誤検出侵入を減らすためのオプション
内容
はじめに
侵入防御システムは、特定の Snort ルールで過剰なアラートを生成することがあります。アラートは、正検出の場合もあれば、誤検出の場合もあります。誤検出アラートが多数発生する場合は、いくつかのオプションを使用してアラートを減らすことができます。 この記事では、各オプションの長所と短所の概要を説明します。
誤検出アラートを減らすオプション
1. シスコテクニカルサポートへの報告
良性トラフィックに対してアラートをトリガーするSnortルールを見つけた場合は、シスコテクニカルサポートに報告してください。 報告が終わると、カスタマーサポートエンジニアがVulnerability Research Team(VRT)に問題を報告します。 VRTは、ルールに対する可能な改善点を調査します。改善されたルールは通常、レポーターが利用可能になり次第すぐに利用できるようになり、次の正式なルール更新にも追加されます。
2. 信頼または許可ルール
信頼できるトラフィックが検査なしでSourcefireアプライアンスを通過することを許可する最適なオプションは、関連付けられた侵入ポリシーなしでTrustアクションまたはAllowアクションを有効にすることです。信頼ルールまたは許可ルールを設定するには、Policies > Access Control > Add Ruleの順に移動します。
図:信頼ルールの設定
3. 不要なルールの無効化
古い脆弱性やパッチが適用された脆弱性を対象とするSnortルールを無効にすることができます。パフォーマンスが向上し、誤検出が減少するFireSIGHTの推奨事項を使用すると、この作業に役立ちます。 さらに、優先度の低いアラートを頻繁に生成するルールや、アクションを実行できないアラートは、侵入ポリシーから削除する対象として適しています。
4. しきい値
Thresholdを使用すると、侵入イベントの数を減らすことができます。これは、通常のトラフィックで限られた数のイベントがルールによって定期的にトリガーされることが予想される場合に設定するのに適したオプションですが、特定の数を超えるパケットがルールに一致する場合は、問題の兆候である可能性があります。 このオプションを使用すると、ノイズの多いルールによってトリガーされるイベントの数を減らすことができます。
図:しきい値の設定
5. 抑制
抑制を使用すると、イベントの通知を完全に排除できます。これはThresholdオプションと同様に設定されます。
6. ファストパスルール
アクセスコントロールポリシーの信頼ルールおよび許可ルールと同様に、ファストパスルールも検査をバイパスできます。 Fast-PathルールはDeviceページのAdvancedウィンドウで設定するため、アクセスコントロールルールでほぼ常に十分である限り、見落としが容易であるため、Ciscoテクニカルサポートでは、通常、このルールの使用を推奨しません。
図:AdvancedウィンドウのFast-Path Rulesオプション
ファストパスルールを使用する唯一の利点は、より大量のトラフィックを処理できることです。 ファストパスルールは、ハードウェアレベル(NMSB)でトラフィックを処理し、理論的には最大200 Gbpsのトラフィックを処理できます。 一方、TrustアクションとAllowアクションを含むルールはネットワークフローエンジン(NFE)に昇格され、最大40 Gbpsのトラフィックを処理できます。
7. ルールの通過
(そのホストからの他のトラフィックを検査する必要がある)特定のルールが特定のホストからのトラフィックでトリガーされないようにするには、passタイプのSnortルールを使用します。実際、それを達成する唯一の方法です。 合格規則は有効ですが、合格規則は手動で記述されるため、維持が非常に困難な場合があります。 また、パスルールの元のルールがルールの更新によって変更された場合、関連するすべてのパスルールを手動で更新する必要があります。そうしないと、効果が得られなくなる可能性があります。
8. SNORT_BPF変数
侵入ポリシーのSnort_BPF変数により、特定のトラフィックが検査をバイパスできるようになります。 この変数は従来のソフトウェアバージョンの最初の選択肢の1つでしたが、より細かく、見やすく、設定が簡単なアクセスコントロールポリシールールを使用して検査をバイパスすることをシスコテクニカルサポートにお勧めします。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
10-Jul-2014 |
初版 |
フィードバック