イベント アクション フィルタの設定
イベント アクション フィルタを設定すると、イベントから特定のアクションを削除したり、イベント全体を廃棄したりすることにより、センサーがそれ以上処理しないようにすることができます。フィルタでは、アドレスをグループ化するために定義したイベント アクション変数を使用できます。イベント アクション変数の設定手順については、「イベント アクション変数の設定」を参照してください。
(注) 変数の前にドル($)記号を付けて、文字列ではなく変数を使用していることを示す必要があります。「$」を付けないと、Bad source and destination
エラーが生じます。
イベント アクション フィルタを設定するには、サービス イベント アクション ルール サブモードで、 filters [ edit | insert | move] name1 [begin | end | inactive | before | after] コマンドを使用します。
次のオプションが適用されます。
• actions-to-remove :このフィルタ項目で削除するイベント アクション。
– deny-attacker-inline :(インライン モードのみ)指定された期間、攻撃者アドレスから、このパケットおよび将来のパケットを送信しません。
– deny-attacker-service-pair-inline: (インラインのみ) 指定された期間、攻撃者アドレスと被害先のポートのペアで、このパケットおよび将来のパケットを送信しません。
– deny-attacker-victim-pair-inline: (インラインのみ) 指定された期間、攻撃者/被害先のアドレスのペアで、このパケットおよび将来のパケットを送信しません。
– deny-connection-inline :(インライン モードのみ)TCP フローで、このパケットおよび将来のパケットを送信しません。
– deny-packet-inline :(インライン モードのみ)このパケットを送信しません。
– log-attacker-packets :攻撃者のアドレスを含むパケットの IP ロギングを開始します。このアクションを実行すると、 produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– log-pair-packets :攻撃者と被害先のアドレスのペアを含むパケットの IP ロギングを開始します。このアクションを実行すると、 produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– log-victim-packets :被害先のアドレスを含むパケットの IP ロギングを開始します。このアクションを実行すると、 produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– produce-alert :イベントをアラートとしてイベント ストアに書き込みます。
– produce-verbose-alert :違反パケットの符号化ダンプ(切り捨てられている可能性があります)をアラートに組み込みます。このアクションを実行すると、 produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。
– request-block-connection :この接続をブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。
– request-block-host :この攻撃者ホストをブロックする要求を ARC に送信します。ブロッキング デバイスは、このアクションを実装するよう設定されている必要があります。
– request-rate-limit :レート制限を実行するレート制限要求を ARC に送信します。レート制限デバイスは、このアクションを実装するよう設定されている必要があります。
– request-snmp-trap :SNMP 通知を実行する要求をセンサーの通知アプリケーション コンポーネントに送信します。このアクションを実行すると、 produce-alert が選択されていない場合でも、イベント ストアにアラートが書き込まれます。SNMP は、このアクションを実装するようセンサーで設定されている必要があります。
– reset-tcp-connection :TCP リセットを送信し、TCP フローを乗っ取って終了します。 Reset TCP Connection は、単一の接続を分析する TCP シグニチャでのみ機能します。スイープやフラッドに対しては機能しません。
– modify-packet-inline :パケット データを変更して、エンドポイントでパケットがどう処理されるかに関してあいまいな部分を除去します。
• attacker-address-range :この項目に対応する攻撃者アドレスの範囲のセット(10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255 など)。
• attacker-port-range :この項目に対応する攻撃者ポートの範囲のセット(147-147,8000-10000 など)。
• default :値をシステム デフォルト設定に戻します。
• deny-attacker-percentage :攻撃者拒否機能で拒否するパケットの比率。有効な範囲は 1 ~ 100 です。デフォルトは 100 です。
• filter-item-status [ enabled | disabled ]:このフィルタ項目の使用をイネーブルまたはディセーブルにします。
• no :エントリまたは選択設定を削除します。
• risk-rating-range :このフィルタ項目の RR の範囲。
• signature-id-range :この項目に対応するシグニチャ ID の範囲のセット(1000-2000,3000-3000 など)。
• stop-on-match :このフィルタ項目に一致した場合に、フィルタの評価を継続するか中止するかの指定。
• subsignature-id-range :この項目に対応するサブシグニチャ ID の範囲のセット(0-2,5-5 など)。
• user-comment :このフィルタ項目に関するコメントを追加できます。
• victim-address-range :この項目に対応する被害先アドレスの範囲のセット(10.20.1.0-10.20.1.255,10.20.5.0-10.20.5.255 など)。
• victim-port-range :この項目に対応する被害先ポートの範囲のセット(147-147,8000-10000 など)。
イベント アクション フィルタを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 イベント アクション ルール サブモードに入ります。
sensor# configure terminal
sensor(config)# service event-action-rules rules0
ステップ 3 フィルタ名を作成します。
sensor(config-rul)# filters insert name1 begin
複数のイベント アクション フィルタに名前を付ける場合は、 name1 、 name2 の順に使用し、以下同様に続きます。フィルタの挿入場所の指定には、 begin | end | inactive | before | after キーワードを使用します。
ステップ 4 フィルタの値を設定します。
a. シグニチャ ID の範囲を設定します。
sensor(config-rul-fil)# signature-id-range 1000-1005
デフォルトは 900 ~ 65535 です。
b. サブシグニチャ ID の範囲を設定します。
sensor(config-rul-fil)# subsignature-id-range 1-5
デフォルトは 0 ~ 255 です。
c. 攻撃者アドレスの範囲を設定します。
sensor(config-rul-fil)# attacker-address-range 10.89.10.10-10.89.10.23
デフォルトは 0.0.0.0 ~ 255.255.255.255 です。
d. 被害先アドレスの範囲を指定します。
sensor(config-rul-fil)# victim-address-range 192.56.10.1-192.56.10.255
デフォルトは 0.0.0.0 ~ 255.255.255.255 です。
e. 被害先ポートの範囲を指定します。
sensor(config-rul-fil)# victim-port-range 0-434
デフォルトは 0 ~ 65535 です。
f. リスク評価の範囲を指定します。
sensor(config-rul-fil)# risk-rating-range 85-100
デフォルトは 0 ~ 100 です。
g. 削除するアクションを設定します。
sensor(config-rul-fil)# actions-to-remove reset-tcp-connection
h. 拒否アクションのフィルタリングを行う場合は、拒否アクションの比率を設定します。
sensor(config-rul-fil)# deny-attacker-percentage 90
デフォルトは 100 です。
i. フィルタのステータスをディセーブルまたはイネーブルに設定します。
sensor(config-rul-fil)# filter-item-status [enabled | disabled]
デフォルトは enabled です。
j. stop-on-match パラメータを設定します。
sensor(config-rul-fil)# stop-on-match [true | false]
true を指定すると、この項目に一致した場合にセンサーは処理を中止します。 false を指定すると、この項目に一致してもセンサーは処理を継続します。
k. フィルタを説明する任意のコメントを追加します。
sensor(config-rul-fil)# user-comments
ステップ 5 フィルタの設定を確認します。
sensor(config-rul-fil)# show settings
-----------------------------------------------
signature-id-range: 1000-10005 default: 900-65535
subsignature-id-range: 1-5 default: 0-255
attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255
victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 1-343 default: 0-65535
risk-rating-range: 85-100 default: 0-100
actions-to-remove: reset-tcp-connection default:
deny-attacker-percentage: 90 default: 100
filter-item-status: Enabled default: Enabled
stop-on-match: True default: False
user-comment: This is a new filter. default:
-----------------------------------------------
ステップ 6 既存のフィルタを編集するには、次のコマンドを実行します。
sensor(config-rul)# filters edit name1
ステップ 7 パラメータを編集します(ステップ 4a ~ 4k を参照)。
ステップ 8 フィルタ リストでフィルタを上下に移動するには、次のコマンドを実行します。
sensor(config-rul-fil)# exit
sensor(config-rul)# filters move name5 before name1
ステップ 9 フィルタが移動したことを確認します。
sensor(config-rul-fil)# exit
sensor(config-rul)# show settings
-----------------------------------------------
filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 10 フィルタを非アクティブ リストに移動するには、次のコマンドを実行します。
sensor(config-rul)# filters move name1 inactive
ステップ 11 フィルタが非アクティブ リストに移動したことを確認します。
sensor(config-rul-fil)# exit
sensor(config-rul)# show settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
signature-id-range: 900-65535 <defaulted>
subsignature-id-range: 0-255 <defaulted>
attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
attacker-port-range: 0-65535 <defaulted>
victim-port-range: 0-65535 <defaulted>
risk-rating-range: 0-100 <defaulted>
actions-to-remove: <defaulted>
filter-item-status: Enabled <defaulted>
stop-on-match: False <defaulted>
user-comment: <defaulted>
-----------------------------------------------
-----------------------------------------------
ステップ 12 イベント アクション ルール サブモードを終了します。
ステップ 13 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。