Cisco Intrusion Prevention System Manager Express コンフィギュレーション ガイド for IPS 7.1

Signature ID

このシグニチャの ID を指定します。

数値

Sub Signature ID

このシグニチャのサブ ID を指定します。

数値

Alert Severity

アラートの重大度を指定します。

• 危険なアラート

• 中レベルのアラート

• 低レベルのアラート

• 情報アラート

• High

• Medium

• Low

• Informational（デフォルト）

Sig Fidelity Rating

このシグニチャの忠実度評価を指定します。

0 ～ 100
（デフォルト = 100）

Promiscuous Delta

アラートの重大度を決定するために使用されるデルタ値を指定します。

0 ～ 30
（デフォルト = 5）

Signature Name

シグニチャの名前を指定します。

sig-name

Alert Notes

アラート メッセージに含まれる、このシグニチャに関する追加情報を指定します。

アラートの注記

User Comments

このシグニチャに関するコメントを指定します。

コメント

Alert Traits

このシグニチャについて文書化する特性を指定します。

0 ～ 65335

Release

シグニチャが最後に更新されたリリースを指定します。

リリース

Signature Creation Date

シグニチャが作成された日付を指定します。

--

Signature Type

シグニチャのカテゴリを指定します。

• Anomaly

• Component

• Exploit

• Other

Engine

シグニチャが属するエンジンを指定します。

--

Event Count

アラートを生成するまでのイベントの発生回数を指定します。

1 ～ 65535
（デフォルト = 1）

Event Count Key

このシグニチャに関するイベントをカウントするストレージ タイプを指定します。

• 攻撃者のアドレス

• 攻撃者と攻撃対象のアドレス

• 攻撃者のアドレスと攻撃対象のポート

• 攻撃対象のアドレス

• 攻撃者と攻撃対象のアドレスおよびポート

• Axxx

• AxBx

• Axxb

• xxBx

• AaBb

Specify Alert Interval {Yes | No}

アラート間隔をイネーブルにします。

• Alert Interval：イベント カウントをリセットするまでの時間（秒数）を指定します。

2 ～ 1000

Status

シグニチャが、イネーブルとディセーブルのどちらであるか、アクティブと廃棄のどちらであるかを指定します。

Enabled | Retired {Yes | No}

Obsoletes

新しいシグニチャにより古いシグニチャがディセーブルになったことを示します。

--

Vulnerable OS List

パッシブ OS フィンガープリントと組み合わせることにより、IPS は、指定された攻撃がターゲット システムに該当する可能性が高いかどうかを判定します。

AIX
BSD
General OS
HP-UX
IOS
IRIX
Linux
Mac OS
Netware
Other
Solaris
UNIX
Windows
Windows NT
Windows NT/2K/XP

Mars Category {Yes | No}

シグニチャを MARS 攻撃カテゴリにマッピングします。1

--

Alert Frequency

アラートをグループ化するためのサマリー オプション。

--

Summary Mode

サマライズで使用するモード。

--

Fire All

すべてのイベントについてアラートを起動します。

--

Fire Once

1 回だけアラートを起動します。

--

Global Summarize

攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起動されるようにアラートをサマライズします。

--

Summarize

アラートをサマライズします。

--

Summary Threshold

アラート数のしきい値。この値を超えるとシグニチャはサマリー モードに送られます。

0 ～ 65535

Global Summary Threshold

イベント数のしきい値。この値を超えるとアラートはグローバル サマリーにサマライズされます。

1 ～ 65535

Summary Interval

各サマリー アラートで使用される時間（秒数）。

1 ～ 1000

Summary Key

シグニチャをサマライズするストレージ タイプ：

• 攻撃者のアドレス

• 攻撃者と攻撃対象のアドレス

• 攻撃者のアドレスと攻撃対象のポート

• 攻撃対象のアドレス

• 攻撃者と攻撃対象のアドレスおよびポート

Axxx

AxBx

Axxb

xxBx

AaBb

Signature Type

AIC デバイスの種類。

Content Types

MIME タイプを扱う AIC シグニチャ。

• [Define Content Type]：特定の MIME タイプ（image/gif）の拒否、メッセージサイズ違反の定義、ヘッダーと本文で宣言されている MIME タイプの不一致の判定などのアクションを関連付けます。

• [Define Recognized Content Types]：センサーによって認識されたコンテンツ タイプを一覧表示します。

Define Web Traffic Policy

非準拠の HTTP トラフィックを認識した場合に実行するアクションを指定します。[Alert on Non-HTTP Traffic Yes | No] はシグニチャをイネーブルにします。このシグニチャは、デフォルトではディセーブルになっています。

Max Outstanding Requests Overrun

接続あたりに許可される最大 HTTP 要求（1 ～ 16）。

Msg Body Pattern

メッセージ本文の中の特定のパターンを探すシグニチャを定義するには、正規表現を使用します。

Request Methods

HTTP 要求方法にアクションを関連付けることができる AIC シグニチャ。

• [Define Request Method]：get、put など。

• [Recognized Request Methods]：センサーによって認識される方法の一覧を表示します。

Transfer Encoding

AIC 転送符号化を扱うシグニチャ。

• [Define Transfer Encoding]：compress、chunked などのアクションを各方法に関連付けます。

• [Recognized Transfer Encodings]：センサーによって認識される方法の一覧を表示します。

• [Chunked Transfer Encoding]：エラーは、チャンク エンコーディング エラーが認識された場合に実行するアクションを指定します。

Signature Type

AIC シグニチャのタイプを指定します。

FTP Commands

アクションを FTP コマンドに関連付けます。

• [FTP Command]：検査する FTP コマンドを選択できます。

Unrecognized FTP Command

認識されない FTP コマンドを検査します。

Specify ARP Operation

（任意）ARP 動作をイネーブルにします。

• [ARP Operation]：検査する ARP 動作の種類。

0 ～ 65535

Specify Mac Flip Times

（任意）MAC アドレス フリップ回数をイネーブルにします。

• [Mac Flip Times]：アラート中で何度 MAC アドレスを反転させるかを指定します。

0 ～ 65535

Specify Request Inbalance

（任意）要求のアンバランスをイネーブルにします。

• [Request Inbalance]：特定の IP アドレスに対して、応答よりも要求の方が指定した数より多い場合に、アラートを起動します。

0 ～ 65535

Specify Type of ARP Sig

（任意）ARP シグニチャのタイプをイネーブルにします。

• [Type of ARP Sig]：発行する ARP シグニチャのタイプを指定します。

– [Destination Broadcast]：255.255.255.255 の ARP 宛先アドレスを検出した場合に、このシグニチャのアラートを起動します。

– [Same Source and Destination]：送信元と宛先の MAC アドレスが同じである ARP 宛先アドレスを検出した場合に、このシグニチャのアラートを起動します。

– [Source Broadcast]（デフォルト）：255.255.255.255 の ARP 送信元アドレスを検出した場合に、このシグニチャのアラートを起動します。

– [Source Multicast]：ARP 送信元 MAC アドレス 01:00:5e:（00-7f）を検出した場合に、このシグニチャのアラートを起動します。

Dst Broadcast

Same Src and Dst

Src Broadcast

Src Multicast

Storage Key

固定データを保存するために使用するアドレス キーのタイプ。

• 攻撃者のアドレス

• 攻撃者と攻撃対象のアドレス

• 攻撃対象のアドレス

• グローバル

Axxx

AxBx

xxBx

xxxx

Fragment Status

フラグメントが必要かどうかを指定します。

Any | No Fragments | Want Fragments

Specify Encapsulation

（任意）パケットの L3 の開始前にカプセル化を指定します。2

• [Encapsulation]：検査するカプセル化の種類。

None | MPLS | GRE | Ipv4 in IPv6 | IP IP | Any

Specify IP Version

（任意）IP プロトコル バージョンを指定します。

• [IP Version]：IPv4 または IPv6。

IPv4| IPv6

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Specify Regex Inspection

（任意）正規表現検査をイネーブルにします。

[Yes] | [No]

Regex Scope

検索の開始および終了場所を指定します。

• ipv6-doh-only

• ipv6-doh-plus

• ipv6-hoh-only

• ipv6-hoh-plus

• ipv6-rh-only

• ipv6-rh-plus

• layer3-only

• layer3-plus

• layer4

Regex String

単一の TCP パケット内で検索する正規表現を指定します。

string

Specify Exact Match Offset

完全一致オフセットをイネーブルにします。

• [Exact Match Offset]：一致が有効であるために、[Regex String] が報告する必要がある正確なストリーム オフセット。

0 ～ 65535

Specify Minimum Match Length

最小一致長をイネーブルにします。

• [Minimum Match Length]：[Regex String] が一致する必要がある最小バイト数を指定します。

0 ～ 65535

Specify Minimum Match Offset

最小一致オフセットをイネーブルにします。

• [Minimum Match Offset]：一致が有効であるために [Regex String] が報告する必要がある、最小ストリーム オフセットを指定します。

0 ～ 65535

Specify Maximum Match Offset

最大一致オフセットをイネーブルにします。

• [Maximum Match Offset]：一致が有効であるために [Regex String] が報告する必要がある、最大ストリーム オフセットを指定します。

0 ～ 65535

Specify Authentication Header

（任意）認証ヘッダーの検査をイネーブルにします。

• [AH Present]：認証ヘッダーが存在することを指定します。

– [AH Length]：認証ヘッダーの長さを指定します。

– [AH Next Header]：認証ヘッダーの値を指定します。

Have AH | No AH

0 ～ 1028

0 ～ 255

Specify Destination Options Header

（任意）宛先オプション ヘッダーの検査をイネーブルにします。

• [DOH Present]：宛先オプション ヘッダーが存在することを指定します。

– [DOH Count]：検査する宛先オプション ヘッダーの数を指定します。

– [DOH Length]：検査する宛先オプション ヘッダーの長さを指定します。

– [DOH Next Header]：検査する次の宛先オプション ヘッダーの数を指定します。

– [DOH Option Type]：検査する宛先オプション ヘッダーのタイプを指定します。

– [DOH Option Length]：検査する宛先オプション ヘッダーの長さを指定します。

Have DOH | No DOH

0 ～ 2

8 ～ 2048

0 ～ 255

0 ～ 255

0 ～ 255

Specify ESP Header

（任意）ESP ヘッダーの検査をイネーブルにします。

• [ESP Present]：ESP ヘッダーが存在することを指定します。

Have ESP | No ESP

Specify First Next Header

（任意）最初の次ヘッダーの検査をイネーブルにします。

• [First Next Header]：検査する最初の次ヘッダーの値を指定します。

0 ～ 255

Specify Flow Label

（任意）フロー ラベルの検査をイネーブルにします。

• [Flow Label]：検査するフロー ラベルの値を指定します。

0 ～ 1048575

Specify Headers Out of Order

（任意）順序が不正なヘッダーの検査をイネーブルにします。

• [Headers Out of Order]：検査するヘッダーの順序を指定します。

[Yes] | [No]

Specify Headers Repeated

（任意）繰り返しヘッダーの検査をイネーブルにします。

• [Headers Repeated]：検査するヘッダーの繰り返しを指定します。

[Yes] | [No]

Specify Hop Limit

（任意）ホップ制限をイネーブルにします。

• [Hop Limit]：検査するホップ制限の値を指定します。

0 ～ 255

Specify Hop Options Header

（任意）ホップバイホップ オプション ヘッダーの検査をイネーブルにします。

• [HOH Present]：ホップバイホップ オプション ヘッダーが存在することを指定します。

Have HOH | No HOH

Specify IPv6 Address Options

（任意）IPv6 アドレス オプションをイネーブルにします。

• [IPv6 Address Options]：IPv6 アドレス オプションを指定します。

– [Address With Localhost]：::1 の IP アドレス。

– [Documentation Address]：プレフィクスが 2001:db8::/32 の IP アドレス。

– [IPv6 Address]：IP アドレス。

– [Link Local Address]：IPv6 リンク ローカル アドレスを検査します。

– [Multicast Destination]：宛先マルチキャスト アドレスを検査します。

– [Multicast Source]：送信元マルチキャスト アドレスを検査します。

– [Not Link Local Address]：リンクローカルでないアドレスを検査します。

– [Not Valid Address]：リンクローカル、グローバル、またはマルチキャスト用に予約されていないアドレスを検査します。

– [Source IP Equals Destination IP]：送信元アドレスと宛先アドレスは同じです。

Specify IPv6 Data Length

（任意）IPv6 データ長の検査をイネーブルにします。

• [IPv6 Data Length]：検査する IPv6 データ長を指定します。

0 ～ 65535

Specify IPv6 Header Length

（任意）IPv6 ヘッダー長の検査をイネーブルにします。

• [Pv6 Header Length]：検査する IPv6 ヘッダーの長さを指定します。

0 ～ 65535

Specify IPv6 Total Length

（任意）IPv6 合計長の検査をイネーブルにします。

• [IPv6 Total Length]：検査する IPv6 合計長を指定します。

0 ～ 65535

Specify IPv6 Payload Length

（任意）IPv6 ペイロード長の検査をイネーブルにします。

• [IPv6 Payload Length]：検査する IPv6 ペイロード長を指定します。

0 ～ 65535

Specify Routing Header

（任意）ルーティング ヘッダーの検査をイネーブルにします。

• [RH Present]：ルーティング ヘッダーが存在することを指定します。

Have RH | No RH

Specify Traffic Class

（任意）トラフィック クラスの検査をイネーブルにします。

• [Traffic Class]：検査するトラフィック クラスの値を指定します。

0 ～ 255

Specify IP Addr Options

（任意）IP アドレス オプションをイネーブルにします。

• [IP Addr Options]：IP アドレス オプションを指定します。

Address With Localhost

IP Address

RFC 1918 Address

Src IP Eq Dst IP

Specify IP Header Length

（任意）IP ヘッダー長の検査をイネーブルにします。

• [IP Header Length]：検査する IP ヘッダーの長さを指定します。

0 ～ 16

Specify IP Identifier

（任意）IP ID の検査をイネーブルにします。

• [IP Identifier]：検査する IP ID を指定します。

0 ～ 255

Specify IP Option Inspection

（任意）IP オプションの検査をイネーブルにします。

• [IP Option Inspection]：IP オプションの値を指定します。

– [IP Option]：照合する IP オプション コード。

– [IP Option Abnormal Options]：不正なオプションのリスト。

0 ～ 65535

[Yes] | [No]

Specify IP Payload Length

（任意）IP ペイロード長の検査をイネーブルにします。

• [IP Payload Length]：検査する IP ペイロードの長さを指定します。

0 ～ 65535

Specify IP Type of Service

（任意）IP タイプ オブ サービスを指定します。

• [IP Type of Service]：検査する IP タイプ オブ サービスを指定します。

0 ～ 255

Specify IP Total Length

（任意）IP 合計長の検査をイネーブルにします。

• [IP Total Length]：検査する IP パケットの合計長を指定します。

0 ～ 65535

Specify IP Time-to-Live

（任意）IP 存続可能時間の検査をイネーブルにします。

• [IP Time-to-Live]：IP TTL の検査を指定します。

0 ～ 255

Specify IP Version

（任意）IP バージョンの検査をイネーブルにします。

• [IP Version]：検査する IP バージョンを指定します。

0 ～ 16

Specify L4 Protocol

（任意）L4 プロトコルの検査をイネーブルにします。

• [L4 Protocol]：検査する L4 プロトコルを指定します。

ICMP Protocol

ICMPv6 Protocol

TCP Protocol

UDP Protocol

Other IP Protocols

Other IP Protocol ID

（任意）他の L4 プロトコルの検査をイネーブルにします。

• [Other IP Protocol ID]：アラートを送信する単一の IP プロトコル番号を指定します。

0 ～ 256

Specify ICMP Code

（任意）L4 ICMP コードの検査をイネーブルにします。

• [ICMP Code]：ICMP ヘッダーの CODE 値を指定します。

0 ～ 65535

Specify ICMP ID

（任意）L4 ICMP ID の検査をイネーブルにします。

• [ICMP ID]：ICMP ヘッダーの IDENTIFIER 値を指定します。

0 ～ 65535

Specify ICMP Sequence

（任意）L4 ICMP シーケンスの検査をイネーブルにします。

• [ICMP Sequence]：検査する ICMP シーケンスを指定します。

0 ～ 65535

Specify ICMP Type

（任意）ICMP ヘッダー タイプの検査をイネーブルにします。

• [ICMP Type]：ICMP ヘッダーの TYPE 値を指定します。

0 ～ 65535

Specify ICMPv6 Code

（任意）L4 ICMPv6 コードの検査をイネーブルにします。

• [ICMPv6 Code]：ICMPv6 ヘッダーの CODE 値を指定します。

0 ～ 255

Specify ICMPv6 ID

（任意）L4 ICMPv6 ID の検査をイネーブルにします。

• [ICMPv6 ID]：ICMPv6 ヘッダーの IDENTIFIER 値を指定します。

0 ～ 65535

Specify ICMPv6 Length

（任意）L4 ICMPv6 の長さの検査をイネーブルにします。

• [ICMPv6 Length]：ICMPv6 ヘッダーの LENGTH 値。

0 ～ 65535

Specify ICMPv6 MTU Field

（任意）L4 ICMPv6 の MTU フィールドの検査をイネーブルにします。

• [ICMPv6 MTU Field]：ICMPv6 ヘッダーの MTU フィールドの値。

4,294,967,295

Specify ICMPv6 Option Type

（任意）L4 ICMPv6 タイプの検査をイネーブルにします。

• [ICMPv6 Option Type]：検査する ICMPv6 オプション タイプを指定します。

0 ～ 255

Specify ICMPv6 Option Length

（任意）L4 ICMPv6 オプション タイプの検査をイネーブルにします。

• [ICMPv6 Option Length]：検査する ICMPv6 オプション タイプを指定します。

0 ～ 255

Specify ICMPv6 Sequence

（任意）L4 ICMPv6 シーケンスの検査をイネーブルにします。

• [ICMPv6 Sequence]：ICMPv6 ヘッダーの SEQUENCE 値。

0 ～ 65535

Specify ICMPv6 Type

（任意）L4 ICMPv6 タイプの検査をイネーブルにします。

• [ICMPv6 Type]：ICMPv6 ヘッダーの TYPE 値。

0 ～ 255

Specify Destination Port

（任意）宛先ポートの使用を指定します。

• [Destination Port]：このシグニチャが対象にする宛先ポート。

0 ～ 65535

Specify Source Port

（任意）送信元ポートの使用を指定します。

• [Source Port]：このシグニチャが対象にする送信元ポート。

0 ～ 65535

Specify TCP Mask

（任意）TCP マスクの使用を指定します。

• [TCP Mask]：TCP フラグの比較で使用するマスク。

– URG ビット

– ACK ビット

– PSH ビット

– RST ビット

– SYN ビット

– FIN ビット

• URG

• ACK

• PSH

• RST

• SYN

• FIN

Specify TCP Flags

（任意）TCP フラグの使用をイネーブルにします。

• [TCP Flags]：マスクによってマスクされた場合に照合する TCP フラグ。

– URG ビット

– ACK ビット

– PSH ビット

– RST ビット

– SYN ビット

– FIN ビット

• URG

• ACK

• PSH

• RST

• SYN

• FIN

Specify TCP Reserved

（任意）TCP 予約の使用をイネーブルにします。

• [TCP Reserved]：TCP 予約。

0 ～ 63

Specify TCP Header Length

（任意）L4 TCP ヘッダー長の検査をイネーブルにします。

• [TCP Header Length]：検査で使用する TCP ヘッダーの長さを指定します。

0 ～ 60

Specify TCP Payload Length

（任意）L4 TCP ペイロード長の検査をイネーブルにします。

• [TCP Payload Length]：TCP ペイロードの長さを指定します。

0 ～ 65535

Specify TCP URG Pointer

（任意）L4 TCP の URG ポインタの検査をイネーブルにします。

• [TCP URG Pointer]：TCP URG フラグの検査を指定します。

0 ～ 65535

Specify TCP Window Size

（任意）L4 TCP ウィンドウ サイズの検査をイネーブルにします。

• [TCP Window Size]：TCP パケットのウィンドウ サイズを指定します。

0 ～ 65535

Specify UDP Valid Length

（任意）L4 UDP の有効長の検査をイネーブルにします。

• [UDP Valid Length]：有効であると見なし検査しない UDP パケット長を指定します。

0 ～ 65535

Specify UDP Length Mismatch

（任意）L4 UDP の長さの不一致の検査をイネーブルにします。

• [UDP Length Mismatch]：IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

[Yes] | [No]

Specify IP Addr Options

（任意）IP アドレス オプションをイネーブルにします。

• [IP Addr Options]：IP アドレス オプションを指定します。

Address With Localhost

IP Address

RFC 1918 Address

Src IP Eq Dst IP

Specify IP Header Length

（任意）IP ヘッダー長の検査をイネーブルにします。

• [IP Header Length]：検査する IP ヘッダーの長さを指定します。

0 ～ 16

Specify IP Identifier

（任意）IP ID の検査をイネーブルにします。

• [IP Identifier]：検査する IP ID を指定します。

0 ～ 255

Specify IP Option Inspection

（任意）IP オプションの検査をイネーブルにします。

• [IP Option Inspection]：IP オプションの値を指定します。

– [IP Option]：照合する IP オプション コード。

– [IP Option Abnormal Options]：不正なオプションのリスト。

0 ～ 65535

[Yes] | [No]

Specify IP Payload Length

（任意）IP ペイロード長の検査をイネーブルにします。

• [IP Payload Length]：検査する IP ペイロードの長さを指定します。

0 ～ 65535

Specify IP Type of Service

（任意）IP タイプ オブ サービスを指定します。

• [IP Type of Service]：検査する IP タイプ オブ サービスを指定します。

0 ～ 6255

Specify IP Total Length

（任意）IP 合計長の検査をイネーブルにします。

• [IP Total Length]：検査する IP パケットの合計長を指定します。

0 ～ 65535

Specify IP Time-to-Live

（任意）IP 存続可能時間の検査をイネーブルにします。

• [IP Time-to-Live]：IP TTL の検査を指定します。

0 ～ 255

Specify IP Version

（任意）IP バージョンの検査をイネーブルにします。

• [IP Version]：検査する IP バージョンを指定します。

0 ～ 16

Specify L4 Protocol

（任意）L4 プロトコルの検査をイネーブルにします。

• [L4 Protocol]：検査する L4 プロトコルを指定します。

ICMP Protocol

TCP Protocol

UDP Protocol

Other IP Protocols

Specify ICMP Code

（任意）L4 ICMP コードの検査をイネーブルにします。

• [ICMP Code]：ICMP ヘッダーの CODE 値を指定します。

0 ～ 65535

Specify ICMP ID

（任意）L4 ICMP ID の検査をイネーブルにします。

• [ICMP ID]：ICMP ヘッダーの IDENTIFIER 値を指定します。

0 ～ 65535

Specify ICMP Sequence

（任意）L4 ICMP シーケンスの検査をイネーブルにします。

• [ICMP Sequence]：検査する ICMP シーケンスを指定します。

0 ～ 65535

Specify ICMP Type

（任意）ICMP ヘッダー タイプの検査をイネーブルにします。

• [ICMP Type]：ICMP ヘッダーの TYPE 値を指定します。

0 ～ 65535

Specify ICMP Total Length

（任意）L4 ICMP 合計ヘッダー長の検査をイネーブルにします。

• [ICMP Total Length]：検査する ICMP 合計長の値を指定します。

0 ～ 65535

Other IP Protocol ID

（任意）他の L4 プロトコルの検査をイネーブルにします。

• [Other IP Protocol ID]：アラートを送信する単一の IP プロトコル番号を指定します。

0 ～ 256

Specify Destination Port

（任意）宛先ポートの使用を指定します。

• [Destination Port]：このシグニチャが対象にする宛先ポート。

0 ～ 65535

Specify Source Port

（任意）送信元ポートの使用を指定します。

• [Source Port]：このシグニチャが対象にする送信元ポート。

0 ～ 65535

Specify TCP Mask

（任意）TCP マスクの使用を指定します。

• [TCP Mask]：TCP フラグの比較で使用するマスク。

– URG ビット

– ACK ビット

– PSH ビット

– RST ビット

– SYN ビット

– FIN ビット

• URG

• ACK

• PSH

• RST

• SYN

• FIN

Specify TCP Flags

（任意）TCP フラグの使用をイネーブルにします。

• [TCP Flags]：マスクによってマスクされた場合に照合する TCP フラグ。

– URG ビット

– ACK ビット

– PSH ビット

– RST ビット

– SYN ビット

– FIN ビット

• URG

• ACK

• PSH

• RST

• SYN

• FIN

Specify TCP Reserved

（任意）TCP 予約の使用をイネーブルにします。

• [TCP Reserved]：TCP 予約。

0 ～ 63

Specify TCP Header Length

（任意）L4 TCP ヘッダー長の検査をイネーブルにします。

• [TCP Header Length]：検査で使用する TCP ヘッダーの長さを指定します。

0 ～ 60

Specify TCP Payload Length

（任意）L4 TCP ペイロード長の検査をイネーブルにします。

• [TCP Payload Length]：TCP ペイロードの長さを指定します。

0 ～ 65535

Specify TCP URG Pointer

（任意）L4 TCP の URG ポインタの検査をイネーブルにします。

• [TCP URG Pointer]：TCP URG フラグの検査を指定します。

0 ～ 65535

Specify TCP Window Size

（任意）L4 TCP ウィンドウ サイズの検査をイネーブルにします。

• [TCP Window Size]：TCP パケットのウィンドウ サイズを指定します。

0 ～ 65535

Specify UDP Length

（任意）L4 UDP の長さの検査をイネーブルにします。

• [UDP Length]：IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

0 ～ 65535

Specify UDP Valid Length

（任意）L4 UDP の有効長の検査をイネーブルにします。

• [UDP Valid Length]：有効であると見なし検査しない UDP パケット長を指定します。

0 ～ 65535

Specify UDP Length Mismatch

（任意）L4 UDP の長さの不一致の検査をイネーブルにします。

• [UDP Length Mismatch]：IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

[Yes] | [No]

1600

0

ICMPv6 長さゼロ オプション

長さが ZERO と指定されたすべてのオプション タイプ

1601

0

ICMPv6 オプション タイプ 1 違反

有効な長さである 8 または 16 バイトの違反。

1602

0

ICMPv6 オプション タイプ 2 違反

有効な長さである 8 または 16 バイトの違反。

1603

0

ICMPv6 オプション タイプ 3 違反

有効な長さである 32 バイトの違反。

1604

0

ICMPv6 オプション タイプ 4 違反

有効な長さである 80 バイトの違反。

1605

0

ICMPv6 オプション タイプ 5 違反

有効な長さである 8 バイトの違反。

1606

0

ICMPv6 の短いオプション データ

不十分なデータのシグニチャ（実際のパケットにあるよりも多くのオプションのデータがあるとパケットに指定されている場合）

1607

0

IPv6 の複数の巧妙に細工されたフラグメント パケット

30 秒間の間に複数の先頭フラグメントが検出された場合にアラートを生成します。

Edit Defaults

編集可能なシグニチャ。

Specify Fragment Reassembly Timeout

（任意）フラグメント再構築タイムアウトをイネーブルにします。

Specify Hijack Max Old Ack

（任意）hijack-max-old-ack をイネーブルにします。

Specify Max Datagram Size

（任意）最大データグラム サイズをイネーブルにします。

Specify Max Fragments

（任意）最大フラグメントをイネーブルにします。

Specify Max Fragments per Datagram

（任意）データグラムあたりの最大フラグメントをイネーブルにします。

Specify Max Last Fragments

（任意）直前の最大フラグメントをイネーブルにします。

Specify Max Partial Datagrams

（任意）最大部分データグラムをイネーブルにします。

Specify Max Small Frags

（任意）最大スモール フラグメントをイネーブルにします。

Specify Min Fragment Size

（任意）最小フラグメント サイズをイネーブルにします。

Specify Service Ports

（任意）サービス ポートをイネーブルにします。

Specify SYN Flood Max Embryonic

（任意）SYN フラッドの最大初期接続をイネーブルにします。

Specify TCP Closed Timeout

（任意）TCP クローズド タイムアウトをイネーブルにします。

Specify TCP Embryonic Timeout

（任意）TCP 初期接続タイムアウトをイネーブルにします。

Specify TCP Idle Timeout

（任意）TCP アイドル タイムアウトをイネーブルにします。

Specify TCP Max MSS

（任意）TCP 最大 mss（最大セグメント サイズ）をイネーブルにします。

Specify TCP Max Queue

（任意）TCP 最大キューをイネーブルにします。

Specify TCP Min MSS

（任意）TCP 最小 mss をイネーブルにします。

Specify TCP Option Number

（任意）TCP オプション番号をイネーブルにします。

Protocol

このインスペクタの該当プロトコル。

TCP
UDP

Specify Query Chaos String

（任意）DNS クエリー クラスのカオス文字列をイネーブルにします。

query-chaos-string

Specify Query Class

（任意）クエリー クラスをイネーブルにします。

• [Query Class]：DNS クエリー クラス 2 バイト値

0 ～ 65535

Specify Query Invalid Domain Name

（任意）無効なドメイン名のクエリーをイネーブルにします。

• [Query Invalid Domain Name]：255 を超える DNS クエリー長

[Yes] | [No]

Specify Query Jump Count Exceeded

（任意）クエリー ジャンプ カウント超過をイネーブルにします。

• [Query Jump Count Exceeded]：DNS 圧縮カウンタ

[Yes] | [No]

Specify Query Opcode

（任意）クエリー命令コードをイネーブルにします。

• [Query Opcode]：DNS クエリー命令コードの 1 バイト値

0 ～ 65535

Specify Query Record Data Invalid

（任意）無効なレコード データのクエリーをイネーブルにします。

• [Query Record Data Invalid]：不完全な DNS レコード データ

[Yes] | [No]

Specify Query Record Data Length

（任意）クエリー レコード データ長をイネーブルにします。

• [Query Record Data Length]：DNS 応答レコード データ長

0 ～ 65535

Specify Query Src Port 53

（任意）クエリー送信元ポート 53 をイネーブルにします。

• [Query Src Port 53]：DNS パケットの送信元ポート 53

[Yes] | [No]

Specify Query Stream Length

（任意）クエリー ストリーム長をイネーブルにします。

• [Query Record Data Length]：DNS パケット長

0 ～ 65535

Specify Query Type

（任意）クエリー タイプをイネーブルにします。

• [Query Type]：DNS クエリー タイプの 2 バイト値

0 ～ 65535

Specify Query Value

（任意）クエリー値をイネーブルにします。

• [Query Value]：クエリー 0、応答 1

[Yes] | [No]

Direction

トラフィックの方向。

• サービス ポートからクライアント ポート宛のトラフィック。

• クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

FTP Inspection Type

実行する検査のタイプ：

• FTP port コマンド内の無効なアドレスを検索します。

• FTP port コマンド内の無効なポートを検索します。

• PASV ポート スプーフィングを検索します。

Invalid Address in PORT Command
Invalid Port in PORT Command
PASV Port Spoof

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 6553511
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Specify Dst Port

（任意）宛先ポートをイネーブルにします。

• [Dst Port]：シグニチャの該当宛先ポート。

0 ～ 65535

Specify IP Protocol

（任意）IP プロトコルをイネーブルにします。

• [IP Protocol]：インスペクタが検査する IP プロトコル。

0 ～ 255

Specify Payload Source

（任意）ペイロード送信元の検査をイネーブルにします。

• [Payload Source]：次のタイプのペイロード送信元検査

– ICMP データの検査

– レイヤ 2 ヘッダーの検査

– レイヤ 3 ヘッダーの検査

– レイヤ 4 ヘッダーの検査

– TCP データの検査

– UDP データの検査

ICMP Data
12 Header
13 Header
14 Header
TCP Data
UDP Data

Specify Src Port

（任意）送信元ポートをイネーブルにします。

• [Src Port]：シグニチャの該当送信元ポート。

0 ～ 65535

Specify Regex String

ポリシー タイプが [regex] の場合に検索する正規表現。

• 単独の TCP パケット内での検索に使用する正規表現。

• （任意）使用する最小一致長をイネーブルにします。

一致と見なされるために必要な正規表現の最小一致長です。

Regex String
Specify Min Match Length

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Message Type

シグニチャを適用する H225 メッセージのタイプ。

• SETUP

• ASN.1-PER

• Q.931

• TPKT

asn.1-per
q.931
setup
tpkt

Policy Type

シグニチャを適用する H225 ポリシーのタイプ：

• フィールド長を検査する。

• 存在を検査する。

特定のフィールドがメッセージ内に存在する場合は、アラートが送信されます。

• 正規表現を検査する。

• フィールドの妥当性を検査する。

• 値を検査する。

TPKT シグニチャの場合、[regex] と [presence] は有効な値ではありません。

length
presence
regex
validate
value

Specify Field Name

（任意）フィールド名の使用をイネーブルにします。SETUP および Q.931 メッセージ タイプのみで有効です。このシグニチャを適用するフィールド名のドット付き表記を指定します。

• [Field Name]：検査するフィールドの名前。

1 ～ 512

Specify Invalid Packet Index

（任意）ASN と TPKT 固有のエラー、および固定マッピングを持つその他のエラーで使用する無効なパケット インデックスをイネーブルにします。

• [Invalid Packet Index]：無効なパケット インデックスを検査します。

0 ～ 255

Value Range Regex String

ポリシー タイプが [regex] の場合に検索する正規表現。TPKT シグニチャには設定しないでください。

• 単独の TCP パケット内での検索に使用する正規表現。

• （任意）使用する最小一致長をイネーブルにします。

一致と見なされるために必要な正規表現の最小一致長です。TPKT シグニチャには設定しないでください。

Regex String
Specify Min Match Length

Specify Value Range

長さまたは値ポリシー タイプ（0x00 ～ 6535）で有効です。その他のポリシー タイプの場合は無効です。

• [Value Range]：値の範囲。

0 ～ 6553512
a-b

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

De Obfuscate

検索の前に反回避解読を適用します。

[Yes] | [No]

Max Field Sizes

最大フィールド サイズ グループ。

--

Specify Max Arg Field Length

（任意）引数フィールドの最大長をイネーブルにします。

• [Max Arg Field Length]：引数フィールドの最大長。

0 ～ 65535

Specify Max Header Field Length

（任意）ヘッダー フィールドの最大長をイネーブルにします。

• [Max Header Field Length]：ヘッダー フィールドの最大長。

0 ～ 65535

Specify Max Request Field Length

（任意）要求フィールドの最大長をイネーブルにします。

• [Max Request Field Length]：要求フィールドの最大長。

0 ～ 65535

Specify Max URI Field Length

（任意）[URI] フィールドの最大長をイネーブルにします。

• [Max URI Field Length]：[URI] フィールドの最大長。

0 ～ 65535

Regex

正規表現グループ。

--

Specify Arg Name Regex

（任意）特定の正規表現の [Arguments] フィールドの検索をイネーブルにします。

• [Arg Name Regex]：[HTTP Arguments] フィールドで検索する正規表現（? の後およびコンテンツ長で定義されているエンティティ本体の中）。

--

Specify Header Regex

（任意）特定の正規表現の [Header] フィールドの検索をイネーブルにします。

• [Header Regex]：[HTTP Header] フィールドで検索する正規表現。

ヘッダーは、最初の CRLF の後ろから定義され、CRLFCRLF まで続きます。

--

Specify Request Regex

（任意）特定の正規表現の [Request] フィールドの検索をイネーブルにします。

• [Request Regex]：[HTTP URI] フィールドと [HTTP Argument] フィールドの両方で検索する正規表現。

• [Specify Min Request Match Length]：要求の最小一致長の設定をイネーブルにします。

0 ～ 65535

Specify URI Regex

（任意）[HTTP URI] フィールドで検索する正規表現。[URI] フィールドは、HTTP メソッド（たとえば、GET）の後ろで、最初の CRLF の前まで定義されます。正規表現は保護されています。つまり、値は変更できません。

[/¥¥][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][.]jpeg

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 6553513
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Inspection Type

実行する検査のタイプ：

• [Has Newline]：ペイロードの終端しない改行を検査します。

• [Has Bad Port]：ペイロードの不正なポートを検査します。

• [Payload Size]：このサイズよりも長いペイロード長を検査します。

--

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 6553514
a-b[,c-d]

Direction

トラフィックの方向：

• サービス ポートからクライアント ポート宛のトラフィック。

• クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Protocol

このインスペクタの該当プロトコル。

• [Type]：UDP または TCP

TCP
UDP

Specify Flags

設定するフラグ

• MSRPC TCP フラグ

• MSRPC TCP フラグ マスク

Concurrent Execution
Did Not Execute
First Fragment
Last Fragment
Maybe Semantics
Object UUID
Pending Cancel
Reserved

Specify Operation

（任意）MSRPC 動作の使用をイネーブルにします。

• [Operation]：要求する MSRPC 動作。

SMB_COM_TRANSACTION コマンドに必要です。完全一致。

0 ～ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Specify Regex String

（任意）正規表現文字列の使用をイネーブルにします。

• [Specify Exact Match Offset]：完全一致オフセットをイネーブルにします。

– [Exact Match Offset]：一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

• [Specify Min Match Length]：最小一致長をイネーブルにします。

– [Min Match Length]：正規表現文字列が一致する必要があるバイトの最小数。

0 ～ 65535

Specify UUID

（任意）UUID をイネーブルにします。

• [UUID]：[MSRPC UUID] フィールド

000001a000000000c000000000000046

Password Present

MS SQL ログインでパスワードが使用されたかどうか。

[Yes] | [No]

Specify SQL Username

（任意）SQL ユーザ名の使用をイネーブルにします。

• [SQL Username]：MS SQL サービスにログインするユーザのユーザ名（完全一致）。

sa

Inspection Type

実行する検査のタイプ。

Inspect NTP Packets

NTP パケットを検査します。

• [Control Opcode]：RFC1305 の付録 B に基づく NTP 制御パケットの命令コード番号。

• [Max Control Data Size]：制御パケットで送信されるデータの最大許容量。

• [Operation Mode]：RFC 1305 に基づく NTP パケットの動作モード。

0 ～ 65535

IS Invalid Data Packet

無効な NTP データ パケットを検索します。NTP データ パケットの構造を調べ、サイズが正しいことを確認します。

[Yes] | [No]

Is Non NTP Traffic

NTP ポートの非 NTP パケットをチェックします。

[Yes] | [No]

Direction

トラフィックの方向。

• サービス ポートからクライアント ポート宛のトラフィック。

• クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Protocol

該当プロトコル。

TCP
UDP

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 6553515
a-b[,c-d]

Specify Regex String

（任意）正規表現文字列の使用をイネーブルにします。

• [Specify Exact Match Offset]：完全一致オフセットをイネーブルにします。

– [Exact Match Offset]：一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

• [Specify Min Match Length]：最小一致長をイネーブルにします。

– [Min Match Length]：正規表現文字列が一致する必要があるバイトの最小数。

0 ～ 65535

Specify Spoof Src

（任意）スプーフィングの送信元アドレスをイネーブルにします。

• [Is Spoof Src]：送信元アドレスが 127.0.0.1 の場合にアラートを起動します。

[Yes] | [No]

Specify Port Map Program

（任意）ポートマッパー プログラムをイネーブルにします。

• [Port Map Program]：シグニチャのポートマッパーに送信されたプログラム番号。

0 ～ 9999999999

Specify RPC Max Length

（任意）RPC 最大長をイネーブルにします。

• [RPC Max Length]：RPC メッセージ全体の最大許容長。長さが指定した値より長いとアラートを起動します。

0 ～ 65535

Specify RPC Procedure

（任意）RPC プロシージャをイネーブルにします。

• [RPC Procedure]：シグニチャの RPC プロシージャ番号。

0 ～ 1000000

Specify RPC Program

（任意）RPC プログラムをイネーブルにします。

• [RPC Program]：シグニチャの RPC プログラム番号。

0 ～ 1000000

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 65535
a-b[,c-d] 16

Specify Command

（任意）SMB コマンドをイネーブルにします。

• [Command]：SMB コマンドの値。完全に一致する必要があります。SMB パケットのタイプを定義します。17

0 ～ 255

Specify Direction

（任意）トラフィック方向をイネーブルにします。

• [Direction]：トラフィックの方向を指定できます。

– [from-service]：サービス ポートからクライアント ポート宛のトラフィック。

– [to-service]：クライアント ポートからサービス ポート宛のトラフィック。

from service
to service

Specify Operation

（任意）MSRPC over SMB をイネーブルにします。

• [MSRPC Over SMB Operation]：SMB_COM_TRANSACTION コマンドに使用します。完全に一致する必要があります。

0 ～ 65535

Specify Regex String

（任意）正規表現文字列の検索をイネーブルにします。

• [Regex String]：単一の TCP パケット内で検索する正規表現。

Specify Exact Match Offset

（任意）完全一致オフセットをイネーブルにします。

• [Exact Match Offset]：一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

Specify Min Match Length

（任意）最小一致長をイネーブルにします。

• [Min Match Length]：正規表現文字列が一致する必要がある最小バイト数。

Specify Payload Source

（任意）ペイロード送信元をイネーブルにします。

• [Payload Source]：ペイロード送信元の検査。18

Specify Scan Interval

（任意）スキャン間隔をイネーブルにします。

• [Scan Interval]：アラート率の計算に使用される間隔（秒数）。

1 ～ 131071

Specify TCP Flags

（任意）TCP フラグをイネーブルにします。

• MSRPC TCP フラグ

• MSRPC TCP フラグ マスク

• concurrent execution

• did not execute

• first fragment

• last fragment

• maybe

• object UUID

• pending cancel

• reserved

Specify Type

（任意）MSRPC over SMB パケットのタイプをイネーブルにします。

• [Type]：MSRPC over SMB パケットの [Type] フィールド。

• [0] = 要求

• [2] = 応答

• [11] = バインド

• [12] = バインド応答

Specify UUID

（任意）UUID を経由した MSRPC をイネーブルにします。

• [UUID]：[MSRPC UUID] フィールド。

16 進数の 0 ～ 9、a ～ f、A ～ F で構成される 32 文字の文字列。

Specify Hit Count

（任意）ヒット カウントをイネーブルにします。

• [Hit Count]：scan-interval 内の発生回数のしきい値。この値を超えるとアラートが起動されます。

1 ～ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート（送信元および宛先）を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No]（デフォルト）。

[Yes] | [No]

Inspection Type

実行する検査のタイプ。

--

Brute Force Inspection

総当たり攻撃の試行を検査します。

• [Bruce Force Count]：総当たり攻撃と見なされる一意の SNMP コミュニティ名の数。

0 ～ 65535

Invalid Packet Inspection

SNMP プロトコル違反を検査します。

--

Non SNMP Traffic Inspection

UDP ポート 161 宛の非 SNMP トラフィックを検査します。

--

SNMP Inspection

SNMP トラフィックを検査します。

• [Specify Community Name] [yes | no]:

– [Community Name]：SNMP コミュニティ名（SNMP パスワード）を検索します。

• [Specify Object ID] [yes | no]:

– [Object ID]：SNMP オブジェクト ID を検索します。

community-name

object-id

Length Type

次の SSH 長さタイプのいずれかを検査します。

• [Key Length]：検査対象の SSH キーの長さ。

– [Length]：キーがこれより長い場合は、RSAREF オーバーフローが発生します。

• [User Length]：ユーザ長の SSH 検査。

– [Length]：キーがこれより長い場合は、RSAREF オーバーフローが発生します。

0 ～ 65535

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ～ 6553519
a-b[,c-d]

Specify Packet Depth

（任意）パケット数をイネーブルにします。

• [Packet Depth]：セッション キーが失われたと判断するまでにモニタするパケット数。

0 ～ 65535

Direction

トラフィックの方向。

• サービス ポートからクライアント ポート宛のトラフィック。

• クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Type Frame Type

TNS フレーム値のタイプを指定します。

• [1]：接続

• [2]：受け入れ

• [4]：拒否

• [5]：リダイレクト

• [6]：データ

• [11]：再送信

• [12]：マーカー

1
2
4
5
6
11
12

Specify Regex String

（任意）正規表現文字列の使用をイネーブルにします。

• [Specify Exact Match Offset]：完全一致オフセットをイネーブルにします。

– [Exact Match Offset]：一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

• [Specify Min Match Length]：最小一致長をイネーブルにします。

– [Min Match Length]：正規表現文字列が一致する必要があるバイトの最小数。

0 ～ 65535

Specify Regex Payload Source

検査するプロトコルを指定します。

• [Payload Source]

– [TCP Data]：TCP パケットのデータ部分に対して正規表現を実行します。

– [TNS Data]：すべての空白が削除されている TNS データに対してのみ正規表現を実行します。

TCP
TNS