シグニチャの設定
ここではシグニチャの設定方法について、次の内容を説明します。
• 「シグニチャ設定のフィールド定義」
• 「シグニチャのイネーブル、ディセーブル、および廃棄」
• 「シグニチャの追加」
• 「シグニチャのクローニング」
• 「シグニチャのチューニング」
• 「シグニチャへのアクションの割り当て」
• 「アラート頻度の設定」
• 「Meta エンジン シグニチャの例」
• 「Atomic IP Advanced エンジン シグニチャの例」
• 「String XL TCP エンジン Match Offset シグニチャの例」
• 「String XL TCP エンジン Minimum Match Length シグニチャの例」
[Sig0] ペイン
[Sig0] ペインには、次のフィールドがあります。
• [Filter]:フィルタリングする属性を選択してシグニチャ リストをソートできます。
• [ID]:シグニチャおよびサブシグニチャに割り当てられた一意の数値を示します。この値により、センサーは特定のシグニチャを識別します。
• [Name]:シグニチャに割り当てられている名前を示します。
• [Enabled]:シグニチャがイネーブルかどうかを示します。シグニチャで指定されている攻撃からの保護をセンサーが提供するには、シグニチャをイネーブルにする必要があります。
• [Severity]:このシグニチャが報告する重大度レベルを示します(High、Informational、Low、Medium)。
• [Fidelity Rating]:ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示します。
• [Base RR]:各シグニチャの基本リスク評価の値を表示します。IDM では、忠実度レーティングに重大度係数を掛けて 100 で割ることで、自動的に基本リスク評価が計算されます(Fidelity Rating x Severity Factor/100)。
重大度係数は次の値を取ります。
– 重大度係数 = 100(シグニチャの重大度レベルが high の場合)
– 重大度係数 = 75(シグニチャの重大度レベルが medium の場合)
– 重大度係数 = 50(シグニチャの重大度レベルが low の場合)
– 重大度係数 = 25(シグニチャの重大度レベルが informational の場合)
• [Signature Actions]:このシグニチャに反応したときにセンサーが実行するアクションを示します。
• [Type]:このシグニチャがデフォルト(組み込み)か、チューニング済みか、またはカスタム シグニチャかを示します。
• [Engine]:このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを示します。
• [Retired]:このシグニチャが廃棄されているかどうかを示します。
廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄されたシグニチャをアクティブにして、シグニチャ エンジンに戻すことができます。
(注) 使用していないシグネチャを廃棄することを推奨します。廃棄によって、センサーのパフォーマンスが向上します。
ボタンと右クリック メニューの機能。
• [Edit Actions]:[Edit Actions] ダイアログボックスを開きます。
• [Enable]:選択されたシグニチャをイネーブルにします。
• [Disable]:選択されたシグニチャをディセーブルにします。
• [Set Severity To]:このシグニチャが報告する重大度レベルを設定します(High、Medium、Low または Informational)。
• [Restore Default]:選択されたシグニチャのすべてのパラメータをデフォルトの設定に戻します。
• [Show Events]:このシグニチャに関連するリアルタイム、最近 10 分間、または最近 1 時間のイベントを表示します。
• [MySDN]:Cisco.com の MySDN サイトにあるこのシグニチャの説明を表示します。
• [Edit Signature]:[Edit Signature] ダイアログボックスを開きます。[Edit Signature] ダイアログボックスでは、選択されたシグニチャに関連するパラメータの変更や、シグニチャのチューニングが効果的に行えます。一度に編集できるシグニチャは 1 つだけです。
• [Add]:[Add Signature] ダイアログボックスを開きます。[Add Signature] ダイアログボックスでは、選択されたシグニチャに関連するパラメータの追加や、シグニチャのチューニングが効果的に行えます。
• [Delete]:選択されたカスタム シグニチャを削除します。組み込みシグニチャは削除できません。
• [Clone]:[Clone Signature] ダイアログボックスを開きます。[Clone Signature] ダイアログボックスでは、クローニングを選択した既存のシグニチャの設定値を変更することによって、シグニチャを作成できます。
• [Change Status To]:状態を、アクティブ、廃棄、低メモリ廃棄、中メモリ廃棄に変更できます。
• [Export]:表中に現在表示されるシグニチャを、カンマ区切りの Excel ファイル(CSV)または HTML ファイルにエクスポートできます。Ctrl-C を使用してクリップボードに内容をコピーしておき、Ctrl-V を使用してメモ帳や Word に貼り付けることもできます。
[Add Signature]、[Clone Signature]、[Edit Signatures] ダイアログボックス
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
[Add Signature]、[Clone Signature]、[Edit Signature] ダイアログボックスには次のフィールドがあります。
• Signature Definition
– [Signature ID]:このシグニチャに割り当てられた一意の数値を示します。この値により、センサーは特定のシグニチャを識別します。値は 1000 ~ 65000 です。
– [SubSignature ID]:このサブシグニチャに割り当てられた一意の数値を示します。サブシグニチャ ID によって、広範なシグニチャのより詳細なバージョンが識別されます。値は 0 ~ 255 です。
– [Alert Severity]:シグニチャの重大度レベルを High、Informational、Low、Medium から選択します。
– [Sig Fidelity Rating]:ターゲットに関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを選択します。値は 0 ~ 100 です。デフォルトは 75 です。
– [Promiscuous Delta]:アラートの重大度を設定します。
注意 シグニチャの [Promiscuous Delta] 設定は変更しないことを推奨します。
• [Sig Description]:このシグニチャを他のシグニチャと区別するために役立つ次の属性を指定できます。
– [Signature Name]:シグニチャに名前を付けます。デフォルトは MySig です。
– [Alert Notes]:このフィールドにアラートの注釈を追加します。
– [User Comments]:このフィールドにシグニチャについてのコメントを追加します。
– [Alarm Traits]:このフィールドにアラームの特性を追加します。値は 0 ~ 65535 です。デフォルトは 0 です。
– [Release]:シグニチャが最初に出現したソフトウェア リリースを追加します。
– [Signature Creation Date]:シグニチャが作成された日付。
– [Signature Type]:シグニチャのタイプ(anomaly、component、exploit、other、vulnerability)。
• [Engine]:このシグニチャによって指定されたトラフィックの解析と検査を行うエンジンを選択できます。
• [Event Action]:イベントに対応してセンサーが取るアクションを指定できます。
• [Event Counter]:センサーがイベントをカウントする方法を設定できます。たとえば、センサーが、同じシグニチャが同じアドレス セットに対して 5 回起動した場合にだけアラートを送信するように指定できます。
– [Event Count]:アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デフォルトは 1 です。
– [Event Count Key]:シグニチャのイベントをカウントするために使用されるストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。
– [Specify Alert Interval]:イベント カウンタがリセットされるまでの秒数を指定します。ドロップダウン リストから [Yes] または [No] を選択し、時間を指定します。
• [Alert Frequency]:シグニチャが反応した場合に、センサーがアラートを送信する頻度を設定できます。シグニチャに対して次のパラメータを指定します。
– [Summary Mode]:アラートのサマライズ モードです。[Fire All]、[Fire Once]、[Global Summarize]、または [Summarize] から選択します。
(注) 適応型セキュリティ アプライアンスの複数のコンテキストが 1 つの仮想センサーに含まれている場合、サマリー アラートには、サマライズされた最後のコンテキストのコンテキスト名が含まれています。このため、このサマリーは、サマライズされるすべてのコンテキストのうち、このタイプのすべてのアラートの結果となります。
– [Summary Interval]:各サマリー アラートで使用される時間間隔(秒数)。値は 1 ~ 65535 です。デフォルトは 15 です。
– [Summary Key]:アラートのサマライズに使用するストレージ タイプ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。
– [Specify Global Summary Threshold]: アラートをグローバル サマリーにするイベント数のしきい値を指定します。[Yes] または [No] を選択し、イベント数のしきい値を指定します。
• [Status]:シグニチャをイネーブルまたはディセーブルにできます。また、シグニチャを廃棄または復帰できます。
– [Enabled]:シグニチャがイネーブルかディセーブルかを選択します。デフォルトは [Yes](イネーブル)です。
– [Retired]:シグニチャが廃棄されるかどうかを選択し、低メモリ廃棄か中メモリ廃棄かを選択します。デフォルトは [No](廃棄されない)です。
低メモリ廃棄のプラットフォームは、センサーの最大メモリが 1 GB 未満のものです。中メモリ廃棄のプラットフォームは、センサーの最大メモリが 1 GB 以上 2 GB 未満のものです。シグニチャが読み込まれると、廃棄の値がシグニチャを読み込んだプラットフォームに基づいて評価されます。
– [Obsoletes]:このシグニチャによって廃止されたシグニチャが一覧表示されます。
– [Vulnerable OS List]:このシグニチャに対して脆弱な OS を選択します。
• [Mars Category]:シグニチャを MARS の攻撃カテゴリにマップします。これはコンフィギュレーションに設定でき、アラートで表示される静的な情報カテゴリです。
[Edit Actions] ダイアログボックス
[Edit Actions] ダイアログボックスには次のフィールドがあります。
• アラート アクションおよびログ アクション
– [Produce Alert]:イベントをアラートとしてイベント ストアに書き込みます。
(注) シグニチャのアラートをイネーブルにした場合、[Product Alert] アクションは自動的には行われません。イベント ストア内にアラートを生成させるには、[Product Alert] を選択する必要があります。2 個目のアクションを追加する場合にアラートをイベント ストアに送信させるには、[Product Alert] を含める必要があります。また、イベント アクションを設定するたびに、新しいリストが作成されて、古いリストと置換されます。シグニチャごとに必要なすべてのイベント アクションを含めてあることを確認してください。
(注) Produce Alert イベント アクションは、グローバル相関によってイベントのリスク評価が増加し、Deny Packet Inline または Deny Attacker Inline のいずれかのイベント アクションが追加されたときに、イベントに追加されます。
– [Produce Verbose Alert]:攻撃パケットのエンコード ダンプをアラートに含めます。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
– [Log Attacker Packets]:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
– [Log Victim Packets]:攻撃対象のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
– [Log Attacker/Victim Pair Packets]:(インライン モードのみ)攻撃者と攻撃対象のアドレスのペアが含まれているパケットに対する IP ロギングを開始します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
– [Request SNMP Trap]:SNMP 通知を実行するために、NotificationApp に要求を送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。このアクションを実装するには、センサーに SNMP が設定されている必要があります。
• 拒否アクション
– [Deny Packet Inline](インラインのみ):このパケットを送信しません。
(注) 保護されているため、[Deny Packet Inline] のイベント アクション オーバーライドは削除できません。そのオーバーライドを使用しない場合は、ディセーブルにします。
– [Deny Connection Inline](インラインのみ):TCP フロー上のこのパケットおよび将来のパケットを送信しません。
– [Deny Attacker Victim Pair Inline](インラインのみ):指定された期間、この攻撃者と攻撃対象のアドレスのペアについては、現在のパケットおよび将来のパケットを送信しません。
(注) 拒否アクションの場合は、[Configuration] > [Policies] > [Event Action Rules] > [rules0] > [General Settings] を選択して、指定期間および拒否する攻撃者の最大数を設定してください。
– [Deny Attacker Service Pair Inline](インラインのみ):指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアについては、現在のパケットおよび将来のパケットを送信しません。
– [Deny Attacker Inline](インラインのみ):指定された期間、この攻撃者のアドレスから発生した現在のパケットおよび将来のパケットを送信しません。センサーは、システムで拒否されている攻撃者のリストを維持します。拒否攻撃者リストからエントリを削除するには、攻撃者のリストを表示してリスト全体をクリアするか、期限切れになるまで待つことができます。タイマーは、エントリごとにスライドするタイマーです。したがって、攻撃者 A が拒否されているときに別の攻撃が発行されると、攻撃者 A のタイマーはリセットされ、そのタイマーの有効期限が切れるまで攻撃者 A は拒否された攻撃者リストに残ります。拒否された攻撃者のリストがいっぱいになり、新規エントリを追加することができない場合でも、パケットは拒否されます。
(注) これは最も厳しい拒否アクションです。単一の攻撃者アドレスからの現在および将来のパケットが拒否されます。拒否された攻撃者のエントリをすべてクリアするには、[Monitoring] > [Time-Based Actions] > [Denied Attackers] > [Clear List] を選択することで、そのアドレスをネットワークに戻すことを許可します。
– [Modify Packet Inline](インラインのみ):エンドポイントによるパケットの処理に関するあいまいさを取り除くために、パケット データを変更します。
(注) イベント アクション フィルタまたはオーバーライドを追加するときは、Modify Packet Inline をアクションとして使用できません。
• その他のアクション
– [Request Block Connection]:要求を ARC に送信して、この接続をブロックします。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
(注) IPv6 では Request Block Connection はサポートされません。
– [Request Block Host]:要求を ARC に送信して、この攻撃者ホストをブロックします。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。
(注) ブロックする期間を設定するには、[Configuration] > [Policies] > [Event Action Rules] > [rules0] > [General Settings] を選択します。
(注) IPv6 では Request Block Host はサポートされません。
– [Request Rate Limit]:レート制限要求を ARC に送信して、レート制限を実行します。レート制限デバイスは、このアクションを実行するように設定されている必要があります。
(注) [Request Rate Limit] は、選択した一連のシグニチャに適用されます。
(注) IPv6 では Request Rate Limit はサポートされません。
– [Reset TCP Connection]:TCP フローをハイジャックして終了する TCP リセットを送信します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャに対してだけ機能します。スイープまたはフラッドに対しては機能しません。
Deny Packet Inline について
[Deny Packet Inline] がアクションとして設定されているシグニチャまたは [Deny Packet Inline] をアクションとして追加するイベント アクション オーバーライドの場合は、次のアクションが実行される可能性があります。
• droppedPacket
• deniedFlow
• tcpOneWayResetSent
[Deny Packet Inline] アクションは、アラート内では、ドロップされたパケットのアクションとして表されます。TCP 接続で発生した [Deny Packet Inline] は、[Deny Connection Inline] アクションに自動的にアップグレードされ、アラート内では、拒否されたフローとして表示されます。IPS でパケット 1 個だけを拒否した場合、TCP は同じパケットの再送信を試行し続けるため、IPS は接続全体を拒否して、再送信による成功を決して発生させません。
[Deny Connection Inline] が発生した場合、IPS は、TCP 一方向リセットの自動送信も行います。これは、送信された TCP 一方向リセットとしてアラート内に表示されます。IPS が接続を拒否する場合、IPS は、クライアント(通常は攻撃者)とサーバ(通常は攻撃対象)の両側にオープン接続を残します。オープン接続の数が多すぎると、攻撃される側でリソースの問題を引き起こすことがあります。したがって、IPS では、TCP リセットを攻撃対象に送信して攻撃される側(通常はサーバ)の接続を閉じます。これにより、攻撃される側のリソースが温存されます。別のネットワーク パスに接続をフェールオーバーして攻撃対象まで到達させることがないように、フェールオーバーも防止されます。IPS では、攻撃者側をオープンしたままにし、攻撃者からのすべてのトラフィックを拒否します。
詳細情報
• 拒否攻撃者リストをクリアする手順およびブロックする期間を設定する手順については、「拒否攻撃者の設定およびモニタリング」を参照してください。
• 指定期間および拒否攻撃者の最大数を設定する手順については、「一般設定」を参照してください。
• Request Block Connection アクション、Request Block Host アクション、Request Rate Limit アクションを実装するようにブロッキング デバイスを設定する手順については、「Attack Response Controller でのブロッキングとレート制限の設定」を参照してください。
• レート制限の詳細については、「レート制限について」を参照してください。
• SNMP トラップを設定する手順については、「SNMP トラップの設定」を参照してください。
シグニチャのイネーブル、ディセーブル、および廃棄
シグニチャをイネーブル、ディセーブル、および廃棄にするには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 シグニチャを見つけるために、[Filter] ドロップダウン リストからソート オプションを選択します。たとえば、Flood Host シグニチャを探す場合は、ドロップダウン リストから [Engine] を選択してから [Flood Host] を選択し、さらに個々のシグニチャを選択します。[sig0] パネルが更新されて、ソート基準と一致するシグニチャだけが表示されます。
ステップ 4 既存のシグニチャをイネーブルまたはディセーブルにするには、そのシグニチャを選択して次の手順を実行します。
a. シグニチャの状態を調べるために、[Enabled] カラムを参照します。イネーブルであるシグニチャはチェックボックスがオンになっています。
b. ディセーブルであるシグニチャをイネーブルにするには、[Enabled] チェックボックスをオンにします。
c. イネーブルであるシグニチャをディセーブルにするには、[Enabled] チェックボックスをオフにします。
d. 1 つ以上のシグニチャを廃棄するには、そのシグニチャを選択して右クリックし、[Change Status To] > [Retired] をクリックします。
(注) 使用していないシグネチャを廃棄することを推奨します。廃棄によって、センサーのパフォーマンスが向上します。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 5 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
シグニチャの追加
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
既存のシグニチャをもとにせずにカスタム シグニチャを作成するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択し、[Add] をクリックします。
ステップ 3 [Signature ID] フィールドに、新しいシグニチャの一意のシグニチャ ID を入力します。カスタム シグニチャ ID は、60000 から始まります。
ステップ 4 [Subsignature] フィールドに、新しいシグニチャの一意のサブシグニチャ ID を入力します。
ステップ 5 [Alert Severity] ドロップダウン リストから、このシグニチャと関連付ける重大度を選択します。
ステップ 6 [Sig Fidelity Rating] フィールドに、シグニチャの忠実度レーティングを表す値(1 ~ 100)を入力します。
ステップ 7 [Promiscuous Delta] フィールドに、このシグニチャに関連付ける混合デルタを 0 から 30 の間で入力します。
注意 シグニチャの [Promiscuous Delta] 設定は変更しないことを推奨します。
ステップ 8 [Sig Description] フィールドに入力し、このシグニチャに関する任意のコメントを追加します。
ステップ 9 [Engine] ドロップダウン リストから、センサーがこのシグニチャを適用するために使用するエンジンを選択します。
(注) どのエンジンを選択すべきかわからない場合には、Custom Signature Wizard を使用してカスタム シグニチャを作成します。
ステップ 10 シグニチャにアクションを割り当てます。
ステップ 11 シグニチャにエンジン固有のパラメータを設定します。
ステップ 12 イベント カウンタを設定します。
a. [Event Count] フィールドに、カウントするイベントの数(1 ~ 65535)を入力します。
b. [Event Count Key] ドロップダウン リストから使用するキーを選択します。
c. [Specify Alert Interface] ドロップダウン リストから、アラート間隔を指定するかどうか([Yes] または [No])を選択します。
d. [Yes] を選択した場合は、[Alert Interval] フィールドにアラート間隔(2 ~ 1000)を入力します。
ステップ 13 アラートの頻度を設定します。
ステップ 14 シグニチャの状態を設定します。
a. [Enabled] ドロップダウン リストから [Yes] を選択してシグニチャをイネーブルにします。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャをイネーブルにする必要があります。
b. [Retired] ドロップダウン リストから [Yes] を選択して、シグニチャがアクティブであることを確認します。これにより、シグニチャはエンジンに配置されます。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャが廃棄されていない必要があります。
c. 脆弱性のある OS を選択します。
ヒント 複数の OS を選択するには、Ctrl キーを押しながら選択します。
ステップ 15 MARS カテゴリを選択して [OK] をクリックします。
ヒント 変更を破棄して [Add Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 16 [OK] をクリックします。[Type] に [Custom] が設定された、新しいシグニチャがリストに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 17 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
• どのシグニチャ エンジンを使用すべきかわからない場合には、Signature Wizard を使用して新しいシグニチャを作成します。詳細については、「Signature Wizard の使用」を参照してください。
• シグニチャにアクションを割り当てる手順については、「シグニチャへのアクションの割り当て」を参照してください。
• アラート頻度を設定する手順については、「アラート頻度の設定」を参照してください。
シグニチャのクローニング
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
注意 組み込みシグニチャのいくつかのシグニチャ値は保護されており、値をコピーできません。シグニチャをクローニングすることはできますが、特定の値は設定できません。シグニチャ値が設定できない場合、次のようなエラー メッセージが表示されます。
[Obsoletes] is protected, cannot copy the value.[Mars Category] is protected, cannot copy the value.
[sig0] ペインで既存のシグニチャをクローニングしてシグニチャを作成することができます。この操作は類似したシグニチャを作成する場合に時間の節約になります。
既存のシグニチャを出発点に使用してシグニチャを作成するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 シグニチャを見つけるために、[Filter] ドロップダウン リストからソート オプションを選択します。たとえば、Flood Host シグニチャを探す場合は、ドロップダウン リストから [Engine] を選択してから [Flood Host] を選択し、さらに個々のシグニチャを選択します。[sig0] パネルが更新されて、ソート基準と一致するシグニチャだけが表示されます。
ステップ 4 シグニチャを選択して [Clone] をクリックします。
ステップ 5 [Signature] フィールドに、新しいシグニチャの一意のシグニチャ ID を入力します。カスタム シグニチャ ID は、60000 から始まります。
ステップ 6 [Subsignature] フィールドに、新しいシグニチャの一意のサブシグニチャ ID を入力します。
ステップ 7 パラメータ値を確認して、新しいシグニチャで異なる値にする任意のパラメータの値を変更します。
ヒント 複数の OS またはイベント アクションを選択するには、Ctrl キーを押しながら選択します。
ステップ 8 シグニチャの状態を設定します。
a. [Enabled] ドロップダウン リストから [Yes] を選択してシグニチャをイネーブルにします。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャをイネーブルにする必要があります。
b. [Retired] ドロップダウン リストから [Yes] を選択して、シグニチャがアクティブであることを確認します。これにより、シグニチャはエンジンに配置されます。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャが廃棄されていない必要があります。
ヒント 変更を破棄して [Clone Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
c. [OK] をクリックします。[Type] に [Custom] が設定された、クローニングされたシグニチャがリストに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 9 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
アラート頻度を設定する手順については、「アラート頻度の設定」を参照してください。
シグニチャのチューニング
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
(注) 組み込みシグニチャのチューニングは可能です。これには、シグニチャのいくつかのパラメータを変更します。変更された組み込みシグニチャは、チューニング済みシグニチャと呼ばれます。
[sig0] ペインで、シグニチャを編集、つまり チューニング できます。
既存のシグニチャをチューニングするには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 シグニチャを見つけるために、[Filter] ドロップダウン リストからソート オプションを選択します。たとえば、Flood Host シグニチャを探す場合は、ドロップダウン リストから [Engine] を選択してから [Flood Host] を選択し、さらに個々のシグニチャを選択します。[sig0] パネルが更新されて、ソート基準と一致するシグニチャだけが表示されます。
ステップ 4 シグニチャを選択し、[Edit] をクリックします。
ステップ 5 パラメータ値を確認して、チューニングする任意のパラメータの値を変更します。
ヒント 複数の OS、イベント アクション、脆弱性のある OS、または MARS カテゴリを選択するには、Ctrl キーを押しながら選択します。
ステップ 6 シグニチャの状態を設定します。
a. [Enabled] ドロップダウン リストから [Yes] を選択してシグニチャをイネーブルにします。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャをイネーブルにする必要があります。
b. [Retired] ドロップダウン リストから [Yes] を選択して、シグニチャがアクティブであることを確認します。これにより、シグニチャはエンジンに配置されます。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャが廃棄されていない必要があります。
ヒント 変更を破棄して [Edit Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 7 [OK] をクリックします。[Type] に [Tuned] が設定された、編集されたシグニチャがリストに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 8 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
アラート頻度を設定する手順については、「アラート頻度の設定」を参照してください。
シグニチャへのアクションの割り当て
[sig0] ペインでシグニチャにアクションを割り当てることができます。
1 つ以上のシグニチャのアクションを編集するのは、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 シグニチャを見つけるために、[Filter] ドロップダウン リストからソート オプションを選択します。たとえば、Flood Host シグニチャを探す場合は、ドロップダウン リストから [Engine] を選択してから [Flood Host] を選択し、さらに個々のシグニチャを選択します。[sig0] パネルが更新されて、ソート基準と一致するシグニチャだけが表示されます。
ステップ 4 1 つ以上のシグニチャを選択して [Edit Actions] をクリックします。
ステップ 5 シグニチャに割り当てるアクションの隣のチェックボックスをオンにします。
(注) チャックマークが付けられている場合、そのアクションが選択したすべてのシグニチャに割り当てられていることを示します。チャックマークが付けられていない場合、そのアクションが選択したどのシグニチャにも割り当てられていないことを示します。灰色のチャックマークが付けられている場合、そのアクションが選択したシグニチャの一部に割り当てられていることを示します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
次のアクションのいずれかを選択します。
• [Produce Alert]:イベントをアラートとしてイベント ストアに書き込みます。
• [Produce Verbose Alert]:攻撃パケットのエンコード ダンプをアラートに含めます。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
• [Log Attacker Packets]:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
• [Log Victim Packets]:攻撃対象のアドレスが含まれているパケットに対する IP ロギングを開始し、アラートを送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
• [Log Pair Packets]:攻撃者と攻撃対象のアドレスのペアが含まれているパケットに対する IP ロギングを開始します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。
• [Request SNMP Trap]:SNMP 通知を実行するために、NotificationApp に要求を送信します。このアクションによって、Produce Alert が選択されていない場合でも、アラートがイベント ストアに書き込まれます。このアクションを実装するには、センサーに SNMP が設定されている必要があります。
• [Deny Packet Inline](インラインのみ):このパケットを送信しません。
• [Deny Connection Inline](インラインのみ):TCP フロー上のこのパケットおよび将来のパケットを送信しません。
• [Deny Attacker Victim Pair Inline](インラインのみ):指定された期間、この攻撃者と攻撃対象のアドレスのペアについては、現在のパケットおよび将来のパケットを送信しません。
• [Deny Attacker Service Pair Inline](インラインのみ):指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアについては、現在のパケットおよび将来のパケットを送信しません。
• [Deny Attacker Inline](インラインのみ):指定された期間、この攻撃者のアドレスから発生した現在のパケットおよび将来のパケットを送信しません。
• [Modify Packet Inline](インラインのみ):エンドポイントによるパケットの処理に関するあいまいさを取り除くために、パケット データを変更します。
• [Request Block Connection]:要求を ARC に送信して、この接続をブロックします。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。
• [Request Block Host]:要求を ARC に送信して、この攻撃者ホストをブロックします。ブロッキング デバイスは、このアクションを実行するように設定されている必要があります。
• [Request Rate Limit]:レート制限要求を ARC に送信して、レート制限を実行します。レート制限デバイスは、このアクションを実行するように設定されている必要があります。
• [Reset TCP Connection]:TCP フローをハイジャックして終了する TCP リセットを送信します。Reset TCP Connection は、単一の接続を分析する TCP シグニチャに対してだけ機能します。スイープまたはフラッドに対しては機能しません。
ヒント 変更を破棄して [Assign Actions] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックして変更を保存し、ダイアログボックスを閉じます。新しいアクションが [Action] カラムに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 7 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
• 拒否攻撃者リストをクリアする手順およびブロックする期間を設定する手順については、「拒否攻撃者の設定およびモニタリング」を参照してください。
• 指定期間および拒否攻撃者の最大数を設定する手順については、「一般設定」を参照してください。
• Request Block Connection アクション、Request Block Host アクション、Request Rate Limit アクションを実装するようにブロッキング デバイスを設定する手順については、「Attack Response Controller でのブロッキングとレート制限の設定」を参照してください。
• レート制限の詳細については、「レート制限について」を参照してください。
• SNMP トラップを設定する手順については、「SNMP トラップの設定」を参照してください。
アラート頻度の設定
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
シグニチャの反応頻度は制御できます。たとえば、センサーから送られるアラートの量を減らす場合があります。または、シグニチャの反応を 1 つのアラートにまとめたい場合があります。また、偽のトラフィックを送信して IPS に短時間で数千ものアラートを発生させることを目的とした「Stick」などの IPS 対抗ツールに対応させることもできます。
シグニチャのアラート頻度を設定するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 [Add] をクリックしてシグニチャを追加するか、クローニングするシグニチャを選択して [Clone] をクリックするか、または編集するシグニチャを選択して [Edit] をクリックします。
ステップ 4 イベント カウント、キー、アラート間隔を設定します。
a. [Event Count] フィールドにイベント カウントの値を入力します。これは、センサーでこのシグニチャのアラートを 1 つ送信するまでに受信する必要のある最小ヒット数です。
b. [Event Count Key] ドロップダウン リストで、イベント カウント キーとして使用する属性を選択します。たとえば、同じ攻撃者からのイベントかどうかに基づいて、センサーにイベントをカウントさせるには、イベント カウント キーとして攻撃者のアドレスを選択します。
c. レートに基づいてイベントをカウントさせる場合は、[Specify Event Interval] ドロップダウン リストで [Yes] を選択して、[Alert Interval] フィールドに間隔として使用する秒数を入力します。
ステップ 5 アラートの量を制御し、センサーがアラートをサマライズする方法を設定するために、[Summary Mode] ドロップダウン リストから次のオプションの 1 つを選択します。
• [Fire All]: シグニチャが悪意のあるトラフィックを検出するたびにセンサーがアラートを送信するように指定します。さらに、センサーでアラートの量を動的に調整できる、追加のしきい値を指定できます。 ステップ 6 に進みます。
• [Fire Once]:シグニチャが悪意のあるトラフィックを初めて検出したときにセンサーがアラートを送信するように指定します。さらに、センサーでアラートの量を動的に調整できる、追加のしきい値を指定できます。ステップ 7 に進みます。
• [Summarize]:シグニチャが反応したときに毎回アラートを送信するのではなく、このシグニチャのサマリー アラートだけを送信するよう指定します。さらに、センサーでアラートの量を動的に調整できる、追加のしきい値を指定できます。ステップ 8 に進みます。
• [Global Summarize]:あるアドレス セットでシグニチャが初めて反応したときに、センサーがアラートを 1 つ送信するように指定し、指定された時間内のすべてのアドレス セットのすべてのアラートのサマリーを含むグローバル サマリー アラートだけを送信します。ステップ 9 に進みます。
ステップ 6 Fire All オプションを設定します。
a. [Specify Summary Threshold] ドロップダウン リストで、[Yes] を選択します。
b. [Summary Threshold] フィールドに、センサーでこのシグニチャのサマリー アラートを送信するまでに受信する必要のある最小ヒット数を入力します。
c. [Summary Interval field] に、時間間隔として使用する秒数を入力します。
d. センサーをグローバル サマライズ モードにするには、[Specify Global Summary Threshold] ドロップダウン リストで [Yes] を選択します。
e. [Global Summary Threshold] フィールドに、センサーでグローバル サマリー アラートを送信するまでに受信する必要のある最小ヒット数を入力します。
f. [Summary Key] ドロップダウン リストで、サマリー キーのタイプを選択します。サマリー キーは、イベントのカウントに使用する属性を識別します。たとえば、同じ攻撃者からのものかどうかに基づいてセンサーにイベントをカウントさせる場合は、サマリー キーとして攻撃者のアドレスを選択します。
ステップ 7 Fire Once オプションを設定します。
a. [Summary Key] ドロップダウン リストで、サマリー キーのタイプを選択します。サマリー キーは、イベントのカウントに使用する属性を識別します。たとえば、同じ攻撃者からのものかどうかに基づいてセンサーにイベントをカウントさせる場合は、サマリー キーとして攻撃者のアドレスを選択します。
b. センサーでグローバル サマライズを使用するには、[Specify Global Summary Threshold] ドロップダウン リストで [Yes] を選択します。
c. [Global Summary Threshold] フィールドに、センサーでグローバル サマリー アラートを送信するまでに受信する必要のある最小ヒット数を入力します。
アラート レートが指定秒数内に指定された数のシグニチャを超えると、センサーの動作は、シグニチャが初めて起動されたときに 1 つのアラートを送信する動作から、1 つのグローバル サマリー アラートを送信する動作に変わります。指定間隔内にアラートの率がしきい値を下回ると、元のアラート動作に戻ります。
(注) 適応型セキュリティ アプライアンスの複数のコンテキストが 1 つの仮想センサーに含まれている場合、サマリー アラートには、サマライズされた最後のコンテキストのコンテキスト名が含まれています。このため、このサマリーは、サマライズされるすべてのコンテキストのうち、このタイプのすべてのアラートの結果となります。
d. [Summary Interval] フィールドに、センサーでサマライズ用にイベントをカウントする秒数を入力します。
ステップ 8 Summarize オプションを設定します。
a. [Summary Interval] フィールドに、センサーでサマライズ用にイベントをカウントする秒数を入力します。
b. [Summary Key] ドロップダウン リストで、サマリー キーのタイプを選択します。サマリー キーは、イベントのカウントに使用する属性を識別します。たとえば、同じ攻撃者からのものかどうかに基づいてセンサーにイベントをカウントさせる場合は、サマリー キーとして攻撃者のアドレスを選択します。
c. センサーで動的なグローバル サマライズを使用するには、[Specify Global Summary Threshold] ドロップダウン リストで [Yes] を選択します。
d. [Global Summary Threshold] フィールドに、センサーでグローバル サマリー アラートを送信するまでに受信する必要のある最小ヒット数を入力します。
アラート レートが指定秒数内に指定された数のシグニチャを超えると、センサーの動作は、シグニチャが初めて起動されたときに 1 つのアラートを送信する動作から、1 つのグローバル サマリー アラートを送信する動作に変わります。指定間隔内にアラートの率がしきい値を下回ると、元のアラート動作に戻ります。
ステップ 9 Global Summarize オプションを設定するには、[Summary Interval] フィールドに、センサーでサマライズ用にイベントをカウントする秒数を入力します。
ステップ 10 [OK] をクリックしてアラート動作の変更を保存します。[sig0] ペインに戻ります。
ヒント 変更を破棄するには、[Cancel] をクリックします。
ステップ 11 アラート動作の変更をシグニチャのコンフィギュレーションに適用するため、[Apply] をクリックします。追加または編集したシグニチャがイネーブルになり、シグニチャのリストに追加されます。
Meta エンジン シグニチャの例
注意 Meta エンジン シグニチャの数が多いと、センサーの全体的なパフォーマンスに悪影響を与えるおそれがあります。
Meta エンジンでは、スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。シグネチャ イベントが生成されると、Meta エンジンはシグネチャ イベントを検査して、1 つ以上の Meta 定義に一致するかどうかを判定します。Meta エンジンは、すべてのイベント要件が満たされるとシグネチャ イベントを生成します。
すべてのシグネチャ イベントは、シグニチャ イベント アクション プロセッサによって Meta エンジンに渡されます。シグニチャ イベント アクション プロセッサは、最小ヒット数オプションを処理してからイベントを渡します。Meta エンジンがコンポーネント イベントを処理してから、サマライズおよびイベント アクションは処理されます。
(注) Meta エンジンは、ほとんどのエンジンがパケットを入力としているにもかかわらず、アラートを入力としている点が他のエンジンとは異なります。
次の例は、Meta エンジンに基づくシグニチャを作成する方法を示します。例として、このカスタム シグニチャは、シグニチャ 2000 サブシグニチャ 0 と、シグニチャ 3000 サブシグニチャ 0 のアラートを同じソースアドレスで検出した場合に反応します。ソース アドレスの選択はメタ キーのデフォルト値である Axxx の結果です。この動作はメタ キーの設定を、たとえば xxBx(宛先アドレス)に変えることで変更できます。
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
Meta エンジンに基づくシグニチャを作成するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択し、[Add] をクリックします。
ステップ 3 [Signature ID] フィールドに、新しいシグニチャの一意のシグニチャ ID を入力します。カスタム シグニチャ ID は、60000 から始まります。
ステップ 4 [Subsignature] フィールドに、新しいシグニチャの一意のサブシグニチャ ID を入力します。
ステップ 5 [Alert Severity] ドロップダウン リストから、このシグニチャと関連付ける重大度を選択します。
ステップ 6 [Signature Fidelity Rating] フィールドにシグニチャの忠実度レーティングを表す値(1 ~ 100)を入力します。
ステップ 7 [Promiscuous Delta] フィールドはデフォルト値のままにします。
ステップ 8 シグニチャ説明のフィールドに、このシグニチャに関するコメントを入力します。
ステップ 9 [Engine] ドロップダウン リストから [Meta] を選択します。
ステップ 10 Meta エンジン固有のパラメータを設定します。
a. [Event Action] ドロップダウン リストから、イベントに応答してセンサーが実行するアクションを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
b. [Swap Attacker Victim] ドロップダウン リストから、[Yes] を選択し、アラート メッセージおよび任意のアクションについて、攻撃者と攻撃対象のアドレスとポート(宛先と送信元)を入れ替えます。
c. [Meta Reset Interval] フィールドに、Meta シグニチャをリセットする時間を秒数で入力します。有効な値の範囲は 0 ~ 3600 秒です。デフォルトは 60 秒です。
d. [Component List] の隣のペンシル アイコンをクリックして新しい Meta シグニチャを挿入します。[Component List] ダイアログボックスが表示されます。
e. [Add] をクリックして最初の Meta シグニチャを挿入します。[Add List Entry] ダイアログボックスが表示されます。
f. [Entry Key] フィールドに、エントリの名前(例:Entry1)を入力します。デフォルトは MyEntry です。
g. [Component Sig ID] フィールドに、このコンポートに一致させるシグニチャのシグニチャ ID を入力します(この例では 2000)。
h. [Component SubSig ID] フィールドに、このコンポートに一致させるシグニチャのサブシグニチャ ID を指定します(この例では 0)。
i. [Component Count] フィールドに、条件を満たすために必要な、このコンポーネントの起動回数を入力します。
j. [OK] をクリックします。[Add List Entry] ダイアログボックスに戻ります。
k. エントリを選択し、[Select] をクリックして、エントリを [Selected Entries] リストに移動します。
l. [OK] をクリックします。
m. [Add] をクリックして次の Meta シグニチャを挿入します。[Add List Entry] ダイアログボックスが表示されます。
n. [Entry Key] フィールドに、エントリの名前(例:Entry2)を入力します。
o. [Component Sig ID] フィールドに、このコンポートに一致させるシグニチャのシグニチャ ID を入力します(この例では 3000)。
p. [Component SubSig ID] フィールドに、このコンポートに一致させるシグニチャのサブシグニチャ ID を入力します(この例では 0)。
q. [Component Count] フィールドに、条件を満たすために必要な、このコンポーネントの起動回数を入力します。
r. [OK] をクリックします。[Add List Entry] ダイアログボックスに戻ります。
s. エントリを選択し、[Select] をクリックして、エントリを [Selected Entries] リストに移動します。
t. 新しいエントリを選択して [Move Up] または [Move Down] をクリックし、新しいエントリを並べ替えます。
ヒント エントリを [Entry Key] リストに戻すには、[Reset Ordering] をクリックします。
u. [OK] をクリックします。
v. [Meta Key] ドロップダウン リストから、Meta シグニチャのストレージ タイプを選択します。
• 攻撃者のアドレス
• 攻撃者と攻撃対象のアドレス
• 攻撃者と攻撃対象のアドレスおよびポート
• 攻撃対象のアドレス
w. [Unique Victims] フィールドに、このシグニチャに必要な一意の攻撃対象の数を入力します。有効な値は 1 ~ 256 です。デフォルトは 1 です。
x. [Component List in Order] ドロップダウン リストで [Yes] を選択して、コンポーネント リストが順番に反応するようにします。
ステップ 11 イベント カウンタを設定します。
a. [Event Count] フィールドに、カウントするイベントの数(1 ~ 65535)を入力します。
b. [Event Count Key] ドロップダウン リストから使用するキーを選択します。
c. [Specify Alert Interface] ドロップダウン リストから、アラート間隔を指定するかどうか([Yes] または [No])を選択します。
d. [Yes] を選択した場合は、[Alert Interval] フィールドにアラート間隔(2 ~ 1000)を入力します。
ステップ 12 アラートの頻度を設定します。
ステップ 13 [Enabled] フィールドはデフォルト値([Yes])のままにします。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャをイネーブルにする必要があります。
ステップ 14 [Retired] フィールドはデフォルト値([Yes])のままにします。これにより、シグニチャはエンジンに配置されます。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャが廃棄されていない必要があります。
ステップ 15 [Vulnerable OS List] ドロップダウン リストから、このシグニチャに対して脆弱なオペレーティング システムを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
ステップ 16 [Mars Category] ドロップダウン リストから、このシグニチャを識別する MARS カテゴリを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
ヒント 変更を破棄して [Add Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 17 [OK] をクリックします。[Type] に [Custom] が設定された、新しいシグニチャがリストに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 18 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
Meta エンジンの詳細については、「Meta エンジン」を参照してください。
Atomic IP Advanced エンジン シグニチャの例
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
次の例は、Atomic IP Advanced エンジンに基づくシグニチャを作成する方法を示します。たとえば、このカスタム シグニチャは、ヘッダーのタイプが 1 で長さが 8 の HOP オプション ヘッダーを持つ IPv6 のすべてのパケットと一致します。
Atomic IP Advanced エンジンに基づくシグニチャを作成するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択し、[Add] をクリックします。
ステップ 3 [Signature ID] フィールドに、新しいシグニチャの一意のシグニチャ ID を入力します。カスタム シグニチャ ID は、60000 から始まります。
ステップ 4 [Subsignature] フィールドに、新しいシグニチャの一意のサブシグニチャ ID を入力します。
ステップ 5 [Alert Severity] ドロップダウン リストから、このシグニチャと関連付ける重大度を選択します。
ステップ 6 [Signature Fidelity Rating] フィールドにシグニチャの忠実度レーティングを表す値(1 ~ 100)を入力します。
ステップ 7 [Promiscuous Delta] フィールドはデフォルト値のままにします。
ステップ 8 シグニチャ説明のフィールドに、このシグニチャに関するコメントを入力します。
ステップ 9 [Engine] ドロップダウン リストから、[Atomic IP Advanced] を選択します。
ステップ 10 Atomic IP Advanced エンジン固有のパラメータを設定します。
a. [Event Action] ドロップダウン リストから、イベントに応答してセンサーが実行するアクションを選択します。
(注) IPv6 では、イベント アクション Request Block Host、Request Block Connection、Request Rate Limit をサポートしていません。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
b. [IP Version] ドロップダウン リストから [Yes] を選択して IP バージョンをイネーブルにし、さらに [IP Version] ドロップダウン リストから [IPv6] を選択して IPv6 をイネーブルにします。
c. [HOP Options Header] ドロップダウン リストから [Yes] を選択してホップバイホップ オプションをイネーブルにしてから [HOH Present] ドロップダウン リストから [Have HOH] を選択します。
d. [HOH Options] フィールドで [Yes] を選択し、[HOH Option Type] フィールドに 1 を入力します。
e. [HOH Option Length] ドロップダウン リストで [Yes] を選択してホップバイホップの長さをイネーブルにし、さらに [HOH Option Length] フィールドに 8 を入力します。
ステップ 11 イベント カウンタを設定します。
a. [Event Count] フィールドに、カウントするイベントの数(1 ~ 65535)を入力します。
b. [Event Count Key] ドロップダウン リストから使用するキーを選択します。
c. [Specify Alert Interface] ドロップダウン リストから、アラート間隔を指定するかどうか([Yes] または [No])を選択します。
d. [Yes] を選択した場合は、[Alert Interval] フィールドにアラート間隔(2 ~ 1000)を入力します。
ステップ 12 アラートの頻度を設定します。
ステップ 13 [Enabled] フィールドはデフォルト値([Yes])のままにします。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャをイネーブルにする必要があります。
ステップ 14 [Retired] フィールドはデフォルト値([Yes])のままにします。これにより、シグニチャはエンジンに配置されます。
(注) シグニチャで指定されている攻撃をセンサーでアクティブに検出するには、シグニチャが廃棄されていない必要があります。
ステップ 15 [Vulnerable OS List] ドロップダウン リストから、このシグニチャに対して脆弱なオペレーティング システムを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
ステップ 16 [Mars Category] ドロップダウン リストから、このシグニチャを識別する MARS カテゴリを選択します。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
ヒント 変更を破棄して [Add Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 17 [OK] をクリックします。[Type] に [Custom] が設定された、新しいシグニチャがリストに表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 18 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
詳細情報
Atomic エンジンの詳細については、「Atomic エンジン」を参照してください。
String XL TCP エンジン Match Offset シグニチャの例
注意 カスタム シグニチャは、センサーのパフォーマンスに影響することがあります。ネットワークのベースライン センサー パフォーマンスに対してカスタム シグニチャをテストすることにより、シグニチャの全体的な影響を判別します。
カスタム String XL TCP シグニチャは、既存の String XL TCP シグニチャをクローニングして調整するか、新しいシグニチャを追加し、String XL TCP シグニチャ エンジンをこのシグニチャに割り当てることによって作成できます。
(注) この手順は、String XLUDP シグニチャおよび String XL ICMP シグニチャにも適用されます。ただし、String XL ICMP シグニチャには適用されない service-ports パラメータを除きます。
次の例は、完全、最大、または最小オフセットを検索する、カスタム String XL TCP シグニチャを作成する方法を示します。このカスタム String XLTCP シグニチャの、次の一致オフセット パラメータ(オプション)は変更することができます。
• Specify Exact Match Offset
• Specify Maximum Match Offset
• Specify Minimum Match Offset
一致するデータを検索する、カスタム String XL TCP シグニチャを作成するには次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 既存の String XL TCP シグニチャをクローニングしてカスタム シグニチャを作成するには、[Filter] ドロップダウン リストで [Engine] を選択してから、シグニチャ エンジン ドロップダウン リストで [String TCP XL] を選択し、クローニングするシグニチャを選択して [Clone] をクリックします。ステップ 5 に進みます。
ステップ 4 String XL TCP エンジンに基づくカスタム シグニチャを作成するには、[Add] をクリックし、[Add Signature] ダイアログボックスの [Engine] フィールドで [Click to edit] をクリックして、ドロップダウン リストから [String XL TCP] を選択します。ステップ 5 に進みます。
ステップ 5 [Signature ID] フィールドに、シグニチャの番号を入力します。カスタム シグニチャの範囲は 60000 ~ 65000 です。
ステップ 6 [Subsignature ID] フィールドに、シグニチャの番号を入力します。デフォルトは 0 です。似ているシグニチャをグループにまとめるには、サブシグニチャ ID を割り当てます。
ステップ 7 (任意)[Severity Alert] フィールドで、センサーがアラートを送信したときに Event Viewer が報告する重大度を選択します。デフォルトでは [Medium] です。
ステップ 8 (任意)[Sig Fidelity Rating] フィールドに値を入力します。シグニチャの忠実度レーティングの有効な値は、0 ~ 100 で、シグニチャに対する信頼度を示し、100 が最高の信頼度です。デフォルトは 75 です。
ステップ 9 [Promiscuous Delta] フィールドに値を入力します。混合デルタは、アラートの深刻さを判別する値です。有効な範囲は 0 ~ 30 です。デフォルトは 0 です。
注意 シグニチャの [Promiscuous Delta] 設定は変更しないことを推奨します。
ステップ 10 [Sig Description] の下で、このシグニチャを一意に識別する属性を指定します。
a. (任意)[Signature Name] フィールドに、シグニチャの名前を入力します。[Signature Name] フィールドには、デフォルトの名前 My Sig が表示されています。それぞれのカスタム シグニチャに合せて、具体的な名前に変更します。
(注) アラートが生成されると、シグニチャ名はシグニチャ ID およびサブシグニチャ ID とともに Event Viewer に報告されます。
b. (任意)[Alert Notes] フィールドに、アラートに追加するテキストを入力します。このシグニチャに関連付けられた、アラートに含めるテキストを追加できます。アラートが生成されると、このメモは Event Viewer に報告されます。デフォルトは My Sig Info です。
c. (任意)[User Comments] フィールドに、このシグニチャを説明するテキストを入力します。ここには、必要に応じてどのようなテキストを入力することもできます。このフィールドは、シグニチャやアラートには影響を与えません。デフォルトは Sig Comment です。
ステップ 11 [Engine] の下でエンジン固有のパラメータを割り当てます。
a. (任意)[Event Action] フィールドに、シグニチャでレポートするイベント アクションを割り当てます。デフォルトは、[Produce Alert] です。セキュリティ ポリシーに基づいて、さらに拒否、ブロックなどのアクションを割り当てることができます。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
b. (任意)パターンを検索する前にデータから Telnet オプション文字を削除するには、[Strip Telnet Options] フィールドでドロップダウン リストから [Yes] を選択します。
c. [Direction] ドロップダウン リストで、トラフィックの方向を選択します。
• [From Service]:サービス ポートからクライアント ポート宛のトラフィック。
• [To Service]:クライアント ポートからサービス ポート宛のトラフィック。
d. [Service Ports] フィールドに、ポート番号(例:80)を入力します。値は、ターゲット サービスの常駐するポートのカンマ区切りリストまたはポート範囲です。
ステップ 12 正規表現を指定するには、[Specify Raw Regex String] で、ドロップダウン リストから [No] を選択します。
(注) Raw Regex は、raw モード処理で使用する正規表現の構文です。これは、Cisco IPS シグニチャ開発チームまたは Cisco IPS シグニチャ開発チームの指示を受けている者だけによる使用を対象としたエキスパート専用モードです。String XL シグニチャは、通常の正規表現または raw 正規表現で設定できます。
a. [Regex String] フィールドに、このシグニチャが TCP パケットの中で探す文字列を入力します(例:tcpstring)。
b. (任意)[Specify Minimum Match Length] フィールドでドロップダウン リストから [Yes] を選択して最小一致長をイネーブルにしてから、正規表現文字列が一致する必要のある最小バイト数(0 ~ 65535)を [Minimum Match Length] フィールドに入力します。
c. (任意)[Swap Attacker Victim] フィールドで、ドロップダウン リストから [Yes] を選択し、アラート メッセージおよび任意のアクションについて、攻撃者と攻撃対象のアドレスとポート(送信元と宛先)を入れ替えます。
ステップ 13 (任意)[Specify Exact Match Offset] フィールドで、ドロップダウン リストから [Yes] を選択して完全一致オフセットをイネーブルにしてから、このシグニチャの一致を検証するために正規表現がトリガーされる正確なオフセット(0 ~ 65535)を [Exact Match Offset] フィールドに入力します。
(注) 完全一致オフセットを yes に設定した場合、最大一致オフセットまたは最小一致オフセットは設定できません。完全一致オフセットを no に設定した場合、最大一致オフセットと最小一致オフセットの両方を同時に設定できます。
ステップ 14 (任意)[Specify Max Match Offset] フィールドで、ドロップダウン リストから [Yes] を選択して最大一致オフセットをイネーブルにしてから、このシグニチャの一致を検証するために正規表現がトリガーされる最大オフセット(0 ~ 65535)を [Specify Max Match Offset] フィールドに入力します。
ステップ 15 (任意)[Specify Min Match Offset] フィールドで、ドロップダウン リストから [Yes] を選択して最小一致オフセットをイネーブルにしてから、このシグニチャの一致を検証するために正規表現がトリガーされる最小オフセット(0 ~ 65535)を [Specify Min Match Offset] フィールドに入力します。
ステップ 16 (任意)[Alert Frequency] の下で、デフォルトのアラート頻度を変更できます。
ステップ 17 [OK] をクリックして、カスタム シグニチャを作成します。
ヒント 変更を破棄するには、[Cancel] をクリックします。
作成したシグニチャは、イネーブルになって、シグニチャのリストに追加されます。
詳細情報
• String XL エンジンの詳細については、「String XL エンジン」を参照してください。
• シグニチャの正規表現をリストしたテーブルについては、「正規表現の構文」を参照してください。
• String XL エンジン シグニチャで使用できる特殊文字をリストしたテーブルについては、「Special Characters」を参照してください。
String XL TCP エンジン Minimum Match Length シグニチャの例
注意 カスタム シグニチャは、センサーのパフォーマンスに影響することがあります。ネットワークのベースライン センサー パフォーマンスに対してカスタム シグニチャをテストすることにより、シグニチャの全体的な影響を判別します。
(注) この手順は、String XLUDP シグニチャおよび String XL ICMP シグニチャにも適用されます。ただし、String XL ICMP シグニチャには適用されない service-ports パラメータを除きます。
カスタム String XL TCP シグニチャは、既存の String XL TCP シグニチャをクローニングして調整するか、新しいシグニチャを追加し、String XL TCP シグニチャ エンジンをこのシグニチャに割り当てることによって作成できます。
特定の正規表現文字列に対して次のオプションを設定することができます。
• Dot All
• End Optional
• No Case
• Stingy
• UTF-8
次の例は、stingy、dot all、および UTF-8 を有効にした最小一致長の検索を行うカスタム String XL TCP シグニチャを作成する方法を示します。
stingy、dot all、および UTF-8 を有効にした最小一致長の検索を行うカスタム シグニチャを、String XL TCP エンジンをもとに作成するには次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 既存の String XL TCP シグニチャをクローニングしてカスタム シグニチャを作成するには、[Filter] ドロップダウン リストで [Engine] を選択してから、シグニチャ エンジン ドロップダウン リストで [String TCP XL] を選択し、クローニングするシグニチャを選択して [Clone] をクリックします。ステップ 5 に進みます。
ステップ 4 String XL TCP エンジンに基づくカスタム シグニチャを作成するには、[Add] をクリックし、[Add Signature] ダイアログボックスの [Engine] フィールドで [Click to edit] をクリックして、ドロップダウン リストから [String XL TCP] を選択します。ステップ 5 に進みます。
ステップ 5 [Signature ID] フィールドに、シグニチャの番号を入力します。カスタム シグニチャの範囲は 60000 ~ 65000 です。
ステップ 6 [Subsignature ID] フィールドに、シグニチャの番号を入力します。デフォルトは 0 です。似ているシグニチャをグループにまとめるには、サブシグニチャ ID を割り当てます。
ステップ 7 (任意)[Severity Alert] フィールドで、センサーがアラートを送信したときに Event Viewer が報告する重大度を選択します。デフォルトでは [Medium] です。
ステップ 8 (任意)[Sig Fidelity Rating] フィールドに値を入力します。シグニチャの忠実度レーティングの有効な値は、0 ~ 100 で、シグニチャに対する信頼度を示し、100 が最高の信頼度です。デフォルトは 75 です。
ステップ 9 [Promiscuous Delta] フィールドに値を入力します。混合デルタは、アラートの深刻さを判別する値です。有効な範囲は 0 ~ 30 です。デフォルトは 0 です。
注意 シグニチャの [Promiscuous Delta] 設定は変更しないことを推奨します。
ステップ 10 [Sig Description] の下で、このシグニチャを一意に識別する属性を指定します。
d. (任意)[Signature Name] フィールドに、シグニチャの名前を入力します。[Signature Name] フィールドには、デフォルトの名前 My Sig が表示されています。それぞれのカスタム シグニチャに合せて、具体的な名前に変更します。
(注) アラートが生成されると、シグニチャ名はシグニチャ ID およびサブシグニチャ ID とともに Event Viewer に報告されます。
e. (任意)[Alert Notes] フィールドに、アラートに追加するテキストを入力します。このシグニチャに関連付けられた、アラートに含めるテキストを追加できます。アラートが生成されると、このメモは Event Viewer に報告されます。デフォルトは My Sig Info です。
f. (任意)[User Comments] フィールドに、このシグニチャを説明するテキストを入力します。ここには、必要に応じてどのようなテキストを入力することもできます。このフィールドは、シグニチャやアラートには影響を与えません。デフォルトは Sig Comment です。
ステップ 11 [Engine] の下でエンジン固有のパラメータを割り当てます。
a. (任意)[Event Action] フィールドに、シグニチャでレポートするイベント アクションを割り当てます。デフォルトは、[Produce Alert] です。セキュリティ ポリシーに基づいて、さらに拒否、ブロックなどのアクションを割り当てることができます。
ヒント 複数のアクションを選択するには、Ctrl キーを押しながら選択します。
b. (任意)パターンを検索する前にデータから Telnet オプション文字を削除するには、[Strip Telnet Options] フィールドでドロップダウン リストから [Yes] を選択します。
c. [Direction] ドロップダウン リストで、トラフィックの方向を選択します。
• [From Service]:サービス ポートからクライアント ポート宛のトラフィック。
• [To Service]:クライアント ポートからサービス ポート宛のトラフィック。
d. [Service Ports] フィールドに、ポート番号(23 など)を入力します。値は、ターゲット サービスの常駐するポートのカンマ区切りリストまたはポート範囲です。
ステップ 12 正規表現を指定するには、[Specify Raw Regex String] で、ドロップダウン リストから [No] を選択します。
(注) Raw Regex は、raw モード処理で使用する正規表現の構文です。これは、Cisco IPS シグニチャ開発チームまたは Cisco IPS シグニチャ開発チームの指示を受けている者だけによる使用を対象としたエキスパート専用モードです。String XL シグニチャは、通常の正規表現または raw 正規表現で設定できます。
a. [Regex String] フィールドに、このシグニチャが TCP パケットの中で探す文字列を入力します(例:ht+p[¥r].)。
b. (任意)[Specify Minimum Match Length] フィールドでドロップダウン リストから [Yes] を選択して最小一致長をイネーブルにしてから、正規表現文字列が一致する必要のある最小バイト数(0 ~ 65535)を [Minimum Match Length] フィールドに入力します。
c. (任意)[Swap Attacker Victim] フィールドで、ドロップダウン リストから [Yes] を選択し、アラート メッセージおよび任意のアクションについて、攻撃者と攻撃対象のアドレスとポート(宛先と送信元)を入れ替えます。
ステップ 13 (任意)ドロップダウン リストで [Yes] を選択して、次のオプションを有効にします。
• Dot All
• Stingy
• UTF-8
ステップ 14 (任意)[Alert Frequency] の下で、デフォルトのアラート頻度を変更できます。
ステップ 15 [OK] をクリックして、カスタム シグニチャを作成します。作成したシグニチャは、イネーブルになって、シグニチャのリストに追加されます。
ヒント 変更を破棄するには、[Cancel] をクリックします。
詳細情報
• String XL エンジンの詳細については、「String XL エンジン」を参照してください。
• シグニチャの正規表現をリストしたテーブルについては、「正規表現の構文」を参照してください。
• String XL エンジン シグニチャで使用できる特殊文字をリストしたテーブルについては、「Special Characters」を参照してください。
その他の設定
ここでは、[Miscellaneous] タブについて説明し、また、Application Inspection and Control(AIC)シグニチャ、IP フラグメント再構成シグニチャ、TCP ストリーム再構成シグニチャ、および IP ロギングの設定方法について説明します。次の事項について説明します。
• 「[Miscellaneous] タブ」
• 「[Miscellaneous] タブのフィールド定義」
• 「アプリケーション ポリシー シグニチャの設定」
• 「IP フラグメント再構成シグニチャの設定」
• 「TCP ストリーム再構成シグニチャの設定」
• 「IP ロギングの設定」
[Miscellaneous] タブ
(注) [Miscellaneous] タブのパラメータを設定するには、管理者またはオペレータである必要があります。
[Miscellaneous] タブでは、次のタスクを実行できます。
• アプリケーション ポリシー パラメータ(別名 AIC シグニチャ)の設定
Web サービスに関連した悪意のある攻撃を防ぐために、レイヤ 4 からレイヤ 7 のパケット インスペクションを実施するようにセンサーを設定できます。最初に AIC パラメータを設定し、その後でデフォルトの AIC シグニチャを使用するか、またはチューニングできます。
• IP フラグメント再構成オプションの設定
センサーは、複数のパケットにわたってフラグメント化されたデータグラムを再構成するように設定できます。このとき、データグラムの数と、データグラムについてさらにフラグメントが届くのを待つ時間を判断するために使用する境界値が指定できます。これは、センサーがフレーム送信を受信できなかったことや、無作為にフラグメント化されたデータグラムを生成する攻撃が仕掛けられていることが原因で再構成が不十分なデータグラムに対し、センサーのリソースをすべて割り当ててしまわないようにするためのものです。最初にセンサーが IP フラグメント再構成を実施する方法を選択し、その後で Normalizer エンジンの一部である IP フラグメント再構成シグニチャを調整します。
• TCP ストリーム再構成の設定
センサーは、完了した 3 ウェイ ハンドシェイクによって確立された TCP セッションだけをモニタするように設定できます。また、ハンドシェイクの完了まで待つ時間の最大値と、パケットがない場合に接続をモニタし続ける時間も設定できます。これは、有効な TCP セッションが確立していないときに、センサーでアラートを生成しないようにするためのものです。センサーに対する攻撃には、単純に攻撃を繰り返すことでセンサーにアラートを生成させようとするものがあります。TCP セッションの再構成機能は、センサーに対するこのようなタイプの攻撃を緩和するために役立ちます。最初にセンサーが TCP ストリーム再構成を実施する方法を選択し、その後で Normalizer エンジンの一部である TCP ストリーム再構成シグニチャを調整します。
(注) シグニチャ 3050 Half Open SYN Attack の場合、アクションとして Modify Packet Inline を選択すると、保護をアクティブにしている間は最大 20 ~ 30 % パフォーマンスが低下することがあります。保護は、実際の SYN フラッドの間だけアクティブです。
• IP ロギング オプションの設定
センサーが攻撃を検出したときに、IP セッション ログを生成するように設定できます。シグニチャの応答アクションとして IP ロギングを設定しているときにシグニチャがトリガーされると、アラートの送信元アドレスとの間で送受信されるすべてのパケットが指定された時間の間ログに記録されます。
詳細情報
• AIC パラメータを設定する手順については、「アプリケーション ポリシーの設定」を参照してください。
• AIC シグニチャをチューニングする手順例については、「AIC シグニチャのチューニング」を参照してください。
• センサーで IP フラグメント再構成を実施する方法を設定する手順については、「IP フラグメント再構成モードの設定」を参照してください。
• IP フラグメント再構成シグニチャをチューニングする手順例については、「IP フラグメント再構成シグニチャのチューニング」を参照してください。
• センサーで TCP ストリーム再構成を実施する方法を設定する手順については、「TCP ストリーム再構成モードの設定」を参照してください。
• TCP ストリーム再構成シグニチャをチューニングする手順例については、「TCP ストリーム再構成シグニチャのチューニング」を参照してください。
• IP ロギングを設定する手順については、「IP ロギングの設定」を参照してください。
[Miscellaneous] タブのフィールド定義
[Miscellaneous] タブには次のフィールドがあります。
• [Application Policy]:アプリケーション ポリシーの適用を設定できます。
– [Enable HTTP]:Web サービスの保護をイネーブルにします。[Yes] チェックボックスをオンにすると、HTTP トラフィックが RFC に準拠しているか検査することをセンサーに要求します。
– [Max HTTP Requests]:コネクションごとの未処理の HTTP 要求の最大数を指定します。
– [AIC Web Ports]:AIC トラフィックを監視するためのポートの変数を指定します。
– [Enable FTP]:Web サービスの保護をイネーブルにします。[Yes] チェックボックスをオンにすると、FTP トラフィックの検査をセンサーに要求します。
• [Fragment Reassembly]:IP フラグメント再構成のモードを設定できます。
– [IP Reassembly Mode]:オペレーティング システムに基づいて、センサーがフラグメントの再構成に使用する方式を示します。
• [Stream Reassembly]:TCP ストリーム再構成のモードを設定できます。
– [TCP Handshake Required]:センサーが、スリーウェイ ハンドシェイクが実行されたセッションだけを追跡することを指定します。
– [TCP Reassembly Mode]:センサーが TCP セッションの再構成に使用するモードを、次のオプションから指定します。
[Asymmetric]:双方向のトラフィック フローのうち、一方向のみを読み取ることができます。
(注) [Asymmetric] モードの場合、センサーは状態をフローと同期し、双方向を必要としないエンジンの検査を継続します。完全な保護には双方向のトラフィックを確認する必要があるため、[Asymmetric] モードではセキュリティが低下します。
[Strict]:何らかの理由でパケットが失われた場合、失われたパケット以降のすべてのパケットが処理されなくなります。
[Loose]:パケットがドロップされる可能性がある状況で使用します。
• [IP Log]:次のいずれかの条件が成立したときにセンサーの IP ロギングを停止するよう設定できます。
– [Max IP Log Packets]:ロギングするパケットの数を示します。
– [IP Log Time]:センサーでロギングを行う期間を示します。有効な値は、1 ~ 60 秒です。デフォルトは 30 秒です。
– [Max IP Log Bytes]:記録する最大バイト数を示します。
AIC シグニチャの概要
AIC には次のシグニチャのカテゴリがあります。
• HTTP 要求メソッド
– 定義要求メソッド
– 認識される要求メソッド
• MIME タイプ
– 定義コンテンツ タイプ
– 認識されるコンテンツ タイプ
• 定義 Web トラフィック ポリシー
事前定義されたシグニチャが 1 つあり(12674)、HTTP に準拠していないトラフィックを検出したときのアクションを指定します。パラメータの Alarm on Non HTTP Traffic でこのシグニチャをイネーブルにします。デフォルトで、このシグニチャはイネーブルになっています。
• 転送符号化
– 各メソッドにアクションを関連付けます。
– センサーによって認識されるメソッドがリスト表示されます。
– チャンク エンコード エラーが検出されたときに実行するアクションを指定します。
• FTP コマンド
– FTP コマンドにアクションを関連付けます。
詳細情報
• AIC エンジンの詳細については、「AIC エンジン」を参照してください。
• AIC 要求メソッドのシグニチャ ID と説明の一覧については「AIC 要求メソッド シグニチャ」を参照してください。
• AIC MIME 定義コンテンツ タイプのシグニチャ ID と説明の一覧については「AIC MIME 定義コンテンツ タイプ シグニチャ」を参照してください。
• AIC 転送符号化のシグニチャ ID と説明の一覧については「AIC 転送符号化シグニチャ」を参照してください。
• AIC FTP コマンドのシグニチャ ID と説明の一覧については「AIC FTP コマンド シグニチャ」を参照してください。
AIC エンジンとセンサーのパフォーマンス
アプリケーション ポリシーの実施はセンサー固有の機能です。攻撃、脆弱性、および異常を検査する従来の IPS テクノロジーに基づくのではなく、AIC ポリシーの実施は、HTTP サービス ポリシーおよび FTP サービス ポリシーを実施する目的で設計されています。このポリシーの実施に必要な検査の機能は、従来の IPS 検査の機能ときわめて対照的です。この機能を使用すると、必ず、パフォーマンスに対する大きな影響があります。AIC をイネーブルにすると、センサーの帯域幅キャパシティが全体的に低下します。
IPS のデフォルト コンフィギュレーションでは、AIC ポリシーの実施は、ディセーブルにされています。AIC ポリシーの実施をアクティブにする場合は、対象のポリシーだけを慎重に選択し、不要なポリシーはディセーブルにすることを強く推奨します。また、センサーの検査負荷が最大キャパシティに近い場合は、センサーをオーバーサブスクライブするおそれがあるため、この機能を使用しないことを推奨します。このタイプのポリシー実施の処理には、適応型セキュリティ アプライアンス ファイアウォールを使用することを推奨します。
詳細情報
AIC エンジンの詳細については、「AIC エンジン」を参照してください。
AIC 要求メソッド シグニチャ
HTTP 要求メソッドにはシグニチャの 2 つのカテゴリがあります。
• 定義要求メソッド:要求メソッドにアクションを関連付けることができます。シグニチャを拡張したり変更したりできます(Define Request Method)。
• 認識される要求メソッド:センサーによって認識されるメソッドを一覧表示します(Recognized Request Methods)。
表 7-1 に事前定義された要求メソッド シグニチャを示します。事前定義メソッドを持つシグニチャを必要に応じてイネーブルにします。
表 7-1 要求メソッド シグニチャ
|
|
12676 |
認識されない要求メソッド |
12677 |
定義要求メソッド PUT |
12678 |
定義要求メソッド CONNECT |
12679 |
定義要求メソッド DELETE |
12680 |
定義要求メソッド GET |
12681 |
定義要求メソッド HEAD |
12682 |
定義要求メソッド OPTIONS |
12683 |
定義要求メソッド POST |
12685 |
定義要求メソッド TRACE |
12695 |
定義要求メソッド INDEX |
12696 |
定義要求メソッド MOVE |
12697 |
定義要求メソッド MKDIR |
12698 |
定義要求メソッド COPY |
12699 |
定義要求メソッド EDIT |
12700 |
定義要求メソッド UNEDIT |
12701 |
定義要求メソッド SAVE |
12702 |
定義要求メソッド LOCK |
12703 |
定義要求メソッド UNLOCK |
12704 |
定義要求メソッド REVLABEL |
12705 |
定義要求メソッド REVLOG |
12706 |
定義要求メソッド REVADD |
12707 |
定義要求メソッド REVNUM |
12708 |
定義要求メソッド SETATTRIBUTE |
12709 |
定義要求メソッド GETATTRIBUTENAME |
12710 |
定義要求メソッド GETPROPERTIES |
12711 |
定義要求メソッド STARTENV |
12712 |
定義要求メソッド STOPREV |
詳細情報
シグニチャをイネーブルにする手順については、「シグニチャのイネーブル、ディセーブル、および廃棄」を参照してください。
AIC MIME 定義コンテンツ タイプ シグニチャ
MIME タイプに関連する 2 つのポリシーがあります。
• 定義コンテンツ タイプ:次のケースに対して特定のアクションを関連付けます(Define Content Type)。
– image/jpeg などの特定の MIME タイプを拒否する
– メッセージ サイズ違反
– ヘッダーに記載された MIME タイプが本文と一致しない。
• 認識されるコンテンツ タイプ(Recognized Content Type)
表 7-2 に事前定義された定義コンテンツ タイプ シグニチャを示します。事前定義されたコンテンツ タイプを持つシグニチャを必要に応じてイネーブルにします。カスタムの定義コンテンツ タイプ シグニチャを作成することもできます。
表 7-2 定義コンテンツ タイプ シグニチャ
|
|
12621 |
コンテンツ タイプ image/gif 不正なメッセージ長 |
12622 2 |
コンテンツ タイプ image/png 検証失敗 |
12623 0 12623 1 12623 2 |
コンテンツ タイプ image/tiff ヘッダー チェック コンテンツ タイプ image/tiff 不正なメッセージ長 コンテンツ タイプ image/tiff 検証失敗 |
12624 0 12624 1 12624 2 |
コンテンツ タイプ image/x-3ds ヘッダー チェック コンテンツ タイプ image/x-3ds 不正なメッセージ長 コンテンツ タイプ image/x-3ds 検証失敗 |
12626 0 12626 1 12626 2 |
コンテンツ タイプ image/x-portable-bitmap ヘッダー チェック コンテンツ タイプ image/x-portable-bitmap 不正なメッセージ長 コンテンツ タイプ image/x-portable-bitmap 検証失敗 |
12627 0 12627 1 12627 2 |
コンテンツ タイプ image/x-portable-graymap ヘッダー チェック コンテンツ タイプ image/x-portable-graymap 不正なメッセージ長 コンテンツ タイプ image/x-portable-graymap 検証失敗 |
12628 0 12628 1 12628 2 |
コンテンツ タイプ image/jpeg ヘッダー チェック コンテンツ タイプ image/jpeg 不正なメッセージ長 コンテンツ タイプ image/jpeg 検証失敗 |
12629 0 12629 1 |
コンテンツ タイプ image/cgf ヘッダー チェック コンテンツ タイプ image/cgf 不正なメッセージ長 |
12631 0 12631 1 |
コンテンツ タイプ image/x-xpm ヘッダー チェック コンテンツ タイプ image/x-xpm 不正なメッセージ長 |
12633 0 12633 1 12633 2 |
コンテンツ タイプ audio/midi ヘッダー チェック コンテンツ タイプ audio/midi 不正なメッセージ長 コンテンツ タイプ audio/midi 検証失敗 |
12634 0 12634 1 12634 2 |
コンテンツ タイプ audio/basic ヘッダー チェック コンテンツ タイプ audio/basic 不正なメッセージ長 コンテンツ タイプ audio/basic 検証失敗 |
12635 0 12635 1 12635 2 |
コンテンツ タイプ audio/mpeg ヘッダー チェック コンテンツ タイプ audio/mpeg 不正なメッセージ長 コンテンツ タイプ audio/mpeg 検証失敗 |
12636 0 12636 1 12636 2 |
コンテンツ タイプ audio/x-adpcm ヘッダー チェック コンテンツ タイプ audio/x-adpcm 不正なメッセージ長 コンテンツ タイプ audio/x-adpcm 検証失敗 |
12637 0 12637 1 12637 2 |
コンテンツ タイプ audio/x-aiff ヘッダー チェック コンテンツ タイプ audio/x-aiff 不正なメッセージ長 コンテンツ タイプ audio/x-aiff 検証失敗 |
12638 0 12638 1 12638 2 |
コンテンツ タイプ audio/x-ogg ヘッダー チェック コンテンツ タイプ audio/x-ogg 不正なメッセージ長 コンテンツ タイプ audio/x-ogg 検証失敗 |
12639 0 12639 1 12639 2 |
コンテンツ タイプ audio/x-wav ヘッダー チェック コンテンツ タイプ audio/x-wav 不正なメッセージ長 コンテンツ タイプ audio/x-wav 検証失敗 |
12641 0 12641 1 12641 2 |
コンテンツ タイプ text/html ヘッダー チェック コンテンツ タイプ text/html 不正なメッセージ長 コンテンツ タイプ text/html 検証失敗 |
12642 0 12642 1 |
コンテンツ タイプ text/css ヘッダー チェック コンテンツ タイプ text/css 不正なメッセージ長 |
12643 0 12643 1 |
コンテンツ タイプ text/plain ヘッダー チェック コンテンツ タイプ text/plain 不正なメッセージ長 |
12644 0 12644 1 |
コンテンツ タイプ text/richtext ヘッダー チェック コンテンツ タイプ text/richtext 不正なメッセージ長 |
12645 0 12645 1 12645 2 |
コンテンツ タイプ text/sgml ヘッダー チェック コンテンツ タイプ text/sgml 不正なメッセージ長 コンテンツ タイプ text/sgml 検証失敗 |
12646 0 12646 1 12646 2 |
コンテンツ タイプ text/xml ヘッダー チェック コンテンツ タイプ text/xml 不正なメッセージ長 コンテンツ タイプ text/xml 検証失敗 |
12648 0 12648 1 12648 2 |
コンテンツ タイプ video/flc ヘッダー チェック コンテンツ タイプ video/flc 不正なメッセージ長 コンテンツ タイプ video/flc 検証失敗 |
12649 0 12649 1 12649 2 |
コンテンツ タイプ video/mpeg ヘッダー チェック コンテンツ タイプ video/mpeg 不正なメッセージ長 コンテンツ タイプ video/mpeg 検証失敗 |
12650 0 12650 1 |
コンテンツ タイプ text/xmcd ヘッダー チェック コンテンツ タイプ text/xmcd 不正なメッセージ長 |
12651 0 12651 1 12651 2 |
コンテンツ タイプ video/quicktime ヘッダー チェック コンテンツ タイプ video/quicktime 不正なメッセージ長 コンテンツ タイプ video/quicktime 検証失敗 |
12652 0 12652 1 |
コンテンツ タイプ video/sgi ヘッダー チェック コンテンツ タイプ video/sgi 検証失敗 |
12653 0 12653 1 |
コンテンツ タイプ video/x-avi ヘッダー チェック コンテンツ タイプ video/x-avi 不正なメッセージ長 |
12654 0 12654 1 12654 2 |
コンテンツ タイプ video/x-fli ヘッダー チェック コンテンツ タイプ video/x-fli 不正なメッセージ長 コンテンツ タイプ video/x-fli 検証失敗 |
12655 0 12655 1 12655 2 |
コンテンツ タイプ video/x-mng ヘッダー チェック コンテンツ タイプ video/x-mng 不正なメッセージ長 コンテンツ タイプ video/x-mng 検証失敗 |
12656 0 12656 1 12656 2 |
コンテンツ タイプ application/x-msvideo ヘッダー チェック コンテンツ タイプ application/x-msvideo 不正なメッセージ長 コンテンツ タイプ application/x-msvideo 検証失敗 |
12658 0 12658 1 |
コンテンツ タイプ application/ms-word ヘッダー チェック コンテンツ タイプ application/ms-word 不正なメッセージ長 |
12659 0 12659 1 |
コンテンツ タイプ application/octet-stream ヘッダー チェック コンテンツ タイプ application/octet-stream 不正なメッセージ長 |
12660 0 12660 1 12660 2 |
コンテンツ タイプ application/postscript ヘッダー チェック コンテンツ タイプ application/postscript 不正なメッセージ長 コンテンツ タイプ application/postscript 検証失敗 |
12661 0 12661 1 |
コンテンツ タイプ application/vnd.ms-excel ヘッダー チェック コンテンツ タイプ application/vnd.ms-excel 不正なメッセージ長 |
12662 0 12662 1 |
コンテンツ タイプ application/vnd.ms-powerpoint ヘッダー チェック コンテンツ タイプ application/vnd.ms-powerpoint 不正なメッセージ長 |
12663 0 12663 1 12663 2 |
コンテンツ タイプ application/zip ヘッダー チェック コンテンツ タイプ application/zip 不正なメッセージ長 コンテンツ タイプ application/zip 検証失敗 |
12664 0 12664 1 12664 2 |
コンテンツ タイプ application/x-gzip ヘッダー チェック コンテンツ タイプ application/x-gzip 不正なメッセージ長 コンテンツ タイプ application/x-gzip 検証失敗 |
12665 0 12665 1 |
コンテンツ タイプ application/x-java-archive ヘッダー チェック コンテンツ タイプ application/x-java-archive 不正なメッセージ長 |
12666 0 12666 1 |
コンテンツ タイプ application/x-java-vm ヘッダー チェック コンテンツ タイプ application/x-java-vm 不正なメッセージ長 |
12667 0 12667 1 12667 2 |
コンテンツ タイプ application/pdf ヘッダー チェック コンテンツ タイプ application/pdf 不正なメッセージ長 コンテンツ タイプ application/pdf 検証失敗 |
12668 0 12668 1 |
コンテンツ タイプ unknown ヘッダー チェック コンテンツ タイプ unknown 不正なメッセージ長 |
12669 0 12669 1 |
コンテンツ タイプ image/x-bitmap ヘッダー チェック コンテンツ タイプ image/x-bitmap 不正なメッセージ長 |
12673 0 |
認識されるコンテンツ タイプ |
詳細情報
シグニチャをイネーブルにする手順については、「シグニチャのイネーブル、ディセーブル、および廃棄」を参照してください。
AIC 転送符号化シグニチャ
転送符号化に関連する 3 つのポリシーがあります。
• 各メソッドにアクションを関連付けます(Define Transfer Encoding)。
• センサーによって認識されるメソッドがリスト表示されます(Recognized Transfer Encodings)。
• チャンク エンコード エラーが検出されたときに実行するアクションを指定します(Chunked Transfer Encoding Error)。
表 7-3 に事前定義された転送符号化シグニチャを示します。事前定義された転送符号化方式を持つシグニチャを必要に応じてイネーブルにします。
表 7-3 転送符号化シグニチャ
|
|
12686 |
認識される転送符号化 |
12687 |
定義転送符号化 Deflate |
12688 |
定義転送符号化 Identity |
12689 |
定義転送符号化 Compress |
12690 |
定義転送符号化 GZIP |
12693 |
定義転送符号化 Chunked |
12694 |
チャンク転送符号化エラー |
詳細情報
シグニチャをイネーブルにする手順については、「シグニチャのイネーブル、ディセーブル、および廃棄」を参照してください。
AIC FTP コマンド シグニチャ
表 7-4 に事前定義された FTP コマンド シグニチャを示します。事前定義された FTP コマンドを持つシグニチャを必要に応じてイネーブルにします。
表 7-4 FTP コマンド シグニチャ
|
|
12900 |
認識されない FTP コマンド |
12901 |
定義 FTP コマンド abor |
12902 |
定義 FTP コマンド acct |
12903 |
定義 FTP コマンド allo |
12904 |
定義 FTP コマンド appe |
12905 |
定義 FTP コマンド cdup |
12906 |
定義 FTP コマンド cwd |
12907 |
定義 FTP コマンド dele |
12908 |
定義 FTP コマンド help |
12909 |
定義 FTP コマンド list |
12910 |
定義 FTP コマンド mkd |
12911 |
定義 FTP コマンド mode |
12912 |
定義 FTP コマンド nlst |
12913 |
定義 FTP コマンド noop |
12914 |
定義 FTP コマンド pass |
12915 |
定義 FTP コマンド pasv |
12916 |
定義 FTP コマンド port |
12917 |
定義 FTP コマンド pwd |
12918 |
定義 FTP コマンド quit |
12919 |
定義 FTP コマンド rein |
12920 |
定義 FTP コマンド rest |
12921 |
定義 FTP コマンド retr |
12922 |
定義 FTP コマンド rmd |
12923 |
定義 FTP コマンド rnfr |
12924 |
定義 FTP コマンド rnto |
12925 |
定義 FTP コマンド site |
12926 |
定義 FTP コマンド smnt |
12927 |
定義 FTP コマンド stat |
12928 |
定義 FTP コマンド stor |
12929 |
定義 FTP コマンド stou |
12930 |
定義 FTP コマンド stru |
12931 |
定義 FTP コマンド syst |
12932 |
定義 FTP コマンド type |
12933 |
定義 FTP コマンド user |
詳細情報
シグニチャをイネーブルにする手順については、「シグニチャのイネーブル、ディセーブル、および廃棄」を参照してください。
アプリケーション ポリシーの設定
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
アプリケーション ポリシーのパラメータを設定するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] > [Advanced] > [Miscellaneous] を選択します。
ステップ 3 [Enable HTTP] フィールドで、ドロップダウン リストから [Yes] を選択して HTTP トラフィックの検査をイネーブルにします。
ステップ 4 [Max HTTP Requests] フィールドに、サーバから応答を受け取らずに未処理の状態でいられる、コネクションごとの HTTP 要求の数を入力します。
ステップ 5 [AIC Web Ports] フィールドに、アクティブにするポートを入力します。
ステップ 6 [Enable FTP] フィールドで、ドロップダウン リストから [Yes] を選択して FTP トラフィックの検査をイネーブルにします。
(注) HTTP または FTP のアプリケーション ポリシーをイネーブルにした場合、トラフィックが RFC に準拠していることの確認がセンサーによって行われます。
ヒント 変更を破棄するには、[Cancel] をクリックします。
ステップ 7 [OK] をクリックします。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 8 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
AIC シグニチャのチューニング
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
次の例は、AIC シグニチャの Recognized Content Type(MIME)シグニチャ、特にシグニチャ 12,623 1 Content Type image/tiff Invalid Message Length の調整方法を示します。
MIME タイプ ポリシー シグニチャをチューニングするには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 [Filter] ドロップダウン リストで、[Engine] を選択してから [AIC HTTP] をエンジンとして選択します。
ステップ 4 リストを下にスクロールして、[Sig ID 12,623 Subsig ID 1 Content Type image/tiff Invalid Message Length] を選択して [Edit] をクリックします。
ヒント [Sig ID] カラム ヘッダーをクリックして、シグニチャ ID の順に表示することができます。
ステップ 5 [Status] の [Enabled] フィールドで、ドロップダウン リストから [Yes] を選択します。
ステップ 6 [Engine] の下の [Content Type Details] フィールドで、オプションを 1 つ選択します(例:[Length])。
ステップ 7 [Length] フィールドをデフォルトから 30,000 に変更して長さを短くします。
ヒント 変更を破棄して [Edit Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 8 [OK] をクリックしてから [Apply] をクリックして変更を保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。
IP フラグメント再構成シグニチャの概要
センサーは、複数のパケットにわたってフラグメント化されたデータグラムを再構成するように設定できます。このとき、再構成するデータグラム フラグメントの数と、データグラムについてさらにフラグメントが届くのを待つ時間を判断するために使用する境界値を指定できます。これは、センサーがフレーム送信を受信できなかったことや、無作為にフラグメント化されたデータグラムを生成する攻撃が仕掛けられていることが原因で再構成が不十分なデータグラムに対し、センサーのリソースをすべて割り当ててしまわないようにするためのものです。
(注) シグニチャごとに IP フラグメント再構成を設定します。
詳細情報
Normalizer シグニチャ エンジンの詳細については、「Normalizer エンジン」を参照してください。
IP フラグメント再構成シグニチャと設定可能なパラメータ
表 7-5 に IP フラグメント再構成シグニチャを、IP フラグメント再構成の設定に使用可能なパラメータとともに示します。IP フラグメント再構成シグニチャは Normalizer エンジンの一部です。
表 7-5 IP フラグメント再構成シグニチャ
|
|
|
|
1200 IP Fragmentation Buffer Full |
システム内のフラグメントの総数が Max Fragments に設定されたしきい値を超えたときに反応します。 |
Specify Max Fragments 10000 (0 ~ 42000) |
Deny Packet Inline Produce Alert |
1201 Fragment Overlap |
データグラムのキューに入れられたフラグメントが互いにオーバーラップするときに反応します。 |
なし |
|
1202 Datagram Too Long |
このフラグメント データ(オフセットとサイズ)が Max Datagram Size に設定されたしきい値を超えたときに反応します。 |
Specify Max Datagram Size 65536(2000 ~ 65536) |
Deny Packet Inline Produce Alert |
1203 Fragment Overwrite |
データグラムのキューに入れられたフラグメントが互いにオーバーラップし、オーバーラップするデータが異なっているときに反応します。 |
なし |
Deny Packet Inline Produce Alert |
1204 No Initial Fragment |
データグラムが不完全で最初のフラグメントがないときに反応します。 |
なし |
Deny Packet Inline Produce Alert |
1205 Too Many Datagrams |
システム内の不完全なデータグラムの総数が Max Partial Datagrams に設定されたしきい値を超えたときに反応します。 |
Specify Max Partial Datagrams 1000(0 ~ 10000) |
Deny Packet Inline Produce Alert |
1206 Fragment Too Small |
1 つのデータグラムについて、Min Fragment Size よりもサイズの小さいフラグメントが Max Small Frags よりも多いときに反応します。 |
Specify Max Small Frags 2(8 ~ 1500) Specify Min Fragment Size 400(1 ~ 8) |
Deny Packet Inline Produce Alert |
1207 Too Many Fragments |
1 つのデータグラムに Max Fragments per Datagram よりも多いフラグメントがあるときに反応します。 |
Specify Max Fragments per Datagram 170(0 ~ 8192) |
Deny Packet Inline Produce Alert |
1208 Incomplete Datagram |
Fragment Reassembly Timeout の間にデータグラムのすべてのフラグメントが届かなかったときに反応します。 |
Specify Fragment Reassembly Timeout 60(0 ~ 360) |
Deny Packet Inline Produce Alert |
1220 Jolt2 Fragment Reassembly DoS attack |
複数のフラグメントが受信され、すべてが IP データグラムの最後のフラグメントであることを示すときに反応します。 |
Specify Max Last Fragments 4(1 ~ 50) |
Deny Packet Inline Produce Alert |
1225 Fragment Flags Invalid |
フラグメント フラグの無効な組み合わせが検出されたときに反応します。 |
なし |
|
IP フラグメント再構成モードの設定
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
(注) センサーが無差別モードで動作している場合に、IP フラグメント再構成モードを設定できます。センサーがインライン モードで動作している場合には、メソッドは NT だけです。
センサーが使用する IP フラグメント再構成のモードを設定するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] > [Advanced] > [Miscellaneous] を選択します。
ステップ 3 [Fragment Reassembly] の [IP Reassembly Mode] フィールドで、フラグメント再構成に使用するオペレーティング システムを選択します。
ヒント 変更を破棄して [Advanced] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 4 [OK] をクリックしてから [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。
IP フラグメント再構成シグニチャのチューニング
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
次の手順では IP フラグメント再構成シグニチャのチューニング方法について、特にシグニチャ 1200 0 IP Fragmentation Buffer Full について説明します。
IP フラグメント再構成シグニチャをチューニングするには、次の手順を実行します。
ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 [Filter] フィールドでドロップダウン リストから [Engine] を選択し、エンジンとして [Normalizer] を選択します。
ステップ 4 リストから、設定する IP フラグメント再構成シグニチャ(例:Sig ID 1200 Subsig ID 0 IP Fragmentation Buffer Full)を選択して、[Edit] をクリックします。
ステップ 5 シグニチャ 1200 の設定可能な IP フラグメント再構成パラメータを、デフォルトの設定から変更します。たとえば [Max Fragments] フィールドの設定を、デフォルトの 10000 から 20000 に変更します。
シグニチャ 1200 では、次のオプションのパラメータも変更できます。
• Specify TCP Idle Timeout
• Specify Service Ports
• Specify SYN Flood Max Embryonic
ヒント 変更を破棄して [Edit Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックしてから [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。
TCP ストリーム再構成シグニチャの概要
センサーは、完了した 3 ウェイ ハンドシェイクによって確立された TCP セッションだけをモニタするように設定できます。また、ハンドシェイクの完了まで待つ時間の最大値と、パケットがない場合に接続をモニタし続ける時間も設定できます。これは、有効な TCP セッションが確立していないときに、センサーでアラートを生成しないようにするためのものです。センサーに対する攻撃には、単純に攻撃を繰り返すことでセンサーにアラートを生成させようとするものがあります。TCP セッションの再構成機能は、センサーに対するこのようなタイプの攻撃を緩和するために役立ちます。
シグニチャごとに TCP ストリーム再構成パラメータを設定します。TCP ストリーム再構成のモードを設定できます。
詳細情報
Normalizer シグニチャ エンジンの詳細については、「Normalizer エンジン」を参照してください。
TCP ストリーム再構成シグニチャと設定可能なパラメータ
表 7-6 に TCP ストリーム再構成シグニチャを、TCP ストリーム再構成の設定に使用可能なパラメータとともに示します。TCP ストリーム再構成シグニチャは Normalizer エンジンの一部です。
表 7-6 TCP ストリーム再構成シグニチャ
|
|
|
|
1300 TCP Segment Overwrite |
オーバーラップする TCP セグメント(再送など)のデータが送信され、このセッションですでに検出されたデータとは異なるときに反応します。 |
-- |
Deny Connection Inline Product Alert |
1301 TCP Inactive Timeout |
TCP Idle Timeout の間 TCP セッションがアイドル状態だったときに反応します。 |
TCP Idle Timeout 3600(15 ~ 3600) |
なし |
1302 TCP Embryonic Timeout |
TCP Embryonic Timeout の秒数の間に TCP セッションのスリーウェイ ハンドシェイクが完了しなかったときに反応します。 |
TCP Embryonic Timeout 15 (3 ~ 300) |
なし |
1303 TCP Closing Timeout |
最初の FIN の後、TCP Closed Timeout の秒数の間に TCP セッションが完全に閉じられなかったときに反応します。 |
TCP Closed Timeout 5(1 ~ 60) |
なし |
1304 TCP Max Segments Queued Per Session |
キューに入れられたセッションの順番外のセグメントの数が TCP Max Queue を超えたときに反応します。予定されたシーケンスから最も遠いシーケンスが含まれるセグメントがドロップされます。 |
TCP Max Queue 32 (0 ~ 128) |
Deny Packet Inline Product Alert |
1305 TCP Urgent Flag |
TCP urgent フラグを検出したときに反応します。 |
-- |
Modify Packet Inline はディセーブル |
1306 0 TCP Option Other |
TCP Option Number の範囲の TCP オプションが検出されたときに反応します。 |
TCP Option Number 6-7,9-255 (0 ~ 255 の間の複数の整数範囲) |
Modify Packet Inline Produce Alert |
1306 1 TCP SACK Allowed Option |
TCP selective ACK allowed オプションが検出されたときに反応します。 |
-- |
Modify Packet Inline はディセーブル |
1306 2 TCP SACK Data Option |
TCP selective ACK data オプションが検出されたときに反応します。 |
-- |
Modify Packet Inline はディセーブル |
1306 3 TCP Timestamp Option |
TCP timestamp オプションが検出されたときに反応します。 |
-- |
Modify Packet Inline はディセーブル |
1306 4 TCP Window Scale Option |
TCP window scale オプションが検出されたときに反応します。 |
-- |
Modify Packet Inline はディセーブル |
1307 TCP Window Size Variation |
TCP の受信ウィンドウの右端が右に移動(減少)したときに反応します。 |
-- |
Deny Connection Inline Produce Alert はディセーブル |
1308 TTL Varies |
セッションの一方向で検出された TTL が、それまで観測された最小値よりも大きいときに反応します。 |
-- |
Modify Packet Inline |
1309 TCP Reserved Bits Set |
TCP ヘッダーの予約ビット(ECN で使用されるビットも含む)が設定されているときに反応します。 |
-- |
Modify Packet Inline Produce Alert はディセーブル |
1310 TCP Retransmit Protection |
再送セグメントのデータが元のセグメントと異なっていることをセンサーが検出したときに反応します。 |
-- |
Deny Connection Inline Produce Alert |
1311 TCP Packet Exceeds MSS |
パケットが、スリーウェイ ハンドシェイクの間に交換された MSS を超えたときに反応します。 |
-- |
Deny Connection Inline Produce Alert |
1312 TCP Min MSS |
SYN フラグを含むパケットの MSS の値が TCP Min MSS よりも小さいときに反応します。 |
TCP Min MSS 400 (0 ~ 16000) |
Modify Packet Inline はディセーブル |
1313 TCP Max MSS |
SYN フラグを含むパケットの MSS の値が TCP Max MSS を超えるときに反応します。 |
TCP Max MSS1460 (0 ~ 16000) |
Modify Packet Inline はディセーブル |
1314 TCP Data SYN |
SYN パケットで TCP ペイロードが送られたときに反応します。 |
-- |
Deny Packet Inline はディセーブル |
1315 ACK Without TCP Stream |
ストリームに属さない ACK パケットが送信されたときに反応します。 |
-- |
Produce Alert はディセーブル |
1317 Zero Window Probe |
ウィンドウがゼロのプローブ パケットを検出したときに反応します。 |
Modify Packet Inline では、Zero Window Probe パケットのデータが削除されます。 |
Modify Packet Inline |
1330 0 TCP Drop - Bad Checksum |
TCP パケットのチェックサムが間違っているときに反応します。 |
Modify Packet Inline では、チェックサムが修正されます。 |
Deny Packet Inline |
1330 1 TCP Drop - Bad TCP Flags |
TCP パケットにフラグの無効な組み合わせが含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 2 TCP Drop - Urgent Pointer With No Flag |
TCP パケットに URG ポインタが含まれていて、URG フラグがないときに反応します。 |
Modify Packet Inline ではポインタが削除されます。 |
Modify Packet Inline はディセーブル |
1330 3 TCP Drop - Bad Option List |
TCP パケットに不正なオプション リストが含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 4 TCP Drop - Bad Option Length |
TCP パケットに不正なオプション長が含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 5 TCP Drop - MSS Option Without SYN |
SYN フラグが設定されていないパケットに TCP MSS オプションが検出されたときに反応します。 |
Modify Packet Inline では MSS オプションが削除されます。 |
Modify Packet Inline |
1330 6 TCP Drop - WinScale Option Without SYN |
SYN フラグが設定されていないパケットに TCP window scale オプションが検出されたときに反応します。 |
Modify Packet Inline では window scale オプションが削除されます。 |
Modify Packet Inline |
1330 7 TCP Drop - Bad WinScale Option Value |
TCP パケットに不正な window scale の値が含まれているときに反応します。 |
Modify Packet Inline では最も近い制限値に値が設定されます。 |
Modify Packet Inline |
1330 8 TCP Drop - SACK Allow Without SYN |
SYN フラグが設定されていないパケットに TCP SACK allowed オプションが検出されたときに反応します。 |
Modify Packet Inline では SACK allowed オプションが削除されます。 |
Modify Packet Inline |
1330 9 TCP Drop - Data in SYN|ACK |
SYN フラグと ACK フラグが設定された TCP パケットに、データも含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 10 TCP Drop - Data Past FIN |
FIN の後に TCP データが続いたときに反応します。 |
-- |
Deny Packet Inline |
1330 11 TCP Drop - Timestamp not Allowed |
timestamp オプションが使用できない場合に、TCP パケットに timestamp オプションが含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 12 TCP Drop - Segment Out of Order |
TCP セグメントが順番外で、キューに入れることができないときに反応します。 |
-- |
Deny Packet Inline |
1330 13 TCP Drop - Invalid TCP Packet |
TCP パケットに無効なヘッダーが含まれているときに反応します。 |
-- |
Deny Packet Inline |
1330 14 TCP Drop - RST or SYN in window |
RST フラグまたは SYN フラグを持つ TCP パケットがシーケンス ウィンドウ内で送信されたが、次のシーケンスではなかったときに反応します。 |
-- |
Deny Packet Inline |
1330 15 TCP Drop - Segment Already ACKed |
TCP パケット シーケンスが、すでに相手から ACK を受信しているときに反応します(キープアライブを除く)。 |
-- |
Deny Packet Inline |
1330 16 TCP Drop - PAWS Failed |
TCP パケットが PAWS チェックに失敗したときに反応します。 |
-- |
Deny Packet Inline |
1330 17 TCP Drop - Segment out of State Order |
TCP パケットが TCP セッションの状態に対して適切でないときに反応します。 |
-- |
Deny Packet Inline |
1330 18 TCP Drop - Segment out of Window |
TCP パケットのシーケンス番号が、許可されているウィンドウの範囲外のときに反応します。 |
-- |
Deny Packet Inline |
3050 Half Open SYN Attack |
-- |
syn-flood-max-embryonic 5000 |
-- |
3250 TCP Hijack |
-- |
max-old-ack 200 |
-- |
3251 TCP Hijack Simplex Mode |
-- |
max-old-ack 100 |
-- |
TCP ストリーム再構成モードの設定
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
(注) TCP Handshake Required パラメータおよび TCP Reassembly Mode パラメータは、無差別モードでトラフィックを検査するセンサーにのみ影響があり、インライン モードでは影響しません。
TCP ストリーム再構成モードを設定するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] > [Advanced] > [Miscellaneous] を選択します。
ステップ 3 [Stream Reassembly] の [TCP Handshake Required] フィールドで、[Yes] を選択します。[TCP Handshake Required] を選択して、スリーウェイ ハンドシェイクが完了したセッションだけをセンサーで追跡することを指定します。
ステップ 4 [TCP Reassembly Mode] フィールドのドロップダウン リストから、センサーが TCP セッションの再構成に使用するモードを選択します。
• [Asymmetric]:センサーは状態をフローと同期して、双方向を必要としないエンジンの検査を継続します。
• [Strict]:何らかの理由でパケットが失われた場合、失われたパケット以降のすべてのパケットが処理されます。
• [Loose]:パケットがドロップされる可能性がある状況で使用します。
ヒント 変更を破棄して [Advanced] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 5 [OK] をクリックしてから [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。
TCP ストリーム再構成シグニチャのチューニング
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
注意 シグニチャ 3050 Half Open SYN Attack の場合、アクションとして Modify Packet Inline を選択すると、保護をアクティブにしている間は最大 20 ~ 30 % パフォーマンスが低下することがあります。保護は、実際の SYN フラッドの間だけアクティブです。
次の手順では TCP ストリーム再構成シグニチャのチューニング方法について説明し、例としてシグニチャ 1313 0 TCP MSS Exceeds Maximum を使用します。
TCP ストリーム再構成シグニチャをチューニングするには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] を選択します。
ステップ 3 [Filter] ドロップダウン リストで、[Engine] を選択してから [Normalizer] を選択します。
ステップ 4 リストから設定する TCP フラグメント再構成シグニチャ(例:Sig ID 1313 Subsig ID 0 TCP MSS Exceeds Maximum)を選択し、[Edit] をクリックします。
ステップ 5 シグニチャ 1313 の設定可能な IP フラグメント再構成パラメータを、デフォルトの設定から変更します。たとえば、[TCP Max MSS] フィールドで、設定をデフォルトの 1460 から 1380 に変更します。
(注) このパラメータをデフォルトの 1460 から 1380 に変更すると、トラフィックのフラグメントが VPN トンネルを通ることを防ぐのに役立ちます。
シグニチャ 1313 0 では、次のオプションのパラメータも変更できます。
• Specify Hijack Max Old Ack
• Specify TCP Idle Timeout
• Specify Service Ports
• Specify SYN Flood Max Embryonic
ヒント 変更を破棄して [Edit Signature] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックしてから [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。
IP ロギングの設定
ヒント チェックボックスが空の場合、デフォルト値が使用されていることを示します。チェックボックスをオンにして、パラメータを設定します。値のフィールドをクリックして、パラメータを変更します。緑色のチェックは、ユーザが定義した値が使用されていることを示します。緑色のチェックをクリックして、値をデフォルトに戻します。
センサーが攻撃を検出したときに、IP セッション ログを生成するように設定できます。シグニチャの応答アクションとして IP ロギングを設定しているときにシグニチャがトリガーされると、アラートの送信元アドレスとの間で送受信されるすべてのパケットが指定された時間の間ログに記録されます。
センサーで IP ロギングの条件のいずれか 1 つに一致したときには、IP ロギングは中止されます。
IP ロギング パラメータを設定するには、次の手順を実行します。
ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] > [Advanced] > [Miscellaneous] を選択します。
ステップ 3 [IP Log] の [Max IP Log Packets] フィールドに、ログに記録するパケット数を入力します。
ステップ 4 [IP Log Time] フィールドに、センサーでログを記録する期間を入力します。有効な値は、1 ~ 60 分です。デフォルトは 30 分です。
ステップ 5 [Max IP Log Bytes] フィールドに、ログに記録する最大バイト数を入力します。
ヒント 変更を破棄して [Advanced] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックしてから [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ヒント 変更を破棄するには、[Reset] をクリックします。