Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

[IPS シグニチャ(IPS Signatures)] ページについて

You are here: セキュリティ サービス > IPS > Signatures.

侵入防御システム(IPS)は、既知の脅威のシグネチャとトラフィックを比較し、脅威が検出されるとトラフィックをブロックします。ネットワーク侵入とは、ネットワークリソースに対する攻撃やその他の誤用です。このようなアクティビティを検出するために、IPS はシグネチャを使用します。シグネチャは、デバイスが検出して報告する必要があるネットワーク侵入の種類を指定します。トラフィックパターンがシグネチャと一致するたびに、IPSはアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。IPS の重要なコンポーネントの 1 つに、シグネチャ データベースがあります。これには、攻撃オブジェクト、アプリケーション シグネチャ オブジェクト、サービス オブジェクトなど、IPS ポリシー ルールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

攻撃オブジェクトをグループ化して、IPS ポリシーを整理し、管理しやすくすることができます。攻撃オブジェクト グループには、1 つ以上のタイプの攻撃オブジェクトを含めることができます。Junos OS は、以下の 3 種類の攻撃グループをサポートしています。

  • IPS シグネチャ - シグネチャ データベースに存在するオブジェクトが含まれます。

  • 動的グループ—指定されたポリシーの一致基準を定義を満たす攻撃オブジェクトが含まれます。署名の更新時に、動的グループメンバーシップは、そのグループのポリシーの一致基準を定義に基づいて自動的に更新されます。例えば、動的攻撃グループ・フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ - 攻撃定義で指定されている攻撃のリストが含まれます。

実行可能なタスク

このページから次のタスクを実行できます。

  • IPS シグネチャを IPS ポリシーに関連付けます。これを行うには、[IPS Signatures] ページのタイトルの下にある [IPS Policies ] リンクをクリックして、[IPS Policies] ページに直接移動します。次に、[ ルールの追加(Add rules )] をクリックして、IPS シグネチャを特定のポリシーに割り当てます。詳細については、 IPS ポリシーへのルールの追加を参照してください。

  • IPS シグネチャの事前定義された攻撃または攻撃グループのリストを表示します。これを行うには、「事前定義済み」タブをクリックし、「表示方法」リストから「事前定義済み攻撃」または「事前定義済み攻撃グループ」を選択します。

  • 事前定義された IPS シグネチャの詳細を表示します。これを行うには、[PREDEFINED] タブで既存の IPS シグネチャを選択し、使用可能なオプションに従います。

    • 詳細 」をクリックし、「 詳細表示」を選択します。

    • 選択した IPS シグネチャを右クリックし、[ Detailed View] を選択します。

    • 選択した IPS シグニチャ名の左側にカーソルを合わせ、[ Detailed View ] アイコンをクリックします。

  • カスタム攻撃、静的グループ、または動的グループのカスタム シグネチャを表示します。これを行うには、[ CUSTOM ] タブをクリックし、[View by] リストから [Custom Attacks]、[ Static Groups]、または [Dynamic Groups ] を選択します。

  • Snort ルールをインポートして、カスタム攻撃として変換します。 Snort ルールのインポートを参照してください。

  • IPS シグネチャのカスタム攻撃を作成します。 「カスタム IPS シグネチャの作成」を参照してください。

  • IPS シグネチャの静的グループを作成します。 IPS シグネチャ静的グループの作成を参照してください。

  • IPS シグネチャの動的グループを作成します。 IPS シグネチャ動的グループの作成を参照してください。

  • カスタム攻撃、静的グループ、動的グループのIPSシグネチャの詳細を表示します。これを行うには、[CUSTOM] タブで既存の IPS シグニチャ、静的グループ、または動的グループを選択し、使用可能なオプションに従います。

    • 詳細 」をクリックし、「 詳細表示」を選択します。

    • 選択した IPS シグネチャを右クリックし、[ Detailed View] を選択します。

    • 選択した IPS シグニチャの左側にカーソルを合わせ、[ Detailed View] をクリックします。

  • IPS シグネチャのクローンを作成します。 IPS シグネチャの複製を参照してください。

  • IPS シグネチャを編集します。 IPS シグネチャの編集を参照してください。

  • IPS シグネチャを削除します。 IPS シグネチャの削除を参照してください。

  • 定義済みテーブルの列を表示または非表示にします。これを行うには、定義済みテーブルの右上隅にある [Show Hide Columns] アイコンをクリックします。次に、表示するオプションを選択するか、ページ上で非表示にするオプションをクリアします。

  • 事前定義済みまたはカスタムの IPS シグネチャの高度な検索。これを行うには、テーブルグリッドの上にある検索テキストボックスを使用します。検索には、フィルター文字列の一部として論理演算子が含まれます。検索テキストボックスで、アイコンにカーソルを合わせると、フィルター条件の例が表示されます。検索文字列の入力を開始すると、アイコンはフィルター文字列が有効かどうかを示します。

    詳細検索の場合:

    1. テキストボックスに検索文字列を入力します。

      入力に基づいて、フィルターのコンテキスト メニューから項目のリストが表示されます。

    2. リストから値を選択し、高度な検索操作を実行する有効な演算子を選択します。

      手記:

      スペースバーを押して、検索文字列にAND演算子またはOR演算子を追加します。定義済みのシグネチャは、AND 演算子のみをサポートします。検索条件を入力するときにいつでもバックスペースを押すと、1 文字だけを削除できます。

    3. Enter キーを押して、検索結果をグリッドに表示します。

フィールドの説明

表 1表 2 は、[IPS シグニチャ(IPS Signatures)] ページのフィールドを示しています。

表 1: [PREDEFINED] タブのフィールド

形容

名前

事前定義された IPS シグネチャの名前が表示されます。

カテゴリ

攻撃オブジェクトのカテゴリを表示します。

過酷

シグニチャが報告する攻撃の重大度レベルを表示します。

攻撃の種類

攻撃オブジェクトのタイプがシグニチャ、異常、またはチェーンのいずれであるかを表示します。

手記:

このフィールドは、事前定義された攻撃にのみ適用されます。

タイプアタック

攻撃タイプが静的グループか動的グループかを表示します。

手記:

このフィールドは、事前定義された攻撃グループにのみ適用されます。

推奨

攻撃オブジェクトがジュニパーによって推奨されているか(True)、推奨されていないか(False)を示します。

推奨アクション

監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションを表示します。

誤検知

攻撃によってネットワーク上で誤検知が発生する頻度を表示します。

パフォーマンス

IPS シグネチャ、パフォーマンス影響フィルター、またはフィルターを表示します。

方向

攻撃が検出されたトラフィック方向を表示します。たとえば、クライアントからサーバーへなどです。

サービス

プロトコル、サービス、または攻撃がネットワークに侵入するために使用するプロトコルとサービスの両方のリストを表示します。
表 2: [カスタム] タブのフィールド

形容

表示方法:カスタム攻撃

名前

カスタム攻撃 IPS シグネチャの名前を表示します。

過酷

シグニチャが報告する攻撃の重大度レベルを表示します。

攻撃の種類

攻撃オブジェクトのタイプがシグニチャ、異常、またはチェーンのいずれであるかを表示します。

推奨アクション

監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行されるアクションを表示します。

表示方法:静的グループ

名前

静的グループの IPS シグネチャの名前を表示します。

グループメンバー

IPS 静的グループの一部である IPS シグニチャまたは IPS シグネチャ動的グループを表示します。

表示方法: 動的グループ

名前

動的グループの IPS シグネチャの名前を表示します。

攻撃プレフィックス

攻撃名のプレフィックス一致の値を表示します。

過酷

シグネチャが報告する攻撃の重大度レベルを表示します。

攻撃の種類

攻撃オブジェクトのタイプがシグニチャ、異常、またはチェーンのいずれであるかを表示します。

カテゴリ

攻撃オブジェクトのカテゴリを表示します。

方向

攻撃が検出されたトラフィック方向を表示します。たとえば、クライアントからサーバーへなどです。

攻撃対象外

除外された攻撃、またはデータベースの更新の一部である攻撃を表示します。

ファイル タイプ

攻撃ファイルの種類、または動的グループ フィルターとして使用されるファイル の種類を表示します。

誤検知

攻撃によってネットワーク上で誤検知が発生する頻度を表示します。

推奨

攻撃オブジェクトがジュニパーによって推奨されているか(True)、推奨されていないか(False)を示します。

サービス

攻撃がネットワークに侵入するために使用するプロトコル、サービス、またはプロトコルとサービスのリストを表示します。

売り手

攻撃が属するベンダーまたは製品を表示します。

脆弱性の種類

動的グループ フィルターとして使用される攻撃脆弱性タイプまたは脆弱性タイプを表示します。

パフォーマンス

パフォーマンス影響フィルター、または動的グループに使用されるフィルター。

CVSSスコア

共通脆弱性スコアリング・システム(CVSS)スコアまたは動的グループ・フィルタとして使用されるスコアを表示します。

攻撃の時代

動的グループ フィルターとして使用される攻撃の経過時間(年数)を表示します。