ネットワーク分析ポリシーと侵入ポリシーについて
ネットワーク分析ポリシーと侵入ポリシーは、侵入検知および防御の機能の一部として連携して動作します。
-
侵入検知という用語は、一般に、ネットワーク トラフィックへの侵入の可能性を受動的にモニタおよび分析し、セキュリティ分析用に攻撃データを保存するプロセスを指します。これは「IDS」とも呼ばれます。
-
侵入防御という用語には、侵入検知の概念が含まれますが、さらにネットワークを通過中の悪意のあるトラフィックをブロックしたり変更したりする機能も追加されます。これは「IPS」とも呼ばれます。
侵入防御の展開では、システムがパケットを検査するときに次のことが行われます。
-
ネットワーク分析ポリシーは、トラフィックのデコードと前処理の方法を管理し、特に、侵入を試みている兆候がある異常なトラフィックについて、さらに評価できるようにします。
-
侵入ポリシーでは侵入およびプリプロセッサ ルール(総称的に「侵入ルール」とも呼ばれる)を使用し、パターンに基づき、デコードされたパケットを検査して攻撃の可能性を調べます。侵入ポリシーは変数セットとペアになり、それによって名前付き値を使用してネットワーク環境を正確に反映することができます。
ネットワーク分析ポリシーと侵入ポリシーは、どちらも親のアクセス コントロール ポリシーによって呼び出されますが、呼び出されるタイミングが異なります。システムでトラフィックが分析される際には、侵入防御(追加の前処理と侵入ルール)フェーズよりも前に、別途ネットワーク分析(デコードと前処理)フェーズが実行されます。ネットワーク分析ポリシーと侵入ポリシーを一緒に使用すると、広範囲で詳細なパケット インスペクションを行うことができます。これらによって、ホストとそのデータの可用性、整合性、および機密性を脅かす可能性があるネットワーク トラフィックを検出、警告し、保護することができます。
システムには、同様の名前(Balanced Security and Connectivity など)が付いたいくつかのネットワーク分析ポリシーおよび侵入ポリシーが付属しており、それらは互いに補完しあい、連携して動作します。システム付属のポリシーを使用することで、Cisco Talos Intelligence Group (Talos)の経験を活用できます。これらのポリシーでは、Talos は侵入ルールとインスペクタルールの状態を設定するとともに、インスペクタとその他の詳細設定の初期設定も提供します。
また、カスタムのネットワーク分析ポリシーや侵入ポリシーも作成できます。カスタム ポリシーの設定を調整することで、各自に最も役立つ方法でトラフィックを検査できます。これによって、管理対象デバイスのパフォーマンスが向上し、ユーザは生成されたイベントにさらに効率的に対応できるようになります。
Web インターフェイスで同様のポリシーエディタを使用し、ネットワーク分析ポリシーや侵入ポリシーを作成、編集、保存、管理します。いずれかのタイプのポリシーを編集するときには、Web インターフェイスの左側にナビゲーション パネルが表示され、右側にさまざまな設定ページが表示されます。
追加のサポートと情報については、以下のビデオを参照してください。
![]() 注目 |
検出モードの廃止:Management Center 7.4.0 では、ネットワーク分析ポリシー(NAP)の場合、[検出(Detection)] インスペクションモードは廃止され、今後のリリースで削除されます。 [検出(Detection)] モードは、トラフィックをドロップするように設定する前に、インスペクションを有効にして、ネットワークでのインスペクションの動作を確認できるように、テストモードとして使用する(つまり、ドロップされるトラフィックを表示する)ことを目的としていました。 この動作が改善され、すべてのインスペクタのドロップがルール状態によって制御され、イベントを生成するように各インスペクタを設定できるようになりました。これは、トラフィックをドロップするようにルール状態を設定する前に、テストするために行われます。Snort 3 ではトラフィックドロップをきめ細かく制御できるようになったため、[検出(Detection)] モードは製品の複雑さを増すだけで、必要ではないため、検出モードは廃止されました。 [検出(Detection)] モードの NAP を [防御(Prevention)] に変更すると、侵入イベントのトラフィックを処理し、その結果が「ドロップされる」となった NAP は実際に「ドロップ」になり、対応するトラフィックはこれらのイベントからのトラフィックをドロップします。これは、GID が 1 または 3 ではないルールに適用されます。GID 1 と 3 はテキスト/コンパイルされたルール(通常は Talos によって提供されるか、カスタム/インポートされたルールから提供されます)であり、他のすべての GID は異常のインスペクションです。これらは、ネットワークでトリガーするための、まれなルールです。[防御(Prevention)] モードに変更しても、トラフィックに影響を与える可能性はほとんどありません。ドロップされるトラフィックに適用可能な侵入ルールを無効にし、単に生成または無効にするように設定する必要があります。インスペクションモードとして [防御(Prevention)] を選択することをお勧めしますが、[防御(Prevention)] を選択した場合は、[検出(Detection)] モードに戻すことはできません。 |