Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

IPS シグネチャ ページについて

お客様のいる方: セキュリティサービス > IPS > 署名

侵入防御システム(IPS)は、トラフィックを既知の脅威のシグネチャと比較し、脅威が検出されるとトラフィックをブロックします。ネットワークへの侵入とは、ネットワーク リソースへの攻撃やその他の不正使用のことです。このようなアクティビティを検出するために、IPS はシグネチャを使用します。シグネチャーは、デバイスが検知して報告する必要があるネットワーク侵入のタイプを指定します。トラフィックパターンがシグネチャに一致するたびに、IPSはアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。IPS の主要コンポーネントの 1 つは、署名データベースです。攻撃オブジェクト、アプリケーションシグネチャオブジェクト、サービスオブジェクトなど、IPSポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

攻撃オブジェクトをグループ化して、IPS ポリシーの整理と管理を維持できます。攻撃オブジェクト グループには、1 つ以上の種類の攻撃オブジェクトを含めることができます。Junos OS は、以下の 3 種類の攻撃グループをサポートします。

  • IPS シグネチャ — 署名データベースに存在するオブジェクトが含まれます。

  • 動的グループ — 指定された一致条件を満たす攻撃オブジェクトが含まれます。署名の更新時に、動的グループメンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。たとえば、動的攻撃グループフィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ — 攻撃定義で指定された攻撃のリストが含まれます。

実行できるタスク

このページでは、以下のタスクを実行できます。

  • IPS シグネチャを IPS ポリシーに関連付けます。これを行うには、[ IPS 署名] ページタイトルの下にある [IPS ポリシー] リンクをクリックし、IPS ポリシー ページに直接移動します。次に、[ ルールの追加 ] をクリックして、IPS シグネチャを特定のポリシーに割り当てます。詳細については、「 IPS ポリシーへのルールの追加」を参照してください。

  • IPS シグネチャーによって事前定義された攻撃または攻撃グループのリストを表示します。これを行うには、 事前定義された タブをクリックし、リストから 事前定義済み攻撃 または 事前定義済み攻撃グループ を選択します。

  • 事前定義された IPS シグネチャの詳細を表示します。これを行うには、[事前定義]タブで既存のIPSシグネチャを選択し、使用可能なオプションに従います。

    • [ 詳細] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS 署名名の左にカーソルを合わせ、[ 詳細ビュー ] アイコンをクリックします。

  • カスタム攻撃、静的グループ、動的グループのカスタムシグネチャを表示します。これを行うには、[ カスタム ]タブをクリックし、[ビュー別]リストから [カスタム攻撃]、[ 静的グループ]、または [動的グループ ]を選択します。

  • 一種のルールをインポートして、それらをカスタム攻撃として変換します。「 Snort ルールのインポート」を参照してください。

  • IPS シグネチャ カスタム攻撃を作成します。 「カスタム IPS シグネチャの作成」を参照してください。

  • IPS シグネチャスタティック グループを作成します。 IPS シグネチャスタティック グループの作成を参照してください。

  • IPS シグネチャ動的グループを作成します。 IPSシグネチャ動的グループの作成を参照してください。

  • カスタム攻撃、静的グループ、動的グループのIPSシグネチャの詳細を表示します。これを行うには、CUSTOM タブで既存の IPS シグネチャ、静的グループ、動的グループを選択し、次の使用可能なオプションに従います。

    • [ 詳細] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャの左側にカーソルを合わせて、[ 詳細ビュー] をクリックします。

  • IPS シグネチャのクローンを作成します。 IPS シグネチャのコピーを参照してください。

  • IPS シグネチャを編集します。 IPS 署名の編集を参照してください。

  • IPS シグネチャを削除します。 IPS 署名の削除を参照してください。

  • 事前定義テーブルの列の表示または非表示を切り替えます。そのためには、事前定義テーブルの右上隅にある 「列の非表示」アイコンをクリックします。次に、ページで非表示にするオプションを表示またはクリアするオプションを選択します。

  • 定義済み IPS シグネチャまたはカスタム IPS シグネチャを高度に検索します。これを行うには、テーブル グリッドの上にある検索テキスト ボックスを使用します。検索には、フィルター文字列の一部として論理演算子が含まれています。検索テキスト ボックスで、アイコンにカーソルを合わせると、フィルター条件の例が表示されます。検索文字列の入力を開始すると、アイコンはフィルター文字列が有効かどうかを示します。

    高度な検索を行う場合:

    1. テキスト ボックスに検索文字列を入力します。

      入力内容に基づいて、フィルタ コンテキスト メニューの項目のリストが表示されます。

    2. 一覧から値を選択し、高度な検索操作を実行する基に基づいて有効な演算子を選択します。

      メモ:

      スペースキーを押すと、検索文字列に AND 演算子または OR 演算子が追加されます。定義済みの署名は、AND 演算子のみをサポートします。検索条件を入力するときにいつでもバックスペースを押すと、1 つの文字だけが削除されます。

    3. Enter キーを押して、検索結果をグリッドに表示します。

フィールドの説明

表 1表 2 に、IPS シグネチャー ページのフィールドについて説明します。

表 1: 事前定義タブのフィールド

フィールド

説明

名前

事前定義された IPS 署名の名前を表示します。

カテゴリ

攻撃オブジェクトのカテゴリを表示します。

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンであるかどうかを表示します。

メモ:

このフィールドは、事前定義された攻撃にのみ適用されます。

タイプ攻撃

攻撃タイプが静的または動的グループかどうかを表示します。

メモ:

このフィールドは、事前定義された攻撃グループにのみ適用されます。

推奨

攻撃オブジェクトがジュニパーによって推奨されるかどうかを示します(True)かどうか(False)。

推奨されるアクション

監視対象のトラフィックが、IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションまたはアクションを表示します。

誤検知

攻撃によってネットワークに誤検知が発生する頻度または周波数を表示します。

パフォーマンス

IPS シグネチャ パフォーマンス影響フィルターまたはフィルターを表示します。

方向

攻撃が検知されたトラフィック方向またはトラフィック方向を表示します。例えば、クライアントからサーバーへ。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスの両方のリストを表示します。
表 2: カスタム タブのフィールド

フィールド

説明

表示者: カスタム攻撃

名前

カスタム攻撃 IPS シグネチャの名前を表示します。

重大 度

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンであるかどうかを表示します。

推奨されるアクション

監視対象のトラフィックが、IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションを表示します。

表示者: 静的グループ

名前

静的グループ IPS シグネチャの名前を表示します。

グループ メンバー

IPS スタティック グループの一部である IPS シグネチャまたは IPS シグネチャ動的グループを表示します。

表示者: 動的グループ

名前

動的グループ IPS シグネチャの名前を表示します。

攻撃プレフィックス

攻撃名プレフィックス一致の値または値を表示します。

重大 度

シグネチャが報告する攻撃の重大度レベルまたは重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンであるかどうかを表示します。

カテゴリ

攻撃オブジェクトのカテゴリーまたはカテゴリーを表示します。

方向

攻撃が検知されたトラフィック方向またはトラフィック方向を表示します。例えば、クライアントからサーバーへ。

攻撃の除外

データベース更新の一部である、除外された攻撃または攻撃を表示します。

ファイルタイプ

動的グループ フィルターとして使用される攻撃ファイル タイプまたはファイル タイプを表示します。

誤検知

攻撃によってネットワークに誤検知が発生する頻度または周波数を表示します。

推奨

攻撃オブジェクトがジュニパーによって推奨されるかどうかを示します(True)かどうか(False)。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスのリストを表示します。

ベンダー

攻撃が属するベンダーまたは製品を表示します。

脆弱性のタイプ

動的グループ フィルターとして使用される攻撃の脆弱性のタイプまたは脆弱性のタイプを表示します。

パフォーマンス

動的グループに使用されるパフォーマンス影響フィルターまたはフィルター。

CVSS スコア

動的グループ フィルターとして使用される一般的な脆弱性スコア システム(CVSS)スコアまたはスコアを表示します。

攻撃の時代

動的グループ フィルターとして使用される攻撃の年齢(年)を表示します。