カスタム IPS シグネチャの作成

You are here: セキュリティサービス > IPS > Signatures.

カスタム攻撃オブジェクトを作成して、ネットワークを保護するための既知または未知の攻撃を検出します。

カスタム IPS シグネチャを作成するには:

[CUSTOM] タブをクリックします。
[ Custom Signatures] ページの右上隅にある [ Create > Custom ] をクリックします。
[Create Custom Attack] ページが表示されます。
表 1 から表 4 のガイドラインに従って設定を完了します。
[OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。

[カスタム署名(Custom Signatures)] ページに戻り、正常に作成したカスタム署名が表示されます。

表 1:[IPS シグニチャ(IPS Signatures)] ページのフィールド—カスタムの作成
フィールド	アクション
全般
名前	カスタム攻撃オブジェクトの名前を入力します。最大 250 文字。
形容	カスタム攻撃オブジェクトの説明を入力します。
推奨アクション	デバイスが攻撃を検出したときに実行するアクションをリストから選択します。 [なし(None)]:アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。 [閉じる(Close)]:クライアントとサーバをリセットします。 [クライアントを閉じる(Close client)]:接続を閉じ、RST パケットをクライアントに送信しますが、サーバには送信しません。 [サーバを閉じる(Close server)]:接続を閉じ、RST パケットをサーバに送信しますが、クライアントには送信しません。 [ドロップ(Drop)]:接続に関連付けられているすべてのパケットをドロップし、接続のトラフィックが宛先に到達するのを防ぎます。このアクションは、スプーフィングが発生しにくいトラフィックの接続を切断する場合に使用します。パケットのドロップ—一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションは、UDP トラフィックなど、スプーフィングが発生しやすいトラフィックに対する攻撃のパケットをドロップする場合に使用します。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。 [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPS は、特定の接続のルールベースを無効にします。
過酷	リストから、ネットワーク上の攻撃オブジェクトの重大度と一致する重大度を選択します。重大—検出を回避したり、ネットワークデバイスをクラッシュさせたり、システムレベルの権限を取得したりしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。情報—以下のパラメータに一致する攻撃オブジェクトが含まれます。 URLを含む正常で無害なトラフィック DNS ルックアップの失敗 SNMP パブリックコミュニティ文字列ピアツーピア(P2P) メジャー—以下を試みるエクスプロイトに一致する攻撃オブジェクトが含まれます。サービスを中断する。ネットワークデバイスへのユーザーレベルのアクセス権を取得します。デバイスに以前にロードされたトロイの木馬をアクティブ化します。マイナー—ディレクトリトラバーサルまたは情報漏洩を通じて重要な情報にアクセスしようとする偵察活動を検出するエクスプロイトと一致する攻撃オブジェクトが含まれます。警告—重要でない情報を取得したり、スキャンツールでネットワークをスキャンしたりしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。
検出フィルター
タイムカウント	指定した範囲内で攻撃オブジェクトが攻撃を検出する回数を設定します。この検出は、攻撃オブジェクトが攻撃と一致するかどうかをデバイスが判断する前に行われます。範囲: 0 から 4,294,967,295
時間範囲	リストから、カウントが発生するスコープを選択します。 [なし(None)]:アクションは実行されません。このオプションは、一部のトラフィックのログのみを生成する場合に使用します。宛先—送信元 IP アドレスに関係なく、指定された回数、IP アドレスからのトラフィック内のシグネチャを検出します。セッション—指定された回数、セッションの送信元IPアドレスと宛先IPアドレス間のトラフィックの署名を検出します。送信元—IP アドレスに関係なく、指定された回数、送信元 IP アドレスからのトラフィック内の署名を検出します。
時間間隔	時間拘束カスタム攻撃の任意の 2 つのインスタンス間の最大時間間隔を入力します。対応フォーマットはMMm-SSです。範囲: 0 分 0 秒から 60 分 0 秒。
署名
攻撃の種類	リストから次の攻撃タイプのいずれかを選択します。シグネチャ:IPS はステートフルシグネチャを使用して攻撃を検出します。IPSは、ステートフルシグネチャを使用して、攻撃の実行に使用された特定のプロトコルまたはサービスを探します。フィールドの説明については、表 2 を参照してください。異常—プロトコル異常攻撃オブジェクトは、プロトコルの一連のルールを使用して、接続内の異常またはあいまいなメッセージを検出します。フィールドの説明については、表 3 を参照してください。チェーン:チェーン攻撃オブジェクトは、複数のシグニチャやプロトコル異常を単一のオブジェクトに組み合わせます。トラフィックは、連鎖攻撃オブジェクトに一致するために、組み合わされたシグネチャおよび/またはプロトコル異常のすべてに一致する必要があります。フィールドの説明については、表 4 を参照してください。

表 2:攻撃タイプ - シグネチャのフィールド
フィールド	アクション
攻撃の種類	シグネチャ:IPS はステートフルシグネチャを使用して攻撃を検出します。IPSは、ステートフルシグネチャを使用して、攻撃の実行に使用された特定のプロトコルまたはサービスを探します。
文脈	IPS が特定のアプリケーション層プロトコルで攻撃を検索するシグネチャの場所を定義するリストから攻撃コンテキストを選択します。
プロトコルバインディング	攻撃がネットワークに侵入するために使用するプロトコルをリストから選択します。
アプリケーション	攻撃が一致する必要があるアプリケーションをリストから選択します。手記：このオプションは、プロトコルバインドの種類が [アプリケーション] の場合にのみ使用できます。
プロトコル番号	IPSが攻撃をそれに一致させることを可能にするトランスポート層プロトコル番号を設定します。範囲: 0 から 139 手記：このオプションは、プロトコルバインディングタイプが [IP] および [IPv6] の場合にのみ使用できます。
プログラム番号	攻撃を照合できるリモートプロシージャコール(RPC)プログラム番号を設定します。手記：このオプションは、プロトコルバインディングタイプが RPC の場合にのみ使用できます。
最小ポート	ポート範囲の最小ポートを設定します。範囲: 0 から 65,535 手記：このオプションは、プロトコルバインディングタイプが TCP の場合にのみ使用できます。
最大ポート数	ポート範囲の最大ポートを設定します。範囲: 0 から 65,535 手記：このオプションは、プロトコルバインディングタイプが TCP の場合にのみ使用できます。
方向	攻撃が検出されたリストからトラフィックの方向を選択します。 [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。 [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。 [任意の方向(Any Direction)]:どちらの方向からの攻撃も検知します。
コンテンツ
DFA パターン	シグネチャパターンを決定論的有限自動化(DFA)形式で入力します。例えば：構文 `\[hello\]` を使用する場合、pattern は hello で、大文字と小文字は区別されません。構文の一致例は、hElLo、HEllO、heLLO です。
PCREパターン	標準の Perl 互換正規表現(PCRE)形式でシグネチャパターンを入力します。構文の例: `Sea[ln]`、pattern は Seal で、大文字と小文字は区別されません。構文の一致例は、Seal、Seam、Sean です
深さ	特定のパターンを検索するためのパケットの深さを指定できます。深さは相対的なものではありません。たとえば、深さの値を 100 に指定できます。
変数	深度変数名を入力します。
価値	使用する深度値を設定します。範囲: 1 から 65535
相殺	パケット内のパターンの検索を開始する位置を指定できます。オフセットは相対的ではありません。たとえば、深さの値を 100 に指定できます。
変数	オフセット変数名を入力します。
価値	使用するオフセット値を設定します。範囲: 1 から 65535
次の位置にあるデータです	このオプションを有効にすると、ペイロードに指定した場所にデータがあることを確認できます。
打ち消す	このオプションを有効にすると、Is data atの結果が否定されます。
関係する	このオプションを有効にすると、最後のパターン一致を基準にしたオフセットが使用されます。
相殺	パケット内のパターンの検索を開始する位置を指定できます。オフセットは相対的ではありません。たとえば、深さの値を 100 に指定できます。
変数	オフセット変数名を入力します。
価値	使用するオフセット値を設定します。範囲: 1 から 65535

表 3:攻撃タイプ - 異常のフィールド
フィールド	アクション
攻撃の種類	異常—プロトコル異常攻撃オブジェクトは、プロトコルの一連のルールを使用して、接続内の異常またはあいまいなメッセージを検出します。
サービス	リストからサービスを選択します。サービスは、攻撃で異常が定義されているプロトコルです。例:IP、TCP、ICMP。
テストの異常	チェックするリストからプロトコル異常のテスト条件を選択します。
方向	攻撃が検出されたリストからトラフィックの方向を選択します。 [任意の方向(Any Direction)]:どちらの方向からの攻撃も検知します。 [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。 [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。

表 4: 攻撃の種類 - チェーンのフィールド
フィールド	アクション
攻撃の種類	チェーン:チェーン攻撃オブジェクトは、複数のシグニチャやプロトコル異常を単一のオブジェクトに組み合わせます。トラフィックは、連鎖攻撃オブジェクトに一致するために、組み合わされたシグネチャおよび/またはプロトコル異常のすべてに一致する必要があります。
プロトコルバインディング	攻撃がネットワークに侵入するために使用するプロトコルをリストから選択します。
アプリケーション	攻撃が一致する必要があるアプリケーションを選択します。手記：このオプションは、プロトコルバインドの種類が [アプリケーション] の場合にのみ使用できます。
プロトコル番号	IPSが攻撃をそれに一致させることを可能にするトランスポート層プロトコル番号を設定します。範囲: 0 から 139 手記：このオプションは、プロトコルバインディングタイプが [IP] および [IPv6] の場合にのみ使用できます。
プログラム番号	攻撃を照合できるリモートプロシージャコール(RPC)プログラム番号を設定します。手記：このオプションは、プロトコルバインディングタイプが RCP の場合にのみ使用できます。
最小ポート	ポート範囲の最小ポートを設定します。範囲: 0 から 65,535 手記：このオプションは、プロトコルバインディングタイプが TCP の場合にのみ使用できます。
最大ポート数	ポート範囲の最大ポートを設定します。範囲: 0 から 65,535 手記：このオプションは、プロトコルバインディングタイプが TCP の場合にのみ使用できます。
チェーン順序式	チェーン攻撃がヒットするかどうかを決定するチェーン攻撃の個々のメンバーの条件を定義するブール式を選択します。 AND - 両方のメンバー名パターンが一致する場合、式は一致します。メンバーの順番は関係ありません。 OR - メンバー名パターンのいずれかが一致する場合、式は一致します。 OAND - 両方のメンバー名パターンが一致し、ブール式と同じ順序で表示される場合、式は一致します。
カスタマイズされた注文	このオプションを有効にすると、各メンバーのシグニチャまたはプロトコル異常に指定した順序で一致する必要がある複合攻撃オブジェクトが作成されます。順序指定しない場合、複合攻撃オブジェクトはすべてのメンバーに一致する必要がありますが、攻撃やプロトコル異常はランダムな順序で表示される可能性があります。
リセット	複合攻撃が 1 つのセッションまたはトランザクション内で複数回一致する必要がある場合は、このオプションを有効にします。
スコープ	次のいずれかのスコープを選択します。セッション—同じセッション内でオブジェクトに対して複数の一致を許可します。 transaction:同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。
署名を追加する
編集 (鉛筆アイコン)	編集する既存の署名を選択します。編集(鉛筆)アイコンをクリックし、必要な変更を行って、「 OK」をクリックします。
削除 (ごみ箱アイコン)	削除する既存の署名を選択します。削除(ごみ箱)アイコンをクリックし、「はい」をクリックします。
+	「 + 」をクリックして、ステートフル攻撃シグニチャ(アタックの特定のセクション内に常に存在するパターン)を使用して既知のアタックを検出する 1 つ以上のシグニチャ攻撃オブジェクトを追加します。
署名いいえ	システムによって生成されたシグニチャ番号を表示します。このフィールドは変更できません。
文脈	IPS が特定のアプリケーション層プロトコルで攻撃を検索するシグネチャの場所を定義するリストから攻撃コンテキストを選択します。
方向	攻撃が検出されたリストからトラフィックの方向を選択します。 [任意の方向(Any Direction)]:どちらの方向からの攻撃も検知します。 [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。 [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。
コンテンツ
DFA パターン	シグネチャパターンを決定論的有限自動化(DFA)形式で入力します。構文例: `\[hello\]`、pattern は hello で、大文字と小文字は区別されません。構文の一致例は、hElLo、HEllO、heLLO です。
PCREパターン	標準の Perl 互換正規表現(PCRE)形式でシグネチャパターンを入力します。構文例: `Sea[ln]`、pattern は Seal で、Unicode は区別されません。構文 Seal、Seam、および Sean に一致する例
深さ	特定のパターンを検索するためのパケットの深さを指定できます。深さは相対的なものではありません。たとえば、深さの値を 100 に指定できます。
変数	深度変数名を入力します。
価値	使用する深度値を設定します。範囲: 1 から 65535
距離	前のパターン一致の末尾を基準にして、指定されたパターンの検索を開始する前に、IPS エンジンが無視するパケットデータの量を指定できます。
変数	距離変数名を入力します。
価値	使用する一致値を設定します。これは常に前の一致を基準にしています。
相殺	パケット内のパターンの検索を開始する位置を指定できます。オフセットは相対的ではありません。たとえば、深さの値を 100 に指定できます。
変数	オフセット変数名を入力します。
価値	使用するオフセット値を設定します。範囲: 1 から 65535
次の位置にあるデータです	このオプションを有効にすると、ペイロードに指定した場所にデータがあることを確認できます。
打ち消す	このオプションを有効にすると、Is data atの結果が否定されます。
関係する	このオプションを有効にすると、最後のパターン一致を基準にしたオフセットが使用されます。
相殺	パケット内のパターンの検索を開始する位置を指定できます。オフセットは相対的ではありません。たとえば、深さの値を 100 に指定できます。
変数	オフセット変数名を入力します。
価値	使用するオフセット値を設定します。範囲: 1 から 65535
以内	パターンマッチ間に最大Nバイトを指定することができます。
変数	一致変数名を入力します。
価値	使用する一致値を設定します。これは常に前の一致を基準にしています。
異常を追加
編集 (鉛筆アイコン)	編集する既存の異常を選択します。編集(鉛筆)アイコンをクリックし、必要な変更を行って、「 OK」をクリックします。
削除 (ごみ箱アイコン)	削除する既存の異常を選択します。削除(ごみ箱)アイコンをクリックし、「はい」をクリックします。
+	[ + ] をクリックして 1 つ以上のプロトコル異常攻撃オブジェクトを追加し、使用されている特定のプロトコルの一連のルールに従って、接続内の異常またはあいまいなメッセージを検出します。
異常いいえ	システムによって生成された異常値を表示します。このフィールドは変更できません。
テストの異常	チェックするプロトコル異常のテスト条件を選択します。
方向	攻撃が検出されたリストからトラフィックの方向を選択します。 [任意の方向(Any Direction)]:どちらの方向からの攻撃も検知します。 [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。 [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。

カスタム IPS シグネチャの作成

関連資料