IPS Device Manager 5.1 – シグニチャの調整

ダウンロード オプション

  • PDF     (157.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (80.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (66.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 4 月 7 日
Document ID:91210

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

侵入防御システム(IPS)5.1 には 1000 を超える組み込みのデフォルト シグニチャが含まれています。組み込みのシグニチャ リストにあるシグニチャの名前を変更したり、削除したりはできませんが、センシング エンジンから削除するためにシグニチャをリタイアすることができます。リタイアしたシグニチャは後でアクティブにできます。ただし、このプロセスでは、センシング エンジンがそれらの設定を再構築する必要があります。これには時間がかかり、トラフィックの処理が遅延することがあります。複数のシグニチャ パラメータを調整すると、組み込みのシグニチャを調整できます。変更された組み込みのシグニチャは、調整されたシグニチャと呼ばれます。

このドキュメントでは、IPS Device Manager(IDM)を使用してシグニチャを調整するために使用する手順について説明します。IDMは、WebベースのJavaアプリケーションで、センサーを設定および管理できます。IDMのWebサーバはセンサー上にあります。Internet Explorer、Netscape、またはMozillaのWebブラウザからアクセスできます。

注:署名を作成できます。署名はカスタムシグネチャと呼ばれます。カスタムシグニチャIDは60000から始まります。UDP接続での文字列の照合、ネットワークフラッドの追跡、スキャンなど、いくつかの目的で設定できます。各シグニチャは、モニタされるトラフィックのタイプに特化して設計されたシグニチャエンジンを使用して作成されます。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Intrusion Prevention System(IPS)デバイスマネージャ5.xに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

特定のシグニチャのネットワークトラフィックをモニタするようにセンサーを設定するには、シグニチャを有効にする必要があります。デフォルトでは、最も重要なシグニチャは、シグニチャ更新をインストールすると有効になります。有効なシグニチャに一致する攻撃が検出されると、センサーはアラートを生成します。アラートはセンサーのイベントストアに保存されます。アラートや他のイベントは、Webベースのクライアントによってイベントストアから取得できます。デフォルトでは、センサーはすべての情報アラート以上をログに記録します。

一部のシグニチャにはサブシグニチャがあります。つまり、シグニチャはサブカテゴリに分割されます。サブシグニチャを設定すると、1つのサブシグニチャのパラメータに加えられた変更はそのサブシグニチャにのみ適用されます。たとえば、シグニチャ3050のサブシグニチャ1を編集して重大度を変更した場合、重大度の変更はサブシグニチャ1にのみ適用され、3050 2、3050 3、および3050 4には適用されません。

シグニチャの調整

+アイコンは、このパラメータに使用可能なオプションが増えることを示します。+アイコンをクリックして、セクションを展開し、残りのパラメータを表示します。

緑色のアイコンは、パラメータが現在デフォルト値を使用していることを示します。緑色のアイコンをクリックして赤に変更すると、パラメータフィールドがアクティブになり、値を編集できるようになります。

手順

シグニチャを調整するには、次の手順を実行します。

  1. 管理者権限またはオペレータ権限を持つアカウントを使用してIDMにログインします。

  2. [Configuration] > [Signature Definition] > [Signature Configuration]を選択します

    [Signature Configuration]ペインが表示されます。

  3. 署名を検索するには、[Select By]リストから並べ替えオプションを選択します。

    たとえば、UDPフラッドシグニチャを検索する場合は、[L2/L3/L4 Protocol]を選択し、次に[UDP Flood]を選択します

    [シグニチャの設定(Signature Configuration)]ペインが更新され、ソート基準に一致するシグニチャだけが表示されます。

  4. 既存のシグニチャを調整するには、シグニチャを選択して次の手順を実行します。

    1. [編集]をクリック、[署名の編集]ダイアログボックスを開きます。

    2. パラメータ値を確認し、調整するパラメータの値を変更します。

      注:複数のイベント操作を選択するには、Ctrlキーを押しながらイベント操作を選択します。

    3. [Status]で、[Yes]を選択して署名を有効にします。

      注:シグニチャによって指定された攻撃をセンサーがアクティブに検出するには、シグニチャを有効にする必要があります。

    4. [ステータス]で、このシグニチャが廃止されるかどうかを指定します。[No]をクリックして、署名をアクティブにします。これにより、エンジンにシグニチャが配置されます。

      注:シグニチャによって指定された攻撃をセンサーがアクティブに検出するには、シグニチャをアクティブにする必要があります。

      注:変更を元に戻し、[Cancel]をクリックして[Edit Signature]ダイアログボックスを閉じます。

    5. [OK] をクリックします。

      編集したシグニチャが[Type]が[Tuned]に設定されたリストに表示されます。

      注:変更を元に戻すには、[リセット]をクリックします

  5. [Apply]をクリックして、変更を適用し、変更した設定を保存します。

関連情報

更新履歴

改定 発行日 コメント
1.0
07-Apr-2007
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています