カスタム IPS シグネチャの作成
お客様のいる方: セキュリティサービス > IPS > 署名。
カスタム攻撃オブジェクトを作成して、既知または未知の攻撃を検知してネットワークを保護します。
カスタム IPS シグネチャを作成するには、以下の手順にいます。
フィールド | アクション |
---|---|
一般 |
|
名前 |
カスタム攻撃オブジェクトの名前を入力します。最大 250 文字。 |
説明 |
カスタム攻撃オブジェクトの説明を入力します。 |
推奨されるアクション |
デバイスが攻撃を検知したときに実行するアクションをリストから選択します。
|
重大 度 |
ネットワーク上の攻撃オブジェクトの重大度と一致する重大度をリストから選択します。
|
検出フィルター |
|
時間数 |
攻撃オブジェクトが指定されたスコープ内で攻撃を検知する必要がある回数を設定します。この検知は、攻撃対象が攻撃対象と一致するかどうかをデバイスが判断する前に発生します。 範囲:0~4,294,967,295 |
時間スコープ |
カウントが発生するリストからスコープを選択します。
|
時間間隔 |
タイムバインディングカスタム攻撃の任意の2つのインスタンス間の最大時間間隔を入力します。 サポートされている形式は MMm-SS です。 範囲:0分、0秒~60分、0秒。 |
署名 |
|
攻撃タイプ |
リストから次のいずれかの攻撃タイプを選択します。
|
フィールド | アクション |
---|---|
攻撃タイプ |
シグネチャ—IPS はステートフル シグネチャを使用して攻撃を検知します。ステートフル シグネチャを使用して、IPS は攻撃の実行に使用された特定のプロトコルまたはサービスを検索します。 |
コンテキスト |
リストから攻撃コンテキストを選択し、IPS が特定のアプリケーション レイヤー プロトコルで攻撃を検知するシグネチャの場所を定義します。 |
プロトコル バインディング |
攻撃がネットワークの侵入に使用するプロトコルをリストから選択します。 |
アプリケーション |
攻撃が一致する必要があるアプリケーションをリストから選択します。
メモ:
このオプションは、プロトコル バインディング タイプが Application の場合にのみ使用できます。 |
プロトコル番号 |
IPS が攻撃と一致できるようにするトランスポート レイヤー プロトコル番号を設定します。 範囲:0~139
メモ:
このオプションは、プロトコル バインディング タイプが IP および IPv6 の場合にのみ使用できます。 |
プログラム番号 |
攻撃と一致させるリモートプロシージャコール(RPC)プログラム番号を設定します。
メモ:
このオプションは、プロトコル バインディング タイプが RPC の場合にのみ使用できます。 |
最小ポート数 |
ポート範囲の最小ポートを設定します。 範囲:0~65,535
メモ:
このオプションは、プロトコル バインディング タイプが TCP の場合にのみ使用できます。 |
最大ポート数 |
ポート範囲の最大ポートを設定します。 範囲:0~65,535
メモ:
このオプションは、プロトコル バインディング タイプが TCP の場合にのみ使用できます。 |
方向 |
攻撃が検知されたリストからトラフィック方向を選択します。
|
コンテンツ |
|
DFA パターン |
決定性有限自動化(DFA)形式で署名パターンを入力します。 例えば: 構文: 構文の一致例は、hElLo、HEllO、heLLO です。 |
PCRE パターン |
標準的なPerl互換正規表現(PCRE)形式で署名パターンを入力します。 構文例: 構文の一致例は、Seal、Seam、Seanです。 |
深さ |
指定したパターンを検索するパケットの深さを指定できます。奥行きは相対的なものではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
深度変数名を入力します。 |
値 |
使用する深度値を設定します。 範囲:1~65535 |
オフセット |
パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
オフセット変数名を入力します。 |
値 |
使用するオフセット値を設定します。 範囲:1~65535 |
データは |
このオプションを有効にすると、ペイロードに指定された場所のデータがあることを確認できます。 |
否定 |
IS データの結果を無効にするには、このオプションを有効にします。 |
関連 |
このオプションを有効にして、最後のパターン一致に対するオフセットを使用します。 |
オフセット |
パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
オフセット変数名を入力します。 |
値 |
使用するオフセット値を設定します。 範囲:1~65535 |
フィールド | アクション |
---|---|
攻撃タイプ |
異常—プロトコルの異常攻撃オブジェクトは、プロトコルのルールセットを使用して、接続内の異常または不明瞭なメッセージを検出します。 |
サービス |
リストからサービスを選択します。サービスとは、攻撃に異常が定義されたプロトコルです。例:IP、TCP、ICMP。 |
異常のテスト |
チェック対象のリストからプロトコル異常テスト条件を選択します。 |
方向 |
攻撃が検知されたリストからトラフィック方向を選択します。
|
フィールド | アクション |
---|---|
攻撃タイプ |
チェーン—連鎖攻撃オブジェクトは、複数のシグネチャやプロトコルの異常を1つのオブジェクトに組み合わせます。トラフィックは、チェーン攻撃オブジェクトと一致するように、組み合わせたシグネチャやプロトコルの異常をすべて一致させる必要があります。 |
プロトコル バインディング |
攻撃がネットワークの侵入に使用するプロトコルをリストから選択します。 |
アプリケーション |
攻撃が一致するアプリケーションを選択します。
メモ:
このオプションは、プロトコル バインディング タイプが Application の場合にのみ使用できます。 |
プロトコル番号 |
IPS が攻撃と一致できるようにするトランスポート レイヤー プロトコル番号を設定します。 範囲:0~139
メモ:
このオプションは、プロトコル バインディング タイプが IP および IPv6 の場合にのみ使用できます。 |
プログラム番号 |
攻撃と一致させるリモートプロシージャコール(RPC)プログラム番号を設定します。
メモ:
このオプションは、プロトコル バインディング タイプが RCP の場合にのみ使用できます。 |
最小ポート数 |
ポート範囲の最小ポートを設定します。 範囲:0~65,535
メモ:
このオプションは、プロトコル バインディング タイプが TCP の場合にのみ使用できます。 |
最大ポート数 |
ポート範囲の最大ポートを設定します。 範囲:0~65,535
メモ:
このオプションは、プロトコル バインディング タイプが TCP の場合にのみ使用できます。 |
チェーン順序式 |
チェーン攻撃を受けるかどうかを決定するチェーン攻撃の個々のメンバーの条件を定義するブール式を選択します。
|
カスタマイズされた注文 |
このオプションを有効にすると、指定した順序で各メンバーシグネチャまたはプロトコルの異常に一致する必要がある複合攻撃オブジェクトを作成できます。順序付き一致を指定しない場合、複合攻撃オブジェクトは依然としてすべてのメンバーに一致する必要がありますが、攻撃やプロトコルの異常は順不同で表示される可能性があります。 |
リセット |
1 つのセッションまたはトランザクション内で複合攻撃を複数回マッチさせる必要がある場合は、このオプションを有効にします。 |
スコープ |
次のいずれかのスコープを選択します。
|
署名の追加 |
|
編集(鉛筆アイコン) |
編集する既存の署名を選択します。編集アイコン(鉛筆)をクリックし、必要な変更を行い、[OK] をクリック します。 |
削除(ゴミ箱アイコン) |
削除する既存の署名を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。 |
+ |
「+」をクリックして、ステートフル攻撃シグネチャ(攻撃の特定のセクションに常に存在するパターン)を使用する1つ以上のシグネチャ攻撃オブジェクトを追加して、既知の攻撃を検知します。 |
署名いいえ |
システム生成署名番号を表示します。このフィールドは変更できません。 |
コンテキスト |
リストから攻撃コンテキストを選択し、IPS が特定のアプリケーション レイヤー プロトコルで攻撃を検索するシグネチャの場所を定義します。 |
方向 |
攻撃が検知されたリストからトラフィック方向を選択します。
|
コンテンツ |
|
DFA パターン |
決定性有限自動化(DFA)形式で署名パターンを入力します。 構文例: 構文の一致例は、hElLo、HEllO、heLLO です。 |
PCRE パターン |
標準的なPerl互換正規表現(PCRE)形式で署名パターンを入力します。 構文例: Seal、Seam、Sean の構文に一致する例 |
深さ |
指定したパターンを検索するパケットの深さを指定できます。奥行きは相対的なものではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
深度変数名を入力します。 |
値 |
使用する深度値を設定します。 範囲:1~65535 |
距離 |
IPS エンジンが前のパターン一致の終了との関連で指定されたパターンの検索を開始する前に、無視するパケット データの量を指定できます。 |
変数 |
距離の変数名を入力します。 |
値 |
使用する一致値を設定します。これは常に以前の一致に対して相対的です。 |
オフセット |
パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
オフセット変数名を入力します。 |
値 |
使用するオフセット値を設定します。 範囲:1~65535 |
データは |
このオプションを有効にすると、ペイロードに指定された場所のデータがあることを確認できます。 |
否定 |
IS データの結果を無効にするには、このオプションを有効にします。 |
関連 |
このオプションを有効にして、最後のパターン一致に対するオフセットを使用します。 |
オフセット |
パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対ではありません。たとえば、深度の値を 100 に指定できます。 |
変数 |
オフセット変数名を入力します。 |
値 |
使用するオフセット値を設定します。 範囲:1~65535 |
内 |
パターン一致間に最大 N バイトを指定できます。 |
変数 |
一致変数名を入力します。 |
値 |
使用する一致値を設定します。これは常に以前の一致に対して相対的です。 |
異常を追加 |
|
編集(鉛筆アイコン) |
編集する既存の異常を選択します。編集アイコン(鉛筆)をクリックし、必要な変更を行い、[OK] をクリック します。 |
削除(ゴミ箱アイコン) |
削除する既存の異常を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。 |
+ |
+ をクリックして、1 つ以上のプロトコル異常攻撃オブジェクトを追加し、使用されている特定のプロトコルのルールセットに従って、接続内で異常または不明瞭なメッセージを検出します。 |
異常なし |
システム生成の異常値を表示します。このフィールドは変更できません。 |
異常のテスト |
チェック対象のプロトコル異常テスト条件を選択します。 |
方向 |
攻撃が検知されたリストからトラフィック方向を選択します。
|