IPS シグネチャの作成
Contrail Service Orchestration(CSO)のシグネチャ データベースには、定義済みの侵入防御システム(IPS)シグネチャが含まれています。テナント管理者ロールまたは適切な IPS タスクを持つカスタム ロールを持つユーザーは、[IPS シグネチャの作成(Create IPS Signature)] ページから、カスタマイズされた IPS シグネチャを作成して、新しい攻撃や未知の攻撃をブロックすることもできます。
カスタマイズした IPS シグネチャを作成するには:
IPS 署名を作成した後、IPS または免除ルールで署名を使用し、デバイスに展開できるファイアウォール ポリシーで(ルールを含む)IPS プロファイルを参照できます。
設定 |
ガイドライン |
---|---|
名前 |
英数字と特殊文字(コロン、ハイフン、ピリオド、アンダースコア)の文字列である IPS 署名の一意の名前を入力します。スペースは使用できません。最大長は 255 文字です。 |
説明 |
IPS シグネチャの説明を入力します。最大長は 1024 文字です。 |
カテゴリ |
定義済みのカテゴリまたは新しいカテゴリを入力します。カテゴリには、英数字と特殊文字 (ハイフンとアンダースコア) を含めることができ、先頭は英数字である必要があります。スペースは使用できません。最大長は 63 文字です。 カテゴリーを使用して攻撃オブジェクトをグループ化し、各カテゴリー内で、攻撃オブジェクトに重大度レベルを割り当てることができます。 |
アクション |
監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。
|
キーワード |
署名の検索と並べ替えに使用できる一意の識別子を入力します。キーワードは、攻撃と攻撃オブジェクトに関連している必要があります。たとえば、Amanda Amindexd Remote Overflow などです。 |
重大 度 |
署名が報告する攻撃の重大度レベルを選択します。
|
署名の詳細 |
|
バインディング |
攻撃がネットワークに侵入するために使用するプロトコルまたはサービスを選択します。
|
プロトコル |
[IP バインド] で、攻撃に一致させるトランスポート層のプロトコル番号を指定します。 範囲: 1 から 139 (1、6、および 17 を除く)。 |
次のヘッダー |
IPv6 バインディングの場合、攻撃に一致する IPv6 ヘッダーに続く次のヘッダーのトランスポート層プロトコル番号を指定します。 範囲: 1 から 139 (6、17、および 58 を除く)。 |
ポート範囲 |
TCP または UDP バインドの場合は、攻撃に一致させるポート番号またはポート範囲 (min-port-no-max-port-no 形式) を指定します。 |
プログラム番号 |
RPC バインドの場合は、攻撃に一致する RPC プログラム番号 (ID) を指定します。 |
サービス |
[サービス バインド] で、攻撃に一致するサービスを選択します。 |
時間カウント |
イベントをトリガーする前に、指定された時間内にIPSが攻撃を検出する回数を指定します。 |
時間範囲 |
攻撃のカウントが発生する範囲を指定します。
|
マッチアシュアランス |
誤検知フィルターを指定して、攻撃がネットワーク上で誤検知を生成する頻度に基づいて攻撃オブジェクトを追跡します。
|
パフォーマンスへの影響 |
このフィルターを指定して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択します。たとえば、パフォーマンスの低い攻撃オブジェクトを除外するには、次のようにします。
|
署名の追加 |
ステートフル攻撃シグネチャ (攻撃の特定のセクション内に常に存在するパターン) を使用して既知の攻撃を検出する 1 つ以上のシグニチャ攻撃オブジェクトを指定できます。
メモ:
カスタマイズされた IPS シグネチャの場合、少なくとも 1 つのシグネチャ攻撃オブジェクトまたは異常を指定する必要があります。
|
異常の追加 |
メモ:
プロトコル異常攻撃オブジェクトは、使用されている特定のプロトコルのルールセットに従って、接続内の異常またはあいまいなメッセージを検出します。 異常攻撃オブジェクトを追加、変更、または削除できます。
|
設定 |
ガイドライン |
---|---|
署名番号 |
システムによって生成された署名番号を表示します。このフィールドは変更できません。 |
コンテキスト |
IPS が特定のアプリケーション層プロトコルで攻撃を探すシグネチャの場所を定義する攻撃コンテキストを選択します。 |
方向 |
攻撃の接続方向を選択します。
|
パターン |
検出する攻撃のシグネチャパターン(ジュニパーネットワークス独自の正規表現構文)を入力します。 攻撃パターンは、コードのセグメント、URL、またはパケットヘッダーの値であり、署名パターンはその攻撃パターンを表す構文式です。 たとえば、大文字と小文字を区別しない一致に使用します |
Regex |
正規表現を入力して、ネットワーク上の悪意のある動作や望ましくない動作に一致するルールを定義します。例: 構文 \[hello\] の場合、想定されるパターンは hello で、大文字と小文字が区別されます。一致の例は、hElLo、HEllO、および heLLO です。 |
否定 |
このチェックボックスをオンにすると、指定したパターンがマッチングから除外されます。パターンを無効にすると、攻撃で定義されたパターンが指定されたパターンと一致しない場合、攻撃は一致したと見なされます。 |
設定 |
ガイドライン |
---|---|
異常番号 |
システムによって生成された異常番号を表示します。このフィールドは変更できません。 |
異常 |
攻撃で異常が定義されているプロトコル(サービス)を選択します。 |
方向 |
攻撃の接続方向を選択します。
|