侵入防御システム(IPS)5.1 には 1000 を超える組み込みのデフォルト シグニチャが含まれています。組み込みのシグニチャ リストにあるシグニチャの名前を変更したり、削除したりはできませんが、センシング エンジンから削除するためにシグニチャをリタイアすることができます。リタイアしたシグニチャは後でアクティブにできます。ただし、このプロセスでは、センシング エンジンがそれらの設定を再構築する必要があります。これには時間がかかり、トラフィックの処理が遅延することがあります。複数のシグニチャ パラメータを調整すると、組み込みのシグニチャを調整できます。変更された組み込みのシグニチャは、調整されたシグニチャと呼ばれます。
このドキュメントでは、IPS Device Manager(IDM)を使用してシグニチャを調整するために使用する手順について説明します。IDMは、WebベースのJavaアプリケーションで、センサーを設定および管理できます。IDMのWebサーバはセンサー上にあります。Internet Explorer、Netscape、またはMozillaのWebブラウザからアクセスできます。
注:署名を作成できます。署名はカスタムシグネチャと呼ばれます。カスタムシグニチャIDは60000から始まります。UDP接続での文字列の照合、ネットワークフラッドの追跡、スキャンなど、いくつかの目的で設定できます。各シグニチャは、モニタされるトラフィックのタイプに特化して設計されたシグニチャエンジンを使用して作成されます。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、Cisco Intrusion Prevention System(IPS)デバイスマネージャ5.xに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
特定のシグニチャのネットワークトラフィックをモニタするようにセンサーを設定するには、シグニチャを有効にする必要があります。デフォルトでは、最も重要なシグニチャは、シグニチャ更新をインストールすると有効になります。有効なシグニチャに一致する攻撃が検出されると、センサーはアラートを生成します。アラートはセンサーのイベントストアに保存されます。アラートや他のイベントは、Webベースのクライアントによってイベントストアから取得できます。デフォルトでは、センサーはすべての情報アラート以上をログに記録します。
一部のシグニチャにはサブシグニチャがあります。つまり、シグニチャはサブカテゴリに分割されます。サブシグニチャを設定すると、1つのサブシグニチャのパラメータに加えられた変更はそのサブシグニチャにのみ適用されます。たとえば、シグニチャ3050のサブシグニチャ1を編集して重大度を変更した場合、重大度の変更はサブシグニチャ1にのみ適用され、3050 2、3050 3、および3050 4には適用されません。
+アイコンは、このパラメータに使用可能なオプションが増えることを示します。+アイコンをクリックして、セクションを展開し、残りのパラメータを表示します。
緑色のアイコンは、パラメータが現在デフォルト値を使用していることを示します。緑色のアイコンをクリックして赤に変更すると、パラメータフィールドがアクティブになり、値を編集できるようになります。
シグニチャを調整するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用してIDMにログインします。
[Configuration] > [Signature Definition] > [Signature Configuration]を選択します。
[Signature Configuration]ペインが表示されます。
署名を検索するには、[Select By]リストから並べ替えオプションを選択します。
たとえば、UDPフラッドシグニチャを検索する場合は、[L2/L3/L4 Protocol]を選択し、次に[UDP Flood]を選択します。
[シグニチャの設定(Signature Configuration)]ペインが更新され、ソート基準に一致するシグニチャだけが表示されます。
既存のシグニチャを調整するには、シグニチャを選択して次の手順を実行します。
[編集]をクリックし、[署名の編集]ダイアログボックスを開きます。
パラメータ値を確認し、調整するパラメータの値を変更します。
注:複数のイベント操作を選択するには、Ctrlキーを押しながらイベント操作を選択します。
[Status]で、[Yes]を選択して署名を有効にします。
注:シグニチャによって指定された攻撃をセンサーがアクティブに検出するには、シグニチャを有効にする必要があります。
[ステータス]で、このシグニチャが廃止されるかどうかを指定します。[No]をクリックして、署名をアクティブにします。これにより、エンジンにシグニチャが配置されます。
注:シグニチャによって指定された攻撃をセンサーがアクティブに検出するには、シグニチャをアクティブにする必要があります。
注:変更を元に戻し、[Cancel]をクリックして[Edit Signature]ダイアログボックスを閉じます。
[OK] をクリックします。
編集したシグニチャが[Type]が[Tuned]に設定されたリストに表示されます。
注:変更を元に戻すには、[リセット]をクリックします。
[Apply]をクリックして、変更を適用し、変更した設定を保存します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Apr-2007 |
初版 |