Cisco Intrusion Prevention System Device Manager インストレーション ユーザ ガイド 5.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月30日
章のタイトル: シグニチャの定義
シグニチャの定義
シグニチャの説明
攻撃またはその他のネットワーク リソースの不正使用は、ネットワークへの侵入として定義付けることができます。シグニチャベースのテクノロジーを使用するセンサーは、ネットワークへの侵入を検出できます。シグニチャは、DoS 攻撃(サービス拒絶攻撃)などの典型的な不正侵入行為を検出するためにセンサーが使用する規則の集まりです。センサーは、ネットワーク パケットをスキャンするときに、シグニチャを使って既知の攻撃を検出し、指定されたアクションに従って対応します。
センサーは、一連のシグニチャとネットワーク アクティビティを比較します。一致した場合、イベントのロギングやアラートの送信などのアクションを実行します。センサーでは、既存のシグニチャを変更したり、新しいシグニチャを定義したりできます。
シグニチャ ベースの侵入検出では、false positive が生じる場合があります。通常のネットワーク アクティビティでも、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、ネットワーク アプリケーションやオペレーティング システムによっては多数の ICMP メッセージを送信する場合がありますが、シグニチャ ベースの検出システムでは、これを攻撃者がネットワーク セグメントを調査しようとしていると解釈してしまう可能性があります。センサーをチューニングすると、false positives を最小限に抑えることができます。
特定のシグニチャを使ってネットワーク トラフィックを監視するようにセンサーを設定するには、そのシグニチャを使用可能にする必要があります。デフォルトでは、重要なシグニチャはシグニチャ アップデートのインストール時に使用可能になります。使用可能になっているシグニチャと一致する攻撃を検出すると、センサーはアラートを生成します。アラートは、センサーのイベント ストアに保存されます。Web ベース クライアントは、アラートやその他のイベントをイベント ストアから取得できます。デフォルトでは、センサーは Informational 以上のすべてのアラートをログに記録します。
シグニチャには、サブシグニチャを持つもの(サブカテゴリに分類されているもの)があります。サブシグニチャを設定した場合、あるサブシグニチャのパラメータを変更しても、変更が適用されるのはそのサブシグニチャだけです。たとえば、シグニチャ 3050 のサブシグニチャ 1 の重大度を変更した場合、重大度の変更はサブシグニチャ 1 だけに適用され、3050 2、3050 3、および 3050 4 には適用されません。
IPS 5.1 には、1000 個を超えるデフォルトの組み込みシグニチャがあります。組み込みシグニチャのリストでシグニチャの名前を変更したり、シグニチャを削除したりすることはできません。ただし、シグニチャをリタイアさせ、センシング エンジンから除去することができます。リタイアにしたシグニチャは後でアクティブ化できます。ただし、このプロセスを実行すると、センシング エンジンは設定を再構築する必要があり時間がかかるため、トラフィック処理が遅れる可能性があります。組み込みシグニチャのチューニングはできます。これには、シグニチャのいくつかのパラメータを変更します。変更された組み込みシグニチャは、 チューニング済み シグニチャと呼ばれます。
カスタム シグニチャと呼ばれるシグニチャを作成できます。カスタム シグニチャ ID は、60000 から始まります。これらは、UDP 接続におけるストリング照合、ネットワーク フラッドの追跡、および各種スキャンなどの多数の用途について設定できます。シグニチャは、監視するトラフィックの種類に対して特別に設計されたシグニチャ エンジンを使って作成します。
シグニチャ変数の設定
この項では、シグニチャ変数の作成方法について説明します。取り上げる事項は次のとおりです。
•
「概要」
概要
複数のシグニチャで同じ値を使用する場合、変数を使用します。変数の値を変更すると、すべてのシグニチャの変数が更新されます。このため、シグニチャを設定するときに変数を繰り返し変更しなくて済みます。
(注) 変数の前にドル記号($)を付けて、文字列ではなく変数を使用していることを示す必要があります。
シグニチャ システムに必要なため、削除できない変数もあります。変数が保護されている場合は、それを選択して編集することはできません。保護された変数を削除しようとすると、エラー メッセージが表示されます。一度に編集できる変数は 1 つだけです。
サポートされるユーザのロール
フィールド定義
Signature Variables パネル
Signature Variables パネルには、次のフィールドとボタンがあります。
• Type :変数を Web ポートまたは IP アドレス範囲として指定します。
1 つの変数に対して複数のポート番号を指定するには、エントリをカンマで区切ります。たとえば、80, 3128, 8000, 8010, 8080, 8888, 24326 のように指定します。
• Add :Add Signature Variable ダイアログボックスを開きます。
このダイアログボックスで、新しい変数を追加し、この変数に関連付けられた値を指定できます。
• Edit :Edit Signature Variable ダイアログボックスを開きます。
このダイアログボックスで、この変数に関連付けられた値を変更できます。
• Delete :選択した変数を使用可能な変数リストから削除します。
Add and Edit Signature Variable ダイアログボックス
Add and Edit Signature Variable ダイアログボックスには、次のフィールドとボタンがあります。
• Type :変数を Web ポートまたは IP アドレス範囲として指定します。
1 つの変数に対して複数のポート番号を指定するには、エントリをカンマで区切ります。たとえば、80, 3128, 8000, 8010, 8080, 8888, 24326 のように指定します。
シグニチャ変数の設定
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Variables をクリックします。
Signature Variables パネルが表示されます。
Add Signature Variable ダイアログボックスが表示されます。
ステップ 4 Name フィールドに、シグニチャ変数の名前を入力します。
(注) 名前には、数字または文字だけを使用できます。ハイフン(-)または下線(_)は使用できます。
ステップ 5 Value フィールドに、新しいシグニチャ変数の値を入力します。
(注) デリミタにはカンマが使用できます。カンマの後にはスペースを入れないでください。スペースを入力すると、Validation failed エラーが生じます。
WEBPORTS は Web サーバが実行されているポート群で、あらかじめ定義されているものですが、値は編集できます。この変数は、Web ポートが含まれるすべてのシグニチャに影響します。デフォルトは、80, 3128, 8000, 8010, 8080, 8888, 24326 です。
Signature Variables パネルのシグニチャ変数リストに、新しい変数が表示されます。
ステップ 7 シグニチャ変数リストにある既存の変数を編集するには、それを選択して Edit をクリックします。
選択した変数の Edit Signature Variable ダイアログボックスが表示されます。
ステップ 8 Value フィールドで必要な変更を行います。
Signature Variables パネルのシグニチャ変数リストに、編集された変数が表示されます。
ステップ 10 シグニチャ変数リストにある既存の変数を削除するには、それを選択して Delete をクリックします。
削除された変数は、Signature Variables パネルのシグニチャ変数リストに表示されなくなります。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 11 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャの設定
この項では、シグニチャの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
概要
Signature Configuration パネルでは、次の作業を実行できます。
• センサーに保存されているすべてのシグニチャのソートと表示。
攻撃タイプ、プロトコル、サービス、オペレーティング システム、実行するアクション、エンジン、シグニチャ ID、シグニチャ名によるソートが可能です。
NSDB ページには、選択したシグニチャのキー アトリビュート、説明、良性トリガー、および推奨されるフィルタが表示されます。
• 既存のシグニチャのパラメータに関連付けられた値(複数可)を変更する、編集(チューニング)。
• 既存のシグニチャを複製し、そのシグニチャのパラメータを新しいシグニチャの始点として使用する方法、または最初から新しいシグニチャを作成する方法のいずれかによる、シグニチャの作成。
Custom Signature Wizard を使用してシグニチャを作成することもできます。このウィザードは、適切なシグニチャ エンジンの選択のほか、カスタム シグニチャを設定するために必要なパラメータの選択を手引きします。
サポートされるユーザのロール
フィールド定義
この項では、シグニチャ変数のフィールド定義を示します。取り上げる事項は次のとおりです。
• 「Signature Configuration パネル」
Signature Configuration パネル
Signature Configuration パネルには、次のフィールドとボタンがあります。
• Select By :プロトコル、サービス、またはアクションなどソートするアトリビュートを選択して、シグニチャ リストをソートします。
• Select Criteria :カテゴリ内のクラスを選択して、カテゴリ内の詳細なソートを実行します。
たとえば、プロトコルによるソートを選択した場合、L2/L3/L4 プロトコルを選択でき、L2/L3/L4 プロトコルに関連するシグニチャのみを表示できます。
• Sig ID :このシグニチャに割り当てられた固有の数値を示します。
この値を使用すると、センサーが特定のシグニチャを識別できます。
• SubSig ID :このサブシグニチャに割り当てられた固有の数値を示します。
SubSig ID は、広い範囲のシグニチャのバージョンをより細かく示すために使用します。
• Enabled :このシグニチャがイネーブルであるかどうかを示します。
シグニチャによって指定されたトラフィックをセンサーが保護するようにするには、シグニチャをイネーブルにする必要があります。
• Action :このシグニチャが反応したときにセンサーが行うアクションを示します。
• Severity :シグニチャが報告する重大度(High、Informational、Low、Medium)を示します。
• Fidelity Rating :対象とする特定の情報がない場合にこのシグニチャをどの程度忠実に実行するかに関連付ける重み値を示します。
• Base RR :各シグニチャの基本リスク評価値を表示します。IDM は、忠実度評価と重大度要素を掛けたものを 100 で割って(Fidelity Rating x Severity Factor /100)、基本 RR を自動的に計算します。
–Severity Factor = 100(シグニチャの重大度が high の場合)
–Severity Factor = 75(シグニチャの重大度が medium の場合)
–Severity Factor = 50(シグニチャの重大度が low の場合)
–Severity Factor = 25(シグニチャの重大度が informational の場合)
• Type :このシグニチャがデフォルト(組み込み)、チューニング済み、またはカスタム シグニチャであるかどうかを示します。
• Engine :このシグニチャによって指定されたトラフィックを解析および検査するエンジンを示します。
• Retired :このシグニチャがリタイアであるかどうかを示します。
リタイアにしたシグニチャは、シグニチャ エンジンから削除されます。リタイアにしたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。
• Select All :すべてのシグニチャを選択します。
• NSDB Link :選択したシグニチャの NSDB ページを開きます。
NSDB ページには、選択したシグニチャのキー アトリビュート、説明、良性トリガー、および推奨されるフィルタが表示されます。
• Add :Add Signature ダイアログボックスを開きます。
このダイアログボックスで、適切なパラメータを選択してシグニチャを作成できます。
• Clone :Clone Signature ダイアログボックスを開きます。
このダイアログボックスで、複製元である既存シグニチャの設定済みの値を変更して、シグニチャを作成できます。
• Edit :Edit Signature ダイアログボックスを開きます。
このダイアログボックスで、選択したシグニチャに関連付けらたパラメータを変更し、効率的にシグニチャをチューニングできます。
• Enable :選択したシグニチャをイネーブルにします。
• Disable :選択したシグニチャをディセーブルにします。
• Actions :Assign Actions ダイアログボックスを表示します。
• Restore Defaults :すべてのパラメータを、選択したシグニチャのデフォルト設定に戻します。
• Delete :選択したカスタム シグニチャを削除します。
• Activate :選択したシグニチャがリタイアになっている場合、アクティブにします。
このプロセスは、センサーがシグニチャを該当するシグニチャ エンジンに戻し、シグニチャ エンジンを再構築する必要があるため、少々時間がかかる場合があります。
• Retire :選択したシグニチャをリタイアにし、シグニチャ エンジンから削除します。
Add Signatures ダイアログボックス
Add Signature ダイアログボックスには、次のフィールドとボタンがあります。
• Signature ID :このシグニチャに割り当てられた固有の数値を示します。この値を使用すると、センサーが特定のシグニチャを識別できます。
• SubSignature ID :このサブシグニチャに割り当てられた固有の数値を示します。サブシグニチャ ID は、広い範囲のシグニチャのバージョンをより細かく示すために使用します。
• Alert Severity :シグニチャの重大度レベルを選択します(High、Informational、Low、Medium)。
• Sig Fidelity Rating :対象とする特定の情報がない場合にこのシグニチャをどの程度忠実に実行するかに関連付ける重み値を選択します。
• Promiscuous Delta :アラートの重大度を決定します。
• Sig Description :このシグニチャをその他のシグニチャと区別するために次のアトリビュートを指定します。
– Signature Name :シグニチャの名前。デフォルトは MySig です。
– Alert Notes :このフィールドにはアラートの注釈を加えます。
– User Comments :このフィールドにはシグニチャについてのコメントを加えます。
– Alarm Traits :このフィールドにはアラーム特性を指定します。値は 0 ~ 65535 です。デフォルトは 0 です。
– Release :シグニチャが最初に現れたソフトウェア リリースを指定します。
• Engine :シグニチャによって指定されたトラフィックを解析および検査するエンジンを選択します。
– AIC FTP :FTP トラフィックを検査します。発行されているコマンドを制御できます。
– AIC HTTP :HTTP プロトコルの不正利用を防止するために、HTTP セッションを精密に制御します。
– Atomic ARP :レイヤ 2 ARP プロトコルを検査します。ほとんどのエンジンはレイヤ 3 IP に基づいているため、Atomic ARP エンジンはその他の大半のエンジンとは異なっています。
– Atomic IP :IP プロトコル パケットと関連付けられたレイヤ 4 転送プロトコルを検査します。
– Flood Host :ホストを宛先とする ICMP および UDP フラッドを検出します。
– Flood Net :ネットワークを宛先とする ICMP および UDP フラッドを検出します。
– Meta :スライドする時間間隔内で、関連する方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。
– Multi String :1 つのシグニチャに対して複数の文字列を照合することでレイヤ 4 転送プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。シグニチャを生成するために一致している必要のある一連の正規表現パターンを指定できます。
– Normalizer :IP および TCP 正規化エンジンがどのように機能するかを設定し、IP および TCP 正規化エンジンに関連するシグニチャ イベントの設定を行います。RFC に準拠させることができます。
– Service DNS :DNS(TCPおよびUDP)トラフィックを検査します。
– Service FTP :FTP トラフィックを検査します。
– Service Generic :カスタム サービスとペイロードをデコードします。
– Service H225 :VoIP トラフィックを検査します。
– Service HTTP :HTTP トラフィックを検査します。WEBPORTS 変数が HTTP トラフィックの検査ポートを定義します。
– Service IDENT :IDENT(クライアントおよびサーバ)トラフィックを検査します。
– Service MSRPC :MSRPC トラフィックを検査します。
– Service MSSQL :Microsoft SQL トラフィックを検査します。
– Service NTP :NTP トラフィックを検査します。
– Service RPC :RPC トラフィックを検査します。
– Service SMB :SMB トラフィックを検査します。
– Service SNMP :SNMP トラフィックを検査します。
– Service SSH :SSH トラフィックを検査します。
– State :SMTP などのプロトコル内の文字列をステートフル検索します。
– String ICMP :ICMP プロトコルに基づいて正規表現文字列を検索します。
– String TCP :TCP プロトコルに基づいて正規表現文字列を検索します。
– String UDP :UDP プロトコルに基づいて正規表現文字列を検索します。
– Sweep :1 つのホスト(ICMP および TCP)、宛先ポート(TCP および UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからの、ポート、ホスト、およびサービスのスイープを分析します。
– Sweep Other TCP :1 つのホストに関する情報を取得しようとしている監視スキャンから TCP フラグの組み合せを分析します。シグニチャは、フラグ A、B、および C を監視します。3 つのフラグがすべて検出されると、アラートを生成します。
– Traffic ICMP :TFN2K、LOKI、および DDOS など、非標準のプロトコルを解析します。パラメータを設定できるのは 2 つのシグニチャだけです。
– Trojan Bo2k :非標準プロトコルの BO2K からのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
– Trojan Tfn2k :非標準プロトコルの TFN2K からのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
– Trojan UDP :UDP プロトコルからのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
• Event Action : センサーがイベントに応答するときに実行するアクションを割り当てます。
– Deny Attacker Inline :(インライン モードのみ)指定された期間、この攻撃者アドレスからの現在のパケットおよび将来のパケットを終了します。
センサーは、システムによって拒否されている攻撃者のリストを保持します。拒否された攻撃者のリストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、タイマーで有効期限が切れるのを待ちます。タイマーは、エントリごとにスライドするタイマーです。したがって、攻撃者 A が拒否されているときに別の攻撃が発行されると、攻撃者 A のタイマーはリセットされ、そのタイマーの有効期限が切れるまで攻撃者 A は拒否された攻撃者リストに残ります。拒否された攻撃者のリストがいっぱいになり、新規エントリを追加することができない場合でも、パケットは拒否されます。
(注) これは、拒否アクションの中で最も重大です。これは、単一の攻撃者アドレスからの現在および将来のパケットを拒否します。拒否された攻撃者のエントリをすべてクリアするには、Monitoring > Denied Attackers > Clear List をクリックします。これによって、これらのアドレスのネットワークへの再接続が許可されます。手順については、「拒否された攻撃者リストの監視」を参照してください。
– Deny Attacker Service Pair Inline :(インライン モードのみ)指定された期間、攻撃者アドレスと被害先ポートのペアで、このパケットおよび将来のパケットを送信しません。
– Deny Attacker Victim Pair Inline :(インライン モードのみ)指定された期間、攻撃者と被害先のアドレスのペアで、このパケットおよび将来のパケットを送信しません。
(注) 拒否アクションの場合、指定された期間と拒否された攻撃者の最大数を指定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Deny Connection Inline :(インライン モードのみ)この TCP フローの現在のパケットと将来のパケットを終了します。
– Deny Packet Inline :(インライン モードのみ)パケットを終了します。
– Log Attacker Packets :攻撃者アドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Pair Packets :攻撃者と被害先のアドレスのペアを含む IP ロギング パケットを開始します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Victim Packets :被害先のアドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Modify Packet Inline :パケット データを変更して、エンドポイントでパケットがどう処理されるかに関してあいまいな部分を除去します。
– Produce Alert :イベントをアラートとしてイベント ストアに書き込みます。
– Produce Verbose Alert :違反パケットの符号化ダンプをアラートに組み込みます。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Request Block Connection :この接続をブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
– Request Block Host :この攻撃者ホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) ブロック アクションの場合、ブロックの期間を設定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Request Rate Limit :レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) Request Rate Limit は、選ばれたシグニチャのセットに適用されます。レート制限を要求できるシグニチャのリストについては、「レート制限について」を参照してください。
– Request SNMP Trap :SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようセンサーで設定されている必要があります。詳細については、 第9章「SNMP の設定」 を参照してください。
– Reset TCP Connection :TCP リセットを送信し、TCP フローを乗っ取って終了します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープやフラッドに対しては機能しません。
• Event Counter :センサーがイベントをカウントする方法を設定します。たとえば、同じシグニチャが同じアドレス セットに対して 5 回カウントを実行した場合にだけ、センサーがアラートを送信するように指定できます。
– Event Count :アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デフォルトは 1 です。
– Event Count Key:シグニチャのイベントをカウントするために使用するストレージ タイプ。 攻撃者アドレス、攻撃者アドレスと被害先のポート、攻撃者および被害先のアドレス、攻撃者および被害先のアドレスとポート、または被害先のアドレスを選択します。デフォルトは、攻撃者アドレスです。
– Specify Alert Interval :イベント カウントをリセットするまでの秒数を指定します。 Yes または No を選択してから、時間を指定します。
• Alert Frequency :シグニチャの動作中にセンサーがアラートを生成する頻度を設定します。次のパラメータをシグニチャに指定します。
– Summary Mode :アラート要約のモード。Fire All、Fire Once、Global Summarize、または Summarize を選択します。
– Summary Interval :各サマリー アラートを生成する間隔(秒数)。値は 1 ~ 65535 です。デフォルトは 15 です。
– Summary Key :アラートの要約に使用するストレージ タイプ。攻撃者アドレス、攻撃者アドレスと被害先のポート、攻撃者および被害先のアドレス、攻撃者および被害先のアドレスとポート、または被害先のアドレスを選択します。デフォルトは、攻撃者アドレスです。
– Specify Global Summary Threshold:グローバル サマリーにアラートを組み込むためのイベント数のしきい値を指定します。Yes または No を選択してから、時間を指定します。
• Status :シグニチャをイネーブルまたはディセーブルにするか、シグニチャをリタイアまたは非リタイアにします。
– Enabled :シグニチャをイネーブルまたはディセーブルのどちらにするかを選択します。デフォルトは yes です。
Clone and Edit Signature ダイアログボックス
Clone and Edit Signature ダイアログボックスには、次のフィールドとボタンがあります。
• Signature ID :このシグニチャに割り当てられた固有の数値を示します。この値を使用すると、センサーが特定のシグニチャを識別できます。
• SubSignature ID :このサブシグニチャに割り当てられた固有の数値を示します。サブシグニチャ ID は、広い範囲のシグニチャのバージョンをより細かく示すために使用します。
• Alert Severity :シグニチャの重大度レベルを選択します(High、Informational、Low、Medium)。
• Sig Fidelity Rating :対象とする特定の情報がない場合にこのシグニチャをどの程度忠実に実行するかに関連付ける重み値を選択します。
• Promiscuous Delta :アラートの重大度を決定します。
• Sig Description :このシグニチャをその他のシグニチャと区別するために次のアトリビュートを指定します。
– Signature Name :シグニチャの名前。デフォルトは MySig です。
– Alert Notes :このフィールドにはアラートの注釈を加えます。
– User Comments :このフィールドにはシグニチャについてのコメントを加えます。
– Alarm Traits :このフィールドにはアラーム特性を指定します。値は 0 ~ 65535 です。デフォルトは 0 です。
– Release :シグニチャが最初に現れたソフトウェア リリースを指定します。
• Engine :シグニチャによって指定されたトラフィックを解析および検査するエンジンを選択します。
– AIC FTP :FTP トラフィックを検査します。発行されているコマンドを制御できます。
– AIC HTTP :HTTP プロトコルの不正利用を防止するために、HTTP セッションを精密に制御します。
– Atomic ARP :レイヤ 2 ARP プロトコルを検査します。ほとんどのエンジンはレイヤ 3 IP に基づいているため、Atomic ARP エンジンはその他の大半のエンジンとは異なっています。
– Atomic IP :IP プロトコル パケットと関連付けられたレイヤ 4 転送プロトコルを検査します。
– Flood Host :ホストを宛先とする ICMP および UDP フラッドを検出します。
– Flood Net :ネットワークを宛先とする ICMP および UDP フラッドを検出します。
– Meta :スライドする時間間隔内で、関連する方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。
– Multi String :1 つのシグニチャに対して複数の文字列を照合することでレイヤ 4 転送プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。シグニチャを生成するために一致している必要のある一連の正規表現パターンを指定できます。
– Normalizer :IP および TCP 正規化エンジンがどのように機能するかを設定し、IP および TCP 正規化エンジンに関連するシグニチャ イベントの設定を行います。RFC に準拠させることができます。
– Service DNS :DNS(TCPおよびUDP)トラフィックを検査します。
– Service FTP :FTP トラフィックを検査します。
– Service Generic :カスタム サービスとペイロードをデコードします。
– Service H225 :VoIP トラフィックを検査します。
– Service HTTP :HTTP トラフィックを検査します。WEBPORTS 変数が HTTP トラフィックの検査ポートを定義します。
– Service IDENT :IDENT(クライアントおよびサーバ)トラフィックを検査します。
– Service MSRPC :MSRPC トラフィックを検査します。
– Service MSSQL :Microsoft SQL トラフィックを検査します。
– Service NTP :NTP トラフィックを検査します。
– Service RPC :RPC トラフィックを検査します。
– Service SMB :SMB トラフィックを検査します。
– Service SNMP :SNMP トラフィックを検査します。
– Service SSH :SSH トラフィックを検査します。
– State :SMTP などのプロトコル内の文字列をステートフル検索します。
– String ICMP :ICMP プロトコルに基づいて正規表現文字列を検索します。
– String TCP :TCP プロトコルに基づいて正規表現文字列を検索します。
– String UDP :UDP プロトコルに基づいて正規表現文字列を検索します。
– Sweep :1 つのホスト(ICMP および TCP)、宛先ポート(TCP および UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからの、ポート、ホスト、およびサービスのスイープを分析します。
– Sweep Other TCP :1 つのホストに関する情報を取得しようとしている監視スキャンから TCP フラグの組み合せを分析します。シグニチャは、フラグ A、B、および C を監視します。3 つのフラグがすべて検出されると、アラートを生成します。
– Traffic ICMP :TFN2K、LOKI、および DDOS など、非標準のプロトコルを解析します。パラメータを設定できるのは 2 つのシグニチャだけです。
– Trojan Bo2k :非標準プロトコルの BO2K からのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
– Trojan Tfn2k :非標準プロトコルの TFN2K からのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
– Trojan UDP :UDP プロトコルからのトラフィックを解析します。このエンジンにはユーザ設定可能なパラメータはありません。
• Event Action : センサーがイベントに応答するときに実行するアクションを割り当てます。
– Deny Attacker Inline :(インライン モードのみ)指定された期間、この攻撃者アドレスからの現在のパケットおよび将来のパケットを終了します。
センサーは、システムによって拒否されている攻撃者のリストを保持します。拒否された攻撃者のリストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、タイマーで有効期限が切れるのを待ちます。タイマーは、エントリごとにスライドするタイマーです。したがって、攻撃者 A が拒否されているときに別の攻撃が発行されると、攻撃者 A のタイマーはリセットされ、そのタイマーの有効期限が切れるまで攻撃者 A は拒否された攻撃者リストに残ります。拒否された攻撃者のリストがいっぱいになり、新規エントリを追加することができない場合でも、パケットは拒否されます。
(注) これは、拒否アクションの中で最も重大です。これは、単一の攻撃者アドレスからの現在および将来のパケットを拒否します。拒否された攻撃者のエントリをすべてクリアするには、Monitoring > Denied Attackers > Clear List をクリックします。これによって、これらのアドレスのネットワークへの再接続が許可されます。手順については、「拒否された攻撃者リストの監視」を参照してください。
– Deny Attacker Service Pair Inline :(インライン モードのみ)指定された期間、攻撃者アドレスと被害先ポートのペアで、このパケットおよび将来のパケットを送信しません。
– Deny Attacker Victim Pair Inline :(インライン モードのみ)指定された期間、攻撃者と被害先のアドレスのペアで、このパケットおよび将来のパケットを送信しません。
(注) 拒否アクションの場合、指定された期間と拒否された攻撃者の最大数を指定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Deny Connection Inline :(インライン モードのみ)この TCP フローの現在のパケットと将来のパケットを終了します。
– Deny Packet Inline :(インライン モードのみ)パケットを終了します。
– Log Attacker Packets :攻撃者アドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Pair Packets :攻撃者と被害先のアドレスのペアを含む IP ロギング パケットを開始します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Victim Packets :被害先のアドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Modify Packet Inline :パケット データを変更して、エンドポイントでパケットがどう処理されるかに関してあいまいな部分を除去します。
– Produce Alert :イベントをアラートとしてイベント ストアに書き込みます。
– Produce Verbose Alert :違反パケットの符号化ダンプをアラートに組み込みます。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Request Block Connection :この接続をブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
– Request Block Host :この攻撃者ホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) ブロック アクションの場合、ブロックの期間を設定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Request Rate Limit :レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) Request Rate Limit は、選ばれたシグニチャのセットに適用されます。レート制限を要求できるシグニチャのリストについては、「レート制限について」を参照してください。
– Request SNMP Trap :SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようセンサーで設定されている必要があります。詳細については、 第9章「SNMP の設定」 を参照してください。
– Reset TCP Connection :TCP リセットを送信し、TCP フローを乗っ取って終了します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープやフラッドに対しては機能しません。
• Event Counter :センサーがイベントをカウントする方法を設定します。たとえば、同じシグニチャが同じアドレス セットに対して 5 回カウントを実行した場合にだけ、センサーがアラートを送信するように指定できます。
– Event Count :アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デフォルトは 1 です。
– Event Count Key:シグニチャのイベントをカウントするために使用するストレージ タイプ。 攻撃者アドレス、攻撃者アドレスと被害先のポート、攻撃者および被害先のアドレス、攻撃者および被害先のアドレスとポート、または被害先のアドレスを選択します。デフォルトは、攻撃者アドレスです。
– Specify Alert Interval :イベント カウントをリセットするまでの秒数を指定します。 Yes または No を選択してから、時間を指定します。
• Alert Frequency :シグニチャの動作中にセンサーがアラートを生成する頻度を設定します。次のパラメータをシグニチャに指定します。
– Summary Mode :アラート要約のモード。Fire All、Fire Once、Global Summarize、または Summarize を選択します。
– Summary Interval :各サマリー アラートを生成する間隔(秒数)。値は 1 ~ 65535 です。デフォルトは 15 です。
– Summary Key :アラートの要約に使用するストレージ タイプ。攻撃者アドレス、攻撃者アドレスと被害先のポート、攻撃者および被害先のアドレス、攻撃者および被害先のアドレスとポート、または被害先のアドレスを選択します。デフォルトは、攻撃者アドレスです。
– Specify Global Summary Threshold:グローバル サマリーにアラートを組み込むためのイベント数のしきい値を指定します。Yes または No を選択してから、時間を指定します。
• Status :シグニチャをイネーブルまたはディセーブルにするか、シグニチャをリタイアまたは非リタイアにします。
– Enabled :シグニチャをイネーブルまたはディセーブルのどちらにするかを選択します。デフォルトは yes です。
– Retired :シグニチャをリタイアにするかどうかを選択します。デフォルトは no です。
Assign Actions ダイアログボックス
Assign Actions ダイアログボックスには、次のフィールドとボタンがあります。
イベント アクションとは、イベントに対するセンサーの応答です。イベント アクションは、シグニチャごとに設定可能です。
• Deny Attacker Inline :(インライン モードのみ)指定された期間、この攻撃者アドレスからの現在のパケットおよび将来のパケットを終了します。
センサーは、システムによって拒否されている攻撃者のリストを保持します。拒否された攻撃者のリストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、タイマーで有効期限が切れるのを待ちます。タイマーは、エントリごとにスライドするタイマーです。したがって、攻撃者 A が拒否されているときに別の攻撃が発行されると、攻撃者 A のタイマーはリセットされ、そのタイマーの有効期限が切れるまで攻撃者 A は拒否された攻撃者リストに残ります。拒否された攻撃者のリストがいっぱいになり、新規エントリを追加することができない場合でも、パケットは拒否されます。
(注) これは、拒否アクションの中で最も重大です。これは、単一の攻撃者アドレスからの現在および将来のパケットを拒否します。拒否された攻撃者のエントリをすべてクリアするには、Monitoring > Denied Attackers > Clear List をクリックします。これによって、これらのアドレスのネットワークへの再接続が許可されます。手順については、「拒否された攻撃者リストの監視」を参照してください。
– Deny Attacker Service Pair Inline :(インライン モードのみ)指定された期間、攻撃者アドレスと被害先ポートのペアで、このパケットおよび将来のパケットを送信しません。
– Deny Attacker Victim Pair Inline :(インライン モードのみ)指定された期間、攻撃者と被害先のアドレスのペアで、このパケットおよび将来のパケットを送信しません。
(注) 拒否アクションの場合、指定された期間と拒否された攻撃者の最大数を指定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Deny Connection Inline :(インライン モードのみ)この TCP フローの現在のパケットと将来のパケットを終了します。
– Deny Packet Inline :(インライン モードのみ)パケットを終了します。
– Log Attacker Packets :攻撃者アドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Pair Packets :攻撃者と被害先のアドレスのペアを含む IP ロギング パケットを開始します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Victim Packets :被害先のアドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Modify Packet Inline :パケット データを変更して、エンドポイントでパケットがどう処理されるかに関してあいまいな部分を除去します。
– Produce Alert :イベントをアラートとしてイベント ストアに書き込みます。
– Produce Verbose Alert :違反パケットの符号化ダンプをアラートに組み込みます。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Request Block Connection :この接続をブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
– Request Block Host :この攻撃者ホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) ブロック アクションの場合、ブロックの期間を設定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Request Rate Limit :レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) Request Rate Limit は、選ばれたシグニチャのセットに適用されます。レート制限を要求できるシグニチャのリストについては、「レート制限について」を参照してください。
– Request SNMP Trap :SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようセンサーで設定されている必要があります。詳細については、 第9章「SNMP の設定」 を参照してください。
– Reset TCP Connection :TCP リセットを送信し、TCP フローを乗っ取って終了します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープやフラッドに対しては機能しません。
シグニチャの追加
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータが現在デフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 既存のシグニチャを使用しないでカスタム シグニチャを追加するには、次の手順を実行します。
a. Add をクリックして、Add Signature ダイアログボックスを開きます。
b. Signature フィールドで新しいシグニチャに一意のシグニチャ ID を指定します。
c. Subsignature フィールドで新しいシグニチャに一意のサブシグニチャ ID を指定します。
d. Alert Severity フィールドの隣にある緑のアイコンをクリックし、シグニチャに関連付ける重大度を選択します。
e. Signature Fidelity Rating フィールドの隣にある緑のアイコンをクリックし、シグニチャのシグニチャ忠実度評価を表す値(1 ~ 100)を指定します。
f. シグニチャ説明フィールドにシグニチャに関するコメントを入力します。
g. センサーがこのシグニチャを有効にするために使用するエンジンを選択します。
(注) 選択するエンジンが不明な場合、Custom Signature Wizard を使用してカスタム シグニチャを作成してください。詳細については、「カスタム シグニチャの作成」を参照してください。
h. Event Actions フィールドの横にある緑色のアイコンをクリックし、センサーがイベントに応答するときに起こすアクションを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押した状態で選択します。
i. イベントをカウントする場合は、Event Counter の下にある Event Counter フィールドを設定します。
j. Alert Frequency の下にある Alert Frequency フィールドで、アラートを受信する方法を指定します。
k. Status の下で Yes を選択し、シグニチャをイネーブルにします。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをイネーブルにする必要があります。
l. Status の下で、シグニチャをリタイアにするかどうかを指定します。 No をクリックして、シグニチャをアクティブにします。これによってシグニチャがエンジンに組み込まれます。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをアクティブにする必要があります。
ヒント 変更を元に戻し、Add Signature ダイアログを閉じるには、Cancel をクリックします。
Type が Custom に設定された新しいシグニチャがリストに現れます。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 4 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャの複製
Signature Configuration パネルでは、既存のシグニチャを複製する方法でシグニチャを作成できます。既存のシグニチャと類似したシグニチャを作成する場合、この方法が便利です。
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータが現在デフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 シグニチャを見つけるには、 Select By リストのソート オプションを選択します。
たとえば、UDP Flood シグニチャを検索する場合は、 L2/L3/L4 Protocol を選択し、その後、 UDP Floods を選択します。
Signature Configuration パネルがリフレッシュされ、ソート条件に一致するシグニチャが表示されます。
ステップ 4 既存のシグニチャをベースとして使用する方法でシグニチャを作成するには、既存のシグニチャを選択し、次の手順を実行します。
a. Clone をクリックして、Clone Signature ダイアログボックスを開きます。
b. Signature フィールドで新しいシグニチャに一意のシグニチャ ID を指定します。
c. Subsignature フィールドで新しいシグニチャに一意のサブシグニチャ ID を指定します。
d. パラメータの値を確認し、新しいシグニチャ用に変更する場合はパラメータの値を変更します。
ヒント 複数のイベント アクションを選択するには、Ctrl キーを押した状態で選択します。
e. Status の下で Yes を選択し、シグニチャをイネーブルにします。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをイネーブルにする必要があります。
f. Status の下で、シグニチャをリタイアにするかどうかを指定します。 No をクリックして、シグニチャをアクティブにします。これによってシグニチャがエンジンに組み込まれます。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをアクティブにする必要があります。
ヒント 変更を元に戻し、Clone Signature ダイアログボックスを閉じるには、Cancel をクリックします。
Type が Custom に設定されている、複製されたシグニチャがリストに表示されます。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 5 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャのチューニング
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータが現在デフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 シグニチャを見つけるには、 Select By リストのソート オプションを選択します。
たとえば、UDP Flood シグニチャを検索する場合は、 L2/L3/L4 Protocol を選択し、その後、 UDP Floods を選択します。
Signature Configuration パネルがリフレッシュされ、ソート条件に一致するシグニチャが表示されます。
ステップ 4 既存のシグニチャをチューニングするには、シグニチャを選択し、次の手順を実行します。
a. Edit をクリックして、Edit Signature ダイアログボックスを開きます。
b. パラメータの値を確認し、チューニングするパラメータの値を変更します。
ヒント 複数のイベント アクションを選択するには、Ctrl キーを押した状態で選択します。
c. Status の下で Yes を選択し、シグニチャをイネーブルにします。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをイネーブルにする必要があります。
d. Status の下で、シグニチャをリタイアにするかどうかを指定します。 No をクリックして、シグニチャをアクティブにします。これによってシグニチャがエンジンに組み込まれます。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをアクティブにする必要があります。
ヒント 変更を元に戻し、Edit Signature ダイアログボックスを閉じるには、Cancel をクリックします。
Type が Custom に設定されている、編集されたシグニチャがリストに表示されます。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 5 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャのイネーブル化とディセーブル化
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 シグニチャを見つけるには、 Select By リストのソート オプションを選択します。
たとえば、UDP Flood シグニチャを検索する場合は、 L2/L3/L4 Protocol を選択し、その後、 UDP Floods を選択します。
Signature Configuration パネルがリフレッシュされ、ソート条件に一致するシグニチャが表示されます。
ステップ 4 既存のシグニチャをイネーブルまたはディセーブルにするには、シグニチャを選択し、次の手順を実行します。
a. Enabled カラムを表示し、シグニチャのステータスを判断します。イネーブルになっているシグニチャは、このカラムが Yes になっています。
b. ディセーブルになっているシグニチャをイネーブルにするには、シグニチャを選択し、 Enable をクリックします。
c. イネーブルになっているシグニチャをディセーブルにするには、シグニチャを選択し、 Disable をクリックします。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 5 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャのアクティブ化とリタイア化
シグニチャをアクティブまたはリタイアにするには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 シグニチャを見つけるには、 Select By リストのソート オプションを選択します。
たとえば、UDP Flood シグニチャを検索する場合は、 L2/L3/L4 Protocol を選択し、その後、 UDP Floods を選択します。
Signature Configuration パネルがリフレッシュされ、ソート条件に一致するシグニチャが表示されます。
ステップ 4 リタイアになっているシグニチャをアクティブにするには、シグニチャを選択し、 Activate をクリックします。
ステップ 5 アクティブになっているシグニチャをリタイアにするには、シグニチャを選択し、 Retire をクリックします。
(注) シグニチャをリタイアにすると、そのシグニチャはエンジンから削除されますが、シグニチャ コンフィギュレーション リストには保持されます。リタイアにしたシグニチャを後でアクティブにできますが、そのためにはセンサーがエンジンのシグニチャ リストを再構築する必要があり、シグニチャ処理が遅れる可能性があります。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 6 Apply をクリックし、変更を適用して、変更された設定を保存します。
シグニチャへのアクションの割り当て
シグニチャにアクションを割り当てるには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 シグニチャを見つけるには、 Select By リストのソート オプションを選択します。
たとえば、UDP Flood シグニチャを検索する場合は、 L2/L3/L4 Protocol を選択し、その後、 UDP Floods を選択します。
Signature Configuration パネルがリフレッシュされ、ソート条件に一致するシグニチャが表示されます。
ステップ 4 シグニチャまたはシグニチャ セットにアクションを割り当てるには、シグニチャを選択し、 Actions をクリックします。
Assign Actions ダイアログボックスが表示されます。
チェック マークが付いている場合は、そのアクションが選択したシグニチャに割り当てられていることを示します。チェック マークが付いていない場合は、そのアクションが選択したシグニチャのどれにも割り当てられていないことを示します。灰色のチェック マークが付いている場合は、そのアクションが選択したシグニチャのどれかに割り当てられていることを示します。
• Deny Attacker Inline :(インライン モードのみ)指定された期間、この攻撃者アドレスからの現在のパケットおよび将来のパケットを終了します。
センサーは、システムによって拒否されている攻撃者のリストを保持します。拒否された攻撃者のリストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、タイマーで有効期限が切れるのを待ちます。タイマーは、エントリごとにスライドするタイマーです。したがって、攻撃者 A が拒否されているときに別の攻撃が発行されると、攻撃者 A のタイマーはリセットされ、そのタイマーの有効期限が切れるまで攻撃者 A は拒否された攻撃者リストに残ります。拒否された攻撃者のリストがいっぱいになり、新規エントリを追加することができない場合でも、パケットは拒否されます。
(注) これは、拒否アクションの中で最も重大です。これは、単一の攻撃者アドレスからの現在および将来のパケットを拒否します。拒否された攻撃者のエントリをすべてクリアするには、Monitoring > Denied Attackers > Clear List をクリックします。これによって、これらのアドレスのネットワークへの再接続が許可されます。手順については、「拒否された攻撃者リストの監視」を参照してください。
– Deny Attacker Service Pair Inline :(インライン モードのみ)指定された期間、攻撃者アドレスと被害先ポートのペアで、このパケットおよび将来のパケットを送信しません。
– Deny Attacker Victim Pair Inline :(インライン モードのみ)指定された期間、攻撃者と被害先のアドレスのペアで、このパケットおよび将来のパケットを送信しません。
(注) 拒否アクションの場合、指定された期間と拒否された攻撃者の最大数を指定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Deny Connection Inline :(インライン モードのみ)この TCP フローの現在のパケットと将来のパケットを終了します。
– Deny Packet Inline :(インライン モードのみ)パケットを終了します。
– Log Attacker Packets :攻撃者アドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Pair Packets :攻撃者と被害先のアドレスのペアを含む IP ロギング パケットを開始します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Log Victim Packets :被害先のアドレスを含む IP ロギング パケットを開始し、アラートを送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Modify Packet Inline :パケット データを変更して、エンドポイントでパケットがどう処理されるかに関してあいまいな部分を除去します。
– Produce Alert :イベントをアラートとしてイベント ストアに書き込みます。
– Produce Verbose Alert :違反パケットの符号化ダンプをアラートに組み込みます。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– Request Block Connection :この接続をブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
– Request Block Host :この攻撃者ホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) ブロック アクションの場合、ブロックの期間を設定するには、Configuration > Event Action Rules > General Settings をクリックします。手順については、「一般的な設定値の設定」を参照してください。
– Request Rate Limit :レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実装するよう設定されている必要があります。詳細については、 第8章「ブロッキングとレート制限のための ARC の設定」 を参照してください。
(注) Request Rate Limit は、選ばれたシグニチャのセットに適用されます。レート制限を要求できるシグニチャのリストについては、「レート制限について」を参照してください。
– Request SNMP Trap :SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、Produce Alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようセンサーで設定されている必要があります。詳細については、 第9章「SNMP の設定」 を参照してください。
– Reset TCP Connection :TCP リセットを送信し、TCP フローを乗っ取って終了します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープやフラッドに対しては機能しません。
ヒント 複数のアクションを選択するには、Ctrl キーを押した状態で選択します。
b. 選択したシグニチャにすべてのアクションを割り当てる場合は、All をクリックします。または、選択したシグニチャからすべてのアクションを削除する場合は、None を選択します。
ヒント 変更を元に戻し、Assign Actions ダイアログボックスを閉じるには、Cancel をクリックします。
c. 変更内容を保存してダイアログボックスを閉じるには、OK をクリックします。
Miscellaneous パネルの設定
この項では、Miscellaneous パネルの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
概要
Miscellaneous パネルでは、次の作業を実行できます。
センサーは、Web サービス関連の悪意のある攻撃を防ぐために、レイヤ 4 ~ レイヤ 7 のパケット検査を行うように設定できます。
センサーは、複数のパケットにわたってフラグメント化されたデータグラムを再構成するように設定できます。このとき、データグラムの数と、データグラムについてさらにフラグメントが届くのを待つ時間を判断するために使用する境界値が指定できます。これは、センサーがフレーム送信を受信できなかったことや、無作為にフラグメント化されたデータグラムを生成する攻撃が仕掛けられていることが原因で再構成が不十分なデータグラムに対し、センサーのリソースをすべて割り当ててしまわないようにするためのものです。
センサーは、完全な 3 ウェイ ハンドシェイクによって確立された TCP セッションだけを監視するように設定できます。また、ハンドシェイクの完了まで待つ時間の最大値と、パケットがない場合に接続を監視し続ける時間も設定できます。これは、有効な TCP セッションが確立していないときにセンサーがアラートを生成しないようにするためのものです。センサーに対する攻撃には、単純に攻撃を繰り返すだけでセンサーにアラートを生成させようとするものがあります。TCP セッションの再組み立て機能は、センサーに対するこのような攻撃の緩和に役立ちます。
センサーは、攻撃を検出したときに、IP セッション ログを生成するように設定できます。シグニチャの応答アクションとして IP ロギングが設定されているときにシグニチャが反応すると、アラートの送信元アドレスとの間で送受信されるすべてのパケットがログに記録されます。
サポートされるユーザのロール
フィールド定義
Miscellaneous パネルには、次のフィールドとボタンがあります。
• Application Policy :アプリケーション ポリシーの実施を設定します。
– Enable HTTP :Web サービスの保護をイネーブルにします。HTTP トラフィックが RFC に準拠しているかどうかをセンサーが検査するようにするには、Yes を選択します。
– Max HTTP Requests :未処理の HTTP 要求の最大数(1 接続あたり)を指定します。
– AIC Web Ports :AIC トラフィックを監視するポートの変数を指定します。
– Enable FTP :Web サービスの保護をイネーブルにします。センサーが FTP トラフィックを検査するようにするには、Yes を選択します。
• Fragment Reassembly :IP フラグメント再構成を設定します。
– IP Reassembly Mode :センサーが使用する、オペレーティング システムに基づくフラグメントの再構成方法を指定します。
• Stream Reassembly :TCP ストリーム再構成を設定できます。
– TCP Handshake Required :センサーが、3 ウェイ ハンドシェイクが完了したセッションのみを追跡するように指定します。
– TCP Reassembly Mode :センサーが TCP セッションの再構成に使用するモードを、次のオプション付きで指定します。
Asymmetric :双方向のトラフィック フローの一方向のみを対象にします。
(注) Asymmetric モードでは、センサーはトラフィック フローの状態と同期をとり、双方向のうち一方向だけでよいエンジンの検査を継続します。完全に保護するには、トラフィックの双方向を対象にする必要があるため、Asymmetric モードではセキュリティが低下します。
Strict :何らかの理由でパケットを受信しなかった場合、以後のパケットはすべて処理しません。
Loose :パケットが廃棄される可能性がある場合に使用します。
• IP Log :次のいずれかの条件が満たされた場合、センサーが IP ロギングを停止するように設定します。
– Max IP Log Packets :ログを作成するパケットの数を指定します。
– IP Log Time :ログを作成する時間を指定します。有効な値は、1 ~ 60 秒です。デフォルトは 30 秒です。
– Max IP Log Bytes :ログを作成する最大バイト数を指定します。
アプリケーション ポリシーの設定
この項では、Application Policy(AIC)シグニチャとその設定方法について説明します。シグニチャ エンジンの詳細については、「AIC エンジン」を参照してください。この項で取り上げる事項は次のとおりです。
• 「概要」
概要
AIC は Web トラフィックの詳細分析を行います。HTTP プロトコルの不正利用を防止するために、HTTP セッションを精密に制御します。たとえば、インスタント メッセージや、gotomypc などのトンネリング アプリケーションなど、特定のポート上でトンネリングを行うアプリケーションに対する管理制御を行います。これらのアプリケーションが HTTP を介して稼働している場合は、P2P およびインスタント メッセージの検査とポリシー チェックを実行できます。
AIC は、FTP トラフィックを検査し、発行されるコマンドを制御する方法を提供します。
事前定義されたシグニチャをイネーブルまたはディセーブルにすることもできますし、カスタム シグニチャでポリシーを作成することもできます。
(注) AIC エンジンは、HTTP トラフィックが AIC Web ポートで受信されたときに実行されます。トラフィックが Web トラフィックであっても、AIC Web ポートで受信されない場合は、Service HTTP エンジンが実行されます。AIC 検査は、AIC Web ポートとして設定されている任意のポートで実行できます。検査されるトラフィックは HTTP トラフィックです。
シグニチャ ID のリストとその説明については、「AIC 要求メソッド シグニチャ」を参照してください。
シグニチャ ID のリストとその説明については、「AIC MIME 定義コンテンツ タイプ シグニチャ」を参照してください。カスタム MIME シグニチャを作成する手順については、「認識済みの定義コンテンツ タイプ(MIME)シグニチャの例」を参照してください。
1 つの事前に定義されたシグニチャ 12674 があります。これは、非準拠の HTTP トラフィックが検出された場合に実行するアクションを指定しています。パラメータ Alarm on Non HTTP Traffic はシグニチャをイネーブルにします。デフォルトでは、このシグニチャはイネーブルです。
–チャンク符号化エラーが検出された場合に実行する必要のあるアクションを指定します。
シグニチャ ID のリストとその説明については、「AIC 転送符号化シグニチャ」を参照してください。
アクションを FTP コマンドに関連付けます。シグニチャ ID のリストとその説明については、「AIC FTP コマンド シグニチャ」を参照してください。
AIC 要求メソッド シグニチャ
HTTP 要求メソッドには 2 つのシグニチャのカテゴリがあります。
• 定義要求メソッド:アクションと要求メソッドの関連付けを可能にします。シグニチャを拡張し変更できます(Define Request Method)。
• 認識済み要求メソッド:センサーが認識済みのメソッドのリストを表示します(Recognized Request Methods)。
表5-1 は、事前定義済みの定義要求メソッド シグニチャを示しています。必要とする事前定義済みのメソッドを持つシグニチャをイネーブルにしてください。シグニチャをイネーブルにする手順は、「シグニチャのイネーブル化とディセーブル化」を参照してください。
|
|
|
|---|---|
AIC MIME 定義コンテンツ タイプ シグニチャ
MIME タイプには 2 つのポリシーが関連付けられています。
• 定義コンテンツ タイプ:次の場合に特定のアクションを関連付けます(Define Content Type)。
–image/jpeg などの特定の MIME タイプを拒否する
• 認識されるコンテンツ タイプ(Recognized Content Type)
表5-2 は、事前定義済みの定義コンテンツ タイプ シグニチャを示しています。必要とする事前定義済みのメソッドを持つシグニチャをイネーブルにしてください。シグニチャをイネーブルにする手順は、「シグニチャのイネーブル化とディセーブル化」を参照してください。カスタム定義コンテンツ タイプ シグニチャを作成することもできます。手順については、「認識済みの定義コンテンツ タイプ(MIME)シグニチャの例」を参照してください。
AIC 転送符号化シグニチャ
• アクションを各メソッドと関連付ける(Define Transfer Encoding)
• センサーによって認識されたメソッドをリストする(Recognized Transfer Encodings)
• チャンク符号化エラーが検出された場合に、どのアクションを実行するかを指定する(Chunked Transfer Encoding Error)
表5-3 は、事前定義済みの転送符号化シグニチャを示しています。必要な事前定義済み転送符号化メソッドがあるシグニチャをイネーブルにします。シグニチャをイネーブルにする手順は、「シグニチャのイネーブル化とディセーブル化」を参照してください。
|
|
|
|---|---|
AIC FTP コマンド シグニチャ
表5-4 は、事前定義済みの FTP コマンド シグニチャを示しています。必要な事前定義 FTP コマンドを持つシグニチャをイネーブルにします。シグニチャをイネーブルにする手順は、「シグニチャのイネーブル化とディセーブル化」を参照してください。
|
|
|
|---|---|
アプリケーション ポリシーの設定
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
アプリケーション ポリシーのパラメータを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Miscellaneous をクリックします。
ステップ 3 Application Policy で、Enable HTTP の横にある緑色のアイコンをクリックし、 Yes を選択して HTTP トラフィックの検査をイネーブルにします。
ステップ 4 Max HTTP Requests の横にある緑色のアイコンをクリックし、サーバからの応答を受信していない未処理状態の未処理 HTTP 要求の数(1 接続あたり)を指定します。
ステップ 5 AIC Web Ports の横にある緑色のアイコンをクリックし、アクティブにするポートを指定します。
ステップ 6 Enable FTP の横にある緑色のアイコンをクリックし、 Yes を選択して FTP トラフィックの検査をイネーブルにします。
(注) HTTP または FTP のアプリケーション ポリシーをイネーブルにすると、トラフィックが RFC に準拠しているかどうかセンサーがチェックします。
ステップ 7 変更を適用し、変更したコンフィギュレーションを保存するには、 Apply をクリックします。
認識済みの定義コンテンツ タイプ(MIME)シグニチャの例
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
次の例は、Recognized Content Type(MIME)シグニチャをチューニングする方法を示しています。
シグニチャ 12623 1(コンテンツ タイプ イメージ/tiff のメッセージ長が無効)などの MIME タイプのポリシー シグニチャをチューニングするには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 Select By ボックスで、 Engine を選択します。
ステップ 4 Select Engine ボックスで、 AIC HTTP を選択します。
ステップ 5 リストをスクロール ダウンして Sig ID 12623 1 を選択し、 Edit をクリックします。
Edit Signature ダイアログボックスが表示されます。
ステップ 6 Status で、Enabled の横にある緑色のアイコンをクリックし、 Yes を選択します。
ステップ 7 Content Type Details の横にある緑色のアイコンをクリックし、次のいずれかのオプション、たとえば Length を選択します。
ステップ 8 Length フィールドで、デフォルトを 30,000 に変更し、長さの値を小さくします。
ステップ 10 Apply をクリックして変更内容を保存するか、 Reset をクリックして変更内容を廃棄します。
IP フラグメント再構成の設定
この項では、IP フラグメント再構成について説明し、設定可能なパラメータを持つ IP フラグメント再構成シグニチャを示し、それらの設定方法について説明します。シグニチャ エンジンの詳細については、「Normalizer エンジン」を参照してください。
• 「概要」
概要
センサーは、複数のパケットにわたってフラグメント化されたデータグラムを再構成するように設定できます。このとき、センサーが再構成するデータグラム フラグメントの数と、データグラムについてさらにフラグメントが届くのを待つ時間を判断するために使用する境界値を指定できます。これは、センサーがフレーム送信を受信できなかったり、無作為にフラグメント化されたデータグラムを生成する攻撃が仕掛けられているために完全に再組み立てができなくなっているデータグラムに、センサーのリソースをすべて割り当ててしまわないようにするためのものです。
IP フラグメント再構成と設定可能なパラメータ
表5-5 は、IP フラグメント再構成用に設定可能なパラメータを持つ IP フラグメント再構成シグニチャを示しています。IP フラグメント再構成シグニチャは、Normalizer エンジンの一部です。
|
|
|
|---|---|
IP フラグメント再構成シグニチャの設定
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
特定のシグニチャに対して IP フラグメント再構成パラメータを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
ステップ 3 Select By ボックスで、 Engine を選択します。
ステップ 4 Select Engine ボックスで、 Normalizer を選択します。
ステップ 5 リストから設定する IP フラグメント再構成シグニチャ、たとえば Sig ID 1200 SubSig 0 などを選択し、 Edit をクリックします。
Edit Signature ダイアログボックスが表示されます。
ステップ 6 シグニチャ 1200 の設定可能な IP フラグメント再構成パラメータのデフォルト設定を変更します。たとえば、 Max Fragments の横にある緑色のアイコンをクリックし、設定をデフォルトの 10000 から 20000 に変更します。
シグニチャ 1200 では、次のオプションのパラメータを変更できます。
• Specify SYN Flood Max Embryonic
ステップ 7 Apply をクリックし、変更を適用して、変更された設定を保存します。
IP フラグメント再構成方法の設定
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
センサーが IP フラグメント再構成に使用する方法を設定するには、次の手順を実行します。
(注) このオプションは、センサーが混合モードで動作しているときに設定できます。センサーがライン モードで動作している場合、このメソッドは NT 専用です。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Miscellaneous をクリックします。
ステップ 3 Fragment Reassembly で、IP Reassembly Mode の横にある緑色のアイコンをクリックし、フラグメントの再構成に使用するオペレーティング システムを選択します。
ステップ 4 Apply をクリックし、変更を適用して、変更された設定を保存します。
TCP ストリーム再構成の設定
この項では、TCP ストリーム再構成について説明し、設定可能なパラメータを持つ TCP ストリーム再構成シグニチャを示し、TCP ストリーム シグニチャの設定方法と TCP ストリーム再構成のモードの設定方法について説明します。シグニチャ エンジンの詳細については、「Normalizer エンジン」を参照してください。
• 「概要」
概要
センサーは、完全な 3 ウェイ ハンドシェイクによって確立された TCP セッションだけを監視するように設定できます。また、ハンドシェイクの完了まで待つ時間の最大値と、パケットがない場合に接続を監視し続ける時間も設定できます。これは、有効な TCP セッションが確立していないときにセンサーがアラートを生成しないようにするためのものです。センサーに対する攻撃には、単純に攻撃を繰り返すだけでセンサーにアラートを生成させようとするものがあります。TCP セッションの再組み立て機能は、センサーに対するこのような攻撃の緩和に役立ちます。
TCP ストリーム再構成シグニチャと設定可能なパラメータ
表5-6 は、TCP ストリーム再構成用に設定可能なパラメータを持つ TCP ストリーム再構成シグニチャを示しています。TCP ストリーム再構成シグニチャは、Normalizer エンジンの一部です。
|
|
|
|---|---|
1306 0 TCP Option Others |
|
13301 0 TCP Drop - Bad Checksum |
|
TCP ストリーム再構成シグニチャの設定
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
特定のシグニチャに対して TCP ストリーム再構成パラメータを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
ステップ 3 Select By ボックスで、 Engine を選択します。
ステップ 4 Select Engine ボックスで、 Normalizer を選択します。
ステップ 5 リストから設定する TCP フラグメント再構成シグニチャ、たとえば Sig ID 1313 SubSig 0 などを選択し、 Edit をクリックします。
Edit Signature ダイアログボックスが表示されます。
ステップ 6 シグニチャ 1313 の設定可能な IP フラグメント再構成パラメータのデフォルト設定を変更します。たとえば、 TCP Max MSS の横にある緑色のアイコンをクリックし、設定をデフォルトの 1460 から 1380 に変更します。
(注) このパラメータをデフォルトの 1460 から 1380 へ変更すると、VPN トンネルを通過するトラフィックのフラグメント化を防ぐことができます。
シグニチャ 1313 0 では、次のオプションのパラメータを変更できます。
• Specify SYN Flood Max Embryonic
ステップ 7 Apply をクリックし、変更を適用して、変更された設定を保存します。
TCP ストリーム再構成モードの設定
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータがデフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
TCP ストリーム再構成モードを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Miscellaneous をクリックします。
ステップ 3 Stream Reassembly で、TCP Handshake Required の横にある緑色のアイコンをクリックし、 yes を選択します。
TCP Handshake Required を選択すると、3 ウェイ ハンドシェイクが完了したセッションのみをセンサーが追跡するように指定します。
ステップ 4 TCP Reassembly Mode の横にある緑色のアイコンをクリックし、センサーが TCP セッションの再構成に使用するモードを選択します。
• Asymmetric :センサーが、トラフィック フローの状態と同期をとり、双方向のうち一方向だけでよいエンジンの検査を継続するようにします。
• Strict :何らかの理由でパケットを受信しなかった場合でも、以後のパケットをすべて処理します。
• Loose :パケットが廃棄される可能性がある場合に使用します。
ステップ 5 Apply をクリックし、変更を適用して、変更された設定を保存します。
IP ロギングの設定
センサーが攻撃を検出したときに、IP セッション ログを生成するように設定できます。シグニチャの応答アクションとして IP ロギングが設定されているときにシグニチャが反応すると、アラートの送信元アドレスとの間で送受信されるすべてのパケットがログに記録されます。
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータが現在デフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
IP ロギングのパラメータを設定するには、次の手順を実行します。
(注) センサーは、 IP ロギング条件のいずれかを検出すると、IP ロギングを停止します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Miscellaneous をクリックします。
ステップ 3 IP Log で、Max IP Log Packets の横にある緑色のアイコンをクリックし、ログを作成するパケットの数を指定します。
ステップ 4 IP Log Time の横にある緑色のアイコンをクリックし、ログを作成する時間を指定します。
有効な値は、1 ~ 60 分です。デフォルトは 30 分です。
ステップ 5 Max IP Log Bytes の横にある緑色のアイコンをクリックし、ログを作成する最大バイト数を指定します。
ステップ 6 Apply をクリックし、変更を適用して、変更された設定を保存します。
MEG シグニチャの例
Meta エンジンは、スライドする時間間隔内で、関連する方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。シグニチャ イベントが生成されると、Meta エンジンがそれらを検査して、1 つまたはいくつかの Meta 定義と一致するかどうかを判別します。Meta エンジンは、このイベントに対するすべての要件が満たされた後に、シグニチャ イベントを生成します。
シグニチャ イベントはすべて SEAP によって Meta エンジンに渡されます。SEAP は、minimum hits オプションを処理した後で、イベントを渡します。要約とイベント アクションは、Meta エンジンがコンポーネント イベントを処理した後に処理されます。SEAP の詳細については、「Signature Event Action Processor」を参照してください。
次の例は、Meta エンジンに基づいて MEG シグニチャを作成する方法を示しています。
たとえば、シグニチャ 64000 のサブシグニチャ 0 は、同一送信元アドレスでシグニチャ 2000 のサブシグニチャ 0 とシグニチャ 3000 のサブシグニチャ 0 からのアラートを確認すると、反応します。送信元アドレス選択は、メタ キーのデフォルト値 Axxx の結果です。メタ キー設定を xxBx(宛先アドレス)に変更することによって、動作を変更できます。たとえば、次のようになります。
ヒント メタ エンジンは、ほとんどのエンジンが入力としてパケットを取るのに対し、入力としてアラートを取る点で、その他のエンジンとは異なります。Meta エンジンの詳細については、「Meta エンジン」を参照してください。
メタ エンジンに基づいて MEG シグニチャを作成するには、次の手順を実行します。
ヒント + アイコンは、このパラメータで使用可能なオプションがあることを示しています。+ アイコンをクリックすると、セクションが展開され、残りのパラメータが表示されます。
ヒント 緑のアイコンは、パラメータが現在デフォルト値を使用していることを示しています。緑のアイコンをクリックすると赤に変わり、値を編集できるようにパラメータ フィールドがアクティブになります。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Signature Definition > Signature Configuration をクリックします。
Signature Configuration パネルが表示されます。
ステップ 3 Add をクリックして、Add Signature ダイアログボックスを開きます。
ステップ 4 Signature フィールドで新しいシグニチャに一意のシグニチャ ID を指定します。
ステップ 5 Subsignature フィールドで新しいシグニチャに一意のサブシグニチャ ID を指定します。
ステップ 6 Alert Severity フィールドの隣にある緑のアイコンをクリックし、シグニチャに関連付ける重大度を選択します。
ステップ 7 Signature Fidelity Rating フィールドの隣にある緑のアイコンをクリックし、シグニチャのシグニチャ忠実度評価を表す値(1 ~ 100)を指定します。
ステップ 8 Promiscuous Delta フィールドの値は、デフォルトのままにしておいてください。
ステップ 9 シグニチャ説明フィールドにシグニチャに関するコメントを入力します。
ステップ 10 Engine フィールドで Meta を選択します。
ステップ 11 Meta エンジン固有のパラメータを設定します。
a. Meta Reset Interval フィールドの横にある緑色のアイコンをクリックし、Meta シグニチャをリセットする時間を秒単位で指定します。
有効な範囲は 0 ~ 3600 秒です。デフォルトは 60 秒です。
b. Meta Key リストから、Meta シグニチャのストレージ タイプを選択します。
c. Component List の横にある鉛筆のアイコンをクリックし、新しい MEG シグニチャを挿入します。
Component List ダイアログボックスが表示されます。
d. Add をクリックして、最初の MEG シグニチャを挿入します。
Add List Entry ダイアログボックスが表示されます。
e. Entry Key フィールドで、Entry1 のようにエントリの名前を指定します。
f. Component Group の下の Component Count フィールドで、このコンポーネントが何回反応したら満たされるかを指定します。
g. Component Group の下の Component Sig ID フィールドで、このコンポーネントを照合するシグニチャのシグニチャ ID を指定します(この例では 2000)。
h. Component Group の下の Component SubSig ID フィールドで、このコンポーネントを照合するシグニチャのサブシグニチャ ID を指定します(この例では 0)。
Add List Entry ダイアログボックスが再び表示されます。
j. エントリを強調表示し、 Select をクリックしてそれを Selected Entries リストに移動します。
l. Add をクリックして、次の MEG シグニチャを挿入します。
Add List Entry ダイアログボックスが表示されます。
m. Entry Key フィールドで、Entry2 のようにエントリの名前を指定します。
n. Component Group の下の Component Count フィールドで、このコンポーネントが何回反応したら満たされるかを指定します。
o. Component Group の下の Component Sig ID フィールドで、このコンポーネントを照合するシグニチャのシグニチャ ID を指定します(この例では 3000)。
p. Component Group の下の Component SubSig ID フィールドで、このコンポーネントを照合するシグニチャのサブシグニチャ ID を指定します(この例では 0)。
Add List Entry ダイアログボックスが再び表示されます。
r. エントリを強調表示し、 Select をクリックしてそれを Selected Entries リストに移動します。
s. 新しいエントリを強調表示し、 Move Up または Move Down をクリックして新しいエントリの順序を決めます。
ヒント Reset Ordering をクリックすると、エントリは Entry Key リストに戻ります。
u. Component List in Order フィールドの横にある緑色のアイコンをクリックし、 Yes を選択してコンポーネント リストを順序どおりに並べます。
ステップ 12 Event Action フィールドの横にある緑色のアイコンをクリックし、センサーがイベントに応答するときに起こすアクションを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押してすべてのアクションが選択された状態にします。
ステップ 13 イベントをカウントする場合は、Event Counter の下にある Event Counter フィールドを設定します。
ステップ 14 Alert Frequency の下にある Alert Frequency フィールドで、アラートを受信する方法を指定します。
ステップ 15 Status の下で Yes を選択し、シグニチャをイネーブルにします。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをイネーブルにする必要があります。
ステップ 16 Status の下で、シグニチャをリタイアにするかどうかを指定します。 No をクリックして、シグニチャをアクティブにします。これによってシグニチャがエンジンに組み込まれます。
(注) シグニチャによって指定された攻撃をセンサーがアクティブに検出できるようにするには、シグニチャをアクティブにする必要があります。
ヒント 変更を元に戻し、Add Signature ダイアログを閉じるには、Cancel をクリックします。
Type が Custom に設定された新しいシグニチャがリストに現れます。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 18 Apply をクリックし、変更を適用して、変更された設定を保存します。
フィードバック