Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

ネットワーク プロトコル コンテキスト

これらの攻撃オブジェクトおよびグループは、ネットワーク トラフィック内の既知の攻撃パターンおよびプロトコル異常を検出するように設計されています。ネットワーク プロトコルの攻撃オブジェクトおよびグループは、IDP ポリシー ルールの一致条件として設定できます。

サービス コンテキスト: BGP

次の表に、BGP のセキュリティ コンテキストの詳細を示します。

表 1: サービス コンテキスト: BGP

コンテキストと方向性

形容

表示名

bgp-keepalive-msg(ANY)

BGPキープアライブメッセージを照合します。

BGP キープアライブ メッセージ

bgp-message(ANY)

任意のBGPメッセージを照合します。

BGP メッセージ

bgp-notification-msg(任意)

BGP 通知メッセージを照合します。

BGP 通知メッセージ

bgp-open-msg(任意)

BFP オープン メッセージを照合します。

BGP オープン メッセージ

bgp-open-no-parm(ANY)

省略可能なパラメーターなしの BFP オープン メッセージを照合します。

オプションパラメータなしのBGPオープンメッセージ

bgp-open-parm(任意)

BGP オープン メッセージのオプション パラメーターを照合します。

オープンメッセージのBGPオプションパラメータ

bgp-route-refresh-msg(ANY)

BGPルート更新メッセージに一致します

BGP ルート更新メッセージ

bgp-update-attr-aggregator(ANY)

BGP アップデート メッセージのアグリゲータ パス パス属性データを照合します。

更新メッセージのBGPアグリゲータパス属性

bgp-update-attr-as-path(ANY)

BGPアップデートメッセージ内のASパス属性データを照合します。

更新メッセージ内のBGP ASパスパス属性

bgp-update-attr-atomic-aggr(ANY)

BGP アップデート メッセージ内のアトミック アグリゲーターのパス属性データを照合します。

更新メッセージ内のBGP アトミックアグリゲーターのパス属性

bgp-update-attr-cluster-list(ANY)

BGP アップデート メッセージ内のクラスタリスト パスパス属性データを照合します。

更新メッセージに含まれるBGPクラスタリストパス属性

bgp-update-attr-communities(任意)

BGP アップデート メッセージ内のコミュニティ パス属性データを照合します。

更新メッセージ内のBGPコミュニティパス属性

bgp-update-attr-local-pref(ANY)

BGP アップデート メッセージの Local-Pref パス属性データを照合します。

アップデートメッセージに含まれるBGPローカルprefパス属性

bgp-update-attr-med(任意)

BGP アップデート メッセージ内の Multi-Exit-Disc パス属性データを照合します。

アップデートメッセージに含まれるBGPマルチ出口ディスクパス属性

bgp-update-attr-next-hop(ANY)

BGP アップデート メッセージのネクストホップ パス パス属性データを照合します。

更新メッセージに含まれるBGPネクストホップパス属性

bgp-update-attr-nonstd(ANY)

BGP アップデート メッセージ内の任意の非標準パス パス属性データを照合します。

更新メッセージのBGP非標準パス属性

bgp-update-attr-rigin(任意)

BGPアップデートメッセージの送信元パス属性の日付を照合します。

更新メッセージ内のBGP起点パス属性

bgp-updet-attr-originator(ANY)

BFP アップデート メッセージの発信元パスパス属性データを照合します。

アップデートメッセージ内のBGPオリジネーターパス属性

bgp-update-msg(任意)

BGP アップデート メッセージを照合します。

BGP アップデート メッセージ

bgp-update-nlri_infor(ANY)

BGP 更新メッセージ内のネットワーク層到達可能性情報を照合します。

更新メッセージ内の BGP ネットワーク層の到達可能性情報

bgp-update-norm-unfeasible-rte(任意)

BFP 更新メッセージの到達不能ルート データを照合します。このコンテキストでは、各ルートが 4 バイトに拡張され、先頭に区切り文字が付けられて表示されます。

BGP 更新メッセージ内の使用不能ルート(正規化)

bgp-update-total-path-attribute(ANY)

BGP アップデート メッセージ内の合計パス属性データを照合します。

更新メッセージのBGP合計パス属性

bgp-update-unfeasible-rts(ANY)

BGPアップデートメッセージ内の使用不能ルートデータを照合します。

BGP 更新メッセージの使用可能なルート

サービス コンテキスト: DHCP

次の表に、DHCP のセキュリティ コンテキストの詳細を示します。

表 2: サービス コンテキスト: DHCP

コンテキストと方向性

形容

コンテキストの例

dhcp-file-name(ANY)

DHCP/bootp メッセージ内のファイル名を照合します。

dhcp-option(ANY)

DHCP/bootp メッセージの各オプションを照合します。各オプションコンテキストには、オプションの種類と長さが含まれています。

Example of field in DHCP transaction:

Dynamic Host Configuration
Protocol Message type: Unknown
(144)
Hardware type: Unknown (0x90)
Hardware address length: 144 Hops: 144
Transaction ID: 0x90909090
Seconds elapsed: 37008
Bootp flags: 0x9090, Broadcast flag (Broadcast)
Client IP address: 144.144.144.144 Your (client) IP address: 144.144.144.144 Next server IP
address: 144.144.144.144 Relay agent IP address: 144.144.144.144 Client address not given
Server host name [truncated]:
\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\ 277\275\357\277\275\357\277\275357\277\275\357\277\275\357\277\275\357\277\275\357\277\2 75\357\277\275\357\277\275\357 Boot file name [truncated]:
\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\ 27 7\27 5\35 7\27 7\27 5\357\277\275\357\277\275\3572 77\2 75\35 7\27 7\27 5\35 7\27 7\27 5\357\277\2 751357\277\275\357\2772 7513 572
Bootp vendor specific options: 909090909090909090909090909090909090909090909090...
Option: (144) Geospatial Location [IODO:RFC6225]
Length: 144
Value: 909090909090909090909090909090909090909090909090...
Option: (144) Geospatial Location [TOdO:RFC6225]
Option: (144) Geospatial Location [T0D0:RFC6225]
Option: (144) Geospatial Location [T0D0:RFC6225]
Option: (141) SIP UA Configuration Domains Option: (192) Unassigned
[Malformed Packet: DHCP/BOOTP]

Example of context usage:
Context: dhcp-option pattern: "\x 909090 \x"

dhcp-server-name(ANY)

DHCP/bootp メッセージ内のサーバー名を照合します。

サービス コンテキスト: DNS

次の表に、DNSのセキュリティコンテキストの詳細が表示されます。

表 3: サービス コンテキスト: DNS

コンテキストと方向性

形容

コンテキストの例

dns-cname(ANY)

DNS 要求または応答の CNAME を照合します。

DNS フラグ

DNS 要求または応答のフラグに一致します

dns-rr-a6-rdata(任意)

DNS 要求応答の A6 RR の rdata を照合します。

dns-rr-afsdb-rdata(ANY)

DNS 要求または応答の AFSDB RR の rdata を照合します。

dns-rr-apl-rdata(ANY)

DNS 要求または応答の APL RR の rdata を照合します。

dns-rr-atma-rdata(ANY)

DNS 要求または応答の ATMA RR の rdata を照合します。

dns-rr-cname-rdata(ANY)

DNS 要求または応答の CNAME RR の rdata を照合します。

dns-rr-dnskey-rdata(ANY)

DNS 要求または応答の DNSKEY RR の rdata を照合します。

dns-rr-ds-rdata(任意)

DNS 要求または応答のDN RRのrdataを照合します。

dns-rr-eid-rdata(ANY)

DNS 要求または応答の EID RR の rdata を照合します。

dns-rr-hinfo-rdata(ANY)

DNS 要求または応答の HINFO RR の rdata と一致します。

dns-rr-key-rdata(ANY)

DNS 要求または応答の KEY RR の rdata を照合します。

dns-rr-kx-rdata(任意)

DNS 要求または応答の KX RR の rdata を照合します。

dns-rr-mb-rdata(ANY)

DNS 要求または応答の MB RR の rdata を照合します。

dns-rr-md-rdata(任意)

DNS 要求または応答の MD RR の rdata を照合します。

dns-rr-mf-rdata(ANY)

DNS 要求または応答の MF RR の rdata を照合します。

dns-rr-mg-rdata(ANY)

DNS 要求または応答の MG RR の rdata を照合します。

dns-rr-minfo-rdata(ANY)

DNS 要求または応答内の MINFO RR の rdata を照合します。

dns-rr-mr-rdata(任意)

DNS 要求または応答の MR RR の rdata を照合します。

dns-rr-mx-rdata(ANY)

DNS 要求または応答の MX RR の rdata を照合します。

dns-rr-naptr-rdata(ANY)

DNS 要求または応答の NAPTR RR の rdata を照合します。

dns-rr-nimloc-rdata(任意)

DNS 要求または応答内の NIMLOC RR の rdata を照合します。

dns-rr-nsap-rdata(ANY)

DNS 要求または応答の NSAP RR の rdata を照合します。

dns-rr-ns-rdata(ANY)

DNS 要求または応答の NS RR の rdata を照合します。

dns-rr-nsapptr-rdata(ANY)

DNS 要求または応答の NSAPPTR RR の rdata を照合します。

dns-rr-nsec-rdata(ANY)

DNS 要求または応答の NSEC RR の rdata を照合します。

dns-rr-null-rdata(ANY)

DNS 要求または応答の NULL RR の rdata を照合します。

dns-rr-nxt-rdata(ANY)

DNS 要求または応答の NXT RR の rdata を照合します。

dns-rr-ptr-rdata(ANY)

DNS 要求または応答の PTR RR の rdata を照合します。

dns-rr-px-rdata(ANY)

DNS 要求または応答の PX RR の rdata を照合します。

dns-rr-rp-rdata(ANY)

DNS 要求または応答の RP RR の rdata を照合します。

dns-rr-rrsig-rdata(ANY)

DNS 要求または応答の RRSIG RR の rdata を照合します。

dns-rr-sig-rdata(ANY)

DNS 要求または応答の SIG RR の rdata を照合します

dns-rr-soa-rdata(ANY)

DNS 要求または応答の SOA RR の rdata を照合します。

dns-rr-sshfp-data(任意)

DNS 要求または応答の SSHFP RR の rdata を照合します。

dns-rr-tsip-rdata(ANY)

DNS 要求または応答の TSIP RR の rdata を照合します。

dns-rr-txt-rdata(ANY)

DNS 要求または応答の TXT RR の rdata を照合します。

dns-rr-type-rdata(ANY)

タイプとクラスを含む、DNS 要求または応答のリソース レコード全体を照合します。

dns-rr-wks-rdata(任意)

DNS 要求または応答の WKS RR の rdata を照合します。

dns-type-name(任意)

DNS 要求または応答内の任意の名前リソース レコードと一致します。コンテキストの最初の 2 バイトには、RFC-1035 型値が含まれています。

DNSアップデートヘッダー

DNS UPDATE 要求または応答のヘッダーを照合します。

サービス コンテキスト: IKE

表に、IKEのセキュリティコンテキストの詳細を示します。

表 4: サービス コンテキスト: IKE

コンテキストと方向性

形容

コンテキストの例

ike-payload(ANY)

IKE トランザクションのペイロードを照合します

Internet Security Association and Key Management Protocol

Initiator SPI: 1717171717171717
Responder SPI: 0000000000000000
Next payload: Notification (11)
Version: 1.0
Exchange type: Informational (5)
Flags: Ox00
Message ID: 0x00000000
Length: 40
Payload: Notification (11)

Example of context usage:
Context: ike-payload pattern: "\xOb00Oc0000000101006002\x”

サービスコンテキスト:Modbus

次の表は、Modbusのセキュリティコンテキストの詳細を示しています。

表5:サービスコンテキスト:Modbus

コンテキストと方向性

形容

コンテキストの例

modbus-except-resp(STC)

Modbus 例外応答と一致します。

Example of field in MODBUS transaction:

Transmission Control Protocol Sre Port: 502. Dst Port: 2578. Seq: 1894886683. Ack: 1637347727. Len: 9
Modbus/TCP
Transaction Identifier: 0 Protocol Identifier: 0 Length: 3 Unit
Identifier: 10
Functions: Diagnostics. Exception: Gateway target device failed to respond .000
1000 = Function Code: Diagnostics (8)
Exception Code: Gateway target device failed to respond (11)
00 20 78 00 62 Od 00 02 b3 ce 70 51 08 00 45 00 . x.b pQ.E.
00 31ffe5 40 00 80 06 6 a5 0a 00 00 03 0a 00 1.@
00 39 01 f6 0a 12 70 fl ad lb 61 97 fl 8f50 18 .9..p...a...P.
ff£3 08 ed 00 00 00 00 00 00 00 03 0a 88 Ob

Example of context usage:
Context: modbus-except-response pattern: “\xOa88\x”

modbus-request(CTS)

Modbus要求に一致

Example of field in MODBUS transaction:
Modbus/TCP
Transaction Identifier: 0
Protocol Identifier: 0
Length: 6
Unit Identifier: 10
Modbus
.0001000 = Function Code: Diagnostics (8)
Diagnostic Code: Force Listen Only Mode (4)
Data: 0000
00 02 b3 ce 70 51 00 20 78 00 62 Od 08 00 45 00 ....
00 34 85 83 40 00 80 06 61 05 0a 00 00 39 0a 00 .4.
00 03 0a 12 01 f6 61 97 fl 83 70 fl ad lb 50 18
fa fO 19 52 00 00 00 00 00 00 00 06 0a 08 00 04 ...R.
00 00

Example of context usage:
Context: modbus-request pattern: “\x 060a x”

modbus-response(STC)

Modbus応答と一致します。

Example of field in MODBUS transaction:

Transmission Control Protocol. Src Port: 502. Port: 2578. Seq: 1894886719. Ack: 1637347775.Len: 12
Modbus/TCP
Transaction Identifier: 0
Protocol Identifier: 0
Length: 6
Unit Identifier: 10
Modbus
.0001000 = Function Code: Diagnostics (8)
[Request Frame: 17]
[Time from request: 0.002023000 seconds]
Diagnostic Code: Restart Communications Option (1)
Restart Communication Option: Leave Log (0x0000)
00 20 78 00 62 Od 00 02 b3 ce 70 51 08 00 45 00 . x.b pQ..E.
00 34 ff e9 40 00 80 06 e6 9e Oa 00 00 03 Oa 00 .4..@
00 39 01 f6 Oa 12 70 fl ad 3f 61 97 fl bf 50 18 .9....p..?a...P.
ff c3 14 22 00 00 00 00 00 00 00 06 0a 08 00 01 ..."
00 00

Example of context usage:
Context: modbus-response pattern: "\x 080001 \x"

modbus-trailing-data(任意)

最初のMODBUS PDUの後の追跡データを照合します。

サービスコンテキスト: MSRPC

次の表に、MSRPC のセキュリティ コンテキストの詳細を示します。

表 6: サービス コンテキスト: MSRPC

コンテキストと方向性

形容

コンテキストの例

msrpc-ans(STC)

MSRPC セッションの応答データを照合します

msrpc-call(CTS)

MSRPCセッションでリクエストデータを照合します

msrpc-ifid-str(任意)

MSRPC セッションのインターフェイス ID 文字列を照合します。

msrpc-raw(任意)

MSRPCセッションの生データを照合します

サービス コンテキスト: NetBIOS

次の表に、NetBIOS のセキュリティ コンテキストの詳細が表示されます。

表 7: サービス コンテキスト: NetBIOS

コンテキストと方向性

形容

表示名

nbds-browse-backup-server(ANY)

NetBIOSブラウズ・メッセージ内のバックアップ・サーバ名を照合します。

NBDS ブラウズ バックアップ サーバー

nbds-browse-server-name(ANY)

NetBIOS 参照メッセージ内のサーバーの名前を照合します。

NBDS ブラウズ サーバー名

nbds-destination-name(ANY)

NetBIOS メッセージの宛先名フィールドを照合します。

NBDS 宛先名

nbds-mailslot-name(任意)

NetBIOS メールスロット メッセージ内のメールスロットの名前を照合します。

NBDS メールスロット名

nbds-source-ip-address(ANY)

NetBIOS データグラム ヘッダーの送信元 IP フィールドと一致します。

NBDS 送信元 IP アドレス

nbds-source-name(ANY)

NetBIOS メッセージの送信元名フィールドと一致します。

NBDS ソース名

nbds-source-port(ANY)

NetBIOS データグラム ヘッダーの送信元ポート フィールドを照合します。

NBDS 送信元ポート

nbname-node-name(ANY)

ステータス応答メッセージ内のノード名と一致します。

NBNAME ノード名

nbname-node-status(ANY)

ノードステータス応答の統計フィールドに一致します。

NBNAME ノード状況

nbname-nsd-ip-address(任意)

リダイレクト名クエリ応答メッセージで指定された NetBIOS ネーム サーバーの IP アドレスと一致します。

NBNAME Nsd IP アドレス

nbname-nsd-name(任意)

リダイレクト名クエリ応答メッセージで指定された NetBIOS ネーム サーバーの名前と一致します。

NBNAME Nsd 名

nbname-resource-address(ANY)

リソース レコードからリソースの IP アドレスを照合します。

NBNAME リソース アドレス

nbname-type-name(任意)

質問またはリソースレコードのタイプと名前を照合します。

NBNAME タイプ名

サービス コンテキスト: NTP

次の表に、NTP のセキュリティ コンテキストの詳細を示します。

表 8: サービス コンテキスト:NTP

コンテキストと方向性

形容

コンテキストの例

ntp-ctrl-data-opt(任意)

NTP 制御メッセージのデータ フィールドを照合します。

Example of field in NTP transaction:
User Datagram Protocol, Src Port: 57629, Dst Port: 123
Network Time Protocol (NTP Version 2, control)
Flags: 0x16, Leap Indicator: no warning. Version number: NTP Version 2, Mode: reserved for NTP control message
Flags 2: 0x08, Response bit: Request, Opcode: runtime configuration
Sequence: 2 [Response In: 2]
Status: 0x0000
AssociationD: 0
Offset: 0 Count: 35
Data
Configuration: server 172.16.8.218 mode 3735928559
Padding: 00
Authenticator

Example of context usage:
Context: ntp-ctrl-data-opt pattern: "server"

ntp-ctrl- オペコード-応答 -var (ANY)

NTP 制御メッセージ データ フィールドにある名前と値のペアをそれぞれ照合します。コンテキストには、1 バイトの NTP 制御メッセージ オペコードと 1 バイトの NTP 応答タイプが含まれます。

Example of field in NTP transaction:

User Datagram Protocol, Src Port: 49874, Dst Port: 123
Network Time Protocol (NTP Version 2, control)
Flags: 0x16, Leap Indicator: no warning. Version number: NTP Version 2, Mode: reserved for NTP control message
Flags 2: 0x02, Response bit: Request, Opcode: read variables
Sequence: 1
Status: 0x0000
Association ID: 0
Offset: 0
Count: 310
Data
stratum=
Padding: e2357a79727d Authenticator

Example of context usage:
Context: ntp-ctrl-opcode-response-var pattern: "stratum="

サービス コンテキスト: SNMP

表に、SNMP のセキュリティ コンテキストの詳細を示します。

表 9: サービス コンテキスト: SNMP

コンテキストと方向性

形容

コンテキストの例

snmp-community(ANY)

任意のSNMPリクエストまたはレスポンスのコミュニティ名を照合します。

Example of field in SNMP transaction:

User Datagram Protocol, Src Port: 3301, Dst Port: 161
Simple Network Management Protocol
    version: version-1 (0)
    community: FirstBogus 
    data: get-request (0)

Example of context usage:
Context: snmp-community pattern: "First”

snmp-get- bulk-oid(CTS)

任意の SNMP Get-Bulk 要求のバイナリ OID を照合します。

Example of field in SNMP transaction:

Simple Network Management Protocol 
    version: v2c (1) 
    community: public
    data: getBulkRequest (5)
        getBulkRequest
            request-id: 34487 
            non-repeaters 0 
            max-repetitions: 2147483647
            variable-bindings: 110 items
            1.3: Value (Null)
              Object Name: 1.3 (iso.3)
              Value (Null)
             1.3: Value (Null)
                Object Name: 1.3 (iso.3) 
                Value (Null)

Example of context usage:
Context: snmp-get-bulk-oid pattern: "1\.3”

snmp-get- bulk-oid-parsed(CTS)

任意の SNMP Get-Bulk 要求で人間が判読できる OID を照合します。

snmp-get- next-oid(CTS)

任意の SNMP Get-Next リクエストのバイナリ OID を照合します。

snmp-get- next-oid-parsed(CTS)

任意の SNMP Get-Next リクエストで人間が判読できる OID を照合します。

snmp-get-oid(CTS)

任意のSNMP GetリクエストのバイナリOIDを照合します。

snmp-get- oid-parsed(CTS)

任意のSNMP Getリクエストで人間が判読できるOIDを照合します。

Example of field in SNMP transaction:

Simple Network Management Protocol
    version: version-1 (0)
    community: FirstBogus
    data: get-request (0)
        get-request
            request-id: 29248
            error-status: noError (0)
            error-index: 0
            variable-bindings: 1 item
                1.3.6.1.2.1.1.1.0: Value (Null)    
                    Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                    Value (Null)

Example of context usage:
Context: snmp-get-oid-parsed pattern: "iso\.3\.6"

snmp-oid(ANY)

任意のSNMPリクエストまたはレスポンスのバイナリOIDを照合します。

Example of field in SNMP transaction:

Simple Network Management Protocol
version: version-1 (0)
community: FirstBogus
data: get-request (0)
    get-request
        request-id: 29248
        error-status: noError (0)
        error-index: 0
        variable-bindings: 1 item
            1.3.6.1.2.1.1.1.0: Value (Null)
                Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                Value (Null)

Example of context usage:
Context: snmp-oid pattern: "1\.3”

snmp-oid-parsed(ANY)

SNMPリクエストまたは応答の人間が判読できるOIDを照合します。

Example of field in SNMP transaction:

Simple Network Management Protocol
version: version-1 (0)
community: FirstBogus
data: get-request (0)
    get-request
        request-id: 29248
        error-status: noError (0)
        error-index: 0
        variable-bindings: 1 item
            1.3.6.1.2.1.1.1.0: Value (Null)
                Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                Value (Null)

Example of context usage:
Context: snmp-oid pattern: "1\.3”

snmp-set-oid(CTS)

任意の SNMP Set 要求のバイナリ OID を照合します。

snmp-set-oid- parsed(CTS)

任意のSNMPセットリクエストで人間が判読できるOIDを照合します。

snmptrap-community(CTS)

任意のSNMPTRAPメッセージ内のコミュニティ名を照合します。

snmptrap-eid(CTS)

任意の SNMPTRAP メッセージのバイナリ EID(エンタープライズ ID)を照合します。

snmptrap-eid-parsed(CTS)

任意の SNMPTRAP メッセージ内の人間が判読できる EID(エンタープライズ ID)を照合します。

snmptrap-inform-oid(CTS)

任意の SNMPTRAP インフォーム メッセージのバイナリ OID を照合します。

snmptrap- inform-oid-parsed(CTS)

任意の SNMPTRAP インフォーム メッセージ内の人間が判読できる OID を照合します。

snmptrap-oid(CTS)

任意のSNMPTRAPメッセージ内のバイナリOIDを照合します。

snmptrap-oid- parsed(CTS)

任意のSNMPTRAPメッセージ内の人間が判読できるOIDを照合します。

snmptrap-v2- oid(CTS)

任意の SNMPTRAP v2 メッセージのバイナリ OID を照合します。

snmptrap-v2- oid-parsed(CTS)

任意のSNMPTRAP v2メッセージ内の人間が判読できるOIDを照合します。