IPSまたは除外ルールの作成

名前

Juniper Security Director Cloud は、デフォルトで一意のルール名を生成します。名前は変更できます。

名前は英数字で始まる必要があり、最大63文字を含めることができます。これには英数字やコロン、ハイフン、スラッシュ、ピリオド、アンダースコアなどの特殊文字が含まれます。

形容

ルールの説明を最大1024文字で入力します。

IPSシグネチャ

ルールに関連付けられる1つ以上のIPSシグネチャとIPSシグネチャの静的および動的グループを追加します。

1. +アイコンのあるテキストボックス内をクリックします。

   IPSシグネチャとIPSシグネチャの静的および動的グループのリストが開きます。

2. (オプション)追加(+)アイコンをクリックして、シグネチャを追加します。IPSシグネチャの追加ポップアップウィンドウが開きます。

3. (オプション)検索語を入力し、Enterキーを押して表示されるアイテムのリストをフィルターします。

4. リストアイテムをクリックして、ルールに関連付けられたIPSシグネチャとIPSシグネチャの静的または動的グループに追加します。

5. (オプション)前の手順を繰り返して、シグネチャ、静的グループ、動的グループを追加します。

アクション

監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。

• 推奨(デフォルト)—攻撃が検出されたときにジュニパーネットワークスが推奨するアクションを使用します。事前定義されたすべての攻撃オブジェクトには、オブジェクトに関連付けられたデフォルトのアクションがあります。

• アクションなし—アクションは実行されません。このアクションを使用して、一部のトラフィックに対してのみログを生成します。

• 接続のドロップ—接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングを受けやすいトラフィックの接続をドロップします。

• パケットのドロップ—宛先に到達する前に一致するパケットをドロップしますが、接続は閉じません。このアクションを使用して、UDPトラフィックなど、スプーフィングを受けやすいトラフィックに対する攻撃のパケットをドロップします。このようなトラフィックに対して接続を切断すると、サービス拒否が発生し、正当な送信元IPアドレスからのトラフィックが妨げられる可能性があります。

• クライアントを閉じる—接続を閉じ、サーバーではなくクライアントにRSTパケットを送信します。

• サーバーを閉じる—接続を閉じ、RSTパケットをサーバーに送信しますが、クライアントには送信しません。

• クライアントとサーバーを閉じる—接続を閉じ、TCPリセット(RST)パケットをクライアントとサーバーの両方に送信します。

• 接続を無視—攻撃に一致するものが見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

• DiffServをマーク—攻撃では指定されたDSCP値をパケットに割り当て、パケットを通常通りに渡します。

  Mark DiffServを選択すると、コードポイントポップアップが表示されます。

  1. コード ポイント フィールドに、0から63までのDSCP値を入力します。

  2. OKをクリックします。

     前のページが開き、入力されたDSCP値が表示されます。

オプション

ログを作成するには、以下のオプションの1つまたは両方を有効にします。

• ログ攻撃—このオプションを有効にすると、攻撃をログに記録します。詳細設定でアラートフラグオプションを有効にして、攻撃ログにアラートフラグを追加できます。

• パケットをログに記録—このオプションを有効にすると、ルールに一致した場合にパケットキャプチャを記録し、攻撃者の行動をオフラインで分析します。この攻撃でキャプチャされる攻撃前と攻撃後のパケット数を設定し、タイムアウト値を指定して攻撃後のパケットキャプチャの時間を制限できます。

  詳細設定でパケット前、パケット後、またはウィンドウタイムアウト後のフィールドの少なくとも1つを設定する必要があります。

脅威プロファイリング

攻撃者をフィードに追加

ターゲットをフィードに追加

アラートフラグ

このオプションを有効にすると、攻撃ログにアラートフラグを設定できます。

以前のパケット

攻撃の動作を詳細に分析するために、攻撃前にキャプチャする必要がある受信パケット数を入力します。

範囲は1から255です。

このフィールドは、ログパケットオプションを有効にしている場合にのみ使用できます。

その後のパケット

攻撃者の行動をさらに分析するためにキャプチャする必要がある攻撃後の受信パケット数を入力します。

範囲は1から255です。

このフィールドは、ログパケットオプションを有効にしている場合にのみ使用できます。

ポストウィンドウタイムアウト

攻撃後に受信したパケットをキャプチャする時間制限を秒単位で入力します。指定されたタイムアウトが過ぎた後はパケットはキャプチャされません。

範囲は1秒から1800秒です。

このフィールドは、ログパケットオプションを有効にしている場合にのみ使用できます。

IPアクション

アクション

同じIPアドレスを使用する今後の接続に対して実行するアクションを選択します。

• なし (デフォルト)—アクションを実行しません。これは、IPアクションを設定しないことと似ています。

• IP通知—今後のトラフィックに対して何のアクションも実行しませんが、イベントをログに記録します。

• IPクローズ—RSTパケットをクライアントとサーバーに送信して、IPアドレスに一致する新しいセッションの将来の接続をクローズします。

• IPブロック—IPアドレスに一致するセッションの将来の接続をブロックします。

IPターゲット

設定されたIPアクションにトラフィックをどのように一致させる必要があるかを選択します。

• なし—トラフィックに一致しません。

• 宛先アドレス—攻撃トラフィックの宛先IPアドレスに基づいてトラフィックを一致させます。

• サービス—TCPとUDPの場合、攻撃トラフィックの送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポートに基づいてトラフィックを一致させます。

• 送信元アドレス—攻撃トラフィックの送信元IPアドレスに基づいてトラフィックを一致させます。

• 送信元ゾーン—攻撃トラフィックの送信元ゾーンに基づいてトラフィックを一致させます。

• 送信元ゾーンアドレス—攻撃トラフィックの送信元ゾーンと送信元IPアドレスに基づいてトラフィックを一致させます。

• ゾーンサービス—攻撃トラフィックの送信元ゾーン、宛先IPアドレス、宛先ポート、プロトコルに基づいてトラフィックを一致させます。

更新タイムアウト

このオプションを有効にすると、今後のトラフィックが設定されたIPアクションと一致する場合に、IPアクションのタイムアウト(タイムアウト値フィールドに入力)が更新されます。

タイムアウト値

IPアクションが有効な状態を維持する秒数を設定します。

例えば、3600秒(1時間)のタイムアウトを設定し、トラフィックが設定されたIPアクションに一致する場合、IPアクションは1時間有効です。

範囲は0〜64800秒です。

IPアクションヒットをログに記録

このオプションを有効にすると、ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録できます。

IPアクションルールの作成をログに記録

このオプションを有効にすると、IPアクションフィルターがトリガーされたときにイベントが生成されます。

ルール修飾子

重大度の上書き

重大度レベルを選択して、ルール内の継承された攻撃の重大度を上書きします。

最も危険なレベルは、サーバーのクラッシュやネットワークの制御を試みるCriticalです。危険性が最も低いレベルは、セキュリティシステムの脆弱性を発見するために使用できる情報です。

ターミナルマッチング

このオプションを有効にすると、IPSルールがターミナルとしてマークされます。

端末ルールが一致すると、デバイスはそのIPSプロファイル内の残りのルールの一致を停止します。