IPS シグネチャの作成
Juniper Security Director Cloudのシグネチャデータベースには、事前定義された侵入防御システム(IPS)シグネチャが含まれています。
カスタマイズされた IPS シグネチャを作成して、[IPS シグネチャの作成(Create IPS Signature)] ページから新しい攻撃や未知の攻撃をブロックできます。カスタマイズされた IPS シグニチャを作成するには、テナント管理者ロールまたはカスタマイズされたロールに適切な IPS タスクが割り当てられている必要があります。
-
「署名」フィールドと「異常」フィールドに複数のメンバーを追加すると、チェーンタイプの署名が作成されます。
-
[異常] フィールドに異常の詳細を追加すると、異常タイプのシグネチャが作成されます。
カスタマイズした IPS シグネチャを作成するには:
-
IPS>IPSシグネチャ>SRX>セキュリティサブスクリプションを選択します。
IPS シグネチャ ページは開きます。
-
[> IPS シグネチャの作成] を選択します。
IPS シグネチャの作成 ページが開きます。
-
の 表 1ガイドラインに従って設定を完了します。
注:
アスタリスク (*) の付いたフィールドは必須です。
-
OK をクリックします。
IPS シグネチャ ページが開き、シグニチャが作成されたことを示すメッセージが表示されます。
新しい IPS シグネチャは、IPS ルールまたは除外ルールで使用できます。その後、ファイアウォールポリシーでルールを含むIPSプロファイルを参照し、デバイスに展開できます。
表 1: IPS シグネチャ設定の作成 設定
ガイドライン
お名前
IPS シグネチャの一意の名前を入力します。これは、スペースを含まない最大 60 文字の文字列です。
文字列には、英数字と特殊文字 (コロン、ハイフン、ピリオド、アンダースコアなど) を含めることができます。
説明
IPS シグネチャの説明を最大 1024 文字で入力します。
カテゴリー
定義済みのカテゴリ、またはスペースなしで最大 63 文字の新しいカテゴリを入力します。
カテゴリは英数字で始まる必要があり、ハイフンやアンダースコアなどの特殊文字を含めることができます。
カテゴリを使用して、攻撃オブジェクトをグループ化できます。各カテゴリ内で、攻撃オブジェクトのグループに重大度レベルを割り当てることができます。
アクション
監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。
-
[なし(なし)]:アクションは実行されません。このアクションを使用して、一部のトラフィックのログのみを生成します。
-
Close Client & Server - 接続を閉じ、クライアントとサーバーの両方に TCP リセット(RST)パケットを送信します。
-
[クライアントを閉じる(Close Client)]:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。
-
[サーバーを閉じる]:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。
-
[無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。
-
ドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。
-
Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックが妨げられる可能性があります。
キーワード
署名の検索と並べ替えに使用できる一意の識別子を入力します。
キーワードは、攻撃および攻撃オブジェクトに関連している必要があります。たとえば、Amanda Amindexd Remote Overflow などです。
重大度
署名が報告する攻撃の重大度レベルを選択します。
-
[重大(Critical)]:検知を回避しようとする、ネットワーク デバイスをクラッシュさせようとする、またはシステム レベルの権限を取得しようとする攻撃に一致する攻撃オブジェクトが含まれます。
-
[メジャー(Major)]:サービスを中断したり、ネットワーク デバイスへのユーザ レベルのアクセス権を取得したり、デバイスに以前にロードされたトロイの木馬をアクティブ化したりする攻撃に一致する攻撃オブジェクトが含まれます。
-
[マイナー(Minor)]:ディレクトリ トラバーサルや情報漏洩による重要な情報へのアクセスを試みる偵察活動を検出するエクスプロイトに一致する攻撃オブジェクトが含まれます。
-
警告:重要でない情報を取得しようとする、またはスキャン ツールでネットワークをスキャンしようとする攻撃に一致する攻撃オブジェクトが含まれます。
-
情報—URL、DNSルックアップエラー、SNMPパブリックコミュニティ文字列、ピアツーピア(P2P)パラメータを含む、通常の無害なトラフィックに一致する攻撃オブジェクトが含まれます。情報攻撃オブジェクトを使用して、ネットワークに関する情報を取得できます。
シグネチャの詳細
バインディング
攻撃がネットワークに侵入するために使用するプロトコルまたはサービスを選択します。
-
IP:指定されたプロトコル タイプ番号の攻撃を照合し、[プロトコル(Protocol)] フィールドに入力する必要があります。
-
[IPv6(IPv6)]:IPv6 ヘッダーに続くヘッダーの指定されたプロトコル タイプ番号に対する攻撃を照合し、[次のヘッダー(Next Header)] フィールドに入力する必要があります。
-
TCP:指定された TCP ポートまたはポート範囲の攻撃に一致し、[ポート範囲(PortRange(s)] フィールドに入力する必要があります。
-
UDP - 指定された UDP ポートまたはポート範囲の攻撃を照合します。
-
ICMP—ICMP パケットの攻撃を照合します。
-
ICMPv6—ICMPv6 パケットの攻撃に一致します。
-
RPC:[プログラム番号(Program Number)] フィールドに入力する必要がある指定されたリモート プロシージャ コール(RPC)プログラム番号の攻撃を照合します。
-
[サービス(Service)]:指定したサービスの攻撃を照合し、[サービス] フィールドから選択する必要があります。
プロトコル
IP バインドの場合は、攻撃と一致するトランスポート層のプロトコル番号を入力します。
範囲は、1、6、および 17 を除く 1 から 139 からです。
次のヘッダー
IPv6 バインディングの場合は、攻撃に一致する IPv6 ヘッダーに続く次のヘッダーのトランスポート層プロトコル番号を入力します。
範囲は、6、17、および 58 を除く 1 から 139 からです。
ポート範囲
TCP または UDP バインドの場合は、攻撃に一致するポート番号またはポート範囲を入力します。
最小ポート番号-最大ポート番号にポート範囲を入力します。形式。
プログラム番号
RPC バインドの場合は、攻撃と一致する RPC プログラム番号 (ID) を入力します。
サービス
サービス バインドの場合は、攻撃に一致させるサービスを選択します。
タイムカウント
イベントをトリガーする前に、指定された時間内にIPSが攻撃を検出した回数を入力します。
時間範囲
攻撃のカウントが発生する範囲を入力します。
-
送信元IP:宛先IPアドレスに関係なく、指定された時間カウントの間、送信元IPアドレスからの攻撃を検出します。
-
Dest IP:送信元 IP アドレスに関係なく、指定された時間カウントの宛先 IP アドレスからの攻撃を検出します。
-
ピア:指定された時間カウントにおけるセッションの送信元 IP アドレスと宛先 IP アドレス間の攻撃を検出します。
一致保証
誤検知フィルターを選択して、攻撃がネットワーク上で誤検知を生成する頻度に基づいて攻撃オブジェクトを追跡します。
-
[なし(None)]:誤検知フィルターは適用されません。
-
[高(High)]:頻繁にトラッキングされる誤検知の発生に関する情報を提供します。
-
[中(Medium)]:不定期に追跡される誤検知の発生に関する情報を提供します。
-
[低(Low)]:まれに追跡される誤検知の発生に関する情報を提供します。
パフォーマンスへの影響
パフォーマンスへの影響に基づいて適切な攻撃を選択します。たとえば、パフォーマンスの低い攻撃オブジェクトを除外するには、次のようにします。
-
[なし] - フィルターは適用されません。
-
[低] - 攻撃に対して脆弱な、パフォーマンスの低い影響の大きい攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は Low1 から Low3 で、アプリケーションの識別が高速になります。
-
[中] - 攻撃に対して脆弱な中パフォーマンスのインパクトのある攻撃オブジェクトを追加します。署名のパフォーマンスへの影響は Medium4 から Medium6 で、アプリケーション識別は正常です。
-
高 - 攻撃に対して脆弱な高パフォーマンスの影響の攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は High7 から High9 で、アプリケーションの識別が遅くなります。
シグネチャの追加
既知の攻撃を検出するために、ステートフル攻撃シグネチャ(攻撃の特定のセクション内に常に存在するパターン)を使用する1つ以上のシグネチャ攻撃オブジェクトを追加できます。
注:カスタマイズされた IPS シグネチャの場合、少なくとも 1 つのシグネチャ攻撃オブジェクトまたは異常を追加する必要があります。
-
シグネチャ攻撃オブジェクトを追加するには:
-
追加(+)アイコンをクリックします。
[署名の追加] ページが開きます。
-
の 表 2ガイドラインに従って設定を完了します。
-
OK をクリックします。
前のページが開き、シグニチャ攻撃オブジェクトがテーブルに表示されます。
-
-
シグネチャ攻撃オブジェクトを変更するには:
-
攻撃オブジェクトを選択し、編集(鉛筆)アイコンをクリックします。
[署名の編集] ページが開きます。
-
フィールドを変更します。「表 2」を参照してください。
-
OK をクリックします。
変更内容が保存され、前のページが開きます。
-
-
シグネチャ攻撃オブジェクトを削除するには:
-
攻撃オブジェクトを選択し、削除(ゴミ箱)アイコンをクリックします。
削除操作の確認を求めるポップアップが表示されます。
-
[ はい] をクリックします。
シグネチャ攻撃オブジェクトが削除され、前のページが開きます。
-
異常の追加
使用されている特定のプロトコルの一連のルールに従って、接続内の異常またはあいまいなメッセージを検出するオプションを選択します。
注:-
「異常の追加」フィールドは、「バインディング」フィールドで「サービス」を選択した場合にのみ表示されます。
-
カスタマイズされた IPS シグネチャの場合、少なくとも 1 つのシグネチャ攻撃オブジェクトまたは異常を追加する必要があります。
異常攻撃オブジェクトを追加、変更、または削除できます。
-
異常を追加するには:
-
追加(+)アイコンをクリックします。
異常の追加 ページが開きます。
-
の 表 3ガイドラインに従って設定を完了します。
-
OK をクリックします。
前のページが開き、異常がテーブルに表示されます。
-
-
異常を変更するには:
-
異常を選択し、編集(鉛筆)アイコンをクリックします。
「異常の編集」ページが開きます。
-
必要に応じてフィールドを変更します。「表 3」を参照してください。
-
OK をクリックします。
変更内容が保存され、前のページが開きます。
-
-
異常を削除するには:
-
異常を選択し、削除(ゴミ箱)アイコンをクリックします。
削除操作の確認を求めるポップアップが開きます。
-
[ はい] をクリックします。
署名の異常が削除され、前のページが開きます。
-
表 2: 署名設定の追加 設定
ガイドライン
シグネチャ番号
システムによって生成された署名番号を表示します。
このフィールドは変更できません。
コンテクスト
IPSが特定のアプリケーション層プロトコルで攻撃を探す必要がある署名の場所を定義する攻撃コンテキストを選択します。
方向
攻撃の接続方向を選択します。
-
[任意(Any)]:いずれかの方向のトラフィックに対する攻撃を検知します。
-
クライアントからサーバー:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。
-
サーバーからクライアント:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。
パターン
検出する攻撃のシグネチャパターン(ジュニパーネットワークス独自の正規表現構文)を入力します。
攻撃パターンは、コードのセグメント、URL、またはパケットヘッダー内の値であり、シグネチャパターンは攻撃パターンを表す構文式です。
たとえば、大文字と小文字を区別しない一致には
\[<文字セット>\]
を使用します。正規表現
正規表現を入力して、ネットワーク上の悪意のある動作や望ましくない動作に一致するルールを定義します。
たとえば、構文 \[hello\] の場合、想定されるパターンは hello で、大文字と小文字が区別されます。一致の例としては、hElLo、HEllO、heLLO を指定できます。
否定された
このチェックボックスをオンにすると、指定したパターンがマッチングから除外されます。
パターンを無効にすると、攻撃で定義されたパターンが指定されたパターンと一致しない場合、攻撃は一致したと見なされます。
表 3: 異常設定の追加 設定
ガイドライン
異常番号
システムによって生成された異常番号を表示します。
このフィールドは変更できません。
アノマリー
攻撃で異常が定義されているプロトコル(サービス)を選択します。
方向
攻撃の接続方向を選択します。
-
[任意(Any)]:いずれかの方向のトラフィックに対する攻撃を検知します。
-
クライアントからサーバー:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。
-
サーバーからクライアント:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。
-