Botnet Traffic Filter について
Botnet Traffic Filter のアドレス カテゴリ
ボットネット トラフィック フィルタのモニター対象のアドレスは次のとおりです。
-
既知のマルウェアアドレス:これらのアドレスは、動的データベースおよび静的ブロックリストによって識別されるブロックリストに含まれています。
-
既知の許可アドレス:これらのアドレスは、許可リストに含まれています。許可されるには、アドレスが、動的データベースによってブロックされ、かつ静的許可リストによって識別される必要があります。
-
あいまいなアドレス:ブロックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレス。これらのアドレスは、グレーリストに含まれています。
-
リストに記載されていないアドレス:どのリストにも記載されていない不明アドレス。
既知アドレスに対する Botnet Traffic Filter のアクション
ボットネット トラフィック フィルタを設定して、疑わしいアクティビティをログに記録できます。必要に応じてボットネット トラフィック フィルタを設定して、疑わしいトラフィックを自動的にブロックすることもできます。
リストに記載されていないアドレスについては、syslog メッセージは生成されません。ただし、ブロックリスト、許可リスト、およびグレイリストに記載されているアドレスについては、タイプ別の syslog メッセージが生成されます。
Botnet Traffic Filter データベース
ボットネット トラフィック フィルタでは、既知のアドレスについて 2 つのデータベースが使用されます。両方のデータベースを使用するか、ダイナミック データベースをディセーブルにしてスタティック データベースだけを使用することができます。このセクションは、次のトピックで構成されています。
-
動的データベースに関する情報
-
静的データベースに関する情報
動的データベースに関する情報
ボットネット トラフィック フィルタでは、Cisco アップデート サーバーからダイナミック データベースの定期アップデートを受け取ることができます。このデータベースには、数千もの既知の不正なドメイン名と IP アドレスが含まれています。
セキュリティ アプライアンスでは動的データベースを次のように使用します。
-
DNS 応答内のドメイン名が動的データベース内の名前と一致した場合、Botnet Traffic Filter はその名前および IP アドレスを DNS 逆ルックアップ キャッシュに追加します。
-
感染したホストがマルウェア サイトの IP アドレスへの接続を開始すると、セキュリティ アプライアンスは、疑わしいアクティビティについて通知する syslog メッセージを送信します。
-
場合によっては、IP アドレス自体がダイナミック データベースに入力され、ボットネット トラフィック フィルタは DNS 要求を検査せずに、その IP アドレスへのすべてのトラフィックをログに記録します。
(注) |
データベースを使用するには、セキュリティ アプライアンスが URL にアクセスできるように、必ずセキュリティ アプライアンス用にドメイン ネーム サーバを設定してください。動的データベースでドメイン名を使用するには、Botnet Traffic Filter のスヌーピングとともに DNS パケット インスペクションをイネーブルにする必要があります。セキュリティ アプライアンスは DNS パケット内を調べて、ドメイン名と関連する IP アドレスを見つけます。 |
静的データベースに関する情報
不正な名前と見なすドメイン名または IP アドレス(ホストまたはサブネット)をブロックリストに手動で入力できます。許可リストに名前または IP アドレスを入力して、許可リストと動的ブロックリストの両方に表示される名前またはアドレスが syslog メッセージおよびレポートでは許可リストアドレスとしてのみ識別されるようにすることもできます。
これ以外に、Botnet Traffic Filter のスヌーピングとともに DNS パケット インスペクションをイネーブルにする方法もあります。DNS スヌーピングを使用すると、感染したホストが静的データベース上の名前に対して DNS 要求を送信した場合に、セキュリティ アプライアンスは DNS パケット内を調べてドメイン名および関連する IP アドレスを見つけ、その名前および IP アドレスを DNS 逆ルックアップ キャッシュに追加します。