...

シグニチャの設定

by user

on
Category: Documents
10

views

Report

Comments

Transcript

シグニチャの設定
CHAPTER
29
IPS シグニチャの定義
Security Manager を使用すると、専用の IPS アプライアンスやサービス モジュール、または Cisco IOS
IPS デバイスに IPS シグニチャを設定できます。Cisco IOS IPS のシグニチャを設定する場合、ルータ
では、専用のアプライアンスやサービス モジュールほどは多くのシグニチャを使用できないことに注
意してください。
この章は、次の内容で構成されています。
• 「シグニチャの設定」(P.29-1)
• 「シグニチャの設定値の設定」(P.29-7)
• 「シグニチャ ポリシー」(P.29-8)
シグニチャの設定
Signatures ポリシーで、Cisco IPS センサーのシグニチャを設定します。
• 「シグニチャについて」(P.29-1)
• 「Cisco NSDB へのアクセス」(P.29-2)
• 「シグニチャ継承について」(P.29-2)
• 「シグニチャの編集 - 重大度、忠実度評価、およびアクション」(P.29-3)
• 「シグニチャのイネーブル化とディセーブル化」(P.29-5)
• 「シグニチャのクローニング」(P.29-5)
• 「カスタム シグニチャの追加」(P.29-5)
• 「シグニチャ パラメータの編集(シグニチャの調整)」(P.29-6)
(注)
IPv6 は、Security Manager でサポートされていません。
シグニチャについて
ネットワークへの侵入とは、ネットワーク リソースへの攻撃、またはネットワーク リソースの不正使
用を指しています。Cisco IPS センサーおよび Cisco IOS IPS デバイスでは、シグニチャベースのテク
ノロジーを使用して、ネットワーク侵入を検出します。シグニチャによって、センサーが検出およびレ
ポートするネットワーク侵入のタイプを指定します。センサーは、ネットワーク パケットをスキャン
するときに、シグニチャを使用して、Denial of Service(DoS; サービス拒絶)攻撃などの既知のタイ
プの攻撃を検出し、定義したアクションに従って対応します。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-1
第 29 章
IPS シグニチャの定義
シグニチャの設定
基本的なレベルでは、シグニチャベースの侵入検知テクノロジーは、ウイルス チェック プログラムに
たとえることができます。Cisco IPS には、センサーがネットワーク アクティビティと照合するシグニ
チャのセットが含まれています。一致が見つかると、センサーは、イベントのロギングや、Security
Manager Event Viewer へのアラームの送信などのアクションを実行します。
シグニチャによって false positive が生成される場合もあります。通常のネットワーク アクティビティ
であっても、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、一部のネッ
トワーク アプリケーションやオペレーティング システムは、多数の ICMP メッセージを送信すること
がありますが、シグニチャベースの検出システムでは、このメッセージが攻撃者によるネットワーク
セグメント特定の試みであると解釈されてしまう可能性があります。シグニチャ パラメータを編集
(シグニチャを調整)することにより、false positive を最小限に抑えることができます。
Cisco NSDB へのアクセス
Cisco Network Security Database(NSDB)は、Security Manager のユーザ インターフェイスからアク
セスまたは起動できます。
NSDB は、IPS で使用されるシグニチャとこれらのシグニチャがベースにしている脆弱性に関するセ
キュリティ情報のデータベースです。NSDB には、センサーで検出できる各攻撃シグニチャに関する
説明が格納されています。
Security Manager では、IPS Signatures ポリシーのコンテンツ領域のテーブルに、デフォルトで複数の
カラムが含まれており、そのうちの 1 つに [Signature ID] があります。[Signature ID] カラムには、
NSDB へのハイパーリンクが含まれています。[ID] カラムのリンクをクリックすると、そのシグニ
チャの MySDN 内のエントリを開く外部ブラウザ ウィンドウが開きます。
MySDN(My Self-Defending Network を表します)は、現在の脆弱性と脅威に関する最新のインテリ
ジェンス レポートを提供しています。また、ネットワークを保護し、修復に優先順位を付け、組織の
リスクを減らすようにシステムを構築するために役立つ高度なセキュリティ項目に関する情報も提供し
ています。詳細については、http://www.cisco.com/go/MySDN を参照してください。
Cisco.com にアクセスできる場合、シグニチャ ID は MySDN にリンクされています。Cisco.com にア
クセスできない場合、シグニチャ ID は NSDB のローカル コピーにリンクされています。Security
Manager によって、Cisco.com にアクセスできるかどうかが検出され、適切なリンクが作成されるた
め、ユーザはプリファレンスを設定する必要がありません。
IPS 5.x、IPS 6.0、および IOS IPS の一部のシグニチャには、特殊な文字が含まれています。組み込み
シグニチャは、IPS 自体とともに提供されているため、追加や削除、または名前を変更することはでき
ません(「組み込み」とは、自分で作成したシグニチャ以外のすべてのシグニチャを意味します)。組み
込みシグニチャの情報(名前、ID など)は NSDB と同様に表示されます。もう 1 つのタイプのシグニ
チャであるカスタム シグニチャは、自分で作成したシグニチャです。カスタム シグニチャには、
MySDN リンクは含まれていません。
ヒント
NSDB 内の特定のシグニチャの場合、「Release Version」はシグニチャが最初に表示された IPS または
最後に変更された IPS のバージョンを指します。「Release Version」は、特定のシグニチャを調べると
きにヘッダー情報の左下に表示されます。
シグニチャ継承について
IPS デバイスのシグニチャ継承は、他のどの Security Manager ポリシーの場合とも異なります。継承
とは、最初に一致した規則ベースのポリシーの階層リスト(アクセス規則など)を適用する、Security
Manager の機能のことです。シグニチャ継承での相違点は、IPS デバイスの場合、Security Manager に
よってシグニチャ単位の継承が可能になる点です。
Cisco Security Manager 4.0 ユーザ ガイド
29-2
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャの設定
次の例は、シグニチャ単位の継承がどのように行われるかを示しています。
ステップ 1
ポリシー ビューで、[IPS] > [Signatures] > [Signatures] を選択します。
ステップ 2
test1 という名前のポリシーを作成します。
ステップ 3
test2 という名前の 2 つ目のポリシーを作成します。
ステップ 4
[test 2] を右クリックし、[Inherit Signatures] を選択します。[Inherit Rules - test 2] ダイアログボック
スが表示されます。
ステップ 5
[test1] を選択し、[OK] ボタンをクリックします。
ステップ 6
[test1] を選択し、シグニチャを編集します。編集した内容をメモし、変更内容を保存します。
ステップ 7
[test2] を選択し、編集したシグニチャを選択します。test2 が、test1 に対して行った編集内容を継承し
ていることを確認します。
シグニチャの編集 - 重大度、忠実度評価、およびアクション
Cisco IPS シグニチャの次のプロパティを編集できます。
• [Enable]:特定のシグニチャに関してネットワーク トラフィックをスキャンし、攻撃が検出された
らアラームを生成するようにセンサーを設定します。シグニチャをディセーブルにすると、セン
サーは、シグニチャを示すネットワーク トラフィックをすべて無視します。
• [Retire]:シグニチャ マイクロ エンジンからシグニチャを削除します。
(注)
廃棄されたシグニチャをイネーブルにすることができますが、廃棄されたシグニチャはシ
グニチャ マイクロ エンジンに含まれていないため、トラフィックのスキャンには使用され
ません。特定のシグニチャに関してネットワーク トラフィックをセンサーでスキャンする
場合は、そのシグニチャをイネーブルにし、廃棄はしないでください。
(注)
AIP-SSC-5 では、廃棄されたシグニチャをイネーブルにすることはできません。
• [Activate]:[Retired] フィールドの値を [No] から [Yes] に変更します。
• [Sig Fidelity Rating (SFR)]:ターゲットに関する具体的な情報がない場合に、このシグニチャをど
の程度忠実に実行するかに関連付ける重みを示します。この評価には、0 ~ 100 の任意の数字を指
定できます。100 は、シグニチャの信頼性が最も高いことを意味します。
• [Severity]:攻撃を分類します。重大度の設定は、記録される攻撃タイプを区別するために、
Security Monitor の Event Viewer で使用されます。
• [Action]:攻撃を検出した場合に、アラームの生成に加えて、センサーが実行するアクション(1
つまたは複数)を決定します。アクションは、Cisco IPS 6.x での用語であり、以前はイベント ア
クションまたはアラームと呼ばれていました。シグニチャ イベントに関連付けられているアク
ティビティを追加または削除するために、さまざまなアクションを設定できます。
• [Signature Name]:新しいシグニチャを追加するときに使用します(シグニチャのすべてのカテゴ
リまたはグループ化に使用するわけではありません)。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-3
第 29 章
IPS シグニチャの定義
シグニチャの設定
シグニチャの次のプロパティは編集できません。
• [Signature ID]:シグニチャの ID。Security Manager によって生成されます(カスタマー シグニ
チャに対してだけ生成されます)。
• [Subsig ID]:サブシグニチャ ID を指定します(すべてのシグニチャに使用されるわけではありま
せん)。たとえば、すべてのストリング照合型シグニチャには、Security Manager によって生成さ
れたサブシグニチャ ID が含まれています。また、すべての ACL 違反シグニチャには、Security
Manager によって生成されたサブシグニチャ ID が含まれています。ACL 違反シグニチャを作成し
た場合、[Subsig ID] フィールドには、リスト内で最も大きい数を持つサブシグニチャよりも 1 だ
け大きい値が挿入されます。
一部のシグニチャには、次に示す特徴があります。
• 組み込みシグニチャは、センサー ソフトウェアとともに提供されているため、追加や削除、また
は名前を変更することはできません。
• カスタム シグニチャは、新しい 5.x または 6.x センサーでは提供されていません。カスタム シグニ
チャを作成したり、既存のカスタム シグニチャを変更したりできます。ただし、別のカスタム シ
グニチャと同じ ID を持つカスタム シグニチャを作成することはできません。
組み込みシグニチャの名前や ID など、組み込みシグニチャに関する情報には、組み込みシグニチャが
Cisco Network Security Database(NSDB)に記録される方法が反映されています。[Signatures] ペー
ジで NSDB を表示するには、[ID] カラムでシグニチャ ID(2000 など)をクリックします。[ID] カラ
ムのエントリは、NSDB へのハイパーリンクになっています。
一部のシグニチャには、次に示す特別な要件があります。たとえば、ACL 違反シグニチャを検出するよ
うにセンサーを設定するには、ACL 違反を記録するように 1 つ以上の Cisco IOS ルータを最初に設定す
る必要があります。次に、センサーと通信するようにそれらのルータを設定する必要があります。最後
に、これらのルータから syslog トラフィックを受信するようにセンサーを設定する必要があります。
シグニチャを編集するには、次の手順を実行します。
ステップ 1
デバイス ビューで、編集するシグニチャが登録されているセンサーを選択します。
ステップ 2
デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。シグニチャ サマリー テーブル
が表示されます。
シグニチャ テーブルの表示はフィルタリングできます。フィルタ リストを使用して、表示されている
任意のカラムをフィルタ ソースとして選択します。次に、隣接フィールドに値を入力し、[Apply] をク
リックします。たとえば、リスト ボックスで [Severity] を選択し、隣接フィールドに値 High を入力し
ます。[Apply] をクリックすると、重大度が高いすべてのシグニチャがシグニチャ テーブルに表示され
ます。フィルタリングをキャンセルする場合は、[Clear] をクリックします。
ステップ 3
[Signatures] ページのサマリー テーブルで、編集するシグニチャを探し、その行を右クリックします。
行のショートカット メニューが表示されます。
ステップ 4
行のショートカット メニューで、[Edit Row] をクリックします。[Edit Signature] ダイアログボックス
が表示されます。
(注)
ステップ 5
デフォルトのポリシーは編集できないため、シグニチャ設定を変更する場合は、デバイスの
ローカル ポリシー内のシグニチャ設定を上書きする必要があります。上書きするには、
[Source Policy] リスト ボックスから [Local] を選択します。ソース ポリシーを [Local] に変更
すると、コントロールがイネーブルになります。
重大度、忠実度、またはアクションを編集する場合は、これらのフィールドで新しい値を選択します。
Cisco Security Manager 4.0 ユーザ ガイド
29-4
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャの設定
ステップ 6
[OK] をクリックします。編集されたシグニチャ プロパティが、[Signatures] ページのサマリー テーブ
ルに表示されます。
シグニチャのイネーブル化とディセーブル化
シグニチャをイネーブルまたはディセーブルにするには、次の手順を実行します。
ステップ 1
デバイス ビューで、イネーブルまたはディセーブルにするシグニチャが登録されているセンサーを選
択します。
ステップ 2
デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。
ステップ 3
[Signatures] ページのサマリー テーブルで、イネーブルまたはディセーブルにするシグニチャを探し、
その行を右クリックします。行のショートカット メニューが表示されます。
ステップ 4
行のショートカット メニューで、[Enable] または [Disable] をクリックします。シグニチャが、
[Signatures] ページのサマリー テーブルで、イネーブルまたはディセーブルとして表示されます。
シグニチャのクローニング
シグニチャを複製するには、次の手順を実行します。
ステップ 1
デバイス ビューで、複製するシグニチャが登録されているセンサーを選択します。
ステップ 2
デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。
ステップ 3
[Signatures] ページのサマリー テーブルで、複製するシグニチャを探し、その行を右クリックします。
行のショートカット メニューが表示されます。
ステップ 4
行のショートカット メニューで、[Clone] をクリックします。[Add Custom Signature] ダイアログボッ
クスが表示されます。
ステップ 5
複製したシグニチャのプロパティを編集します。
ステップ 6
[OK] をクリックします。複製したシグニチャが、[Signatures] ページのサマリー テーブルに表示され
ます。
(注)
複製したシグニチャは、デフォルトでイネーブルおよびアクティブになります。
カスタム シグニチャの追加
カスタム シグニチャを追加するには、次の手順を実行します。
(注)
AIP-SSC-5 では、カスタム シグニチャはサポートされていません。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-5
第 29 章
IPS シグニチャの定義
シグニチャの設定
ステップ 1
デバイス ビューで、カスタム シグニチャを追加するセンサーを選択します。
ステップ 2
デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。
ステップ 3
[Signatures] ページのサマリー テーブルで、行(任意の行)を右クリックします。行のショートカット
メニューが表示されます。
ステップ 4
ワンポイント アドバイス
ステップ 5
行のショートカット メニューで、[Add Row] をクリックします。[Add Custom Signature] ダイアログ
ボックスが表示されます。
ステップ 3 と 4 を実行する代わりに、テーブルの下部にある [Add] ボタンをクリックすることもできま
す。
[Edit Parameters] ボタンをクリックします。[Edit Signature Parameters] ダイアログボックスが表示さ
れます。[Edit Signature Parameters] ダイアログボックスの [OK] ボタンを必ずクリックしてください。
パラメータを編集する必要はありませんが、[Cancel] ボタンを最初にクリックすると、カスタム シグ
ニチャは作成されません。
ステップ 6
[OK] をクリックします。カスタム シグニチャが、[Signatures] ページのサマリー テーブルに表示され
ます。
(注)
カスタム シグニチャは、デフォルトでイネーブルおよびアクティブになります。
シグニチャ パラメータの編集(シグニチャの調整)
センサーを設定したあとに、ネットワークで最適なパフォーマンスを実現し、特に false positive と
false negative を最小限に抑えるために、センサーのパラメータを編集(調整)する必要があります。
false positive は、ウイルス スキャンなどの正当なネットワーク アクティビティが攻撃として解釈およ
びレポートされた場合に発生します。これは、攻撃が行われる前に、攻撃を識別するために指定されて
いる基準をネットワーク アクティビティが満たした場合に発生します。センサーの設定を調整するこ
とにより、false positive の数を減らすことができます。
false negative は、攻撃が検出されなかった場合に発生します。センサーの設定を調整することにより、
false negative の数を減らすことができます。
ここでは、シグニチャ パラメータを編集する(シグニチャを調整する)方法について説明します。
ステップ 1
デバイス ビューで、デバイス セレクタから IPS デバイスを選択します。
ステップ 2
デバイス ビューで、[IPS] > [Signatures] > [Signatures] を選択します。
ステップ 3
[Signatures] ページのサマリー テーブルで、編集するパラメータが含まれたシグニチャを探し、その行
を右クリックします。行のショートカット メニューが表示されます。
ステップ 4
[Edit Row] をクリックします。[Edit Signature] ダイアログボックスが表示されます。
ステップ 5
[Source Policy] フィールドで、設定を [Local] に変更して、編集を実行できるようにします。
ステップ 6
[Edit Parameters] をクリックします。[Edit Signature Parameters] ダイアログボックスが表示されます。
ステップ 7
Engine など、目的のカテゴリで、必要な設定(Fragment Status など)を選択し、使用可能な値
(Fragmented など)から 1 つの値を選択します。
Cisco Security Manager 4.0 ユーザ ガイド
29-6
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャの設定値の設定
ステップ 8
[OK] ボタンをクリックして、変更を保存します。
シグニチャの設定値の設定
[Settings] ページで、Cisco IPS センサーのシグニチャの設定値を設定します。これらの設定によって、
アプリケーション ポリシー(HTTP のイネーブル化、HTTP 要求の最大数、AIC Web ポート、および
FTP のイネーブル化)、フラグメント再構築ポリシー、ストリーム再構築ポリシー、および IP ロギング
ポリシーを定義します。これらの設定は、共有はできるが継承はされないポリシーとなります。新しい
IPS デバイスを追加すると、そのデバイスには、すべてのシグニチャのデフォルト設定を含むローカル
ポリシーが適用されます。
シグニチャの設定のポリシーは、次の設定を使用して定義されます。
• [Enable HTTP]
• [Max HTTP Requests]
• [AIC Web Ports]
• [Enable FTP]
• [IP Reassembly Mode]
• [TCP Handshake Required]
• [TCP Reassembly Mode]
• [Max IP Log Packets]
• [IP Log Time]
• [Max IP Log Bytes]
シグニチャの設定値の設定は、次の 4 つの作業で構成されています。
ステップ 1
アプリケーション ポリシーを定義します。HTTP をイネーブルまたはディセーブルにし、HTTP 要求
の最大数を決定および指定し、AIC Web ポートを指定して、FTP をイネーブルまたはディセーブルに
します。これらの設定の詳細については、表 29-39(P.29-53)を参照してください。
ステップ 2
フラグメント再構築ポリシーを定義します。IP 再構築モードを選択して、複数のパケットにわたって
フラグメント化されたデータグラムを再構築するように、センサーを設定します。IP 再構築モードの
詳細については、表 29-39(P.29-53)を参照してください。
ステップ 3
ストリーム再構築ポリシーを定義します。TCP ハンドシェイクを必須とするかどうかを指定し、TCP
再構築モードを選択して、完全なスリーウェイ ハンドシェイクによって確立された TCP セッションだ
けをモニタするように、センサーを設定します。これらの設定の詳細については、表 29-39(P.29-53)
を参照してください。
ステップ 4
IP ロギング ポリシーを定義します。許可される最大ログ パケット数、IP ログ時間、および許可される
最大 IP ログ サイズを決定および選択して、センサーが攻撃を検出したときに IP セッション ログを生
成するように、センサーを設定します。これらの設定の詳細については、表 29-39(P.29-53)を参照
してください。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-7
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
シグニチャ ポリシー
デバイス ビューの [Signatures] フォルダからアクセスするページを使用して、シグニチャおよびその
設定値を設定できます。
次の各項では、[Signatures] フォルダから使用可能なメイン ページについて説明します。
• 「[Signatures] ページ」(P.29-8)
• 「[Settings] ページ」(P.29-53)
[Signatures] ページ
[Signatures] ページを使用して、IPS シグニチャの編集および削除を実行できる、シグニチャ サマリー
テーブルを表示します。このページで、シグニチャをイネーブルまたはディセーブルにして、ポリシー
内のアクティブなシグニチャ セットを調整できます。このページを使用して、エンジンからシグニ
チャをアンロードすることもできます。シグニチャ サマリー テーブルでは、カスタム シグニチャを追
加したり、Cisco NSDB にアクセスしたりすることもできます。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。
• (ポリシー ビュー)ポリシー タイプ セレクタから、[Intrusion Prevention System] > [Signatures] >
[Signatures] を選択します。[Signatures] を右クリックしてポリシーを作成するか、または共有ポ
リシー セレクタから既存のポリシーを選択します。
関連項目
• 「[Edit Signature] ダイアログボックス」(P.29-11)
• 「行のショートカット メニュー」(P.29-13)
• 「アクションのショートカット メニュー」(P.29-17)
• 「[Edit Actions] ダイアログボックス」(P.29-17)
• 「Cisco NSDB へのアクセス」(P.29-19)
フィールド リファレンス
表 29-1
シグニチャ サマリー テーブル
要素
説明
[ID]
シグニチャ ID。このシグニチャに割り当てられた一意の数値を示しま
す。この値により、センサーは特定のシグニチャを識別します。[ID]
カラムのリンクをクリックすると、ブラウザ ウィンドウが起動し、シ
グニチャの MySDN のエントリが開きます。このカラムはデフォルト
で表示されます。
[Sub]
サブシグニチャ ID。このサブシグニチャに割り当てられた一意の数値
を示します。サブシグニチャ ID によって、広範なシグニチャのより
詳細なバージョンが識別されます。このカラムはデフォルトで表示さ
れます。
[Name]
シグニチャに割り当てられている名前を示します。このカラムはデ
フォルトで表示されます。
Cisco Security Manager 4.0 ユーザ ガイド
29-8
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-1
シグニチャ サマリー テーブル (続き)
要素
説明
[Action]
このシグニチャが起動されたときにセンサーが実行するアクションを
示します。
[Action] で行った変更は、選択したすべての行に反映されます。この
カラムはデフォルトで表示されます。
[Severity]
シグニチャによってレポートされる重大度レベル([High]、
[Informational]、[Low]、[Medium])を示します。
[Severity] で行った変更は、選択したすべての行に反映されます。こ
のカラムはデフォルトで表示されます。
[Fidelity]
ターゲットに関する具体的な情報がない場合に、このシグニチャをど
の程度忠実に実行するかに関連付ける重みを示します。
[Fidelity] で行った変更は、選択したすべての行に反映されます。この
カラムはデフォルトで表示されます。
[Source]
シグニチャの設定を上書きする、継承階層内の一番低いポリシーを表
示します。このカラムはデフォルトで表示されます。
[Enabled]
シグニチャをこのポリシーでイネーブルにするかどうかを指定しま
す。シグニチャで指定されている攻撃からの保護をセンサーが提供す
るには、シグニチャをイネーブルにする必要があります。
値は次のとおりです。
• [true]。シグニチャはこのポリシーでイネーブルになります。
• [false]。シグニチャはこのポリシーでディセーブルになります。
[Base Risk Rating]
各シグニチャの基本リスク レーティング値を表示します。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-9
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-1
シグニチャ サマリー テーブル (続き)
要素
説明
[Retired]
シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャ
は、シグニチャ エンジンから削除されます。廃棄されたシグニチャを
アクティブにして、シグニチャ エンジンに戻すことができます。この
カラムはデフォルトで表示されます。
ワンポイント アドバイス
[Retired] カラムを使用して、IOS-IPS デバイス
上のディセーブルにしたシグニチャをアンロー
ドし、そのデバイスのメモリ使用量を最適な量
にします。
シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired]
フィールドの値は [false] と [true] のどちらかになります。[false] の場
合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄
されます。
シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired]
フィールドの値は次の 4 つのいずれかになります。
• [false]:シグニチャは廃棄されません。
• [low-mem-retired]:シグニチャは、メモリ容量が少ないプラット
フォームで廃棄されます。
(注)
IOS IPS デバイスの [Retired] フィールドを [low-mem-retired]
に設定すると、展開の前に、Security Manager は、
[low-mem-retired] を [false] に変更します。
• [med-mem-retired]:シグニチャは、メモリ容量が中程度のプラッ
トフォームで廃棄されます。
(注)
IOS IPS デバイスの [Retired] フィールドを [med-mem-retired]
に設定すると、展開の前に、Security Manager は、
[med-mem-retired] を [false] に変更します。
• [true]:シグニチャは廃棄されます。
RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラット
フォームとして分類されます。
RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中
程度のプラットフォームとして分類されます。
RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォー
ムとして分類されます。
ヒント ここで使用されているエンジン レベルという用語は、下の
[Engine] の行で使用されるエンジンという用語とは異なります。
注意
Security Manager は廃棄の調整をデバイスにプッシュし、
それらの調整はデバイス上の実行コンフィギュレーション
に反映されます。ただし、これは、シグニチャが実際にデ
バイスで廃棄されることを保証するものではありません。
デバイス上におけるシグニチャの実際の状態は、デバイス
の RAM の容量によって異なります。
Cisco Security Manager 4.0 ユーザ ガイド
29-10
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-1
シグニチャ サマリー テーブル (続き)
要素
説明
[Obsolete]
シグニチャが古いかどうかを示します。古いシグニチャは、シグニ
チャ エンジンから削除されます。再度アクティブにすることはできま
せん。このカラムはデフォルトで表示され、読み取り専用です。
[Engine]
このシグニチャによって指定されたトラフィックの解析と検査を行う
エンジンを示します。このカラムはデフォルトで表示されます。
[View Update Level] ボタン
このボタンをクリックして、現在のデバイスの [Update Level] ダイア
ログボックスを開きます。
[Export to File] ボタン
このボタンをクリックして、現在のデバイスのシグニチャ サマリーを
Comma Separated Value(CSV; カンマ区切り値)ファイルにエクス
ポートします。Security Manager サーバ上のフォルダを選択し、ファ
イル名を指定するように要求されます。
[Add] ボタン
[Add Custom Signature] ダイアログボックスを開きます。
[Edit] ボタン
[Edit Signature] ダイアログボックスを開きます。複数の行を選択する
と、[Edit] 行オプションが無効になります。
[Delete] ボタン
選択したシグニチャをテーブルから削除します。[Delete] ボタンが有
効になるのは、選択した一連の行にカスタム シグニチャだけが含まれ
ている場合だけです。
[Edit Signature] ダイアログボックス
シグニチャ設定のソースをデフォルト ポリシー以外にする場合は、[Edit Signature] ダイアログボック
スを使用します。デフォルトのポリシーは編集できないため、シグニチャの設定を変更する場合は、デ
バイスのローカル ポリシーのシグニチャ設定を上書きする必要があります。上書きするには、[Source
Policy] ドロップダウン リストから [Local] を選択します。ソース ポリシーを [Local] に変更すると、
コントロールがイネーブルになります。
ナビゲーション パス
(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Edit] ボ
タンをクリックして、[Edit Signature] ダイアログボックスを開きます。
関連項目
• 「[Edit Actions] ダイアログボックス」(P.29-17)
• 「[Edit Signature Parameters] ダイアログボックス」(P.29-20)
• 「エンジンのオプション」(P.29-24)
フィールド リファレンス
表 29-2
[Edit Signature] ダイアログボックス
メニュー コマンド
説明
[Source Policy]
値は、[Default] または [Local] です。新たに追加したデバイスの場合、
シグニチャ設定のソースは Default ポリシーになります。このポリ
シーは編集できないため、これらの設定の値を変更する場合は、
[Local] を選択して、デバイスのローカル ポリシーの設定値を上書き
する必要があります。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-11
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-2
[Edit Signature] ダイアログボックス (続き)
メニュー コマンド
説明
[Inheritance Mandatory]
選択すると、このポリシーから継承されるすべてのポリシーで、定義
されたシグニチャ設定が使用されるようになります。
[Enabled] チェックボックス
[Severity]
シグニチャをイネーブルにするかどうかを指定します。
[Fidelity Rating]
ターゲットに関する具体的な情報がない場合に、このシグニチャをど
の程度忠実に実行するかに関連付ける重みを示します。
[Actions]
このシグニチャが起動されたときにセンサーが実行するアクションを
示します。アクションの一覧については、「[Edit Actions] ダイアログ
ボックス」(P.29-17)を参照してください。
[Base Risk Rating]
シグニチャの基本リスク レーティング値を設定します。リスク レー
ティングは、忠実度評価と重大度係数を掛け合わせたものを 100 で割
ることによって(忠実度評価 x 重大度係数 /100)基本リスク レーティ
ングとして計算されます。
シグニチャによってレポートされる重大度レベル([High]、
[Informational]、[Low]、[Medium])を示します。
重大度係数の値は次のとおりです。
• 重大度係数 = 100(シグニチャの重大度レベルが [High] の場合)
• 重大度係数 = 75(シグニチャの重大度レベルが [Medium] の場合)
• 重大度係数 = 50(シグニチャの重大度レベルが [Low] の場合)
• 重大度係数 = 25(シグニチャの重大度レベルが [Informational] の
場合)
[Engine]
このシグニチャによって指定されたトラフィックの解析と検査を行う
エンジンを示します。
ヒント ここで使用されているエンジンという用語は、下の行で使用さ
れるエンジン レベルという用語とは異なります。
注意
Security Manager は廃棄の調整をデバイスにプッシュし、
それらの調整はデバイス上の実行コンフィギュレーション
に反映されます。ただし、これは、シグニチャが実際にデ
バイスで廃棄されることを保証するものではありません。
デバイス上におけるシグニチャの実際の状態は、デバイス
の RAM の容量によって異なります。
Cisco Security Manager 4.0 ユーザ ガイド
29-12
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-2
[Edit Signature] ダイアログボックス (続き)
メニュー コマンド
説明
[Retired]
シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャ
は、シグニチャ エンジンから削除されます。廃棄されたシグニチャを
アクティブにして、シグニチャ エンジンに戻すことができます。この
カラムはデフォルトで表示されます。
ワンポイント アドバイス
[Retired] カラムを使用して、IOS-IPS デバイス
上のディセーブルにしたシグニチャをアンロー
ドし、そのデバイスのメモリ使用量を最適な量
にします。
シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired]
フィールドの値は [false] と [true] のどちらかになります。[false] の場
合、シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄
されます。
シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired]
フィールドの値は次の 4 つのいずれかになります。
• [false]:シグニチャは廃棄されません。
• [low-mem-retired]:シグニチャは、メモリ容量が少ないプラット
フォームで廃棄されます。
• [med-mem-retired]:シグニチャは、メモリ容量が中程度のプラッ
トフォームで廃棄されます。
• [true]:シグニチャは廃棄されます。
RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラット
フォームとして分類されます。
RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中
程度のプラットフォームとして分類されます。
RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォー
ムとして分類されます。
ヒント ここで使用されているエンジン レベルという用語は、上の行
で使用されているエンジンという用語とは異なります。
[Obsolete]
シグニチャが古いかどうかを示します。古いシグニチャは、シグニ
チャ エンジンから削除されます。再度アクティブにすることはできま
せん。
[Restore Defaults] ボタン
シスコによって定義されているデフォルト値に戻します。
[Edit Parameters] ボタン
[Edit Signature Parameters] ダイアログボックスを開きます。
行のショートカット メニュー
[Signature Summary] テーブルで、シグニチャを追加および編集できるショートカット メニューにアク
セスできます。このショートカット メニューは、[Actions]、[Severity]、および [Fidelity] を除くすべ
てのカラムで使用できます。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。
[Actions]、[Severity]、または [Fidelity] 以外のカラム内のセルを右クリックします。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-13
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
関連項目
• 「アクションのショートカット メニュー」(P.29-17)
• 「[Edit Actions] ダイアログボックス」(P.29-17)
• 「Cisco NSDB へのアクセス」(P.29-19)
フィールド リファレンス
表 29-3
行のショートカット メニューのオプション
メニュー コマンド
説明
[Add] ボタン
[Add Custom Signature] ダイアログボックスを開きます。
[Edit] ボタン
[Edit Signature] ダイアログボックスを開きます。複数の行を選択する
と、[Edit] 行オプションが無効になります。
[Delete] ボタン
選択したシグニチャをテーブルから削除します。[Delete] ボタンが有
効になるのは、選択した一連の行にカスタム シグニチャだけが含まれ
ている場合だけです。
[Clone]
[Add Custom Signature] ダイアログボックスが開き、選択したシグニ
チャのプロパティが表示されます。これにより、選択したシグニチャ
に設定されている設定値を使用して、カスタム シグニチャを作成でき
ます。
[Enable]/[Disable]
シグニチャをイネーブルまたはディセーブルな状態にします。ディ
セーブルなシグニチャは、網掛けされて表示されます。
[Show Events]
選択したシグニチャによって検出されたリアルタイムのイベントまた
は過去のイベントを表示するために、MARS へのナビゲーションをイ
ネーブルにします。
[Add Custom Signature] ダイアログボックス
[Add Custom Signature] ダイアログボックスを使用して、カスタム シグニチャを作成します。[Add
Custom Signature] ダイアログボックスで、名前を入力し、ドロップダウン リストから既存のエンジン
を選択します。シグニチャ ID とサブシグニチャ ID は、Security Manager によって割り当てられます。
残りのパラメータの選択を終了すると、新しいシグニチャは、[Signatures] ページの適切な数値位置に
追加され、選択された状態になります。
ナビゲーション パス
(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[Add] ボ
タンをクリックし、[Add Custom Signature] ダイアログボックスを開きます。
関連項目
• 「[Edit Signature Parameters] ダイアログボックス」(P.29-20)
• 「エンジンのオプション」(P.29-24)
Cisco Security Manager 4.0 ユーザ ガイド
29-14
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
フィールド リファレンス
表 29-4
[Add Custom Signatures] ダイアログボックス
メニュー コマンド
説明
[Name]
シグニチャの名前。
[Engine]
シグニチャに使用するエンジンを指定します。「エンジンのオプショ
ン」(P.29-24)を参照してください。
ヒント ここで使用されているエンジンという用語は、下の [Retired]
の行で使用されるエンジン レベルという用語とは異なります。
[Actions]
このシグニチャが起動されたときにセンサーが実行するアクションを
示します。アクションの一覧については、「[Edit Actions] ダイアログ
ボックス」(P.29-17)を参照してください。
[Enabled] チェックボックス
[Severity]
シグニチャをイネーブルにするかどうかを指定します。
[Retired]
シグニチャが廃棄されるかどうかを示します。廃棄されたシグニチャ
は、シグニチャ エンジンから削除されます。廃棄されたシグニチャを
アクティブにして、シグニチャ エンジンに戻すことができます。
シグニチャによってレポートされる重大度レベル([High]、
[Informational]、[Low]、[Medium])を示します。
エンジン レベルが E-4 よりも少ないシグニチャ パッケージでカスタム
シグニチャを作成した場合、[Retired] フィールドは表示されません。
エンジン レベルが E-4 であるシグニチャ パッケージでカスタム シグ
ニチャを作成した場合、[Retired] フィールドには次の 3 つの値が表示
されます。
• [false]:シグニチャは廃棄されません。
• [low-mem-retired]:シグニチャは、メモリ容量が少ないプラット
フォームで廃棄されます。
• [med-mem-retired]:シグニチャは、メモリ容量が中程度のプラッ
トフォームで廃棄されます。
RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラット
フォームとして分類されます。
RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中
程度のプラットフォームとして分類されます。
RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォー
ムとして分類されます。
ヒント ここで使用されているエンジン レベルという用語は、上の
[Engine] の行で使用されているエンジンという用語とは異な
ります。
注意
Security Manager は廃棄の調整をデバイスにプッシュし、
それらの調整はデバイス上の実行コンフィギュレーション
に反映されます。ただし、これは、シグニチャが実際にデ
バイスで廃棄されることを保証するものではありません。
デバイス上におけるシグニチャの実際の状態は、デバイス
の RAM の容量によって異なります。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-15
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-4
[Add Custom Signatures] ダイアログボックス (続き)
メニュー コマンド
説明
[Fidelity Rating]
ターゲットに関する具体的な情報がない場合に、このシグニチャをど
の程度忠実に実行するかに関連付ける重みを示します。
[Risk Rating]
シグニチャの基本リスク レーティング値を設定します。リスク レー
ティングは、忠実度評価と重大度係数を掛け合わせたものを 100 で割
ることによって(忠実度評価 x 重大度係数 /100)基本リスク レーティ
ングとして計算されます。
重大度係数の値は次のとおりです。
• 重大度係数 = 100(シグニチャの重大度レベルが [High] の場合)
• 重大度係数 = 75(シグニチャの重大度レベルが [Medium] の場合)
• 重大度係数 = 50(シグニチャの重大度レベルが [Low] の場合)
• 重大度係数 = 25(シグニチャの重大度レベルが [Informational] の
場合)
[Edit Parameters] ボタン
[Edit Signature Parameters] ダイアログボックスを開きます。「[Edit
Signature Parameters] ダイアログボックス」(P.29-20)を参照してく
ださい。
[Update Level] ダイアログボックス
Security Manager で適用される更新パッケージと、IPS デバイスに展開される更新パッケージとの間の
デルタを表示します。
適用と展開との間の相違は、次の場合に発生する可能性があります。
• デバイスが、Security Manager の外部で更新された。
• Security Manager で更新がポリシーに適用されたが、デバイスにまだパブリッシュされていない。
• Security Manager の初回の展開時に、デバイスがまだ Security Manager の制御下にない。
ナビゲーション パス
(デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。[View
Update Level] ボタンをクリックして、[Update Level for...] ダイアログボックスを開きます。
フィールド リファレンス
表 29-5
[Update Level for] ダイアログボックス
メニュー コマンド
説明
[Applied Level]
このカラムには、Security Manager でこのデバイスに適用されるパッ
チ レベルが表示されます。
[Deployed Level]
このカラムには、選択したデバイスで現在実行されているパッチ レベ
ルが表示されます。
[Major Update]
メジャー更新レベルを示します。
[Minor Update]
マイナー更新レベルを示します。
[Service Pack]
サービス パック レベルを示します。
[Patch]
パッチ レベルを示します。
[Engine]
エンジン レベルを示します。
Cisco Security Manager 4.0 ユーザ ガイド
29-16
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-5
[Update Level for] ダイアログボックス (続き)
メニュー コマンド
説明
[Signature Update]
シグニチャ更新レベルを示します。
(注)
[Revert] ボタン
このフィールドは、このページにおいて、IOS IPS デバイスに
適用される唯一のフィールドです。その他のフィールドはすべ
て、IPS デバイス専用です。
誤って [Applied Level] を変更した場合は、新しい [Applied Level] を
廃棄できます、[Revert] をクリックすると、[Applied Level] が
[Deployed Level] に同期されます。
ヒント 復元が実行される前に、警告ダイアログが表示されます。アク
ティビティを送信するかどうかを確認する警告ダイアログも表
示されます。
アクションのショートカット メニュー
[Signature Summary] テーブルで、アクションを追加および削除できるショートカット メニューにアク
セスできます。このショートカット メニューは、[Actions] カラムでだけ使用できます。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。
[Actions] カラムのセルを右クリックします。
関連項目
• 「行のショートカット メニュー」(P.29-13)
• 「[Edit Actions] ダイアログボックス」(P.29-17)
• 「Cisco NSDB へのアクセス」(P.29-19)
フィールド リファレンス
表 29-6
アクションのショートカット メニューのオプション
メニュー コマンド
説明
[Add to Actions]
選択したシグニチャの現在のアクション リストにアクションを追加し
ます。
[Delete from Actions]
選択したシグニチャの現在のアクション リストからアクションを削除
します。
[Replace Actions With]
選択したシグニチャの現在のアクション セットを、選択した単一のア
クションに置き換えます。
[Edit Actions]
[Edit Actions] ダイアログボックスを開きます。
[Edit Actions] ダイアログボックス
[Edit Actions] ダイアログボックスを使用して、[Add to Actions] または [Replace Actions with] のメ
ニューにないアクションを選択したり、複数のアクションを選択したりします。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-17
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
(注)
[Edit Actions] ダイアログボックスを開いた場合、表示されるアクションのリストは状況に応じて変わ
ります。アクションのリストは、
(1)[Actions] カラムで 1 つのシグニチャ行だけを右クリックしたか、
(2)[Actions] カラムで右クリックする前に複数のシグニチャ行を選択したか、によって変わります。
[Actions] カラムで 1 つのシグニチャ行だけを右クリックした場合、アクションのリストは、そのシグ
ニチャのエンジンのリストになります。[Actions] カラムで右クリックする前に、複数のシグニチャを
選択した場合、アクションのリストは、影響を受ける各エンジンで使用できるリストになります(リス
トには、共通のアクションが含まれます。選択したシグニチャのすべてのアクションが含まれるわけで
はありません)。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。
[Actions] カラムのセルを右クリックします。ショートカット メニューから [Edit Actions] を選択
します。
関連項目
• 「行のショートカット メニュー」(P.29-13)
• 「アクションのショートカット メニュー」(P.29-17)
• 「Cisco NSDB へのアクセス」(P.29-19)
フィールド リファレンス
表 29-7
[Edit Actions] ダイアログボックス
メニュー コマンド
説明
[Deny Attacker Inline]
指定された期間、この攻撃者のアドレスからの、現在のパケットおよ
び将来のパケットを終了します。
[Deny Attacker/Service Pair
Inline]
指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアに
ついては、現在のパケットおよび将来のパケットを送信しません。
[Deny Attacker/Victim Pair
Inline]
指定された期間、この攻撃者と攻撃対象のアドレスのペアについて
は、現在のパケットおよび将来のパケットを送信しません。
[Deny Connection Inline]
TCP フローの現在のパケットおよび将来のパケットを終了します。
[Deny Packet Inline]
パケットを終了します。
[Log Attacker Packets]
攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始
し、アラートを送信します。このアクションによって、Produce Alert
が選択されていない場合でも、アラートがイベント ストアに書き込ま
れます。
[Log Pair Packets]
攻撃者と攻撃対象のアドレスのペアが含まれているパケットに対する
IP ロギングを開始します。このアクションによって、Produce Alert
が選択されていない場合でも、アラートがイベント ストアに書き込ま
れます。
[Log Victim Packets]
攻撃対象のアドレスが含まれているパケットに対する IP ロギングを開
始し、アラートを送信します。このアクションによって、Produce
Alert が選択されていない場合でも、アラートがイベント ストアに書
き込まれます。
[Modify Packet Inline]
エンドポイントによるパケットの処理に関するあいまいさを取り除く
ために、パケット データを変更します。
[Product Alert]
イベントをアラートとしてイベント ストアに書き込みます。
Cisco Security Manager 4.0 ユーザ ガイド
29-18
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-7
[Edit Actions] ダイアログボックス (続き)
メニュー コマンド
説明
[Produce Verbose Alert]
攻撃パケットの符号化されたダンプをアラートに含めます。このアク
ションによって、Produce Alert が選択されていない場合でも、アラー
トがイベント ストアに書き込まれます。
[Request Block Connection]
この接続をブロックする要求を送信します。ブロッキング デバイスは、
このアクションを実行するように設定されている必要があります。
[Request Block Host]
この攻撃者ホストをブロックする要求を送信します。ブロッキング デ
バイスは、このアクションを実行するように設定されている必要があ
ります。
[Request Rate Limit]
レート制限を実行するレート制限要求を送信します。レート制限デバ
イスは、このアクションを実行するように設定されている必要があり
ます。
[Request SNMP Trap]
センサーに要求を送信して、SNMP 通知を実行します。このアクショ
ンを実行すると、Produce Alert が選択されていない場合でも、アラー
トが書き込まれます。このアクションを実行するように、センサー上
で SNMP を設定している必要があります。
[Reset TCP Connection]
TCP リセットをハイジャックに送信し、TCP フローを終了します。
TCP 接続のリセットは、単一接続を分析する TCP シグニチャに対して
だけ機能します。スイープまたはフラッドに対しては機能しません。
[Edit Fidelity] ダイアログボックス
[Edit Fidelity] ダイアログボックスを使用して、特定のシグニチャの [Fidelity Rating] で変更を行いま
す。忠実度評価、または Signature Fidelity Rating(SFR; シグニチャの忠実度評価)は、ターゲットに
関する具体的な情報がない場合に、このシグニチャをどの程度忠実に実行するかに関連付ける重みを示
します。この評価には、0 ~ 100 の任意の数字を指定できます。100 は、シグニチャの信頼性が最も高
いことを意味します。
Cisco NSDB へのアクセス
Cisco Network Security Database(NSDB)は、Security Manager のユーザ インターフェイスからアク
セスまたは起動できます。
NSDB は、IPS で使用されるシグニチャとこれらのシグニチャがベースにしている脆弱性に関するセ
キュリティ情報のデータベースです。NSDB には、センサーで検出できる各攻撃シグニチャに関する
説明が格納されています。
IPS 5.x 以降、および IOS IPS の一部のシグニチャには、特殊な文字が含まれています。組み込みシグ
ニチャは、IPS 自体とともに提供されるため、追加や削除、または名前を変更することはできません
(「組み込み」とは、自分で作成したシグニチャ以外のすべてのシグニチャを意味します)。組み込みシ
グニチャの情報(名前、ID など)は NSDB と同様に表示されます。
ヒント
NSDB 内の特定のシグニチャの場合、「Release Version」はシグニチャが最初に表示された IPS または
最後に変更された IPS のバージョンを指します。「Release Version」は、特定のシグニチャを調べると
きにヘッダー情報の左下に表示されます。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-19
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
[Edit Signature Parameters] ダイアログボックス
[Edit Signature Parameters] ダイアログボックスを使用して、特定のシグニチャの組み込みマイクロエ
ンジン パラメータを編集(調整とも呼びます)します。エンジンが異なると、そのパラメータも異な
るため、[Edit Signature Parameters] ダイアログボックスの表示は変化します。
ナビゲーション パス
• ([Tuning Context] を除くすべてのフィールドのデバイス ビュー)ポリシー セレクタから、[IPS] >
[Signatures] > [Signatures] を選択します。編集するシグニチャが含まれる行を右クリックし、表示
されるショートカット メニューから [Edit Row] を選択します。最後に、[Edit Parameters] をク
リックします。
• ([Tuning Context] を除くすべてのフィールドのポリシー ビュー)ポリシー セレクタから、[IPS] >
[Signatures] > [Signatures] を選択します。編集するシグニチャが含まれる行を右クリックし、表示
されるショートカット メニューから [Edit Row] を選択します。最後に、[Edit Parameters] をク
リックします。
関連項目
• 「[Add Custom Signature] ダイアログボックス」(P.29-14)
• 「[Edit Signature] ダイアログボックス」(P.29-11)
• 「エンジンのオプション」(P.29-24)
フィールド リファレンス
表 29-8
[Edit Signature Parameters] ダイアログボックス
プライマリ要素とセカン
ダリ要素
[Tuning Context]
説明
(ポリシー ビューだけに表示されます)特定のシグニチャ ポリシーのシグ
ニチャ パラメータが編集された(調整された)方法を一意に示すために、
Security Manager が必要とする情報を表示します。
[Tuning Context] フィールドは、次の項目 [Context] 、[SigLevel]、および
[Engine] が含まれている文字ストリングです。
• [Context]:マイクロエンジンを一意に定義するために、Security
Manager サーバによって提供される識別情報。
• [SigLevel]:シグニチャ マイクロエンジンの定義が適用されるシグニ
チャ更新レベルの範囲。
• [Engine]:IPS エンジンの名前。
ヒント 例として、[Tuning Context] フィールドには、Context:9、
SigLevel:302-449、Engine:atomic-ip の文字ストリングを含める
ことができます。
[Signature Definition]
[Signature ID]
—
このシグニチャに割り当てられた一意の数値を示します。この値により、
センサーは特定のシグニチャを識別します。
値は 1000 ~ 65000 です。
Cisco Security Manager 4.0 ユーザ ガイド
29-20
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-8
[Edit Signature Parameters] ダイアログボックス (続き)
プライマリ要素とセカン
ダリ要素
[SubSignature ID]
説明
このサブシグニチャに割り当てられた一意の数値を示します。サブシグニ
チャ ID によって、広範なシグニチャのより詳細なバージョンが識別され
ます。
値は 0 ~ 255 です。
[Promiscuous Delta] アラートの重大度を特定できます。
チェックボックス
[Sig Description]
シグニチャを他のシグニチャと識別するために役立つ次の属性を指定でき
ます。
• [Alert Notes]
• [User Comments]
• [Alarm Traits]
• [Release]
[Alert Notes]
アラートに関する注意事項をこのフィールドに追加します。
[User Comments]
シグニチャに関するコメントをこのフィールドに追加します。
[Alert Traits]
アラームの特性をこのフィールドに追加します。値は 0 ~ 65535 です。デ
フォルトは 0 です。
[Release]
シグニチャが最後に更新されたリリース。
[Engine]
[Fragment Status]
このシグニチャによって指定されたトラフィックの解析と検査を行うエン
ジンを選択できます。選択できる値のリストについては、「エンジンのオ
プション」(P.29-24)を参照してください。
フラグメントが必要かどうかを指定します。
• 任意のフラグメント ステータス。
• フラグメントを検査しない。
[Regex String]
• フラグメントを検査する。
—
[Service Ports]
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたは
ポート範囲。
[Direction]
トラフィックの方向。
• サービス ポートからクライアント ポート宛のトラフィック。
• クライアント ポートからサービス ポート宛のトラフィック。
[Specify Exact
Match Offset]
(任意)完全一致オフセットをイネーブルにします。
• [Specify Max Match Offset]/[Specify Min Match Offset]:一致を有効
にするために正規表現文字列がレポートする必要がある正確なスト
リーム オフセット。
[Swap Attacker
Victim]
アドレス(およびポート)の送信元と宛先をアラート メッセージでスワッ
プする場合は [Yes]。スワップしない場合は [No](デフォルト)。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-21
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-8
[Edit Signature Parameters] ダイアログボックス (続き)
プライマリ要素とセカン
ダリ要素
[Event Counter]
説明
センサーがイベントをカウントする方法を設定できます。たとえば、セン
サーが、同じシグニチャが同じアドレス セットに対して 5 回起動した場合
にだけアラートを送信するように指定できます。
• [Event Count]
• [Event Count Key]
• [Specify Alert Interval]
[Event Count]
アラートを生成するまでのイベントの発生回数。値は 1 ~ 65535 です。デ
フォルトは 1 です。
[Event Count Key]
シグニチャのイベントをカウントするために使用されるストレージ タイ
プ。攻撃者のアドレス、攻撃者のアドレスと攻撃対象のポート、攻撃者と
攻撃対象のアドレス、攻撃者と攻撃対象のアドレスおよびポート、または
攻撃対象のアドレスを選択します。デフォルトは、攻撃者のアドレスです。
[Specify Alert
Interval]
イベント カウントがリセットされるまでの時間(秒数)を指定します。ド
ロップダウン リストから [Yes] または [No] を選択し、時間間隔を指定し
ます。
[Alert Frequency]
シグニチャが起動した場合に、センサーがアラートを送信する回数を設定
できます。シグニチャに対して次のパラメータを指定します。
• [Summary Mode]
• [Summary Interval]
• [Summary Key]
• [Specify Global Summary Threshold]
[Summary Mode]
アラートのサマライズのモード。[Fire All]、[Fire Once]、[Global
Summarize]、または [Summarize] を選択します。
(注)
適応型セキュリティ アプライアンスの複数のコンテキストが 1 つ
の仮想センサーに含まれている場合、サマリー アラートには、サ
マライズされた最後のコンテキストのコンテキスト名が含まれて
います。このため、このサマリーは、サマライズされるすべての
コンテキストのうち、このタイプのすべてのアラートの結果とな
ります。
[Summary Mode
Interval]
各サマリー アラートで使用される時間間隔(秒数)。値は 1 ~ 65535 で
す。デフォルトは 15 です。
[Summary Key]
アラートのサマライズに使用されるストレージ タイプ。攻撃者のアドレ
ス、攻撃者のアドレスと攻撃対象のポート、攻撃者と攻撃対象のアドレ
ス、攻撃者と攻撃対象のアドレスおよびポート、または攻撃対象のアドレ
スを選択します。デフォルトは、攻撃者のアドレスです。
[Specify Global
Summary
Threshold]
アラートをグローバル サマリーにサマライズするための、イベントのしき
い値を指定できます。[Yes] または [No] を選択し、イベントのしきい値を
指定します。
Cisco Security Manager 4.0 ユーザ ガイド
29-22
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-8
[Edit Signature Parameters] ダイアログボックス (続き)
プライマリ要素とセカン
ダリ要素
[Status]
説明
シグニチャをイネーブルまたはディセーブルにするか、あるいはシグニ
チャを廃棄または廃棄解除することができます。
• [Enabled]:シグニチャをイネーブルにするかディセーブルにするか
を選択できます。デフォルトは [yes](イネーブル)です。
• [Retired]:シグニチャを廃棄するかどうかを選択できます。デフォル
トは [no](廃棄しない)です。
廃棄されたシグニチャは、シグニチャ エンジンから削除されます。廃棄さ
れたシグニチャをアクティブにして、シグニチャ エンジンに戻すことがで
きます。このカラムはデフォルトで表示されます。
ワンポイント アドバイス
[Retired] カラムを使用して、IOS-IPS デバイス上の
ディセーブルにしたシグニチャをアンロードし、そ
のデバイスのメモリ使用量を最適な量にします。
シグニチャ ポリシーのエンジン レベルが E-4 未満の場合、[Retired]
フィールドの値は [false] と [true] のどちらかになります。[false] の場合、
シグニチャは廃棄されません。[true] の場合、シグニチャは廃棄されます。
シグニチャ ポリシーのエンジン レベルが E-4 である場合、[Retired]
フィールドの値は次の 4 つのいずれかになります。
• [false]:シグニチャは廃棄されません。
• [low-mem-retired]:シグニチャは、メモリ容量が少ないプラット
フォームで廃棄されます。
• [med-mem-retired]:シグニチャは、メモリ容量が中程度のプラット
フォームで廃棄されます。
• [true]:シグニチャは廃棄されます。
RAM が 2 MB 以下のデバイスは、メモリ容量が少ないプラットフォーム
として分類されます。
RAM が 2 MB よりも多く、4 MB 未満のデバイスは、メモリ容量が中程度
のプラットフォームとして分類されます。
RAM が 4 MB 以上のデバイスは、メモリ容量が多いプラットフォームと
して分類されます。
ヒント ここで使用されているエンジン レベルという用語は、下の
[Engine] の行で使用されるエンジンという用語とは異なります。
注意
[Obsoletes]
[Vulnerable OS List]
Security Manager は廃棄の調整をデバイスにプッシュし、それ
らの調整はデバイス上の実行コンフィギュレーションに反映さ
れます。ただし、これは、シグニチャが実際にデバイスで廃棄
されることを保証するものではありません。デバイス上におけ
るシグニチャの実際の状態は、デバイスの RAM の容量によっ
て異なります。
このシグニチャで使用されていないシグニチャが一覧表示されます。
攻撃者がターゲットとしているオペレーティング システムのリストを示し
ます。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-23
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-8
[Edit Signature Parameters] ダイアログボックス (続き)
プライマリ要素とセカン
ダリ要素
説明
[MARS Category]
シグニチャが属している、Cisco Security MARS でのカテゴリを示しま
す。このメタデータを使用して、MARS が学習したイベント カテゴリに
関連するシグニチャを処理するために必要なデータを MARS に提供する
ように生成されたイベントを特徴付けます。
[Expand All]
すべてのカテゴリおよびサブカテゴリを展開します。
[Collapse All]
このカテゴリのすべてのフィールドを折りたたみます。
エンジンのオプション
IOS IPS および IPS のエンジンのオプションを次に示します。
次のリストに、[Edit Signature Parameters] ダイアログボックスの [Engine] フィールドで指定できるオ
プションを示します。
• [AIC FTP]:FTP トラフィックを検査し、発行するコマンドを制御できるようにします。
• [AIC HTTP]:HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を
防ぎます。
• [Atomic ARP]:レイヤ 2 ARP プロトコルを検査します。Atomic ARP エンジンが異なるのは、大
半のエンジンはレイヤ 3 IP に基づいているためです。
• [atomic-ip]:IP プロトコル パケット、および関連付けられているレイヤ 4 トランスポート プロト
コルを検査します。オプションの詳細については、「Atomic IP エンジンのオプション」(P.29-25)
を参照してください。
• [Atomic IPv6]:不正な形式の IPv6 トラフィックによって引き起こされる IOS 脆弱性を検出します。
• [Flood Host]:ホストに向けられた ICMP フラッドと UDP フラッドを検出します。
• [Flood Net]:ネットワークに向けられた ICMP フラッドと UDP フラッドを検出します。
• [Meta]:スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエン
ジンは、パケットではなくイベントを処理します。
• [multi-string]:1 つのシグニチャに一致する複数のストリングを使用して、レイヤ 4 トランスポー
ト プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。
シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。オプ
ションの詳細については、「Multi String エンジンのオプション」(P.29-28)を参照してください。
• [normalizer]:IP および TCP ノーマライザが機能する方法を設定し、IP および TCP ノーマライザ
に関連するシグニチャ イベントに設定を提供します。RFC 準拠を強制できます。オプションの詳
細については、「ノーマライザ エンジンのオプション」(P.29-29)を参照してください。
• [service-dns]:DNS(TCP および UDP)トラフィックを検査します。オプションの詳細について
は、「Service DNS エンジンのオプション」(P.29-31)を参照してください。
• [service-ftp]:FTP トラフィックを検査します。オプションの詳細については、「Service FTP エン
ジンのオプション」(P.29-33)を参照してください。
• [Service Generic]:カスタム サービスおよびペイロードをデコードします。
• [Service Generic Advanced]:ネットワーク プロトコルの一般的な分析を行います。
• [Service H225]:VoIP トラフィックを検査します。
Cisco Security Manager 4.0 ユーザ ガイド
29-24
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
• [service-http]:HTTP トラフィックを検査します。WEBPORTS 変数では、HTTP トラフィックの
検査ポートを定義します。オプションの詳細については、「Service HTTP エンジンのオプション」
(P.29-36)を参照してください。
• [Service IDENT]:IDENT(クライアントおよびサーバ)トラフィックを検査します。
• [Service MSRPC]:MSRPC トラフィックを検査します。
• [Service MSSQL]:Microsoft SQL トラフィックを検査します。
• [Service NTP]:NTP トラフィックを検査します。
• [service-rpc]:RPC トラフィックを検査します。オプションの詳細については、「Service RPC エ
ンジンのオプション」(P.29-39)を参照してください。
• [Service SMB]:SMB トラフィックを検査します。
• [Service SMB Advanced]:Microsoft SMB パケットと Microsoft RPC over SMB パケットを処理
します。
• [Service SNMP]:SNMP トラフィックを検査します。
• [Service SSH]:SSH トラフィックを検査します。
• [Service TNS]:TNS トラフィックを検査します。
• [state]:SMTP などのプロトコル内の文字列をステートフル検索します。オプションの詳細につい
ては、「State エンジンのオプション」(P.29-45)を参照してください。
• [string-icmp]:ICMP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細につ
いては、「String ICMP エンジンのオプション」(P.29-46)を参照してください。
• [string-tcp]:TCP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細につい
ては、「String TCP エンジンのオプション」(P.29-47)を参照してください。
• [string-udp]:UDP プロトコルに基づいて正規表現文字列を検索します。オプションの詳細につい
ては、「String UDP エンジンのオプション」(P.29-48)を参照してください。
• [Sweep]:1 つのホスト(ICMP と TCP)、宛先ポート(TCP と UDP)、および 2 つのノード間で
RPC 要求を送受信する複数のポートからの、ポート、ホスト、およびサービスのスイープを分析
します。
• [Sweep Other TCP]:1 つのホストに関する情報を取得しようとしている監視スキャンからの、
TCP フラグの組み合わせを分析します。シグニチャは、フラグ A、B、および C をモニタします。
3 つのフラグがすべて検出されると、アラートが起動します。
• [Traffic ICMP]:TFN2K、LOKI、DDOS などの非標準プロトコルを分析します。パラメータを設
定できるのは 2 つのシグニチャだけです。
• [Traffic Anomaly]:ワームに感染したホストの TCP、UDP、およびその他のトラフィックを分析
します。
• [Trojan Bo2k]:非標準プロトコル BO2K からのトラフィックを分析します。このエンジンには、
ユーザが設定できるパラメータはありません。
• [Trojan Tfn2k]:非標準プロトコル TFN2K からのトラフィックを分析します。このエンジンには
ユーザが設定できるパラメータはありません。
• [Trojan UDP]:UDP プロトコルからのトラフィックを分析します。このエンジンにはユーザが設
定できるパラメータはありません。
Atomic IP エンジンのオプション
表 29-9(P.29-26)に、Atomic IP エンジンに固有のパラメータを示します。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-25
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-9
Atomic IP エンジンのパラメータ
パラメータ
説明
[Fragment Status]
フラグメントが必要かどうかを指定します。
[Specify Layer 4 Protocol]
レイヤ 4 プロトコルを指定します。
[Specify IP Payload Length]
IP データグラム ペイロードの長さを指定します。
[Specify IP Header Length]
IP データグラム ヘッダーの長さを指定します。
[Specify IP Type of Service]
サーバのタイプを指定します。
[Specify IP Time-to-Live]
存続可能時間を指定します。
[Specify IP Version]
IP プロトコル バージョンを指定します。
[Specify IP Identifier]
IP 識別子を指定します。
[Specify IP Total Length]
IP データグラムの合計の長さを指定します。
[Specify IP Option
Inspection]
IP 検査オプションを指定します。
[Specify IP Addr Options]
IP アドレスを指定します。
Meta エンジンのオプション
表 29-10(P.29-26)に、Meta エンジンに固有のパラメータを示します。
表 29-10
Meta エンジンのパラメータ
パラメータ
説明
値
[meta-reset-interval]
META シグニチャをリセットする時間間隔(秒数)。
[component-list]
Meta コンポーネントのリスト:
0 ~ 3600
[name1]
• [edit]:既存のエントリを編集します
• [insert]:リストに新しいエントリを次のように挿
入します。
– [begin]:エントリをアクティブ リストの先頭
に配置します。
– [end]:エントリをアクティブ リストの終わり
に配置します。
– [inactive]:エントリを非アクティブ リストに
入れます。
– [before]:エントリを指定したエントリの前に
配置します。
– [after]:エントリを指定したエントリの後ろ
に配置します。
• [move]:リスト内のエントリを移動します。
Cisco Security Manager 4.0 ユーザ ガイド
29-26
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-10
Meta エンジンのパラメータ (続き)
パラメータ
説明
値
[meta-key]
Meta シグニチャのストレージ タイプ:
[AaBb]、[AxBx]、
[Axxx]、[xxBx]
• 攻撃者のアドレス
• 攻撃者と攻撃対象のアドレス
• 攻撃者と攻撃対象のアドレスおよびポート
• 攻撃対象のアドレス
[unique-victim-ports]
Meta シグニチャごとに一意の必須攻撃対象ポートの番 1 ~ 256
号。
[component-list-inorder]
コンポーネント リストを順序立てて生成するかどうか。 [true] | [false]
Service MSRPC エンジンのオプション
表 29-11(P.29-27)に、Service MSRPC エンジンに固有のパラメータを示します。
表 29-11
Service MSRPC エンジンのパラメータ
パラメータ
説明
値
[protocol]
このインスペクタの該当プロトコル。
[tcp]、[udp]
[specify-operation]
(任意)MSRPC 動作の使用をイネーブルにします。
0 ~ 65535
• [operation]:要求する MSRPC 動作。
SMB_COM_TRANSACTION コマンドに必要です。完
全一致。
[specify-regex-string] (任意)正規表現文字列の使用をイネーブルにします。
0 ~ 65535
• [specify-exact-match-offset]:完全一致オフセットをイ
ネーブルにします。
– [exact-match-offset]:一致を有効にするために正規
表現文字列がレポートする必要がある正確なスト
リーム オフセット。
• [specify-min-match-length]:最小一致長をイネーブル
にします。
– [min-match-length]:正規表現文字列が一致する必
要があるバイトの最小数。
[specify-uuid]
(任意)UUID をイネーブルにします。
• [uuid]:[MSRPC UUID] フィールド。
000001a000000
000c000000000
000046
Service MSSQL エンジンのオプション
Service MSSQL エンジンは、Microsoft SQL サーバによって使用されるプロトコルを検査します。
このエンジンには 1 つの MSSQL シグニチャが含まれています。このシグニチャは、デフォルトの sa
アカウントを使用した MSSQL サーバへのログイン試行を検出すると、アラートを起動します。
ログイン ユーザ名や、パスワードが使用されたかどうかなど、MSSQL プロトコル値に基づいてカス
タム シグニチャを追加できます。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-27
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-12(P.29-28)に、Service MSSQL エンジンに固有のパラメータを示します。
表 29-12
Service MSSQL エンジンのパラメータ
パラメータ
説明
値
[password-present]
MS SQL ログインでパスワードが使用されたかどうか。
[true] | [false]
[specify-sql-username] (任意)SQL ユーザ名の使用をイネーブルにします。
[sa]
• [sql-username]:MS SQL サービスにログイン中のユー
ザのユーザ名(完全一致)。
Multi String エンジンのオプション
Multi String エンジンでは、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペ
イロードを検査するシグニチャを定義します。この検査は、1 つのシグニチャに対して複数の文字列を
照合して行います。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定で
きます。たとえば、UDP サービスで regex 1 とそれに続く regex 2 を検索するシグニチャを定義できま
す。UDP および TCP の場合は、ポート番号と方向を指定できます。単一の送信元ポート、単一の宛先
ポート、または両方のポートを指定できます。文字列の照合は両方向で実行されます。
Multi String エンジンは、複数の正規表現パターンを指定する必要がある場合に使用します。それ以外
の場合は、String ICMP、String TCP、または String UDP エンジンを使用して、これらのプロトコルの
いずれかに対応した単一の正規表現パターンを指定できます。
表 29-13(P.29-28)に、Multi String エンジンに固有のパラメータを示します。
表 29-13
Multi String エンジンのパラメータ
パラメータ
説明
値
[Inspect Length]
起動するシグニチャに対して違反するすべての文字
列を含める必要があるストリームまたはパケットの
長さ。
0 ~ 4294967295
[Protocol]
レイヤ 4 のプロトコルを選択します。
[Icmp]、[Tcp]、[Udp]
[Regex Component]
正規表現コンポーネントのリスト:
[list](1 ~ 16 項目)、
[exact]、[minimum]
• [Regex String]:検索文字列。
• [Spacing Type]:前回一致した箇所から、また
はストリームやパケットの先頭から(リスト内
の最初のエントリである場合)、空ける必要が
あるスペーシングのタイプ。
[Port Selection]
宛先ポートと送信元
検査する TCP または UDP ポートのタイプ。
[Protocol] フィールドで [TCP] または [UDP] が選択 ポートの両方
されている場合にだけ表示されます。
Cisco Security Manager 4.0 ユーザ ガイド
29-28
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-13
Multi String エンジンのパラメータ (続き)
パラメータ
説明
値
[Source Ports]
送信元ポートの範囲を指定します。
0 ~ 65535
(注)
注意
ポートの照合は、クライアントからサーバ、 (注)
およびサーバからクライアントへの両方のト
ラフィック フロー方向に対して双方向で実
行されます。たとえば、クライアントから
サーバへのトラフィック フロー方向で送信
元ポートの値が 80 である場合、クライアン
ト ポートが 80 の場合に検査が実行されま
す。サーバからクライアントへのトラフィッ
ク フロー方向では、サーバ ポートがポート
80 である場合に検査が実行されます。
範囲の 2 番目の
数は、最初の数
以上である必要
があります。
[Dest Ports]
宛先ポートの範囲を指定します。
0 ~ 65535
[Exact Spacing]
この正規表現文字列と直前の正規表現文字列との
間、またはストリームやパケットの先頭から(リス
ト内の最初のエントリである場合)、空ける必要の
ある正確なバイト数。
0 ~ 4294967296
[Minimum Spacing]
この正規表現文字列と直前の正規表現文字列との
間、またはストリームやパケットの先頭から(リス
ト内の最初のエントリである場合)、空ける必要の
ある最小バイト数。
0 ~ 4294967296
[Swap Attacker
Victim]
アドレス(およびポート)の送信元と宛先をアラー
ト メッセージでスワップする場合は [Yes]。スワッ
プしない場合は [No](デフォルト)。
[Yes] | [No]
Multi String エンジンは、メモリの使用状況に大きく影響することがあります。
ノーマライザ エンジンのオプション
表 29-14(P.29-29)に、ノーマライザ エンジンに固有のパラメータを示します。
表 29-14
ノーマライザ エンジンのパラメータ
パラメータ
説明
[Edit] のデフォルト
[Specify Service Ports]
(任意)サービス ポートをイネーブルにします。
[Specify TCP Max MSS]
(任意)TCP 最大 mss(最大セグメント サイズ)をイネーブルにします。
[Specify TCP Min MSS]
(任意)TCP 最小 mss をイネーブルにします。
[Specify TCP Option
Number]
(任意)TCP オプション番号をイネーブルにします。
[Specify TCP Max Queue]
(任意)TCP 最大キューをイネーブルにします。
[Specify TCP Closed
Timeout]
(任意)TCP クローズド タイムアウトをイネーブルにします。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-29
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-14
ノーマライザ エンジンのパラメータ (続き)
パラメータ
説明
[Specify TCP Embryonic
Timeout]
(任意)TCP 初期接続タイムアウトをイネーブルにします。
[Specify TCP Idle Timeout] (任意)TCP アイドル タイムアウトをイネーブルにします。
[Specify Fragment
(任意)フラグメント再構築タイムアウトをイネーブルにします。
Reassembly Timeout]
[Specify Max Fragments per (任意)データグラムあたりの最大フラグメントをイネーブルにします。
Datagram]
[Specify Max Small Frags]
(任意)最大スモール フラグメントをイネーブルにします。
[Specify Min Fragment Size] (任意)最小フラグメント サイズをイネーブルにします。
[Specify Max Partial
(任意)最大部分データグラムをイネーブルにします。
Datagrams]
[Specify Max Datagram Size] (任意)最大データグラム サイズをイネーブルにします。
[Specify Max Fragments]
(任意)最大フラグメントをイネーブルにします。
[Specify Max Last
Fragments]
(任意)直前の最大フラグメントをイネーブルにします。
[Specify Hijack Max Old
Ack]
(任意)hijack-max-old-ack をイネーブルにします。
[Specify SYN Flood Max
Embryonic]
(任意)SYN フラッドの最大初期接続をイネーブルにします。
Atomic ARP エンジンのオプション
Atomic ARP エンジンは、レイヤ 2 の基本的な ARP シグニチャを定義し、ARP スプーフィング ツー
ルである dsniff と ettercap に対して高度な検出を実行します。
表 29-15(P.29-30)に、Atomic ARP エンジンに固有のパラメータを示します。
表 29-15
Atomic ARP エンジンのパラメータ
パラメータ
説明
[specify-mac-flip]
この IP アドレスに対して MAC アドレスが指定した回数を超えて変化
した場合に、アラートを起動します。
[specify-type-of-arp-sig]
起動する ARP シグニチャのタイプを指定します。
• [Source Broadcast](デフォルト):255.255.255.255 の ARP 送信
元アドレスを検出した場合に、このシグニチャのアラームを起動
します。
• [Destination Broadcast]:255.255.255.255 の ARP 宛先アドレス
を検出した場合に、このシグニチャのアラームを起動します。
• [Same Source and Destination]:送信元と宛先の MAC アドレスが
同じである ARP 宛先アドレスを検出した場合に、このシグニチャ
のアラームを起動します。
• [Source Multicast]:ARP 送信元 MAC アドレス 01:00:5e:
(00-7f)を検出した場合に、このシグニチャのアラームを起動し
ます。
Cisco Security Manager 4.0 ユーザ ガイド
29-30
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-15
Atomic ARP エンジンのパラメータ (続き)
パラメータ
説明
[specify-request-inbalance]
特定の IP アドレスに対して、応答よりも要求の方が指定した数より多
い場合に、アラートを起動します。
[specify-arp-operation]
このシグニチャの ARP 演算コード。
Service DNS エンジンのオプション
Service DNS エンジンは、高度な DNS デコードを行います。これには、反回避技術(複数のジャンプ
の追跡など)が含まれます。長さ、命令コード、文字列などの多数のパラメータがあります。Service
DNS エンジンは、2 つのプロトコルに対応するインスペクタであり、TCP ポート 53 と UDP ポート 53
の両方で稼動します。TCP の場合はストリームを使用し、UDP の場合はクワッドを使用します。
表 29-16(P.29-31)に、Service DNS エンジンに固有のパラメータを示します。
表 29-16
Service DNS エンジンのパラメータ
パラメータ
説明
値
[Protocol]
このインスペクタの該当プロトコル。
[TCP]、[UDP]
[Specify Query Type] (任意)クエリー タイプをイネーブルにします。
0 ~ 65535
• [Query Type]:DNS クエリー タイプの 2 バイト値
[Specify Query
Opcode]
(任意)クエリー命令コードをイネーブルにします。
0 ~ 65535
• [Query Opcode]:DNS クエリー命令コードの 1 バイ
ト値
[Specify Query Record (任意)クエリー レコード データ長をイネーブルにします。 0 ~ 65535
Data Length]
• [Query Record Data Length]:DNS 応答レコード デー
タ長
[Specify Query Record (任意)無効なレコード データのクエリーをイネーブルに
Data Invalid]
します。
[Yes] | [No]
• [Query Record Data Invalid]:不完全な DNS レコード
データ
[Specify Query Src
Port 53]
(任意)クエリー送信元ポート 53 をイネーブルにします。 [Yes] | [No]
• [Query Src Port 53]:DNS パケットの送信元ポート 53
[Specify Query Value] (任意)クエリー値をイネーブルにします。
• [Query Value]:クエリーは [0]、応答は [1]
[Specify Query Stream (任意)クエリー ストリーム長をイネーブルにします。
Length]
• [Query Stream Length]:DNS パケット長
[Specify Query Jump (任意)しきい値を超えたジャンプ カウントのクエリーを
Count Exceeded]
イネーブルにします。
[Yes] | [No]
0 ~ 65535
[Yes] | [No]
• [Query Jump Count Exceeded] :DNS 圧縮カウンタ
[Specify Query Invalid (任意)無効なドメイン名のクエリーをイネーブルにします。 [Yes] | [No]
Domain Name]
• [Query Invalid Domain Name]:255 を超える DNS ク
エリー長
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-31
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-16
Service DNS エンジンのパラメータ (続き)
パラメータ
説明
値
[Specify Query Class] (任意)クエリー クラスをイネーブルにします。
0 ~ 65535
• [Query Class]:DNS クエリー クラスの 2 バイト値
[Specify Query Chaos (任意)DNS クエリー クラスのカオス文字列をイネーブル [query-chaos-st
String]
ring]
にします。
Flood エンジンのオプション
Flood エンジンは、複数のパケットを単一のホストまたはネットワークに送信しているホストまたは
ネットワークをモニタするシグニチャを定義します。たとえば、1 秒あたりに(特定タイプの)150 以
上のパケットが攻撃対象ホストに送信されていることを検出した場合に起動されるシグニチャを作成で
きます。
Flood Host と Flood Net という 2 つのタイプの Flood エンジンがあります。
表 29-17(P.29-32)に、Flood Host エンジンに固有のパラメータを示します。
表 29-17
Flood Host エンジンのパラメータ
パラメータ
説明
値
[protocol]
検査するトラフィックの種類。
[ICMP]、[UDP]
[rate]
秒あたりのパケット数のしきい値。
0 ~ 65535
[icmp-type]
ICMP ヘッダー タイプの値を指定します。
0 ~ 65535
[dst-ports]
UDP プロトコルを選択した場合の宛先ポートを指定し
ます。
0 ~ 65535 a-b[,c-d]
[src-ports]
UDP プロトコルを選択した場合の送信元ポートを指定
します。
0 ~ 65535 a-b[,c-d]
Flood Net エンジンのパラメータ
表 29-18(P.29-32)に、Flood Net エンジンに固有のパラメータを示します。
表 29-18
Flood Net エンジンのパラメータ
パラメータ
説明
値
[gap]
フラッド シグニチャの許容ギャップ時間(秒数)。
0 ~ 65535
[peaks]
フラッド トラフィックの許容ピーク回数。
0 ~ 65535
[protocol]
検査するトラフィックの種類。
[ICMP]、[TCP]、
[UDP]
[rate]
秒あたりのパケット数のしきい値。
0 ~ 65535
[sampling-interval] トラフィックをサンプリングする間隔。
[icmp-type]
ICMP ヘッダー タイプの値を指定します。
1 ~ 3600
0 ~ 65535
Cisco Security Manager 4.0 ユーザ ガイド
29-32
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
Service FTP エンジンのオプション
Service FTP エンジンは、FTP ポート コマンドのデコードを行います。無効な port コマンドと PASV
ポート スプーフィングをトラップします。このエンジンによって、String エンジンが検出に適さない
場合のギャップをカバーできます。パラメータはブール値であり、port コマンドのデコードでさまざ
まなエラー トラップ条件に割り当てられます。Service FTP エンジンは、TCP ポート 20 および 21 で
稼動します。ポート 20 はデータ用であり、Service FTP エンジンはこのポートを検査しません。
Service FTP エンジンは、ポート 21 の制御トランザクションを検査します。
表 29-19(P.29-33)に、Service FTP エンジンに固有のパラメータを示します。
表 29-19
Service FTP エンジンのパラメータ
パラメータ
説明
値
[Direction]
トラフィックの方向。
[From Service]、[To
Service]
• サービス ポートからクライアント ポート宛
のトラフィック。
• クライアント ポートからサービス ポート宛
のトラフィック。
[Service Ports]
ターゲット サービスが常駐する、カンマ区切り
のポートのリストまたはポート範囲。
0 ~ 65535
(注)
範囲の 2 番目の数
は、最初の数以上
である必要があり
ます。
[Swap Attacker
Victim]
アドレス(およびポート)の送信元と宛先をア [Yes] | [No]
ラート メッセージでスワップする場合は [Yes]。
スワップしない場合は [No](デフォルト)。
[FTP Inspection
Type]
実行する検査のタイプ:
• FTP ポート コマンド内の無効なアドレスを
検索します。
ポート コマンド内の無効な
アドレス、ポート コマンド
内の無効なポート、PASV
ポート スプーフィング
• FTP ポート コマンド内の無効なポートを検
索します。
• PASV ポート スプーフィングを検索します。
すべてのエンジンの汎用オプション
次のパラメータは、Master エンジンの一部であり、すべてのシグニチャに適用されます。
表 29-20(P.29-33)に、Master エンジンの汎用パラメータを示します。
表 29-20
Master エンジンの汎用パラメータ
パラメータ
説明
値
[Alert Severity]
アラートの重大度:
[high]、[medium]、
[low]、
[informational]
• 危険なアラート
• 中レベルのアラート
• 低レベルのアラート
• 情報アラート
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-33
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-20
Master エンジンの汎用パラメータ (続き)
パラメータ
説明
値
[Engine]
シグニチャが属すエンジンを指定します。
—
[Event Counter]
イベント カウント設定をグループ化します。
—
[Event Count]
アラートを生成するまでのイベントの発生回数。
1 ~ 65535
[Event Count Key]
このシグニチャに関するイベントをカウントするスト
レージ タイプ:
[Axxx]、[AxBx]、
[Axxb]、[xxBx]、
[AaBb]
• 攻撃者のアドレス
• 攻撃者と攻撃対象のアドレス
• 攻撃者のアドレスと攻撃対象のポート
• 攻撃対象のアドレス
• 攻撃者と攻撃対象のアドレスおよびポート
[Specify Alert
Interval]
アラートの間隔をイネーブルにします。
[yes] | [no]
[Alert Interval]
イベント カウントをリセットするまでの時間(秒数)。
2 ~ 1000
[promisc-delta]
アラートの重大度を決定するために使用されるデルタ値。 0 ~ 30
[sig-fidelity-rating]
このシグニチャの忠実度の評価。
[sig-description]
シグニチャの説明をグループ化します。
0 ~ 100
—
[sig-name]
シグニチャの名前。
[sig-name]
[sig-string-info]
アラート メッセージに含まれる、このシグニチャに関
する追加情報。
[sig-string-info]
[sig-comment]
このシグニチャに関するコメント。
[sig-comment]
[Alert Traits]
このシグニチャについて文書化する特性。
[Release]
シグニチャが最後に更新されたリリース。
0 ~ 65335
[release]
[Status]
シグニチャが、イネーブルとディセーブルのどちらであ [enabled]、[retired]
るか、アクティブと廃棄のどちらであるか。
Service Generic エンジンのオプション
Service Generic エンジンを使用すると、設定ファイルでシグニチャを更新するだけで、プログラム シ
グニチャを発行できます。このエンジンには、設定ファイルで定義されている簡易マシンおよびアセン
ブリ言語が含まれています。このエンジンは、仮想マシンを介して(アセンブリ言語から導出された)
マシン コードを実行します。仮想マシンは、命令を処理し、パケットから重要な情報を引き出して、
マシン コードに指定されている比較および演算を実行します。
このエンジンは、String エンジンと State エンジンを補足する迅速なシグニチャ応答エンジンとして設
計されています。
(注)
注意
Service Generic エンジンを使用してカスタム シグニチャを作成することはできません。
複雑な言語特有の性質上、Service Generic エンジンのシグニチャ パラメータについては、重大度と
イベント アクションを除き、編集することは推奨しません。
Cisco Security Manager 4.0 ユーザ ガイド
29-34
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-21(P.29-35)に、Service Generic エンジンに固有のパラメータを示します。
表 29-21
Service Generic エンジンのパラメータ
パラメータ
説明
[specify-dst-port]
値
(任意)宛先ポートをイネーブルにします。
0 ~ 65535
• [dst-port]:シグニチャの該当宛先ポート。
[specify-ip-protocol]
(任意)IP プロトコルをイネーブルにします。
0 ~ 255
• [ip-protocol]:インスペクタが検査する IP プロ
トコル。
[specify-payload-source] (任意)ペイロード送信元の検査をイネーブルにし
ます。
• [payload-source]:次のタイプのペイロード送
信元検査:
– ICMP データの検査
[icmp-data]、
[l2-header]、
[l3-header]、
[l4-header]、
[tcp-data]、
[udp-data]
– レイヤ 2 ヘッダーの検査
– レイヤ 3 ヘッダーの検査
– レイヤ 4 ヘッダーの検査
– TCP データの検査
– UDP データの検査
[specify-src-port]
(任意)送信元ポートをイネーブルにします。
0 ~ 65535
• [src-port]:シグニチャの該当送信元ポート。
Service H225 エンジンのオプション
表 29-22(P.29-35)に、Service H225 エンジンに固有のパラメータを示します。
表 29-22
Service H.225 エンジンのパラメータ
パラメータ
説明
値
[message-type]
シグニチャを適用する H225 メッセージのタイプ:
[asn.1-per]、
[q.931]、[setup]、
[tpkt]
• [SETUP]
• [ASN.1-PER]
• [Q.931]
• [TPKT]
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-35
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-22
Service H.225 エンジンのパラメータ (続き)
パラメータ
説明
値
[policy-type]
シグニチャを適用する H225 ポリシーのタイプ:
[length]、
[presence]、
[regex]、[validate]、
[value]
• フィールド長を検査する。
• 存在を検査する。特定のフィールドがメッセージ内
に存在する場合は、アラートが送信されます。
• 正規表現を検査する。
• フィールドの妥当性を検査する。
• 値を検査する。
TPKT シグニチャの場合、[regex] と [presence] は有効な
値ではありません。
[specify-field-name] (任意)使用するフィールド名をイネーブルにします。
SETUP および Q.931 メッセージ タイプの場合にだけ有
1 ~ 512
効です。シグニチャを適用するフィールド名のドット付
き表記を指定します。
• [field-name]:検査するフィールドの名前。
[specify-invalidpacket-index]
(任意)ASN と TPKT 固有のエラー、および固定マッピ
ングを持つその他のエラーで使用する無効なパケット イ
ンデックスをイネーブルにします。
0 ~ 255
• [invalid-packet-index]:無効なパケット インデック
スを検査します。
[specify-regexstring]
ポリシー タイプが [regex] の場合に検索する正規表現。
TPKT シグニチャには設定しないでください。
• 単一の TCP パケット内で検索する正規表現。
[regex-string]、
[specify-min-match
-length]
• (任意)使用する最小一致長をイネーブルにします。
一致と見なされるために必要な正規表現の最小一致
長です。TPKT シグニチャには設定しないでくださ
い。
[specify-value-range] [length] または [value] ポリシー タイプの場合に有効です 0 ~ 65535 a-b
(0x00 ~ 6535)。その他のポリシー タイプの場合は無効
です。
• [value-range]:値の範囲。
Service HTTP エンジンのオプション
表 29-23(P.29-36)に、Service HTTP エンジンに固有のパラメータを示します。
表 29-23
Service HTTP エンジンのパラメータ
パラメータ
説明
値
[De Obfuscate]
検索の前に反回避解読を適用します。
[Yes] | [No]
[Max Field Sizes]
最大フィールド サイズ グループ。
—
Cisco Security Manager 4.0 ユーザ ガイド
29-36
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-23
Service HTTP エンジンのパラメータ (続き)
パラメータ
[Specify Max URI
Field Length]
説明
値
(任意)[URI] フィールドの最大長をイネーブル
にします。
0 ~ 65535
• [Max URI Field Length]:[URI] フィールド
の最大長。
[Specify Max Arg
Field Length]
(任意)引数フィールドの最大長をイネーブルに
します。
0 ~ 65535
• [Max Arg Field Length]:引数フィールドの
最大長。
[Specify Max
Header Field
Length]
(任意)ヘッダー フィールドの最大長をイネーブ
ルにします。
0 ~ 65535
• [Max Header Field Length]:ヘッダー フィー
ルドの最大長。
[Specify Max
Request Length]
(任意)要求フィールドの最大長をイネーブルに
します。
0 ~ 65535
• [Max Request Length]:要求フィールドの最
大長。
[Regex]
[Specify URI
Regex]
—
正規表現グループ。
[/\\][a-zA-Z][a-zA-Z][a-zA
(任意)[HTTP URI] フィールドで検索する正規
表現。[URI] フィールドは、HTTP メソッド(た -Z][a-zA-Z][a-zA-Z][a-zAZ][a-zA-Z][.]jpeg
とえば、GET)の後ろで、最初の CRLF の前ま
で定義されます。正規表現は保護されています。
つまり、値は変更できません。
[Specify Arg Name (任意)特定の正規表現の [Arguments] フィール
Regex]
ドの検索をイネーブルにします。
—
• [Arg Name Regex]:[HTTP Arguments]
フィールド(コンテンツ長によって定義され
ているように、? の後ろのエンティティ本体
の中)で 検索する正規表現。
[Specify Header
Regex]
(任意)特定の正規表現の [Header] フィールドの —
検索をイネーブルにします。
• [Header Regex]:[HTTP Header] フィールド
で検索する正規表現。ヘッダーは、最初の
CRLF の後ろから定義され、CRLFCRLF ま
で続きます。
[Specify Request
Regex]
(任意)特定の正規表現の [Request] フィールド
の検索をイネーブルにします。
0 ~ 65535
• [Request Regex]:[HTTP URI] フィールドと
[HTTP Argument] フィールドの両方で検索
する正規表現。
• [Specify Min Request Match Length]:要求
の最小一致長の設定をイネーブルにします。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-37
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-23
Service HTTP エンジンのパラメータ (続き)
パラメータ
説明
値
[Service Ports]
ターゲット サービスが常駐する、カンマ区切り
のポートのリストまたはポート範囲。
0 ~ 65535
[Swap Attacker
Victim]
(注)
アドレス(およびポート)の送信元と宛先をア
ラート メッセージでスワップする場合は [Yes]。
スワップしない場合は [No](デフォルト)。
範囲の 2 番目の数
は、最初の数以上
である必要があり
ます。
[Yes] | [No]
アラート頻度のオプション
サマリー パラメータの目的は、stick などの IDS DoS ツールに対抗するために、イベント ストアに書
き込まれるアラートの量を削減することです。Fire All、Fire Once、Summarize、および Global
Summarize という 4 つのモードがあります。サマリー モードは、現在のアラート量に応じて動的に変
わります。たとえば、シグニチャを Fire All に設定できますが、一定のしきい値に達するとサマライズ
が開始されます。
表 29-24
Master エンジンのアラート頻度のパラメータ
パラメータ
説明
[alert-frequency]
アラートをグループ化するためのサマリー オプション。
[summary-mode]
サマライズに使用するモード。
[fire-all]
すべてのイベントについてアラートを起動します。
[fire-once]
1 回だけアラートを起動します。
[global-summarize]
攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起
動されるようにアラートをサマライズします。
[summarize]
アラートをサマライズします。
[specify-summarythreshold]
(任意)サマリーのしきい値をイネーブルにします。
値
[yes] | [no]
[summary-threshold]
アラート数のしきい値。この値を超えるとシグニチャは
サマリー モードに送られます。
[specify-global-summar
y-threshold]
グローバル サマリーのしきい値をイネーブルにします。 [yes] | [no]
[global-summarythreshold]
イベント数のしきい値。この値を超えるとアラートはグ
ローバル サマリーにサマライズされます。
1 ~ 65535
[summary-interval]
各サマリー アラートで使用される時間(秒数)。
[summary-key]
シグニチャをサマライズするストレージ タイプ:
1 ~ 1000
[Axxx]
0 ~ 65535
• 攻撃者のアドレス
[AxBx]
• 攻撃者と攻撃対象のアドレス
[Axxb]
• 攻撃者のアドレスと攻撃対象のポート
[xxBx]
• 攻撃対象のアドレス
[AaBb]
• 攻撃者と攻撃対象のアドレスおよびポート
Cisco Security Manager 4.0 ユーザ ガイド
29-38
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
Service NTP エンジンのオプション
Service NTP エンジンは、NTP プロトコルを検査します。このエンジンには、1 つの NTP シグニチャ
(NTPd readvar オーバーフロー シグニチャ)が含まれます。このシグニチャは、サイズが大きいため
NTP サービスでキャプチャできない NTP データが、readvar コマンドに指定されていることを検出し
た場合に、アラートを起動します。
NTP プロトコルの値(モードや制御パケットのサイズなど)に基づいて、シグニチャを調整したり、
カスタム シグニチャを作成したりできます。
表 29-25(P.29-39)に、Service NTP エンジンに固有のパラメータを示します。
表 29-25
Service NTP エンジンのパラメータ
パラメータ
説明
値
[inspection-type]
実行する検査のタイプ。
[inspect-ntp-packets]
NTP パケットを検査します。
0 ~ 65535
• [control-opcode]:RFC1305 の付録 B に基づく NTP
制御パケットの命令コード番号。
• [max-control-data-size]:制御パケットで送信される
データの最大許容量。
• [mode]:RFC 1305 に基づく NTP パケットの動作モー
ド。
[is-invalid-data-packet] 無効な NTP データ パケットを検索します。NTP データ パ [true] | [false]
ケットの構造を調べ、サイズが正しいことを確認します。
[is-non-ntp-traffic]
[true] | [false]
NTP ポートの非 NTP パケットをチェックします。
Service RPC エンジンのオプション
表 29-26(P.29-39)に、Service RPC エンジンに固有のパラメータを示します。
表 29-26
Service RPC エンジンのパラメータ
パラメータ
説明
値
[Direction]
トラフィックの方向。
[From Service]、[To
Service]
• サービス ポートからクライアント ポート
宛のトラフィック。
• クライアント ポートからサービス ポート
宛のトラフィック。
[Protocol]
該当プロトコル。
[TCP]、[UDP]
[Service Ports]
ターゲット サービスが常駐する、カンマ区切
りのポートのリストまたはポート範囲。
0 ~ 65535
(注)
範囲の 2 番目の数
は、最初の数以上
である必要があり
ます。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-39
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-26
Service RPC エンジンのパラメータ (続き)
パラメータ
説明
値
[Specify Regex String] 正規表現のフィールドをイネーブルにします。 [Yes] | [No]
• [Specify Exact Match Offset]
• [Regex String]
• [Specify Min Match Length]
[Specify Exact Match (任意)完全一致オフセットをイネーブルにし
Offset]
ます。
0 ~ 65535
• [Exact Match Offset]:一致を有効にする
ために正規表現文字列がレポートする必要
がある正確なストリーム オフセット。
[Regex String]
検索する文字列。
[Specify Min Match
Length]
(任意)最小一致長をイネーブルにします。
—
0 ~ 65535
• [Min Match Length]:正規表現文字列が一
致する必要があるバイトの最小数。
[Specify Port Map
Program]
(任意)ポートマッパー プログラムをイネーブ 0 ~ 9999999999
ルにします。
• [Port Map Program]:シグニチャのポート
マッパーに送信されたプログラム番号。
[Specify RPC
Program]
(任意)RPC プログラムをイネーブルにします。 0 ~ 1000000
• [RPC Program]:シグニチャの RPC プロ
グラム番号。
[Specify Spoof Src]
(任意)スプーフィングの送信元アドレスをイ
ネーブルにします。
[true] | [false]
• [Spoof Src]:送信元アドレスが 127.0.0.1
の場合にアラートを起動します。
[Specify RPC Max
Length]
(任意)RPC 最大長をイネーブルにします。
0 ~ 65535
• [RPC Max Length]:RPC メッセージ全体
の最大許容長。長さが指定した値より長い
とアラートを起動します。
[Specify RPC
Procedure]
(任意)RPC プロシージャをイネーブルにしま 0 ~ 1000000
す。
• [RPC Procedure]:シグニチャの RPC プロ
シージャ番号。
SMB Advanced エンジンのオプション
表 29-27(P.29-40)に、Service SMB Advanced エンジンに固有のパラメータを示します。
表 29-27
Service SMB Advanced エンジンのパラメータ
パラメータ
説明
値
[service-ports]
ターゲット サービスが常駐する、カンマ区切りのポー
トのリストまたはポート範囲。
0 ~ 65535 a-b[,c-d]
Cisco Security Manager 4.0 ユーザ ガイド
29-40
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-27
Service SMB Advanced エンジンのパラメータ (続き)
パラメータ
説明
値
[specify-command] (任意)SMB コマンドをイネーブルにします。
0 ~ 255
• [command]:SMB コマンドの値。完全に一致する
必要があります。SMB パケットのタイプを定義し
ます。
[specify-direction]
(任意)トラフィック方向をイネーブルにします。
• [direction]:トラフィックの方向を指定できます。
[from service]、[to
service]
– [from-service]:サービス ポートからクライア
ント ポート宛のトラフィック。
– [to-service]:クライアント ポートからサービ
ス ポート宛のトラフィック。
[specify-operation]
(任意)MSRPC over SMB をイネーブルにします。
0 ~ 65535
• [msrpc-over-smb-operation]:
SMB_COM_TRANSACTION コマンドに使用しま
す。完全に一致する必要があります。
[specify-regex-string] (任意)正規表現文字列の検索をイネーブルにします。
• [regex-string]:単一の TCP パケット内で検索する
正規表現。
[specify-exact-match (任意)完全一致オフセットをイネーブルにします。
-offset]
• [exact-match-offset]:一致を有効にするために正
規表現文字列がレポートする必要がある正確なス
トリーム オフセット。
[specify-min-match- (任意)最小一致長をイネーブルにします。
length]
• [min-match-length]:正規表現文字列が一致する必
要がある最小バイト数。
[specify-payloadsource]
(任意)ペイロード送信元をイネーブルにします。
• [payload-source]:ペイロード送信元の検査。
[specify-scan-interva (任意)スキャン間隔をイネーブルにします。
l]
• [scan-interval]:アラート率の計算に使用される間
1 ~ 131071
隔(秒数)。
[specify-tcp-flags]
(任意)TCP フラグをイネーブルにします。
• [msrpc-tcp-flags]
• [msrpc-tcp-flags-mask]
• [concurrent
execution]
• [did not execute]
• [first fragment]
• [last fragment]
• [maybe]
• [object UUID]
• [pending cancel]
• [reserved]
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-41
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-27
Service SMB Advanced エンジンのパラメータ (続き)
パラメータ
説明
[specify-type]
値
(任意)MSRPC over SMB パケットのタイプをイネー
ブルにします。
• [type]:MSRPC over SMB パケットの [Type]
フィールド。
• [0] = 要求
• [2] = 応答
• [11] = バインド
• [12] = バインド
応答
[specify-uuid]
(任意)UUID を経由した MSRPC をイネーブルにしま 16 進数の 0 ~ 9、a
~ f、A ~ F で構成
す。
される 32 文字の文
• [uuid]:[MSRPC UUID] フィールド。
字列。
[specify-hit-count]
(任意)ヒット カウントをイネーブルにします。
1 ~ 65535
• [hit-count]:scan-interval 内の発生回数のしきい
値。この値を超えるとアラートが起動されます。
[true] | [false]
アドレス(およびポート)の送信元と宛先をアラート
メッセージでスワップする場合は [true]。スワップしな
い場合は [false](デフォルト)。
[swap-attackervictim]
SMB エンジンのオプション
Service SMB エンジンは、SMB パケットを検査します。SMB 制御トランザクション交換および SMB
NT_Create_AndX 交換に基づいて、SMB シグニチャを調整したり、カスタム SMB シグニチャを作成
したりできます。
表 29-28(P.29-42)に、Service SMB エンジンに固有のパラメータを示します。
表 29-28
Service SMB エンジンのパラメータ
パラメータ
説明
値
[service-ports]
ターゲット サービスが常駐する、カンマ区切りの
ポートのリストまたはポート範囲。
0 ~ 65535 a-b[,c-d]
[specify-allocation-hint] (任意)MSRPC 割り当てのヒントをイネーブルにし 0 ~ 42949677295
ます。
• [allocation-hint]:MSRPC 割り当てヒント。
SMB_COM_TRANSACTION コマンドの解析
で使用されます。
[specify-byte-count]
(任意)バイト カウントをイネーブルにします。
0 ~ 65535
• [byte-count]:SMB_COM_TRANSACTION 構
造からのバイト カウント。
[specify-command]
(任意)SMB コマンドをイネーブルにします。
0 ~ 255
• [command]:SMB コマンドの値。
Cisco Security Manager 4.0 ユーザ ガイド
29-42
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-28
Service SMB エンジンのパラメータ (続き)
パラメータ
[specify-direction]
説明
値
(任意)トラフィック方向をイネーブルにします。
• [direction]:トラフィックの方向を指定できま
[from service]、[to
service]
す。
– サービス ポートからクライアント ポート宛
のトラフィック。
– クライアント ポートからサービス ポート宛
のトラフィック。
[specify-file-id]
(任意)トランザクション ファイル ID の使用をイ
ネーブルにします。
0 ~ 65535
• [file-id]:トランザクション ファイル ID。
• このパラメータにより、シグニチャの適用が特
定の不正利用インスタンスだけに限定されるこ
とがあるため、使用する場合は慎重に検討する
必要があります。
[specify-function]
(任意)名前付きパイプ機能をイネーブルにします。 0 ~ 65535
• [function]:名前付きパイプ機能。
[specify-hit-count]
(任意)ヒット カウントをイネーブルにします。
0 ~ 65535
• [hit-count]:scan-interval 内の発生回数のしきい
値。この値を超えるとアラートが起動されます。
[specify-operation]
(任意)MSRPC 動作をイネーブルにします。
0 ~ 65535
• [operation]:要求する MSRPC 動作。
SMB_COM_TRANSACTION コマンドに必要
です。完全に一致する必要があります。
[specify-resource]
(任意)リソースをイネーブルにします。
[resource]
• [resource]:アラートを制限するために使用するパ
イプまたは SMB ファイル名を指定します。ASCII
形式です。完全に一致する必要があります。
[specify-scan-interval]
(任意)スキャン間隔をイネーブルにします。
0 ~ 131071
• [scan-interval]:アラート率の計算に使用される
間隔(秒数)。
[specify-set-count]
(任意)セットアップ ワードのカウントをイネーブ
ルにします。
0 ~ 255
• [set-count]:セットアップ ワードの数。
[specify-type]
(任意)MSRPC パケットの [Type] フィールドの検
索をイネーブルにします。
0 ~ 255
• [type]:MSRPC パケットの [Type] フィールド。
[0] = 要求、[2] = 応答、[11] = バインド、[12] =
バインド応答
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-43
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-28
Service SMB エンジンのパラメータ (続き)
パラメータ
説明
[specify-word-count]
値
(任意)コマンド パラメータのワード カウントをイ
ネーブルにします。
0 ~ 255
• [word-count]:SMB_COM_TRANSACTION
コマンド パラメータのワード カウント。
[swap-attacker-victim]
アドレス(およびポート)の送信元と宛先をアラー
ト メッセージでスワップする場合は [true]。スワッ
プしない場合は [false](デフォルト)。
[true] | [false]
SNMP エンジンのオプション
Service SNMP エンジンは、ポート 161 宛のすべての SNMP パケットを検査します。特定のコミュニ
ティ名とオブジェクト ID に基づいて、SNMP シグニチャを調整したり、カスタム SNMP シグニチャ
を作成したりできます。
コミュニティ名とオブジェクト ID を照合するために、文字列比較や正規表現演算を使用する代わり
に、整数を使用してすべての比較を実行し、プロトコル デコードを高速化しストレージ要件を削減し
ます。
表 29-29(P.29-44)に、Service SNMP エンジンに固有のパラメータを示します。
表 29-29
Service SNMP エンジンのパラメータ
パラメータ
説明
値
[inspection-type]
実行する検査のタイプ。
—
[brute-force-inspection]
総当たり攻撃の試行を検査します。
0 ~ 65535
• [brute-force-count]:総当たり攻撃と見なされる
一意の SNMP コミュニティ名の数。
[invalid-packet-inspection] SNMP プロトコル違反を検査します。
[non-snmp-trafficUDP ポート 161 宛の非 SNMP トラフィックを検査
inspection]
します。
—
[snmp-inspection]
[community-name]
SNMP トラフィックを検査します。
• specify-community-name [yes | no]:
—
[object-id]
– [community-name]:SNMP コミュニティ名、
つまり SNMP パスワードを検索します。
• specify-object-id [yes | no]:
– [object-id]:SNMP オブジェクト ID を検索
します。
SSH エンジンのオプション
Service SSH エンジンは、ポート 22 の SSH トラフィックに対して使用します。SSH セッションの
セットアップを除いてすべてが暗号化されるため、エンジンはセットアップのフィールドだけをモニタ
します。SSH には 2 つのデフォルト シグニチャがあります。これらのシグニチャを調整することはで
きますが、カスタム シグニチャは作成できません。
表 29-30(P.29-45)に、Service SSH エンジンに固有のパラメータを示します。
Cisco Security Manager 4.0 ユーザ ガイド
29-44
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-30
Service SSH エンジンのパラメータ
パラメータ
説明
値
[length-type]
次の SSH 長さタイプのいずれかを検査します。
0 ~ 65535
• [key-length]:検査対象の SSH キーの長さ:
– [length]:キーがこれよりも長い場合は、
RSAREF オーバーフローが発生します。
• [user-length]:ユーザ長の SSH 検査:
– [length]:キーがこれよりも長い場合は、
RSAREF オーバーフローが発生します。
[service-ports]
0 ~ 65535 a-b[,c-d]
ターゲット サービスが常駐する、カンマ区切りの
ポートのリストまたはポート範囲。
[specify-packet-depth] (任意)パケット数をイネーブルにします。
0 ~ 65535
• [packet-depth]:セッション キーが失われたと判
断するまでにモニタするパケット数。
State エンジンのオプション
表 29-31(P.29-45)に、State エンジンに固有のパラメータを示します。
表 29-31
State エンジンのパラメータ
パラメータ
説明
値
[State Machine]
ステート マシン グループ。
—
[Cisco Login]
Cisco ログインのステート マシンを指定します。
[cisco-device]、
[control-c]、
[pass-prompt]、[start]
• [state-name]:状態の名前。この状態になると、シ
グニチャはアラートを起動します。
– シスコ デバイスの状態
– Control-C 状態
– パスワード プロンプト状態
– 開始状態
[LPR Format
String]
LPR フォーマット ストリングの脆弱性を検査するス
テート マシンを指定します。
[abort]、[format-char]、
[start]
• [state-name]:状態の名前。この状態になると、シ
グニチャはアラートを起動します。
– LPR フォーマット ストリング検査を終了する
中断状態
– フォーマット文字の状態
– 開始状態
[Specify Min
Match Length]
(任意)最小一致長をイネーブルにします。
0 ~ 65535
• [Min Match Length]:正規表現文字列が一致する必 (注)
要があるバイトの最小数。
範囲の 2 番目の
数は、最初の数
以上である必要
があります。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-45
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-31
State エンジンのパラメータ (続き)
パラメータ
説明
値
SMTP
SMTP プロトコルのステート マシンを指定します。
[abort]、[mail-body]、
[mail-header]、
• [State Name]:状態の名前。この状態になると、シ
[smtp-commands]、
グニチャはアラートを起動します。
[start]
– LPR フォーマット ストリング検査を終了する
中断状態
– メール本文の状態
– メール ヘッダーの状態
– SMTP コマンドの状態
– 開始状態
[Regex String]
検索する文字列。
—
[Direction]
トラフィックの方向:
[From Service]、[To
Service]
• サービス ポートからクライアント ポート宛のトラ
フィック。
• クライアント ポートからサービス ポート宛のトラ
フィック。
[Service Ports]
ターゲット サービスが常駐する、カンマ区切りのポー
トのリストまたはポート範囲。
0 ~ 65535
[Swap Attacker
Victim]
アドレス(およびポート)の送信元と宛先をアラート
メッセージでスワップする場合は [Yes]。スワップしな
い場合は [No](デフォルト)。
[Yes] | [No]
[Specify Exact
Match Offset]
(任意)完全一致オフセットをイネーブルにします。
0 ~ 65535
• [Specify Max Match Offset]/[Specify Min Match
Offset]:一致を有効にするために正規表現文字列
がレポートする必要がある正確なストリーム オフ
セット。
String ICMP エンジンのオプション
表 29-32(P.29-46)に、String ICMP エンジンに固有のパラメータを示します。
表 29-32
String ICMP エンジンのパラメータ
パラメータ
[Specify Min Match
Length]
説明
(任意)最小一致長をイネーブルにします。
値
0 ~ 65535
• [Min Match Length]:正規表現文字列
が一致する必要があるバイトの最小数。
[Regex String]
検索する文字列。
—
[Direction]
トラフィックの方向:
[From Service]、[To Service]
• サービス ポートからクライアント ポー
ト宛のトラフィック。
• クライアント ポートからサービス ポー
ト宛のトラフィック。
Cisco Security Manager 4.0 ユーザ ガイド
29-46
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-32
String ICMP エンジンのパラメータ (続き)
パラメータ
説明
値
[ICMP Type]
ICMP ヘッダーの TYPE 値。
0 ~ 18
(注)
[Swap Attacker Victim] アドレス(およびポート)の送信元と宛先
範囲の 2 番目の数は、
最初の数以上である必
要があります。
[Yes] | [No]
をアラート メッセージでスワップする場合
は [Yes]。スワップしない場合は [No](デ
フォルト)。
[Specify Exact Match
Offset]
(任意)完全一致オフセットをイネーブルに
します。
0 ~ 65535
• [Specify Max Match Offset]/[Specify Min
Match Offset]:一致を有効にするために
正規表現文字列がレポートする必要があ
る正確なストリーム オフセット。
String TCP エンジンのオプション
表 29-33(P.29-47)に、String TCP エンジンに固有のパラメータを示します。
表 29-33
String TCP エンジン
パラメータ
説明
値
[Strip Telnet Options] パターンを検索する前に、データから Telnet オ
[Yes] | [No]
プション文字を削除します。
(注)
[Specify Min Match
Length]
このパラメータは、主に、IPS 反回避
ツールとして使用します。
(任意)最小一致長をイネーブルにします。
0 ~ 65535
• [Min Match Length]:正規表現文字列が一致
する必要があるバイトの最小数。
[Regex String]
検索する文字列。
—
[Service Ports]
ターゲット サービスが常駐する、カンマ区切り
のポートのリストまたはポート範囲。
0 ~ 65535
[Direction]
トラフィックの方向:
• サービス ポートからクライアント ポート宛
(注)
範囲の 2 番目の数
は、最初の数以上
である必要があり
ます。
[From Service]、[To
Service]
のトラフィック。
• クライアント ポートからサービス ポート宛
のトラフィック。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-47
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-33
String TCP エンジン (続き)
パラメータ
説明
値
[Specify Exact Match (任意)完全一致オフセットをイネーブルにしま
Offset]
す。
0 ~ 65535
• [Specify Max Match Offset]/[Specify Min
Match Offset]:一致を有効にするために正
規表現文字列がレポートする必要がある正
確なストリーム オフセット。
[Yes] | [No]
アドレス(およびポート)の送信元と宛先をア
ラート メッセージでスワップする場合は [Yes]。
スワップしない場合は [No](デフォルト)。
[Swap Attacker
Victim]
String UDP エンジンのオプション
表 29-34(P.29-48)に、String UDP エンジンに固有のパラメータを示します。
表 29-34
String UDP エンジン
パラメータ
[Specify Min Match
Length]
説明
値
(任意)最小一致長をイネーブルにします。 0 ~ 65535
• [Min Match Length]:正規表現文字列
(注)
が一致する必要があるバイトの最小数。
範囲の 2 番目の数は、最
初の数以上である必要が
あります。
[Regex String]
検索する文字列。
—
[Service Ports]
ターゲット サービスが常駐する、カンマ区 0 ~ 65535
切りのポートのリストまたはポート範囲。
[Direction]
トラフィックの方向:
[From Service]、[To Service]
• サービス ポートからクライアント
ポート宛のトラフィック。
• クライアント ポートからサービス
ポート宛のトラフィック。
[Swap Attacker
Victim]
アドレス(およびポート)の送信元と宛先 [Yes] | [No]
をアラート メッセージでスワップする場合
は [Yes]。スワップしない場合は [No](デ
フォルト)。
[Specify Exact Match (任意)完全一致オフセットをイネーブル
Offset]
にします。
0 ~ 65535
• [Specify Max Match Offset]/[Specify Min
Match Offset]:一致を有効にするため
に正規表現文字列がレポートする必要
がある正確なストリーム オフセット。
Sweep Other TCP エンジンのオプション
表 29-35(P.29-49)に、Sweep Other TCP エンジンに固有のパラメータを示します。
Cisco Security Manager 4.0 ユーザ ガイド
29-48
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-35
Sweep Other TCP エンジンのパラメータ
パラメータ
説明
値
[specify-port-range] (任意)検査でのポート範囲の使用をイネーブルにし
0 ~ 65535 a-b[,c-d]
ます。
• [port-range]:検査で使用する UDP ポート範囲。
[set-tcp-flags]
照合する TCP フラグを設定します。
• [tcp-flags]:検査で使用される TCP フラグ:
[urg]、[ack]、[psh]、
[rst]、[syn]、[fin]
– URG ビット
– ACK ビット
– PSH ビット
– RST ビット
– SYN ビット
– FIN ビット
Sweep エンジンのオプション
表 29-36(P.29-49)に、Sweep エンジンに固有のパラメータを示します。
表 29-36
Sweep エンジンのパラメータ
パラメータ
説明
値
[protocol]
このインスペクタの該当プロトコル。
[icmp]、[udp]、
[tcp]
[specify-icmp-type]
(任意)ICMP ヘッダー タイプをイネーブルにします。
0 ~ 255
• [icmp-type]:ICMP ヘッダーの TYPE 値。
[specify-port-range]
(任意)検査でのポート範囲の使用をイネーブルにします。 0 ~ 65535
• [port-range]:検査で使用する UDP ポート範囲。
[fragment-status]
フラグメントが必要かどうかを指定します。
• 任意のフラグメント ステータス。
a-b[,c-d]
[any]、
[no-fragments]、
[want-fragments]
• フラグメントを検査しない。
• フラグメントを検査する。
[inverted-sweep]
一意のカウントの対象として宛先ポートではなく送信元 [true] | [false]
ポートを使用します。
[mask]
TCP フラグの比較に使用するマスク:
• URG ビット
• ACK ビット
[urg]、[ack]、
[psh]、[rst]、
[syn]、[fin]
• PSH ビット
• RST ビット
• SYN ビット
• FIN ビット
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-49
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-36
Sweep エンジンのパラメータ (続き)
パラメータ
説明
値
[storage-key]
固定データを保存するために使用するアドレス キーの
タイプ。
[Axxx]、[AxBx]、
[Axxb]
• 攻撃者のアドレス
• 攻撃者と攻撃対象のアドレス
• 攻撃者のアドレスと攻撃対象のポート
[suppress-reverse]
このアドレス セットで反対方向にスイープが実行され
ている場合、アラートを起動しません。
[true] | [false]
[swap-attacker-victim] アドレス(およびポート)の送信元と宛先をアラート
[true] | [false]
メッセージでスワップする場合は [true]。スワップしな
い場合は [false](デフォルト)。
[tcp-flags]
マスクによってマスクされた場合に照合する TCP フラグ。 [urg]、[ack]、
[psh]、[rst]、
• URG ビット
[syn]、[fin]
• ACK ビット
• PSH ビット
• RST ビット
• SYN ビット
• FIN ビット
[unique]
2 つのホスト間の一意のポート接続数のしきい値。
0 ~ 65535
Service TNS エンジンのオプション
表 29-37(P.29-50)に、Service TNS エンジンに固有のパラメータを示します。
表 29-37
Service TNS エンジンのパラメータ
パラメータ
説明
値
[type]
TNS フレーム値のタイプを指定します。
1 2 4 5 6 11 12
• [1]:接続
• [2]:受け入れ
• [4]:拒否
• [5]:リダイレクト
• [6]:データ
• [11]:再送信
• [12]:マーカー
Cisco Security Manager 4.0 ユーザ ガイド
29-50
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-37
Service TNS エンジンのパラメータ (続き)
パラメータ
説明
値
[specify-regex-string] (任意)正規表現文字列の使用をイネーブルにします。
0 ~ 65535
• [specify-exact-match-offset]:完全一致オフセット
をイネーブルにします。
– [exact-match-offset]:一致を有効にするために
正規表現文字列がレポートする必要がある正確
なストリーム オフセット。
• [specify-min-match-length]:最小一致長をイネーブ
ルにします。
– [min-match-length]:正規表現文字列が一致す
る必要があるバイトの最小数。
[specify-regexpayload]
[TCP]、[TNS]
検査するプロトコルを指定します。
• [TCP data]:TCP パケットのデータ部分に対して正
規表現を実行します。
• [TNS data]:すべての空白が削除されている TNS
データに対してだけ正規表現を実行します。
Traffic ICMP エンジンのオプション
Traffic ICMP エンジンは、TFN2K、LOKI、DDoS などの非標準プロトコルを分析します。このエン
ジンには、ユーザが設定可能なパラメータを持つ 2 つのシグニチャ(LOKI プロトコルに基づく)だけ
が含まれます。
TFN2K は、TFN の新しいバージョンです。TFN2K は DDoS エージェントの一種であり、感染した複
数のコンピュータ(ゾンビ)による協調した攻撃(何百または何千もの未知の攻撃ホストから 1 つのコ
ンピュータまたはドメインに向けて偽のトラフィック フラッドを送信する攻撃)を制御します。
TFN2K はランダムに抽出されたパケット ヘッダー情報を送信しますが、それにはシグニチャの定義に
使用できる 2 つの識別子が付いています。1 つは L3 チェックサムが不正かどうかを示し、もう 1 つは
ペイロードの末尾に文字 64「A」が検出されたかどうかを示します。TFN2K は、任意のポートで実行
可能であり、ICMP、TCP、UDP、またはこれらのプロトコルの組み合わせを使用して通信できます。
LOKI は、バック ドア型トロイの木馬タイプです コンピュータが感染すると、悪意のあるコードによ
り ICMP トンネルが作成されます。この ICMP トンネルは、ICMP 応答内での小さなペイロードの送
信に使用されるおそれがあります(ICMP をブロックするように設定していないと、ICMP 応答はファ
イアウォールを通過することがあります)。LOKI シグニチャは、ICMP エコーの要求と応答のアンバ
ランス、簡易 ICMP コード、およびペイロード識別子をモニタします。
(TFN2K を除く)DDOS カテゴリは、ICMP ベースの DDOS エージェントを対象とします。ここで使
用する主なツールは、TFN と Stacheldraht です。これらは TFN2K と同様に動作しますが、ICMP だけ
に依存し、固定コマンド(整数および文字列)を備えています。
表 29-38(P.29-51)に、Traffic ICMP エンジンに固有のパラメータを示します。
表 29-38
TRAFFIC ICMP エンジンのパラメータ
パラメータ
説明
[parameter-tunable-sig]
設定可能なパラメータがシグニチャに存在するかどう [yes] | [no]
値
か。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-51
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-38
TRAFFIC ICMP エンジンのパラメータ (続き)
パラメータ
説明
値
[inspection-type]
実行する検査のタイプ:
[is-loki]、
[is-mod-loki]
• 最初の LOKI トラフィックを検査する。
• 変更された LOKI トラフィックを検査する。
[reply-ratio]
要求と応答のアンバランス。要求と比べて、応答が指 0 ~ 65535
定した数より多い場合に、アラートを起動します。
[want-request]
アラートを起動する前に、ECHO REQUEST の検出
が必要となります。
[true] | [false]
[Edit Signature Parameter - Component List] ダイアログボックス
[Edit Signature Parameter - Component List] ダイアログボックスを使用して、Meta エンジンのコン
ポーネント リストを編集します。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Signatures] を選択します。Meta
エンジンを使用するシグニチャが含まれる行を右クリックし、表示されるショートカット メ
ニューから [Edit Row] をクリックします。[Edit Parameters] をクリックします。[Edit Signature
Parameters] ダイアログボックスで、[Value] カラムの [List] をクリックします。
[Add Signature Parameter - List Entry] ダイアログボックス
[Add Signature Parameter - List Entry] ダイアログボックスを使用して、Meta エンジンのコンポーネン
トを追加します。
[Edit Signature Parameter - List Entry] ダイアログボックス
[Edit Signature Parameter - List Entry] ダイアログボックスを使用して、Meta エンジンのコンポーネン
トを編集します。
[Obsoletes] ダイアログボックス
[Obsoletes] ダイアログボックスを使用して、特定のシグニチャに関連付けられている古いシグニチャ
を識別します。
[Add an Entry] ダイアログボックス
[Add an Entry] ダイアログボックスを使用して、特定のシグニチャに関連付けられている古いシグニ
チャを追加します。
Cisco Security Manager 4.0 ユーザ ガイド
29-52
OL-21828-01-J
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
[Settings] ページ
[Settings] ページを使用して、アプリケーション ポリシー(HTTP のイネーブル化、HTTP 要求の最大
数、AIC Web ポート、および FTP のイネーブル化)、フラグメント再構築ポリシー、ストリーム再構
築ポリシー、および IP ロギング ポリシーを定義します。これらの設定は、共有はできるが、継承はさ
れないポリシーとなります。新しい IPS デバイスを追加すると、そのデバイスには、すべてのシグニ
チャのデフォルト設定を含むローカル ポリシーが適用されます。
ナビゲーション パス
• (デバイス ビュー)ポリシー セレクタから [IPS] > [Signatures] > [Settings] を選択します。
• (ポリシー ビュー)ポリシー タイプ セレクタから [IPS] > [Signatures] > [Signature Settings] を選
択します。[Signature Settings] を右クリックしてポリシーを作成するか、または共有ポリシー セ
レクタから既存のポリシーを選択します。
関連項目
• 「シグニチャ ポリシー」(P.29-8)
• 「Cisco NSDB へのアクセス」(P.29-19)
フィールド リファレンス
表 29-39
[Settings] ページ
要素
説明
[Enable HTTP]
Web サービスの保護をイネーブルにします。RFC に準拠するために、
センサーで HTTP トラフィックを検査する必要がある場合は、[Yes]
を選択します。
[Max HTTP Requests]
未処理の HTTP 要求の最大数を接続ごとに指定します。
[AIC Web Ports]
AIC トラフィックを検索するポートの変数を指定します。
[Enable FTP]
FTP サービスの保護をイネーブルにします。センサーで FTP トラ
フィックを検査する必要がある場合は、[Yes] を選択します。
[IP Reassembly Mode]
オペレーティング システムに基づいて、センサーがフラグメントの再
構築に使用する方式を示します。
[TCP Handshake Required]
センサーが、スリーウェイ ハンドシェイクが実行されたセッションだ
けを追跡することを指定します。
[TCP Reassembly Mode]
センサーが、次のオプションを使用する TCP セッションの再構築に使
用するモードを指定します。
• [Asymmetric]:双方向トラフィック フローのいずれかの方向だけ
をモニタします。
(注)
[Asymmetric] モードの場合、センサーは状態をフローと同期
し、双方向を必要としないエンジンの検査を継続します。完全
な保護には双方向のトラフィックを確認する必要があるため、
[Asymmetric] モードではセキュリティが低下します。
• [Loose]:パケットがドロップされる可能性がある状況で使用しま
す。
• [Strict]:何らかの理由でパケットが失われた場合、失われたパ
ケット以降のすべてのパケットが処理されなくなります。
[Max IP Log Packets]
記録するパケットの数を示します。
Cisco Security Manager 4.0 ユーザ ガイド
OL-21828-01-J
29-53
第 29 章
IPS シグニチャの定義
シグニチャ ポリシー
表 29-39
[Settings] ページ (続き)
要素
説明
[IP Log Time]
センサーが記録する期間を示します。有効な値は、1 ~ 60 秒です。デ
フォルトは 30 秒です。
[Max IP Log Bytes]
[Max IP Log Bytes]:記録する最大バイト数を示します。
Cisco Security Manager 4.0 ユーザ ガイド
29-54
OL-21828-01-J
Fly UP