Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャ ページについて

現在のページ: セキュリティ サービス > IPS > 署名

侵入防御システム(IPS)は、既知の脅威のシグネチャとトラフィックを比較し、脅威が検出されたときにトラフィックをブロックします。ネットワークへの侵入とは、ネットワーク リソースに対する攻撃またはその他の不正使用です。このようなアクティビティを検出するために、IPS はシグネチャを使用します。シグネチャーは、デバイスが検出して報告するネットワーク侵入のタイプを指定します。トラフィック パターンがシグネチャと一致するたびに、IPS はアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。IPS の主要コンポーネントの 1 つは、署名データベースです。攻撃オブジェクト、アプリケーションシグネチャオブジェクト、サービスオブジェクトなど、IPSポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

攻撃オブジェクトをグループ化して、IPSポリシーを整理して管理することができます。攻撃オブジェクト グループには、1 つ以上のタイプの攻撃オブジェクトを含めることができます。Junos OS は、次の 3 種類の攻撃グループをサポートしています。

  • IPS シグネチャ — 署名データベースに存在するオブジェクトを含みます。

  • 動的グループ — 指定された一致条件を満たす攻撃オブジェクトが含まれます。署名の更新中に、動的グループ メンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。たとえば、動的攻撃グループ フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ — 攻撃定義で指定された攻撃のリストを含みます。

実行できるタスク

このページでは、以下のタスクを実行できます。

  • IPS シグネチャを IPS ポリシーに関連付けます。これを行うには、[ IPS 署名] ページのタイトルの下にある [IPS ポリシー] リンクをクリックして、IPS ポリシー ページに直接移動します。次に、[ ルールの追加] をクリックして、IPS 署名を特定のポリシーに割り当てます。詳細については、「 IPS ポリシーへのルールの追加」を参照してください。

  • IPS シグネチャによって事前に定義された攻撃または攻撃グループのリストを表示します。これを行うには、[ 事前定義済み ] タブをクリックし、[ビューバイ] リストから [定義済み攻撃 ] または [定義済み攻撃グループ ] を選択します。
  • 事前定義された IPS シグネチャの詳細を表示します。これを行うには、[定義済み] タブで既存の IPS シグネチャを選択し、使用可能なオプションに従います。

    • [ 詳細 ] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS 署名名の左にカーソルを合わせ、[ 詳細ビュー ] アイコンをクリックします。

  • カスタム攻撃、静的グループ、動的グループのカスタム シグネチャを表示します。これを行うには、[ カスタム ] タブをクリックし、[表示元] リストから [カスタム攻撃]、[ 静的グループ]、または [動的グループ ] を選択します。
  • Snort ルールをインポートしてカスタム攻撃として変換します。 Snort ルールのインポートを参照してください。

  • IPS シグネチャ カスタム攻撃を作成します。 「カスタム IPS シグネチャの作成」を参照してください。

  • IPS 署名静的グループを作成します。 IPS 署名静的グループの作成を参照してください。

  • IPS 署名動的グループを作成します。 IPS 署名動的グループの作成を参照してください。

  • カスタム攻撃、静的グループ、動的グループのIPSシグネチャの詳細を表示します。これを行うには、[CUSTOM] タブで既存の IPS シグネチャ、静的グループ、または動的グループを選択し、使用可能なオプションに従います。

    • [ 詳細 ] をクリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャを右クリックし、[ 詳細ビュー] を選択します。

    • 選択した IPS シグネチャの左にカーソルを合わせ、[ 詳細ビュー] をクリックします。

  • IPS シグネチャを複製します。 「IPS シグネチャのクローン作成」を参照してください。

  • IPS シグネチャを編集します。 「IPS 署名の編集」を参照してください。

  • IPS 署名を削除します。 「IPS 署名の削除」を参照してください。

  • [定義済み] テーブルの列の表示/非表示を切り替えます。これを行うには、定義済みテーブルの右上隅にある [列の非表示を表示] アイコンをクリックします。次に、ページで非表示にするオプションを表示またはオフにするオプションを選択します。

  • 事前定義された IPS シグネチャまたはカスタム IPS シグネチャの高度な検索。これを行うには、表のグリッドの上にある検索テキスト ボックスを使用します。検索には、フィルター文字列の一部として論理演算子が含まれています。検索テキスト ボックスにアイコンをポイントすると、フィルター条件の例が表示されます。検索文字列の入力を開始すると、フィルター文字列が有効かどうかを示すアイコンが表示されます。

    高度な検索の場合:

    1. テキスト ボックスに検索文字列を入力します。

      入力に基づいて、フィルターのコンテキスト メニューから項目のリストが表示されます。

    2. リストから値を選択し、高度な検索操作を実行する有効な演算子を選択します。

      手記:

      検索文字列に AND 演算子または OR 演算子を追加するには、space キーを押します。事前定義された署名は、AND 演算子のみをサポートします。検索基準を入力すると、いつでもバックスペースを押して 1 文字だけ削除できます。

    3. Enter キーを押すと、検索結果がグリッドに表示されます。

フィールドの説明

表 1表 2 は、IPS 署名ページのフィールドを示しています。

表 1: [定義済み] タブのフィールド

形容

名前

事前定義された IPS 署名の名前を表示します。

カテゴリ

攻撃オブジェクトのカテゴリを表示します。

過酷

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンの場合に表示されます。

手記:

このフィールドは、事前に定義された攻撃にのみ適用されます。

タイプ攻撃

攻撃タイプが静的または動的グループの場合に表示されます。

手記:

このフィールドは、事前定義済みの攻撃グループにのみ適用されます。

推奨

攻撃オブジェクトがジュニパーによって推奨されるかどうかを示します(True)か否かを示します(False)。

推奨されるアクション

監視対象のトラフィックが IPS ルールで指定された攻撃オブジェクトと一致したときに実行されるアクションを表示します。

誤検知

攻撃によってネットワークに誤検知が発生する頻度または頻度を表示します。

パフォーマンス

IPS シグネチャー パフォーマンスに影響するフィルターまたはフィルターを表示します。

方向

攻撃が検知されたトラフィックの方向またはトラフィックの方向を表示します。たとえば、クライアントからサーバーへ。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスの両方のリストを表示します。

表 2: [カスタム] タブのフィールド

形容

詳細を見る: カスタム攻撃

名前

カスタム攻撃 IPS シグネチャの名前を表示します。

過酷

シグネチャーが報告する攻撃の重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンの場合に表示されます。

推奨されるアクション

監視対象のトラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションを表示します。

表示者: 静的グループ

名前

静的グループ IPS シグネチャの名前を表示します。

グループメンバー

IPS 静的グループの一部である IPS 署名または IPS 署名動的グループを表示します。

表示者: 動的グループ

名前

動的グループ IPS シグネチャの名前を表示します。

攻撃プレフィックス

攻撃名プレフィックス照会の値または値を表示します。

過酷

シグネチャが報告する攻撃の重大度レベルまたは重大度レベルを表示します。

攻撃タイプ

攻撃オブジェクトのタイプがシグネチャ、異常、またはチェーンの場合に表示されます。

カテゴリ

攻撃オブジェクトのカテゴリまたはカテゴリを表示します。

方向

攻撃が検知されたトラフィックの方向またはトラフィックの方向を表示します。たとえば、クライアントからサーバーへ。

攻撃の除外

データベース更新の一部である、除外された攻撃または攻撃を表示します。

ファイル の種類

動的グループ フィルターとして使用される攻撃ファイル タイプまたはファイル タイプを表示します。

誤検知

攻撃によってネットワークに誤検知が発生する頻度または頻度を表示します。

推奨

攻撃オブジェクトがジュニパーによって推奨されるかどうかを示します(True)か否かを示します(False)。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスのリストを表示します。

売り手

攻撃が属するベンダーまたは製品を表示します。

脆弱性のタイプ

動的グループ フィルターとして使用される攻撃の脆弱性のタイプまたは脆弱性のタイプを表示します。

パフォーマンス

動的グループに使用されるパフォーマンス影響フィルターまたはフィルター。

CVSS スコア

動的グループ フィルターとして使用される共通脆弱性スコア システム(CVSS)スコアまたはスコアを表示します。

攻撃の時代

動的グループ フィルターとして使用される攻撃の有効期間(年)を表示します。