この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
パケットダンプ キャプチャ機能を使用すると、ネットワークの動作を阻害しないネットワーク タップを使用して、ゾーンのトラフィックのパターンを記録および観察することができます。
ゾーンのトラフィックを記録し、記録したトラフィックからデータベースを作成するように Detector を設定することができます。記録したトラフィックのデータベースにクエリーを実行することにより、過去のイベントの分析やトラフィックのシグニチャの抽出を実行したり、現在のネットワークのトラフィック パターンと Detector が以前に通常の状態で記録したトラフィック パターンを比較することができます。
フィルタを設定すると、特定の条件に適合するトラフィックのみを Detector で記録することができます。また、すべてのトラフィック データを記録して、Detector で表示するデータをフィルタリングすることもできます。Detector は、トラフィックを gzip 圧縮された Packet Capture(PCAP)形式で保存し、記録されたデータを記述した Extensible Markup Language(XML)形式のファイルがこれに付属します。
パケットダンプ機能の重要な用途は、パケットダンプ キャプチャに含まれている攻撃パケットのペイロードに、共通のパターン(シグニチャ)が現れているかどうかを特定することです。Detector では、パケットダンプ キャプチャを分析し、発見した任意のシグニチャを抽出することができます。シグニチャ情報を使用してフレックスコンテンツ フィルタを作成すると、シグニチャに一致するパケット ペイロードを含んでいるトラフィックをすべてブロックできます。
Detector は、次の 2 つの方法でトラフィックを記録します。
• 自動パケットダンプ キャプチャ:Detector は、トラフィック データを継続的にパケットダンプ キャプチャ ファイルに記録します。
• 手動パケットダンプ キャプチャ:Detector は、この機能をアクティブにしたときにトラフィックをパケットダンプ キャプチャ ファイルに記録します。
新しい自動パケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。記録したトラフィックを保存するには、Detector でもう一度トラフィックを記録する前に、パケットダンプ キャプチャ ファイルを FTP サーバにエクスポートします。ゾーンに対して同時にアクティブにできる手動パケットダンプ キャプチャは、1 つのみです。ただし、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector でトラフィックを手動で同時に記録できるゾーンの数は、最大で 10 です。
デフォルトでは、Detector は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
自動パケットダンプ機能は、オンまたはオフに設定します。自動パケットダンプを オン にすると、Detector は継続的にゾーンのトラフィックを記録します。
自動パケットダンプ機能を設定するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。 General 画面が表示され、ゾーンの現在の設定が示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Zone Form の Packet-Dump parameters 領域で、次のいずれかのオプションをクリックします。
• On :自動パケットダンプ キャプチャ機能をイネーブルにします。
• Off :自動パケットダンプ キャプチャ機能をディセーブルにします。
ステップ 5 パケットダンプに使用するディスク スペースの最大容量を入力します。ディスク スペースの単位は、メガバイト(MB)で指定します。
• OK :自動パケットダンプの設定をゾーンの設定の一部として保存します。自動パケットダンプ キャプチャ機能をイネーブルにした場合、Detector はすべてのゾーン トラフィックの記録を開始します。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Config 画面を終了します。
この項の手順では、Detector で手動パケットダンプ キャプチャの開始と終了のタイミングを制御する方法について説明します。手動パケットダンプ キャプチャは、ゾーンごとに 1 つのみアクティブにできます。自動パケットダンプ キャプチャとともにアクティブにすることもできます。
デフォルトでは、Detector は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、不要になったパケットダンプ キャプチャファイルをすべて削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
手動パケットダンプ キャプチャを開始するには、事前にゾーンをアクティブ(ゾーンのトラフィックをラーニングしているか、異常を検出している)にする必要があります。
手動パケットダンプ キャプチャを開始するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Start Packet-Dump を選択します。 Start Packet-Dump 画面が表示されます。
ステップ 3 パケットダンプ キャプチャのパラメータを設定します。 表11-1 に、Start Packet-Dump Form に表示されるパラメータの説明を示します。
|
|
---|---|
パケットダンプに割り当てられる名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
(オプション)記録するトラフィックを指定するために定義するフィルタ。Detector は、フィルタの式に適合するトラフィックのみをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第 5 章「ゾーンのフィルタの設定」 の フレックスコンテンツ フィルタの式の構文について を参照)。 |
|
Detector がキャプチャするゾーンのトラフィック。トラフィックのタイプをドロップダウン リストから選択します。 • dropped :Detector がドロップしたトラフィックのみをキャプチャします。 • forwarded :Detector がゾーンに転送する正当なトラフィックのみをキャプチャします。 • replied :検証の試行で Detector のスプーフィング防止機能およびゾンビ防止機能が送信元に返送したトラフィックのみをキャプチャします。 |
|
サンプリング レート(pps 単位)。1 ~ 10000 の値を入力します。 Detector は、同時に実行される手動キャプチャの累積で最大 10000 パケット/秒のパケットダンプ キャプチャ レートをサポートします。 パケットダンプ キャプチャのサンプリング レートを大きな値に設定すると、リソースの消費量が多くなります。パフォーマンスが低下する可能性があるため、大きいサンプリング レート値を使用する場合は注意してください。 |
|
記録するパケットの数。指定した数のパケットを記録すると、Detector は手動パケットダンプ キャプチャを停止し、情報をキャプチャのバッファからファイルに保存します。1 ~ 5000 の整数を入力します。 |
• OK :パケットダンプ キャプチャのパラメータを保存します。Detector は、キャプチャおよびローカル データベースへの情報の記録を開始します。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Start Packet-Dump 画面を終了します。
キャプチャをアクティブにした場合、Detector は指定した数のパケットを記録すると手動パケットダンプ キャプチャを停止します。ただし、手動パケットダンプ キャプチャは、Detector が指定した数のパケットを記録する前でも停止できます。
手動パケットダンプ キャプチャを停止するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Stop Packet-Dump を選択します。 手動パケットダンプ キャプチャが停止します。
この項の手順では、パケットダンプ キャプチャの詳細の表示、2 つのパケットダンプ キャプチャの比較など、さまざまなパケットダンプ キャプチャ表示オプションにアクセスする方法について説明します。
• Packet-Dump Capture details 画面の表示の変更
パケットダンプ キャプチャのリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet dump list を選択します。 Packet-Dump list 画面が表示されます。
表11-2 に、パケットダンプのリストに含まれているフィールドの説明を示します。
|
|
---|---|
Detector が記録したトラフィックのタイプ。次の 4 つのタイプがあります。 • Dropped :Detector がドロップしたトラフィックのみ。 • Forwarded :Detector がゾーンに転送する正当なトラフィックのみ。 • Replied :検証の試行で Detector のスプーフィング防止機能およびゾンビ防止機能が送信元に返送したトラフィックのみ。 |
表11-3 に、Packet-Dump list 画面の機能ボタンの説明を示します。
|
|
---|---|
手動パケットダンプの動作を制御します。現在の動作ステータスに応じて、手動パケットダンプ機能を Stop または Start に切り替えます。 • Start :手動パケットダンプ キャプチャを開始します。このボタンは、手動パケットダンプが動作していないときのみ表示されます。 • Stop :現在の手動パケットダンプ キャプチャを終了します。このボタンは、手動パケットダンプ機能が動作しているときのみ表示されます。 |
|
パケットダンプ キャプチャの詳細情報を 2 つまで表示します(「パケットダンプ キャプチャの詳細の表示」および「2 つのパケットダンプ キャプチャの比較」の項を参照)。 |
|
パケットダンプ キャプチャに新しいファイル名を適用します(「手動パケットダンプ キャプチャ ファイルの名前変更」の項を参照)。 |
|
パケットダンプ キャプチャをコピーします(「パケットダンプ キャプチャの全体コピーの保存」の項を参照)。 |
|
パケットダンプ キャプチャをアップロードまたはダウンロードします(「パケットダンプ キャプチャ ファイルのエクスポート」および「パケットダンプ キャプチャ ファイルのインポート」の項を参照)。 |
|
パケットダンプ キャプチャをリストおよびデータベースから削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。 |
パケットダンプ キャプチャの詳細を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 View をクリックします。Packet-Dump capture analysis 画面が表示されます。表示される情報に画面フィルタを適用する方法の詳細については、「Packet-Dump Capture details 画面の表示の変更」の項を参照してください。
(注) カラムの情報を基準として Top 20 テーブルと Packets List テーブルの情報をソートするには、テーブルのカラム ヘッダーをクリックします。
表11-4 に、Packet-Dump capture analysis 画面の Capture Parameters 領域と View Parameters 領域に Detector が表示する情報の説明を示します。
|
|
|
---|---|---|
Detector が記録したトラフィックのタイプ。次の 4 つのタイプがあります。 • Dropped :Detector がドロップしたトラフィックのみ。 • Forwarded :Detector がゾーンに転送する正当なトラフィックのみ。 • Replied :検証の試行で Detector のスプーフィング防止機能およびゾンビ防止機能が送信元に返送したトラフィックのみ。 |
||
Detector がキャプチャ情報の表示に使用したデータ プロファイル。 • Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length 各タイプのクエリーに対して Detector がテーブル形式とグラフ形式で表示する情報の詳細については、 表11-5 を参照してください。 |
||
表示パラメータを変更します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。 |
||
パケットダンプ キャプチャのコピーを別のファイル名で保存します(「パケットダンプ キャプチャの全体コピーの保存」の項を参照)。 |
||
トラフィックのシグニチャをパケットダンプ キャプチャから抽出します(「パケットダンプのシグニチャの抽出と使用」の項を参照)。 |
表11-5 に、選択したクエリーのタイプによって Detector が表示するテーブルとグラフの情報を示します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。
|
|
|
---|---|---|
Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length |
||
Packet-Dump Capture details 画面の表示を変更するには、次の手順を実行します。
ステップ 1 Packet-Dump Capture details 画面で、 Change View をクリックします。Change Packet-Dump View Parameters ウィンドウが表示されます。
ステップ 2 パケットダンプ キャプチャの表示パラメータを設定します。
表11-6 は、Change Packet-Dump View Parameters フォームのパラメータについて説明します。
|
|
---|---|
表示するデータ プロファイル。プロファイルによって表示形式も決まります(テーブルまたはグラフ)。使用するプロファイルを Query ドロップダウン リストから選択します。 • TOP 20: SrcIP / DstIP / SrcPort / DstPort / Protocol : 送信元 IP アドレス(SrcIP)や宛先ポート(DstPort)などの選択した Query アトリビュートに関連しているイベントを、多いものから順に 20 個表示します。この情報はテーブル形式で表示されます。 • Distribution: SrcIP / DstIP / SrcPort / DstPort / • Packet View :送信元 IP アドレスと宛先 IP アドレス、送信元ポートと宛先ポートなど、パケットの詳細を表示します。 この情報はテーブル形式で表示されます。 |
|
(オプション)表示するパケットダンプ情報を指定するユーザ定義のフィルタ。表示フィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第 5 章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタの式の構文について」を参照)。使用する表示フィルタを入力します。 |
|
(オプション)パケットの内容と照合するための正規表現データ パターン( 第 5 章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用するデータ パターンを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。デフォルトは 0(ペイロードの先頭)です。使用する開始オフセットを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。使用する終了オフセットを入力します。 |
• OK :表示パラメータを保存します。Detector は、選択した表示パラメータに基づいてパケットダンプ キャプチャの詳細画面をアップデートします。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに View Parameter ウィンドウを閉じます。
2 つのパケットダンプ キャプチャの詳細を比較するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 パケットダンプ キャプチャの隣にあるチェックボックスをオンにして、 基準キャプチャ として表示します。
ステップ 4 パケットダンプ キャプチャの隣にあるチェックボックスをオンにして、 参照キャプチャ として表示します。
ステップ 5 View をクリックします。Packet-Dump capture analysis 画面が表示され、基準と参照のパケットダンプ キャプチャの詳細が示されます。
ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。シグニチャを抽出する場合は、この機能を使用します(Detector は基準キャプチャからシグニチャを抽出します)。シグニチャの抽出については、「パケットダンプのシグニチャの抽出と使用」の項を参照してください。
Packet-Dump capture analysis 画面に表示される情報の詳細については、「パケットダンプ キャプチャの詳細の表示」 の項を参照してください。
• パケットダンプ キャプチャ ファイルのフィルタ適用済みコピーの保存
名前を変更できるのは、手動パケットダンプ キャプチャのみです。
手動パケットダンプ キャプチャの名前を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 名前を変更するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Rename をクリックします。Rename ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャに適用する名前を New name フィールドに入力します。パケットダンプ キャプチャの名前は英数字にします。アンダースコア(_)とハイフン(-)を含めることができますが、スペースを含めることはできません。
• OK :パケットダンプ キャプチャを新しい名前でローカル データベースに保存します。
• Clear :Rename Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Rename ウィンドウを閉じます。
保存機能を使用すると、パケットダンプ キャプチャの全体コピーをローカル データベースに作成できます。自動パケットダンプのコピーを保存する場合、Detector は手動パケットダンプ ファイルとしてコピーを保存します。
保存機能を使用しても、元のパケットダンプ キャプチャはデータベースから削除されません。このため、新しいキャプチャのために追加のディスク スペースが必要な場合は、元のパケットダンプ キャプチャを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
パケットダンプ キャプチャの全体コピーを保存するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 5 Save をクリックします。Save ウィンドウが表示されます。
ステップ 6 新しいファイル名を New name フィールドに入力します。
• OK :パケットダンプ キャプチャの全体コピーをローカル データベースに保存します。
• Clear :Save Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Save ウィンドウを閉じます。
コピー機能を使用すると、パケットダンプ キャプチャ ファイルのコピーを作成してフィルタを適用し、元のパケットダンプ キャプチャを一部のみ選択してコピーすることができます。
コピー機能を使用しても、元のパケットダンプ キャプチャはデータベースから削除されません。このため、新しいキャプチャのために追加のディスク スペースが必要な場合は、元のパケットダンプ キャプチャを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
パケットダンプ キャプチャのフィルタ適用済みコピーを保存するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Copy をクリックします。Copy (save as) ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャのコピーの名前を New name フィールドに入力します。パケットダンプ キャプチャの名前は英数字にします。アンダースコア(_)とハイフン(-)を含めることができますが、スペースを含めることはできません。
ステップ 5 (オプション)キャプチャ全体をコピーしない場合は、パケットダンプ キャプチャのコピーに適用するフィルタを定義します。このフィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第 5 章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタの式の構文について」を参照)。
• OK :パケットダンプ キャプチャのフィルタ適用済みコピーをローカル データベースに保存します。
• Clear :Copy (save as) Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Copy (save as) ウィンドウを閉じます。
パケットダンプ キャプチャ ファイルを手動でネットワーク サーバにエクスポートできます。パケットダンプ キャプチャ ファイルのエクスポートは、1 つのファイルでも、特定ゾーンのすべてのファイルでも可能です。Detector は、パケットダンプ キャプチャ ファイルを gzip 圧縮された PCAP 形式でエクスポートし、記録されたデータについて記述する XML 形式のファイルがこれに付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャをエクスポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 ネットワーク サーバにコピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Export をクリックします。すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。Export File Server Parameters ウィンドウが表示されます。
ステップ 4 Select File Server Parameters フォームで、次のいずれかのオプションから使用するネットワーク サーバを選択して定義します。
• Use automatic export file server definitions :CLI export packet-dump コマンドを使用して Detector コンフィギュレーション内に定義したネットワーク サーバにパケットダンプ キャプチャ ファイルをエクスポートします。
• Use the following server definition :定義したネットワーク サーバにパケットダンプ キャプチャ ファイルをエクスポートします。ネットワーク サーバに関する次の情報を入力します。
– Transfer method :使用する転送プロトコルを選択します。
FTP :FTP サーバにパケットダンプ キャプチャ ファイルをエクスポートします。
SFTP :Secure FTP(SFTP)サーバにパケットダンプ キャプチャ ファイルをエクスポートします。
SCP :Secure Copy(SCP)サーバにパケットダンプ キャプチャ ファイルをエクスポートします。
SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバに攻撃レポートをエクスポートする前に、Detector がセキュアな通信に使用するキーを設定していない場合、Detector はパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector CLI を使用しないと設定できません。
– Address :ネットワーク サーバの IP アドレス。
– Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリに 1 つ以上のファイルを保存します。
– Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector はパスワードを入力するように求めます。
ステップ 5 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。
パケットダンプ キャプチャ ファイルをネットワーク サーバから Detector にインポートできます。この機能により、過去のイベントを分析したり、現在のネットワークのトラフィック パターンと Detector が以前に通常の状態で記録したトラフィック パターンを比較することができます。Detector は、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式でインポートします。
パケットダンプ キャプチャをインポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 Import をクリックします。Import File Server Parameters ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャ ファイルの名前を File name フィールドに入力します。
ステップ 5 Select File Server Parameters フォームで、次のいずれかのオプションから使用するネットワーク サーバを選択して定義します。
• Use automatic export file server definitions :CLI export packet-dump コマンドを使用して Detector コンフィギュレーション内に定義したネットワーク サーバからパケットダンプ キャプチャ ファイルをインポートします。
• Use the following server definition :定義したネットワーク サーバからパケットダンプ キャプチャ ファイルをインポートします。ネットワーク サーバに関する次の情報を入力します。
– Transfer method :使用する転送プロトコルを選択します。
FTP :FTP サーバからパケットダンプ キャプチャ ファイルをインポートします。
SFTP :Secure FTP(SFTP)サーバからパケットダンプ キャプチャ ファイルをインポートします。
SCP :Secure Copy(SCP)サーバからパケットダンプ キャプチャ ファイルをインポートします。
SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバからパケットダンプ キャプチャ ファイルをインポートする前に、Detector がセキュアな通信に使用するキーを設定していない場合、Detector はパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector CLI を使用しないと設定できません。
– Address :ネットワーク サーバの IP アドレス。
– Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。
– Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector はパスワードを入力するように求めます。
ステップ 6 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバからインポートします。
ゾーンごとに保存できる手動パケットダンプ キャプチャ ファイルは 1 つのみであり、Detector にはパケットダンプ キャプチャ ファイルを 10 個まで保存できます。新しいキャプチャのためにディスク スペースを確保するには、以前のパケットダンプ キャプチャを削除する必要があります。
パケットダンプ キャプチャを削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 削除するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Delete をクリックします。すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。ローカル データベースからパケットダンプ キャプチャが削除されます。
シグニチャは、パケットダンプ キャプチャに含まれている攻撃パケットのペイロードに、共通して現れるパターンです。Detector をアクティブにして異常なトラフィックのシグニチャを抽出し、その後の同じタイプの攻撃を迅速に発見するためにそのシグニチャを使用することができます。この機能を使用すると、ウィルス対策ソフトウェア会社からシグニチャやメーリング リストが発行される前に、新しい攻撃とインターネット ワームを検出することができます。
シグニチャの抽出プロセスの実行中、Detector はフレックスコンテンツ フィルタのパターン式の構文を使用して攻撃シグニチャを生成します。このシグニチャをフレックスコンテンツ フィルタのパターンとして使用し、異常なトラフィックをフィルタリングして排除できます。詳細については、 第 5 章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタの式の構文について」の項を参照してください。
• 参照キャプチャを使用したパケットダンプ キャプチャのシグニチャの抽出
パケットダンプ キャプチャから攻撃シグニチャを抽出するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 シグニチャの抽出元となるパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 4 Extract Signatures をクリックします。パケットダンプからシグニチャが抽出され、Packet-Dump signature extraction ウィンドウが表示されます。
表11-7 に、Packet-Dump signature extraction ウィンドウに表示されるシグニチャの情報を示します。
Detector が表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の手順を参照してください。
パケットダンプ キャプチャ ファイルからシグニチャを抽出して、別のパケットダンプ キャプチャ ファイルを参照ファイルとして指定することができます。この参照ファイルは、トラフィックが通常状態のときに記録されたトラフィック キャプチャ ファイルである必要があります。Guard は、トラフィックが通常状態のときに記録されたトラフィックの中に、シグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。
参照ファイルを使用してパケットダンプ キャプチャから攻撃のシグニチャを抽出するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 基準キャプチャとして使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 参照キャプチャとして使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 5 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。基準キャプチャからシグニチャが抽出されます。
ステップ 6 Extract Signatures をクリックします。基準のパケットダンプからシグニチャが抽出され、Packet-Dump signature extraction ウィンドウが表示されます。 表11-7 に、Packet-Dump signature extraction ウィンドウに表示されるシグニチャの情報を示します。
Detector が表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の手順を参照してください。
Detector では、パケットダンプ キャプチャから抽出したシグニチャを使用して、フレックスコンテンツ フィルタを構築することができます。 このフレックスコンテンツ フィルタを使用して、攻撃シグニチャに一致するゾーン トラフィックをブロックすることができます。
攻撃シグニチャをフレックスコンテンツ フィルタに追加するには、次の手順を実行します。
ステップ 1 次のいずれかの手順を実行して、パケットダンプ キャプチャからシグニチャを抽出します。
• 参照キャプチャを使用したパケットダンプ キャプチャのシグニチャの抽出
ステップ 2 Packet-Dump signature extraction ウィンドウで、フレックスコンテンツ フィルタで使用するシグニチャを選択します。
ステップ 3 Add をクリックします。Flex-Content Filters > Add filters - step 2 画面が表示されます。
ステップ 4 フレックスコンテンツ フィルタのパラメータを設定します。 表11-1 に、Flex-Content Filter Form に表示されるフィルタのパラメータの説明を示します。
|
|
---|---|
特定のプロトコルを使用しているトラフィックを処理します。0 ~ 255 のプロトコル番号を入力します。すべてのプロトコル タイプを指定するには、アスタリスク(*)を入力します。 有効なプロトコル番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
特定の宛先ポートに向かうトラフィックを処理します。0 ~ 65,535 の宛先ポート番号を入力します。すべての宛先ポートを指定するには、アスタリスク(*)を入力します。 有効なポート番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
指定した式に基づいてトラフィックをフィルタリングします。フィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第 5 章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタの式の構文について」の項を参照)。使用する式を入力します。 |
|
Detector は、選択したパケットダンプのシグニチャを Pattern フィールドにコピーします。この結果、パケットの内容と照合するための正規表現データ パターンが指定されます。 |
|
データ パターン式で大文字と小文字を区別するかどうかを指定します。大文字と小文字を区別するデータ パターン式として定義するには、チェックボックスをオンにします。 |
|
パケットの内容の先頭から、パターン マッチングを開始する位置までのオフセットを指定します(バイト単位)。デフォルトは 0(ペイロードの先頭)です。開始オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
パケットの内容の先頭から、パターン マッチングを終了する位置までのオフセットを指定します(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。終了オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
トラフィックに対してフレックスコンテンツ フィルタが実行するアクションを指定します。 アクションを Action ドロップダウン リストから選択します。 Detector は、Detector がフィルタに一致するトラフィック フロー パケットをカウントすることを示す count アクションをサポートします。 |
|
GUARD ゾーン テンプレートを使用してゾーンを作成した場合、Cisco Guard が使用する Flex-Content フィルタ アクションを設定できます。アクションを Action ドロップダウン リストから選択します。 |
|
動作状態を State ドロップダウン リストから選択します。 • enable :Detector はフレックスコンテンツ フィルタをトラフィック フローに適用し、一致が検出されると設定されたアクションを実行します。 |
• OK :新しいフレックスコンテンツ フィルタを保存します。Flex-Content filters 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Flex-Content filters 画面を終了します。