Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャ動的グループの作成

現在地: IPS >シグネチャ>セキュリティ サービス

動的攻撃グループを作成し、グループ内の指定されたフィルターに基づいてメンバーを選択します。新しいシグネチャ データベースが使用されると、攻撃のリストが自動的に更新(追加または削除)されます。

IPS シグネチャ動的グループを作成するには:

  1. [カスタム] タブをクリックします。
  2. 「カスタム署名」ページの右上にある「>動的グループの作成」をクリックします。
    「動的グループの作成」ページが表示されます。
  3. 表 1 に示すガイドラインに従って構成を完了します。
  4. [OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。

    [カスタム署名] ページに戻り、正常に作成した動的グループが表示されます。

表 1: 「動的グループの作成」ページのフィールド

フィールド

アクション

名前

Name は、文字またはアンダースコアで始まり、文字、数字、ダッシュ、アンダースコアで構成される文字列である必要があります。最大 250 文字です。

フィルター条件

攻撃プレフィックス

リストから、一致する攻撃名のプレフィックスの値を 1 つ以上選択します。

重大 度

リストから 1 つ以上の重大度の値を選択し、攻撃の重大度レベル (重大、情報、メジャー、マイナー、または警告) に基づいて攻撃オブジェクトを追加します。

  • 重大 - 攻撃は重大です。

  • 情報—一致した場合の攻撃の情報を提供します。

  • 重大 - 攻撃は重大です。

  • 軽微 - 攻撃は軽微です。

  • 警告 - 攻撃が一致した場合に警告を発します。

サービス

リストから 1 つ以上のサービス値を選択して、攻撃サービスに基づいて攻撃オブジェクトを追加します。たとえば、BGP、FTP、HTTPなどです。

カテゴリ

リストから 1 つ以上のカテゴリ値を選択し、カテゴリに基づいて攻撃オブジェクトを追加します。

推奨

次のいずれかのフィルターを選択します。

  • [なし(なし)]:アクションは実行されません。

  • [はい]:ジュニパーネットワークスが推奨する事前定義された攻撃を動的攻撃グループに追加するための推奨フィルター。

  • [いいえ(No)]:動的攻撃グループ内の非推奨攻撃オブジェクト。

方向

リストから 1 つまたは複数の方向値を選択します。

  • [任意(Any)]:クライアントからサーバへ、およびサーバからクライアントへのトラフィックをモニタします。

  • クライアントからサーバーへ:クライアントからサーバーへのトラフィックのみを監視します(ほとんどの攻撃はクライアントからサーバーへの接続を介して発生します)。

  • [すべて除外(Exclude Any)]:クライアントからサーバーへ、およびサーバーからクライアントへのトラフィックを許可します。

  • クライアントからサーバーを除外 - サーバーからクライアントへのトラフィックのみを許可します。

  • サーバーからクライアントを除外 - クライアントからサーバーへのトラフィックのみを許可します。

  • サーバからクライアント:サーバからクライアントへのトラフィックのみをモニタします。

リストから次のいずれかの式を選択します。

  • [なし(なし)]:アクションは実行されません。

  • AND - 両方の方向が一致する場合、式は一致します。

  • または - いずれかの方向が一致する場合、式は一致します。

パフォーマンス

リストから 1 つ以上のパフォーマンス値を選択します。

  • 高速 - パフォーマンス レベルをファスト トラックします。

  • [標準(Normal)]:通常のトラック パフォーマンス レベル。

  • [低速(Slow)]:トラックのパフォーマンス レベルが遅い。

  • [不明(Unknown)]:デフォルトでは、すべての複合攻撃オブジェクトが [不明(Unknown)] に設定されています。ネットワーク トラフィックに合わせて IPS を微調整するときに、この設定を変更してパフォーマンス レベルを追跡できます。

誤検知

リストから 1 つ以上の誤検知値を選択します。

  • [頻繁] - 誤検知の発生を頻繁に追跡します。

  • ときどき - 誤検知の発生をときどき追跡します。

  • まれ - 誤検知の発生を追跡することはほとんどありません。

  • [不明(Unknown)]:デフォルトでは、すべての複合攻撃オブジェクトが [不明(Unknown)] に設定されています。ネットワーク トラフィックに合わせて IPS を微調整するときに、この設定を変更して誤検知を追跡しやすくすることができます。

攻撃の種類

リストから [ 異常 ] または [シグネチャ] 攻撃タイプを選択します。[ なし] を選択した場合、アクションは実行されません。

攻撃

リストから [除外 ] または [除外なし ] を選択して、データベースの更新の一部である署名を確認します。[ なし] を選択した場合、アクションは実行されません。

CVSSスコア

リストから [より大きい ] または [ より小さい ] を選択して、攻撃の共通脆弱性評価システム (CVSS) スコアを指定します。

攻撃のCVSSスコアは、コンピュータシステムのセキュリティ脆弱性の重大度を評価するための無料でオープンな業界標準です。CVSSは、脆弱性に重大度スコアを割り当てようとし、レスポンダーが脅威に応じて応答とリソースに優先順位を付けることができるようにします。

より大きい

指定された値より大きい CVSS スコアと一致するように設定します。

範囲: 0 から 10

未満

指定された値より小さい CVSS スコアに一致するように設定します。

範囲: 0 から 10

攻撃の年齢

リストから [より大きい ] または [ より小さい ] を選択して、攻撃の経過時間を指定します。

攻撃の経過時間 (年単位) が指定した値 (年) より大きいか小さい場合に一致するように設定します。

範囲: 1 から 100。

ファイルの種類

攻撃の対象となるファイルの種類を一覧から選択します。たとえば、HTML や PDF などです。

脆弱性の種類

脆弱で操作可能なアプリケーションを示すIPSの脆弱性タイプをリストから選択します。これらの脆弱性を修正するために、脆弱性の種類が報告されています。

ベンダー

ベンダーの製品に固有のグループ攻撃。

仕入先を追加、変更、または削除できます。

動的グループに仕入先を追加するには:

  1. [+] をクリックします。

  2. 一覧から仕入先名と製品名を選択します。

  3. チェックアイコンをクリックして、ベンダーの詳細を保存します。

仕入先を編集するには、仕入先を選択して鉛筆アイコンをクリックします。

仕入先を削除するには、仕入先を選択して削除アイコンをクリックします。

関連ドキュメント