Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャ ダイナミック グループの作成

お客様のいる方: セキュリティサービス > IPS > 署名

動的攻撃グループを作成し、グループ内の指定されたフィルターに基づいてメンバーを選択します。新しい署名データベースを使用すると、攻撃のリストが自動的に更新(追加または削除)されます。

IPS シグネチャ ダイナミック グループを作成するには、以下の手順に従います。

  1. [カスタム] タブをクリックします。
  2. [カスタム 署名] ページの右上隅にある [>ダイナミック グループ作成] をクリックします。
    [動的グループの作成] ページが表示されます。
  3. 表 1 に示すガイドラインに従って、設定を完了します。
  4. [OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。

    [カスタム 署名] ページに戻り、正常に作成した動的グループが表示されます。

表 1: 動的グループの作成ページのフィールド

フィールド

アクション

名前

名前は、文字またはアンダースコアで始まり、文字、数字、ダッシュ、アンダースコアで構成される文字列である必要があります。最大 250 文字。

フィルター条件

攻撃プレフィックス

攻撃名プレフィックスと一致するリストから 1 つ以上の値を選択します。

重大 度

攻撃の重大度レベル(重要、情報、メジャー、マイナー、警告)に基づいて攻撃オブジェクトを追加するには、リストから 1 つ以上の重大度値を選択します。

  • クリティカル—攻撃は重要な攻撃です。

  • 情報 — 一致した場合に攻撃の情報を提供します。

  • メジャー — 攻撃は主な攻撃です。

  • マイナー — 攻撃はマイナーな攻撃です。

  • 警告 — 攻撃が一致した場合に警告を発します。

サービス

リストから 1 つ以上のサービス値を選択し、攻撃サービスに基づいて攻撃オブジェクトを追加します。例えば、BGP、FTP、HTTPなどです。

カテゴリ

リストから 1 つ以上のカテゴリー値を選択し、そのカテゴリーに基づいて攻撃オブジェクトを追加します。

推奨

以下のフィルターのいずれかを選択します。

  • なし — アクションは実行されません。

  • はい — ジュニパーネットワークスが推奨する事前定義された攻撃を動的攻撃グループに追加するための推奨フィルターです。

  • いいえ—動的攻撃グループの推奨されない攻撃オブジェクト。

方向

リストから 1 つ以上の方向値を選択します。

  • 任意—クライアントからサーバー、サーバーからクライアントへのトラフィックを監視します。

  • クライアントからサーバーへ—クライアントからサーバーへのトラフィックのみを監視します(ほとんどの攻撃はクライアントからサーバーへの接続を介して発生します)。

  • Exclude Any — クライアントからサーバー、サーバーからクライアントへのトラフィックを許可します。

  • サーバーへのクライアントの除外 — サーバーからクライアントへのトラフィックのみを許可します。

  • [サーバーからクライアントへの除外] — クライアントからサーバーへのトラフィックのみを許可します。

  • サーバーからクライアントへ —サーバーからクライアントへのトラフィックのみを監視します。

リストから以下の式のいずれかを選択します。

  • なし — アクションは実行されません。

  • AND — 方向が両方とも一致する場合、式は一致します。

  • OR — いずれかの方向が一致する場合、式は一致します。

パフォーマンス

リストから 1 つ以上のパフォーマンス値を選択します。

  • 高速— パフォーマンス レベルの追跡を迅速化します。

  • 通常 — 通常のトラック パフォーマンス レベル。

  • 遅い — パフォーマンス レベルの追跡に時間がかかる。

  • 不明 — デフォルトでは、すべての複合攻撃オブジェクトが[不明]に設定されています。ネットワーク トラフィックに合わせて IPS を微調整する場合は、この設定を変更してパフォーマンス レベルを追跡できます。

誤検知

リストから 1 つ以上の偽陽性値を選択します。

  • 頻繁 — 誤検知の発生を頻繁に追跡します。

  • 時々 - 誤検知の発生を追跡することがあります。

  • まれに — 誤検知の発生を追跡することはほとんどありません。

  • 不明 — デフォルトでは、すべての複合攻撃オブジェクトが[不明]に設定されています。ネットワーク トラフィックに合わせて IPS を微調整する際に、誤検知の追跡に役立つこの設定を変更できます。

攻撃タイプ

リストから [ 異常 ] または [ シグネチャ 攻撃タイプ] を選択します。 [なし] を選択した場合、アクションは実行されません。

攻撃

データベース更新の一部である署名を確認するには、リストから [ 除外 済み] または [ 除外しない ] を選択します。 [なし] を選択した場合、アクションは実行されません。

CVSS スコア

攻撃の一般的な脆弱性スコアシステム(CVSS)スコアを指定するには、リストから [大きい値以下] を選択します。

CVSS の攻撃スコアは、コンピューター システムのセキュリティーの脆弱性の深刻度を評価するための無料でオープンな業界標準です。CVSS は脆弱性に深刻度スコアを割り当て、応答者が脅威に応じて対応とリソースに優先順位を付けようとします。

より大きい

CVSS スコアが指定した値より大きい値に一致するように設定します。

範囲:0~10

未満

CVSS スコアが指定した値より小さい値に一致するように設定します。

範囲:0~10

攻撃の時代

攻撃の有効期間を指定するには、リストから [ 大きい値より大きい ] または [ より小さい ] を選択します。

攻撃対象年齢が指定した値(年)以下の場合に一致するように設定します。

範囲:1~100。

ファイルタイプ

攻撃対象のリストからファイル タイプを選択します。例えば、HTML と PDF です。

脆弱性のタイプ

どのアプリケーションが弱く、操作できるかを示すリストから、IPS の脆弱性のタイプを選択します。脆弱性のタイプは、これらの脆弱性を修正するために報告されます。

ベンダー

ベンダーの製品に固有のグループ攻撃。

ベンダーを追加、変更、または削除できます。

動的グループにベンダーを追加するには、以下の手順に従います。

  1. [ +] をクリックします。

  2. 一覧からベンダー名と製品名を選択します。

  3. チェック アイコンをクリックして、ベンダーの詳細を保存します。

ベンダーを編集するには、ベンダーを選択して鉛筆アイコンをクリックします。

ベンダーを削除するには、そのベンダーを選択して削除アイコンをクリックします。

関連ドキュメント