侵入ポリシーの基本
侵入ポリシーは定義済みの侵入検知のセットであり、セキュリティ違反についてトラフィックを検査し、インライン展開の場合は、悪意のあるトラフィックをブロックまたは変更することができます。侵入ポリシーは、アクセス コントロール ポリシーによって呼び出され、システムの最終防御ラインとして、トラフィックが宛先に到達することを許可するかどうかを判定します。
各侵入ポリシーの中核となるのは、侵入ルールです。ルールを有効にすると、ルールに一致するトラフィックに対して侵入イベントが生成されます(さらに、必要に応じてトラフィックがブロックされます)。ルールを無効にすると、ルールの処理が停止されます。
Firepower システムが提供するいくつかの基本的な侵入ポリシーにより、Cisco Talos Security Intelligence and Research Group(Talos)の経験を活用できます。これらのポリシーに対して、Talos は侵入およびプリプロセッサ ルールの状態(有効または無効)を設定し、他の詳細設定の初期設定も行います。
ヒント |
システム提供の侵入ポリシーとネットワーク分析ポリシーには同じような名前が付けられていますが、異なる設定が含まれています。たとえば、「Balanced Security and Connectivity」ネットワーク分析ポリシーと「Balanced Security and Connectivity」侵入ポリシーは連携して動作し、どちらも侵入ルールのアップデートで更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。 |
カスタム侵入ポリシーを作成すると、以下を実行できます。
-
ルールを有効化/無効化することに加え、独自のルールを作成して追加し、検出を調整する。
-
ネットワーク上で検出されたオペレーティング システム、サーバ、およびクライアント アプリケーション プロトコルをそれらの資産を保護するために明確に書き込まれたルールに関連付けるには、Firepower の推奨事項を使用します。
-
外部アラート、センシティブ データの前処理、グローバル ルールのしきい値設定など、さまざまな詳細設定を設定する。
-
レイヤを構成要素として使用し、複数の侵入ポリシーを効率的に管理する。
インライン展開では、侵入ポリシーによってトラフィックを変更したりブロックすることができます。
-
廃棄ルールを使用すると、一致したパケットをドロップして、侵入イベントを生成できます。侵入またはプリプロセッサの廃棄ルールを設定するには、そのステータスを [ドロップしてイベントを生成する(Drop and Generate Events)] に設定します。
-
侵入ルールでは、
replace
キーワードを使用して悪意のあるコンテンツを置き換えることができます。
侵入ルールがトラフィックに影響を与えるようにするには、廃棄ルールおよびコンテンツを置き換えるルールを適切に設定し、さらに管理対象デバイスを適切にインライン展開する(つまり、インライン インターフェイス セットを設定する)必要があります。最後に、侵入ポリシーのドロップ動作([インライン時にドロップ(Drop when Inline)] 設定)を有効にします。
留意事項として、侵入ポリシーを調整する場合(特にルールを有効化して追加する場合)、一部の侵入ルールでは、最初に特定の方法でトラフィックをデコードまたは前処理する必要があります。侵入ポリシーによって検査される前に、パケットはネットワーク分析ポリシーの設定に従って前処理されます。必要なプリプロセッサを無効にすると、システムは自動的に現在の設定でプリプロセッサを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。
注意 |
前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。 |
カスタム侵入ポリシーを設定した後、それを 1 つ以上のアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションに関連付けることによって、カスタム侵入ポリシーをアクセス コントロール設定の一部として使用できます。これによって、システムは、最終宛先に渡す前に、特定の許可されたトラフィックを侵入ポリシーによって検査します。変数セットを侵入ポリシーと組み合わて使用することにより、ホーム ネットワークと外部ネットワークに加えて、必要に応じてネットワーク上のサーバを正確に反映させることができます。
デフォルトでは、暗号化ペイロードの侵入インスペクションは無効化されます。これにより、侵入インスペクションが設定されているアクセス コントロール ルールと暗号化された接続を照合する際の誤検出が減少し、パフォーマンスが向上します。