この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
パケットダンプ キャプチャ機能を使用すると、ネットワークの動作を阻害しないネットワーク タップを使用して、Detector モジュールでゾーンのトラフィックのパターンを記録および観察するように設定できます。
ネットワークを阻害しないタップを通じてネットワークから直接トラフィックを記録し、記録したトラフィックからデータベースを作成するように Detector モジュールを設定できます。記録したトラフィックのデータベースにクエリーを実行することによって、過去のイベントの分析やトラフィック シグニチャの抽出ができます。また、現在のトラフィックのパターンと Detector モジュールが以前に通常のトラフィック状態で記録したトラフィックのパターンとを比較することも可能です。
Detector モジュールが特定の基準を満たすトラフィックだけを記録するように、フィルタを設定できます。また、すべてのトラフィック データを記録し、Detector モジュールが表示するトラフィックをフィルタリングすることもできます。
Detector モジュールは、gzip (GNU zip)プログラムで圧縮および暗号化された PCAP 形式でトラフィックを保存します。これには、記録されたデータについて記述する Extensible Markup Language (XML)形式のファイルが付属します。
記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに、共通のパターンつまりシグニチャが現れているかどうかを特定することです。Detector モジュールでは、記録されたトラフィックを分析し、シグニチャを抽出することができます。このシグニチャを使用してフレックスコンテンツ フィルタを設定すると、シグニチャに一致するパケット ペイロードを含むトラフィックをすべてブロックできます。
Detector モジュールは、次の 2 つの方法でトラフィックを記録できます。
• 自動:トラフィック データをパケットダンプ キャプチャ ファイルに継続的に記録します。
新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、それらのファイルをネットワーク サーバにエクスポートする必要があります。
• 手動:ユーザがこの機能をアクティブにしたときにトラフィックをパケットダンプ キャプチャ ファイルに記録します。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録したトラフィックを保存するには、Detector モジュールで再度トラフィックを記録する前に、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。
ゾーンに対して同時にアクティブにできる手動パケットダンプ キャプチャは、1 つだけです。ただし、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector モジュールでは、同時に最大 4 つのゾーンのトラフィックを手動で記録できます。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。追加のパケットダンプ キャプチャ ファイルのためにディスク スペースを確保するには、以前のファイルを削除する必要があります。
自動パケットダンプ機能をイネーブルにすると、Detector モジュールはゾーンのトラフィックを記録できます。新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、それらのファイルを FTP サーバにエクスポートする必要があります(「パケットダンプ キャプチャ ファイルのエクスポート」の項を参照)。
自動パケットダンプ機能をイネーブルにするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示され、ゾーンの現在の設定が示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Zone Form の Packet-Dump Parameters 領域で、 On をクリックします。
ステップ 5 OK をクリックして自動パケットダンプ設定を保存します。Detector モジュールはすべてのゾーン トラフィックの記録を開始します。
自動パケットダンプ機能をディセーブルにすると、Detector モジュールはゾーンのトラフィックの記録を停止します。
自動パケットダンプ機能をディセーブルにするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示され、ゾーンの現在の設定が示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Zone Form の Packet-Dump Parameters 領域で、 Off をクリックします。
ステップ 5 OK をクリックして自動パケットダンプをディセーブルにします。Detector モジュールは、ゾーン トラフィックの記録を停止します。
この項の手順では、Detector モジュールで手動パケットダンプ キャプチャの開始と終了のタイミングを制御する方法について説明します。手動パケットダンプ キャプチャは、ゾーンごとに 1 つのみアクティブにできます。自動パケットダンプ キャプチャとともにアクティブにすることもできます。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、不要になったパケットダンプ キャプチャファイルをすべて削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
手動パケットダンプ キャプチャを開始するには、事前にゾーンをアクティブ(ゾーンのトラフィックをラーニングしているか、ゾーン トラフィックの異常を検出している)にする必要があります。
手動パケットダンプ キャプチャを開始するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Start Packet-Dump を選択します。Start Packet-Dump 画面が表示されます。
ステップ 3 パケットダンプ キャプチャのパラメータを設定します。
表11-1 に、Start Packet-Dump Form に表示されるパラメータの説明を示します。
|
|
---|---|
パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
(オプション)記録するトラフィックを指定するために適用するフィルタ。Detector モジュールは、フィルタの式に適合するトラフィックのみをキャプチャします。この式の構文は、フレックスコンテンツ フィルタ式の構文と同じです。( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツの式の構文について」を参照)。 |
|
Detector モジュールがキャプチャするゾーンのトラフィック。Dispatch value の値は DROPPED です。 |
|
サンプリング レート(pps 単位)。 1 1 ~ 10000 の値を入力します。 Detector モジュールは、同時に実行される手動キャプチャすべてについて、累積最大 10,000 パケット/秒のパケットダンプ キャプチャ レートをサポートします。 パケットダンプ キャプチャのサンプリング レートを大きな値に設定すると、リソースの消費量が多くなります。パフォーマンスが低下する可能性があるため、大きいサンプリング レート値を使用する場合は注意してください。 |
|
記録するパケットの数。Detector モジュールは、ユーザが指定した数のパケットを記録すると、手動パケットダンプ キャプチャを停止し、キャプチャ バッファ内の情報をファイルに保存します。1 ~ 5000 の整数を入力します。 |
ステップ 4 OK をクリックすると手動のパケットダンプ キャプチャが開始されます。
Detector モジュールは、ユーザがキャプチャをアクティブにした際に指定した数のパケットを記録すると、手動パケットダンプ キャプチャを停止します。ただし、指定の数のパケットを Detector モジュールが記録する前に、ユーザは手動パケットダンプ キャプチャを停止できます。
手動パケットダンプ キャプチャを停止するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Stop Packet-Dump を選択します。手動パケットダンプ キャプチャが停止します。
この項の手順では、パケットダンプ キャプチャ ファイルのリストや単一のパケットダンプ キャプチャ ファイルの内容の表示方法、および、2 つのパケットダンプ キャプチャの結果を比較する方法について説明します。
• Packet-Dump Capture details 画面の表示の変更
パケットダンプ キャプチャ ファイルのリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump List 画面が表示されます。
表11-2 に、パケットダンプのリストに含まれているフィールドの説明を示します。
|
|
---|---|
トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の構文は、フレックスコンテンツ フィルタ式の構文と同じです。( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツの式の構文について」を参照)。 |
|
Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。 |
表11-3 に、Packet-Dump list 画面の機能ボタンの説明を示します。
|
|
---|---|
手動パケットダンプの動作を制御します。現在の動作ステータスに応じて、手動パケットダンプ機能を Stop または Start に切り替えます。 • Start :手動パケットダンプ キャプチャを開始します。このボタンは、手動パケットダンプが動作していないときのみ表示されます。 • Stop :現在の手動パケットダンプ キャプチャを終了します。このボタンは、手動パケットダンプ機能が動作しているときのみ表示されます。 |
|
パケットダンプ キャプチャ ファイルの詳細情報を 1 つまたは 2 つ表示します(「パケットダンプ キャプチャの詳細の表示」および「2 つのパケットダンプ キャプチャの比較」の項を参照)。 |
|
パケットダンプ キャプチャ ファイルの名前を変更します(「手動パケットダンプ キャプチャ ファイルの名前変更」の項を参照)。 |
|
パケットダンプ キャプチャ ファイルをコピーします(「パケットダンプ キャプチャ ファイルのコピー」の項を参照)。 |
|
パケットダンプ キャプチャ ファイルをエクスポートまたはインポートします(「パケットダンプ キャプチャ ファイルのエクスポート」および「パケットダンプ キャプチャ ファイルのインポート」の項を参照)。 |
|
パケットダンプ キャプチャ ファイルを削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。 |
パケットダンプ キャプチャの詳細を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。
Packet-Dump capture analysis 画面が表示されます。表示される情報に画面フィルタを適用する方法の詳細については、「Packet-Dump Capture details 画面の表示の変更」の項を参照してください。
表11-4 に、Detector モジュールが Packet-Dump capture analysis 画面のキャプチャと表示の各パラメータ領域に表示する情報を示します。
|
|
|
---|---|---|
トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。 |
||
Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。 |
||
キャプチャ情報を表示するために Detector モジュールが使用するデータ プロファイル。 • Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length 各クエリー タイプに対して Detector モジュールが表示する情報の詳細については、 表11-5 を参照してください。 |
||
パケットダンプ キャプチャ ファイルの表示で Detector モジュールが使用するフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。 |
||
Packet-Dump capture analysis 画面には、次のボタンがあります。
• Change View:表示パラメータを変更します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。
• Save:パケットダンプ キャプチャのコピーを別のファイル名で保存します(「パケットダンプ キャプチャ ファイルのコピー」の項を参照)。
• Extract Signature:パケットダンプ キャプチャからトラフィックのシグニチャを抽出します(「パケットダンプ キャプチャからの攻撃シグニチャの抽出」の項を参照)。
表11-5 に、ユーザが選択するクエリー タイプに基づいて Detector モジュールが表示するキャプチャ情報を示します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。
|
|
|
---|---|---|
パケットダンプ キャプチャの実行中に、記録する各イベントに対して Detector モジュールが割り当てるシーケンス番号。 |
||
パケットダンプ キャプチャの実行中に、記録した各イベントに対して Detector モジュールが割り当てるシーケンス番号。 |
||
(注) カラムの情報を基準として Top 20 テーブルと Packets List テーブルの情報をソートするには、テーブルのカラム ヘッダーをクリックします。
Packet-Dump Capture details 画面の表示を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 Change View をクリックします。Change Packet-Dump View Parameters ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャのパラメータの表示を設定します。 表11-6 に、Change Packet-Dump View Parameters Form のパラメータの説明を示します。
|
|
---|---|
表示するデータ プロファイル。使用するプロファイルを Query ドロップダウン リストから選択します。 • TOP 20: SrcIP / DstIP / SrcPort / DstPort / Protocol : ユーザが選択した基準に従ってパケットをグループ化し、20 個のグループを値の多いものから順に表示します。たとえば、表示の基準として Src IP を選択した場合、Detector モジュールはパケットを送信元の IP アドレスに基づいてグループ化し、出現回数の多い順に 20 種類の送信元 IP アドレスに含まれる情報を表示します。この情報はテーブル形式で表示されます。 • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length : ユーザが定義した基準に関して、パケットがどのように分布しているかを示すグラフを表示します。 • Packet View :送信元 IP アドレスと宛先 IP アドレス、送信元ポートと宛先ポートなど、パケットの詳細を表示します。この情報はテーブル形式で表示されます。 |
|
(オプション)表示するパケットを指定するユーザ定義のフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツの式の構文について」の項を参照)。 |
|
(オプション)パケットの内容と照合するための正規表現データ パターン。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、パターンの基準に一致する部分だけを表示します。このパターンの規則は、フレックスコンテンツ パターンの規則と同じです( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用する表示パターンを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。デフォルトは 0(ペイロードの先頭)です。Start Offset パラメータは、Display Pattern フィールドにパターンを入力した場合にのみ適用されます。使用する開始オフセットを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。End Offset パラメータは、Display Pattern フィールドにパターンを入力した場合にのみ適用されます。使用する終了オフセットを入力します。 |
ステップ 5 OK をクリックしてパケットダンプ表示を変更します。Detector モジュールは、ユーザが選択した表示パラメータに基づいて、Packet-Dump Capture details 画面をアップデートします。
2 つのパケットダンプ キャプチャの詳細を比較するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 基準キャプチャ として表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 参照キャプチャ として表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 5 View をクリックします。Packet-Dump capture analysis 画面が表示され、基準と参照のパケットダンプ キャプチャの詳細が示されます。
ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。この機能は、シグニチャを抽出する場合に使用します(Detector モジュールは基準キャプチャからシグニチャを抽出します)。シグニチャの抽出については、「パケットダンプ キャプチャのシグニチャの抽出と使用」の項を参照してください。
Detector モジュールが Packet-Dump capture analysis 画面に表示する情報の詳細については、「パケットダンプ キャプチャの詳細の表示」の項を参照してください。
名前を変更できるのは、手動パケットダンプ キャプチャ ファイルのみです。自動パケットダンプ キャプチャ ファイルの名前を変更するには、ファイルをコピーする必要があります(「パケットダンプ キャプチャ ファイルのコピー」の項を参照してください)。
手動パケットダンプ キャプチャの名前を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 名前を変更するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Rename をクリックします。Rename ウィンドウが表示されます。
ステップ 4 New name フィールドに、パケットダンプ キャプチャ ファイルの新しい名前を入力します。名前は 1 ~ 63 文字の英数字の文字列で、アンダースコアとダッシュを含めることができますが、スペースを含めることはできません。
ステップ 5 OK をクリックすると、新しい名前でパケットダンプ キャプチャが保存されます。
パケットダンプ キャプチャ ファイル(またはファイルの一部)を新しい名前でコピーできます。Detector モジュールは、既存の自動パケットダンプ キャプチャ ファイルを新しいファイルで上書きします。自動または手動のパケットダンプ キャプチャ ファイルをコピーすると、Detector モジュールはこれらのファイルを手動ファイルとして保存し、元のパケットダンプ キャプチャ ファイルを削除しません。ディスク スペースを解放する必要がある場合は、ファイルを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照してください)。
パケットダンプ キャプチャ ファイルをコピーするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Copy をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 4 New name フィールドに、パケットダンプ キャプチャ ファイルの新しい名前を入力します。名前は 1 ~ 63 文字の英数字の文字列で、アンダースコアとダッシュを含めることができますが、スペースを含めることはできません。
ステップ 5 (オプション) Detector モジュールがパケットダンプ キャプチャ ファイルのコピーに使用するフィルタを定義します。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけをコピーします。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツの式の構文について」の項を参照してください)。
ステップ 6 OK をクリックすると、新しい名前でパケットダンプ キャプチャが保存されます。
パケットダンプ キャプチャの詳細を表示することで、ファイルをコピーすることもできます(「パケットダンプ キャプチャの詳細の表示」 の項を参照して、 Save をクリックしてください)。Detector モジュールは表示されるファイル部分を保存します。Detector モジュールが使用する、パケットダンプ キャプチャ ファイルを表示するフィルタを設定すると、Detector モジュールは、フィルタリング基準に一致するパケットダンプ キャプチャ ファイルの部分を保存するときと同じフィルタを使用します。
パケットダンプ キャプチャ ファイルは、FTP、SFTP、または SCP を使用してファイルを転送するネットワーク サーバに手動でエクスポートできます。パケットダンプ キャプチャ ファイルのエクスポートは、1 つのファイルでも、特定ゾーンのすべてのファイルでも可能です。Detector モジュールは、パケットダンプ キャプチャ ファイルを gzip (GNU zip)プログラムで圧縮および暗号化された PCAP 形式でエクスポートします。これには、記録されたデータについて記述する XML 形式のファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
今回のバージョンに付属する .xsd ファイルは、
http://www.cisco.com/public/sw-center/ の Software Center からダウンロードできます。
パケットダンプ キャプチャをエクスポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 エクスポートするパケットダンプ キャプチャ ファイルの隣にあるチェックボックスをオンにし、 Export をクリックします。Export File Server Parameters ウィンドウが表示されます。
すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。
ステップ 4 Select File Server Parameters フォームで、使用するネットワーク サーバを選択します。
• Use automatic export file server definitions :CLI コマンド export packet-dump を使用して、Detector モジュール コンフィギュレーション内に定義したネットワーク サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。
• Use the following server definition :定義したネットワーク サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。ネットワーク サーバに関する次の情報を入力します。
– Transfer method :使用する転送プロトコルを選択します。
FTP :FTP サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。
SFTP :Secure FTP(SFTP)サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。
SCP :Secure Copy(SCP)サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。
SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバに攻撃レポートをエクスポートする前に、Detector モジュールがセキュアな通信に使用するキーを設定していない場合、Detector モジュールはパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector モジュール CLI を使用しないと設定できません。
– Address :ネットワーク サーバの IP アドレス。
– Path :Detector モジュールがパケットダンプ キャプチャ ファイルを保存する完全パス名。パスを指定しない場合、ネットワーク サーバはユーザのホーム ディレクトリにパケットダンプ キャプチャ ファイルを保存します。
– Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。
ステップ 5 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。
パケットダンプ キャプチャ ファイルをネットワーク サーバから Detector モジュールにインポートできます。インポートにより、ユーザは過去のイベントの分析をしたり、現在のネットワーク トラフィックのパターンと、Detector モジュールが以前に通常のトラフィック状態で記録したトラフィックのパターンとを比較したりできます。Detector モジュールは、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式の両方でインポートします。
パケットダンプ キャプチャをインポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 Import をクリックします。Import FTP Server Parameters ウィンドウが表示されます。
ステップ 4 File Name フィールドに、インポートするファイルの完全パスと拡張子を除いたファイル名を入力します。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。
(注) インポートのプロセスが失敗するため、ファイルの拡張子は指定しないでください。
ステップ 5 Select File Server Parameters フォームで、使用するネットワーク サーバを選択します。
• Use automatic export file server definitions :CLI コマンド export packet-dump を使用して、Detector モジュール コンフィギュレーション内に定義したネットワーク サーバから、パケットダンプ キャプチャ ファイルをインポートします。
• Use the following server definition :定義したネットワーク サーバから、パケットダンプ キャプチャ ファイルをインポートします。ネットワーク サーバに関する次の情報を入力します。
– Transfer method :使用する転送プロトコルを選択します。
FTP :FTP サーバに、パケットダンプ キャプチャ ファイルをインポートします。
SFTP :Secure FTP(SFTP)サーバに、パケットダンプ キャプチャ ファイルをインポートします。
SCP :Secure Copy(SCP)サーバに、パケットダンプ キャプチャ ファイルをインポートします。
SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバに攻撃レポートをエクスポートする前に、Detector モジュールがセキュアな通信に使用するキーを設定していない場合、Detector モジュールはパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector モジュール CLI を使用しないと設定できません。
– Address :ネットワーク サーバの IP アドレス。
– Path :Detector モジュールがパケットダンプ キャプチャ ファイルをインポートする完全パス名。パスを指定しない場合、ネットワーク サーバはユーザのホーム ディレクトリからパケットダンプ キャプチャ ファイルをコピーします。
– Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。
ステップ 6 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバからインポートします。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
Detector モジュールには、最大で 10 個のパケットダンプ キャプチャ ファイルを保存できます。新しいファイルのためにディスク スペースを確保するには、以前の手動のパケットダンプ キャプチャ ファイルを削除する必要があります。
パケットダンプ キャプチャを削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 削除するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Delete をクリックします。Detector モジュールは、パケットダンプ キャプチャ ファイルを削除します。
すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。
攻撃のシグニチャは、攻撃パケットのペイロードに共通して現れる一種のパターンです。Detector モジュールをアクティブにして異常なトラフィックのシグニチャを生成し、同一タイプの将来の攻撃を迅速に検出するためにそのシグニチャを使用できます。この機能を使用すると、シグニチャが発行される前でも(ウィルス対策ソフトウェア会社やメーリング リストからなど)、新しい DDos 攻撃とインターネット ワームを検出することができます。
Detector モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用して攻撃シグニチャを生成します。このフレックスコンテンツ フィルタのパターンのシグニチャを使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照してください。
トラフィックが通常状態のときに Detector モジュールが記録した追加のパケットダンプ キャプチャ ファイルを、参照ファイルとして指定することができます。参照用のパケットダンプ キャプチャ ファイルを指定すると、Detector モジュールは異常なトラフィックからシグニチャを生成して、通常のトラフィック状態で記録されたトラフィックの中に、シグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。
• 攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用する
パケットダンプ キャプチャ ファイルから攻撃シグニチャを抽出するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。
ステップ 3 シグニチャの抽出元となるパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 (オプション)参照として使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。この参照ファイルは、トラフィックが通常状態のときに記録されたトラフィック キャプチャ ファイルである必要があります。
ステップ 5 View をクリックします。Packet-Dump Capture Analysis 画面が表示されます。
ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。基準キャプチャからシグニチャが抽出されます。
ステップ 7 Extract Signatures をクリックします。Detector モジュールによって基準パケット ダンプからシグニチャが抽出され、Packet-Dump Signature Extraction ウィンドウが開きます。
表11-7 に、Detector モジュールが Packet-Dump Signature Extraction ウィンドウに表示するシグニチャ情報を示します。
Detector モジュールが表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の項を参照してください。
Detector モジュールでは、パケット ダンプ キャプチャから抽出したシグニチャを使用して、フレックスコンテンツ フィルタを作成できます。このフレックスコンテンツ フィルタを使用して、攻撃シグニチャに一致するゾーン トラフィックをブロックすることができます。
攻撃シグニチャをフレックスコンテンツ フィルタに追加するには、次の手順を実行します。
ステップ 1 パケットダンプ キャプチャからシグニチャを抽出します。詳細については、「パケットダンプ キャプチャからの攻撃シグニチャの抽出」を参照してください。
ステップ 2 Packet-Dump Signature Extraction ウィンドウで、フレックスコンテンツ フィルタで使用するシグニチャを選択し、 Insert Content Filter をクリックします。Flex-Content Filters > Add filter - step 2 画面が表示されます。
ステップ 3 フレックスコンテンツ フィルタのパラメータを設定します。
表11-8 に、Flex-Content Filter Form に表示されるフィルタ パラメータの説明を示します。
|
|
---|---|
特定のプロトコルを使用しているトラフィックを処理します。0 ~ 255 のプロトコル番号を入力します。すべてのプロトコル タイプを指定するには、アスタリスク(*)を入力します。 有効なプロトコル番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
特定の宛先ポートに向かうトラフィックを処理します。0 ~ 65,535 の宛先ポート番号を入力します。すべての宛先ポートを指定するには、アスタリスク(*)を入力します。 有効なポート番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
指定した式に基づいてトラフィックをフィルタリングします( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツの式の構文について」を参照)。使用する式を入力します。 |
|
パケットの内容と照合するための正規表現データ パターンを指定します( 第5章「ゾーンのフィルタの設定」 の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用するデータ パターンを入力します。 |
|
フィルタが一致するパターン式で、大文字と小文字を区別するかどうかを指定します。大文字と小文字を区別するデータ パターン式として定義するには、チェックボックスをオンにします。 |
|
パケットの内容の先頭から、パターン マッチングを開始する位置までのオフセットを指定します(バイト単位)。デフォルトは 0(ペイロードの先頭)です。開始オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
パケットの内容の先頭から、パターン マッチングを終了する位置までのオフセットを指定します(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。終了オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
トラフィックに対してフレックスコンテンツ フィルタが実行するアクションを指定します。 アクションを Action ドロップダウン リストから選択します。 |
|
動作状態を State ドロップダウン リストから選択します。 • enable :Detector モジュールはフィルタをトラフィック フローに適用し、フィルタに一致した場合、設定されたアクションをフローで実行します。 |
ステップ 4 OK をクリックして、新しいフレックスコンテンツ フィルタを保存します。
Detector モジュールでは、パケットダンプ キャプチャの表示をパケットダンプ キャプチャから抽出したシグニチャを使用してフィルタリングできます。
攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用するには、次の手順を実行します。
ステップ 1 パケットダンプ キャプチャからシグニチャを抽出します。詳細については、「パケットダンプ キャプチャからの攻撃シグニチャの抽出」を参照してください。
ステップ 2 Packet-Dump Signature Extraction ウィンドウで、表示パターンとして使用するシグニチャを選択し、 Use as View Filter をクリックします。Packet-Dump capture analysis 画面が表示されます。
表11-9 に、Detector モジュールが Packet-Dump capture analysis 画面のキャプチャと表示の各パラメータ領域に表示する情報を示します。
|
|
|
---|---|---|
トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。 |
||
Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。 |
||
キャプチャ情報を表示するために Detector モジュールが使用するデータ プロファイル。 • Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length 各クエリー タイプに対して Detector モジュールが表示する情報の詳細については、 表11-5 を参照してください。 |
||
パケットダンプ キャプチャ ファイルの表示で Detector モジュールが使用するフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。 |
||