IPS または除外ルールの作成

名前

Juniper Security Director Cloud は、デフォルトで一意のルール名を生成します。名前は変更できます。

名前は英数字で始める必要があり、最大63文字を含めることができます。これには、英数字と、コロン、ハイフン、スラッシュ、ピリオド、アンダースコアなどの特殊文字が含まれます。

形容

ルールの説明を最大 1024 文字で入力します。

IPS シグニチャ

ルールに関連付ける 1 つ以上の IPS シグネチャと IPS シグネチャの静的および動的グループを追加します。

1. テキストボックス内を 「+ 」アイコンでクリックします。

   IPS シグニチャと IPS シグネチャの静的グループと動的グループのリストが開きます。

2. (オプション)追加(+)アイコンをクリックして、署名を追加します。[IPS シグニチャの追加(Add IPS Signatures)] ポップアップ ウィンドウが開きます。

3. (オプション)検索語を入力して Enter キーを押すと、表示される項目のリストがフィルタリングされます。

4. リスト項目をクリックして、ルールに関連付けられた IPS シグネチャおよび IPS シグネチャの静的または動的グループに追加します。

5. (オプション)前の手順を繰り返して、シグニチャ、静的グループ、および動的グループを追加します。

アクション

監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。

• 推奨(デフォルト)- 攻撃が検出されたときにジュニパーネットワークスが推奨するアクションを使用します。すべての定義済み攻撃オブジェクトには、オブジェクトに関連付けられたデフォルトアクションがあります。

• [アクションなし(No action)]:アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

• [接続のドロップ(Drop Connection)]:接続に関連付けられているすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションは、スプーフィングが発生しにくいトラフィックの接続を切断する場合に使用します。

• [パケットのドロップ(Drop Packet)]:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションは、UDP トラフィックなど、スプーフィングが発生しやすいトラフィックに対する攻撃のパケットをドロップする場合に使用します。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックが妨げられる可能性があります。

• クライアントとサーバーを閉じる:接続を閉じ、RST パケットをクライアントに送信しますが、サーバには送信しません。

• サーバーを閉じる:接続を閉じ、RSTパケットをサーバに送信しますが、クライアントには送信しません。

• クライアントとサーバーを閉じる:接続を閉じ、クライアントとサーバーの両方にTCPリセット(RST)パケットを送信します。

• [接続を無視(Ignore Connection)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPS は、特定の接続のルールベースを無効にします。

• Mark DiffServ—指定された DSCP 値を攻撃のパケットに割り当て、パケットを通常どおり渡します。

  「DiffServのマーク」を選択すると、「コード・ポイント」ポップアップが表示されます。

  1. [コード ポイント(Code Point)] フィールドに、0 から 63 までの DSCP 値を入力します。

  2. [ OK] をクリックします。

     前のページが開き、入力した DSCP 値が表示されます。

オプション

次のオプションの 1 つまたは両方を有効にして、ログを作成します。

• [ログ攻撃(Log attacks)]:攻撃を記録するには、このオプションを有効にします。[詳細設定] の [警告フラグ] オプションを有効にして、攻撃ログに警告フラグを追加できます。

• [パケットのログ(Log packets)]:攻撃者の行動をオフラインでさらにオフラインで分析するために、ルールが一致した場合にパケット キャプチャをログに入力します。この攻撃のためにキャプチャされる攻撃前および攻撃後のパケットの数を設定し、タイムアウト値を指定することにより、攻撃後のパケット キャプチャの期間を入力します。

  [詳細設定(Advanced)] 設定の [Packets Before]、[Packets After]、または [Post Window Timeout] フィールドの少なくとも 1 つを設定する必要があります。

脅威プロファイリング

攻撃者をフィードに追加する

フィードにターゲットを追加

警告フラグ

このオプションを有効にすると、攻撃ログに警告フラグが設定されます。

前のパケット

攻撃動作をさらに分析するために、攻撃前にキャプチャする必要がある受信パケットの数を入力します。

範囲は 1 から 255 からです。

このフィールドは、[パケットのログ(Log packets)] オプションを有効にした場合にのみ使用できます。

後のパケット

攻撃者の行動をさらに分析するためにキャプチャする必要がある、攻撃後に受信したパケットの数を入力します。

範囲は 1 から 255 です。

このフィールドは、[パケットのログ(Log packets)] オプションを有効にした場合にのみ使用できます。

ポストウィンドウタイムアウト

攻撃後に受信したパケットをキャプチャする時間制限を秒単位で入力します。指定されたタイムアウトが経過した後、パケットはキャプチャされません。

範囲は 1 から 1800 秒からです。

このフィールドは、[パケットのログ(Log packets)] オプションを有効にした場合にのみ使用できます。

IP アクション

アクション

同じ IP アドレスを使用する今後の接続に対して実行するアクションを選択します。

• [なし(None )](デフォルト):何もしません。これは、IP アクションを構成しない場合と似ています。

• [IP Notify]:今後のトラフィックに対してアクションは実行しませんが、イベントをログに記録します。

• IPクローズ—RSTパケットをクライアントとサーバーに送信することにより、IPアドレスに一致する新しいセッションの今後の接続を閉じます。

• IPブロック—IPアドレスに一致するセッションの今後の接続をブロックします。

IPターゲット

設定されたIPアクションに対してトラフィックを一致させる方法を選択します。

• [なし(None)]:どのトラフィックにも一致しません。

• 宛先アドレス—攻撃トラフィックのIP アドレスに基づいてトラフィックを照合します。

• サービス—TCPおよびUDPの場合、攻撃トラフィックの送信元IPアドレス、送信元ポート、IP アドレス、宛先ポートに基づいてトラフィックを照合します。

• 送信元アドレス—攻撃トラフィックの送信元IPアドレスに基づいてトラフィックを照合します。

• 送信元ゾーン:攻撃トラフィックの送信元ゾーンに基づいてトラフィックを照合します。

• 送信元ゾーンアドレス—攻撃トラフィックの送信元ゾーンと送信元IPアドレスに基づいてトラフィックを照合します。

• ゾーンサービス—攻撃トラフィックの送信元ゾーン、IP アドレス、宛先ポート、プロトコルに基づいてトラフィックを照合します。

リフレッシュタイムアウト

このオプションを有効にすると、今後のトラフィックが設定された IP アクションと一致する場合に、IP アクション タイムアウト(タイムアウト値 フィールドに入力)が更新されます。

タイムアウト値

IP アクションが有効であり続ける秒数を構成します。

例えば、タイムアウトを 3600 秒(1 時間)に設定し、トラフィックが設定された IP アクションと一致する場合、IP アクションは 1 時間有効です。

範囲は 0 から 64800 秒からです。

ログ IP-Action ヒット

このオプションを有効にすると、ルールに一致するトラフィックに対する IP アクションに関する情報がログに記録されます。

ログ IP アクション ルールの作成

このオプションを有効にすると、IP アクション フィルターがトリガーされたときにイベントが生成されます。

ルール修飾子

重大度オーバーライド

重大度レベルを選択して、ルールで継承された攻撃の重大度を上書きします。

最も危険なレベルは、サーバーをクラッシュさせたり、ネットワークを制御したりしようとする [重大] で、最も危険度の低いレベルは、セキュリティ システムの脆弱性を検出するために使用できる [情報] です。

端末マッチング

IPS ルールを端末としてマークするには、このオプションを有効にします。

端末ルールに一致すると、デバイスはその IPS プロファイル内の残りのルールとのマッチングを停止します。