IDP イベント ログ
基本的なJunos OSシステムロギングは、侵入検出および防止(IDP)を有効にした後も機能し続けます。
詳細については、次のトピックを参照してください。
IDP ロギングについて
IDP 対応デバイスは、設定データベースへのユーザーログインなどの日常的な操作のために発生するイベントを記録し続けます。構成ファイルへのアクセスの失敗などの失敗とエラー状態を記録します。システム メッセージをログに記録するようにファイルを設定し、重大度レベルなどの属性をメッセージに割り当てることもできます。IDPは、通常のシステムログメッセージに加えて、攻撃のイベントログを生成します。
IDP は、ロギングが有効になっている IDP ポリシー ルールにイベントが一致すると、イベント ログを生成します。ロギングのルールを設定すると、デバイスはそのルールに一致する各イベントのログ エントリーを作成します。CLIまたはJ-Webを使用して、イベントログを生成するポリシールールを設定できます。
IDP 攻撃検出イベント ログ メッセージ (IDP_ATTACK_LOG_EVENT_LS) では、経過時間、インバイト、アウトバイト、インパケット、およびアウトパケット フィールドは入力されません。
IDPイベントログは攻撃中に生成されるため、ログの生成はバーストで行われ、攻撃中にはるかに大量のメッセージが生成されます。他のイベント メッセージと比較して、攻撃によって生成されたメッセージのメッセージ サイズもはるかに大きくなります。ログ ボリュームとメッセージ サイズは、ログ管理にとって重要な懸念事項です。ログメッセージの量をより適切に管理するために、IDPはログ抑制をサポートしています。
ログ抑制を構成することで、同じ期間に同じセッションまたは類似のセッションから発生する同じログの複数のインスタンスを抑制できます。ログ抑制を有効にすると、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。
関連項目
IDPログ抑制属性について
ログ抑制により、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。ログ抑制はデフォルトで有効になっています。特定のログ抑制属性を設定して、必要に応じてログを抑制することができます。ログ抑制を構成するときは、レポート間隔の設定が高すぎると、ログ抑制がセンサーのパフォーマンスに悪影響を与える可能性があることに注意してください。
次のログ抑制属性を設定できます。
ログ抑制の実行中に宛先アドレスを含める - 送信元アドレスが一致するイベントのログレコードを結合することを選択できます。デフォルトでは、IDP センサーは、ログ抑制のためにイベントを照合するときに宛先を考慮しません。
ログ抑制が開始されるまでのログ発生回数 - ログ抑制が開始される前に特定のイベントが発生する必要があるインスタンスの数を指定できます。デフォルトでは、ログ抑制は最初の発生後に開始されます。
ログ抑制を操作できるログの最大数—ログ抑制が有効になっている場合、侵入検出および防止(IDP)は、同じイベントの複数の発生を識別できるように、ログレコードをキャッシュする必要があります。IDP によって同時に追跡されるログ・レコードの数を指定できます。デフォルトでは、IDP が操作できるログレコードの最大数は 16,384 です。
抑制されたログが報告されるまでの時間—ログ抑制が有効になっている場合、IDPは同じイベントの発生数を維持します。指定した秒数が経過すると、IDP は発生回数を含む 1 つのログ エントリを書き込みます。デフォルトでは、IDP は 5 秒後に抑制されたログを報告します。
例:IDPログ抑制属性の設定
この例では、ログ抑制属性を設定する方法を示します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
署名データベースをダウンロードします。 IDPシグネチャデータベースの手動更新の概要を参照してください。
概要
ログ抑制により、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。ログ抑制はデフォルトで有効になっています。特定のログ抑制属性を設定して、必要に応じてログを抑制することができます。
この例では、2 回目のイベント発生後にログ抑制を開始するように設定し、20 秒後にログが報告されるように指定します。
構成
プロシージャ
手順
ログ抑制属性を設定するには:
ログ抑止を開始するログ番号を指定します。
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
抑制されたログが報告されるまでの最大時間を指定します。
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
ログ統計を確認するには、 show security idp counters log
コマンドを入力します。
IC シリーズ UAC アプライアンスでの IDP ログ情報の使用について
統合型アクセスコントロール(UAC)アプライアンス向けのICシリーズUACアプライアンスは、Juniper Networksデバイスから送信された侵入検出および防御(IDP)攻撃ログ情報を使用して、IDPログに攻撃が検出されたことを示しているトラフィックにアクセスポリシーを適用できます。これらのIDPログは、安全な通信チャネルを使用して、ICシリーズアプライアンスに直接安全に送信されます。IDP攻撃ログは、JUEP通信チャネルを介してICシリーズアプライアンスに送信されます。
このトピックは、以下のセクションで構成されています。
ICシリーズUACアプライアンスへのメッセージフィルタリング
IDPログメッセージを受信するようにICシリーズUACアプライアンスを設定する場合は、ICシリーズアプライアンスで特定のフィルタリングパラメータを設定します。このフィルタリングを行わないと、ICシリーズアプライアンスが受信するログメッセージが多すぎる可能性があります。フィルター パラメーターには、次のものを含めることができます。
ICシリーズアプライアンスは、認証されたセッションのIDPからの通信のみを受信する必要があります。詳細については、 『統合アクセス コントロール管理ガイド 』を参照してください。
IDPログファイルを受信するためのICシリーズアプライアンスフィルターを、その重大度に基づいて作成できます。たとえば、ICシリーズアプライアンスで重大度が高に設定されている場合、IDPは重大度が高以上のログのみを送信します。詳細については、 『統合アクセス コントロール管理ガイド 』を参照してください。
ICシリーズアプライアンスから、すべてのIDPログの受信を無効にすることができます。詳細については、 『統合アクセス コントロール管理ガイド 』を参照してください。
ICシリーズUACアプライアンスのロギングを設定する
IDPログの受信とフィルタリングの設定はすべて、ICシリーズUACアプライアンスで行われます。IDP ログを受信するための設定情報と JUEP 通信チャネルの詳細については、 『統合アクセス制御管理ガイド 』を参照してください。
IDP アラームと監査
デフォルトでは、IDP は管理者にアラームを発生させることなく、イベントの発生をログに記録します。システムがイベントをログに記録するよう設定されており、 potential-violation
オプションが設定されている場合、パケット転送エンジンのIDPログがルーティングエンジンに転送されます。次に、ルーティングエンジンはIDP攻撃ログを解析し、必要に応じてIDPアラームを発生させます。
IDP アラームを有効にするには、
set security alarms potential-violation idp
コマンドを使用します。設定が正しく機能していることを確認するには、
show security alarms
コマンドを使用します。
Junos OS リリース 11.2 より前のリリースでは、IDP 攻撃ログには攻撃イベントに関する情報が含まれていますが、管理者にアラームは発生しません。