この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザがゾーンの異常検出をアクティブにすると、Detector モジュールは、受信するゾーンのトラフィックのコピーにゾーンのポリシーを適用します。トラフィックの異常によってポリシーのしきい値の超過が発生し(攻撃の兆候が示され)、ポリシーのアクションがトリガーされると、Detector モジュールは、ユーザに通知を送信するか、Cisco Anomaly Guard Module をアクティブにします。この章では、WBM を使用してゾーンの異常の検出をアクティブにし、管理する方法について説明します。
• 異常の検出の管理
Detector モジュールには、異常の検出を実行するためのオプションがいくつか用意されています。たとえば、異常検出の処理すべてをDetector モジュールで管理するように設定することも、攻撃の進行中にユーザが Detector モジュールを監視し、指示することもできます。
WBM を使用してゾーンの異常検出を手動でアクティブにする場合、Detector モジュールでは次のオプションを選択できます。
• Detect:Detector モジュールは、ゾーンのトラフィックを分析し、トラフィックの異常を検出すると、動的フィルタの作成を開始します。
• Detect and Learn:Detector モジュールは、ゾーンのトラフィックに異常がないかどうか分析すると同時に、ラーニング プロセスのしきい値調整フェーズを開始します。Detector モジュールは、しきい値調整フェーズのトラフィックを分析しながら、ゾーン設定のポリシーしきい値を新しいしきい値情報に合せて自動調整します。Detector モジュールは、トラフィックの分析中に攻撃を検出すると、しきい値調整フェーズを一時停止します。ゾーンへの攻撃が終了すると、Detector モジュールは、しきい値調整フェーズと異常の検出をともに再開します。
Detector モジュールは、攻撃の進行中に 2 つの動作モードのいずれかで動作し、作成した動作フィルタを自動的にアクティブにするか、動的フィルタをアクティブにするかどうかユーザが決定するのを待ちます。ゾーン設定を定義する場合、次のいずれかの設定を選択して、Detector モジュールの動作モードを設定します。
• Automatic operation mode :Detector モジュールは、作成した動的フィルタをユーザの介入なしで自動的にアクティブにします。
• Interactive operation mode :Detector モジュールが作成した動的フィルタをアクティブにするか無視するかをユーザが選択します。インタラクティブ動作モードを使用すると、Detector モジュールで攻撃の分析、および提案された動的フィルタのキューイングを継続しながら、ユーザは異常検出の手段を決定できます。
この項の手順では、ゾーン トラフィックの異常の検出を手動でアクティブまたは非アクティブにする方法について説明します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、異常の検出をアクティブにします。
• ゾーンのステータス画面の Detect & Learn または Detect をクリックします。
• ゾーンのメイン メニューの Detection > Detect を選択します。
• Detector モジュールがトラフィック フローの分析を開始して、トラフィックの異常を検出します。
• ゾーンの名前が、ナビゲーション ペインの Under Detection ゾーン リストに追加されます。
• ゾーンのステータス アイコンが、スタンバイ
から検出
に変更されます。
• Recent Events テーブルに、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。
ゾーンのステータス画面からトラフィックのカウンタを表示すると、異常の検出プロセスが正常に動作しているかどうかを確認できます。
ナビゲーション ペインで、検出実行中のゾーンをクリックしてゾーンのステータス画面を表示します。次の条件を満たしている場合、異常の検出が機能しています。
• Recent Events テーブルに、検出が実行されているゾーンの詳細なリストとともに、検出開始のイベント タイプが表示されます。
ステップ1 ナビゲーション ペインで、検出実行中のゾーンをクリックします。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、異常の検出を非アクティブにします。
• ゾーンのステータス画面の Deactivate をクリックします。
• ゾーンのメイン メニューの Detection > Deactivate を選択します。
• Detector モジュールは、ゾーン トラフィックの分析を停止します。
• ゾーンの名前が、ナビゲーション ペインの Protected Zones リストから削除されます。
• ゾーンのステータス アイコンが、検出
からスタンバイ
に変更されます。
• Recent Events テーブルに、検出が実行されていないゾーンの詳細なリストとともに、検出停止のイベント タイプが表示されます。
Detector モジュールは、ユーザがゾーンの異常検出をアクティブにし、Detector モジュールで攻撃を検出した後でのみ、動的フィルタを作成します。このため、動的フィルタを表示および管理できるのは、ゾーンに対する攻撃が発生しているときのみです。
ステップ1 ナビゲーション ペインで、検出実行中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
動的フィルタのテーブルには、動的フィルタを作成したポリシーに基づいてフィルタリングされた動的フィルタが示され、進行中の攻撃に関する情報が表示されます。 表 9-1 に、動的フィルタのテーブルに表示される情報の説明を示します。
|
|
---|---|
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
特定の動的フィルタの詳細の表示については、「動的フィルタの詳細の表示」の項を参照してください。
特定の動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ1 ナビゲーション ペインで、検出実行中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
ステップ3 目的の動的フィルタの Details カラムにある i をクリックします。Dynamic filter details 画面が表示されます。
Dynamic filter details 画面には、次の情報を表示する 3 つのテーブルが含まれています。
• 動的フィルタを作成したトリガーに関する情報。 表 9-2 に、トリガーのパラメータの説明を示します。
|
|
---|---|
すべての動的フィルタを削除できますが、削除が有効である期間は限られています。これは、動的に変化するトラフィックの状態に合せて、Detector モジュールが攻撃の進行中に新しい動的フィルタを設定し続けるためです。
ステップ1 ナビゲーション ペインで、検出実行中のゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Detection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
ステップ3 削除する動的フィルタの隣にあるチェックボックスをオンにします。
ステップ4 Delete をクリックします。動的フィルタが削除されます。
Detector モジュールで不要な動的フィルタが作成されないようにするには、次の方法があります。
• 動的フィルタを作成するポリシーを非アクティブにする。ポリシーの動作状態の変更の詳細については、 第 8 章「ゾーンのポリシーの管理」 の「単一のポリシーの変更」の項を参照してください。動的フィルタのリストを表示して、不要な動的フィルタを作成したポリシーを発見するには、「動的フィルタのリストの表示」の項を参照してください。
• 対象となるトラフィック フローにバイパス フィルタを設定する。バイパス フィルタの設定の詳細については、 第 5 章「ゾーンのフィルタの設定」 の「バイパス フィルタの管理」の項を参照してください。
• 不要な動的フィルタを作成したポリシーのしきい値を大きくする。ポリシーのしきい値の変更の詳細については、 第 8 章「ゾーンのポリシーの管理」 の「単一のポリシーの変更」の項を参照してください。
インタラクティブ保護モードで異常の検出を実行する場合、Detector モジュールは、攻撃の進行中に作成する動的フィルタのキューを作成します。キューイングされた動的フィルタは、保留動的フィルタと呼ばれます。Detector モジュールは、保留動的フィルタを作成したポリシーに従って保留動的フィルタをグループ化し、Detector モジュールの推奨事項としてユーザに提示します。ユーザは Detector モジュールの推奨事項(関連付けられているすべての保留動的フィルタを含む)に対応することも、各保留動的フィルタに個別に対応することもできます。
• Detector モジュールの推奨事項の表示と推奨事項への対応
Detector モジュールでは、新しい推奨事項が使用可能になると、Detector モジュールの推奨事項のアイコン が表示されます。このアイコンは、次の位置に表示されます。
• ナビゲーション ペインにある、 All Zones リストのゾーン アイコンの隣
• ナビゲーション ペインにある、 Protected Zones リストのゾーン アイコンの隣
• ゾーン ステータス ページにあるゾーン ステータス バー
Detector モジュールに新しい推奨事項がある場合は、ゾーンのステータス画面に表示される保留動的フィルタの数が 0 を超えています。
Detector モジュールの推奨事項のリストを表示するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
表 9-3 に、推奨事項テーブルに含まれているフィールドの説明を示します。
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
• Detector モジュールが、フィルタのパラメータに対して複数の値を測定した。異なる値を表示するには、すべての保留動的フィルタのリストを確認します。
Detector モジュールの推奨事項を表示し、推奨事項に対応するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ3 Filters timeout ボックスに、フィルタのタイムアウト値(秒)を入力します。
ステップ4 目的の推奨事項の隣にあるチェックボックスをオンにします。
• accept :特定の推奨事項を受け入れます。Detector モジュールは、当該推奨事項に関連付けられている保留動的フィルタをアクティブにします。
• always-accept :特定の推奨事項を常に受け入れます。現在の攻撃が進行している間、Detector モジュールは、当該推奨事項を作成したポリシーの推奨事項を自動的に受け入れます。Detector モジュールは、 always-accept 推奨事項を表示しません。
• always-ignore :特定の推奨事項を常に無視します。現在の攻撃が進行している間、Detector モジュールは、当該推奨事項を作成したポリシーの推奨事項を自動的に無視します。将来の攻撃でポリシーが推奨事項を作成しないようにするには、そのポリシーをディセーブルまたは非アクティブにします( 第 8 章「ゾーンのポリシーの管理」 の「単一のポリシーの変更」の項を参照)。
特定の推奨事項への対応として決定した always-ignore は、その推奨事項の保留動的フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。
必要に応じて、推奨事項に関連付けられている動的フィルタをすべて受け入れるのではなく、保留動的フィルタの一部を選択して受け入れることもできます。詳細については、「保留動的フィルタの受け入れ」の項を参照してください。
Detector モジュールの推奨事項に関連付けられている保留動的フィルタを表示するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
表 9-4 に、保留動的フィルタのテーブルに含まれているフィールドの説明を示します。
|
|
---|---|
フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、 第 8 章「ゾーンのポリシーの管理」 を参照してください。 |
|
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
Detector モジュールでは、ポリシーが作成した動的フィルタは少なくともユーザが定義した期間中(フィルタ タイムアウト)はアクティブになります。
動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
ステップ4 目的の保留動的フィルタの Details カラムにある i をクリックします。Filter details 画面が表示されます。
保留動的フィルタの詳細には、次の情報を表示する 3 つのテーブルが含まれています。
• フィルタ作成のトリガー。このテーブルには、攻撃トラフィックが超過したポリシーのしきい値、およびフィルタ作成の原因となった攻撃の概算レートが表示されます。
保留動的フィルタの一部を選択して受け入れるには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Detection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
ステップ4 Filters timeout ボックスに、動的フィルタのタイムアウト値(秒)を入力します。
ステップ5 目的の保留動的フィルタ(アクティブにするフィルタ)の隣にあるチェックボックスをオンにします。
ステップ6 Accept をクリックします。選択した保留動的フィルタがアクティブになります。
ゾーンへの攻撃を管理するときの Detector モジュールの動作モードによって、攻撃の進行中に動的フィルタがアクティブにされる方法が決まります。次のいずれかのモードで動作するように Detector モジュールを設定できます。
• 自動動作モード:Detector モジュールは、動的フィルタを作成すると、それらをすべてアクティブにします。
• インタラクティブ動作モード:ユーザは、Detector モジュールが攻撃の進行中に作成する動的フィルタの推奨事項に対応する必要があります。Detector モジュールの推奨事項をアクティブにすることも、無視することもできます。
ゾーンの動作モードは、ゾーンの設定の一部として設定します。ゾーンの動作モードの設定値は、Detector モジュールがゾーンへの攻撃を管理している間を含め、いつでも変更できます。
ゾーンの動作モード設定をインタラクティブから自動に変更するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ3 Config をクリックします。Config 画面が表示されます。
ステップ4 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。
ステップ5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。ゾーンの動作が現在アクティブになっている場合、Detector モジュールは、すべての保留および新規の動的フィルタを自動的にアクティブにします。
ゾーンの動作モード設定を自動からインタラクティブに変更するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ3 Config をクリックします。Config 画面が表示されます。
ステップ4 Operation Mode parameter ドロップダウン リストから、 interactive を選択します。
ステップ5 OK をクリックします。Detector モジュールが、ゾーンの設定を新しい動作モード設定でアップデートします。異常の検出が現在アクティブになっている場合、Detector モジュールは攻撃を検出すると推奨事項を作成します。
ゾーンのステータス画面に表示される保留動的フィルタの数が 1,000 を超えると、Detector モジュールは、ログ ファイルに新しい推奨事項の情報を記録してから、それらの推奨事項の廃棄を開始します。保留動的フィルタの数が 1,000 を超えた場合は、ゾーンの動作モードを自動に変更することをお勧めします。自動動作モードで動作している場合、Detector モジュールは動的フィルタを作成すると、それらをすべてアクティブにします。
(注) 保留動的フィルタの数が 1,000 フィルタを超えたときは、動作モードに関して推奨された変更を適用する前に、まず異常の検出を非アクティブにする必要があります。ゾーンの動作モードを変更する前に異常の検出を非アクティブにする必要があるのは、この場合のみです。
保留動的フィルタの数が 1,000 フィルタを超えたときに、ゾーンの動作モードを自動に変更するには、次の手順を実行します。
ステップ1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ2 Deactivate をクリックします。Detector モジュールは異常の検出を停止し、すべての保留動的フィルタを削除します。
ステップ3 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ4 Config をクリックします。Config 画面が表示されます。
ステップ5 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。
ステップ6 OK をクリックします。ゾーンの設定が、新しい保護モード設定でアップデートされます。
ステップ7 Protect をクリックします。Detector モジュールはゾーンの自動動作を開始し、動的フィルタを作成すると、それらをすべてアクティブにします。