Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS ポリシーへのルールの追加

お客様のいる方: セキュリティサービス > IPS > ポリシー

IPS ポリシーにルールを追加するには、以下の手順に従います。

メモ:

ルールを追加できるのは、カスタム IPS ポリシーのみです。

  1. [ルールの追加] をクリックするか、IPS ポリシー名の列の横にある使用可能なルール番号をクリックします。
    [IPS ルール] ページが表示されます。
  2. [IPS ルール] または [免除ルール] ページの右上にある追加アイコン(+)をクリックします。
    インラインで編集可能なフィールドを持つ IPS ルールまたは免除ルール ページが表示されます。
  3. 表 1 に示すガイドラインに従って、設定を完了します。
  4. 設定が完了したら、行の右側にあるティック アイコンをクリックします。
    IPSポリシールールを設定すると、IPSポリシーをセキュリティポリシーに関連付けることができます。
表 1:IPS ルールまたは免除ルール ページのフィールド

フィールド

アクション

ルール名

IPS ポリシーのルール名を入力します。

説明

ルールの説明を入力します。

ネットワークの基準
ソース

ソース ゾーン

IPS ポリシーに関連付けるソース ゾーンを選択します。

  • 未構成 — ファイアウォール ポリシーから構成されたソース ゾーンに一致します。

  • [任意] — ファイアウォール ポリシーの任意のソース ゾーンに一致します。

  • 特定 — ネットワーク トラフィックの発信元のリストからソース ゾーンを選択します。

送信元アドレス

IPS ポリシーに関連付ける送信元アドレスを選択します。

  • 未構成 — ファイアウォール ポリシーから構成された送信元 IP アドレスを照合します。

  • 任意 — ファイアウォール ポリシーから取得した任意の送信元 IP アドレスを照合します。

  • 特定 — ネットワーク トラフィックの送信元 IP アドレス。

    [使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。[選択したアドレスの 除外 ] を選択すると、選択したアドレスのみをリストから除外できます。

目的 地

宛先ゾーン

IPS ポリシーに関連付ける宛先ゾーンを選択します。

  • 未構成 — ファイアウォール ポリシーから構成された宛先ゾーンに一致します。

  • [任意] — ファイアウォール ポリシーの任意の宛先ゾーンに一致します。

  • 特定 — ネットワーク トラフィックが送信されるリストから宛先ゾーンを選択します。

宛先アドレス

IPS ポリシーに関連付ける宛先アドレスを選択します。

  • 未構成 — ファイアウォール ポリシーから構成された宛先 IP アドレスを照合します。

  • [任意] — ファイアウォール ポリシーから取得した任意の宛先 IP アドレスを照合します。

  • 特定 — ネットワーク トラフィックが送信される宛先 IP アドレス。

    [使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。[選択したアドレスの 除外 ] を選択すると、選択したアドレスのみをリストから除外できます。

IPS シグネチャ

追加

リストから定義済み署名またはカスタム 署名を選択して、IPS ポリシー ルールに追加します。

削除

IPS ポリシー ルールに追加しない IPS 署名を選択し、削除アイコンをクリックします。

名前

IPS 定義済みシグネチャまたはカスタム シグネチャの名前を表示します。

カテゴリ

事前定義された攻撃または攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃タイプ(シグネチャまたは異常)を表示します。

推奨されるアクション

攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。

IPS シグネチャ タイプが定義済みまたはカスタムの場合に表示します。

定義済み署名の追加

別に表示

目的の定義済み攻撃または攻撃グループを表示して選択し、[ OK] を クリックして選択した IPS ポリシーに追加します。

列の表示/非表示

ページの右上にある [列の非表示] アイコンを使用し、ページのオプションを表示または選択解除するオプションを選択します。

名前

事前定義された攻撃オブジェクトまたは攻撃オブジェクトグループの名前を表示します。

カテゴリ

事前定義された攻撃または攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

タイプ攻撃

攻撃タイプ(シグネチャまたは異常)を表示します。

推奨

ジュニパーネットワークスが動的攻撃グループに推奨する、事前定義された攻撃を表示します。

推奨されるアクション

攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。

パフォーマンス

攻撃に対して脆弱なパフォーマンス レベルに基づいて攻撃オブジェクトを追加するパフォーマンス フィルター(高速、通常、遅い、未知)を表示します。

方向

攻撃の接続方向(任意、クライアントからサーバー、またはサーバー間)を表示します。

カスタム シグネチャの追加

別に表示

目的のカスタム攻撃、静的グループ、動的グループを表示して選択し、[OK]をクリックして選択したIPSポリシーに追加 します

カスタム シグネチャ — カスタム攻撃

名前

カスタム攻撃オブジェクト名を表示します。

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃タイプ(シグネチャまたは異常)を表示します。

推奨されるアクション

攻撃を検知したときにデバイスから実行された指定されたアクションを表示します。例えば、無視して破棄します。

カスタム シグネチャ — スタティック グループ

名前

カスタム シグネチャの静的グループ名を表示します。

グループ メンバー

攻撃オブジェクトまたはグループ攻撃オブジェクトの名前を表示します。メンバーは、事前定義された攻撃、事前定義された攻撃グループ、カスタム攻撃、またはカスタム動的グループにすることができます。

カスタム シグネチャ — 動的グループ

名前

カスタム シグネチャの動的グループ名を表示します。

攻撃プレフィックス

攻撃名のプレフィックス一致を表示します。例:HTTP:*

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃タイプ(シグネチャまたは異常)を表示します。

カテゴリ

動的攻撃グループのカテゴリーを表示します。たとえば、アプリケーション、HTTP、LDAPなどです。

方向

攻撃の接続方向(任意、クライアントからサーバー、またはサーバー間)を表示します。

アクション

メモ:

このオプションは免除ルールでは利用できません。

リストからアクションのいずれかを選択します。

  • 推奨(デフォルト)— 事前定義されたすべての攻撃オブジェクトには、デフォルトアクションが関連付けられています。これは、攻撃が検知された場合に推奨するアクションです。

  • アクションなし — アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

  • 接続ドロップ —接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達するのを防ぎます。スプーフィングされにくいトラフィックの接続を破棄するには、このアクションを使用します。

  • パケットのドロップ — 一致するパケットを宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなどのなりすましが起きやすいトラフィックの攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、正規の送信元 IP アドレスからトラフィックを受信できないサービス拒否が発生する可能性があります。

  • クライアントを閉じる — 接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

  • サーバーを閉じる — 接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

  • [クライアントとサーバーを閉じる] — 接続を閉じ、RST パケットをクライアントとサーバーの両方に送信します。

  • 接続を無視 — 攻撃が一致した場合、接続の残りの部分のトラフィックのスキャンを停止します。IPS は、特定の接続のルールベースを無効にします。

  • Mark DiffServ —指定されたサービス差別化値を攻撃のパケットに割り当て、通常通り渡します。

オプション

メモ:

このオプションは免除ルールでは利用できません。

ログ攻撃

ログ攻撃を有効にして、ログ ビューアーに表示されるログ レコードを作成します。

パケットのログ保存

ログ パケットで攻撃の前後に受信したパケットをキャプチャできるようにして、攻撃者の動作をさらにオフラインで分析します。

詳細
メモ:

このオプションは免除ルールでは利用できません。

脅威プロファイリング

メモ:

フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

攻撃者をフィードに追加

リストから選択すると、攻撃者の IP アドレスがフィードに追加され、脅威プロファイルを持つ IPS ルールが構成されます。

フィードへのターゲットの追加

リストから選択すると、ターゲット IP アドレスがフィードに追加され、脅威プロファイルを持つ IPS ルールが構成されます。

通知

以前のパケット

攻撃がキャプチャされる前に処理されたパケット数を入力します。

範囲:1~255。デフォルトは1です。

メモ:

このオプションは、パケットのログを有効にする場合に使用できます。

パケットの後

攻撃がキャプチャされた後に処理されるパケットの数を入力します。

範囲:0~255デフォルトは1です。

メモ:

このオプションは、パケットのログを有効にする場合に使用できます。

投稿ウィンドウのタイムアウト

セッションの攻撃後のパケットをキャプチャするための時間制限を入力します。タイムアウトの期限が切れた後、パケット キャプチャは行われません。

範囲:0~1800秒。デフォルトは1秒です。

メモ:

このオプションは、パケットのログを有効にする場合に使用できます。

アラート フラグ

一致するログ レコードのログ ビューアーの [アラート] 列にアラート フラグを設定するには、このオプションを有効にします。

メモ:

このオプションは、ログ攻撃を有効にした場合に使用できます。

IP アクション

アクション

同じ IP アドレスを使用する将来の接続に対して IPS が実行するアクションを指定します。

リストから IP アクションを選択します。

  • なし — デフォルト設定であるアクションを実行しません。

  • 通知 — 将来のトラフィックに対して何もアクションを起こさないで、イベントをログに記録します。

  • 閉じる — クライアントとサーバーに RST パケットを送信することで、IP アドレスと一致する新しいセッションの今後の接続を閉じます。

  • ブロック — IP アドレスと一致するすべてのセッションの今後の接続をブロックします。

IP ターゲット

トラフィックを設定したIPアクションと一致させる方法を設定します。

リストから IP ターゲットを選択します。

  • なし — どのトラフィックにも一致しません。

  • 宛先アドレス — 攻撃トラフィックの宛先 IP アドレスに基づいてトラフィックを照会します。

  • サービス—TCPおよびUDPの場合、攻撃トラフィックの送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポートに基づいてトラフィックを照会します。

  • 送信元アドレス — 攻撃トラフィックの送信元 IP アドレスに基づいてトラフィックを照会します。

  • 送信元ゾーン — 攻撃トラフィックの送信元ゾーンに基づいてトラフィックを照合します。

  • 送信元ゾーンアドレス — 攻撃トラフィックの送信元ゾーンと送信元IPアドレスに基づいてトラフィックを照合します。

  • ゾーンサービス—攻撃トラフィックの送信元ゾーン、宛先IPアドレス、宛先ポート、プロトコルに基づいてトラフィックを照合します。

更新タイムアウト

今後のトラフィックが設定されたIPアクションに一致する場合は、IPアクションタイムアウト([タイムアウト]フィールドで指定)の更新を有効にします。

タイムアウト

指定されたタイムアウト値内で新しいセッションが開始される前に、IP アクションが有効な状態を維持する必要がある秒数を指定します。

タイムアウト値を秒単位で入力します。最大値は65,535秒です。デフォルトは300秒です。

IP アクションのログがヒット

を有効にして、ルールに一致するトラフィックに対する IP アクションに関する情報をログに記録します。デフォルトでは、この設定は無効になっています。

ログ IP アクション ルールの作成

IP アクション フィルターがトリガーされたときにイベントを生成できるようにします。デフォルトでは、この設定は無効になっています。

ルール変更機能

重大度の上書き

ルールで継承された攻撃の重大度を上書きする重大度レベル(なし、重要、情報、メジャー、マイナー、警告)。最も危険なレベルは重要で、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報レベルは危険度が最も低く、ネットワーク管理者がセキュリティ システムの欠陥を発見するために使用されます。

端末の一致

IPS ルールを端末としてマークするを有効にします。端末ルールが一致すると、デバイスはその IPS ポリシー内の残りのルールの一致を停止します。