第19章 規則
この章では、MARS のインスペクション規則および廃棄規則について説明します。内容は次のとおりです。
・
規則の概要
・ 規則の作成
・ 廃棄規則の作業
・ アラートの設定
規則の概要
インスペクション規則は、注意を引き付けるネットワーク アクティビティ パターンを検出するリアルタイム フィルタです。これらのパターンは攻撃またはフォールス ポジティブを示したり、ネットワークの設定エラーやその他の異常なネットワーク動作をユーザに通知したりします。攻撃はそのまま実行されたり、プローブ、攻撃、攻撃のフォローアップの段階を経て実行されることがあります。手段に関係なく、攻撃には共通の特質があります。ユーザは規則を使用してこれらの特質を定義し、攻撃を識別したり、緩和したりすることができます。
インシデントは規則によって作成されます。規則はネットワークのレポート デバイスから受信した情報を結びつけて、相互にリンクし、侵入が発生したことを示す一連のイベントを形成します。また、着信イベントを規則基準と比較して、起動イベントとして分類します。さらに、フォールス ポジティブを完全に廃棄するか、あるいはデータベースに情報として保持するかを決定します。
規則はアクティブまたは非アクティブのいずれかです。アクティブとは規則が動作していて、着信イベントに適用されていることです。非アクティブとは規則が動作しておらず、CS-MARS リソースが消費されていないことです。
注 規則は削除できません。アクティブまたは非アクティブにできます。
図 19-1 に Rules タブの Inspection Rules ページの一部を示します。
図 19-1 Inspection Rules ページの一部
プライオリティの設定および識別
ビジネス上まず行うべきことは、ネットワーク資産にプライオリティ付けすることです。つまり、ダウンした場合に最もコストのかかる機器を判別することです。次に、ネットワーク内で最も利用されやすい弱点を識別することです。解決が必要、かつ解決が可能な弱点を選択し、残りの弱点にはリスクおよび利用されやすさに基づいてランク付けします。
このランキング リストを使用して、CS-MARS 規則セットのカスタマイズにかける時間および作業の指針を導き出してください。
悪意あるユーザの立場に立った思考
ネットワークで合法的なビジネスを行っている害のないユーザのことはしばらく考えないでください。
ネットワークのダウンを引き起こそうとする悪意の内側に踏み込んでください。ユーザに影響を与える人物は、特定の計画を持っています。
優れた計画には一連のステップ、付随事項、および成功か失敗を判別するためのメトリックが含まれています。これらの計画の予測率が高まるほど、防止および検出されずに攻撃を実行できる余地は少なくなります。悪意のあるユーザは、無防備で、簡単にアクセスできる場所を探しています。探索に失敗すると、悪意のあるユーザは明らかに利用しやすい特定の弱点を探そうとします。
攻撃の計画
計画の詳細を決定します。ユーザはネットワークに侵入する必要があります。検出や識別は、できるだけ回避します。ホストのルート アクセスが必要です。
ルート アクセスを取得するにはどうしたらよいでしょうか。既存のアカウントはなく、物理的なアクセスは不可能です。最初に思いつく方法は、パスワードの推定、パスワードの総当たりの解読、またはホストの既知の弱点の利用などです。
ここでは、ホストで稼働中のサービスを利用するとします。したがって、稼働中のサービスを特定する必要があります。このためには、ポート スキャン、OS フィンガープリント、バナー プローブなどの方法があります。
脆弱なサービスまたはソフトウェアを識別したら、脆弱性が高いソフトウェアのカタログを使用して攻撃できます。判明した内容、および利用できるセキュリティ上の弱点に応じて、さまざまな影響が考えられます。通常は、任意のコードを実行できます。
これでホストを所有しました。次に何を行うかは自由です。たとえば、ルート キットをインストールしたり、マシンをクラッシュさせたり、さまざまなことを実行できます。完全なアクセス権を持っているため、ホストに対してほぼすべてのことを実行できます。
管理者の立場への復帰
ここで、報告された情報に関する計画を表明する必要があります。この攻撃計画には、ある種のフォローアップを使用した攻撃が含まれます。次のような計画を作成することができます。
・プローブ
・ターゲットへの攻撃、バッファ オーバーフロー
・ターゲットへの攻撃、ルート ログイン(ホストの被害)
この時点で、悪意あるユーザはホストに被害をもたらしています。次に何を行うかは攻撃者の自由です。このため、次に行われるステップは、特に予測が困難です。世界を操作したり、変更することが考えられます。新規に被害を受けたホストは、変更を引き起こす踏み台となります。考えられる追加ステップを計画に指定して、この状況に速やかに対処する必要があります。このようなステップは、次のとおりです。
・FTP(ファイル転送プロトコル)サーバへの対応、コードのダウンロード
・セカンダリ ターゲットへの対応、バッファ オーバーフロー
攻撃者は被害を与えたホストを起点にして、さらに攻撃を仕掛けています。
予測される攻撃のうち、監視が必要なものを特定したら、モニタリング計画を定義してください。次のタスク フローで、モニタリング計画の実行手順の概要を示します。
ステップ 1 レポート デバイスが、必要なデータをすべて提供していることを確認します。このステップでは、プローブおよび攻撃によって発生すると予測されるイベントのログが、各デバイスで生成されていることを確認します。デバイス タイプに応じて、ロギング レベルの指定、特定のイベントのロギングのイネーブル化など複数のサブステップを伴い、レポート デバイスから Local Controller アプライアンスへのイベントのパブリッシュの確認などを実行します。また、Local Controller アプライアンスからレポート デバイスへの管理アクセスもイネーブルにできます。
ステップ 2 ネットワークのレポート デバイスからイベントをプルするように CS-MARS を設定します。このステップでは、Local Controller にレポート デバイスをそれぞれ追加します。レポート デバイスのタイプが直接サポートされていない場合は、レポート デバイス用のカスタム デバイス タイプを定義する必要があります。サポート対象のレポート デバイスを追加するには、「レポート デバイスおよび軽減デバイスの追加」を参照してください。カスタム デバイス タイプを定義するには、「ユーザ定義のログ パーサー テンプレートの追加」および「カスタム デバイス/アプリケーション タイプの追加手順」を参照してください。
ステップ 3 調査が必要なイベント タイプが、Local Controller で許可および処理されることを確認します。これらのイベントが許可および処理されない場合は、各イベントのカスタム ログ パーサー テンプレートや、カスタム ログ パーサー テンプレートを対応付けるカスタム デバイス テンプレートを定義する必要があります。デバイス タイプが CS-MARS でサポートされる場合、この処理は不要です。新しいパーサー テンプレートを定義するには、「ユーザ定義のログ パーサー テンプレートの追加」および「デバイス/アプリケーション用パーサー テンプレートの追加」を参照してください。
注 レポート デバイスには、このデバイスでサポートされていないカスタム ログ パーサー テンプレートを定義できません。この場合、サポートされていないイベント タイプ用のログ パーサーを定義するには、事前にカスタム デバイス タイプを定義しておく必要があります。
ステップ 4 システム規則によって必要な情報が取り込まれるかどうかを確認します。取り込まれない場合は、ユーザ インスペクション規則を独自に作成します。イベント タイプをモニタするユーザ インスペクション規則を定義して、これらのイベントをインシデントの識別に役立つ構造に関連付けます。また、規則が起動した場合の通知対象者およびその方法も指定できます。
規則タイプ
注 規則は削除できません。アクティブまたは非アクティブにできます。
インスペクション規則
インスペクション規則は、注目すべきインシデントが単一のネットワーク イベントであるか、あるいは一連のイベントであるかを CS-MARS がテストするためのロジックを示します。インスペクション規則で指定された属性と、特定のイベントまたは一連のイベントの属性が一致する場合は、規則がトリガー(「起動」)されて、インシデントが作成されます。インシデントには攻撃、ネットワークの設定エラー、フォールス ポジティブ、または単に異常なネットワーク アクティビティなどがあります。MARS に付属の 100 を超えるインスペクション規則は、システム インスペクション規則といいます。システム規則の数および構造は、シグニチャ アップグレード、および最新のソフトウェア リリースによって更新されます。両方のタイプのアップグレードは、Admin > System Maintenance > Upgrade ページから実行します。
カスタム インスペクション規則を作成するには、システム インスペクション規則を編集または複製するか、Inspection Rules ページで独自のものを追加するか、または Query インターフェイスを使用します。カスタマイズされたインスペクション規則は、ユーザ インスペクション規則といい、Inspection Rules ページに表示されます。
インスペクション規則は Global Controller と Local Controller の両方に作成できます。
グローバル ユーザ インスペクション規則
グローバル インスペクション規則は、Global Controller に作成され、その後 Local Controller にプッシュされるインスペクション規則です。Local Controller からは、グローバル インスペクション規則の Source IP Address、Destination IP Address、および Action フィールドのみを編集できます。その他のフィールドの引数を変更するには、Global Controller の規則を編集する必要があります。Local Controller のグローバル インスペクション規則を編集してから、Global Controller 上で再度編集すると、Global Controller のバージョンによって、Local Controller のバージョンが上書きされます。グローバル インスペクション規則の名前は、「Global Rule」というプレフィクス付きで表示されます。
廃棄規則
廃棄規則を使用すると、フォールス ポジティブを MARS で調整できます。この規則は、Local Controller の Drop Rules ページでのみ定義できます。ユーザはこの規則を使用して、無視するイベントやストリーム、およびこれらのデータをデータベース内に格納するのか、あるいは全体を廃棄するのかを指定することにより、インスペクション対象のイベント ストリームを調整できます。廃棄規則は、レポート デバイスから着信したイベントが解析されてからセッション化されるまでの間に、これらのイベントに適用されます。アクティブな廃棄規則と一致したイベントは、インシデントの作成に使用されません。Global Controller はイベントをレポート デバイスからでなく、Local Controller から受信するため、ユーザは Global Controller 用の廃棄規則を定義できません。
規則の作成
計画の各ステップは、規則の各行と対応します。各行では、一連の条件を識別します。1 つの規則を 1 つ、2 つ、または複数の行に記述できます。これらの行は、論理演算子(AND、OR、または FOLLOWED-BY (in time)」で連結されます。
規則で使用される条件および演算子の詳細については、「表 19-1」を参照してください。
「管理者の立場への復帰」で識別した、計画例の最初のステップには、ターゲット ホストのプローブが含まれました。プローブを表すには、行のイベント タイプの基準となるイベント タイプ グループを選択します。ドル変数 ($TARGET)1 を使用してホストを制約して、報告されたプローブおよび攻撃が同じホストに発生したものとなるように設定することもできます。その後、次の行に対応する論理的なステップを特定する必要があります。この場合、プローブを送信した時間枠およびプローブの精密さに応じて、プローブを省略できます。
規則のロジックは単純です。行が 1 行あります。各行には複数のセルが含まれます。複数のセルを連結する論理式は「and」です。セル内の複数の項目を連結する式は、等しい句を選択するか、または等しくない句を選択するかに応じて、「or」または「nor」になります。
システム インスペクション規則を調べると、試行、成功の見込み、失敗など、一般に使用される規則を識別できます。最も一般的な規則構造は、試行された攻撃を識別する、 3 行からなる基本的な規則です。この式は、次のように表されます。
(Probe AND
Attack) OR
Attack)
注 この疑似コードを分類する場合、大文字の AND、OR、および FOLLOWED-BY は、2 つの規則行をつなぐ論理演算子を示すことに注意してください。小文字の「and」は、2 つのセルをつなぐ論理演算子を示します。小文字の「or」および「nor」は、セル内の 2 つの項目をつなぐ論理演算子を示します。
成功が見込まれる規則は、攻撃対象ホストから実行されている疑わしいアクティビティを識別して、攻撃規則を拡張します。これらの規則の一般的な構造は、次のとおりです。
((Probe AND
Attack) OR
Attack)) FOLLOWED BY
(Suspicious Activity[1]..Suspicious Activity[n])
障害が発生した場合は、レポート デバイスから送信されたイベントが、このデバイスで障害として分類されています。通常、これらの規則を使用すると、デバイスに何らかの障害があることを示す既知の Syslog メッセージまたは SNMP(簡易ネットワーク管理プロトコル)メッセージとの照合が簡単になります。アラートを定義すると、デバイス障害に速やかに対処できます。これらの規則は、2 つの一般的な構造のいずれかに従います。1 つは、障害を 1 行で記述する方法です。
Failure
もう 1 つは、障害を OR 演算子で連結して、複数行で記述する方法です。
1..N Failure OR
Failure
HTML インターフェイスの場合、システム規則は複数の行およびカラムに表示されます。行番号はオフセットといいます。1 つの規則を複数の行(またはオフセット)に記述できます(図 19-2 を参照)。
図 19-2 オフセットが複数の規則
|
規則フィールド |
フィールドの説明および引数
|
引数の説明 |
|---|---|---|
|
Offset |
行番号 |
|
|
Open ( |
句の開始を識別します。句は規則内の 1 つまたは複数の複合条件を比較する場合に使用します。 |
句を作成したカッコの左の部分を表示します。 |
|
Source IP |
パケット送信元の IP アドレス | |
|
Variables |
ANY ― (デフォルト)。各カウントの IP アドレスが任意の IP アドレスであることを示します。 SAME ― 各カウントの IP アドレスが同じ IP アドレスであることを示します。この変数はオフセットに対してローカルです。 DISTINCT ― 各カウントの IP アドレスが一意の IP アドレスであることを示します。この変数はオフセットに対してローカルです。 $Target01 〜 $Target20 ― 別のフィールドまたはオフセットに同じ変数がある場合は、各カウントの IP アドレスが同じ IP アドレスです。 | |
|
Network Groups |
Defined network groups ― Management > IP Management で定義された、トポロジー的に有効なネットワーク グループです。 | |
|
Networks |
Management> IP Management で定義された、トポロジー的に有効なネットワーク グループ | |
|
Devices |
システム内にあるホストおよびレポート デバイス | |
|
IP addresses |
システム内のデバイス上の IP アドレス、またはユーザが入力したドット付きの 4 つの数字列 | |
|
IP ranges |
ドット付きの 4 つの数字列 2 つの間のアドレス範囲 | |
|
Destination IP |
パケット宛先の IP アドレス。通常はターゲットといいます。 | |
|
Variables |
ANY ― (デフォルト)。各カウントの IP アドレスが任意の IP アドレスであることを示します。 SAME ― 各カウントの IP アドレスが同じ IP アドレスであることを示します。この変数はオフセットに対してローカルです。 DISTINCT ― 各カウントの IP アドレスが一意の IP アドレスであることを示します。この変数はオフセットに対してローカルです。 $Target01 〜 $Target20 ― 別のフィールドまたはオフセットに同じ変数がある場合は、各カウントの IP アドレスが同じ IP アドレスです。 | |
|
Network Groups |
Defined network groups ― Management > IP Management で定義された、トポロジー的に有効なネットワーク グループです。 | |
|
Networks |
Management> IP Management で定義された、トポロジー的に有効なネットワーク グループ | |
|
Devices |
システム内にあるホストおよびレポート デバイス | |
|
IP addresses |
システム内のデバイス上の IP アドレス、またはユーザが入力したドット付きの 4 つの数字列 | |
|
IP ranges |
ドット付きの 4 つの数字列 2 つの間のアドレス範囲 | |
|
Service Name |
プロトコルおよびポートで識別され、パケット内で定義された、TCP/IP ベースのネットワーク サービス | |
|
|
Variables |
ANY ― (デフォルト)送信元または宛先ポート、あるいはプロトコルやポートには制約がありません。 SAME タイプの変数は、指定された宛先ポート、送信元ポート、およびプロトコルが各カウントで同じであることを示します。これらの変数はオフセットに対してローカルです。 ・ ・ DISTINCT タイプの変数は、指定された宛先ポート、送信元ポート、およびプロトコルがカウントごとに一意であることを示します。これらの変数はオフセットに対してローカルです。 ・ 別のフィールドまたはオフセットの変数が同じ場合は、各カウントで指定されたポートおよびプロトコルが相互に同じです。 ・ ・ ・ ・ ・ ・ ・ ・ ・ |
|
Defined services ― Management > Service Management で定義された 1 つまたは複数のサービス |
||
|
Service groups ― Management > Service Management で定義された 1 つまたは複数のサービス グループ |
・ ・ ・ ・ ・ ・ ・ ・ ・ | |
|
Event |
1つまたは複数のイベント タイプを識別します。イベント タイプは、何らかのタイプのネットワーク アクティビティまたはネットワーク状態を示します。別のデバイスまたは別のデバイス タイプから報告されたイベントが、同じアクティビティまたは状態を示しているため、MARS 内の同じイベント タイプに対応付けられることがあります。イベント タイプは「Probe/PortSweep/Stealth」などのイベント グループ内で並び替えられ、グループで識別されたネットワーク状態を捕捉します。 | |
|
Variables ― Management > Event Management で定義された単一のイベント タイプを示します。同じ変数をもつ行が並んでいる場合のみ有効です。 |
・ ・ ・ ・ | |
|
Event types ― タイプにマージされたイベント |
・ ・ ・ ・ | |
|
Event type groups ― イベント タイプのグループ |
・ ・ ・ | |
|
重大度がレッドのイベント タイプ ― すべての重大なイベント タイプを表示します。 |
||
|
重大度がイエローのイベント タイプ ― すべてのイエロー イベント タイプを表示します。 |
||
|
重大度がグリーンのイベント タイプ ― すべてのグリーン イベント タイプを表示します。 |
| |
|
Device |
この条件値は、次のいずれかの値を取ります。 | |
|
Variables ― Admin > System Management > Security and Monitor Devices で定義された単一のデバイスを示します。同じ変数をもつ行が並んでいる場合のみ有効です。 |
・ ・ ・ ・ ・ | |
|
・ |
||
|
定義されたデバイス タイプ |
||
|
Reported User |
このイベントが記録されたときにホスト上でアクティブであったユーザを識別します。このデータが含まれないイベントがあります。この条件値は、次のいずれかの値を取ります。 |
・ ・ ・ ・ |
|
Severity |
この条件値は、次のいずれかの値を取ります。 |
・ ・ ・ ・ |
|
Count |
条件を満たすまでに、イベントが発生する項目数を識別します。この条件の値は、1 〜 100 の整数です。デフォルト値は 1 です。 注 |
使用例:バックドア ルートキットのインストールが検出された場合、カウントは 1 になります。このインストールは 1 回のみ報告され、ネットワークでこれまで検出されていないと想定されるためです。ただし、拒否メッセージを使用して、感染したホストを検出する場合は、カウント値を 1 よりも大きくしなければならないことがあります。たとえば、イベントに対して規則が起動されるまでに、パスワードの入力ミスなど、一般的な操作ミスが何回か許容されるように設定できます。ユーザがパスワードを誤って入力しても、ルートキットが誤ってインストールされることはなくなります。 |
|
Close |
句の終了を識別します。 |
|
|
Operation |
このフィールド値は、次のいずれかの値を取ります。 |
・ ・ ・ ・ |
|
Time Range |
カウント値が増加する期間を識別します。Count 値が 1 よりも大きい規則では、Time Range 値により、カウント値がリセットされるまでの期間が決まります。たとえば、10 分間に発生したログイン試行が 3 回以下の場合に、このカウンタをリセットできると想定できます。 |
使用上の注意事項:Time Range 値と Count 値を組み合わせると、MARS の動作が変更されることがあります。インスペクション規則の一意のインスタンスを満たしたイベントがキャプチャされるたびに、Count 値に到達するか、または有効期限になるまで後続のイベント発生を追跡するモニタリング セッションが構築されます。 |
|
Action |
規則が起動された場合に、MARS が実行するアクションを識別します。アクションは、アクション名および説明を含む、ユーザ定義のアラートです。説明は、アラート内のメッセージ テキストにも使用されます。各アクションでは、電子メールや Syslog などのアラート技術を組み合わせることができます。アラート技術ごとに複数の値を設定できます。たとえば、1 つのアクションで 2 つの電子メール、1 つのページ、1 つの SNMP トラップを生成できます。規則ごとに、このようなアクションを複数設定できます。アラートを作成するには、次の技術を 1 つまたは複数使用します。 注 |
・ ・ ・ ・ ・ ・ ・ |
作業例
ここに記載された例は、変数の使用法、特に拒否パターンを検出するための変数の使用法を示します。
注 さらに複雑な例については、システム インスペクション規則を調べることを推奨します。
注 単一オフセットの規則の場合は、$TARGET01 および $ANY_DEST_PORT1 はすべて、変数 SAME および SAME_ANY_DEST_PORT でそれぞれ代用できます。$ANY_DEST_PORT1 内の「ANY」は、UDP または TCP プロトコルを意味します。
例 A:同じホストの特定のポートに過度の拒否が発生する場合
図 19-3 同じホストの特定のポートに過度の拒否が発生する場合の規則
この例では、任意の送信元 IP アドレスから同じ宛先 IP アドレスに送信される指定イベントが 100 個発生し、かつ宛先ポート番号が同じである場合に、規則が起動します。
例 B:同じ送信元によって特定のポートに過度の拒否が発生する場合
図 19-4 同じ送信元によって特定のポートに過度の拒否が発生する場合の規則
この例では、特定の送信元 IP アドレス、任意の宛先 IP アドレス、および同じ宛先ポート番号を持つ指定イベントが 100 個発生した場合に、規則が起動します。
例 C:同じホスト、宛先、ポートが拒否される場合
図 19-5 同じホスト、宛先、ポートが拒否される場合の規則
この例では、同じ送信元アドレスと宛先アドレス、および同じ宛先ポート番号を持つ指定イベントが 20 個発生した場合に、規則が起動します。
システムおよびユーザ インスペクション規則の処理
Rules タブをクリックして、Rules ページにナビゲートします。このタブから、System Inspection Rules および Drop Rules タブにアクセスできます。
システム インスペクション規則では、次のアクションを実行できます。
・システム規則の Source IP、Destination IP、および Device 引数の変更
・システム規則の複製
・独自規則(ユーザ規則)の作成(追加)、削除、および編集
・規則の状態の切り替え(アクティブと非アクティブ間)
・規則グループの追加、編集、または削除
注 MARS ソフトウェアを定期的にアップグレードして、新規および更新済みのシステム インスペクション規則を取得してください。詳細については、『Install and Setup Guide for Cisco Security Monitoring, Analysis, and Response System』を参照してください。
注 規則を編集した場合は、Activate をクリックして、変更をイネーブルにする必要があります。
規則ステータスの変更 ― アクティブ化および非アクティブ化
CS-MARS 相関エンジンがインシデントを識別するために着信イベントに対して継続的にテストするのは、アクティブな規則基準のみです。アクティブでない規則は、リアルタイム処理用のリソースを消費しません。
注 規則は削除できません。アクティブまたは非アクティブにできます。
規則のステータスを変更する手順は、次のとおりです。
ステップ 1 Rules > Inspection Rules ページにナビゲートします。
ステップ 2 変更する規則(複数可)に対応したチェックボックスを選択します。
ステップ 3 Change Statusをクリックします。
選択した規則が、アクティブな場合は非アクティブに、非アクティブな場合はアクティブになって、別のページに表示されます。
ステップ 4 非アクティブの規則を表示するには、View ドロップダウン リストで Inactive を選択します。アクティブな規則を表示するには、Active を選択します。
規則の複製
規則を複製すると、既存のシステム規則またはユーザ インスペクション規則のコピーとなる新しい規則が作成されます。複製した規則のフィールドはすべて編集できますが、システム インスペクション規則の場合、編集できるのは Source IP、Destination IP、および Device フィールドのみです。元の規則は、複製後もそのまま維持されます。
注 Duplicate または Add で作成した規則は、削除できません。
規則を複製する手順は、次のとおりです。
ステップ 1 複製する規則に対応したチェックボックスを選択します。
ステップ 2 Duplicate をクリックします。
複製した規則の名前は、元の規則の名前に、元の規則を複製した時点のタイムスタンプを付加したものです(System Rule:Client Exploit - Sasser Worm Copied: 05.10.05/16:54:21 など)。複製した規則の名前を変更するには、規則を編集します。
規則の編集
規則を編集するには、インライン編集を使用するか、規則ウィザードを使用します。インラインで編集する場合は、編集する引数をクリックします。規則ウィザードを呼び出すには、編集する規則を選択してから、Edit をクリックします。規則ウィザードは Rule Name フィールドから後続の各フィールドまで、順に処理されます。
注 システム インスペクション規則の場合は、Source IP、Destination IP、および Device フィールドのみを編集できます。システム インスペクション規則の変更方法については、「規則の複製」を参照してください。
注 規則は削除できません。アクティブまたは非アクティブにできます。
インライン編集による規則の編集
規則のインライン編集は、Incidents Detail ページ、または Inspections Rules ページから実行できます。インライン編集を使用して規則を編集する手順は、次のとおりです。
ステップ 1 編集する規則の引数をクリックします。
選択したフィールドの編集ページが表示されます。
ステップ 2 引数を変更してから、Apply をクリックします。
ステップ 3 必要に応じてステップ 1 を繰り返します。
ステップ 4 必要に応じて左カッコおよび右カッコを追加して、Submit をクリックします。
カッコが不要な場合は、単に Submit をクリックします。
ステップ 5 Activate をクリックして、イベント相関処理に規則を含めます。
規則ウィザードによる規則の編集
規則ウィザードを起動できるのは、Inspections Rule ページのみです。
規則ウィザードを使用して規則を編集する手順は、次のとおりです。
ステップ 1 編集する規則に対応したチェックボックスを選択します。
ステップ 2 Edit をクリックします。
規則ウィザード ページが表示され、Rule Name フィールドの入力が求められます。
ステップ 3 次のいずれかの操作を実行します。
・フィールドの引数を変更してから、Apply をクリックします。ステップ 6 に進みます。
・引数を変更してから、Next をクリックして、次のフィールドに進みます。
・Next をクリックして、引数を変更しないで次のフィールドに進みます。
・Previous をクリックして、前のフィールドに戻ります。
Rule Name ページには、Previous が表示されません。
ステップ 4 必要に応じてステップ 3 を繰り返します。
ステップ 5 すべての編集を終了したら、Apply をクリックします。
ヒント 最後の画面にスキップするには、Count 引数をクリックします。このあとに確認する必要があるのは、Action および Time Range フィールドのみです。
ステップ 6 必要に応じて左カッコおよび右カッコを追加して、Submit をクリックします。
カッコが不要な場合は、単に Submit をクリックします。
ステップ 7 Activate をクリックして、イベント相関処理に規則を含めます。
インスペクション規則の追加
注 追加した規則は、ユーザ インスペクション規則といいます。
ステップ 1 Inspection Rules ページにナビゲートします。
ステップ 2 Add をクリックします。
ステップ 3 規則の名前および説明を入力してから、Nextをクリックします。
ステップ 4 Source IP アドレスを選択します。
図 19-6 ユーザ インスペクション規則作成フォーム
次の番号は、図 19-6 に表示された番号に対応しています。
1. Sources Selected フィールド内の項目の横にあるチェックボックスをオンにして選択し、Toggle Equal ボタンをクリックして、equal と not equal を切り替えます。
2. Select All ボタンをクリックして、Sources Selected フィールド内のすべての項目を選択します。Sources Selected フィールドで選択されていた項目は、Select All をクリックすると選択解除されます。
3. Equal および Not Equal ボタンを使用して、Sources Available フィールドから Sources Selected フィールドに、強調表示された項目を移動します。
4. このドロップダウン リストで、送信元をフィルタリングします。
5. 検索テキストを入力し、Enter をクリックして、検索基準と一致する項目を Sources Available フィールドから Sources Selected フィールドに移動します。
6. 送信元に新しい項目を追加するには、Add ボタンをクリックします。既存の送信元を編集または削除するには、Edit または Delete ボタンをクリックします。
7. Sources Selected フィールド内の項目を 1 つまたは複数クリックして、Remove ボタンをクリックします。
8. Sources Selected フィールドに IP 値を移動するには、Equal 
アイコンまたは Not Equal 
アイコンをクリックします。
9. IP または Range の横にあるオプション ボタンをオンにして、それぞれのフィールドに特定の IP アドレスまたは IP アドレス範囲を入力します。
10. Sources Selected フィールド内の項目をクリックして、選択します。グループ名を入力し、Grouped As ボタンをクリックして、グループ化します。
ステップ 5 ウィザードに従って、規則の値を選択し、Next ボタンをクリックして次のステップに進みます。
ステップ 6 「Are you done defining the rule conditions」と表示された場合は、次の処理を実行できます。
–1 行の規則を作成する場合は、Yes ボタンをクリックします。引き続き、行ごとに繰り返し要件(カウント)、アラート情報、おゆび有効な時間範囲を追加します。
–演算子(OR、AND、または FOLLOWED BY)を使用する複数行の規則を作成する場合は、No ボタンをクリックします。ステップ 4 に戻って、引き続き選択します。規則情報をさらに追加し、終了したら、Submit をクリックします。
–終了したら、Submit ボタンをクリックします。
ステップ 7 規則を作成したら、Activate ボタンをクリックしてアクティブにする必要があります。
図 19-7 Activate ボタンのクリック
注 複数の規則を作成または編集している場合は、変更ごとにではなく、何回か変更を行ったあとに、Activate ボタンをクリックすることを推奨します。
廃棄規則の作業
Rules > Drop Rules タブをクリックして、Drop Rules ページにナビゲートします。
廃棄規則は、アプライアンスから完全にフォールス ポジティブを廃棄するか、またはフォールス ポジティブをデータベースに保存するかを MARS に指示します。Drop Rules ページで、規則の追加、編集、複製、非アクティブ規則のアクティブ化、アクティブ規則の非アクティブ化を実行します。非アクティブな規則は起動しません。
廃棄規則の処理はインスペクション規則の処理と似ていますが、同じではありません。
廃棄規則ステータスの変更—アクティブ化および非アクティブ化
ステップ 1 規則の横にあるチェックボックスをオンにします。
ステップ 2 Change Status をクリックします。
ステータスを非アクティブに変更した規則は、非アクティブな規則ページにのみ表示されます。
ステップ 3 非アクティブな廃棄規則を表示するには、View ドロップダウン リストで Inactive を選択します。
廃棄規則の複製
ステップ 1 規則の横にあるチェックボックスをオンにします。
ステップ 2 Duplicate をクリックします。
規則を複製したら、元の規則を変更せずに、複製した規則を編集できます。
廃棄規則の編集
ステップ 1 規則の横にあるチェックボックスをオンにします。
ステップ 2 変更するフィールドの Edit をクリックします。
ステップ 3 規則のウィザードに従って、規則に対するその他の変更を完了します。
ステップ 4 Submit をクリックします。
注 規則を完了したら、Activate をクリックします。
廃棄規則の追加
ステップ 1 Add をクリックします。
ステップ 2 規則の名前および説明を入力してから、Nextをクリックします。
ステップ 3 ソースを選択します。
図 19-8 廃棄規則作成フォーム
次の番号は、図 19-8 の「廃棄規則作成フォーム」の番号に対応しています。
1. Sources Selected フィールド内の項目の横にあるチェックボックスをオンにして選択し、Toggle Equal ボタンをクリックして、equal と not equal を切り替えます。
2. Select All ボタンをクリックして、Sources Selected フィールド内のすべての項目を選択します(注:Sources Selected フィールドで強調表示にした項目がある場合に、Select All をクリックすると、強調表示された項目の選択が解除されます)。
3. Equal および Not Equal ボタンを使用して、Sources Available フィールドから Sources Selected フィールドに、強調表示された項目を移動します。
4. このドロップダウン リストで、送信元をフィルタリングします。
5. 検索テキストを入力し、Enter をクリックして、検索基準と一致する項目を Sources Available フィールドから Sources Selected フィールドに移動します。
6. 送信元に新しい項目を追加するには、Add ボタンをクリックします。既存の送信元を編集または削除するには、Edit または Delete ボタンをクリックします。詳細については「IP 管理」を参照してください。
7. Sources Selected フィールド内の項目を 1 つまたは複数クリックして、Remove ボタンをクリックします。
8. Sources Selected フィールドに IP 値を移動するには、Equal (Up)アイコンまたは Not Equal (Up)アイコンをクリックします。
9. IP または Range の横にあるオプション ボタンをオンにして、それぞれのフィールドに特定の IP アドレスまたは IP アドレス範囲を入力します。
10. Sources Selected フィールド内の項目をクリックして、選択します。グループ名を入力し、Grouped As ボタンをクリックして、グループ化します。
ステップ 4 ウィザードに従って、規則の値を選択し、Next ボタンをクリックして次のステップに進みます。
ステップ 5 「Are you done defining the rule conditions」と表示された場合は、Submit ボタンをクリックします。
ステップ 6 規則を作成したら、Activate ボタンをクリックしてアクティブにする必要があります。
図 19-9 Activate ボタンのクリック
注 複数の規則を作成または編集している場合は、変更ごとにではなく、何回か変更を行ったあとに、Activate ボタンをクリックすることを推奨します。
アラートの設定
起動された規則の情報は、2 つの方法で取得できます。1 つは、HTML インターフェイスの該当するページにログインして、表示する方法です。もう 1 つは、外部デバイスおよびユーザにアラートを送信するように MARS を設定する方法です。2 番めの方法では、MARS に対する指示をアクションで指定します。
規則を使用すると、規則が起動した場合にユーザにアラートを送信できます。User Management で入力した情報に従って、選択可能な役割およびグループが決まります。
既存規則のアラートの設定
ステップ 1 規則の引数をクリックします。
ステップ 2 Action/Operation カラムが選択されるまで、Next をクリックします。
ステップ 3 Add ボタンをクリックして、アラートを送信するユーザを追加します。
ステップ 4 Name に通知に使用する名前、Description に通知の説明を入力します。
ステップ 5 送信する通知タイプの横にあるチェックボックスをオンにします。選択できるタイプは、次のとおりです。
・Email ― 電子メールを受信する役割およびグループを選択します。
・Syslog ― Syslog を受信するシステムを選択します。
・Page - ページャまたは携帯電話で電子ページを受信する役割またはグループを選択します。
・SNMP ― SNMP トラップ情報を受信するシステムを選択します。
注 SNMP および Syslog の場合は、この機能が有効となるように受信システムを設定する必要があります。
ステップ 6 Change Recipient ボタンをクリックして、該当する通知タイプ(電子メール、Syslog、ページ、SNMP)のアラートの受信側を追加、または編集します。
ステップ 7 アラートを受信する役割、グループ、またはシステムの横にあるチェックボックスをオンにします。
・Add ボタンをクリックして、受信側を選択します(受信側が左のフィールドに移動します)。
・受信側を削除するには、(左側フィールドで)名前をクリックして強調表示にして、Remove ボタンをクリックします。
ステップ 8 追加するすべてのアラートに対して、ステップ 5 〜 7 を繰り返します。
ステップ 9 Submit ボタンをクリックします。
ステップ 10 Apply ボタンをクリックします。
注 ユーザが Global Controller に作成された規則にアラートを追加した場合に、この規則が Local Controller にプッシュされ、起動されると、指定されたユーザは Global Controller からではなく、Local Controller からアラートを受信します。
規則およびレポート グループ
具体的な内容は、次のとおりです。
・ Global Controller および Local Controller の規則およびレポート グループに関する制限
規則およびレポート グループの概要
規則およびレポート グループを使用すると、タスクに関連した規則およびレポートへのアクセスを高速化して、規則およびレポートの管理を容易にできます。グループを作成したり、CS-MARS に用意されたグループ(System グループ)を使用できます。グループは、CS-MARS HTML インターフェイスで規則、レポート、およびインシデントの表示を制限するフィルタとして機能します。すべてのグループは変更または削除できます。
CS-MARS には 100 を超えるシステム規則と、150 を超えるシステム レポートが用意されています。規則およびレポートを追加するには、カスタム規則およびレポートを作成したり、定期的にソフトウェア アップデートを実行します。規則グループまたはレポート グループには、メンバーとして、これらの規則またはレポートのサブセットが含まれます。通常、同じグループ内の規則またはレポートには関連機能があります(調査アクティビティ、サーバ攻撃など)。ドロップダウン フィルタからグループを選択すると、メンバーとして含まれる規則およびレポートのみがページに表示されます。Incidents ページで規則グループを選択すると、選択したグループの規則に関連したインシデントのみが表示されます。レポートおよび規則のグループは、クエリー作成時にも使用できます。
たとえば、疑わしいネットワーク アクセス イベントおよびインシデントを検出するシステム規則が 16 個以上、この情報を報告するシステム レポートが 15 個あるとします。CS-MARS には、「Access」という名前のシステム規則グループおよびシステム レポート グループがあります。このグループを使用すると、Inspection Rules、Incidents、および Report ページをフィルタリングして、モニタリング アクセス イベント(パスワード攻撃など)に関連する規則およびレポートのみを表示できるため、規則およびレポート ページ全体またはドロップダウン リスト内で関連する規則およびレポートを検索する必要がありません。CS-MARS には、表 19-2 に示されたシステム規則およびレポート グループが用意されています。
Global Controller および Local Controller の規則およびレポート グループに関する制限
Global Controller および Local Controller の規則およびレポート グループには、次の制限があります。
・Global Controller に作成された規則およびレポート グループは、すべての Local Controller にプッシュされます。
・Local Controller に作成された規則グループは、その Local Controller に対してローカルです。Global Controller または別の Local Controller にコピーされません。
・Local Controller のアカウント ホルダは、Global Controller に作成された規則グループの Source IP、Destination IP、および Device フィールドのみを編集できます。
・Local Controller アカウント ホルダは、Global Controller レポート グループを編集できません。
・Local Controller アカウント ホルダは、Global Controller の規則およびレポート グループを削除できません。
注 ここに記載された手順は、Local Controller と Global Controller の両方で有効です。ただし、Global Controller の HTML インターフェイスにはケース バーが表示されません。
規則グループの追加、変更、および削除
新しい規則グループの追加
規則グループを追加する手順は、次のとおりです。
ステップ 1 Inspection Rules ページにナビゲートします(図 19-10 を参照)。
図 19-10 Inspection Rules ページ
ステップ 2 Add Group をクリックします。
Add Group ダイアログボックスが表示されます(図 19-11 を参照)。
図 19-11 Add Group ダイアログボックス
ステップ 3 Name フィールドに、新しいグループ名を入力します。
ステップ 4 新しい規則グループに追加する規則に対応したチェックボックスをオンにします。
ヒント規則リストの上にあるドロップダウン リストを使用すると、アクティブなシステム規則、アクティブなユーザ規則、または非アクティブな規則のみが表示されるように限定できます。この検索機能により、検索ストリング(「New Malware Traffic Match」など)と一致する規則のみが表示されます。ワイルドカード文字としてアスタリスク(*)がサポートされています。
ステップ 5 Add をクリックします。
選択した規則が、ダイアログボックスの左側ペインに表示されます。規則グループから規則を削除するには、左側ペインで目的の項目を強調表示にして、Remove をクリックします。
ステップ 6 Submit をクリックします。
Inspection Rules ページの Group ドロップダウン フィルタに、新しい規則グループの名前が表示されます(図 19-12 を参照)。この例では、新しい規則グループの名前は「Example Group」です。このグループはユーザが作成した規則グループであるため、規則グループ名にプレフィクス「System」は付加されません。Cancel をクリックして、新しい規則グループを作成しないで、Inspection Rules ページに戻ることもできます。
図 19-12 Inspections Rules ページのドロップダウン リストの新しい規則グループの表示
規則グループの変更
規則グループを編集する手順は、次のとおりです。
ステップ 1 Inspection Rules ページにナビゲートします(図 19-10 を参照)。
ステップ 2 Group プルダウン フィルタで、編集する規則グループを選択します。
ステップ 3 Edit Group をクリックします。
Add Group ダイアログボックスが表示されます(図 19-11 を参照)。Name フィールドに規則グループの名前が表示され、追加した規則が選択された状態で、ダイアログボックスの左側ペインに表示されます。
ステップ 4 さらに規則を追加するには、グループに追加するすべての規則に対応したチェックボックスをオンにしてから、Add をクリックします。
規則を削除するには、左側ペインで削除する項目を強調表示にしてから、Remove をクリックします。
ステップ 5 Submit をクリックします。
規則グループの削除
ステップ 1 Inspection Rules ページにナビゲートします(図 19-10 を参照)。
ステップ 2 Group プルダウン フィルタで、削除する規則グループを選択します。
ステップ 3 Delete Group をクリックします。
Delete Group ダイアログボックスが表示され、削除するグループ内の規則のリストが表示されます。削除の確認が求められます。
ステップ 4 Yes をクリックします。
Incident および Inspection Rules ページの Group ドロップダウン フィルタに、規則グループが表示されなくなります。
レポート グループの追加、変更、および削除
新しいレポート グループの追加
レポート グループを追加する手順は、次のとおりです。
ステップ 1 Report ページにナビゲートします(図 19-13 を参照)。
図 19-13 Reports ページ
ステップ 2 Add Group をクリックします。
Add Group ダイアログボックスが表示されます(図 19-14 を参照)。
図 19-14 Add Report Group ダイアログボックス
ステップ 3 Name フィールドに、新しいレポート グループ名を入力しjます。
ステップ 4 新しいレポート グループに追加するレポートに対応したチェックボックスをオンにします。
ヒント レポート リストの上にあるドロップダウン フィルタを使用すると、システム レポート、ユーザ レポート、またはすべてのレポートを表示するように、レポート表示をフィルタリングできます。この検索機能により、検索ストリング(Spyware に対応する「Spy」など)と一致するレポートのみが表示されます。ワイルドカード文字としてアスタリスク(*)がサポートされています。
ステップ 5 Add をクリックします。
選択したレポートが、ダイアログボックスの左側ペインに表示されます。レポート グループからレポートを削除するには、左側ペインで目的の項目を強調表示にして、Remove をクリックします。
ステップ 6 Submit をクリックします。
Report ページ(図 19-15 を参照)および Query ページの Group ドロップダウン リストの出力フィルタに、新しいレポート グループの名前が表示されます。このグループはユーザが作成したレポート グループであるため、レポート グループ名にプレフィクス「system」は付加されません。Cancel をクリックして、新しいレポート グループを作成しないで、Report ページに戻ることもできます。
図 19-15 Report ページのドロップダウン フィルタの新しいレポート グループの表示
レポート グループの変更
レポート グループを編集する手順は、次のとおりです。
ステップ 1 Reports ページにナビゲートします(図 19-13 を参照)。
ステップ 2 Group プルダウン リストで、編集するレポート グループを選択します。
ステップ 3 Edit Group をクリックします。
Add Report Group ダイアログボックスが表示されます(図 19-14 を参照)。Name フィールドにレポート グループ名が表示され、レポート グループに含まれるレポートがダイアログボックスの左側ペインに表示されます。
ステップ 4 さらにレポートを追加するには、グループに追加するレポートに対応したチェックボックスをオンにしてから、Add をクリックします。
レポートを削除するには、左側ペインで削除する項目を強調表示にしてから、Remove をクリックします。
ステップ 5 Submit をクリックします。
レポート グループの削除
ステップ 1 Reports ページにナビゲートします(図 19-13 を参照)。
ステップ 2 Group プルダウン フィルタで、削除するレポート グループを選択します。
ステップ 3 Delete Group をクリックします。
Delete Report Group ダイアログボックスが表示され、削除するグループ内のレポートのリストが表示されます。削除の確認が求められます。
ステップ 4 Yes をクリックします。
Report および Query ページのレポート グループ ドロップダウン リストに、レポート グループが表示されなくなります。
規則グループに関連するインシデントの表示
特定の規則グループに含まれる規則の起動によって発生したインシデントを表示する手順は、次のとおりです。
ステップ 1 Incidents ページにナビゲートします。
ステップ 2 Matched Rules カラムの上にあるドロップダウン フィルタ内で規則グループを選択します(図 19-16 を参照)。
Incidents ページに表示されるのは、選択した規則グループ内の規則の起動によって発生したインシデントのみです。
図 19-16 Incidents ページの規則グループ
レポート グループを使用したクエリー基準の作成
レポート グループからクエリーを作成する手順は、次のとおりです。
ステップ 1 Query ページにナビゲートします。
ステップ 2 Load Report as On-Demand Query with Filter ドロップダウン フィルタでレポート グループを選択します(図 19-17 を参照)。
Select Report ドロップダウン リストに表示されるのは、該当するレポート グループに含まれるレポートのみです(図 19-18 を参照)。
図 19-17 クエリーを作成するためのレポート グループの選択
図 19-18 クエリーを作成するための、レポート グループ内でのレポートの選択
ステップ 3 セカンダリ ドロップダウン リストでレポートを選択します。
Query に、選択したレポートごとにクエリー基準が自動的に読み込まれます。
クエリー基準での規則グループの使用法
規則グループを使用して Query Event Data バーの Rule フィールドにデータを読み込む手順は、次のとおりです。
ステップ 1 Query ページにナビゲートします。
ステップ 2 Query Event Data バーの Rules フィールドの Any をクリックします。
Filter by Rule ダイアログボックスが表示されます(図 19-19 を参照)。
ステップ 3 規則リストの上にあるドロップダウン リスト内で規則グループを選択します(図 19-14 を参照)。
規則リストに表示されるのは、選択した規則グループ内の規則のみです。
図 19-19 クエリーに規則基準を読み込むための規則グループ
ステップ 4 クエリーに追加する規則に対応したチェックボックスをオンにします。
ステップ 5 Add をクリックします。選択した項目が、Query チェックボックスの左側ペインに表示されます。
規則を削除するには、左側ペインで削除する項目を強調表示にして、Remove をクリックします。
ステップ 6 Apply をクリックします。
選択した規則が Query Event Data バーの Rules フィールドに表示されます。
1($TARGET) などの変数は、規則内で次の 2 つの目的に使用されます。1.) 同じセル値が照合された回数を取り込みます(同じ送信元アドレスからのログインに 10 回失敗した場合など、そのセルのカウント数)。2.) 複数の規則行で同じセル値を相関付けます。たとえば、特定の送信元アドレスからのプローブと、同じ送信元アドレスからの攻撃を AND で連結します。
