IPS シグネチャの作成

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアからなる一意の文字列を入力します。スペースは使用できません。最大長は63文字です。

説明

IPSシグネチャの説明を入力します。最大長は1024文字です。

カテゴリー

事前定義されたカテゴリまたは新しいカテゴリを入力します。このカテゴリを使用して、攻撃オブジェクトをグループ化します。各カテゴリ内で、攻撃オブジェクトは重大度によってグループ化されます。例:FTP、TROJAN、SNMP。

アクション

監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合に、IPSシグネチャで実行するアクションを選択します。

• なし—アクションは実行されません。このアクションを使用して、一部のトラフィックに対してのみログを生成します。

• クライアントとサーバーを閉じる—接続を閉じ、クライアントとサーバーの両方にRSTパケットを送信します。

• クライアントを閉じる—接続を閉じ、サーバーではなくクライアントにRSTパケットを送信します。

• サーバーを閉じる—接続を閉じ、クライアントではなくサーバーにRSTパケットを送信します。

• 無視—攻撃に一致するものが見つかった場合、接続の残りのトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

• ドロップ—接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングを受けやすいトラフィックの接続をドロップします。

• パケットのドロップ—宛先に到達する前に一致するパケットをドロップしますが、接続は閉じません。このアクションを使用して、UDPトラフィックなど、スプーフィングを受けやすいトラフィックに対する攻撃のパケットをドロップします。このようなトラフィックに対して接続を切断すると、サービス拒否が発生し、正当な送信元IPアドレスからのトラフィックを受信できなくなる可能性があります。

キーワード

ログレコードの検索とソートに使用できる一意の識別子を入力します。キーワードは、攻撃と攻撃オブジェクトに関連している必要があります。例えば、 Amanda Amindexd Remote Overflowなどです。

重大度

シグネチャが報告する攻撃の重大度レベルを選択します。

• 重要—検出を回避し、ネットワークデバイスをクラッシュさせ、システムレベル権限を獲得しようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

• 情報—URLを含む通常の無害なトラフィック、DNSルックアップ失敗、SNMPパブリックコミュニティ文字列、ピアツーピア(P2P)パラメーターに一致する攻撃オブジェクトが含まれます。情報型攻撃オブジェクトを使用して、ネットワークに関する情報を取得できます。

• メジャー—サービスを中断したり、ネットワークデバイスにユーザーレベルアクセスを獲得したり、デバイスにロードされていたトロイの木馬をアクティブ化したりするエクスプロイトに一致する攻撃オブジェクトが含まれます。

• マイナー—ディレクトリトラバーサルや情報漏えいを通じて重要な情報にアクセスしようとする偵察を検出するエクスプロイトに一致する攻撃オブジェクトが含まれます。

• 警告—重要ではない情報を取得したり、スキャンツールでネットワークをスキャンしようとするエクスプロイトに一致する攻撃オブジェクトが含まれます。

最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御しようとします。情報は最も危険性の低いレベルであり、ネットワーク管理者がセキュリティシステムの穴を発見するために使用します。

シグネチャの詳細

バインディング

攻撃者がネットワークに侵入するために使用したサービスまたはプロトコルを検出するオプションを選択します。

• IP—IPSが指定されたIPプロトコルタイプのシグネチャに一致することを許可します。

• ICMP—IPSが指定されたICMP IDのシグネチャを照合できるようにします。

• TCP—IPSが指定されたTCPポートのシグネチャに一致することを許可します。

• UDP—IPSが指定されたUDPポートのシグネチャに一致することを許可します。

• RPC—IPSが指定されたリモートプロシージャコール(RPC)プログラム番号のシグネチャを照合できるようにします。RPCプロトコルは、プロセス間の相互作用をリモートで処理するために、分散処理アプリケーションによって使用されます。

• サービス—IPSが指定されたサービスのシグネチャを照合できるようにします。

• IPv6またはICMPv6—シグネチャ攻撃のヘッダー一致情報を指定します。IPv6 および ICMPv6 ヘッダー情報のパターン一致について、IPS がパケットを検索するように指定できます。

プロトコル

ネットワークプロトコルの名前を入力します。例:IGMP、IP-IP。

次のヘッダー

IPv6ヘッダーのすぐ後のヘッダーのIPプロトコルのタイプを入力します。

たとえば、デバイスが交換されたパケットに対してIPsecを実行する場合、次のヘッダー値はおそらく50(ESP拡張ヘッダー)または51(AH拡張ヘッダー)です。

ポート範囲

TCPおよびUDPプロトコルタイプのポート範囲を入力します。

プログラム番号

RPCプロトコルのプログラムIDを入力します。

サービス

攻撃がネットワークに侵入するために使用するサービスを指定します。攻撃を実行するために使用される特定のサービスをサービスバインディングとして選択できます。

たとえば、DISCARDサービスを選択するとします。破棄プロトコルはアプリケーション層プロトコルであり、TCP/9、UDP/9は、ポート9に送信されたTCPまたはUDPデータを破棄するプロセスを記述しています。

時間範囲

攻撃のカウントが発生する範囲を選択します。

• 送信元IP—宛先アドレスに関係なく、指定された回数だけ送信元アドレスからの攻撃を検出します。

• 宛先IP—送信元アドレスに関係なく、宛先アドレスに送信された攻撃を指定回数検出します。

• ピア—セッションの送信元と宛先IPアドレス間の攻撃を指定された回数検出します。

タイムカウント

デバイスが攻撃オブジェクトを攻撃と一致させると見なす前に、指定された範囲内で攻撃オブジェクトが攻撃を検出する必要がある回数を指定します。

範囲は 0 から 4,294,967,295 です。

マッチアシュアランス

このフィルターを指定すると、攻撃がネットワーク上で誤検知を生成する頻度に基づいて攻撃オブジェクトを追跡できます。

オプションを選択します。

• 高—頻繁に追跡される誤検知発生に関する情報を提供します。

• 中—不定期に追跡される誤検知発生に関する情報を提供します。

• 低—ほとんど追跡されない誤検知発生に関する情報を提供します。

パフォーマンスへの影響

このフィルターを指定すると、パフォーマンスの遅い攻撃オブジェクトを除外できます。このフィルターを使用して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択できます。

オプションを選択します。

• 高—攻撃に対して脆弱なパフォーマンスに影響を与える攻撃オブジェクトを追加します。シグネチャがパフォーマンスに与える影響は高7から高9で、アプリケーションの識別が遅くなります。

• 中—攻撃に対して脆弱な、パフォーマンスに影響が中程度の攻撃オブジェクトを追加します。シグネチャがパフォーマンスに与える影響は、アプリケーション識別が正常な中程度4から中程度6です。

• 低—攻撃に対して脆弱な、パフォーマンスへの影響が低い攻撃オブジェクトを追加します。シグネチャがパフォーマンスに与える影響は低1から低3で、アプリケーションの識別が高速になります。

• 不明—デフォルトではすべての攻撃オブジェクトが不明に設定されています。ネットワークトラフィックに合わせてIPSを微調整する際に、この設定を変更して、パフォーマンスへの影響を追跡できます。シグネチャがパフォーマンスに与える影響は0 = 不明で、アプリケーション識別も不明です。

表現

攻撃メンバーの一致方法を特定するために使用する、攻撃メンバーのブール式を入力します。

例:m01 AND m02。ここで、m01、m02は攻撃メンバーです。

スコープ

攻撃がセッション内で一致するか、セッション内のトランザクション間で一致するかを指定します。

• session—同じセッション内のオブジェクトに対する複数の一致を許可します。

• transaction—同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

リセット

同じセッション内で攻撃が検出されるたびに新しいログを生成するには、このオプションを有効にします。このオプションが選択されていない場合、攻撃はセッションごとに一度だけ記録されます。

注文済み

このオプションを有効にすると、各メンバーのシグネチャまたはプロトコルの異常を指定した順序で一致させる必要がある複合攻撃オブジェクトを作成できます。順序を指定しない場合でも、複合攻撃オブジェクトはすべてのメンバーと一致する必要がありますが、パターンまたはプロトコルの異常は攻撃に任意の順序で現れる可能性があります。

複合攻撃オブジェクトは、脆弱性を悪用するために複数の方法を使用する攻撃を検出します。

シグネチャを追加

コンテキスト

オプションを選択して、シグネチャの場所を定義します。

サービスと特定のサービスコンテキストがわかっている場合は、そのサービスを指定してから、適切なサービスコンテキストを指定します。

サービスはわかっているが、特定のサービスコンテキストがわからない場合は、一般的なコンテキストの1つを指定します。

例:ライン—このコンテキストを指定して、ネットワークトラフィック内の特定のライン内のパターン一致を検出します。

方向

攻撃の接続方向を指定します。

• クライアントからサーバー—クライアントからサーバーへのトラフィック内のみ攻撃を検知します。

• サーバーからクライアント—サーバーからクライアントへのトラフィック内のみ攻撃を検知します。

• 任意—いずれの方向への攻撃を検出します。

(任意ではなく)単一の方向を使用すると、パフォーマンスが向上し、誤検知が減り、検出精度が向上します。

パターン

検出する攻撃のシグネチャパターンを入力します。シグネチャは、攻撃内に常に存在するパターンです。攻撃が存在する場合、シグネチャも存在します。

攻撃パターンを作成するには、まず攻撃を分析してパターン(コードのセグメント、URL、パケットヘッダー内の値など)を検出し、そのパターンを表す構文表現を作成する必要があります。

たとえば、大文字と小文字を区別しない一致の場合は、\[<character-set>\] を使用します。

正規表現

正規表現を入力して、ネットワーク上の悪意のある動作または望ましくない動作に一致するルールを定義します。

例:構文\[hello\]では、期待されるパターンはhelloであり、これは大文字と小文字に区別されます。

一致する例は、hElLo、HEllO、heLLOです。

否定済み

指定されたパターンを一致から除外するには、このオプションを選択します。

パターンを否定するということは、攻撃で定義されたパターンが指定されたパターンと一致しない場合に、攻撃が一致しているとみなされることを意味します。

異常を追加

異常

使用されている特定のプロトコルに対する一連のルールに従って、接続内の異常なメッセージや曖昧なメッセージを検出するオプションを選択します。

プロトコルの異常検知は、ほとんどの場合、RFCと一般的なRFC拡張によって定義されているプロトコル標準からの逸脱を見つけることによって機能します。

方向

攻撃の接続方向を指定します。

• クライアントからサーバー—クライアントからサーバーへのトラフィック内のみ攻撃を検知します。

• サーバーからクライアント—サーバーからクライアントへのトラフィック内のみ攻撃を検知します。

• 任意—いずれの方向への攻撃を検出します。

(任意ではなく)単一の方向を使用すると、パフォーマンスが向上し、誤検知が減り、検出精度が向上します。

サポートされている検出器

サポートされている検出器リンクをクリックすると、デバイスプラットフォームと、デバイス上で現在実行されているIPSプロトコル検出器のバージョン番号を示すテーブルが表示されます。

例えば：

• プラットフォーム - SRX550

• 検出器バージョン - 9.1.140080400