Management Center for IDS Sensors 2.0 ユーザ ガイド
Sensor コンフィギュレーショ ンの調整
Sensor コンフィギュレーションの調整
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Sensor コンフィギュレーションの調整

Sensor コンフィギュレーションの調整に対するタスク リスト

Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定

Sensor に適用される特定のシグニチャが使用する追加ポートの識別

Sensor のフィルタの定義

ブロックされないネットワークとホストの指定

Sensor コンフィギュレーションの調整

Sensor の設定後は、調整して最適なパフォーマンスをネットワークで達成し、特に false positive と false negative を最低限に抑える必要があります。


) Sensor コンフィギュレーションの調整とシグニチャ パラメータの調整は異なります。


正当なネットワーク アクティビティの中には、ウィルス スキャンなどのように、ネットワーク上で攻撃を行っているように見えるものもあります。正当なネットワーク アクティビティが攻撃として報告された場合、その報告は false positive と呼ばれます。より一般的には、false positive は、攻撃が発生する前に攻撃を識別する基準を満たしているために、正当で予定されているネットワーク アクティビティのインスタンスを攻撃と解釈することと定義できます。Sensor コンフィギュレーションを調整することで、false positives の数を減らすことができます。

Sensor コンフィギュレーションを調整することで、その他の問題も解決される場合があります。Sensor コンフィギュレーションを調整することで、 false negatives の数を減らすことができます。 false negative は、検出されていない攻撃として定義できます。

次の 4 つの一般的な方法を使用して、Sensor コンフィギュレーションを調整できます。

IP フラグメントおよび TCP セッションの「リアセンブリ設定」の指定

ポート マッピング(つまり、追加ポートの識別)

「ブロッキング」を免除される必要があるホストとネットワークの識別

重大度と発信元に従った警告の「フィルタリング」

Management Center for IDS Sensors(IDS MC)で Configure > Settings を選択すると、TOC に Reassembly Options、Port Mapping、Never Block Addresses、および Filtering が表示されます。

 

IP フラグメントと TCP セッションに対するリアセンブリ オプションを指定することで、Sensor コンフィギュレーションを調整できます。リアセンブリ オプションを指定すると、Sensor がデータグラムまたはセッションを再構築できないことが原因で発生する false negatives を防ぎます。

IDS MC がサポートする IDSM デバイスを使用する場合、Sensor シグニチャによって考慮する必要がある追加ポートを識別できます。このプロセスは、ポート マッピングと呼ばれます。これらの追加ポートの例は、カスタム TCP サービスによって使用されるものや、ほかのポートに再割り当てした well-known サービスによって使用されています。Sensor シグニチャの中には、特定のポート番号基づいているものもあるため、追加ポートの識別は重要です。

ブロッキングを免除される必要があるホストとネットワークを識別することで、Sensor コンフィギュレーションを調整できます。

たとえば、Sensor コンフィギュレーションには、特定の攻撃が検出された際に、攻撃の発信元をブロックする命令が含まれています。また、通常の予定の動作が攻撃のように見える、信頼できるネットワーク デバイスが存在することがあります(この状況は、false positive になります)。この場合、特定の認識された攻撃の発信元が信頼できるネットワーク デバイスであれば、Sensor コンフィギュレーションを調整して無視できます。このように、信頼できるネットワーク デバイスでのアラームの生成を避け、信頼できるネットワーク デバイスはブロックされないことから、false positives は避けることができます。特定の攻撃が別の発信元からのトラフィックで検出された場合でも、アラームを受信します。また、Sensor がトラフィックでほかの信頼できないデバイスからの特定の攻撃を検出する場合、ほかの信頼できないデバイスをブロックできます。

監査イベントをフィルタリングすることで、Sensor コンフィギュレーションを調整できます。監査イベントをフィルタリングして Sensor を調整すると、false positives の数が減ります。報告を受ける最小限のレベルのイベントを設定できます。また、特定のホストとネットワークからのアラームをイネーブルおよびディセーブルにできます。

IDS MC がサポートする IDSM デバイスを使用する場合、Sensor が特定のネットワークおよびホストから発生、または特定のネットワークおよびホストへのトラフィックに基づいた疑わしい動作に対するアラームや監査イベント レコードを生成しないようにするルールを定義できます。Filters ページを使用して、これらのルールを定義できます。

Sensor コンフィギュレーションの調整に対するタスク リスト

Sensor を設定した後、調整する必要があります。次の 4 つの一般的な方法を使用して、Sensor コンフィギュレーションを調整できます。

IP フラグメントおよび TCP セッションの「リアセンブリ オプション」の指定

ポート マッピング(つまり、追加ポートの識別)

「ブロッキング」を免除される必要があるホストとネットワークの識別

重大度と発信元に従った警告の「フィルタリング」

次のいずれかのタスクを実行することで、Sensor コンフィギュレーションを調整できます。特定のタスクを段階的な手順で実行する方法については、該当する項を参照してください。

「Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定」

「Sensor に適用される特定のシグニチャが使用する追加ポートの識別」

「Sensor のフィルタの定義」

「ブロックされないネットワークとホストの指定」

Sensor の IP フラグメントおよび TCP セッションのリアセンブリ設定の指定

このリアセンブリ設定を定義する目的は、Sensor が一部のフレーム転送に失敗したか、攻撃により断片化データグラムがランダムに生成されているかのどちらかの理由により、完全には再構築できないデータグラムに Sensor がすべてのリソースを割り当てないようにすることです。

これらの設定では、アクティブではなくなったセッションに、貴重なシステム リソースが確保されないようにします。これらの設定は、シグニチャなどの個別の設定ではなく、Sensor にグローバルに適用されます。

IP フラグメント リアセンブリ オプションおよび TCP セッション リアセンブリ オプションを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、リアセンブリ オプションを指定する Sensor を選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Reassembly Options を選択します。

Reassembly Options ページが表示されます。

IDSM または 4.x Sensor アプライアンスを設定する場合は、TCP 完全リアセンブリ オプションを使用できます。3.x Sensor アプライアンスには、このオプションがありません。

Sensor アプライアンス(3.x または 4.x)を設定する場合は、Maximum Total Fragments を指定するオプションを使用できます。IDS モジュールには、このオプションがありません。

ステップ 5 4.x Sensor アプライアンスを設定する場合は、IP Reassemble Mode リストボックスでオペレーティング システムを指定します。

ステップ 6 Sensor による IP データグラムのリアセンブリを指定するには、IP Fragment Reassembly の Reassemble Fragments チェックボックスをオンにします。フラグメントのリアセンブリは、デフォルトですべての Sensor によって、アプライアンスおよびモジュールの両方で行われます。

ステップ 7 Sensor が一度に再構築できる不完全データグラムの最大数を指定するには、Maximum Partial Datagrams フィールドにその値を入力します。Maximum Partial Datagrams は、4.x Sensor アプライアンスでは使用できません。

ステップ 8 1 つのデータグラムに受け入れるフラグメントの最大数を指定するには、Maximum Fragments Per Datagram フィールドにその値を入力します。Maximum Fragments Per Datagram は、4.x Sensor では使用できません。

ステップ 9 フラグメントの最大総数を指定するには、Maximum Total Fragments フィールドにその値を入力します。Maximum Total Fragments は、Sensor アプライアンスで使用できますが、IDS モジュールでは使用できません。

ステップ 10 Sensor が、データグラムのリアセンブリを試行するための特定のやり取りの追跡を停止するまでの最大秒数を指定するには、Fragmented Datagram Timeout フィールドにその値を入力します。

ステップ 11 3 方向ハンドシェイクが完了したセッションのみを、Sensor が追跡するように指定するには、 TCP Three Way Handshake チェックボックスをオンにします。

ステップ 12 Sensor が TCP セッション全体をリアセンブリする場合、Sensor の要件を厳重にする程度を指定するには、TCP Strict Reassembly リストボックスからそのタイプを選択します。TCP Strict Reassembly は、IDS モジュールで使用できますが、Sensor アプライアンスでは使用できません。

ステップ 13 完全に確立した TCP セッションに割り当てられているリソースを、Sensor が解放するまでの秒数を指定するには、TCP Open Establish Timeout フィールドにその値を入力します。

ステップ 14 開始されたが完全に確立していない TCP セッションに割り当てられているリソースを、Sensor が解放するまでの秒数を指定するには、TCP Embryonic Timeout フィールドにその値を入力します。

ステップ 15 変更内容を受け入れて Reassembly Options ページを閉じるには、 Apply をクリックします。


 

Sensor に適用される特定のシグニチャが使用する追加ポートの識別

IDS MC がサポートしている IDSM デバイスを使用する場合は、特定のネットワーク サービスの調査用シグニチャが調査対象とする追加ポートを指定できます(ネットワーク サービスによって使用される TCP ポートによって識別)。ポート設定により、内部ネットワークで再割り当てした、well-known ネットワーク サービス ポートをすべて識別できるようになります。内部ネットワークで動作しているカスタム TCP ベース サービスを識別し、このようなネットワーク サービスを標的にした特殊な攻撃を Sensor に調査させることもできます。

ポート マッピングは、3.x IDS モジュール、4.x Sensor アプライアンス、および IDS MC グループのみに適用されます。3.x Sensor アプライアンスには適用されません。

追加ポートや再マップしたポートを識別し、特定のシグニチャによって、より広範囲に評価するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、追加ポートや再マップしたポートを識別するデバイスまたはグループを選択します。

Object Selector が閉じます。

ステップ 4 TOC で、 Port Mapping を選択します。

Port Mapping ページが表示されます。

 

ステップ 5 TCP ベース サービスでハイジャックされたポートを調査するシグニチャが、調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP HIJACK Ports フィールドにそれぞれのポート番号を入力します。

ステップ 6 TCP ベースのフラッド攻撃の調査用シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP SYNFLOOD Ports フィールドにそれぞれのポート番号を入力します。

ステップ 7 Telnet ベース攻撃の調査用攻撃シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP TELNET Ports フィールドにそれぞれのポート番号を入力します。

ステップ 8 HTTP ベース攻撃の調査用攻撃シグニチャが調査対象とする追加ポートを指定するには、エントリをカンマで区切り、TCP HTTP Ports フィールドにそれぞれのポート番号を入力します。

ステップ 9 変更内容を受け入れて Port Mapping ページを閉じるには、 Apply をクリックします。


 

Sensor のフィルタの定義

フィルタを使用すると、Sensor によって報告される false positive の数を減らすことができるため、Sensor を調整する手法を検討します。

アラームのフィルタリングは、Sensor はデータストリームを分析しても、アラームは生成しないことを示しています。特定のシグニチャのすべてのアラームをフィルタ処理するということは、そのシグニチャをディセーブルにするということではありません。シグニチャを無効にすると、そのシグニチャのデータ ストリームは分析されません。


) IDS MC の Sensor のフィルタ、および Monitoring Center for Security(Security Monitor)のイベント ルールの一部であるイベント フィルタは異なります。


フィルタを定義するには、シグニチャ、発信元アドレス、宛先アドレスを指定し、包含フィルタであるか排他フィルタであるかを指定します。発信元アドレスなど、フィルタの一部を包含フィルタか排他フィルタとして定義できません。フィルタ全体を包含フィルタか排他フィルタとして定義する必要があります。また、複数のフィルタを定義した場合、IDS MC は、定義順序によってそのフィルタを適用します。

フィルタの動作方法の例を挙げると、フィルタの定義方法を理解しやすくなります。この例では、ネットワーク 10.10.10.0/24 から発生する、すべてのアラームを除外します。多くの false positive を生成するアプリケーションが、このネットワークで使用されているためです。しかし、重要なシグニチャが 2 つあるため、これらは除外しません。その 2 つとは、994(トラフィック フロー開始)と 995(トラフィック フロー停止)です。

1. 排他フィルタの定義から始めます。多くの false positive を生成するネットワーク 10.10.10.0 に発信元アドレスを指定します。アラームが Security Monitor に送信されないように、すべてのシグニチャを指定してください。

2. 包含フィルタを定義します。同じ発信元アドレス(ネットワーク 10.10.10.0)を指定します。その重要性から含める必要がある Signature 994 と 995 を指定してください。

この 2 つのフィルタをこの順序で使用すると、false positive である多くのアラームを除外できます。しかし、一部のシグニチャ(994 と 995)は、フィルタを通過します。これが可能であるのは、排他フィルタを先に、包含フィルタを次に定義したためです。包含フィルタを先に定義すると、排他フィルタにより、ネットワーク 10.10.10.0 からのすべてのアラームが除外されます。これは、フィルタが順番に評価されるためです。

この手順は、この例で説明したように Sensor のフィルタを定義します。この例では、GroupW の Device11 がネットワークに追加されているものとします。この例の Device11 は、4.x アプライアンス Sensor です。

この例で説明した Sensor のフィルタを定義するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 TOC で、 Object Selector ハンドルをクリックします。

ステップ 3 この例でフィルタを定義する Sensor Device11 を Object Selector で選択します。Device11 は 4.x Sensor です。

Object Selector が閉じます。

ステップ 4 TOC で、 Filters を選択します。

Filters ページが表示されます。このページを表示すると、選択した Sensor である Device11 にはフィルタが定義されていないことが分かります。

 

ステップ 5 この例で排他フィルタの定義を開始するには、 Add をクリックします。

Enter Filter ページが表示されます。

ステップ 6 フィルタ名を入力します。ここでは「First Filter--Exclusive」と入力します。

ステップ 7 アクション Exclude を選択します。

Enter Filter ページは、次のように表示されます。

 

ステップ 8 Signatures リンクをクリックします。

Enter Signatures ページが表示されます。

ステップ 9 Enter Signatures ページで、Available Signatures フィールドから Selected Signatures フィールドに All Signatures を追加します。

Enter Signatures ページは、次のように表示されます。

 

ステップ 10 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 11 Source Addresses リンクをクリックします。

Filter Source Addresses ページが表示されます。

ステップ 12 Add をクリックします。

Enter Filter Address ページが表示されます。

ステップ 13 Network に対応するオプションボタンを選択し、この例で使用するネットワーク アドレス 10.10.10.0、およびネットワーク マスク 255.255.255.0 を入力します。 Enter Filter Address ページは、次のように表示されます。

 

ステップ 14 OK をクリックします。

ステップ 15 ネットワーク 10.10.10.0 とサブネット マスク 255.255.255.0 が追加された Filter Source Addresses ページが表示されます。

ステップ 16 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 17 Destination Addresses リンクをクリックします。

Filter Destination Addresses ページが表示されます。

ステップ 18 Add をクリックします。

Enter Filter Address ページが表示されます。

ステップ 19 Any のアドレスに対応するオプションボタンを選択して、 OK をクリックします。

Any が追加された Filter Destination Addresses ページが表示されます。

ステップ 20 OK をクリックします。

Enter Filter ページが再び表示されます。

ステップ 21 OK をクリックします。

Filters ページは、次のように表示されます。これで、この例の最初のフィルタ定義が終わりました。

 

ステップ 22 この例の包含フィルタの定義を開始するには、 Add をクリックします。

ステップ 23 アクションが Include の、「Second Filter--Inclusive」という名前のフィルタを追加します。

ステップ 24 Signature 994 と Signature 995 を追加し、この例を続けます。

ステップ 25 最初のフィルタで使用したものと同じ発信元アドレスと宛先アドレスを追加し、Filters ページを再び表示します。Filters ページは、次のように表示されます。

 

First Filter--Exclusive という名前のフィルタが最初に適用されます。このフィルタにより、ネットワーク 10.10.10.0 からのすべてのアラームが除外されます。次に Second Filter--Inclusive という名前のフィルタが適用されます。Signature 994 または 995 から発生した場合は、Network 10.10.10.0 からのアラームを受け取ることができます。Signature 994 と 995 はディセーブルになりません。


 

ブロックされないネットワークとホストの指定

Cisco IOS ルータへ発行する ACL ルールを生成し、攻撃をブロックするように Sensor を設定できます。しかし、Sensor シグニチャを調整し、ブロックされないホストおよびネットワークを識別することが重要です。たとえば、通常の予期される動作が攻撃であるように表示される、信頼できるネットワーク デバイスが存在することがあります。このようなデバイスのブロックはできません。また、信頼できる内部ネットワークもブロックできません。適切に調整すると、false positive の数を減らし、適切なネットワーク オペレーションを保証できます。

攻撃が検出された際にブロックされないネットワークやホストを指定するには、次の手順を実行します。


ステップ 1 Configuration > Settings を選択します。

ステップ 2 Object Selector ハンドルをクリックします。

ステップ 3 Object Selector で、ブロックしないホストおよびネットワークを識別する Sensor を選択します。

ステップ 4 TOC で、 Blocking > Never Block Addresses を選択します。

IP Addresses ページが表示されます。このページには、選択した Sensor の設定により、ブロックされる可能性があるデバイスとネットワークのリストが表示されます。このページでは、ホストおよびネットワークの追加、編集、削除ができます。

 

ステップ 5 選択した Sensor によってブロックされないもののリストに、ホストまたはネットワークを追加するには、 Add をクリックします。

Enter Network ページが表示されます。

次の情報を Enter Network ページに入力します。

IP アドレス

ネットワーク マスク

コメント

ステップ 6 選択した Sensor によってブロックされないもののリストに載っている、ホストまたはネットワークの関連情報を編集するには、そのホストかネットワークのアドレスの横にあるチェックボックスをオンにし、 Edit をクリックします。

Enter Network ページが表示されます。

Enter Network ページに次の情報を入力します。

IP アドレス

ネットワーク マスク

コメント

ステップ 7 選択した Sensor によってブロックされないもののリストから、ホストまたはネットワークを削除するには、そのホストかネットワークのアドレスに対応するチェックボックスをオンにし、 Delete をクリックします。

選択したホストまたはネットワークが削除されます。

ステップ 8 ホストまたはネットワークの追加、編集、削除をさらに行うには、ステップ 2 ~ 7 を繰り返します。

ステップ 9 Sensor の設定を続けるには、 Configuration > Settings を選択します。