はじめに
このドキュメントでは、FMCによって管理されるFirepowerデバイスのCisco Secure Rule Update(SRU)およびLightweight Security Package(LSP)バージョンに基づいてSnortルールをフィルタリングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- オープンソースSnortに関する知識
- Firepower Management Center(FMC)
- Firepower Threat Defense(FTD)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- この記事はすべてのFirepowerプラットフォームに適用されます
- ソフトウェアバージョン7.0.0が稼働するCisco FTD
- ソフトウェアバージョン7.0.0が稼働するFMC Virtual
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
侵入検知システム(IDS)と侵入防御システム(IPS)では、「SID」は「Signature ID」または「Snort Signature ID」を表します。
SnortシグニチャID(SID)は、ルールセット内の各ルールまたはシグニチャに割り当てられる一意のIDです。これらのルールは、悪意のあるアクティビティまたはセキュリティの脅威を示す可能性があるネットワークトラフィックの特定のパターンまたは動作を検出するために使用されます。各ルールは、容易な参照と管理を可能にするためにSIDに関連付けられています。
オープンソースのSnortについては、SNORT Webサイトを参照してください。
Snortルールをフィルタリングする手順
Snort 2ルールSIDを表示するには、FMC Policies > Access Control > Intrusion
,
に移動し、右上にあるSnort 2バージョンオプションをクリックします(次の図を参照)。
Snort 2
Rules > Rule Update
に移動し、SIDをフィルタリングする最新の日付を選択します。
ルールの更新
Snortルールで使用可能なSid
図に示すように、Rule State
で必要なオプションを選択します。
ルールの状態の選択
Snort 3ルールSIDを表示するには、図に示すように、FMC Policies > Access Control > Intrusion
に移動し、右上隅にあるSnort 3バージョンオプションをクリックします。
Snort 3
Advanced Filters
に移動し、図に示すように、SIDをフィルタリングする最新の日付を選択します。
Snort 3フィルタ
高度なフィルタの下のLSP
LSPバージョン
Sidの事前設定フィルタ
図に示すように、Rule state
で必要なオプションを選択します。
ルールアクション