バインダインスペクタの概要
タイプ |
インスペクタ(パッシブ) |
使用方法 |
検査 |
インスタンス タイプ |
単一 |
その他のインスペクタが必要 |
確立されたバインディングに依存 |
有効 |
|
各ネットワーク分析ポリシー(NAP)には、binder
インスペクタが 1 つあります。binder
は、トラフィックを検査するために特定のサービスインスペクタを使用するタイミングを決定します。binder
インスペクタの設定には、同じ NAP 内の別のインスペクタがトラフィックを検査する必要がある場合に定義するポート、ホスト、CIDR、およびサービスが含まれます。binder
ルールが新しいフローに一致すると、対象のインスペクタがフローにバインドされます。
binder
インスペクタは、自動検出ウィザードと連携して、ポートに依存しないサービスの設定と、マルウェア コマンドおよび制御チャネルの検出を実行できます。詳細については、Snort 3 のプロトコルとサービスの識別を参照してください。
バインディングは、セッションの開始時に評価され、適切なサービスがセッションで識別された場合に再度評価されます。バインディングは、上から下に評価される使用時ルールのリストです。Snort は、最初に一致したネットワークおよびサービス設定を使用してトラフィックを検査します。
例
たとえば、CIP トラフィックを検査するように NAP を設定する場合は、次の手順を実行します。
-
NAP の
binder
インスペクタで、検査するトラフィックの正しいポート、ロール、およびプロトコル情報を使用して、"type":"cip"
セクションを更新します。 -
同じ NAP の
cip
インスペクタでデフォルト値を確認し、CIP トラフィックを検査するために必要な調整を行います。
次に、cip
の設定とバインディングの例を示します。この例では、バインダインスペクタのパラメータで説明したオプションを使用します。
{
"use": {
"type":"cip"
},
"when": {
"proto":"udp",
"ports":"22222 33333",
"role":"server"
}
},
{
"use": {
"type":"cip"
},
"when": {
"role":"server",
"ports":"44818",
"proto":"tcp"
}
},