カスタムIPSシグネチャの作成

全般

カスタム攻撃オブジェクトの名前を入力します。最大 250 文字です。

カスタム攻撃オブジェクトの説明を入力します。

デバイスが攻撃を検出したときに実行するアクションをリストから選択します。

• [なし(なし)]:アクションは実行されません。このアクションを使用して、一部のトラフィックのログのみを生成します。

• [閉じる] - クライアントとサーバーをリセットします。

• クライアントを閉じる - 接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

• サーバーを閉じる - 接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

• ドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。

• Drop packet - 一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

• [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

ネットワーク上の攻撃オブジェクトの重大度と一致する重大度をリストから選択します。

• 重大 - 検知を回避しようとする、ネットワーク デバイスをクラッシュさせようとする、またはシステム レベルの権限を取得しようとする攻撃に一致する攻撃オブジェクトが含まれます。

• [情報] - 次のパラメータに一致する攻撃オブジェクトが含まれます。

  • URLを含む通常の無害なトラフィック

  • DNS ルックアップの失敗

  • SNMP パブリック コミュニティ文字列

  • ピアツーピア(P2P)

• [メジャー(Major)]:以下を試みるエクスプロイトに一致する攻撃オブジェクトが含まれます。

  • サービスを中断する。

  • ネットワークデバイスへのユーザーレベルのアクセス権を取得します。

  • 以前にデバイスにロードされたトロイの木馬をアクティブにします。

• [マイナー(Minor)]:ディレクトリ トラバーサルや情報漏洩による重要な情報へのアクセスを試みる偵察活動を検出するエクスプロイトに一致する攻撃オブジェクトが含まれます。

• 警告:重要でない情報を取得しようとする、またはスキャン ツールを使用してネットワークをスキャンしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

検出フィルター

指定したスコープ内の攻撃を攻撃オブジェクトが検出する必要がある回数を設定します。検出は、攻撃オブジェクトが攻撃と一致するかどうかをデバイスが判断する前に行われます。

範囲: 0 から 4,294,967,295

カウントが発生するスコープを一覧から選択します。

• [なし(なし)]:アクションは実行されません。このオプションは、一部のトラフィックのログのみを生成する場合に使用します。

• 宛先—送信元IPアドレスに関係なく、宛先IPアドレスからのトラフィック内の署名を指定された回数検出します。

• セッション:セッションの送信元 IP アドレスと宛先 IP アドレス間のトラフィック内のシグネチャを、指定された回数だけ検出します。

• 送信元—宛先IPアドレスに関係なく、送信元IPアドレスからのトラフィック内の署名を指定された回数検出します。

時間拘束力のあるカスタム攻撃の任意の 2 つのインスタンス間の最大時間間隔を入力します。

サポートされている形式は MMm-SS です。

範囲: 0 分 0 秒から 60 分 0 秒。

署名

シグネチャ:IPS はステートフル シグネチャを使用して攻撃を検知します。IPSは、ステートフルシグネチャを使用して、攻撃の実行に使用された特定のプロトコルまたはサービスを探します。

IPSが特定のアプリケーション層プロトコルで攻撃を探すシグネチャの場所を定義する攻撃コンテキストをリストから選択します。

攻撃がネットワークに侵入するために使用するプロトコルをリストから選択します。

攻撃が一致する必要があるアプリケーションをリストから選択します。

IPSが攻撃を一致させることができるトランスポート層のプロトコル番号を設定します。

範囲: 0 から 139

攻撃を一致させることができるリモートプロシージャコール(RPC)プログラム番号を設定します。

ポート範囲の最小ポートを設定します。

範囲: 0 から 65,535

ポート範囲の最大ポートを設定します。

範囲: 0 から 65,535

攻撃が検出されたトラフィックをリストから選択します。

• クライアントからサーバーへ:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

• サーバーからクライアントへ:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

• [任意の方向(Any Direction)]:いずれかの方向への攻撃を検知します。

コンテンツ

決定論的有限自動化(DFA)形式で署名パターンを入力します。

例えば：

構文 \[hello\] を使用する場合、pattern は hello で、大文字と小文字は区別されません。

構文の一致例は、hElLo、HEllO、heLLO です。

標準の Perl 互換正規表現(PCRE)形式で署名パターンを入力します。

構文の例: Sea[ln]、パターンは Seal で、大文字と小文字は区別されません。

構文の一致例は、Seal、Seam、Sean です

指定されたパターンを検索するパケットの深さを指定できます。深さは相対的ではありません。たとえば、深さの値を 100 に指定できます。

深度変数名を入力します。

使用する深度値を設定します。

範囲 : 1 から 65535

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対オフセットではありません。たとえば、深さの値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲 : 1 から 65535

このオプションを有効にすると、指定した場所にペイロードのデータがあることを確認できます。

Is data atの結果を無効にするには、このオプションを有効にします。

最後のパターンマッチに対する相対オフセットを使用するには、このオプションを有効にします。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対オフセットではありません。たとえば、深さの値を 100 に指定できます。

オフセット変数名を入力します。

異常—プロトコル異常攻撃オブジェクトは、プロトコルのルールセットを使用して、接続内の異常またはあいまいなメッセージを検出します。

リストからサービスを選択します。サービスは、攻撃で異常が定義されているプロトコルです。例:IP、TCP、ICMP

チェックするプロトコル異常テスト条件をリストから選択します。

チェーン:チェーン攻撃オブジェクトは、複数のシグネチャやプロトコル異常を1つのオブジェクトに結合します。トラフィックは、チェーン攻撃オブジェクトに一致するように、結合されたすべてのシグネチャやプロトコル異常に一致する必要があります。

攻撃がネットワークに侵入するために使用するプロトコルをリストから選択します。

攻撃が一致する必要があるアプリケーションを選択します。

IPSが攻撃を一致させることができるトランスポート層のプロトコル番号を設定します。

範囲: 0 から 139

攻撃を一致させることができるリモートプロシージャコール(RPC)プログラム番号を設定します。

ポート範囲の最小ポートを設定します。

範囲: 0 から 65,535

ポート範囲の最大ポートを設定します。

範囲: 0 から 65,535

チェーン攻撃がヒットするかどうかを決定するチェーン攻撃の個々のメンバーの条件を定義するブール式を選択します。

• AND - 両方のメンバー名のパターンが一致する場合、式は一致します。メンバーの順序は関係ありません。

• OR:メンバー名のパターンのいずれかが一致する場合、式が一致します。

• OAND - 両方のメンバー名パターンが一致し、ブール式と同じ順序で表示される場合、式は一致します。

このオプションを有効にすると、各メンバーのシグネチャまたはプロトコル異常に指定した順序で一致する必要がある複合攻撃オブジェクトが作成されます。順序一致を指定しない場合、複合攻撃オブジェクトはすべてのメンバーと一致する必要がありますが、攻撃またはプロトコル異常はランダムな順序で表示される可能性があります。

複合攻撃が 1 つのセッションまたはトランザクション内で複数回照合する必要がある場合は、このオプションを有効にします。

次のいずれかのスコープを選択します。

• session - 同じセッション内のオブジェクトに対して複数の一致を許可します。

• transaction - 同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

署名を追加する

編集する既存の署名を選択します。編集 (鉛筆) アイコンをクリックし、必要な変更を行って、[ OK] をクリックします。

削除する既存の署名を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。

[+] をクリックして、ステートフル攻撃シグネチャ(攻撃の特定のセクション内に常に存在するパターン)を使用して既知の攻撃を検出する 1 つ以上のシグネチャ攻撃オブジェクトを追加します。

システムによって生成された署名番号を表示します。このフィールドは変更できません。

IPSが特定のアプリケーション層プロトコルで攻撃を探すシグネチャの場所を定義するリストから攻撃コンテキストを選択します。

攻撃が検出されたトラフィックをリストから選択します。

• [任意の方向(Any Direction)]:いずれかの方向への攻撃を検知します。

• クライアントからサーバーへ:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

• サーバーからクライアントへ:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

コンテンツ

決定論的有限自動化(DFA)形式で署名パターンを入力します。

構文の例: \[hello\]、pattern は hello で、大文字と小文字は区別されません。

構文の一致例は、hElLo、HEllO、heLLO です。

標準の Perl 互換正規表現(PCRE)形式で署名パターンを入力します。

構文の例: Sea[ln]、パターンはシールであり、ユニコードに依存しません。

例 は構文にマッチします Seal、Seam、および Sean

指定されたパターンを検索するパケットの深さを指定できます。深さは相対的ではありません。たとえば、深さの値を 100 に指定できます。

深度変数名を入力します。

使用する深度値を設定します。

範囲 : 1 から 65535

前のパターン一致の終了を基準にして、指定されたパターンの検索を開始する前に IPS エンジンが無視するパケット データの量を指定できます。

距離変数名を入力します。

使用する一致値を設定します。これは常に前の試合を基準にしています。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対オフセットではありません。たとえば、深さの値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲 : 1 から 65535

このオプションを有効にすると、指定した場所にペイロードのデータがあることを確認できます。

Is data atの結果を無効にするには、このオプションを有効にします。

最後のパターンマッチに対する相対オフセットを使用するには、このオプションを有効にします。

パケット内のパターンの検索を開始する場所を指定できます。オフセットは相対オフセットではありません。たとえば、深さの値を 100 に指定できます。

オフセット変数名を入力します。

使用するオフセット値を設定します。

範囲 : 1 から 65535

パターン一致の間に最大 N バイトを指定することができます。

一致する変数名を入力します。

使用する一致値を設定します。これは常に前の試合を基準にしています。

異常の追加

編集する既存の異常を選択します。編集 (鉛筆) アイコンをクリックし、必要な変更を行って、[ OK] をクリックします。

削除する既存の異常を選択します。削除(ゴミ箱)アイコンをクリックし、[ はい]をクリックします。

[+] をクリックして 1 つ以上のプロトコル異常攻撃オブジェクトを追加し、使用されている特定のプロトコルのルール セットに従って、接続内の異常メッセージまたはあいまいなメッセージを検出します。

システムによって生成された異常番号を表示します。このフィールドは変更できません。

チェックするプロトコル異常テスト条件を選択します。