セキュリティ ポリシーについて
(注) AIM IPS および NME IPS は、複数のポリシーをサポートしません。
複数のセキュリティ ポリシーを作成して、それらを個々の仮想センサーに適用できます。セキュリティ ポリシーは、シグニチャ定義ポリシー、イベント アクション規則ポリシー、および異常検出ポリシーで構成されます。Cisco IPS には、sig0 と呼ばれるデフォルトのシグニチャ定義ポリシー、rules0 と呼ばれるデフォルトのイベント アクション規則ポリシー、および ad0 と呼ばれるデフォルトの異常検出ポリシーが含まれています。デフォルトのポリシーを仮想センサーに割り当てることも、新しいポリシーを作成することもできます。
複数のセキュリティ ポリシーを使用すると、異なる要件に基づいてセキュリティ ポリシーを作成し、これらのカスタマイズされたポリシーを VLAN または物理インターフェイスごとに適用できます。
異常検出について
注意
異常検出は、トラフィックが両方向から来ることを前提としています。センサーがトラフィックの一方向だけを参照するように設定されている場合は、異常検出をオフにする必要があります。そうしないと、異常検出が非対称環境で実行されている場合に、すべてのトラフィックに不完全な接続(スキャナ)があるものと識別され、すべてのトラフィック フローについてアラートが送信されます。
センサーの異常検出コンポーネントでは、ワームに感染したホストが検出されます。これによりセンサーでは、Code Red や SQL Slammer などのワームやスキャナからの保護に際してシグニチャ アップデートへの依存度が低くなります。異常検出コンポーネントでは、センサーが正常なアクティビティを学習し、正常な動作として学習した動作から逸脱する動作に対してアラートを送信するか、または動的応答アクションを実行します。
(注) 異常検出では、Nimda などの電子メール ベースのワームは検出されません。
異常検出では、次の 2 つの状況が検出されます。
• ワーム トラフィックによって輻輳し始めたパスでネットワークが起動した場合。
• ワームに感染した単一のソースがネットワークに入り、他の脆弱なホストのスキャンを開始した場合。
ワーム
注意
異常検出は、トラフィックが両方向から来ることを前提としています。センサーがトラフィックの一方向だけを参照するように設定されている場合は、異常検出をオフにする必要があります。そうしないと、異常検出が非対称環境で実行されている場合に、すべてのトラフィックに不完全な接続(スキャナ)があるものと識別され、すべてのトラフィック フローについてアラートが送信されます。
ワームは、自身のコピーを作成してその拡散を促進する自動化された自己伝播型侵入エージェントです。ワームは脆弱なホストを攻撃して感染させ、そのホストをベースとして使用して他の脆弱なホストを攻撃します。ネットワーク インスペクションの 1 つの形式(通常はスキャン)を使用して他のホストを検索し、次のターゲットに伝播します。スキャニング ワームは、プローブする IP アドレスのリストを収集することで脆弱なホストを特定し、ホストにアクセスします。Code Red ワーム、Sasser ワーム、Blaster ワーム、および Slammer ワームは、この方法で広がるワームの例です。
異常検出では、スキャナとして動作している、ワームに感染したホストを識別します。ワームは、拡散するために新しいホストを見つける必要があります。TCP、UDP、およびその他のプロトコルを使用してインターネットまたはネットワークをスキャンし、異なる宛先 IP アドレスへの失敗するアクセス試行を生成することでホストを見つけます。スキャナは、非常に多くの宛先 IP アドレスに対して(TCP および UDP で)同じ宛先ポートにイベントを生成する送信元 IP アドレスとして定義されます。
TCP プロトコルにとって重要なイベントは、特定の時間内に SYN-ACK 応答のない SYN パケットなど、未確立の接続です。TCP プロトコルを使用してスキャンする、ワームに感染したホストは、異常な数の IP アドレスに対して同じ宛先ポートに未確立接続を生成します。
UDP プロトコルにとって重要なイベントは、すべてのパケットが単方向にだけ向かう UDP 接続などの単方向接続です。UDP プロトコルを使用してスキャンする、ワームに感染したホストは、UDP パケットを生成しますが、複数の宛先 IP アドレスに対して同じ宛先ポートでタイムアウト期間内に同じ IP アドレス上で UDP パケットを受信しません。
ICMP など、その他のプロトコルにとって重要なイベントは、送信元 IP アドレスから多くの異なる宛先 IP アドレスへのパケット、つまり一方向でのみ受信されるパケットです。
注意 ワームが、感染させる IP アドレスのリストを持ち、自身を広めるためにスキャンを使用する必要がない場合(たとえば、アクティブ スキャンとは対照的にネットワークをリスニングするパッシブ マッピングを使用する場合)、そのワームは異常検出ワーム ポリシーで検出されません。また、感染したホスト内のプロービング ファイルからメーリング リストを受け取り、このリストを電子メールで送信するワームも、レイヤ 3 またはレイヤ 4 で異常が発生しないため検出されません。
詳細情報
異常検出をオフにする手順については、「異常検出の停止」を参照してください。
異常検出モード
異常検出は、最初に、ネットワークの最も正常な状態が反映されているときに「平時」の学習プロセスを実行します。次に、正常なネットワークに最も適合するポリシーしきい値のセットを抽出します。
異常検出には、次のモードがあります。
• 学習受け入れモード
異常検出はデフォルトで検出モードになりますが、24 時間のデフォルト期間中は初期の学習受け入れモードを実行します。このフェーズ中は攻撃が行われないことを前提とします。異常検出では、ナレッジ ベース(KB)と呼ばれるネットワーク トラフィックの初期ベースラインが作成されます。定期スケジュールのデフォルトの間隔値は 24 時間で、デフォルトのアクションは循環です。これは、新しい KB が保存およびロードされ、24 時間後に初期 KB が置換されることを意味します。
(注) 異常検出は、空の初期 KB を処理するときには攻撃を検出しません。デフォルトの 24 時間後に、KB が保存およびロードされると、異常検出が攻撃も検出するようになります。
(注) ネットワークの複雑さによっては、異常検出をデフォルトの 24 時間よりも長く学習受け入れモードで実行する必要が生じることがあります。
• 検出モード
操作の進行中は、センサーを検出モードのままにする必要があります。これは 1 日 24 時間、週 7 日間実行します。KB が作成され、初期 KB が置換されると、異常検出はその KB に基づいて攻撃を検出します。KB のしきい値に違反するネットワーク トラフィック フローを見つけると、アラートを送信します。異常検出は、異常を探すときに、しきい値に違反しない KB に対する段階的な変更も記録します。これにより、新しい KB を作成します。新しい KB は定期的に保存され、古い KB を置き換えるため、最新の KB が維持されます。
• 非アクティブ モード
異常検出は、非アクティブ モードにすることでオフにできます。センサーが非対称環境で実行されている場合など、特定の状況では、異常検出を非アクティブ モードにする必要があります。異常検出では、トラフィックが両方向から来ることを前提とするため、センサーがトラフィックの一方向だけを参照するように設定されている場合は、異常検出によってすべてのトラフィックに不完全な接続(スキャナ)があるものと識別され、すべてのトラフィック フローについてアラートが送信されます。
次の例で、デフォルトの異常検出設定についてまとめます。仮想センサーを午後 11:00 に追加し、デフォルトの異常検出設定を変更しない場合、異常検出は初期 KB の処理を開始し、学習のみ実行します。これは検出モードですが、情報を 24 時間収集して初期 KB を置換するまで、攻撃は検出できません。最初の開始時刻(デフォルトでは午前 10:00)および最初の間隔(デフォルトでは 24 時間)に、学習結果が新しい KB に保存され、この KB がロードされて初期 KB を置換します。異常検出は、デフォルトで検出モードになるため、この時点で新しい KB を入手し、攻撃の検出を開始します。
詳細情報
• 異常検出を別のモードに移行する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
• ワームの動作の詳細については、「ワーム」を参照してください。
異常検出ゾーン
ネットワークをゾーンに分割することで、false negative の率を低下させることができます。ゾーンは、宛先 IP アドレスのセットです。内部、不正、および外部の 3 つのゾーンがあり、それぞれに固有のしきい値があります。
外部ゾーンは、デフォルトのゾーンであり、デフォルトのインターネット範囲が 0.0.0.0 ~ 255.255.255.255 になっています。デフォルトでは、内部ゾーンと不正ゾーンには IP アドレスは含まれません。内部ゾーンまたは不正ゾーン内の IP アドレスのセットと一致しないパケットは、外部ゾーンによって処理されます。
内部ネットワークの IP アドレス範囲を使用して内部ゾーンを設定することを推奨します。このように設定した場合、内部ゾーンは IP アドレス範囲に送信されるすべてのトラフィックになり、外部ゾーンは内部ゾーンに向かうすべてのトラフィックになります。
不正ゾーンは、割り当てられていない IP アドレスや、使用されていない内部 IP アドレス範囲に属する IP アドレスなど、正常なトラフィックでは決して見られない IP アドレス範囲で設定できます。不正ゾーンには適正なトラフィックが到達しないと想定されるため、このゾーンは正確な検出に非常に役立ちます。これにより、非常に迅速なワーム ウイルス検出を可能にする非常に低いしきい値を設定できます。
詳細情報
ゾーンを設定する手順については、「内部ゾーンの設定」、「不正ゾーンの設定」、および「外部ゾーンの設定」を参照してください。
異常検出の設定手順
異常検出の検出部分を設定できます。しきい値のセットを設定して、KB が学習したしきい値を上書きすることができます。ただし、異常検出は、検出の設定方法に関係なく学習を継続します。
また、KB のインポート、エクスポート、ロードが可能で、KB のデータを表示することもできます。
異常検出を設定するには、次の手順に従います。
1. 仮想センサーに追加する異常検出ポリシーを作成します。
または、デフォルトの異常検出ポリシー ad0 を使用することもできます。
2. 異常検出ポリシーを仮想センサーに追加します。
3. 異常検出ゾーンとプロトコルを設定します。
4. デフォルトでは、異常検出動作モードは検出に設定されていますが、最初の 24 時間は学習を行い、KB の内容を作成します。初期の KB は空であり、異常検出は、デフォルトの 24 時間の間にデータを収集して KB に格納します。学習期間をデフォルトの 24 時間よりも長くする場合は、手動でモードを学習に設定します。
5. 少なくとも 24 時間(デフォルト)の間、センサーを学習受け入れモードで動作させます。
センサーは、少なくとも 24 時間の間、学習受け入れモードで動作させて、初期 KB 用にネットワークの正常な状態の情報を収集可能にする必要があります。ただし、ネットワークの複雑さに応じて、学習受け入れモードの期間を変更する必要があります。
(注) 少なくとも 24 時間はセンサーを学習受け入れモードにしておくことを推奨しますが、それよりも長い期間(最長で 1 週間)学習受け入れモードで動作させると、さらによい結果を得ることができます。
この期間の後、センサーは初期 KB を、ネットワークの正常なアクティビティのベースラインとして保存します。
6. 異常検出を手動で学習受け入れモードに設定した場合は、検出モードに戻します。
7. 異常検出パラメータを設定します。
• ワームのタイムアウト、および異常検出でバイパスされる送信元 IP アドレスと宛先 IP アドレスを設定します。
このタイムアウトの後、スキャナしきい値は設定された値に戻ります。
• 異常検出が検出モードの場合に、自動 KB 更新をイネーブルにするかどうかを決定します。
• 18 個の異常検出ワーム シグニチャを設定して、デフォルトの Produce Alert だけでなく、より多くのイベント アクションを実行するようにします。たとえば、Deny Attacker イベント アクションを設定します。
詳細情報
• 異常検出を別のモードに移行する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
• 新しい異常検出ポリシーを設定する手順については、「異常検出ポリシーの操作」を参照してください。
• ゾーンの設定の詳細については、「内部ゾーンの設定」、「不正ゾーンの設定」、および「外部ゾーンの設定」を参照してください。
• 異常検出モードの詳細については、「異常検出モード」を参照してください。
• 学習受け入れモードの設定の詳細については、「学習受け入れモードの設定」を参照してください。
• 異常検出シグニチャの設定の詳細については、「異常検出シグニチャ」を参照してください。
• Deny Attacker イベント アクションの詳細については、「イベント アクション」を参照してください。
異常検出シグニチャ
トラフィック異常エンジンには、3 つのプロトコル(TCP、UDP、およびその他)をカバーする 9 つの異常検出シグニチャが含まれます。各シグニチャには 2 つのサブシグニチャがあります。一方はスキャナ用で、もう一方はワームに感染したホスト(またはワーム攻撃されているスキャナ)用です。異常検出によって異常が発見された場合は、これらのシグニチャに対してアラートがトリガーされます。すべての異常検出シグニチャは、デフォルトでイネーブルになり、各シグニチャのアラート重大度は高く設定されます。
スキャナが検出されても、ヒストグラム異常が発生しない場合、スキャナ シグニチャはその攻撃者(スキャナ)の IP アドレスをファイルに保存します。ヒストグラム シグニチャがトリガーされた場合は、スキャンを行っている攻撃者のアドレスによってそれぞれ(スキャナ シグニチャではなく)ワーム シグニチャがトリガーされます。ヒストグラムがトリガーされたため、アラートの詳細には、ワームの検出に使用されているしきい値が表示されます。
この時点以降、すべてのスキャナは、ワームに感染したホストとして検出されます。
次の異常検出イベント アクションが可能です。
• Produce alert:イベント ストアにイベントを書き込みます。
• Deny attacker inline:(インライン モードのみ)指定された期間、この攻撃者のアドレスから発生した現在のパケットおよび将来のパケットを送信しません。
• Log attacker pairs:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始します。
• Log pair packets:攻撃者と攻撃対象のアドレス ペアが含まれているパケットに対する IP ロギングを開始します。
• Deny attacker service pair inline:送信元 IP アドレスと宛先ポートをブロックします。
• Request SNMP trap:要求を NotificationApp に送信して、SNMP 通知を実行します。
• Request block host:要求を ARC に送信して、このホスト(攻撃者)をブロックします。
(注) 異常検出シグニチャを編集または調整することはできますが、カスタム異常検出シグニチャを作成することはできません。
表 9-1 に、異常検出ワーム シグニチャを示します。
表 9-1 異常検出ワーム シグニチャ
|
|
|
|
13000 |
0 |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13000 |
1 |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13001 |
0 |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13001 |
1 |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13002 |
0 |
Internal Other Scanner |
内部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13002 |
1 |
Internal Other Scanner |
内部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13003 |
0 |
External TCP Scanner |
外部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13003 |
1 |
External TCP Scanner |
外部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13004 |
0 |
External UDP Scanner |
外部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13004 |
1 |
External UDP Scanner |
外部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13005 |
0 |
External Other Scanner |
外部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13005 |
1 |
External Other Scanner |
外部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13006 |
0 |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13006 |
1 |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13007 |
0 |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13007 |
1 |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13008 |
0 |
Illegal Other Scanner |
外部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13008 |
1 |
Illegal Other Scanner |
不正ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
詳細情報
シグニチャにアクションを割り当てる手順については、「シグニチャへのアクションの割り当て」を参照してください。
異常検出ポリシーの操作
異常検出ポリシーを作成するには、サービス異常検出サブモードで service anomaly-detection name コマンドを使用します。この異常検出ポリシーの値は、編集するまではデフォルトの異常検出ポリシー ad0 と同じです。
または、特権 EXEC モードで copy anomaly-detection source_destination コマンドを使用して、既存のポリシーのコピーを作成し、必要に応じて新しいポリシーの値を編集することもできます。
異常検出ポリシーのリストを表示するには、特権 EXEC モードで list anomaly-detection-configurations コマンドを使用します。
異常検出ポリシーを削除するには、グローバル コンフィギュレーション モードで no service anomaly-detection name コマンドを使用します。異常検出ポリシーを工場出荷時の設定にリセットするには、グローバル コンフィギュレーション モードで default service anomaly-detection name コマンドを使用します。
異常検出ポリシーの作成、コピー、表示、編集、および削除を行うには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出ポリシーを作成します。
sensor# configure terminal
sensor(config)# service anomaly-detection MyAnomaly Detection
Editing new instance MyAnomaly Detection.
ステップ 3 または、既存の異常検出ポリシーを新しい異常検出ポリシーにコピーします。
sensor# copy anomaly-detection ad0 ad1
(注) すでにポリシーが存在する場合、または新しいポリシーのための領域が不足している場合は、エラーが表示されます。
ステップ 4 デフォルトの異常検出ポリシー値をそのまま使用するか、または次のパラメータを編集します。
a. 動作を設定します。
b. ゾーンを設定します。
c. 学習受け入れモードを設定します。
d. KB の操作方法を学習します。
ステップ 5 センサー上の異常検出ポリシーのリストを表示するには、次のようにします。
sensor# list anomaly-detection-configurations
Instance Size Virtual Sensor
MyAnomaly Detection 255 N/A
ステップ 6 異常検出ポリシーを削除するには、次のようにします。
sensor# configure terminal
sensor(config)# no service anomaly-detection MyAnomaly Detection
(注) デフォルトの異常検出ポリシー ad0 を削除することはできません。
ステップ 7 異常検出インスタンスが削除されたことを確認します。
sensor# list anomaly-detection-configurations
Instance Size Virtual Sensor
ステップ 8 異常検出ポリシーを工場出荷時の設定にリセットするには、次のようにします。
sensor# configure terminal
sensor(config)# default service anomaly-detection ad1
詳細情報
• 動作を設定する手順については、「異常検出の動作設定」を参照してください。
• 異常検出ゾーンを設定する手順については、「内部ゾーンの設定」、「不正ゾーンの設定」、および「外部ゾーンの設定」を参照してください。
• 学習受け入れモードを設定する手順については、「学習受け入れモードの設定」を参照してください。
• KB の操作手順については、「異常検出ポリシーの操作」を参照してください。
異常検出の動作設定
ワーム検出タイムアウトを設定するには、サービス異常検出サブモードで worm-timeout コマンドを使用します。このタイムアウトの後、スキャナしきい値は設定された値に戻ります。異常検出が KB の情報を収集する際に、センサーが無視する送信元 IP アドレスと宛先 IP アドレスを設定するには、サービス異常検出サブモードで ignore コマンドを使用します。異常検出は、これらの送信元 IP アドレスと宛先 IP アドレスを追跡しないので、KB しきい値はこれらの IP アドレスによる影響を受けません。
次のオプションが適用されます。
• worm-timeout :ワーム終了タイムアウトの時間(秒単位)。範囲は 120 ~ 10,000,000 秒です。デフォルトは 600 秒です。
• ignore :異常検出の処理中に無視する必要がある IP アドレス。
– enabled {true | false] :無視された IP アドレスのリストをイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。
– source-ip-address-range :処理中に異常検出が無視する送信元 IP アドレス。
– dest-ip-address-range :処理中に異常検出が無視する宛先 IP アドレス。
(注) IP アドレスの形式は <A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>] です。
異常検出の動作設定を指定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad1
ステップ 3 ワーム タイムアウトを指定します。
sensor(config-ano)# worm-timeout 800
ステップ 4 設定を確認します。
sensor(config-ano)# show settings
worm-timeout: 800 seconds default: 600
ステップ 5 異常検出の処理中に無視する宛先 IP アドレスを指定します。
sensor(config-ano)# ignore
sensor(config-ano-ign)# dest-ip-address-range 10.10.5.5,10.10.2.1-10.10.2.30
ステップ 6 異常検出の処理中に無視する送信元 IP アドレスを指定します。
sensor(config-ano-ign)# source-ip-address-range 10.89.30.108-10.89.30.191
ステップ 7 設定を確認できます。
sensor(config-ano-ign)# show settings
-----------------------------------------------
enabled: true default: true
source-ip-address-range: 10.89.30.108-10.89.30.191 default: 0.0.0.0
dest-ip-address-range: 10.10.5.5,10.10.2.1-10.10.2.30 default: 0.0.0.0
-----------------------------------------------
ステップ 8 異常検出サブモードを終了します。
sensor(config-ano-ign)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
内部ゾーンの設定
ここでは、内部ゾーンの設定方法について説明します。内容は次のとおりです。
• 「内部ゾーンについて」
• 「内部ゾーンの設定」
• 「内部ゾーンの TCP プロトコルの設定」
• 「内部ゾーンの UDP プロトコルの設定」
• 「内部ゾーンのその他のプロトコルの設定」
内部ゾーンについて
内部ゾーンは、内部ネットワークを表している必要があります。また、内部ネットワークの IP アドレス範囲に着信するトラフィックは、すべて受信する必要があります。内部ゾーンをディセーブルにすると、このゾーン宛てのパケットは無視されます。デフォルトでは、このゾーンはイネーブルになっています。
次に、このゾーンに属する IP アドレスを追加します。どのゾーンに対しても IP アドレスを設定しないと、すべてのパケットはデフォルトのゾーンである外部ゾーンに送信されます。
内部ゾーンに対して TCP、UDP、およびその他のプロトコルをイネーブルまたはディセーブルにできます。TCP プロトコルと UDP プロトコルの宛先ポート、およびその他のプロトコルのプロトコル番号を設定できます。デフォルトのしきい値を使用するか、またはスキャナ設定を上書きして独自のしきい値とヒストグラムを追加することができます。
内部ゾーンの設定
内部ゾーンをイネーブルにし、内部ゾーンに IP アドレスを追加し、プロトコルを指定するには、サービス異常検出サブモードで internal-zone { enabled | ip-address-range | tcp | udp |other } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:ゾーンをイネーブルまたはディセーブルにします。
• ip-address-range :ゾーン内のサブネットの IP アドレス。有効な値は <A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>] です。
(注) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。
• tcp :TCP プロトコルを設定します。
• udp :UDP プロトコルを設定します。
• other :TCP および UDP 以外のプロトコルを設定します。
内部ゾーンを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出内部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# internal-zone
ステップ 3 内部ゾーンをイネーブルにします。
sensor(config-ano-int)# enabled true
ステップ 4 内部ゾーンに含める IP アドレスを設定します。
sensor(config-ano-int)# ip-address-range 10.89.130.72-10.89.130.108
ステップ 5 TCP プロトコルを設定します。
ステップ 6 UDP プロトコルを設定します。
ステップ 7 その他のプロトコルを設定します。
詳細情報
• TCP プロトコルを設定する手順については、「内部ゾーンの TCP プロトコルの設定」を参照してください。
• UDP プロトコルを設定する手順については、「内部ゾーンの UDP プロトコルの設定」を参照してください。
• その他のプロトコルを設定する手順については、「内部ゾーンのその他のプロトコルの設定」を参照してください。
内部ゾーンの TCP プロトコルの設定
TCP サービスをイネーブルにし、設定するには、サービス異常検出内部ゾーン サブモードで tcp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:TCP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
内部ゾーンの TCP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出内部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# internal-zone
ステップ 3 TCP プロトコルをイネーブルにします。
sensor(config-ano-int)# tcp
sensor(config-ano-int-tcp)# enabled true
ステップ 4 特定のポートを TCP プロトコルに関連付けます。
sensor(config-ano-int-tcp)# dst-port 20
sensor(config-ano-int-tcp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-int-tcp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きするには、次のようにします。
sensor(config-ano-int-tcp-dst)# override-scanner-settings yes
sensor(config-ano-int-tcp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加するには、次のようにします。
sensor(config-ano-int-tcp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-int-tcp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-int-tcp-dst-yes)# exit
sensor(config-ano-int-tcp-dst)# exit
sensor(config-ano-int-tcp)# exit
sensor(config-ano-int-tcp)# default-thresholds
sensor(config-ano-int-tcp-def)# default-thresholds
sensor(config-ano-int-tcp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-int-tcp-def)# scanner-threshold 120
ステップ 10 TCP の設定を確認します。
sensor(config-ano-int-tcp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-int-tcp)#
内部ゾーンの UDP プロトコルの設定
UDP サービスをイネーブルにし、設定するには、サービス異常検出内部ゾーン サブモードで udp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:UDP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンの UDP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出内部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# internal-zone
ステップ 3 UDP プロトコルをイネーブルにします。
sensor(config-ano-int)# udp
sensor(config-ano-int-udp)# enabled true
ステップ 4 特定のポートを UDP プロトコルに関連付けます。
sensor(config-ano-int-udp)# dst-port 20
sensor(config-ano-int-udp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-int-udp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きするには、次のようにします。
sensor(config-ano-int-udp-dst)# override-scanner-settings yes
sensor(config-ano-int-udp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加するには、次のようにします。
sensor(config-ano-int-udp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-int-udp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-int-udp-dst-yes)# exit
sensor(config-ano-int-udp-dst)# exit
sensor(config-ano-int-udp)# default-thresholds
sensor(config-ano-int-udp-def)# default-thresholds
sensor(config-ano-int-udp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-int-udp-def)# scanner-threshold 120
ステップ 10 UDP の設定を確認します。
sensor(config-ano-int-udp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 100 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-int-udp)#
内部ゾーンのその他のプロトコルの設定
その他のサービスをイネーブルにし、設定するには、サービス異常検出内部ゾーン サブモードで other { enabled | protocol number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:その他のプロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• protocol-number number :特定のプロトコルのしきい値を定義します。有効な値は 0 ~ 255 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンのその他のプロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出内部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# internal-zone
ステップ 3 その他のプロトコルをイネーブルにします。
sensor(config-ano-int)# other
sensor(config-ano-int-oth)# enabled true
ステップ 4 特定の数値をその他のプロトコルに関連付けます。
sensor(config-ano-int-oth)# protocol-number 5
sensor(config-ano-int-oth-pro)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-int-oth-pro)# enabled true
ステップ 6 そのプロトコルのスキャナ値を上書きするには、次のようにします。
sensor(config-ano-int-oth-pro)# override-scanner-settings yes
sensor(config-ano-int-oth-pro-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加するには、次のようにします。
sensor(config-ano-int-oth-pro-yes)# threshold-histogram high num-source-ips 75
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-int-oth-pro-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-int-oth-pro-yes)# exit
sensor(config-ano-int-oth-pro)# exit
sensor(config-ano-int-oth)# default-thresholds
sensor(config-ano-int-oth-def)# default-thresholds
sensor(config-ano-int-oth-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-int-oth-def)# scanner-threshold 120
ステップ 10 その他の設定を確認します。
sensor(config-ano-int-oth)# show settings
-----------------------------------------------
protocol-number (min: 0, max: 255, current: 1)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 95 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 200 <defaulted>
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
dest-ip-bin: medium <defaulted>
num-source-ips: 1 <defaulted>
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
sensor(config-ano-int-oth)#
不正ゾーンの設定
ここでは、不正ゾーンの設定方法について説明します。内容は次のとおりです。
• 「不正ゾーンについて」
• 「不正ゾーンの設定」
• 「不正ゾーンの TCP プロトコルの設定」
• 「不正ゾーンの UDP プロトコルの設定」
• 「不正ゾーンのその他のプロトコルの設定」
不正ゾーンについて
不正ゾーンは、正常なトラフィックでは決して見られない IP アドレス範囲を表している必要があります。たとえば、割り当てられていない IP アドレスや、使用されていない内部 IP アドレス範囲に属する IP アドレスなどです。
次に、このゾーンに属する IP アドレスを追加します。どのゾーンに対しても IP アドレスを設定しないと、すべてのパケットはデフォルトのゾーンである外部ゾーンに送信されます。
内部ゾーンに対して TCP、UDP、およびその他のプロトコルをイネーブルまたはディセーブルにできます。TCP プロトコルと UDP プロトコルの宛先ポート、およびその他のプロトコルのプロトコル番号を設定できます。デフォルトのしきい値を使用するか、またはスキャナ設定を上書きして独自のしきい値とヒストグラムを追加することができます。
不正ゾーンの設定
不正ゾーンをイネーブルにし、不正ゾーンに IP アドレスを追加し、プロトコルを指定するには、サービス異常検出サブモードで illegal-zone { enabled | ip-address-range | tcp | udp |other } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:ゾーンをイネーブルまたはディセーブルにします。
• ip-address-range :ゾーン内のサブネットの IP アドレス。有効な値は <A.B.C.D>-<A.B.C.D>[,<A.B.C.D>-<A.B.C.D>] です。
(注) 範囲内の 2 番目の IP アドレスは、最初の IP アドレス以上にする必要があります。
• tcp :TCP プロトコルを設定します。
• udp :UDP プロトコルを設定します。
• other :TCP および UDP 以外のプロトコルを設定します。
不正ゾーンを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出不正ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# illegal-zone
ステップ 3 不正ゾーンをイネーブルにします。
sensor(config-ano-ill)# enabled true
ステップ 4 不正ゾーンに含める IP アドレスを設定します。
sensor(config-ano-ill)# ip-address-range 10.89.130.72-10.89.130.108
ステップ 5 TCP プロトコルを設定します。
ステップ 6 UDP プロトコルを設定します。
ステップ 7 その他のプロトコルを設定します。
詳細情報
• TCP プロトコルを設定する手順については、「不正ゾーンの TCP プロトコルの設定」を参照してください。
• UPD プロトコルを設定する手順については、「不正ゾーンの UDP プロトコルの設定」を参照してください。
• その他のプロトコルを設定する手順については、「不正ゾーンのその他のプロトコルの設定」を参照してください。
不正ゾーンの TCP プロトコルの設定
TCP サービスをイネーブルにし、設定するには、サービス異常検出不正ゾーン サブモードで tcp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:TCP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
不正ゾーンの TCP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出不正ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# illegal-zone
ステップ 3 TCP プロトコルをイネーブルにします。
sensor(config-ano-ill)# tcp
sensor(config-ano-ill-tcp)# enabled true
ステップ 4 特定のポートを TCP プロトコルに関連付けます。
sensor(config-ano-ill-tcp)# dst-port 20
sensor(config-ano-ill-tcp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ill-tcp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きします。
sensor(config-ano-ill-tcp-dst)# override-scanner-settings yes
sensor(config-ano-ill-tcp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ill-tcp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ill-tcp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ill-tcp-dst-yes)# exit
sensor(config-ano-ill-tcp-dst)# exit
sensor(config-ano-ill-tcp)# exit
sensor(config-ano-ill-tcp)# default-thresholds
sensor(config-ano-ill-tcp-def)# default-thresholds
sensor(config-ano-ill-tcp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ill-tcp-def)# scanner-threshold 120
ステップ 10 TCP の設定を確認します。
sensor(config-ano-ill-tcp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 100 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-ill-tcp)#
不正ゾーンの UDP プロトコルの設定
UDP サービスをイネーブルにし、設定するには、サービス異常検出不正ゾーン サブモードで udp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:UDP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンの UDP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出不正ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# illegal-zone
ステップ 3 UDP プロトコルをイネーブルにします。
sensor(config-ano-ill)# udp
sensor(config-ano-ill-udp)# enabled true
ステップ 4 特定のポートを UDP プロトコルに関連付けます。
sensor(config-ano-ill-udp)# dst-port 20
sensor(config-ano-ill-udp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ill-udp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きします。
sensor(config-ano-ill-udp-dst)# override-scanner-settings yes
sensor(config-ano-ill-udp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ill-udp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ill-udp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ill-udp-dst-yes)# exit
sensor(config-ano-ill-udp-dst)# exit
sensor(config-ano-ill-udp)# exit
sensor(config-ano-ill-udp)# default-thresholds
sensor(config-ano-ill-udp-def)# default-thresholds
sensor(config-ano-ill-udp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ill-udp-def)# scanner-threshold 120
ステップ 10 UDP の設定を確認します。
sensor(config-ano-ill-udp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 100 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-ill-udp)#
不正ゾーンのその他のプロトコルの設定
その他のサービスをイネーブルにし、設定するには、サービス異常検出不正ゾーン サブモードで other { enabled | protocol number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:その他のプロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• protocol-number number :特定のプロトコルのしきい値を定義します。有効な値は 0 ~ 255 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンのその他のプロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出不正ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# illegal-zone
ステップ 3 その他のプロトコルをイネーブルにします。
sensor(config-ano-ill)# other
sensor(config-ano-ill-oth)# enabled true
ステップ 4 特定の数値をその他のプロトコルに関連付けます。
sensor(config-ano-ill-oth)# protocol-number 5
sensor(config-ano-ill-oth-pro)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ill-oth-pro)# enabled true
ステップ 6 そのプロトコルのスキャナ値を上書きします。
sensor(config-ano-ill-oth-pro)# override-scanner-settings yes
sensor(config-ano-ill-oth-pro-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ill-oth-pro-yes)# threshold-histogram high num-source-ips 75
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ill-oth-pro-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ill-oth-pro-yes)# exit
sensor(config-ano-ill-oth-pro)# exit
sensor(config-ano-ill-oth)# default-thresholds
sensor(config-ano-ill-oth-def)# default-thresholds
sensor(config-ano-ill-oth-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ill-oth-def)# scanner-threshold 120
ステップ 10 その他の設定を確認します。
sensor(config-ano-ill-oth)# show settings
-----------------------------------------------
protocol-number (min: 0, max: 255, current: 1)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 95 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 200 <defaulted>
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
dest-ip-bin: medium <defaulted>
num-source-ips: 1 <defaulted>
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
sensor(config-ano-ill-oth)#
外部ゾーンの設定
ここでは、外部ゾーンの設定方法について説明します。内容は次のとおりです。
• 「外部ゾーンについて」
• 「外部ゾーンの設定」
• 「外部ゾーンの TCP プロトコルの設定」
• 「外部ゾーンの UDP プロトコルの設定」
• 「外部ゾーンのその他のプロトコルの設定」
外部ゾーンについて
外部ゾーンは、デフォルトのゾーンであり、デフォルトのインターネット範囲として 0.0.0.0 ~ 255.255.255.255 を持ちます。デフォルトでは、内部ゾーンと不正ゾーンには IP アドレスは含まれません。内部ゾーンまたは不正ゾーン内の IP アドレスのセットと一致しないパケットは、外部ゾーンによって処理されます。
外部ゾーンに対して、TCP、UDP、およびその他のプロトコルをイネーブルまたはディセーブルにできます。TCP プロトコルと UDP プロトコルの宛先ポート、およびその他のプロトコルのプロトコル番号を設定できます。デフォルトのしきい値を使用するか、またはスキャナ設定を上書きして独自のしきい値とヒストグラムを追加することができます。
外部ゾーンの設定
外部ゾーンをイネーブルにし、プロトコルを指定するには、サービス異常検出サブモードで external-zone { enabled | tcp | udp |other } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:ゾーンをイネーブルまたはディセーブルにします。
• tcp :TCP プロトコルを設定します。
• udp :UDP プロトコルを設定します。
• other :TCP および UDP 以外のプロトコルを設定します。
外部ゾーンを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出外部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# external-zone
ステップ 3 外部ゾーンをイネーブルにします。
sensor(config-ano-ext)# enabled true
ステップ 4 TCP プロトコルを設定します。
ステップ 5 UDP プロトコルを設定します。
ステップ 6 その他のプロトコルを設定します。
詳細情報
• TCP プロトコルを設定する手順については、「外部ゾーンの TCP プロトコルの設定」を参照してください。
• UDP プロトコルを設定する手順については、「外部ゾーンの UDP プロトコルの設定」を参照してください。
• その他のプロトコルを設定する手順については、「外部ゾーンのその他のプロトコルの設定」を参照してください。
外部ゾーンの TCP プロトコルの設定
TCP サービスをイネーブルにし、設定するには、サービス異常検出外部ゾーン サブモードで tcp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:TCP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
外部ゾーンの TCP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出外部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# external-zone
ステップ 3 TCP プロトコルをイネーブルにします。
sensor(config-ano-ext)# tcp
sensor(config-ano-ext-tcp)# enabled true
ステップ 4 特定のポートを TCP プロトコルに関連付けます。
sensor(config-ano-ext-tcp)# dst-port 20
sensor(config-ano-ext-tcp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ext-tcp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きします。
sensor(config-ano-ext-tcp-dst)# override-scanner-settings yes
sensor(config-ano-ext-tcp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ext-tcp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ext-tcp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ext-tcp-dst-yes)# exit
sensor(config-ano-ext-tcp-dst)# exit
sensor(config-ano-ext-tcp)# exit
sensor(config-ano-ext-tcp)# default-thresholds
sensor(config-ano-ext-tcp-def)# default-thresholds
sensor(config-ano-ext-tcp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ext-tcp-def)# scanner-threshold 120
ステップ 10 TCP の設定を確認します。
sensor(config-ano-ext-tcp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 100 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-ext-tcp)#
外部ゾーンの UDP プロトコルの設定
UDP サービスをイネーブルし、設定するには、サービス異常検出外部ゾーン サブモードで udp { enabled | dst-port number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:UDP プロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• dst-port number :特定の宛先ポートのしきい値を定義します。有効な値は 0 ~ 65535 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンの UDP プロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出外部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# external-zone
ステップ 3 UDP プロトコルをイネーブルにします。
sensor(config-ano-ext)# udp
sensor(config-ano-ext-udp)# enabled true
ステップ 4 特定のポートを UDP プロトコルに関連付けます。
sensor(config-ano-ext-udp)# dst-port 20
sensor(config-ano-ext-udp-dst)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ext-udp-dst)# enabled true
ステップ 6 そのポートのスキャナ値を上書きします。
sensor(config-ano-ext-udp-dst)# override-scanner-settings yes
sensor(config-ano-ext-udp-dst-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ext-udp-dst-yes)# threshold-histogram low num-source-ips 100
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ext-udp-dst-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ext-udp-dst-yes)# exit
sensor(config-ano-ext-udp-dst)# exit
sensor(config-ano-ext-udp)# default-thresholds
sensor(config-ano-ext-udp-def)# default-thresholds
sensor(config-ano-ext-udp-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ext-udp-def)# scanner-threshold 120
ステップ 10 UDP の設定を確認します。
sensor(config-ano-ext-udp)# show settings
-----------------------------------------------
dst-port (min: 0, max: 65535, current: 4)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 100 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 120 default: 200
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
num-source-ips: 120 default: 1
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true <defaulted>
-----------------------------------------------
sensor(config-ano-ext-udp)#
外部ゾーンのその他のプロトコルの設定
その他のサービスをイネーブルにし、設定するには、サービス異常検出外部ゾーン サブモードで other { enabled | protocol number | default-thresholds } コマンドを使用します。
次のオプションが適用されます。
• enabled { true | false }:その他のプロトコルをイネーブルまたはディセーブルにします。
• default-thresholds :宛先ポート マップで指定されていないすべてのポートに使用するしきい値を定義します。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
• protocol-number number :特定のプロトコルのしきい値を定義します。有効な値は 0 ~ 255 です。
• enabled { true | false }:サービスをイネーブルまたはディセーブルにします。
• override-scanner-settings { yes | no }:スキャナ値を上書きできます。
– threshold-histogram {low | medium | high} num-source-ips number :しきい値ヒストグラムの値を設定します。
– scanner-threshold :スキャナしきい値を設定します。デフォルトは 200 です。
ゾーンのその他のプロトコルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出外部ゾーン サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad0
sensor(config-ano)# external-zone
ステップ 3 その他のプロトコルをイネーブルにします。
sensor(config-ano-ext)# other
sensor(config-ano-ext-oth)# enabled true
ステップ 4 特定の数値をその他のプロトコルに関連付けます。
sensor(config-ano-ext-oth)# protocol-number 5
sensor(config-ano-ext-oth-pro)#
ステップ 5 そのポートのサービスをイネーブルにします。
sensor(config-ano-ext-oth-pro)# enabled true
ステップ 6 そのプロトコルのスキャナ値を上書きします。
sensor(config-ano-ext-oth-pro)# override-scanner-settings yes
sensor(config-ano-ext-oth-pro-yes)#
デフォルトのスキャナ値を使用するか、またはデフォルトのスキャナ値を上書きして独自のスキャナ値を設定することができます。
ステップ 7 新しいスキャナ設定のヒストグラムを追加します。
sensor(config-ano-ext-oth-pro-yes)# threshold-histogram high num-source-ips 75
宛先 IP アドレスの数(low、medium、または high)と、このヒストグラムに関連付ける送信元 IP アドレスの数を入力します。
ステップ 8 スキャナしきい値を設定します。
sensor(config-ano-ext-oth-pro-yes)# scanner-threshold 100
ステップ 9 その他すべての未指定ポートに、デフォルトのしきい値を設定します。
sensor(config-ano-ext-oth-pro-yes)# exit
sensor(config-ano-ext-oth-pro)# exit
sensor(config-ano-ext-oth)# default-thresholds
sensor(config-ano-ext-oth-def)# default-thresholds
sensor(config-ano-ext-oth-def)# threshold-histogram medium num-source-ips 120
sensor(config-ano-ext-oth-def)# scanner-threshold 120
ステップ 10 その他の設定を確認します。
sensor(config-ano-ext-oth)# show settings
-----------------------------------------------
protocol-number (min: 0, max: 255, current: 1)
-----------------------------------------------
-----------------------------------------------
override-scanner-settings
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 95 default: 200
threshold-histogram (min: 0, max: 3, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
scanner-threshold: 200 <defaulted>
threshold-histogram (min: 0, max: 3, current: 3)
-----------------------------------------------
dest-ip-bin: low <defaulted>
num-source-ips: 10 <defaulted>
dest-ip-bin: medium <defaulted>
num-source-ips: 1 <defaulted>
dest-ip-bin: high <defaulted>
num-source-ips: 1 <defaulted>
-----------------------------------------------
-----------------------------------------------
enabled: true default: true
-----------------------------------------------
sensor(config-ano-ext-oth)#
学習受け入れモードの設定
ここでは、KB とヒストグラムについて説明し、また学習受け入れモードの設定方法について説明します。次の項目について説明します。
• 「KB とヒストグラム」
• 「学習受け入れモードの設定」
KB とヒストグラム
KB にはツリー構造があり、次の情報が含まれています。
• KB 名
• ゾーン名
• プロトコル
• サービス
KB には、各サービスのスキャナしきい値とヒストグラムが保持されています。学習受け入れモードを自動に設定し、アクションを循環に設定した場合、新しい KB が 24 時間ごとに作成され、次の 24 時間に使用されます。学習受け入れモードを自動に設定し、アクションを保存だけに設定した場合、新しい KB が作成されますが、現在の KB が使用されます。学習受け入れモードを自動に設定しない場合、KB は作成されません。
(注) 学習受け入れモードは、センサー現地時間を使用します。
スキャンしきい値は、単一の送信元 IP アドレスがスキャンできるゾーン IP アドレスの最大数を定義します。ヒストグラムしきい値は、指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。
異常検出は、攻撃が行われていない状態で学習したヒストグラムからの逸脱を検出した場合(定義されている数以上のゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスの数を超えた場合)、ワーム攻撃と認識します。たとえば、ポート 445 に対するスキャンしきい値が 300 でヒストグラムの場合、異常検出は、350 個のゾーン宛先 IP アドレスをスキャンするスキャナを検出すると、マス スキャナが検出されたことを示すアクションを生成します。ただし、このスキャナでは、ワーム攻撃が進行中かどうかはまだ確認されていません。 表 9-2 で、この例を説明します。
表 9-2 ヒストグラムの例
送信元 IP アドレスの数 |
10 |
5 |
2 |
宛先 IP アドレスの数 |
5 |
20 |
100 |
異常検出は、50 を超えるゾーン宛先 IP アドレスのポート 445 を同時にスキャンする送信元 IP アドレスを 6 つ検出すると、ポート 445 に対するワーム攻撃を検出したことを示すアクションを、送信元 IP アドレスを指定せずに生成します。動的フィルタしきい値の 50 が新しい内部スキャンしきい値に指定され、その結果として、異常検出は、スキャナのしきい値定義を下げて、新しいスキャンしきい値(50)を超えてスキャンする送信元 IP アドレスごとに追加の動的フィルタを生成します。
KB が学習した内容を、異常検出ポリシーおよびゾーンごとに上書きできます。実際のネットワーク トラフィックがわかっている場合は、上書きを使用して false positive を制限することもできます。
学習受け入れモードの設定
センサーが同じ時間おきに新しい KB を作成するかどうかを設定するには、サービス異常検出サブモードで learning-accept-mode コマンドを使用します。KB を作成してロード(循環)するか、または保存(保存のみ)するかを設定できます。KB をロードまたは保存する頻度と時期をスケジュール設定できます。
更新された新しい KB ファイルの名前は、現在の日付と時刻を表す YYYY-Mon-dd-hh_mm_ss になります。ここで、 Mon は現在の月の 3 文字の短縮形です。
(注) 学習受け入れモードは、センサー現地時間を使用します。
次のオプションが適用されます。
• learning-accept-mode :KB が保存およびロードされるかどうか、およびその時間を指定します。
– auto :センサーが KB を自動的に受け入れるように設定します。
– manual :KB を保存しません。
(注) anomaly-detection {load | save} コマンドを使用すると、KB を保存およびロードできます。
• action :KB を循環するか保存するかを指定できます。
– save-only :新しい KB を保存します。KB を調べて、異常検出にロードするかどうかを決定できます。
(注) anomaly-detection load コマンドを使用すると、KB をロードできます。
– rotate :新しい KB を保存し、ユーザ定義のスケジュールに従って現在の KB としてロードします。
• schedule :KB を受け入れるためのスケジュールを設定します。
– calendar-schedule {days-of-week} {times-of-day} :特定の日の特定の時間に、学習受け入れモードを開始します。
– periodic-schedule {interval} {start-time} :特定の間隔で定期的に学習受け入れモードを開始します。
(注) 最初の保存は、設定時刻と開始時刻の間に、設定した間隔が完全に収まる時間ができてから行われます。たとえば、現在の時刻が 16:00 の場合、開始時刻を 16:30、間隔を 1 時間に設定すると、現在の時刻(16:00)と開始時間(16:30)の間には 1 時間の間隔がないため、KB の最初の保存は 17:30 に行われます。
学習受け入れモードを設定するには、次の手順に従います。
ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 異常検出サブモードを開始します。
sensor# configure terminal
sensor(config)# service anomaly-detection ad1
ステップ 3 KB の保存方法とロード方法を指定します。
a. KB が自動的に保存およびロードされるように指定します。
sensor(config-ano)# learning-accept-mode auto
ステップ 4 に進みます。
b. KB が手動で保存およびロードされるように指定します。
sensor(config-ano)# learning-accept-mode manual
ステップ 4 KB を自動的に受け入れる方法を指定します。
a. KB を検査し、ロードするかどうかを決定できるよう KB を保存するには、次のようにします。
sensor(config-ano-aut)# action save-only
b. ユーザ定義のスケジュールに従って、KB を保存し、現在の KB としてロードするには、次のようにします。
sensor(config-ano-aut)# action rotate
ステップ 5 KB の自動保存およびロードをスケジュールします。
• カレンダー スケジュール
sensor(config-ano-aut)# schedule calendar-schedule
sensor(config-ano-aut-cal)# days-of-week monday
sensor(config-ano-aut-cal)# times-of-day time 24:00:00
このスケジュールにより、KB は毎週月曜日の深夜 0 時に保存およびロードされます。
• 定期的スケジュール
sensor(config-ano-aut)# schedule periodic-schedule
sensor(config-ano-aut-per)# start-time 24:00:00
sensor(config-ano-aut-per)# interval 24
このスケジュールにより、KB は深夜 0 時に 24 時間ごとに保存およびロードされます。
ステップ 6 設定を確認できます。
sensor(config-ano-aut-per)# exit
sensor(config-ano-aut)# show settings
-----------------------------------------------
action: rotate default: rotate
-----------------------------------------------
-----------------------------------------------
start-time: 12:00:00 default: 10:00:00
interval: 24 hours default: 24
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 7 異常検出サブモードを終了します。
sensor(config-ano-aut)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
KB を手動で保存およびロードする手順については、「KB の手動での保存とロード」を参照してください。
KB ファイルの操作
ここでは、KB ファイルの表示、ロード、保存、コピー、名前の変更、および削除を行う方法について説明します。また、2 つの KB ファイルを比較する手順、および KB ファイルのしきい値を表示する手順についても説明します。次の項目について説明します。
• 「KB ファイルの表示」
• 「KB の手動での保存とロード」
• 「KB のコピー、名前の変更、および消去」
• 「2 つの KB の差の表示」
• 「KB のしきい値の表示」
KB ファイルの表示
仮想センサーで使用可能な KB ファイルを表示するには、特権 EXEC モードで show ad-knowledge-base [ virtual-sensor ] files コマンドを使用します。
(注) ファイル名の前に付いている * は、その KB ファイルが現在ロードされている KB ファイルであることを示します。
KB ファイルを表示するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 すべての仮想センサーの KB ファイルを表示します。
sensor# show ad-knowledge-base files
initial 84 04:27:07 CDT Wed Jan 29 2003
* 2003-Jan-28-10_00_01 84 04:27:07 CDT Wed Jan 29 2003
initial 84 14:35:38 CDT Tue Mar 14 2006
2006-Mar-16-10_00_00 84 10:00:00 CDT Thu Mar 16 2006
2006-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2006
2006-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2006
2006-Mar-19-10_00_00 84 10:00:00 CDT Sun Mar 19 2006
2006-Mar-20-10_00_00 84 10:00:00 CDT Mon Mar 20 2006
2006-Mar-21-10_00_00 84 10:00:00 CDT Tue Mar 21 2006
2006-Mar-22-10_00_00 84 10:00:00 CDT Wed Mar 22 2006
2006-Mar-23-10_00_00 84 10:00:00 CDT Thu Mar 23 2006
2006-Mar-24-10_00_00 84 10:00:00 CDT Fri Mar 24 2006
2006-Mar-25-10_00_00 84 10:00:00 CDT Sat Mar 25 2006
2006-Mar-26-10_00_00 84 10:00:00 CDT Sun Mar 26 2006
2006-Mar-27-10_00_00 84 10:00:00 CDT Mon Mar 27 2006
2003-Jan-02-10_00_00 84 10:00:00 CDT Thu Jan 02 2003
2003-Jan-03-10_00_00 84 10:00:00 CDT Fri Jan 03 2003
2003-Jan-04-10_00_00 84 10:00:00 CDT Sat Jan 04 2003
2003-Jan-05-10_00_00 84 10:00:00 CDT Sun Jan 05 2003
2003-Jan-06-10_00_00 84 10:00:00 CDT Mon Jan 06 2003
ステップ 3 特定の仮想センサーの KB ファイルを表示します。
sensor# show ad-knowledge-base vs0 files
initial 84 10:24:58 CDT Tue Mar 14 2006
2006-Mar-16-10_00_00 84 10:00:00 CDT Thu Mar 16 2006
2006-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2006
2006-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2006
2006-Mar-19-10_00_00 84 10:00:00 CDT Sun Mar 19 2006
2006-Mar-20-10_00_00 84 10:00:00 CDT Mon Mar 20 2006
KB の手動での保存とロード
KB を手動で保存およびロードするには、特権 EXEC モードで次のコマンドを使用します。
次のオプションが適用されます。
• show ad-knowledge-base virtual-sensor files :仮想センサーごとに使用可能な KB ファイルを表示します。
• anomaly-detection virtual-sensor load { initial | file name }:この KB ファイルを、指定した仮想センサーの現在の KB として設定します。異常検出がアクティブな場合、このファイルは現在の KB としてロードされます。
• anomaly-detection virtual-sensor save [ new-name ]:現在の KB ファイルを取得してローカルに保存します。
KB を手動で保存およびロードするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ロードする KB を検索します。
sensor# show ad-knowledge-base vs0 files
initial 84 10:24:58 CDT Tue Mar 14 2006
2006-Mar-16-10_00_00 84 10:00:00 CDT Thu Mar 16 2006
2006-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2006
2006-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2006
2006-Mar-19-10_00_00 84 10:00:00 CDT Sun Mar 19 2006
2006-Mar-20-10_00_00 84 10:00:00 CDT Mon Mar 20 2006
ステップ 3 KB ファイルを特定の仮想センサーの現在の KB ファイルとしてロードします。
sensor# anomaly-detection vs0 load file 2006-Mar-16-10_00_00
ステップ 4 現在の KB ファイルを新しい名前で保存します。
sensor# anomaly-detection vs0 save my-KB
(注) このコマンドの入力時に異常検出がアクティブでない場合、エラーが表示されます。初期ファイルを上書きすることはできません。
KB のコピー、名前の変更、および消去
KB ファイルのコピー、名前の変更、および消去を手動で行うには、特権 EXEC モードで次のコマンドを使用します。
次のオプションが適用されます。
• copy ad-knowledge-base virtual-sensor { current | initial | file name } destination-url :指定した宛先 URL に KB ファイル(現在、初期、または入力したファイル名)をコピーします。
(注) コピー先のファイル名がすでに存在する場合は、既存のファイルが上書きされます。
• copy ad-knowledge-base virtual-sensor source-url new-name :指定したコピー元 URL に、KB を新しい名前でコピーします。
(注) current キーワードを new-name として使用することはできません。新しい現在の KB ファイルは、load コマンドで作成されます。
• rename ad-knowledge-base virtual-sensor { current | file name } new-name :現在の KB ファイルの名前を変更します。
• erase ad-knowledge-base [ virtual-sensor [ name ]]:すべての KB ファイルを仮想センサーから削除します。または、 name オプションを使用すると、1 つの KB ファイルだけを削除します。
初期 KB ファイル、または現在の KB としてロードされている KB ファイルは消去できません。コピー元およびコピー先の URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。
• ftp::FTP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename
• scp::SCP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename
(注) FTP または SCP プロトコルを使用する場合は、パスワードの入力を求めるプロンプトが表示されます。SCP プロトコルを使用する場合は、リモート ホストを SSH の既知のホスト リストに追加する必要があります。
• http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
http:[[/[username@]location]/directory]/filename
• https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
https:[[/[username@]location]/directory]/filename
(注) HTTPS プロトコルを使用する場合は、リモート ホストが TLS 信頼済みホストになっている必要があります。
KB ファイルのコピー、名前の変更、および削除を行うには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コピーする KB ファイルを検索します。
sensor# show ad-knowledge-base vs0 files
initial 84 10:24:58 CDT Tue Mar 14 2006
2006-Mar-16-10_00_00 84 10:00:00 CDT Thu Mar 16 2006
2006-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2006
2006-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2006
2006-Mar-19-10_00_00 84 10:00:00 CDT Sun Mar 19 2006
2006-Mar-20-10_00_00 84 10:00:00 CDT Mon Mar 20 2006
ステップ 3 IP アドレスが 10.1.1.1 のコンピュータ上のユーザに KB ファイルをコピーします。
sensor# copy ad-knowledge-base vs0 file 2006-Mar-16-10_00_00 scp://cidsuser@10.1.1.1/Anomaly Detection/my-KB
ステップ 4 KB ファイルの名前を変更するには、次のようにします。
sensor# rename ad-knowledge-base vs0 2006-Mar-16-10_00_00 My-KB
ステップ 5 特定の仮想センサーから KB ファイルを削除するには、次のようにします。
sensor# erase ad-knowledge-base vs0 2006-Mar-16-10_00_00
ステップ 6 仮想センサーから、現在の KB ファイルとしてロードされている KB ファイルと初期 KB ファイルを除くすべての KB ファイルを削除するには、次のようにします。
sensor# erase ad-knowledge-base vs0
Warning: Executing this command will delete all virtual sensor 'vs0' knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? [yes]: yes
ステップ 7 すべての仮想センサーから、現在の KB ファイルとしてロードされている KB ファイルと初期 KB ファイルを除くすべての KB ファイルを削除するには、次のようにします。
sensor# erase ad-knowledge-base
Warning: Executing this command will delete all virtual sensor knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? [yes]: yes
詳細情報
• load コマンドを使用して新しい KB を作成する手順については、「KB の手動での保存とロード」を参照してください。
• SSH 既知ホスト リストにホストを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。
• TLS の信頼できるホストを追加する手順については、「TLS の信頼できるホストの追加」を参照してください。
2 つの KB の差の表示
2 つの KB の差を表示するには、特権 EXEC モードで show ad-knowledge-base virtual-sensor diff { current | initial | file name1 }{ current | initial | file name2 } [ diff-percentage ] コマンドを使用します。
次のオプションが適用されます。
• virtual-sensor :比較する KB ファイルが含まれる仮想センサーの名前。
• name1 :比較対象の 1 つ目の既存 KB ファイルの名前。
• name2 :比較対象の 2 つ目の既存 KB ファイルの名前。
• current :現在ロードされている KB。
• initial :初期 KB。
• file :既存の KB ファイルの名前。
• diff-percentage :(任意)しきい値の差が指定した率よりも大きいサービスを表示します。有効な値は 1 ~ 100 です。デフォルトは 10% です。
2 つの KB を比較するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 比較するファイルを検索します。
sensor# show ad-knowledge-base vs0 files
initial 84 04:27:07 CDT Wed Jan 29 2003
* 2006-Jun-28-10_00_01 84 04:27:07 CDT Thu Jun 29 2006
ステップ 3 仮想センサー vs0 の現在ロードされているファイル(* の付いているファイル)と初期 KB を比較します。
sensor# show ad-knowledge-base vs0 diff initial file 2006-Jun-28-10_00_01
Initial Only Services/Protocols
2006-Jun-28-10_00_01 Only Services/Protocols
Thresholds differ more than 10%
KB のしきい値の表示
KB のしきい値を表示するには、特権 EXEC モードで show ad-knowledge-base virtual-sensor thresholds { current | initial | file name } [ zone { external | illegal | internal ]} {[ protocol { tcp | udp }] [ dst-port port ] | [ protocol other ] [ number protocol-number ]} コマンドを使用します。
次のオプションが適用されます。
• virtual-sensor :比較する KB ファイルが含まれる仮想センサーの名前。
• name :既存の KB ファイルの名前。
• current :現在ロードされている KB。
• initial :初期 KB。
• file :既存の KB ファイルの名前。
• zone :(任意)指定したゾーンのしきい値を表示します。デフォルトでは、すべてのゾーンの情報が表示されます。
• external :外部ゾーンのしきい値を表示します。
• illegal :不正ゾーンのしきい値を表示します。
• internal :内部ゾーンのしきい値を表示します。
• protocol (任意)指定したプロトコルのしきい値を表示します。デフォルトでは、すべてのプロトコルの情報が表示されます。
• tcp :TCP プロトコルのしきい値を表示します。
• udp :UDP プロトコルのしきい値を表示します。
• other :TCP と UDP を除くその他のプロトコルのしきい値を表示します。
• dst-port (任意)指定したポートのしきい値を表示します。デフォルトでは、すべてのTCP ポートと UDP ポートに関する情報が表示されます。
• port :ポート番号 有効な値は 0 ~ 65535 です。
• number :(任意)指定したその他のプロトコル番号のしきい値を表示します。デフォルトでは、その他のすべてのプロトコルの情報が表示されます。
• protocol-number :プロトコル番号。有効な値は 0 ~ 255 です。
KB のしきい値を表示するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 しきい値を表示するファイルを検索します。
sensor# show ad-knowledge-base vs1 files
initial 84 10:24:58 CDT Tue Mar 14 2006
2006-Mar-16-10_00_00 84 10:00:00 CDT Thu Mar 16 2006
2006-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2006
2006-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2006
2006-Mar-19-10_00_00 84 10:00:00 CDT Sun Mar 19 2006
2006-Mar-27-10_00_00 84 10:00:00 CDT Mon Mar 27 2006
2006-Apr-24-05_00_00 88 05:00:00 CDT Mon Apr 24 2006
* 2006-Apr-25-05_00_00 88 05:00:00 CDT Tue Apr 25 2006
ステップ 3 不正ゾーンの特定のファイルに含まれているしきい値を表示するには、次のようにします。
sensor# show ad-knowledge-base vs0 thresholds file 2006-Nov-11-10_00_00 zone illegal
Anomaly Detection Thresholds
Creation Date = 2006-Nov-11-10_00_00
KB = 2006-Nov-11-10_00_00
Threshold Histogram - User Configuration
Threshold Histogram - User Configuration
Threshold Histogram - User Configuration
ステップ 4 現在の KB 不正ゾーン、プロトコル TCP、および宛先ポート 20 に含まれているしきい値を表示するには、次のようにします。
sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol tcp dst-port 20
Anomaly Detection Thresholds
Creation Date = 2006-Nov-14-10_00_00
KB = 2006-Nov-14-10_00_00
Threshold Histogram - User Configuration
ステップ 5 現在の KB 不正ゾーン、およびその他のプロトコルに含まれているしきい値を表示するには、次のようにします。
sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol other
Anomaly Detection Thresholds
Creation Date = 2006-Nov-14-10_00_00
KB = 2006-Nov-14-10_00_00
Threshold Histogram - User Configuration
異常検出統計情報の表示
異常検出の統計情報を表示するには、特権 EXEC モードで show statistics anomaly-detection [ virtual-sensor-name ] コマンドを使用します。攻撃が進行中かどうかを確認できます( Attack in progress
または No attack )。また、いつ次の KB が保存されるかを確認できます( Next KB rotation at 10:00:00 UTC Wed Apr 26 2006
)。
(注) 異常検出統計情報には clear コマンドは使用できません。
異常検出統計情報を表示するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 特定の仮想センサーの異常検出統計情報を表示します。
sensor# show statistics anomaly-detection vs0
Statistics for Virtual Sensor vs0
Next KB rotation at 10:00:00 UTC Wed Apr 26 2006
ステップ 3 すべての仮想センサーの統計情報を表示するには、次のようにします。
sensor# show statistics anomaly-detection
Statistics for Virtual Sensor vs0
Next KB rotation at 10:00:01 UTC Wed Jun 29 2006
Statistics for Virtual Sensor vs1
Next KB rotation at 10:00:00 UTC Wed Jul 29 2006
異常検出の停止
センサーがトラフィックの一方向だけを参照するように設定した場合は、異常検出をディセーブルにする必要があります。そうしなかった場合、大量のアラートが発生します。これは、異常検出が非対称トラフィックをワーム スキャナーのような不完全な接続と見なして、アラートを発生させるためです。
異常検出をディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 分析エンジン サブモードを開始します。
sensor# configure terminal
sensor(config)# service analysis-engine
ステップ 3 ディセーブルにする異常検出ポリシーが含まれている仮想センサー名を入力します。
sensor(config-ana)# virtual-sensor vs0
ステップ 4 異常検出の動作モードをディセーブルにします。
sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# operational-mode inactive
sensor(config-ana-vir-ano)#
ステップ 5 分析エンジン サブモードを終了します。
sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# exit
sensor(config-ana-)# exit
ステップ 6 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
ワームの動作の詳細については、「ワーム」を参照してください。