- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: 侵入ポリシーの詳細設定の使用
侵入ポリシーの詳細設定の使用
詳細設定 とは、設定するのに特定の専門知識を必要とする、プリプロセッサなどの侵入ポリシー検出やパフォーマンスの設定のことです。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
詳細設定は有効/無効にしたり、変更したりできます。デフォルトで有効になる詳細設定や、詳細設定ごとのデフォルトは、侵入ポリシーの基本ポリシーに応じて決まります。詳細については、「基本ポリシーについて」を参照してください。
特定の標準テキスト ルール、共有オブジェクト ルール、およびプリプロセッサ ルールが正しく動作するためには、一部の詳細設定を有効にする必要があります。必須の詳細設定が無効になっている侵入ポリシーを保存しようとすると、その必須の詳細設定をシステムが自動的に有効にするかどうか尋ねられます。
Web インターフェイスでは、一部の拡張設定オプションがトラブルシューティング オプションとして識別されます。これらのオプションを使用する際には、必ずサポートの支援を受ける必要があります。
•
「詳細設定の変更」。詳細設定の設定ページにアクセスする方法について説明し、侵入ポリシー内で有効化、無効化、および設定できる詳細設定をリストします。
• 「プリプロセッサについて」。ルール エンジンで使用できるように、プリプロセッサでトラフィックを正規化する方法を示します。
• 「詳細設定の自動有効化」。プリプロセッサなどの、有効なルールやルール オプションで必要な詳細設定を自動的に有効にする方法について説明します。
• 「トラブルシューティング オプションについて」。サポートから指示された場合だけ設定する必要があるトラブルシューティング オプションについて説明します。
• 「侵入ポリシーでのレイヤの使用」。ルール属性と詳細設定の個別の設定で構成された侵入ポリシー層を追加して、複雑なネットワーク内で複数の侵入ポリシーをより効率的に管理する方法について説明します。
詳細設定の変更
ナビゲーション パネルで [Advanced Settings] を選択すると、[Advanced Settings] ページが表示され、詳細設定がタイプ別にリストされます。このページで、侵入ポリシー内の詳細設定を有効または無効にしたり、詳細設定の設定ページにアクセスしたりできます。
詳細設定を行うには、それを有効にする必要があります。詳細設定を行ってから無効にすると、その設定は保持されます。詳細設定を有効にすると、その詳細設定に関する設定ページへのサブリンクがナビゲーション パネル内の [Advanced Settings] リンクの下に表示され、この設定ページへの [Edit] リンクが [Advanced Settings] ページ上の詳細設定の横に表示されます。詳細設定を無効にすると、詳細設定のサブリンクと [Edit] リンクは表示されなくなります。
ヒント [Performance Statistics Configuration] の詳細設定を無効にすることはできません。これは、サポートがシステムのトラブルシューティングを行えるようにするためのものです。
詳細設定を変更する場合、変更する設定と、その変更がネットワークに及ぼす可能性のある影響について理解していることが必要です。次の項では、詳細設定ごとに固有の設定の詳細情報へのリンクを記述します。
アプリケーション層プロトコル デコーダは、特定のタイプのパケット データを、ルール エンジンで分析できる形式に正規化します。詳細については、次の表を参照してください。
|
|
|
|---|---|
Modbus と DNP3 のプリプロセッサは、トラフィックの異常を検出し、インスペクションのためにデータをルール エンジンに提供します。
|
|
|
|---|---|
ネットワーク層とトランスポート層のプリプロセッサは、ネットワーク層とトランスポート層でエクスプロイトを検出します。パケットがプリプロセッサに送信される前に、パケット デコーダにより、パケット 見出しとペイロードが、プリプロセッサやルール エンジンで簡単に使用できる形式に変換されます。また、パケット 見出し内でさまざまな異常動作が検出されます。
|
|
|
|---|---|
Back Orifice プリプロセッサは、Back Orifice マジック クッキーについて UDP トラフィックを分析します。スキャン アクティビティを報告するようにポートスキャン ディテクタを設定できます。レートベースの攻撃防御は、ネットワークを圧迫するように設計された SYN フラッドや膨大な同時接続からネットワークを保護するのに役立ちます。機密データ プリプロセッサは、ASCII テキストのクレジット カード番号や社会保障番号などの機密データを検出します。
|
|
|
|---|---|
適応型プロファイルを使用すると、トラフィックをネットワーク マップのホスト情報と関連付けて、それに応じてトラフィックを処理することにより、システムをネットワーク トラフィックに適応させることができます。
|
|
|
|---|---|
グローバル ルールのしきい値を設定すると、しきい値を使用して、システムが侵入イベントを記録したり表示したりする回数を制限できるので、多数のイベントでシステムが圧迫されないようにすることができます。
|
|
|
|---|---|
システムには、システム パフォーマンスを向上させるサーバ設定が設けられています。
|
|
|
|---|---|
Web インターフェイス内での侵入イベントをさまざまな形式で表示することに加えて、syslog ファシリティへのロギングを有効にしたり、イベント データを SNMP トラップ サーバに送信したりできます。侵入イベントの通知限度を指定したり、外部ロギング ファシリティに対する侵入イベントの通知をセットアップしたり、侵入イベントへの外部応答を設定したりできます。
|
|
|
|---|---|
ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。
[Intrusion Policy] ページが表示されます。
ステップ 2 編集するポリシーの横にある編集アイコン(
)をクリックします。
別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。
[Policy Information] ページが表示されます。
ステップ 3 変更する詳細設定を選択するには、左側のナビゲーション パネルで [Advanced Settings] をクリックし、設定が無効になっている場合は有効にして、[Edit] をクリックします。
設定ページが表示されます。選択した詳細設定の設定オプションをどれでも変更できます。
有効になっている詳細設定の設定ページにアクセスするには、左側のナビゲーション パネルの [Advanced Settings] を展開してから、詳細設定の名前をクリックすることもできます。
ヒント [Performance Statistics Configuration] の詳細設定を無効にすることはできません。これは、サポートがシステムのトラブルシューティングを行えるようにするためのものです。
ステップ 4 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残した状態での終了を行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。
プリプロセッサについて
プリプロセッサは、トラフィックを再フォーマットして、ホストで受信されるトラフィックとルール エンジンで読み取られるトラフィックが同じ形式になるようにします。前処理を実行しないと、プロトコルが違うためにパターン マッチングを行えなくなるので、システムでトラフィックを適切に評価できません。シスコのプリプロセッサは、トラフィックを標準化し、ネットワーク層やトランスポート層のプロトコルの異常を識別するのに役立ちます。そのために、不適切な見出し オプションの識別、IP データグラムの最適化、TCP のステートフル インスペクションとストリーム再構成の提供、UDP ストリームの前処理の提供、アプリケーション プロトコルのコマンド構文の解決、チェックサムの検証を行います。
システムで分析されるパケットが、ネットワーク上のホストで処理されるパケットにできるだけ近いものになるように、これらのプリプロセッサを設定できます。各プリプロセッサにはさまざまなオプションと設定があり、ご使用のネットワーク環境の必要に合うように設定できます。ご使用のネットワーク トラフィックにとって適切なプリプロセッサだけを実行して、誤検出や検出漏れを最小限にし、パフォーマンスを最適化できます。
一般に、侵入検知および防御システムがネットワークを保護する上で重要なコンポーネントになるほど、このシステム自体が攻撃者のターゲットになります。たとえば攻撃者は、意図的に DoS 攻撃を作成するために、スプーフィングされた送信元 IP アドレスの SYN パケットを送信して、受信側のサーバーが保留中の TCP 接続用にメモリを割り当てるようにすることがあります。その後、サーバは SYN-ACK を発信 IP アドレスに送信し、TCP セッションを確立します。攻撃者が正当な IP アドレスを使用していないので、SYN-ACK メッセージはタイムアウトになり、サーバはメッセージを再送するので、長期間メモリが割り当てられたままになります。このようなハーフオープン TCP 接続はシステム リソースを消耗させます。ほとんどのシステムは TCP セッションに対してステートフル インスペクションを実行しようとするので、システムはこの種のオープン TCP セッションの状態を確立しようとしている間に DoS 状態になる可能性があります。しかし、システムの一部として組み込まれているトランスポート層プリプロセッサは、TCP 接続の状態を検出し、ハーフオープン接続をなくして、誤接続によるルール エンジンの過負荷を防止できます。
プリプロセッサ オプションは、管理対象デバイス自体に対する攻撃から保護するので、ネットワークの高可用性とセキュリティ向上が保障されます。多くのプリプロセッサ オプションは、トリガー時にイベントを生成できるプリプロセッサ ルールと関連付けられます。インラインで FireSIGHT システムを展開している場合、インライン侵入ポリシー内のプリプロセッサ ルールの状態を、悪意のあるパケットをドロップするように設定できます。イベントを生成するようにルールを設定することの詳細と、インライン展開でパケットをドロップすることの詳細については、「ルール状態の設定」を参照してください。
プリプロセッサ ルールに関するルール状態、しきい値、抑制、レートベースのルール状態、アラート、ルール コメントを設定できます。プリプロセッサ ルールは、侵入ポリシーの [Rules] ページ上の [Preprocessors] フィルタ グループ内と、[Category] フィルタ グループ内のプリプロセッサとパケット デコーダのサブグループ内で、プリプロセッサごとにリストされます。プリプロセッサとデコーダのルールの状態を [Generate Events] に設定するか、必要に応じて、インライン展開で [Drop and Generate events] に設定する(プリプロセッサかパケット デコーダに侵入イベントを記録させる場合)必要があります。プリプロセッサ ルールを有効にすると、ポリシーに保存されていない変更が含まれている場合には、ステータス メッセージが [Policy Information] ページの下部に表示されることに注意してください。詳細については、「侵入ポリシーの編集」、「侵入ポリシー内のルールの管理」、および「ルール状態の設定」を参照してください。
システムでは、プリプロセッサに加えて、異常なトラフィックの検出、検出の拡張、グローバル ルールしきい値の適用、パフォーマンスの調整、および外部 SNMP の設定、syslog アラートに関する詳細設定も提供されています。
• 「プリプロセッサ使用時のトラフィックの課題への対応」。ネットワーク層、トランスポート層、およびアプリケーション層で生じる通常のトラフィックとインスペクションの課題について説明します。
• 「プロセッサの実行順について」。FireSIGHT システム プリプロセッサの実行順序について説明します。
• 「プロセッサ イベントの読み取り」。プリプロセッサ イベントと含まれる情報について説明します。
プリプロセッサ使用時のトラフィックの課題への対応
システムは、モニタ対象のネットワークのセグメントを通過するトラフィックのインスペクションを行います。これは簡単なことに思えますが、データが表される方法が多種多様であり、データが送信される方法に固有の特性があるため、トラフィックのインスペクションは複雑になることがあります。FireSIGHT システムは、通常のトラフィックに固有の課題や、損害を与えたりインスペクションを回避するように設計されているパケットに固有の課題を軽減します。
ネットワーク層の通常のトラフィックは断片化されることがあります。つまり、IP データグラムが最大伝送単位を超えると、小さいフラグメントにして伝送する必要があります。攻撃の分析を有効なものにするには、その前に断片化された IP データグラムを再構成する必要があります。また攻撃者が、重複しているフラグメント、複数のゼロオフセット フラグメント(Jolt2 Denial of Service(DoS)攻撃)、断片化されたプロトコル 見出しなどの悪意のある IP フラグメンテーションを使用することがあります。これらはすべて、通常はネットワーク上で許可されないトラフィックをマスクします。さらに、DoS 攻撃を意図した、無効な長さゼロの IP オプションを使用してパケットを細工する攻撃をネットワーク層が受けることがあります。
トランスポート層は TCP ストリームベース攻撃の対象になります。たとえば、シーケンス番号が重複している TCP パケットを送信し、システムにどちらが有効なシーケンス番号か判別するように強制したりします。トランスポート層は TCP 見出し オプション攻撃に対してオープンになっていることがあります。たとえば、TCP パケットをスプーフィングし、見出し値を変更して、TCP 接続を閉塞状態にし、さらに攻撃を伝播したりします。また TCP は状態関連の攻撃の対象となります。たとえば、Stick や Snot によって、確立済みの接続の一部でない TCP パケットが生成され、ルールが大量にトリガーとして使用されて、システムとアナリストに対する DoS 攻撃が行われることがあります。攻撃者は、チェックサムが無効の TCP、UDP、および ICMP パケットを伝送して、宛先ホストで決して受信されないパケットがシステムで検査されるようにする、ごまかし攻撃を加えることもあります。TCP セッションを再構築すると、トラフィックの効率的な分析をサポートするコンテキストがパケットごとに提供されます。
また、関連付けられている UDP ユーザ データグラムを追跡することにより、攻撃を検出する点でのシステムの特異性を高めることができます。
HTTP、Telnet、FTP、SMTP、RPC などのアプリケーション層プロトコルには、同じデータを表す方法が複数あります。そのため、特定のパケット ペイロードの内容を検査するように設計されたルールが、パケットとルールでペイロードを表す方法が異なるために、失敗することがあります。HTTP、Telnet、FTP、SMTP、RPC パケットを復号化してから、そのデータを標準的な表現に正規化することで、この課題が軽減されます。
プロセッサの実行順について
プロトコル デコーダ、プリプロセッサ、およびルールは特定の順序で実行され、最初に IP 転送層プロトコルの復号化を実行し、次に必要に応じてデータの正規化を実行してから、その結果のパケットを現在有効なルールに対して評価できるようにします。デフォルト ポリシー設定は、最初に IP 転送層プロトコルの復号化を実行し、次に必要に応じてデータの正規化を実行するようにプリプロセッサを設定します。
• システムで、断片化されていて最適化できない IP データグラムに対して侵入イベントを生成してから、これらのパケットの検査を停止できます。
• システムで、状態を検証できない TCP パケットに対してイベントを生成してから、これらのパケットの検査を停止できます。
• システムで、関連 UDP パケットに対してイベントを生成できます。
• 再構成できない TCP パケットや有効な TCP セッションの一部でない TCP パケットが無視されるので、ルールで適切にテストできるパケットだけが正規化され、パフォーマンスが最適化されます。
• システムで、適応型プロファイル、ターゲットベースのポリシー、またはその両方を使用して、IP 最適化およびストリーム前処理の動作をターゲット ホストのオペレーティング システムの形式に合うように調整できます。
• 前処理の後に、ルール エンジンによって、受信ホストでの分析と同じ方法でトラフィックを分析できます。
プロセッサ イベントの読み取り
プリプロセッサでは、2 つの機能が提供されています。指定されたアクション(HTTP トラフィックの復号化や正規化など)をパケットに対して実行する機能と、プリプロセッサ オプションおよび関連付けられているプリプロセッサ ルールを有効にしたパケットがトリガーするたびにイベントを生成して、指定されたプリプロセッサ オプションの実行を報告する機能です(たとえば、 Double Encoding HTTP Inspect オプションと、HTTP Inspect ジェネレータ(GID)が 119 で Snort ID(SID)が 2 の関連付けられているプリプロセッサ ルールを有効にして、プリプロセッサが IIS 二重エンコード トラフィックを検出したときにイベントを生成できます)。プリプロセッサの実行を報告するイベントを生成すると、異常なプロトコル エクスプロイトを検出するのに役立ちます。たとえば、攻撃者は、ホスト上で DoS 攻撃を引き起こす重複 IP フラグメントを細工することがあります。IP 最適化プリプロセッサは、この種の攻撃を検出し、その攻撃に関する侵入イベントを生成できます。
• 「プリプロセッサ イベントのパケットの表示について」。プリプロセッサで生成されるイベントに含まれる情報について説明します。
• 「プリプロセッサのジェネレータ ID の読み取り」。プリプロセッサ ジェネレータ ID によって提供される情報について詳しく説明します。
プリプロセッサ イベントのパケットの表示について
プリプロセッサ イベントは、イベントに関するルールの詳細な説明がパケットの表示に含まれないという点がルール イベントと異なります。代わりに、イベント メッセージ、ジェネレータ ID、 Snort ID、パケット 見出し データ、およびパケット ペイロードが、パケットの表示に含まれます。この情報を使用して、パケットの見出し情報を分析し、見出し オプションが使用されているかどうか、およびシステムの脆弱性を攻撃する可能性があるかどうかを判別し、パケット ペイロードを検査できます。プリプロセッサが各パケットを分析した後、ルール エンジンがそのパケットに対して該当するルールを実行して(プリプロセッサがそのパケットを最適化し、有効なセッションの一部として確立できた場合)潜在的なコンテンツ レベルの脅威をさらに分析して報告します。
プリプロセッサのジェネレータ ID の読み取り
各プリプロセッサには独自のジェネレータ ID 番号、つまり GID があり、これはパケットによってトリガーとして使用されたプリプロセッサを示します。一部のプリプロセッサには関連した SID もあり、これは潜在的な攻撃を分類する ID 番号です。イベントのタイプを分類する方法は、ルールをトリガーするパケットのコンテキストをルールの Snort ID (SID)が提供する方法とほぼ同じなので、イベントを効率的に分析するのに役立ちます。侵入ポリシーの [Rules] ページ上の [Preprocessors] フィルタ グループ内にプリプロセッサ別にプリプロセッサ ルールをリストできます。また、[Category] フィルタ グループ内のプリプロセッサとパケット デコーダのサブグループ内にもプリプロセッサ ルールをリストできます。詳細については、「侵入ポリシー内のルールの管理」と、 「ルール タイプ」 表を参照してください。
注 標準テキスト ルールにより生成されるイベントのジェネレータ ID は 1 になります。イベントの SID は、トリガーとして使用された特定のルールを示します。共有オブジェクト ルールの場合、イベントのジェネレータ ID は 3 で、トリガーとして使用された特定のルールを示す SID があります。
次の表では、各 GID を生成するイベントのタイプについて説明しています。
|
|
|
|
|---|---|---|
パケットが標準テキスト ルールをトリガーとして使用したときにイベントが生成されました。詳細については、 「ルール タイプ」 の表を参照してください。 |
||
タグ付きセッションからパケットを生成するタグ ジェネレータによって、イベントが生成されました。これは、 |
||
パケットが共有オブジェクト ルールをトリガーとして使用したときにイベントが生成されました。詳細については、 「ルール タイプ」 の表を参照してください。 |
||
Back Orifice ディテクタが、パケットに関連付けられた Back Orifice 攻撃を特定しました。詳細については、「バック オリフィスの検出」を参照してください。 |
||
RPC デコーダがパケットを復号化しました。詳細については、「Sun RPC プリプロセッサの使用」を参照してください。 |
||
パケット デコーダによってイベントが生成されました。詳細については、「パケットのデコードについて」を参照してください。 |
||
HTTP Inspect プリプロセッサによってイベントが生成されました。GID 120 ルールがサーバ固有の HTTP トラフィックに関連しています。詳細については、「HTTP トラフィックのデコード」を参照してください。 |
||
ポートスキャン フロー ディテクタによってイベントが生成されました。詳細については、「ポートスキャンの検出」を参照してください。 |
||
断片化された IP データグラムを適切に再構成できなかったときに、イベントが生成されました。詳細については、「IP パケットのデフラグ」を参照してください。 |
||
SMTP プリプロセッサが SMTP バーブに対するエクスプロイトを検出したときに、イベントが生成されました。詳細については、「SMTP デコードについて」を参照してください。 |
||
FTP/Telnet デコーダが FTP トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。詳細については、「サーバレベルの FTP オプションについて」および「クライアントレベルの FTP オプションについて」を参照してください。 |
||
FTP/Telnet デコーダが Telnet トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。詳細については、「FTP および Telnet トラフィックのデコード」を参照してください。 |
||
SSH プリプロセッサが SSH トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。詳細については、「SSH プロプロセッサによるエクスプロイトの検出」を参照してください。 |
||
ストリーム プリプロセッサによるストリームの前処理中に、イベントが生成されました。詳細については、「TCP ストリームの前処理の使用」を参照してください。 |
||
DNS プリプロセッサによってイベントが生成されました。詳細については、「DNS ネーム サーバ応答におけるエクスプロイトの検出」を参照してください。 |
||
DCE/RPC プリプロセッサによってイベントが生成されました。詳細については、「DCE/RPC トラフィックのデコード」を参照してください。 |
||
ルール遅延によって侵入ルールのグループが中断された(134:1)または再有効化された(134:2)とき、あるいはパケット遅延しきい値が超過したためにシステムがパケットの検査を停止したとき(134:3)に、イベントが生成されました。詳細については、「パケット遅延しきい値構成について」、「トラブルシューティング オプションについて」、「ルール遅延しきい値構成について」を参照してください。 |
||
レートベースの攻撃ディテクタがネットワーク上のホストに対する過度の接続を識別したときに、イベントが生成されました。詳細については、「レート ベース攻撃の防止」を参照してください。 |
||
機密データ プリプロセッサによってイベントが生成されました。詳細については、「センシティブ データの検出」を参照してください。 |
||
SIP プリプロセッサによってイベントが生成されました。詳細については、「Session Initiation Protocol のデコード」を参照してください。 |
||
IMAP プリプロセッサによってイベントが生成されました。詳細については、「IMAP トラフィックのデコード」を参照してください。 |
||
POP プリプロセッサによってイベントが生成されました。詳細については、「POP トラフィックのデコード」を参照してください。 |
||
GTP プリプロセッサによってイベントが生成されました。詳細については、「GTP コマンド チャネルの設定」を参照してください。 |
||
Modbus SCADA プリプロセッサによってイベントが生成されました。詳細については、「Modbus プリプロセッサの設定」を参照してください。 |
||
DNP3 SCADA プリプロセッサによってイベントが生成されました。詳細については、「DNP3 プリプロセッサの設定」を参照してください。 |
詳細設定の自動有効化
詳細設定が標準テキスト ルール、共有オブジェクト ルール、プリプロセッサ ルール、または別の詳細設定で必要になる場合、システムによって有効にできます。ルール、ルール オプション、または他の詳細設定で必要な詳細設定を無効にして侵入ポリシーを保存すると、必須の詳細設定がシステムにより自動的に有効にされるようにするかどうか尋ねられます。ポリシーを保存するには、その前に必須の詳細設定を手動で有効にするか、システムにより必須の詳細設定を自動的に有効にできるようにするか、または詳細設定が必要なルールか他の詳細設定を無効にする必要があります。
未設定の詳細設定がシステムにより自動的に有効にされる際には、デフォルト設定が使用されることに注意してください。
次の表に、さまざまな詳細設定で必要なルールとルール オプションをリストします。
|
|
|
|
|---|---|---|
| • • |
||
ストリームの前処理が必要なプリプロセッサを有効にしている場合、ストリームの前処理を無効にしていると、ポリシーを保存する際に、該当するプロトコルに関するストリームの前処理を有効にするかどうか尋ねられます。
TCP ストリームの前処理を有効にするかどうか尋ねられるのは、この処理を無効にしており、以下のプリプロセッサを有効にしている場合です。
• DCE/RPC プリプロセッサ(RPC over HTTP プロキシ、RPC over HTTP サーバ、TCP、または SMB トランスポート プロトコルが選択されている場合)
• ポートスキャン検出(TCP プロトコルが選択されている場合)
UDP ストリームの前処理を有効にするかどうか尋ねられるのは、この処理を無効にしており、以下のプリプロセッサを有効にしている場合です。
トラブルシューティング オプションについて
トラブルシューティングに関する問い合わせの際に、サポートは、1 つ以上のトラブルシューティング オプションを変更するようにお願いすることがあります。トラブルシューティング オプションは、関連する詳細設定の設定ページに表示されます。これらのオプションは詳細設定に関連する他のオプションとともに使用できますが、これらのオプションの設定を変更するとパフォーマンスに影響を及ぼすため、必ずサポートの指示に従って実行する必要があります。
次の表で、これらのトラブルシューティング オプションについて説明します。
|
|
|
|
|---|---|---|
この FTP/Telnet のターゲットベースのポリシー オプションを使用することにより、サーバ用にリストされている FTP コマンドごとに設定情報の出力を有効にしたり無効にしたりできます。 詳細については、「サーバレベルの FTP オプションについて」を参照してください。 |
||
このグローバル パフォーマンス オプションは、プロトコル分布、パケット長、およびポートの統計情報をログに記録します。 詳細については、「パフォーマンス統計情報の設定」を参照してください。 |
||
このグローバル パフォーマンス オプションは、Snort® プロセスのシャット ダウンまたは再起動時に限り、パフォーマンス統計情報を計算するようにシステムに指示します。 このオプションは、Log Session/Protocol Distribution トラブルシューティング オプションが有効な場合だけ使用できることに注意してください。 詳細については、「パフォーマンス統計情報の設定」を参照してください。 |
||
このグローバル TCP オプションは、個々の接続が指定済みのしきい値を超えた場合にメッセージを記録します。 上限は 1GB ですが、管理対象デバイス上でストリーム処理のために割り振られるメモリの量によっても制限されます。 詳細については、「TCP ストリームの前処理の使用」を参照してください。 |
||
この TCP のターゲットベースのポリシー オプションは、TCP 接続の片側でキューイングできるデータの量を指定します。 詳細については、「TCP ストリームの前処理の使用」を参照してください。 |
||
この TCP のターゲットベースのポリシー オプションは、TCP 接続の片側でキューイングできるデータ セグメントの最大バイト数を指定します。 値 0 は、無制限のデータ セグメント バイト数を指定します。 詳細については、「TCP ストリームの前処理の使用」を参照してください。 |
フィードバック