カスタム IPS シグネチャの作成

一般

カスタム攻撃オブジェクトの名前を入力します。最大 250 文字。

カスタム攻撃オブジェクトの説明を入力します。

デバイスが攻撃を検知したときに実行するアクションをリストから選択します。

• なし — アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

• 閉じる — クライアントとサーバーをリセットします。

• クライアントを閉じる — 接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

• サーバーを閉じる — 接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

• ドロップ —接続に関連付けられたすべてのパケットをドロップし、接続のトラフィックが宛先に到達するのを防ぎます。スプーフィングされにくいトラフィックの接続を破棄するには、このアクションを使用します。

• パケットをドロップ — 一致するパケットを宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなどのなりすましが起きやすいトラフィックの攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、正規の送信元 IP アドレスからトラフィックを受信できないサービス拒否が発生する可能性があります。

• 無視 — 攻撃が一致した場合、接続の残りの部分のトラフィックスキャンを停止します。IPS は、特定の接続のルールベースを無効にします。

ネットワーク上の攻撃オブジェクトの重大度と一致する重大度をリストから選択します。

• クリティカル— 検知の回避、ネットワーク デバイスのクラッシュ、システムレベルの権限の取得を試みる悪用に一致する攻撃オブジェクトを含みます。

• 情報 — 以下のパラメーターに一致する攻撃オブジェクトが含まれます。

  • URL を含む正常で無害なトラフィック

  • DNS ルックアップの失敗

  • SNMP パブリック コミュニティ文字列

  • ピアツーピア(P2P)

• メジャー — 以下を試みる悪用に一致する攻撃オブジェクトが含まれます。

  • サービスを中断する。

  • ネットワーク デバイスにユーザーレベルでアクセスできます。

  • デバイスに以前にロードされたトロイの木馬をアクティブ化します。

• マイナー — ディレクトリトラバーサルまたは情報漏えいを介して重要な情報にアクセスしようとする偵察作業を検知する攻撃オブジェクトを含みます。

• 警告 — 重要ではない情報を取得したり、スキャン ツールを使用してネットワークをスキャンしたりしようとする悪用に一致する攻撃オブジェクトが含まれます。

検出フィルター

攻撃オブジェクトが指定されたスコープ内で攻撃を検知する必要がある回数を設定します。この検知は、攻撃対象が攻撃対象と一致するかどうかをデバイスが判断する前に発生します。

範囲:0~4,294,967,295

カウントが発生するリストからスコープを選択します。

• なし — アクションは実行されません。このオプションは、一部のトラフィックのログのみを生成する場合に使用します。

• 宛先 —送信元 IP アドレスに関係なく、指定された回数、宛先 IP アドレスからのトラフィックの署名を検出します。

• セッション—指定された回数のセッションの送信元と宛先のIPアドレス間のトラフィックの署名を検出します。

• 送信元—宛先IPアドレスに関係なく、指定された回数、送信元IPアドレスからのトラフィックのシグネチャを検出します。

タイムバインディングカスタム攻撃の任意の2つのインスタンス間の最大時間間隔を入力します。

サポートされている形式は MMm-SS です。

範囲:0分、0秒~60分、0秒。

署名

シグネチャ—IPS はステートフル シグネチャを使用して攻撃を検知します。ステートフル シグネチャを使用して、IPS は攻撃の実行に使用された特定のプロトコルまたはサービスを検索します。

リストから攻撃コンテキストを選択し、IPS が特定のアプリケーション レイヤー プロトコルで攻撃を検知するシグネチャの場所を定義します。

攻撃がネットワークの侵入に使用するプロトコルをリストから選択します。

攻撃が一致する必要があるアプリケーションをリストから選択します。

IPS が攻撃と一致できるようにするトランスポート レイヤー プロトコル番号を設定します。

範囲:0~139

攻撃と一致させるリモートプロシージャコール(RPC)プログラム番号を設定します。

ポート範囲の最小ポートを設定します。

範囲:0~65,535

ポート範囲の最大ポートを設定します。

範囲:0~65,535

攻撃が検知されたリストからトラフィック方向を選択します。

• クライアントからサーバーへ—クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

• サーバーからクライアントへ—サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

• 任意の方向— どちらの方向でも攻撃を検知します。

コンテンツ

決定性有限自動化(DFA)形式で署名パターンを入力します。

例えば：

構文: \[hello\]、 パターンを使用するとhelloになり、大文字と小文字が区別されません。

構文の一致例は、hElLo、HEllO、heLLO です。

標準的なPerl互換正規表現(PCRE)形式で署名パターンを入力します。

構文例: Sea[ln]、 パターンは Seal で、大文字と小文字が区別されます。

構文の一致例は、Seal、Seam、Seanです。

指定したパターンを検索するパケットの深さを指定できます。奥行きは相対的なものではありません。たとえば、深度の値を 100 に指定できます。

深度変数名を入力します。

使用する深度値を設定します。

範囲:1~65535

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲:1~65535

このオプションを有効にすると、ペイロードに指定された場所のデータがあることを確認できます。

IS データの結果を無効にするには、このオプションを有効にします。

このオプションを有効にして、最後のパターン一致に対するオフセットを使用します。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。

オフセット変数名を入力します。

異常—プロトコルの異常攻撃オブジェクトは、プロトコルのルールセットを使用して、接続内の異常または不明瞭なメッセージを検出します。

リストからサービスを選択します。サービスとは、攻撃に異常が定義されたプロトコルです。例:IP、TCP、ICMP。

チェック対象のリストからプロトコル異常テスト条件を選択します。

チェーン—連鎖攻撃オブジェクトは、複数のシグネチャやプロトコルの異常を1つのオブジェクトに組み合わせます。トラフィックは、チェーン攻撃オブジェクトと一致するように、組み合わせたシグネチャやプロトコルの異常をすべて一致させる必要があります。

攻撃がネットワークの侵入に使用するプロトコルをリストから選択します。

攻撃が一致するアプリケーションを選択します。

IPS が攻撃と一致できるようにするトランスポート レイヤー プロトコル番号を設定します。

範囲:0~139

攻撃と一致させるリモートプロシージャコール(RPC)プログラム番号を設定します。

ポート範囲の最小ポートを設定します。

範囲:0~65,535

ポート範囲の最大ポートを設定します。

範囲:0~65,535

チェーン攻撃を受けるかどうかを決定するチェーン攻撃の個々のメンバーの条件を定義するブール式を選択します。

• AND — メンバー名パターンが両方とも一致する場合、式は一致します。メンバーの順序は重要ではありません。

• OR — メンバー名パターンのいずれかが一致する場合、式は一致します。

• OAND — メンバー名パターンの両方が一致し、それらがブール式と同じ順序で表示される場合、式は一致します。

このオプションを有効にすると、指定した順序で各メンバーシグネチャまたはプロトコルの異常に一致する必要がある複合攻撃オブジェクトを作成できます。順序付き一致を指定しない場合、複合攻撃オブジェクトは依然としてすべてのメンバーに一致する必要がありますが、攻撃やプロトコルの異常は順不同で表示される可能性があります。

1 つのセッションまたはトランザクション内で複合攻撃を複数回マッチさせる必要がある場合は、このオプションを有効にします。

次のいずれかのスコープを選択します。

• セッション — 同じセッション内のオブジェクトに対して複数の一致を許可します。

• トランザクション — 同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

署名の追加

編集する既存の署名を選択します。編集アイコン(鉛筆)をクリックし、必要な変更を行い、[OK] をクリック します。

削除する既存の署名を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。

「+」をクリックして、ステートフル攻撃シグネチャ(攻撃の特定のセクションに常に存在するパターン)を使用する1つ以上のシグネチャ攻撃オブジェクトを追加して、既知の攻撃を検知します。

システム生成署名番号を表示します。このフィールドは変更できません。

リストから攻撃コンテキストを選択し、IPS が特定のアプリケーション レイヤー プロトコルで攻撃を検索するシグネチャの場所を定義します。

攻撃が検知されたリストからトラフィック方向を選択します。

• 任意の方向— どちらの方向でも攻撃を検知します。

• クライアントからサーバーへ—クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

• サーバーからクライアントへ—サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

コンテンツ

決定性有限自動化(DFA)形式で署名パターンを入力します。

構文例: \[hello\]、 パターンはhelloで大文字と小文字を区別しません。

構文の一致例は、hElLo、HEllO、heLLO です。

標準的なPerl互換正規表現(PCRE)形式で署名パターンを入力します。

構文例: Sea[ln]、 パターンは Seal で、Unicode は区別されません。

Seal、Seam、Sean の構文に一致する例

指定したパターンを検索するパケットの深さを指定できます。奥行きは相対的なものではありません。たとえば、深度の値を 100 に指定できます。

深度変数名を入力します。

使用する深度値を設定します。

範囲:1~65535

IPS エンジンが前のパターン一致の終了との関連で指定されたパターンの検索を開始する前に、無視するパケット データの量を指定できます。

距離の変数名を入力します。

使用する一致値を設定します。これは常に以前の一致に対して相対的です。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲:1~65535

このオプションを有効にすると、ペイロードに指定された場所のデータがあることを確認できます。

IS データの結果を無効にするには、このオプションを有効にします。

このオプションを有効にして、最後のパターン一致に対するオフセットを使用します。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲:1~65535

パターン一致間に最大 N バイトを指定できます。

一致変数名を入力します。

使用する一致値を設定します。これは常に以前の一致に対して相対的です。

異常を追加

編集する既存の異常を選択します。編集アイコン(鉛筆)をクリックし、必要な変更を行い、[OK] をクリック します。

削除する既存の異常を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。

+ をクリックして、1 つ以上のプロトコル異常攻撃オブジェクトを追加し、使用されている特定のプロトコルのルールセットに従って、接続内で異常または不明瞭なメッセージを検出します。

システム生成の異常値を表示します。このフィールドは変更できません。

チェック対象のプロトコル異常テスト条件を選択します。