Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャ動的グループの作成

始める前に

IPS シグネチャ動的グループページを使用して、特定のポリシーの一致基準を定義に基づいて攻撃オブジェクトを設定します。動的グループ メンバーは、定義済みまたはカスタムの攻撃オブジェクトのいずれかです。署名の更新時に、動的グループメンバーシップは、そのグループのポリシーの一致基準を定義に基づいて自動的に更新されます。例えば、動的攻撃グループ・フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

手記:

動的グループに別のグループ(定義済み、静的、動的)を含めることはできません。ただし、静的グループのメンバーとして動的グループを含めることはできます。

動的グループを使用すると、攻撃データベースの更新時に、関連するメンバーがグループに自動的に入力されます。これにより、新しい署名をそれぞれ確認して、既存のセキュリティ ポリシーで使用する必要があるかどうかを判断する必要がなくなります。

IPS シグネチャ動的グループを設定するには:

  1. [ Configure > IPS Policy > Signatures] を選択します。
  2. 「作成」をクリックします。
  3. [ 動的グループ] を選択します。
  4. 表 1 のガイドラインに従って設定を完了します。
  5. [ OK] をクリックします。

事前定義された設定を持つ新しい IPS シグネチャ動的グループが作成されます。このシグネチャは、IPS ポリシーで使用できます。

表 1:IPS シグネチャ動的グループ設定

設定

ガイドライン

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できず、最大長は 63 文字です。

過酷

攻撃の重大度レベルに基づいて攻撃オブジェクトを追加するための重大度フィルターを指定します。

次のいずれかを選択します。

  • 情報—実行中のアプリケーション、潜在的な脆弱なソフトウェア、ベスト プラクティス違反など、ネットワーク上のアクティビティに関する情報を提供します。一般に、情報攻撃は悪意のある活動ではありません。

  • メジャー - システムへのユーザーレベルのアクセス権を取得して、特定のサービスまたはアプリケーションをクラッシュさせようとする攻撃の情報を提供します。

  • [重大(Critical)]:システムへのルート レベルのアクセス権を取得してシステム全体をクラッシュさせようとする攻撃の情報を提供します。

  • 軽微—脆弱性を悪用してターゲットに関する情報を明らかにする攻撃など、情報漏えい技術を実行しようとする攻撃の情報を提供します。

  • [警告(Warning)]:攻撃が一致した場合に警告を発行します。警告攻撃とは、スキャンやその他の偵察の試みなど、本質的に疑わしい攻撃です。

サービス

動的グループに含める使用可能なサービスを 1 つ以上選択します。

カテゴリ

動的グループに含める使用可能なカテゴリを 1 つ以上選択します。

推奨

推奨するジュニパーネットワークスの事前定義済み攻撃オブジェクトを動的グループに追加するか、推奨されない攻撃オブジェクトを動的攻撃グループに指定するには、このフィルターを指定します。

オプションを指定します。

  • [はい(Yes)]:ジュニパーネットワークスが推奨する定義済みの攻撃を動的グループに追加します。

  • [いいえ(No)]:動的攻撃グループで推奨されない攻撃オブジェクトを指定します。

方向

このフィルターを指定すると、攻撃で指定された方向に基づいて、事前定義された攻撃が動的グループに追加されます。

次のいずれかを選択します。

  • [任意(Any)]:クライアントからサーバまたはサーバからクライアントへのトラフィックを監視します。

  • CTS:クライアントからサーバへのトラフィックのみを監視します。ほとんどの攻撃は、クライアントからサーバーへの接続で発生します。

  • STC:サーバからクライアントへのトラフィックのみを監視します。

  • [式] - ブール演算子を使用して、条件式をメンバー名のパターンと照合します。メンバー名は、IPS 攻撃における攻撃メンバーの名前です。

    • AND - 両方のメンバー名パターンが一致する場合、式は一致します。

    • OR - メンバー名パターンのいずれかが一致する場合、式は一致します。

      SRXシリーズデバイスでは、式と順序を一緒に設定することはできません。指定できるのは 1 つだけです。たとえば、m01 AND m02 の場合、m01、m02 は攻撃メンバーです。

パフォーマンスに影響

パフォーマンスの遅い攻撃オブジェクトを除外するには、このフィルターを指定します。このフィルターを使用して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択できます。

次のいずれかを選択します。

  • 高—攻撃に対して脆弱な高パフォーマンス影響攻撃オブジェクトを追加します。シグネチャによるパフォーマンスへの影響は高7から高9で、アプリケーションの識別に時間がかかります。

  • [中(Medium)]:攻撃に対して脆弱な中程度のパフォーマンス影響攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は中4から中6で、アプリケーション識別は正常です。

  • 低—攻撃に対して脆弱な、パフォーマンスへの影響が少ない攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は low1 から low3 で、アプリケーションの識別が速くなります。

  • [不明(Unknown)]:すべての攻撃オブジェクトをデフォルトで不明に設定します。ネットワーク トラフィックに合わせて IPS を微調整するときに、この設定を変更して、パフォーマンスへの影響を追跡できます。シグネチャがパフォーマンスに与える影響は 0 = 不明であり、アプリケーションの識別も不明です。

誤検知

このフィルターを指定すると、ネットワーク上で攻撃が誤検知を引き起こす頻度に基づいて、攻撃オブジェクトを追跡します。

次のいずれかを選択します。

  • 高—攻撃に対して脆弱な高パフォーマンス影響攻撃オブジェクトを追加します。シグネチャによるパフォーマンスへの影響は高7から高9で、アプリケーションの識別に時間がかかります。

  • [中(Medium)]:攻撃に対して脆弱な中程度のパフォーマンス影響攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は中4から中6で、アプリケーション識別は正常です。

  • 低—攻撃に対して脆弱な、パフォーマンスへの影響が少ない攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は low1 から low3 で、アプリケーションの識別が速くなります。

  • [不明(Unknown)]:すべての攻撃オブジェクトをデフォルトで不明に設定します。ネットワーク トラフィックに合わせて IPS を微調整するときに、この設定を変更して、パフォーマンスへの影響を追跡できます。シグネチャがパフォーマンスに与える影響は 0 = 不明であり、アプリケーションの識別も不明です。

オブジェクト タイプ

このフィルターを指定して、攻撃オブジェクトをタイプ(異常またはシグネチャ)でグループ化します。

次のいずれかを選択します。

  • プロトコル異常—プロトコル仕様(RFCおよび一般的なRFC拡張)に違反する未知または高度な攻撃を検出します。新しいプロトコル異常を作成することはできませんが、新しい攻撃オブジェクトを設定して、検出されたときにデバイスが事前定義されたプロトコル異常を処理する方法を制御することはできます。

  • シグネチャ—ステートフル攻撃シグネチャを使用して、既知の攻撃を検出します。ステートフル攻撃シグネチャは、攻撃の特定のセクション内に常に存在するパターンです。ステートフル シグネチャ攻撃オブジェクトには、攻撃の実行に使用されたプロトコルまたはサービス、および攻撃が発生するコンテキストも含まれます。

ベンダーの説明

このフィルターを指定すると、攻撃に対して脆弱なアプリケーションに基づいて攻撃オブジェクトが追加されます。

  • [製品タイプ(Product Type)]:選択した製品タイプに属する署名を含めるには、このフィルタを指定します。

    手記:

    Junos OS リリース 18.2 以降では、製品タイプの値 [すべて] のみがサポートされています。したがって、すべてのベンダー名がドロップダウンに表示されます。

    Junos OS リリース 18.1 以前のバージョンでは、製品タイプの値を選択すると、対応するベンダー名がドロップダウンに表示されます。

  • ベンダー名 - 動的署名のベンダー名を選択します。たとえば、ジュニパーネットワークスなどです。

  • [タイトル/製品名(Title/Product Name)]:選択した製品名に属する署名を含めるには、このフィルタを指定します。製品名は、製品タイプと仕入先を選択した場合にのみ入力されます。

CVSSスコア

IPSシグネチャを動的グループの一部として含めるためのフィルタ条件として使用する共通脆弱性評価システム(CVSS)を指定します。

  • [より小さい(Less-than)]:攻撃の CVSS スコアが指定した値より小さくなければならない場合は、[ 有効(Enable )] チェックボックスをオンにします。

    CVSS スコアをフィルター条件として選択し、IPS シグネチャを動的グループの一部として含めます。範囲は 0 から 10 です。

  • [より大きい(Greater-than)]:攻撃の CVSS スコアが指定した値よりも大きくなければならない場合は、[ 有効(Enable )] チェックボックスをオンにします。

    CVSS スコアをフィルター条件として選択し、IPS シグネチャを動的グループの一部として含めます。範囲は 0 から 10 です。

手記:

CVSS-Scoreは、Junos OS リリース18.2以降を実行しているデバイスでサポートされています。Junos OS リリース 18.1 以前を実行しているデバイスで IPS ポリシーを公開しようとすると、公開に失敗します。

CVSSはオープンフレームワークであり、コンピュータシステムのセキュリティの深刻度とリスクを評価するために使用されます。

スコアの範囲は 0 から 10 で、10 が最も深刻です。CVSS評価では、3つの懸念事項が測定されます。

  • 脆弱性に内在する品質に関する基本指標

  • 脆弱性の存続期間にわたって進化する特性の時間メトリック

  • 特定の実装または環境に依存する脆弱性の環境メトリック

数値スコアは、これらのメトリック・グループごとに生成されます。

攻撃の時代

  • 署名の攻撃の経過時間(年数)が指定した値より小さくなければならない場合は、[ 有効(Enable )] チェックボックスをオンにします。

    攻撃の経過時間をフィルター条件として選択し、動的グループの一部として IPS シグネチャを含めます。範囲は 1 から 100 です。

  • シグニチャの攻撃の経過時間(年数)が指定した値よりも大きくなければならない場合は、[ 有効(Enable )] チェックボックスをオンにします。

    攻撃の経過時間をフィルター条件として選択し、動的グループの一部として IPS シグネチャを含めます。範囲は 1 から 100 です。

手記:

攻撃の経過時間は、Junos OS リリース 18.2 以降を実行しているデバイスでサポートされています。Junos OS リリース 18.1 以前を実行しているデバイスで IPS ポリシーを公開しようとすると、公開に失敗します。

ファイル タイプ

攻撃のファイルの種類をフィルター条件として選択します。たとえば、PDF です。

手記:

ファイル タイプは、Junos OS リリース 18.2 以降を実行しているデバイスでサポートされています。Junos OS リリース 18.1 以前を実行しているデバイスで IPS ポリシーを公開しようとすると、公開に失敗します。

脆弱性の種類

攻撃の脆弱性の種類をフィルター条件として選択します。たとえば、overflow です。

手記:

脆弱性の種類は、Junos OS リリース 18.2 以降を実行しているデバイスでサポートされています。Junos OS リリース 18.1 以前を実行しているデバイスで IPS ポリシーを公開しようとすると、公開に失敗します。

脆弱性は、システムの感受性または欠陥、欠陥への攻撃者のアクセス、および欠陥を悪用する攻撃者の能力という 3 つの要素が交差する部分です。脆弱性タイプを使用して、脆弱性スキャンを実行できます。脆弱性スキャンとは、ネットワーク上の潜在的なエクスプロイトポイントを検査し、セキュリティ上の問題を特定することです。脆弱性スキャンは、ネットワーク内のシステムの弱点を検出して分類し、対策の有効性を予測します。

関連資料