含フィルタか排他フィルタとして定義できません。フィルタ全体を包含フィルタか排他フィルタとして定義する必要があります。また、複数のフィルタを定義した場合、IDS MC は、定義順序によってそのフィルタを適用します。

フィルタの動作方法の例を挙げると、フィルタの定義方法を理解しやすくなります。この例では、ネットワーク 10.10.10.0/24 から発生する、すべてのアラームを除外します。多くの false positive を生成するアプリケーションが、このネットワークで使用されているためです。しかし、重要なシグニチャが 2 つあるため、これらは除外しません。その 2 つとは、994(トラフィック フロー開始)と 995(トラフィック フロー停止)です。

1. 排他フィルタの定義から始めます。多くの false positive を生成するネットワーク 10.10.10.0 に発信元アドレスを指定します。アラームが Security Monitor に送信されないように、すべてのシグニチャを指定してください。

2. 包含フィルタを定義します。同じ発信元アドレス(ネットワーク 10.10.10.0)を指定します。その重要性から含める必要がある Signature 994 と 995 を指定してください。

この 2 つのフィルタをこの順序で使用すると、false positive である多くのアラームを除外できます。しかし、一部のシグニチャ(994 と 995)は、フィルタを通過します。これが可能であるのは、排他フィルタを先に、包含フィルタを次に定義したためです。包含フィルタを先に定義すると、排他フィルタにより、ネットワーク 10.10.10.0 からのすべてのアラームが除外されます。これは、フィルタが順番に評価されるためです。

この手順は、この例で説明したように Sensor のフィルタを定義します。この例では、GroupW の Device11 がネットワークに追加されているものとします。この例の Device11 は、4.x アプライアンス Sensor です。

この例で説明した Sensor のフィルタを定義するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 この例でフィルタを定義する Sensor Device11 を Object Selector で選択します。Device11 は 4.x Sensor です。

Object Selector が閉じます。

ステップ 4 TOC で、 Filters を選択します。

Filters ページが表示されます。このページを表示すると、選択した Sensor である Device11 にはフィルタが定義されていないことが分かります。

 

ステップ 5 この例で排他フィルタの定義を開始するには、 Add をクリックします。

Enter Filter ページが表示されます。

ステップ 6 フィルタ名を入力します。ここでは「First Filter--Exclusive」と入力します。

ステップ 7 アクション Exclude を選択します。

Enter Filter ページは、次のように表示されます。

 

ステップ 8 Signatures リンクをクリックします。

Enter Signatures ページが表示されます。

ステップ 9 Enter Signatures ページで、Available Signatures フィールドから Selected Signatures フィールドに All Signatures を追加します。

Enter Signatures ページは、次のように表示されます。

 

ステップ 10 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 11 Source Addresses リンクをクリックします。

Filter Source Addresses ページが表示されます。

ステップ 12 Add をクリックします。

Enter Filter Address ページが表示されます。

ステップ 13 Network に対応するオプションボタンを選択し、この例で使用するネットワーク アドレス 10.10.10.0、およびネットワーク マスク 255.255.255.0 を入力します。 Enter Filter Address ページは、次のように表示されます。

 

ステップ 14 OK をクリックします。

ステップ 15 ネットワーク 10.10.10.0 とサブネット マスク 255.255.255.0 が追加された Filter Source Addresses ページが表示されます。

ステップ 16 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 17 Destination Addresses リンクをクリックします。

Filter Destination Addresses ページが表示されます。

ステップ 18 Add をクリックします。

Enter Filter Address ページが表示されます。

ステップ 19 Any のアドレスに対応するオプションボタンを選択して、 OK をクリックします。

Any が追加された Filter Destination Addresses ページが表示されます。

ステップ 20 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 21 OK をクリックします。

Filters ページは、次のように表示されます。これで、この例の最初のフィルタ定義が終わりました。

 

ステップ 22 この例の包含フィルタの定義を始めるには、 Add をクリックします。

ステップ 23 アクションが Include の、「Second Filter--Inclusive」という名前のフィルタを追加します。

ステップ 24 Signature 994 と Signature 995 を追加し、この例を続けます。

ステップ 25 最初のフィルタで使用したものと同じ発信元アドレスと宛先アドレスを追加し、Filters ページを再び表示します。Filters ページは、次のように表示されます。

 

First Filter--Exclusive という名前のフィルタが最初に適用されます。このフィルタにより、ネットワーク 10.10.10.0 からのすべてのアラームが除外されます。次に Second Filter--Inclusive という名前のフィルタが適用されます。Signature 994 または 995 から発生した場合は、Network 10.10.10.0 からのアラームを受け取ることができます。Signature 994 と 995 はディセーブルになりません。


 

IOS IPS デバイスのフィルタの定義

IOS IPS デバイスのフィルタの定義は、Sensor のフィルタの定義と同様に行います。Sensor に関しては、IOS IPS デバイスのフィルタを使用すると、IOS IPS デバイスによって報告される false positive の数を減らすことができるため、IOS IPS デバイスを調整する手法を検討します。

IOS IPS は、ACL を適用することで特定のシグニチャのフィルタを定義します。IDS MC は、フィルタを一連のシグニチャに適用できます。


) このページで ACL を入力しても、ACL の名前または番号が特定されるだけです。ACL は作成されません。ACL を作成するには、設定している IOS IPS デバイスでコマンドラインを使用します。ACL の名前または番号を入力してコンフィギュレーションを展開しても、対応する ACL がルータに存在しない場合、このコマンドは無効です。


IOS IPS デバイス用のフィルタを定義するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、フィルタを定義する IOS IPS デバイスを選択します。IOS IPS フィルタの定義は、グループにではなく、IOS IPS デバイスに対してだけ行うことができます。

Object Selector が閉じます。

ステップ 4 TOC で、 IOS IPS Filters を選択します。

IOS IPS Filters ページが表示されます。

ステップ 5 IOS IPS Filters ページで、IOS IPS フィルタの追加、編集、削除などを行うことができます。


 

Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定

このリアセンブリ設定を定義する目的は、Sensor が一部のフレーム転送に失敗したか、攻撃により断片化データグラムがランダムに生成されているかのどちらかの理由により、完全には再構築できないデータグラムに Sensor がすべてのリソースを割り当てないようにすることです。

これらの設定では、アクティブではなくなったセッションに、貴重なシステム リソースが確保されないようにします。これらの設定は、シグニチャなどの個別の設定ではなく、Sensor にグローバルに適用されます。

IP フラグメント リアセンブリ オプションおよび TCP セッション リアセンブリ オプションを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、リアセンブリ オプションを指定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Reassembly Options を選択します。

Reassembly Options ページが表示されます。

IDSM または 4.x Sensor アプライアンスを設定する場合は、TCP 完全リアセンブリ オプションを使用できます。3.x Sensor アプライアンスには、このオプションがありません。

Sensor アプライアンス(3.x または 4.x)を設定する場合は、Maximum Total Fragments を指定するオプションを使用できます。IDS モジュールには、このオプションがありません。

ステップ 5 4.x Sensor アプライアンスを設定する場合は、IP Reassemble Mode リストボックスでオペレーティング システムを指定します。

ステップ 6 Sensor による IP データグラムのリアセンブリを指定するには、IP Fragment Reassembly の Reassemble Fragments チェックボックスをオンにします。フラグメントのリアセンブリは、デフォルトですべての Sensor によって、アプライアンスおよびモジュールの両方で行われます。

ステップ 7 Sensor が一度に再構築できる不完全データグラムの最大数を指定するには、
Maximum Partial Datagrams フィールドにその値を入力します。Maximum Partial Datagrams は、4.x Sensor アプライアンスでは使用できません。

ステップ 8 1 つのデータグラムに受け入れるフラグメントの最大数を指定するには、Maximum Fragments Per Datagram フィールドにその値を入力します。Maximum Fragments Per Datagram は、4.x Sensor では使用できません。

ステップ 9 フラグメントの最大総数を指定するには、Maximum Total Fragments フィールドにその値を入力します。Maximum Total Fragments は、Sensor アプライアンスで使用できますが、IDS モジュールでは使用できません。

ステップ 10 Sensor が、データグラムのリアセンブリを試行するための特定のやり取りの追跡を停止するまでの最大秒数を指定するには、Fragmented Datagram Timeout フィールドにその値を入力します。

ステップ 11 3 方向ハンドシェイクが完了したセッションのみを、Sensor が追跡するように指定するには、 TCP Three Way Handshake チェックボックスをオンにします。

ステップ 12 Sensor が TCP セッション全体をリアセンブリする場合、Sensor の要件を厳重にする程度を指定するには、TCP Strict Reassembly リストボックスからそのタイプを選択します。TCP Strict Reassembly は、IDS モジュールで使用できますが、Sensor アプライアンスでは使用できません。

ステップ 13 完全に確立した TCP セッションに割り当てられているリソースを、Sensor が解放する前に経過する秒数を指定するには、TCP Open Establish Timeout フィールドにその値を入力します。

ステップ 14 開始されていても、完全に確立されていない TCP セッションにアロケートされたリソースをSensorが解放するまでの時間を秒数で指定するには、TCP Embryonic Timeout フィールドにその値を入力します。

ステップ 15 変更内容を受け入れて Reassembly Options ページを閉じるには、 Apply をクリックします。


 

IOS IPS デバイスのリアセンブリ オプションの指定

Sensor に関しては、IOS IPS デバイス用のリアセンブリ設定を定義する目的は、IOS IPS デバイスが一部のフレーム転送に失敗したか、攻撃により断片化データグラムがランダムに生成されているかのどちらかの理由により、完全には再構築できないデータグラムに IOS IPS デバイスがすべてのリソースを割り当てないようにすることです。

これらの設定では、アクティブではなくなったセッションに、貴重なシステム リソースが確保されないようにします。これらの設定は、シグニチャなどの個別の設定ではなく、IOS IPS デバイスにグローバルに適用されます。

IOS IPS デバイスの場合、リアセンブリはデバイス全体にではなく、特定のインターフェイスに指定されます。

IOS IPS デバイスのリアセンブリ オプションを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、リアセンブリ オプションを指定する IOS IPS デバイスを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 IOS IPS Reassembly を選択します。

IOS IPS Reassembly Options ページが表示されます。

ステップ 5 Query Interface をクリックして、IOS IPS デバイスから現在のリアセンブリ情報を取得します。

ステップ 6 Edit をクリックして、IOS IPS デバイスに保存されている現在のリアセンブリ情報を編集します。


 

Sensor 設定の調整

Sensor の設定後には、調整して最適なパフォーマンスをネットワークで達成し、特に false positive と false negative を最低限に抑える必要があります。


) Sensor の設定の調整と各シグニチャのパラメータの調整は異なります。


詳細については、 第7章「Sensor コンフィギュレーションの調整」 を参照してください。

コンフィギュレーション ファイル設定のコピー

ある Sensor か Sensor グループから別の Sensor か Sensor グループに、コンフィギュレーション ファイル設定をコピーできます。

コンフィギュレーション ファイル設定をコピーするには、次の手順を実行します。


ステップ 1 Configuration > Copy を選択します。

Copy Wizard の第 1 ページが表示されます。

ステップ 2 Copy Wizard を開始します。Copy Wizard では、次の 3 ステップで、コンフィギュレーション ファイル設定をコピーします。

a. Source Object を選択します。

 

b. Target Object(s) を選択します。

 

c. Setting(s) を選択します。

 


 

保留コンフィギュレーション ファイル設定の再検討

データベースにコミットする前に、保留コンフィギュレーション ファイル設定を再検討できます。必要な場合は、設定を削除することもできます。

保留コンフィギュレーション ファイル設定を再検討するには、次の手順を実行します。


ステップ 1 Configuration > Pending を選択します。

Pending ページが表示されます。

 

ステップ 2 Sensor に関連するチェックボックスをオンにします。

ステップ 3 コンフギュレーションを保存するには、 Save をクリックします。削除するには、 Delete をクリックします。

Pending configuration ページが表示されますが、保存か削除を行った保留コンフィギュレーションは表示されません。


 

保留コンフギュレーション設定のロック解除

コンフィギュレーション設定を保留しているユーザは、その設定をロックしています。その他のユーザは、この設定をデータベースにコミットしたり、削除したりできません。あるユーザがコンフィギュレーション設定を保留しており、そのユーザのアカウントが削除された場合は、次の手順を実行し、保留設定の所有権を取得できます。この手順は、設定の「所有権取得」または「ロック解除」とみなすことができるので、「ロック取得」手順とも呼ばれます。

この手順では、doc-intern のアカウントが削除されたが、doc-intern-sensor という Sensor のコンフィギュレーションが保留されている状況について説明します。

この例では、「admin」としてログインし、保留コンフィギュレーションの所有権を取得して、保存または削除ができるようにします。

この例の保留コンフィギュレーションをロック解除するには、次の手順を実行します。


ステップ 1 Admin > System Configuration を選択します。

ステップ 2 TOC で、 View Current Locks を選択します。

View Current Locks ページが表示されます。 doc-intern-sensor という保留コンフィギュレーションの所有者が、 doc-intern になっています。

 

ステップ 3 この例では、「admin」としてログインしていることに注意してください。 Take Lock をクリックします。

View Current Locks ページが再び表示されます。 admin としてログインしたユーザが、保留コンフィギュレーションの所有者になりました。

 


 

履歴コンフィギュレーション ファイル設定の再検討

Sensor の履歴コンフィギュレーション ファイル設定を再検討できます。

履歴コンフィギュレーション ファイル設定を再検討するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、履歴コンフィギュレーション ファイル設定を再検討する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 Configuration > History を選択します。

History ページが表示され、Object Selector で選択した Sensor が Object バーに表示されます。

 

ステップ 5 コンフィギュレーション ファイルを表示するには、対応するチェックボックスをオンにし、 View をクリックします。

ステップ 6 コンフィギュレーション ファイルを削除するには、対応するチェックボックスをオンにし、 Delete をクリックします。


 

IDS Sensor ソフトウェア バージョンとシグニチャ リリース レベルのアップデート

シスコシステムズでは、IDS Sensor(Sensor アプライアンスと IDS モジュールの両方)の Sensor ソフトウェア バージョンとシグニチャ リリース レベルのアップデートを定期的にリリースしています。次の 2 つの手順を実行できます。

この項では、次のトピックについて取り上げます。

「IDS Sensor ソフトウェアを 3.x から 4.x にアップデート」

「その他の IDS Sensor ソフトウェアを 3.x から 4.x にアップデート」

IDS Sensor ソフトウェアを 3.x から 4.x にアップデート

Sensor ソフトウェア 3.x から Sensor ソフトウェア 4.x に Sensor をアップデートするには、Sensor に物理的にアクセスし、イメージを再作成できるようにする必要があります。


) 次の手順は、IDS MC のバージョン 1.1 以降に適用されます。


Sensor ソフトウェアを 3.x から 4.x にアップデートするには、次の手順を実行します。


ステップ 1 Sensor に物理的にアクセスし、Sensor ソフトウェア 4.x にイメージを再作成します。Cisco CD を使用してイメージを再作成してください。ソフトウェアのダウンロードはできません。


) 一部の Sensor では、3.x から 4.x にイメージを再作成できません。特に NRS プラットフォーム(古い Netranger Sensor )では、3.x から 4.x にイメージを再作成できません。


Configuration > Updates を選択します。

ステップ 2 TOC から、 Update Sensor Version を選択します。

Update Sensor Version ページが表示されます。

ステップ 3 3.x バージョンから 4.x バージョンにアップデートする Sensor を選択します。

ステップ 4 Update をクリックします。

Update Status ページが表示されます。


 

その他の IDS Sensor ソフトウェアを 3.x から 4.x にアップデート

シスコシステムズでは、IDS Sensor(Sensor アプライアンスと IDS モジュールの両方)の Sensor ソフトウェア バージョンとシグニチャ リリース レベルのアップデートを定期的にリリースしています。展開した Sensor の Sensor ソフトウェア バージョンとシグニチャ リリース レベルをチェックし、定期的にアップデートを実行してください。IDS MC および Security Monitor がインストール済みのサーバでも、これを実行してください。


) この手順は、IDS MC のバージョン 1.1 以降、および Security Monitor のバージョン 1.1 以降に適用されます。IDS MC を使用している場合は、この手順を実行し、選択したサーバと Sensor をアップデートできます。Security Monitor を使用している場合は、この手順を実行して、Security Monitor サーバをアップデートできますが、Sensor はアップデートできません。Security Monitor からは Sensor をアップデートできません。



) すべてのアップデート ファイルが利用可能になり次第、順序通りに例外なくダウンロードすることを強くお勧めします。最新アップデート ファイルについて電子メールで通知を受けるには、Cisco IDS Active Update Notification に登録します。登録のフォームは、http://www.cisco.com/offer/newsletter/123668_4/ で入手できます。



) Sensor を IDS MC で管理する場合は、各 Sensor の直接セッションで、Sensor ソフトウェア バージョンとシグニチャ リリース レベルをアップデートしないことを強くお勧めします。代わりにこの手順を実行し、IDS MC でアップデートを実行してください。IDS MC 以外から Sensor の設定を変更したり、Sensor をアップデートしたりした場合は、設定からその Sensor を削除してから設定に追加します。



) IDS MC でアップデートを実行する代わりに、それぞれの Sensor の直接セッションで Sensor ソフトウェアをアップデートすると、その Sensor の SSH フィンガープリントが拒否されます。それぞれの Sensor のセッションに IDS MC が関連しないためです。



ヒント IDS Sensor ソフトウェアのアップデートに問題が発生している場合は、IDS Sensor の時刻をチェックします。関連付けられている証明書の時刻より Sensor の時刻の方が進んでいる場合、証明書が拒否され、Sensor ソフトウェアのアップデートが失敗する可能性があります。



ヒント IDS MC または Security Monitor へのデバイスの追加に関して問題がある場合は、次の情報で解決できる可能性があります。デバイスだけでなく、サーバ用の Sensor ソフトウェアのバージョンとシグニチャのリリース レベルが適切にアップデートされていることを確認します。その理由は、特定の Sensor が最新でもサーバが最新でない場合、デバイスを追加できないからです。


この手順を効果的に実行するには、Sensor ソフトウェア バージョンとシグニチャ リリース レベルの番号付けシステムについて理解する必要があります。次の例を参考にしてください。

3.1(2)S23 :Sensor アプライアンスが、Sensor ソフトウェア バージョン 3.1、サービス パック 2、シグニチャ リリース レベル 23 で動作しています。

3.0(5)S20-IDSM :IDS モジュールが、Sensor ソフトウェア バージョン 3.0、サービス パック 5、シグニチャ リリース レベル 20 で動作しています。

アップデート ファイルについても理解する必要があります。

シスコでは、圧縮したアップデート ファイル(.zip)という形式で、IDS Sensor の Sensor ソフトウェア バージョンとシグニチャ リリース レベルのアップデートを定期的にリリースしています。IDS MC は、この圧縮ファイルで直接動作します。圧縮ファイルを解凍する必要はありません。

アップデート ファイルには、次の 2 種類があります。

サービス パック アップデート ファイル :サービス パック アップデート ファイルは、名前で識別できます。バージョン番号の最初に「sp」が付いています。このアップデート ファイルを適用すると、Sensor のバージョン番号が変更されます。サービス パック アップデート ファイルには、実行可能コードが含まれており、Sensor の実際のマイクロエンジン ソフトウェアに影響します。また、シグニチャのアップデートも含まれます。

シグニチャ アップデート ファイル :シグニチャ アップデート ファイル名には、バージョン番号の前に「sig」が付きます。シグニチャ アップデート ファイルには、新しくリリースされたシグニチャが含まれ、実行可能コードは含まれません。

アップデート ファイルの名前を調べると、デバイス タイプ(Sensor アプライアンスか IDSM)、アップデートの種類(サービス パックかシグニチャ)、バージョン番号、シグニチャ リリース レベルを識別できます。次の例を参考にしてください。

IDSk9-sp-3.1-2-S23.zip 。このファイルには、次のような特徴があります。

IDSk9 :Sensor アプライアンスです。

sp :サービス パック アップデートが含まれます。サービス パック アップデートには、シグニチャのアップデートが組み込まれています。

3.1 :Sensor ソフトウェア バージョン 3.1 です。

2 :サービス パック 2 を適用します。

S23 :シグニチャ リリース レベル 23 が組み込まれています。

zip :圧縮されていますが、解凍する必要はありません。

IDSM-sig-3.0-5-S20.zip 。このファイルには、次のような特徴があります。

IDSM :このアップデート ファイルは、IDS モジュールに適用されます。

sig :シグニチャのアップデートのみが含まれます。

3.0 :Sensor ソフトウェア バージョン 3.0 です。

5 :サービス パック 5 を適用します。

S20 :シグニチャ リリース レベル 20 が組み込まれています。

zip :圧縮ファイルですが、解凍する必要はありません。

2 種類のアップデート ファイルが、別々の方法で適用されます。

サービス パック アップデート ファイルは、個別に段階を追って順番に適用する必要があります。たとえば、 3.1(1)S32 で動作する Sensor アプライアンスを使用しており、 3.1(3)S33 にアップデートする場合は、アップデート ファイル IDSk9-sp-3.1-2-32.zip の次にアップデート ファイル IDSk9-sp-3.1-3-33.zip を適用する必要があります。

サービス パック アップデート ファイルでは、メジャー バージョン番号とマイナー バージョン番号が変化することがあります。たとえば、Sensor の 3.0 バージョンに 3.1 サービス パック アップデートを適用すると、バージョン番号は 3.0 から 3.1 に変化します。

シグニチャ アップデート ファイルは累積型なので、個別に適用する必要はありません。つまり、特定リビジョン レベルには、前のレベルのシグニチャがすべて含まれます。たとえば、 3.1(3)S32 で動作する Sensor アプライアンスを使用しており、 3.1(3)S34 にアップデートする場合は、アップデート ファイル IDSk9-sig-3-1-S34.zip を適用します。

シグニチャ アップデート ファイルは、同じバージョン番号、または同じバージョン番号とサービス パック番号で動作する Sensor のみに適用できます。たとえば、シグニチャ アップデート ファイル
IDSk9-sig-
3.1-3 -34.zip は、バージョン 3.1(3) S32 で動作する Sensor に適用できますが、バージョン 3.1(2) S22、 3.1(4) S34、 3.0(3) S22 で動作する Sensor に適用できません。

シグニチャ アップデート ファイルは、そのファイルのシグニチャ リビジョン レベルでまだ動作していない Sensor のみ適用できます。たとえば、シグニチャ アップデート ファイル IDSk9-sig-3.1-3- 34 .zip は、 3.1(3) S34 で動作している Sensor に適用できません。アップデート ファイルが提供するシグニチャ バージョン レベル( S34 )で、Sensor がすでに動作しているためです。

この手順を実行するには、次のサーバにアクセスできる必要があります。

IDS MC か Sensor をアップデートする場合は、IDS MC サーバにアクセスできる必要があります。

Security Monitor をアップデートする場合は、Security Monitor サーバにアクセスできる必要があります。

IDS MC と Security Monitor を同じサーバにインストールしており、IDS MC、Sensor 、Security Monitor のうちいずれかをアップデートする場合は、そのサーバにアクセスできる必要があります。

Sensor ソフトウェア 3.x から Sensor ソフトウェア 4.x に Sensor をアップデートするには、Sensor に物理的にアクセスし、イメージを再作成できるようにする必要があります。


) Sensor ソフトウェア バージョンとシグニチャ リリース レベルをアップデートした後では、IDS MC を使用して前のバージョンまたはレベルに戻すことはできません。


Sensor ソフトウェア バージョンとシグニチャ リリース レベルをアップデートするには、次の手順を実行します。


ステップ 1 サーバが動作している Sensor ソフトウェア バージョンとシグニチャ リリース レベルを判断します。Security Monitor サーバの場合、この手順は必要ないので、実行しないでください。IDS MC サーバの場合は、手順 a から実行します。

a. IDS MC で、 Devices > Sensor を選択します。

Sensor ページが表示されます。

 

b. Add をクリックします。

Select Group ページが表示されます。

c. 任意のグループを選択し、 Next をクリックします。

Enter Sensor Information ページが表示されます。

 

d. Sensor を追加する場合と同じように、IP アドレス、Sensor 名、ユーザ ID 、パスワードを入力します。しかし、この手順では、Sensor を追加しません。IDS MC サーバが動作している Sensor ソフトウェアとシグニチャ バージョンを判断するだけです。

e. Next をクリックします。

Sensor Information ページが表示されます。

f. Version リストを表示します。

スクローリング リストが表示されます。このリストには、IDS MC サーバが動作している Sensor ソフトウェアとシグニチャのバージョンがすべて表示されます。

 

g. Cancel をクリックします(この手順を実行する目的は、IDS MC サーバが動作している Sensor ソフトウェアとシグニチャのバージョンを判断することです。Sensor を追加するプロセスを実行することではありません)。

ステップ 2 Sensor が使用している Sensor ソフトウェア バージョンとシグニチャ リリース レベルを判断します。Security Monitor サーバの場合は、Security Monitor で Sensor をアップデートできないため、この手順を実行しないでください。IDS MC サーバの場合は、手順 a から実行します。

a. IDS MC で、 Configuration > Settings を選択します。

b. Object Selector ハンドルをクリックします。

c. Sensor ソフトウェアとシグニチャ バージョンを判断する Sensor を、Object Selector から選択します。

Object Selector が閉じます。

d. TOC から、 Identification を選択します。

Identification ページが表示され、Object Selector から選択した Sensor が Object バーに表示されます。Sensor の Sensor ソフトウェアとバージョンが、Version フィールドに表示されます。この例では、バージョンが 3.0(1)S4 になっています。

 

ステップ 3 Cisco Systems Software Center(ダウンロード)をチェックし、アップデート ファイルが使用できるかどうかを確認します。アップデート ファイルについては、この手順の導入部で詳しく説明しています。それぞれのアップデート ファイルには、詳細についてさらに説明する readme ファイルが関連しています。

a. Cisco.com に登録済みであり、Cisco Secure IDS Strong Crypto ソフトウェアの権限がある場合は、 http://www.cisco.com/cgi-bin/tablebuild.pl/mgmt-ctr-ids に移動し、この手順の手順 d に進みます。その他の場合は、手順 b に進みます。

b. http://www.cisco.com で Cisco.com に登録し、ログインします。

c. http://www.cisco.com/kobayashi/sw-center/sw-cw2000.shtml に移動し、 VPN/Security Management Solution のリンクをたどります。次に IDS MC に移動し、最後に IDS MC Application Files に移動します

(ナビゲーション パスは、www.cisco.com > [log in] > Technical Support > Downloads > CiscoWorks Software > VPN/Security Management Solution > Management Center for IDS Sensors > IDS MC Application Files です)。


ヒント IDS MC と Security Monitor の両方で、このダウンロード場所を使用します。

d. アップデート ファイルの名前をクリックしてダウンロードします。

Cisco Secure IDS Strong Crypto Software をダウンロードする権限がまだない場合は、申込書を提出するように要求されます。承認プロセスには、通常は数時間かかります。

Software Download ページが表示されます。

ステップ 4 サーバの ~CSCOpx/mdc/etc/ids/updates にアップデート ファイルをダウンロードします。


) アップデート ファイルの名前を変更しないでください。アップデート ファイルの解凍もしないでください。


ステップ 5 次のうちいずれかを選択します。

IDS MC サーバのみアップデートするには、この手順のステップ 6 に進みます。

Security Monitor サーバのみをアップデートするには、ステップ 17 に進みます。


ヒント IDS MC と Security Monitor を同一サーバにインストールした場合は、IDS MC サーバをアップデートすると、Security Monitor サーバもアップデートされます。

その他の Sensor を 3.x から 4.x にアップデートするには、ステップ 6 に進みます。

IDS MC サーバおよびその他の Sensor を 3.x から 4.x にアップデートするには、ステップ 6 に進みます。

ステップ 6 IDS MC で、 Configuration > Updates を選択します。

ステップ 7 TOC から、 Update Network IDS Signatures > Submit を選択します。

IDS MC をインストールしたサーバの ~CSCOpx/mdc/etc/ids/updates にダウンロードした、すべてのアップデート ファイルを含む Update Network IDS Signatures ページが表示されます。


) IDS MC 2.0 および Security Monitor 2.0 以降、TOC で Update Network IDS Signatures > Pending を選択し、保留シグニチャのアップデートを編集または削除します。


 

ステップ 8 この例では、次の図のように、1 つの IDS モジュールが IDS MC インストールに含まれるとします。

 

この例のアップデート ファイル IDSk9-sp-3.1-3-S31.zip を Update File リストから選択し、 Apply をクリックします。

Update Summary ページが表示されます。アップデート ファイルが IDS MC に適用されることが表示されます。アップデート ファイルは IDS MC インストール内の任意のデバイスに適用されていないためです(アップデート ファイルは、 IDSk9 で始まるファイルです。したがって、これは IDS モジュールではなく、Sensor アプライアンスに適用されます。IDS MC インストールには、Sensor アプライアンスはありません)。

 

これを実行する場合は、ステップ 14 に進みます。

ステップ 9 この例を続けるため、次のように、IDS MC インストールに Sensor アプライアンスを追加したとします。

 

同じアップデート ファイル IDSk9-sp-3.1-3-S31.zip を選択し、 Apply をクリックします。

Select Sensors to Update ページが表示されます。Select Sensors to Update ページには、選択したアップデート ファイルを使用してアップデートできる、すべての Sensor(すべてのグループの)が表示されます。サーバは、Sensor との通信を確立している、と仮定されます。しかし、規定されているアップデート パスをたどるデバイスのみを選択する必要があります。この例では、アップデート ファイルが 1 つのみのデバイスに適用され、IDS MC 1.0 が使用されているので、Select Sensors to Update ページには、スクロールしないテーブルが表示されます。IDS MC 1.1 が使用されている場合、または複数の Sensor をアップデートする場合、このスクロールしないテーブルは表示されません。

 

その Sensor を選択せずに Cancel をクリックし、ステップ 10 からこの例を続けます。

ステップ 10 次のように、3 つの Sensor を IDS MC インストールに追加したとします。

 

同じアップデート ファイル IDSk9-sp-3.1-3-S31.zip を選択し、 Apply をクリックします。

Select Sensors to Update ページが、スクロール テーブルとして表示されます。Select Sensors to Update ページのスクロール形式とスクロールしない形式の間に、機能的な違いはありません。IDS MC 1.1 では、このテーブルのスクロール形式のみが使用されます。

 

この手順の導入部で説明したように、サービス パック アップデート ファイルは、個別に段階を追って順番に適用する必要があります。シグニチャ アップデート ファイルは累積型です。これは、表示されているすべての Sensor に、アップデート ファイルを適用できるということです。

ステップ 11 たとえば、 sensor20 を選択し、 Next をクリックします。

Enter Root Password ページが表示されます。この例では、Sensor を 1 つだけアップデートし、IDS MC 1.0 が使用されているので、Enter Root Password ページは、スクロールしないテーブルとして表示されます。IDS MC 1.1 が使用されている場合、または複数の Sensor をアップデートする場合、このスクロールしないテーブルは表示されません。

 


) アップデート ファイルが、Sensor アプライアンス アップデート ファイルではなく、IDSM アップデート ファイルである場合、Enter Root Password ページは表示されません。


IDS MC 1.0 を使用しており、 sensor20 sensor30 など、複数の Sensor のアップデートを選択した場合、Enter Root Password ページはスクロール テーブルとして表示されます。Enter Root Password ページの 2 つの形式に、機能的な違いはありません。

 

IDS MC 1.1 では、このテーブルの別の形式が使用されます。

 

ステップ 12 Sensor ごとに、有効なルート パスワードを入力します。IDS MC 1.1 以降では、パスワードを 2 回入力して確認します。


) IDS MC 1.0 を使用している場合は、最後のルート パスワードを入力した後で、Root Password フィールドの外部をクリックします。入力が完了したことを認識させるため、これを実行します。IDS MC 1.1 以降では、Root Password フィールドの外部をクリックする必要はありません。IDS MC 1.0 では、スクロール テーブル形式の Enter Root Password ページにルート パスワードを入力すると、パスワードはクリア テキストで表示されます(マスクされません)。ルート パスワードの入力中に、パスワードを盗まれないように注意してください。IDSMC 1.1 では、パスワードがマスクされます。



ヒント IDSM ではなく、Sensor アプライアンスを使用している場合は、IDS MC によってルート パスワードが保存されることを指定できます。これを実行するには、Configuration > Settings を選択し、表示される TOC から Identification を選択します。そのページで、そのルート パスワードが保存されることを指定できます。

Next をクリックします。

ステップ 13 Update Summary ページが表示されます。このページでは、適用されるアップデートについて説明されます。この例では、 sensor20 sensor30 にアップデートが適用されます。

 

ステップ 14 Finish をクリックします。

選択した Sensor(存在する場合)は、ステップ 8 かステップ 9 で選択したアップデート ファイルでアップデートされます。IDS MC をインストールしたサーバもアップデートされます。IDS MC をインストールしたサーバに Security Monitor をインストールした場合、この手順により、Security Monitor に適用されるサーバ オペレーションもアップデートされます。具体的には、新しいシグニチャの名前、および NSDB 参照が Security Monitor に提供されます。Security Monitor では、Sensor をアップデートできません。アップデートのプロセスには、数分かかりますが、ネットワークの規模と複雑性、およびトラフィックの状況により異なります。しかし、アップデートのプロセスは、別のスレッドで実行されるため、Update Network IDS Signatures ページは、ただちに再表示されます。

 

ステップ 15 次のようにレポートを生成し、アップデートが正常に実行されたことを確認します。アップデートのプロセスには、数分かかりますが、ネットワークの規模と複雑性、およびトラフィックの状況により異なります。

a. Reports > Definitions を選択して、 Audit Log Report チェックボックスをオンにします。

b. 監査ログ レポートを生成するには、 Select を選択します。監査ログ レポートを使用し、Software Center からダウンロードしたアップデート ファイルで、Sensor とサーバが正常にアップデートされたことを確認します。

ステップ 16 インストールの Sensor のテーブルを表示し、アップデートが正常に実行されたことを確認します。アップデートのプロセスには、数分かかりますが、ネットワークの規模と複雑性、およびトラフィックの状況により異なります。Sensor のグループごとに、 Devices > Sensor を選択します。

Sensor ページが表示されます。アップデート ファイル IDSk9-sp-3.1-3-S31.zip が適用され、 sensor20 sensor30 が、バージョン 3.1(3)S31 に正常にアップデートされたことに注意してください。

 

ステップ 10 に戻り、 sensor40 sensor50 をアップデートしてください。ステップ 17 ~ 21 は省略します。


) すべてのアップデート ファイルが利用可能になり次第、順序通りに例外なくダウンロードすることを強くお勧めします。


ステップ 17 Security Monitor サーバのみをアップデートするには、ステップ 17 ~ 20 を実行します。

Security Monitor で Admin > System Configuration を選択します。

ステップ 18 TOC から、 Update Network IDS Signatures を選択します。

Security Monitor をインストールしたサーバの ~CSCOpx/mdc/etc/ids/updates にダウンロードした、すべてのアップデート ファイル(存在する場合)を含む Update Network IDS Signatures ページが表示されます。

 

ステップ 19 この例のアップデート ファイル IDSk9-sp-3.1-3-S31.zip を Update File リストから選択し、 Apply をクリックします。

Update Summary ページが表示されます。アップデート ファイルが Security Monitor に適用されることが表示されます。

 

ステップ 20 Continue をクリックします。

Security Monitor をインストールしたサーバがアップデートされます。アップデートのプロセスは、別のスレッドで実行されるため、Update Network IDS Signatures ページは、ただちに再表示されます。

 

ステップ 21 (このステップは、Security Monitor ではなく、IDS MC に適用)次のようにレポートを生成し、アップデートが正常に実行されたことを確認します。

a. Reports > Definitions を選択し、 Audit Log Report チェックボックスをオンにします。

b. 監査ログ レポートを生成するには、 Select を選択します。監査ログ レポートを使用し、Software Center からダウンロードしたアップデート ファイルで、Sensor とサーバが正常にアップデートされたことを確認します。


 

シグニチャのバージョンの比較

IDS MC のバージョン 2.0 以降、2 つの異なるデバイス上にあるシグニチャのバージョンを比較できます。

シグニチャのバージョンを比較するには、次の手順を実行します。


ステップ 1 Configuration > Updates を選択します。

ステップ 2 TOC で、 Compare Signature Versions を選択します。

Compare Signature Version ページが表示されます。

ステップ 3 比較する 2 つのシグニチャのバージョンを選択します。

ステップ 4 4.x のみ、または 4.x と IOS IPS の両方など、比較するデバイスを選択します。

ステップ 5 Show Difference をクリックします。

Results ページが表示されます。Signature ID カラムは、NSDB のハイパーリンクになっています。


 

Configuration Comparison Tool について

Configuration Comparison Tool は、Config Diff Tool とも呼ばれていますが、IDS MC 2.0 の新機能です。このツールを使用すると、4 種類のコンフィギュレーションを比較することができます。

データベースの現在のコンフィギュレーションと生成したコンフィギュレーション ファイルの間

生成された 2 つのコンフィギュレーション ファイルの間

任意のコンフィギュレーション ファイルと工場出荷時のデフォルト設定の間

任意のコンフィギュレーション ファイルと特定のデバイス上で動作しているコンフィギュレーションの間


) Configuration Comparison Tool は、IDS ソフトウェアの異なるメジャー バージョン(たとえば IDSM 3.x と IDS 4.x)が動作する Sensor 間のコンフィギュレーションの比較はできません。


このツールを使用するには、 Configuration > Compare を選択します。