Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IPS シグネチャ ページについて

現在地: IPS >シグネチャ>セキュリティ サービス

侵入防御システム(IPS)は、トラフィックを既知の脅威のシグネチャと比較し、脅威が検出されるとトラフィックをブロックします。ネットワーク侵入とは、ネットワーク リソースに対する攻撃またはその他の誤用です。このようなアクティビティを検知するために、IPS はシグネチャを使用します。シグネチャは、デバイスが検出して報告するネットワーク侵入の種類を指定します。トラフィック パターンがシグネチャに一致するたびに、IPS はアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。IPS の重要なコンポーネントの 1 つがシグネチャ データベースです。これには、攻撃オブジェクト、アプリケーション署名オブジェクト、サービスオブジェクトなど、IPS ポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

攻撃対象をグループ化して、IPS ポリシーを整理し、管理しやすくすることができます。攻撃オブジェクト グループには、1 つ以上の種類の攻撃オブジェクトを含めることができます。Junos OSは、次の3種類の攻撃グループをサポートしています。

  • IPS シグネチャ - シグニチャ データベースに存在するオブジェクトが含まれます。

  • 動的グループ - 指定された一致条件を満たす攻撃オブジェクトが含まれます。署名の更新中、動的グループ メンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。たとえば、動的攻撃グループ フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ - 攻撃定義で指定された攻撃のリストが含まれます。

実行できるタスク

このページから、次のタスクを実行できます。

  • IPS シグネチャを IPS ポリシーに関連付けます。これを行うには、IPS シグネチャ ページのタイトルの下にある IPS ポリシー リンクをクリックして、IPS ポリシー ページに直接移動します。次に、[ ルールの追加 ] をクリックして、IPS シグネチャを特定のポリシーに割り当てます。詳細については、次を参照してください: IPS ポリシーにルールを追加する

  • IPS シグネチャ事前定義攻撃または攻撃グループのリストを表示します。これを行うには、[ 定義済み ] タブをクリックし、[表示方法] リストから [ 定義済み攻撃 ] または [ 定義済み攻撃グループ ] を選択します。

  • 定義済み IPS シグネチャの詳細を表示します。これを行うには、[事前定義(Preseted)] タブで既存の IPS シグネチャを選択し、使用可能なオプションに従います。

    • [ 詳細 ] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャ名の左側にカーソルを合わせ、[ 詳細ビュー(Detailed View )] アイコンをクリックします。

  • カスタム攻撃、静的グループ、または動的グループのカスタムシグネチャを表示します。これを行うには、[ カスタム ] タブをクリックし、[表示方法] リストから [ カスタム攻撃]、[ 静的グループ]、または [動的グループ ] を選択します。

  • snort ルールをインポートして、カスタム攻撃として変換します。 Snort ルールのインポートを参照してください

  • IPSシグネチャのカスタム攻撃を作成します。 カスタム IPS シグネチャの作成を参照してください。

  • IPS シグネチャ スタティック グループを作成します。 IPS シグニチャ スタティック グループの作成を参照してください。

  • IPS シグネチャ動的グループを作成します。 IPS シグニチャ動的グループの作成を参照してください。

  • カスタム攻撃、静的グループ、動的グループのIPSシグネチャの詳細を表示します。これを行うには、[カスタム(CUSTOM)] タブで既存の IPS シグネチャ、スタティック グループ、またはダイナミック グループを選択し、使用可能なオプションに従います。

    • [ 詳細 ] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャの左側にカーソルを合わせ、[ 詳細ビュー] をクリックします。

  • IPS シグネチャのクローンを作成します。 IPS シグネチャのクローン作成を参照してください。

  • IPS シグネチャを編集します。 IPS シグネチャの編集を参照してください

  • IPS 署名を削除します。 IPS シグネチャの削除を参照してください

  • 定義済みテーブルの列を表示または非表示にします。これを行うには、「定義済み」テーブルの右上隅にある「非表示の列を表示」アイコンをクリックします。次に、表示するオプションを選択するか、ページで非表示にするオプションをクリアします。

  • 定義済みまたはカスタムのIPSシグネチャの高度な検索。これを行うには、テーブルグリッドの上にある検索テキストボックスを使用します。検索には、フィルター文字列の一部として論理演算子が含まれます。検索テキスト ボックスでアイコンにカーソルを合わせると、フィルター条件の例が表示されます。検索文字列の入力を開始すると、アイコンにフィルター文字列が有効かどうかが示されます。

    詳細検索の場合:

    1. テキスト ボックスに検索文字列を入力します。

      入力に基づいて、フィルターのコンテキスト メニューから項目のリストが表示されます。

    2. 一覧から値を選択し、高度な検索操作を実行する有効な演算子を選択します。

      メモ:

      スペースバーを押して、検索文字列にAND演算子またはOR演算子を追加します。定義済みシグネチャは、AND 演算子のみをサポートします。検索条件を入力するときはいつでもバックスペースキーを押すと、1 文字だけ削除できます。

    3. Enter キーを押して、検索結果をグリッドに表示します。

フィールドの説明

表 1 および 表 2 に、IPS シグネチャ ページのフィールドを示します。

表 1: [定義済み] タブのフィールド

フィールド

説明

名前

定義済み IPS シグネチャの名前を表示します。

カテゴリ

攻撃オブジェクトのカテゴリが表示されます。

重大 度

署名が報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンのいずれであるかを表示します。

メモ:

このフィールドは、事前定義された攻撃にのみ適用されます。

タイプ攻撃

攻撃タイプが静的グループか動的グループかが表示されます。

メモ:

このフィールドは、定義済みの攻撃グループにのみ適用されます。

推奨

攻撃対象がジュニパーによって推奨されているか (True)、推奨されていないか (False) を示します。

推奨処置

監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されたアクションが表示されます。

誤検知

攻撃によってネットワーク上で誤検知が発生する頻度が表示されます。

パフォーマンス

IPS シグネチャのパフォーマンスに影響を与えるフィルターまたはフィルターを表示します。

方向

攻撃が検知されたトラフィックの方向またはトラフィックの方向を表示します。たとえば、クライアントからサーバーなどです。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスの両方のプロトコル、サービス、またはリストを表示します。
表 2: [カスタム] タブのフィールド

フィールド

説明

視聴方法: カスタム攻撃

名前

カスタム攻撃 IPS シグネチャの名前を表示します。

重大 度

署名が報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンのいずれであるかを表示します。

推奨処置

監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションを表示します。

表示方法: 静的グループ

名前

静的グループ IPS シグネチャの名前を表示します。

グループメンバー

IPS スタティック グループの一部である IPS シグネチャまたは IPS シグネチャ動的グループを表示します。

表示方法: 動的グループ

名前

動的グループ IPS シグネチャの名前を表示します。

攻撃プレフィックス

攻撃名のプレフィックス一致の値を表示します。

重大 度

シグネチャが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンのいずれであるかを表示します。

カテゴリ

攻撃オブジェクトのカテゴリが表示されます。

方向

攻撃が検知されたトラフィックの方向またはトラフィックの方向を表示します。たとえば、クライアントからサーバーなどです。

除外される攻撃

除外された攻撃または定義データベース更新の一部である攻撃が表示されます。

ファイルタイプ

攻撃ファイルの種類、または動的グループ フィルターとして使用されるファイルの種類を表示します。

誤検知

攻撃によってネットワーク上で誤検知が発生する頻度が表示されます。

推奨

攻撃対象がジュニパーによって推奨されているか (True)、推奨されていないか (False) を示します。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスの一覧を表示します。

ベンダー

攻撃が属するベンダーまたは製品を表示します。

脆弱性の種類

攻撃脆弱性タイプまたは動的グループ・フィルタとして使用される脆弱性タイプを表示します。

パフォーマンス

パフォーマンスに影響するフィルターまたは動的グループに使用されるフィルター。

CVSSスコア

共通脆弱性評価システム (CVSS) スコアまたは動的グループ・フィルターとして使用されるスコアを表示します。

攻撃の年齢

動的グループ フィルターとして使用される攻撃の経過時間 (年単位) を表示します。