侵入ポリシー

次のトピックでは、侵入ポリシーと密接に関連付けられているネットワーク分析ポリシー(NAP)について説明します。侵入ポリシーには、脅威についてトラフィックをチェックし、攻撃が判明したトラフィックをブロックするルールが含まれます。ネットワーク分析ポリシーは、トラフィックを正規化してプロトコルの異常を識別することによってさらに検査するためにトラフィックの準備を行う、トラフィックの前処理を制御します。

前処理と侵入検査を非常に密接に関連しているため、1 つのパケットを調べるネットワーク分析と侵入ポリシーはお互いを補完する必要があります。

侵入ポリシーとネットワーク分析ポリシーについて

ネットワーク分析ポリシーと侵入ポリシーは、共同で侵入の脅威を検出し、防ぎます。

  • ネットワーク分析ポリシー(NAP)では、トラフィックの復号および前処理の方法について、特に侵入の試行を示す可能性がある異常なトラフィックをさらに評価できるよう、制御します。

  • 侵入ポリシーでは、侵入ルールと呼ばれる侵入やプリプロセッサのルールを使用し、パターンに基づいて攻撃がないかデコードされたパケットを調べます。ルールでは、脅威となるトラフィックを防いで(ドロップして)イベントを生成したり、単に検出(警告)してイベントの生成のみを行うことができます。

システムがトラフィックを分析するとき、ネットワーク分析の復号および前処理のフェーズは、侵入防御のフェーズより前に、個別に発生します。ネットワーク分析ポリシーと侵入ポリシーは、共同で広範かつ深いパケット検査を提供します。これらによって、ホストとそのデータの可用性、整合性、および機密性を脅かす可能性があるネットワーク トラフィックを検出、警告し、保護することができます。

システム定義のネットワーク分析および侵入ポリシー

システムには、相互に補完して動作する、同じ名前のネットワーク分析と侵入ポリシーのいくつかのペアが含まれています。たとえば [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] という名前の NAP と侵入ポリシーの両方があり、一緒に使用されることを意図しています。システム提供のポリシーは、Cisco Talos Intelligence Group(Talos)によって設定されます。これらのポリシーに対して Talos は侵入とプリプロセッサルールの状態を設定し、プリプロセッサの最初の設定とその他の高度な設定を行います。

新たな脆弱性が既知になると、Talos は侵入ルールの更新をリリースします。これらのルールの更新により、システム提供のネットワーク分析や侵入のポリシーを変更でき、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更された状態、変更されたデフォルトのポリシー設定を提供できます。ルールの更新はまた、システム提供のポリシーからルールを削除、新しいルールのカテゴリを提供、デフォルトの変数セットを変更することができます。

手動で、ルール データベースを更新したり、定期的な更新スケジュールを設定できます。有効にするには更新を展開する必要があります。システム データベースの更新についての詳細は、システム データベースの更新を参照してください。

次にシステム提供のポリシーについて示します。

[バランスのとれたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析と侵入ポリシー

これらのポリシーは、速度と検出の両方のために作成されています。これらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。[バランスのとれたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーがデフォルトとして使用されます。

[セキュリティよりも接続性を優先(Connectivity Over Security)] ネットワーク分析と侵入ポリシー

これらのポリシーは、接続性、すべてのリソースを取得する機能が、ネットワーク インフラストラクチャのセキュリティよりも優先されるネットワーク向けに作られています。この侵入ポリシーは、[接続性よりもセキュリティを優先(Security over Connectivity)] ポリシー内で有効になっているルールよりもはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールのみが有効にされます。

[接続性よりもセキュリティを優先(Security Over Connectivity)] ネットワーク分析と侵入ポリシー

これらのポリシーは、ネットワーク インフラストラクチャのセキュリティがユーザの利便性より優先されるネットワーク向けに作られています。侵入ポリシーは、正当なトラフィックでも警告やドロップすることがあるネットワーク異常侵入ルールを有効にします。

[最大検出(Maximum Detection)] ネットワーク分析と侵入ポリシー

これらのポリシーは、ネットワーク インフラストラクチャのセキュリティが、運用に対する影響が大きい、[接続性よりもセキュリティを優先(Security Over Connectivity)] ポリシーで考慮されるセキュリティよりもさらに重視されるネットワーク向けに作られています。たとえば、侵入ポリシーは、マルウェア、エクスプロイト キット、従来の一般的な脆弱性、および既知の in-the-wild エクスプロイトを含むさまざまな脅威カテゴリでルールを有効化します。

検査モード:防御と検出

デフォルトでは、侵入防御システム(IPS)を実装するため、すべての侵入ポリシーが防御モードで動作します。防御インスペクションモードでは、トラフィックを切断するアクションの侵入ルールと接続が一致する場合、接続は能動的にブロックされます。

代わりに、ネットワーク上で侵入ポリシーの影響をテストするには、侵入検知システム(IDS)を実装する「検出」にモードを変更します。このインスペクションモードでは、ドロップルールはアラートルールと同様に扱われます。この場合、一致する接続が通知されますが、アクションの結果がブロックされ、実際に接続がブロックされることはありません。

侵入ポリシーごとにインスペクションモードを変更するため、防御と検出を混在させることができます。

Snort 3 ネットワーク分析ポリシー(NAP)にもインスペクションモードがあります。侵入ポリシーとは異なり、NAP ポリシーはグローバルであるため、すべての NAP 処理を防御モードまたは検出モードで実行する必要があります。侵入ポリシーに使用するのと同じモードを使用する必要があります。防御ポリシーと検出ポリシーが混在している場合は、最も制限の厳しい侵入ポリシーに一致するように [防御(Prevention)] を選択します。

侵入とプリプロセッサのルール

侵入ルールとは、ネットワーク内の脆弱性を不正利用する試みを検出するためにシステムが使用する、指定されたキーワードと引数のセットのことです。システムは、ネットワーク トラフィックを分析し、各ルールで指定された基準でパケットを比較し、データ パケットがルールで指定されたすべての基準を満たしている場合、ルールがトリガーされます。

システムには、Cisco Talos Intelligence Group(Talos)によって作成された次のタイプのルールが含まれています。

  • 侵入ルール。共有オブジェクト ルールおよび標準のテキスト ルールに細分される

  • プリプロセッサ ルール。プリプロセッサと、ネットワーク分析ポリシーのパケット デコーダ検出オプションが関連付けられたルール。デフォルトではほとんどのプリプロセッサ ルールは無効です。

ここでは、侵入ルールについてより詳細に説明します。

侵入ルールの属性

侵入ポリシーを表示すると、脅威を特定するために利用できるすべての侵入ルールのリストが示されます。

各ポリシーのルールのリストは同じです。異なる点は、各ルールに設定されたアクションです。30,000 を超えるルールがあるため、リスト全体をスクロールするには時間がかかります。ルールは、リストをスクロールしていくと順に表示されます。

次に、各ルールを定義する属性を示します。

> (シグニチャの説明)

左の列の [>] ボタンをクリックして、署名の説明を開きます。説明は、トラフィックとルールを照合するために、Snort インスペクション エンジンによって使用されます。コードの説明はこのドキュメントの範囲外ですが、『Management Center Configuration Guide』で詳しく説明しています。http://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html からご使用のソフトウェアのバージョン用のブックを選択してください。侵入ルールの編集についての情報を探します。

署名には、特定の項目の変数が含まれています。詳細については、デフォルトの侵入変数セットを参照してください。

GID

ジェネレータ識別子(ID)。この数は、ルールを評価し、イベントを生成する、システム コンポーネントを示します。1 は標準テキスト侵入ルール、3 は共有オブジェクト侵入ルールを示します(これらのルールタイプの違いは Device Manager ユーザーにとって意味はありません)。これらは、侵入ポリシーを設定するときに対象となる主なルールです。その他の GID の詳細については、ジェネレータ識別子を参照してください。

SID

Snort 識別子(ID)。署名 ID とも呼ばれます。1000000 より小さい Snort ID が Cisco Talos Intelligence Group(Talos) によって作成されました。

アクション

選択した侵入ポリシーでのこのルールの状態。各ルールに対し、このポリシー内のルールのデフォルト アクションに「(デフォルト)」が追加されます。ルールをデフォルトの設定に戻すには、このアクションを選択します。設定できるアクションは次のとおりです。

  • アラート:このルールがトラフィックと一致するとイベントを作成しますが、接続はドロップしません。

  • ドロップ:このルールがトラフィックと一致するとイベントを作成し、接続をドロップします。

  • 無効:このルールではトラフィックは一致しません。イベントは生成されません。

メッセージ

これはルールの名前で、ルールによってトリガーされたイベントにも表示されます。メッセージは通常、署名が一致した脅威を識別します。それぞれの脅威の詳細についてインターネットで検索することができます。

デフォルトの侵入変数セット

侵入ルールの署名には、特定の項目の変数が含まれます。変数のデフォルト値を次に示します。$HOME_NET と $EXTERNAL_NET が最もよく使用される変数です。プロトコルはポート番号とは別々に指定されるため、ポート変数は数字のみです。

  • $DNS_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $EXTERNAL_NET = 任意の IP アドレス。

  • $FILE_DATA_PORTS = $HTTP_PORTS、143、110。

  • $FTP_PORTS = 21、2100、3535。

  • $GTP_PORTS = 3386、2123、2152。

  • $HOME_NET = 任意の IP アドレス。

  • $HTTP_PORTS = 次の番号の 144 個のポート:36、80 ~ 90、311、383、443、555、591、593、631、666、801、808、818、901、972、1158、1212、1220、1414、1422、1533、1741、1830、1942、2231、2301、2381、2578、2809、2980、3029、3037、3057、3128、3443、3507、3702、4000、4343、4848、5000、5117、5222、5250、5450、5600、5814、6080、6173、6767、6988、7000、7001、7005、7071、7080、7144、7145、7510、7770、7777 ~ 7779、8000、8001、8008、8014、8015、8020、8028、8040、8060、8080 ~ 8082、8085、8088、8118、8123、8161、8180 ~ 8182、8222、8243、8280、8300、8333、8344、8400、8443、8500、8509、8787、8800、8888、8899、8983、9000、9002、9060、9080、9090、9091、9111、9290、9443、9447、9710、9788、9999、10000、11371、12601、13014、15489、19980、23472、29991、33300、34412、34443、34444、40007、41080、44449、50000、50002、51423、53331、55252、55555、56712。

  • $HTTP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $ORACLE_PORTS = 任意

  • $SHELLCODE_PORTS = 180。

  • $SIP_PORTS = 5060、5061、5600

  • $SIP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $SMTP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $SNMP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $SQL_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $SSH_PORTS = 22。

  • $SSH_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

  • $TELNET_SERVERS = $HOME_NET(任意の IP アドレスを示します)。

ジェネレータ識別子

ジェネレータ識別子(GID)は、侵入ルールを評価し、イベントを生成するサブシステムを識別します。標準のテキスト侵入ルールのジェネレータ ID は 1、共有オブジェクト侵入ルールのジェネレータ ID は 3 です。また、各種プリプロセッサに対して複数のルール セットがあります。次の表で、GID について説明します。

表 1. ジェネレータ ID

ID

コンポーネント

1

標準テキスト ルール

2

タグ付きパケット

(タグ付きセッションからパケットを生成するタグ ジェネレータのルール。)

3

共有オブジェクト ルール

102

HTTP デコーダ

105

バック オリフィス探知機

106

RPC デコーダ

116

パケット デコーダ

119、120

HTTP インスペクト プリプロセッサ。

(GID 120 ルールは、サーバ固有の HTTP トラフィックに関連しています)。

122

ポートスキャン ディテクタ

123

IP 最適化

124

SMTP デコーダ

(SMTP 動詞に対するエクスプロイト。)

125

FTP デコーダ

126

Telnet デコーダ

128

SSH プリプロセッサ

129

ストリーム プリプロセッサ

131

DNS プリプロセッサ

133

DCE/RPC プリプロセッサ

134

ルール遅延、パケット遅延

(これらのルールのイベントは、ルール遅延中断(SID 1)または侵入ルールのグループの再有効化(SID 2)のとき、またはパケット遅延のしきい値を超えた(SID 3)ためにシステムがパケットの検査を中止したときに生成されます)。

135

レートベースの攻撃ディテクタ

(ネットワーク上のホストへの過剰な接続。)

137

SSL プリプロセッサ

138、139

機密データ プリプロセッサ

140

SIP プリプロセッサ

141

IMAP プリプロセッサ

142

POP プリプロセッサ

143

GTP プリプロセッサ

144

Modbus プリプロセッサ

145

DNP3 プリプロセッサ

ネットワーク分析ポリシー

ネットワーク分析ポリシーはトラフィック前処理を制御します。プリプロセッサは、トラフィックを正規化し、プロトコル異常を識別することにより、トラフィックがさらに検査されるように準備します。ネットワーク分析関連の前処理が行われるのは、セキュリティ インテリジェンスによるドロップと SSL 復号の後ですが、アクセス制御と侵入またはファイル検査の前です。

デフォルトでは、システムは [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] ネットワーク分析ポリシーを使用して、アクセス制御ポリシーによって処理されるすべてのトラフィックを前処理します。ただし、アクセス制御ルールで侵入ポリシーを設定する場合、システムは、適用される最も積極的な侵入ポリシーに一致するネットワーク分析ポリシーを使用します。たとえば、アクセス制御ルールで [接続性よりセキュリティを優先(Security over Connectivity)] ポリシーと [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] ポリシーの両方を使用する場合、システムはすべてのトラフィックに対して [接続性よりセキュリティを優先(Security over Connectivity)] NAP を使用します。Snort 3 カスタム侵入ポリシーの場合、この割り当ては、侵入ポリシーに割り当てられた基本テンプレートポリシーに従って行われます。

Snort 3 を使用している場合、ポリシーを明示的に選択し、オプションで設定をカスタマイズできます。侵入ポリシーを直接使用するか、カスタム侵入ポリシーのベースポリシーとして使用するかにかかわらず、デバイスを通過するほとんどのトラフィックに使用する侵入ポリシーと名前が一致するポリシーを選択することを推奨します。その後、インスペクションモードを変更したり、ネットワーク上のトラフィックを考慮して特定のインスペクタまたはバインダ設定を調整したりできます。

さらに、侵入ポリシーでプリプロセッサルールを有効にしているかどうかも考慮します。プリプロセッサを必要とするルールを有効にする場合は、NAP で対応するインスペクタも有効にしてください。インスペクタごとに、検査対象のポート(バインダ)を含むインスペクタの属性を調整して、ネットワークのインスペクタの動作もカスタマイズできます。

侵入ポリシーのためのライセンス要件

アクセス制御ルールの侵入ポリシーを適用するには、IPS ライセンスを有効にする必要があります。ライセンスの設定については、オプション ライセンスのイネーブル化とディセーブル化を参照してください。

ネットワーク分析ポリシーには追加ライセンスは必要ありません。

アクセス制御ルールでの侵入ポリシーの適用

侵入ポリシーをネットワーク トラフィックに適用するには、トラフィックを許可するアクセス制御ルール内でポリシーを選択します。侵入ポリシーを直接指定しません。

保護するネットワークの相対的なリスクに基づいた可変の侵入保護を提供する別の侵入のポリシーを割り当てることができます。たとえば、内部ネットワークと外部ネットワーク間のトラフィックには、より厳しい「接続性よりもセキュリティを優先」ポリシーを使用する場合があります。一方で、内部ネットワーク間のトラフィックに対しては、より緩やかな「セキュリティよりも接続性を優先」ポリシーを適用する場合があります。

また、すべてのネットワークに対して同じポリシーを使用することで、構成を簡略化することもできます。たとえば、「バランスのとれたセキュリティと接続性」ポリシーは、接続に過度に影響を与えずに良好な保護を提供するための設計です。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] の順に選択します。

ステップ 2

トラフィックを許可する、新しいルールを作成するか、既存のルールを編集します。

既定のアクションを許可する場合は、既定のアクションで侵入ポリシーを指定することもできます。

トラフィックを信頼またはブロックするルールに侵入ポリシーを適用することはできません。

ステップ 3

[侵入ポリシー(Intrusion Policy)] タブをクリックします。

ステップ 4

[侵入ポリシー(Intrusion Policy)] > [On] を選択し、トラフィックの照合に使用する侵入検査ポリシーを選択します。

侵入イベントの Syslog の設定

侵入ポリシーの外部 syslog サーバを設定して Syslog サーバに侵入イベントを送信できます。サーバに送信される侵入イベントを取得するために侵入ポリシーで Syslog サーバを設定する必要があります。アクセス ルールで syslog サーバを設定し、侵入イベントではなく、接続イベントのみ syslog サーバに送信します。

複数の syslog サーバを選択する場合、イベントは各サーバに送信されます。

侵入イベントのメッセージ ID は 430001 です。

手順

ステップ 1

[ポリシー] > [侵入]の順に選択します。

ステップ 2

[侵入ポリシーの設定(Intrusion Policy Settings)] ボタン(歯車/設定] をクリックします。)をクリックして syslog を設定します。

ステップ 3

[侵入イベント送信先(Send Intrusion Events To)] の下にある [+] ボタンをクリックして、syslog サーバを定義するサーバオブジェクトを選択します。必要なオブジェクトが存在しない場合は、[新しい Syslog サーバの作成(Create New Syslog Server)] をクリックして作成します。

ステップ 4

[OK] をクリックします。

ネットワーク分析ポリシーの設定(Snort 3)

ネットワーク分析ポリシー(NAP)は、デバイスで許可されているすべての接続に適用されます。NAP は、有効になっているインスペクタと、インスペクタで使用される属性の値を決定します。バインダは、さまざまなインスペクタに関連付ける必要があるポートとプロトコルを決定します。

アクセス制御ルールで適用する侵入ポリシーと NAP を調整します。

  • アクセス制御ルールで単一の侵入ポリシーを使用する場合は、同じ名前の NAP を選択します。次に、侵入ポリシーの設定に基づいてインスペクタと属性を調整します。たとえば、CIP などの特定のインスペクタに対して侵入ルールを有効にする場合は、NAP でそのインスペクタを有効にしてください。

  • 複数の侵入ポリシーを使用する場合は、使用する最も厳密な侵入ポリシーに一致する NAP を選択します。

  • カスタム侵入ポリシーを使用する場合は、カスタム侵入ポリシーの基本侵入ポリシーに基づいて NAP を選択します。

  • インスペクタやバインダをカスタマイズする必要がない場合は、侵入ポリシーの使用に基づいて最適な NAP を自動的に選択するようにシステムを設定することを検討してください。これがデフォルトのオプションです。

始める前に

これを防止しない限り、システムは定期的にインスペクションルールに LSP の更新をダウンロードします。LSP の更新では、インスペクタと属性を追加または削除したり、属性のデフォルト設定を変更したりできます。削除されたインスペクタをオーバーライドした場合、それらのオーバーライドは保持され、インスペクタがサポートされなくなったことを示す警告が表示されます。この場合、インスペクタを削除し、その他のフラグ付き調整を行って、NAP が完全に有効であることを確認します。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

テーブルの上に表示されている Snort のバージョンが 3.x であることを確認します。

ステップ 2

[侵入ポリシーの設定(Intrusion Policy Settings)](歯車/設定] をクリックします。)ボタンをクリックします。

ステップ 3

[デフォルトのネットワーク分析ポリシー(Default Network Analysis Policy)] で、次のいずれかを選択します。

  • [自動(Auto)]:アクセス制御ルールで適用される最も使用されている侵入ポリシー(またはカスタムルールの基本ポリシー)に一致する NAP を自動的に選択します。侵入ポリシーを適用しない場合は、Balanced SecurityおよびConnectivity NAPが使用されます。NAP は防御モードで実行され、侵入またはバインダの設定はカスタマイズできません。この手順の残りの部分は、自動モードで実行している場合は当てはまりません。

  • [カスタム(Custom)]:使用する NAP を明示的に選択します。別のポリシーを選択するには、ポリシー名の横にある [編集(Edit)] リンクをクリックします。次に、インスペクションモードを選択し、次の手順の説明に従い、インスペクタとバインダの設定をカスタマイズできます。

ステップ 4

[ネットワーク分析ポリシーの編集(Edit Network Analysis Policy)] ダイアログボックスで、ポリシーを選択し、設定を行います。

  1. [ネットワーク分析ポリシー(Network Analysis Policy)] で、許可されたすべての接続にグローバルに適用するポリシーを選択します。

  2. [インスペクションモード(Inspection Mode)] を選択します。

    インスペクションモードは、非準拠トラフィックの処理方法を決定します。最適な結果を得るには、侵入ポリシーで使用するものと同じインスペクションモードを使用します。

    • [防御(Prevention)]:ポリシーの設定に基づいて、デコーダ、正規化、またはプロトコルの異常をブロックします。SSL 復号ポリシーを有効にする場合またはアクセス コントロール ポリシー設定で [TLSサーバーアイデンティティ検出(TLS Server Identity Discovery)] オプションを有効にする場合は、このオプションを使用する必要があります。

    • [検出(Detection)]:デコーダ、正規化、またはプロトコルの異常についてアラートを発行するだけです。トラフィックはブロックしないでください。

  3. (任意)インスペクタとバインダへのオーバーライドを設定および管理します。

    • オーバーライドを編集するには、インスペクタおよびバインダオーバーライドの設定を参照してください。

    • スキーマまたはオーバーライドをダウンロードするには、オーバーライドとスキーマのダウンロードを参照してください。

    • オーバーライドをアップロードするには、オーバーライドのアップロードを参照してください。

    • すべてのオーバーライドをリセットするには、NAP ファイルの上にある [インスペクタ/バインダのオーバーライドのリセット(Reset Inspector/Binder Overrides)] リンクをクリックします。リセットの確認を求められます。コマンド名に示されているように、削除はインスペクタまたはバインダに限定されます。たとえば、すべてのバインダオーバーライドを削除しても、インスペクタオーバーライドは変更されません。

    • 選択したインスペクタに対するすべての変更を元に戻すには、[インスペクタをデフォルトにリセット(Reset Inspector to Defaults)] をクリックします。

    • オーバーライドがあるインスペクタだけが表示されるようにビューをフィルタ処理するには、[オーバーライドのみ表示(Show Only Overrides)] をクリックします。[すべてのインスペクタを表示(Show All Inspectors)] をクリックして、フィルタを削除します。

  4. [OK] をクリックします。

インスペクタおよびバインダオーバーライドの設定

基本 NAP を選択すると、その基準ポリシーに含まれるインスペクタ設定が選択されます。ほとんどの場合、これらは適切な設定です。

ただし、選択した NAP の設定はオーバーライドできます。たとえば、個々のインスペクタを有効または無効にしたり、属性やバインダの値を変更したりできます。

次の手順では、オーバーライドを直接設定する方法について説明します。または、スキーマをダウンロードし、オフラインで変更を行い、オーバーライドをアップロードできます。別のデバイスからダウンロードしたオーバーライドをアップロードすることもできます。

始める前に

各インスペクタ、バインダ、および属性の説明は、このドキュメントの範囲外です。例などの詳細については、https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/snort3-inspectors/snort-3-inspector-reference.html にある Snort 3 インスペクタリファレンス [英語] を参照してください。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択し、[侵入ポリシーの設定(Intrusion Policy Settings)] ボタン(歯車/設定] をクリックします。)をクリックし、NAP 設定に [カスタム(Custom)] を選択し、ポリシー名の横にある [編集(Edit)] リンクをクリックします。

ステップ 2

変更する設定を含むタブをクリックします。

  • [インスペクタ(Inspectors)]:インスペクタは、FTP などの特定のタイプのトラフィックについてプロトコル異常を検査します。

  • [バインダ(Binders)]:バインダインスペクタは、サービスインスペクタを使用してトラフィックを検査する必要があるタイミングを決定します。バインダインスペクタの設定には、ネットワーク分析ポリシーの別のインスペクタがトラフィックを検査する必要がある場合に定義するポート、ホスト、CIDR、およびサービスが含まれます。

ステップ 3

必要に応じて、設定を編集します。

  • JSON エディタで表示を制御するには、次を使用します。

    • JSON ファイルの全文検索を実行するには、[フィルタ(Filter)] 編集ボックスを使用します。

    • JSON ファイル内のすべてのフォルダを開くには、[すべてのフィールドを展開(Expand All Fields)] ボタン(すべてのフィールドを展開します)をクリックします。

    • JSON ファイル内のすべてのフォルダを閉じるには、[すべてのフィールドを折りたたむ(Collapse All Fields)](すべてのフィールドを折りたたみます)ボタンをクリックします。

    • 最新の変更を元に戻すには、[最後のアクションを元に戻す(Undo Last Action)](最後のアクションを元に戻します)ボタンをクリックします。

    • 最後に元に戻した変更をやり直すには、[やり直し(Redo)](やり直します)ボタンをクリックします。

    • [ツリー(Tree)] を選択すると、JSON ファイルのフォーマットビューが表示されます。このビューには、アクションメニュー、エラーフラグ、および編集をガイドするその他の機能が含まれています。

    • 未処理の JSON ファイルを表示するには、[コード(Code)] を選択します。

  • [ツリー(Tree)] ビューで、[メニュー(Menu)](JSON メニュー)ボタンをクリックしてファイルの内容を操作します。次の操作を実行できます。

    • 属性を挿入します。[自動(Auto)] を使用して、エディタに適切なデータ型を決定させます。それ以外の場合は、配列、オブジェクト、または文字列を追加します。無効な属性を追加すると、インスペクタまたはバインダに、解決する必要がある問題があることがマークされます。

    • 属性を追加します。このアクションは挿入と同じですが、属性をセクションの最後に配置します。

    • 選択した属性を複製します。

    • 選択した属性を削除します。属性を編集するときに、ポップアップメッセージに Delete コマンドが表示される場合もあります。

  • 現在無効になっているインスペクタを有効にしたり、ブール属性の設定を変更したりするには、属性値の前にあるチェックボックスをクリックします。たとえば、インスペクタを有効にするには、enabled : false 属性を次のように変更します。


    true への設定が有効です。

  • 文字列または数値属性の値を変更するには、属性をクリックし、必要に応じて値を編集します。エントリがフィールドのルールに違反している場合は、エラーメッセージに不一致の説明が表示されます。たとえば、範囲外の値を入力した場合、有効な値の範囲が数値で示されます。

  • オーバーライドをリセットするには、次の手順を実行します。

    • [インスペクタ/バインダオーバーのライドのリセット(Reset Inspector/Binder Overrides)] をクリックして、すべてのインスペクタまたはバインダに対するすべての変更を削除し、デフォルト値に戻します。コマンド名に示されているように、削除はインスペクタまたはバインダに限定されます。たとえば、すべてのバインダオーバーライドを削除しても、インスペクタオーバーライドは変更されません。

    • [インスペクタをデフォルトにリセット(Reset Inspector to Defaults)] をクリックして、選択したインスペクタのみに対するすべての変更を元に戻します。

  • オーバーライドがあるインスペクタだけが表示されるようにビューをフィルタ処理するには、[オーバーライドのみ表示(Show Only Overrides)] をクリックします。[すべてのインスペクタを表示(Show All Inspectors)] をクリックして、フィルタを削除します。

  • インスペクタがサポートされなくなった場合、インスペクタにメッセージとともにフラグが付けられます。メッセージ内の [インスペクタの削除(Delete Inspector)] リンクをクリックして、インスペクタを削除します。

ステップ 4

完了したら、[OK] をクリックします。

オーバーライドとスキーマのダウンロード

NAP スキーマをダウンロードするか、ポリシーに設定したオーバーライドをダウンロードできます。

以前の設定に戻す場合に備えて、基本 NAP を変更するたびにオーバーライドをダウンロードすることをお勧めします。さらに、1 つのデバイスで JSON エディタを使用して、すべてのデバイスで使用するオーバーライドを実装し、オーバーライドをダウンロードして、そのオーバーライドファイルを他のデバイスにアップロードできます。

オフラインでファイルを編集し、このデバイスまたは複数のデバイスにオーバーライドをアップロードする場合は、スキーマをダウンロードすると便利です。ファイル全体をアップロードするのではなく、変更が必要なセクションのみをコピーして貼り付け、変更内容のみがオーバーライドと見なされるようにします。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択し、[侵入ポリシーの設定(Intrusion Policy Settings)] ボタン(歯車/設定] をクリックします。)をクリックし、NAP 設定に [カスタム(Custom)] を選択し、ポリシー名の横にある [編集(Edit)] リンクをクリックします。

ステップ 2

次のいずれかを実行します。

  • 現在選択されている NAP のスキーマをダウンロードするには、歯車アイコン(歯車/設定] をクリックします。)をクリックし、[ダウンロード(Download)] > [ポリシースキーマ(Policy Schema)] を選択します。

  • 現在の編集セッションの前に存在していた一連の保存済みオーバーライドをダウンロードするには、歯車アイコン(歯車/設定] をクリックします。)をクリックし、[ダウンロード(Download)] > [最後に保存されたオーバーライド(Last Saved Overrides)] を選択します。ファイルには、オーバーライドされた属性に加えて、属性に含まれるオブジェクトが含まれます。

  • 現在の編集セッションで作成したオーバーライドをダウンロードするには、歯車アイコン(歯車/設定] をクリックします。)をクリックし、[ダウンロード(Download)] > [現在未保存のオーバーライド(Current Unsaved Overrides)] を選択します。ファイルには、オーバーライドされた属性に加えて、属性に含まれるオブジェクトが含まれます。

オーバーライドのアップロード

組み込みの JSON エディタを使用して属性を編集する代わりに、NAP ポリシースキーマをダウンロードし、ファイルをオフラインで編集してから、ファイルをアップロードできます。アップロードしたファイルに設定されているオーバーライドは、選択した NAP に適用されます。

別のデバイスでオーバーライドを設定した後にダウンロードしたファイルもアップロードできます。

オーバーライドをアップロードすると、同じファイルを複数のデバイスにアップロードして、同じオーバーライドを簡単に適用できます。

始める前に

ネットワーク分析ポリシーでインスペクタ設定をオーバーライドするには、必要な変更のみをアップロードする必要があります。オーバーライドが本質的に困難になるため、設定全体をアップロードしないでください。したがって、LSP 更新の一部としてのデフォルト値や設定に対する後続の変更は適用されません。アップロードしたオーバーライドが、変更する属性だけに集中していることを確認します。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択し、[侵入ポリシーの設定(Intrusion Policy Settings)] ボタン(歯車/設定] をクリックします。)をクリックし、NAP 設定に [カスタム(Custom)] を選択し、ポリシー名の横にある [編集(Edit)] リンクをクリックします。

ステップ 2

歯車アイコン(歯車/設定] をクリックします。)をクリックし、[アップロード(Upload)] > [オーバーライド(Overrides)] を選択します。

ステップ 3

(任意)既存のオーバーライドのコピーを保存するには、[ダウンロード(Download)] リンクのいずれかをクリックします。

最後に保存されたオーバーライド(現在の編集セッションの前に作成されたオーバーライド)または現在未保存のオーバーライド(現在の編集セッション中に作成されたオーバーライド)をダウンロードできます。

ステップ 4

[アップロードのオーバーライドの確認(Confirm Upload Overrides)] ダイアログボックスで [はい(Yes)] をクリックして、続行することを確認します。

ステップ 5

[参照(Browse)] をクリックするか、ドラッグアンドドロップしてオーバーライドを含む JSON ファイルを選択し、[OK] をクリックします。

侵入ポリシーの管理(Snort 3)

Snort 3 を検査エンジンとして使用する場合は、独自の侵入ポリシーを作成し、それらを目的に応じてカスタマイズすることができます。システムには、同じ名前の Cisco Talos Intelligence Group(Talos) 定義のポリシーに基づく事前定義されたポリシーが付属しています。これらのポリシーを編集することもできますが、基盤となる Talos ポリシーに基づいて独自のポリシーを作成し、ルールアクションを調整する必要がある場合にはそれを変更することをお勧めします。

これらの各事前定義ポリシーには同じ侵入ルール(署名とも呼ばれます)のリストが含まれていますが、各ルールに対して実行する操作は異なります。たとえば、同じルールがあるポリシーでは有効になっているものの別のポリシーでは無効になっている可能性があります。

適用されている特定のルールであまりにも誤検出が多く、そのルールでブロックして欲しくないトラフィックがブロックされている場合、安全性の低い侵入ポリシーに切り替えることなく、ルールを無効にできます。または、トラフィックをドロップせずに、一致すると警告するように変更することもできます。

逆に、特定の攻撃に対して保護する必要があるにもかかわらず、関連するルールが選択した侵入ポリシーで無効になっている場合は、より安全なポリシーに変更せずに、ルールを有効にすることができます。

侵入に関連したダッシュボードおよびイベントビューアを使用して(いずれも[モニタリング]ページに存在)、侵入ルールがトラフィックに与えている影響を評価します。警告や削除に設定された侵入ルールに一致したトラフィックに対してのみ、侵入イベントや侵入データが表示されることに注意してください。無効になっているルールは評価されません。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

テーブルの上に表示されている Snort のバージョンが 3.x であることを確認します。

ステップ 2

次のいずれかを実行します。

カスタム侵入ポリシーの設定(Snort 3)

事前定義ポリシーがニーズに合わない場合は、新しい侵入ポリシーを作成してルールの動作をカスタマイズできます。一般に、事前定義ポリシーを変更するのではなく、事前定義ポリシーに基づいてカスタムポリシーを作成することをお勧めします。これにより、カスタマイズによって必要な結果が得られない場合に、Cisco Talos 定義のポリシーの一つを簡単に実装できます。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

次のいずれかを実行します。

  • 新しいポリシーを作成するには、[+] をクリックします。

  • 既存のポリシーを編集するには、そのポリシーの編集アイコン(edit icon)をクリックします。ポリシーの詳細が表示されたら、ページの上部にあるポリシープロパティのセクションの [編集(Edit)] リンクをクリックします。

ステップ 3

ポリシーの [名前(Name)] を入力し、必要に応じて、説明を入力します。

ステップ 4

ポリシーの [検査モード(Inspection Mode)] を設定します。

  • [防止(Prevention)] :侵入ルールのアクションが常に適用されます。切断ルールに一致する接続はブロックされます。

  • [検出(Detection)]:侵入ルールはアラートのみを生成します。切断ルールに一致する接続はアラート メッセージを生成しますが、接続はブロックされません。

ステップ 5

ポリシーの [基本テンプレート(Base Template)] を選択します。

基本テンプレートは Cisco Talos によって提供されます。ポリシーの詳細を表示するには、それぞれの情報アイコンをクリックします。新しいルールパッケージがインストールされると、ポリシー名が変更される場合があり、新しいポリシーも表示されることに注意してください。

  • [最大検出(Cisco Talos)]: このポリシーはセキュリティを最重要としています。ネットワーク接続とスループットは保証されず、誤検出が発生する可能性があります。このポリシーは、高度なセキュリティを要するエリアでのみ使用する必要があります。また、アラートを調査し、その有効性を判別できるように、セキュリティモニタを準備する必要があります。

  • [接続性よりもセキュリティを優先(Cisco Talos)]: このポリシーはセキュリティに重点を置いており、ネットワーク接続とスループットが犠牲になる場合があります。トラフィックはより綿密に検査され、より多くのルールが評価されるため、理に適った範囲内での、誤検出と遅延の増加の両方が予期されます。

  • [バランスのとれたセキュリティと接続性(Cisco Talos)]: (デフォルト)。このポリシーは、ネットワーク接続とスループット、およびとセキュリティのニーズの間の微妙なバランスを確立しようとします。このポリシーは、[接続性よりもセキュリティを優先]ほど厳格ではありませんが、通常のトラフィックの中断を減少させながら、ユーザのセキュリティを保持しようとします。

  • [セキュリティよりも接続性を優先(Cisco Talos)]: このポリシーは、ネットワーク接続とスループットに重点を置いており、セキュリティが犠牲になる場合があります。トラフィックは綿密に検査されず、評価されるルール数は少なくなります。

  • [アクティブなルールなし(Cisco Talos)]: このポリシーは、一般的なプリプロセッサ設定を指定する基本ポリシーですが、ルールや組み込みアラートは有効になっていません。適用するポリシーのみを有効にする場合は、このポリシーをベースとして使用します。

ステップ 6

[OK] をクリックします。

侵入ポリシーリストに戻ります。これで、新しいポリシーを表示し、必要に応じてルールアクションを調整することができます。

侵入ポリシーのプロパティの表示または編集(Snort 3)

[侵入ポリシー(Intrusion Policy)] ページには、事前定義されたポリシーとユーザ定義のポリシーの両方を含むポリシーのリストとその説明が表示されます。ポリシーを編集するには、まずポリシーのプロパティを表示する必要があります。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

ポリシーの編集アイコン(edit icon)をクリックします。

ポリシーには、次のセクションが含まれています。

  • [ポリシー名(Policy Name)] ドロップダウンリスト。

    • ドロップダウンリストから選択することで別のポリシーに簡単に切り替えたり、戻るボタン([仮想ルータに戻る(Go Back to Virtual Routers)] 矢印。)をクリックしてポリシーのリストに戻ることができます。

    • このポリシーを削除するには、ポリシー名の横にある削除アイコン(delete icon)をクリックします。

  • [一般プロパティ(General properties)]。このセクションには、侵入モード、基本ポリシー、および説明が示されます。これらのプロパティまたはポリシー名を変更するには、[編集(Edit)] をクリックします。

  • [ルールグループ(Rule Group)] の目次。このリストには、ポリシーにアクティブなルールがあるすべてのルールグループが表示されます。グループには階層があり、親グループには、より大きな親グループ内のルールのサブセットを編成する子グループが含まれます。各グループはルールの論理的な集合であり、特定のルールが複数のグループに含まれる場合があります。

    • 現在ポリシーにアクティブなルールがないグループを追加するには、[+][+] > [既存のルールグループの追加]をクリックして、そのグループを選択します。侵入ポリシーのルールグループの追加または削除(Snort 3)を参照してください。

    • グループのセキュリティレベルを変更するには、リストから子グループを選択します。ルールリストが変更され、セキュリティレベルが上部に表示され、グループ内のルールが下に一覧表示されます。セキュリティレベルの横にある [編集(Edit)] リンクをクリックし、新しいレベルを選択します。各セキュリティレベルに関する情報を取得するには、編集時に [説明の表示(View Description)] をクリックします。レベルを変更すると、アクティブなルールが(および特定のルールのアクションも)変更される可能性があることに注意してください。よりセキュアなレベルでは、アクティブなルールが多くなり、ドロップアクションを持つルールが多くなる傾向があります。[OK] をクリックして変更を確定します。(セキュリティレベルはカスタムルールグループには適用されません)。


      既存ルールグループのセキュリティレベルの変更。

    • グループ内のすべてのルールを削除するには、リストから子グループを選択します。次に、グループ名の右端にある [除外(Exclude)] リンクをクリックし、グループを除外することを確認します。グループを除外すると、グループ内のすべてのルールが無効になるだけです。グループは削除されません。

      ただし、グループに、有効になっている他のグループと共有しているルールが含まれている場合、共有ルールでは、現在もアクティブであるグループによって適用されるアクションがすべて保持されます。すべての場合において、グループメンバーシップに関係なく、個々のルールに対して最も積極的な設定が保持されます。

    • カスタムルールの新しいカスタムルールグループを追加するには、[+] > [カスタムルールのアップロード]をクリックします。詳細は、カスタム侵入ルールのアップロードを参照してください。

    • カスタムルールグループの名前または説明を変更するには、[編集]をクリックします。

    • カスタムルールグループを削除するには、[削除]をクリックします。詳細については、カスタム侵入ルールとルールグループの管理を参照してください。

    • カスタムルールグループに新しいカスタムルールを追加するには、ルールテーブルの上にある[+]をクリックします。個人のカスタム侵入ルールの設定を参照してください。

    • カスタムルールのグループメンバーシップを編集、複製、削除、または管理するには、ルールの右側にカーソルを合わせ、適切なボタンまたはコマンドをクリックします。詳細については、個人のカスタム侵入ルールの設定を参照してください。

  • [ルールのリスト(List of rules)]。検索フィールドを使用すると、全文検索でルールを検索できます。フィルタリング項目を選択して、GID または SID の任意の組み合わせで検索したり、(追加した)ユーザー定義のルールのみ表示したり、アクションがオーバーライドされたルールのみ表示したり、単にアクション(無効、アラート、ドロップ)に基づいてルールを表示したりもできます。ルールは遅延ロードされるため、フィルタ処理されていないリスト全体のスクロールにはかなりの時間がかかります。リストをフィルタ処理する場合は、更新ボタンをクリックして、フィルタ処理されたビューをリロードしてください。

    • ルールのアクションを変更するには、ルールの [アクション(Action)] セルをクリックし、新しいアクションを選択します。アラートのみにする場合は [アラート(Alert)]、一致するトラフィックをブロックする場合は [ブロック(Block)]、ルールを無効にする場合は [無効(Disable)] を選択してください。各ルールのデフォルトアクションが示されます。

    • 一度に複数のルールのアクションを変更するには、変更するルールの左の列にあるチェックボックスをクリックし、ルールテーブルの上にある[アクション]ドロップダウンリストから新しいアクションを選択します。GID:SID ヘッダーのチェックボックスをクリックしてリスト内のすべてのルールを選択します。最大 5000 のルールを一度に変更できます。

    • カスタムルールグループ内のルールを更新するには、[ルールファイルのアップロード]をクリックします。詳細については、カスタム侵入ルールのアップロードを参照してください。

    • ルールに関する詳細情報を取得するには、[GID:SID] セルのリンクをクリックします。リンクをクリックすると Snort.org に移動します。

    • 一覧表示されるルールを変更するには、ルールグループの目次から子グループ(親グループではなく)をクリックします。ルールグループリストの上部にある [すべてのルール(ALL RULES)] をクリックすると、すべてのルールのリストに戻ることができます。

    • ソート順序を変更するには、カラムのテーブルヘッダーをクリックします。ルールのデフォルトのソートは、上書きされたルール、ドロップルール、アラートルールの順です。

    • 侵入ルール(LSP)の更新で行われた変更を確認するには、[フィルタ(Filter)] フィールドで [LSPの更新(LSP Update)] を選択し、変更を表示する更新を選択し、すべての変更を表示するか、またはルールに対する追加や変更のみ表示するかを指定します。

侵入ポリシーのルールグループの追加または削除(Snort 3)

侵入ルールはローカルグループで編成されます。グループには階層があり、親グループには関連する子グループが含まれます。ルール自体は子グループにのみ表示されます。親グループは単に組織的な構成要素です。特定のルールが複数のグループに表示される場合があります。

作成したカスタムルールグループは、[ユーザ定義グループ]フォルダにあります。カスタムルールグループには階層がありません。

侵入ポリシーのルールを追加または削除する最も簡単な方法は、グループを追加または削除することです。グループ内のルールは論理的に関連しているため、高い確率で、特定のグループ内のすべてではないにしてもほとんどのルールを使用することになります。

次の手順では、グループを追加し、グループのセキュリティレベルを変更する方法について説明します。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

変更するポリシーの編集アイコン(edit icon)をクリックします。

ステップ 3

(グループの追加)ルールグループのリストにグループが表示されない場合は、[+] [+] > [既存のルールグループの追加]をクリックして、次の手順を実行します。

  1. 子グループを検索します。

    • 親グループ名の横のチェックマークは、その親グループに含まれるすべての子グループがすでに選択されていることを示します。

    • 親グループ名の横のマイナス記号は、1 つ以上の子グループがこのポリシーに対して有効なルールを持っていないことを示します。これらは追加できるグループです。

    • 子グループ名の横のチェックマークは、そのグループがすでに選択されていることを示します。

  2. 追加するグループを選択します(チェックボックスをオンにする)。

  3. (オプション、カスタムルールグループには適用されません) 各グループには、カスタムポリシーに使用される基本ポリシーに応じたデフォルトのセキュリティレベルがあります。変更する場合は、セキュリティレベルのアイコンをクリックし、新しいレベルを選択して、[OK] をクリックします。

    レベル 1 は最も安全性の低いセキュリティ態勢であり、セキュリティよりも接続性が重視されます。一方、レベル 4 は最も積極的なセキュリティ態勢であり、最大のセキュリティを提供します。[説明の表示(View Description)] をクリックすると、選択した各レベルの説明が表示されます。


    ルールグループを追加する際のセキュリティレベルの変更。

  4. すべての変更が完了するまで、グループの選択(または選択解除)を続けます。

  5. [OK] をクリックします。

ステップ 4

(グループの削除)グループに含まれるすべてのルールを無効にするには、次のいずれかの方法を使用できます。

  • ルールのリストの上で、グループを選択し、グループ名の右端にある [除外(Exclude)] リンクをクリックします。

  • グループを追加する手法を使用しますが、代わりに、不要なグループの選択を解除し(チェックボックスをオフする)、[OK] をクリックします。

  • カスタムルールグループを削除して、システムおよびそのルールを使用するすべての侵入ポリシーから完全に削除できます。グループを選択してから、[削除]をクリックします。

侵入ルールのアクションの変更(Snort 3)

各侵入ポリシーには同じルールがあります。違いは、各ルールで取られるアクションがポリシーごとに異なる場合があることです。

ルールアクションを変更して、誤検出が多すぎるルールを無効にすることができます。またはルールが、一致するトラフィックのアラートを発するか、そのトラフィックを切断するかどうかを変更できます。また、無効になっているルールを有効にして、一致するトラフィックをアラートまたは切断することもできます。

ルールアクションを変更する最も簡単な方法は、ルールグループのセキュリティレベルを変更することです。グループのセキュリティレベルを変更すると、グループ内のルールのアクションが変更されます。選択するセキュリティ態勢により、これが一部のルールを有効(または無効)にすることを意味する場合もあれば、アクションがアラートとドロップの間で変化する場合もあります。ただし、必要に応じて、個々のルールアクションを変更できます。


(注)  

特定のルールのデフォルトアクションは、グループとシビラティ(重大度)の全体的な選択に基づいて決まります。グループのシビラティ(重大度)を変更したり、グループを除外したりすると、ルールのデフォルトアクションが変化する場合があります。

始める前に

カスタムルールグループにはセキュリティレベルがありません。セキュリティレベルの手法を使用して、カスタムルールのルールアクションを変更することはできません。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

ルールアクションを変更するポリシーの表示アイコン({2}{3}設定の表示ボタン。{3}{2})をクリックします。

ステップ 3

(推奨される方法)グループのセキュリティレベルを変更します。

  1. ルールグループリストの子ルールグループをクリックします。

  2. ルールのリストの上で、グループのセキュリティレベルの横にある [編集(Edit)] をクリックします。


    既存ルールグループのセキュリティレベルの変更。

    (注)  

     

    グループ内のすべてのルールを無効にする場合は、[編集(Edit)] をクリックしないでください。代わりに、[除外(Exclude)] をクリックし、グループを除外することを確認します。グループは削除されず、そのルールが単に無効になります。残りの手順はスキップしてください。

  3. グループの新しいレベルを選択します。[説明の表示(View Description)] をクリックして、選択した各レベルの説明を表示します。

    レベル 1 は最も安全性の低いセキュリティ態勢であり、セキュリティよりも接続性が重視されます。一方、レベル 4 は最も積極的なセキュリティ態勢であり、最大のセキュリティを提供します。

  4. [OK] をクリックします。

ステップ 4

(手動の方法)1 つ以上のルールのアクションを変更します。

  1. 変更するアクションのルールを検索します。

    ルール情報内の文字列を検索するには、[検索/フィルター(Search/Filter)] ボックスを使用します。フィルタ処理項目を選択して、GID または SID の任意の組み合わせで検索したり、単にそれらのアクション(無効、アラート、ドロップ)に基づいてルールを表示したりすることもできます。ルールは遅延ロードされるため、フィルタ処理されていないリスト全体のスクロールにはかなりの時間がかかります。リストをフィルタ処理する場合は、更新ボタンをクリックして、フィルタ処理されたビューをリロードしてください。

    理想的には、連携して問題に取り組んでいる場合にイベントやシスコ テクニカル サポートから Snort 識別子(SID)とジェネレータ識別子(GID)を取得できます。これにより、ルールを正確に検索できます。

  2. アクションを変更するには、次のいずれかを実行します。

    • ルールを 1 つずつ変更:ルールの [アクション(Action)] 列をクリックし、必要なアクションを選択します。

      • アラート:このルールがトラフィックと一致するとイベントを作成しますが、接続はドロップしません。

      • ドロップ:このルールがトラフィックと一致するとイベントを作成し、接続をドロップします。

      • 無効:このルールではトラフィックは一致しません。イベントは生成されません。

    • 一度に複数のルールを変更:変更するルールのチェックボックスをクリックし、表の上にある [一括(Bulk)] ドロップダウンをクリックして、目的のアクションを選択します。GID:SID ヘッダーのチェックボックスをクリックしてリスト内のすべてのルールを選択します。最大 5000 のルールを一度に変更できます。

カスタム侵入ルールとルールグループの管理

システムには、Cisco Talos Intelligence Group(Talos)によって定義された何千もの侵入ルールが付属しています。追加の攻撃を把握している場合は、カスタム侵入ルールを作成してアップロードし、それらの攻撃をスクリーニングして、アラートを発出したり、攻撃をドロップしたりすることができます。ルールを1つずつ作成、編集、削除することもできます。

アップロードするルールの場合、テキストエディタを使用してルールをオフラインで作成します。アップロードする各テキストファイルにカスタムルールのグループを含めることをお勧めします。これにより、ルールへの変更を簡単にアップロードし、新しいルールをカスタムルールグループにマージしたり、ルールを新しい編集済みコピーに置き換えたりできます。

こうしたルールの作成方法の説明は、このドキュメントの対象範囲に含まれていません。Snort 2ルールをSnort 3形式に変換する方法など、Snort用の侵入ルールの作成方法に関する詳細については、https://snort.org/documentsのガイドを参照してください。たとえば、https://snort.org/documents/rules-writers-guide-to-snort-3-rulesで『Snort 3ルールを作成するルール作成者のための手引き』を参照してください。

始める前に

カスタムルールグループは、カスタム侵入ルールのアップロードで説明されているようにカスタムルールをアップロードするプロセスで作成するか、個々のルールを作成するか、またはルールメンバーシップを管理するときに作成します。グループを作成した後は、グループとその内容を管理できます。

カスタムグループは、グループを作成したときに編集していたポリシーだけでなく、すべての侵入ポリシーで使用できることに注意してください。そのため、グループに加えた変更はすべてのポリシーに対しても加えられます。たとえば、カスタムルールグループを削除すると、そのグループはすべてのポリシーから削除され、どのポリシーでも使用できなくなります。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

ポリシーの編集アイコン(edit icon)をクリックします。

いずれかの組み込みポリシーではなくカスタム侵入ポリシーに、カスタムルールを追加することをお勧めします。

ステップ 3

次のいずれかを実行します。

  • グループを作成するには、[+] > [カスタムルールのアップロード]をクリックします。カスタム侵入ルールのアップロードを参照してください。

  • グループの名前または説明を編集するには、[ユーザ定義グループ]フォルダのグループ目次でグループを選択します。[編集]をクリックして変更を加えることができます。

  • ポリシーからグループとそのルールを除外するには、[ユーザ定義グループ]フォルダのグループ目次でグループを選択します。選択後、[除外]をクリックしてグループを削除できます。

  • システムからグループを削除するとともに、そのグループを使用するすべてのポリシーを削除するには、[ユーザ定義グループ]フォルダのグループ目次でグループを選択します。次に、[削除] をクリックします。あるルールが削除されたグループのみに存在する場合、そのルールはシステムからも削除されることに注意してください。他方、削除していない他のカスタムルールグループにも同じルールが存在する場合、そのルールはそれらのグループに残されます。

  • グループ内のルールを一括で置換または更新するには、[ユーザ定義グループ]フォルダのグループ目次でグループを選択します。次に、グループのルールテーブルの上にある[アクション]ドロップダウンリスト横の[ルールファイルのアップロード]をクリックします。このプロセスは、カスタム侵入ルールのアップロードで説明されたものと同じです。

  • 個々のルール、およびルールグループへの割り当てを作成および管理するには、個人のカスタム侵入ルールの設定を参照してください。

カスタム侵入ルールのアップロード

現在他のルールでカバーされていない攻撃を把握している場合は、カスタム侵入ルールを作成してアップロードし、それらの攻撃をスクリーニングして、アラートを発出したり、攻撃をドロップしたりすることができます。インポートされたルールのアクションはアラートまたはドロップのいずれかである必要があります。ルールのデフォルトアクションはインポートされたファイルのアクションによって定義されます。インポートしたら、ルールアクションを変更し、必要に応じてルールを無効にすることができます。

これらのルールはオフラインで作成する必要があります。Device Manager では、ルールファイルをアップロードするだけで、ルールを直接設定するわけではありません。ルールファイルはテキストファイルである必要があります。改行を使用してルールを読みやすい形式にしたり、1行にルールを入力したりできます。空の行は許可されます。ルールの形式については、snort.orgを参照してください。

たとえば、3つのルールのアップロードファイルは次のようになります。


alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
   msg: "My Custom Rule: EXPLOIT-KIT Styx exploit kit landing page request"; 
   flow:to_server,established; 
   http_raw_uri; 
   bufferlen:>100; 
   http_uri; 
   content:"/i.html?",depth 8; pcre:"/\/i\.html\?[a-z0-9]+\=[a-zA-Z0-9]{25}/"; 
   flowbits:set,styx_landing; 
   metadata: copied from talos sid 29452; 
   service:http; 
   classtype:trojan-activity; 
   gid:1; 
   sid:1000000; 
   rev:1;
)
 
alert tcp $HOME_NET 8811 -> $EXTERNAL_NET any (
   msg:"My Custom rule: MALWARE-BACKDOOR fear1.5/aciddrop1.0 runtime detection - initial connection";
   flow:to_client,established;
   flowbits:isset,Fear15_conn.2;
   content:"Drive",nocase;
   metadata:copied from talos sid 7710;
   classtype:trojan-activity;
   gid:1;
   sid:1000001;
   rev:1;
)
 
alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (
   msg:"My Custom Rule: INDICATOR-COMPROMISE download of a Office document with embedded PowerShell"; 
   flow:to_client,established; 
   flowbits:isset,file.doc; 
   file_data; 
   content:"powershell.exe",fast_pattern,nocase; 
   metadata:copied from talos sid 37244; 
   classtype:trojan-activity; 
   gid:1; 
   sid:1000002; 
   rev:1;
)
手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

ポリシーの編集アイコン(edit icon)をクリックします。

いずれかの組み込みポリシーではなくカスタム侵入ポリシーに、カスタムルールを追加することをお勧めします。

ステップ 3

次のいずれかを実行します。

  • グループのリストの上にある[+] > [カスタムルールのアップロード]をクリックします。

  • 作成済みのカスタムルールグループにルールをアップロードする場合は、カスタムルールグループを選択して、グループのルールテーブルの上にある[アクション]ドロップダウンリストの横にある[ルールファイルのアップロード]をクリックします。

ステップ 4

[参照]をクリックしてカスタムルールファイルを選択するか、ファイルを[ファイルのアップロード]ダイアログボックスにドラッグアンドドロップします。

アップロードが完了するまで待ちます。

ステップ 5

競合の処理方法を選択します。

競合は、追加するルールがシステムにすでに存在するルールと同じ場合に発生します。これは、以前にアップロードしたのと同じルールまたは編集したバージョンのルールをアップロードする場合にのみ発生します。

次のいずれかのオプションを選択します。

(注)  

 

[マージ]と[置換]は基本的に同じものです。既存のルールに変更を加えるには、アップロードしたルールのリビジョン番号が、アップロード済みのルールのリビジョン番号よりも大きい必要があります。唯一の違いは、[置換]オプションを使用すると、アップロードファイルに対象のカスタムルールグループ内のルールがない場合、それらのルールがルールグループから削除されることです。[マージ]オプションでは、これらの "欠落している" ルールがそのまま残ります。

  • [マージ]: アップロードされたファイルのルールのリビジョン番号が大きい場合、アップロードされたファイル内の変更されたルールのうち、選択したグループにも存在するものは、それらの変更がマージされます。変更されていないルール、またはアップロードに対応するルールがないグループ内のルールは変更されません。アップロード内の新しいルールが追加されます。これがデフォルトのオプションです。

  • [置換]: アップロードされたファイルのルールは、アップロードされたルールのリビジョン番号が大きい場合、選択したグループのルールを置き換えます。アップロードされたファイルに存在しない既存のルールは、グループから削除されます。アップロードされたバージョンのリビジョン番号が同じかそれ以下の既存のルールは変更されません。アップロード内の新しいルールが追加されます。

ステップ 6

[+]をクリックし、アップロードしたルールのカスタムルールグループを選択します。

使用するカスタムルールグループが存在しない場合は、[新しいグループの作成]をクリックしてすぐに作成します。新しいグループには名前と、必要に応じて説明が必要です。その後、新しいグループを選択できます。

ルールを置き換える場合は、1つのグループのみを選択できます。ルールをマージする場合は、複数のグループを選択できます。

ステップ 7

[OK] をクリックします。

ファイルがアップロードされ、新しいグループに配置されます。アップロードされたルールの数と、更新、削除、または無視されたルールの数の概要が表示されます。

ファイルにエラーがある場合、アップロードは失敗します。[ダウンロードエラーファイル]リンクをクリックすると、エラーの詳細情報を取得できます。

グループは、この侵入ポリシーで自動的にアクティブ化されます。グループと新しいルールは他のポリシーに追加できますが、グループとルールが他のポリシーで自動的に有効になることはありません。他のポリシーへのグループの追加については、侵入ポリシーのルールグループの追加または削除(Snort 3)を参照してください。

個人のカスタム侵入ルールの設定

カスタム侵入ルールは、ファイルアップロードによって一括で行うのではなく、一度に1つずつ設定できます。この方法は、あるルールをすばやく調整する必要がある場合や、一度に少数のルールを作成または変更する必要がある場合に適しています。

侵入ルールを設定する場合は、次の点に注意してください。

  • すべてのカスタムルールのGIDは1である必要があります。

  • ルールのSIDは、システム内のすべてのルールで一意である必要があります。また、100万(1000000)以上である必要があります。

  • ルールを編集する場合は、ルールのバージョンを変更する必要があります。通常、バージョン番号は1ずつ増加します。

  • Cisco Talos Intelligence Group(Talos)ルールを複製して独自のバージョンのルールを作成できますが、重複するSIDを変更して一意にする必要があります。

ルールが適切に形成されていることを確認するためにいくつかの有効性チェックが実行され、問題に関するエラーメッセージが表示されます。ただし、システムはルールが適切かどうかを判断できません。

Snort 2ルールをSnort 3形式に変換する方法など、Snort用の侵入ルールの作成方法に関する詳細については、https://snort.org/documentsのガイドを参照してください。たとえば、https://snort.org/documents/rules-writers-guide-to-snort-3-rulesで『Snort 3ルールを作成するルール作成者のための手引き』を参照してください。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

ポリシーの編集アイコン(edit icon)をクリックします。

いずれかの組み込みポリシーではなくカスタム侵入ポリシーに、カスタムルールを追加することをお勧めします。

ステップ 3

次のいずれかを実行します。

  • 侵入ルールを追加するには、ルールテーブルの上にある [新しい侵入ルールの追加(Add New Intrusion Rule)] ボタン(+)をクリックします。ルールを追加する場合、新しいルールを含める1つ以上のカスタムルールグループを選択する必要があります。必要に応じて、ルールを追加しながら新しいグループを作成できます。

  • 既存のルールを複製および編集してルールを追加するには、ルールの右端にマウスを合わせ、[複製] (接続の概要をクリップボードボタンにコピーします。)ボタンをクリックします。ボタンは、マウスオーバーでのみ表示されます。カスタムルールの場合、[複製]コマンドはその他のオプション(...)ボタンの下にあります。

  • カスタムルールを編集するには、カスタムルールグループでルールを検索し、ルールの編集(edit icon)ボタンをクリックします。編集内容は、ルールが存在するすべてのグループに適用されます。変更を行う場合は、ルールのバージョン番号を少なくとも1つ増やしてください。

  • カスタムルールを削除するには、ルールの削除(delete icon)ボタンをクリックします。ルールが含まれるすべてのルールグループから、そのルールが削除されます。あるグループから1つのルールだけを削除する場合は、ルールを削除する代わりに[グループ割り当ての管理]オプションを使用します。

  • ルールを含むグループを変更するには、その他のオプション(...)ボタンをクリックし、[グループ割り当ての管理]を選択します。その後、グループを追加または削除できます。変更はグループメンバーシップに影響するだけで、ルールの変更や削除は行いません。

ステップ 4

新しいルールとグループの場合は、ルールをポリシーに追加します。

新しいルールの作成時または既存のルールの編集時に新しいグループを作成すると、そのグループはポリシーに自動的に追加されず、ルールも自動的に有効になりません。編集するポリシーにグループを追加するように求められます。ルールの追加または編集中にグループを追加しない場合は、次のプロセスを使用して後でグループを追加できます。

  1. グループの目次の上にある[+] > [既存のルールグループを追加]をクリックします。

  2. [ユーザ定義グループ]フォルダでグループを見つけて選択し、[OK]をクリックします。

  3. 目次でグループを選択し、新しいルールがグループ内にあり、目的のアクションがあることを確認します。

侵入ポリシーのモニタリング

侵入ポリシー統計情報は、[モニタリング(Monitoring)] ページの [攻撃者(Attackers)] および [ターゲット(Targets)] ダッシュボードで確認できます。これらのダッシュボードに情報を表示するには、侵入ポリシー 1 つ以上のアクセス制御ルールに適用する必要があります。「トラフィックおよびシステム ダッシュボードのモニタリング」を参照してください。

侵入イベントを表示するには、[モニタリング(Monitoring)] > [イベント(Events)] を選択して、[侵入(Intrusion)] タブをクリックします。イベントの上にマウスを置き、[詳細の表示(View Details)] へのリンクをクリックして、詳細情報を表示できます。詳細ページから、[IPSルールの表示(View IPS Rule)] をクリックして、関連する侵入ポリシーのルールへ移動して、そこでルール アクションを変更することができます。ルールによりブロックされる適切な接続が多すぎる場合に、アクションをドロップから警告に変更することにより、誤検出の影響を軽減することができます。逆に、ルールに対する攻撃トラフィックが多い場合は、アラート ルールをドロップ ルールに変更できます。

侵入ポリシーの syslog サーバを設定した場合、侵入イベントのメッセージ ID は 430001 です。