IPS ポリシーへのルールの追加
お客様のいる方: セキュリティサービス > IPS > ポリシー。
IPS ポリシーにルールを追加するには、以下の手順に従います。
ルールを追加できるのは、カスタム IPS ポリシーのみです。
フィールド |
アクション |
---|---|
ルール名 |
IPS ポリシーのルール名を入力します。 |
説明 |
ルールの説明を入力します。 |
ネットワークの基準 | |
ソース | |
ソース ゾーン |
IPS ポリシーに関連付けるソース ゾーンを選択します。
|
送信元アドレス |
IPS ポリシーに関連付ける送信元アドレスを選択します。
|
目的 地 | |
宛先ゾーン |
IPS ポリシーに関連付ける宛先ゾーンを選択します。
|
宛先アドレス |
IPS ポリシーに関連付ける宛先アドレスを選択します。
|
IPS シグネチャ | |
追加 |
リストから定義済み署名またはカスタム 署名を選択して、IPS ポリシー ルールに追加します。 |
削除 |
IPS ポリシー ルールに追加しない IPS 署名を選択し、削除アイコンをクリックします。 |
名前 |
IPS 定義済みシグネチャまたはカスタム シグネチャの名前を表示します。 |
カテゴリ |
事前定義された攻撃または攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。 |
重大 度 |
シグネチャーが報告する攻撃の重大度レベルを表示します。 |
攻撃タイプ |
攻撃タイプ(シグネチャまたは異常)を表示します。 |
推奨されるアクション |
攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。 |
型 |
IPS シグネチャ タイプが定義済みまたはカスタムの場合に表示します。 |
定義済み署名の追加 |
|
別に表示 |
目的の定義済み攻撃または攻撃グループを表示して選択し、[ OK] を クリックして選択した IPS ポリシーに追加します。 |
列の表示/非表示 |
ページの右上にある [列の非表示] アイコンを使用し、ページのオプションを表示または選択解除するオプションを選択します。 |
名前 |
事前定義された攻撃オブジェクトまたは攻撃オブジェクトグループの名前を表示します。 |
カテゴリ |
事前定義された攻撃または攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。 |
重大 度 |
シグネチャーが報告する攻撃の重大度レベルを表示します。 |
タイプ攻撃 |
攻撃タイプ(シグネチャまたは異常)を表示します。 |
推奨 |
ジュニパーネットワークスが動的攻撃グループに推奨する、事前定義された攻撃を表示します。 |
推奨されるアクション |
攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。 |
パフォーマンス |
攻撃に対して脆弱なパフォーマンス レベルに基づいて攻撃オブジェクトを追加するパフォーマンス フィルター(高速、通常、遅い、未知)を表示します。 |
方向 |
攻撃の接続方向(任意、クライアントからサーバー、またはサーバー間)を表示します。 |
カスタム シグネチャの追加 |
|
別に表示 |
目的のカスタム攻撃、静的グループ、動的グループを表示して選択し、[OK]をクリックして選択したIPSポリシーに追加 します 。 |
カスタム シグネチャ — カスタム攻撃 |
|
名前 |
カスタム攻撃オブジェクト名を表示します。 |
重大 度 |
シグネチャーが報告する攻撃の重大度レベルを表示します。 |
攻撃タイプ |
攻撃タイプ(シグネチャまたは異常)を表示します。 |
推奨されるアクション |
攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。 |
カスタム シグネチャ — スタティック グループ |
|
名前 |
カスタム シグネチャの静的グループ名を表示します。 |
グループ メンバー |
攻撃オブジェクトまたはグループ攻撃オブジェクトの名前を表示します。メンバーは、事前定義された攻撃、事前定義された攻撃グループ、カスタム攻撃、またはカスタム動的グループにすることができます。 |
カスタム シグネチャ — 動的グループ |
|
名前 |
カスタム シグネチャの動的グループ名を表示します。 |
攻撃プレフィックス |
攻撃名のプレフィックス一致を表示します。例:HTTP:* |
重大 度 |
シグネチャーが報告する攻撃の重大度レベルを表示します。 |
攻撃タイプ |
攻撃タイプ(シグネチャまたは異常)を表示します。 |
カテゴリ |
動的攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。 |
方向 |
攻撃の接続方向(任意、クライアントからサーバー、またはサーバー間)を表示します。 |
アクション |
メモ:
このオプションは免除ルールでは利用できません。 リストからアクションのいずれかを選択します。
|
オプション
メモ:
このオプションは免除ルールでは利用できません。 |
|
ログ攻撃 |
ログ攻撃を有効にして、ログ ビューアーに表示されるログ レコードを作成します。 |
パケットのログ保存 |
ログ パケットで攻撃の前後に受信したパケットをキャプチャできるようにして、攻撃者の動作をさらにオフラインで分析します。 |
詳細
メモ:
このオプションは免除ルールでは利用できません。 |
|
脅威プロファイリング
メモ:
フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド |
|
攻撃者をフィードに追加 |
リストから選択すると、攻撃者の IP アドレスがフィードに追加され、脅威プロファイルを持つ IPS ルールが構成されます。 |
フィードへのターゲットの追加 |
リストから選択すると、ターゲット IP アドレスがフィードに追加され、脅威プロファイルを持つ IPS ルールが構成されます。 |
通知 |
|
以前のパケット |
攻撃がキャプチャされる前に処理されたパケット数を入力します。 範囲:1~255。デフォルトは1です。
メモ:
このオプションは、パケットのログを有効にする場合に使用できます。 |
パケットの後 |
攻撃がキャプチャされた後に処理されるパケットの数を入力します。 範囲:0~255デフォルトは1です。
メモ:
このオプションは、パケットのログを有効にする場合に使用できます。 |
投稿ウィンドウのタイムアウト |
セッションの攻撃後のパケットをキャプチャするための時間制限を入力します。タイムアウトの期限が切れた後、パケット キャプチャは行われません。 範囲:0~1800秒。デフォルトは1秒です。
メモ:
このオプションは、パケットのログを有効にする場合に使用できます。 |
アラート フラグ |
一致するログ レコードのログ ビューアーの [アラート] 列にアラート フラグを設定するには、このオプションを有効にします。
メモ:
このオプションは、ログ攻撃を有効にした場合に使用できます。 |
IP アクション |
|
アクション |
同じ IP アドレスを使用する将来の接続に対して IPS が実行するアクションを指定します。 リストから IP アクションを選択します。
|
IP ターゲット |
トラフィックを設定したIPアクションと一致させる方法を設定します。 リストから IP ターゲットを選択します。
|
更新タイムアウト |
今後のトラフィックが設定されたIPアクションに一致する場合は、IPアクションタイムアウト([タイムアウト]フィールドで指定)の更新を有効にします。 |
タイムアウト |
指定されたタイムアウト値内で新しいセッションが開始される前に、IP アクションが有効な状態を維持する必要がある秒数を指定します。 タイムアウト値を秒単位で入力します。最大値は65,535秒です。デフォルトは300秒です。 |
IP アクションのログがヒット |
を有効にして、ルールに一致するトラフィックに対する IP アクションに関する情報をログに記録します。デフォルトでは、この設定は無効になっています。 |
ログ IP アクション ルールの作成 |
IP アクション フィルターがトリガーされたときにイベントを生成できるようにします。デフォルトでは、この設定は無効になっています。 |
ルール変更機能 |
|
重大度の上書き |
ルールで継承された攻撃の重大度を上書きする重大度レベル(なし、重要、情報、メジャー、マイナー、警告)。最も危険なレベルは重要で、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報レベルは危険度が最も低く、ネットワーク管理者がセキュリティ システムの欠陥を発見するために使用されます。 |
端末の一致 |
IPS ルールを端末としてマークするを有効にします。端末ルールが一致すると、デバイスはその IPS ポリシー内の残りのルールの一致を停止します。 |