この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザがゾーンの異常検出をアクティブにすると、Detector モジュールは、受信するゾーンのトラフィックのコピーにゾーンのポリシーを適用します。トラフィックの異常によってポリシーのしきい値の超過が発生し(攻撃の兆候が示され)、ポリシーのアクションがトリガーされると、Detector モジュールは、ユーザに通知を送信するか、Cisco Anomaly Guard Module をアクティブにします。この章では、WBM を使用してゾーンの異常の検出をアクティブにし、管理する方法について説明します。
• 異常の検出の管理
Detector モジュールには、異常の検出を実行するためのオプションがいくつか用意されています。たとえば、異常検出の処理すべてをDetector モジュールで管理するように設定することも、攻撃の進行中にユーザが Detector モジュールを監視し、指示することもできます。
ゾーンの異常検出をアクティブにする場合、Detector モジュールでは次のオプションを選択できます。
• Detect:Detector モジュールは、ゾーンのトラフィックを分析し、トラフィックの異常を検出すると、動的フィルタの作成を開始します。
• Detect and Learn:Detector モジュールは、ゾーンのトラフィックに異常がないかどうか分析すると同時に、ラーニング プロセスのしきい値調整フェーズを開始します。Detector モジュールは、しきい値調整フェーズのトラフィックを分析しながら、ゾーン設定のポリシーしきい値を新しいしきい値情報に合せて自動調整します。Detector モジュールは、トラフィックの分析中に攻撃を検出すると、しきい値調整フェーズを一時停止します。ゾーンへの攻撃が終了すると、Detector モジュールは、しきい値調整フェーズと異常の検出をともに再開します。
ゾーンの異常検出がイネーブルの場合、動作モードにより Detector モジュールが動的フィルタをどのようにアクティブにするか定義されます。動作モードは、ゾーンの設定時に定義します。
ゾーン異常検出は、次の 2 つの動作モードでアクティブにできます。
• 自動検出モード:Detector モジュールは、作成した動的フィルタをユーザの介入なしで自動的にアクティブにします。これがデフォルトの動作モードです。
• インタラクティブ検出モード:Detector モジュールはインタラクティブ モードで動的フィルタをアクティブにします。動的フィルタは推奨されるグループに分けられます。動的フィルタを確認して、どれを受け入れるか、無視するか、または自動アクティブ化するかを決定できます。
この項の手順では、ゾーン トラフィックの異常の検出を手動でアクティブまたは非アクティブにする方法について説明します。
ゾーンの異常検出をアクティブにする前に、ラーニング プロセスを使用して Detector モジュールにゾーン トラフィック パターンを学習させることができます。Detector モジュールはゾーンのトラフィック パターンを学習し、ゾーン トラフィックの統計分析に従って一連の推奨しきい値を作成できます。
ゾーンが攻撃を受けていない場合は、Detector モジュールでゾーン ポリシーを構築することをお勧めします。その後 Detect and Learn 機能をイネーブルにします。Detector モジュールは、ゾーン トラフィックをラーニングすると同時に、最後に受け入れられたポリシーしきい値を監視してトラフィックの異常を検出します。Detector モジュールがゾーンで攻撃を検出すると、しきい値調整フェーズを停止しますが、Detector モジュールが悪意あるトラフィックのしきい値をラーニングしないように、ゾーン トラフィックの異常検出を続行します。ラーニング プロセスの詳細については、 第7章「ゾーン トラフィックのラーニング」 を参照してください。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、異常の検出をアクティブにします。
• 検出をアクティブにするには、 Detect をクリックするか、ゾーンのメイン メニューの Detection > Detect を選択します。
• Detect and Learn をアクティブにするには、 Detect & Learn をクリックします。
Detector モジュールがトラフィック フローの分析を開始して、トラフィックの異常を検出します。
ナビゲーション ペインの Under Detection ゾーン リストにゾーン名が追加され、Recent Events テーブルには、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。
ゾーンのステータス画面からトラフィックのカウンタを表示すると、異常の検出プロセスが正常に動作しているかどうかを確認できます。
ナビゲーション ペインで、検出実行中のゾーンをクリックしてゾーンのステータス画面を表示します。次の条件を満たしている場合、異常の検出が機能しています。
• Recent Events テーブルに、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。
ステップ 1 ナビゲーション ペインで、検出中のゾーンをクリックします。ゾーンのメイン メニューとゾーンのステータス ページが表示されます。
ステップ 2 次のいずれかの方法で、異常の検出を非アクティブにします。
• ゾーンのステータス画面の Deactivate をクリックします。
• ゾーンのメイン メニューの Detection > Deactivate を選択します。
検出機能がイネーブルの場合、Detector モジュールはゾーン トラフィックの分析を停止し、ゾーンのステータスがスタンバイ に変更されます。
Detect and Learn 機能がイネーブルの場合は、Deactivate ウィンドウが表示されます。
ステップ 3 Stop Detection チェックボックスをオンにします。
ステップ 4 (オプション)ラーニング プロセスのしきい値調整フェーズを停止するには、Stop Learning チェックボックスをオンにします。
a. Deactivate ウィンドウから次のいずれかのオプションを選択して、Detector モジュールによる新しいしきい値の処理方法を定義します。
• Reject :しきい値調整フェーズの現在の結果を無視します。
• Accept :しきい値調整フェーズの現在の結果をゾーンの設定に使用します。使用するしきい値の選択方法を定義します。
表9-1 に、しきい値の選択方法のパラメータの説明を示します。
Detector モジュールはゾーン トラフィックの分析を停止し、ナビゲーション ペインの Under Detection リストからゾーン名が削除されます。
動的フィルタは、必要な保護レベルをトラフィック フローに適用し、攻撃の対処法を定義します。 Detector モジュールはゾーン トラフィックの異常を検出した場合に動的フィルタを作成しますが、これは、フローがゾーン ポリシーのしきい値を超過した場合に実行されます。この一連のフィルタは、ゾーン トラフィックおよび特定の DDoS 攻撃に対して継続的に適用されます。Detector モジュールは、ユーザが異常検出をアクティブにした後にのみ動的フィルタを作成します。このため、動的フィルタを表示および管理できるのは、Detector モジュールがゾーン トラフィックに異常を検出したときのみです。
攻撃中に手動でゾーンの異常検出を制御するには、攻撃中に動的フィルタを追加または削除します。Detector モジュールは、攻撃が終了するとすべての動的フィルタを削除します。Detector モジュールは、すべてのゾーンで最大 150,000 の動的フィルタを同時にアクティブにします。
ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス テーブルの Active Dynamic filters をクリックします。
動的フィルタのテーブルには、動的フィルタを作成したポリシーに基づいてフィルタリングされた動的フィルタが示され、進行中の攻撃に関する情報を提供します。 表9-2 に、動的フィルタのテーブルに表示される情報の説明を示します。
|
|
---|---|
Detector モジュールは、宛先 IP アドレスと、ゾーンに設定された Protect-IP state の値に基づいて、Cisco Anomaly Guard Module 上で保護をアクティブにします。 |
|
このフィルタに対して測定された pps 1 単位の現在のトラフィック レート。 |
|
Src IP、Protocol、および Dst Port は特定のものでなくても問題ありません。アスタリスク(*)は、このフィルタがすべてのフィールド値に対応しているか、複数の値がフィルタに一致したことを示します。
特定の動的フィルタの詳細の表示については、「動的フィルタの詳細の表示」の項を参照してください。
特定の動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス テーブルの Active Dynamic filters をクリックします。
ステップ 3 Dynamic filter 画面の Details カラムで i をクリックすると、フィルタの詳細情報が表示されます。Dynamic filter details 画面が表示されます。
Dynamic filter details 画面には、次の情報を表示する 3 つのテーブルがあります。
• 動的フィルタを作成したトリガーに関する情報。 表9-3 に、トリガーのパラメータの説明を示します。
|
|
---|---|
ゾーンに対する攻撃中に、動的フィルタを追加して、ゾーンの異常検出を管理できます。リモート Guard リストに定義された Cisco Anomaly Guard Module(リモート Guard)をアクティブにしてゾーンを保護するよう、動的フィルタを設定することができます。動的フィルタの宛先 IP アドレスは、ゾーンに設定された Protect-IP state およびアドレス範囲に一致する必要があります。一致しない場合、リモート アクティベーションは失敗します。次のいずれかの方法で、リモート Guard 上でゾーン保護をアクティブにするように動的フィルタを設定できます。
• リモート Guard 上で、ゾーン全体に対してゾーン保護をアクティブにする:ゾーン全体に対してゾーン保護をアクティブにするには、Destination IP フィールドにアスタリスク(*)を入力するか、フィールドをブランクのままにします。
ゾーンの Protect-IP state を Entire Zone または Policy type に設定する必要があります。
• リモート Guard 上で、ゾーンの IP アドレス範囲内の特定の IP アドレスのみ、ゾーン保護をアクティブにする:特定の IP アドレスに対してゾーン保護をアクティブにするには、Destination IP フィールドにその IP アドレスを入力します。
ゾーンの Protect-IP state を Only Dst IP に設定する必要があります。
リモート Guard リストの設定は、CLI を使用しないと設定できません。CLI の使用の詳細については、『 Cisco Traffic Anomaly Detector Configuration Guide 』を参照してください。
ゾーンの Protect-IP state の詳細については、「Guard ゾーンの設定」を参照してください。
ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
ステップ 3 Add をクリックします。Add Dynamic Filter 画面が表示されます。
表9-4 の説明に従って、動的フィルタのパラメータを定義します。
ステップ 4 OK をクリックして動的フィルタをアクティブにします。
すべての動的フィルタを削除できますが、削除が有効な期間は限られています。これは、動的に変化するトラフィックの状態に合せて、Detector モジュールが攻撃の進行中に新しい動的フィルタを設定し続けるためです。
ステップ 1 ナビゲーション ペインで、検出中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス テーブルの Active Dynamic filters をクリックします。
ステップ 3 削除する動的フィルタの隣にあるチェックボックスをオンにします。
ステップ 4 Delete をクリックして動的フィルタを削除します。
Detector モジュールで不要な動的フィルタが作成されないようにするには、次のいずれかのアクションを実行できます。
• 動的フィルタを作成するポリシーを非アクティブにする。ポリシーの動作状態の変更の詳細については、 第8章「ゾーンのポリシーの管理」 の「ポリシーのパラメータの変更」の項を参照してください。動的フィルタのリストを表示して、不要な動的フィルタを作成したポリシーを検索するには、「動的フィルタのリストの表示」の項を参照してください。
• 対象となるトラフィック フローにバイパス フィルタを設定する。バイパス フィルタの設定の詳細については、 第5章「ゾーンのフィルタの設定」 の「バイパス フィルタの管理」の項を参照してください。
• 不要な動的フィルタを作成したポリシーのしきい値を大きくする。ポリシーのしきい値の変更の詳細については、 第8章「ゾーンのポリシーの管理」 の「ポリシーのパラメータの変更」の項を参照してください。
Detector モジュールがゾーンに対する攻撃を検出したときに、どのように動的フィルタをアクティブにするかを設定できます。次のいずれかのモードで動作するように Detector モジュールを設定できます。
• 自動検出モード:Detector モジュールは、動的フィルタを作成すると、それらをすべてアクティブにします。
• インタラクティブ検出モード:ユーザは、Detector モジュールが攻撃の進行中に作成する動的フィルタの推奨事項に対応する必要があります。Detector モジュールの推奨事項をアクティブにすることも、無視することもできます。
ゾーンの検出モードは、ゾーンの設定の一部として設定します。ゾーンの検出モードの設定値は、Detector モジュールがゾーンへの攻撃を管理している間を含め、いつでも変更できます。
自動検出モードは、新しいゾーンのデフォルトの検出モードです。ゾーンの検出モード設定値は、いつでも変更することができます。ゾーンを自動検出モードでアクティブにするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。
ステップ 5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。ゾーンの動作が現在アクティブになっている場合、Detector モジュールは、すべての保留および新規の動的フィルタを自動的にアクティブにします。
ゾーンをインタラクティブ検出モードでアクティブにするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Operation Mode parameter ドロップダウン リストから、 interactive を選択します。
ステップ 5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。異常の検出が現在アクティブになっている場合、Detector モジュールは攻撃を検出すると推奨事項を作成します。
Detector モジュールが保留している動的フィルタの数が 1,000 を超えると、次のアクションが実行されます。
• ゾーンを非アクティブにして自動検出モードで再度アクティブにするよう指示するエラー メッセージを表示する。
• ゾーンのログ ファイルおよびレポートに推奨事項を記録後、推奨事項を破棄する。
Detector モジュールの保留動的フィルタが 1,000 個を超える場合にゾーン トラフィックの異常を検出するには、次の手順を実行してゾーンに自動検出モードを設定する必要があります。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 Deactivate をクリックします。Detector モジュールは異常の検出を停止し、すべての保留動的フィルタを削除します。
ステップ 3 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 4 Config をクリックします。Config 画面が表示されます。
ステップ 5 Operation Mode ドロップダウン リストから automatic を選択して、 OK をクリックします。ゾーンの設定が、新しい異常検出設定でアップデートされます。
ステップ 6 Protect をクリックします。Detector モジュールはゾーンの自動動作を開始し、動的フィルタを作成すると、それらをすべてアクティブにします。
インタラクティブ検出モードで異常の検出を実行する場合、Detector モジュールは、攻撃の進行中に動的フィルタのキューを作成します。キューイングされた動的フィルタは、保留動的フィルタと呼ばれます。Detector モジュールは、保留動的フィルタを作成したポリシーに従って保留動的フィルタをグループ化し、Detector モジュールの推奨事項としてユーザに提示します。この推奨事項は、保留フィルタの要約と、保留動的フィルタの作成の元になるポリシーの名前、ポリシーのアクティベーションの原因となったトラフィック異常に関するデータ、保留動的フィルタの数、および推奨アクションについての情報を提供します。ユーザは Detector モジュールの推奨事項(関連付けられているすべての保留動的フィルタを含む)に対応することも、各保留動的フィルタに個別に対応することもできます。
• 推奨事項の表示
• 推奨事項の管理
Detector モジュールでは、新しい推奨事項が使用可能になると、次の場所に推奨事項のアイコン が表示されます。
• ナビゲーション ペインにある、All Zones リストのゾーン アイコンの隣
• ナビゲーション ペインにある、Under Detection リストのゾーン アイコンの隣
• ゾーン ステータス ページにあるゾーン ステータス バー
Detector モジュールに新しい推奨事項がある場合は、保留動的フィルタの数が 0 を超えています。Detector モジュールは、ゾーン ステータス画面にある保留動的フィルタの数をゾーン ステータス テーブルに表示します。
Detector モジュールの推奨事項のリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。
表9-5 に、推奨事項テーブルに含まれているフィールドの説明を示します。
推奨事項をアクティブにするかどうかを決定できます。すべての推奨事項、特定の推奨事項、または特定の保留動的フィルタに対して決定することができます。その決定により、ポリシーの保留動的フィルタが動的フィルタになるかどうか、およびその期間が決まります。
特定のポリシーの保留動的フィルタを自動的にアクティブにするよう、Detector モジュールに指示できます。また、ポリシーによって推奨事項が生成されないように Detector モジュールに指示することもできます。Detector モジュールのポリシーは、ゾーンがインタラクティブ保護モードで、DDoS 攻撃が進行中の場合、推奨事項を継続して作成します。ゾーンのステータスを検証して、さらにアクションが必要かどうかを判断するために推奨事項を管理する場合、ゾーンのステータスを表示することをお勧めします。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。
ステップ 3 Filters timeout ボックスに、フィルタのタイムアウト値を秒単位で入力します。
ステップ 4 受け入れる推奨事項の隣にあるチェックボックスをオンにします。
• accept :特定の推奨事項を受け入れます。Detector モジュールは、当該推奨事項に関連付けられている保留動的フィルタをアクティブにします。
• always-accept :特定の推奨事項を受け入れます。推奨ポリシーにより新しい推奨事項が生成されると、この決定は必ず自動的に適用されます。保留動的フィルタは、自動的に動的フィルタになります。このアクションを実行すると、Detector モジュールはこのような推奨事項を表示しなくなります。
• always-ignore :特定の推奨事項を常に無視します。動的フィルタも保留動的フィルタも作成されません。この決定は、ポリシーにより作成される将来のすべての推奨事項に自動的に適用されます。推奨事項を常に無視するように決定した場合、Detector モジュールは推奨事項を表示しなくなります。将来の攻撃でポリシーが推奨事項を作成しないようにするには、そのポリシーをディセーブルまたは非アクティブにします( 第8章「ゾーンのポリシーの管理」 の「ポリシーのパラメータの変更」の項を参照)。
特定の推奨事項への対応として決定した always-ignore は、その推奨事項の保留動的フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。
必要に応じて、推奨事項に関連付けられている保留動的フィルタをすべて受け入れるのではなく、保留動的フィルタの一部を選択して受け入れることもできます。詳細については、「保留動的フィルタの受け入れ」の項を参照してください。
Detector モジュールの推奨事項に関連付けられている保留動的フィルタを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。
ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
表9-6 に、保留動的フィルタのテーブルに含まれているフィールドの説明を示します。
|
|
---|---|
フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、 第8章「ゾーンのポリシーの管理」 を参照してください。 |
|
Detector モジュールは、パラメータの 1 つにワイルドカードとしてアスタリスク(*)を使用します。
Detector モジュールでは、ポリシーが作成した保留動的フィルタは少なくともユーザが定義した期間中(フィルタ タイムアウト)はアクティブになります。
動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。
ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending Dynamic Filters 画面が表示されます。
ステップ 4 保留動的フィルタの Details カラムにある i をクリックします。Filter Details 画面が表示されます。
Filter Details 画面には、次の情報を表示する 3 つのテーブルがあります。
• フィルタ作成のトリガー(攻撃フローが超過したポリシーのしきい値、およびフィルタ作成の原因となった攻撃の概算レートを表示)。
保留動的フィルタを選択的に受け入れるには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーン ステータス画面のゾーンのステータス テーブルで、 Pending Dynamic filters をクリックします。
ステップ 3 推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
ステップ 4 Filters timeout ボックスに、動的フィルタのタイムアウト値を秒単位で入力します。
ステップ 5 アクティブにする保留動的フィルタの隣にあるチェックボックスをオンにします。
ステップ 6 Accept をクリックして保留動的フィルタをアクティブにします。