この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector モジュール(Detector モジュール)のラーニング プロセスを使用してゾーン トラフィックの特性を分析し、Detector モジュールがゾーン異常検出に使用するポリシーを作成および調整する方法について説明します。
この章には、Detector モジュールの関連製品である Cisco Guard(Guard)についての記述があります。Guard は、DDoS 攻撃(分散型サービス拒絶攻撃)を検出して軽減するデバイスです。Guard は、ゾーン トラフィックが通過する際に攻撃トラフィックをドロップして正常なトラフィックをネットワークに戻し、ゾーン トラフィックをクリーンにします。Detector モジュールは、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにできます。また、Detector モジュールは Guard とゾーン設定を同期させることができます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。
• ゾーンのラーニング プロセスの結果と Guard との同期
Detector モジュールは、ラーニング プロセスで、通常のゾーン トラフィック状態を分析し、ベースラインを確立します。このベースラインにより、正常なトラフィックと、ゾーンへの攻撃を示す異常が含まれているトラフィックが判別されます。ラーニング プロセス中、Detector モジュールは、通常のトラフィック パターンに基づき、新しいゾーン ポリシーを作成してポリシーしきい値を変更し、参照ベースラインを作成します。
ラーニング プロセスを実行するには、ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。詳細については、「トラフィックをキャプチャするためのトラフィックの送信元の設定」を参照してください。
複数のゾーンに対して同時に ラーニング 関連のコマンドを入力できます。これには、グローバル モードで、ワイルドカードにアスタリスク(*)を使用してコマンドを入力します。たとえば、すべてのゾーンについてポリシー構築フェーズを開始する場合は、グローバル モードで learning policy-construction * コマンドを入力します。scan で始まる名前を持つ Detector モジュールのすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル モードで no learning scan * accept コマンドを入力します。
ラーニング プロセスは、次の 2 つのフェーズで構成されています。
• ポリシー構築:Detector モジュールがゾーン トラフィック サービスのポリシーを作成します。ポリシー テンプレートは、Detector モジュールが作成するゾーン ポリシーのタイプ、Detector モジュールが厳密に監視するサービスの最大数、および Detector モジュールによる新しいポリシーの作成をトリガーする最小しきい値を定義します。ゾーン ポリシーを構築するための規則を変更するには、ポリシー テンプレート パラメータを変更してから、ポリシー構築フェーズを開始する必要があります。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。
GUARD_LINK ゾーン テンプレートまたは DETECTOR_LINK ゾーン テンプレートを使用して作成されたゾーンに対してポリシー構築フェーズを実行することはできません。
• しきい値調整:Detector モジュールは、ゾーン サービスのトラフィック レートに合せてゾーン ポリシーのしきい値を調整します。既存のしきい値が新しいしきい値で上書きされます。
しきい値調整フェーズとゾーン異常検出を同時にアクティブにすると(検出およびラーニング機能)、Detector モジュールで悪意のあるトラフィックのしきい値をラーニングすることを防止できます。Detector モジュールが常にゾーン ポリシーを調整するように設定し、Detector モジュールがポリシーのしきい値を更新するときの間隔を定義することができます。
ラーニング プロセスのどちらのフェーズでも、Detector モジュールは、ラーニング フェーズの結果が次の方法で受け入れられるまで、現在のゾーン ポリシーを変更しません。
• 自動:ラーニング フェーズの結果を自動的に受け入れるように Detector モジュールを設定します。
ポリシーが作成された後は、ポリシーを追加または削除できます。また、しきい値、サービス、タイムアウト、アクションなどのポリシー パラメータを変更することもできます。
(注) Detector モジュールは、ポリシー構築フェーズ中ではなく、しきい値調整フェーズ中にワーム ポリシーの新しいサービスをラーニングします。そのため、しきい値調整フェーズ中に、ワーム ポリシーに追加された新しいサービス(ポート)が表示される場合があります。
ラーニング プロセス中のどの段階でも、任意のラーニング フェーズの現在の結果を保存して、後で snapshot コマンドを使用して確認できます。ラーニング プロセスのスナップショットを保存することで、スナップショットのポイントまでに Detector モジュールが作成したポリシー情報を表示し、ラーニング プロセスの結果を受け入れるかどうかを判断できます。ラーニング フェーズの結果をスナップショットに保存しても、ゾーン設定には影響しません。スナップショット内のポリシー情報を使用してゾーン設定をアップデートできます。
snapshot コマンドを使用する方法の詳細については、「スナップショットの作成」を参照してください。
Detector モジュールがポリシー構築フェーズを実行した後、検出およびラーニング機能を使用して、ラーニング プロセスのしきい値調整フェーズのアクティブ化とゾーン異常検出のイネーブル化を同時に行うことができます。Detector モジュールは、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視しながら、ポリシーしきい値を調整します。検出およびラーニング機能により、ポリシーのしきい値をゾーンのトラフィック特性に基づいて常にアップデートしながら、Detector モジュールでゾーンの異常を検出できるようになるため、Detector モジュールが悪意のあるトラフィックのしきい値をラーニングすることがなくなります。
検出およびラーニング機能をアクティブにする前に、ラーニング パラメータを設定することで、Detector モジュールがしきい値調整フェーズの結果をいつ、どのように受け入れるかを設定できます。
詳細については、「検出およびラーニング機能のイネーブル化」を参照してください。
Detector モジュールがしきい値調整を実行し、ゾーン同期と呼ばれるプロセスを使用して Guard 上の対応するゾーン設定をアップデートするように設定できます。たとえば、Detector モジュールで検出およびラーニング機能をイネーブルにした場合、Detector は異常を検出すると、ラーニング プロセスを停止し、ゾーン同期を使用して最新のゾーン設定で Guard をアップデートし、その後 Guard の攻撃軽減サービスをアクティブにします。ゾーン同期では、Detector モジュールを使用して、Detector モジュールと Guard の両方で通常のトラフィックの変化に合せてゾーンのポリシーしきい値を継続的に調整できます。Detector モジュールがゾーン トラフィックのコピーを分析するため、ラーニング プロセスのためにゾーン トラフィックを常に Guard に宛先変更する必要はありません。
Detector モジュールのラーニング プロセスの結果を Guard と同期させるには、次の作業を実施する必要があります。
1. Guard を Detector モジュール上のリモート Guard リストに追加して、通信方法を Secure Socket Layer(SSL)として定義します。「リモート Guard リストを使用したリモート Guard のアクティブ化」を参照してください。
2. Guard との SSL 通信チャネルを確立します。「SSL 通信チャネル パラメータの設定」を参照してください。
3. Detector モジュール上で Guard ゾーン テンプレートを使用してゾーンを作成します。「ゾーン テンプレートからの新しいゾーンの作成」を参照してください。
4. ゾーンの検出およびラーニング機能をアクティブにします(「検出およびラーニング機能のイネーブル化」を参照)。
ゾーン設定を Guard と手動で同期させることも、ゾーン設定を自動的に Guard と同期させるように Detector モジュールを設定することもできます。詳細については、「Guard モジュール とのゾーン設定の同期」を参照してください。
ポリシー構築フェーズは、新しいゾーンを作成した後や、ゾーン設定が新しいサービス ポリシーを使用してアップデートを行う必要があるときに使用します。ポリシー構築フェーズをイネーブルにすると、Detector モジュールはトラフィックを分析して、ゾーンによって使用される主なサービス(ポートとプロトコル)を検出します。Detector モジュールは、ポリシー テンプレートによって設定された規則を使用して、このサービスのゾーン ポリシーを作成します。
(注) ポリシー構築フェーズの開始前にポリシー テンプレートを変更することで、ポリシー構築規則を再設定できます。たとえば、Detector モジュールで特定のタイプのポリシーが作成されないようにするには、関連するポリシー テンプレートをディセーブルにします。ポリシー パラメータ(タイムアウト、アクション、およびしきい値)のデフォルト値を変更することもできます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。
ポリシー構築フェーズの結果を受け入れると、既存のポリシーが、ポリシー構築フェーズ中に Detector モジュールによって作成された新しいポリシーに置き換えられます。
(注) 帯域幅限定リンク ゾーン テンプレート(DETECTOR_LINK_128K、DETECTOR_LINK_1M、
DETECTOR_LINK_4M、DETECTOR_LINK_512K、および GUARD_LINK_128K、GUARD_LINK_1M、GUARD_LINK_4M、GUARD_LINK_512K)に基づくゾーンに対しては、ポリシー構築フェーズを実行できません。
ポリシー構築フェーズをアクティブ化する前に、ゾーン上に攻撃がないことを確認してください。これによって、Detector モジュールが、DDoS 攻撃のトラフィック特性に基づいてポリシーを構築することを回避できます。Detector モジュールが、DDoS 攻撃のトラフィック特性をラーニングし、攻撃の結果をベースラインとして保存すると、Detector モジュールが攻撃を通常のトラフィックの状態と見なすため、Detector モジュールはその後に発生する攻撃を検出できなくなります。
ステップ 1 ゾーン設定モードで次のコマンドを入力することで、ポリシー構築フェーズをアクティブにします。
ステップ 2 Detector モジュールがゾーンのトラフィックのコピーを受信していることを確認してください。
ポリシー構築またはしきい値調整を開始してから少なくとも 10 秒待ってから、 show rates コマンドを発行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector モジュールがゾーンのトラフィックのコピーを受信していないことを示します。トラフィックの送信元が、トラフィックのキャプチャについて設定されていることを確認します。詳細については、「トラフィックをキャプチャするためのトラフィックの送信元の設定」を参照してください。
ステップ 3 (オプション)Detector モジュールが構築中のポリシーを表示します。
ポリシー構築フェーズの任意の段階で snapshot コマンドを使用して、ラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存しておいて、後で確認することができます。単一のスナップショットを保存するか、定期的なスナップショットを(指定した間隔で)保存することができます。
詳細については、「ポリシー設定のバックアップ」を参照してください。
ステップ 4 (オプション)Detector モジュールによるネットワーク トラフィックの詳細なサンプル分析に十分な時間だけ、ポリシー構築フェーズを実行した後、ポリシー構築フェーズを停止せずに、Detector モジュールによって提案されたポリシーを受け入れることができます。ポリシーを 1 回受け入れるか、提案されたポリシーを Detector モジュールが指定された間隔で自動的に受け入れるように定義できます。これらの操作を行うと、ゾーンが最新のポリシーを持つだけでなく、引き続きゾーンのトラフィックをラーニングすることを保証できます。
Detector モジュールによって提案されたポリシーを受け入れ、ポリシー構築フェーズを継続するには、次のコマンドを使用します。
Detector モジュールによって提案されたポリシーを指定した間隔で自動的に受け入れるには、次のコマンドを入力します。
詳細については、「ラーニング パラメータの設定」を参照してください。
定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。
ステップ 5 Detector モジュールがネットワーク トラフィックの完全なサンプルを分析できるように十分な時間をおいてから、ポリシー構築フェーズを終了し、新しく構築されたポリシーの処理方法を決定します。
(注) ゾーンが使用する主なサービス(ポートおよびプロトコル)を Detector モジュールが検出するための十分な時間を確保するために、ポリシー構築フェーズを少なくとも 2 時間継続することをお勧めします。
• 提案されたポリシーの受け入れ:Detector モジュールによって提案されたポリシーを受け入れるには、ゾーン設定モードで次のコマンドを入力します。
Detector モジュールは、以前にラーニングしたポリシーとしきい値を消去します。
新しく構築されたポリシーを受け入れた後は、手動でポリシーを追加または削除できます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。
• 提案されたポリシーの拒否:Detector モジュールによって提案されたポリシーを拒否するには、ゾーン設定モードで次のコマンドを入力します。
Detector モジュールはプロセスを停止し、ラーニングした新しいポリシーを保存しません。ゾーンのポリシーは、Detector モジュールがラーニング プロセスを開始する前か、ポリシー構築フェーズの結果を最後に受け入れる前のポリシーになります。
ポリシー構築フェーズを実行した後、しきい値調整フェーズをイネーブルにして各ポリシーのしきい値を調整します(「しきい値調整フェーズのアクティブ化」を参照)。
次の例は、ポリシー構築フェーズを開始し、提案されたポリシーを 12 時間間隔で受け入れる方法を示しています。さらに、ポリシー構築フェーズを停止し、提案されたポリシーを受け入れる方法も示しています。
0 12 0
Detector モジュールがゾーン トラフィックを分析し、ゾーン ポリシーのしきい値を定義できるようにするには、しきい値調整フェーズを使用します。しきい値調整フェーズをトラフィックのピーク時(1 日で最も忙しい部分)に、少なくとも 24 時間実行して、Detector モジュールがポリシーしきい値を正しく調整するために十分な時間を確保することをお勧めします。
(注) 次の手順には、検出およびラーニング機能をイネーブルにするためのコマンドが含まれています。保護およびラーニング機能では、Detector モジュールがしきい値調整と異常検出を同時に実行できます。しきい値調整フェーズを実行する必要がある場合は、検出およびラーニング機能をイネーブルにすることをお勧めします(「検出およびラーニング機能について」を参照)。
ラーニング プロセスのしきい値調整フェーズをアクティブにするには、次の手順を実行します。
ステップ 1 ゾーン設定モードで次のいずれかのコマンドを入力することで、しきい値調整フェーズを実行できます。
• learning threshold-tuning :しきい値調整フェーズだけをイネーブルにします。
• detect learning :検出およびラーニング機能をイネーブルにします。この機能では、しきい値調整フェーズと異常検出が同時に実行されます。 learning threshold-tuning コマンドと detect コマンドを順番に入力することにより(順序は問いません)、検出およびラーニング機能をアクティブにすることもできます。
(注) ゾーン宛のトラフィックが通常の量のときに、検出およびラーニング機能をアクティブにした場合、Detector モジュールは、ピーク時のトラフィックを攻撃と見なす可能性があります。このような場合は、次のいずれかを行うことができます。
• ゾーン設定モードで learning-params threshold-tuned コマンドを入力することで、ゾーン ポリシーしきい値の状態を未調整に設定できます。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。
• ゾーン設定モードで no detect コマンドを入力して、ゾーン異常検出を無効にし、ゾーン ポリシーしきい値を継続してラーニングします。
ステップ 2 Detector モジュールがゾーンのトラフィックのコピーを受信していることを確認します。ポリシー構築フェーズまたはしきい値調整フェーズを開始してから少なくとも 10 秒待ってから、 show rates コマンドを発行します。 Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector モジュールがゾーンのトラフィックのコピーを受信していないことを示します。トラフィックの送信元が、トラフィックのキャプチャについて設定されていることを確認します。詳細については、「トラフィックをキャプチャするためのトラフィックの送信元の設定」を参照してください。
ステップ 3 (オプション) snapshot コマンドを使用して、Detector モジュールが調整中のゾーン ポリシーを表示します(「スナップショットを使用したラーニング プロセスの結果の確認」を参照)。
ステップ 4 提案されたしきい値を受け入れます。Detector モジュールによって現在提案されているしきい値を受け入れ、しきい値調整フェーズを継続できます。また、提案されたポリシーを、指定した間隔で Detector モジュールが自動的に受け入れるように設定できます。これらの操作を行うと、ゾーンが最新のしきい値を持つだけでなく、引き続きゾーン トラフィックをラーニングすることを保証できます。
Detector モジュールによって提案されたポリシーを受け入れ、しきい値調整フェーズを継続するには、次のコマンドを使用します。
[
threshold-selection {new-thresholds | max-thresholds | weighted weight}]
threshold-selection の引数とキーワードについては、表8-2を参照してください。
Detector モジュールによって提案されたポリシーを指定した間隔で自動的に受け入れるには、次のコマンドを入力します。
詳細については、「ラーニング パラメータの設定」を参照してください。
定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。
ステップ 5 Detector モジュールがポリシーしきい値を正しく調整できるように十分な時間をおいてから、しきい値調整フェーズを終了し、現在提案されているしきい値を受け入れるか拒否します。
(注) 検出およびラーニング機能をイネーブルにしている場合は、しきい値調整フェーズを終了しないことをお勧めします。
• 提案されているポリシーの受け入れ:ラーニング プロセスを終了し、Detector モジュールによって提案されたポリシーしきい値を受け入れるには、ゾーン設定モードで次のコマンドを入力します。
[
threshold-selection {new-thresholds | max-thresholds | weighted weight}]
threshold-selection の引数とキーワードについては、 表8-2 を参照してください。
Detector モジュールは、以前にラーニングしたしきい値を新しいしきい値で置き換えます。新しく調整されたポリシーを受け入れた後は、手動でポリシーのパラメータを変更することができます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。
• 提案されたポリシーの拒否:ラーニング プロセスを終了し、Detector モジュールによって提案されたポリシーしきい値を拒否するには、ゾーン設定モードで次のいずれかのコマンドを入力します。
Detector モジュールは、しきい値の調整を停止し、現在のしきい値に変更を加えません。そのプロセスの結果、新しく構築されたゾーン ポリシーには、以前のトラフィック特性に基づいて取得したしきい値が使用される場合があります。後でしきい値調整フェーズを有効にするか、またはそのしきい値を手動で設定することをお勧めします。
検出およびラーニング機能をイネーブルにしている場合は、 deactivate コマンドを使用して、現在提案されているしきい値を保存せずに、異常検出およびしきい値調整フェーズを終了します。
次の例は、しきい値調整フェーズを開始し、提案されたポリシーを 1 時間間隔で受け入れる方法を示しています。Detector モジュールは、次に、しきい値調整フェーズを停止し、しきい値が現在の値よりも大きい場合に、提案されたポリシーを受け入れます(max-thresholds 方式)。
0 1 0
no learning accept threshold-selection max-thresholds
• ラーニング プロセスの結果を表示する: show policies statistics コマンドを使用して、しきい値調整フェーズの結果を表示します(詳細については「ポリシーの表示」を参照)。
• ラーニング プロセスの結果を変更する:通常のトラフィック特性を正確に表していない可能性のあるポリシー パラメータ値を変更します。「ポリシー パラメータの設定」を参照してください。
• ポリシーしきい値を固定値として設定する:次回しきい値調整フェーズをイネーブルにしたときに、Detector モジュールは新しいしきい値を無視し、現在のしきい値を保持します。詳細については、「固定値としてのしきい値の設定」を参照してください。
• ポリシーの固定乗数を設定する:次回しきい値調整フェーズをイネーブルにしたときに、Detector モジュールは、ラーニングしたしきい値に指定の乗数を掛け、その結果にしきい値選択方式を適用することで、新しいポリシーしきい値を計算します。詳細については、「しきい値の乗数の設定」を参照してください。
この項では、ラーニング パラメータを設定して、すべてのゾーン ポリシーに影響する次の機能を管理する方法について説明します。
• Detector モジュールの定期的なアクション:Detector モジュールが自動的にゾーン ポリシーを受け入れ、指定した間隔でゾーン ポリシーのスナップショットを保存するように Detector モジュールを設定します。
• しきい値選択方式:Detector モジュールがしきい値調整フェーズの結果を受け入れて新しいポリシーのしきい値を生成するときに使用される、デフォルトの方式を設定します。
• ゾーン ポリシーの調整状態:現在のゾーン ポリシーの状態を調整済みまたは未調整に設定します。
ラーニング パラメータの現在の設定を表示するには、ゾーン設定モードで show learning-params コマンドを使用します。
指定した間隔で次のいずれかのアクションを実行するように Detector モジュールを設定できます。
• ゾーン ポリシーを自動的に受け入れ、ポリシーのスナップショットを保存する
スナップショットの詳細については、「ラーニング プロセスの結果の確認」を参照してください。
Detector モジュールが実行する定期的なアクションを設定するには、ゾーン設定モードで次のコマンドを入力します。
learning-params periodic-action {auto-accept | snapshot-only} learn_params_days learn_params_hours learn_params_minutes
表8-1 に、 learning-params periodic-action コマンドの引数とキーワードを示します。
|
|
---|---|
Detector モジュールによって提案されたポリシーを、指定された間隔で受け入れます。Detector モジュールは新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。 |
|
指定された間隔でポリシーのスナップショットを保存します。Detector モジュールは新しいポリシーを受け入れず、ポリシーのしきい値を変更しません。 |
|
間隔の値は、 learn_params_days 値 、 learn_params_hours 値、および learn_params_minutes 値の合計となります。
次の例は、Detector モジュールがポリシーを 1 時間間隔で受け入れるように設定する方法を示しています。
0 1 0
しきい値調整フェーズ中に、Detector モジュールが新しいしきい値の生成に使用するデフォルトの方式を定義できます。しきい値調整フェーズの結果を手動で受け入れることも、指定した間隔で Detector モジュールがしきい値調整フェーズの結果を自動的に受け入れるように設定することもできます。
しきい値選択方式を設定するには、ゾーン設定モードで次のコマンドを使用します。
learning-params threshold-selection {new-thresholds | max-thresholds | weighted weight }
表8-2 に、 learning-params threshold-selection コマンドの引数とキーワードを示します。
|
|
---|---|
次の例は、ラーニングされたしきい値が現在のポリシーのしきい値よりも大きい場合に、提案されたポリシーを Detector モジュールが受け入れるように設定する方法を示しています。
Detector モジュールは、ポリシーしきい値が調整されているかどうかを定義するポリシーしきい値の状態にマークを付け、保護およびラーニング機能をイネーブルにするときにこのステータスに関連付けます。ポリシーのしきい値のステータスは、ポリシーのしきい値を超過したときに、Detector モジュールでゾーンに対する攻撃と見なすかどうかを示します。
新しいゾーンが作成されるとき、またはゾーンに関するポリシー構築フェーズの結果を受け入れた後に、Detector モジュールはゾーンのポリシーのしきい値を未調整としてマークします。ゾーン テンプレートのデフォルトのしきい値は、ゾーンのトラフィックに異常を発見した場合に Detector モジュールがスプーフィング防止機能をすぐにアクティブにするように調整されています。保護およびラーニング機能をイネーブルにしている場合、現在のゾーン トラフィックが現在のポリシーしきい値よりも高いと、ラーニング プロセスは停止します。この状況を防ぐために、ゾーン ポリシーが調整されていなければ、検出およびラーニング機能をイネーブルにした場合、ゾーン ポリシーしきい値が受け入れられるまで Detector モジュールはゾーン トラフィックにおける攻撃を検出しません。
ゾーンのポリシーが未調整である場合、Detector モジュールは、新しいポリシーを受け入れるときに、しきい値選択方式 accept-new をアクティブにして、以前のしきい値を無視します。Detector モジュールがそのゾーンに関するラーニング プロセスのしきい値調整フェーズの結果を受け入れるときに、accept-new 以外のしきい値選択方式を使用すると、ポリシーのしきい値の集合が不適切になる場合があります。しきい値の選択方式の詳細については、「しきい値選択方式の設定」を参照してください。
Detector モジュールは、次の場合にゾーンのポリシーを未調整としてマークします。
• ゾーン ポリシーに対してサービスの削除または新しいサービスの追加を行った場合
Detector モジュールは、しきい値調整フェーズの結果を受け入れた後に、ゾーンのポリシーを調整済みとしてマークします。
ユーザは、ゾーン ポリシーの設定を変更できます。ゾーン ポリシーに調整済みのマークを付けるには、ゾーン設定モードで次のコマンドを使用します。
learning-params threshold-tuned
ゾーン ポリシーに未調整のマークを付けるには、このコマンドの no 形式を使用します。
次のどちらかの場合は、ゾーン ポリシーのステータスを調整済みに変更することもできます。
• 新しいゾーンが既存のゾーンまたはスナップショットから複製されており、両方のゾーンのトラフィック特性が似ている場合。
次のどちらかの場合は、ゾーン ポリシーのステータスを未調整に変更することもできます。
• ゾーンの IP アドレスまたはサブネットを変更した場合。
• トラフィックのピーク時の間、検出およびラーニング機能を開始していない場合。ゾーン ポリシーのステータスを未調整に変更し、Detector モジュールがピーク時のトラフィックを攻撃として識別しないようにします。
ゾーン ポリシーが未調整としてマークされている場合、Detector モジュールは現在のポリシーしきい値を監視しません。また、ポリシーしきい値が超過してもゾーンへの攻撃を検出しません。
次の例は、ゾーン ポリシーのステータスに調整済みのマークを付ける方法を示しています。
検出およびラーニング機能を使用することで、ラーニング プロセスのしきい値調整フェーズとゾーン異常検出を同時にイネーブルにできます。Detector モジュールは、ポリシーしきい値を継続的に調整すると同時に、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視します。Detector モジュールは、ゾーンに対する攻撃を検出すると、ラーニング プロセスを停止して悪意のあるトラフィックのしきい値をラーニングしないようにします。Guard をアクティブにして攻撃を軽減するように Detector モジュールを設定している場合、Detector モジュールは Guard をアクティブにした後、Guard を常にポーリングします。Detector モジュールは、Guard がゾーンの保護を非アクティブにしたと判断すると、他のトラフィック異常が存在しないことを確認してから、検出およびラーニング機能を再度アクティブにします。
検出およびラーニング機能をアクティブにする前に、次のアクションを実行します。
• ラーニング プロセスのポリシー構築フェーズをアクティブにして、ゾーン固有のポリシーを構築する(「ポリシー構築フェーズのアクティブ化」を参照)。
• ゾーン設定モードで show learning-params コマンドを使用して、ゾーン ポリシーの現在の調整状態を表示する。ポリシーが調整済みである場合、Detector モジュールは検出およびラーニング動作を実行できます。
ポリシーが未調整である場合、しきい値調整フェーズの結果を 1 回受け入れるまでは、Detector モジュールは次のように動作します。
–ラーニング プロセスのしきい値調整フェーズだけを実行する。Detector モジュールは、トラフィックのポリシーしきい値違反を監視しないため、異常検出を行いません。しきい値調整フェーズの結果を 1 回受け入れた後、Detector モジュールはポリシーを調整済みとしてマークし、トラフィックの異常の監視を開始します。
–しきい値選択方式が max-threshold または weighted に設定されていても、Detector モジュールはしきい値選択方式 accept-new をアクティブにする(「しきい値選択方式の設定」を参照)。しきい値調整フェーズの結果を 1 回受け入れた後、Detector モジュールは、設定されているしきい値選択方式を使用します。
詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。
しきい値調整フェーズの結果を手動で受け入れることも、Detector モジュールが結果を自動的に受け入れるように設定することもできます。Detector モジュールがラーニング プロセスの結果をいつ、どのように受け入れるかを設定することもできます(「ラーニング パラメータの設定」を参照)。
ラーニング プロセスとゾーン異常検出を同時にアクティブにするには、 detect learning コマンドを使用するか、 learning threshold-tuning コマンドと detect コマンドを順番に入力します(順序は問いません)。
しきい値調整フェーズの詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。異常検出をイネーブルにする方法の詳細については、「ゾーン トラフィック異常の検出」を参照してください。
スナップショット機能では、ラーニング プロセスの任意の段階でラーニング パラメータ(サービス、しきい値、その他のポリシー関連のデータ)のコピーを保存できます。スナップショットを使用して、次のタスクを実行できます。
• 2 つのゾーン スナップショットを比較して、ラーニング プロセスの結果を確認し、ポリシー、サービス、およびしきい値の違いをトレースする。
• ラーニング プロセス中に攻撃が発生した場合、トラフィックが通常状態のときに取得されたスナップショットのポリシーを使用して、異常検出を行う。
• スナップショットからゾーン ポリシーをコピーすることで、以前のラーニング結果に基づいてゾーンを設定する。
ラーニング プロセス中、数時間ごとにスナップショットを保存することをお勧めします。スナップショットは、手動で取得することも、指定した間隔で Detector モジュールが自動的に取得するように設定することもできます。Detector モジュールは、スナップショットをゾーンごとに 100 個まで保存できます。以前のスナップショットは新しいスナップショットに置き換えられます。
ゾーンのラーニング パラメータの単一スナップショットを保存することができます。または、指定した間隔で Detector モジュールが自動的にスナップショットを取得するように設定できます。Detector モジュールは、スナップショットの取得中も、ラーニング プロセスを続行します。
Detector モジュールが指定した間隔で自動的にスナップショットを取得するように設定する方法の詳細については、「定期的なアクションの設定」を参照してください。
ゾーンのラーニング パラメータのスナップショットを 1 つ保存するには、ゾーン設定モードで次のコマンドを使用します。
snapshot [threshold-selection {new-thresholds | max-thresholds | cur-thresholds | weighted calc-weight }]
表8-3 に、 snapshot コマンドの引数とキーワードを示します。
次の例は、ポリシーの現在のしきい値とラーニング プロセスの新しいしきい値のうちで最も大きい値をしきい値として持つスナップショットを作成する方法を示しています。
グローバル モードでスナップショットを 1 つ保存するには、次のコマンドを使用します。
snapshot zone-name [ threshold-selection { new-thresholds | max-thresholds | cur-thresholds | weighted weight }]
2 つのスナップショットまたはゾーンのラーニングの結果を比較して、ポリシー、サービス、およびしきい値の違いをトレースできます。
• ゾーンの比較
2 つのスナップショットを比較するには、ゾーン設定モードで次のコマンドを使用します。
diff snapshots snapshot-id1 snapshot-id2 [ percent ]
表8-4 に、 diff コマンドの引数を示します。
次の例は、ゾーンのスナップショットの表示方法と、最新の 2 つのスナップショットを比較する方法を示しています。
グローバル モードでスナップショットを比較するには、次のコマンドを使用します。
diff zone-name snapshots snapshot-id1 snapshot-id2 [ percent ]
2 つのゾーンのラーニング パラメータを比較するには、グローバル モードまたは設定モードで次のコマンドを使用します。
diff zone-name1 zone-name2 [ percent ]
表8-5 に、 diff コマンドの引数を示します。
|
|
---|---|
(オプション)違いの割合。Detector モジュールは、2 つのゾーンを比較して、指定した値よりも大きいポリシーしきい値の違いだけを表示します。デフォルトのパーセンテージは 100% で、Detector モジュールは 2 つのゾーンにおける相違をすべて表示します。 |
次の例は、2 つのゾーンのラーニング パラメータの比較方法を示しています。
ゾーン設定モードで次のコマンドを入力すると、ゾーンのスナップショットまたはスナップショット パラメータのリストが表示され、ゾーンのラーニングの結果を包括的に把握できます。
show snapshots [ snapshot-id [ policies policy-path ]]
表8-6 に、 show snapshots コマンドの引数とキーワードを示します。
|
|
---|---|
(オプション)表示するスナップショットの ID。ポリシーを指定しない場合、デフォルトでは、ゾーンのスナップショットすべてのリストが表示されます。スナップショット ID を表示するには、このコマンドを引数なしで使用します。 |
|
(オプション)表示対象のポリシーのグループを指定します。詳細については、「ゾーン ポリシーについて」を参照してください。 |
グローバル モードでスナップショットを表示するには、次のコマンドを使用します。
show zone zone-name snapshots [ snapshot-id [ policies policy-path ]]
show zone zone-name snapshots snapshot-id policies policy-path コマンド出力のフィールドは、 show policies コマンド出力のフィールドと同じです。詳細については、「ポリシーの表示」を参照してください。
表8-7 に、 show snapshots コマンド出力のフィールドを示します。
|
|
---|---|
|
|
|
次の例は、ゾーンのスナップショットのリストを表示する方法と、スナップショット 2 の dns_tcp に関連するポリシーを表示する方法を示しています。
古いスナップショットを削除して空きディスク スペースを得るには、ゾーン設定モードで次のコマンドを入力します。
snapshot-id 引数には、既存のスナップショットの ID を指定します。すべてのゾーンのスナップショットを削除するには、アスタリスク(*)を入力します。スナップショットの詳細を表示するには、show snapshots コマンドを使用します。
次の例では、すべてのゾーンのスナップショットを削除する方法を示しています。
ポリシーの全体の設定または部分的な設定を現在のゾーンにコピーできます。
• サービスのコピー:ソース ゾーンからゾーンにサービスをコピーできます。サービスをコピーすると、サービス検出のためにポリシー構築フェーズを適用しなくても、ゾーン ポリシーを設定できます。サービスをゾーンにコピーするには、まず、そのゾーンが同様のトラフィック パターンを持つことを確認します。
• ポリシー パラメータのコピー:ゾーン ポリシー パラメータをゾーンのスナップショットのポリシー パラメータに置き換えることができます。この設定を行うことにより、以前のラーニングの結果に戻すことができます。Detector モジュールは、既存ポリシーのパラメータだけをコピーします。
ゾーンのポリシーをコピーするには、ゾーン設定モードで次のコマンドを使用します。
copy-policies { snapshot-id | src-zone-name [ service-path ]}
表8-8 に、copy-policies コマンドの引数とキーワードを示します。
次の例は、ポリシー テンプレート tcp_connections に関連するすべてのサービスを、ゾーン webnet から現在のゾーン scannet にコピーする方法を示しています。
次の例は、ゾーンのスナップショットのリストを表示し、次に ID が 2 のスナップショットからポリシーをコピーする方法を示しています。
ゾーン設定モードで次のコマンドを使用して、いつでも現在のゾーン ポリシーのバックアップを作成できます。
snapshot threshold-selection cur-thresholds
次の例は、現在のゾーン ポリシーのバックアップ方法を示しています。