この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
以下のトピックでは、侵入ポリシーおよびネットワーク分析ポリシーでレイヤ(層)を使用する方法について説明します。
多数の管理対象デバイスが存在する大規模な組織では、さまざまな部署や事業部門、場合によってはさまざまな企業の固有のニーズをサポートするために、多数の侵入ポリシーやネットワーク分析ポリシーが存在することがあります。両方のポリシー タイプでの設定はレイヤと呼ばれる構成要素に含まれており、それを使用することで効率的に複数のポリシーを管理することができます。
侵入ポリシーおよびネットワーク分析ポリシーのレイヤは、原則的に同じ方法で動作します。ポリシー タイプの作成および編集は、レイヤを意識せずに行えます。ポリシー設定を変更でき、ポリシーにユーザー レイヤを追加していない場合は、システムによって自動的に変更内容が単一の設定可能なレイヤ(最初は My Changes という名前が付けられています)に含められます。また、最大 200 までレイヤを追加して、それらのレイヤで設定を任意に組み合わせて構成することもできます。ユーザー レイヤのコピー、マージ、移動、削除を実行できます。最も重要なこととして、個々のユーザー レイヤを同じタイプの他のポリシーと共有できます。
IPS
保護
任意
任意
管理者
侵入管理者
レイヤ スタックは、次の各レイヤから構成されています。
ユーザ設定可能なレイヤです。ユーザ設定可能なレイヤは、コピー、マージ、移動、または削除を行うことができます。また、任意のユーザ設定可能なレイヤが同じタイプの他のポリシーと共有されるように設定することもできます。このレイヤには、最初に My Changes という名前が付けられた自動生成されたレイヤが含まれています。
読み取り専用の基本ポリシー レイヤです。このレイヤ内のポリシーは、システムによって提供されるポリシー、または自分で作成したカスタム ポリシーにできます。
ネットワーク分析ポリシーまたは侵入ポリシーには、デフォルトでは基本ポリシー レイヤと My Changes レイヤが含まれています。ユーザ レイヤは必要に応じて追加できます。
各ポリシー レイヤには、ネットワーク分析ポリシー内のすべてのプリプロセッサまたは侵入ポリシー内のすべての侵入ルールと詳細設定の完全な設定が含まれます。最下部の基本ポリシー レイヤには、ポリシーの作成時に選択した基本ポリシーのすべての設定が含まれます。上位レイヤの設定は、下位レイヤの同じ設定よりも優先されます。レイヤで明示的に設定されていない機能は、明示的に設定されている次の高いレイヤから設定を継承します。システムはレイヤをフラット化します。つまり、ネットワーク トラフィックの処理時にすべての設定の蓄積効果のみを適用します。
 ヒント |
侵入またはネットワークの分析ポリシーは、基本ポリシーのデフォルト設定のみに基づいて作成できます。侵入ポリシーの場合に、モニタ対象ネットワークの特定のニーズに合わせて侵入ポリシーを調整したいときは、Firepower のルール状態の推奨を使用することもできます。 |
次の図は、基本ポリシー レイヤと初期設定の My Changes レイヤの他に、2 つの追加のユーザ設定可能なレイヤ User Layer 1 と User Layer 2 も含まれているレイヤ スタックの例を示しています。この図では、ユーザが追加したユーザ設定可能なレイヤそれぞれがスタックの最上位レイヤとして最初に配置されるため、図内の User Layer 2 が最後に追加されたもので、このスタックの最上位になっていることに注目してください。
ルール更新にポリシーの変更を許可しているかどうかに関わらず、ルール更新での変更は、レイヤで行った変更を上書きしません。これは、ルール更新での変更が、基本ポリシー レイヤのデフォルト設定を決定する基本ポリシーで行われるためです。変更は常により上位のレイヤに加えられ、その変更によって、ルール更新が基本ポリシーに加えた変更が上書きされます。
侵入ポリシーまたはネットワーク分析ポリシーの基本レイヤ(基本ポリシーとも呼ばれる)は、ポリシーのすべての設定のデフォルト設定を定義し、ポリシーの最下位に位置します。新しいポリシーを作成し、新しいレイヤを追加しないで設定を変更すると、その変更は My Changes レイヤに保存され、基本ポリシーの設定を上書きしますが変更はしません。
システムには、ネットワーク分析ポリシーと侵入ポリシーのペアがいくつか提供されています。システム提供のネットワーク分析ポリシーおよび侵入ポリシーを使用して、Talos インテリジェンスグループ のエクスペリエンスを活用することができます。これらのポリシーでは、Talos は侵入ルールおよびプリプロセッサ ルールの状態を設定し、プリプロセッサおよび他の詳細設定の初期設定も提供します。これらのシステムによって提供されるポリシーをそのまま使用したり、カスタム ポリシーのベースとして使用することができます。
システムによって提供されるポリシーをベースとして使用する場合、ルール更新をインポートすると、基本ポリシー内の設定が変更される場合があります。ただし、カスタム ポリシーを設定して、これらの変更内容がシステム提供の基本ポリシーに自動的に反映されないようにすることもできます。これにより、ルール更新とは関係ないスケジュールで、システム提供の基本ポリシーを手動で更新できます。いずれの場合も、ルール更新が基本ポリシーに加えた変更によって My Changes または他のレイヤの設定が変更または上書きされることはありません。
システム提供の侵入ポリシーとネットワーク分析ポリシーには同じような名前が付けられていますが、異なる設定が含まれています。たとえば、「Balanced Security and Connectivity」ネットワーク分析ポリシーと「Balanced Security and Connectivity」侵入ポリシーは連携して動作し、どちらも侵入ルールのアップデートで更新できます。
カスタム ポリシーを基本(ベース)として使用することができます。カスタム ポリシーの設定を調整することで、最も役立つ方法でトラフィックを検査できます。これによって、管理対象デバイスのパフォーマンスが向上し、ユーザは生成されたイベントにさらに効率的に対応できるようになります。
別のポリシーのベースとして使用するカスタム ポリシー変更すると、変更内容はこのベースを使用するポリシーのデフォルト設定として自動的に使用されます。
また、ポリシーはすべて、システムが提供するポリシーをポリシー チェーンにおける最終的なベースとしているため、たとえカスタム基本ポリシーを使っていても、ルールが更新されればポリシーに影響する可能性があります。チェーン内の最初のカスタム ポリシー(システムによって提供されるポリシーをベースとして使用するポリシー)によってルール更新がその基本ポリシーを変更することが許可されている場合は、ポリシーが影響を受ける可能性があります。
基本ポリシーがどのように変更されたかに関わらず(ルール更新による変更でも、基本ポリシーとして使用するカスタム ポリシーを変更でも)、ユーザーの基本ポリシーに対する変更によって My Changes やその他のレイヤの設定が変更または上書きされることはありません。
ルール更新をインポートすると、システム提供の侵入ポリシー、アクセス コントロール ポリシー、ネットワーク分析ポリシーが変更されます。ルール更新には次の要素が含まれる場合があります。
変更されたネットワーク分析プリプロセッサの設定
変更された侵入ポリシーおよびアクセス コントロール ポリシーの詳細設定
新規または更新された侵入ルール
既存のルールの変更された状態
新しいルール カテゴリとデフォルト変数
ルール更新により、既存のルールがシステム提供のポリシーから削除される場合もあります。
デフォルト変数とルール カテゴリに対する変更はシステム レベルで処理されます。
システム提供のポリシーを侵入またはネットワーク分析の基本ポリシーとして使用するときは、ルール更新が基本ポリシー(この場合はシステムによって提供されるポリシーのコピー)を変更することを許可することができます。ルール更新で基本ポリシーの更新を許可する場合は、新しいルール更新によって、基本ポリシーとして使用するシステム提供のポリシーに対する変更と同じ変更が基本ポリシーにも加えられます。対応する設定を変更しなかった場合は、基本ポリシー内の設定によって、ポリシー内の設定が決定されます。ただし、ルール更新では、ポリシー内で行った変更は上書きされません。
ルール更新による基本ポリシーの変更を許可しない場合は、1 つ以上のルール更新のインポート後に、基本ポリシーを手動で更新できます。
ルール更新では、侵入ポリシー内のルール状態またはルール更新による基本の侵入ポリシーの変更が許可されているかどうかに関係なく、Talos が削除した侵入ルールが常に削除されます。
ネットワーク トラフィックに変更を再展開するまで、現在展開されている侵入ポリシー ルールは次のように動作します。
無効になっている侵入ルールは無効のままになります。
[イベントを生成する(Generate Events)] に設定されたルールでは、トリガーされたときのイベントの生成が継続されます。
[ドロップしてイベントを生成する(Drop and Generate Events)] に設定されたルールでは、トリガーされたときのイベントの生成と違反パケットのドロップが継続されます。
次の両方の条件が満たされていない限り、ルール更新でカスタム基本ポリシーは変更されません。
ルール更新が親ポリシーのシステムによって提供される基本ポリシー(つまり、カスタム基本ポリシーの起源となるポリシー)を変更することを許可している。
親の基本ポリシー内の対応する設定が上書きされる親ポリシー内の変更を実施していない。
両方の条件が満たされている場合は、親ポリシーを保存したときに、ルール更新内の変更が子ポリシー(つまり、カスタム基本ポリシーを使用したポリシー)に渡されます。
たとえば、ルール更新で以前に無効になっていた侵入ルールを有効にして、親の侵入ポリシー内のルール状態を変更していない場合は、親ポリシーを保存したときに、変更されたルール状態が基本ポリシーに渡されます。
同様に、ルール更新でデフォルトのプリプロセッサ設定を変更し、親のネットワーク分析ポリシーの設定を変更していない場合は、変更された設定は親ポリシーを保存したときに基本ポリシーに渡されます。
別のシステム提供のポリシーまたはカスタム ポリシーを基本ポリシーとして使用できます。
最大 5 つのカスタム ポリシーをチェーンすることができます。5 つのうちの 4 つのポリシーで事前に作成されたポリシーが基本ポリシーとして使用され、5 つ目のポリシーでシステムによって提供されたポリシーをベースとして使用する必要があります。
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
編集するポリシーの横にある [Snort 2バージョン(Snort 2 Version)] をクリックします。 代わりに [表示(View)]( |
|
ステップ 3 |
必要な侵入ポリシーの行にある [編集(Edit)]( |
|
ステップ 4 |
[ベースポリシー(Base Policy)] ドロップダウンリストからベースポリシーを選択します。 |
|
ステップ 5 |
[保存(Save)] をクリックします。 |
設定変更を展開します設定変更の展開を参照してください。
侵入ポリシーでルール状態の推奨を生成する場合は、その推奨に基づいてルール状態を自動的に変更するかどうかを選択できます。
下記の図に示すように、推奨されたルール状態を使用すると、侵入ポリシーの基本レイヤのすぐ上に読み取り専用の組み込み Cisco 推奨レイヤが挿入されます。
このレイヤは侵入ポリシー固有のものです。
それ以後、推奨されたルール状態を使用しないことを選択すると、Cisco 推奨レイヤは削除されます。このレイヤは手動で削除できませんが、推奨されるルール状態を使用するかどうかを選択することで、サービスを追加したり削除することができます。
Cisco 推奨レイヤを追加すると、ナビゲーションパネルの [ポリシー階層(Policy Layers)] の下に Cisco 推奨リンクが追加されます。このリンクから Cisco 推奨レイヤページの読み取り専用ビューにアクセスして、[ルール(Rules)] ページの推奨でフィルタリングされたビューを読み取り専用モードで表示できます。
推奨されたルール状態を使用すると、ナビゲーションパネルの Cisco 推奨リンクの下に [ルール(Rules)] サブリンクも追加されます。[ルール(Rules)] サブリンクから、Cisco 推奨レイヤの [ルール(Rules)] ページの読み取り専用画面にアクセスできます。このビューでは次の点に注意してください。
状態列にルール状態のアイコンがない場合、状態は基本ポリシーから継承されます。
このビューまたは他の [ルール(Rules)] ページビューの Cisco 推奨列にルール状態のアイコンがない場合、このルールに対する推奨は存在しません。
[ポリシー層(Policy Layers)] ページには、ネットワーク分析ポリシーまたは侵入ポリシーの完全なレイヤ スタックの単一ページの概要が示されます。このページでは、共有レイヤおよび非共有レイヤの追加、レイヤのコピー、マージ、移動、および削除、各レイヤの概要ページへのアクセス、各レイヤ内の有効、無効、および上書きされている設定の設定ページへのアクセスを行うことができます。
各レイヤについて、次の情報が表示されます。
レイヤが組み込み型レイヤ、共有ユーザ レイヤ、または非共有ユーザ レイヤであるかどうか
どのレイヤに最上位の(つまり効果的な)プリプロセッサまたは詳細設定が含まれているか(機能名別に)
侵入ポリシーで、状態がレイヤで設定されている侵入ルールの数、および各ルール状態に設定されているルールの数
[ポリシー層(Policy Layers)] ページには、有効なすべてのプリプロセッサ(ネットワーク分析)または詳細設定(侵入)、また侵入ポリシーの場合は侵入ルールの最終的な効果の概要も示されます。
各レイヤのサマリーにある機能名は、以下のように、設定がレイヤで有効、無効、上書き、または継承されているかを示します。
|
機能の状態 |
機能名 |
|---|---|
|
レイヤで有効 |
プレーン テキストで表示 |
|
レイヤで無効 |
取り消し線が引かれる |
|
上位レイヤの設定によって上書きされる |
イタリック テキストで表示 |
|
下位レイヤから継承される |
表示されない |
最大 200 のレイヤをネットワーク分析ポリシーまたは侵入ポリシーに追加できます。レイヤを追加すると、ポリシーで最上位レイヤとして表示されます。初期状態はすべての機能に対して [継承(Inherit)] で、侵入ポリシーでは、イベントのフィルタリング、動的状態、またはルール アクションのアラートは設定されません。
レイヤをポリシーに追加する際は、ユーザが設定可能なレイヤに一意の名前を指定します。その名前は後で変更できます。また、必要に応じて、レイヤを編集する際に表示される説明を追加あるいは変更することもできます。
レイヤはコピーすることも、[ユーザ レイヤ(User Layers)] ページ内での表示位置を上下に移動することもできます。また、初期の My Changes レイヤを含め、ユーザ レイヤを削除することも可能です。次の考慮事項に注意してください。
レイヤをコピーすると、そのコピーが最上位レイヤとして表示されます。
共有レイヤをコピーすると、初期状態ではそのレイヤは共有されませんが、必要に応じて、後から共有できます。
共有レイヤは削除できません。共有が有効になっているレイヤで別のポリシーと共有していないものは、共有レイヤではありません。
ユーザ設定可能なレイヤの直下に、別のユーザ設定可能なレイヤをマージできます。マージされたレイヤは、どちらかのレイヤに固有だったすべての設定を保持します。また、両方のレイヤに同じプリプロセッサ、侵入ルール、または詳細設定が含まれていた場合、上位のレイヤの設定を受け入れます。マージされたレイヤでは、下位レイヤの名前が保持されます。他のポリシーに追加できる共有可能なレイヤを作成するポリシーでは、共有可能なレイヤのすぐ上に非共有レイヤのある共有可能なレイヤをマージできますが、共有可能なレイヤの直下には非共有レイヤのある共有可能なレイヤをマージすることはできません。別のポリシーに作成した共有レイヤを追加するポリシーでは、共有レイヤをそのすぐ下の非共有レイヤとマージできますが、作成されたレイヤは共有されなくなります。非共有レイヤをその下の共有レイヤとマージすることはできません。
共有レイヤとは、あるポリシー内で作成して共有を許可し、別のポリシーに追加されたレイヤのことです。共有可能レイヤとは、共有が許可されているレイヤのことです。
以下の図に示すプライマリポリシーの例では、全社的レイヤと、サイト A およびサイト B に固有のレイヤを作成し、これらのサイト固有のレイヤの共有を許可しています。その上で、これらのサイト固有のレイヤを共有レイヤとしてサイト A とサイト B のポリシーに追加しています。
プライマリポリシーの全社的なレイヤには、サイト A とサイト B に適用される設定が含まれる一方、サイト固有のレイヤには各サイトに固有の設定が含まれています。たとえば、ネットワーク分析ポリシーの場合、サイト A にはモニタ対象ネットワークに Web サーバがないため、保護したり、HTTP インスペクション プリプロセッサのオーバーヘッドを処理したりする必要はありませんが、両方のサイトで TCP ストリームの前処理が必要になる場合があります。両方のサイトで共有する全社的レイヤで TCP ストリーム処理を有効にし、サイト A で共有するサイト固有のレイヤで HTTP Inspect プリプロセッサを無効にして、サイト B で共有するサイト固有のレイヤで HTTP Inspect プリプロセッサを有効にできます。サイト固有のポリシーで上位レイヤの設定を編集することで、必要に応じて、設定の調整によって各サイトのポリシーをさらに調整することもできます。
この例のプライマリポリシーでフラット化された設定値そのものがトラフィックをモニターするのに役立つわけではありませんが、サイト固有のポリシーを設定および更新する際に時間が節約されるため、ポリシー階層で活用することができます。
その他にも多くのレイヤ設定が可能です。たとえば、企業、部門、ネットワーク、さらにはユーザごとにポリシーのレイヤを定義できます。侵入ポリシーの場合は、一方のレイヤに詳細設定を含め、もう一方にルール設定を含めることもできます。
ユーザ設定可能なレイヤを同じタイプの他のポリシー(侵入またはネットワーク分析)と共有できるように設定できます。共有可能レイヤ内の設定を変更し、変更をコミットすると、そのレイヤを共有するすべてのポリシーが更新され、影響を受けたすべてのポリシーのリストが提供されます。レイヤを作成したポリシーの機能設定のみを変更できます。
別のポリシーに追加しているレイヤの共有を無効にすることはできません。まずレイヤを他のポリシーから削除するか、他のポリシーを削除する必要があります。
基本ポリシーが共有するレイヤが作成されたカスタム ポリシーである場合、ポリシーに共有レイヤを追加することはできません。追加した場合、ポリシーで依存関係が循環することになります。
|
ステップ 1 |
Snort 2 ポリシーの編集中に、ナビゲーションパネルで [ポリシー層(Policy Layers)] をクリックします。 |
|
ステップ 2 |
[ポリシー層(Policy Layers)] ページでは、次に示す管理アクションを実行できます。
|
|
ステップ 3 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
|
ステップ 1 |
Snort 2 ポリシーの編集中に、ナビゲーションパネルで [ポリシー層(Policy Layers)] をクリックします。Snort 2 ポリシーにアクセスするには、[ポリシー(Policies)] > [侵入(Intrusion)] > [侵入ポリシー(Intrusion Policies) ] タブ を選択し、編集するポリシーに対して [Snort 2] をクリックします。 |
|
ステップ 2 |
レイヤの移動は、次のいずれかのアクションで実行できます。
|
|
ステップ 3 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
レイヤの [ルール(Rules)] ページで個々のレイヤ設定を表示することも、[ルール(Rules)] ページのポリシー ビューですべての設定の最終的な効果を表示することもできます。[ルール(Rules)] ページのポリシー ビューのルール設定を変更する場合、ポリシーの最上位のユーザ設定可能なレイヤを変更します。[ルール(Rules)] ページにあるレイヤ ドロップダウンリストを使用して、別のレイヤに切り替えることができます。
次の表では、複数のレイヤで同じ種類の設定を構成した場合の結果について説明しています。
|
設定可能なレイヤ数 |
設定の種類 |
目的 |
|---|---|---|
|
1 |
ルール状態 |
下位レイヤのルールに対して設定されたルール状態を上書きします。また、下位レイヤで設定されたそのルールのすべてのしきい値、抑制、レートベースのルール状態、およびアラートを無視します。 基本ポリシーまたは下位レイヤからルールのルール状態を継承したい場合は、ルール状態を [継承(Inherit)] に設定します。侵入ポリシーの [ルール(Rules)] ページは、すべてのルール設定の最終的な効果を示す複合ビューであるため、このページでの作業中にルールの状態を [継承(Inherit)] に設定することはできないことに注意してください。 |
|
1 |
しきい値 SNMP アラート |
下位レイヤのルールの同じ種類の設定を上書きします。しきい値を設定すると、レイヤのルールの既存のしきい値が上書きされることに注意してください。 |
|
1 つ以上 |
抑制 レートベースのルール状態 |
選択した各ルールの同じ種類の設定を、ルール状態がそのルールに対して設定された最初の下位レイヤまで累積的に組み合わせます。ルール状態が設定されているレイヤより下の設定は無視されます。 |
|
1 つ以上 |
コメント |
ルールにコメントを追加します。コメントは、ポリシー固有またはレイヤ固有ではなく、ルール固有です。任意のレイヤの 1 つのルールに 1 つ以上のコメントを追加できます。 |
たとえば、あるレイヤでルール状態を [ドロップしてイベントを生成する(Drop and Generate Events)] に設定し、それよりも上位のレイヤで [無効(Disabled)] に設定した場合、侵入ポリシーの [ルール(Rules)] ページには、ルールが無効であることが示されます。
別の例として、あるレイヤでルールの送信元ベースの抑制を 192.168.1.1 に設定し、別のレイヤでそのルールの宛先ベースの抑制を 192.168.1.2 に設定した場合、[ルール(Rules)] ページには、送信元アドレス 192.168.1.1 と宛先アドレス 192.168.1.2 に関するイベントを抑制する累積的な結果が示されます。抑制およびレート ベースのルール状態の設定では、選択した各ルールの同じ種類の設定が、ルール状態がそのルールに対して設定された最初の下位レイヤまで累積的に組み合わせられることに注意してください。ルール状態が設定されているレイヤより下の設定は無視されます。
特定のレイヤの各 [ルール(Rules)] ページの色分けでは、有効状態が上位レイヤ、下位レイヤ、現在のレイヤのどれに該当するのかが次の色で示されます。
赤:上位レイヤでの有効状態
黄色:下位レイヤでの有効状態
陰影なし:現在のレイヤでの有効状態
侵入ポリシーの [ルール(Rules)] ページはすべてのルール設定の最終的な効果の複合ビューであるため、ルール状態はこのページでは色分けされません。
侵入ポリシーでは、すべてのユーザー設定可能なレイヤのルールに対して、ルール状態、イベント フィルタリング、動的状態、アラート、およびルール コメントを設定できます。変更を加えるレイヤにアクセスした後、そのレイヤの [ルール(Rules)] ページの設定を、侵入ポリシーの [ルール(Rules)] ページの設定と同じように追加します。
|
ステップ 1 |
Snort 2 侵入ポリシーの編集中に、ナビゲーションパネルで [ポリシー層(Policy Layers)] を展開します。 |
||
|
ステップ 2 |
変更するポリシー階層を展開します。 |
||
|
ステップ 3 |
変更するポリシー レイヤのすぐ下にある [ルール(Rules)] をクリックします。 |
||
|
ステップ 4 |
ルールを使用した侵入ポリシーの調整 に示されている任意の設定を変更します。
|
||
|
ステップ 5 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
侵入ポリシーの複数のレイヤから、特定のタイプのイベント フィルタ、動的状態、またはアラートを同時に削除できます。システムは選択された設定を削除し、ルールの残りの設定をポリシーの最上位の編集可能なレイヤにコピーします。
システムは、すべての設定を削除するか、ルール状態がルールに対して設定されているレイヤに遭遇するまで、下位方向にある各レイヤの同じ種類の設定を削除します。後者の場合、そのレイヤから設定が削除され、設定タイプの削除が停止されます。
共有レイヤまたは基本ポリシーで同じタイプの設定に遭遇したときに、ポリシーの最上位のレイヤが編集可能である場合、システムはそのルールの残りの設定およびルール状態をその編集可能なレイヤにコピーします。そうではない場合、ポリシーの最上位のレイヤが共有レイヤであれば、システムは新しい編集可能なレイヤをその共有レイヤの上に作成し、そのルールの残りの設定およびルール状態をその編集可能なレイヤにコピーします。
 (注) |
共有レイヤまたは基本ポリシーから派生したルール設定を削除すると、下位レイヤまたは基本ポリシーからこのルールへの変更は無視されます。下位レイヤまたは基本ポリシーからの変更を無視しないようにするには、最上位のレイヤのサマリー ページでルール状態を [継承(Inherit)] に設定します。 |
|
ステップ 1 |
Snort 2 侵入ポリシーの編集中に、ナビゲーションパネルの [ポリシー情報(Policy Information)] のすぐ下にある [ルール(Rules)] をクリックします。Snort 2 ポリシーにアクセスするには、[ポリシー(Policies)] > [侵入(Intrusion)] > [侵入ポリシー(Intrusion Policies) ] タブ を選択し、編集するポリシーに対して [Snort 2] をクリックします。
|
||
|
ステップ 2 |
複数の設定を削除するルールを選択します。
|
||
|
ステップ 3 |
次のいずれかのオプションを選択します。
|
||
|
ステップ 4 |
[OK] をクリックします。 |
||
|
ステップ 5 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
レイヤを追加していないカスタム ネットワーク分析ポリシーまたは侵入ポリシーが別のカスタム ポリシーを基本ポリシーとして使用するとき、以下を行う場合は、そのルール状態を継承するようにルールを設定する必要があります。
基本ポリシーのルールに設定されたイベント フィルタ、動的状態、または SNMP アラートを削除する場合、および
基本ポリシーとして使用する他のカスタム ポリシー内のルールに行った後続の変更をルールが受け入れるようにする場合
|
ステップ 1 |
Snort 2 侵入ポリシーの編集中に、ナビゲーションパネルで [ポリシー層(Policy Layers)] を展開します。 |
|
ステップ 2 |
[個人用の変更(My Changes)] を展開します。 |
|
ステップ 3 |
[個人用の変更(My Changes)] のすぐ下にある [ルール(Rules)] リンクをクリックします。 |
|
ステップ 4 |
設定を受け入れるルールを選択します。次の選択肢があります。
|
|
ステップ 5 |
[ルール状態(Rule State)] ドロップダウンリストから、[継承(Inherit)] を選択します。 |
|
ステップ 6 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
ネットワーク分析ポリシーでプリプロセッサを設定するときと、侵入ポリシーで詳細詳細を設定するときのメカニズムは同様です。プリプロセッサの有効化および無効化はネットワーク分析の [設定(Settings)] ページで行うことができ、侵入ポリシーの詳細設定の有効化および無効化は侵入ポリシーの [詳細設定(Advanced Settings)] ページで行うことができます。これらのページでは、すべての関連機能の有効な状態の概要も示されます。たとえば、ネットワーク分析 SSL プリプロセッサが、あるレイヤでは無効になっていて上位レイヤでは有効になっている場合、[設定(Settings)] ページにはプリプロセッサが有効であるとして表示されます。これらのページで行った変更は、ポリシーの最上位レイヤに表示されます。Back Orifice プリプロセッサにはユーザ設定可能なオプションがないことに注意してください。
また、プリプロセッサまたは詳細設定を有効化または無効化したり、ユーザ設定可能なレイヤのサマリ ページの設定ページにアクセスしたりできます。このページで、レイヤの名前および説明を変更し、レイヤを同じタイプの他のポリシーと共有するかどうかを設定できます。ナビゲーション パネルの [ポリシー層(Policy Layers)] の下のレイヤの名前を選択することによって、別のレイヤのサマリー ページに切り替えることができます。
プリプロセッサまたは詳細設定を有効にすると、その機能の設定ページへのサブリンクがナビゲーションパネルのレイヤの名前の下に表示され、[編集(Edit)](
)がそのレイヤのサマリーページの機能の横に表示されます。レイヤで機能を無効にしたり、[継承(Inherit)] に設定した場合はこれらは表示されません。
プリプロセッサまたは詳細設定の状態(有効または無効)を設定すると、下位レイヤでのその機能の状態と構成設定が上書きされます。プリプロセッサまたは詳細設定についてその状態と設定を基本ポリシーまたは下位レイヤから継承する場合、状態を [継承(Inherit)] に設定します。[設定(Settings)] または [詳細設定(Advanced Settings)] ページで操作するときには、[継承(Inherit)] の選択項目は使用できないことに注意してください。また、現在有効にされている機能を継承すると、ナビゲーション パネルではその機能のサブリンクが表示されなくなり、設定ページではその機能の編集アイコンが表示されなくなることにも注意してください。
システムは、機能が有効にされている最上位レイヤの設定を使用します。設定を明示的に変更しなかった場合は、デフォルト設定が使用されます。たとえば、あるレイヤでネットワーク分析 DCE/RPC プリプロセッサを有効にして変更し、それより上位のレイヤでプリプロセッサを有効にするが変更はしない場合、システムは上位レイヤのデフォルト設定を使用します。
各レイヤのサマリ ページは次のようにカラーコード化されており、有効な設定が上位レイヤ、下位レイヤ、または現在のレイヤのいずれにあるかが示されます。
赤色:有効な設定は上位レイヤにあります
黄色:有効な設定は下位レイヤにあります
陰影なし:有効な設定は現在のレイヤにあります
[設定(Settings)] および [詳細設定(Advanced Settings)] ページは、関連するすべての設定の複合ビューであるため、これらのページは有効な設定の位置を示すためにカラー コーディングを使用しません。
|
ステップ 1 |
Snort 2 ポリシーの編集中に、ナビゲーションパネルで [ポリシー層(Policy Layers)] を展開し、変更するレイヤの名前をクリックします。 |
|
ステップ 2 |
次の選択肢があります。
|
|
ステップ 3 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
設定変更を展開します設定変更の展開を参照してください。
![[表示(View)] ボタン](/c/dam/en/us/td/i/400001-500000/450001-460000/452001-453000/452013.jpg)
)
)
![[削除(Delete)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447585.jpg)
)
フィードバック