概要
Cisco Talosは、最新の脅威と脆弱性に対処するためにSnort Rule Updates(SRU)をリリースしています。新しいSRUリリースには、各ベースポリシーの更新されたルールセットを含めることができます。このドキュメントでは、TalosがFirepowerデバイスの各Intrusion Baseポリシーにルールを割り当てる方法を決定するプロセスについて説明します。
ルールメタデータで定義されたタロスベースポリシーインテント
基本ポリシーは、SRU内のメタデータによって維持されます。デフォルトポリシーの任意の付与ルールの状態は、ルール本体のメタデータ部分で定義されます。以下に、いくつかの例を示します。
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 1.php outbound connection attempt"; sid:38753; gid:3; rev:1; classtype:trojan-activity; metadata:engine shared, soid 3|38753, policy balanced-ips drop, policy security-ips drop, impact_flag red; )
上記のルール例では、メタデータセクションにpolicy balanced-ips drop, policy security-ips dropが含まれていることに注意してください。これは、このルール1:38753が有効で、Balanced Security and ConnectivityポリシーおよびSecurity Over Connectivityポリシーでdrop設定されていることを示示します。
デフォルトのルールセットを決定するために使用するメトリック
- 使用される主要なメトリックは、ルールの適用対象である各脆弱性に割り当てられる Common Vulnerability Scoring System(CVSS)スコアです。
- 2 番目のメトリックは、特定の脆弱性の経過期間に関連する時間ベースのメトリックです。
- 最後のメトリックは、ルールが適用される特定の領域です。たとえば SQL インジェクション ルールは、ポリシーに組み込む対象として考慮する際に、影響が十分大きいため重要なルールであると見なされます。
注:これらのカテゴリのルールの適用対象である脆弱性は、その経過期間に関係なく重要であると見なされます。
Connectivity over Security ベース ポリシー
注:接続ポリシーは、ポリシーのセキュリティ制御よりもデバイスのパフォーマンスを優先するように特別に設計されています。お客様は、誤検出を最小限に抑え、ほとんどのネットワーク環境でボックスの完全な評価を受けたパフォーマンスで、シスコのデバイスを導入できます。さらに、このポリシーは、お客様が経験する最も一般的で最も一般的な脅威を検出する必要があります。
1. CVSSスコアは10である必要があります
2.この脆弱性は、過去2年間(両端を含む)のものです。 以下に、いくつかの例を示します。
- 今年(例:2019)
- 昨年(例:2018)
- 一昨年(例:2017)
3.ルールカテゴリ
Balanced ベース ポリシー
注:Balancedポリシーは、初期導入に推奨されるデフォルトのポリシーです。このポリシーは、システムのセキュリティニーズとパフォーマンス特性のバランスを取ろうとしています。お客様は、このポリシーから開始し、パブリック評価ツールを使用して非常に優れたブロック率を得ることができ、評価ツールとテストツールを使用して比較的高いパフォーマンス率を得ることができます。さらに、このポリシーは、ネットワークの野生状態では、デバイスの定格容量の80 %で正常に動作する必要があります。Balancedポリシーで常に留意する必要がある主な点は、誤検出、限られた検出、またはパフォーマンスの低い問題が発生した場合、ほとんどの顧客はインフラストラクチャに他のデバイスを導入するために調査を行います。これは、Snort.orgで販売されたオープンソースSnort用のSnortサブスクライバルールセットのデフォルトの出荷状態です。
1. CVSSスコア9以上
2.この脆弱性は、過去2年間(両端を含む)のものです。 以下に、いくつかの例を示します。
- 今年(例:2019)
- 昨年(例:2018)
- 一昨年(例:2017)
3.ルールカテゴリ
- Malware-CnC
- Blacklist
- SQL インジェクション
- Exploit-kit
4.ルールが接続ポリシーにある場合。
Security over Connectivity ベース ポリシー
注:セキュリティポリシーは、組織のセキュリティを非常に懸念する顧客基盤の小さなセグメント向けに設計されています。このポリシーは、帯域幅要件が低く、セキュリティ要件が高い保護ネットワークに導入されます。さらに、誤検出やノイズの多いシグニチャに対する顧客の関心も低くなります。このポリシーを導入するお客様は、アプリケーション制御やネットワークの使用の制限も懸念されます。最大限の保護とアプリケーション制御を提供する必要がありますが、ネットワークをダウンさせることはできません。
1. CVSSスコア8以上
2.脆弱性は、過去3年間(両端を含む)のものです。 以下に、いくつかの例を示します。
- 今年(例:2019)
- 昨年(例:2018)
- 一昨年(例:2017)
- 一昨年の前年(例:2016)
3.ルールカテゴリ
- Malware-CnC
- Blacklist
- SQL インジェクション
- Exploit-kit
4.ルールがBalanced and Connectivityポリシーにある場合は、
最大検出(最大検出)ベースポリシー:
注:最大検出ルールセットは、テスト環境で使用することを目的としており、パフォーマンスに最適化されていません。このポリシーの多くの規則に対する誤検出は許容および/または予測され、通常はFP調査は行われません。
1.現場でのテストにはカバレッジが必要です。
2. [セキュリティ]、[バランド]、および[接続]ルールセットにルールが含まれています。
3. Sid:特に指定がない限り、10000。
ポリシー更新頻度
新しいルールはすべて、これらの基準に基づいてポリシーに配置されます。ポリシーは毎年、再評価され、脆弱性の経過期間が長くなるにつれて、ポリシーはポリシーから削除され、ポリシーは当社時間的選択基準に準拠します。
ルールの対象となる特定の脆弱性に対するCVSSスコアが変更された場合、CVSSメトリックに基づくポリシーに存在することが再評価されます。
ポリシーは継続的に拡大します。特定の目的に合わせて調整するためにメジャーのリバランスを行う以外に、製品に関するポリシーの数とパフォーマンスに満足していれば、ポリシーからのルールの大きなドロップは常に発生しません
注:基本ポリシーは、毎年の主要なリバランスから離れて成長し、特定の目的に合わせて調整できます。通常のネットワーク条件下でTalosがルールの数と製品のポリシーのパフォーマンスに満足している場合、ポリシーからのルールの大きなドロップは常に発生しません。リストされたポリシーのルールは、ルールごとに評価されます。一部のルールは古く、デフォルト ポリシーに含めるための前述の基準に該当しないことがあります。上記はデフォルト ルールの選択基準であり、脅威にまつわる状況に基づいて変更されることがあります。
注:リストされたポリシーのルールは、ルールごとに評価されます。一部のルールは古く、デフォルト ポリシーに含めるための前述の基準に該当しないことがあります。上記はデフォルトルールの選択基準であり、常に脅威の状況に基づいて変更される可能性があります