IPS シグニチャの作成

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できず、最大長は 63 文字です。

形容

IPS シグネチャの説明を入力します。最大長は 1024 文字です。

カテゴリ

定義済みのカテゴリまたは新しいカテゴリを入力します。このカテゴリを使用して、攻撃オブジェクトをグループ化します。各カテゴリ内では、攻撃オブジェクトは重大度別にグループ化されます。例:FTP、TROJAN、SNMP。

アクション

監視対象トラフィックがルールで指定された攻撃オブジェクトと一致する場合に、IPS シグネチャで実行するアクションを選択します。

• [なし(None)]:アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

• クライアントとサーバーを閉じる—接続を閉じ、クライアントとサーバーの両方にRSTパケットを送信します。

• クライアントとサーバーを閉じる:接続を閉じ、RST パケットをクライアントに送信しますが、サーバには送信しません。

• サーバーを閉じる:接続を閉じ、RSTパケットをサーバに送信しますが、クライアントには送信しません。

• [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPS は、特定の接続のルールベースを無効にします。

• [ドロップ(Drop)]:接続に関連付けられているすべてのパケットをドロップし、接続のトラフィックが宛先に到達するのを防ぎます。このアクションは、スプーフィングが発生しにくいトラフィックの接続を切断する場合に使用します。

• [パケットのドロップ(Drop Packet)]:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションは、UDP トラフィックなど、スプーフィングが発生しやすいトラフィックに対する攻撃のパケットをドロップする場合に使用します。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

キーワード

ログ・レコードの検索およびソートに使用できる一意の識別子を入力します。キーワードは、攻撃と攻撃オブジェクトに関連している必要があります。 たとえば、Amanda Amindexd Remote Overflow です。

過酷

シグネチャが報告する攻撃の重大度レベルを選択します。

• 重大—検出を回避したり、ネットワーク デバイスをクラッシュさせたり、システムレベルの権限を取得したりしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

• 情報—URL、DNSルックアップの失敗、SNMPパブリックコミュニティ文字列、ピアツーピア(P2P)パラメーターを含む、通常の無害なトラフィックに一致する攻撃オブジェクトが含まれます。情報攻撃オブジェクトを使用して、ネットワークに関する情報を取得できます。

• メジャー—サービスを中断したり、ネットワークデバイスへのユーザーレベルのアクセス権を取得したり、デバイスに事前にロードされたトロイの木馬を起動したりしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

• マイナー—ディレクトリトラバーサルまたは情報漏洩を通じて重要な情報にアクセスしようとする偵察活動を検出する攻撃オブジェクト、一致するエクスプロイトが含まれます。

• 警告—重要でない情報を取得しようとしたり、スキャンツールでネットワークをスキャンしたりしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報は最も危険度の低いレベルで、ネットワーク管理者がセキュリティ システムのホールを発見するために使用します。

署名の詳細

バインディング

攻撃がネットワークに侵入するために使用するサービスまたはプロトコルを検出するオプションを選択します。

• IP:IPS が指定されたIPプロトコルタイプのシグネチャを照合することを許可します。

• [ICMP]:IPS が指定された ICMP ID のシグネチャと一致することを許可します。

• TCP—指定された TCPポートの署名とIPSの照合を許可します。

• [UDP]:IPS が指定された UDP ポートのシグネチャと一致することを許可します。

• RPC:指定されたリモート プロシージャ コール(RPC)プログラム番号の署名と IPS の照合を許可します。RPC プロトコルは、プロセス間の対話をリモートで処理するために、分散処理アプリケーションによって使用されます。

• [サービス(Service)]:IPS が指定されたサービスのシグネチャと一致させることを許可します。

• [IPv6 または ICMPv6(IPv6 or ICMPv6)]:シグニチャ攻撃のヘッダー一致情報を指定します。IPS が IPv6 および ICMPv6 ヘッダー情報のパターン一致でパケットを検索するように指定できます。

議定書

ネットワークプロトコルの名前を入力します。たとえば、IGMP、IP-IP などです。

次のヘッダー

IPv6 ヘッダーの直後のヘッダーの IPプロトコル タイプを入力します。

たとえば、デバイスが交換したパケットに対して IPsec を実行する場合、次のヘッダー値はおそらく 50(ESP 拡張ヘッダー)または 51(AH 拡張ヘッダー)になります。

ポート範囲

TCPおよびUDPプロトコルタイプのポート範囲を入力します。

プログラム番号

RPC プロトコルのプログラム ID を入力します。

サービス

攻撃がネットワークに侵入するために使用するサービスを指定します。攻撃の実行に使用される特定のサービスをサービスバインディングとして選択できます。

例えば、DISCARD サービスを選択するとします。破棄プロトコルは、TCP/9、UDP/9がポート9に送信されたTCPまたはUDPデータを破棄するプロセスを記述するアプリケーション層プロトコルです。

時間範囲

攻撃の回数が発生する範囲を選択します。

• 元 IP—宛先アドレスに関係なく、指定された回数、送信元アドレスからの攻撃を検出します。

• 宛先 IP—送信元アドレスに関係なく、指定された回数、宛先アドレスに送信された攻撃を検出します。

• ピア—指定された回数、セッションの送信元 IP アドレスと宛先 IP アドレス間の攻撃を検出します。

タイムカウント

デバイスが攻撃オブジェクトを攻撃と一致すると見なす前に、指定された範囲内で攻撃オブジェクトが攻撃を検出しなければならない回数を指定します。

範囲は 0 から 4,294,967,295 からです。

致保証

このフィルターを指定すると、ネットワーク上で攻撃が誤検知を引き起こす頻度に基づいて、攻撃オブジェクトを追跡します。

次のいずれかを選択します。

• [高(High)]:頻繁に追跡される誤検知の発生に関する情報を提供します。

• [中(Medium)]:不定期に追跡される誤検知の発生に関する情報を提供します。

• 低:めったに追跡されない誤検知の発生に関する情報を提供します。

パフォーマンスに影響

パフォーマンスの遅い攻撃オブジェクトを除外するには、このフィルターを指定します。このフィルターを使用して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択できます。

次のいずれかを選択します。

• 高—攻撃に対して脆弱な高パフォーマンス影響攻撃オブジェクトを追加します。シグネチャによるパフォーマンスへの影響は高7から高9で、アプリケーションの識別に時間がかかります。

• [中(Medium)]:攻撃に対して脆弱な中程度のパフォーマンス影響攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は中4から中6で、アプリケーション識別は正常です。

• 低—攻撃に対して脆弱な、パフォーマンスへの影響が少ない攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は low1 から low3 で、アプリケーションの識別が速くなります。

• [不明(Unknown)]:すべての攻撃オブジェクトをデフォルトで不明に設定します。ネットワーク トラフィックに合わせて IPS を微調整するときに、この設定を変更して、パフォーマンスへの影響を追跡できます。シグネチャがパフォーマンスに与える影響は 0 = 不明であり、アプリケーションの識別も不明です。

表現

攻撃メンバーのマッチング方法を識別するために使用される攻撃メンバーのブール式を入力します。

たとえば、m01 AND m02 の場合、m01、m02 は攻撃メンバーです。

スコープ

攻撃がセッション内で一致するか、セッション内のトランザクション間で一致するかを指定します。

• セッション—同じセッション内でオブジェクトに対して複数の一致を許可します。

• transaction:同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

リセット

このオプションを有効にすると、同じセッション内で攻撃が検出されるたびに新しいログが生成されます。このオプションが選択されていない場合、攻撃はセッションごとに 1 回だけログに記録されます。

注文

このオプションを有効にすると、各メンバーのシグニチャまたはプロトコル異常に指定した順序で一致する必要がある複合攻撃オブジェクトが作成されます。順序を指定しない場合でも、複合攻撃オブジェクトはすべてのメンバーと一致する必要がありますが、パターンまたはプロトコル異常は任意の順序で攻撃に現れる可能性があります。

複合攻撃オブジェクトは、脆弱性を悪用するために複数の方法を使用する攻撃を検出します。

署名を追加

文脈

署名の場所を定義するオプションを選択します。

サービスと特定のサービスコンテキストがわかっている場合は、そのサービスを指定してから、適切なサービスコンテキストを指定します。

サービスがわかっているが、特定のサービスコンテキストが不明な場合は、一般的なコンテキストの 1 つを指定します。

次に例を示します。 line—ネットワークトラフィック内の特定の回線内でのパターンマッチを検出するには、このコンテキストを指定します。

方向

攻撃の接続方向を指定します。

• [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。

• [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。

• [任意(Any)]:どちらの方向からの攻撃も検知します。

([任意] ではなく 1 つの方向を使用すると、パフォーマンスが向上し、誤検知が減り、検出精度が向上します。

パターン

検出する攻撃のシグネチャパターンを入力します。シグネチャは、攻撃内に常に存在するパターンです。攻撃が存在する場合は、シグネチャも存在します。

攻撃パターンを作成するには、まず攻撃を分析してパターン (コードのセグメント、URL、パケット ヘッダーの値など) を検出し、そのパターンを表す構文式を作成する必要があります。

例: 大文字と小文字を区別しない一致には \[<character-set>\] を使用します。

正規表現

ネットワーク上の悪意のある動作や望ましくない動作を照合するルールを定義する正規表現を入力します。

たとえば、構文 \[hello\] の場合、想定されるパターンは hello で、大文字と小文字が区別されます。

一致の例は、hElLo、HEllO、heLLO です。

否定

このオプションを選択すると、指定したパターンが一致から除外されます。

パターンの否定は、攻撃で定義されたパターンが指定されたパターンと一致しない場合に、攻撃が一致したと見なされることを意味します。

異常の追加

変則

使用されている特定のプロトコルの一連のルールに従って、接続内の異常なメッセージまたはあいまいなメッセージを検出するオプションを選択します。

プロトコル異常検知は、ほとんどの場合、RFCや一般的なRFC拡張によって定義されているプロトコル標準からの逸脱を見つけることで機能します。

方向

攻撃の接続方向を指定します。

• [クライアントからサーバーへ(Client to Server)]:クライアントからサーバーへのトラフィックでのみ攻撃を検出します。

• [サーバーからクライアントへ(Server to Client)]:サーバーからクライアントへのトラフィックでのみ攻撃を検出します。

• [任意(Any)]:どちらの方向からの攻撃も検知します。

([任意] ではなく 1 つの方向を使用すると、パフォーマンスが向上し、誤検知が減り、検出精度が向上します。

サポートされているディテクタ

[ サポートされているディテクタ(Supported Detectors )] リンクをクリックすると、デバイス プラットフォームと、デバイスで現在実行されている IPS プロトコル ディテクタのバージョン番号を示すテーブルが表示されます。

例えば：

• プラットフォーム - SRX550

• 検出器のバージョン - 9.1.140080400